Comptes d’employeurs

Résumé de l'évaluation des facteurs relatifs à la vie privée (ÉFVP) - Direction de l’observation des entreprises, Direction générale des recouvrements et de la vérification

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Michael Snaauw
Sous-commissaire, Direction générale des recouvrements et de la vérification

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Observation en matière de déclarations

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l’institution ou ordinaires :
Observation des entreprises relative à l’employeur et à la TPS/TVH (ARC DGRV 188)

Description des FRP spécifiques à l'institution ou ordinaire :
Observation des comptes de fiducie (ARC PPU 120)

Autorisation légale pour le programme ou l’activité

Résumé du projet, de l’initiative, des modifications

L’Agence du revenu du Canada (ARC) et Emploi et développement social Canada (EDSC) administrent conjointement le Régime de pensions du Canada (RPC) et la Loi sur l’assurance-emploi (LAE). Cependant, chaque organisation a ses propres rôles et responsabilités distinctes.

En vertu du RPC et de la LAE, l’ARC a la responsabilité de déterminer :

L’ARC a également la responsabilité de s’assurer que les cotisations au RPC et à l’AE sont retenues, versées et déclarées comme l’exige la loi.

Les employeurs qui ne se conforment pas aux exigences de retenues ou de versement peuvent faire l’objet d’une cotisation pour défaut de déduire (DDD) ou pour défaut de verser (DDV), selon le cas. Des cotisations peuvent être établies pour n’importe quelle combinaison de retenues d’impôt, de cotisations au RPC ou à l’AE, de pénalité et d’intérêt.

La portée de l’évaluation des facteurs relatifs à la vie privée

L’évaluation des facteurs relatifs à la vie privée (ÉFVP) détermine et évalue les risques d’atteinte à la vie privée en matière de renseignements personnels liés aux activités du programme des comptes d’employeurs. La portée de cette ÉFVP est limitée aux activités du programme des comptes d’employeurs. Les activités des programmes d’examen des comptes de fiducie (IC-077040), de la vérification du niveau d’observation des employeurs (IC-086866) et des renseignements d’entreprise des recouvrements et de la vérification (IC-076952) ont été évaluées par des ÉFVP distinctes.

Détermination et classement du risque

A) Type de programme ou d’activité

Observation de la loi ou enquêtes réglementaires et exécution de la réglementation

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels sont utilisés pour identifier le contribuable et pour effectuer des mises à jour du compte et des activités d’observation comme :

B) Type de renseignements personnels en jeu et contexte

Numéro d’assurance sociale, renseignements médicaux ou financiers, ou autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d’un particulier.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels sont utilisés pour veiller à ce que les employeurs se soumettent aux exigences en matière de production, de déclaration et de retenue relatives au RPC, à l’AE et à l’impôt, notamment :

C) Partenaires de programme ou d’activité et participation du secteur privé

Organismes du secteur privé, organismes internationaux ou gouvernements étrangers

Niveau de risque pour la vie privée : 4

Détails : Les renseignements recueillis par le programme des comptes d’employeurs sont consignés dans PAYDAC et certains secteurs de l’ARC peuvent y accéder pour administrer leurs programmes connexes de l’ARC. Par exemple, les renseignements fournis par l’employeur au sujet de leurs versements retenus peuvent être comparés aux formulaires T4 de leurs employés (dans le cadre des programmes de déclarations et des paiements des particuliers de l’ARC) afin de veiller à ce que les deux parties correspondent.

Emploi et Développement social Canada (EDSC) et l’ARC gèrent conjointement le RPC et l’AE (l’ARC a un rôle d’exécution de la loi). Les renseignements que le programme sur les comptes d’employeur transmet aux autres programmes de l’ARC, y compris au Programme de déclarations des particuliers, peuvent être transmis à EDSC. Un protocole d’entente (PE) conclu en 2011 entre l’ARC et EDSC, traite de la communication de renseignements protégés à l’appui du RPC, de l’AE et des programmes de sécurité de la vieillesse.

Les renseignements concernant les retenues sur la paie peuvent également être transmis à Revenu Québec, conformément au PE avec Revenu Québec, afin d’imputer les paiements mal attribués.

Les renseignements concernant les retenues sur la paie peuvent également être transmis à la Commission des accidents du travail de la Nouvelle-Écosse (CATNÉ), conformément au PE avec la Commission, afin de transférer les versements.

Les copies papier comprenant des renseignements personnels sont conservées par un fournisseur de services tiers du secteur privé.

D) Durée du programme ou de l’activité

Il s’agit d’un programme à long terme.

Niveau de risque pour la vie privée : 3

Détails : ce programme n’a pas de date de fin.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme des comptes d’employeur touche tous les employeurs qui doivent retenir de la paie de leurs employés les montants prescrits par l’impôt sur le revenu, le Régime de pensions du Canada (RPC) et l’assurance-emploi (AE).

F) Technologie et vie privée

Est-ce que le nouveau programme ou le programme modifié ou l’activité consiste à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels?

Risque pour la vie privée : non

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) demande des améliorations aux systèmes ou services en place de la technologie de l’information?

Risque pour la vie privée : non

Le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée - Cela comprend la technologie biométrique (comme la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale et l’identification par radiofréquence), ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique et les « cartes intelligentes » qui sont dotées d’une antenne ou d’une plage de contact reliée à un microprocesseur et à une puce de mémoire ou à une puce de mémoire dotée d’une logique non programmable.

Risque pour la vie privée : non

Détails : S.O.

Utilisation de la surveillance - Cela comprend les technologies de surveillance, comme les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’identification par radiofréquence, la surveillance ou l’interception secrète, la surveillance assistée par ordinateur, y compris les pistes de vérification et la surveillance par satellite.

Risque pour la vie privée : non

Détails : Le programme n’implique pas la surveillance des particuliers en lien avec les obligations en matière de retenue, de versement, de déclaration et de production se rapportant aux retenues sur la paie.

Toutefois, dans le but d’appuyer les exigences mentionnées dans les lois et les règlements comme l’article 241 de la Loi de l’impôt sur le revenu et la Loi sur la protection des renseignements personnels, l’accès de tous les employés aux renseignements permettant d’identifier un contribuable (créer, consulter, modifier, supprimer), sera consignée et fera l’objet d’une surveillance assurée par le Système national de pistes de vérification (SNPV) afin de prévenir, de détecter et d’empêcher tout accès non autorisé aux renseignements sur les contribuables. L’Agence pourra ainsi effectuer une surveillance proactive des accès et identifier toute irrégularité et/ou tout usage détourné des systèmes.

L’utilisation du SNPV permet de s’assurer que seuls les utilisateurs autorisés ont accès à des renseignements personnels et que l’accès peut être lié à des personnes précises pour appuyer les enquêtes sur les cas soupçonnés ou présumés d’usage détourné. Cette activité est décrite dans le Fichier de renseignements personnels ordinaire POU 905 – Journaux de contrôle des réseaux électroniques.

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances - Afin de respecter la Directive sur l’ÉFVP, les institutions fédérales doivent cerner les activités qui comprennent l’utilisation d’une technologie automatisée pour analyser, créer, comparer, évaluer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : oui

Détails : Les demandes sont souvent acheminées à la Direction de la technologie et des renseignements d’entreprise (DTRE) de notre direction générale pour déterminer les comptes qui pourraient être en état d’inobservation ou pour recueillir des renseignements. Les données obtenues de la Direction de la technologie et des renseignements d’entreprise proviennent la plupart du temps de l’Entrepôt de données de l’Agence (EDA). Toutefois, elles peuvent également provenir de dépôts de données virtuels qui peuvent être consultés à l’aide de divers outils d’interrogation. Ces activités liées aux renseignements d’entreprise, qui appuient le programme de comptes d’employeurs (PCE), font l’objet d’une description complète dans le résumé de l’évaluation des facteurs relatifs à la vie privée liée aux renseignements d’entreprise des recouvrements et de la vérification.

De plus, le PCE utilise les applications macro de l’ordinateur central pour trier ou extraire des renseignements personnels aux fins d’examen des dossiers.

G) Transmission des renseignements personnels

Les renseignements personnels sont transférés vers des appareils portatifs ou sont imprimés.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements fournis sur papier par les employeurs sont saisis dans notre ordinateur central. Les versements produits par voie électronique exigent une connexion Internet; les renseignements sont acheminés vers notre ordinateur central (PAYDAC) au moyen d’une connexion sécurisée. PAYDAC puise des renseignements provenant d’autres systèmes pour remplir les champs associés à la paie.

H) Risque possible pour le particulier ou l’employé

Détails : Si des renseignements personnels sont compromis, cela pourrait entraîner un préjudice financier et un embarras pour le particulier ou l’employé concerné. Le particulier ou l’employeur concerné pourrait aussi être victime de vol d’identité et ses renseignements pourraient être utilisés sans qu’il y consente ou en ait connaissance.

I) Risque possible pour l’institution

Détails : Si ces renseignements devaient être accidentellement ou délibérément divulgués ou compromis, cela pourrait vraisemblablement causer un embarras pour l’ARC et entraîner une perte de crédibilité et une baisse de la confiance du public.

Détails de la page

Date de modification :