Vérification interne – Gestion des protocoles d’entente où l’Agence du revenu du Canada partage des renseignements avec les partenaires

Rapport final

Direction générale de la vérification, de l’évaluation et des risques

Juin 2023

Dans l’exécution de son mandat, l’Agence du revenu du Canada (ARC) travaille en collaboration avec ses partenaires, ce qui comprend la prestation de renseignements sur les contribuables, lorsque des dispositions législatives appropriées sont en vigueur. Dans la plupart des cas, l’ARC conclut des ententes de collaboration écrites avec divers partenaires à cet effet. Le type d’entente de collaboration écrite le plus courant est un protocole d’entente, soit une entente administrative entre l’ARC et ses partenaires qui n’est pas destinée à revêtir un caractère juridiquement contraignant ou exécutoire devant les tribunaux. Parmi les plus de 250 protocoles d’entente actifs d’échange de renseignements, plus de 230 fournissent des renseignements sur les contribuables à divers partenaires fédéraux, provinciaux et territoriaux.

L’objectif de cette vérification était de s’assurer qu’un cadre adéquat pour la gestion des protocoles d’entente existe à l’ARC et fonctionne comme prévu, plus précisément pour l’élaboration, la modification, l’examen obligatoire, et la surveillance des protocoles d’entente où l’ARC fournit des renseignements aux partenaires.

Dans l’ensemble, la vérification a révélé que le cadre de gestion des protocoles d’entente au sein de l’ARC doit être amélioré. Le fait de combler ces lacunes aidera l’ARC à atténuer les risques cernés au cours de cette vérification et à renforcer la position de l’ARC à l’égard de la protection des renseignements des contribuables et des échanges de renseignements avec les partenaires clés.

Plus précisément, l’équipe de vérification interne a constaté que les instruments de politique d’entreprise liés à la gestion des protocoles d’entente sont communiqués et compris. Toutefois, il y avait un manque de procédures et de processus détaillés et documentés au niveau opérationnel qui comprennent les rôles et les responsabilités des intervenants internes en ce qui a trait à l’élaboration, à la modification, à l’examen obligatoire et à la surveillance des protocoles d’entente, y compris quand et comment chaque intervenant interne devrait être impliqué dans ces processus.

L’équipe de vérification interne a également constaté que des améliorations sont nécessaires pour élaborer des processus et des procédures et pour peaufiner davantage les outils existants pour établir les priorités axées sur les risques de l’examen obligatoire et de la surveillance des protocoles d’entente.

• La Direction générale du service, de l’innovation et de l’intégration (DGSII), en consultation avec la Direction générale de la sécurité, la Direction générale des affaires publiques et d’autres intervenants internes, devrait élaborer, communiquer et mettre en œuvre des procédures et des processus documentés plus détaillés pour la gestion des protocoles d’entente.
• La DGSII devrait déterminer ses exigences en matière de données liées aux protocoles d’entente et améliorer ses systèmes de gestion des cas existants pour s’assurer qu’elle peut saisir les données relatives aux protocoles d’entente de manière appropriée pour générer des statistiques et des rapports pouvant être utilisés pour soutenir la gestion des protocoles d’entente.
• La DGSII devrait élaborer un cadre de surveillance exhaustif axé sur les risques pour l’établissement des priorités axées sur les risques de la surveillance et l’examen obligatoire des protocoles d’entente. 

La DGSII, la Direction générale de la sécurité et la Direction générale des affaires publiques acceptent les recommandations formulées dans ce rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que les plans d’action sont adéquats pour donner suite aux recommandations.

L’Agence du revenu du Canada (ARC) administre les programmes fiscaux, les programmes de prestations et les autres programmes, et assure l’observation fiscale au nom des gouvernements de l’ensemble du Canada, de façon à contribuer au bien-être économique et social des Canadiens et des Canadiennes. Pour respecter leurs obligations fiscales et recevoir des prestations, les contribuables fournissent à l’ARC leurs renseignements personnels. Cela fait de l’ARC l’un des plus importants détenteurs de renseignements personnels au sein du gouvernement du Canada. 

Dans l’exécution de son mandat, l’ARC travaille en collaboration avec ses partenaires^{Note de bas de page 1} , ce qui comprend l’obtention et la divulgation de renseignements sur les contribuables. Dans la plupart des cas, l’ARC conclut des ententes de collaboration écrites avec divers partenaires. Une entente de collaboration écrite est une entente administrative écrite entre l’ARC et un partenaire qui établit le cadre de responsabilisation et les modalités de l’entente. 

Le type d’entente de collaboration écrite le plus commun, un protocole d’entente, est une entente entre l’ARC et un ministère ou organisme fédéral ou une autre instance gouvernementale au Canada qui est principalement utilisée pour décrire les dispositions relatives à l’obtention de biens ou de services ou à l’échange de renseignements sur les contribuables ou d’autres renseignements semblables, tel qu’il a été autorisé par la loi. Les protocoles d’entente sont des ententes administratives entre l’ARC et des partenaires et ne sont pas destinés à revêtir un caractère juridiquement contraignant ou exécutoire devant les tribunaux. Toutefois, l’échange de renseignements est appuyé par diverses lois^{Note de bas de page 2} . 

À l’heure actuelle, l’ARC a plus de 250 protocoles d’entente actifs d’échange de renseignements avec divers partenaires fédéraux, provinciaux et territoriaux. Chaque protocole d’entente établit le cadre administratif qui facilitera la prestation ou l’échange de renseignements sur les contribuables par l’ARC, par le partenaire ou entre l’ARC et le partenaire.

Cette vérification interne fait partie du plus récent Plan d’assurance et de consultation axé sur les risques de 2022-2023 qui a été approuvé par le Conseil de direction. Le cahier de planification a été approuvé par le commissaire le 13 septembre 2022.

La présente vérification est importante parce que l’ARC a plus de 250 protocoles d’entente actifs d’échange de renseignements. On indique que 233^{Note de bas de page 3}  (plus de 90 %) d’entre eux permettent à l’ARC de fournir des renseignements sur les contribuables à divers partenaires gouvernementaux fédéraux, provinciaux et territoriaux. Par conséquent, il est essentiel que l’ARC gère ces protocoles d’entente avec ses partenaires afin de protéger la confidentialité des renseignements des contribuables et de surveiller leur utilisation et leur divulgation.

L’une des priorités de l’ARC vise à renforcer continuellement la sécurité, à gérer efficacement les renseignements du contribuable et à accroître la transparence^{Note de bas de page 4}  afin d’aider l’ARC à maintenir et à bâtir la confiance du public et à appuyer son engagement à protéger la vie privée des Canadiens et des Canadiennes. Cette vérification est aussi associée au risque lié à la protection de la vie privée et des renseignements, qui figure dans le Profil des risques de l’entreprise de 2022-2023.

Enfin, étant donné qu’aucune mission d’assurance n’a été menée sur la façon dont l’ARC gère les activités d’élaboration, de modification, d’examen obligatoire et de surveillance des protocoles d’entente d’échange de renseignements où l’ARC fournit des renseignements aux partenaires, une vérification interne dans ce domaine a été jugée comme étant pertinente et opportune.

L’objectif de cette vérification était de s’assurer qu’un cadre adéquat pour la gestion des protocoles d’entente existe à l’ARC et fonctionne comme prévu, plus précisément pour l’élaboration, la modification, l’examen obligatoire, et la surveillance des protocoles d’entente où l’ARC fournit des renseignements aux partenaires.

Cette vérification était axée sur les instruments de politique d’entreprise, les processus, les procédures et les outils en place à l’ARC pour élaborer, modifier, effectuer un examen obligatoire et surveiller les protocoles d’entente où l’ARC fournit des renseignements aux partenaires.

Les protocoles d’entente sur l’échange de renseignements dans le cadre desquels l’ARC fournit des renseignements à des partenaires qui étaient actifs jusqu’en décembre 2021 étaient visés par la présente vérification.

La portée de cette vérification a été appuyée par l’évaluation des risques de la Direction générale de la vérification, de l’évaluation et des risques, ainsi que par le besoin d’assurance dans ce domaine.

Cette vérification ne comprenait pas d’évaluation de l’infrastructure ou des systèmes de technologie de l’information qui interviennent dans l’échange de renseignements avec les partenaires. Elle ne prenait pas non plus en compte les processus et les procédures de recouvrement des coûts du protocole d’entente.

Vous trouverez les critères et la méthodologie de la vérification à l’annexe A.

La phase d’examen de la vérification s’est déroulée entre août 2022 et décembre 2022.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne, comme le démontrent les résultats du programme de l’assurance de la qualité et d’amélioration.

La Direction générale du service, de l’innovation et de l’intégration (DGSII), la Direction générale de la sécurité et la Direction générale des affaires publiques acceptent les recommandations formulées dans ce rapport et ont élaboré des plans d’action connexes. La Direction générale de la vérification, de l’évaluation et des risques a déterminé que les plans d’action sont adéquats pour donner suite aux recommandations.

L’équipe de la vérification interne a effectué des examens de la documentation et des entrevues afin de déterminer si :

• l’ARC a mis en place des procédures ainsi que des processus appropriés liés à l’élaboration, à la modification, à l’examen obligatoire et à la surveillance des protocoles d’entente; 
• les rôles et les responsabilités en ce qui a trait à la gestion des protocoles d’entente sont définis, et;
• des voies de communication existent entre les intervenants internes et avec les partenaires.

La DGSII, la Direction générale de la sécurité et la Direction générale des affaires publiques possèdent et utilisent des instruments de politique d’entreprise, y compris certains processus, procédures et outils liés aux protocoles d’entente qui sont compris et communiqués par les intervenants internes. L’équipe de la vérification interne a également constaté qu’il existe des voies de communication et de consultation liées à la gestion des protocoles d’entente entre les intervenants internes et entre l’ARC et les partenaires.

La Directive sur la rédaction d’ententes de collaboration écrites de l’ARC décrit les exigences générales, y compris les rôles et les responsabilités généraux de l’ARC pour élaborer des protocoles d’entente avec les partenaires. La Directive comprend une exigence d’examen obligatoire chaque 10 ans. De plus, les modèles de protocoles d’entente et les protocoles d’entente contiennent des rôles et des responsabilités de haut niveau pour les intervenants internes et les partenaires. La DGSII utilise ces modèles de protocoles d’entente génériques afin d’élaborer et de modifier les protocoles d’entente.

L’équipe de vérification a constaté que l’ARC n’a pas de procédures et de processus détaillés, normalisés et documentés liés à la modification, à l’examen et à la surveillance des protocoles d’entente. La vérification a également révélé que les processus actuels de gestion des protocoles d’entente dépendent fortement de l’expérience du personnel en place.

Bien que l’ARC ait des instruments de politique d’entreprise généraux liés aux protocoles d’entente, il y avait un manque de procédures et de processus documentés et détaillés au niveau opérationnel liés à l’élaboration, à la modification, à l’examen obligatoire et à la surveillance des protocoles d’entente, y compris le moment et la façon dont chaque intervenant interne devrait participer aux processus. Sans ces procédures et processus documentés et détaillés en place, il y a un risque que l’ARC ne soit pas en mesure d’assurer une gestion uniforme et efficace des protocoles d’entente, surtout en cas de départ d’employés clés.

La DGSII, en consultation avec la Direction générale de la sécurité, la Direction générale des affaires publiques et d’autres intervenants internes, devrait élaborer, communiquer et mettre en œuvre des procédures et des processus documentés plus détaillés pour la gestion des protocoles d’entente, y compris, sans toutefois s’y limiter, leur élaboration, leur modification, leur examen obligatoire, et leur surveillance.

Plan d’action 1

La DGSII a élaboré divers outils, y compris des listes de contrôle et des documents d’orientation internes, en ce qui a trait à la gestion des protocoles d’entente, qui seront améliorés et communiqués afin de tenir compte des procédures actuelles. La date d’achèvement cible pour cette facette du plan d’action est septembre 2023.

De plus, des discussions sont en cours avec la Direction générale de la sécurité et la Direction de l’accès à l’information et de la protection des renseignements personnels de la Direction générale des affaires publiques afin de confirmer les rôles et les responsabilités en ce qui a trait à la sécurité et à la protection des renseignements personnels des protocoles d’entente. Les procédures ou processus internes connexes seront mis à jour en conséquence. La date d’achèvement cible pour cette facette du plan d’action est décembre 2023.

L’équipe de la vérification interne a effectué des examens de la documentation, des analyses de données et des entrevues pour déterminer si l’ARC effectuait l’examen obligatoire et la surveillance des protocoles d’entente. L’examen obligatoire permettrait de déterminer si les protocoles d’entente doivent demeurer dans leur forme actuelle, être mis à jour ou résiliés. La surveillance permettrait d’assurer le respect des exigences, des conditions et des modalités des protocoles d’entente, et si l’un de ces aspects doit être rectifié.

La Direction des partenariats de la DGSII tient à jour le registre des ententes de collaboration écrites de l’ARC (registre), qui est une base de données de toutes les ententes de collaboration écrites, y compris les protocoles d’entente. La Direction des partenariats utilise le système de suivi de la charge de travail afin de saisir des données sur les protocoles d’entente qu’elle gère. Le système de suivi de la charge de travail interagit avec le registre pour créer et mettre à jour les renseignements.

Dans son analyse du registre, l’équipe de vérification interne a observé que les protocoles d’entente relatifs à l’échange de renseignements ne pouvaient pas être facilement distingués des autres types d’ententes de collaboration écrites et ne pouvaient pas être systématiquement codés en premier lieu en fonction de la direction de leur échange de renseignements avant de les coder par sous-catégorie. En raison des limites systémiques du registre et du système de suivi de la charge de travail, la DGSII utilise un processus manuel à l’aide de l’Outil de recherche des ententes de collaboration écrites afin de déterminer :

• Le nombre de protocoles d’entente d’échange de renseignements actifs; par conséquent, la DGSII n’a pas pu déterminer facilement et avec exactitude le nombre de protocoles d’entente d’échange de renseignements aux fins de la présente vérification.
• Les protocoles d’entente qui en sont à leur dixième année d’existence et nécessitent un examen obligatoire.

La DGSII a souligné qu’elle tient des registres des protocoles d’entente qui doivent être achevés et qui ont fait l’objet d’un examen obligatoire. Toutefois, en raison des fonctionnalités limitées du système, elle n’est pas en mesure de générer systématiquement des statistiques ou des rapports à partir du registre ou du système de suivi de la charge de travail qui énumèrent les protocoles d’entente qui ont fait l’objet d’un examen obligatoire et quand, la date d’un examen obligatoire à venir et les mesures prises à la suite de l’examen obligatoire.

La DGSII devrait déterminer ses exigences en matière de données liées au protocole d’entente et améliorer ses systèmes de gestion de cas existants pour s’assurer qu’elle peut saisir de manière appropriée les données relatives au protocole d’entente pour générer des statistiques et des rapports pouvant être utilisés pour soutenir la gestion des protocoles d’entente.

Plan d’action 2

La DGSII a amélioré ses systèmes automatisés au cours des dernières années et examine actuellement la fonctionnalité de son système de suivi de la charge de travail et de son registre des ententes de collaboration écrites au moyen d’un projet pilote visant à répondre aux besoins de la Direction générale en ce qui concerne la gestion des protocoles d’entente. Par conséquent, la DGSII a élaboré des plans d’action connexes.

La DGSII poursuivra son projet pilote actuel au sein de la Division des affaires fédérales, autochtones et du Québec afin d’évaluer les données et les fonctionnalités qui permettraient de donner suite à la recommandation de la vérification. La date d’achèvement cible pour cette facette du plan d’action est décembre 2023.

La DGSII mènera une étude de faisabilité afin de déterminer si une intégration accrue du système actuel est adéquate pour donner suite à la recommandation de la vérification ou si d’autres options technologiques sont disponibles. La date d’achèvement cible pour cette facette du plan d’action est mars 2024.

L’ARC compte plus de 200 protocoles d’entente actifs d’échange de renseignements avec divers partenaires fédéraux, provinciaux et territoriaux. À l’heure actuelle, la DGSII effectue un examen obligatoire des protocoles d’entente. Toutefois, la DGSII n’a pas de plan documenté pour établir l’ordre de priorité des protocoles d’entente à examiner.

En ce qui concerne l’examen obligatoire, depuis 2016, les modalités du protocole d’entente indiquent qu’un examen devrait être effectué au plus tard la dixième année suivant la signature. Celui-ci est effectué afin de déterminer si les protocoles d’entente doivent demeurer dans leur forme actuelle, être mis à jour ou résiliés. Si un examen obligatoire n’est pas effectué d’ici la fin de la période de 10 ans, le protocole d’entente sera résilié à la dixième année, 30 jours après la date de la signature. Les protocoles d’entente qui n’ont pas la clause d’examen obligatoire seront modifiés pour inclure la clause une fois renouvelés.

L’équipe de la vérification interne a analysé les 233 protocoles d’entente actifs et a constaté que pour plus de 40 % d’entre eux, plus de 10 ans se sont écoulés depuis leur signature. La DGSII confirme qu’elle a et qu’elle examine actuellement ces anciens protocoles d’entente de façon prioritaire, mais qu’elle n’a pas de plan documenté pour l’examen obligatoire de ces anciens protocoles d’entente.

Par conséquent, comme il n’y a pas de plan documenté pour effectuer des examens obligatoires ou pour s’assurer qu’ils sont examinés avant la dixième année, il y a un risque que les protocoles d’entente qui ne sont plus nécessaires soient toujours actifs, que les protocoles d’entente qui sont requis soient jugés résiliés et que les protocoles d’entente puissent avoir des exigences, des conditions et des modalités désuètes.

De plus, étant donné le volume important de protocoles d’entente et le temps nécessaire pour effectuer les examens obligatoires, le fait d’être en mesure d’établir l’ordre de priorité des examens en fonction du risque relatif des protocoles d’entente permettrait de s’assurer que l’ARC dispose d’un plan pour effectuer des examens et atténuer les risques des protocoles d’entente dépassant la période d’examen obligatoire et ayant des clauses désuètes.

La Division des affaires provinciales et territoriales au sein de la DGSII a récemment élaboré son cadre de mobilisation des clients et a commencé à faire passer son questionnaire sur la participation des clients afin de mener des exercices de surveillance externes avec les partenaires. Toutefois, la DGSII n’a pas de cadre de surveillance exhaustif en place pour surveiller le respect par tous les partenaires des exigences et des modalités des protocoles d’entente relatifs à l’échange de renseignements au niveau de la direction.

Un cadre de surveillance exhaustif permettrait de s’assurer que les protocoles d’entente sont surveillés et, par conséquent, examinés en fonction du risque relatif qu’ils représentent. On pourrait y parvenir en tirant parti des résultats des activités de surveillance des protocoles d’entente menées par les partenaires internes et externes, et en les évaluant par rapport à d’autres facteurs de risque inhérents au profil du partenaire, comme le type de protocole d’entente, la nature délicate des renseignements, le volume ou la fréquence des renseignements échangés et la méthode de transfert utilisée pour fournir les renseignements au partenaire.

Plus précisément, la DGSII n’a pas de plan documenté pour évaluer le risque de chaque protocole d’entente en tenant compte de tous les renseignements axés sur les risques disponibles qui indiqueraient qu’un protocole d’entente est relativement plus risqué par rapport à un autre pour établir l’ordre de priorité de sa surveillance. Compte tenu du volume important de protocoles d’entente, il est optimal d’être en mesure d’établir l’ordre de priorité de ces activités en fonction du risque relatif des protocoles d’entente.

Par conséquent, sans un cadre de surveillance axé sur les risques, l’ARC pourrait potentiellement être exposée à des risques plus importants liés à l’atteinte à la réputation, à la sécurité et à la vie privée parce qu’elle n’aurait pas une méthode exhaustive de surveillance de ses protocoles d’entente existants et, en fin de compte, des renseignements qu’elle échange avec ses partenaires.

La DGSII devrait élaborer un cadre de surveillance exhaustif utilisé pour l’établissement des priorités en fonction des risques de la surveillance et de l’examen obligatoire des protocoles d’entente concernant le respect des conditions et modalités des protocoles d’entente lorsque l’ARC fournit des renseignements aux partenaires.

Plan d’action 3

La DGSII s’est appuyée sur des évaluations informelles des risques axées sur l’expérience et les relations avec les clients. Toutefois, à ce jour, la surveillance et les examens connexes n’ont pas été axés sur les risques, car les deux processus sont relativement nouveaux.

La DGSII effectuera une évaluation officielle des risques liés aux protocoles d’entente afin de cerner, de mesurer et d’atténuer les risques connexes. La date d’achèvement cible pour cette facette du plan d’action est septembre 2023.

La DGSII continuera d’améliorer et de documenter le processus de surveillance et les examens connexes des protocoles d’entente afin de tenir compte de ces indicateurs de risque et d’établir l’ordre de priorité de ses travaux en conséquence. La date d’achèvement cible pour cette facette du plan d’action est décembre 2024.

De plus, des discussions sont en cours avec la Direction générale de la sécurité et la Direction générale des affaires publiques afin de confirmer les rôles et les responsabilités en ce qui a trait à la surveillance de l’aspect de la sécurité et de la protection des renseignements personnels des protocoles d’entente. Ceux-ci seront inclus dans les processus ou les procédures internes connexes. S’il y a lieu, la DGSII mettra à jour ses processus internes connexes, ses procédures et la Directive sur la rédaction d’ententes de collaboration écrites afin de clarifier les rôles et les responsabilités de la DGSII, de la Direction générale de la sécurité et de la Direction générale des affaires publiques en ce qui a trait à la surveillance des protocoles d’entente. La date d’achèvement cible pour cette facette du plan d’action est décembre 2024.

Dans l’ensemble, la vérification a révélé que le cadre de gestion des protocoles d’entente au sein de l’ARC doit être amélioré. Le fait de combler ces lacunes aidera l’ARC à atténuer les risques cernés au cours de cette vérification et à renforcer sa position à l’égard de la protection des renseignements des contribuables et des échanges de renseignements avec les partenaires clés.

Plus précisément, l’équipe de vérification interne a constaté que les instruments de politique d’entreprise liés à la gestion des protocoles d’entente sont communiqués et compris. Toutefois, il y avait un manque de procédures et de processus documentés détaillés au niveau opérationnel qui comprennent les rôles et les responsabilités des intervenants internes en ce qui a trait à l’élaboration, à la modification, à l’examen obligatoire et à la surveillance des protocoles d’entente, y compris quand et comment chaque intervenant interne devrait être impliqué dans ces processus.

L’équipe de vérification interne a également constaté que des améliorations sont nécessaires pour élaborer des processus et des procédures et pour peaufiner davantage les outils existants afin de procéder à l’établissement des priorités axées sur les risques des examens obligatoires et de la surveillance des protocoles d’entente.

Pour conclure, nous souhaitons reconnaître et remercier la DGSII, la Direction générale de la sécurité et la Direction générale des affaires publiques pour le temps accordé et les renseignements fournis dans le cadre de cette mission.

Selon l’évaluation des risques de la Direction générale de la vérification‚ de l’évaluation et des risques, les secteurs d’intérêt suivants ont été cernés :

La méthodologie d’examen comprend ce qui suit :

• Examen des documents : examiner et analyser les instruments de politique d’entreprise et les documents à l’appui (processus, procédures et outils) liés à l’échange de renseignements entre l’ARC et les partenaires.
• Examen des dossiers : examiner et analyser un échantillon de protocoles d’entente.
• Analyse des données : réaliser des analyses de données sur le contenu du registre des ententes de collaboration écrites.
• Entrevues internes : mener des entrevues avec la direction et le personnel du bureau de première responsabilité et des bureaux de responsabilité complémentaire.
• Entrevues externes : mener des entrevues avec un échantillon de partenaires.