Table des matières
L'Agence du revenu du Canada (ARC) a signé un grand nombre de protocoles d'ententes (PE) et conventions avec différents ministères et organismes fédéraux, provinciaux et territoriaux. La présente vérification a trait aux renseignements reçus par l'ARC en vertu du PE signé avec la Commission de la santé, de la sécurité et de l'indemnisation des accidents au travail (CSSIAT) de la Province de Terre-Neuve-et-Labrador (TNL) le 1er avril 2004.
Le PE conclu entre l'ARC et la CSSIAT vise à échanger des renseignements en vue d'identifier les non-déclarants et les non-inscrits dans leurs programmes opérationnels respectifs. Les renseignements fournis à l'ARC sont des données sur les inscrits et les employeurs provenant des comptes de la CSSIAT.
Les PE sur l'échange de renseignements signés depuis 2001 contiennent généralement une clause qui prévoit que les deux parties effectueront des vérifications internes périodiques sur l'utilisation, la communication et la sécurité des renseignements échangés entre eux. Les vérifications doivent avoir lieu dans les deux ans de la date d'entrée en vigueur du PE et, par la suite, au moins une fois tous les cinq ans.
Objectif : La vérification visait à donner l'assurance que l'ARC observe les conditions régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CSSIAT. La vérification a eu lieu durant l'exercice 2005-2006, et elle a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.
Conclusion : Sur la base du travail de vérification que nous avons effectué, nous sommes d'avis que l'ARC se conforme généralement aux conditions du PE régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CSSIAT, à l'exception de ce qui suit. La vérification a permis de constater que les renseignements stockés sur des supports d'information amovibles, dont des disques compacts (CD) et des fichiers contenant des renseignements sur les clients qui sont transmis par courrier électronique, ne sont pas cryptés conformément aux normes de sécurité de l'ARC. En outre, les renseignements reçus de la CSSIAT n'ont pas été détruits lorsqu'il n'existait plus de besoin lié à un programme de les conserver. Il ne s'est pas dégagé que les renseignements aient été utilisés à des fins autres que celles prévues ou qu'ils aient été communiqués à qui que ce soit en dehors des conditions prévues au PE.
Plan d'action : La Section d'opportunité de partenariat (SOP) de la Direction générale des services aux contribuables et de la gestion des créances s'assurera que les CD contenant des bases de données de renseignements confidentiels de clients sont cryptés à l'aide de méthodes approuvées de l'ARC. Les renseignements confidentiels de clients, transmis par courrier électronique, seront aussi cryptés. En outre, on allait détruire les CD et les fichiers qu'il n'était plus nécessaire de conserver. La SOP a indiqué que les plans d'action seraient mis en oeuvre d'ici le 31 juillet 2006.
L'Agence du revenu du Canada (ARC) a signé un grand nombre de protocoles d'ententes (PE) et conventions avec différents ministères et organismes fédéraux, provinciaux et territoriaux. La présente vérification a trait aux renseignements reçus par l'ARC en vertu du PE signé avec la Commission de la santé, de la sécurité et de l'indemnisation des accidents au travail (CSSIAT) de la Province de Terre-Neuve-et-Labrador (TNL) le 1er avril 2004.
Le PE conclu entre l'ARC et la CSSIAT vise à échanger des renseignements en vue d'identifier les non-déclarants et les non-inscrits dans leurs programmes opérationnels. Les renseignements fournis à l'ARC sont des données sur les inscrits et les employeurs provenant des comptes de la CSSIAT.
En 2003, l'ARC (Section d'opportunité de partenariat de la Direction générale des services aux contribuables et de la gestion des créances) a reçu une base de données de renseignements sur disque compact de la CSSIAT. La base de données contenait des renseignements sur les comptes de plus de 40 000 employeurs de TNL. La base de données provinciale a ensuite été comparée aux données d'employeurs dans plusieurs systèmes de l'ARC, dont Infodec [Note 1], PAYDAC [Note 2] et le système du NE [Note 3]. La comparaison des bases de données de l'ARC et de la province a produit deux fichiers distincts. Le premier contenait les noms des employeurs qui étaient inscrits à la CSSIAT mais ne semblaient pas inscrits aux programmes de l'ARC. Le deuxième fichier contenait les noms des employeurs de TNL qui étaient inscrits aux programmes de l'ARC mais ne semblaient pas inscrits à la CSSIAT. Le deuxième fichier a ultérieurement été copié sur un disque compact et livré par messager à la CSSIAT.
En 2004, l'ARC et la CSSIAT ont écrit conjointement à quelque 400 employeurs de TNL ayant été identifiés comme potentiellement non-inscrits aux programmes de l'ARC. Les lettres avisaient les employeurs qu'ils devaient communiquer avec l'ARC dans les 30 jours suivants afin de déterminer s'ils devaient être inscrits. Par la suite, le personnel de l'unité du Programme d'identification des inscrits (PII) du Centre fiscal de Summerside (CFS) a communiqué par téléphone avec les employeurs de TNL qui n'avaient pas répondu à la lettre dans les 30 jours. Parmi les employeurs que l'unité du PII avait pu contacter, certains se sont volontairement inscrits aux programmes de l'ARC. En outre, les noms de certains employeurs ont été fournis au Bureau des services fiscaux de TNL (Section des non-déclarants et des non-inscrits) pour plus ample suivi. La SOP a indiqué qu'en tout, l'ARC avait enregistré 25 nouveaux inscrits à TNL. Ces nouveaux inscrits ont déclaré un volume combiné de masse salariale, de chiffre d'affaires et de TPS un total d'environ 900 000 $.
Les PE sur l'échange de renseignements signés depuis 2001 contiennent généralement une clause qui prévoit que les deux parties effectueront des vérifications internes périodiques sur l'utilisation, la communication et la sécurité en ce qui a trait aux renseignements échangés entre eux. Les vérifications doivent avoir lieu dans les deux ans de la date d'entrée en vigueur du PE et, par la suite, au moins une fois tous les cinq ans. L'inclusion de la disposition relative à la vérification interne faisait partie de l'initiative de la Direction générale des stratégies d'entreprise et du développement des marchés (DGSEDM) visant à renforcer les dispositions sur la sécurité et la confidentialité des renseignements sur les clients des PE existants qui prévoient l'échange de renseignements confidentiels sur les clients.
La vérification visait à donner l'assurance que l'ARC observe les conditions régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CSSIAT.
La portée de la vérification a inclus le Centre fiscal de Summerside (Programme d'identification des inscrits), la Section d'opportunité de partenariat (SOP) de la Direction générale des services aux contribuables et de la gestion des créances, ainsi que la Direction générale de l'informatique (Direction des systèmes de revenus et de comptabilité et Direction de l'observation et du renseignement d'entreprise). La vérification a eu lieu durant l'exercice 2005-2006, et elle a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.
Le PE conclu avec la CSSIAT stipule que les renseignements seront communiqués à l'ARC dans le but premier d'identifier les non-déclarants et les non-inscrits de ses programmes opérationnels. Le PE stipule aussi que l'ARC ne communiquera pas les renseignements à un tiers sans avoir obtenu l'autorisation préalable de la CSSIAT.
Les données fournies par la CSSIAT sont accessibles seulement à un nombre limité d'employés de l'ARC et il est impossible d'y accéder par l'un ou l'autre des systèmes d'ordinateur central de l'agence. Par conséquent, des procédures de vérification limitées ont été appliquées à ce domaine puisque les risques découlant d'une utilisation et d'une communication inappropriées sont considérés comme étant faibles. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles prévues.
Un examen de la documentation sur le projet de la SOP, concernant TNL, a indiqué que les renseignements reçus de la CSSIAT n'ont servi qu'à identifier et à enregistrer les employeurs de TNL qui n'étaient pas inscrits aux programmes de l'ARC. Une fois la base de données originale reçue de la province, elle a été transmise à la DGI dans le but de comparer les données avec celles stockées dans les systèmes de l'ARC. Par la suite, moins de 1 % des données originales ont été transmises électroniquement au Centre fiscal de Summerside pour faciliter le contact téléphonique avec moins de 400 employeurs de TNL. Des renseignements sur un petit nombre d'employeurs ont été transmis au BSF de TNL lorsque le Centre fiscal de Summerside n'a pu contacter ces employeurs. Les personnes interviewées ont indiqué que les renseignements reçus de la CSSIAT n'avaient pas été communiqués à l'extérieur de l'ARC. En outre, la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration a mentionné qu'aucun incident de sécurité n'avait été signalé concernant les renseignements reçus en vertu du PE.
Les contrôles en place au sujet de la sensibilisation à la sécurité des employés (discutée plus loin dans ce rapport) aident aussi à renforcer et à améliorer l'observation des conditions d'utilisation et de communication des renseignements. La mise en oeuvre de mesures spécifiques telles qu'un registre des renseignements envoyés et reçus resserrerait les contrôles de gestion en termes de surveillance et de suivi de l'utilisation des renseignements.
Le PE conclu avec la CSSIAT contient une annexe qui énonce les normes de sécurité de l'ARC pour la manipulation des renseignements protégés des clients. En outre, un document distinct, qui porte sur les normes de sécurité que l'ARC et les organismes non fédéraux doivent suivre pour assurer la protection des renseignements, a été signé par l'ARC et la CSSIAT. Dans l'ensemble, les deux documents touchent plus de 30 normes de sécurité sur la gestion, le stockage et la destruction des renseignements.
La vérification interne a effectué une évaluation des risques afin de déterminer les risques les plus significatifs relativement aux renseignements reçus de la CSSIAT. La Division de la sécurité de l'information de la Direction générale des finances et de l'administration a donné des conseils d'expert durant l'évaluation des risques. Sur la base de l'évaluation, nous avons examiné les contrôles dans les domaines suivants :
La sécurité des renseignements confidentiels est accrue lorsque l'accès aux systèmes d'information est accordé aux seuls employés qui doivent prendre connaissance de ces renseignements pour faire leur travail. En outre, un système de contrôle de gestion des droits d'accès d'usager assure que les employés n'accumulent pas de droits d'accès lorsqu'ils changent d'emploi à l'intérieur d'un organisme. Les normes de sécurité de l'ARC exigent qu'un registre de tous les privilèges d'accès aux systèmes informatiques soit créé et actualisé pour chaque personne. De plus, le privilège d'accès d'un usager doit être actualisé et se faire révoquer ou suspendre sur-le-champ dès qu'il ne lui est plus nécessaire de l'avoir pour faire son travail. Ces normes de sécurité ont été respectées dans l'unité du PII du Centre fiscal de Summerside.
Un sondage de vérification des profils d'utilisateurs des employés de l'unité du PII du Centre fiscal de Summerside a révélé que les employés détenaient uniquement des profils d'accès aux systèmes d'ordinateurs centraux de l'ARC compatibles avec leurs tâches. Les employés de l'unité du PII doivent avoir accès à des systèmes comme le RAPID, le système de traitement des déclarations de revenus des sociétés (CORTAX), le système de la TPS et le système du NE, pour voir si des employeurs déjà identifiés comme non-inscrits possibles sont effectivement inscrits aux programmes de l'ARC.
La gestion des profils d'accès des utilisateurs au Centre fiscal de Summerside est appuyée par une application locale appelée Demandes de profil en direct (DPD). Le système DPD sert à déterminer quels profils d'utilisateur précis sont nécessaires pour un travail particulier et procède aussi à la suppression automatique des droits d'accès antérieurs aux systèmes quand un employé change de poste au CF de Summerside.
Les normes de sécurité de l'ARC exigent que les supports d'information amovibles, dont les CD, sur lesquels sont stockés des renseignements, soient rangés dans un cabinet fermé à clé. En outre, les renseignements devraient être stockés dans un serveur et non sur le disque dur de l'ordinateur d'une personne. Sur la base d'une inspection physique et d'entrevues, ces normes ont été respectées dans la SOP.
L'observation du stockage de CD dans la SOP, contenant des renseignements reçus de la CSSIAT, a permis de constater que les CD étaient rangés dans un cabinet fermé à clé. De plus, on a déterminé que les fichiers électroniques contenant des renseignements étaient stockés dans un serveur de fichiers local.
Conformément aux politiques de sécurité de l'ARC sur le stockage et la transmission électronique des renseignements des contribuables, les supports d'information amovibles comme les CD, qui contiennent des bases de données de renseignements confidentiels de clients, devraient être cryptés par des méthodes approuvées par l'ARC. La norme de sécurité de l'ARC incluse dans le PE exige que les supports d'information amovibles soient cryptés. De plus, les renseignements de clients transmis électroniquement par courrier électronique doivent aussi être cryptés.
Les CD contenant des bases de données de renseignements de clients qui sont reçus de la CSSIAT sont stockés et transmis sans être cryptés conformément aux normes de l'ARC. Les renseignements sur les employeurs comprennent le nom, l'adresse, le numéro de téléphone, le numéro d'entreprise de l'ARC et la masse salariale estimative.
En plus des copies de sauvegarde de CD, d'autres fichiers contenant des sous-ensembles de données connexes ont été créés pour faire une vérification de concordance des données provinciales avec les données de l'ARC. Cette vérification a été faite dans le but d'identifier les employeurs inscrits à l'ARC qui ne sont pas inscrits à la CSSIAT et ceux inscrits à la CSSIAT qui ne sont pas inscrits à l'ARC. Ces fichiers sont stockés dans la SOP ainsi qu'à la DGI. Par conséquent, en plus du CD original reçu de la CSSIAT, plusieurs copies existent soit de la base de données originale, soit des sous-ensembles de données. Ces CD sont protégés par mot de passe mais non cryptés conformément à la politique sur la sécurité des renseignements de l'ARC. De plus, des fichiers contenant des renseignements sur les clients ont été transmis par courrier électronique à l'intérieur de l'ARC sans cryptage.
Recommandation
La SOP de la Direction générale des services aux contribuables et de la gestion des créances devrait s'assurer que les CD qui contiennent des bases de données de renseignements des clients sont cryptés conformément aux politiques de sécurité de l'ARC. En outre, les fichiers contenant des renseignements des clients qui sont transmis par courrier électronique devraient être cryptés.
Plan d'action
La SOP consultera la DGI afin de s'assurer que les CD contenant des bases de données de renseignements confidentiels des clients sont cryptés conformément aux politiques de sécurité de l'ARC. En outre, les fichiers transmis au moyen du système de courrier électronique interne de l'ARC seront cryptés au moyen de l'outil de cryptage approuvé par l'ARC. Une clause de confidentialité du courriel sera jointe au courrier électronique.
L'utilisation de WINZIP 9, outil de cryptage approuvé, est à présent obligatoire pour le transfert de renseignements confidentiels des clients par la SOP. Le logiciel WINZIP 9 a été installé dans le système informatique de tous les employés de la SOP et la version électronique du manuel de procédures a été distribuée. Les partenaires internes seront alertés sur la nécessité d'utiliser un outil de cryptage semblable. Une formation sur l'utilisation de WINZIP 9 a aussi été offerte.
La SOP a répondu que les plans d'action seraient mis en oeuvre avant le 31 juillet 2006.
Comme le stipule le volume Sécurité du Manuel des finances et de l'administration, il faut se défaire promptement des renseignements classifiés et désignés « protégés » qui ne sont plus nécessaires d'une manière qui détruira complètement les renseignements. Le PE conclu avec la CSSIAT stipule aussi que les renseignements doivent être détruits lorsqu'ils ne sont plus nécessaires. Le PE ne prescrit toutefois aucune durée précise de conservation des renseignements.
Un CD contenant des bases de données de renseignements des clientsa été reçu de la CSSIAT en 2003. Outre le CD original reçu de la province, plusieurs copies existent soit de la base de données originale, soit des sous-ensembles de données. Ces CD sont stockés dans la SOP et des copies des CD sont aussi conservées à la DGI (Direction des systèmes de revenus et de comptabilité et Direction de l'observation et du renseignement d'entreprise). Le projet amorcé par la SOP sur les renseignements reçus de la CSSIAT a été achevé en 2004. Une vérification interne a permis de déterminer qu'aucune nécessité des programmes ne justifiait la conservation des renseignements.
Plusieurs directions générales de l'ARC ainsi que la Région de l'Atlantique ont participé au projet visant à identifier les employeurs de TNL susceptibles d'être des non-inscrits aux programmes de l'ARC. Cela a nécessité le partage de fichiers de données entre diverses parties de l'organisation.
Recommandation
La SOP de la Direction générale des services aux contribuables et de la gestion des créances devrait assurer que les CD et autres fichiers électroniques contenant des bases de données de renseignements reçus en vertu du PE sont détruits conformément aux politiques sur la sécurité des renseignements. La SOP devrait aussi informer les autres directions générales et régions auxquelles les renseignements sont transmis qu'il faut détruire les renseignements lorsqu'ils ne sont plus nécessaires.
Plan d'action
La SOP commencera sur-le-champ à détruire les copies supplémentaires des disques compacts contenant des renseignements confidentiels et elle communiquera avec ses partenaires de l'ARC pour leur demander de détruire les disques en leur possession. La SOP communiquera aussi avec la CSSIAT pour l'informer de son intention de détruire les disques. Le processus de destruction a été achevé le 31 juillet 2006.
Les normes administratives de sécurité de l'ARC relatives à l'environnement informatique mentionnées dans le PE comprennent les dispositions suivantes :
La vérification n'a trouvé aucun cas dans lequel l'unité du PII du Centre fiscal de Summerside se serait écartée des normes de sécurité de l'ARC.
Dans la Région de l'Atlantique, une initiative de piste de vérification a été amorcée en novembre 2005. L'initiative porte sur la sélection d'un échantillon aléatoire de codes d'usager d'employés dans la région tous les deux mois. À l'aide du Système de pistes de vérification en direct (SPVD), un enregistrement est produit pour chaque accès des employés aux comptes des contribuables dans les système RAPID, CORTAX et NE. Les gestionnaires sont ensuite tenus de certifier que les accès sont liés au travail. La Division de la vérification interne a examiné un échantillon d'un rapport du SPVD sur les accès aux systèmes ayant été produit pour un employé du Centre fiscal de Summerside pour janvier 2006. De plus, on a fait un examen du document attestant que tous les accès aux comptes des contribuables étaient conformes aux politiques et aux lignes directrices de l'ARC. Le document, signé par le gestionnaire de l'employé, attestait aussi que l'employé était au courant de l'examen.
Un programme de sensibilisation à la sécurité est établi à l'ARC et mis en oeuvre au niveau national et local. Le programme vise à promouvoir la sensibilisation aux politiques et aux procédures liées à la protection du personnel, des renseignements et des biens matériels de l'ARC. Au Centre fiscal de Summerside, tous les employés interviewés ont indiqué qu'ils avaient obtenu une formation sur la sensibilisation à la sécurité lorsqu'ils ont commencé à travailler à l'Agence, puis de façon périodique par la suite. On discute aussi régulièrement des questions de sécurité aux réunions d'équipe et des rappels en matière de sécurité sont envoyés par courrier électronique aux employés. De plus, on a remarqué la présence d'affiches sur la sécurité pour rappeler aux employés, par exemple, de verrouiller leur ordinateur lorsqu'ils quittent leur poste de travail afin de prévenir toute communication accidentelle de renseignements confidentiels. Un contrôle complémentaire existe dans l'environnement informatique du fait que l'accès au réseau se verrouille automatiquement après dix minutes d'inactivité.
À l'échelle nationale, la Direction de la sécurité, de la gestion du risque et des affaires internes de la DGFA a lancé la séance de sensibilisation électronique interactive appelée La protection des employés, des renseignements et des biens de l'Agence, j'en fais mon affaire en février 2006, dans le cadre de la semaine de sensibilisation à la sécurité de l'ARC. La session se compose de plusieurs modules, qui portent sur des sujets comme les vérifications de sécurité du personnel, la catégorisation et la protection des renseignements, les rapports d'incidents de sécurité et l'accès aux renseignements personnels d'impôt. En outre, à des intervalles réguliers tout au long de l'année, la Direction envoie des bulletins à tous les employés de l'ARC par courrier électronique. Les bulletins portent sur une gamme de sujets relatifs à la sécurité, y compris des meilleures pratiques sur la sécurité du courrier électronique, l'accès aux systèmes de l'ARC, et la protection des codes d'usager et des mots de passe des utilisateurs.
Sur la base du travail de vérification que nous avons effectué, nous sommes d'avis que l'ARC se conforme généralement aux conditions du PE régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CSSIAT, à l'exception de ce qui suit. La vérification a permis de constater que les renseignements stockés sur des supports d'information amovibles, comme des disques compacts (CD) et des fichiers contenant des renseignements sur les clients qui sont transmis par courrier électronique, ne sont pas cryptés conformément aux normes de sécurité de l'ARC. En outre, les renseignements reçus de la CSSIAT n'ont pas été détruits lorsqu'il n'existait plus de besoin lié à un programme de les conserver. Il ne s'est pas dégagé que les renseignements aient été utilisés à des fins autres que celles prévues ou qu'ils aient été communiqués à qui que ce soit en dehors des conditions prévues au PE.