Services de gestion de l’authentification et des justificatifs d’identité

Résumé de l’évaluation des facteurs relatifs à la vie privée (EFVP) – La Direction de la transformation opérationnelle de la Direction générale des services de cotisation et de prestations

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Frank Vermaeten,
Sous-commissaire, Direction générale des services de cotisation et de prestations

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Technologie de l’information

Les Services de technologie de l’information comprennent des activités en vue d’atteindre une utilisation efficace et efficiente de la technologie de l’information afin d’appuyer l’exécution des priorités et des programmes gouvernementaux, d’accroître la productivité et d’améliorer les services offerts au public.

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l'institution ou ordinaire :
Technologie de l’information (NDP 932)

Description des FRP spécifiques à l'institution ou ordinaire :
Service de gestion de l’authentification et des justifications d’identité (ARC PPU 607)

Autorisation légale pour le programme ou l’activité

L’Agence du revenu du Canada est désignée comme un organisme distinct en vertu de l’annexe II de la Loi sur la gestion des finances publiques et, à ce titre, elle a la responsabilité globale de son administration, de ses contrats et de la gestion de ses ressources humaines.

Les renseignements personnels sont recueillis en vertu de l’alinéa 31(1)a) de la Loi sur l’agence du revenu du Canada qui accorde à l’ARC la responsabilité de la politique administrative générale à l’Agence. Des renseignements personnels sont aussi recueillis au besoin en vertu de la Politique sur la sécurité du gouvernement, conformément à l’entente conclue avec le président du Conseil du Trésor.

L’autorisation légale est accordée au service Portageur en vertu de l’alinéa 5(1)c) de la Loi sur l’Agence du revenu du Canada qui précise que l’ARC est responsable de mettre en œuvre toute entente ou tout accord conclu entre elle et un ministère ou organisme fédéral et portant sur l’exercice d’une activité ou l’exécution d’un programme.

Le paragraphe 241(5) de la Loi de l’impôt sur le revenu, les articles 295 et 328 de la Loi sur la taxe d’accise, les articles 211 et 221 de la Loi sur l’accise et l’article 8 de la Loi sur la protection des renseignements personnels autorisent l’ARC à fournir à toute autre personne des renseignements confidentiels sur un contribuable, avec le consentement de ce dernier.

Résumé du projet, de l'initiative, des modifications

L’Agence du revenu du Canada (ARC) est une intervenante de premier plan dans le cadre de l’initiative de renouvellement de l’authentification électronique du gouvernement du Canada (GC). L’ARC joue un rôle actif et appuie les arrangements relatifs à l’identité générale. Dans le cadre de l’initiative de renouvellement de l’authentification électronique, l’ARC fournit aussi ses propres services de gestion de l’authentification et des justificatifs d’identité aux particuliers, aux propriétaires d’entreprises et aux représentants qui doivent les utiliser pour accéder à ses services en ligne.

Les Services de gestion de l’authentification et des justificatifs d’identité de l’ARC dépendent du système de gestion de l’authentification (SGA) et du système de gestion des justificatifs d’identité (SGJI) afin de fournir des services de confirmation de l’identité, de validation de l’identité, de contrôle d’accès ou de gestion des justificatifs d’identité aux services d’ouverture de session de l’ARC.

Le SGA et le SGJI sont dotés de deux fonctions distinctes, mais interdépendantes. L’application du SGA a pour tâche de s’assurer que les particuliers sont authentifiés avant que le SGJI associe leur compte à un justificatif d’identité anonyme, et aussi de s’assurer que l’état courant du compte d’un particulier donné ne contient aucune restriction quant à l’accès au compte. L’application du SGJI a pour tâche d’attribuer un justificatif d’identité anonyme qui sera associé au compte de l’ARC d’un particulier et de le tenir à jour.

La liste suivante énumère les services d’ouverture de session de l’ARC qu’utilisent le SGA et le SGJI :

• Mon dossier : Les particuliers peuvent consulter leurs renseignements relatifs à l’impôt sur le revenu et aux prestations et de gérer leurs affaires fiscales en ligne.
• Mon dossier d’entreprise : Les propriétaires d’entreprises (y compris les associés, les administrateurs et les dirigeants) peuvent accéder en ligne à leurs comptes de TPS/TVH, de retenues sur la paie, de l’impôt sur le revenu des sociétés, des taxes d’accise, des droits d’accise et d’autres prélèvements.　
• Représenter un client : Les employés et les représentants peuvent accéder à un compte au nom de leur employeur ou de leurs clients. Avant que l’ARC lui accorde l’accès à des renseignements et à des services au nom de particuliers ou d’entreprises, un représentant doit d’abord être autorisé par le particulier ou le propriétaire d’entreprise.
• Accès rapide : Le service Accès rapide permet aux particuliers d’accéder immédiatement à quelques-uns de leurs renseignements dans Mon dossier pour les particuliers, à condition qu’ils puissent s’identifier correctement.

Les Services de gestion de l’authentification et des justificatifs d’identité de l’ARC comprennent aussi le service Portageur qui tire profit des systèmes d’authentification et de justificatifs d’identité de l’ARC. Les particuliers consentent à ce que leurs renseignements personnels d’identification soient transmis par voie électronique à un autre organisme. Cet autre organisme peut ensuite utiliser ces renseignements confidentiels dans le cadre de son propre processus opérationnel (p.ex. dans le cadre d’un processus d’identification ou d’authentification, en vue de valider et d’authentifier l’identité du particulier pour qu’il puisse accéder à ses services en ligne). À l’heure actuelle, le SGA et le SGJI fournissent un service d’inscription assisté aux utilisateurs de programmes en ligne d'Anciens Combattants Canada (ACC), d'Emploi et Développement social Canada (EDSC) et de la province de la Nouvelle-Écosse (N.-É.).

En plus de reconnaître les justificatifs d’identité émis par le SGA de l’ARC, les utilisateurs peuvent aussi ouvrir une session avec un justificatif d’identité externe en utilisant un service du GC appelé SecureKey Service de Concierge par l’entremise d’un service de courtier de justificatifs d’identité. Il s’agit d’un service commercial qui permet au GC d’offrir l’accès à des services gouvernementaux en utilisant certains justificatifs d’identité émis par des institutions financières. Les institutions financières participantes sont appelées des «partenaires de connexion».

Services partagés Canada a préparé une évaluation des facteurs relatifs à la vie privée distincte pour le service de courtier de justificatifs d’identité – SecureKey Service de Concierge. Il est à noter que, dans le cas du SGA, SecureKey Service de Concierge et d’autres futurs fournisseurs de justificatifs d’identité, les données du particulier ne sont pas communiquées au fournisseur de justificatifs d’identité; ces fournisseurs sont appelés des fournisseurs anonymes. Afin d’assurer la protection des renseignements personnels, les utilisateurs du service de courtier de justificatifs d’identité devront s’authentifier par l’entremise d’un partenaire de connexion participant, mais aucun renseignement personnel ne sera communiqué au GC, y compris les renseignements d’ouverture de session et l’identité de leur institution financière. De même, aucun renseignement concernant le service gouvernemental auquel accède le particulier ne sera communiqué à son institution financière.

Pour de plus amples renseignements sur le processus d’inscription et d’ouverture de session de l’ARC, visitez le lien suivant : http://www.cra-arc.gc.ca/esrvc-srvce/tx/psssrvcs/menu-fra.html

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes, des activités et des services

Niveau de risque pour la vie privée : 2

Détails : Des renseignements personnels, tels que le numéro d’assurance sociale (NAS), la date de naissance et des renseignements provenant de la déclaration de revenus et de prestations du particulier sont utilisés afin d’identifier le particulier aux fins d’inscription aux services en ligne Mon dossier, Mon dossier d’entreprise, Représenter un client et Accès rapide de l’ARC.

Dans le cadre du processus d’inscription, un particulier doit créer un justificatif d’identité (ID utilisateur et un mot de passe de l’ARC) ou ouvrir une session à l’aide de son justificatif d’identité externe. Le particulier n’a plus besoin de valider son identité lors des ouvertures de session suivantes à l’aide du même justificatif d’identité. Afin d’offrir d’autres options en matière de sécurité et de récupération, le particulier devra choisir une question et une réponse de sécurité. Ces questions et réponses de sécurité ne doivent aucunement faire mention de renseignements fiscaux particuliers, du NAS ou de tout autre renseignement particulier d’identification. Le service Accès rapide n’a aucune exigence en matière de justificatif d’identité. Les particuliers doivent valider leur identité chaque fois qu’ils veulent accéder au service Accès rapide.

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale, les renseignements médicaux et financiers ou d’autres renseignements personnels et/ou encore le contexte de ceux-ci sont de nature délicate. Les renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l’individu concerné.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels recueillis, tels que le numéro d’assurance sociale (NAS), la date de naissance et des renseignements provenant de la déclaration de revenus et de prestations du particulier sont de nature délicate. En ce qui concerne le processus de validation de l’identité, seul le NAS est conservé dans le registre de l’ARC. Le NAS du particulier est associé à son justificatif d’identité anonyme.

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec d’autres gouvernements, ou une combinaison des gouvernements fédéral et provinciaux et/ou des administrations municipales.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels recueillis au moyen du système de gestion de l’authentification (SGA) et du système de gestion des justificatifs d’identité (SGJI) ne sont pas communiqués à d’autres institutions; toutefois, le registre dans lequel sont stockées les données du SGA et du SGJI est tenu à jour par Services partagés Canada (SPC). Les données du SGA sont anonymes. L’ARC fournit aussi un service d’inscription assisté aux utilisateurs d’Anciens Combattants Canada (ACC) et d’Emploi et Développement social Canada (EDSC) et de la province de la Nouvelle-Écosse (N.-É.).

D) Durée du programme ou de l’activité

Programme à long terme

Niveau de risque pour la vie privée : 3

Détails : Il n’y a pas de «date limite» pour cette activité, puisqu’elle est conforme à l’initiative Gouvernement en direct (GeD), un volet important de la stratégie de services du gouvernement du Canada.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme touche les particuliers qui choisissent d’utiliser les services d’ouverture de session de l’ARC (Mon dossier, Mon dossier d’entreprise, Représenter un client et Accès rapide). Il touche aussi les particuliers qui choisissent d’utiliser les systèmes d’authentification et de justificatifs d’identité de l’ARC comme moyen d’inscription assisté aux services en ligne d’ACC, d’EDSC et du gouvernement de la N.-É.

F) Technologie et vie privée

Le programme, nouveau ou modifié, ou l’activité consiste-t-il à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Oui

Détails : L’ARC recourt à des témoins volatils et persistants pour ses services d’ouverture de session.

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Oui

Détails : Conformément à la Politique pour la journalisation et la surveillance de l’accès aux renseignements des contribuables et à la Directive sur la surveillance de l’accès électronique des employés aux renseignements confidentiels de l’ARC, tous les systèmes donnant accès à des renseignements sur les contribuables (créer, visionner, modifier, supprimer) ont une piste de vérification en place.

Le serveur Policy génère des fichiers de journal qui contiennent des renseignements de vérification concernant les événements qui ont lieu dans le système. Ces événements ont pu être lancés par le particulier, le système, un agent du bureau d’aide ou un agent de l’Administration centrale. Ces journaux sont analysés par SPC aux fins d’alertes de sécurité et de vérification judiciaire.

Les rapports de piste de vérification sont considérés comme des renseignements «Protégé B», tel que le définit la Politique sur l’identification des renseignements et des biens classifiés et protégés. Par conséquent, la communication de la demande, le rapport de piste de vérification et les résultats de son analyse doivent se limiter aux particuliers «en cas de nécessité absolue». Les renseignements sont conservés pendant sept ans plus l’année en cours (ADD 98/001).

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Détails : Pour que l’on puisse vérifier leur identité, on demandera aux particuliers de fournir certains renseignements tirés de leur déclaration de revenus et de prestations. Ces renseignements sont ensuite rapprochés avec ceux figurant dans les dossiers de l’ARC. En ce qui concerne le service Portageur, des renseignements, tels que le nom, les coordonnées, la date de naissance et le sexe du contribuable, sont envoyés à l’autre organisme et comparés à ceux contenus dans les systèmes de l’autre ministère aux fins d’authentification.

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui a des connexions à au moins un autre système.

Niveau de risque pour la vie privée : 2

Détails : L’ARC et SPC utilisent tous les deux un serveur partagé Oracle. Un filtrage strict des connexions réseau externe, un filtrage des applications et des restrictions en matière d’architecture empêchent une connexion externe à ces systèmes.

H) Risque possible pour le particulier ou l’employé

Détails : Une atteinte à la protection des renseignements personnels, tels que le numéro d’assurance sociale et la date de naissance, pourrait avoir des conséquences financières sur le particulier, car elle peut entraîner un vol d’identité.

I) Risque possible pour l’institution

Détails : Toute atteinte à la vie privée, quelle qu’elle soit, particulièrement lorsqu’elle concerne des renseignements personnels de nature délicate, tels que des renseignements fiscaux et le numéro d’assurance sociale, peut causer des torts importants à la réputation de l’ARC et entraîner une perte de crédibilité.