Service de protection de l’identité

Direction de l’observation des particuliers
Direction générale des recouvrements et de la vérification

Sur cette page

• Aperçu et lancement de l’évaluation des facteurs relatifs à la vie privée (ÉFVP)
• Résumé du projet, de l’initiative ou des modifications
• Détermination et classement du risque

Aperçu et amorce d’une évaluation des facteurs relatifs à la vie privée (ÉFVP)

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Marc Lemieux
Sous-commissaire
Direction générale des recouvrements et de la vérification (DGRV)

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Anne Marie Laurin 
Directice générale
Direction de l’accès à l’information et de la protection des renseignements personnels 

Nom du programme ou de l’activité de l’institution fédérale

Observation en matière de déclarations

Catégories de documents spécifiques à l'institution ou ordinaire :

Programme du Service de protection de l’identité
ARC DGRV 180

Fichier de renseignements personnels spécifiques à l'institution ou ordinaire :

Protection de l’identité
ARC PPU 182

Autorisation légale pour le programme ou l’activité

Loi sur la prestation canadienne d’urgence

Loi sur la prestation canadienne d’urgence pour étudiants

Loi sur les prestations canadiennes de relance économique

Loi sur la prestation canadienne pour les travailleurs en cas de confinement

Une lettre d’autorisation émise en vertu de l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social à l’Agence du revenu du Canada (ARC), à l’égard des articles 4, 5, 9, 10, 12 et 13 de la Loi sur la prestation canadienne d’urgence, et signée le 3 avril 2020, autorise l’ARC à recueillir des renseignements personnels et à administrer la Loi sur la prestation canadienne d’urgence pour Emploi et Développement social Canada (EDSC).

Une lettre d’autorisation émise en vertu de l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social à l’ARC, à l’égard des articles 4, 5, 6, 10, 11, 12, 13, 14 et 15 de la Loi sur la prestation canadienne d’urgence pour étudiants, et signée le 12 mai 2020, autorise l’ARC à recueillir des renseignements personnels et à administrer la Loi sur la prestation canadienne d’urgence pour étudiants pour EDSC.

Une lettre d’autorisation émise en vertu de l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social, à l’égard du paragraphe 4(1), des articles 6 et 7, du paragraphe 8(2), du paragraphe 11(1), des articles 13 et 14, du paragraphe 18(1), des articles 20, 21 et 25, des paragraphes 26(1) et (2), de l’article 28, des paragraphes 29(1), (2) et (3), des articles 30, 31 et 32, des paragraphes 35(2) et (3) et des articles 37 et 38 de la Loi sur les prestations canadiennes de relance économique, et signée le 2 octobre 2020, autorise l’ARC à recueillir des renseignements personnels et à administrer la Loi sur les prestations canadiennes de la relance économique pour EDSC.

Une lettre d’autorisation émise en vertu de l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social, à l’égard du paragraphe 5(1), des articles 7 et 8, de l’article 12, des paragraphes 13(1) et (2), de l’article 16, les paragraphes 17(1), (2) et (3), des articles 18, 19 et 20, des paragraphes 23(2) et (3) et des articles 25 et 26 de la Loi sur la prestation canadienne pour les travailleurs en cas de confinement, et signée le 2 décembre 2021, autorise l’ARC à recueillir des renseignements personnels et à administrer la Loi sur la prestation canadienne pour les travailleurs en cas de confinement pour EDSC.

Loi de l’impôt sur le revenu

Paragraphe 220(1) – Fonctions du ministre

Paragraphe 220(2) – Fonctionnaires, commis et préposés

Paragraphe 220(2.01) – Délégation

Paragraphe 220(2.1) – Renonciation

Article 231.1 – Collecte de renseignements

Article 231.2 – Production de documents ou fourniture de renseignements

Article 237 – Numéro d’assurance sociale

Alinéa 241(4)a) – Lorsque des renseignements sur les contribuables peuvent être communiqués, un fonctionnaire peut fournir à une personne un renseignement confidentiel qu’il est raisonnable de considérer comme nécessaire à l’application ou à l’exécution de la présente loi, du Régime de pensions du Canada, de la Loi sur l’assurance-chômage ou de la Loi sur l’assurance-emploi, mais uniquement à cette fin.

Sous-alinéa 241(4)d) (vii.6) - Lorsque des renseignements sur les contribuables peuvent être communiqués, un fonctionnaire peut fournir ces renseignements à un fonctionnaire, mais uniquement en vue de l’application et de l’exécution de la Loi sur la prestation canadienne d’urgence ou en vue de la formulation et de l’évaluation des politiques concernant cette loi.

Sous-alinéa 241(4)d) (vii.7) - Lorsque des renseignements sur les contribuables peuvent être communiqués, un fonctionnaire peut fournir ces renseignements à un fonctionnaire, mais uniquement en vue de l’application et de l’exécution de la Loi sur les prestations canadiennes de relance économique ou de la Loi sur la prestation canadienne pour les travailleurs en cas de confinement, ou en vue de l’évaluation ou de la formulation des politiques concernant ces lois.

Alinéa 241(4)d) (xx)(A) - Lorsque des renseignements sur un contribuable peuvent être communiqués, un fonctionnaire peut fournir ces renseignements à un fonctionnaire de l’Agence du revenu du Canada, mais uniquement en vue de l’application ou de l’exécution de la Loi sur la prestation dentaire.

Sous-alinéas 241(4)d)(xxi) et (xxii) - Lorsque des renseignements sur les contribuables peuvent être communiqués, un fonctionnaire peut fournir ces renseignements à un fonctionnaire de l’Agence du revenu du Canada, mais uniquement en vue de l’application ou de l’exécution de la Loi sur la prestation pour logement locatif, ou à une personne qui est employée par la Société canadienne d’hypothèques et de logement, qui occupe une fonction de responsabilité au service de cette société ou qui est engagée par cette société ou en son nom, mais uniquement en vue de la formulation ou de l’évaluation de la politique concernant la Loi sur la prestation pour logement locatif.

Paragraphe 241(5) – Divulgation d’un renseignement confidentiel

Loi sur la prestation pour logement locatif

Section 8 – Ministre du Revenu national
Section 13 – Numéro d’assurance sociale
Paragraphe 14(1) – Demande de renseignements et production de documents

Loi sur la prestation dentaire

Section 11 – Ministre du Revenu national
Section 15 – Numéro d’assurance sociale
Paragraphe 16(1) – Demande de renseignements et production de documents

Loi sur l’Agence du revenu du Canada
Section 10 – Autres instructions
Alinéa 30(1)a) – Compétence générale de l’Agence. L’Agence a compétence dans les domaines qui relèvent de ses grandes orientations administratives.
Section 61 – Contrats, ententes et autres accords

Résumé du projet, de l’initiative ou des modifications

Aperçu du programme ou de l’activité

Le 25 mars 2020, le gouvernement du Canada a adopté une loi pour soutenir les travailleurs et a établi la Prestation canadienne d’urgence. Alors que la pandémie se poursuivait, le gouvernement a mis en œuvre d’autres prestations de soutien financier en réponse à la COVID-19, notamment :

• La Prestation canadienne de la relance économique;
• La Prestation canadienne de maladie pour la relance économique;
• La Prestation canadienne de la relance économique pour proches aidants;
• La Prestation canadienne pour les travailleurs en cas de confinement.

L’ARC administre ces prestations pour EDSC. La Section d’examen de l’intégrité et de l’identité et le Programme du Service de protection de l’identité ont été créés pour assurer l’intégrité des prestations canadiennes d’urgence et de relance économique en protégeant l’identité des Canadiennes et Canadiens en cas d’utilisation non autorisée des comptes et des services de l’ARC.

Avec la fin éventuelle des prestations liées à la COVID-19, la Section d’examen de l’intégrité et de l’identité a regroupé les travaux d’examen de l’identité des particuliers en un seul programme. Le programme du Service de protection de l’identité recueille désormais les données sur les charges de travail liées aux déclarations T1. Auparavant, la Section de l’Examen des remboursements assumait cette responsabilité. Cette mesure vise à adopter une approche simplifiée et plus proactive face aux problèmes de vol d’identité pour respecter les échéanciers et les normes de service de l’ARC.

En février 2022, le Programme du Service de protection de l’identité a commencé à gérer la charge de travail liée aux déclarations T1 en fonction des procédures établies par le Programme d’Examen des remboursements. Certaines modifications ont été apportées aux procédures en fonction des leçons tirées des récents travaux liés aux prestations de soutien financier en réponse à la COVID-19. En décembre 2022, le Programme du Service de protection de l’identité a commencé à administrer la nouvelle Prestation dentaire canadienne et l’Allocation canadienne pour le logement en examinant et en vérifiant les demandes suspectes où l’on soupçonnait une utilisation non autorisée des renseignements des contribuables.

Le Programme du Service de protection de l’identité a pour mandat de vérifier l’identité d’un contribuable dont les renseignements sont soupçonnés d’être utilisés par un tiers non autorisé et de prendre des mesures correctives à l’égard des comptes des victimes de vol d’identité. Notre travail consiste également à identifier de façon proactive un nombre croissant de victimes potentielles à l’aide d’outils d’intelligence d’affaires élaborés pendant la pandémie pour atténuer les répercussions sur les contribuables. Pour ce faire, nous participons et contribuons à l’analyse des tendances en matière de production de déclarations. Par exemple, nous analysons des données dans les bureaux de l’Administration centrale et sur le terrain pour repérer les anomalies dans les tendances liées à la production de déclarations, les modifications apportées aux renseignements personnels et l’accès aux systèmes afin de protéger les systèmes de l’ARC et les contribuables canadiens. Ce travail ne peut être effectué en vase clos. Nous devons travailler avec d’autres secteurs, tant internes qu’externes, pour leur communiquer les tendances que nous avons identifiées. Cela aide les groupes qui travaillent dans le domaine du vol d’identité à protéger les numéros d’assurance sociale (NAS) pour qu’ils ne soient pas compromis. De plus, lorsque la loi le justifie et l’autorise, nous échangeons des renseignements sur les contribuables avec des intervenants internes et externes. Notre programme reçoit des renvois de parties externes et de sections internes, ainsi que de personnes qui signalent des activités suspectes liées à leur NAS.

La portée de l’évaluation des facteurs relatifs à la vie privée

La portée de l’évaluation des facteurs relatifs à protection de la vie privée se limite à la vérification et à la confirmation de l’identité, à la détection de la fraude d’identité et des activités suspectes, ainsi qu’à la prévention des opérations frauduleuses concernant les contribuables et les demandeurs de prestations et de remboursements selon les lois suivantes :

• La Loi sur la prestation canadienne d’urgence (LPCU);
• La Loi sur la prestation canadienne d’urgence pour les étudiants (LPCUE);
• La Loi sur les prestations canadiennes de relance économique (LPCRE);
• La Loi sur la prestation canadienne pour les travailleurs en cas de confinement (LPCTCC);
• La Loi sur la prestation pour logement locatif (LPLL);
• La Loi sur la prestation dentaire (LPD);
• La Loi de l’impôt sur le revenu (LIR).

L’administration de déclarations individuelles et de prestations pour la LPCU, la LPCUE, la LPCRE, la LPCTCC, la LPLL et la LPD sont exclues de la portée de cette évaluation et font l’objet d’évaluations distinctes sur les facteurs relatifs à la protection de la vie privée.   

Détermination et classement du risque

A) Type de programme ou d’activité

Observation ou enquêtes réglementaires et exécution de la réglementation

Niveau de risque pour la vie privée : 3

Détails :

Les renseignements personnels sont utilisés pour vérifier et confirmer l’identité, détecter la fraude d’identité et les activités suspectes et prévenir les opérations frauduleuses.

Si l’on soupçonne une utilisation non autorisée des renseignements d’un contribuable dans un compte, des mesures de contrôle sont mises en place pour mettre fin au traitement d’une déclaration de revenus et de prestations. Ces mesures empêchent aussi la personne de recevoir les prestations selon la LPCU, la LPCUE, la LPCRE, la LPCTCC, la LPLL et la LPD, jusqu’à ce qu’un examen soit effectué. Le Programme utilise diverses mesures de contrôle pour alerter les agents du Service de protection de l’identité et d’autres secteurs de programme de l’ARC de toute activité suspecte dans un compte.

L’utilisation non autorisée des renseignements d’un contribuable peut être confirmée auprès d’un contribuable par le Programme du Service de protection de l’identité. Dans ce cas, les renseignements personnels recueillis auprès du contribuable seront utilisés pour redresser le compte afin qu’il corresponde fidèlement à son identité. De plus, toute correction nécessaire au calcul des paiements d’impôts ou des prestations dus par le contribuable sera apportée.

La dernière étape consiste à déterminer les mesures de contrôle qui demeureront au dossier. Si une utilisation non autorisée des renseignements d’un contribuable est confirmée, le Programme maintiendra certaines mesures de contrôle et placera le compte sous surveillance pour une période prédéterminée. Cependant, le contribuable aura la possibilité de décider quelles mesures il préfère prendre.

B) Type de renseignements personnels en jeu et contexte

Le numéro d'assurance sociale, les renseignements médicaux et financiers, ou d’autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Les renseignements personnels des mineurs, des personnes inaptes ou qui concernent un représentant agissant au nom de la personne.

Niveau de risque pour la vie privée : 3

Détails :

Dans le cadre de l’exécution du Programme, nous recueillons divers renseignements auprès des systèmes internes de l’ARC pour établir le profil de risque. Cela comprend, sans s’y limiter, les éléments suivants :

• Les renseignements d’identification (nom, adresse, compte financier, numéro de téléphone, adresse courriel, date de naissance, date de décès, nom du conjoint, dossier d’immigration ou d’émigration, tenue du numéro de compte, langue et historique de ces éléments);
• Les renseignements du registre d’assurance sociale (nom et date de naissance ou date de décès);
• Les déclarations de revenus et de prestations (façon dont la déclaration a été produite, tendances de production, comparaison des renseignements de la déclaration et du feuillet et adresse IP)
• Les représentants autorisés;
• Les services en ligne (ouverture de session, activité et création de justificatifs d’identité)
• Les renseignements liés à l’entreprise (appartenance, déclaration des retenues sur la paie et personnes-ressources);
• Les renseignements concernant le paiement des prestations (demandes de prestations liées à la COVID-19, aux soins dentaires, au logement, au crédit pour la taxe sur les produits et services/taxe de vente harmonisée, ainsi que les prestations provinciales et fédérales calculées par l’ARC et EDSC);
• L’historique de la correspondance (lettres, état de compte et accords de débit préautorisé);
• L’historique et l’état des paiements.

Ces renseignements nous permettent d’avoir une idée de la situation fiscale d’un contribuable. Un examen des modifications et l’expérience des agents, combinés à leur connaissance des tendances actuelles, les aident à déterminer si des modifications sont suspectes. Si une modification est considérée comme suspecte, un agent de l’ARC communiquera directement avec le contribuable pour régler le problème.

Lorsqu’un compte présente une activité suspecte, nous communiquons avec le contribuable pour obtenir des renseignements qui nous permettent de valider son identité. Nous demandons les renseignements suivants à tous les contribuables :

• Une copie de deux pièces d’identité (par exemple, le recto et le verso d’un permis de conduire, un passeport ou un certificat de naissance) dont au moins une qui comporte une photo;
• Une preuve d’adresse qui comprend le nom complet du contribuable (par exemple, des factures d’électricité, de téléphone ou d’impôts);
• Si un contribuable est inscrit au dépôt direct ou indique qu’il souhaite s’y inscrire, nous lui demanderons de nous envoyer un relevé bancaire ou une lettre de son institution financière pour confirmer les renseignements liés au dépôt direct.

Ces renseignements sont utilisés pour vérifier que nous communiquons avec la bonne personne et que les renseignements qui figurent dans le compte sont exacts. Les renseignements et les activités du compte peuvent aussi être utilisés pour valider certaines données directement avec le contribuable (ou avec son représentant légal), notamment la date de naissance, la date de décès, les antécédents judiciaires, l’utilisation de services en ligne, les représentants autorisés, l’historique de production des déclarations de revenus et de prestations, les antécédents professionnels, l’historique des demandes de prestations, l’état civil, les personnes à charge admissibles et les antécédents de paiement et de comptabilité. Cette liste n’est pas exhaustive. À mesure que les stratagèmes fiscaux changent, les systèmes et les renseignements dont nous avons besoin pour valider les renseignements d’un contribuable varient. 

C) Partenaires de programme ou d’activité et participation du secteur privé

Organisations du secteur privé, organisations internationales ou gouvernements étrangers

Niveau de risque pour la vie privée : 4

Détails :

Au sein de l’ARC : Nous avons mis en place des processus et des procédures pour alerter les programmes internes de l’ARC lorsqu’un compte présente une activité suspecte afin de permettre un renvoi à notre programme aux fins d’examen. Selon le programme et la nature du renvoi, un suivi peut être requis ou non. Dans la mesure du possible, les renseignements sont transférés au moyen de systèmes internes comme les transferts directs d’appel. Toutefois, lorsque cela n’est pas possible, les renvois sont effectués au moyen d’un transfert de courriel chiffré ou de systèmes internes de gestion des cas.

En collaboration avec d’autres institutions fédérales : En ce qui concerne le versement de prestations de soutien financier en réponse à la COVID-19, nous échangeons régulièrement des renseignements sur les comptes avec EDSC. Cela nous permet de lui fournir des renseignements sur les comptes potentiellement compromis et de vérifier les renseignements sur les paiements avant que les versements ne soient envoyés. Les renseignements communiqués et la méthode utilisée sont décrits dans les divers protocoles d’entente conclus avec EDSC, ainsi que dans les lois existantes selon la Loi de l’impôt sur le revenu et la Loi sur le ministère de l’Emploi et du Développement social. Le Programme reçoit également des renseignements personnels sur la fraude de la part du Centre antifraude du Canada.

En collaboration avec les gouvernements provinciaux, territoriaux, autochtones et municipaux : Le Programme reçoit des renseignements personnels sur la fraude de la part d’organismes régionaux d’application de la loi.

Organisations du secteur privé, organisations internationales et gouvernements étrangers (pour obtenir des renseignements auprès d’Equifax) 

D) Durée du programme ou de l’activité :

Programme à long terme

Niveau de risque pour la vie privée : 3

Détails :

Il s’agit d’un programme à long terme.

Le Programme a été mis sur pied pour vérifier l’admissibilité aux prestations des contribuables canadiens qui éprouvent des difficultés financières en raison de la pandémie de COVID-19. Bien qu’aucune autre demande ne puisse être présentée, les activités d’application de la loi pourraient se poursuivre pendant plusieurs années. De plus, le Programme a pour but de lutter contre la fraude d’identité dans le cadre du programme T1, qui n’a pas de date de fin. 

E) Population du programme

Le Programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails :

Le Programme s’adresse aux particuliers qui présentent une demande de soutien financier en réponse à la COVID-19, de prestation dentaire canadienne ou d’allocation canadienne pour le 

F) Technologie et vie privée

1. L'activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d'un nouveau système électronique, d'un logiciel ou d'un programme d'application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l'activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

   Risque pour la vie privée : Oui

2. Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

   Risque pour la vie privée : Oui

3. Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Non

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

G) Transmission des renseignements personnels

Les renseignements personnels sont transmis à l’aide de technologies sans fil.

Niveau de risque pour la vie privée : 4

Détails :

Les renseignements personnels liés aux demandes de prestations de COVID-19, de prestation dentaire canadienne ou d’allocation canadienne pour le logement sont transmis à l’ARC par voie électronique au moyen de Mon dossier par un particulier qui utilise une technologie sans fil, ou non. Les renseignements personnels peuvent également être transmis à l’ARC au moyen d’un service téléphonique automatisé, par un particulier qui utilise un téléphone filaire ou des données cellulaires. Ces renseignements, classés Protégé B, sont ensuite stockés dans divers systèmes et bases de données de l’ARC qui ont accès à d’autres systèmes. Dans certains cas, les renseignements peuvent être transférés sur un appareil portatif approuvé et sécurisé par l’organisation, comme une clé USB sécurisée dotée d’un niveau de chiffrement plus élevé.

Les déclarations de revenus et de prestations peuvent être envoyées par voie électronique (en ligne ou au moyen du système de réponse vocale interactive) ou par la poste. L’ARC stocke les renseignements classés Protégé B dans divers systèmes et bases de données. Les contribuables qui souhaitent vérifier leur déclaration peuvent présenter leur demande de renseignements en ligne, par télécopieur ou par la poste. L’ARC stocke ensuite ces renseignements dans divers systèmes et bases de données, qui ont accès à d’autres systèmes et peuvent les transférer sur un appareil portatif sécurisé. Tout le personnel peut utiliser des ordinateurs portables avec chiffrement complet du disque et accès à distance sécurisé standard. La Direction générale de l’informatique a élaboré une plateforme de télécommunication pour toute l’organisation, qui offre aux utilisateurs un accès sécurisé au réseau.

Le système d’échange de données d’EDSC, appuyé par Services partagés Canada, existe depuis plus d’une décennie.

H) Le risque possible à l'individu ou à l'employé lors d'atteinte à la vie privée

Détails :

Si des renseignements personnels sont compromis, ils risquent de causer un préjudice financier et de mettre la personne touchée dans l’embarras. Toutefois, comme celle-ci est victime d’un vol d’identité, elle est la seule source à partir de laquelle nous pouvons obtenir des renseignements pour amorcer le processus de vérification et de correction du compte.