Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

Se connecter

Se connecter

Protocole d'entente concernant les renseignements reçus de Statistique Canada

Rapport final

Direction générale de la vérification et de l'évaluation de l'entreprise
Juin 2010

Table des matières

Sommaire

Contexte   : L'Agence du revenu du Canada (ARC) signe des protocoles d'entente (PE) et d'autres accords écrits avec différents ministères et organismes fédéraux, provinciaux et territoriaux en vue d'améliorer l'efficience et l'efficacité dans l'exécution des programmes. Lorsqu'elle échange des renseignements de nature délicate avec ces entités, l'ARC négocie des PE afin que les deux parties soient au courant des prescriptions juridiques et les respectent.

La présente vérification porte sur les renseignements protégés reçus par l'ARC en vertu du PE concernant l'échange de renseignements entre l'ARC et Statistique Canada (SC). Selon le PE, signé le 4 avril 2003, l'ARC reçoit les codes du Système de classification des industries de l'Amérique du Nord (SCIAN) pour chaque numéro d'entreprise (NE).

Le SCIAN a été créé dans le but de fournir un cadre uniforme pour la collecte, l'analyse et la diffusion de statistiques industrielles utilisées par les administrations publiques. Cette classification, qui permet d'organiser les données économiques selon l'industrie, est utilisée par le Canada, le Mexique et les États-Unis. Le SCIAN est examiné dans le cadre d'un cycle quinquennal afin de veiller à ce qu'il continue de refléter la structure de l'économie en mutation rapide.

Objectif : L'objectif de cette vérification consistait à déterminer si l'ARC observe les conditions qui régissent l'utilisation, la divulgation, la conservation et la destruction des codes SCIAN reçus de SC.

La vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion : L'ARC observe les conditions qui régissent la divulgation et la conservation des SCIAN. Cependant, des précisions devront être apportées quant à l'utilisation des SCIAN par l'ARC. Il est à noter que des discussions entamées en 2009 entre les deux organisations sont toujours en cours pour éventuellement élargir l'utilisation des SCIAN.

Des améliorations sont aussi requises quant à la production des arrêtés de divulgation, à l'examen des pistes de vérification concernant les accès des employés et à la clarification du mode de destruction des données électroniques.

De plus, certaines annexes du PE ne sont pas à jour, dont celle qui identifie les personnes responsables ainsi que l'annexe sur la sécurité qui décrit le mode d'effacement des données électroniques.

Plans d'action

La Direction générale des stratégies d'entreprises et du développement des marchés (DGSEDM) souscrit aux recommandations et a élaboré des plans d'action pour y donner suite. Lors de la soumission annuelle de la lettre d'arrêté de divulgation à SC, la DGSEDM s'assurera que les données du SCIAN sont utilisées conformément au PE. La DGSEDM a aussi fourni un plan d'action à long terme qui mènera à l'auto-identification des activités du SCIAN par les déclarants, tant les individus que les entreprises.

Une nouvelle version du PE est en cours d'approbation et comprendra des renseignements à jour sur les listes des personnes autorisées et les méthodes appropriées d'effacement de données électroniques.

Introduction

En vertu d'un protocole d'entente (PE) signé le 4 avril 2003 avec Statistique Canada (SC), l'Agence du revenu du Canada (ARC) reçoit de ce dernier les codes du Système de classification des industries de l'Amérique du Nord (SCIAN) pour chaque numéro d'entreprise (NE).

Le SCIAN a été créé dans le but de fournir un cadre uniforme pour la collecte, l'analyse et la diffusion de statistiques industrielles utilisées par les administrations publiques. Cette classification, qui permet d'organiser les données économiques selon l'industrie, est utilisée par le Canada, le Mexique et les États-Unis. Le SCIAN est examiné dans le cadre d'un cycle quinquennal afin de veiller à ce qu'il continue de refléter la structure de l'économie en mutation rapide.

Le NE est un numéro unique attribué par l'ARC qui est utilisé par les sociétés, les sociétés de personnes, certains particuliers et d'autres organisations. Les fichiers NE contiennent des renseignements d'identification sur toutes les entités enregistrées.

La Direction des déclarations des entreprises (DDE) de la Direction générale des services de cotisation et de prestations (DGSCP) est responsable de l'inscription de toutes les entreprises au Canada et de leur assigner un NE. L'ARC envoie régulièrement à SC les NE qu'elle assigne ainsi que les modifications des activités commerciales de ces entreprises.

À la réception de ces NE, SC assigne un code de six chiffres, généré du SCIAN de SC. La DDE est ensuite responsable d'incorporer les codes SCIAN reçus de SC aux données du NE de l'ARC. Selon l'article 26 du PE, l'ARC peut ensuite utiliser les renseignements obtenus aux fins de recherche et d'analyse statistique.

La Direction générale des stratégies d'entreprise et du développement des marchés (DGSEDM) est responsable de la production, de l'analyse et la diffusion des données statistiques pour les clients internes et externes. Les codes du SCIAN peuvent être incorporés aux produits statistiques qui sont livrés aux ministères des Finances provinciaux et territoriaux et à d'autres ministères et agences fédéraux.

Portée de l'examen

La vérification interne avait pour objectif de déterminer si l'ARC observe les conditions qui régissent l'utilisation, la divulgation, la conservation et la destruction des codes du SCIAN reçus de SC.

La phase d'examen de la vérification s'est déroulée du mois d'août 2009 à mars 2010. Les entrevues et l'examen des documents clés ont été effectués exclusivement à l'Administration centrale.

Une assurance quant aux contrôles de la technologie de l'information (TI) de l'ARC et aux contrôles concernant l‘accès aux renseignements et leur destruction a été fondée, en partie, sur de récents travaux de vérification. Ces travaux incluent, entre autres, le suivi de la sécurité de la TI et les vérifications des PE menées au cours des dernières années quant aux renseignements sur les NE échangés entre l'ARC et les provinces de la Colombie-Britannique, de l'Ontario, du Nouveau-Brunswick et du Manitoba.

Les vérificateurs ont rencontré ou consulté les gestionnaires et les employés des directions générales suivantes :

Constatations, recommandations et plans d'action

1.1 Utilisation des SCIAN

Le PE stipule que l'ARC doit aviser SC annuellement par écrit, par le truchement d'arrêté de divulgation, de son utilisation éventuelle des SCIAN. À la réception de ces arrêtés, SC produit des autorisations de divulgation.

Les documents reçus de la DGSEDM ont permis de conclure que peu de demandes d'arrêté de divulgation étaient adressées annuellement à SC, et ce, au cours des dernières années. Par contre, des autorisations étaient reçues de façon régulière de la part de SC.

Selon le PE, l'ARC est autorisée à utiliser les codes du SCIAN à des fins d'analyse ou de recherche. Afin de clarifier cette utilisation, une rencontre a eu lieu en mars 2009 entre les représentants de l'ARC et de SC. Au cours de la vérification, des employés de diverses directions générales de l'ARC ont indiqué qu'ils ont utilisé ou qu'ils avaient l'intention d'utiliser les SCIAN pour l'élaboration et l'évaluation des politiques ainsi que pour la surveillance des programmes, mais seulement en conjonction avec d'autres données. L'ARC a alors demandé à SC de se positionner sur une utilisation éventuelle des SCIAN autre qu'aux fins d'analyse ou de recherche. Au moment de la vérification, ce sujet faisait toujours l'objet de discussions entre l'ARC et SC.

De plus, l'annexe A du PE, qui identifie les directions responsables de l'exécution et de l'administration du protocole, n'était pas à jour. Nous croyons que cette annexe devrait être révisée lors du renouvellement du présent PE.

Recommandation

Annuellement, l'ARC devrait faire parvenir à SC une lettre précisant l'usage prévu des codes du SCIAN. De plus, l'ARC devrait poursuivre les discussions avec SC concernant l'utilisation acceptable des SCIAN et incorporer la décision finale dans le PE au moment de la révision. La liste des responsables dans l'annexe A du PE devrait également être mise à jour.

Plan d'action

La DGSEDM, par l'intermédiaire de la Direction des relations avec les clients (DRC), mène déjà des consultations auprès des directions générales fonctionnelles et coordonne l'envoi de la lettre annuelle d'arrêté de divulgation à SC. Cette lettre continue de représenter l'engagement de l'ARC envers les exigences du PE avec SC. La DRC continuera d'examiner l'utilisation courante des données du SCIAN afin de s'assurer qu'elle n'a pour but que l'analyse et la recherche. Lorsque des secteurs de l'ARC utilisent le SCIAN à d'autres fins que celles mentionnées dans le PE, la DRC les informera de leurs responsabilités et des conditions d'utilisation des données du SCIAN. Sur demande, la DRC demandera la permission auprès de SC pour faire une utilisation autre, tel qu'il est stipulé dans le PE.

Le PE révisé comprend une liste mise à jour des personnes responsables qui font maintenant partie de l'annexe B.

À long terme : L'ARC travaille actuellement sur une initiative de collecte de données du SCIAN qui permettra aux déclarants, tant les individus que les entreprises, d'indiquer leurs propres codes du SCIAN lorsqu'ils rempliront leurs déclarations informatisées. Ce processus d'auto-identification sera effectué par les déclarants lorsqu'ils rempliront leurs déclarations et fera partie de tous les progiciels commerciaux afin de permettre à l'ARC de recueillir ses propres codes du SCIAN et de ne plus dépendre des données fournies par SC.

1.2 Respect des procédures

Les entrevues et les documents recueillis ont permis de conclure que des procédures étaient appliquées pour le traitement des SCIAN à l'ARC. Des manuels de procédures, des plans de travail, des comités mixtes entre l'ARC et SC étaient en place. De plus, des mécanismes ont été établis dans les deux organisations pour assurer le suivi de la qualité des SCIAN.

Les membres du personnel des différentes directions générales connaissaient leurs obligations en regard de la confidentialité des SCIAN. Ces données étaient traitées au même titre que l'information reçue des contribuables.

1.3 Accès aux renseignements

Selon l'article 31 du PE, l'ARC et SC doivent s'assurer de conserver une piste de vérification pour tous les accès aux renseignements fournis en vertu du PE et de la fournir sur demande.

Par le biais du travail effectué lors d'une autre vérification, il a été confirmé que les accès aux NE sont journalisés dans le système national de pistes de vérification. Toutefois, lors de la vérification, deux divisions de la DGSEDM et deux divisions de la DGSCP n'ont pas été en mesure de démontrer qu'elles examinaient les pistes de vérification concernant les accès aux renseignements sur les NE par leurs employés.

Les entrevues ont permis de conclure que la compréhension du processus de surveillance des pistes de vérification n'était pas uniforme. La DRC de même que la DGI n'étaient pas concernées par ce point.

Recommandation

La DGSEDM et la DGSCP devraient s'assurer que leurs gestionnaires effectuent des pistes de vérification pour leurs employés.

Plan d'action

La DGSEDM effectuera régulièrement des pistes de vérification pour ses employés qui ont accès au SCIAN sur l'ordinateur central. Des vérifications régulières des utilisateurs qui accèdent aux renseignements du SCIAN permettront de veiller à ce que l'utilisation des données soit conforme au PE.

La Direction de la statistique et de la gestion de l'information, au nom de la DGSEDM, rendra compte de façon trimestrielle des activités qui ont fait l'objet d'une vérification en se basant sur une période de vérification de cinq jours pour un échantillon aléatoire des employés qui ont accès au SCIAN. Cette routine de vérification permettra à la DRC de respecter ses exigences en matière de reddition de comptes à SC.

En ce qui concerne les employés de la DGSCP, les renseignements du SCIAN sont conservés dans le système des BN. Toute personne ayant un profil d'accès à l'écran IDENT peut accéder aux codes du SCIAN. Une piste de vérification qui permet de cerner les employés qui ont consulté un élément sur l'écran est impossible. De plus, bien que seules la DGSEDM et la DGSCP aient été nommées, d'autres secteurs de programme devraient aussi être inclus dans l'examen d'autres options pour effectuer des pistes de vérification des employés de l'ARC. La DGSEDM se chargera de rappeler aux directions générales des programmes que des pistes de vérification sont requises et d'examiner d'autres options.

L'établissement de rapports sur ces mesures fera partie de la lettre annuelle envoyée à SC, tel qu'il est mentionné dans la section 1.1.

1.4 Sécurité

Les normes de sécurité de l'ARC nécessitent qu'une fiche des privilèges d'accès aux systèmes soit créée et tenue pour chaque employé.

À l'ARC, les gestionnaires doivent établir, déterminer et approuver les privilèges d'accès minimums des employés dont ils sont responsables. Ils doivent réviser les privilèges d'accès des employés au moins deux fois par année pour s'assurer que l'accès aux réseaux et aux systèmes de la TI et à l'information de l'ARC correspond aux tâches assignées.

Lors des entrevues, les gestionnaires rencontrés ont indiqué que la revue semestrielle des profils d'accès avait été menée à l'aide du Système de révision des accès des employés (SRAE). Toutefois, il a été impossible d'obtenir des exemples complets des formulaires du SRAE pour la Direction de la statistique et de la gestion de l'information.

Recommandation

La Direction de la statistique et de la gestion de l'information devrait mettre à jour le SRAE.

Plan d'action

Afin de respecter les exigences de l'ARC concernant la mise à jour et la maintenance semestrielles du SRAE, la DGSEDM continuera de s'acquitter de ses responsabilités, comme suit.

Conformément au chapitre 17 du Volume de la sécurité, Manuel des finances et de l'administration, les gestionnaires et les superviseurs sont responsables d'examiner les privilèges d'accès au système de leurs employés au moins deux fois par année ou lorsque des changements sont apportés aux fonctions assignées aux utilisateurs.

2. Divulgation aux tiers

Le PE énumère les différentes lois qui encadrent la divulgation des renseignements. Afin de se conformer aux exigences du PE, l'ARC doit obtenir l'autorisation de divulgation de SC avant de transmettre des renseignements qui contiennent des codes du SCIAN, et la transmission doit être exécutée selon les normes de sécurité prescrites.

La vérification a permis de constater qu'un registre de contrôle des données échangées et des formulaires d'approbation interne était en place à la DRC de la DGSEDM. Le Secteur des services à la clientèle de la Division des services statistiques obtenait les approbations avant la transmission des données aux clients internes et externes de l'ARC. Les renseignements envoyés à nos partenaires externes étaient conformes aux autorisations de divulgations reçues de SC.

La transmission initiale des données entre l'ARC et SC se faisait antérieurement par bandes magnétiques. En 2008, les deux organisations ont mis en place un processus sécurisé de transmission électronique des données au moyen du « File Transfer Protocol » (FTP) qui respectait les normes de sécurité de l'ARC. Ce mode de transmission remplace les bandes magnétiques et la gravure de certains supports amovibles.

De plus, la transmission subséquente des données aux partenaires de l'ARC était également contrôlée. Des procédures de travail étaient en place, des modes de chiffrement existaient selon le volume des envois, et une démonstration des méthodes utilisées a été effectuée. Les modes de chiffrement utilisés sont décrits à la section 3.2.

3.1 Protection des données du SCIAN

Dans le cadre de ses obligations du PE et de la Politique sur la sécurité de l'environnement informatique[Note1], l'ARC doit garantir que des mesures de sécurité sont en place pour l'ensemble des réseaux et des systèmes de la TI afin de les protéger contre les menaces qui pourraient avoir des incidences sur leur confidentialité, leur intégrité, leur disponibilité et leur utilisation prévue.

À cet effet, l'ARC a mené trois évaluations de la menace et des risques (EMR) de la TI. Une évaluation concernait les systèmes du NE tandis que la seconde évaluation portait sur les échanges de renseignements ou requêtes entre l'ARC et ses partenaires externes au moyen du Système de messagerie du NE. De même, dans le cadre de l'initiative « Information Technology Renewal » (renouvellement de la technologie de l'information), une EMR a été menée pour étudier la question de la migration des serveurs de la Division des services statistiques à l'environnement informatique de la DGI, entre autres. Des plans d'action ont été rédigés et des membres du personnel ont été assignés pour exécuter ces plans.

Ces trois EMR ont permis à l'ARC de cerner les risques reliés à ses systèmes informatiques, de les traiter et d'en exercer une surveillance continue.

3.2 Chiffrement des données

L'annexe D du PE et les normes de sécurité de l'ARC stipulent que des mesures de protection doivent être en place pour empêcher que ne soit compromise l'intégrité des renseignements stockés, transmis ou traités par un système de la technologie de l'information.

La vérification a permis de conclure que des procédures de travail ont été établies afin de définir les différents modes de chiffrement des supports amovibles pour les envois et la réception des données à et de SC. Les mêmes procédures s'appliquaient aux envois de données aux partenaires externes de l'ARC.

Selon la taille des documents et les supports utilisés, deux modes de chiffrement étaient disponibles : l'infrastructure à clés publiques (ICP) pour la transmission par courriel chiffré et le chiffrement « O'TOSTORE » pour l'utilisation d'un support eHD[Note2]. Ces modes de chiffrement rencontraient les normes de sécurité de l'ARC.

Des dispositions de sécurité ont été mises en œuvre entre l'ARC et SC afin de protéger le transport physique des données, le cas échéant. Une procédure de travail conjointe a été établie en septembre 2009 précisant les rôles et responsabilités des deux organisations. Les entrevues ont démontré la compréhension et l'application de cette procédure.

3.3 Entreposage

Lors de l'examen, les données du SCIAN étaient entreposées dans l'ordinateur central de l'ARC. Pour les besoins de leur travail, le personnel des divisions des Opérations statistiques et des Services statistiques avait à leur disposition des ordinateurs de table branchés en réseau à un serveur. Les membres du personnel entreposaient les données du SCIAN sur le répertoire réseau commun de leurs divisions respectives.

Les entrevues et observations ont permis de conclure que les exigences de l'annexe D du PE en matière d'entreposage des données sur le réseau local sont respectées étant donné que les secteurs de travail étaient contrôlés, les serveurs étaient situés dans une pièce sécuritaire et les employés enregistraient les données dans les répertoires communs du réseau.

De plus, selon l'annexe C-27 du PE, un dépôt principal centralisé doit être déterminé. À l'ARC, les données du SCIAN se retrouvaient sur l'ordinateur central et la DGI exerçait un contrôle physique de ses lieux. À la Division des services statistiques de la DGSEDM, une copie des données requises était sauvegardée sur des serveurs indépendants afin de produire des rapports statistiques, et un contrôle physique des lieux a été constaté.

Selon la même annexe, l'ARC doit écrire annuellement à SC afin de les informer du mode de conservation des SCIAN. Toutefois, aucune preuve de correspondance n'a été relevée lors de l'examen.

Recommandation

La DGSEDM devrait informer SC annuellement du mode de conservation des données du SCIAN.

Plan d'action

La DGSEDM mettra en place un examen régulier de ses méthodes de conservation des données du SCIAN qui fera partie des activités d'examen sur les utilisations prévues de ces données (voir la section 1.1).

La DRC consultera les directions générales fonctionnelles afin de rédiger la réponse de l'Agence à SC en plus de coordonner ce processus avec ces dernières. La reddition de comptes sur ces mesures fera partie de la lettre annuelle à l'intention de SC mentionnée dans la section 1.1.

4. Destruction

L'annexe D du PE énonce les modes d'effacement et de destruction pour l'élimination des renseignements protégés. En vertu de cette annexe, les données électroniques doivent être effacées au moyen du logiciel WIPEDISK ou d'un démagnétiseur approuvé.

Ces modes d'effacement et de destruction des données n'étaient pas utilisés à la Division des opérations statistiques et à la Division des services statistiques pour les travaux des employés entreposés sur le répertoire réseau commun. Lors des entrevues, les personnes rencontrées ont indiqué que les données sauvegardées sur les disques durs des serveurs indépendants n'étaient pas effacées conformément aux exigences du PE, car les nouvelles données écrasaient les données précédentes. Cependant, cette façon de procéder n'est pas conforme à l'annexe D du présent PE.

De plus, dans le cadre de l'initiative de renouvellement de la TI, la Division des services statistiques a élaboré un plan d'action afin d'assurer qu'aucune donnée ne figure sur les disques durs des ordinateurs de table.

Bien que très peu de rapports statistiques version papier soient produits, l'examen des lieux de travail a permis de conclure que des déchiqueteuses sont en place dans chaque secteur et principalement dans les aires communes. De plus, les fax protégés sont situés dans le Secteur des services à la clientèle de la Division des services statistiques, mais ne sont pas utilisés pour l'envoi de données.

Recommandation

La DGSEDM, conjointement avec la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI), devrait clarifier la méthode d'effacement appropriée des données électroniques et l'indiquer dans tous les PE.

Plan d'action

Le nouveau PE précise les méthodes appropriées de destruction des données pour l'ARC (voir l'annexe C-2). La DRC s'assurera que tous les nouveaux PE et les PE révisés par la suite comprendront les méthodes appropriées de destruction fournies par la DSGRAI de la Direction générale des finances et de l'administration.

Conclusion

L'ARC observe les conditions qui régissent la divulgation et la conservation des SCIAN. Cependant, des précisions devront être apportées quant à l'utilisation des SCIAN par l'ARC. Il est à noter que des discussions entamées en 2009 entre les deux organisations sont toujours en cours pour éventuellement élargir l'utilisation des SCIAN.

Toutefois, des améliorations sont aussi requises quant à la production des arrêtés de divulgation, à l'examen des pistes de vérification concernant les accès des employés et à la clarification du mode de destruction des données électroniques.

De plus, certaines annexes du PE ne sont pas à jour, dont celle qui identifie les personnes responsables ainsi que l'annexe sur la sécurité qui décrit le mode d'effacement des données électroniques.

Footnotes

[Note 1]
Manuel des Finances et Administration, Volume sécurité, chapitre 18
[Note 2]
Le eHD est un disque dur portatif utilisé pour le transport des données.

Détails de la page

Date de modification :