PE en ce qui concerne le répertoire des entreprises entre l’Agence du revenu du Canada et le ministère des Services gouvernementaux et aux consommateurs de l’Ontario

Rapport final

Direction générale de la vérification, de l'évaluation et des risques
Août 2013

Résumé exécutif

Contexte

L’Agence du revenu du Canada (ARC) signe des accords de collaborations écrits, tels que des protocoles d’entente (PE), avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans l’exécution des programmes. Lorsque des renseignements sensibles sont échangés avec ces entités, l’ARC s’assure que les ententes sont rédigées de manière à ce que les parties connaissent et respectent les exigences juridiques et les politiques relatives à l’utilisation et à la sécurité des renseignements échangés.

Afin de s’assurer que les deux parties respectent ces dispositions, les PE comportent une clause exigeant que l’on mène des vérifications internes de l’utilisation et de la protection des renseignements échangés. Le présent PE stipule que l’Ontario et l’ARC acceptent de mener des vérifications internes distinctes de leur utilisation et de leur protection des renseignements au sein de leur organisation respective. Chaque partie est tenue de mener sa première vérification interne dans les deux ans suivant la date de mise en œuvre du répertoire des entreprises et tous les cinq ans par la suite.

Cette vérification a porté sur les renseignements protégés reçus par l’ARC en vertu du PE conclu entre le ministère des Services gouvernementaux et aux consommateurs de l’Ontario, maintenant le ministère des Services gouvernementaux, et l’ARC.

Le présent PE a pour objectif d’établir le cadre administratif qui régit la relation entre l’ARC et l’Ontario en ce qui concerne l’adoption par l’Ontario du numéro d’entreprise (NE) actuel de l’ARC comme son unique identificateur pour les entreprises. Afin d’intégrer le système d’identificateurs des entreprises de l’Ontario au système de numérotage fédéral, l’Ontario demande à l’ARC d’attribuer des NE aux entreprises aux fins de participation aux programmes gouvernementaux de l’Ontario.

La Direction des relations avec les clients de la Direction générale de la stratégie et de l’intégration (DGSI) oriente et coordonne les relations avec les clients internes et externes en soutenant les directions générales et les régions relativement à toutes les ententes conclues avec les partenaires de l’ARC. La Direction générale des services de cotisation et de prestations (DGSCP) est responsable de l’orientation fonctionnelle du processus d’inscription au NE. Les activités opérationnelles relatives au présent PE sont menées au Centre fiscal (CF) de Sudbury dans la région de l’Ontario. La Direction de la sécurité et des affaires internes (DSAI) de la Direction générale des finances et de l’administration (DGFA) est responsable d’assurer la conformité aux politiques sur la sécurité et d’aider l’ARC à respecter ses obligations légales en matière de sécurité.

Objectif

L’objectif de la présente vérification consistait à s’assurer que l’utilisation et la sécurité des renseignements reçus par l’ARC sont conformes aux modalités établies dans le PE.

Les travaux d’examen ont été effectués entre avril et juin 2013, et comprenaient une visite au CF de Sudbury.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Conclusion

Dans l’ensemble, l’ARC respecte les modalités régissant l’utilisation, la communication et la sécurité des renseignements telles qu’elles sont stipulées dans le PE. Toutefois, il y a une possibilité d’améliorer les contrôles sur le traitement des renseignements en ce qui concerne la notation appropriée de la classification de sécurité sur les documents d’exception imprimés.

Plan d’action

La DSAI de la DGFA a communiqué avec le propriétaire fonctionnel en juillet 2013 afin de vérifier la possibilité de mettre à jour le système automatisé pour ajouter la fonctionnalité de notation. Le CF de Sudbury a indiqué qu’il avait déjà commencé à estampiller manuellement la mention « Protégé B » sur les documents quelques jours après avoir été informé de la recommandation. Dans la mesure du possible, la DGSCP modifiera le système automatisé afin de s’assurer que la mention « Protégé B » est imprimée de façon appropriée sur les documents. En attendant que le système soit modifié, le CF de Sudbury continuera de s’assurer que la mention « Protégé B » est estampillée manuellement sur les documents.

Introduction

L’Agence du revenu du Canada (ARC) signe des accords de collaborations écrits, tels que des protocoles d’entente (PE), avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité dans l’exécution des programmes.

En juin 2008, un PE a été conclu entre l’ARC et le ministère des Services gouvernementaux et aux consommateurs de l’Ontario, maintenant le ministère des Services gouvernementaux. L’objectif de ce PE consiste à établir le cadre administratif qui régit la relation entre l’ARC et l’Ontario en ce qui concerne l’adoption par l’Ontario du numéro d’entreprise (NE) actuel de l’ARC comme son unique identificateur pour les entreprises.

L’ARC a mis en place des processus et des systèmes pour gérer les NE, qui servent d’identificateurs uniques pour les entreprises inscrites aux divers programmes administrés par l’ARC. Afin d’intégrer le système d’identificateurs des entreprises de l’Ontario au système de numérotage fédéral, l’Ontario demande à l’ARC d’attribuer des NE aux entreprises aux fins de participation aux programmes gouvernementaux de l’Ontario. L’ARC conserve un registre de tous les NE et des identificateurs de programmes provinciaux connexes. Quant à la province, elle tient son propre dépôt de données pour les NE, connu comme le Répertoire des entreprises de l’Ontario. La province de l’Ontario saisit électroniquement les données d’inscription des entreprises pour mettre à jour automatiquement la base de données des NE de l’ARC. Les données d’inscription des entreprises qui ne peuvent être traitées automatiquement sont transmises au Centre fiscal (CF) de Sudbury pour règlement et entrée manuelle dans la base de données des NE.

La Direction des relations avec les clients de la Direction générale de la stratégie et de l’intégration (DGSI) est chargée de gérer tous les accords de collaboration écrits et de tenir un dépôt de données pour aider le personnel de l’ARC à communiquer et à échanger les renseignements et les accords de service. La Direction générale des services de cotisation et de prestations (DGSCP) est responsable de l’orientation fonctionnelle du processus d’inscription au NE. Les activités opérationnelles relatives au présent PE sont menées au CF de Sudbury dans la région de l’Ontario. La Direction de la sécurité et des affaires internes (DSAI) de la Direction générale des finances et de l’administration (DGFA) est responsable d’assurer la conformité aux politiques sur la sécurité et d’aider l’ARC à respecter ses obligations légales en matière de sécurité.

Portée de la vérification

L’objectif de la présente vérification consistait à s’assurer que l’utilisation et la sécurité des renseignements reçus par l’ARC sont conformes aux modalités établies dans le PE.

La méthodologie utilisée dans le cadre de cette vérification comprenait des entrevues, des observations et des examens de documents. Elle ne comprenait pas d’essais des contrôles informatiques généraux ou de la sécurité des systèmes automatisés.

Les travaux d’examen ont été effectués entre avril et juin 2013 et comprenaient une visite au CF de Sudbury.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Constatations, recommandations et plans d’action

1.0 Conformité des politiques, des procédures, des lois et des règlements

1.1 Utilisation des renseignements sur l’inscription des entreprises de l’Ontario

Conformément au PE, les renseignements sur l’inscription des entreprises reçus des ministères du gouvernement de l’Ontario doivent être utilisés par l’ARC uniquement aux fins de l’application et de l’exécution de la Loi de l’impôt sur le revenu, de la Loi sur la taxe d’accise, du Régime de pensions du Canada et de la Loi sur l’assurance-emploi. Les employés devraient être tenus informés de l’utilisation envisagée de ces renseignements et comprendre leur responsabilité de veiller à la sécurité des données.

Selon les entrevues et une démonstration du processus pour le traitement des renseignements reçus en vertu du présent PE, les renseignements ont été utilisés afin de mettre à jour la base de données des NE de l’ARC qui est protégée par les contrôles informatiques généraux de l’ARC. Les renseignements provenant de cette base de données ont ensuite été utilisés pour appliquer et exécuter les lois mentionnées ci-dessus.

Le système automatisé qui reçoit les renseignements en vertu du PE est conçu pour mettre à jour automatiquement la base de données des NE, à l’exception des opérations d’inscription qui ne peuvent être traitées automatiquement puisque les données ne sont pas conformes aux exigences de validation du système. Le système génère alors des documents d’exception auxquels des employés autorisés du CF de Sudbury peuvent avoir accès. Ces employés examinent les documents d’exception, corrigent les renseignements fournis ou obtiennent les renseignements manquants, et mettent à jour la base de données des NE.

Lors des entrevues et de la démonstration du processus pour le traitement des renseignements reçus en vertu du PE, l’équipe de la vérification a noté que les employés autorisés sont conscients de leurs responsabilités à l’égard de l’utilisation des renseignements. Ces renseignements ne sont partagés qu’avec le personnel autorisé qui traite la charge de travail des exceptions. La diffusion limitée réduit la possibilité d’une utilisation non autorisée des renseignements par d’autres employés.

Les entrevues avec les employés et les gestionnaires responsables des renseignements du PE ont révélé qu’ils étaient au courant de leurs obligations en ce qui concerne leCode de déontologie et de conduite. Nos sondages ont confirmé que ces employés avaient officiellement indiqué qu’ils avaient lu et compris le Code. Il n’y avait aucune indication dans les entrevues ou la démonstration que les renseignements ont été utilisés à des fins autres que celles précisées dans le PE.

1.2  Accès aux renseignements sur l’inscription des entreprises de l’Ontario

L’accès aux renseignements sur l’inscription des entreprises de l’Ontario doit être conforme aux exigences de l’ARC en matière de sécurité et fourni selon le principe du « besoin de savoir ». Les entrevues avec les gestionnaires et les employés ont révélé qu’entre cinq et dix employés se voient accorder un accès aux renseignements à un moment donné. Leur accès aux processus automatisés requis en vertu du présent PE est administré au moyen du régime de contrôle de l’accès général qui protège l’environnement informatique de l’ARC.

Ces rôles sont surveillés au moyen d’examens semestriels connus comme le Système de révision d’accès des employés (SRAE), qui est appuyé par un système national de suivi auquel le personnel de Sudbury n’a pas accès. L’outil du SRAE est conçu afin de permettre aux gestionnaires de contrôler les rôles et l’autorisation qui en découle pour donner accès aux processus automatisés requis pour traiter les exceptions. Les essais menés par l’équipe de la vérification ont révélé que le rapport du SRAE associé à l’examen le plus récent en décembre 2012 avait été utilisé par les gestionnaires afin de confirmer que seuls les employés autorisés de l’unité avaient accès aux renseignements.

1.3  Divulgation des renseignements sur l’inscription des entreprises de l’Ontario

Selon les entrevues avec les gestionnaires et les employés, les renseignements sur l’inscription des entreprises de l’Ontario reçus en vertu du PE ne sont pas échangés à l’intérieur ou à l’extérieur de l’ARC avant qu’ils soient utilisés pour mettre à jour la base de données des NE. L’équipe de la vérification n’a pas observé et n’a pas été informée de cas où les renseignements ont été divulgués à des employés autres que ceux autorisés au sein de l’unité de traitement.

2.0 Protection des renseignements

Les renseignements reçus du gouvernement de l’Ontario doivent être traités, entreposés et détruits conformément aux exigences du PE ainsi qu’aux politiques et aux lignes directrices de l’ARC.

Selon les personnes interrogées, la formation sur la sécurité liée au traitement, à l’entreposage et à la destruction des documents est offerte dans le cadre d’activités d’initiation lorsque les employés entrent au service de l’ARC. Les employés autorisés qui sont responsables de cette charge de travail au CF de Sudbury ont assisté aux plus récentes séances annuelles de formation d’appoint sur la sensibilisation à la sécurité. Une liste de contrôle sur la présence des employés aux plus récentes séances annuelles de sensibilisation en mars 2013 a été obtenue et examinée par l’équipe de la vérification interne aux fins de confirmation.

2.1  Traitement des renseignements

Selon les entrevues et la documentation décrivant le système automatisé, les renseignements sont reçus par voie électronique et traités automatiquement. Les contrôles automatisés des systèmes de l’ARC sont conçus pour faire une recherche approfondie sur les virus ou les menaces connexes pour tout dossier qui entre dans l’environnement informatique de l’ARC.

Les employés qui traitent les renseignements fournis en vertu du PE détiennent des classifications de sécurité appropriées conformément à un examen des dossiers dans le Libre-service des gestionnaires ^{Footnote 1} .

Selon les entrevues et l’observation, l’accès physique aux renseignements sur les postes de travail est contrôlé conformément aux lignes directrices de l’ARC sur la sécurité par l’entremise de gardiens de sécurité du CF local. L’utilisation de postes de travail est surveillée à l’aide de contrôles de l’accès généraux qui portent sur tout l’environnement de technologie de l’information de l’ARC.

Des cartes magnétiques et des claviers de sécurité nécessitant des codes d’accès limitent l’entrée dans la pièce où les serveurs se trouvent. Ces cartes magnétiques et codes d’accès sont fournis uniquement aux employés autorisés. Cela était fondé sur des entrevues avec des employés de la technologie de l’information et de la sécurité locale ainsi que sur les tests de l’observation de ceux qui tentaient d’entrer dans les pièces sécurisées où se trouvaient les serveurs.

Les gestionnaires et les employés ont indiqué qu’ils étaient au courant des procédures en matière d’incident de sécurité et qu’ils étaient en mesure de décrire de façon appropriée le protocole si un tel incident devait survenir.

2.2  Entreposage et destruction des renseignements

Selon les entrevues et une démonstration du processus, les copies papier des documents d’exception sont détruites immédiatement après leur utilisation, en général moins d’un jour après leur impression. Elles sont placées dans des boîtes à rebuts classifiés et détruites dans le cadre de la procédure d’élimination en vrac des rebuts qui s’applique à tous les rebuts classifiés du CF. Les mises à jour de la base de données des NE sont consignées dans les entrées au journal associées à chaque NE et elles sont conservées pour le traitement des NE.

2.3  Cote de sécurité sur les documents

Les données d’inscription des entreprises reçues en vertu du PE sont traitées automatiquement. Quant aux inscriptions pour lesquelles les données sont complètes et les données correspondantes dans la base de données des NE peuvent être trouvées, les registres des NE peuvent être mis à jour ou créés, et aucune intervention manuelle des employés de l’ARC n’est nécessaire. Comme il est indiqué ci‑dessus, pour les inscriptions qui ne satisfont pas aux exigences de traitement automatique, des documents d’« exception » sont imprimés qui indiquent la raison pour laquelle l’inscription n’a pu être traitée automatiquement.

On a noté que ces documents d’exception imprimés étaient incomplets en ce qui concerne un aspect particulier qui n’était pas conforme aux politiques et aux lignes directrices en matière de sécurité de l’ARC. Notamment, ces documents ne comportaient pas de mention du niveau de protection requis qui guide les employés en ce qui concerne le traitement de ces documents.

Au cours d’une démonstration du processus du traitement des renseignements reçus en vertu du PE, l’équipe de la vérification a noté que les documents d’« exception » imprimés ne portaient pas de mention de la classification de protection requise, dans ce cas « Protégé B » ^{Footnote 2} . Sans cette mention, il est possible que les documents soient traités à un niveau de diligence inférieur à celui nécessaire pour ce qui est de la sécurité.

Recommandation

Les documents d’exception imprimés devraient porter la mention « Protégé B ».

Plan d’action

La DSAI de la DGFA a communiqué avec le propriétaire fonctionnel en juillet 2013 afin de vérifier la possibilité de mettre à jour le système automatisé pour ajouter la fonctionnalité de notation. Le CF de Sudbury a indiqué qu’il avait déjà commencé à estampiller manuellement la mention « Protégé B » sur les documents quelques jours après avoir été informé de la recommandation. Dans la mesure du possible, la DGSCP modifiera le système automatisé afin de s’assurer que la mention « Protégé B » est imprimée de façon appropriée sur les documents. En attendant que le système soit modifié, le CF de Sudbury continuera de s’assurer que la mention « Protégé B » est estampillée manuellement sur les documents.

Conclusion

Dans l’ensemble, l’ARC respecte les modalités régissant l’utilisation, la communication et la sécurité des renseignements telles qu’elles sont stipulées dans le PE. Toutefois, il est possible d’améliorer les contrôles sur le traitement des renseignements en ce qui concerne la notation appropriée de la classification de sécurité sur les documents d’exception imprimés.