Numéro d’entreprise et inscription au compte du programme - Sommaire d'évaluation des facteurs relatifs à la vie privée

Direction générale de cotisation, de prestation et de service (DGCPS)
Direction des déclarations des entreprises (DDE)
Agence du revenu du Canada

L’élaboration de l’aperçu et de l’ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Frank Vermaeten
Sous-commissaire
Direction générale de cotisation, de prestation et de service (DGCPS)

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Services fiscaux et traitement des déclarations

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l’institution ou ordinaire :
Inscription au numéro d'entreprise et aux comptes de programme – ARC DGCPS 227

Description des FRP spécifiques à l’institution ou ordinaire :
Inscription au numéro d'entreprise et aux comptes de programme – ARC PPU 223

Autorisation légale pour le programme ou l’activité

Les renseignements personnels sont recueillis en vertu de l'article 221 de la Loi de l'impôt sur le revenu et de la partie IX de la Loi sur la taxe d'accise, ainsi que de l'article 5 de la Loi sur l'Agence du revenu du Canada, qui nous permet de gérer le numéro d'entreprise (NE) au nom de nos partenaires.

Les alinéas 241 (4) l) de la Loi de l'impôt sur le revenu et 295 (5) j) de la Loi sur la taxe d'accise permettent à l'ARC de divulguer le NE et les renseignements d'identification d'entreprise connexes à une entité gouvernementale, à condition que:

Résumé du projet, de l’initiative ou des modifications

Aperçu du programme ou de l’activité

Le numéro d’entreprise (NE) et le programme d’inscription des comptes de programme fournissent et gèrent des numéros d’entreprise pour la TPS / TVH et autres prélèvements, comptes de paie, comptes d’impôt sur le revenu des sociétés, comptes d’import-export, allocation spéciale pour enfants, sécurité des passagers aériens, comptes de primes d’assurance, comptes d'organismes de bienfaisance enregistrés, comptes de développeur d'informations sur les retours et les horaires, comptes de retours d'informations, comptes d'accises et autres redevances. Les documents créés par le programme comprennent ceux nécessaires à la création et à la gestion des numéros d'entreprise et à la gestion d'un système de numérotation uniforme pour les entreprises (et les individus participant à des programmes d'entreprise), ce qui permet à l'ARC d'administrer, sous l'autorité approuvée, la Loi de l'impôt sur le revenu (LIR). Loi sur l'accise, Loi sur l'accise de 2001, Loi sur la taxe d'accise, Loi sur les droits d'exportation de produits de bois d'œuvre, la Loi sur les allocations spéciales pour enfants, la Loi sur les douanes, la Loi sur l'assurance-emploi et la Loi du Régime de pensions du Canada et l'Agence du revenu du Canada.

Le NE fournit un processus d’inscription unique et simplifiée pour les entreprises, en fournissant à chaque entité juridique un numéro d’inscription unique pour les programmes participants.

Le système du NE garde les renseignements en lien aux entreprises et utilisé par d'autres programmes de l'ARC, ainsi que par d'autres ministères fédéraux et provinciaux, en tant que source centrale de récupération de données.

L'ARC fournit aux contribuables les renseignements exactes et opportunes dont ils ont besoin pour se conformer aux lois fiscales du Canada et moderniser ses services, notamment en élargissant ses services numériques, ce qui permet aux contribuables de remplir plus facilement leurs obligations fiscales.

La Direction de l’évaluation, des avantages et des services est chargée de la gestion des renseignements du NE recueillit par l’ARC.

Le numéro d'entreprise (NE) a été introduit pour la première fois en 1994 par l'ARC afin d'identifier ses principaux programmes d'entreprise, notamment l'impôt sur les sociétés, la TPS et la TVH, la paie.

Les restrictions fédéral de l'utilisation du NE ont limité en gros son utilisation en tant qu'identificateur commun pourtoutes les entreprises au Canada. Par conséquent, des modifications législatives aux règles LIR et LTA régissant le NE ont été apportées afin de faciliter l'utilisation accruedu NE par les provinces et les autres ordresde gouvernement.

Depuis sa mise en œuvre initial en tant qu'identificateur de programme fiscal, le  service a évolué pourinclure cinq programmes fédéraux, six provinces et une  municipalité qui ont adopté le NE afin de fournir une inscription intégrée, réduire le fardeau administratif des entreprises et identifier de manière unique les entreprises dans leur environnement réglementaire.  

Quoi de neuf

À compter de mai 2019, le programme du NE commencera à recueillir les adresses de protocole Internet (PI) des utilisateurs. La saisie de l’adresse PI des utilisateurs ajoutera une autre façon de suivre les relations entre les clients et les comptes, et nous pourrons utiliser l’information à des fins d’évaluation des risques pour mieux prévenir la fraude à l’inscription. Il n’est pas nécessaire que ces renseignements soient gardés de manière à ce que les utilisateurs des champs du NE puissent les consulter, mais ils seront toujours disponibles pour les recherches et les demandes de renseignements des employés de l’administration centrale de l’ARC.

Ces renseignements devront être mis à la disposition de la planification globale de la TPS/TVH et être disponibles pour être demandés par les employés du siège social. Ces renseignements pourront également être récupérés par d’autres applications et systèmes via Enterprise Java Beans, les appels du serveur central et la base de données d’interrogation du support de décision des inscriptions des entreprises.

Portée de l’évaluation des facteurs relatifs à la vie privée

Portée : La présente évaluation des facteurs relatifs à la vie privée (ÉFVP) porte sur  la collecte initiale, l'utilisation interne et la divulgation de renseignements personnels par l'ARC à l’égard du NE et d’autre comptes de  programmes.  L’ÉFVP mettra l’accent sur la cartographie des processus opérationnels et des flux de base de données afin de cerner les problèmes de protection des renseignements personnels découlant de l’utilisation par l’ARC et de l’échange de renseignements personnels connexes aux provinces et aux ministères fédéraux.

Hors de portée : Dans le cadre des efforts plus vastes visant à améliorer le service aux entreprises, Industrie Canada a reçu le mandat de renforcer l’utilisation du NE dans l’ensemble du gouvernement fédéral. L’initiative d’adoption du NE du gouvernement du Canada (GC) a été dirigée par le Comité interministériel des services et de la fédération de l’identité du sous-ministre, dont l’objectif est d’améliorer et d’offrir une plus grande autonomie numérique. Le service aux citoyens et aux entreprises. La vision du gouvernement fédéral est de faire du NE l’identificateur d’entreprise commun à l’ensemble du gouvernement, dans le but d’améliorer les services aux entreprises et de normaliser la collecte et le partage de données.

La présente ÉFVP n’examine pas les répercussions sur la vie privée liées aux activités associées à l'adoption du NE du GC. Une ÉFVP (2017) a été préparée pour traiter des répercussions sur la protections des renseignements personnels au gouvernement fédéral qui adopte le projet de loi, les ministères provinciaux et territoriaux à titre qu'identificateur commun du NE pour les entreprises au moyen du service de validation du Web.  

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes / activités et services.

Niveau de risque pour la vie privée : 2

Détails : Les renseignements personnels sont utilisés pour fournir et maintenir un système de numérotation uniforme pour les entreprises.

Les entreprises qui doivent traiter avec les gouvernements fédéral, provinciaux et municipaux au Canada doivent s’inscrire à un NE et à des comptes de programme. Chaque propriétaire unique, société de personnes, société de personnes, fiducie ou autre type de propriété se verra attribuer un NE lorsqu’il s’inscrit à un compte de programme. 

B) Type de renseignements personnels en jeu et contexte

Le numéro d'assurance sociale, les renseignements médicaux, financiers ou autres renseignements personnels sensibles et/ou le contexte entourant les renseignements personnels sont sensibles. Renseignements personnels de mineurs ou d'individus incompétents ou impliquant un représentant agissant au nom de l'individu.  

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels relatifs au NE et  à l’inscription et à l’administration du compte de programme peuvent comprendre le nom, les coordonnées, le numéro d’assurance social (seulement pour le type d’entreprise à propriétaire unique), le NE et d’autres numéros de compte de programme, les renseignements financiers, les adresse PI et la signature. 

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec un ou plusieurs gouvernements fédéraux / provinciaux et / ou municipaux

Niveau de risque pour la vie privée : 3

Détails : Un NE permet à l'ARC d'identifier une entreprise particulière  (ou une autre organisation telle qu'un organisme de bienfaisance) pour des questions fiscales liées à une entreprise au Canada. Un NE permet également aux entreprises et aux autres organisations de simplifier leurs relations et de se conformer aux lois fiscales du Canada.

Le NE  offre un processus d'inscription unique et simplifiée pour les entreprises des clients, simplifier les opération des clients en fournissant à chaque individus un numéro d’inscription unique pour les programmes participants et réduire  les coûts administratifs du gouvernement en identifiant chaque individu avec un numéro d’inscription unique.

Les renseignements peuvent être communiqués à d'autres institutions  fédérales et provinciales conformément aux lois sur l’impôt sur le revenu et l’accise et à la Loi sur l’Agence du revenu du Canada.

Les institutions fédérales et provinciales souhaitant utiliser le NE doivent convenir et signer un protocole d’entente (PE) qui décrit toutes les restrictions à l'utilisation des renseignements.

Chaque partenaire fédéral, provincial ou territorial est tenu de traiter tous les renseignements relatifs au NE conformément à la Politique sur la sécurité du gouvernement (PSG) du Conseil du Trésor et aux autres politiques applicables. Tous les renseignements sur le NE divulgués sont divulgués, transmis, manipulés, utilisés, gardés, détruits et protégés conformément à la PSG. De plus, il est interdit à chaque associé de divulguer davantage les renseignements sur le NE qui lui ont été communiqués, à moins qu’une telle divulgation ne soit expressément autorisée en vertu de la Loi de l’impôt sur le revenu ou de la Loi sur la taxe d’accise.

Chaque participant provincial ou territorial est tenu de traiter tous les renseignements du NE consultés conformément aux clauses contenues dans son protocole d’entente (PE).   

À l’heure actuelle, cinq institutions fédérales ont signé un PE avec l’ARC :

À l’heure actuelle, six provinces ont signé un PE avec l’ARC :

D) Durée du programme ou de l’activité :

Programme à longe terme. 

Niveau de risque pour la vie privée : 3

Détails : L’utilisation du NE est un programme à long terme qui n’a pas de date claire d’ajournement. 

E) Population du programme

Le programme affecte certaines personnes à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le NE comprend des renseignements personnels relatifs à des personnes identifiables associées à l’entreprise et est destiné aux programmes des entreprises.

F) Technologie et vie privée

L'activité ou le programme (nouveau ou modifié) comporte-t-il l’implantation d’un nouveau système électronique, logiciel ou programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est implanté pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Non

Détails : S.O.

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) demande des améliorations aux systèmes ou services en place de la technologie de l’information?  

Risque pour la vie privée : Non

Détails : S.O.

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes : 

Méthode d’identification améliorée

Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale et l’identification par radiofréquence), ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique et les « cartes intelligentes » qui sont dotées d’une antenne ou d’une plage de contact reliée à un microprocesseur et à une puce de mémoire ou à une puce de mémoire dotée d’une logique non programmable. 

Risque pour la vie privée : Non

Détails : S.O.

Utilisation de la surveillance

Cela comprend les technologies de surveillance, comme les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’identification par radiofréquence, la surveillance ou l’interception secrète, la surveillance assistée par ordinateur, y compris les pistes de vérification et la surveillance par satellite. 

Risque pour la vie privée : Non

Détails : S.O.

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances

Afin de respecter la Directive sur l’évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent cerner les activités qui comprennent l’utilisation d’une technologie automatisée pour analyser, créer, comparer, évaluer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.  

Risque pour la vie privée : Oui

Détails : L’application du NE contient divers processus de validation conçus pour assurer l’intégrité des données. Le NE et les applications d’autre partie cliente (APC) contiennent des opérations communes pour valider les données avant de les placer ou de les mettre à jour dans la base de données. Ces validations comprennent des règles opérationnelles des applications, les validations par rapport aux répertoires de tables de codes d’entreprise, les validations des partenaires internes (p. ex., index des villes, représenter un client, système d’informations sur les comptes de programme). et les validations de tiers comme les demandes de données pour l’intégrité des adresses. Toutes les opérations de validation des données sont documentées dans les spécifications applicatives approuvées par les entreprises.

Les activités d’appariement et de comparaison du NE des renseignements personnels comprennent :

Certains des éléments utilisés dans la recherche/correspondance sont :

De plus, il existe diverses façons d’extraire des données par d’autres systèmes où certains sont utilisés pour l’analyse, les modèles de processus, etc., aux fins des rapports et d’analyse des programmes du NE.

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système connecté à au moins un autre système. 

Niveau de risque pour la vie privée : 2

Détails : Au centre du système du NE se trouve l’application de l’ordinateur centrale, utilisée par les représentants du service à la clientèle pour l'inscription des clients. Les composants de l’Enterprise Java Bean (EJB) permettent aux services Web et aux applications  Web de l'ARC de communiquer avec l'ordinateur central du NE. Ces EJB sont également accessibles au moyen d’application d’interface utilisateur graphique (IUG) utilisée par les partenaires internes de l'ARC, telles que système des autres prélèvements et le bureau de l'agent des services aux contribuables – opportunité d'affaires

Le client peut créer et mettre à jour ses renseignements sur le NE dans l’ordinateur centralede l'ARC et ce directement au travers de l’Internet via l'inscription en direct des entreprises (IDE) et Mon dossier d'entreprise (MDE). L'application Web du registre de la TPS / TVH offre des renseignements sur les entreprises autorisées à facturer la TPS.

L'ARC travaille en partenariat avec divers ministères fédéraux et provinciaux pour l’échange de renseignements sur les clients. Par conséquent, les renseignements  sur le NE d'un client dans l’ordinateur central de l'ARC peuvent également être mises à jour lorsque certaines données du système d'un partenaire externe sont modifiées. Le partenaire externe peut envoyer les données à l’ordinateur central du NE de l’ARC au moyen d’un service Web, message d’alerte ou protocole de transfert de fichier et, comme résultat, mettre à jour l’ordinateur central du NE de l’ARC de façon automatisée. Un employé de partenaire externe peut rechercher des renseignements sur le NE au moyen de l’application Web, la provision automatique de renseignements de l’ARC. Les renseignements personnels sont partagés conformément à la législation des partenaires externes qui permet à l’ARC d’obtenir les renseignements pour ses programmes.  

H) Risque possible pour le particulier ou l’employé

Détails : Les traitements des données en cours sont considérées comme particulièrement sensibles (données des contribuables) et sont protégés par la loi fédérale. Les données des contribuables et les renseignements des utilisateurs sont stockés de manière permanente à l’ordinateur central du NE.

Les conséquences de la divulgation des données à des personnes non autorisées seraient une perte de confiance, d’intégrité, de conséquences juridiques, de perte financière, d’utilisation abusive et de fraude potentielle à la fois pour le contribuable et l'ARC et éventuellement pour des partenaires externes. 

I) Risque possible pour l’institution

Détails : Si les renseignements sont divulgués ou compromis accidentellement ou délibérément, on pourrait raisonnablement s’attendre d’embarrasser l’ARC, à une perte de crédibilité et de la confiance du public.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :