Surveillance de l’accès électronique aux renseignements confidentiels v 2.0 - Sommaire de l'évaluation des facteurs relatifs à la vie privée

Direction générale des finances et de l’administration
Direction de la sécurité et des affaires internes 
Agence du revenu du Canada

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Janique Caron

Administrateur supérieur des affaires financières et sous-commissaire

Direction générale des finances et de l’administration 

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau

Directrice

Direction de l'Accès à l'information et protection des renseignements personnels

Nom du programme ou de l’activité de l’institution fédérale

Services de voyage et autres services administratifs :

Ces services comprennent les services de voyage du gouvernement du Canada ainsi que les autres services internes qui ne correspondent à aucune autre catégorie de services internes.  

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l’institution ou ordinaire :

Sécurité – NDP 931

Fichier de renseignements personnels propre à l’institution ou ordinaire :

Surveillance de l’accès électronique aux renseignements confidentiels – ARC PPU 718

Autorisation légale pour le programme ou l’activité

Les renseignements personnels recueillis, utilisés, divulgués et stockés par l’Agence, y compris la mise en œuvre de la solution de gestion de la fraude d’entreprise [SGFE]), sont régis par les lois suivantes :  

• alinéas 30(1)a) et 30(1)d) de la Loi sur l’Agence du revenu du Canada
• alinéas 51(1)f), 51(1)g) et 51(1)i) de la Loi sur l’Agence du revenu du Canada
• l’article 220 de la Loi de l’impôt sur le revenu
• paragraphe 241(1) de la Loi de l’impôt sur le revenu
• les articles 7, 8 et 9 de la Loi sur la taxe d’accise
• l’article 275 de la Loi sur la taxe d’accise
• paragraphe 295(2) de la Loi sur la taxe d’accise
• l’article 19 de la Loi sur les droits d’exportation de produits de bois d’œuvre
• paragraphe 84(2) de la Loi sur les droits d’exportation de produits de bois d’œuvre
• l’article 11 de la Loi sur les allocations spéciales pour enfants
• paragraphe 10(1) de la Loi sur les allocations spéciales pour enfants
• Le NAS est recueilli en vertu de la Loi de l’impôt sur le revenu

Résumé du projet, de l’initiative ou des modifications

Conformément au cadre de l’intégrité de l’Agence du revenu du Canada, la Direction de la sécurité et des affaires internes (DSAI) de la Direction générale des finances et de l’administration (DGFA) sert à améliorer la capacité de l’Agence à prévenir, à surveiller, à détecter et à gérer les atteintes à l’intégrité. La DSAI, par l’intermédiaire de ses programmes et de ses activités, a le mandat de superviser la prestation de services à l’échelle nationale en ce qui concerne les enquêtes administratives internes sur les allégations d’inconduite des employés. Ces activités comprennent une approche collaborative visant à gérer le risque de fraude interne et d’accès non autorisé en élaborant les plans, les contrôles et les processus nécessaires pour prévenir, détecter et dissuader de la fraude interne et l’utilisation malveillante au sein de l’Agence.

Le programme qui a comme mandat de régler les cas d’utilisation malveillante est le Programme des affaires internes et du contrôle de la fraude (PAICF), qui fournit à l’Agence une approche centralisée et uniforme à l’égard de l’administration, de l’analyse et de l’établissement de rapports sur la surveillance des accès électroniques des employés aux renseignements confidentiels et autres renseignements semblables.

Tous les systèmes de l’Agence qui traitent les renseignements confidentiels (entre autres le nouvel environnement de renseignement d’entreprise [RE]) doivent saisir ou consigner les activités des utilisateurs de tous les accès des employés aux renseignements sur les contribuables afin d’appuyer les exigences précisées dans les lois et les règlements administrés par l’Agence.

Le PAICF tire parti d’outils tels que la solution de gestion de la fraude d’entreprise afin d’appuyer la détection et la gestion de la fraude et des accès non autorisés aux systèmes. La solution de GFE est un produit logiciel commercial prêt à l’emploi élaboré par Bottomline Technologies qui a considérablement changé la façon dont les activités des utilisateurs finaux sont surveillées au sein de l’Agence. En se fondant sur le renseignement d’entreprise, la solution de GFE permet de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de renseignement d’entreprise, se servant de modèles de détection et de la mise en correspondance des données ainsi que d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques. La solution de GFE comprend aussi un flux de données des SAE et des systèmes de l’ordinateur central de l’Agence qui contiennent des renseignements à propos des employés afin d’assurer une détection plus exacte et efficace des activités douteuses des utilisateurs, et de créer des cas dans la fonction de gestion des cas. Les renseignements, notamment, le numéro d’assurance sociale (NAS) de l’employé, seront utilisés en arrière-plan afin de mettre les données en correspondance. D’autres renseignements des SAE, comme le titre du poste de l’employé, son niveau, son type d’emploi (durée indéterminée ou déterminée) seront utilisés dans la composante de gestion des cas de la solution de GFE.

Quoi de neuf

Cette ÉFVP a été mise à jour afin d’inclure ce qui suit :

Avant 2017, le Programme des affaires internes et du contrôle de la fraude (PAICF) était appelé le programme national de surveillance des pistes de vérification (PNSPV), et le système ou l’outil du programme utilisé pour surveiller l’accès des employés aux renseignements confidentiels s’appelait l’outil d’analyse des registres des pistes de vérification (OARPV).

L’OARPV était une solution provisoire qui a été modernisée avec la mise en œuvre de la solution de GFE le 1^er avril 2017. À la mise en œuvre de la solution de GFE, le OARPV a été graduellement éliminé et le programme PNSPV est devenu le « PAICF ». Le PAICF permettra d’améliorer et de renforcer les capacités de contrôle de la fraude de l’Agence.

Nouvelles sources de renseignements personnels (RP) :

• Les renseignements (mêmes éléments de RP que l’ÉFVP précédente) seront saisis à partir de l’environnement de renseignement d’entreprise (RE);
• Pour les employés de l’Agence embauchés après le 18 avril 2016, la vérification de leur NAS – anciennement vérifié par l’intermédiaire des systèmes administratifs d’entreprise (SAE) – est maintenant obtenue au moyen de l’interface utilisateur de l’Agence vers le système de paye Phénix de Services publics et approvisionnement Canada (SPAC), à la suite de la mise en œuvre du système de paye Phénix.

Portée de l’évaluation des facteurs relatifs à la vie privée

L’approche de l’ÉFVP adoptée par le Secrétariat du Conseil du Trésor (SCT) est de nature itérative et prévoit que les mises à jour de cette évaluation doivent être effectuées à divers jalons tout au long du cycle de vie du développement d’un projet. La méthodologie et l’approche énoncées dans la directive du SCT : Directive sur l’évaluation des facteurs relatifs à la vie privée et les attentes du Commissariat à la protection de la vie privée (CPVP) : un guide pour soumettre les évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada a été utilisée comme fondement pour ce document.

Cette ÉFVP est axée sur la surveillance des accès électroniques des employés aux renseignements confidentiels et à d’autres renseignements semblables par l’intermédiaire du Programme des affaires internes et du contrôle de la fraude (PAICF) et de la solution de GFE.

L’exécution de cette ÉFVP a comporté les activités suivantes :

• Réunions avec des représentants de l’Agence;
• L’examen des publications du SCT comme la présentation de l’Agence à Info source : sources de renseignements du gouvernement fédéral;
• L’examen des lois et des politiques relatives aux programmes de l’Agence;
• L’examen des documents de processus relatifs à la Division des affaires internes et du contrôle de la fraude et de la mise en œuvre de la solution de la GFE.

Hors de la portée de l'évaluation des facteurs relatifs à la vie privée

• Les enquêtes sur les allégations d’inconduite d’un employé qui peuvent être menées par la Section de l’analyse et du soutien aux enquêtes et la Section des enquêtes internes de l’Agence ne sont pas abordées dans la présente ÉFVP.
• Dans certains cas, lorsque les actes frauduleux contreviennent au Code criminel ou à la Loi sur la gestion des finances publiques, l’Agence peut prendre d’autres mesures correctives, pouvant donner lieu à des enquêtes criminelles et à des poursuites menées par d’autres organismes d’enquête (c.-à-d. la GRC). Bien que le dénouement possible de ces cas soit renvoyé par l’Agence aux fins d’enquête, les enquêtes elles-mêmes sont considérées comme exclues de la portée de la présente évaluation des facteurs relatifs à la vie privée.

L’Agence fournit à Revenu Québec (RQ) les transactions et les accès effectués par ses employés aux systèmes de l’Agence, mais aucun autre renseignement n’est ajouté, et aucun modèle de détection n’est appliqué à ces opérations. RQ est responsable de surveiller les accès effectués par ses employés aux systèmes de l’Agence. Pour cette raison, la surveillance des accès des employés aux renseignements confidentiels et à d’autres renseignements semblables par RQ est considérée comme exclue de la portée de la présente ÉFVP.

Détermination et classement du risque

A) Type de programme ou d’activité

Conformité/Enquêtes réglementaires et exécution de la réglementation

Niveau de risque pour la vie privée : 3

Détails :

L’Agence du revenu du Canada recueille des renseignements confidentiels et d’autres renseignements semblables pour l’administration de ses programmes fiscaux et de prestations. Tout système de l’Agence traitant les renseignements sur les contribuables doit saisir ou consigner les activités des utilisateurs. Ces dossiers doivent déterminer qui a accédé aux renseignements sur les contribuables dans n’importe quel système de l’Agence au cours d’une période donnée et les renseignements auxquels on a accédé.

Le Programme des affaires internes et du contrôle de la fraude veille à ce que les accès aux renseignements sur les contribuables soient conformes à la charge de travail et aux tâches d’un employé, ainsi qu’à détecter les activités non autorisées possibles.

Les politiques et les directives de l’Agence déterminent l’approche de l’Agence à l’égard de la gestion du risque de fraude interne et d’utilisation malveillante, et elles établissent des mesures efficaces pour prévenir et détecter la fraude interne et l’accès autorisé, le cas échéant. Cela peut comprendre des mesures correctives qui entraînent des mesures disciplinaires à l’encontre d’un employé lorsqu’un acte de fraude a été commis (p. ex. cessation d’emploi). La technologie de saisie de la solution de gestion de la fraude d’entreprise (SGFE) permet de déterminer de façon proactive les activités douteuses de l’utilisateur à l’aide du renseignement d’entreprise, des modèles de détection et du rapprochement des données ainsi que de la capacité accrue d’analyser les tendances et de fournir des rapports et d’autres réponses aux demandes de renseignements qui soutiennent la gestion du risque et permettre à la DAICF de cibler les accès non autorisés, la fraude potentielle ou l’utilisation malveillante.

Dans certains cas, lorsque les actes frauduleux contreviennent au Code criminel ou à la Loi sur la gestion des finances publiques, l’Agence peut prendre d’autres mesures correctives, pouvant donner lieu à des enquêtes criminelles et à des poursuites menées par d’autres organismes d’enquête. Bien que le dénouement possible de ces cas soi renvoyé par l’ARC aux fins d’enquête, les enquêtes elles-mêmes sont considérées comme exclues de la portée de la présente évaluation des facteurs relatifs à la vie privée. 

B) Type de renseignements personnels en jeu et contexte

Numéro d'assurance sociale, renseignements médicaux ou financiers ou autres renseignements personnels sensibles ou éléments contextuels sensibles entourant les renseignements personnels. Renseignements personnels sur des mineurs ou des personnes inaptes ou encore concernant une personne agissant au nom de l'intéressé.  

Niveau de risque pour la vie privée : 3

Détails :

Il faut maintenir une piste de vérification avec tous les accès aux renseignements d’identification des contribuables ou à d’autres renseignements similaires, afin de respecter les exigences énoncées dans les lois et les règlements appliqués par l’Agence. À cet égard, les renseignements des employés et des contribuables et d’autres renseignements similaires sont recueillis.

Les champs des SAE seront intégrés automatiquement dans la nouvelle solution de GFE afin de détecter et de signaler les activités douteuses.

Les renseignements personnels des employés dans les SAE peuvent comprendre :  

• identificateur d’utilisateur
• prénom
• nom de famille
• adresse domiciliaire
• date de naissance
• CIDP
• centre de coûts
• NAS

Pour les employés de l’Agence embauchés après la mise en œuvre du système de paye Phénix, leurs NAS ne sont plus stockés dans les SAE. Par conséquent, l’Agence utilise le système d’index central – dont Services publics et approvisionnement Canada (SPAC) est propriétaire–, qui détient des renseignements d’identification des employés (y compris les NAS) pour tous les employés du gouvernement du Canada. Afin de repérer les employés de l’Agence dans le système d’index central, tous les employés de l’Agence ont le code d’organisation de NAR associé à leur profil.

Le NAS des employés nouvellement embauchés sera obtenu par la solution de GFE, qui « racle » le système d’index central au moyen d’un programme automatisé par l’intermédiaire de l’interface utilisateur de l’Agence. Un nombre limité d’employés de l’Agence ont accès à ce système, y compris un employé de la Division de la sécurité de l’information de l’Agence et un employé de la Division de la sécurité et de la continuité de la TI (TI de Gestion de la fraude d’entreprise) de l’Agence.

Les renseignements des contribuables saisis par la solution de GFE peuvent notamment comprendre les types de renseignements personnels suivants :

• numéro de compte (NAS, numéro d’entreprise, numéro de fiducie, etc.)
• prénom
• nom de famille
• nom complet (contribuable ou entreprise)
• adresse municipale
• ville
• province
• code postal

Par souci de clarté, le NAS et le nom de famille des contribuables sont inclus dans les enregistrements des pistes de vérification. Les autres types de renseignements personnels peuvent être intégrés à l’aide de la technologie de saisie de la solution de GFE. Par exemple, si un employé de l’ARC visualise un écran affichant l’historique des crédits d’un contribuable, ces renseignements seront alors consignés à l’aide de la technologie de saisie (impression d’écran). Les renseignements personnels de l’employé seront mis en correspondance avec les renseignements contenus dans les enregistrements de piste de vérification et les saisies, qui comprennent les renseignements des contribuables et d’autres renseignements similaires, afin de s’assurer de respecter les exigences énoncées dans les lois et les règlements appliqués par l’Agence.

La solution de GFE saisira les renseignements d’un contribuable lorsqu’un employé consulte les systèmes de l’ARC. Divers champs peuvent être mis en correspondance avec les renseignements de l’employé selon les modèles de détection, puis être signalés afin qu’un examen de l’accès non autorisé, de la fraude interne ou de l’usage abusif éventuel soit réalisé. Les renseignements saisis seront ensuite examinés afin de vérifier si les actes de l’employé correspondaient à sa charge de travail et à ses tâches.

D’autres renseignements peuvent être saisis et examinés. Ces renseignements comprennent notamment :

• statut de citoyen
• renseignements de solvabilité
• date du décès
• renseignements financiers
• renseignements médicaux
• caractéristiques physiques

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec d'autres institutions fédérales.    

Niveau de risque pour la vie privée : 2

Détails :

La surveillance de l’accès électronique aux renseignements des contribuables est une activité interne administrée par l’Agence. Toutefois, des renseignements supplémentaires seront obtenus à partir du système d’index central (interface avec le système de paye Phénix) dont Services publics et approvisionnement Canada (SPAC) est propriétaire.  

D) Durée du programme ou de l’activité :

Il s’agit d’un programme à long terme.

Niveau de risque pour la vie privée : 3

Détails :

La surveillance de l’accès électronique aux renseignements des contribuables et autres renseignements similaires est une activité courante de l’Agence pour laquelle aucune date d’élimination progressive n’est prévue. 

E) Public cible du programme

Le programme touche certains employés à des fins administratives internes. 

Niveau de risque pour la vie privée : 1

Détails :

Le programme des affaires internes et du contrôle de la fraude est un programme centralisé utilisé pour l’administration et l’analyse de la surveillance des accès des employés aux renseignements électroniques des contribuables et autres renseignements similaires, ainsi que pour l’établissement de rapports à cet égard, afin de s’assurer que les accès cadrent avec la charge de travail et les tâches des employés. Le programme aura des répercussions sur les employés qui accèdent aux renseignements électroniques des contribuables et autres renseignements similaires uniquement. 

F) Technologie et vie privée

Est-ce que le nouveau programme ou le programme modifié ou l’activité consiste à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels? 

Risque pour la vie privée : Oui

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) demande des améliorations aux systèmes ou services en place de la technologie de l’information? 

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée : Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture ou le balayage de l’iris, l’analyse des empreintes digitales, la signature ou empreinte vocale, l’identification par radiofréquence, etc.) ainsi que la technologie des laissez-passer facilités (Easy pass), les nouvelles cartes d’identité comportant des bandes magnétiques, comme les « cartes intelligentes » (c.-à-d. des cartes d’identité sur lesquelles est gravée soit une antenne soit une plage de contact connectée à un microprocesseur et une puce mémoire ou uniquement à une puce mémoire avec matrice logique non programmable). 

Risque pour la vie privée : Non

Précisions : S.O.

Utilisation de la surveillance : Cela comprend les technologies de surveillance telles que les appareils d’enregistrement audio/vidéo, l’imagerie thermique, les appareils de reconnaissances, l’identification par radiofréquence, la surveillance/interception clandestine, le contrôle assisté par ordinateur, y compris les pistes de vérification, la surveillance par satellite, etc. 

Risque pour la vie privée : Oui

Précisions : L’Agence a fait l’acquisition d’une solution de GFE. La solution de GFE est un produit logiciel commercial de Bottomline Technologies. La solution de GFE modifie considérablement la façon ne le personnel de l’Agence cible et analyse les activités douteuses des utilisateurs finaux au moyen de saisies des transactions et permet de reproduire les activités des employés dans les systèmes de l’Agence.La technologie de saisie de la solution de GFE permettra de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise, comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

La solution de GFE dépend entièrement de la saisie de données et de flux de données contenant des renseignements supplémentaires pour permettre la saisie en temps réel et l’examen rétroactif de l’activité d’un utilisateur final. Toutes les données seront filtrées, triées et rapprochées afin de créer des dossiers de transaction conformes.

Utilisation de l’analyse automatisée des renseignements personnels, de la mise en correspondance des renseignements personnels et des techniques de découverte des connaissances : Afin de respecter la Directive sur l’évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent cerner les activités qui comprennent l’utilisation d’une technologie automatisée pour analyser, créer, comparer, évaluer ou extraire des éléments des renseignements personnels. Ces activités comprennent le rapprochement de renseignements personnels, le rapprochement de dossiers, l’exploration de renseignements personnels, la comparaison de renseignements personnels, la découverte de connaissances et le filtrage ou l’analyse de renseignements. De telles activités comportent une forme ou une autre d’intelligence artificielle ou d’apprentissage machine pour découvrir des connaissances (renseignements), des tendances ou des modèles, ou encore pour prédire des comportements. 

Risque pour la vie privée : Oui

Détails : La solution de GFE permettra la saisie en temps réel et l’examen rétroactif des accès d’un employé aux renseignements des contribuables ou à d’autres renseignements similaires. Toutes les données compilées seront filtrées, triées et rapprochées par la solution de GFE afin de signaler les fraudes internes ou les usages abusifs éventuels.

Les renseignements contenus dans les dossiers personnels des employés, notamment le NAS, sont utilisés pour surveiller l’accès des employés aux renseignements des contribuables et à d’autres renseignements similaires à partir des systèmes d’information de l’ARC. Ces renseignements sont mis en correspondance avec les renseignements saisies dans la solution GFE, qui comprennent les renseignements des contribuables et d’autres renseignements similaires, afin de s’assurer de respecter les exigences énoncées dans les lois et les règlements appliqués par l’Agence. La technologie de saisie de la solution de GFE permet de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise, comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

G) Transmission des renseignements personnels

Les renseignements personnels sont transférés à un appareil portable ou sont imprimés.

Niveau de risque pour la vie privée : 3

Détails :

Les données de la solution de GFE comprendront des saisies en direct du trafic sur le réseau de l’ARC à partir des applications de l’ordinateur central ou des plateformes de l’Infrastructure informatique d’affaires électroniques, ainsi que des enregistrements de pistes de vérification et des données supplémentaires importés à l’aide des processus de transfert de fichiers. Ces processus comprendront notamment : 

• le déploiement des périphériques réseau afin de permettre la saisie de données en temps réel;
• la migration ponctuelle des enregistrements de pistes de vérifications antérieures (quatre ans plus l’année en cours) stockés dans le SNPV à la date de production de la solution de GFE;
• l’importation continue des données des enregistrements de pistes de vérification d’applications qui n’ont pas encore été intégrées dans la solution de GFE;
• l’importation initiale et périodique des données supplémentaires.

Un flux de données des SAE sera importé dans la solution de GFE sur une base régulière; cependant, les deux　systèmes ne seront pas directement liés.

La solution de GFE modifie considérablement la façon dont le personnel de l’ARC cible et analyse les activités douteuses des utilisateurs finaux. La technologie de saisie de la solution de GFE permet de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

H) Risque possible pour le particulier ou l’employé

Détails : La nature délicate des renseignements utilisés dans le cadre du programme des affaires internes et du contrôle de la fraude est considérée comme élevée (Protégé B). L’utilisation ou la divulgation non autorisée de ces renseignements pourrait entraîner une ingérence dans la vie privée ou un grave préjudice financier personnel, ou causer de l’embarras à l’employé ou au contribuable.