Services de gestion de l’authentification et des justificatifs d’identité V2

Résumé de l'évaluation des facteurs relatifs à la vie privée (ÉFVP) - Direction des services numériques, Direction générale de cotisation, de prestation et de service

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Frank Vermaeten,
Sous-commissaire, Direction générale de cotisation, de prestation et de service

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Technologie de l’information

Les Services de technologie de l’information comprennent des activités en vue d’atteindre une utilisation efficace et efficiente de la technologie de l’information afin d’appuyer l’exécution des priorités et des programmes gouvernementaux, d’accroître la productivité et d’améliorer les services offerts au public.

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l'institution ou ordinaire :
Technologie de l’information (NDP 932)

Description des FRP spécifiques à l'institution ou ordinaire :
Service de gestion de l’authentification et des justifications d’identité (ARC PPU 607)

Autorisation légale pour le programme ou l’activité

L’Agence du revenu du Canada est désignée comme un organisme distinct en vertu de l’annexe II de la Loi sur la gestion des finances publiques et, à ce titre, elle a la responsabilité globale de son administration, de ses contrats et de la gestion de ses ressources humaines.

Les renseignements personnels sont recueillis en vertu de l’alinéa 31(1)a) de la Loi sur l’agence du revenu du Canada qui accorde à l’ARC la responsabilité de la politique administrative générale à l’Agence. Des renseignements personnels sont aussi recueillis au besoin en vertu de la Politique sur la sécurité du gouvernement, conformément à l’entente conclue avec le président du Conseil du Trésor.

L’autorisation légale est accordée aux services Portageur et Comptes électroniques liés en vertu de l’alinéa 5(1)c) de la Loi sur l’Agence du revenu du Canada qui précise que l’ARC est responsable de mettre en œuvre toute entente ou tout accord conclu entre elle et un ministère ou organisme fédéral et portant sur l’exercice d’une activité ou l’exécution d’un programme.

Le paragraphe 241(5) de la Loi de l’impôt sur le revenu, l’article 295 de la Loi sur la taxe d’accise, l’article 211 de la Loi sur l’accise et l’article 8 de la Loi sur la protection des renseignements personnels autorisent l’ARC à fournir à toute autre personne des renseignements confidentiels sur un contribuable, avec le consentement de ce dernier.

Pour le numéro de représentant non-résident (NRNR), les renseignements personnels sont recueillis en vertu du paragraphe 220(1) de la Loi de l’impôt sur le revenu. Les renseignements seront utilisés par l’ARC pour traiter les demandes de représentant non-résident demandant un numéro de représentant non-résident.

Résumé du projet, de l’initiative, des modifications :

L’Agence du revenu du Canada (ARC) est une intervenante de premier plan dans le cadre de l’initiative de renouvellement de l’authentification électronique du gouvernement du Canada (GC). L’ARC joue un rôle actif et appuie les arrangements relatifs à l’identité générale. Dans le cadre de l’initiative de renouvellement de l’authentification électronique, l’ARC fournit aussi ses propres services de gestion de l’authentification et des justificatifs d’identité aux particuliers, aux propriétaires d’entreprises et aux représentants qui doivent les utiliser pour accéder à ses services en ligne.

Les Services de gestion de l’authentification et des justificatifs d’identité de l’ARC dépendent du système de gestion de l’authentification (SGA) et du système de gestion des justificatifs d’identité (SGJI) afin de fournir des services de confirmation de l’identité, de validation de l’identité, de contrôle d’accès ou de gestion des justificatifs d’identité aux services d’ouverture de session de l’ARC.

Le SGA et le SGJI sont dotés de deux fonctions distinctes, mais interdépendantes. L’application du SGA a pour tâche de s’assurer que les particuliers sont authentifiés avant que le SGJI associe leur compte à un justificatif d’identité anonyme, et aussi de s’assurer que l’état courant du compte d’un particulier donné ne contient aucune restriction quant à l’accès au compte. L’application du SGJI a pour tâche d’attribuer un justificatif d’identité anonyme qui sera associé au compte de l’ARC d’un particulier et de le tenir à jour.

La liste suivante énumère les services d’ouverture de session de l’ARC qu’utilisent le SGA et le SGJI :

• Mon dossier : Les particuliers peuvent consulter leurs renseignements relatifs à l’impôt sur le revenu et aux prestations et de gérer leurs affaires fiscales en ligne.
• Mon dossier d’entreprise : Les propriétaires d’entreprises (y compris les associés, les administrateurs et les dirigeants) peuvent accéder en ligne à leurs comptes de TPS/TVH, de retenues sur la paie, de l’impôt sur le revenu des sociétés, des taxes d’accise, des droits d’accise et d’autres prélèvements.　
• Représenter un client : Les employés et les représentants peuvent accéder à un compte au nom de leur employeur ou de leurs clients. Avant que l’ARC lui accorde l’accès à des renseignements et à des services au nom de particuliers ou d’entreprises, un représentant doit d’abord être autorisé par le particulier ou le propriétaire d’entreprise.
• Préremplir ma déclaration : Les particuliers et les représentants autorisés peuvent remplir automatiquement des parties d’une déclaration de revenus et de prestations de l’année courante à l’aide des divers logiciels homologués pour IMPÔTNET ou la TED.
• Application par navigateur MonARC : MonARC est une application mobile Web pour les contribuables particuliers. Les particuliers peuvent accéder de façon sécuritaire à des éléments clés de leurs renseignements fiscaux personnels.
• Application par navigateur MesPrestations : MesPrestations de l’ARC est une application mobile Web qui offre aux particuliers bénéficiaires de prestations un aperçu des détails des versements de prestations et de crédits et des renseignements relatifs à l’admissibilité.
• Inscription en direct des entreprises (IDE) : Le service IDE permet aux particuliers de s’inscrire afin d’obtenir un numéro d’entreprise (NE) et d’accéder aux quatre comptes de programmes principaux de l’Agence du revenu du Canada (ARC).
• Carrières – Profil du candidat : Le service Profil du candidat permet aux particuliers de présenter une demande de possibilités d’emploi à l’ARC.

Il convient de noter que le service Accès rapide a été abandonné en février 2015 et qu’il n’est plus accessible.

Les Services de gestion de l’authentification et des justificatifs d’identité de l’ARC comprennent aussi le service Portageur qui tire profit des systèmes d’authentification et de justificatifs d’identité de l’ARC. Les particuliers consentent à ce que leurs renseignements personnels d’identification soient transmis par voie électronique à un autre organisme. Cet autre organisme peut ensuite utiliser ces renseignements confidentiels dans le cadre de son propre processus opérationnel (p.ex. dans le cadre d’un processus d’identification ou d’authentification, en vue de valider et d’authentifier l’identité du particulier pour qu’il puisse accéder à ses services en ligne). À l’heure actuelle, le SGA et le SGJI fournissent un service d’inscription assisté aux utilisateurs de programmes en ligne d'Anciens Combattants Canada (ACC), d'Emploi et Développement social Canada (EDSC) et de la province de la Nouvelle-Écosse (N.-É.).

L’ARC et EDSC étudient de nouvelles façons d’offrir les services en collaboration et de se diriger vers de nouveaux modèles plus axés sur le numérique qui sont rentables et efficients et qui fournissent un meilleur rapport qualité-prix pour les Canadiens. EDSC et l’ARC ont beaucoup d’objectifs communs en ce qui a trait au service à la clientèle. Pour répondre aux initiatives visant à améliorer le service numérique, les deux ministères ont déterminé une possibilité de travailler conjointement afin d'accroître le taux d’adoption des utilisateurs au moyen de leurs voies numériques respectives. Au moyen d’un lien pratique dans l’espace sécurisé, les clients d’EDSC qui utilisent Mon dossier Service Canada (MDSC) seront également en mesure d’accéder à Mon dossier de l’ARC pour les particuliers (et vice-versa) sans devoir ouvrir une session ou valider de nouveau leur identité. On nomme cette initiative conjointe Comptes électroniques liés. Les processus d’inscription de compte et de validation de l’identité respectifs de chaque organisation seront maintenus : les deux organisations suivront la Norme sur l'assurance de l'identité et des justificatifs du Secrétariat du Conseil du Trésor du Canada (SCT). Le service Comptes électroniques liés devrait être mis en œuvre en octobre 2016.

En plus de reconnaître les justificatifs d’identité émis par le SGA de l’ARC, les utilisateurs peuvent aussi ouvrir une session avec un justificatif d’identité externe en utilisant un service du GC appelé SecureKey Service de Concierge par l’entremise d’un service de courtier de justificatifs d’identité. Il s’agit d’un service commercial qui permet au GC d’offrir l’accès à des services gouvernementaux en utilisant certains justificatifs d’identité émis par des institutions financières. Les institutions financières participantes sont appelées des «partenaires de connexion».

Services partagés Canada a préparé une évaluation des facteurs relatifs à la vie privée distincte pour le service de courtier de justificatifs d’identité – SecureKey Service de Concierge. Il est à noter que, dans le cas du SGA, SecureKey Service de Concierge et d’autres futurs fournisseurs de justificatifs d’identité, les données du particulier ne sont pas communiquées au fournisseur de justificatifs d’identité; ces fournisseurs sont appelés des fournisseurs anonymes. Afin d’assurer la protection des renseignements personnels, les utilisateurs du service de courtier de justificatifs d’identité devront s’authentifier par l’entremise d’un partenaire de connexion participant, mais aucun renseignement personnel ne sera communiqué au GC, y compris les renseignements d’ouverture de session et l’identité de leur institution financière. De même, aucun renseignement concernant le service gouvernemental auquel accède le particulier ne sera communiqué à son institution financière.

Pour de plus amples renseignements sur le processus d’inscription et d’ouverture de session de l’ARC, visitez le lien suivant : Services d'ouverture de session de l'ARC

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes, des activités et des services

Niveau de risque pour la vie privée : 2

Détails : Des renseignements personnels, tels que le numéro d’assurance sociale (NAS), le numéro de représentant non-résident (NRNR), le code postal, le code zip, la date de naissance, le nom de famille (aux fins de l’IDE) et des renseignements provenant de la déclaration de revenus et de prestations du particulier sont utilisés afin d’identifier le particulier aux fins d’inscription aux services en ligne Mon dossier, Mon dossier d’entreprise, Représenter un client, Accès rapide, l’application MonARC, l’application MesPrestations et l’IDE de l’ARC.

Dans le cadre du processus d’inscription pour les services qui tire parti du SGJI, un particulier doit créer un justificatif d’identité (ID utilisateur et un mot de passe de l’ARC) ou ouvrir une session à l’aide de son justificatif d’identité externe. Le particulier n’a plus besoin de valider son identité lors des ouvertures de session suivantes à l’aide du même justificatif d’identité. Afin d’offrir d’autres options en matière de sécurité et de récupération, le particulier devra choisir une question et une réponse de sécurité. Ces questions et réponses de sécurité ne doivent aucunement faire mention de renseignements fiscaux particuliers, du NAS ou de tout autre renseignement particulier d’identification.

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale, les renseignements médicaux et financiers ou d’autres renseignements personnels et/ou encore le contexte de ceux-ci sont de nature délicate. Les renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l’individu concerné.

Niveau de risque pour la vie privée : 3

Détails : Les renseignements personnels recueillis, tels que le numéro d’assurance sociale (NAS), la date de naissance et des renseignements provenant de la déclaration de revenus et de prestations du particulier sont de nature délicate comme les renseignements provenant d’une demande d’un particulier de numéro de représentant non-résident (NRNR). En ce qui concerne le processus de validation de l’identité, seul le NAS est conservé dans le registre de l’ARC. Le NAS du particulier ou le NRNR d’un représentant non-résident est associé à son justificatif d’identité anonyme.

En ce qui concerne l’initiative des Comptes électroniques liés, pour transférer l’identité d’un particulier entre des portails, l’ARC et EDSC utiliseront le NAS du particulier authentifié et un justificatif d’identité. Le justificatif d’identité comprendra l’identificateur unique persistant (IUP) du particulier et son niveau d’assurance de l’identité du Secrétariat du Conseil du Trésor du Canada (SCT). L’IUP est un numéro sans signification, mais unique attribué à un particulier qui ne permet pas de l’identifier directement. Il n’y aura aucun transfert ni échange de renseignements sur l'impôt et les prestations entre les deux organisations.

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec d’autres gouvernements, ou une combinaison des gouvernements fédéral et provinciaux et/ou des administrations municipales.

Niveau de risque pour la vie privée : 3

Détails :  Le registre dans lequel sont stockées les données du SGA et du SGJI est tenu à jour par Services partagés Canada (SPC). Les données du SGA sont anonymes. L’ARC fournit aussi un service d’inscription assisté aux utilisateurs d’Anciens Combattants Canada (ACC) et d’Emploi et Développement social Canada (EDSC) et de la province de la Nouvelle-Écosse (N.-É.).

En ce qui concerne l’initiative des Comptes électroniques liés, l’ARC et EDSC communiqueront le NAS et le justificatif d’identité d’un particulier (Identificateur unique persistant et le niveau d’assurance de l’identité du SCT) pour transférer le particulier de Mon dossier de l'ARC à Mon compte Service Canada d’EDSC afin d’identifier avec précision le particulier et de lui présenter ses renseignements. Le particulier consentira au transfert et à la communication de son NAS.

D) Durée du programme ou de l’activité

Programme à long terme

Niveau de risque pour la vie privée : 3

Détails : Il n’y a pas de «date limite» pour cette activité, puisqu’elle est conforme à l’initiative Gouvernement en direct (GeD), un volet important de la stratégie de services du gouvernement du Canada.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme touche les particuliers qui choisissent d’utiliser les services d’ouverture de session de l’ARC (Mon dossier, Mon dossier d’entreprise, Représenter un client, MonARC, MesPrestations, Préremplir ma déclaration, Carrières et IDE)). Il touche aussi les particuliers qui choisissent d’utiliser les systèmes d’authentification et de justificatifs d’identité de l’ARC comme moyen d’inscription assisté aux services en ligne d’ACC, d’EDSC et du gouvernement de la N.-É.

F) Technologie et vie privée

Le programme, nouveau ou modifié, ou l’activité consiste-t-il à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Oui

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Oui

Détails : L’ARC recourt à des témoins volatils et persistants pour ses services d’ouverture de session.

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Oui

Détails : Conformément à la Politique pour la journalisation et la surveillance de l’accès aux renseignements des contribuables et à la Directive sur la surveillance de l’accès électronique des employés aux renseignements confidentiels de l’ARC, tous les systèmes donnant accès à des renseignements sur les contribuables (créer, visionner, modifier, supprimer) ont une piste de vérification en place.

Le serveur Policy génère des fichiers de journal qui contiennent des renseignements de vérification concernant les événements qui ont lieu dans le système. Ces événements ont pu être lancés par le particulier, le système, un agent du bureau d’aide ou un agent de l’Administration centrale. Ces journaux sont analysés par SPC aux fins d’alertes de sécurité et de vérification judiciaire.

Les rapports de piste de vérification sont considérés comme des renseignements «Protégé B», tel que le définit la Politique sur l’identification des renseignements et des biens classifiés et protégés. Par conséquent, la communication de la demande, le rapport de piste de vérification et les résultats de son analyse doivent se limiter aux particuliers «en cas de nécessité absolue». Les renseignements sont conservés pendant sept ans plus l’année en cours (ADD 98/001).

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Détails : Pour que l’on puisse vérifier leur identité, on demandera aux particuliers de fournir certains renseignements tirés de leur déclaration de revenus et de prestations. Ces renseignements sont ensuite rapprochés avec ceux figurant dans les dossiers de l’ARC. En ce qui concerne le service Portageur, des renseignements, tels que le nom, les coordonnées, la date de naissance et le sexe du contribuable, sont envoyés à l’autre organisme et comparés à ceux contenus dans les systèmes de l’autre ministère aux fins d’authentification En ce qui concerne l'initiative des Comptes électroniques liés, l'ARC et EDSC communiqueront le NAS et le justificatif d'identité d'un particulier (Identificateur unique personnel et le niveau d'assurance de l'identité du SCT) pour transférer le particulier de Mon dossier de l'ARC à Mon compte Service Canada d'EDSC afin d'identifier avec précision le particulier et de lui présenter ses renseignements.

On demandera aux représentants non-résidents des États-Unis qui souhaitent accéder au service Représenter un client de  demander un numéro de représentant des non-résidents (NRNR). Une fois que l’ARC a vérifié la demande et les documents d’identification à l’appui et qu’elle émet un NRNR, on demandera au représentant non-résident de fournir son NRNR et son code ZIP  Ces renseignements sont ensuite mis en correspondance avec ceux figurant dans les dossiers de l’ARC.

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui a des connexions à au moins un autre système.

Niveau de risque pour la vie privée : 2

Détails : L’ARC et SPC utilisent tous les deux un serveur partagé Oracle. Un filtrage strict des connexions réseau externe, un filtrage des applications et des restrictions en matière d’architecture empêchent une connexion externe à ces systèmes. L’ARC communiquera le NAS à EDSC pour Mon dossier Service Canada. Les données seront incluses dans une réponse du Security Assertion Markup Language (SAML) qui est chiffrée et signée numériquement particulièrement pour EDSC. L’ARC et EDSC ont échangé des clés de chiffrement et de la signature numérique. L’ARC communique également des données au moyen des systèmes sécurisés d’organisations partenaires (ACC, EDSC et gouvernement de la N.-É.) dans le cadre du rapprochement des renseignements personnels aux fins du service Portageur.

H) Risque possible pour le particulier ou l’employé

Détails : Une atteinte à la protection des renseignements personnels, tels que le numéro d’assurance sociale et la date de naissance, pourrait avoir des conséquences financières sur le particulier, car elle peut entraîner un vol d’identité.

I) Risque possible pour l’institution

Détails : Toute atteinte à la vie privée, quelle qu’elle soit, particulièrement lorsqu’elle concerne des renseignements personnels de nature délicate, tels que des renseignements fiscaux et le numéro d’assurance sociale, peut causer des torts importants à la réputation de l’ARC et entraîner une perte de crédibilité.