Demande d'amélioration des services - authentification multifacteur

Nous avons examiné le déploiement par l’Agence du revenu du Canada (ARC) d’une nouvelle exigence d’authentification multifacteur (AMF) de rechange pour les utilisateurs des comptes de l’ARC, dont le but est de réduire les volumes d’appels aux centres de contact et de renforcer la sécurité des comptes^{Note de bas de page 1} .

Au départ, l’ARC prévoyait exiger, à compter du 9 février 2026, que les contribuables ouvrant une session dans leur compte de l’ARC aient une AMF de rechange. Peu après l’annonce de cette exigence par l’ARC en décembre 2025, nous nous sommes rendu compte que cette obligation pourrait entraîner des enjeux de service pour les contribuables peu familiers avec les applications d’authentification ou les grilles de codes d’accès. Pour éviter des problèmes durant la période de production des déclarations de revenus, nous avons fait part de cette préoccupation à l’Agence le 7 janvier 2026. L’ARC évaluait déjà plusieurs options d’AMF de rechange à ce moment-là, mais notre demande de renseignements l’a incitée à revoir son initiative et à peaufiner son approche de communication. Plus précisément, à partir du 9 février 2026, et uniquement pour la période de production des déclarations de revenus de cette année, l’ARC a décidé d’offrir aux utilisateurs l’option d’ajouter une AMF de rechange, sans les y obliger, sachant qu’ils pourront le faire plus tard.

Même si les contribuables ne sont plus tenus d’ajouter une AMF de rechange pour la période de production de déclarations de cette année, ceux qui choisissent de la faire pourraient tout de même rencontrer des difficultés. En fait, nous avons constaté que les directives actuelles de l’ARC au sujet de la nouvelle exigence d’AMF de rechange manquent de clarté quant aux options, aux instructions détaillées et aux mises en garde contre les arnaques.

Bon nombre de Canadiens et Canadiennes disent vouloir des processus plus simples et sont donc moins familiers avec les options d’AMF qui utilisent des applications d’authentification ou des grilles de codes d’accès, qu’avec celles qui envoient des codes d’accès à usage unique par message texte ou appel téléphonique.

Nous avons remarqué que les directives de l’ARC sur les applications d’AMF sont floues et incomplètes, particulièrement en ce qui concerne les applications d’authentification qui sont intégrées à certains systèmes d’exploitation pour certains appareils et les applications tierces compatibles pour d’autres appareils. Les ressources de l’ARC ne contiennent pas assez d’instructions détaillées sur la façon de configurer une AMF, de mises en garde contre les arnaques et de conseils pour choisir des applications compatibles.

Actuellement, l’ARC envoie des avis pour les nouvelles inscriptions et les changements apportés aux options d’AMF gérées dans le portail, mais pas pour les ouvertures de session sur de nouveaux appareils. Pourtant, si elle le faisait, cela renforcerait la sécurité des comptes.

Les contribuables qui perdent leur accès à une AMF existante doivent appeler l’ARC pour réinitialiser cet accès, ce qui cause des désagréments et une perte d’efficacité. Cette façon de faire fait par ailleurs augmenter le nombre d’appels aux centres de contact de l’ARC. Par conséquent, l’ARC devrait envisager d’autres solutions qui n’exigent pas une AMF de rechange, comme des options d’AMF qui se réinitialisent automatiquement au moment de la réinscription, sans que l’utilisateur ait besoin d’appeler l’ARC.

L’ombudsman des contribuables demande les améliorations de service suivantes :

1. Identifier une liste des applications d’authentification compatibles et l’afficher sur le site Web de l’ARC.
2. Améliorer les directives sur la nouvelle exigence d’AMF, y compris les instructions de configuration, les avantages et les mises en garde contre les risques d’arnaque.
3. Créer des vidéos d’instructions pour les utilisateurs d’appareils mobiles et d’appareils de bureau pour simplifier la configuration des solutions d’AMF.
4. Envoyer par courriel des avis aux utilisateurs qui n’ont pas d’AMF de rechange pour les informer de l’exigence et les orienter vers les ressources pertinentes.
5. Autoriser l’annulation automatique d’une AMF existante au moment d’une réinscription si l’utilisateur n’a pas accès à son AMF existante, éliminant ainsi le besoin de contacter l’ARC.
6. Envoyer un avis par courriel lorsqu’une session est ouverte sur un nouvel appareil.