Recouvrement – Programmes gouvernementaux

Résumé de l'évaluation des facteurs relatifs à la vie privée (ÉFVP) - La Direction des recouvrements, Direction générale des recouvrements et de la vérification

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Représentant du gouvernement responsable de l’ÉFVP

Michael Snaauw
Sous-commissaire, Direction générale des recouvrements et de la vérification

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Recouvrements

Description de la catégorie de document et du fichier de renseignements personnels

Catégorie de documents propres à l’institution ou ordinaire :
Mesures de recouvrement (ARC DGRV 190)

Description des FRP spécifiques à l'institution ou ordinaire :
Mesures de recouvrement (ARC PPU 050)

Autorisation légale pour le programme ou l’activité

Les autorisations légales pour les activités de recouvrement des dettes liées aux programmes gouvernementaux (PG) découlent de ce qui suit :

Délégation des pouvoirs

Loi canadienne sur l’épargne-invalidité

Loi canadienne sur l’épargne-études

Code canadien du travail

Régime de pensions du Canada

Loi fédérale sur les prêts aux étudiants et Loi fédérale sur l’aide financière aux étudiants

Loi sur l’assurance-emploi et Loi sur l’assurance-chômage (PE et instrument de délégation).

Subventions et contributions (S et C) – EDSC et Travail

Loi sur l’indemnisation des agents de l’État

Loi sur l’indemnisation des marins marchands

Loi sur la sécurité de la vieillesse

Dettes de fonctionnement et entretien

Loi de 1997 sur le maintien des services postaux

Loi nationale sur la formation, L.C. 1982 (prorogée en vertu de la partie IX de la LAE)

Loi sur le Programme de protection des salariés

Loi sur les prêts aux apprentis

Loi sur l’immigration et la protection des réfugiés

Voici les pouvoirs d’EDSC

Loi sur le ministère de l’Emploi et du Développement social

Résumé du projet, de l’initiative, des modifications

L’Agence du revenu du Canada (ARC) est responsable du recouvrement des impôts, des prélèvements et des droits en souffrance, ainsi que du recouvrement des dettes liées aux programmes gouvernementaux (PG) pour le compte d’Emploi et Développement social Canada (EDSC). Le taux d’observation des contribuables au Canada compte parmi les meilleurs au monde, et les fonds recueillis dans le cadre des activités de recouvrement de l’ARC permettent de financer les biens et les services publics afin d’appuyer les Canadiens.

EDSC a la responsabilité de fournir les renseignements liés aux dettes et aux débiteurs, les renseignements comptables et les mises à jour, comme les changements d’adresse effectués durant le cycle de vie des dettes. L’ARC a la responsabilité d’enregistrer les renseignements obtenus dans le cadre des activités de recouvrement dans le Système ministériel des comptes débiteurs (SMCD). Il est important de noter qu’EDSC est le propriétaire de toutes les dettes liées aux PG, qu’il établit le montant des dettes et qu’il autorise la radiation des dettes.

La présente évaluation des facteurs relatifs à la vie privée (ÉFVP) cible et évalue les risques pour la protection des renseignements personnels dans le cadre des activités de recouvrement des dettes liées aux PG menées par l’ARC. Plus précisément, l’ÉFVP porte sur les activités de recouvrement de l’ARC, les processus, les recommandations et les décisions concernant les mesures de recouvrement prises à l’égard de dettes liées aux programmes d’EDSC, y compris sur les récents changements ci-dessous. La présente ÉFVP ne porte toutefois pas sur la détermination de l’admissibilité aux prestations ou aux subventions et contributions, sur les processus de vérification, sur le maintien des systèmes, sur l’établissement de la dette, sur le processus de règlement des différends, sur les fonctions comptables et sur l’approbation ou la suppression de dettes irrécouvrables, puisque ces éléments relèvent de la responsabilité d’EDSC.

Récents changements apportés au recouvrement des programmes gouvernementaux

Modification de la Loi de l’impôt sur le revenu

Auparavant, les renseignements concernant certaines dettes liées aux PG qui pouvaient être échangés entre le programme des recouvrements et les PG se limitaient à la dernière adresse connue des débiteurs, aux renseignements sur l’emploi et à la question de savoir si des montants sont disponibles ou non pour la compensation. Le pouvoir de communiquer ces renseignements a été accordé aux termes du paragraphe 9(3) de la Loi sur la gestion des finances publiques. Toutefois, l’article 241 de la Loi de l’impôt sur le revenu a été modifié en 2016 afin d’autoriser la communication de tous les renseignements des contribuables au programme de recouvrement des dettes liées aux PG. Aux termes de cette nouvelle modification législative, les renseignements ne doivent être communiqués que dans le but de faciliter le recouvrement des dettes liées aux PG. Des politiques, des procédures et des outils sont mis en place pour veiller à ce que les renseignements, lorsqu’ils sont communiqués, ne soient consultés et utilisés qu’aux fins visées, soit pour le recouvrement des dettes. Entre-temps, la situation demeurera inchangée et seuls certains renseignements seront communiqués jusqu’à ce que les politiques et procédures aient été créées et mises en œuvre.

Dettes liées à de nouveaux programmes à recouvrer

Une lettre d'entente a été signée en février 2017 afin de mettre à jour le protocole d'entente (PE) entre l'ARC, l'ESDC et la Commission pour tenir compte des deux nouvelles dettes supplémentaires liées à des programmes d’EDSC que l’ARC commencera à recouvrer : les dettes liées au programme de prêt canadien aux apprentis (Loi sur les prêts aux apprentis, Loi fédérale sur l’aide financière aux étudiants) et les nouvelles sanctions administratives pécuniaires imposées par le Programme des travailleurs étrangers temporaires.

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes, des activités et des services

Niveau de risque pour la vie privée : 2

Détails: Les renseignements personnels recueillis sont utilisés pour l’administration du recouvrement des dettes liées aux PG, ce qui comprend le dépistage et la localisation des débiteurs, la détermination de la capacité de payer et la prise de décisions concernant le recouvrement des dettes. Des actions en justice, comme une saisie-arrêt ou une poursuite devant la Cour fédérale, sont intentées au besoin pour régler le solde d’un compte. Le recouvrement des dettes liées aux PG ne consiste pas à assurer l’observation, à effectuer une enquête réglementaire, à appliquer la loi, à assurer une surveillance ou à recueillir des renseignements sur des personnes précises puisque les pénalités, les accusations criminelles ou les sanctions sont appliquées par EDSC. Les activités de recouvrement menées dans le cadre du programme de recouvrement des dettes liées aux programmes gouvernementaux visent à recouvrer les dettes impayées.

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale, les renseignements médicaux et financiers ou d’autres renseignements personnels de nature délicate et/ou encore le contexte de ceux-ci sont de nature délicate. Les renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom du particulier concerné.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels incluent le nom, la date de naissance, les coordonnées et les renseignements financiers. Afin de déterminer la capacité des débiteurs de payer et de régler le solde de leurs comptes, les agents des recouvrements exigent que les débiteurs leur fournissent des renseignements sur leur emploi actuel et antérieur, ainsi que sur leur revenu, leurs dépenses, leurs actifs et leurs passifs, et tout autre renseignement qui peut être pertinent. Des renseignements médicaux sont recueillis et utilisés pour déterminer les difficultés.

C) Partenaires de programme ou d’activité et participation du secteur privé

Des gouvernements étrangers, des organisations internationales ou des organisations du secteur privé.

Niveau de risque pour la vie privée : 4

Détails : Les employés des recouvrements PG accèdent aux renseignements d’autres programmes de l’ARC et d’autres organisations fédérales, provinciales, municipales ou du secteur privé. Dans certains cas, un tiers fournisseur de services externes peut être utilisé pour aider à trouver les débiteurs et à déterminer leur source de revenu. Tous les renseignements recueillis sont consignés dans le SMCD.

Les sources des organisations fédérales, provinciales ou municipales, ou du secteur privé sont les suivantes :

Institutions fédérales :

Partenaires provinciaux :

Partenaires municipaux :

Secteur privé :

D) Durée du programme ou de l’activité

Programme à long terme

Niveau de risque pour la vie privée : 3

Détails : Il s’agit d’un programme à long terme.

E) Population du programme

Le programme touche certains particuliers aux fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme de recouvrement des dettes liées aux PG touche les particuliers qui ont des dettes découlant des programmes d’EDSC.

F) Technologie et vie privée

L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l’activité à l’égard de la création, de la collecte ou de la manipulation de renseignements personnels?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Non

Détails : N/A

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

Détails: Le programme ne comprend pas l’utilisation de la surveillance des particuliers débiteurs qui font l’objet de mesures de recouvrement.

Toutefois, dans le cadre du programme de sécurité de l’ARC, des pistes de vérification sont utilisées pour surveiller les employés de l’ARC qui se connectent au SMCD afin de s’assurer que seuls les employés autorisés ont accès aux renseignements personnels et que les accès peuvent être liés à des personnes précises pour appuyer les enquêtes sur les cas soupçonnés ou présumés d’usage détourné. Cette activité est décrite dans le Fichier de renseignements personnels ordinaire POU 905 – Journaux de contrôle des réseaux électroniques.

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances pour l’application de la directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Détails: La macro-recherche (identificateur du Référentiel des applications locales 829, version 11) est le seul outil automatisé utilisé pour le rapprochement ou l’extraction de renseignements personnels. La macro-recherche est un outil d’extraction de renseignements fondé sur la technologie. Elle permet d’extraire des données personnelles se limitant aux noms, aux adresses et aux antécédents professionnels des débiteurs à partir des applications sur ordinateur central suivantes de l’ARC :

La macro-recherche sert uniquement à extraire des renseignements; elle ne sert pas à formuler, à orienter ou à déterminer les mesures administratives qui doivent être prises.

G) Transmission des renseignements personnels

Les renseignements personnels sont transmis à l’aide de technologies sans fil.

Niveau de risque pour la vie privée : 4

Détails: N/A

Renseignements obtenus au moyen de la macro-recherche :

Le programme de recouvrement des dettes liées aux PG utilise tous les éléments susmentionnés. Les documents papier contenant des renseignements personnels obtenus à l’aide d’une recherche effectuée avec la macro-recherche sont recueillis, utilisés et distribués de manière sécurisée aux employés qui en ont besoin pour exécuter leurs tâches.

La macro-recherche est un processus d’extraction de renseignements fondé sur la technologie qui extrait des données personnelles à partir des applications sur ordinateur central de l’ARC.

Transmission de renseignements personnels n’ayant pas été obtenus au moyen de la macro :

Dans certains cas, les renseignements personnels n’ayant pas été obtenus au moyen de la macro-recherche sont transmis électroniquement par l’entremise de l’accès à distance sécurisé. Les agents des recouvrements des PG qui ont une entente de télétravail et les gestionnaires qui utilisent des appareils BlackBerry en sont des exemples. Les mesures décrites dans les Normes de l’ARC sur la transmission et le transport des renseignements et des biens de catégories protégé et classifié sont respectées.

L’accès au SMCD se fait à l’aide des applications AppGate et Citrix. Pour se connecter à l’application AppGate, les utilisateurs ont besoin de jetons ou de grilles d’authentification au lieu de certificats d’infrastructure à clés publiques (ICP), ainsi que de l’identificateur d’utilisateur d’Active Directory d’EDSC attribué aux employés autorisés de l’ARC qui sont affectés aux activités de recouvrement pour le compte d’EDSC. Les certificats d’ICP sont utilisés pour l’envoi de courriels chiffrés contenant des renseignements « Protégé B » entre l’ARC et ESDC.

Le SMCD se connecte à plusieurs systèmes d’ordinateur central d’EDSC qui sont liés à des programmes précis, comme le Système à accès direct de l’assurance pour l’assurance-emploi (SADA), le Système d’exécution du renouvellement de la technologie de l’information pour le RPC, le Système canadien de prêts aux étudiants et le logiciel de planification des ressources de l’entreprise. Ces autres systèmes transmettent des renseignements au SMCD pour l’établissement des dettes ou la mise à jour des adresses. De plus, lorsque les montants approuvés déductibles des prestations d’assurance-emploi sont saisis dans le SMCD, le SADA est mis à jour.

En ce qui concerne le niveau 4, les technologies sans fil sont de plus en plus utilisées et il est nécessaire d’avoir un meilleur accès à l’environnement de l’ARC à partir de n’importe quel endroit. L’accès à distance sécurisé pour les ordinateurs portatifs et les appareils BlackBerry est le moyen qu’a trouvé la Direction générale de l’informatique pour que les employés puissent accéder à l’environnement de l’ARC lorsqu’ils ne sont pas au bureau. L’envoi de renseignements Protégé A et Protégé B à l’aide de technologies sans fil comporte de faibles risques. Il est interdit d’échanger, de stocker ou de traiter des renseignements Protégé C ou classifiés sur un appareil BlackBerry.

H) Risque possible pour le particulier ou l’employé

Détails: Les conséquences d’une violation de la vie privée, comme la divulgation involontaire de renseignements personnels à une personne non autorisée ou la perte des renseignements personnels d’une personne, peuvent être importantes pour un particulier débiteur. Si les renseignements personnels d’une personne sont compromis, la préoccupation initiale est le mauvais usage des renseignements personnels qui pourrait donner lieu au vol de l’identité de la personne. Les renseignements pourraient être utilisés à l’insu de la personne ou sans son consentement de manière à causer atteinte à sa réputation ou à lui occasionner des pertes financières (p. ex., mauvais usage des renseignements sur les cartes de crédit de la personne ou dettes contractées en son nom).

I) Risque possible pour l’institution

Détails: La protection de la vie privée et de la confidentialité est essentielle à l’administration du recouvrement des dettes liées aux PG par l’ARC. Le plus grand risque associé à la violation de la vie privée est la perte de confiance du public envers l’ARC, ce qui pourrait influencer le comportement en matière d’observation. La couverture médiatique négative et l’atteinte à la réputation qui découleraient d’une violation seraient très difficiles à corriger. L’ARC pourrait même devoir faire face à des poursuites judiciaires. Le public a une grande confiance envers l’ARC et croit que l’Agence fait preuve de vigilance dans la protection des renseignements personnels des contribuables. Si ces renseignements sont divulgués accidentellement ou délibérément, ou compromis, l’ARC pourrait être dans l’embarras et perdre de la crédibilité et la confiance du public.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :