Vérification interne – Protocole d’entente relatif à l’application et à l’exécution de la Loi sur le commerce des spiritueux
Rapport final
Direction générale de la vérification, de l’évaluation et des risques
Novembre 2015
Table des matières
Résumé exécutif
Contexte : La Loi sur le commerce des spiritueux (LCS) décrit les engagements internationaux du Canada liés à l’utilisation des noms de certains spiritueux provenant de pays étrangers. La LCS relève du ministre de l’Agriculture et de l’Agroalimentaire.
Le protocole d’entente (PE) relatif à l’application et à l’exécution de la LCS établit les rôles respectifs de l’Agence du revenu du Canada (ARC), de l’Agence des services frontaliers du Canada (ASFC) et d’Agriculture et Agroalimentaire Canada (AAC).
Le ministre de l’Agriculture et de l’Agroalimentaire désigne les agents de l’accise de l’ARC à titre d’inspecteurs aux fins de la tenue des activités de vérification en vertu de la LCS. Ces travaux sont effectués en même temps que les vérifications et les examens planifiés des droits d’accise en vertu de la Loi de 2001 sur l’accise, ce qui permet d’offrir un service économique pour AAC.
Le PE est en vigueur depuis le 15 juillet 2008. C’est la première fois que l’ARC effectue une vérification interne de ce PE.
Objectif : L’objectif de cette vérification consistait à donner une assurance que l’utilisation, la divulgation, la conservation, l’élimination et la sécurité des renseignements protégés obtenus, créés ou divulgués par l’ARC en raison de l’application et de l’exécution de la LCS respectent les conditions et les modalités prévues au PE. Cette assurance est présentée aux cadres supérieurs de l’ARC, au Conseil de direction de l’ARC et aux fonctionnaires d’AAC responsables de la LCS et de ce PE.
Conclusion : Pour la plupart, l’ARC respecte les conditions et les modalités du PE qui portent sur la protection et la sécurité des renseignements recueillis relativement à la LCS. Cependant, la vérification a permis de noter des possibilités d’amélioration dans les domaines suivants :
- La restriction de l’accès aux renseignements de validation liés à la LCS.
- Le marquage des documents contenant des renseignements protégés liés à la LCS.
Plans d’action : Les plans d’action de la Direction générale de la politique législative et des affaires réglementaires comprennent ce qui suit :
- Stocker les documents de validation de la LCS sur support électronique et faire appel au Programme national de surveillance des pistes de vérification pour surveiller les accès aux renseignements sur les détenteurs de licence.
- Sensibiliser davantage le personnel de l’accise aux politiques et aux procédures de l’ARC pour la détermination et le marquage des renseignements protégés, s’assurer que les documents de travail de la vérification et les documents justificatifs sont marqués en conséquence par l’intermédiaire d’un nouveau Programme national d’assurance de la qualité, et améliorer la liste de contrôle de l’examen de dossiers à l’intention des gestionnaires et des chefs d’équipe.
Ces plans d’action sont en cours et devraient être achevés d’ici juillet 2016.
Introduction
La Loi sur le commerce des spiritueux (LCS) décrit les engagements internationaux du Canada liés à l’utilisation des noms de certains spiritueux provenant de pays étrangers. La LCS relève du ministre de l’Agriculture et de l’Agroalimentaire.
Le protocole d’entente (PE) relatif à l’application et à l’exécution de la LCS établit l’entente entre l’Agence du revenu du Canada (ARC), l’Agence des services frontaliers du Canada (ASFC) et Agriculture et Agroalimentaire Canada (AAC) concernant les rôles respectifs des parties à cet égard.
Le PE est en vigueur depuis le 15 juillet 2008. C’est la première fois que l’ARC effectue une vérification interne de ce PE.
AAC est responsable de l’application et de l’exécution de la LCS, et il peut conclure des ententes administratives concernant la désignation d’inspecteurs et d’analystes conformément aux articles 5 et 11 de la LCS à cette fin.
La Direction générale de la stratégie et de l’intégration (DGSI) veille à ce que l’ARC respecte ses obligations en vertu du PE. L’Unité des opérations des droits d’accise - Alcool de la Division des droits et des taxes d’accise à la Direction de l’accise et des décisions de la TPS/TVH de la Direction générale de la politique législative et des affaires réglementaires (DGPLAR) est chargée d’administrer les activités de validation en vertu de la LCS, et elle applique et interprète certaines dispositions du PE.
Le ministre de l’Agriculture et de l’Agroalimentaire désigne les agents de l’accise de l’ARC à titre d’inspecteurs aux fins de l’application et de l’exécution de la LCS. Ces derniers mènent des activités de validation en vertu de la LCS par l’intermédiaire de cinq bureaux régionaux. Ces travaux sont effectués en même temps que les vérifications et les examens planifiés des droits d’accise en vertu de la Loi de 2001 sur l’accise, ce qui permet d’offrir un service économique pour AAC en incluant certaines étapes de validation avec les travaux de vérification de l’accise et d’évaluation des risques.
Voici les étapes associées à la validation en vertu de la LCS :
- Effectuer des recherches afin d’identifier les produits offerts par le détenteur d’une licence de l’accise qui sont réglementés en vertu de la LCS.
- Si de tels produits sont offerts, l’agent de l’accise détermine si le détenteur de licence a importé l’alcool en question de la source géographique énoncée dans la LCS.
Les renseignements enregistrés comprennent les documents obtenus ou les documents de travail créés dans le cadre de ces activités en plus du statut de conformité de la LCS découlant de la validation.
Portée de la vérification
L’objectif de cette vérification consistait à donner une assurance que l’utilisation, la divulgation, la conservation, l’élimination et la sécurité des renseignements protégés obtenus, créés ou divulgués par l’ARC en raison de l’application et de l’exécution de la LCS en vertu du PE respectent la législation fédérale ainsi que les conditions et les modalités prévues au PE. Cette assurance est présentée aux cadres supérieurs de l’ARC, au Conseil de direction de l’ARC et aux fonctionnaires d’AAC responsables de la LCS et de ce PE.
La vérification a permis d’évaluer les processus et les procédures actuels de l’ARC et s’est penchée sur la documentation du plus récent exercice achevé (2014-2015). L’examen a inclus des visites aux bureaux des droits d’accise à Vancouver et à Hamilton en juin et en juillet 2015 ainsi que des entrevues à l’Administration centrale.
La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.
Constatations, recommandations et plans d’action
L’ARC a signalé à AAC que 48 validations en vertu de la LCS ont été effectuées en 2014-2015 dans l’ensemble du Canada, dont 14 en Ontario et 9 en Colombie-Britannique, les régions visées par l’examen. Ces régions représentent donc 48 % des validations nationales déclarées en vertu de la LCS pour cet exercice.
1.0 Utilisation, divulgation, conservation et élimination des renseignements
Utilisation des renseignements recueillis et exigence du besoin de savoir
Le PE précise que les renseignements obtenus par l’ARC en raison de l’application et de l’exécution de la LCS seront utilisés strictement aux fins précises pour lesquelles ils ont été obtenus, et que des procédures sont établies afin de protéger les renseignements contre toute autre utilisation ou divulgation. De plus, les normes de l’ARC visant l’identification et l’authentification des utilisateurs indiquent que le principe du besoin de savoir doit être appliqué à tous les utilisateurs autorisés. En outre, le Code de déontologie et de conduite de l’ARC (article 3C) énonce que les employés ne doivent accéder qu’aux renseignements qui se rapportent directement à leur charge de travail attribuée.
Dans les bureaux de Vancouver et de Hamilton, lorsque la vérification ou l’examen d’un détenteur de licence de l’accise est terminé, les documents de travail de la vérification de l’accise et de la LCS sont stockés dans un fichier électronique du détenteur de licence ou dans des classeurs accessibles à d’autres agents de l’accise du même bureau.
Les agents de l’accise peuvent accéder à ces dossiers afin de s’informer sur l’industrie ou pour examiner les renseignements de vérification antérieure en vue d’une vérification ou d’un examen à venir du même détenteur de licence; ils peuvent aussi accéder aux dossiers pour se servir des lettres et des documents de travail comme modèles ou pour apprendre à remplir certains documents de travail.
De plus, tout agent de l’accise à l’ARC peut consulter les documents des détenteurs de licence dans le Système de suivi des décisions et de l’interprétation (SSDI) (un système interne pour la gestion de la charge de travail et l’établissement de rapports) qui contiennent les résultats des activités de validation en vertu de la LCS, le nombre d’heures consacrées et les lettres envoyées aux détenteurs de licence.
Il est possible que certains agents de l’accise qui consultent ces renseignements ne soient pas affectés à des activités de validation liées à la LCS.
Puisque ces agents de l’accise n’ont pas besoin d’accéder aux renseignements liés à la LCS dans l’exercice de leurs rôles et de leurs fonctions, l’accès par ces agents ne respecte pas les exigences du PE, les normes de l’ARC pour l’identification et l’authentification des utilisateurs et le Code de déontologie et d’éthique de l’ARC (article 3C). La limitation de l’accès aux renseignements sur la LCS réduirait la possibilité de mauvaise utilisation.
Divulgation des renseignements recueillis
Le PE interdit la divulgation des renseignements aux personnes qui n’ont pas un rôle autorisé dans les validations en vertu de la LCS. On s’attend à ce que le personnel de l’ARC concerné soit au courant de ses obligations et évite de divulguer des renseignements sauf au personnel autorisé.
On a constaté que la divulgation des renseignements était gérée conformément aux conditions et aux modalités du PE. Au cours des entrevues, l’équipe de la vérification a noté que les employés autorisés avaient été formés et qu’ils étaient conscients de leurs responsabilités relativement à l’utilisation et à la protection des renseignements. Les personnes interrogées ont indiqué qu’elles avaient divulgué des renseignements liés à la LCS qu’à des agents de l’accise, au personnel d’assurance de la qualité et aux chefs d’équipe affectés aux dossiers.
Conservation et élimination
Le PE exige que les renseignements de validation liés à la LCS soient conservés pour la période déterminée pour ce type de renseignements et qu’ils soient éliminés ponctuellement conformément aux procédures afin d’en assurer la sécurité continue.
La DGPLAR a collaboré avec la Division de la gestion de l’information à la DGSI pour établir les périodes et les conditions de conservation des dossiers régionaux, et pour s’assurer que ces dossiers sont couverts par une autorisation de disposition de documents (ADD). Bibliothèque et Archives Canada a été consulté au besoin. La DGPLAR a recommandé d’ajouter les dossiers liés à la LCS à une autorisation spécifique de disposer des documents dans le cas des dossiers régionaux du Programme des droits d’accise.
Au moment du présent examen, le changement n’avait pas encore été approuvé et l’ADD n’avait pas encore été mis à jour en conséquence. Cependant, peu après l’examen, on a entrepris d’élaborer des directives sur les procédures de conservation et de disposition des documents liés à la LCS.
De plus, les personnes interrogées ont indiqué qu’elles ne savaient pas si des dossiers liés à la LCS avaient été éliminés, à part les copies se trouvant sur des supports électroniques tels que des clés USB, des disques durs de serveurs et des bandes de sauvegarde. Des copies des renseignements se trouvant sur des supports éliminés ont été conservées.
Même si des périodes de conservation n’avaient pas été établies, puisqu’elle n’a pas éliminé de renseignements, la DGPLAR a fait en sorte que les renseignements soient conservés pendant au moins la période minimale requise.
Le 13 juillet 2015, une ADD a été approuvée, précisant que les dossiers régionaux doivent être conservés pendant 10 ans alors que les documents de l’AC doivent l’être pendant 20 ans. Puisque l’ARC ne collecte et ne crée de renseignements liés à la LCS que depuis moins de dix ans, il n’y a pas eu de conservation excessive des renseignements.
Recommandation
La DGPLAR devrait s’assurer que l’accès aux renseignements de validation liés à la LCS respecte les exigences du besoin de savoir ainsi que les politiques et les normes de l’ARC en matière de sécurité.
Plan d’action
La DGPLAR réduira le risque de mauvaise utilisation des renseignements obtenus au cours d’un examen en vertu de la LCS. Elle y parviendra en stockant tous les travaux de vérification sur un support électronique auquel l’accès sera limité et surveillé.
Voici les principales activités prévues dans le cadre de cette initiative :
- Apporter des changements au système pour le téléchargement de tous les documents de travail de la vérification au SSDI.
- Former tous les employés sur les procédures de téléchargement des documents de travail de la vérification au SSDI.
- Télécharger les documents de travail de la vérification au SSDI (numériser, télécharger et détruire les documents imprimés).
- Limiter l’accès aux données sur les droits d’accise du SSDI au personnel des droits d’accise.
- S’assurer que les accès des employés au SSDI sont consignés dans le programme de surveillance du Système national de piste de vérification (SNPV).
- Envoyer un avis au personnel régional indiquant que tous les accès au SSDI seront surveillés.
- Examiner les profils d’accès au SSDI dans le cadre du Système de révision d’accès des employés (SRAE).
- Sensibiliser davantage les employés à la conduite éthique et à leurs responsabilités à l’égard des renseignements exclusifs au moyen du cours de formation obligatoire sur les techniques de vérification et de toute autre formation.
Ce plan d’action est en cours d’exécution et devrait être achevé d’ici avril 2016.
2.0 Sécurité des renseignements
Le PE exige que l’ARC assure la protection des renseignements protégés qu’elle obtient ou qu’elle divulgue conformément aux processus et aux procédures de sécurité précisés dans le PE.
Autorisation du personnel
L’exigence du PE en matière de la sécurité suffisante des renseignements comprend le fait de s’assurer que l’accès aux renseignements se limite aux employés qui possèdent la cote de sécurité requise et qui sont autorisés à consulter ces renseignements.
Le personnel à qui l’on a accordé l’autorisation d’accéder aux renseignements liés à la LCS possède la cote de sécurité requise. La liste des utilisateurs ayant des privilèges d’accès est révisée et mise à jour par un superviseur au moins tous les semestres dans le cadre du SRAE, qui est surveillé dans toute l’Agence au niveau national.
Protection des renseignements
Correspondance
Conformément aux politiques sur la sécurité de l’ARC, les renseignements protégés et classifiés ne doivent pas être envoyés à un détenteur de licence par courriel, même si le détenteur le demande spécifiquement et l’autorise. Les exigences de l’ARC en matière de sécurité indiquent aussi que les renseignements liés à la LCS qui sont transférés dans la correspondance imprimée à l’intention d’un détenteur de licence soient contenus dans une seule enveloppe scellée portant le nom et l’adresse postale complète du destinataire concerné, ainsi que l’adresse complète de l’expéditeur.
Les renseignements liés à la LCS dans la correspondance sont protégés de façon appropriée. L’ARC ne transmet aucun renseignement aux détenteurs de licence par courriel. Les lettres imprimées envoyées par l’ARC pour informer le détenteur de licence des résultats de la validation sont mises dans les enveloppes prescrites par les salles de courrier locales.
Incidents de sécurité
Les lignes directrices de l’ARC concernant le signalement et la gestion des incidents de sécurité exigent le signalement officiel de tous les incidents où des renseignements sont compromis ou courent le risque de divulgation.
Les personnes interrogées et les agents de sécurité locaux de la DGPLAR ont indiqué qu’il n’y avait pas eu d’incident de sécurité relativement aux renseignements liés à la LCS. De plus, le personnel de l’accise et les agents de sécurité locaux dans les régions connaissent les procédures pour le traitement des incidents de sécurité.
Marquage de renseignements protégés
La directive et les procédures de l’ARC visant l’identification et le marquage de renseignements protégés exigent que les documents qui contiennent ces renseignements soient marqués clairement, en précisant la classification des renseignements protégés, p. ex. Protégé A ou Protégé B.
Un ensemble limité de documents électroniques contenant des renseignements sur les détenteurs de licence ont été examinés et certains des documents ne portaient pas le marquage de sécurité requis conformément aux exigences de sécurité du PE. Dans des entrevues subséquentes à Hamilton, les superviseurs ont reconnu que des améliorations s’imposaient dans ce domaine, surtout dans les en-têtes des documents de travail préformatés, et ils se sont immédiatement engagés à régler le problème.
Une plus grande uniformité du marquage de sécurité accroîtrait la sensibilisation des employés à l’égard du niveau de protection qu’il faut appliquer aux documents.
Recommandation
La DGPLAR devrait s’assurer que les documents électroniques sont marqués conformément aux procédures de la Direction générale des finances et de l’administration sur l’identification et le marquage des renseignements protégés et conformément aux exigences du PE en matière de sécurité.
Plan d’action
La DGPLAR réduira l’exposition au risque que les renseignements protégés obtenus durant un examen en vertu de la LCS ne soient pas marqués conformément aux politiques et aux procédures de l’ARC. Elle y parviendra en lançant deux initiatives. La première vise la sensibilisation accrue à l’égard des politiques et des procédures de l’ARC sur l’identification et le marquage des renseignements protégés. Voici les principales activités prévues dans le cadre de cette initiative :
- Envoyer une note à l’intention du personnel et des gestionnaires pour leur rappeler que les documents de travail de la vérification et la documentation justificative doivent être marqués conformément aux politiques et aux procédures de l’ARC.
- Sensibiliser davantage les employés à leurs responsabilités à l’égard des renseignements protégés au moyen du cours de formation obligatoire sur les techniques de vérification et de toute autre formation.
- Mettre à jour les programmes de vérification nationaux afin d’identifier chaque document achevé en tant que Protégé B.
Ce plan d’action est en cours d’exécution et devrait être achevé d’ici avril 2016.
La deuxième initiative portera sur la validation des documents de travail de la vérification et de la documentation justificative pour s’assurer qu’ils sont marqués conformément aux politiques de l’ARC. Voici les principales activités prévues dans le cadre de cette initiative :
- Réviser la liste de contrôle des examens de dossiers à l’intention des gestionnaires et des chefs d’équipe afin d’y inclure une mesure de suivi vérifiant que tous les documents sont marqués de façon appropriée.
- Inclure au nouveau Programme national d’assurance de la qualité une mesure de suivi afin de s’assurer que les documents de travail de la vérification et les documents justificatifs sont marqués de façon appropriée.
Ce plan d’action est en cours d’exécution et devrait être achevé d’ici juillet 2016.
Conclusion
Pour la plupart, l’ARC respecte les conditions et les modalités du PE qui portent sur la protection et la sécurité des renseignements recueillis relativement à la LCS. Cependant, la vérification a noté des possibilités d’amélioration dans les domaines suivants :
- La restriction de l’accès aux renseignements de validation liés à la LCS.
- Le marquage des documents contenant des renseignements protégés liés à la LCS.
Détails de la page
- Date de modification :