Gestion de l'authentification et des justificatifs d'identité V3.0
Direction des services numériques
Direction générale de cotisation‚ de prestation et de service
Sur cette page
- Aperçu et lancement de l’évaluation des facteurs relatifs à la vie privée (ÉFVP)
- Résumé du projet, de l’initiative ou des modifications
- Détermination et classement du risque
Aperçu et lancement de l’évaluation des facteurs relatifs à la vie privée (ÉFVP)
Institution fédérale
Agence du revenu du Canada
Fonctionnaire responsable de l’ÉFVP
Frank Vermaeten
Sous-commissaire
Direction générale de cotisation, de prestation et de service
Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels
Steven Morgan
Directeur général
Direction de l’accès à l’information et de la protection des renseignements personnels
Nom du programme ou de l’activité de l’institution fédérale
Technologie de l'information
Catégories de documents spécifiques à l'institution ou ordinaire :
Technologie de l'information
Numéro de catégorie de document : NDP 932
Fichier de renseignements personnels spécifiques à l'institution ou ordinaire :
Services de gestion de l'authentification et des justificatifs d'identité
Numéro de fichier : ARC PPU 607
Autorisation légale pour le programme ou l’activité
L'Agence du revenu du Canada est désignée comme un organisme distinct en vertu de l'annexe II de la Loi sur la gestion des finances publiques et, à ce titre, assume la responsabilité globale de son administration, de ses contrats et de sa gestion des ressources humaines.
Les renseignements personnels sont recueillis afin de permettre l'accès aux systèmes en ligne aux fins de l'administration des lois relatives aux programmes, conformément à la Loi de l'impôt sur le revenu et à la Loi sur la taxe d'accise. Les renseignements personnels sont également recueillis, au besoin, en vertu de la Politique sur la sécurité du gouvernement en ce qui a trait à la Directive sur la gestion de l'identité, conformément à l'entente conclue avec la présidente du Conseil du Trésor.
L'autorisation légale de conclure des protocoles d'entente pour Portageur, aussi connue sous le nom de « Fonction d'échange de données d'identification », et les services des comptes électroniques liés, est prévue à l'article 61 de la Loi sur l'Agence du revenu du Canada, qui stipule que l'Agence est responsable de la mise en œuvre des ententes entre l'Agence et les ministères ou organismes du gouvernement du Canada pour administrer un programme ou réaliser une activité. Le pouvoir de divulguer des renseignements à Anciens Combattants Canada pour Portageur ou à Emploi et Développement social Canada pour les comptes électroniques liés est prévu au paragraphe 241(5) [consentement] de la Loi de l'impôt sur le revenu. Le pouvoir de recueillir des renseignements personnels afin de savoir à qui sont les renseignements devant être divulgués en vertu de l'article 241 est prévu à l'article 220 de la Loi de l'impôt sur le revenu.
Le paragraphe 241(5) de la Loi de l'impôt sur le revenu, le paragraphe 295(6) de la Loi sur la taxe d'accise, le paragraphe 211(8) de la Loi de 2001 sur l'accise et le paragraphe 8(1) de la Loi sur la protection des renseignements personnels autorisent l'Agence à fournir à toute autre personne les renseignements confidentiels ou personnels du contribuable se rapportant à celui-ci avec son consentement.
Pour le numéro de représentant non-résident, les renseignements personnels sont recueillis en vertu du paragraphe 220(1) de la Loi de l'impôt sur le revenu. Ils seront utilisés par l'Agence pour traiter les demandes d'un représentant non-résident qui demande un numéro de représentant non-résident.
L'Agence recueille le numéro d'assurance sociale en vertu du paragraphe 237(1.1) de la Loi de l'impôt sur le revenu aux fins de l'impôt sur le revenu et de l'article 220 de la Loi de l'impôt sur le revenu dans le but d'identifier le particulier afin de lui permettre d'accéder à ses renseignements sur l'impôt sur le revenu et les prestations en ligne et d'associer les justificatifs anonymes du particulier à celui-ci.
Pour l'identité numérique pour les services fédéraux de la Colombie-Britannique et pour l'intégration de MyAlberta Digital ID (Agence-Alberta), les renseignements personnels sont recueillis en vertu de l'article 220 de la Loi de l'impôt sur le revenu et de l'article 275 de la Loi sur la taxe d'accise. Elle sera utilisée par l'Agence pour accorder aux Canadiens qui détiennent une carte de services de la Colombie-Britannique, ou une identification MyAlberta Digital ID, un accès numérique immédiat aux services et aux programmes du gouvernement fédéral offerts par l'intermédiaire du service Mon dossier de l'Agence.
Résumé du projet, de l’initiative ou des modifications
Aperçu du programme ou de l’activité
L'Agence du revenu du Canada a été l'un des principaux intervenants dans l'Initiative de renouvellement de l'authentification électronique du gouvernement du Canada. L'Agence a joué un rôle actif et appuie les ententes relatives à l'identité fédérée. Dans le cadre de l'Initiative de renouvellement de l'authentification électronique, l'Agence fournit également son propre service de gestion de l'authentification et des justificatifs d'identité que les particuliers, les propriétaires d'entreprise et les représentants doivent utiliser lorsqu'ils accèdent à ses services en ligne.
Les Services de gestion de l'authentification et des justificatifs d'identité de l'Agence reposent sur ses systèmes pour fournir des services de vérification et de validation de l'identité, de contrôle d'accès ou de gestion des justificatifs aux services en ligne de l'Agence.
Les systèmes fournissent deux fonctions distinctes, mais interreliées. La première fonction permet de s'assurer que l'identité des particuliers a été confirmée avant d'associer le compte d'un particulier à un justificatif d'identité anonyme fourni par la deuxième fonction. Elle permet aussi de s'assurer que l'état actuel du compte du particulier ne contient aucune restriction pour accéder à ce compte. Le système est responsable de l'attribution et du maintien d'un justificatif d'identité anonyme qui sera associé au compte de l'Agence d'un particulier.
Voici une liste des services en ligne de l'Agence qui utilisent le système des Services de gestion de l'authentification et des justificatifs d'identité.
Portails en ligne de l'Agence
- Mon dossier : Les contribuables peuvent consulter les renseignements concernant leur impôt sur le revenu et leurs prestations et gérer leurs affaires fiscales.
- Mon dossier d'entreprise : Les propriétaires d'entreprises (y compris les partenaires, les administrateurs et les agents) peuvent accéder à leurs comptes de taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH), d'impôts sur le revenu des sociétés, de taxes d'accise, de droits d'accise et d'autres prélèvements en ligne.
- Représenter un client : Les employés et les représentants peuvent accéder à un compte au nom de leur employeur ou de leurs clients. Avant que l'Agence n'accorde à un représentant l'accès aux renseignements et aux services au nom de particuliers ou d'entreprises, un représentant doit d'abord être autorisé par le particulier ou le propriétaire de l'entreprise.
Applications mobiles de l'Agence
- Application de navigateur MonARC : MonARC est une application mobile Web pour les contribuables particuliers. Les particuliers peuvent accéder de façon sécuritaire aux parties clés de leurs renseignements fiscaux personnels et payer leur solde d'impôt dû.
- Application de navigateur MesPrestations : MesPrestations ARC est une application mobile Web qui offre aux bénéficiaires de prestations un aperçu des détails de leurs paiements de prestations et de crédits, ainsi que des renseignements sur leur admissibilité.
- BizApp ARC : L'application BizApp ARC est une application mobile Web pour les propriétaires de petites entreprises et les propriétaires uniques. L'application offre un accès sécurisé pour effectuer des paiements, consulter des transactions comptables, et plus encore.
Les services Web des renseignements fiscaux de l'Agence énumérés ci-dessous exigent que les utilisateurs soient inscrits à un service d'ouverture de session de l'Agence – Mon dossier pour les particuliers, Mon dossier d'entreprise ou Représenter un client. Une fois inscrits, les utilisateurs peuvent utiliser les services suivants dans leur produit logiciel homologué.
- Préremplir ma déclaration : Les particuliers et les représentants autorisés peuvent remplir automatiquement des parties d'une déclaration de revenus et de prestations de l'année en cours à l'aide de divers logiciels homologués pour IMPÔTNET ou la TED.
- Service ADC : Le service ADC est un service sécurisé de l'Agence qui permet aux particuliers et aux représentants autorisés de voir l'avis de cotisation (ADC) dans leur logiciel, immédiatement après que la déclaration a été reçue et traitée par l'Agence.
- Préremplir ma déclaration T2 : Préremplir ma déclaration T2 est un service sécurisé qui permet aux propriétaires d'entreprise et aux représentants autorisés de télécharger des renseignements dont dispose l'Agence sur leur logiciel de préparation de déclarations de revenus.
- Changement d'adresse et dépôt direct au moyen d'IMPÔTNET : Les utilisateurs du logiciel de préparation de déclarations de revenus IMPÔTNET peuvent modifier l'adresse postale ou mettre à jour les renseignements du dépôt direct en utilisant un lien vers les services d'ouverture de session de l'Agence.
- Service d'extraction de renseignements sur les comptes : Le service d'extraction de renseignements sur les comptes est un service sécurisé de l'Agence qui permet aux particuliers, aux entreprises et à leurs représentants autorisés qui utilisent un logiciel homologué de l'Agence d'obtenir automatiquement les renseignements sur les comptes avec solde dû que l'Agence possède à ce moment-là.
Autres services d'ouverture de session de l'Agence
- Inscription en ligne des entreprises (IDE) : Le service IDE permet aux particuliers de s'inscrire pour obtenir un numéro d'entreprise, de s'inscrire à six types de comptes de programme et d'établir un lien vers d'autres registres d'entreprises en ligne pour certains programmes provinciaux.
- Profil de candidat dans Carrières : Le profil de candidat permet aux particuliers de postuler aux possibilités d'emploi à l'Agence.
Partenariats
Les Services de gestion de l'authentification et des justificatifs d'identité de l'Agence comprend également le service Portageur, qui tire parti des systèmes. Les particuliers autorisent le transfert électronique de renseignements personnels à une autre organisation. L'autre organisation peut ensuite utiliser ces renseignements fiables dans le cadre de son propre processus opérationnel (p. ex., processus d'identification et d'authentification afin de valider et d'authentifier l'identité de la personne pour l'accès à son service en ligne). À l'heure actuelle, les systèmes fournissent une aide à l'inscription aux utilisateurs des programmes en ligne d'Anciens Combattants Canada, de certains programmes d'Emploi et Développement social Canada et de la province de la Nouvelle-Écosse.
Nouveautés
Identité numérique pour les services fédéraux de la Colombie-Britannique
Le 10 février 2020, l'Agence a collaboré avec Emploi et Développement social Canada et la province de la Colombie-Britannique à un projet dans le cadre duquel le gouvernement fédéral a accepté une identité numérique de confiance provinciale pour accéder à Mon dossier de l'Agence et à Mon dossier Service Canada d'Emploi et Développement social Canada après une cotisation conformément au Cadre de confiance pancanadien.
Ce projet fournit aux Canadiens qui détiennent une carte de services de la Colombie-Britannique un accès numérique possible aux services et aux programmes du gouvernement fédéral offerts par l'intermédiaire de Mon dossier et de Mon dossier Service Canada. Les Canadiens qui détiennent une carte de services de la Colombie-Britannique sont tenus de suivre un processus secondaire qui leur permet d'utiliser leur carte comme justificatif pour le service Mon dossier de l'Agence. Essentiellement, il simplifie le processus d'inscription à Mon dossier Service Canada et à Mon dossier de l'Agence pour les résidents de la Colombie-Britannique en s'appuyant sur une identité numérique de confiance provinciale approuvée au lieu d'un processus fédéral de validation des justificatifs et de l'identité. Les citoyens de la Colombie-Britannique sont en mesure d'utiliser leur carte de services de la Colombie-Britannique pour accéder à Mon dossier et à Mon dossier Service Canada. Il élimine la nécessité d'utiliser plusieurs options d'ouverture de session (p. ex., ID utilisateur et mots de passe) ainsi que d'envoyer une lettre par la poste ou un courriel qui fournit le code de sécurité ou le code d'accès pour l'inscription en ligne.
Intégration de MyAlberta Digital ID (Agence-Alberta)
Le 7 février 2022, l'Agence a conclu une entente de collaboration avec Service Alberta, la province de l'Alberta et Emploi et Développement social Canada dans le cadre de laquelle le gouvernement fédéral accepte maintenant l'identification MyAlberta Digital ID en tant qu'identité numérique de confiance provinciale pour qu'un particulier puisse accéder à Mon dossier de l'Agence et, par l'intermédiaire des comptes liés créés dans une initiative précédente, pour accéder à Mon dossier Service Canada d' Emploi et Développement social Canada. MyAlberta Digital ID a fait l'objet d'une nouvelle cotisation en juillet 2021 par le Conseil du Trésor du Canada en tant qu'identité numérique de confiance conformément à la version 1.3 du Cadre de confiance pancanadien.
Cette collaboration permet maintenant aux Albertains qui détiennent une carte vérifiée MyAlberta Digital ID d'avoir un accès immédiat aux services et aux programmes du gouvernement fédéral offerts par l'intermédiaire de Mon dossier de l'Agence pour les particuliers et de Mon dossier Service Canada, à condition qu'aucune restriction, aucun blocage ni aucun indicateur n'ait été placé au dossier depuis l'ouverture de session précédente (p. ex., des restrictions dans la base de données d'identification ou la désactivation de l'accès à Mon dossier). En s'appuyant sur l'identité numérique de confiance émise par la province, le processus simplifié élimine le besoin de recevoir le code de sécurité par la poste pour l'inscription aux services en ligne et élimine les étapes du processus d'ouverture de session.
Authentification multifacteur
L'authentification multifacteur est une mesure de sécurité améliorée obligatoire qui a été mise en œuvre pour l'ensemble des services d'ouverture de session de l'Agence. Lorsque les utilisateurs s'inscrivent, ils doivent fournir au moins un numéro de téléphone cellulaire ou de téléphone fixe. Les utilisateurs recevront ensuite un code d'accès unique qui doit être saisi lorsqu'ils ouvrent une session dans nos services en ligne. Ce code est valide pour une seule ouverture de session. Un nouveau code d'accès unique sera envoyé à l'utilisateur, par SMS (texto) ou par message automatisé au numéro de téléphone sélectionné, chaque fois qu'il utilisera les services d'ouverture de session de l'Agence à l'avenir au moyen de cette option.
L'Agence a apporté une amélioration à l'authentification multifacteur, c'est-à-dire l'option de la grille de codes d'accès. Une grille de codes d'accès est un tableau composé de rangées numérotées et de colonnes lettrées. L'Agence précise les combinaisons (p. ex., B1, A3) qu'elle souhaite obtenir, et les utilisateurs doivent fournir les trois lettres s'affichant dans la case correspondant à l'intersection de la colonne et de la rangée. L'Agence demande aux utilisateurs de fournir trois combinaisons chaque fois qu'ils accèdent au service d'ouverture de session de l'Agence. La grille de codes d'accès est une option qui est offerte au moment de l'inscription et qui peut également être ajoutée plus tard à la page de gestion des paramètres d'authentification multifacteur.
Automatisation et défense contre la fraude
L'Agence utilise maintenant des solutions de sécurité sur son site Web pour repérer les tentatives non autorisées d'accès et d'utilisation des services en ligne. Les solutions surveillent et analysent les données sur le trafic Web générées à partir d'une session Web des utilisateurs afin de détecter les activités automatisées et malveillantes sur les sites Web de l'Agence.
La portée de l’évaluation des facteurs relatifs à la vie privée
Cette évaluation des facteurs relatifs à la vie privée fournit des renseignements liés à la collecte et à l'utilisation des renseignements personnels requis pour accéder aux services et aux applications de programme en ligne sécurisés externes de l'Agence du revenu du Canada, y compris les services d'autres ministères du gouvernement qui utilisent les services d'authentification de l'Agence.
Cette évaluation des facteurs relatifs à la vie privée ne couvre pas les renseignements liés aux services disponibles dans les portails en ligne de l'Agence, les applications mobiles de l'Agence, les services Web de renseignements fiscaux de l'Agence, l'Inscription en direct des entreprises, la page Carrières, la carte de services de la Colombie-Britannique ou MyAlberta Digital ID.
Détermination et classement du risque
A) Type de programme ou d’activité
Enquête criminelle et exécution/sécurité nationale
Niveau de risque pour la vie privée : 4
Détails :
Les renseignements personnels, comme le numéro d'assurance sociale, le numéro de représentant du non-résident, le code postal ou ZIP, la date de naissance, le nom de famille, la province et les renseignements tirés de la déclaration de revenus et de prestations du particulier, sont utilisés pour identifier le particulier pour qu'il puisse accéder à la gamme de services de l'Agence qui utilisent les SGA/SGJ.
Dans le cadre du processus d'inscription aux services qui tirent parti du SGJ, une personne doit créer un justificatif (ID utilisateur et mot de passe de l'Agence), ou ouvrir une session avec son justificatif externe. La personne n'a plus besoin de valider son identité pour les ouvertures de session subséquentes avec ce même justificatif. Afin d'avoir des options de sécurité et de rétablissement supplémentaires, le particulier devra fournir des questions et des réponses de sécurité. Ces questions et réponses ne font pas référence à des renseignements fiscaux précis, à un numéro d'assurance sociale ou à des renseignements d'identification précis.
Pour faciliter une enquête criminelle, la Direction des services numériques, en collaboration avec la Direction générale de l'informatique, fournira à la Direction des enquêtes criminelles des renseignements concernant les activités en ligne d'un contribuable. Les demandes peuvent comprendre des renseignements liés à l'inscription ou à l'ouverture de session d'un contribuable, aux journaux des transactions et aux adresses IP.
B) Type de renseignements personnels en jeu et contexte
Le numéro d'assurance sociale, les renseignements médicaux ou financiers, ou d'autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Les renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d'un particulier.
Niveau de risque pour la vie privée : 3
Détails :
Les renseignements personnels recueillis, comme le numéro d'assurance sociale, la date de naissance et les renseignements tirés de la déclaration de revenus et de prestations du particulier, sont des renseignements de nature délicate, tout comme les renseignements tirés de la demande de numéro de représentant des non-résidents d'un particulier. En ce qui concerne ce processus de validation de l'identité, seuls le numéro d'assurance sociale et le numéro de représentant non-résident sont conservés dans le répertoire de l'Agence. Le numéro d'assurance sociale du particulier ou le numéro de représentant non-résident du représentant non-résident est associé à son justificatif anonyme.
Pour l'initiative des comptes électroniques liés, afin de transférer l'identité d'un particulier entre les portails, l'Agence et Emploi et Développement social Canada utiliseront le numéro d'assurance sociale du particulier authentifié et un justificatif d'identité. Le justificatif d'identité comprendra l'identificateur unique permanent du particulier et son niveau d'assurance de l'identité du Secrétariat du Conseil du Trésor du Canada. L'identificateur unique permanent est un numéro sans signification, mais unique, attribué à un particulier sans l'identifier directement. Il n'y aura pas de transfert ou d'échange de renseignements concernant les impôts ou les prestations entre l'Agence et Emploi et Développement social Canada.
En ce qui concerne l'identité numérique pour les services fédéraux de la Colombie-Britannique, la province de la Colombie-Britannique fournit le nom de famille du particulier, sa date de naissance, sa province, son identificateur dirigé et son niveau d'assurance du justificatif de la Colombie-Britannique. L'identificateur dirigé est un numéro sans signification, mais unique, attribué à un particulier sans l'identifier directement. Les particuliers doivent fournir leur consentement pour que l'Agence demande leurs renseignements personnels à la province de la Colombie-Britannique.
Pour l'intégration de MyAlberta Digital ID (Agence-Alberta), la province de l'Alberta fournira le nom de famille du particulier, sa date de naissance, sa province, son identificateur fédéral unique, son niveau d'assurance de l'identité et son niveau d'assurance du justificatif de l'Alberta. L'identificateur fédéral unique est un numéro sans signification, mais unique, attribué dans le système de l'Alberta à un particulier sans l'identifier directement. Les particuliers doivent fournir leur consentement pour que l'Agence demande leurs renseignements personnels à la province de l'Alberta.
C) Partenaires de programme ou d’activité et participation du secteur privé
Gouvernements étrangers, organismes internationaux ou organismes du secteur privé
Niveau de risque pour la vie privée : 4
Détails :
Le répertoire qui stocke les données du SGA et du SGJ est tenu à jour par Services partagés Canada. Les données du SGJ sont anonymes. L'Agence offre également une aide à l'inscription aux utilisateurs des programmes en ligne d'Anciens Combattants Canada, d'Emploi et Développement social Canada et de la province de la Nouvelle-Écosse.
En ce qui concerne l'initiative relative aux comptes électroniques liés, l'Agence et Emploi et Développement social Canada divulgueront le numéro d'assurance sociale d'un particulier et son justificatif d'identité (identificateur unique permanent et niveau d'assurance de l'identité du Secrétariat du Conseil du Trésor du Canada) afin de transférer le particulier entre Mon dossier de l'Agence et Mon dossier Service Canada d' Emploi et Développement social Canada, de l'identifier avec exactitude et de lui montrer ses renseignements. Le particulier consentira au transfert et à la divulgation de son numéro d'assurance sociale.
En ce qui concerne l'identité numérique pour les services fédéraux de la Colombie-Britannique, la province de la Colombie-Britannique fournit le nom de famille du particulier, sa date de naissance, sa province, son identificateur dirigé et son niveau d'assurance du justificatif de la Colombie-Britannique afin d'accéder à Mon dossier de l'Agence. L'identificateur dirigé est un numéro sans signification, mais unique, attribué à un particulier sans l'identifier directement. Les particuliers doivent fournir leur consentement pour que l'Agence demande leurs renseignements personnels à la province de la Colombie-Britannique. Lorsqu'un particulier ouvre une session dans Mon dossier pour la première fois avec sa carte de services de la Colombie-Britannique, il doit également entrer son numéro d'assurance sociale. L'Agence utilise ces données ainsi que les renseignements fournis par la Colombie-Britannique afin de valider l'identité du particulier. Pour les ouvertures de session subséquentes, l'identificateur dirigé associé au numéro d'assurance sociale du particulier fera qu'il sera reconnu comme un utilisateur de retour. Les utilisateurs qui reviennent ne seront pas tenus de fournir leur numéro d'assurance sociale à l'Agence et seront plutôt envoyés directement à Mon dossier.
Pour l'intégration de MyAlberta Digital ID (Agence-Alberta), la province de l'Alberta fournira le nom de famille du particulier, sa date de naissance, sa province, son identificateur fédéral unique, son niveau d'assurance de l'identité et son niveau d'assurance du justificatif de l'Alberta. L'identificateur fédéral unique est un numéro sans signification, mais unique, attribué dans les systèmes de l'Alberta à un particulier sans l'identifier directement. Les particuliers doivent fournir leur consentement pour que l'Agence demande leurs renseignements personnels à la province de l'Alberta. Lorsqu'un particulier ouvre une session dans Mon dossier pour la première fois à l'aide de MyAlberta Digital ID, il doit également entrer son numéro d'assurance sociale. L'Agence utilise ces données ainsi que les renseignements fournis par l'Alberta afin de valider l'identité du particulier. Pour les ouvertures de session subséquentes, l'identificateur fédéral unique associée au numéro d'assurance sociale du particulier fera qu'il sera reconnu comme un utilisateur de retour, et les particuliers ne seront pas tenus de fournir leur numéro d'assurance sociale. Après une authentification multifacteur réussie, ils se verront accorder un accès direct immédiat à Mon dossier de l'Agence, à condition qu'aucune restriction, qu'aucun blocage ni aucun indicateur n'ait été placé dans le dossier depuis l'ouverture de session précédente (p. ex., des restrictions dans la base de données d'identification ou la désactivation de l'accès à Mon dossier).
Pour hCaptcha, nous utilisons un service anti-robot sur notre site Web pour surveiller le trafic réseau afin de repérer toute tentative non autorisée d'accéder à nos services en ligne. Le hCaptcha évalue les renseignements, y compris l'adresse IP, la durée pendant laquelle l'utilisateur est sur le site Web ou l'application, les mouvements de la souris effectués par l'utilisateur, les renseignements du navigateur et les réponses de l'utilisateur à tout défi. Ces renseignements sont communiqués au tiers responsable du service hCaptcha.
Pour l'automatisation et la défense contre la fraude, nous utilisons des solutions de sécurité sur nos sites Web pour repérer les tentatives non autorisées d'accès et d'utilisation des services en ligne. Les solutions surveillent et analysent les données sur le trafic Web générées à partir d'une session Web des utilisateurs afin de détecter les activités automatisées et malveillantes sur les sites Web de l'Agence.
Pour l'authentification multifacteur, nous recueillons le numéro de téléphone (ligne fixe ou cellulaire) pour le code d'accès à usage unique (appel téléphonique ou service de messages courts) et la langue de choix afin de recevoir le code d'accès unique que l'utilisateur fournit lorsqu'il s'inscrit à l'authentification multifacteur. Nous communiquons ces renseignements au tiers responsable de la génération et de l'envoi du code. Le code entré est également communiqué au tiers afin de s'assurer qu'il correspond avant de permettre à l'utilisateur d'accéder aux services d'ouverture de session. Pour l'option de grille de codes d'accès, l'Agence générera la grille de codes d'accès, qui est stockée dans la base de données de l'Agence, mais aucun renseignement personnel du contribuable n'est recueilli ou stocké.
D) Durée du programme ou de l’activité :
Programme à long terme
Niveau de risque pour la vie privée : 3
Détails :
Il n'y a pas de « date d'élimination progressive » pour cette activité, car elle est conforme à l'initiative du gouvernement en direct, une composante clé de la stratégie de service du gouvernement du Canada.
E) Population du programme
Le programme touche certains particuliers à des fins administratives externes.
Niveau de risque pour la vie privée : 3
Détails :
Le programme touche les personnes qui choisissent d'utiliser la gamme de services de l'Agence utilisant les services de gestion de l'authentification. Il touche également les particuliers qui choisissent d'utiliser les systèmes de l'Agence comme moyen d'inscription assistée pour Anciens Combattants Canada, Emploi et Développement social Canada et le gouvernement de la Nouvelle-Écosse. Il touche également les résidents de la Colombie-Britannique qui choisissent d'utiliser leur carte de services de la Colombie-Britannique pour accéder à Mon dossier de l'Agence et les résidents de la province de l'Alberta qui choisissent d'utiliser MyAlberta Digital ID pour accéder à Mon dossier de l'Agence.
F) Technologie et vie privée
- L'activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d'un nouveau système électronique, d'un logiciel ou d'un programme d'application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l'activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?
Risque pour la vie privée : Oui - Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?
Risque pour la vie privée : Oui - Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :
- Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).
Risque pour la vie privée : Non - Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.
Risque pour la vie privée : Non - Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – Afin de respecter la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.
Risque pour la vie privée : Oui
G) Transmission des renseignements personnels
Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système.
Niveau de risque pour la vie privée : 2
Détails :
L'Agence et Services partagés Canada utilisent un serveur Oracle partagé. Le filtrage strict des connexions réseau externes, le filtrage des applications et les restrictions d'architecture empêchent la connexion externe à ces systèmes. L'Agence communiquera le numéro d'assurance sociale avec Emploi et Développement social Canada pour Mon dossier Service Canada. Les données seront incluses dans une réponse en langage de balisage des assertions de sécurité qui est chiffrée et signée numériquement spécifiquement pour Emploi et Développement social Canada. L'Agence et Emploi et Développement social Canada ont échangé des clés de chiffrement et de signature numérique. L'Agence communique également des données par l'intermédiaire des systèmes sécurisés des organismes partenaires (Anciens Combattants Canada, Emploi et Développement social Canada et la province de la Nouvelle-Écosse) dans le cadre du rapprochement des renseignements personnels aux fins du service Portageur.
En ce qui concerne l'identité numérique pour les services fédéraux de la Colombie-Britannique, les données seront incluses dans une réponse en langage de balisage des assertions de sécurité qui est chiffrée et signée numériquement spécifiquement pour la Colombie-Britannique. En ce qui concerne l'identité numérique pour les services fédéraux de la Colombie-Britannique, l'Agence ne divulgue pas le numéro d'assurance sociale ou toute autre donnée avec la Colombie-Britannique. L'Agence n'obtient que les renseignements personnels des particuliers qui détiennent une carte de services de la Colombie-Britannique : nom de famille, date de naissance, province, identificateur dirigé de la Colombie-Britannique au moyen du langage de balisage des assertions de sécurité afin d'authentifier l'utilisateur.
En ce qui concerne l'intégration de MyAlberta Digital ID (Agence-Alberta), les données seront incluses dans une réponse en langage de balisage des assertions de sécurité qui est chiffrée et signée numériquement spécifiquement pour la province de l'Alberta. L'Agence ne divulgue pas le numéro d'assurance sociale ou toute autre donnée à la province de l'Alberta. L'Agence n'obtient que les renseignements personnels des particuliers qui détiennent une carte d'identité numérique de MyAlberta : nom de famille, date de naissance, province, identificateur fédéral unique, niveau d'assurance de l'identité et niveau d'assurance du justificatif de l'Alberta au moyen de technologie de transmission en langage de balisage des assertions de sécurité afin d'authentifier l'utilisateur.
H) Le risque possible à l'individu ou à l'employé lors d'atteinte à la vie privée
Détails :
Une atteinte aux renseignements personnels, comme le numéro d'assurance sociale et la date de naissance, pourrait avoir une incidence financière sur le particulier, car elle pourrait mener à un vol d'identité.
Détails de la page
- Date de modification :