Surveillance de l’accès électronique aux renseignements confidentiels

Résumé de l'évaluation des facteurs relatifs à la vie privée (ÉFVP) - Direction de la sécurité et des affaires internes, Direction générale des finances et de l’administration

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP 

Roch Huppé
Administrateur supérieur des affaires financières et sous-commissaire, Direction générale des finances et de l’administration

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Activité de programme : Les services de voyage et autres services administratifs comprennent les services de voyage du gouvernement du Canada ainsi que les autres services internes qui ne correspondent à aucune autre catégorie de services internes.

Description de la catégorie de document et du fichier de renseignements personnels

Catégorie de documents propres à l’institution ou ordinaires :
Sécurité (NDP 931)

Fichier de renseignements personnels propre à l’institution ou ordinaire :
Un nouveau fichier de renseignements personnels propre à l’ARC sera créé, car le fichier de renseignements personnels ordinaire Journaux de contrôle des réseaux électroniques (POU 905) ne justifie pas l’utilisation de renseignements personnels recueillis initialement aux fins de gestion des ressources humaines.

Autorisation légale pour le programme ou l’activité

Les renseignements personnels sont recueillis en vertu des alinéas 30(1)a), 30(1)d), 51(1)f) et 50(1)g) de la Loi sur l’Agence du revenu du Canada, de l’article 220 et du paragraphe 241(1) de la Loi de l’impôt sur le revenu, de l’article 275 et du paragraphe 295(2) de la Loi sur la taxe d’accise, de l’article 19 et du paragraphe 84(2) de la Loi de 2006 sur les droits d’exportation de produits de bois d’œuvre, et du paragraphe 10(1) et de l’article 11 de la Loi sur les allocations spéciales pour enfants, et sont utilisés pour vérifier si les transactions sont conformes aux lois et aux règlements appliqués par l’Agence en s’assurant que les employés visualisent ou modifient les renseignements des contribuables ou d’autres renseignements de nature délicate uniquement dans le cadre des tâches qui leur sont confiées. Le NAS est recueilli en vertu de la Loi de l’impôt sur le revenu et il est utilisé aux fins d’identification.

Résumé du projet, de l’initiative ou des modifications

Les systèmes de l’Agence du revenu du Canada (ARC) qui traitent des renseignements d’identification des contribuables et d’autres renseignements similaires doivent enregistrer les accès des utilisateurs dans une piste de vérification quotidienne. Ces enregistrements des pistes de vérification doivent indiquer les activités d’un utilisateur de manière à permettre à la personne qui examine la piste de vérification de déterminer les renseignements qui ont été consultés. À l’heure actuelle, ces enregistrements sont transmis à la Direction générale de la technologie de l’information de l’Agence en vue de les regrouper dans le Système national de pistes de vérification (SNPV). Il est possible d’extraire de ce système les enregistrements des pistes de vérification de l’accès électronique d’un employé aux renseignements du contribuable et à d’autres renseignements similaires en effectuant une recherche de pistes de vérification.

Dans le cadre du Programme national de surveillance des pistes de vérification (PNSPV) actuel, on sélectionne aléatoirement un nombre précis d’employés qui feront l’objet d’un examen chaque semaine, puis la section du PNSPV demande les enregistrements des pistes de vérification des employés sélectionnés durant une période prédéterminée. La section du PNSPV utilise la hiérarchie des Systèmes administratifs d’entreprise (SAE) afin de déterminer le superviseur immédiat et le gestionnaire de deuxième niveau de l’employé sélectionné aux fins d’examen. Les dossiers sont ensuite créés et distribués à l’aide de l’outil d’analyse des enregistrements des pistes de vérification.

Lorsqu’un superviseur immédiat reçoit un dossier aux fins d’examen, il doit ajouter les renseignements requis pour que les règles administratives soient appliquées dans l’outil d’analyse des enregistrements des pistes de vérification. Une fois les renseignements saisis, les règles administratives sont appliquées à la piste de vérification, ce qui permet d’indiquer les dossiers qui risquent d’avoir été consultés par une personne non autorisée. Le superviseur immédiat doit ensuite analyser les accès, puis présenter un rapport contenant ses conclusions.

Étant donné la nature du PNSPV actuel, qui exige que la majorité du processus soit effectuée manuellement, l’Agence du revenu du Canada (ARC) a lancé le projet de modernisation du SNPV, qui vise à permettre à l’Agence de vérifier les transactions de manière continue et proactive afin de déterminer si elles sont conformes aux lois relatives aux programmes de l’ARC, comme il est défini dans l’article 2 de la Loi sur l’Agence du revenu du Canada. L’objectif de ce projet est de renforcer la protection, la confidentialité et l’intégrité des renseignements des contribuables et d’autres renseignements similaires en améliorant la gestion des risques découlant de la consultation et de la manipulation de ces renseignements par les utilisateurs finaux à l’aide d’une infrastructure de technologie de l’information diversifiée et complexe.

Afin d’atteindre les objectifs de la modernisation du SNPV et d’améliorer ses capacités en matière de contrôle de la fraude, l’Agence a fait l’acquisition d’une solution de gestion de la fraude d’entreprise (GFE), qui devrait être fonctionnelle d’ici avril 2017. La solution de GFE est un produit logiciel commercial de Bottomline Technologies. Une fois qu’elle sera fonctionnelle, la solution de GFE modifiera considérablement la façon dont le personnel de l’ARC cible et analyse les activités douteuses des utilisateurs finaux. La solution de GFE dépend entièrement de la saisie de données et de flux de données contenant des renseignements supplémentaires pour permettre la saisie en temps réel et l’examen rétroactif de l’activité d’un utilisateur final. Toutes les données seront automatiquement filtrées, triées et rapprochées afin de créer des dossiers de transaction conformes. Les données de GFE comprendront le trafic sur le réseau saisi en direct, les enregistrements de pistes de vérification importés et des données supplémentaires tirées des processus de transfert des données.

La technologie de GFE permettra de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprisecomme les modèles de détection et de rapprochement de données, ainsi qu’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques. La solution de GFE comprendra un flux de données des SAE et des systèmes de l’ordinateur central de l’ARC qui contiennent des renseignements à propos des employés afin d’assurer une détection plus exacte et efficace des activités douteuses des utilisateurs, et de créer des cas dans l’outil de gestion des cas. Les renseignements, notamment, le numéro d’assurance sociale (NAS) de l’employé, seront utilisés en arrière-plan afin de mettre les données en correspondance. Les autres renseignements des SAE, comme le titre du poste, le niveau et le type d’emploi (durée indéterminée ou déterminée) de l’employé, seront utilisés dans la composante de gestion des cas de la solution de GFE.

L’Agence introduira progressivement la solution de GFE, dont le déploiement initial permettra de saisir les applications sélectionnées utilisées par l’ARC pour visualiser et manipuler les renseignements des contribuables et les autres renseignements similaires, et les enregistrements des pistes de vérification des autres applications seront importés du SNPV dans l’outil. Les applications continueront d’être intégrées dans la solution de GFE au fil du temps, et des modèles de détection seront élaborés.

Étant donné que le processus de surveillance des enregistrements des pistes de vérification changera considérablement tout au long de la mise en œuvre de la solution de GFE, une évaluation des facteurs relatifs à la vie privée doit être réalisée afin d’atténuer tout risque relatif à la protection de la vie privée et à la protection des renseignements des employés et des contribuables et des autres renseignements similaires avant l’opérationnalisation de la solution de GFE.

Détermination et classement du risque

A) Type de programme ou d’activité

Observation de la loi ou enquêtes réglementaires et exécution de la réglementation

Niveau de risque pour la vie privée : 3

Détails : L’ARC recueille les renseignements des employés et des contribuables et d’autres renseignements similaires par l’intermédiaire des enregistrements des pistes de vérification. Les systèmes de l’Agence qui traitent des renseignements d’identification des contribuables et d’autres renseignements similaires doivent enregistrer les accès des utilisateurs dans une piste de vérification quotidienne. Ces enregistrements des pistes de vérification doivent indiquer les activités d’un utilisateur de manière à permettre à la personne qui examine la piste de vérification de déterminer les renseignements qui ont été consultés.

Le PNSPV est un programme centralisé utilisé pour l’administration et l’analyse de la surveillance des accès des employés aux renseignements électroniques des contribuables, ainsi que pour l’établissement de rapports à cet égard, afin de s’assurer que les accès correspondent avec la charge de travail et les tâches des employés, et de détecter les activités frauduleuses éventuelles.

Les politiques et les directives établissent l’approche de l’ARC à l’égard de la gestion du risque de fraude interne et d’usage abusif, et de la prise de mesures efficaces pour prévenir et détecter les fraudes internes, s’il y a lieu, y compris des mesures correctives donnant lieu à l’imposition de mesures disciplinaires contre un employé lorsqu’une fraude a été commise (p. ex. cessation d’emploi). La technologie de saisie de la solution de GFE permettra de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise, comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

Dans certains cas, lorsque les actes frauduleux contreviennent au Code criminel ou à la Loi sur la gestion des finances publiques, l’Agence peut prendre d’autres mesures correctives, pouvant donner lieu à des enquêtes criminelles et à des poursuites menées par d’autres organismes d’enquête. Bien que le dénouement possible de ces cas soi renvoyé par l’ARC aux fins d’enquête, les enquêtes elles-mêmes sont considérées comme exclues de la portée de la présente évaluation des facteurs relatifs à la vie privée.

B) Type de renseignements personnels en jeu et contexte

NAS, renseignements médicaux ou financiers, ou autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d’un particulier.

Niveau de risque pour la vie privée : 3

Détails : Il faut maintenir une piste de vérification avec tous les accès aux renseignements d’identification des contribuables ou à d’autres renseignements similaires, afin de respecter les exigences énoncées dans les lois et les règlements appliqués par l’Agence. À cet égard, les renseignements des employés et des contribuables et d’autres renseignements similaires sont recueillis.

Les champs des SAE seront intégrés automatiquement dans la nouvelle solution de GFE afin de détecter et de signaler les activités douteuses. Les renseignements personnels des employés dans les SAE peuvent comprendre l’identificateur d’utilisateur, le prénom, le nom de famille, l’adresse domiciliaire, le fichier de renseignements personnels, le centre de coûts et le NAS.

Les renseignements des contribuables saisis dans la solution de GFE ou les pistes de vérification peuvent notamment comprendre les types de renseignements personnels suivants : numéro de compte (NAS, numéro d’entreprise, numéro de fiducie, etc.), prénom, nom de famille, nom complet (contribuable ou entreprise), date de naissance, adresse municipale, ville, province et code postal.

Par souci de clarté, le NAS et le nom de famille des contribuables sont inclus dans les enregistrements des pistes de vérification. Les autres types de renseignements personnels peuvent être intégrés à l’aide de la technologie de saisie de la solution de GFE. Par exemple, si un employé de l’ARC visualise un écran affichant l’historique des crédits d’un contribuable, ces renseignements seront alors consignés à l’aide de la technologie de saisie (impression d’écran). Les renseignements personnels de l’employé seront mis en correspondance avec les renseignements contenus dans les enregistrements de piste de vérification et les saisies, qui comprennent les renseignements des contribuables et d’autres renseignements similaires, afin de s’assurer de respecter les exigences énoncées dans les lois et les règlements appliqués par l’Agence.

La solution de GFE saisira les renseignements d’un contribuable lorsqu’un employé consulte les systèmes de l’ARC. Divers champs peuvent être mis en correspondance avec les renseignements de l’employé selon les modèles de détection, puis être signalés afin qu’un examen de l’accès non autorisé, de la fraude interne ou de l’usage abusif éventuel soit réalisé. Les renseignements saisis seront ensuite examinés afin de vérifier si les actes de l’employé correspondaient à sa charge de travail et à ses tâches.

D’autres renseignements peuvent être saisis et examinés, mais ils ne peuvent pas être utilisés dans les modèles de détection. Ces renseignements comprennent notamment : statut de citoyen, renseignements de solvabilité, date du décès, renseignements financiers, renseignements médicaux, caractéristiques physiques.

C) Partenaires de programme ou d’activité et participation du secteur privé

Au sein de l’institution (dans au moins un programme au sein de la même institution)

Niveau de risque pour la vie privée : 1

Détails : La surveillance de l’accès électronique aux renseignements des contribuables est une activité interne administrée par l’ARC.

D) Durée du programme ou de l’activité

Il s’agit d’un programme à long terme.

Niveau de risque pour la vie privée : 3

Détails : La surveillance de l’accès électronique aux renseignements des contribuables est une activité courante de l’Agence pour laquelle aucune date d’élimination progressive n’est prévue.

E) Population du programme

Le programme a une incidence sur certains employés à des fins administratives internes

Niveau de risque pour la vie privée : 1

Détails : Le PNSPV est un programme centralisé utilisé pour l’administration et l’analyse de la surveillance des accès des employés aux renseignements électroniques des contribuables, ainsi que pour l’établissement de rapports à cet égard, afin de s’assurer que les accès cadrent avec la charge de travail et les tâches des employés. Le programme aura des répercussions sur les employés qui accèdent aux renseignements électroniques des contribuables uniquement. Les enregistrements des pistes de vérification ainsi que les saisies de la solution de GFE contiennent les accès des employés aux applications de l’ARC comportant des renseignements de contribuables. Les renseignements des SAE ne sont utilisés que conjointement avec les enregistrements de pistes de vérification ou les saisies.

F) Technologie et vie privée

Est-ce que le nouveau programme ou le programme modifié ou l’activité consiste à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels?

Risque pour la vie privée : oui

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) demande des améliorations aux systèmes ou services en place de la technologie de l’information?

Risque pour la vie privée : non

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée - Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale et l’identification par radiofréquence), ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique et les « cartes intelligentes » qui sont dotées d’une antenne ou d’une plage de contact reliée à un microprocesseur et à une puce de mémoire ou à une puce de mémoire dotée d’une logique non programmable.

Risque pour la vie privée : non

Détails : S.O.

Utilisation de la surveillance - Cela comprend les technologies de surveillance, comme les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’identification par radiofréquence, la surveillance ou l’interception secrète, la surveillance assistée par ordinateur, y compris les pistes de vérification et la surveillance par satellite.

Risque pour la vie privée : oui

Détails : L’Agence a fait l’acquisition d’une solution de GFE. La solution de GFE est un produit logiciel commercial de Bottomline Technologies. Une fois qu’elle sera fonctionnelle, la solution de GFE modifiera considérablement la façon dont le personnel de l’ARC cible et analyse les activités douteuses des utilisateurs finaux au moyen de saisies des transactions et de pistes de vérification. La technologie de saisie de la solution de GFE permettra de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise , comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

La solution de GFE dépend entièrement de la saisie de données et de flux de données contenant des renseignements supplémentaires pour permettre la saisie en temps réel et l’examen rétroactif de l’activité d’un utilisateur final. Toutes les données seront filtrées, triées et rapprochées afin de créer des dossiers de transaction conformes.

Utilisation de l’analyse automatisée des renseignements personnels, de la mise en correspondance des renseignements personnels et des techniques de découverte des connaissances - Afin de respecter la Directive sur l’évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent cerner les activités qui comprennent l’utilisation d’une technologie automatisée pour analyser, créer, comparer, évaluer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : oui

Détails : La solution de GFE permettra la saisie en temps réel et l’examen rétroactif des accès d’un employé aux renseignements des contribuables ou à d’autres renseignements similaires. Toutes les données compilées seront filtrées, triées et rapprochées par la solution de GFE afin de signaler les fraudes internes ou les usages abusifs éventuels.

Les renseignements contenus dans les dossiers personnels des employés, notamment le NAS, sont utilisés pour surveiller l’accès des employés aux renseignements des contribuables et à d’autres renseignements similaires à partir des systèmes d’information de l’ARC. Ces renseignements sont mis en correspondance avec les renseignements contenus dans les enregistrements de piste de vérification et les saisies, qui comprennent les renseignements des contribuables et d’autres renseignements similaires, afin de s’assurer de respecter les exigences énoncées dans les lois et les règlements appliqués par l’Agence. La technologie de saisie de la solution de GFE permettra de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise, comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système.

Niveau de risque pour la vie privée : 2

Détails : Les données de la solution de GFE comprendront des saisies en direct du trafic sur le réseau de l’ARC à partir des applications de l’ordinateur central ou des plateformes de l’Infrastructure informatique d’affaires électroniques, ainsi que des enregistrements de pistes de vérification et des données supplémentaires importés à l’aide des processus de transfert de fichiers. Ces processus comprendront notamment :

• le déploiement des périphériques réseau afin de permettre la saisie de données en temps réel;
• la migration ponctuelle des enregistrements de pistes de vérifications antérieures (quatre ans plus l’année en cours) stockés dans le SNPV à la date de production de la solution de GFE;
• l’importation continue des données des enregistrements de pistes de vérification d’applications qui n’ont pas encore été intégrées dans la solution de GFE;
• l’importation initiale et périodique des données supplémentaires.

Un flux de données des SAE sera importé dans la solution de GFE sur une base régulière; cependant, les deux　systèmes ne seront pas directement liés.

Une fois qu’elle sera fonctionnelle, la solution de GFE modifiera considérablement la façon dont le personnel de l’ARC cible et analyse les activités douteuses des utilisateurs finaux. La technologie de saisie de la solution de GFE permettra de cerner de manière proactive les activités douteuses des utilisateurs à l’aide de l’intelligence d’entreprise comme les modèles de détection et la mise en correspondance des données, et d’une capacité accrue à effectuer des analyses des tendances et des modèles, et à soumettre des rapports et d’autres réponses aux demandes de renseignements à l’appui d’une gestion moderne des risques.

H) Risque possible pour le particulier ou l’employé

Détails : La nature délicate des renseignements utilisés dans le cadre du PNSPV est considérée comme élevée (Protégé B). L’utilisation ou la divulgation non autorisée de ces renseignements pourrait entraîner une ingérence dans la vie privée ou un grave préjudice financier personnel, ou causer de l’embarras à l’employé ou au contribuable.

I) Risque possible pour l’institution

Détails : Une éventuelle atteinte à la vie privée (accidentelle ou délibérée) pourrait porter atteinte à la réputation de l’Agence, ce qui pourrait en retour susciter un intérêt négatif ou des critiques du public. L’Agence pourrait également faire l’objet d’un litige civil et être tenue civilement responsable d’atteintes à la vie privée causant des dommages à une personne ou à une entreprise (c.-à-d. lorsque l’entreprise subit des dommages financiers ou des dommages relatifs à sa réputation à la suite d’une atteinte à la vie privée concernant les renseignements des contribuables ou d’autres renseignements similaires liés à l’entreprise).