Prestation canadienne d’urgence – Sommaire de l’évaluation des facteurs relatifs à la vie privée

Direction de la Direction de l’intégration horizontale, Direction générale de cotisation, de prestation et de service
Agence du revenu du Canada

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada/Emploi et Développement social Canada

Fonctionnaire responsable de l’ÉFVP

Frank Vermaeten
Sous-commissaire
Direction générale de cotisation, de prestation et de service
Agence du revenu du Canada

Cliff Groen
Sous-ministre adjoint principal
Direction générale des prestations et des services intégrés
Emploi et Développement social Canada

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Steven Morgan
Directeur général
Direction de l’accès à l’information et de la protection des renseignements personnels.
Agence du revenu du Canada

Scott MacKay
Directeur
Division de la gestion de la protection des renseignements personnels, Direction générale des services corporatifs
Emploi et Développement social Canada   

Nom du programme ou de l’activité de l’institution fédérale

Pour l’Agence :
Programme de prestations

Pour EDSC :
Programme de prestations

Catégories de documents spécifiques à l’institution ou ordinaires :
Agence du revenu du Canada :– Prestation canadienne d’urgence (PCU) – ARC DGCPS 649
EDSC : Une nouvelle catégorie de documents n’a pas été rédigée.

Description des FRP spécifiques à l’institution ou ordinaire :
Agence du revenu du Canada : Prestation canadienne d’urgence (PCU) – ARC PPU 640
EDSC : Le fichier de renseignements personnels pertinent, Dossiers de demandes de prestations d’assurance-emploi, EDSC PPU 151, n’a pas été mis à jour.

Autorisation légale pour le programme ou l’activité

Ce qui suit représente les pouvoirs d’Emploi et Développement social Canada (EDSC) :

• Le ministre d’Emploi et Développement social est responsable de l’application et de l’exécution de la Loi sur la prestation canadienne d’urgence et doit rendre des comptes en ce qui la concerne.

L’article 11 de la Loi sur le ministère de l’Emploi et du Développement social (LMEDS) stipule ce qui suit : « Le ministre peut déléguer ses attributions, à titre individuel ou collectif, au ministre du Travail, à la Commission ou à toute autre personne ou à tout autre organisme qu’il désigne. » Remarque : le ministre d’EDSC a le pouvoir de désigner des personnes ou des organismes qui pourront exercer des pouvoirs ministériels et prendre des décisions qui ne seraient autrement conférées qu’à lui. Le pouvoir d’administrer les articles 4, 5, 9, 10, 12 et 13, y compris les paiements et le traitement des renseignements personnels, est donné à l’Agence au moyen d’un instrument de délégation (une lettre d’autorisation).

Ce qui suit représente le pouvoir que possède l’Agence du revenu du Canada d’administrer ces prestations au nom d’Emploi et Développement social Canada (EDSC) :

• L’article 61 de la Loi de l’Agence du revenu du Canada autorise l’Agence du revenu du Canada à conclure des contrats, des ententes ou autres accords avec des gouvernements, des organismes publics ou privés et des organisations ou des particuliers au nom de Sa Majesté du chef du Canada ou en son propre nom. Remarque : cela confère à la ministre de l’Agence le pouvoir de conclure des ententes pour administrer des programmes au nom d’autres pouvoirs publics ou d’organismes publics ou privés.
  
• L’instrument de délégation (la lettre d’autorisation) donné à l’Agence du revenu du Canada autorise celle-ci à recueillir des renseignements personnels et à appliquer la Loi sur la prestation canadienne d’urgence au nom d’EDSC. Cette mesure est conforme à l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social en ce qui concerne les articles 4, 5, 9, 10, 12 et 13 de la Loi sur les prestations d’urgence du Canada signée le 3 avril 2020.
  
• Le sous-alinéa 241(4)d)(vii.6) de la Loi de l’impôt sur le revenu autorise un fonctionnaire de l’Agence à fournir les renseignements d’un contribuable à un autre fonctionnaire, uniquement aux fins de l’application et de l’exécution de la Loi sur la prestation canadienne d’urgence ou de l’évaluation ou de l’élaboration d’une politique dans le cadre de cette loi.

Résumé du projet, de l’initiative, des modifications

Aperçu du programme ou de l’activité

Pour soutenir les travailleurs, le gouvernement adoptait le 25 mars 2020 une loi (le projet de loi C-13, Loi relative à certaines mesures en réponse à la COVID-19) et établissait la Prestation canadienne d’urgence (PCU). Cette prestation de 2000 $ est versée aux travailleurs dont le revenu est touché en raison de la pandémie de COVID-19, toutes les quatre semaines pendant un maximum de 16 semaines. (Remarque : au moment de la rédaction de l’évaluation des facteurs relatifs à la vie privée [ÉFVP], la prestation avait été prolongée de 12 semaines pour un total de 28 semaines.)

La prestation est offerte aux travailleurs qui :

• résident au Canada et qui ont 15 ans ou plus;
• ont vu leur travail touché pour des raisons liées à la pandémie de COVID-19;
• ont droit à des prestations ordinaires d’assurance-emploi ou à des prestations de maladie, ou ont épuisé les premières ou leurs prestations de pêcheur de l’assurance-emploi, entre le 29 décembre 2019 et le 3 octobre 2020;
• avaient un revenu d’emploi ou de travail indépendant d’au moins 5 000 $ en 2019, ou au cours des 12 mois précédant la date de leur demande;
• n’ont pas quitté leurs emplois volontairement.

Les travailleurs n’ont pas droit à des prestations s’ils avaient gagné plus de 1 000 $ en revenu d’emploi ou de travail indépendant :

• pendant 14 jours consécutifs ou plus au cours de la première période de prestations;
• de quatre semaines demandées, ou pour toute la période de prestations de;
• quatre semaines pour les demandes subséquentes

Les demandes de PCU ont commencé le 6 avril 2020; le programme exige que les Canadiens attestent qu’ils satisfont aux exigences d’admissibilité. Ils doivent confirmer de nouveau leur droit aux prestations toutes les quatre semaines. Les Canadiens sélectionneront l’un des trois moyens suivants pour présenter une demande de prestations :

1. à l’aide du portail sécurisé Mon dossier de l’Agence du revenu du Canada;
2. en composant le numéro sans frais du système de demande automatisé;
3. en composant le numéro sans frais des demandes de renseignements des particuliers pour obtenir de l’aide s’ils ne peuvent utiliser les autres services.

L’Agence du revenu du Canada administre cette prestation au nom d’Emploi et Développement social Canada (EDSC) et utilise les renseignements sur les contribuables existants aux fins de vérification de l’admissibilité ainsi que d’observation et d’exécution.

La portée de l’évaluation des facteurs relatifs à la vie privée

La phase I porte uniquement sur l’administration de la prestation. On estime qu’elle fait partie du champ d’application de la présente ÉFVP. Dans le cadre de la phase I, EDSC a délégué à l’Agence les pouvoirs décrits aux articles 4, 5, 9 et 10 de la Loi sur la prestation canadienne d’urgence.

Des activités post-vérification, d’observation et d’exécution seront entreprises à la phase 2, pour s’assurer que les demandeurs qui ont droit aux prestations ont reçu celles qui sont appropriées et que tout paiement en trop est perçu en conséquence, comme il est prévu dans le protocole d’entente entre EDSC et l’Agence. À la phase 2, EDSC a délégué à l’Agence des pouvoirs – décrits aux articles 12 et 13 de la Loi sur la prestation canadienne d’urgence – qui ne s’inscrivent pas dans le champ d’application de la présente ÉFVP. Une mise à jour apportée à la présente ÉFVP, ou une prochaine ÉFVP, abordera les activités d’observation et d’exécution de la phase 2.

Détermination et classement du risque

A) Type de programme ou d’activité

Administration du programme/Activité et services

Niveau de risque pour la vie privée : 2

Détails : EDSC et l’Agence se serviront des renseignements personnels pour administrer la Prestation canadienne d’urgence. L’administration de la prestation, phase 1 (articles 4, 5, 9 et 10 de la Loi sur la prestation canadienne d’urgence) s’inscrit dans le champ d’application de la présente ÉFVP. Les activités d’observation et d’exécution de la phase 2 (articles 12 et 13 de la Loi susmentionnée) ne s’inscrivent pas dans ce champ.

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale (NAS), les renseignements médicaux ou financiers, ou d’autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Les renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d’un particulier.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels peuvent comprendre : le nom, les coordonnées, le numéro d’assurance sociale (NAS), le numéro d’identification fiscale (p. ex., le numéro d’identification temporaire [NIT]), le numéro d’identification-impôt (NII), la date de naissance, la date de décès, le statut correctionnel, l’adresse postale, le revenu, l’attestation d’admissibilité et les renseignements du dépôt direct.

Le NIT et le NII sont les identificateurs utilisés par l’Agence pour permettre aux particuliers de produire des déclarations de revenus, même s’ils sont des résidents dépourvus de NAS, par exemple :

• NIT : Pour les contribuables qui résident au Canada et qui sont tenus de produire des déclarations de revenus, mais qui ne peuvent obtenir un NAS. Certaines personnes qui ont un NIT peuvent avoir droit à la PCU.
• NII : Pour les contribuables qui sont des non-résidents ou des étudiants étrangers et qui sont tenus de produire des déclarations de revenus, mais qui ne peuvent obtenir un NAS. Certaines personnes qui ont un NII peuvent avoir droit à la PCU.

Afin de déterminer davantage l’admissibilité, le système d’identification T1 de l’Agence fera l’objet d’une référence croisée (rapprochement des données) avec les renseignements suivants :

• Date de naissance : Cette vérification empêchera le traitement des demandes des personnes de moins de 15 ans.
• Date de décès : Cette vérification empêchera le traitement de la demande.
• Le statut correctionnel du demandeur empêchera le traitement de la demande. Détenus sous responsabilité fédérale:
  • les données reçues de Service correctionnel du Canada (SCC) pour l’incarcération fédérale, selon le protocole d’entente entre l’Agence, SCC;
  • et les détenus sous responsabilité provinciale, ainsi qu’une liste des adresses publiques des institutions provinciales pour les personnes qui y sont incarcérées.
  • Ces personnes n’ont pas droit à la prestation. On les avisera qu’elles ne peuvent pas présenter une demande de PCU en raison de leur statut correctionnel.

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec d’autres institutions fédérales.

Niveau de risque pour la vie privée : 2

Détails : À la phase I (articles 4, 5, 9 et 10 de la Loi sur la prestation canadienne d’urgence), l’Agence administre la PCU au nom d’EDSC.

D) Durée du programme ou de l’activité

Programme à court terme

Niveau de risque pour la vie privée : 2

Détails : Il s’agit d’un programme à court terme qui aidera les Canadiens aux prises avec des difficultés financières en raison de l’éclosion de COVID-19. Pour le moment, aucun travailleur n’est autorisé à présenter une demande après le 2 décembre 2020. Toutefois, les activités d’exécution (pour vérifier ou recouvrer les paiements erronés ou en trop) pourraient durer quelques années. Remarque : les activités d’exécution feront l’objet d’une ÉFVP qui leur est propre, ou d’une mise à jour de la présente ÉFVP. Les activités d’exécution et d’observation de la phase 2 (articles 12 et 13 de la Loi sur la prestation canadienne d’urgence) ne font pas partie du champ d’application de la présente ÉFVP.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme touche les travailleurs qui présentent une demande de PCU.

F) Technologie et vie privée

L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence [IRF], etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Non

Détails : S/O

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

Détails : S/O

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Détails : Puisque seuls les résidents canadiens ont droit à cette prestation, les contribuables sont tenus de fournir les neuf chiffres de leur numéro d’assurance sociale (NAS). Pour les personnes qui n’ont pas de NAS, leur numéro d’identification temporaire (NIT) ou d’identification-impôt (NII) sera mis en correspondance avec les renseignements que l’Agence a au dossier dans le système d’identification T1. Le système vérifiera également le statut correctionnel et l’âge (l’âge minimal pour l’admissibilité est de 15 ans) afin de limiter le nombre des demandeurs aux seules personnes qui ont droit à la prestation.

Remarque : EDSC ne peut traiter que les prestations d’urgence de l’assurance-emploi (AE) des particuliers qui ont un NAS. Dans l’échange de données entre l’Agence et EDSC, EDSC ne reçoit ni le NIT ni le NII. Ces identificateurs sont propres au système d’identification T1 de l’Agence. EDSC ne reçoit que les données sur le NAS des demandeurs qui ont présenté une demande de prestations d’urgence par l’intermédiaire de l’Agence.

Statut correctionnel : Le système contient le statut des personnes détenues sous la responsabilité fédérale. SCC fournit ces renseignements à l’Agence tous les mois au moyen d’un protocole d’entente établi. Le système contient également les adresses publiques des institutions provinciales. Le système signale les demandes soumises par les personnes détenues à l’aide des renseignements de SCC ou des adresses des établissements provinciaux. Les détenus signalés n’ont pas droit aux prestations, d’où le rejet de leur demande.

Les personnes qui utilisent le service Mon dossier de l’Agence pourront aussi mettre à jour d’autres renseignements d’identification, y compris leur adresse postale et leurs renseignements du dépôt direct à l’aide des procédés habituels (qui n’ont pas changé).

EDSC fournira à l’Agence un dossier quotidien contenant uniquement les numéros d’assurance sociale (NAS) des prestataires de l’assurance-emploi (en congé de maternité ou parental) et des personnes qui reçoivent la prestation d’AE d’urgence (prestataires habituels ou malades). Cet envoi servira à confirmer que les clients de la PCU de l’Agence ne sont pas déjà inscrits auprès d’ESDC pour les prestations de maternité et parentales de l’AE, ou pour le paiement de la prestation d’AE d’urgence d’EDSC. L’Agence fournira ensuite un dossier hebdomadaire à EDSC, contenant des renseignements sur les comptes clients de la PCU, y compris les NAS, les types de prestation (volet) et les périodes de paiement de quatre semaines applicables. EDSC déterminera s’il faut remettre un paiement anticipé de 2 000 $ aux clients de la prestation d’AE d’urgence.

Hors du champ d’application : les activités de la phase 2 de ce programme qui seront postérieures à l’évaluation comprendront des activités de vérification et d’exécution (hors du champ d’application de la présente ÉFVP). L’Agence utilisera alors d’autres renseignements personnels, comme le revenu, pour vérifier l’admissibilité au programme.

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système.

Niveau de risque pour la vie privée : 2

Les renseignements personnels sont transférés à un appareil portable ou sont imprimés.

Niveau de risque pour la vie privée : 3

Les renseignements personnels sont transmis à l’aide de technologies sans fil.

Niveau de risque pour la vie privée : 4

Détails : Les renseignements personnels liés à une demande de PCU sont transmis par le particulier à l’Agence – par voie électronique au moyen de Mon dossier – au moyen de technologies avec ou sans fil. Les renseignements personnels sont aussi transmis par le particulier à l’Agence au moyen d’un service téléphonique automatisé, à l’aide d’une ligne téléphonique terrestre ou d’un téléphone cellulaire. Ces renseignements Protégé B sont ensuite enregistrés dans divers systèmes et bases de données de l’Agence, qui ont accès à d’autres systèmes. Parfois, ils peuvent être transférés à un appareil portatif sécurisé et approuvé par l’Agence, comme une clé USB sécurisée par un niveau de chiffrement plus élevé (p. ex., une divulgation autorisée aux personnes chargées de faire appliquer la loi).

Les données du demandeur sur son NAS sont tirées de l’ordinateur central de l’Agence. Ils sont ensuite envoyés à EDSC au moyen d’un canal sécurisée existant, soit le protocole de transfert de fichiers (FTP) sécurisé à l’aide du logiciel de chiffrement Entrust.

Le mécanisme d’échange de données (protocole FTP sécurisé) entre EDSC et l’Agence – et appuyé par SSC – existe depuis plus d’une décennie et demeure le même pour la présente initiative.

H) Risque possible pour le particulier ou l’employé

Détails : Si des renseignements personnels sont compromis, cela peut entraîner un préjudice financier et un embarras pour le particulier touché.

Au début du mois d’août, le gouvernement du Canada a pris des mesures pour mettre fin aux attaques de bourrage de justificatifs contre le Service de justificatifs d’identité portant la marque du gouvernement du Canada (« CléGC ») et le Mon dossier pour les particuliers de l’Agence.

L’Agence continue de surveiller les activités suspectes découlant des attaques de bourrage de justificatifs. Des mesures de protection ont été mises en place pour les comptes touchés. L’Agence a également mis en place des mesures pour repérer les comptes à risque élevé afin de prévenir les demandes de PCU potentiellement suspectes. Tous les paiements de la PCU valides continueront d’être émis.

Mon dossier Service Canada utilise la CléGC comme l’une des options pour ouvrir une session. Auparavant, les particuliers pouvaient accéder à leur Mon dossier de l’Agence au moyen d’un lien à partir de leur dossier Mon dossier Service Canada. Ce lien a été désactivé en réponse.

L’Agence collabore avec la GRC dans le cadre de son enquête sur les attaques de bourrage de justificatifs. L’Agence continue aussi de travailler avec des homologues du gouvernement, y compris le Centre canadien pour la cyber sécurité et le Secrétariat du Conseil du Trésor du Canada, pour répondre aux attaques de bourrage de justificatifs.

Le Commissariat à la protection de la vie privée a été informé des incidents de cyber sécurité. Le commissaire à la protection de la vie privée a entamé des enquêtes.

De plus amples renseignements sur les mesures d’atténuation se trouvent dans l’évaluation des facteurs relatifs à la vie privée de la gestion de l’authentification et des justificatifs d’identité.