Résumé de l’évaluation des facteurs relatifs à la vie privée (ÉFVP) – Déclaration améliorée de renseignements financiers sur les comptes financiers

La Direction des déclarations des particuliers de la Direction générale de cotisation, de prestations et de service et la Direction du secteur international et des grandes entreprises de la Direction générale des programmes d’observation

 

Aperçu et amorce d’une ÉFVP

 

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Frank Vermaeten
Sous-commissaire
Direction générale de cotisation, de prestations et de service
et
Richard Montroy
Sous-commissaire
Direction générale des programmes d’observation

Responsable de l’institution fédérale ou délégué aux fins de l’article　10 de la Loi sur la protection des renseignements personnels

Marie-­Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Traitement des déclarations et des paiements des particuliers et secteur international et des grandes entreprises

Résumé du projet, de l’initiative, des modifications :

En 2010, les États-Unis (É.-U.) ont promulgué la loi intitulée Foreign Account Tax Compliance Act (FATCA). La FATCA a été adoptée afin de protéger l’assiette fiscale des É.-U. en empêchant l’utilisation des comptes à l’étranger en vue d’éviter les impôts. La FATCA y parvient en demandant aux institutions financières non américaines de conclure un accord avec l’Internal Revenue Service (IRS) des É.-U. et de déclarer tous les comptes détenus par les personnes des É.-U. ou par des entités non américaines (entités passives et non financières) contrôlées par une ou plusieurs personnes des É.-U. Aux fins de la FATCA, une personne des É.-U. est :

• un citoyen ou un résident des É.-U., ou
• une entité américaine (par exemple, une société, une fiducie ou une société de personnes).

Si une institution financière non　américaine ne se conforme pas à la FATCA, les payeurs effectuant certains paiements de l’impôt sur le revenu de source américaine à une institution financière non conforme seraient tenus de retenir 30 % du paiement. La retenue d’impôt de la FATCA de 30 % peut également être imposée aux titulaires de compte à une institution financière non américaine conforme qui omet de fournir des documents afin de déterminer s’il s’agit de personnes des É.-U. et aux entités non américaines qui omettent d’identifier les personnes des É.-U. qui exercent le contrôle.

En juillet 2012, les É.-U. ont lancé un modèle d’accord – le modèle 1. Dans le cadre de l’entente intergouvernementale pour le modèle 1, un pays signataire de l’accord convient d’imposer des obligations à ses institutions financières afin de déterminer les comptes des personnes des É.-U. et les entités non américaines dont les personnes des É.-U. exercent le contrôle et de déclarer certains renseignements sur ces comptes à l’administration fiscale des pays signataires. L’administration fiscale du pays signataire fournit ensuite ces renseignements à l’IRS.

En contrepartie, les É.-U. conviennent de ne pas appliquer la FATCA à l’égard des institutions financières qui exercent des activités dans le pays signataire de l’accord. Les É.-U. conviennent également de recueillir et de fournir au pays signataires de l’accord certains renseignements sur les comptes financiers détenus par les résidents du pays signataire de l’accord à l’institution financière des É.-U.

Le 5 février 2014, le Canada et les É.-U. ont signé l’accord, qui est fondé sur le modèle 1 de l’accord intergouvernemental (l’accord intergouvernemental Canada-États-Unis). Dans le cadre de l’accord, le Canada et les É.-U. conviennent d’échanger automatiquement et annuellement certains renseignements conformément au paragraphe　XXVII (échange de renseignements) de la Convention entre le Canada et les États-Unis d’Amérique en matière d’impôts sur le revenu et sur la fortune.

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l’institution ou ordinaire :
Déclarations de revenus et de prestations T1 – Programme des cotisations initiales / ARC [DGCPS] 126 et ARC DGPO　261

Description des fichiers de renseignements personnels spécifiques à l’institution ou ordinaires :
Traitement des déclarations et des paiements des particuliers
Enregistrement (SCT) : 002014
Numéro de fichier : ARC PPU 005 

Administration du programme de l’autorité compétente
Enregistrement (SCT) : 002021
Numéro de fichier : ARC PPU 085  

Autorisation légale pour le programme ou l’activité

Loi de mise en œuvre de l’Accord Canada-États-Unis pour un meilleur échange de renseignements fiscaux
Partie XVIII de la Loi de l’impôt sur le revenu

Détermination et classement du risque

1) Type de programme ou d’activité

Observation ou enquêtes réglementaires et exécution de la réglementation

Niveau de risque pour la vie privée : 3

Détails :

Les dispositions législatives de mise en œuvre (la Loi de mise en œuvre de l’Accord Canada-États-Unis pour un échange amélioré de renseignements fiscaux et la Partie XVIII de la Loi de l’impôt sur le revenu) pour l’accord intergouvernemental Canada-États-Unis ont été inscrites dans la partie 5 du projet de loi C-31, qui a reçu la sanction royale le 19 juin 2014 et qui est entré en vigueur le 27 juin 2014. Les dispositions législatives sont en vigueur depuis le 1^er juillet 2014. En vertu de la nouvelle partie XVIII de la Loi de l’impôt sur le revenu, les institutions financières canadiennes sont tenues de produire annuellement la déclaration de renseignements de la partie XVIII auprès de l’ARC afin de fournir des renseignements sur les comptes financiers détenus par des personnes des É.-U. et les entités non　américaines qui sont contrôlées par une ou plusieurs personnes des É.-U.

L’ARC recueillera annuellement de la part des institutions financières des renseignements personnels liés aux comptes financiers dans les déclarations de renseignements de la partie XVIII. L’ARC transmettra ensuite les données à l’IRS.

L’ARC recevra annuellement des renseignements personnels liés aux comptes financiers gérés par les institutions financières américaines.

L’ARC stockera les données recueillies dans les déclarations de renseignements de la partie XVIII et celles de l’IRS. Les activités courantes d’observation qui s’appliquent aux déclarations de renseignements s’appliqueront aux renseignements de la partie XVIII, et les travaux d’observation qui étaient appliqués aux renseignements reçus de l’IRS se poursuivront en ce qui a trait aux renseignements reçus par voie électronique de l’IRS. On prendra en compte l’utilisation des données dans d’autres ÉFVP au niveau du programme.

2) Type de renseignements personnels en jeu et contexte

Renseignements personnels, y compris les données sur l’identité telles que le numéro d’assurance sociale et l’adresse, ainsi que les renseignements financiers du compte.

Niveau de risque pour la vie privée : 3

Détails:

Nom, adresse, numéro d’identification fiscal canadien (p. ex. numéro d’assurance sociale et numéro d’entreprise) et numéro d’identification fiscal américain, numéro de compte, solde / valeur du compte, intérêts, dividendes et autres revenus payés ou crédités au compte, montant des ventes ou des rachats de biens payés ou crédités au compte ou autres montants payés ou crédités au titulaire de compte relativement au compte.

3) Partenaires de programme ou d’activité et participation du secteur privé

Organismes du secteur privé, organismes internationaux ou gouvernements étrangers.

Niveau de risque pour la vie privée : 4

Détails :

Nord-Sud

En ce qui concerne chaque compte financier détenu dans une institution financière canadienne par une personne des É.-U. ou une entité non américaine dont une ou plusieurs personnes des É.-U. exercent le contrôle, les renseignements seront recueillis par l’institution financière et déclarés à l’ARC, qui transmettra à son tour les renseignements à l’IRS.

Sud-Nord

En ce qui concerne chaque compte financier dans une institution financière américaine détenu par un résident du Canada, les renseignements seront recueillis par l’IRS et ils seront transmis ensuite à l’ARC.

4) Durée du programme ou de l’activité

Indéterminé.

Niveau de risque pour la vie privée : 3

Détails : Il s’agit d’un nouveau programme n’ayant aucune date de fin.

5) Population du programme

Le programme touche certains particuliers (citoyens ou résidents des É.-U) à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails :

Nord-Sud

Le programme touchera les personnes des É-U. et les entités non américaines, dont les personnes des É.-U. exercent le contrôle, qui détiennent des comptes financiers dans des institutions financières exerçant leurs activités au Canada.

Sud-Nord

Le programme touchera les résidents du Canada qui détiennent des comptes financiers dans des institutions financières exerçant leurs activités aux É.-U.

6) Technologie et vie privée

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) comporte la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour prendre en charge le programme ou appuyer l’activité de la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Oui

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) est une modification des anciens systèmes et/ou services de la TI?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité, nouvelle ou modifiée comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – Cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « easy-pass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable.

Risque pour la vie privée : Non

Détails : S.O.

Utilisation de la surveillance – Cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

Détails :

Cette initiative ne comprend pas l’utilisation de la surveillance de la population du programme.

Toutefois, dans le cadre des programmes de sécurité de l’ARC, les employés de l’ARC qui auront accès aux renseignements personnels des contribuables feront l’objet d’une surveillance à l’aide du Système de pistes de vérification en direct (SPVD). Le SPVD enregistre les renseignements, tels que l’ID utilisateur pour l’ouverture de session, la date et l’heure de l’ouverture et de la clôture de session, l’emplacement où se trouve l’utilisateur, l’identité du terminal, le nom et l’ID du client pour les dossiers auxquels on a accédés, y compris les modifications apportées pendant chaque séance de l’utilisateur.

Les renseignements sont utilisés pour confirmer que seul un utilisateur autorisé accède aux renseignements personnels et pour s’assurer que l’accès peut être lié à l’utilisateur à l’appui de l’enquête d’une utilisation malveillante soupçonnée ou alléguée.

Chaque fois que les employés de l’ARC ouvrent une session dans leur ordinateur, un avis s’affiche et exige que les employés reconnaissent qu’ils sont au courant du fait que tout accès aux réseaux de l’ARC est surveillé et que l’accès est uniquement en cas de nécessité absolue. Les renseignements sont décrits dans le Fichier de renseignements personnels ordinaire Journaux de contrôle des réseaux électroniques (POU 905).

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – Pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour trouver des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Détails :

Nord-Sud

On recourra à un processus de rapprochement de données afin de vérifier l’exactitude des renseignements du déclarant (c.-à-d. les institutions financières canadiennes) par rapport à une « source sure » au sein de l’ARC :

L’identification du déclarant (c.-à-d. le numéro d’entreprise) sera validée avec la base de données des numéros d’entreprise. Cette validation existe actuellement pour d’autres déclarations de renseignements.

La prestation des numéros d’identification est prescrite en vertu de la Loi de l’impôt sur le revenu et l’accord intergouvernemental Canada-États-Unis. On utilisera un processus de rapprochement des données afin de s’assurer que les déclarations de renseignements de la partie XVIII sont produites sous un compte valide (numéro d’entreprise).

Les informations fournies par les institutions financières canadiennes afin d’identifier le titulaire de compte (c.-à-d. le numéro d’identification fiscal et le nom) ne seront pas validées à l’ARC.

L’ARC effectue des travaux d’observation sur les déclarations de renseignements à l’aide des numéros d’identification (p. ex. numéro d’assurance sociale) dans le cadre de son programme de rapprochement.

Sud-Nord

Les renseignements reçus de l’IRS sont renvoyés aux secteurs de programmes spéciaux en matière d’observation de l’ARC (tels que l’Observation à l’étranger) ou ils sont examinés à la Division des services de l’autorité compétente. Dans le dernier scénario, les données sont traitées manuellement (y compris le rapprochement manuel des données aux renseignements en mains) et, lorsqu’une possibilité est déterminée, le cas est ensuite renvoyé aux secteurs d’observation compétents de l’ARC tels que l’Administration centrale, les secteurs de la vérification spécialisée ou le bureau des services fiscaux concernés.

7) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui a des connexions à au moins un autre système.

Niveau de risque pour la vie privée : 2

Détails :

Les déclarants peuvent utiliser deux services qui sont offerts sur le site Web public de l’ARC afin de produire leurs déclarations de renseignements de la partie XVIII. Le premier service est l’application Transfert de fichiers par Internet dans laquelle les déclarants peuvent produire leur déclaration en format XML. Le deuxième service est Formulaires Web avec lequel le déclarant peut créer manuellement sa déclaration et la produire. Ces déclarations produites par voie électronique sont ensuite traitées et stockées dans la base de données de l’ordinateur central InfoDec de l’ARC.

Nord-Sud

Les institutions financières présenteront les déclarations de renseignements de la partie XVIII en format XML par Internet au moyen des services Transfert de fichiers par Internet ou Formulaires Web de l’ARC. Ces services existent déjà et sont actuellement utilisés par les institutions financières pour produire d’autres déclarations de renseignements. Au moyen d’un processus automatisé, ces données seront ensuite stockées systématiquement dans la base de données InfoDec. Cependant, il n’existe aucune connectivité directe entre l’application Internet et la base de données de l’ordinateur central.

Ni le processus opérationnel ni les composantes de la nouvelle application n’offrent la capacité de prendre les données et de les stocker sur une clé USB.

Sud-Nord

Les informations reçues de l’IRS seront en format XML et transmis au moyen d’une voie de transmission chiffrée. Il s’agit des mêmes outils utilisés dans la circulation des renseignements Nord-Sud.

8) Risque possible pour l’institution

Détails :

Si ces renseignements devaient être accidentellement ou délibérément divulgués ou compromis, cela pourrait causer un embarras pour l’ARC et entraîner une perte de crédibilité et une baisse de la confiance du public.

9) Risque possible pour le particulier ou l’employé

Détails : Si des renseignements personnels étaient compromis, cela pourrait entraîner un préjudice financier et un embarras pour le particulier.