Vérification interne - Protocole d’entente entre l’Agence du revenu du Canada et la Commission d’indemnisation des accidents du travail de la Nouvelle-Écosse
Rapport final
Juillet 2015
Table des matières
Résumé exécutif
Contexte :
L'Agence du revenu du Canada (ARC) signe des ententes de collaboration écrites, telles que des protocoles d'entente (PE), avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d'améliorer l'efficience et l'efficacité dans l'exécution des programmes. Lorsque des renseignements sensibles sont échangés avec ces entités, l'ARC s'assure que les ententes sont rédigées de manière à ce que les parties connaissent et respectent les exigences juridiques et les politiques relatives à l'utilisation et à la sécurité des renseignements échangés.
Afin de s'assurer que les deux parties respectent ces dispositions, les PE comportent une clause exigeant que l'on mène des vérifications internes de l'utilisation, de la communication, de la sécurité, de la rétention et de l'élimination des renseignements échangés. En particulier, ce PE stipule que chacune des parties réalisera une vérification interne de la protection des renseignements obtenus de l'autre partie, dans un délai de deux ans de la signature du PE. Des vérifications subséquentes seront effectuées à des dates convenues par l'ARC et la Commission d'indemnisation des accidents du travail (CIAT) de la Nouvelle-Écosse (N.-É.).
Cette vérification portait sur les renseignements protégés reçus par l'ARC en vertu du PE conclu avec la CIAT de la N.-É.
La principale responsabilité pour les PE relève de la Direction générale de la stratégie et de l'intégration (DGSI), plus particulièrement en ce qui concerne l'assurance que l'ARC et les autres parties impliquées dans les PE s'acquittent de leurs obligations mutuelles imposées par les ententes.
Objectif :
Cette vérification avait pour objectif de fournir une assurance raisonnable que l’ARC se conforme aux dispositions du PE en ce qui concerne l’utilisation, la communication, la sécurité, la rétention et l’élimination des renseignements reçus de la CIAT de la N.-É.
Conclusion :
Dans l’ensemble, l’ARC respecte les dispositions régissant la confidentialité et la sécurité des renseignements reçus de la CIAT de la N.-É., telles qu’elles sont stipulées dans le PE. De plus, selon le travail de vérification effectué, l’équipe de la vérification n’a découvert aucune divergence lorsqu’elle a examiné la transmission des renseignements protégés tels que les pièces de versement et les chèques. Toutefois, il existe des possibilités d’amélioration afin de mieux soutenir le personnel en fournissant une orientation et des outils pour veiller à l’observation continue des procédures de sécurité de l’ARC et du PE, en ce qui concerne le marquage des renseignements protégés et la rétention des renseignements d’ordre administratif pour la charge de travail de la CIAT de la N.-É. La DGSI a indiqué que certaines mesures correctives ont été achevées et que d’autres sont en voie de mise en œuvre.
Plan d’action :
La DGSI prendra des mesures pour veiller à ce que les personnes responsables de la charge de travail de la CIAT de la N.-É. soient au courant des exigences pertinentes en matière de sécurité et de rétention.
En outre, la DGSI prendra des mesures pour s’assurer que les pièces de versement et les relevés de compte portent correctement la mention « Protégé B lorsque rempli », de façon à être conformes aux exigences en matière de marquage de sécurité.
Introduction
L'Agence du revenu du Canada (ARC) signe des protocoles d'entente (PE) avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d'améliorer l'efficience et l'efficacité dans l'exécution des programmes.
La principale responsabilité pour les PE relève de la Direction générale de la stratégie et de l'intégration (DGSI), plus particulièrement en ce qui concerne l'assurance que l'ARC et les autres parties aux PE s'acquittent de leurs obligations réciproques imposées par les ententes, dont le fait d'utiliser les renseignements échangés seulement aux fins prévues et de les protéger.
Afin de s'assurer que les deux parties respectent certaines dispositions, les PE comportent une clause exigeant que l'on mène des vérifications internes de l'utilisation, de la communication, de la sécurité, de la rétention et de l'élimination des renseignements échangés. Le PE conclu avec la Commission d'indemnisation des accidents du travail (CIAT) de la Nouvelle-Écosse (N.-É.) stipule que chacune des parties réalisera une vérification interne de la protection des renseignements obtenus de l'autre partie, dans un délai de deux ans de la signature du PE. Des vérifications subséquentes seront effectuées à des dates convenues par les personnes responsables de l'application du PE. Le PE avec la CIAT de la N.-É. a été signé le 21 octobre 2004.
Le but premier du PE consiste à établir un cadre administratif pour les renseignements que s'échangent l'ARC et la CIAT de la N.-É. ainsi qu'à prévoir les modalités qui s'appliquent à la divulgation de ces renseignements.
Le présent PE décrit les diverses activités exercées par les parties, telles que la fourniture d'un numéro d'entreprise (NE), des services de traitement des paiements, ainsi que des services d'impression et d'envoi par la poste relativement aux comptes de la CIAT de la N.-É.
Portée de la vérification
Cette vérification avait pour objectif de fournir une assurance raisonnable que l'ARC se conforme aux dispositions du PE en ce qui concerne l'utilisation, la communication, la sécurité, la rétention et l'élimination des renseignements reçus de la CIAT de la N.-É.
La phase d'examen de la vérification a été effectuée de février à juin 2014 dans les bureaux de la Direction générale de cotisation, de prestation et de service (DGCPS) et de la Direction générale de l'informatique (DGI) situés à l'Administration centrale ainsi qu'aux centres fiscaux (CF) de Summerside, de Shawinigan et de St. John's. D'autres travaux de vérification ont été menés en avril 2015. Les activités d'examen ont compris des entrevues, des revues générales, des essais, et un examen des documents et des procédures afin de veiller au respect des normes de sécurité stipulées dans le PE ainsi que des procédures de sécurité de l'ARC en ce qui a trait à la protection de l'information.
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.
Constatations, recommandations et plans d’action
1.0 Conformité avec les politiques, les plans, les procédures, les lois et les règlements
Conformément au PE, tous les renseignements que l'ARC reçoit de la CIAT de la N.-É. dans le cadre du présent PE ne doivent être utilisés qu'aux fins précises pour lesquelles ils ont été fournis. L'ARC doit donc s'assurer que des procédures sont en place pour protéger ces renseignements.
Les essais ont permis d'indiquer que les renseignements reçus de la CIAT de la N.-É. n'étaient utilisés qu'aux fins énoncées dans le PE, que l'accès aux renseignements n'était fourni qu'en cas de nécessité absolue et que les renseignements étaient divulgués seulement selon les modalités précisées dans le PE.
La grande majorité des renseignements de la CIAT de la N.-É. sont reçus par voie électronique au moyen de réseaux sécurisés. Différents systèmes sont utilisés : le système du numéro d'entreprise, le système d'impression-courrier et les systèmes de traitement des paiements. À l'exception des bons et des chèques, quelques documents sont reçus par courrier. La Section du système d'impression-courrier au CF de Summerside se fonde sur les lignes directrices de l'ARC afin de veiller à la sécurité et à la protection des données pour tout le travail lié aux services d'impression et d'expédition aux clients et aux contribuables.
L'ensemble de la charge de travail liée au traitement des paiements est effectué conformément aux politiques et aux procédures opérationnelles établies par l'ARC. Bien qu'une formation générale sur le traitement des paiements soit offerte aux employés, aucune formation n'est donnée relativement à la CIAT de la N.-É., car cette charge de travail est semblable à d'autres charges de travail liées au traitement des paiements. Les procédures relatives à la confidentialité et à la sécurité des renseignements pour les charges de travail de la CIAT de la N.-É. sont énoncées à l'annexe H. La plupart des employés ne sont pas au courant de cette annexe; toutefois, cela ne les empêche pas d'accomplir leurs tâches conformément aux politiques et aux procédures de l'ARC et du PE.
Recommandation :
La DGSI devrait élaborer, en collaboration avec les régions et les directions générales concernées, des séances de sensibilisation portant sur les exigences énoncées dans l’annexe H du PE conclu avec la CIAT de la N.-É.
Plan d’action :
Des séances d'information visant à sensibiliser les participants aux rôles et aux responsabilités indiqués dans l'annexe H du PE conclu avec la CIAT de la N. É. ont eu lieu avec des gestionnaires et des chefs d'équipe responsables de la charge de travail de la CIAT dans les centres fiscaux de la région de l'Atlantique en décembre 2014 et en janvier 2015. Ces séances portaient sur l'utilisation, la maintenance et la protection des renseignements de la CIAT. Des séances semblables ont eu lieu à l'Administration centrale en mai 2015 et avec le personnel du CF de Shawinigan en juin 2015.
Le personnel de l'Agence était également tenu de passer un cours d'apprentissage électronique obligatoire sur la sécurité d'ici le 31 mars 2015 et de participer à « La sécurité - c'est l'affaire de tous! ».
De plus, les conseillers en relations intergouvernementales de la région de l'Atlantique tiennent des séances d'information régulières avec la direction des bureaux des services fiscaux sur l'échange de renseignements, où il est question de la sécurité des renseignements.
2.0 Protection des renseignements
L’annexe H du PE comprend toutes les normes de sécurité applicables au traitement, à l’entreposage et à la destruction des renseignements. L’ARC doit protéger les renseignements fournis par la CIAT de la N.-É. conformément aux modalités et aux procédures précisées dans cette annexe ainsi qu’aux procédures de l’ARC relativement à la protection des renseignements, tels qu’elles sont indiquées dans la Suite d’instruments de politique d’entreprise en matière de sécurité.
Marquage des renseignements protégés
Conformément aux procédures de sécurité de l'ARC ainsi qu'aux normes régissant la confidentialité et la sécurité, énoncées dans l'annexe H du PE, tous les documents comportant des renseignements reçus de la CIAT de la N.-É. doivent porter la mention Protégé A, B ou C, selon le niveau de préjudice possible à l'organisation.
L'ARC accepte et traite les paiements pour le compte de la CIAT de la N.-É. Les employeurs envoient les pièces de versement à l'ARC avec ces paiements. Ces pièces de versement contiennent des renseignements protégés comme le nom de l'entreprise, l'adresse postale, le numéro d'entreprise et le montant des prestations pour accident du travail versées. À l'examen de ces pièces de versement, on a constaté qu'elles ne portent pas la mention « Protégé B lorsque rempli » conformément aux procédures sur l'identification et le marquage des renseignements protégés de l'ARC ou aux modalités de l'annexe H du PE.
Recommandation :
La DGCPS et la DGSI doivent s’assurer que les pièces de versement de la CIAT de la N.-É. portent la mention « Protégé B lorsque rempli » conformément aux procédures sur l’identification et le marquage des renseignements protégés émises par la Direction générale des finances et de l’administration (DGFA) et aux exigences en matière de sécurité établies à l’annexe H du PE conclu avec la CIAT de la N. É.
Plan d’action :
La pièce de versement (W1), le relevé de compte (WB-1) et le livret de versement (W1 RB) seront réimprimés avec la mention « Protégé B lorsque rempli ». La CIAT de la N. É. a indiqué qu’elle était d’accord avec le changement et les formulaires W1 et WB1 seront mis à jour en juin 2015. Le livret W1-RB est imprimé en décembre 2015 et sera également mis à jour afin d’inclure la mention « Protégé ».
Transmission des renseignements protégés
Les Procédures pour l'envoi sécuritaire de renseignements par courriel de l'ARC et l'annexe H du PE comprennent des procédures pour envoyer des renseignements protégés comme des pièces de versement par courrier interne ou externe. Des essais, y compris des entrevues, des observations sur le processus et des examens des documents, ont été menés au CF de Summerside, au Centre de technologie d'Ottawa et à la Division du traitement des recettes du CF de St. John's.
L'équipe de la vérification interne a déterminé que la Division du traitement des recettes respecte les exigences en matière de sécurité du PE et les Procédures pour l'envoi sécuritaire de renseignements par courrier de l'ARC lorsqu'elle poste des pièces de versement à l'intention du Centre de technologie d'Ottawa et des chèques à l'intention de l'institution financière aux fins de dépôt.
Dans des entrevues, le personnel a indiqué que les procédures contenues dans la Suite d'instruments de politique d'entreprise en matière de sécurité de la DGFA et les Manuels des opérations de l'impôt sont communiquées et suivies lorsque des pièces de versement et des chèques qui contiennent des renseignements protégés sont manipulés et envoyés par la poste.
L'équipe de la vérification a également mené un essai sur un échantillon de 66 pièces de versement postées par la Division du traitement des recettes du CF de St. John's à l'intention du Centre de technologie d'Ottawa au cours d'une période de deux jours en mars 2015. Au cours de cette période, l'équipe de la vérification a mis à l'essai un échantillon de 102 lots de chèques qui ont été envoyés par service de messagerie de St. John's à une institution financière. L'équipe de la vérification n'a découvert aucune divergence lorsqu'elle a examiné la transmission des pièces de versement et des chèques et, dans les deux cas, l'essai a indiqué que le programme respectait les procédures de l'ARC et les exigences du PE.
Rétention et élimination des renseignements
Les normes de sécurité de l'ARC indiquent que, lorsque les renseignements protégés et classifiés ne sont plus requis, ils doivent être détruits. Même si cela s'applique au PE avec la CIAT de la N.-É., le PE ne précise pas d'exigence en ce qui concerne le délai de conservation.
Les travaux d'examen menés au CF de Summerside et de St. John's ainsi qu'au Centre de technologie d'Ottawa ont permis de conclure que le délai de conservation pour les renseignements d'ordre administratif qui sont générés pour appuyer les employés dans l'exécution de la charge de travail de la CIAT de la N.-É. n'a pas été communiqué aux employés ou n'est pas compris par eux. Par conséquent, les employés n'étaient pas tous au courant de ce délai et, dans certains cas, les renseignements ont été conservés plus longtemps que nécessaire.
Quant aux renseignements électroniques, l'ARC emploie l'utilitaire de réécriture approuvé par les organisations fédérales pour l'élimination des disques durs contenant des renseignements classifiés ou protégés. Le logiciel utilisé actuellement pour effacer les données de façon sécuritaire est conforme aux procédures requises par les normes de l'ARC et celles prévues dans le PE avec la CIAT de la N.-É.
Recommandation :
La DGSI devrait communiquer la politique de l'ARC sur la rétention et l'élimination des renseignements d'ordre administratif, comme prévu dans les autorisations de disposition de documents (ADD), aux employés concernés dans les régions et à l'administration centrale qui manipulent des renseignements liés à la charge de travail de la CIAT de la N.-É.
Plan d'action :
La Direction de la statistique et de la gestion de l'information (DSGI) de la DGSI fournira de l'information sur les délais de conservation des renseignements d'ordre administratif aux cadres supérieurs responsables des employés concernés par le programme de la CIAT de la N. É. Cette information sera intégrée à des séances d'information futures sur les rôles et les responsabilités indiqués dans l'annexe H du PE conclu avec la CIAT de la N. É. d'ici le 31 mars 2016.
Conclusion
Dans l’ensemble, l’ARC respecte les dispositions régissant la confidentialité et la sécurité des renseignements reçus de la CIAT de la N.-É., telles qu’elles sont stipulées dans le PE. De plus, selon le travail de vérification effectué, l’équipe de la vérification n’a découvert aucune divergence lorsqu’elle a examiné la transmission des renseignements protégés tels que les pièces de versement et les chèques. Toutefois, il existe des possibilités d’amélioration afin de mieux soutenir le personnel en fournissant une orientation et des outils pour veiller à l’observation continue des procédures de sécurité de l’ARC et du PE, en ce qui concerne le marquage des renseignements protégés et la rétention des renseignements d’ordre administratif pour la charge de travail de la CIAT de la N.-É. La DGSI a indiqué que certaines mesures correctives ont été achevées et que d’autres sont en voie de mise en œuvre.
Détails de la page
- Date de modification :