<
 
 
 
 
×
>
Vous consultez une page Web conservée, recueillie par Bibliothèque et Archives Canada le 2007-12-12 à 02:59:23. Il se peut que les informations sur cette page Web soient obsolètes, et que les liens hypertextes externes, les formulaires web, les boîtes de recherche et les éléments technologiques dynamiques ne fonctionnent pas. Voir toutes les versions de cette page conservée.
Chargement des informations sur les médias

You are viewing a preserved web page, collected by Library and Archives Canada on 2007-12-12 at 02:59:23. The information on this web page may be out of date and external links, forms, search boxes and dynamic technology elements may not function. See all versions of this preserved page.
Loading media information
X
Agence du revenu du Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

Vérification des renseignements reçus en vertu du Protocole d'entente concernant l'inscription conjointe des entreprises - Province de la Colombie-Britannique

Direction générale de la vérification et de l'évaluation de l'entreprise
Octobre 2006

Table des matières

Sommaire

L'Agence du revenu du Canada (ARC) a signé un grand nombre de protocoles d'entente (PE) et conventions avec différents ministères et organismes fédéraux, provinciaux et territoriaux. Cette vérification a porté sur les renseignements reçus par l'ARC en vertu du PE concernant l'inscription conjointe des entreprises entre l'Agence du revenu du Canada et la Province de la Colombie-Britannique signé le 28 avril 2004.

Selon le PE, la Province de la Colombie-Britannique (CB) et l'ARC ont convenu de mettre en oeuvre un processus d'enregistrement intégré pour offrir aux clients une méthode simplifiée d'enregistrement auprès de multiples organismes gouvernementaux. On désirait ainsi mettre en place un mécanisme permettant à l'ARC et à la CB d'utiliser un identificateur d'entreprise commun pour leurs clients et d'offrir en ligne un service d'enregistrement conjoint. Les renseignements fournis à l'ARC par la CB sont ceux dont l'ARC a besoin pour créer un numéro d'entreprise et pour tenir un compte dans le Répertoire gouvernemental des entreprises.

Les PE sur l'échange de renseignements signés depuis 2001 contiennent généralement une clause qui prévoit que les deux parties doivent mener des vérifications internes périodiques sur l'utilisation, la communication et la sécurité des renseignements échangés entre eux. Les vérifications doivent voir lieu dans les deux ans suivant la date d'entrée en vigueur du PE et, par la suite, au moins une fois tous les cinq ans. Le rapport de vérification interne sera transmis à la CB par la Direction générale des stratégies d'entreprise et du développement des marchés, conformément aux conditions du PE.

Objectif : L'objectif de la vérification était de donner l'assurance que l'ARC observe les conditions régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CB en vertu de ce PE. La vérification a eu lieu durant l'exercice 2005-2006, et elle a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion : Sur la base du travail de vérification que nous avons effectué, nous sommes d'avis que l'ARC se conforme aux conditions du PE régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CB. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles prévues ou qu'ils auraient été communiqués à qui que ce soit en dehors des conditions du PE. Les normes de sécurité sélectionnées relatives à la protection des renseignements reçus ont été respectées.

Introduction

L'Agence du revenu du Canada (ARC) a signé un grand nombre de protocoles d'entente (PE) et conventions avec différents ministères et organismes fédéraux, provinciaux et territoriaux. Cette vérification a porté sur les renseignements reçus par l'ARC en vertu du PE concernant l'inscription conjointe des entreprises entre l'Agence du revenu du Canada et la province de la Colombie-Britannique signé le 28 avril 2004.

Les PE sur l'échange de renseignements signés depuis 2001 contiennent généralement une clause qui prévoit que les deux parties doivent mener des vérifications internes périodiques sur l'utilisation, la communication et la sécurité des renseignements échangés entre eux. L'inclusion de la disposition relative à la vérification interne faisait partie de l'initiative de la Direction générale des stratégies d'entreprise et du développement des marchés (DGSEDM) visant à renforcer les dispositions sur la sécurité et la confidentialité des renseignements sur les clients des PE existants qui prévoient l'échange de renseignements confidentiels sur les clients. Ce PE stipule que la première vérification doit avoir lieu dans les deux ans suivant la date d'entrée en vigueur du PE et, par la suite, d'une façon régulière, au moins une fois par cinq ans. La Direction générale des stratégies d'entreprise et du développement des marchés transmettra le présent rapport à la CB conformément aux conditions du PE.

Le PE conclu entre la CB et l'ARC visait à mettre en oeuvre un processus d'enregistrement intégré pour offrir aux clients une méthode simplifiée d'enregistrement auprès de multiples organismes gouvernementaux. On désirait ainsi mettre en place un mécanisme permettant à l'ARC et à la CB d'utiliser un identificateur d'entreprise commun pour leurs clients et d'offrir en ligne un service d'enregistrement conjoint. Les entreprises peuvent s'inscrire aux programmes de la CB en utilisant l'application Internet de l'ARC appelée Inscription en direct des entreprises (IDE) ou en utilisant diverses voies de service provinciales telles que l'Internet, le courrier postal, le téléphone ou un comptoir de service. Les renseignements fournis à l'ARC par la CB sont ceux dont l'ARC a besoin pour créer un numéro d'entreprise et pour tenir un compte dans le Répertoire gouvernemental des entreprises [Note 1]. L'unité des Services du numéro d'entreprise (SNE) au Centre fiscal de Surrey facilite la résolution des problèmes pouvant survenir durant le processus d'enregistrement.

Le NE est un identificateur commun des entreprises qui a été conçu pour simplifier leurs relations avec tous les niveaux de gouvernement, à l'appui du concept « un client, un numéro ». Ce concept reflète aussi l'un des objectifs stratégiques de l'ARC qui est de renforcer les partenariats avec les provinces et les territoires. La base de données du NE comprend des renseignements sur l'identification des clients et leurs coordonnées d'inscription à beaucoup de programmes de tous les niveaux gouvernementaux.

La base de données des numéros d'entreprise que maintient l'ARC renferme environ 8,3 millions de comptes pour plus de 4,7 millions d'entreprises. Le nombre de comptes tenus par l'ARC à l'intention des programmes provinciaux de la CB se chiffre aux environs de 163 000 pour Worksafe BC, de 103 000 pour l'impôt provincial de la CB, et de 322 000 pour le répertoire des sociétés de la CB.

Le PE conclu entre l'ARC et la CB exige que les deux parties s'assurent que des procédures sont en place pour protéger les renseignements contre toute communication non autorisée. À cette fin, les deux parties ont convenu de protéger les renseignements selon une série de normes sur la manipulation des renseignements des clients. Ces normes figurent dans une annexe du PE. De plus, un document distinct sur les normes de sécurité a été signé par les deux parties, et le PE y fait référence [Note 2]. Ce document donne un aperçu des normes touchant l'administration, le personnel, les équipements et la sécurité des communications de renseignements.

Objectif de la vérification

L'objectif de la vérification était de donner l'assurance que l'ARC observe les conditions régissant l'utilisation, la communication, la sécurité, la conservation et la destruction des renseignements reçus de la CB.

La portée de la vérification a inclus la Direction générale des services de cotisation et de prestations (Section du support des programmes d'inscription des entreprises), la Direction générale des stratégies d'entreprise et du développement des marchés (Division des relations provinciales et territoriales) et le Centre fiscal de Surrey (Services du numéro d'entreprise). La vérification a eu lieu en 2006, et elle a inclus des examens de documents et des interviews. La vérification a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations

Utilisation et communication des renseignements

En vertu de ce PE, l'ARC doit utiliser les renseignements reçus de la CB aux seules fins d'administrer et d'appliquer la Loi de l'impôt sur le revenu et la Loi sur la taxe d'accise. Toute communication de ces renseignements à des tiers doit se faire dans le respect des conditions du PE.

Une grande partie des données fournies par la CB est disponible au grand public. Par conséquent, une vérification limitée a été exécutée dans ce domaine, puisque les risques et les conséquences d'une utilisation et d'une communication inappropriées ne seraient pas significatifs. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles auxquelles ils étaient destinés.

L'ARC utilise les renseignements fournis par la CB pour attribuer un NE à une entreprise de la CB. Les renseignements que reçoit l'ARC comprennent la raison sociale de l'entreprise, son adresse et le nom du ou des propriétaires. L'ARC tient à jour environ 588 000 comptes au nom de la CB, ce qui représente environ 7 p. 100 des comptes actifs du Répertoire gouvernemental des entreprises. Une grande partie des entreprises liées à ces comptes ont aussi des comptes avec l'ARC (par ex., des comptes de TPS/TVH, d'impôt des sociétés ou de retenues salariales). Par conséquent, les renseignements de base des comptes de NE sont identiques pour les programmes de l'ARC et de la CB, et le risque est minime pour que des renseignements spécifiques à la CB soient communiqués en dehors des conditions du PE.

Des interviews menées auprès de la Direction générale des services de cotisation et de prestations (Direction du traitement des déclarations et des paiements des entreprises) et au Centre fiscal de Surrey (unité des Services du numéro d'entreprise) ont confirmé que les renseignements reçus de la CB sont utilisés uniquement pour attribuer un NE et qu'ils ne sont jamais communiqués en dehors des conditions du PE. Un exemple de communication serait un cas où la CB envoie un message à l'ARC pour l'informer d'un changement de nom d'une entreprise de la CB. Ces renseignements sont alors mis à jour dans le système du NE, puis communiqués à tous les systèmes légalement admis à recevoir les renseignements, y compris les autres provinces ayant adopté le service d'enregistrement des numéros d'entreprise qui se trouveraient touchées par le changement.

Les interviews menées auprès du personnel de l'unité des SNE au Centre fiscal de Surrey ont dit ne pas être au courant d'incidents de sécurité relatifs aux renseignements reçus de la CB. En outre, la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration a indiqué qu'aucun incident de sécurité n'avait été signalé concernant les renseignements reçus en vertu de ce PE. Les contrôles en place concernant la sensibilisation à la sécurité des employés (sujet repris plus loin dans le présent rapport) aident aussi à renforcer et à améliorer l'observation des conditions relatives à l'utilisation et à la communication des renseignements.

Sécurité et sauvegarde des renseignements

Le PE conclu avec la CB contient une annexe qui décrit les normes de sécurité de l'ARC relatives à la manipulation des renseignements protégés des clients. En outre, un document contenant les normes de sécurité pour l'ARC et les organismes non fédéraux sur la protection de l'information a été signé par l'ARC et la CB. Dans l'ensemble, les deux documents portent sur plus de 30 de normes de sécurité relatives à la gestion, au stockage et à la destruction des renseignements.

La Vérification interne a effectué une appréciation des risques de ces normes de sécurité pour identifier les risques les plus significatifs ayant trait aux renseignements reçus de la CB. La Division de la sécurité de l'information de la Direction générale des finances et de l'administration a également donné des avis d'expert. Sur la base de l'appréciation des risques, nous avons examiné les contrôles dans les domaines suivants :

  • gestion des privilèges d'accès des usagers;
  • cryptage;
  • destruction des renseignements;
  • sensibilisation à la sécurité.

Gestion des privilèges d'accès des usagers

La sécurité des renseignements confidentiels est accrue lorsque l'accès aux systèmes d'information est accordé aux seuls employés qui doivent prendre connaissance de ces renseignements pour faire leur travail. En outre, un système de contrôle de gestion des droits d'accès d'usager assure que les employés n'accumulent pas de droits d'accès lorsqu'ils changent d'emploi à l'intérieur d'un organisme. Les normes de sécurité de l'ARC exigent qu'un registre de tous les privilèges d'accès aux systèmes informatiques soit créé et actualisé pour chaque personne. De plus, le privilège d'accès d'un usager doit être actualisé et se faire révoquer ou suspendre sur-le-champ dès qu'il ne lui est plus nécessaire de l'avoir pour faire son travail. Ces normes de sécurité ont été respectées dans l'unité des SNE du Centre fiscal de Surrey.

Des sondages de vérification ont révélé que les employés de l'unité des SNE du Centre fiscal de Surrey les employés ne détenaient que les seuls profils d'accès aux ordinateurs centraux de l'ARC qui étaient compatibles avec leurs tâches. Ces sondages ont aussi confirmé que le personnel chargé de correspondre avec la CB par courriel possédait les profils ENTRUST nécessaires pour le courriel crypté et que les autres membres du personnel ne détenaient pas ces profils. La gestion des profils d'accès d'usager de l'ordinateur central relève du chef d'équipe de l'unité des SNE du Centre fiscal de Surrey. La plupart des autres profils d'accès sont gérés par les services locaux de technologie de l'information.

L'accès aux renseignements sur les clients qui sont reçus de la CB et conservés dans le système du NE est possible pour tout employé de l'ARC détenant un profil approprié pour accéder au système du NE ou à tout autre système de l'ARC maintenu par le système du NE [Note 3]. C'est ainsi qu'une grande partie des 40 000 employés de l'ARC peuvent se trouver dans la nécessité d'accéder à ce genre de renseignements pour faire leur travail. La gestion des profils d'accès d'usager à l'ARC a été soulevée comme une problématique dans un certain nombre de rapports de vérification interne, notamment une vérification de la sécurité de la technologie de l'information menée en 2004. Par suite de ces vérifications, la Division de la sécurité de l'information de la Direction générale des finances et de l'administration a amorcé plusieurs initiatives sur les profils d'accès d'usager. La Division de la vérification interne fera un suivi de la vérification de 2004 durant l'exercice 2006-2007.

Cryptage

En vertu des conditions du PE, l'ARC et la CB conviennent que les renseignements des clients transmis par voie électronique doivent être cryptés. La CB envoie les renseignements à l'ARC par voie électronique au moyen d'une voie de communication protégée cryptée dans le cadre du processus d'Inscription en direct des entreprises (IDE). Une évaluation de la menace et des risques (EMR) de l'IDE a été récemment mise à jour en janvier 2004. L'EMR a été menée par la Direction de la sécurité, de la gestion du risque et des affaires internes (Direction générale des finances et de l'administration) et par la Direction générale de l'informatique. L'EMR identifie les menaces potentielles, la probabilité de menaces et les conséquences possibles. Étant donné les mesures de protection telles que le cryptages qui ont été mises en place dans l'IDE, un examen de l'EMR n'a identifié aucune secteur de risque élevé résiduel.

Des renseignements sont également échangés entre la CB et l'unité des SNE du Centre fiscal de Surrey par courrier électronique si la province reçoit un message d'erreur en tentant de créer un compte. Ces courriels respectent la norme de cryptage de l'ARC.

Destruction des renseignements

En vertu des normes de sécurité applicables au PE, tous les renseignements fournis doivent être retournés ou détruits quand ils ne sont plus nécessaires. Les renseignements sur les comptes qui sont stockés électroniquement dans le système du NE ne sont pas détruits lorsque le compte, par exemple, a été fermé. Tous les renseignements restent dans le système du NE pour une durée indéfinie. La Direction du traitement des déclarations et des paiements des entreprises de la Direction générale des services de cotisation et de prestations a indiqué que le fait de conserver les renseignements relatifs aux comptes NE fermés peut faciliter le recouvrement des créances et la réactivation des comptes.

Le système du NE produit des rapports de travaux en cours (TEC) qui s'impriment automatiquement à l'unité des SNE du Centre fiscal de Surrey sur une base quotidienne. Ces rapports sont produits lorsque le système a détecté une possibilité d'enregistrement en double. La recherche se fait habituellement le jour de la réception du rapport des TEC pour déterminer s'il s'est véritablement produit un double enregistrement dans le processus d'inscription de certaines entreprises. Après qu'on a déterminé s'il y a eu double enregistrement, l'imprimé contenant les renseignements sur les clients est déposé dans une corbeille de rebuts confidentiels pour déchiquetage.

Sensibilisation à la sécurité

Les normes de sécurité administratives de l'ARC concernant l'environnement informatique comprennent ce qui suit :

  • les utilisateurs ne doivent pas utiliser leurs privilèges d'accès pour leur avantage personnel ou par curiosité;
  • les comptes de systèmes informatiques et les mots de passe y donnant accès ne doivent jamais être partagés avec qui que ce soit;
  • les utilisateurs doivent s'assurer que les privilèges d'accès sont protégés contre tout accès non autorisé lorsqu'ils interrompent une session ou quittent les lieux.

La vérification n'a trouvé aucun cas dans lequel l'unité des SNE du Centre fiscal de Surrey se serait écartée des normes de sécurité de l'ARC.

Le Système de pistes de vérification en direct (SPVD) produit des enregistrements de l'accès, d'employés choisis au hasard, aux comptes des contribuables dans les systèmes d'ordinateur central. Les gestionnaires sont ensuite tenus de certifier que les accès sont liés au travail. Un échantillon d'un rapport du SPVD a été examiné dans le cadre de cette vérification pour s'assurer que tous les éléments exigés par la norme de sécurité étaient inclus dans le rapport. En outre, le chef d'équipe de l'unité des SNE a confirmé qu'un rapport du SPVD avait été reçu pour tous les employés des SNE et qu'aucune problématique de sécurité n'avait été soulevée.

Un programme de sensibilisation à la sécurité est établi à l'ARC et diffusé aux niveaux national et local. Le programme vise à promouvoir la sensibilisation aux politiques et procédures concernant la protection du personnel, des renseignements et des biens matériels de l'ARC.

Au niveau local, au Centre fiscal de Surrey, tous les employés interviewés ont signalé qu'ils avaient obtenu une formation sur la sensibilisation à la sécurité lorsqu'ils ont commencé à travailler à l'Agence, puis, de façon régulière par la suite. De plus, on y discute régulièrement des questions de sécurité aux réunions d'équipe, et les employés reçoivent des rappels de sécurité émis localement par courrier électronique.

À l'échelle nationale, la Direction de la sécurité, de la gestion du risque et des affaires internes de la Direction générale des finances et de l'administration a lancé la séance de sensibilisation électronique interactive appelée La protection des employés, des renseignements et des biens de l'Agence, j'en fais mon affaire en février 2006, dans le cadre de la semaine de sensibilisation à la sécurité de l'ARC. La session se compose de plusieurs modules, qui portent sur des sujets comme les vérifications de sécurité du personnel, la catégorisation et la protection des renseignements, les rapports d'incidents de sécurité et l'accès aux renseignements personnels d'impôt. Tous les employés de l'unité des SNE du Centre fiscal de Surrey ont indiqué avoir récemment assisté à la séance interactive. De plus, à des intervalles réguliers tout au long de l'année, la Direction envoie des bulletins à tous les employés de l'ARC par courrier électronique. Les bulletins portent sur une gamme de sujets relatifs à la sécurité, y compris les meilleures pratiques concernant la sécurité du courrier électronique, l'accès aux systèmes de l'ARC et la protection des codes d'usager et des mots de passe des utilisateurs.

Conclusion

Sur la base du travail de vérification que nous avons effectué, nous sommes d'avis que l'ARC se conforme aux conditions du PE régissant l'utilisation, la communication et la sécurité des renseignements reçus de la CB. Rien n'a manifesté que les renseignements auraient été utilisés à des fins autres que celles prévues ou qu'ils auraient été communiqués à qui que ce soit en dehors des conditions du PE. Les normes de sécurité sélectionnées relatives à la protection des renseignements reçus ont été respectées.

Notes

[Note 1]
Le Répertoire gouvernemental des entreprises est le dépôt central de l'ARC pour les renseignements d'entreprise utilisant le système NE pour les programmes fédéraux et provinciaux.
[Note 2]
Normes de sécurité pour l'ARC et les organismes non fédéraux sur la protection de l'information ayant trait au PE concernant l'inscription conjointe des entreprises entre l'ARC et la Colombie-Britannique.
[Note 3]
Exemples de systèmes mis à jour par le système du NE : RAPID (base de données d'accès direct aux renseignements personnels pour le feuillet T1 de l'impôt sur le revenu des particuliers), le système de production de la TPS, et CORTAX (système de traitement des déclarations de revenus des sociétés).