Vérification interne – Horizontale – Protection et utilisation de l’information provenant des protocoles d’entente relatifs aux renseignements sur les permis de conduire et l’immatriculation des véhicules fournis par les provinces

Rapport final

Direction générale de la vérification, de l’évaluation et des risques

Mars 2018

Résumé exécutif

L’Agence du revenu du Canada (ARC) conclut des protocoles d’entente et d’autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité de l’exécution des programmes.

Au Canada, l’octroi des permis de conduire et l’immatriculation des véhicules sont des responsabilités provinciales et territoriales. Les organismes provinciaux qui fournissent des renseignements sur les permis de conduire et l’immatriculation des véhicules à l’ARC au moyen des protocoles d’entente sont les suivants :

• la Insurance Corporation of British Columbia
• le Ministry of Service Alberta
• le ministère des Transports de l’Ontario
• Service Nouvelle-Écosse
• Saskatchewan Government Insurance

L’ARC utilise les renseignements sur les permis de conduire et l’immatriculation des véhicules fournis par les provinces pour administrer la Loi de l’impôt sur le revenu, la Loi sur la taxe d’accise, le Régime de pensions du Canada et la Loi sur l’assurance-emploi. Les programmes régionaux de la Direction générale des recouvrements et de la vérification, de la Direction générale des programmes d’observation nationaux, de la Direction générale du secteur international, des grandes entreprises et des enquêtes, et de la Direction générale des appels utilisent les renseignements provenant des registres provinciaux aux fins de vérification, d’enquêtes et de recouvrement. La Division des renseignements d’entreprise et de l’assurance de la qualité, de la Direction générale des programmes d’observation nationaux, utilise également ces renseignements afin d’améliorer sa capacité à sélectionner des dossiers à risque élevé. La Direction générale de la stratégie et de l’intégration est responsable de l’administration générale des protocoles d’entente.

La présente vérification traite des renseignements sur les permis de conduire et l’immatriculation des véhicules obtenus auprès de la Colombie-Britannique, de l’Alberta, de l’Ontario et de la Nouvelle-Écosse. À l’exception de la Saskatchewan, qui a récemment fait l’objet d’une vérification^{Note de bas de page 1}, ce sont les seules provinces avec lesquelles l’ARC a conclu un protocole d’entente concernant l’échange de renseignements sur les permis de conduire et l’immatriculation des véhicules.

L’objectif de cette vérification consistait à fournir une assurance raisonnable que l’ARC est conforme aux dispositions des protocoles d’entente en ce qui concerne la collecte, l’utilisation, le stockage, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ceux-ci, y compris l’application des normes de sécurité de l’ARC.

Sommaire des recommandations

Dans l’ensemble, l’ARC respecte les modalités des protocoles d’entente et les normes de sécurité de l’ARC en ce qui a trait à la protection et à la sécurité des renseignements demandés sur les permis de conduire et l’immatriculation des véhicules. Le présent rapport, toutefois, présente également des possibilités d’amélioration en ce qui concerne la sensibilisation du personnel administratif à l’importance de respecter les périodes de conservation et de marquer les renseignements protégés.

Réponse de la direction

La Direction générale de la stratégie et de l’intégration et l’équipe de direction régionale responsable des bureaux des services fiscaux qui accèdent aux renseignements sur les permis de conduire et l’immatriculation des véhicules acceptent les recommandations et ont élaboré des plans d’action connexes.

Conservation des documents

Dans certains bureaux des services fiscaux dans la région du Pacifique, des Prairies et de l’Ontario qui ont été examinés, où des documents transitoires ont été trouvés, la confirmation des autorisations de disposition de documents applicables a été entreprise pour chaque protocole d’entente et une mesure a été prise en vue de supprimer les documents ayant été détenus jusque-là. Les exigences en matière de conservation et de disposition font l’objet d’un examen par le personnel et les gestionnaires désignés qui ont accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules, et un courriel de rappel leur sera envoyé chaque année pour qu’ils examinent la description de leurs renseignements en ce qui a trait à la disposition. Cette activité sera mise en œuvre d’ici décembre 2018.

Marquage des documents

Des mesures ont déjà été prises pour que les documents soient marqués de façon adéquate dans chaque bureau des services fiscaux où des méthodes inappropriées de marquage de sécurité des documents ont été observées. Ces mesures ont été prises dans la région du Pacifique le 31 octobre 2017, dans la région des Prairies le 25 octobre 2017, et dans la région de l’Atlantique le 4 décembre 2017.

La Direction générale de la vérification, de l’évaluation et des risques a déterminé que les plans d’action sont adéquats pour donner suite aux recommandations.

Introduction

L’Agence du revenu du Canada (ARC) conclut des protocoles d’entente et d’autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité de l’exécution des programmes. Les renseignements sur les permis de conduire et l’immatriculation des véhicules fournis par les provinces sont utilisés par l’ARC pour administrer la Loi de l’impôt sur le revenu, la Loi sur la taxe d’accise, le Régime de pensions du Canada et la Loi sur l’assurance-emploi.

Les organismes provinciaux qui fournissent des renseignements sur les permis de conduire et l’immatriculation des véhicules au moyen des protocoles d’entente sont les suivants :

• la Insurance Corporation of British Columbia
• le Ministry of Service Alberta
• le ministère des Transports de l’Ontario
• Service Nouvelle-Écosse
• Saskatchewan Government Insurance

La présente vérification traite des renseignements sur les permis de conduire et l’immatriculation des véhicules obtenus auprès de la Colombie-Britannique, de l’Alberta, de l’Ontario et de la Nouvelle-Écosse. À l’exception de la Saskatchewan, qui a récemment fait l’objet d’une vérification^{Note de bas de page 2}, ce sont les seules provinces avec lesquelles l’ARC a conclu un protocole d’entente concernant l’échange de renseignements sur les permis de conduire et l’immatriculation des véhicules.

À l’ARC, les programmes régionaux de la Direction générale des recouvrements et de la vérification, de la Direction générale des programmes d’observation nationaux, de la Direction générale du secteur international, des grandes entreprises et des enquêtes, et de la Direction générale des appels utilisent les renseignements provenant des registres provinciaux aux fins de vérification, d’enquêtes et de recouvrement. La Division des renseignements d’entreprise et de l’assurance de la qualité, de la Direction générale des programmes d’observation nationaux, utilise également ces renseignements afin d’améliorer sa capacité à sélectionner des dossiers à risque élevé. Ces programmes de l’ARC sont responsables de mettre en œuvre les composantes opérationnelles des protocoles d’entente et de respecter les diverses exigences qu’ils contiennent.

La Direction générale de la stratégie et de l’intégration est responsable de l’administration générale des protocoles d’entente.

Point de mire de la vérification

La présente vérification interne fait partie du Plan approuvé de vérification et d’évaluation axé sur les risques de 2016 à 2019. Le cahier de planification a été approuvé par le Comité de gestion de la vérification et de l’évaluation le 24 avril 2017.

1. Objectif

L’objectif de cette vérification consistait à fournir une assurance raisonnable que l’ARC est conforme aux dispositions des quatre protocoles d’entente en ce qui concerne la collecte, l’utilisation, le stockage, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ceux-ci, y compris l’application des normes de sécurité de l’ARC.

2. Portée

La vérification a porté sur les procédures et les processus utilisés par l’ARC pour obtenir et protéger les renseignements avant qu’ils soient saisis dans les systèmes d’information de base, et pour assurer le respect des exigences énoncées dans les protocoles d’entente. Les documents relatifs aux procédures et aux processus actuels ont été examinés en même temps que les données tirées de l’exercice le plus récent, c’est-à-dire l’année 2016-2017. La vérification était axée sur les renseignements sur les permis de conduire et l’immatriculation des véhicules qui ont été obtenus auprès de la région du Pacifique, des Prairies, de l’Ontario et de l’Atlantique.

La phase d’examen de la vérification s’est déroulée entre avril et août 2017.

3. Critères et méthodologie de la vérification

Vous trouverez les critères et la méthodologie à l’annexe A.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Constatations, recommandations et plans d’action

Les recommandations formulées dans le présent rapport couvrent les exigences obligatoires énoncées dans les protocoles d’entente et les normes de l’ARC.

Les gestionnaires régionaux des bureaux des services fiscaux qui ont accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules acceptent les recommandations formulées dans le présent rapport et ont mis en place des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que les plans d’action sont adéquats pour donner suite aux recommandations.

1. Collecte, consultation et utilisation des renseignements

1.1 Les renseignements obtenus en vertu des protocoles d’entente ont été recueillis conformément aux procédures et aux processus établis.

L’équipe de la vérification a examiné le processus de collecte de renseignements sur les permis de conduire et l’immatriculation des véhicules, y compris les procédures liées à l’extraction, au stockage et au transfert des données aux agents, afin de déterminer si, au sein de l’ARC :

• les gestionnaires et les membres du personnel connaissaient leurs rôles et leurs responsabilités;
• les contrôles liés aux processus et la supervision connexe étaient en vigueur;
• le personnel était bien informé et avait reçu une formation;
• les guides d’utilisateur, les documents de formation et les procédures étaient en place.

L’accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules était fondé sur le principe du « besoin de savoir » et chaque demande de renseignements devait être approuvée par un superviseur avant d’être transmise. Les gestionnaires et les employés étaient au courant des rôles et des responsabilités qui leur incombent en ce qui a trait à la collecte, à la consultation et à l’utilisation des renseignements.

Les procédures générales de sécurité liées aux renseignements « Protégé B » de l’ARC ont été utilisées et complétées par des instructions locales et une formation en milieu de travail. Tous les employés ont reçu une formation sur la sécurité conforme aux exigences établies dans les protocoles d’entente et les exigences de l’ARC.

La direction et les employés ont été bien formés dans le cadre de la formation obligatoire initiale et de la formation en milieu de travail. L’ARC identifie les renseignements sur les véhicules motorisés en fonction de leur « valeur opérationnelle ». Le personnel administratif accède aux renseignements sur les véhicules et les transmet à un agent qui agit à titre d’utilisateur final. Les responsabilités précises relatives à l’accès, à l’utilisation, à la disposition et à la conservation des renseignements sur les véhicules motorisés pour les utilisateurs finaux peuvent différer en fonction des exigences du programme applicable.

1.2 L’accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules a été accordé après l’obtention des approbations nécessaires et conformément aux dispositions des protocoles d’entente et aux exigences de l’ARC.

L’équipe de la vérification a conclu que le personnel a accédé aux renseignements sur les permis de conduire et l’immatriculation des véhicules après avoir obtenu les approbations nécessaires ainsi que conformément aux dispositions des protocoles d’entente et aux exigences de l’ARC.

L’équipe a étudié l’accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules pour s’assurer que les renseignements demandés ont été fournis à des personnes qui les ont utilisés dans le cadre d’activités approuvées en vertu de la loi désignée, et que seul le personnel autorisé a traité ces demandes.

Dans toutes les provinces, l’accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules a été accordé par les gestionnaires des bureaux des services fiscaux et les chefs d’équipe des agents de liaison, en fonction des responsabilités du poste concerné, et a été retiré lorsque les employés quittaient leur poste. Dans toutes les provinces, les chefs d’équipe des agents de liaison ont examiné les demandes individuelles de renseignements afin de s’assurer qu’elles répondaient à la définition d’utilisation autorisée. Les renseignements demandés étaient conformes aux exigences établies dans les protocoles d’entente.

L’accès en ligne aux renseignements sur les permis de conduire et l’immatriculation des véhicules a été contrôlé grâce à l’utilisation de noms d’utilisateur et de mots de passe individuels. Les ordinateurs indépendants qui ont été utilisés pour accéder aux registres en ligne étaient situés dans des zones sécurisées.

2. Sécurité des renseignements

2.1 Aucune divulgation inappropriée de renseignements provinciaux n’a été signalée en Alberta, en Colombie-Britannique et en Nouvelle-Écosse. Deux incidents de sécurité de ce genre ont été signalés en Ontario et ont tous deux été traités de façon appropriée.

L’équipe de la vérification a examiné la divulgation des renseignements sur les permis de conduire et l’immatriculation des véhicules afin de déterminer si les incidents de sécurité ont été enregistrés et signalés de façon adéquate, et s’ils ont fait l’objet d’enquêtes appropriées. Dans trois provinces (Alberta, Colombie-Britannique et Nouvelle-Écosse), aucun incident de sécurité relatif aux renseignements sur les permis de conduire et l’immatriculation des véhicules n’a été signalé. Dans une province (Ontario), deux cas d’accès non autorisé aux renseignements sur les permis de conduire et l’immatriculation des véhicules ont été signalés. À la suite de ces incidents, les gestionnaires des bureaux des services fiscaux et la Direction générale de la stratégie et de l’intégration ont adopté certaines mesures, y compris un rapport écrit au ministre des Transports de l’Ontario et aux responsables locaux de la sécurité. L’accès d’un employé à la base de données du ministère des Transports de l’Ontario a été révoqué.

2.2 Les renseignements sur les permis de conduire et l’immatriculation des véhicules ont été détruits conformément aux protocoles d’entente, mais les exigences de l’ARC en la matière n’étaient pas connues.

L’équipe de la vérification a examiné les procédures de conservation et de disposition des renseignements sur les permis de conduire et l’immatriculation des véhicules afin de s’assurer que les renseignements étaient conservés pendant la période requise et que le processus de disposition des renseignements respectait les exigences en matière de services de l’ARC, ainsi que celles qui sont décrites dans les protocoles d’entente.

Dans certains cas, l’équipe a constaté que les exigences relatives à la conservation et à la disposition des renseignements n’avaient pas été établies officiellement et qu’il existait un risque que le personnel ne se soit pas correctement acquitté de ses responsabilités.

Le personnel administratif des bureaux de services fiscaux touchés dans la région du Pacifique, des Prairies et de l’Ontario, ne connaissait pas les exigences des autorisations de disposition de documents devant être appliquées aux renseignements sur les permis de conduire et l’immatriculation des véhicules. Puisque les exigences des autorisations de disposition de documents n’étaient pas connues, il n’est pas clair si les pratiques de conservation et de disposition prévues par les provinces s’harmonisaient aux autorisations de disposition de documents applicables.

Dans certains programmes, les résultats de recherche n’ont pas été supprimés et pourraient avoir été stockés indéfiniment sur un lecteur réseau à accès sécurisé. Étant donné que les exigences des autorisations de disposition de documents applicables n’étaient pas connues, au moins une partie de ces résultats de recherche pourraient avoir été conservés plus longtemps que permis.

La conservation de renseignements pendant une durée excessive augmente le risque d’accès non autorisé et de gestion inefficace des renseignements. Le fait de supprimer des renseignements avant la période de temps prescrite pourrait faire en sorte que l’ARC ne soit pas en mesure de respecter ses obligations lors de sa réponse à une demande d’accès à l’information ou de renseignements personnels.

Recommandation 1

La Direction générale de la stratégie et de l’intégration, en consultation avec les gestionnaires des bureaux de services fiscaux touchés dans la région du Pacifique, des Prairies et de l’Ontario, doit s’assurer que les employés désignés qui accèdent aux charges de travail relatives aux renseignements sur les permis de conduire et l’immatriculation des véhicules connaissent les exigences en matière de conservation et de disposition relatives aux autorisations de disposition de documents et que ces exigences sont respectées.

Plan d’action 1

La Direction générale de la stratégie et de l’intégration et les gestionnaires régionaux des bureaux des services fiscaux qui supervisent l’accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules acceptent les recommandations formulées dans le présent rapport et ont mis en place des plans d’action connexes.

Colombie-Britannique

Une fois que les renseignements sont fournis à l’ARC par la Insurance Corporation of British Columbia et qu’ils sont envoyés par courrier interne à l’agent ayant présenté la demande, l’équipe administrative n’est pas tenue de conserver et de stocker les résultats localement. En date du 1er décembre 2017, le bureau de services fiscaux de Vancouver a abandonné la numérisation et la sauvegarde des résultats de recherche classés « Protégé B » sur le lecteur partagé local et tous les renseignements qui s’y trouvaient ont été supprimés de façon permanente. Les procédures locales ont été mises à jour pour indiquer qu’aucune copie des résultats de recherche ne doit être conservée par l’équipe administrative afin d’assurer une conformité continue.

Les gestionnaires régionaux du bureau des services fiscaux de Vancouver enverront également chaque année un courriel aux membres du personnel administratif pour leur rappeler qu’ils ont la responsabilité de respecter les procédures locales mises à jour en ce qui concerne la conservation et la disposition des résultats de recherche. Cette activité sera achevée d’ici décembre 2018.

La Direction de la gestion de l’information et des relations, en consultation avec la direction des bureaux des services fiscaux de la région du Pacifique, confirmera les autorisations de disposition de documents applicables ainsi que les exigences correspondantes en matière de conservation et de disposition. Ces exigences seront communiquées par la direction des bureaux des services fiscaux de la région du Pacifique aux membres du personnel et aux gestionnaires. Des rappels seront également envoyés par courriel chaque année aux membres du personnel afin qu’ils examinent l’état de leurs renseignements en ce qui a trait à la disposition. Cette activité sera achevée d’ici septembre 2018.

Alberta

En date du 27 octobre 2017, les membres de l’équipe administrative du Recouvrement des recettes ont examiné leurs dossiers de courriels « envoyés » afin de supprimer les documents relatifs aux demandes de recherche applicables. Un processus visant l’examen quotidien des dossiers de courriels envoyés a également été mis en œuvre le 27 octobre 2017 pour que soient supprimés les renseignements sur les véhicules motorisés, et le chef d’équipe a présenté une séance de rappel aux membres du personnel afin d’aborder la question du traitement des renseignements protégés. De plus, en date du 23 novembre 2017, tous les membres du personnel administratif du recouvrement ont passé en revue le cours « Sensibilisation à la sécurité » (A230).

La Direction de la gestion de l’information et des relations, en consultation avec la direction des bureaux des services fiscaux de la région des Prairies, confirmera les autorisations de disposition de documents applicables ainsi que les exigences correspondantes en matière de conservation et de disposition. Ces exigences seront communiquées par la direction des bureaux des services fiscaux de la région des Prairies aux membres du personnel et aux gestionnaires qui ont accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules. Des rappels seront également envoyés par courriel chaque année aux membres du personnel afin qu’ils examinent l’état de leurs renseignements en ce qui a trait à la disposition. Cette activité sera achevée d’ici septembre 2018.

Ontario

L’ARC est en train de conclure une nouvelle entente avec le ministère des Transports de l’Ontario concernant la réalisation de recherches liées aux permis de conduire et à l’immatriculation des véhicules. Dans le cadre de ce processus, les bureaux des services fiscaux de la région de l’Ontario et la Direction de la gestion de l’information et des relations discutent de la conservation des renseignements avec leurs homologues du ministère des Transports de l’Ontario afin de veiller à ce que les deux parties comprennent non seulement la façon dont les renseignements sont utilisés, conservés et éliminés, mais aussi les autorités responsables.

Un communiqué destiné aux employés sera préparé par les bureaux des services fiscaux de la région de l’Ontario lorsque l’entente sera conclue et comprendra un rappel concernant l’élimination des renseignements sur les permis de conduire et l’immatriculation des véhicules conformément aux autorisations de disposition de documents de l’ARC et au protocole d’entente conclu avec le ministère des Transports de l’Ontario. L’entente et la communication correspondante devraient être conclues d’ici décembre 2018.

Ces exigences en matière de conservation et d’élimination seront communiquées par la direction des bureaux des services fiscaux de la région de l’Ontario aux membres du personnel et aux gestionnaires. Des rappels seront également envoyés par courriel chaque année aux membres du personnel qui ont accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules afin qu’ils examinent l’état de leurs renseignements en ce qui a trait à la disposition. Cette activité sera achevée d’ici septembre 2018.

2.3 Les renseignements ont été protégés conformément aux procédures de sécurité et aux exigences établies dans les protocoles d’entente, y compris aux normes de sécurité de l’ARC, sauf pour certains documents protégés qui ont été marqués de façon inadéquate.

L’équipe de la vérification a examiné la façon dont les renseignements sur les permis de conduire et l’immatriculation des véhicules sont protégés en ce qui a trait à :

• la transmission des renseignements à l’ARC et au sein de celle-ci;
• la protection des renseignements stockés contre les pertes et les accès non autorisés;
• le marquage des renseignements protégés relatif aux permis de conduire et à l’immatriculation des véhicules.

L’équipe de la vérification a observé que les agents de vérification et de recouvrement qui reçoivent les renseignements sur les permis de conduire et l’immatriculation des véhicules ont suivi les procédures relatives au stockage des renseignements dans les deux principaux systèmes d’information désignés à cet effet, c’est-à-dire le système Integras (utilisé pour les vérifications) et le Système automatisé pour les recouvrements et les retenues à la source (utilisé pour les recouvrements).

Les renseignements, dont la compromission risquerait vraisemblablement de porter préjudice à des intérêts privés, commerciaux ou sans intérêt national, doivent être marqués conformément à la Directive sur l’identification et le marquage des renseignements et des biens protégés et classifiés.^{Note de bas de page 3} Les renseignements sur les permis de conduire et l’immatriculation des véhicules sont considérés comme des renseignements « Protégé B » et doivent être marqués comme tels. Des examens de documents menés en Colombie-Britannique, en Alberta et en Nouvelle-Écosse ont indiqué que les renseignements sur les permis de conduire et l’immatriculation des véhicules reçus en format papier de la part des provinces et des autres bureaux n’étaient pas toujours marqués de façon appropriée. Le marquage inapproprié d’un document peut éventuellement entraîner une divulgation ou un accès non autorisé.

Recommandation 2

Les gestionnaires responsables des bureaux des services fiscaux touchés dans la région du Pacifique, des Prairies et de l’Atlantique doivent s’assurer que le personnel administratif marque correctement les documents imprimés dans lesquels figurent des renseignements sur les permis de conduire et l’immatriculation des véhicules en y indiquant le niveau de protection nécessaire, conformément aux normes de sécurité de l’ARC.

Plan d’action 2

Les gestionnaires régionaux désignés des bureaux des services fiscaux qui supervisent l’accès aux renseignements sur les permis de conduire et l’immatriculation des véhicules acceptent les recommandations formulées dans le présent rapport et ont mis en place des plans d’action connexes.

Colombie-Britannique

Le formulaire interne de demande de renseignements de l’ARC qui est envoyé à la Insurance Corporation of British Columbia a été mis à jour le 31 octobre 2017 pour que la mention « Protégé B » figure en caractères gras dans le coin supérieur droit du formulaire.

Les renseignements renvoyés par la Insurance Corporation of British Columbia sont acheminés par Postes Canada, en copie papier, à l’équipe administrative du bureau des services fiscaux de Vancouver. À la suite de cette recommandation, un nouveau processus a été mis sur pied le 31 octobre 2017 et comprenait une formation destinée aux membres de l’équipe administrative afin de veiller à ce que toutes les pages de renseignements reçues de la part de la Insurance Corporation of British Columbia soient estampillées manuellement avec la mention « Protégé B » avant d’être envoyées par courrier interne à l’agent de l’ARC ayant présenté la demande.

Alberta

Les gestionnaires locaux du Recouvrement des recettes ont examiné et confirmé ce à quoi correspond le niveau « Protégé » pour les renseignements contenus dans la correspondance de l’ARC qui est reçue et envoyée à l’interne. Le personnel administratif du Recouvrement des recettes a mis en œuvre un processus d’estampillage pour veiller à ce que toute la correspondance porte la mention « Protégé B » à partir du 25 octobre 2017.

L’équipe administrative de la Division de la vérification a commencé à imprimer toutes les recherches relatives aux véhicules motorisés lorsqu’elle a eu accès au nouveau système en septembre 2017. Ces documents sont estampillés « Protégé B » par la personne qui effectue la recherche avant d’être acheminés au demandeur. Le processus d’estampillage est officiellement entré en vigueur le 23 octobre 2017.

Nouvelle-Écosse

Le 4 décembre 2017, l’équipe administrative a mis en œuvre un processus d’estampillage pour veiller à ce que toute la correspondance porte la mention « Protégé B ». Quant aux enquêtes criminelles, depuis le 3 novembre 2017, l’équipe administrative imprime les documents, sur demande de l’enquêteur, et y appose la mention « Protégé B ». Aucune version papier ou électronique des documents n’est conservée. Les dossiers des enquêteurs ne peuvent pas quitter la division, qui est une zone sécurisée. De plus, tous les documents sont conservés de façon sécuritaire dans un classeur verrouillé. Depuis le 4 décembre 2017, les documents de la Division de la vérification sont estampillés « Protégé B » par la personne qui effectue la recherche avant d’être acheminés au demandeur. Lorsque les documents sont envoyés à l’équipe du Renseignement d’entreprise et de l’assurance de la qualité du Bureau régional de l’Atlantique, ils sont chiffrés et la mention « Protégé B » est inscrite dans la ligne d’objet.

Conclusion

Sauf pour ce qui est des enjeux notés précédemment, l’ARC respecte les modalités des protocoles d’entente et les normes de sécurité de l’ARC en ce qui a trait à la protection et à la sécurité de l’accès aux renseignements demandés en lien avec les permis de conduire et l’immatriculation des véhicules. Le présent rapport a également présenté des possibilités d’amélioration afin d’assurer :

• le respect des exigences de conservation et de disposition relatives aux renseignements sur les permis de conduire et l’immatriculation des véhicules;
• le marquage de sécurité approprié pour tous les renseignements sur les permis de conduire et l’immatriculation des véhicules présentés sous forme de documents imprimés.

Remerciements

Pour conclure, l’équipe de la vérification souhaite reconnaître et remercier la Direction générale de la stratégie et de l’intégration, ainsi que les gestionnaires et le personnel situés dans les régions qui utilisent les renseignements sur les permis de conduire et l’immatriculation des véhicules, du temps et des renseignements fournis dans le cadre de cette mission.

Annexes

Annexe A : Critères et méthodologie de la vérification

Selon l’évaluation des risques, les secteurs d’intérêt suivants ont été cernés :

Collecte, consultation et utilisation des renseignements

Critères

1. Les renseignements recueillis en vertu des protocoles d’entente sont utilisés aux seules fins d’administration et d’application des lois relatives aux programmes de l’ARC.
2. L’accès est contrôlé conformément aux politiques de l’ARC et aux dispositions des protocoles d’entente.
3. Des procédures et des lignes directrices ont été mises en place pour la collecte de renseignements provinciaux (externes).

Sécurité des renseignements

Critères

1. Les renseignements provenant des registres provinciaux sont protégés contre tout accès externe non autorisé.
2. Les renseignements sont traités et protégés de façon appropriée.
3. Les incidents de sécurité sont enregistrés, administrés et signalés de façon adéquate et font l’objet d’enquêtes appropriées.
4. Les renseignements sont divulgués, conservés et éliminés conformément aux modalités établies dans les protocoles d’entente.

Méthodologie

La méthodologie de l’examen a compris une consultation auprès des gestionnaires sélectionnés (neuf gestionnaires et chef de projet) et du personnel (49 agents, vérificateurs et commis administratifs). On a également testé certaines mesures de contrôle au moyen d’examens des documents et des données, ainsi que des observations, des revues générales des processus et procédures, et des visites sur place au sein de cinq bureaux des services fiscaux dans les régions du Pacifique, des Prairies, de l’Ontario et de l’Atlantique.