Vérification interne du Protocole d’entente entre l’ARC et le Ministry of Finance de la Colombie-Britannique
Rapport final
Juin 2015
Table des matières
Résumé exécutif
Contexte : L'Agence du revenu du Canada (ARC) conclut des protocoles d'entente (PE) et d'autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d'améliorer l'efficience et l'efficacité dans l'exécution des programmes. Le PE en place entre l’ARC et le Ministry of Finance de la Colombie-Britannique (Finances C.-B.) est entré en vigueur le 29 mars 2010 pour remplacer l’ancienne version datant de 1998.
Le présent PE vise à établir un cadre administratif pour les renseignements que s’échangent l’ARC et Finances C.-B. et à prévoir les modalités qui s’appliquent à la communication des renseignements. Le PE soutient l’élaboration d’initiatives conjointes favorisant la collaboration et l’aide mutuelle en vue de maintenir et d’accroître l’efficience de l’administration de l’impôt.
Objectif : L’objectif de la vérification consistait à fournir une assurance raisonnable que les renseignements (se rapportant à la taxe sur les boissons alcoolisées, à l’impôt foncier, à la taxe de vente, entre autres, sans toutefois s’y limiter) reçus par l’ARC de Finances C.-B. sont :
- utilisés, divulgués, conservés et détruits conformément aux modalités établies dans le PE ainsi qu’aux lois fédérales et provinciales régissant leur utilisation, communication, conservation et disposition;
- protégés conformément aux conditions et aux procédures de sécurité indiquées à l’article 5.1 du PE.
Conclusion : La vérification a permis de constater que les renseignements étaient utilisés conformément aux exigences établies dans le PE, ainsi qu’aux politiques et aux lignes directrices de l’ARC. L’ARC était conforme aux modalités énoncées dans le PE, à l’exception de la deuxième constatation. Il existe des possibilités d’amélioration en effectuant un meilleur suivi des renseignements demandés et reçus, en fournissant des lignes directrices sur les délais de conservation et d’élimination des renseignements, de même qu’en mettant à jour les exigences établies dans le PE afin de tenir compte des normes actuelles du gouvernement du Canada en matière d’effacement des données.
Plan d’action :
La Direction générale de la stratégie et de l’intégration (DGSI), Relations avec les clients, région du Pacifique, a mis en place un processus de suivi des renseignements à l’aide de fichiers distincts dans le lecteur partagé. Récemment, la section des Relations avec les clients de la région du Pacifique a élaboré un processus visant à compiler une liste des renseignements demandés et reçus. (La DGSI a indiqué que ce plan d’action a été terminé.)
La DGSI donnera des conseils et une orientation quant à la conservation et à l’élimination des renseignements reçus de Finances C.-B., d’après les autorisations de disposition de documents. (À terminer d’ici le 31 mars 2016.)
La DGSI travaillera de concert avec Finances C.-B. pour veiller à ce que le PE tienne compte des normes actuelles du gouvernement du Canada en ce qui a trait à l’effacement des renseignements stockés sur les bandes de sauvegarde. (À terminer d’ici le 31 mars 2016.)
Introduction
L'Agence du revenu du Canada (ARC) conclut des protocoles d'entente (PE) et d'autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d'améliorer l'efficience et l'efficacité dans l'exécution des programmes.
La Direction générale de la stratégie et de l’intégration (DGSI) à l’ARC a la responsabilité première des PE. Elle veille à ce que l’ARC et les autres parties respectent leurs obligations réciproques aux termes des ententes, dont le fait d’utiliser les renseignements échangés seulement aux fins prévues et de les protéger.
Le PE en place entre l’ARC et le Ministry of Finance de la Colombie-Britannique (Finances C.-B.) est entré en vigueur le 29 mars 2010 pour remplacer l’ancienne version datant de 1998. L’échange de renseignements est autorisé en vertu d’un certain nombre de pouvoirs légaux, y compris l’article 61 de la Loi sur l’Agence du revenu du Canada, qui autorise l’ARC à conclure des contrats, des ententes et d’autres accords avec des gouvernements, et l’alinéa 65(2)a) de la Income Tax Act de la Colombie-Britannique, qui autorise Finances C.-B. à conclure une entente sur l’échange de renseignements avec l’ARC.
Le présent PE vise à établir un cadre administratif pour les renseignements que s’échangent l’ARC et Finances C.-B. et à prévoir les modalités qui s’appliquent à la communication des renseignements. Le PE soutient l’élaboration d’initiatives conjointes favorisant la collaboration et l’aide mutuelle en vue de maintenir et d’accroître l’efficience de l’administration de l’impôt.
Le PE entre l’ARC et Finances C.-B. comprend une clause de vérification interne réciproque qui oblige les deux parties à mener des vérifications internes périodiques de la protection des renseignements échangés.
La liaison entre l’ARC et Finances C.-B. pour le PE est assurée par le chargé de comptes, région du Pacifique, Division des affaires provinciales et territoriales, Direction de la gestion de l’information et des relations (DGIR) de la DGSI et le conseiller en relations intergouvernementales, qui travaille en collaboration avec le chargé de comptes.
Les renseignements reçus de Finances C.-B. comprennent des données sur les taxes de vente, les taxes sur les boissons alcoolisées et impôts fonciers que la province perçoit en vertu de la législation provinciale. L’ARC demande également des renseignements à Finances C.-B. de façon ponctuelle. Le chargé de comptes tient une liste de ces demandes.
Les renseignements provenant de Finances C.-B. sont reçus par courriel chiffré ou au moyen de CD protégés par un mot de passe. Le chargé de comptes ou le conseiller en relations intergouvernementales transmet les renseignements par courriel chiffré aux secteurs appropriés. Les renseignements sont reçus par la Division des renseignements d’entreprise et de l’assurance de la qualité (REAQ) de la Direction générale des programmes d’observation (DGPO) dans la région du Pacifique. Elle stocke les renseignements dans un lecteur partagé à accès limité, lequel est autorisé selon le principe du besoin de savoir.
La Division des REAQ se sert des renseignements afin d’élaborer la charge de travail pour les vérifications futures de l’impôt sur le revenu et de la taxe sur les produits et services pour la Direction des petites et moyennes entreprises de la DGPO.
Portée de la vérification
L'objectif de la vérification consistait à fournir une assurance raisonnable que les renseignements reçus par l'ARC de Finances C.-B. sont :
- utilisés, divulgués, conservés et détruits conformément aux modalités établies dans le PE ainsi qu’aux lois fédérales et provinciales régissant leur utilisation, communication, conservation et disposition;
- protégés conformément aux conditions et procédures de sécurité indiquées à l’article 5.1 du PE.
La vérification a été menée de mai à octobre 2014 au Bureau régional du Pacifique et à la Division des REAQ de la DGPO dans la région du Pacifique.
La vérification a été menée selon les Normes internationales pour la pratique professionnelle de l’audit interne.
Constatations, recommandations et plans d’action
1.0 Observation des politiques, des procédures, des lois et des règlements
Le PE précise que les renseignements reçus de Finances C.-B. doivent être utilisés uniquement aux fins de l’application et de l’exécution de la Loi de l’impôt sur le revenu (Canada), de la Loi de l’impôt sur le revenu (Colombie-Britannique) et de diverses autres lois fiscales, ainsi qu’aux fins énoncées dans le PE.
Les indications montrent que les renseignements reçus de Finances C.-B. ont été utilisés uniquement aux fins énoncées dans le PE. Les renseignements ont été gérés par l’entremise d’un agent de liaison central. L’accès à ces renseignements a été restreint selon le principe du besoin de savoir et ceux-ci ont été utilisés à la Division des REAQ par des analystes aux fins de l’élaboration de la charge de travail. L’accès des utilisateurs a été géré et tenu à jour. La vérification interne n’a révélé aucun cas de divulgation ou d’utilisation non autorisée des renseignements de Finances C.-B.
Le PE ne comprend aucune exigence selon laquelle il faut assurer le suivi de façon centrale de tous les renseignements reçus de Finances C.-B. Aux fins de cette vérification, une liste des renseignements reçus a été compilée par l’agent de liaison central à partir d’un lecteur partagé à accès limité. L’agent de liaison central avait également une liste des renseignements demandés. Toutefois, ces documents n’étaient pas toujours complets. Étant donné que la conduite de vérifications internes est une exigence prévue dans le PE, la tenue d’une liste complète et centralisée des renseignements reçus, y compris leur utilisation et distribution, fournirait une piste de vérification et serait considérée comme une pratique exemplaire. Une liste centralisée permettrait également d’assurer la continuité des suivis en cas de roulement du personnel.
Recommandation :
Bien qu’il ne soit pas expressément exigé dans le PE de tenir une liste centralisée des renseignements reçus de Finances C.-B., à titre de pratique exemplaire et afin de faciliter le suivi, la section des Relations avec les clients de la DGSI dans la région du Pacifique devrait tenir une liste des renseignements que l’ARC a demandés et qu’elle a reçus de Finances C.-B.
Plan d’action :
La DGSI, Relations avec les clients, région du Pacifique, a mis en place un processus de suivi des renseignements à l’aide de fichiers distincts dans un lecteur partagé. Récemment, la section des Relations avec les clients de la région du Pacifique a élaboré un processus visant à compiler une liste des renseignements demandés et reçus. (La DGSI a indiqué que ce plan d’action a été terminé.)
2.0 Protection des renseignements
Les renseignements ont été reçus, gérés, protégés et stockés conformément aux procédures et aux exigences de l’ARC en matière de sécurité. Il y avait certaines incohérences entre les procédures d’effacement indiquées dans le PE et les procédures et exigences en matière de sécurité du gouvernement du Canada.
Les renseignements ont été transmis par courriel chiffré ou au moyen d’un CD protégé par un mot de passe. Les employés connaissent les exigences relatives à la façon de gérer les renseignements confidentiels et disposent de la cote de sécurité requise. Les renseignements ont été conservés dans des lecteurs partagés et l’accès a été limité aux analystes qui ont participé aux projets d’élaboration de la charge de travail.
Le PE précise que les renseignements qui ne sont plus nécessaires doivent être retournés ou détruits de façon sécurisée, et l’ARC dispose de politiques et de procédures de gestion de l’information en place afin de respecter cette exigence. La Division de la vérification interne n’a constaté aucune occasion où les renseignements reçus ont été maltraités ou sauvegardés au-delà du délai d’élimination. Dans certains cas, on a observé que certains utilisateurs des renseignements reçus de Finances C.-B. n’étaient pas sensibilisés aux délais de conservation et d’élimination des renseignements stockés dans les lecteurs partagés et dans Outlook.
Les responsabilités relatives à l’entretien des bandes de sauvegarde ont été transférées à Services partagés Canada (SPC) en août 2011. Le PE stipule que les supports d’information portatifs (tels que les bandes de sauvegarde) doivent être effacés à l’aide d’une triple réécriture (soit une méthode utilisée pour réduire le risque que les données écrasées soient récupérées en écrasant les supports à trois reprises). Selon les renseignements fournis par la DGI de l’ARC, SPC efface les bandes de sauvegarde des données à l’aide d’une méthode de superposition d’une seule écriture, soit une pratique acceptée conformément aux normes du gouvernement du Canada.
Recommandation :
La DGSI devrait communiquer les politiques et les procédures aux utilisateurs des renseignements reçus de Finances C.-B. en ce qui a trait aux exigences relatives à la rétention des données et à la destruction de ces renseignements.
La DGSI devrait consulter la DGFA afin de s’assurer que les méthodes énoncées dans le PE pour effacer les renseignements stockés électroniquement tiennent compte des pratiques et des politiques actuelles, et elle devrait modifier le PE, s’il y a lieu.
Plan d’action :
La DGSI donnera des conseils et une orientation quant à la conservation et à l’élimination des renseignements reçus de Finances C.-B., d’après les autorisations de disposition de documents. (À terminer d’ici le 31 mars 2016.)
La DGSI travaillera de concert avec Finances C.-B. pour veiller à ce que le PE tienne compte des normes actuelles du gouvernement du Canada en ce qui a trait à l’effacement des renseignements stockés sur les bandes de sauvegarde. (À terminer d’ici le 31 mars 2016.)
Conclusion
La vérification a permis de constater que les renseignements étaient utilisés conformément aux exigences établies dans le PE, ainsi qu’aux politiques et aux lignes directrices de l’ARC. L’ARC était conforme aux modalités énoncées dans le PE, à l’exception de la deuxième constatation. Il existe des possibilités d’amélioration en effectuant un meilleur suivi des renseignements demandés et reçus, en fournissant des lignes directrices sur les délais de conservation et d’élimination des renseignements, de même qu’en mettant à jour les exigences établies dans le PE afin de tenir compte des normes actuelles du gouvernement du Canada en matière d’effacement des données.
Reconnaissance
En conclusion, nous souhaitons exprimer notre reconnaissance à la DGSI et à la Division des REAQ de la DGPO et les remercier pour le temps qu’elles ont consacré et les renseignements qu’elles ont fournis dans le cadre de cette mission.
Détails de la page
- Date de modification :