Enquêtes de sécurité sur le personnel v 2.0 - Sommaire d'évaluation des facteurs relatifs à la vie privée

Direction générale des finances et de l’administration
Direction de la sécurité et des affaires internes 
Agence du revenu du Canada

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Janique Caron

Administrateur supérieur des affaires financières et sous-commissaire

Direction générale des finances et de l’administration 

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Steven Morgan

Directeur général

Direction de l'Accès à l'information et protection des renseignements personnels

Nom du programme ou de l’activité de l’institution fédérale

Services de voyage et autres services administratifs 

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l’institution ou ordinaire :

Sécurité – NDP 931

Fichier de renseignements personnels propre à l’institution ou ordinaire :

Surveillance de l’accès électronique aux renseignements confidentiels – ARC PPU 917

Autorisation légale pour le programme ou l’activité

L’Agence du revenu du Canada est désignée comme un organisme distinct en vertu de l’annexe II de la Loi sur la gestion des finances publiques et, à ce titre, elle a la responsabilité globale de son administration, de ses contrats et de la gestion de ses ressources humaines. L’ARC s’est vu accorder la responsabilité de « ses grandes orientations administratives » en vertu de l’alinéa 30(1)a) de la Loi sur l’Agence du revenu du Canada. Cela comprend la responsabilité de déterminer les conditions d’emploi et par la suite les exigences en matière de sécurité en ce qui concerne les enquêtes de sécurité sur le personnel.

L’Agence est responsable de la protection de ses renseignements et de ses biens conformément à la Politique sur la sécurité du gouvernement (PSG) du Secrétariat du Conseil du Trésor (SCT) et à ses normes connexes. À cette fin, un PE a été conclu entre l’ARC et le SCT, fournissant à l’Agence un niveau de souplesse afin de mettre en œuvre ses propres normes relatives à des enquêtes de sécurité sur le personnel lorsque cela est justifié.

Résumé du projet, de l’initiative ou des modifications

Les enquêtes de sécurité sur le personnel jouent un rôle essentiel au sein du programme de sécurité de l’Agence du revenu du Canada (ARC) en s’assurant que tous les employés ont fait l’objet d’enquêtes appropriées fondées sur l’accès aux renseignements et aux locaux de l’ARC requises pour l’accomplissement de leurs fonctions. Tous les employés de l’ARC doivent subir une enquête de sécurité et ils doivent respecter les exigences en matière de sécurité de leur poste avant d’être embauchés. À l’heure actuelle, il existe deux types d’enquête de sécurité sur le personnel : une évaluation de la fiabilité (qui entraîne une cote de fiabilité) et une évaluation de la loyauté envers le Canada (qui entraîne une autorisation de sécurité de niveau « Secret » ou « Très secret »).

Quoi de neuf

À la suite de la cessation des enquêtes de sécurité liées à la cote de fiabilité plus le 1er janvier 2018, le programme d’enquête de sécurité n’effectue plus de vérifications de l’observation fiscale par rapport aux renseignements conservés dans les systèmes internes de l’Agence. Lorsqu’il y a des renseignements défavorables au dossier, les analystes de l’évaluation du risque de l’Agence demandent parfois à l’employé ou au candidat s’il respecte ses obligations fiscales ou s’il a une entente de remboursement en place. Les questions sont posées afin d’évaluer l’étendue de la dette financière, la fiabilité des particuliers à se conformer aux exigences législatives et à s’acquitter de leurs responsabilités financières. Ces questions sont verbales (entrevue téléphonique), et les réponses sont consignées dans les notes d’entrevue et sauvegardées dans le dossier d’enquête de sécurité du particulier. L’observation fiscale des particuliers (ou les réponses qu’ils fournissent) n’est pas vérifiée par rapport aux renseignements disponibles dans les systèmes fiscaux de l’Agence.

Portée de l’évaluation des facteurs relatifs à la vie privée

Cette ÉFVP examinera la vérification de l’observation fiscale verbale lorsque des renseignements défavorables sont révélés afin d’évaluer l’étendue de la dette financière du particulier et de déterminer s’il a la capacité de rembourser sa dette. Cette vérification verbale n’est pas une vérification des fichiers propres à l’Agence par rapport aux sources de données tenues à jour par l’Agence – comme il est indiqué à l’annexe C, article 11 de la Norme sur le filtrage de sécurité du Conseil du Trésor. Le programme d’enquêtes de sécurité sur le personnel vérifie les obligations financières pour évaluer la situation financière. Cette ÉFVP permettra d’examiner le processus d’observation fiscale verbal et les activités connexes. Ces activités comprennent : lorsqu’il y a des renseignements défavorables dans le dossier, les analystes de l’évaluation des risques de l’Agence demandent occasionnellement à l’employé ou au candidat s’il respecte ses obligations fiscales ou s’il a une entente de remboursement en place. Les questions sont posées afin d’évaluer l’étendue de la dette financière, la fiabilité des particuliers à se conformer aux exigences législatives et à s’acquitter de leurs responsabilités financières. Ces questions sont verbales (entrevue téléphonique), et les réponses sont consignées dans les notes d’entrevue et sauvegardées dans le dossier d’enquête de sécurité du particulier. L’observation fiscale des particuliers (ou les réponses qu’ils fournissent) n’est pas vérifiée par rapport aux renseignements disponibles dans les systèmes fiscaux de l’Agence.

Détermination et classement du risque

A) Type de programme ou d’activité

Enquête criminelle et application de la loi/sécurité nationale

Niveau de risque pour la vie privée : 4

Détails :

Les renseignements personnels sont recueillis dans le but d’administrer le programme d’enquête de sécurité de l’Agence. Les renseignements révélés ou divulgués au cours du processus d’enquête peuvent avoir une incidence sur la capacité des particuliers à obtenir un emploi auprès de l’Agence si la demande d’enquête de sécurité pour l’attribution d’une cote est refusée ou peuvent avoir une incidence sur leur capacité à conserver leur emploi actuel lorsque la cote de sécurité accordée précédemment est révoquée.

Les renseignements personnels révélés ou divulgués au cours du processus d’enquête de sécurité peuvent mener à des vérifications de l’Agence ou à des examens de l’admissibilité d’une personne à des programmes de prestations lorsque des problèmes sont découverts en lien avec l’observation fiscale d’un particulier ou son admissibilité aux prestations.

Lorsque des renseignements défavorables sont révélés ou divulgués par des personnes et suggèrent que la personne pourrait poser une menace sérieuse à elle-même ou à autrui, ou s’ils comportent des infractions au Code criminel du Canada, les renseignements doivent être communiqués aux organismes chargés de l’application de la loi (p. ex., police compétente). Les organismes chargés de l’application de la loi peuvent saisir de tels renseignements dans leurs bases de données, ce qui pourrait avoir une incidence sur les possibilités d’emploi ou de bénévolat, ou sur d’autres activités nécessitant une enquête de sécurité (p. ex., emploi dans les écoles, banques, etc.). Les divulgations aux organismes chargés de l’application de la loi pourraient également mener à une enquête sur la personne, à une arrestation, à des accusations, à des poursuites au criminel, à une condamnation de celle-ci et, au bout du compte, à l’imposition d’une sentence à son endroit.

B) Type de renseignements personnels en jeu et contexte

Renseignements personnels sensibles, y compris des profils détaillés, des allégations ou soupçons, des échantillons de substances corporelles ou des éléments contextuels particulièrement sensibles entourant les renseignements personnels.  

Niveau de risque pour la vie privée : 4

Détails :

Les renseignements personnels comprennent toujours des renseignements biométriques (p. ex., empreintes digitales, photos numériques), des rapports de solvabilité et des casiers judiciaires, et peuvent comprendre des opinions ou des évaluations du caractère d’un particulier (p. ex., loyauté, fidélité), des dossiers liés à l’application de la loi, les renseignements sur le personnel des employés, les renseignements financiers, les renseignements sur jeux de hasard ou les dépendances, qui sont de nature très personnelle et délicate, et qui peuvent causer de l’embarras à la personne lorsqu’on en discute. 

C) Partenaires de programme ou d’activité et participation du secteur privé

Organisations du secteur privé ou organisations internationales ou gouvernements étrangers

Niveau de risque pour la vie privée : 4

Détails :

L’Agence communique des renseignements personnels à la Gendarmerie royale du Canada, au Service canadien du renseignement de sécurité et à une agence d’évaluation du crédit privée (actuellement Equifax) afin d’obtenir les rapports criminels et de crédit des particuliers qui sont requis pour l’enquête de sécurité du gouvernement. Les renseignements fournis à la Gendarmerie royale du Canada (GRC) et aux bureaux de crédit privés se limitent aux renseignements d’identification nécessaires pour exécuter le rapport. Les voies utilisées pour transmettre les renseignements à la Gendarmerie royale du Canada et au Service canadien du renseignement de sécurité utilisent les réseaux protégés approuvés par le gouvernement. En ce qui concerne les rapports de solvabilité, l’Agence s’appuie sur les contrôles de sécurité d’Equifax pour protéger les renseignements personnels. 

D) Durée du programme ou de l’activité :

Programme à long terme.

Niveau de risque pour la vie privée : 3

Détails :

Le programme d’enquête de sécurité sur le personnel de l’Agence respecte les politiques et les normes du gouvernement, qui sont établies de façon permanente. Il s’agit d’un programme à long terme. 

E) Public cible du programme

Le programme touche certains employés à des fins administratives externes. 

Niveau de risque pour la vie privée : 4

Détails :

L’enquête de sécurité est obligatoire pour tous les employés du gouvernement et les entrepreneurs. Les vérifications de solvabilité sont également obligatoires. Lorsque les rapports de solvabilité présentent des problèmes potentiels, l’Agence doit faire un suivi auprès de la personne afin de comprendre ses pressions financières dans le but d’évaluer les risques liés à la sécurité pour l’organisation.

F) Technologie et vie privée

Est-ce que le nouveau programme ou le programme modifié ou l’activité consiste à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels? 

Risque pour la vie privée : Non

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) demande des améliorations aux systèmes ou services en place de la technologie de l’information? 

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée : Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture ou le balayage de l’iris, l’analyse des empreintes digitales, la signature ou empreinte vocale, l’identification par radiofréquence, etc.) ainsi que la technologie des laissez-passer facilités (Easy pass), les nouvelles cartes d’identité comportant des bandes magnétiques, comme les « cartes intelligentes » (c.-à-d. des cartes d’identité sur lesquelles est gravée soit une antenne soit une plage de contact connectée à un microprocesseur et une puce mémoire ou uniquement à une puce mémoire avec matrice logique non programmable). 

Risque pour la vie privée : Oui

Précisions : La prise d’empreintes digitales est obligatoire dans le cadre des enquêtes de sécurité du gouvernement, mais aucune modification n’a été apportée à la collecte de renseignements pour ces vérifications obligatoires.

Utilisation de la surveillance : Cela comprend les technologies de surveillance telles que les appareils d’enregistrement audio/vidéo, l’imagerie thermique, les appareils de reconnaissances, l’identification par radiofréquence, la surveillance/interception clandestine, le contrôle assisté par ordinateur, y compris les pistes de vérification, la surveillance par satellite, etc. 

Risque pour la vie privée : Non

Précisions : S.O. 

Utilisation de l’analyse automatisée des renseignements personnels, de la mise en correspondance des renseignements personnels et des techniques de découverte des connaissances : Afin de respecter la Directive sur l’évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent cerner les activités qui comprennent l’utilisation d’une technologie automatisée pour analyser, créer, comparer, évaluer ou extraire des éléments des renseignements personnels. Ces activités comprennent le rapprochement de renseignements personnels, le rapprochement de dossiers, l’exploration de renseignements personnels, la comparaison de renseignements personnels, la découverte de connaissances et le filtrage ou l’analyse de renseignements. De telles activités comportent une forme ou une autre d’intelligence artificielle ou d’apprentissage machine pour découvrir des connaissances (renseignements), des tendances ou des modèles, ou encore pour prédire des comportements. 

Risque pour la vie privée : Oui

Détails : L’Agence du revenu du Canada communique les renseignements personnels recueillis à la Gendarmerie royale du Canada (GRC), au Service canadien du renseignement de sécurité (SCRS) et à une agence d’évaluation du crédit du secteur privé afin d’obtenir les rapports obligatoires requis pour l’enquête de sécurité. Ces organismes effectuent leurs vérifications en jumelant les renseignements personnels d’un particulier à ceux de ses dossiers opérationnels, de ses fonds de données ou de ses sources de renseignements. Les renseignements personnels communiqués à la GRC comprennent le nom, la date de naissance, l’adresse, les empreintes digitales et le sexe. Les renseignements personnels transmis à l’agence d’évaluation du crédit comprennent le nom, l’adresse et la date de naissance. Les renseignements personnels communiqués au SCRS comprennent les renseignements tirés de l’ensemble du formulaire d’enquête Formulaire d’autorisation de sécurité - TBS/SCT 330-60 lorsqu’une cote de sécurité de niveau secret est requise.

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui comporte des connexions à au moins un autre système. 

Niveau de risque pour la vie privée : 2

Détails :

Les renseignements sont transmis à la GRC et au SCRS au moyen de réseaux protégés approuvés par le gouvernement, qui utilisent des technologies de chiffrement. Les renseignements sont transmis à l’agence d’évaluation du crédit au moyen du système en ligne sécurisé du bureau. Il n’y a eu aucune violation connue de ces systèmes.  

H) Risque possible pour le particulier ou l’employé

Détails : Il n’y a eu aucune violation de la vie privée connue liée aux systèmes qui transmettent ou stockent des renseignements personnels aux fins d’enquêtes de sécurité jusqu’à présent. Bien que cela soit très improbable, il est possible qu’une atteinte à la vie privée se produise si les renseignements contenus dans le dossier d’enquête d’un particulier sont divulgués, mal acheminés ou si les voies de transmission sont interceptées. Dans un tel cas, les employés, les candidats à un emploi à l’Agence ou les entrepreneurs peuvent être gênés par des personnes non autorisées connaissant, par exemple, leur dette financière ou l’existence de leur casier judiciaire. Il est hautement improbable que la violation de la confidentialité des renseignements soit susceptible de causer un préjudice grave aux particuliers, comme des pertes matérielles ou des dommages physiques. Il est également très improbable, bien que possible, que dans le cas où les renseignements sont interceptés et volés, ils pourraient être vendus ou utilisés pour le vol d’identité. Les renseignements personnels qui comportent des menaces à la sécurité nationale, ou un programme de protection des dénonciateurs et des témoins, sont désignés au niveau de protection plus élevé et respectent des règles de stockage et de transmission plus strictes. Ces renseignements ne sont pas disponibles dans les systèmes de contrôle de sécurité réguliers et les lecteurs partagés. 

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :