Ligne anonyme de l’ARC pour le signalement de la fraude interne et de l’utilisation malveillante
Direction de la sécurité et des affaires internes, Direction générale des finances et de l’administration
Aperçu et amorce d’une ÉFVP
Institution fédérale
Agence du revenu du Canada
Fonctionnaire responsable de l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)
Roch Huppé
Administrateur supérieur des affaires financières et sous-commissaire
Direction générale des finances et de l’administration
Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels
Marie-Claude Juneau
Coordonnatrice de l’AIPRP
Nom du programme ou de l’activité de l’institution fédérale
Activité de programme : Ces services comprennent les services de voyages du gouvernement du Canada, ainsi que les autres services internes qui ne correspondent à aucune autre catégorie de services internes.
Résumé du projet, de l’initiative, des modifications :
Cette initiative vise à offrir aux individus un moyen anonyme de signaler leurs soupçons d’activités frauduleuses par des employés et/ou la gestion. Grâce à la Ligne anonyme de l’ARC pour le signalement de la fraude interne et de l’utilisation malveillante, qui est administrée par un tiers entrepreneur indépendant, les individus disposent maintenant d’une nouvelle voie de communication leur permettant de signaler leurs soupçons de fraude interne et d’utilisation malveillante.
Une ligne de signalement anonyme gérée par un tiers offre en outre l’assurance d’être en mesure de signaler les soupçons de comportement contraire à l’éthique d’une façon anonyme et confidentielle, ainsi qu’en toute sécurité. En rendant la ligne de signalement accessible aux individus, l’ARC s’assure que ces derniers peuvent s’exprimer avec assurance. Le fournisseur de services externe est complètement indépendant de l’ARC, et le système de la ligne de signalement est hébergé sur les propres serveurs sécurisés du fournisseur.
Un individu peut utiliser le système Web ou le système de ligne téléphonique pour signaler des allégations de fraude interne et d’utilisation malveillante. Les individus seront en mesure de rédiger le texte en style libre dans l’application Web et de choisir la catégorie à laquelle se rapporte l’allégation. Les individus faisant un signalement se verront rappelés de ne fournir aucun de leurs renseignements personnels ou aucun renseignement qui permettrait de les identifier. Le système de la ligne de signalement leur attribue un nom d’utilisateur et un mot de passe sécurisés pour le signalement qu’ils ont présenté. Les individus peuvent ouvrir une session dans le système, ou peuvent appeler la ligne et utiliser leur nom d’utilisateur et leur mot de passe pour vérifier l’état de leur signalement. Puisque le nom d’utilisateur et le mot de passe sont générés par le système, l’anonymat des individus est maintenu.
Le système du fournisseur de services externe recueille les renseignements et les présente aux employés désignés de la Division des affaires internes et du contrôle de la fraude (DAICF), qui sont automatiquement avisés (par courriel) par le système lorsqu’un rapport a été présenté. Ils peuvent ouvrir une session pour visionner le rapport, poser des questions de suivi et aviser l’auteur de la présentation de la façon dont on donne suite au signalement. Le fournisseur de services externes ne passe pas en revue les signalements qui sont présentés dans le système : cette responsabilité incombe aux personnes autorisées de la DAICF, Direction de la sécurité et des affaires internes (DSAI), qui s’assurent que les signalements sont passés en revue et qu’ils font l’objet d’une enquête, s’il y a lieu, de façon équitable et en temps opportun – comme ils le feraient pour tout autre signalement reçu d’autres voies.
La DAICF passe en revue toutes les allégations reçues par l’intermédiaire de la ligne de signalement anonyme pour déterminer si elles concernent un employé actuel de l’ARC et si elles se rapportent à la fraude interne ou à l’utilisation malveillante. Si tel est le cas, on enquêtera sur l’affaire. Sinon, celle-ci sera close. Même si l’on encouragera les individus à n’utiliser la ligne de signalement qu’aux fins prévues, une approche « aucune mauvaise voie » sera appliquée. Si des individus signalent quelque chose qui n’est pas considéré comme de la fraude interne ou une utilisation malveillante, la situation sera prise en charge par la voie appropriée, et elle n’est pas visée par la portée de la présente ÉFVP. De plus, la caractéristique interactive de l’outil servira à aviser les employés de la voie appropriée pour l’affaire signalée.
Tous les renseignements personnels qui sont recueillis et détenus par le fournisseur de services externe seront la propriété de l’ARC. À ce titre, ils seront assujettis à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels de la même façon que tout renseignement détenu par la DAICF. Le fournisseur livrera à l’ARC tous les renseignements personnels, sous quelque forme que ce soit, ainsi que tous les documents qui auront été établis ou obtenus relativement au contrat, et ce, à la suite de l’achèvement ou de la résiliation du contrat, ou à tout moment antérieur, à la demande de l’ARC. Une fois les renseignements personnels livrés à l’ARC, le fournisseur n’aura pas le droit de conserver ces renseignements sous quelque forme que ce soit, et il devra s’assurera qu’aucune trace des renseignements personnels ne demeurera en sa possession.
Cette méthode de signalement de la fraude interne ou de l’utilisation malveillante est complètement anonyme : les renseignements que signalent les individus ne feront l’objet ni d’un enregistrement sonore ni d’un repérage. Si des individus utilisent le système en ligne, la session est chiffrée et l’adresse IP n’est pas indiquée dans le signalement. Si des individus appellent la ligne téléphonique et demandent à parler à un opérateur en direct, l’appel n’est pas enregistré, et on n’utilise pas l’identification de l’appelant. Le signalement est transcrit textuellement (en reprenant les mots exacts, mot pour mot) par un opérateur qualifié dans le système de la ligne de signalement.
La portée de la présente ÉFVP se limite à partir du moment où un individu produit un signalement à la Ligne anonyme de l’ARC pour le signalement de la fraude interne et de l’utilisation malveillante au moyen du site Web ou de la ligne téléphonique, jusqu’à l’examen de l’allégation destiné à déterminer si on enquêtera sur elle.
Description de la catégorie de document et du fichier de renseignements personnels
Catégories de documents spécifiques à l’institution ou ordinaire : PRN 931
Description des FRP spécifiques à l’institution ou ordinaire : PSU 939
Autorisation légale pour le programme ou l’activité
Les renseignements personnels sont recueillis sous l’autorité des alinéas 30(1)a) et d) et de l’article 51 de la Loi sur l’Agence du revenu du Canada, de l’article 241 de la Loi de l’impôt sur le revenu et de l’article 295 de la Loi sur la taxe d’accise, et ils servent à vérifier si les opérations sont conformes aux lois et aux règlements qu’applique l’Agence en veillant à ce que les employés ne visionnent ou ne modifient des renseignements sur les contribuables ou d’autres renseignements sensibles que dans le cadre de leurs charges de travail attribuées.
Les exigences relatives au remboursement, aux méfaits ou à la négligence et à la mise en accusation dans le cas d’agents ou de personnes occupant une charge ou un emploi, ou encore toute personne occupant une charge ou un emploi qui a un lien avec la collecte, la gestion ou le remboursement de fonds publics, sont établies au paragraphe 38(2), à l’article 78, aux alinéas 80(1)b), c), d) et e), au paragraphe 80(2) et à l’article 81 de la Loi sur la gestion des finances publiques.
L’alinéa 16.4(1)b) de la Loi fédérale sur la responsabilité établit les responsabilités et les obligations appropriées du ministre auprès du Parlement en vue de maintenir des systèmes efficaces de contrôle interne au ministère, et l’article 122 du Code criminel établit la mise en accusation d’un fonctionnaire qui, relativement aux fonctions de sa charge, commet une fraude ou un abus de confiance.
Détermination et classement du risque
1) Type de programme ou d’activité
Conformité/enquêtes réglementaires et exécution de la réglementation
Niveau de risque pour la vie privée : 3
Détails : La ligne de signalement est offerte aux individus pour signaler des allégations de fraude interne et d’utilisation malveillante de la part d’employés de l’Agence. Si l’on détermine qu’une allégation concerne un employé actuel de l’ARC, et si celle-ci se rapporte à la fraude interne ou à une utilisation malveillante, on enquêtera sur l’affaire.
2) Type de renseignements personnels en jeu et contexte
Renseignements personnels de nature sensible, dont les profils détaillés, les allégations ou les soupçons, et les échantillons de substances corporelles, ou contexte particulièrement sensible lié aux renseignements personnels.
Niveau de risque pour la vie privée : 4
Détails : Les renseignements qui sont censés être reçus par l’intermédiaire de la ligne de signalement comprennent les allégations et les soupçons d’inconduites par des employés qui se rapportent à la fraude interne ou à une utilisation malveillante. Ces renseignements peuvent comprendre les renseignements personnels d’employés, et, à l’occasion, ils pourraient comprendre des renseignements sur des contribuables, tels que le nom, les coordonnées, des renseignements financiers et l’état civil, entre autres. Les individus faisant un signalement seront en mesure de rédiger le texte en forme libre dans l’application Web et de choisir la catégorie à laquelle se rapporte l’allégation (par exemple, la gestion financière et la fraude; l’abus de pouvoir; l’abus de confiance). Les individus faisant un signalement se verront rappeler de ne fournir aucun de leurs renseignements personnels ou aucun renseignement qui permettrait de les identifier.
3) Partenaires de programme ou d’activité et participation du secteur privé
Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé.
Niveau de risque pour la vie privée : 4
Détails : Les renseignements ou les allégations reçus par l’intermédiaire de la ligne de signalement peuvent être transmis à l’ARC.
La ligne de signalement est hébergée par une société appartenant à des intérêts privés canadiens au moyen d’un système en ligne (Web) et d’un système de ligne téléphonique; toutefois, aucun renseignement se rapportant aux allégations reçues (par exemple, le nombre total de cas visés par une enquête ou les résultats des enquêtes) ne sera transmis au tiers.
4) Durée du programme ou de l’activité
Programme à court terme :
Niveau de risque pour la vie privée : 2
Détails : La ligne de signalement constitue actuellement une initiative à court terme. Un contrat de deux ans a été octroyé (avec l’option d’un contrat de trois années supplémentaires) pour la ligne de signalement.
5) Population du programme
Le programme touche certains employés à des fins administratives internes.
Niveau de risque pour la vie privée : 1
Détails : L’initiative ne touchera que certains employés de l’ARC, selon les allégations d’inconduite reçues par l’intermédiaire de la Ligne anonyme de l’ARC pour le signalement de la fraude interne et de l’utilisation malveillante.
6) Technologie et vie privée
L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?
Risque pour la vie privée : Oui
Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?
Risque pour la vie privée : Non
Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :
Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).
Risque pour la vie privée : Non
Détails : N/D
Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.
Risque pour la vie privée : Non
Détails : N/D
Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.
Risque pour la vie privée : Non
Détails : Toutefois, les renseignements personnels seront jumelés manuellement.
7) Transmission des renseignements personnels
Les renseignements personnels sont transférés à des dispositifs portatifs ou sont imprimés.
Niveau de risque pour la vie privée : 3
Détails : Lorsqu’un signalement est reçu par le système du fournisseur de services externe, un avis automatique est envoyé directement par courriel aux examinateurs autorisés de l’ARC à la Division des affaires internes et du contrôle de la fraude (DAICF). Les examinateurs autorisés reçoivent aussi un avis chaque fois qu’un individu fournit d’autres renseignements, que ce soit par voie de commentaire ou en téléchargeant des documents ou d’autres renseignements. Les examinateurs autorisés de l’ARC accéderont à l’allégation au moyen d’un système Internet offert par le fournisseur de services externe.
Les auteurs d’une présentation recevront un nom d’utilisateur et un mot de passe au moment de présenter un signalement, de sorte qu’ils puissent ouvrir une session à une date ultérieure pour vérifier l’état de leur signalement.
Toutes les allégations reçues par l’intermédiaire de la ligne de signalement seront copies-collées dans le système de gestion des cas de la DAICF et dans une feuille de suivi utilisée à des fins statistiques, où figurent le numéro de cas de la DAICF attribué à l’interne, la direction générale ou la région, la catégorie de l’allégation, le secteur où celle-ci a été renvoyée, si elle ne correspondait pas au mandat de la DAICF, et le résultat de l’analyse préliminaire. Les renseignements sont stockés sur un serveur et sur un lecteur réseau partagé qui n’est accessible que par les employés autorisés de la DAICF, en vue d’un usage interne (renvoi à d’autres secteurs, cas fermés ou cas nécessitant des services d’enquête). Il n’y a aucun lien ou rapport direct avec le système du fournisseur de services externes et les systèmes de l’ARC.
8) Risque possible pour le particulier ou l’employé
Détails : Il y a un risque que l’individu subisse un embarras qui pourrait avoir un effet négatif sur la carrière et/ou sur la réputation de l’individu si le signalement était divulgué à son insu ou sans son consentement. Il y a aussi un risque qu’une telle atteinte à la vie privée influence la carrière de l’individu quant à la façon dont son rendement est évalué.
9)Risque possible pour l’institution
Détails : Il y a un risque que l’Agence soit dans l’embarras et perdre la confiance du public et des employés si un signalement est divulgué à l’insu ou sans le consentement de l’individu auquel il se rapporte. Une telle atteinte serait en outre susceptible de générer un grief, une plainte en matière de respect de la vie privée ou, dans les cas extrêmes, une action en justice.
Détails de la page
- Date de modification :