Environnement de recherche et développement des renseignements d’entreprise v 2.0 - Sommaire de l’évaluation des facteurs relatifs à la vie privée

Direction générale du service, de l'innovation et de l'intégration
Direction de l'analytique et des données
Agence du revenu du Canada

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Mireille Laroche

Sous-commissaire

Direction générale du service, de l'innovation et de l'intégration

Dirigeante principale des données

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau

Directrice

Direction de l'Accès à l'information et protection des renseignements personnels

Nom du programme ou de l’activité de l’institution fédérale

Services de gestion et de surveillance

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l'institution ou ordinaire :

Toutes les catégories de documents de l’Agence – Voir la liste

Description des FRP spécifiques à l'institution ou ordinaire :

Tous les fichiers de renseignements personnels de l’Agence – Voir la liste  

Autorisation légale pour le programme ou l’activité

Sous-alinéa 241(4)d)(ix) de la Loi de l’impôt sur le revenu

Sous-alinéa 295(5)d)(v) de la Loi sur la taxe d’accise

Sous-alinéa 211(6)e)(v) de la Loi sur l’accise  

Résumé du projet, de l’initiative ou des modifications

L’Agence du revenu du Canada administre les programmes d’impôt, de prestations, de crédits et d’autres programmes connexes au nom du gouvernement du Canada et de la plupart des provinces et des territoires. Elle fait la promotion de l’observation des lois et règlements du Canada et joue un rôle important dans le bien-être économique et social des Canadiens. L’Agence collabore étroitement avec ses intervenants et ses clients, et assure l’application responsable des lois fiscales.

Pour s’acquitter de son mandat et gérer l’organisation à l’interne, l’Agence recueille et produit une grande quantité de données. L’Agence utilise les données depuis de nombreuses années pour mieux comprendre ses programmes et ses activités, apporter des changements stratégiques et prendre les mesures appropriées à l’appui de son mandat. Les renseignements tirés des données appuient également l’équité et l’intégrité du régime fiscal du Canada au moyen de l’observation. Pour être en mesure de détecter, de dissuader, de prédire et de corriger de façon proactive les comportements d’inobservation des contribuables et des bénéficiaires de prestations, l’Agence doit se renseigner au sujet de leurs comportements.

Une grande partie des aptitudes et des technologies qui permettent de saisir et d’utiliser les données des systèmes opérationnels de l’Agence pour les demandes de renseignements et les rapports sont bien développées, L’Agence dispose d’un environnement de données spécialement conçu pour appuyer les activités traditionnelles d’intelligence d’affaires (IA) (p. ex., établissement de rapports et statistiques descriptives de base). Cet environnement pourra sans doute contenir toutes les données recueillies par les programmes aux contribuables et aux bénéficiaires de prestations de l’Agence.

Les directions générales suivantes mènent diverses activités de recherche et d’analyse, des projets et des initiatives qui sont propres à chaque direction générale ou qui sont de nature stratégique.  

Quoi de neuf ?

Conformément à l’élément du plan d’action évolutif de l’évaluation des facteurs relatifs à la vie privée (ÉFVP) de la version précédente, l’ÉFVP a été mise à jour afin d’inclure les sources de données externes, les changements organisationnels de l’Agence et les points d’ordre administratif, comme l’octroi de licences de logiciels, les sigles et acronymes, les termes, la grammaire et la langue.

Les données externes renvoient aux données recueillies auprès de sources tierces, et non directement par l’Agence. Le lac de données de l’Agence comprend maintenant 14 sources de données externes, ce qui représente trois différentes catégories de données considérées comme ayant une valeur horizontale à l’échelle de l’Agence pour les activités d’IA et de recherche et de développement, à savoir : 

  1. Les données publiques et ouvertes, c’est-à-dire dans le domaine public;
  2. Institution fédérale : les données fournies en fonction d’une entente interministérielle;
  3. Secteur privé : les données transmises à l’Agence en vertu d’une demande péremptoire de renseignements approuvée par la Cour ou achetées par l’intermédiaire d’un abonnement.

La stratégie de gestion de l’information de 2019-2020 de l’Agence, une approche à l’échelle de l’Agence à l’égard de la gestion de l’information, met de l’avant l’importance d’une collaboration accrue entre les différentes équipes et fonctions. Deux instruments de politique d’entreprise (IPE), en rapport direct avec cette stratégie, ont été signés en 2019 afin d’offrir une orientation sur la gestion des données et de la qualité des données à l’Agence, notamment la directive sur la gestion des données, entrée en vigueur le 10 juin 2019, et les normes de qualité des données, entrées en vigueur le 21 juin 2019. Les deux ont été approuvés par le sous-commissaire de la Direction générale des services, de l’innovation et de l’intégration, et tous les employés de l’Agence, ainsi que toute autre personne qui ont l’obligation de respecter les politiques de l’Agence, sont tenus de se conformer à ces instruments de politique d’entreprise.

La portée de l’évaluation des facteurs relatifs à la vie privée

Au fil du temps, les directions générales de l’Agence susmentionnées ont déterminé la nécessité d’utiliser des outils et des environnements plus sophistiqués pour examiner le comportement des contribuables et des bénéficiaires de prestations afin d’apprendre à mieux assurer la prestation des programmes et les services de l’Agence.

Pour répondre à ces besoins, l’Agence a déterminé la nécessité d’établir un environnement de recherche et de développement dans lequel les chercheurs et les analystes peuvent effectuer des recherches et élaborer des stratégies afin de cibler, de prédire et de traiter les cas d’inobservation, ou d’améliorer le service offert aux contribuables et aux bénéficiaires de prestations.

Pour ce faire, on a établi un environnement où des personnes désignées qui possèdent les compétences et les connaissances nécessaires, peuvent explorer et analyser les données au moyen d’outils appropriés. Cet environnement permet d’apporter des réponses opportunes et uniformes aux défis opérationnels, et réduit le temps entre la détermination d’un problème ou d’une question à régler et la mise en œuvre d’une stratégie basée sur les données et axée sur les données probantes.

Les principales composantes ci-dessous d’IA sont les activités entreprises dans l’environnement de recherche et de développement de l’Agence et font partie de la portée de la présente ÉFVP :

Détermination et classement du risque

A) Type de programme ou d’activité

Le programme ou l'activité ne comporte RIEN de décision visant un individu identifiable. 

Niveau de risque pour la vie privée : 1

Détails :

L’Agence utilise les renseignements pour entreprendre des mesures administratives à l’égard des particuliers dans le cadre d’autres programmes et activités; toutefois, les renseignements personnels qui ont été consultés et utilisés dans l’environnement de recherche et de développement ne comprendront pas de décision concernant une personne identifiable, à moins que le programme responsable de la décision ait le mandat et l’ÉFVP qui permettent précisément de telles mesures. L’Agence utilise les données depuis de nombreuses années pour mieux comprendre ses programmes et ses activités, apporter des changements stratégiques et prendre les mesures appropriées. Les renseignements tirés des données appuient également l’équité et l’intégrité du régime fiscal du Canada au moyen de l’observation. Pour être en mesure de détecter, de dissuader, de prédire et de corriger de façon proactive les comportements d’inobservation des contribuables et des bénéficiaires de prestations, l’Agence doit se renseigner au sujet de leurs comportements.. L’environnement de recherche et de développement permet à certains employés d’entreprendre les activités d’analyse afin d’explorer et de découvrir ces connaissances et ces relations entre les données. Les principales activités de recherche et de développement peuvent comprendre ce qui suit, sans toutefois s’y limiter :

B) Type de renseignements personnels en jeu et contexte

Numéro d’assurance sociale (NAS), renseignements médicaux ou financiers, ou autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d’un particulier.  

Niveau de risque pour la vie privée : 3

Détails :

Les données utilisées dans l’environnement de recherche et de développement s’appuient sur les données présentes dans l’Entrepôt de données de l’Agence, ainsi que d’autres systèmes sources internes, des magasins de données et des sources externes de données. Les données sources externes se rapportent aux données recueillies auprès de sources tierces et non par l’Agence, comme les données sur les télévirements recueillies auprès des fournisseurs de services financiers relevant du CANAFE, ou les bases de données achetées au moyen d’un abonnement, par exemple chez Dun & Bradstreet. Les renseignements personnels peuvent comprendre des renseignements de nature délicate, comme le NAS et les renseignements financiers des particuliers et des entreprises. Conformément à la politique de classification de l’Agence (chapitre 5 du Manuel des finances et de l’administration ‒ Volume Sécurité « Désignation des renseignements et des biens protégés et classifiés »), ces données ont été classées au niveau Protégé B. Le personnel de l’Agence dans l’environnement de recherche et de développement doit respecter les politiques et les procédures rigoureuses de l’Agence concernant la protection des renseignements personnels, la confidentialité, la sécurité et la gestion de l’information. 

C) Partenaires de programme ou d’activité et participation du secteur privé

Au sein de l'institution (parmi un ou plusieurs programmes de la même institution)

Niveau de risque pour la vie privée : 1

Détails :

L’environnement de recherche et de développement comprend seulement les activités de recherche, d’analyse et de développement effectuées à l’Agence. Un nombre restreint de chercheurs et d’analystes des directions générales de l’administration centrale de l’Agence (Direction générale des appels; Direction générale de cotisation, de prestation et de service; Direction générale de la vérification, de l’évaluation et des risques; Direction générale des recouvrements et de la vérification; Direction générale des programmes d’observation nationaux; Direction générale du secteur international, des grandes entreprises et des enquêtes; Direction générale de l’informatique; Direction générale de la politique législative et des affaires réglementaires; Direction générale des finances et de l’administration; Direction générale des ressources humaines; Direction générale des affaires publiques; et Direction générale du service, de l’innovation et de l’intégration) et du Bureau de la région de l’Atlantique participent aux activités de recherche et développement à l’Agence.

L’environnement de recherche et de développement peut contenir toutes les données recueillies par les programmes aux contribuables et aux bénéficiaires de prestations de l’Agence, qui peuvent comprendre des sources externes de données. L’acquisition de ces données externes est régie par les ententes d’échange de renseignements, les conventions et les engagements internationaux, les contrats entre les programmes aux contribuables et aux bénéficiaires de prestations respectifs et les fournisseurs de données externes, ou de renseignements accessibles au public. 

D) Durée du programme ou de l’activité :

Programme à long terme.

Niveau de risque pour la vie privée : 3

Détails :

Les activités de recherche et de développement de l’Agence sont des activités en cours (à long terme). 

E) Population du programme

S.O. 

Niveau de risque pour la vie privée : S.O.

Détails :

Les activités de recherche et de développement à l’Agence n’ont aucune incidence sur les particuliers à des fins administratives. Toutefois, la population du programme comprend la majorité de la population canadienne (c.-à-d. les contribuables et les bénéficiaires de prestations). Les activités d’intelligence d’affaires menées à des fins administratives (p. ex., sélection de la charge de travail) seront assujetties à des ÉFVP distinctes. 

F) Technologie et vie privée

Est-ce que le nouveau programme ou le programme modifié ou l’activité consiste à mettre en œuvre un nouveau système électronique, un logiciel ou un programme d’application, y compris un collecticiel (ou logiciel de groupe) afin d’appuyer le programme ou l’activité en ce qui concerne la création, la collecte ou la manipulation des renseignements personnels? 

Risque pour la vie privée : Oui

Est-ce que le programme (nouveau ou modifié) ou l’activité (nouvelle ou modifiée) demande des améliorations aux systèmes ou services en place de la technologie de l’information? 

Risque pour la vie privée : Non

Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée : Cela comprend la technologie biométrique (comme la reconnaissance faciale, l’analyse de la démarche, la lecture ou le balayage de l’iris, l’analyse des empreintes digitales, la signature ou empreinte vocale, l’identification par radiofréquence, etc.) ainsi que la technologie des laissez-passer facilités (Easy pass), les nouvelles cartes d’identité comportant des bandes magnétiques, comme les « cartes intelligentes » (c.-à-d. des cartes d’identité sur lesquelles est gravée soit une antenne soit une plage de contact connectée à un microprocesseur et une puce mémoire ou uniquement à une puce mémoire avec matrice logique non programmable). 

Risque pour la vie privée : Non

Précisions : S.O.

Utilisation de la surveillance : Cela comprend les technologies de surveillance telles que les appareils d’enregistrement audio/vidéo, l’imagerie thermique, les appareils de reconnaissances, l’identification par radiofréquence, la surveillance/interception clandestine, le contrôle assisté par ordinateur, y compris les pistes de vérification, la surveillance par satellite, etc. 

Risque pour la vie privée : Non

Précisions : Le programme ne prévoit pas l’utilisation de la surveillance des contribuables ou des bénéficiaires de prestations. Toutefois, dans le cadre du programme de sécurité de l’Agence, les employés de l’Agence qui ont accès à des renseignements personnels seront surveillés à l’aide du Système de pistes de vérification en direct (SPVD). Le SPVD enregistre des renseignements comme l’ID utilisateur fourni pour ouvrir une session, la date et l’heure de l’ouverture et de la clôture d’une session, l’endroit où se trouve l’utilisateur, l’identité du terminal, le nom et l’ID du client dont on a accédé aux dossiers, y compris les modifications apportées pendant chaque séance de l’utilisateur.

Les renseignements servent à s’assurer que seuls les employés autorisés ont accès à des renseignements personnels et que l’accès peut être relié à des personnes précises pour appuyer les enquêtes sur les cas soupçonnés ou présumés de mauvaise utilisation.

Chaque fois que les employés de l’Agence ouvrent une session sur leur ordinateur, un avis s’affiche et exige qu’ils reconnaissent qu’ils sont au courant du fait que tout accès aux réseaux de l’Agence est surveillé et que cet accès est accordé uniquement selon le principe du besoin de savoir. Ces renseignements sont décrits dans le Fichier de renseignements personnels ordinaire POU 905 – Journaux de contrôle des réseaux électroniques. 

Utilisation de l’analyse automatisée des renseignements personnels, de la mise en correspondance des renseignements personnels et des techniques de découverte des connaissances : Afin de respecter la Directive sur l’évaluation des facteurs relatifs à la vie privée, les institutions fédérales doivent cerner les activités qui comprennent l’utilisation d’une technologie automatisée pour analyser, créer, comparer, évaluer ou extraire des éléments des renseignements personnels. Ces activités comprennent le rapprochement de renseignements personnels, le rapprochement de dossiers, l’exploration de renseignements personnels, la comparaison de renseignements personnels, la découverte de connaissances et le filtrage ou l’analyse de renseignements. De telles activités comportent une forme ou une autre d’intelligence artificielle ou d’apprentissage machine pour découvrir des connaissances (renseignements), des tendances ou des modèles, ou encore pour prédire des comportements. 

Risque pour la vie privée : Oui

Détails : L’Agence utilise l’analyse automatisée des renseignements personnels, le rapprochement des renseignements personnels et des techniques de découverte des connaissances. L’environnement de recherche et de développement emploie un logiciel d’analyse statistique (SAS), un logiciel d’exploration de données (IBM SPSS Modeler) et d’autres outils logiciels d’IA avancés pour examiner et visionner les données aux fins de recherche, d’analyse et d’établissement de rapports. 

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui comporte des connexions à au moins un autre système.

Niveau de risque pour la vie privée : 2

Détails :

L’espace de travail configuré pour les utilisateurs de recherche et de développement doit :

H) Risque possible pour le particulier ou l’employé

Détails : Les renseignements dans l’environnement de recherche et de développement sont considérés comme très délicats (Protégé B). L’utilisation ou la divulgation non autorisées de ces renseignements pourrait entraîner un risque pour la protection des renseignements personnels ou un grave préjudice financier personnel, ou causer de l’embarras au contribuable ou au bénéficiaire de prestations.  

Détails de la page

Date de modification :