Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Se connecter

Se connecter

Vérification interne – Protocole d’entente concernant l’échange de renseignements entre l’ARC et Saskatchewan Government Insurance

Rapport final

Direction générale de la vérification‚ de l’évaluation et des risques

Février 2022

Résumé exécutif

Le protocole d’entente (PE) entre l’Agence du revenu du Canada (ARC) et Saskatchewan Government Insurance (SGI) énonce les modalités selon lesquelles SGI donne au personnel autorisé de l’ARC l’accès électronique aux renseignements concernant les résidents de la Saskatchewan qui ont immatriculé un véhicule ou obtenu un permis de conduire. Le PE comprend une clause qui exige que l’ARC mène des vérifications internes périodiques de la protection des renseignements de SGI qu’elle a extraits.

La présente mission est la deuxième vérification interne dans le cadre de ce PE, répondant ainsi à l’exigence selon laquelle la vérification doit être effectuée tous les cinq ans. La Direction générale de la vérification, de l’évaluation et des risques a publié le rapport de la première vérification interne menée dans le cadre de ce PE en mai 2017.

La Direction générale du service, de l’innovation et de l’intégration est responsable de l’administration générale du PE, tandis que le Bureau des services fiscaux de la Saskatchewan est chargé des aspects opérationnels du PE.

L’objectif de la vérification consistait à fournir au commissaire, à la direction de l’ARC et au Conseil de direction l’assurance que l’ARC se conforme aux modalités du PE en ce qui concerne la collecte, l’utilisation, la divulgation, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ces derniers, et qu’elle applique les normes de sécurité générales.

Dans l’ensemble, l’ARC se conforme aux modalités du PE en ce qui concerne la collecte, l’utilisation, la divulgation, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ces derniers, et elle applique les normes de sécurité générales.

Résumé des recommandations

La Direction générale du service, de l’innovation et de l’intégration devrait s’assurer que :

Réponse de la direction

La Direction générale du service, de l’innovation et de l’intégration et la direction du Bureau des services fiscaux de la Saskatchewan sont d’accord avec les recommandations de ce rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que ces plans d’action semblent raisonnables pour donner suite aux recommandations.

1. Introduction

L’Agence du revenu du Canada (ARC) conclut des protocoles d’entente (PE) et d’autres accords avec des ministères et organismes fédéraux, provinciaux et territoriaux en vue d’améliorer l’efficience et l’efficacité de l’exécution des programmes.

En 1944, le gouvernement de la Saskatchewan a édicté la Saskatchewan Government Insurance Act, créant la société d’État provinciale connue aujourd’hui sous le nom de Saskatchewan Government Insurance (SGI). Le Saskatchewan Auto Fund, soit l’entité administrée par SGI en vertu de l’Automobile Accident Insurance Act, est le programme d’assurance-automobile obligatoire qui gère le système d’octroi des permis de conduire et d’immatriculation des véhicules.

Le PE entre l’ARC et SGI est un cadre administratif qui énonce les modalités selon lesquelles SGI donne au personnel autorisé de l’ARC l’accès électronique aux renseignements concernant les résidents de la Saskatchewan qui ont immatriculé un véhicule ou obtenu un permis de conduire. Il est entré en vigueur le 24 juin 2014.

Le PE comprend une clause de vérification interne qui exige que l’ARC mène des vérifications internes périodiques de la collecte, de l’utilisation, de la divulgation, de la conservation et de la disposition des renseignements de SGI, et de l’accès à ces derniers, et qu’elle applique les normes de sécurité précisées dans le PE. En plus de l’exigence concernant la vérification interne, SGI a demandé à ce que l’ARC examine périodiquement un échantillon sélectionné d’accès.

La présente mission est la deuxième vérification interne dans le cadre de ce PE, répondant ainsi à l’exigence selon laquelle la vérification doit être effectuée tous les cinq ans. La Direction générale de la vérification, de l’évaluation et des risques a publié le rapport de la première vérification interne menée dans le cadre de ce PE en mai 2017.

La Direction générale du service, de l’innovation et de l’intégration est responsable de l’administration générale du PE, tandis que le Bureau des services fiscaux de la Saskatchewan est chargé des aspects opérationnels du PE.

La Direction générale des recouvrements et de la vérification et la Direction générale des programmes d’observation utilisent les renseignements de SGI à des fins de vérifications et de recouvrement. La Division des renseignements d’entreprise et des données à la Direction générale des programmes d’observation utilise aussi les renseignements pour améliorer sa capacité de sélectionner les dossiers qui présentent les risques les plus élevés, principalement dans la région de l’Ouest.

2. Portée de la vérification

La présente vérification interne est incluse dans le Plan d’assurance et de consultation axé sur les risques de 2020 à 2021 approuvé par le Conseil de direction (Conseil). Le 30 mars 2021, le Comité de la vérification du Conseil a recommandé que le cahier de planification soit approuvé par le commissaire.

2.1. Importance

Cette vérification est importante parce que l’ARC doit se conformer à l’exigence concernant la vérification interne du PE afin de continuer à recevoir les renseignements de SGI qui appuient l’atteinte plus efficiente et efficace des objectifs de l’ARC. SGI a indiqué qu’elle ne peut pas garantir que son PE avec l’ARC restera en vigueur si de telles vérifications internes ne sont pas effectuées.

2.2. Objectif

L’objectif de la vérification consistait à fournir au commissaire, à la direction de l’ARC, au Conseil et à SGI l’assurance que l’ARC se conforme aux modalités du PE en ce qui concerne la collecte, l’utilisation, la divulgation, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ces derniers, et qu’elle applique les normes de sécurité générales.

2.3. Portée

La vérification portait sur les processus et les procédures de l’ARC qui comportent des demandes de renseignements de SGI, leur stockage et le traitement de ces renseignements avant qu’ils n’entrent dans les principaux systèmes d’information de l’ARC, ainsi que sur des caractéristiques supplémentaires de la gestion des renseignements, telles que la surveillance de l’accès au système de renseignements de SGI, et la conservation et la disposition des renseignements.

La période examinée dans le cadre de cette vérification était l’exercice de 2019 à 2020.

Les travaux d’examen ont été effectués avec la participation de la Direction générale du service, de l’innovation et de l’intégration, du Bureau des services fiscaux de la Saskatchewan et des utilisateurs des renseignements de SGI, qui relèvent principalement de la région de l’Ouest.

2.4. Critères et méthodologie de la vérification

Les critères et la méthodologie de la vérification se trouvent dans l’annexe.

La phase d’examen de la vérification s’est déroulée de mars 2021 à mai 2021.

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, tel qu’il est soutenu par les résultats du programme d’assurance et d’amélioration de la qualité.

3. Constatations, recommandations et plans d’action

Les recommandations présentées dans ce rapport traitent des questions de grande importance ou des exigences obligatoires.

La Direction générale du service, de l’innovation et de l’intégration et la direction du Bureau des services fiscaux de la Saskatchewan sont d’accord avec les recommandations de ce rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que ces plans d’action semblent raisonnables pour donner suite aux recommandations.

3.1. Collecte, accès et utilisation des renseignements

3.1.1 Les agents de divers programmes de l’ARC ont de manière générale extrait les renseignements de SGI dans le but d’administrer et faire respecter les lois fiscales, comme il est indiqué dans le PE. Toutefois, les procédures révisées établies en janvier 2021 ont éliminé l’obligation pour certains demandeurs d’obtenir l’approbation d’un superviseur pour chaque demande.

L’examen visait à obtenir des éléments de preuve que des procédures étaient en place pour appuyer ce qui suit :

La clause 9 du PE stipule que l’« ARC s’assurera que seules les personnes autorisées accéderont aux renseignements de SGI qui seront divulgués de SGI en vertu du présent PE et en feront usage au besoin, en vue de l’exécution de leurs fonctions ».

Les entrevues ont révélé que les employés sont au courant de leurs rôles et de leurs responsabilités en ce qui a trait aux renseignements sur les recherches de SGI. En général, les employés de l’ARC sont au courant du principe du « besoin de savoir » qui exige qu’ils n’extraient que les renseignements requis pour s’acquitter de leurs responsabilités. En ce qui concerne la façon dont cela s’applique aux demandes d’accès, les employés doivent extraire les renseignements seulement des contribuables ou des bénéficiaires de prestations qui sont les sujets des tâches que ces employés doivent effectuer, et ils doivent extraire uniquement les renseignements requis pour effectuer ces tâches.

Au cours de la période faisant l’objet de la vérification, soit l’exercice de 2019 à 2020, les lignes directrices documentées pour demander des renseignements de SGI comprenaient une exigence selon laquelle un superviseur approuve toutes ces demandes avant que celles-ci ne soient traitées. Les commis administratifs, qui sont les seuls employés de l’ARC ayant accès au système de SGI, étaient au courant de cette exigence et devaient confirmer qu’un superviseur autorisé avait approuvé chaque demande avant d’extraire les renseignements.

L’équipe de vérification a déterminé que les procédures étaient généralement suivies. Cela a été confirmé au moyen d’entrevues et de comparaison des registres des accès des utilisateurs générés par le système de SGI avec le registre manuel de ces accès tenu à jour par les commis administratifs et avec la piste de vérification des demandes et les documents connexes.

Toutefois, le document sur les procédures et les politiques du Bureau des services fiscaux de la Saskatchewan concernant l’accès aux données de SGI a été mis à jour en janvier 2021 afin de permettre le traitement des demandes de recherche dans certains cas sans l’approbation du superviseur, ce qui élimine le niveau d’assurance que les renseignements extraits sont utilisés seulement dans le but d’administer les lois visant les programmes de l’ARC.

Les procédures mises à jour indiquent que « les employés (SP-05) peuvent immédiatement soumettre la recherche par voie électronique à l’équipe administrative pour qu’elle soit effectuée. Les employés du niveau de classification SP-04 doivent acheminer la demande au chef d’équipe ou à la personne désignée (niveau de classification SP-05 ou supérieur) aux fins d’approbation ».

La vérification n’a pas permis de cerner les accès inappropriés aux renseignements de SGI en ce qui a trait à cette procédure modifiée, car le changement est survenu après la période visée par les dossiers d’échantillonnage examinés.

Ce changement à la procédure entraîne, dans certains cas, la suppression d’une mesure préventive qui permettrait de s’assurer que les renseignements extraits sont utilisés dans le seul but d’administrer et de faire respecter les lois visant les programmes de l’ARC.

Recommandation no 1

La Direction générale du service, de l’innovation et de l’intégration devrait s’assurer que la direction du Bureau des services fiscaux de la Saskatchewan révise le document sur les procédures et les politiques de 2021 du Bureau des services fiscaux de la Saskatchewan concernant l’accès aux données de SGI pour s’assurer que toutes les demandes de recherche sont traitées avec l’approbation du superviseur du demandeur et communique cette révision à tout le personnel concerné.

Plan d’action no 1

La Direction générale du service, de l’innovation et de l’intégration révisera le document sur les procédures et les politiques de 2021 du Bureau des services fiscaux de la Saskatchewan concernant l’accès aux données de SGI pour indiquer que toutes les demandes de recherche sont approuvées par le superviseur du demandeur avant d’être envoyées aux commis pour qu’ils les traitent, et communiquera le document mis à jour à tout le personnel concerné.

La date d’achèvement prévue pour ce plan d’action est février 2022.

3.1.2 Contrôle efficace de l’accès au système d’information de SGI

L’examen visait à obtenir des éléments de preuve que des procédures étaient en place pour appuyer ce qui suit :

Au moyen d’entrevues et d’un examen de la documentation, l’équipe de vérification a déterminé que l’accès au système d’information de SGI de l’ARC est obtenu par l’intermédiaire du portail Web utilisé par le personnel de SGI. L’accès à ce portail, par les employés de l’ARC, est contrôlé à l’aide d’identifiants de compte et de mots de passe uniques. Les commis administratifs du Bureau des services fiscaux de la Saskatchewan désignés par leur chef d’équipe sont les seuls employés à recevoir des comptes d’utilisateurs de SGI.

L’accès à la base de données de SGI pour chaque commis administratif de l’ARC est autorisé et cette autorisation est consignée. Le processus d’approbation de cette autorisation est en place et est suivi. De plus, un dossier à jour de tous les privilèges d’accès à la base de données de SGI est conservé par le Bureau des services fiscaux de la Saskatchewan et la Direction générale du service, de l’innovation et de l’intégration.

Les entrevues et les examens de la documentation ont révélé que la liste des membres du personnel de l’ARC ayant des comptes d’utilisateurs de SGI est activement tenue à jour par l’agent de la Direction générale du service, de l’innovation et de l’intégration désigné comme agent de liaison avec SGI. Cela comprend l’examen des registres d’accès produits par le système d’information de SGI afin de repérer les comptes inactifs qui pourraient devoir être désactivés. Chaque trimestre, la Direction générale du service, de l’innovation et de l’intégration vérifie auprès du Bureau des services fiscaux de la Saskatchewan si les privilèges d’accès de chaque commis administratif de l’ARC doivent être maintenus.

3.1.3 Un processus de surveillance est en place pour vérifier que les demandes de recherche auprès de SGI sont valides et liées à un but opérationnel. Dans certains cas, les dossiers qui ont été conservés pour permettre la vérification de chaque accès n’ont pas été conservés d’une manière qui permettrait l’achèvement efficace de ce processus de vérification. De plus, certains documents requis pour la vérification n’ont pas pu être consultés malgré les tentatives de la Direction générale de l’informatique d’utiliser des outils logiciels restreints pour déchiffrer les documents.

L’examen visait à obtenir des éléments de preuve que :

Au moyen d’entrevues et d’un examen du PE, l’équipe de vérification a constaté que celui-ci exige que l’ARC surveille jusqu’à 5 % des accès. L’agent de la Direction générale du service, de l’innovation et de l’intégration, avec la collaboration du Bureau des services fiscaux de la Saskatchewan, vérifie généralement environ 3 à 4 % de tous les accès à SGI, comme il est consigné dans les rapports de surveillance trimestriels de cette dernière. Tous les accès qui ont pu être vérifiés ont été jugés valides.

La mise à l’essai du processus de surveillance pour la période du 1er avril 2019 au 31 décembre 2019 a révélé que 5 299 accès ont été effectués sous forme de recherches par nom. L’équipe de vérification a tenté, à l’aide de comparaisons automatisées, de faire correspondre tous ces accès à ceux des registres conservés au Bureau des services fiscaux de la Saskatchewan.

À l’aide de feuilles de calcul électroniques pour automatiser les comparaisons et des efforts manuels supplémentaires pour faire correspondre les registres manuels au rapport de SGI, l’équipe de vérification n’a pas pu faire correspondre 86 (1,6 %) de ces accès aux entrées du registre de recherche. L’équipe de vérification a ensuite tenté de faire correspondre ces 86 entrées figurant dans le rapport du système de SGI aux demandes de recherche et aux documents connexes tenus à jour par les commis administratifs. Le résultat a été que les documents de recherche pour 27 de ces demandes d’accès n’ont pas pu être examinés parce qu’ils ne pouvaient pas être déchiffrés par la Direction générale de l’informatique à l’aide d’outils logiciels de déchiffrement restreint.

Recommandation no 2

La Direction générale du service, de l’innovation et de l’intégration devrait s’assurer que les procédures sont mises à jour et mises en œuvre afin de renforcer l’exigence selon laquelle les registres manuels des accès au système de SGI, les demandes de recherche et les documents connexes sont tous accessibles pour appuyer la vérification dans le cadre du processus de surveillance.

Plan d’action no 2

La Division des affaires provinciales et territoriales de la Direction générale du service, de l’innovation et de l’intégration mettra à jour et harmonisera ses procédures de surveillance trimestrielles avec celles du Bureau des services fiscaux de la Saskatchewan afin de refléter les processus actuels et les changements apportés aux processus visés à la suite des constatations de la vérification. Par la suite, la Direction générale du service, de l’innovation et de l’intégration et le Bureau des services fiscaux de la Saskatchewan assureront la communication de ces procédures à tous les employés concernés.

De plus, dans le cadre des examens de surveillance trimestriels, la Division des affaires provinciales et territoriales demandera, conformément au modèle fonctionnel, que la région de l’Ouest confirme par écrit que les registres manuels de tous les accès au système et de toutes les demandes de recherche ainsi que les documents connexes pour chaque trimestre sont disponibles pour appuyer la vérification ou les examens ponctuels à tout moment au cours de leur période de conservation de deux ans.

La date d’achèvement ciblée pour ce plan d’action est septembre 2022.

La direction du Bureau des services fiscaux de la Saskatchewan révisera les procédures écrites et le matériel de formation à l’intention du commis administratif afin d’expliquer l’importance du processus de consignation et de la sauvegarde des courriels de recherche déchiffrés. La direction du Bureau des services fiscaux de la Saskatchewan mettra à jour également les procédures écrites du chef d’équipe des services administratifs afin de s’assurer que les procédures appropriées sont suivies à l’avenir.

De plus, le chef d’équipe des services administratifs examinera verbalement les procédures mises à jour avec les commis et un courriel de suivi sera communiqué tous les trimestres aux commis et à la Division des affaires provinciales et territoriales.

La date d’achèvement ciblée pour ce plan d’action est avril 2022.

3.1.4 L’ARC a en place des procédures et des lignes directrices à jour pour la collecte et l’utilisation des renseignements de SGI qui sont communiqués et accessibles aux employés.

L’examen visait à obtenir des éléments de preuve que des directives pour appuyer l’extrait approprié des renseignements à partir du système de SGI et la protection adéquate des renseignements extraits ont été élaborées, documentées, communiquées aux employés concernés afin de promouvoir la sensibilisation et l’apprentissage, et sont demeurées accessibles aux employés à titre de référence sur une base continue.

Le document sur les procédures et les politiques de 2017 du Bureau des services fiscaux de la Saskatchewan concernant l’accès aux données de SGI s’appliquait à l’exercice de 2019 à 2020, soit la période examinée par l’équipe de vérification interne. Les procédures comprenaient ce qui suit :

Dans le cadre d’une réorganisation effectuée en décembre 2020, les commis administratifs des programmes de recouvrement des recettes et de vérification sont devenus une seule équipe, relevant d’un seul chef d’équipe dans le secteur des services de programme du Bureau des services fiscaux de la Saskatchewan.

Le document sur les procédures et les politiques du Bureau des services fiscaux de la Saskatchewan concernant l’accès aux données de SGI a été mis à jour en janvier 2021. Le chef d’équipe du Bureau des services fiscaux de la Saskatchewan a communiqué les procédures mises à jour aux commis administratifs en janvier 2021.

Les procédures relatives aux programmes de recouvrement des recettes et de vérification sont à jour, communiquées et accessibles. Elles guident les employés de ces programmes quant au moment où ils devraient demander une recherche de renseignements à partir d’une source externe à l’ARC, comme SGI.

3.2. Sécurité des renseignements

3.2.1 Des procédures sont en place pour protéger les demandes de recherche et les renseignements extraits, mais des améliorations pourraient être apportées en ce qui concerne la sauvegarde des renseignements aux fins de la piste de vérification et au marquage des renseignements de recherche achevés avec la classification appropriée.

L’examen visait à obtenir des éléments de preuve que :

Les procédures et les politiques du Bureau des services fiscaux de la Saskatchewan concernant l’accès aux données de SGI sont en place et fournissent une orientation écrite pour le traitement des renseignements de SGI. Les personnes interrogées ont indiqué qu’elles avaient suivi une formation sur la sécurité, y compris celle liée à la protection des renseignements liés aux contribuables et aux bénéficiaires de prestations. Le chef d’équipe du Bureau des services fiscaux de la Saskatchewan a confirmé que tous les employés ayant accès au système de SGI ont rempli la déclaration d’affirmation annuelle et ont des cotes de sécurité valides et appropriées. La surveillance organisationnelle de l’ARC pour vérifier que la formation obligatoire sur la sécurité a été suivie permet de s’assurer que tous les employés sont à jour.

Les entrevues avec les commis administratifs ont indiqué que les demandes de recherche de SGI sont sauvegardées dans un lecteur partagé de l’ARC. Toutefois, certains commis administratifs ont sauvegardé ces documents sur un lecteur personnel, non accessible à un superviseur, avant de les envoyer au demandeur.

Les entrevues avec les commis administratifs et le chef d’équipe ont révélé que les résultats de recherche sont envoyés aux demandeurs par courriels chiffrés, et que ces courriels sont sauvegardés sous forme déchiffrée sur un lecteur partagé à accès restreint.

Le document sur les normes de l’ARC intitulé Procédures sur l’identification et le marquage des renseignements et des biens protégés et classifiés indique à la section 5 que « chaque courriel et document créé par l’Agence doit contenir un niveau de catégorisation avant d’être envoyé, enregistré ou imprimé ».

L’équipe de vérification a examiné 30 recherches terminées choisies au hasard à partir du rapport de surveillance généré par le système de SGI. L’examen a révélé que 100 % des documents de recherche achevés n’étaient pas marqués d’une classification de sécurité, et que 13 % des courriels ne comprenaient pas d’énoncé dans la ligne d’objet indiquant que le courriel contenait des renseignements Protégé B sur les contribuables, comme l’exigent les normes de sécurité de l’ARC.

Recommandation no 3

La Direction générale du service, de l’innovation et de l’intégration doit s’assurer que les exigences relatives à la sauvegarde et à la transmission des documents liés à la recherche de SGI sont communiquées périodiquement, par exemple tous les trimestres, au personnel impliqué dans ces tâches et qu’une surveillance périodique de ces tâches soit appliquée de façon continue.

Plan d’action no 3

Le chef d’équipe des services administratifs du Bureau des services fiscaux de la Saskatchewan tiendra des réunions de mise à jour trimestrielles avec l’équipe des services administratifs responsable du traitement des recherches de la SGI, qui coïncideront avec les examens trimestriels de la SGI. Au cours de ces réunions de mise à jour, les connaissances des commis à l’égard des procédures seront actualisées afin de s’assurer que les courriels sont sauvegardés correctement et que le marquage de sécurité approprié, tel qu’il est indiqué dans les instruments de formations de l’ARC, est inclus dans les courriels sortant concernant les recherches de SGI. Les procédures écrites à l’intention du chef d’équipe des services administratifs seront également mises à jour par le Bureau des services fiscaux de la Saskatchewan afin de refléter cette nouvelle pratique.

De plus, le chef d’équipe des services administratifs examinera verbalement les procédures avec les commis et un courriel de suivi sera communiqué tous les trimestres aux commis et à la Division des affaires provinciales et territoriales.

La date d’achèvement ciblée pour ce plan d’action est avril 2022.

3.2.2 Les employés sont conscients de la nécessité de traiter adéquatement les incidents de sécurité et de leur rôle dans le signalement de tels incidents. Ils savent où trouver des directives détaillées à cet égard. Aucun incident de sécurité n’est survenu au cours de la période visée par la vérification.

L’examen visait à obtenir des éléments de preuve que des directives sur le traitement des incidents de sécurité sont disponibles et que les employés sont conscients de leurs obligations en matière d’incidents de sécurité.

Les personnes interrogées connaissaient leurs responsabilités par rapport au signalement des incidents de sécurité et savaient que des directives à cet égard sont disponibles sur l’intranet de l’ARC (InfoZone).

Aucun incident de sécurité n’a été déterminé au cours de la période visée par la vérification.

3.2.3 Les exigences du PE concernant la divulgation uniquement autorisée des renseignements liés à la recherche de SGI sont traitées dans d’autres sections de ce rapport. Le calendrier de conservation utilisé pour les renseignements liés à la recherche de SGI et les pratiques de disposition des renseignements de SGI sont conformes aux exigences pour ce type de renseignements, comme il est indiqué dans les conseils de l’autorité fonctionnelle de l’ARC, soit la Division de la gestion de l’information.

Les constatations et les recommandations liées à la divulgation des renseignements de SGI sont fournies dans d’autres sections de ce rapport :

L’examen visait à obtenir des éléments de preuve que les pratiques de conservation et de disposition des renseignements liés à la recherche de SGI sont conformes à l’autorisation de disposer des documents prescrite, de sorte que :

Au moyen d’entrevues et d’un examen des documents conservés dans les dossiers des commis administratifs, l’équipe de vérification a déterminé que les documents sont conservés pendant deux ans, ce qui est conforme à la période de conservation prescrite pour les documents transitoires.

Aucun registre de disposition n’est requis pour disposer des documents transitoires.

4. Conclusion

Dans l’ensemble, l’ARC se conforme aux dispositions du PE en ce qui concerne la collecte, l’utilisation, la divulgation, la conservation et la disposition des renseignements reçus, ainsi que l’accès à ces derniers, et elle applique les normes de sécurité générales. Des possibilités d’amélioration ont été cernées dans les domaines suivants :

5. Remerciements

En conclusion, nous tenons à remercier la Direction générale du service, de l’innovation et de l’intégration, le Bureau des services fiscaux de la Saskatchewan et les utilisateurs des renseignements de SGI dans la région de l’Ouest pour le temps consacré et les renseignements fournis au cours de cette mission.

Annexe

Critères et méthodologie de la vérification

Critères et méthodologie de la vérification
Secteurs d’intérêt Critères
Collecte, consultation et utilisation des renseignements Les renseignements recueillis dans le cadre du PE sont utilisés aux seules fins d’administrer et d’appliquer les lois visant les programmes de l’ARC.
L’accès est contrôlé conformément aux politiques de l’ARC et aux dispositions du PE.
Des procédures et des lignes directrices sont en place pour la collecte et l’utilisation des renseignements de SGI.
Sécurité des renseignements Les renseignements sont traités et protégés conformément aux modalités énoncées dans le PE et aux exigences de sécurité de l’ARC.
Les incidents d’atteinte à la sécurité sont correctement consignés, examinés, administrés et ils sont signalés conformément aux modalités énoncées dans le PE et aux exigences de sécurité de l’ARC.
Les renseignements sont divulgués, conservés et disposés conformément aux modalités énoncées dans le PE et aux exigences de sécurité de l’ARC.

Méthodologie

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne.

La méthodologie d’examen comprenait ce qui suit :

En raison des restrictions liées à la COVID-19 visant à maintenir la sécurité de tous les participants, la vérification a été effectuée à distance, sans visite sur place de l’équipe de vérification interne. L’équipe de la Direction générale de la vérification, de l’évaluation et des risques n’a pas été en mesure d’observer les processus de travail ni de passer en revue ces processus en raison de préoccupations liées à la sécurité quant aux déplacements et à la proximité avec d’autres employés. L’équipe s’est appuyée sur les renseignements fournis par les employés désignés. Certains de ces renseignements ont été fournis sous la forme d’une image de renseignements tels qu’ils étaient présentés sur un écran d’ordinateur et de texte copié à partir d’autres documents.

Détails de la page

Date de modification :