Code de bonnes pratiques du numéro d’assurance sociale

Sur cette page

Liste des abréviations

CAEC
Commission de l’assurance‑emploi du Canada
RPC
Régime de pensions du Canada
ARC
Agence du revenu du Canada
CPRP
Chef de la protection des renseignements personnels
LMEDS
Loi sur le ministère de l’Emploi et du Développement social
EDSC
Emploi et Développement social Canada
AE
Assurance-emploi
IRCC
Immigration, Réfugiés et Citoyenneté Canada
DGSI
Direction générale des services d’intégrité
LPRPDE
Loi sur la protection des renseignements personnels et les documents électroniques
RQAP
Régime québécois d’assurance parentale
RRQ
Régime de rentes du Québec
NAS
Numéro d’assurance sociale
RAS
Registre d’assurance sociale
SCT
Secrétariat du Conseil du Trésor du Canada

Section 1 – Introduction

Dans cette section

Aperçu

Le Code de bonnes pratiques du NAS énonce les rôles et les obligations des utilisateurs du NAS. Les utilisateurs comprennent :

Le Code de bonnes pratiques a pour but :

Le Code de bonnes pratiques respecte et explique les lois, politiques et directives pertinentes. En voici quelques exemples :

Ces documents régissent l’utilisation du NAS. Plus de 150 lois provinciales et territoriales mentionnent l’utilisation du NAS. Consultez votre gouvernement provincial ou territorial pour obtenir plus d’information sur les exigences relatives au NAS qui s’appliquent à votre administration. Ceux qui utilisent un NAS doivent respecter ces lois et politiques en fonction de leur administration. Les administrations comprennent le niveau fédéral ou provincial et le secteur privé.

1.1 Contexte

Le programme du NAS a été lancé en 1964 afin de permettre l’inscription des personnes à l’assurance-chômage. Par la suite, l’assurance-chômage est devenue l’assurance-emploi (AE). En 1965, le Régime de pensions du Canada (RPC) et le Régime de rentes du Québec (RRQ) ont adopté le NAS comme numéro de dossier. En 1967, le NAS est également devenu un numéro de dossier aux fins de l’impôt sur le revenu.

La LMEDS définit le NAS comme un numéro à 9 chiffres utilisable comme numéro de dossier ou de compte ou pour le traitement des données. Il ne doit jamais servir de pièce d’identité. Les personnes utilisent le NAS pour occuper un emploi assurable ou ouvrant droit à pension et pour produire des déclarations de revenus. Le NAS joue également un rôle dans la gestion des programmes et services gouvernementaux axés sur le NAS.

Beaucoup de personnes ont besoin d’un NAS pour travailler au Canada. Il y a aussi beaucoup de personnes qui ont besoin d’un NAS pour recevoir des prestations et des services des programmes gouvernementaux.

À Service Canada, nous délivrons un NAS à vie à chaque personne. Personne ne peut s’approprier le NAS d’une autre personne. Il est très important de protéger la confidentialité, la sécurité et l’intégrité du NAS pour aider à protéger les personnes, les organisations et le gouvernement contre la fraude et l’utilisation abusive.

Le gouvernement du Canada a cessé de produire des cartes d’assurance sociale après le 31 mars 2014. Il produit maintenant une lettre qui confirme le NAS d’un client. Les clients reçoivent cette lettre en personne ou par la poste.

1.2 Message de Service Canada au sujet des atteintes à la protection des données et des fraudes relatives au NAS

Le Code de bonnes pratiques du NAS énonce l’obligation commune de maintenir la sécurité et l’intégrité du NAS. Il décrit également la façon de prévenir la fraude et de se protéger contre les atteintes potentielles à la protection des données.

À Service Canada, nous nous engageons à aider les victimes de fraude. Ce Code de bonnes pratiques est l’un des soutiens offerts par Service Canada aux victimes de fraude, en plus de contenir d’autres renseignements importants pour tous les utilisateurs du NAS.

La LMEDS interdit la création, l’utilisation, l’achat, la vente et la mise à disposition de données personnelles qui ne vous appartiennent pas. Cela inclut le NAS. Le programme du NAS ne délivre pas de nouveaux NAS de façon proactive. Selon le paragraphe 28.2(8) de la LMEDS, l’attribution d’un nouveau NAS se limite à des cas particuliers. Ces cas incluent ceux où il existe une preuve d’utilisation abusive du NAS (par exemple, pour obtenir du crédit ou des services). Ils comprennent également les cas où la personne demande un nouveau NAS.

Le fait d’obtenir un nouveau NAS ne protégera pas une personne contre la fraude ou le vol. Le NAS précédent continuera d’exister et sera lié à cette personne dans le secteur privé. Pour mettre à jour ses dossiers, le propriétaire d’un nouveau NAS doit communiquer avec :

Si un client obtient un nouveau NAS, il doit régulièrement faire le suivi de ses comptes et de ses rapports de solvabilité pour les deux NAS. Les programmes, les ministères et les organismes du gouvernement du Canada peuvent encore avoir l’ancien NAS du client au dossier. Il incombe au client de communiquer avec ces programmes, ministères et organismes pour mettre à jour son dossier. Ainsi, ces programmes, ministères et organismes pourront lier le nouveau NAS du client à leurs comptes de prestations.

Section 2 – Renseignements pour les titulaires de NAS

Dans cette section

Aperçu

La Loi sur le ministère de l’Emploi et du Développement social (LMEDS) et la Loi sur l’assurance-emploi précisent qui a besoin d’un numéro d’assurance sociale (NAS) pour travailler au Canada. La liste inclut :

Ces personnes ont également besoin d’un NAS pour recevoir des prestations et des services des programmes gouvernementaux. 

Le Règlement sur l’assurance-emploi exige qu’une personne présente une demande de NAS dès que possible. Vous devez fournir votre NAS à votre employeur au plus tard trois jours après votre date de début d’emploi. Cela ne vous empêche pas de travailler avant de recevoir votre NAS.

Si vous n’avez pas déjà un NAS, vous devez en faire la demande dans les trois jours suivant votre entrée en fonction. Vous devez également fournir à votre employeur une preuve que vous en avez présenté la demande.

En vertu de la Loi de l’impôt sur le revenu, vous avez besoin d’un NAS :

Certaines entités du secteur privé doivent vous demander votre NAS. Elles le font pour tous les comptes et placements qui rapportent des revenus (comme des intérêts et des dividendes). Cela comprend :

Votre NAS est confidentiel. Votre carte d’assurance sociale et votre lettre de confirmation ne constituent pas des pièces d’identité. Il ne s’agit pas de documents d’identification. La LMEDS définit le NAS comme un numéro à 9 chiffres utilisable comme numéro de dossier ou de compte ou pour le traitement des données.

Sauf en ce qui concerne certains programmes gouvernementaux, vous avez le choix quant à la collecte et à l’utilisation de votre NAS. Vous ne devez le fournir que lorsque la loi l’exige. Cela aide à prévenir la fraude et à assurer la confidentialité de vos renseignements personnels. Si vous communiquez votre NAS en dehors des utilisations prévues par la loi, vous devez assumer les risques afférents à cette communication.

Il n’est pas interdit par la loi de demander le NAS d’une personne. De nombreuses organisations du secteur privé demandent votre NAS. Cela fait partie de leurs politiques et procédures. Mais à Service Canada, nous déconseillons de telles pratiques.

Certaines organisations du secteur privé vous demanderont votre NAS au moment de vérifier votre cote de crédit. Cela augmente la probabilité qu’ils vérifient ou mettent à jour les bons dossiers de crédit. Par exemple, lorsqu’on vous demande votre NAS pour une vérification de crédit, vous devriez plutôt fournir au demandeur une copie de votre rapport de solvabilité. Ce rapport de solvabilité ne devrait pas inclure votre NAS.

Rappel : La loi ne permet pas aux entreprises du secteur privé d’exiger le NAS des clients à des fins autres que la déclaration des revenus. Personne ne peut vous refuser un produit ou un service parce que vous avez refusé de fournir votre NAS lorsque la loi ne l’exige pas.

Pour vous renseigner davantage à ce sujet, veuillez consulter : Protégez votre numéro d’assurance sociale.

2.1 Principales obligations des titulaires de NAS

En tant que titulaire du NAS, vous avez 4 obligations principales quand il s’agit de protéger votre NAS.

1. Ne donnez jamais votre NAS à moins d’être certain que la loi l’exige ou à moins d’être convaincu qu’il est nécessaire et que vous comprenez les risques.

Vous devez fournir votre NAS pour participer à certains programmes et services gouvernementaux. Pour vous informer des lois fédérales et de l’utilisation des NAS, consultez l’Annexe 1 : Utilisations du NAS autorisées par le gouvernement fédéral

Dans le secteur privé, vous devez fournir votre NAS à votre employeur aux fins de l’impôt sur le revenu et des prestations. Dans certains cas, vous devez fournir votre NAS à certaines entités du secteur privé. Sauf lorsque la loi l’exige, c’est à vous de décider quand et à qui communiquer les renseignements relatifs à votre NAS.

Vous pouvez fournir votre NAS en dehors des utilisations prescrites par la loi. Toutefois, ce faisant, vous pourriez vous exposer à un risque accru de fraude ou de vol d’identité. Vous ne devriez le faire que si vous êtes disposé à assumer ce risque.

Vous n’êtes pas tenu par la loi de fournir votre NAS quand une personne vous le demande aux fins suivantes :

Personne ne peut vous refuser un produit ou un service parce que vous avez refusé de fournir votre NAS lorsque la loi ne l’exige pas. Si l’organisation refuse de vous fournir le produit ou le service à moins que vous ne fournissiez votre NAS, vous pouvez déposer une plainte (la section 2.1.2 explique comment procéder).

2. Prenez des mesures pour protéger votre NAS contre le vol et l’utilisation abusive.

La Loi sur la protection des renseignements personnels définit le NAS comme un renseignement personnel et, par conséquent, tous les utilisateurs du NAS doivent s’efforcer de le protéger. Si une personne vole votre NAS, elle pourrait l’utiliser pour avoir accès à un vaste éventail de renseignements personnels. Elle pourrait également l’utiliser pour avoir accès à des prestations et à des services en votre nom. En tant que titulaire de NAS, vous avez des obligations importantes quand il s’agit de protéger votre NAS. Suivez l’Annexe 2 : Titulaire du NAS : Choses à faire et à ne pas faire pour vous protéger et protéger votre NAS.

Agissez si vous croyez qu’une organisation privée ne protège pas convenablement vos renseignements personnels ou votre NAS. Parlez à la personne responsable si une organisation refuse de fournir le produit ou le service que vous avez demandé à moins que vous ne divulguiez votre NAS. Vous pouvez également utiliser le processus de plainte de l’organisation. De nombreuses organisations ne sont pas au courant des utilisations appropriées du NAS.

Si vous n’êtes pas satisfait de la réponse de l’organisation ou si vous soupçonnez qu’elle ne gère pas bien vos renseignements personnels :

Par exemple, l’Association canadienne du marketing (en anglais seulement) et l’Ombudsman des services bancaires et d’investissement traitent les plaintes des clients au sujet de leurs sociétés membres.

3. Informez Service Canada et les autres autorités compétentes si vous croyez qu’une organisation utilise votre NAS d’une manière frauduleuse

Les criminels peuvent utiliser un NAS volé ou perdu pour frauder des gouvernements, des organisations et des particuliers. Si quelqu’un d’autre utilise votre NAS pour travailler illégalement ou pour obtenir du crédit, les gouvernements peuvent vous imposer pour un revenu que vous n’avez pas gagné. Vous pourriez également éprouver des difficultés lorsque vous faites une demande de crédit. Même si vous prenez des mesures pour protéger vos renseignements personnels, vous pourriez quand même être victime d’un vol d’identité. Les voleurs sont de plus en plus créatifs lorsqu’ils tentent de voler des renseignements personnels. Si vous soupçonnez qu’une personne utilise votre NAS de façon frauduleuse, il est important d’agir rapidement. L’Annexe 3 : Que faire si vous soupçonnez que votre NAS est compromis, vous indique les mesures à prendre et les coordonnées pertinentes.

4. Communiquer avec Service Canada

Vous devriez communiquer avec Service Canada lorsque :

Vous pouvez mettre à jour votre dossier du Registre d’assurance sociale (RAS). Faites une demande en ligne pour mettre à jour votre dossier du RAS. Vous pouvez également trouver un bureau de Service Canada et présenter une demande en personne ou par la poste.

Pour en savoir plus sur ce qu’il vous faut pour présenter une demande, visitez la page Présenter une demande pour mettre à jour votre dossier RAS.

2.2 Le NAS et vous

Selon la Loi sur la protection des renseignements personnels, le NAS fait partie des renseignements personnels. Vous pouvez protéger votre vie privée en gardant le contrôle de vos renseignements personnels et en traitant le NAS comme un renseignement confidentiel. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale sur la protection des renseignements personnels pour les organisations du secteur privé. La LPRPDE protège votre droit à la vie privée.

La LPRPDE exige que les organisations du secteur privé se conforment aux règles régissant la collecte, l’utilisation et la divulgation des renseignements personnels. Ces règles comprennent la mise en place de mesures de protection visant à protéger vos données personnelles. Elles protègent vos données personnelles contre la perte, le vol ou la divulgation non autorisée.

Aux termes de la LPRPDE, vous êtes en droit de :

Pour en savoir plus sur la façon dont la LPRPDE s’applique à l’utilisation du NAS, veuillez consulter le site Web du Commissariat à la protection de la vie privée.

Si vous avez oublié votre NAS, vous pouvez le trouver dans votre déclaration de revenus ou votre relevé d'emploi. Vous pouvez également demander une confirmation de votre NAS en ligne ou par la poste. Vous pouvez également trouver un bureau de Service Canada et demander une confirmation en personne. Pour en savoir plus sur la façon de demander une confirmation de votre NAS, visitez le site Web Comment demander un NAS.

Cela s'applique aux résidents temporaires en statut conservé (précédemment appelé statut implicite). Pour plus d'informations, visitez le site Web d'IRCC pour le statut conservé. Visitez notre site web Numéro d'assurance sociale Documents requis ou contactez-nous pour obtenir plus d'informations sur les documents requis pour demander une confirmation de votre NAS. Votre employeur peut également contacter le programme de numéro d'assurance sociale de Service Canada pour vérifier votre numéro.

Votre employeur utilise votre NAS pour informer le gouvernement aussi. Les données transmises comprennent des renseignements sur votre revenu et le montant d’impôt retenu. Ils comprennent également les montants retenus pour les programmes et services de prestations gouvernementales (par exemple pour l’assurance-emploi, le RPC/RRQ, les relevés d’emploi et les T4).

En fournissant votre NAS à votre employeur, vous lui permettez de s’assurer que votre revenu imposable et vos cotisations de retraite sont exacts. Par exemple, un employeur recueillera le NAS d’un employé. Le but est de fournir à l’employé divers relevés de fin d’exercice.

Service Canada nous ne vous appellera jamais et ne vous enverra jamais de courriel pour vous demander votre NAS ou votre numéro de carte de crédit. Il peut arriver qu’une personne vous joigne par téléphone, par message texte, par la poste ou par courriel et prétende travailler pour le gouvernement du Canada (Service Canada). Cette personne pourrait demander votre NAS ou vos numéros de carte de crédit, de compte bancaire et de passeport. Elle pourrait même dire qu’elle a besoin de ces renseignements pour que vous puissiez recevoir un remboursement ou un paiement. Il s’agit de communications frauduleuses.

Une autre tactique courante de fraude consiste à aiguiller les personnes vers un site Web qui ressemble au site Web de Service Canada. Le site Web peut vous demander de vérifier votre identité en saisissant des renseignements personnels. Vous ne devriez pas répondre à ces communications.

Si vous recevez une communication qui semble provenir de Service Canada ou d’un de ses programmes, nous vous encourageons à vérifier notre site Web. Vous pouvez également communiquer avec notre programme de numéro d'assurance sociale. Si vous avez répondu à ce qui peut ressembler à une communication trompeuse ou frauduleuse, veuillez communiquer avec le Centre antifraude de la Gendarmerie royale du Canada. Vous pouvez le faire par courriel à info@antifraudcentre.ca ou par téléphone au 1-888-495-8501. Vous pouvez également communiquer avec le Bureau de la concurrence pour obtenir de l’aide. Vous pouvez le joindre au moyen de son site Web ou en composant le 1-800-348-5358.

Pour en savoir plus, visitez le site Web Communications non autorisées et trompeuses de Service Canada.

2.3 Engagement de Service Canada envers les titulaires de NAS

À Service Canada, nous avons l'obligation de protéger le NAS d’une personne contre l’utilisation inappropriée, la fraude et le vol dans le contexte des prestations et des programmes du gouvernement fédéral. Nous prenons cette obligation très au sérieux et avons de nombreux moyens de protéger les NAS. Nous veillons également à l’exactitude des renseignements contenus dans le RAS. Cela comprend des pratiques bien définies et fonctionnelles qui servent à détecter et à contrer tout accès inapproprié aux renseignements personnels.

À Service Canada, nous :

La section 5 – Responsabilités de Service Canada et de ses partenaires décrit les rôles et les obligations de Service Canada et de ses partenaires relativement au NAS.

Section 3 – Renseignements pour les employeurs

Dans cette section

Aperçu

En tant qu’employeur, vous devez demander le numéro d’assurance sociale (NAS) de chaque employé que vous embauchez. Cela permet de fournir aux employés des relevés d’emploi et divers relevés de fin d’exercice. Ces relevés comprennent, par exemple, le relevé T4 aux fins de l’impôt sur le revenu. Vous pouvez aussi utiliser le NAS pour enregistrer et transmettre les retenues salariales des employés aux fins suivantes :

3.1 Obligations principales des employeurs

En tant qu’employeur, vous jouez un rôle essentiel dans la protection du NAS contre l’utilisation abusive, la fraude et le vol. Vous devez vous assurer d’identifier correctement les employés. Vous devez demander d’autres pièces d’identité avant de finaliser leurs documents d’emploi. La carte d’assurance sociale et la lettre de confirmation du NAS ne sont pas des documents d’identification ni des pièces d’identité. Les employés ne peuvent pas utiliser ces documents à cette fin.

Les employeurs du secteur privé peuvent également avoir des rôles et des obligations précis relativement au NAS et aux renseignements personnels. Renseignez-vous davantage sur les fonctions du secteur privé à la Section 4 – Renseignements à l'intention des organisations du secteur privé.

Voici les obligations principales des employeurs :

1. En vertu de la loi, vous devez demander le NAS de chaque nouvel employé au plus tard 3 jours après le début de l’emploi

Si votre employé n’a pas déjà un NAS, vous devez lui dire d’en faire la demande. Il peut le faire en ligne, par la poste ou en visitant le Centre Service Canada le plus près. L’employé doit demander un NAS et vous fournir la preuve qu’il l’a demandé. Vous devez demander ces renseignements peu après la date de début d’emploi. Ils doivent également vous informer de leur NAS dans les 3 jours suivant la réception de la lettre de confirmation du NAS.

Pour confirmer le NAS d’un employé actuel ou ancien, communiquez avec notre programme de numéro d'assurance sociale. Nous aurons besoin de votre numéro d’entreprise de l’Agence du revenu du Canada (ARC). Vous devez également fournir des renseignements exacts pour authentifier l’entreprise et le titulaire du NAS. Ces renseignements peuvent inclure :

Toute personne qui occupe un emploi assurable au Canada doit avoir un NAS. Cela est conforme à la Loi de l’impôt sur le revenu, au Régime de pensions du Canada et à la Loi sur l’assurance-emploi.

2. Vous devez vous assurer que les employés ayant un NAS commençant par le chiffre « 9 » sont autorisés à travailler au Canada

Immigration, Réfugiés et Citoyenneté Canada (IRCC) autorise les résidents temporaires à travailler au Canada. Ces résidents ne sont ni citoyens canadiens ni résidents permanents, et reçoivent des NAS qui commencent par le chiffre « 9 ».

Ces NAS sont valides en fonction des permis de travail d’IRCC. Ils correspondent à la date à laquelle le travailleur étranger peut travailler au Canada. Le NAS à lui seul ne leur permet pas de travailler. Vous devez vérifier toutes les modalités du permis de travail avant de les embaucher. Cela comprend les dates et les lieux de travail autorisés.

Si le document d’immigration d’un travailleur étranger expire, vous devez demander au travailleur d’obtenir un document valide avant de l’embaucher. Vous devez lui demander de communiquer avec IRCC pour le faire. Vous devez également informer le travailleur étranger qu’il doit présenter à Service Canada une demande accompagnée du nouveau document d’immigration. Cela servira à mettre à jour le dossier de NAS en y versant la nouvelle date d’expiration.

Un résident temporaire peut travailler en attendant la décision relative au renouvellement de son permis de travail ou d’études. Il peut travailler même si son permis expire avant que la décision soit reçue. Dans de telles situations, les résidents temporaires peuvent continuer à travailler, étudier ou utiliser leur NAS aux mêmes conditions tant qu’ils demeurent au Canada. Cela est conforme à l’alinéa 186u) et à l’article 189 du Règlement sur l’immigration et la protection des réfugiés.

Ces conditions demeurent valides jusqu’à ce qu’IRCC décide si le permis de travail ou d’études sera renouvelé. Le résident temporaire a alors un « statut conservé » (précédemment connu sous le nom de statut implicite). Pour plus d'information, veuillez visiter la page web d'IRCC pour le statut conservé. À titre d’employeur, vous devez vérifier le nouveau document d’immigration une fois que vous l’aurez obtenu. Vous devez vérifier que la décision d’IRCC permet à l’employé de continuer à travailler au Canada. Vous devez également vérifier la nouvelle date d’expiration. Vous devez informer l’employé qu’il doit présenter une demande accompagnée du nouveau document d’immigration. Cela vise à mettre à jour son dossier de NAS en y versant la nouvelle date d’expiration.

Pour en savoir plus, consultez le site Web d’IRCC. Vous pouvez également téléphoner au Centre d’appels d’IRCC au 1-888-242-2100 ou ATS : 1-888-576-8502.

3. Les employeurs doivent protéger les renseignements personnels de leurs employés, y compris les NAS, contre le vol et l’utilisation abusive

Les employeurs comme vous doivent conserver et éliminer les renseignements personnels des employés de manière sûre et sécuritaire. Seules les personnes autorisées peuvent accéder à ces renseignements. Les employeurs comme vous, qui doivent retenir ou déduire des cotisations au titre du RPC, des cotisations d’assurance-emploi et des impôts, doivent tenir des registres. Vous devez conserver ces dossiers pendant au moins 6 ans à compter de la fin de la dernière année où vous avez employé la personne concernée. Cela est conforme à la Loi sur l’assurance-emploi, au Régime de pensions du Canada et à la Loi de l’impôt sur le revenu.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale sur la protection des renseignements personnels pour les organisations du secteur privé. Cela inclut les employeurs du secteur privé. La LPRPDE exige que les organisations privées se conforment aux politiques lorsqu’elles recueillent, utilisent ou divulguent des données personnelles dans le cadre de leurs activités commerciales. Les données personnelles peuvent comprendre le NAS.

Ces politiques incluent la mise en place de mesures de sécurité. Vous devez suivre l’Annexe 5 : Les choses à faire et à ne pas faire à l’intention des employeurs : demande, collecte, utilisation et archivage du NAS.

Si quelqu’un vole, utilise ou divulgue le NAS d’un employé de façon frauduleuse, vous devez agir rapidement. Voir l’Annexe 4 : Que faire si votre organisation traite des atteintes à la vie privée liées aux NAS.

4. Les employeurs doivent informer Service Canada s’ils soupçonnent qu’un NAS est mal utilisé

Vous jouez un rôle de premier plan dans la détection et la prévention de la fraude liée aux NAS. L’emploi illégal et l’évasion fiscale sont deux des principaux motifs de fraude liée au NAS. Chaque année, des criminels et d’autres acteurs utilisent des cartes d’assurance sociale ou des lettres de confirmation volées, perdues, empruntées ou fausses. Les fraudeurs s’en servent pour escroquer des individus, des organisations du secteur privé et des gouvernements.

Si vous soupçonnez qu’un NAS a été compromis ou est utilisé à des fins frauduleuses, vous devez immédiatement signaler le problème. Vous devez fournir à Service Canada votre numéro d’entreprise délivré par l’ARC. Vous devez également fournir des renseignements pour authentifier l’entreprise et le titulaire du NAS.

3.2 Information sur l'utilisation du NAS et les employeurs

Vos employés n’ont pas besoin de vous présenter une preuve matérielle de leur NAS. Ils n’ont pas besoin de vous fournir leur carte d’assurance sociale ou une lettre de confirmation.

Seuls les employeurs peuvent vérifier le NAS d’un employé auprès du programme de numéro d'assurance sociale. Les fournisseurs de services de paie ne peuvent pas communiquer avec nous pour vérifier un NAS, car ils ne sont pas l’employeur. Néanmoins, les fournisseurs de services de paie doivent recevoir les NAS des employés. Cela leur permet de s’acquitter de leurs rôles et responsabilités envers leur client ou l’employeur.

Il devrait y avoir une entente contractuelle entre le fournisseur de services de paie et l’employeur pour expliquer ce besoin. Ces organisations doivent se conformer au présent Code de bonnes pratiques.

De nombreuses personnes utilisent un surnom, un second prénom ou un autre nom. Vous devez vous assurer d’identifier correctement vos employés. Vous devez inscrire le nom légal de votre employé. Les employeurs peuvent rappeler aux employés que leur dossier de NAS doit refléter leur nom légal actuel.

Si le nom d’une personne change et que cette personne a un NAS, elle doit le faire mettre à jour. Peu importe la raison du changement de nom (à cause du mariage ou autre). La personne doit présenter une demande de mise à jour de son dossier de NAS sous le nouveau nom dans les 60 jours.

Les employeurs ne doivent pas utiliser le NAS comme identificateur d’employé. De graves problèmes pourraient survenir si les renseignements personnels des employés sont à risque. Nous vous invitons vivement à utiliser une autre méthode d’identification des employés. Cette mesure vise à protéger la vie privée de vos employés et à maintenir l’intégrité du NAS.

3.3 Engagement de Service Canada envers les employeurs

La fraude d’identité, y compris les NAS volés, perdus et empruntés, peut entraîner des coûts accrus. Ces coûts peuvent causer des préjudices aux particuliers, aux organisations du secteur privé et aux gouvernements. La protection du NAS est essentielle à la gestion et à la prestation de nombreux services gouvernementaux et programmes de prestations. Vous pouvez aider à prévenir la fraude et l’utilisation abusive du NAS.

Empêchez les personnes non autorisées d’accéder aux dossiers des employés qui contiennent le NAS. Vous pouvez également signaler une utilisation abusive soupçonnée du NAS. Chacun doit faire sa part pour s’assurer que ses renseignements personnels sont exacts et complets. À Service Canada, nous prenons cette obligation très au sérieux. Nous avons de nombreuses façons de protéger les NAS et l’exactitude des renseignements personnels.

Pour nous acquitter de cette obligation envers les employeurs, nous nous engageons à :

Pour obtenir une description complète des rôles et obligations de Service Canada liés au NAS, consultez la Section 5 – Responsabilités de Service Canada et de ses partenaires.

Section 4 – Renseignements à l’intention des organisations du secteur privé

Dans cette section

Aperçu

Dans certaines situations, il se peut que des organisations du secteur privé recueillent le numéro d’assurance sociale (NAS), notamment pour l’emploi et l’impôt sur le revenu. D’autres situations comprennent les prestations gouvernementales versées et d’autres programmes gouvernementaux.

Les organisations comme la vôtre peuvent également choisir d’utiliser le NAS pour d’autres raisons, comme la vérification de la cote de crédit et l’identification. Ici, à Service Canada, nous déconseillons d’utiliser le NAS à ces fins. Dans ce Rapport du vérificateur général sur le NAS, on laisse entendre que ces pratiques mettent en danger l’intégrité du NAS. Elles font augmenter le risque de fraude et d’abus liés au NAS.

Le Commissariat à la protection de la vie privée du Canada recommande aux organismes de s’abstenir de demander le NAS de leurs clients lorsque la loi ne l’exige pas. Les clients ne doivent pas fournir leur NAS à moins que la loi ne l’exige. Pour en savoir plus, veuillez consulter le site Web du Commissariat à la protection des renseignements personnels.

Rappel : Votre organisation du secteur privé n’a pas le pouvoir légal de demander le NAS des clients pour quelque raison que ce soit, sauf pour déclarer un revenu. Vous ne pouvez pas refuser un produit ou un service à un client qui refuse de fournir son NAS lorsque la loi ne l’exige pas.

4.1 Principales obligations des organisations du secteur privé

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale sur la protection des renseignements personnels pour les organisations du secteur privé. La loi concilie le droit à la vie privée d’une personne et le besoin d’une organisation de recueillir, d’utiliser ou de communiquer des renseignements personnels. Les NAS sont considérés comme étant des renseignements personnels au sens de la LPRPDE.

La LPRPDE exige que les organisations du secteur privé se conforment aux règles régissant la collecte, l’utilisation et la divulgation des renseignements personnels (y compris les NAS) dans le cadre de leurs activités commerciales.

Ces règles comprennent la mise en place de mesures de sécurité visant à protéger les données personnelles contre la perte, le vol ou la divulgation non autorisée. Innovation, Sciences et Développement économique Canada assure la gestion globale des politiques de la LPRPDE. Cela comprend les modifications récentes apportées en 2018.

Une organisation du secteur privé comme la vôtre a 4 obligations clés en ce qui concerne la protection du NAS, ce qui respecte les principes de la LPRPDE.

1. Une organisation du secteur privé ne doit jamais utiliser le NAS comme pièce d’identité ou comme numéro d’identification du client

Le NAS n’est ni un document d’identification ni une pièce d’identité et personne ne doit l’utiliser comme tel. Par conséquent, personne ne devrait considérer le NAS comme une identification officielle du gouvernement. Pour vérifier l’identité d’un client, demandez plutôt une pièce d’identité appropriée qui comprend des éléments de données précis. Les éléments de données précis peuvent inclure :

Vous ne devriez jamais demander le NAS d’un client à moins qu’il ne soit légalement nécessaire de le recueillir. La loi ne permet pas aux entreprises du secteur privé d'exiger le NAS des clients à des fins autres que la déclaration des revenus. Si votre organisme du secteur privé recueille le NAS d’un client, vous devez vous conformer à la LPRPDE ou aux lois provinciales applicables. Cela comprend la divulgation des fins d’utilisation du NAS et l’obtention du consentement. Vous devez utiliser le NAS uniquement aux fins exposées.

Si votre organisation privée doit attribuer un numéro d’identification à ses clients, vous devez en créer un.

2. Si vous demandez le NAS d’un client, vous devez lui dire pourquoi vous le demandez et vous ne devez l’utiliser qu’à cette fin

Il n’y a qu’une raison pour laquelle une organisation du secteur privé a légalement besoin du NAS des clients. Les banques, les coopératives de crédit et les sociétés de fiducie ont besoin du NAS pour les comptes et les placements qui rapportent des revenus (comme les intérêts et les dividendes). Par exemple, les institutions financières ont besoin du NAS pour déclarer les intérêts versés dans le compte bancaire d’une personne. Si un compte ne produit pas de revenu, la loi n’exige pas que votre organisation demande le NAS du client.

La loi n’oblige pas non plus le client à fournir son NAS. Vous devez indiquer à votre client que dans ces cas, le NAS est facultatif. Vous devez préciser que la loi exige le NAS lorsque votre organisation l’utilise pour déclarer les intérêts versés dans le compte bancaire d’une personne.

3. Une organisation du secteur privé ne peut pas demander aux clients de fournir leur NAS sans que la loi l’exige

Vous devriez en informer vos clients. Vous devez obtenir le consentement d’un client pour recueillir et utiliser son NAS. Si la loi n’exige pas de fournir un NAS, vous devriez offrir au client un moyen de retirer son consentement. Cette option devrait être disponible en tout temps après que le client vous a fourni son NAS. Le mécanisme pour retirer son consentement doit être clair, facile à appliquer, sûr et efficace.

4. Les organisations du secteur privé doivent protéger les renseignements personnels de leurs clients (y compris les NAS) du vol et d’une utilisation ou divulgation frauduleuse

Si vous recevez les renseignements personnels de vos clients, vous devez les protéger. Vous devez vous assurer que les renseignements sont protégés contre le vol, l’utilisation inappropriée ou la divulgation. Votre organisation devrait garder les NAS sous clé lorsqu’ils sont conservés sur papier. Vous devriez chiffrer ou protéger par mot de passe les NAS en format numérique. Vous devriez également conserver les NAS à l’écart des autres renseignements personnels.

Les organisations du secteur privé sont encouragées à suivre les indications de l’Annexe 6 : Liste des choses à faire et à ne pas faire à l’intention du secteur privé : demande, collecte, utilisation et archivage du NAS.

Si quelqu’un vole le NAS de vos clients ou l’utilise de façon inappropriée, vous devez agir. Si votre organisation est assujettie à la LPRPDE, une déclaration obligatoire peut être exigée. Si la violation de l'information personnelle présente un risque réel de préjudice important pour un individu, le signalement est obligatoire. Il peut également y avoir des exigences de rapport équivalentes au niveau provincial. Pour plus d'informations, voir l'Annexe 4 : Que faire si votre organisation traite des atteintes à la vie privée liées aux NAS.

4.2 Renseignements sur l'utilisation du NAS dans le secteur privé

À Service Canada, nous déconseillons fortement aux organisations privées de demander le NAS comme pièce d’identité pour les raisons suivantes :

Si votre organisation souhaite toujours demander un NAS à des fins d’identification seulement, vous ne devez en aucun cas laisser entendre qu’il s’agit d’une obligation. Vous ne pouvez pas exiger le NAS pour établir une relation d’affaires. Vous devez clairement indiquer qu’il est optionnel de fournir le NAS, et offrir au client d’autres options.

Avant de donner leur NAS, les clients ont le droit de demander les exigences légales dans lesquelles s’inscrit la collecte du NAS. De plus amples renseignements sur le NAS sont disponibles sur la page Aperçu du NAS.

La loi n’exige plus de fournir une preuve matérielle du NAS (carte ou lettre de confirmation). Les organisations du secteur privé n’ont pas à demander une preuve du NAS d’un client.

Vous devriez adopter une politique d’ouverture avec vos clients. Vous devriez communiquer volontiers les dossiers personnels au client auquel ils appartiennent. Les clients ont le droit de savoir ce qui se trouve dans ces dossiers. Pour en savoir plus sur le principe de transparence de la LPRPDE, visitez le site Web du Commissariat à la protection de la vie privée.

Avant la LPRPDE, les organisations du secteur privé recueillaient les NAS des clients alors que la loi n’exigeait pas de consentement à cet effet. Les dispositions de la LPRPDE s’appliquent à tous les renseignements personnels détenus par une organisation. C’est le cas peu importe le moment où l’organisation a recueilli les renseignements. Dans certains cas, la destruction ou l’effacement de dossiers plus anciens peut être le meilleur moyen de traiter cette information. Néanmoins, il n’est pas toujours nécessaire pour les organisations comme la vôtre de demander le consentement pour continuer à détenir et à utiliser les NAS au dossier.

Pour décider si vous devez conserver le NAS d’un client, posez la question suivante : Est-il nécessaire de conserver les renseignements en raison d’une loi ou d’un contrat? Si la réponse est oui, considérez les questions suivantes.

Si la réponse à ces questions est « non », il est préférable d’éliminer ces NAS de façon sécuritaire.

4.3 Engagement de Service Canada envers les organisations du secteur privé

À Service Canada, nous nous engageons à offrir des conseils, des renseignements, de la formation et des outils aux organisations. Cette mesure vise à aider les organisations comme la vôtre à s’acquitter de leurs obligations de protection du NAS.

Pour obtenir une description complète des rôles et des obligations de Service Canada liés au NAS, consultez la Section 5 – Responsabilités de Service Canada et de ses partenaires.

Section 5 – Renseignements à l’intention de Service Canada et de ses partenaires

Dans cette section

Aperçu

La Commission de l’assurance-emploi du Canada (CAEC) a le pouvoir d’attribuer des numéros d’assurance sociale (NAS). La Loi sur le ministère de l’Emploi et du Développement social (LMEDS) et le Règlement sur le numéro d’assurance sociale confèrent ces droits à la CAEC. La CAEC a également le pouvoir de tenir à jour le Registre d’assurance sociale (RAS).

La CAEC a confié la responsabilité d’émettre et d’administrer les NAS à la Direction générale des services d’intégrité (DGSI). La DGSI se trouve au sein du ministère de l’Emploi et du Développement social du Canada (EDSC)/Service Canada.

À Service Canada, nous sommes responsables :

  • d’élaborer des politiques et directives opérationnelles sur le NAS;
  • d’administrer l’immatriculation des demandeurs de NAS et de tenir à jour le RAS;
  • de traiter les demandes d’accès à l’information sur le NAS;
  • d’élaborer et de mettre en œuvre des mesures d’enquête et de contrôle pour détecter et prévenir les utilisations abusives du NAS;
  • d’élaborer des stratégies de communication avec les entreprises et le grand public;
  • de réviser les lois relatives au NAS.

Le Secrétariat du Conseil du Trésor (SCT) et Service Canada, au nom de la Commission, sont tous deux responsables de la politique sur l’utilisation du NAS. Le SCT gère la Directive sur le numéro d’assurance sociale, qui guide les ministères et organismes gouvernementaux sur la collecte et l’utilisation du NAS. Nous gérons le Code de bonnes pratiques du NAS.

Nous collaborons avec un large éventail d’organisations pour exécuter le programme du NAS. Service Canada et ses partenaires, comme vous, s’engagent à utiliser correctement le NAS. Nous veillons également à ce que des mesures soient en place pour protéger les renseignements personnels des personnes dans le cadre de l’exécution des programmes.

Les partenaires du NAS de Service Canada sont des organismes fédéraux et provinciaux qui acceptent officiellement de communiquer les renseignements contenus dans le Registre ou d’y accéder.

5.1 Obligations principales de Service Canada et des autres ministères et organismes autorisés

Seuls les ministères et organismes autorisés peuvent obtenir des renseignements provenant du RAS. Voici les mesures législatives qui éclairent cet échange de renseignements du RAS :

À Service Canada, nous nous engageons à protéger les renseignements personnels des clients. Il en va de même pour les autres ministères et organismes autorisés. Nous devons également nous assurer que les renseignements contenus dans le RAS sont exacts, complets et sécurisés. Pour ce faire, nous et d’autres ministères et organismes autorisés avons les obligations principales suivantes.

1. Service Canada et les autres ministères et organismes autorisés doivent restreindre l’accès aux renseignements du RAS et leur communication

Des ententes officielles régissent l’accès du programme aux renseignements contenus dans le RAS, notamment en ce qui concerne les éléments suivants :

  • les renseignements qui peuvent être consultés ou divulgués;
  • les fins auxquelles les renseignements peuvent être consultés et par qui;
  • les politiques et les procédures.

Sans entente, les entités ne peuvent pas accéder aux renseignements contenus dans le RAS. Nous limitons l’accès au RAS au plus petit nombre d’éléments de données nécessaires pour accomplir le travail. Il s’agit d’une pratique exemplaire en matière de sécurité pour la protection des renseignements. Service Canada surveille la conformité aux modalités de l’entente, lesquelles peuvent faire l’objet d’une vérification. Service Canada et ses partenaires doivent utiliser une méthode sécurisée pour communiquer tout renseignement. Service Canada précise la méthode sécurisée à utiliser.

2. Service Canada et les autres ministères et organismes autorisés doivent s’efforcer de protéger les renseignements personnels contre le vol, l’accès inapproprié ou la divulgation

Service Canada et ses partenaires doivent respecter toutes les lois et politiques du gouvernement du Canada en matière de protection des renseignements personnels et de sécurité. Cela comprend la Loi sur la protection des renseignements personnels et la Politique sur la gestion de l’information du Secrétariat du Conseil du Trésor. Service Canada et ses partenaires doivent également respecter toutes les politiques, procédures et pratiques en matière de protection des renseignements personnels et de sécurité relatives aux NAS. Nos différentes ententes le précisent. Service Canada et ses partenaires doivent informer les employés de toutes les politiques et procédures.

Service Canada et ses partenaires doivent également s’assurer que les employés ont suivi toute la formation requise et ont fait l’objet d’une enquête de sécurité appropriée. Nous surveillons qui accède aux dossiers de NAS au moyen de registres d’accès. Nous le faisons pour détecter tout accès inapproprié ou suspect. Nous pourrons ensuite examiner et traiter les cas défavorables.

Des mesures correctives sont en place pour les cas de non-conformité. Celles-ci peuvent mener à des mesures punitives. En cas d’atteinte substantielle à la vie privée, vous devez en informer les intervenants concernés. Il s’agit du Commissariat à la protection de la vie privée du Canada et du Secrétariat du Conseil du Trésor du Canada.

3. Service Canada et les autres ministères et organismes autorisés doivent confirmer l’identité des clients

Il est important de les identifier avec exactitude. Cela permet de s’assurer que le bon client reçoit la bonne prestation ou le bon service. C’est également essentiel pour prévenir l’utilisation frauduleuse. Service Canada et ses partenaires doivent confirmer l’identité d’un client. Ce faisant, nous devons respecter les ententes et les politiques de gestion de l’identité de Service Canada.

Ces politiques sont, entre autres :

  • accepter uniquement les documents de preuve d’identité dont nous, à Service Canada, approuvons l’utilisation;
  • examiner entièrement le dossier de NAS d’un client en comparant l’information provenant du RAS aux renseignements sur l’identité et le programme afin d’assurer la cohérence;
  • corriger les renseignements qui figurent au dossier de NAS d’une personne si Service Canada ou ses partenaires y constatent une différence ou une erreur;
  • agir si le document contient une annotation ou une condition.

Dans un tel cas, les partenaires doivent consulter leur entente et les procédures connexes pour connaître les mesures à prendre. Cela peut inclure un renvoi aux Services nationaux d’enquête.

4. Service Canada est responsable des renseignements personnels conservés dans le RAS et les ministères et organismes autorisés contribuent à maintenir l’exactitude et l’exhaustivité de ces renseignements

Le fait que les renseignements contenus dans le RAS soient exacts et complets garantit que le bon client recevra la bonne prestation. Cela permet de protéger de la fraude tous les programmes qui utilisent le NAS. Service Canada et ses partenaires doivent respecter les politiques de gestion de l’identité de Service Canada.

Lorsqu’une personne avise un partenaire de Service Canada d’une erreur dans son dossier de NAS, ce partenaire doit communiquer avec Service Canada. S’il s’agit d’une erreur de saisie des données, nous vérifierons si nous pouvons :

  • la corriger au téléphone;
  • apporter la correction sans contacter le client.

Sinon, le programme de numéro d'assurance sociale collaborera avec vous, le partenaire, pour informer le client sur la façon de corriger les données. Le programme confirmera également les documents que le client devra fournir et les options de service qui sont à sa disposition. Cette approche est la même pour les cas où l’inexactitude n’est pas attribuable à une erreur de saisie des données.

5. Service Canada et les ministères et organismes autorisés doivent établir des pratiques de gestion et de surveillance des risques

Service Canada et des partenaires comme votre ministère ou organisme doivent cerner les secteurs à risque élevé. Cela vise à détecter et à prévenir la fraude et l’accès ou la communication non autorisés. Lorsque des renseignements personnels sont consultés, Service Canada et les partenaires doivent le documenter. Cela permet de faire le suivi de la conformité aux politiques et principes de respect de la vie privée, de sécurité et d’intégrité des programmes.

Service Canada et ses partenaires doivent suivre l’utilisation des renseignements personnels. Nous devons également détecter tout accès non autorisé ou toute modification des renseignements personnels. Si quelqu’un va à l’encontre de ces politiques et principes, nous devons le signaler aux fonctionnaires de Service Canada. Nous avons mis en place des fonctionnaires, des processus et des mécanismes qui agissent ensemble pour mener des enquêtes et limiter les incidents d’atteinte ou de fraude dans les programmes.

Pour vous informer des obligations individuelles des employés, consultez la Section 6 – Responsabilités des employés de Service Canada.

5.2 Communication de renseignements sur le NAS, Service Canada et autres ministères et organismes autorisés

La LMEDS régit la communication des renseignements provenant du RAS. En vertu du paragraphe 28.2(5) de cette loi, la CAEC ou son représentant peuvent autoriser la communication de renseignements du RAS aux partenaires comme vous.

Vous ne pouvez pas communiquer à une autre organisation des renseignements provenant du RAS que nous avons fournis à votre ministère ou organisme autorisé. C’est le cas même si cette organisation est un utilisateur autorisé. Les organisations qui souhaitent obtenir des renseignements du RAS doivent communiquer avec le programme du NAS.

Le programme du NAS vérifie que la partie requérante a la permission d’obtenir ces renseignements. Le programme du NAS s’assure également que la demande respecte les modalités de l’entente. Cela comprend le type de renseignements que les modalités de l’entente autorisent Service Canada à communiquer et la raison pour laquelle les renseignements sont requis.

Les employés des organisations autorisées qui demandent des renseignements sur le NAS, mais qui n'y ont pas accès, doivent communiquer avec le programme du NAS pour accéder à l'information. Les employés peuvent ensuite obtenir des renseignements à partir du Registre. Le nom de l'employé doit figurer sur la liste des employés du programme de numéro d'assurance sociale. Le programme confirmera des renseignements précis auprès de l'employé pour 2 raisons :

  • s’assurer que la partie requérante est un employé autorisé;
  • s’assurer que la raison de la demande est valide et respecte les modalités de l’entente.

Signalez les problèmes liés au respect du présent Code de bonnes pratiques ou d’autres politiques connexes. Pour les signaler, vous devez, en tant que partenaire communiquer avec le fonctionnaire désigné dans votre entente.

5.3 Engagement de Service Canada envers les autres ministères et organismes autorisés

Compte tenu du rôle important que joue Service Canada auprès de ses partenaires, nous nous engageons à :

  • collaborer avec tous les partenaires du RAS pour améliorer l’intégrité et l’exactitude des données du RAS;
  • assurer le succès à long terme du RAS en créant et en maintenant :
    • une structure claire de gouvernance et d’application de la loi (définie dans les ententes et les modèles de financement),
    • une liste claire des besoins en matière de services,
    • des protocoles clairs de communication de renseignements;
  • une communication ouverte et transparente;
  • fournir des conseils, des renseignements et des outils pour aider les partenaires à assumer leurs obligations relatives au NAS.

Section 6 – Obligations des employés de Service Canada

Dans cette section

Aperçu

Les employés et les entrepreneurs de Service Canada comme vous jouent un rôle clé en ce qui concerne les numéros d’assurance sociale (NAS). Vous contribuez à protéger l’intégrité, la confidentialité et la sécurité du NAS. Le Registre d’assurance sociale (RAS) contient le NAS du client et ses renseignements personnels.

Service Canada conserve les NAS et les renseignements personnels dans des dossiers de programme très sécurisés qui sont hautement confidentiels. Par conséquent, vous devez faire preuve d’une grande prudence dans votre façon de recueillir, de conserver, d’utiliser et de communiquer ces renseignements. Il vous incombe d’identifier les personnes et de vérifier leur identité d’une personne de façon précise et sécuritaire. Vous jouez un rôle important dans la prévention de la fraude en veillant à ce que le bon client obtienne la bonne prestation ou le bon service aux fins prévues. Vous devez respecter les procédures qui protègent la gestion des renseignements personnels. La gestion des renseignements personnels comprend la collecte, la conservation, l’utilisation et la communication.

6.1 Exactitude, protection des renseignements personnels et sécurité – Obligations principales des employés et des entrepreneurs de Service Canada

Il vous incombe d’identifier et de vérifier l’identité d’une personne. Vous devez le faire correctement et de façon sécurisée. Vous jouez un rôle important dans la protection des renseignements personnels des clients et des employés. Vous contribuez à prévenir la fraude et à maintenir l’intégrité des renseignements contenus dans le RAS.

Vous y parvenez en veillant à ce que le bon client obtienne la bonne prestation ou le bon service aux fins prévues. Il vous incombe également de signaler les incidents de fraude réels et soupçonnés.

Remarque : Les entrepreneurs embauchés par Service Canada ou un partenaire qui ont accès à des renseignements comme les NAS ont les mêmes obligations que les employés de Service Canada. Les entrepreneurs doivent satisfaire à l’exigence relative au « besoin de savoir », détenir l’attestation de sécurité appropriée et suivre les pratiques décrites dans le Code.

1. Tous les employés et entrepreneurs de Service Canada doivent protéger la confidentialité et la sécurité des renseignements personnels des clients

Vous avez l’obligation de protéger les renseignements personnels contre tout accès, utilisation ou communication non autorisés. Vous devez gérer votre accès aux réseaux électroniques de façon responsable. Vous devez signer une entente exécutoire à cet effet.

Vous devez respecter la législation et les politiques et lignes directrices gouvernementales. Le SCT et le Code de valeurs et d'éthique du secteur public les décrivent. Certaines politiques imposent d'autres restrictions aux renseignements très personnels contenus dans le RAS. Ces politiques confèrent certaines obligations de communication au programme de numéro d'assurance sociale. Vous devriez également respecter la Directive sur les conflits d'intérêts de la fonction publique.

Seuls les employés autorisés peuvent avoir accès aux renseignements contenus dans le RAS ou en demander l’accès. Pour ce faire, vous devez avoir un « besoin de savoir » précis lié aux obligations qui vous sont attribuées. Vous devez ensuite suivre les procédures établies. Pour accéder aux renseignements sur le NAS ou les communiquer, vous devez y être autorisé et vous devez être tenu de le faire en raison de vos obligations. Vous devez respecter les lois, politiques et procédures qui guident ces obligations.

Vous devez confirmer l’identité du demandeur avant de communiquer des renseignements sur le NAS. Cette étape permet de s’assurer que la personne qui reçoit les renseignements est le titulaire du NAS ou son représentant légal. Lorsque vous communiquez des renseignements sur le NAS à un autre employé de Service Canada, vous devez confirmer que cet autre employé est autorisé à y accéder.

Lorsque les partenaires autorisés envoient des demandes de renseignements sur le NAS, vous devez les acheminer au programme de numéro d'assurance sociale. Seuls les employés du programme peuvent communiquer des renseignements sur le NAS à ces partenaires.

2. Les employés de Service Canada doivent établir et vérifier l’identité d’une personne en appliquant toutes les politiques et procédures de Service Canada de façon précise et sécuritaire

Il est essentiel d’identifier les clients de façon précise et sécuritaire afin de réduire le risque de fraude. Cela permet également de s’assurer que le bon client obtient les bonnes prestations ou les bons services. Les employés, comme vous, qui immatriculent des demandeurs de NAS, doivent respecter toutes les politiques et procédures connexes. Ceux qui utilisent le NAS pour vérifier l’identité doivent comparer les renseignements d’identité fournis dans le Registre. Ce faisant, ils doivent respecter les politiques de gestion de l’identité de Service Canada.

Vous devez examiner entièrement le dossier d’une personne dans le RAS pour confirmer que le NAS est valide. Vous devez également vous assurer qu’il n’y a pas d’annotations ou de conditions susceptibles d’en affecter l’utilisation. Les politiques et procédures requises se trouvent sur le site Web Aperçu du numéro d’assurance sociale. Celles-ci s’adressent aux employés ayant un accès direct au Registre. Rendez-vous sur le site Web pour vous renseigner sur le programme de preuve d’identité. Il traite également des procédures de traitement des NAS et de la formation en ligne.

3. Les employés de Service Canada doivent suivre un ensemble de règles pour s’assurer que l’information contenue dans le RAS est exacte et protégée contre les utilisations frauduleuses

Ils doivent scrupuleusement comparer et faire correspondre les renseignements du RAS avec ceux fournis par le client. L’employé qui a relevé un problème doit corriger toute erreur, inexactitude ou divergence dans le dossier de NAS d’une personne. Au besoin, il faut appliquer les mécanismes et procédures internes. Vous devez consulter les lignes directrices pertinentes, les manuels de formation et les procédures concernant des directives particulières.

S’il s’agit d’une erreur de saisie des données, nous vérifierons si nous pouvons :

  • la corriger au téléphone;
  • apporter la correction sans contacter le client.

Sinon, le programme de numéro d'assurance sociale collaborera avec vous, le partenaire, pour informer le client sur la façon de corriger les données. Le programme confirmera également les documents que le client devra fournir et les options de service qui sont à sa disposition. Cette approche est la même pour les cas où l'inexactitude n'est pas attribuable à une erreur de saisie des données.

Il se peut que le dossier de NAS d’un client exige une attention particulière. Dans ce cas, vous devez agir de façon appropriée. Cela comprend le renvoi de la question aux enquêteurs des services d’intégrité. Les enquêteurs ou autres intervenants peuvent également diriger un employé vers le programme de numéro d'assurance sociale.

6.2 Renseignements sur le NAS et les employés de Service Canada

Le dossier de NAS contient tous les renseignements personnels versés lors de la demande de NAS ou de la demande de modification des renseignements. La modification des renseignements pourrait inclure des changements de nom, par exemple. Ces renseignements se trouvent dans le RAS. Ces renseignements peuvent comprendre le nom, la date de naissance, le lieu de naissance et le nom des parents. Le dossier de NAS contient également les dates de décès.

Le cas échéant, le dossier peut comporter des conditions particulières liées au NAS. Le RAS indique également l’état des NAS inactifs et des NAS liés. Le dossier d’un NAS peut être en attente si la demande est en cours de traitement ou si un cas justifie une annotation dans le dossier de NAS.

Les employés de Service Canada, comme vous, qui ont accès au RAS ont leur propre code d’utilisateur unique. Avec ce code, le RAS consigne toutes vos actions (comme les transactions et les accès) effectuées sur le RAS. Le programme du NAS reçoit un rapport mensuel en vue du suivi de l’utilisation. Il peut demander une piste d’audit détaillée pour tout employé.

Il vous est interdit d’accéder à votre propre dossier de NAS ou de le mettre à jour. Il vous est également interdit d’accéder au dossier de NAS d’un membre de votre famille, d’un ami ou d’un collègue, ou de le mettre à jour. Vous ne pouvez accéder aux renseignements sur le NAS, les demander, les utiliser ou les communiquer que si cela fait partie des tâches qui vous sont confiées. Vous ne devez accorder à personne un traitement préférentiel. Cela inclut les membres de la famille, les amis et les collègues. Cela signifie que vous ne devez pas prendre des mesures pour faire traiter leur demande en priorité par rapport aux autres. La direction prendra des mesures correctives si les employés enfreignent les règles d’une loi, d’un code ou d’une politique.

Les mesures punitives pour l’infraction aux règles comprennent la réprimande verbale et écrite, la suspension ou la rétrogradation. De telles mesures peuvent même comprendre le licenciement. La législation relative à Emploi et Développement social Canada comprend un Code de protection des renseignements personnels. Il énonce des sanctions précises. Ces sanctions peuvent être imposées pour un accès non autorisé ou inapproprié, ou pour l’utilisation ou la communication de renseignements personnels. La sanction maximale est une amende de 10 000 $ et/ou une peine d’emprisonnement de six mois.

Les employés autorisés de Service Canada qui n'ont pas directement accès au registre doivent communiquer avec le programme de numéro d'assurance sociale  pour obtenir des renseignements sur le NAS. Le programme ne peut divulguer des renseignements que si votre groupe est un utilisateur autorisé du Registre et si votre nom figure sur la liste d'employés du programme. Des renseignements précis seront validés pour confirmer votre autorisation et la validité de votre demande.

6.3 Engagement de Service Canada envers ses employés

À Service Canada, nous nous engageons à donner à nos employés et à nos entrepreneurs les moyens de s’acquitter de leurs obligations. Nous nous engageons également à protéger le NAS d’une utilisation inappropriée, de la fraude et du vol. Les employeurs et les entrepreneurs doivent s’assurer que le registre est exact, complet et sécurisé. Nous nous engageons à :

  • veiller à ce que vous connaissiez bien les procédures, les directives et les outils nécessaires pour :
    • vérifier l’identité,
    • valider les documents de preuve d’identité,
    • accéder au registre et le mettre à jour,
    • détecter la fraude;
  • créer des outils de formation en ligne qui vous aident à comprendre et à remplir vos fonctions liées au Registre;
  • vous fournir un système de soutien complet :
    • pour vous informer des principaux enjeux et priorités et pour répondre aux questions liées au NAS
    • incluant :
      • des coordonnateurs locaux et régionaux des NAS;
      • des centres d’appels spécialisés;
      • des outils intranet;
      • une communication régulière;
  • vérifier que les employés et les entrepreneurs, comme vous, comprennent leurs obligations.

Annexe 1 : Utilisations du NAS autorisées par le gouvernement fédéral

Le Secrétariat du Conseil du Trésor (SCT) du Canada gère la Directive sur le numéro d’assurance sociale. Cette directive régit la façon dont les institutions fédérales recueillent, utilisent et communiquent le numéro d’assurance sociale (NAS). Le SCT autorise également certains ministères et organismes fédéraux à recueillir, à utiliser et communiquer le NAS.

Les institutions fédérales ne peuvent recueillir ou utiliser le NAS qu’à des fins autorisées par la loi. Une institution fédérale doit avoir une autorisation légale expresse ou une autorisation légale implicite et l’approbation stratégique du Conseil du Trésor. 

Les utilisations autorisées du NAS décrites dans la Directive sur le numéro d’assurance sociale (Annexe A) comprennent :

  • la récupération des dossiers historiques;
  • la collecte et l’utilisation du NAS dans le cadre d’enquêtes licites;
  • d’autres fins liées à l’administration des lois (y compris les fins fiscales);
  • l'utilisation à des fins non administratives spécifiques d'une manière conforme à l'administration de la Loi sur la statistique, de la Loi sur la Bibliothèque et les Archives du Canada et de la Loi sur le vérificateur général, respectivement.

Pour en savoir plus sur les utilisations autorisées et trouver une liste des programmes et activités autorisés, voir l’annexe A de la Directive sur le numéro d’assurance sociale.

Annexe 2 : Liste des choses à faire et à ne pas faire à l’intention des titulaires de NAS : protéger votre NAS

À faire

  • Mémorisez votre numéro d’assurance sociale (NAS).
  • Conservez votre carte d’assurance sociale ou votre lettre de confirmation dans un endroit sûr (par exemple un coffret de sûreté).
  • Lorsqu’une organisation demande votre NAS, demandez si la loi l’oblige à le recueillir, sinon,
    • assurez-vous d’être convaincu qu’il est nécessaire de le fournir; ou
    • proposez d’autres documents pour répondre aux exigences de l’organisation (par exemple votre permis de conduire).
  • Protégez votre courrier contre le vol en verrouillant votre boîte aux lettres, surtout lorsque vous attendez une lettre de confirmation du NAS.
  • Retirez rapidement le courrier reçu immédiatement après sa livraison.
  • Avisez Postes Canada de retenir votre courrier si vous prévoyez être absent.
  • Visitez le site Web Pensez cybersécurité – Centre canadien pour la cybersécurité pour connaître les pratiques exemplaires en matière de cybersécurité afin d’assurer la sécurité de votre NAS.

À ne pas faire

  • N’utilisez pas votre NAS comme pièce d’identité, car cela expose votre NAS et vos renseignements personnels à un risque accru.
  • Ne transportez pas votre NAS avec vous; si vous perdez votre NAS ou si on vous le vole, quelqu’un pourrait l’utiliser frauduleusement.
  • Ne laissez pas de documents contenant des renseignements personnels, surtout votre NAS, dans un endroit accessible à tous.
  • Ne dévoilez votre NAS à personne. Si vous le faites :
    • vous devez vous assurer que la loi autorise la personne qui demande votre NAS à l’obtenir;
    • vous devrez assumez le risque accru de vol d’identité ou de fraude associé au fait de divulguer votre NAS à une personne qui n’a pas légalement le droit de l’obtenir.
  • Ne communiquez pas votre NAS par téléphone, sauf si vous avez vous-même composé le numéro et que vous savez qui est au bout du fil.
  • Ne répondez pas aux courriels qui demandent des renseignements personnels comme un NAS, car ces courriels sont probablement frauduleux.
  • N’envoyez pas vos renseignements personnels ou votre NAS par téléphone cellulaire ou ordinateur portable, par exemple, lorsque vous utilisez une connexion Internet non sécurisée.
  • N’utilisez pas les renseignements de l’afficheur pour confirmer l’identité de l’appelant, car les criminels peuvent modifier l’information affichée et prétendre être :
    • une autre personne;
    • un représentant d’une entreprise;
    • un représentant d’une entité gouvernementale.

Rappel : Service Canada ne communique jamais avec les personnes par téléphone ou par courriel pour leur demander leur NAS ou leur numéro de carte de crédit. Si vous recevez un appel téléphonique ou un courriel vous demandant ces renseignements, il s’agit d’une escroquerie. Si vous êtes contacté au sujet de paiements dus, de cartes de crédit prépayées ou de cartes-cadeaux, il s’agit aussi d’une escroquerie.

Annexe 3 : Que faire si vous soupçonnez que votre NAS a été compromis

N’importe qui peut mettre en péril la sécurité de votre numéro d’assurance sociale (NAS). Cela vous inclut, ainsi que toute organisation qui détient votre NAS. Un vol peut le mettre en péril. Il pourrait s’agir du vol de votre carte d’assurance sociale ou de votre lettre de confirmation. Il pourrait également s’agir du vol de documents contenant votre NAS ou de dossiers informatiques ou électroniques contenant votre NAS. La communication peut le mettre en péril. Elle peut être délibérée ou accidentelle, à une personne ou à une organisation qui n’est pas digne de confiance.

Si votre NAS est compromis, agissez rapidement. Cela aidera à prévenir les pertes et à minimiser les effets négatifs. Voici les mesures à prendre immédiatement pour réduire les préjudices éventuels.

NAS à risque : Liste de choses à faire

1. Essayez de savoir s’il s’agit d’un délit (par exemple vol ou fraude).

Dans l’affirmative, communiquez avec votre service de police local pour déposer une plainte. Demandez le numéro de dossier, le nom du policier et son numéro de téléphone. Assurez-vous que le rapport indique votre nom et votre NAS. Communiquez également avec le Centre antifraude du Canada au 1‑888‑495‑8501. Ce centre d’appels national fournit des conseils et de l’aide pour contrer le vol d’identité.

2. Communiquez avec Equifax et TransUnion, les deux agences nationales d’évaluation du crédit au Canada.

Demandez un exemplaire gratuit de votre rapport de crédit afin de l’examiner et de repérer toute activité suspecte. Vous pouvez obtenir un rapport gratuit par année.  Envisagez de demander à ce qu’un avertissement soit inclus dans votre dossier de crédit. Cela signalera que vos renseignements personnels ont été compromis et pourraient faire l’objet d’une fraude.

Coordonnées
  • Equifax : 1‑800‑465‑7166
  • TransUnion : 1-800-663-9980 (pour les résidents du Québec : composez le 1-877-713-3393)

3. Informez votre banque et vos créanciers par téléphone et par écrit pour réduire votre risque financier.

Cherchez les coordonnées au verso de vos cartes bancaires et de crédit.

4. Lorsque vous recevez du courrier, signalez toute irrégularité à Postes Canada (1-866-607-6301)

Cela peut comprendre, par exemple, des enveloppes ouvertes ou des états financiers ou documents manquants.

5. Rendez-vous dans un bureau de Service Canada

Apportez tous les documents requis prouvant la fraude ou l’utilisation abusive du NAS. Trouvez un bureau de Service Canada près de chez vous.

Apportez une preuve d’identité originale (comme un certificat de naissance ou un document d’immigration ou de citoyenneté). Apportez aussi un document secondaire. Service Canada s’en servira pour confirmer votre identité. Un représentant examinera les renseignements, vous aidera et vous guidera. Les agents de Service Canada vous aideront à déterminer les mesures et les précautions à prendre relativement à votre NAS.

6. En tout temps, vous pouvez obtenir des conseils de Service Canada

Pour ce faire, vous pouvez consulter notre site Communiquer avec les responsables du numéro d'assurance sociale pour plus d'informations.

Annexe 4 : Que faire si votre organisation traite des atteintes à la vie privée liées aux NAS

La présente annexe s’applique à toute organisation assujettie à la LPRPDE ou à toute autre loi provinciale ou territoriale. Respecter toutes les exigences ou lignes directrices fédérales, provinciales ou territoriales concernant le traitement des atteintes à la vie privée et des avis d’atteinte à la vie privée.

En l’absence de telles lignes directrices, les lignes directrices suivantes peuvent s’appliquer. Par exemple, ces lignes directrices peuvent s’appliquer en cas d’une atteinte à la protection des renseignements personnels d’employés non fédéraux. Les présentes lignes directrices expliquent les étapes à suivre pour aviser les autorités compétentes en cas de vol soupçonné ou de divulgation inappropriée de renseignements personnels tels que le NAS.

Étape 1 : Évaluez les dommages

Déterminez le type et la quantité de renseignements personnels dont la sécurité a été compromise. Estimez l’heure à laquelle l’incident s’est produit. Si le cas concerne des fichiers numériques, vérifiez si les données étaient chiffrées. Voici d’autres questions à prendre en considération :

  • quels renseignements pourraient être menacés?
  • quand l’incident s’est-il produit?
  • comment est‑ce arrivé?
  • quels fichiers ont été endommagés?
  • dans quel format ou sur quel support les renseignements étaient‑ils conservés?
  • des mesures de sécurité étaient-elles en place?
  • d’autres renseignements sont-ils à risque?

Étape 2 : Communiquer avec les services de police

Si un délit a été commis (par exemple vol, fraude), communiquez avec la police. Vous pourriez également vouloir communiquer avec le Centre antifraude du Canada (1-800-495-8501). Ce centre d’appels national contre la fraude fournit des conseils et de l’aide concernant le vol d’identité et aide les gens à se protéger contre la fraude. Il est géré par la Gendarmerie royale du Canada, la Police provinciale de l’Ontario et le Bureau de la concurrence Canada.

Étape 3 : Communiquer avec Service Canada

Le programme de numéro d'assurance sociale de Service Canada peut vous aider à déterminer les prochaines étapes. Il peut aussi aider à réduire les préjudices causés aux victimes. Pour ce faire, vous pouvez consulter notre site Communiquer avec les responsables du numéro d'assurance sociale pour plus d'informations.

Étape 4 : Communiquer avec les agences d’évaluation du crédit

Parlez à des spécialistes en fraude des deux agences nationales d’évaluation du crédit du Canada. Discutez du type d’avertissement que vous devez utiliser pour réagir à l’incident.

  • Equifax : 1-800-465-7166
  • TransUnion : 1-800-663-9980 (pour les résidents du Québec : composez le 1-877-713-3393)

Étape 5 : Communiquer avec le Commissariat à la protection de la vie privée du Canada

Si la violation comprend des renseignements personnels (y compris des NAS), vous devrez peut-être en aviser le Commissariat à la protection de la vie privée du Canada (CPVP). La loi l'exige si votre organisation est assujettie à la LPRPDE et si l'atteinte à la vie privée présente un risque réel de préjudice important pour une personne. Il peut y avoir des exigences équivalentes au niveau provincial. Pour de plus amples renseignements, veuillez consulter le site Web Signaler une atteinte à la vie privée dans votre organisation.

Étape 6 : Communiquer avec toutes les personnes concernées

Si vous êtes tenu de faire rapport de la violation au Commissariat à la protection de la vie privée (CPVP) en vertu de la LPRPDE, vous devez également contacter les personnes concernées par écrit dès que possible. Si votre organisation relève des équivalents provinciaux de la LPRPDE, vous pouvez également être tenu d'informer les personnes concernées. La lettre doit :

  • expliquer l’incident;
  • décrire les mesures prises;
  • donner des conseils sur ce que la personne touchée devrait faire;
  • expliquer le type d’information qui peut être menacé;
  • fournir les coordonnées aux fins de soutien ultérieur, notamment :
    • celles d’un représentant de l’organisation;
    • celles de Service Canada;
    • celles des agences d’évaluation du crédit.

Annexe 5 : Liste des choses à faire et à ne pas faire à l’intention des employeurs : demande, collecte, utilisation et archivage du NAS

À faire

  • Demander le numéro d’assurance sociale (NAS) de tout nouvel employé, si la loi l’exige, dans les 3 jours suivant le début de son emploi.

Cela n’empêche pas la personne de travailler avant d’obtenir son NAS. Elle peut continuer à occuper un emploi assurable.

  • Enregistrer le NAS de l’employé dans une zone sécurisée ou sur un système informatique chiffré.
  • En cas de doute sur la validité du NAS d’un employé, communiquez avec le programme de numéro d'assurance sociale de Service Canada.

Vous pourrez ainsi vérifier le numéro. Vous pouvez appeler le programme de numéro d'assurance sociale aux assurances sociales en composant le 1-866-274-6627 au Canada.

  • Assurez-vous que la formation d’intégration de votre nouvel employé comprend les aspects importants de la confidentialité des renseignements personnels et du NAS.
  • Si le NAS d’un nouvel employé commence par « 9 », assurez-vous que le permis de travail est valide.

Immigration, Réfugiés et Citoyenneté Canada (IRCC) délivre les permis de travail. Respectez toutes les modalités du permis de travail.

Ces conseils vous aideront à assurer la sécurité des renseignements personnels et du NAS de vos employés.

À ne pas faire

  • Ne demandez jamais le NAS sur une demande d’emploi ou pendant une entrevue.
  • N’utilisez pas le NAS comme numéro d’identification d’employé; utilisez un identificateur unique à votre organisation.
  • N’embauchez pas une personne qui n’a pas de NAS valide vérifié, sauf dans les cas où l’employé fournit la preuve qu’il a demandé un NAS.
  • Ne donnez pas le NAS d’un employé à qui que ce soit à moins que cette personne soit autorisée par la loi à obtenir ce renseignement (par exemple, aux fins de l’impôt sur le revenu ou des prestations gouvernementales).
  • N’embauchez jamais une personne sans vous être préalablement assuré qu’elle est autorisée à travailler dans votre industrie au Canada.
  • Ne permettez pas que les fraudes relatives au NAS demeurent non signalées; signalez l’utilisation frauduleuse soupçonnée d’un NAS en communiquant avec Service Canada.
  • Ne laissez pas de documents contenant les renseignements personnels ou les NAS des employés à la vue de tous.

Annexe 6 : Liste des choses à faire et à ne pas faire à l’intention du secteur privé : demande, collecte, utilisation et archivage du NAS

À faire

  • Identifiez correctement le client en demandant des preuves d’identité valides (le NAS n’est pas une pièce d’identité).
  • Obtenez le consentement de votre client avant de recueillir, d’utiliser ou de communiquer des renseignements personnels le concernant, y compris son numéro d’assurance sociale (NAS).
  • Offrez aux clients une solution de rechange au NAS lorsqu’une vérification de crédit est nécessaire.
  • Informez les clients du type de renseignements personnels que vous recueillez, de la raison pour laquelle ils sont recueillis et des fins auxquelles votre entreprise les utilisera.
  • Conservez les renseignements de nature délicate dans un endroit protégé ou dans un système informatique chiffré limité au « besoin de savoir ».
  • Déchiquetez tous les documents papier dont vous n’avez plus besoin et effacez ou retirez les documents électroniques contenant des renseignements personnels comme le NAS avant leur élimination.
  • Choisissez une personne au sein de votre organisation ou entreprise qui agira à titre de chef de la protection des renseignements personnels (CPRP).

Le CPRP traite toutes les questions de confidentialité. Établissez un cadre de gestion de la protection des renseignements personnels qui comprend des pratiques vérifiables en matière de respect de la vie privée et de sécurité. Veiller à ce que le CPRP relève de la haute direction. Le CPRP doit avoir le pouvoir d’intervenir sur les questions de protection des renseignements personnels dans votre organisation. Prenez au sérieux la sécurité des données et la protection des renseignements personnels.

  • Formez tous les employés sur les politiques de confidentialité

Tenez-les informés. Ainsi, ils pourront répondre aux questions et aux préoccupations continues des clients. Faites en sorte que ces politiques soient accessibles à tous les employés.

À ne pas faire

  • N’utilisez pas les renseignements personnels des clients, y compris le NAS, à des fins qui vous sont interdites.
  • N’utilisez pas le NAS comme numéro d’identification du client ou pour identifier quelqu’un dans le cadre de transactions commerciales régulières.
  • Ne recueillez pas le NAS et d’autres renseignements personnels, sauf si la loi l’exige.
  • Ne demandez pas les renseignements personnels d’un client, et surtout le NAS, par courriel.
  • Ne mettez aucun renseignement personnel du client sur Internet.
  • Ne vendez pas ou ne fournissez pas les renseignements personnels des clients à des organisations ou entreprises tierces à moins d’avoir obtenu le consentement de vos clients.
  • Ne divulguez pas le NAS d’une personne à qui que ce soit, à moins de savoir que cette personne a le droit d’obtenir ces renseignements en vertu de la loi.
  • Ne refusez pas à un client un produit ou un service parce qu’il a refusé de fournir son NAS, à moins que la loi exige qu’il fournisse ce renseignement (par exemple, pour un produit de revenu enregistré).

Détails de la page

Date de modification :