Résumé de l’évaluation des facteurs relatifs à la vie privée (ÉFVP) – Crédits pour taxe sur les produits et services et crédits connexes

La Direction des programmes de prestations de la Direction générale de cotisation, de prestation et de service

Aperçu et amorce d’une EFVP

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Frank Vermaeten

Sous-commissaire
Direction générale de cotisation, de prestation et de service

et

Michael Snaauw

Sous-commissaire
Direction générale des recouvrements et de la vérification

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau

Coordonnatrice de l’AIPRP

Nom du programme ou de l’activité de l’institution fédérale

Administration des programmes de prestations

Résumé du projet, de l’initiative, des modifications :

Crédit pour taxe sur les produits et services

En collaboration avec les partenaires fédéraux, provinciaux et territoriaux, l’ARC élabore et coordonne divers programmes de prestations et de crédits nationaux, provinciaux et territoriaux qui contribuent au bien-être social et économique des Canadiens. On compte parmi ces programmes le crédit pour taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH).

Le crédit pour TPS/TVH est un versement trimestriel non imposable qui aide les particuliers et les familles à revenu faible ou modeste à récupérer, en tout ou en partie, la TPS/TVH qu'ils paient.

À compter de l’année d'imposition 2014, une demande distincte n’est plus nécessaire pour le crédit pour taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH). L’admissibilité sera déterminée à l’aide des renseignements figurant dans la déclaration de revenus des particuliers T1 produite et dans le compte de l’Allocation canadienne pour enfants.

Un formulaire de demande distinct pour les nouveaux arrivants au Canada permet de déterminer leur admissibilité pour l'année à laquelle ils entrent au Canada.

Voici les exigences qui doivent être remplies pour avoir droit au CTPS :

Le montant des versements du crédit est fondé sur le nombre d’enfants et le revenu net familial combiné.

Programmes connexes

L’ARC administre les programmes provinciaux et territoriaux de prestations et de crédits pour enfants suivants liés aux crédits pour TPS/TVH ou qui lui sont intégrés :

Vous n’avez pas à présenter une demande distincte pour être admissible à ces programmes. L’ARC utilisera les renseignements figurant sur la demande de l’Allocation canadienne pour enfants et dans la déclaration de revenus T1 pour déterminer l’admissibilité à ces programmes. Si le particulier y a droit, le montant de tout paiement sera calculé automatiquement en fonction des renseignements figurant dans les déclarations de revenus produites par le particulier qui touche les versements et à celles produites par son époux ou conjoint de fait.

Les nouveaux résidents du Canada qui n’ont pas encore produit une déclaration de revenus canadienne peuvent envoyer une demande distincte intitulée « RC151 Demande du crédit pour TPS/TVH pour les particuliers qui deviennent résidents du Canada ».

Une demande de la subvention aux personnes âgées propriétaires pour l’impôt foncier de l’Ontario et de la Prestation Trillium de l’Ontario pour la composante du crédit de taxe de vente de l’Ontario est présentée à l’aide de l’annexe provinciale de l’Ontario de la déclaration T1.

Portée de l’évaluation des facteurs relatifs à la vie privée

L’évaluation des facteurs relatifs à la vie privée porte sur l’administration du programme du crédit pour la TPS/TVH et de programmes semblables, y compris les activités d’observation à des fins de contrôle pour détecter la fraude ou mener des enquêtes sur de possibles abus du programme.  Elle comprend les activités d’observation menées à des fins d’exécution comme la détection de la fraude ou les enquêtes sur les abus possibles à l’égard du programme.

Certaines activités d’observation, telles que les vérifications et les enquêtes criminelles, sont des programmes distincts et ne sont donc pas visées par cette évaluation. Cette dernière ne porte pas non plus sur les activités de calcul, d’administration ou d’exécution liés aux prestations canadiennes pour enfants ni sur la déclaration de revenus et de prestations T1.

Les programmes et mesures relatifs aux prestations et aux crédits pour les familles changent constamment. Cette évaluation des facteurs relatifs à la vie privée sera donc mise à jour après la mise en œuvre de toute nouvelle mesure ou de tout changement à une prestation relevant des relatifs aux prestations et aux crédits.

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents propres à l’institution ou ordinaire :

Programmes de prestations - Crédit pour taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH) et autres programmes de crédit provinciaux et territoriaux connexes ARC DGCPS 648

Description des FRP propres à l’institution ou ordinaire :

Crédit pour taxe sur les biens et services/taxe de vente harmonisée (crédit pour TPS/TVH) ARC PPU 140

Autorisation légale pour le programme ou l’activité

Article 122.5 de la Loi de l’impôt sur le revenu pour le crédit pour la taxe sur les produits et services

L’article 220(1) de la Loi de l’impôt sur le revenu donne au ministre la fonction de recueillir de l’information aux fins de l’application et de l’exécution de tous programmes visés par la LIR. Dans ce cas, les crédits pour la taxe sur les produits et services sont administrés selon l’article 122.5 de la LIR.

L’article 61 de Loi sur l’Agence du revenu du Canada permet à l’ARC de conclure des ententes avec d’autres gouvernements fédéral, provinciaux et territoriaux aux fins de l’exécution d’une activité ou d’un programme administré par l’ARC.

Le pouvoir d’effectuer une compensation de dettes est conféré par le paragraphe 164(2) de la Loi de l’impôt sur le revenu (LIR) et le paragraphe 155(1) de la Loi sur la gestion des finances publiques (LGFP).

Le numéro d’assurance sociale est recueilli conformément à l’article 237 de la Loi de l'impôt sur le revenu et il est utilisé aux fins d’identification. 

Détermination et classement du risque

1) Type de programme ou d’activité

Conformité/Enquêtes réglementaires et exécution de la réglementation

Niveau de risque pour la vie privée : 3

Détails: L’ARC utilise les renseignements personnels à des fins d’identification, de détermination, de validation et de versement des prestations et des crédits. Elle s’en sert aussi pour établir si un particulier a volontairement fait une fausse déclaration ou une omission. Dans ce cas, l’ARC fera un réexamen pouvant mener à l’interruption des prestations, au recouvrement des sommes versées et, parfois, à la pénalité prévue à l’article 163(2) de la Loi de l’impôt sur le revenu.

Les renseignements obtenus par suite d’un examen de validation ou de conformité peuvent être utilisés pour renvoyer l’affaire au Programme d’enquêtes criminelles de l’ARC, lequel mènera une enquête approfondie pouvant entrainer des poursuites au criminel, comme le prévoient les articles 238 et 239 de la Loi.  

2) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale, les renseignements médicaux ou financiers, ou d’autres renseignements personnels de nature délicate ou encore le contexte de ceux-ci sont de nature délicate. Les renseignements personnels d’un mineur, d’une personne inapte ou d’un représentant agissant au nom du particulier concerné.

Niveau de risque pour la vie privée : 3

Détails: Les renseignements personnels recueillis comprennent des détails comme, le nom, les coordonnées, les renseignements financiers, le numéro d’assurance sociale (NAS), la signature, l’état civil et la citoyenneté. De plus, certains des renseignements comprennent les renseignements personnels de mineurs.

3) Partenaires de programme ou d’activité et participation du secteur privé

Avec d’autres gouvernements ou une combinaison des gouvernements fédéral et provinciaux et/ou des administrations municipales.

Niveau de risque pour la vie privée : 4

Détails: Le programme comprend l’administration des programmes de prestations et de crédits d'impôt pour le compte des partenaires fédéraux, provinciaux et territoriaux. Les renseignements sont divulgués par l’ARC à nos partenaires aux fins du calcul exact de l'évaluation des programmes et/ou du programme et aux Services publics et Approvisionnement Canada aux fins du versement des paiements.

L’ARC envoie des renseignements sur les prestations, y compris l’admissibilité, le droit et le paiement, ainsi que des données d’identification à d’autres ministères provinciaux ou territoriaux aux fins de l'évaluation des politiques et du programme et par les autres ministères fédéraux.

Les renseignements sont également utilisés à l’interne à l’ARC pour recouvrer les soldes en souffrance, des activités de vérification, des appels, des collectes statistiques et pour toutes les réponses aux demandes de renseignements présentées au centre d’appels.

Les copies papier comprenant des renseignements personnels sont conservées par un tiers du secteur privé.

4) Durée du programme ou de l’activité

 Programme à long terme

Niveau de risque pour la vie privée : 3

Détails: Même si certains des crédits ou des prestations à l’échelle provinciale ou territoriale d’un particulier peuvent être à court terme, la plupart ne le sont pas et le crédit pour la taxe sur les produits et services en soi est un programme à long terme comportant aucune date de cessation établie.

5) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails: Le programme touche les particuliers qui produisent une déclaration de revenus T1, leur époux ou conjoint de fait et leurs enfants âgés de moins de 18 ans.

6) Technologie et vie privée

L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Non

Le programme ou l’activité, nouveau ou modifié, est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Non

Le programme ou l’activité, nouveau ou modifié, comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée :Non

Détails: xxx

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

Détails: Le programme ne comprend pas l’utilisation de la surveillance des personnes associées au crédit pour la taxe sur les produits et services.

Toutefois, dans le cadre du programme de sécurité de l’ARC, les employés qui auront accès à des renseignements personnels seront surveillés. Les renseignements sont utilisés afin de s’assurer que seuls les utilisateurs autorisés ont eu accès à des renseignements personnels et que l’accès peut être lié à des personnes en particulier pour appuyer les enquêtes visant la mauvaise utilisation soupçonnée ou présumée.

Chaque fois que les employés de l’ARC ouvrent une session dans leur ordinateur, un avis s’affiche et exige qu’ils reconnaissent qu’ils sont au courant du fait que tout accès aux réseaux de l’ARC est surveillé et que cet accès est accordé uniquement selon le principe du besoin de savoir. Les renseignements sont décrits dans le Fichier de renseignements personnels ordinaire POU 905 – Journaux de contrôle des réseaux électroniques.

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignement), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

Détails: Le magasin de données des prestations est un sous-groupe de l’entrepôt de données de l’Agence (EDA), il recueille des données à partir de la base de données des crédits des particuliers et un employé autorisé peut exécuter des demandes afin d’établir des tendances, des statistiques ou d’autres renseignements requis. Des rapports sont créés à partir du magasin de données des prestations sur la base d’un ensemble de paramètres et de filtres définis qui sont ensuite utilisés aux fins d’analyse. Une évaluation des facteurs relatifs à la vie privée pour l’EDA, y compris le magasin de données des prestations, a été publiée en 2007. Elle fournit une analyse plus étendue des risques relatifs à la vie privée de l’EDA et des magasins de données connexes.

De plus, les renseignements fournis par le particulier sont vérifiés à partir d’autres sources. S’il s’agit de prestataires, les Programmes de validation et du circuit de travail de contrôle des prestations mêneront d’autres enquêtes afin de déterminer si ces particuliers ne sont plus admissibles aux prestations. Les techniques de rapprochement des données sont aussi utilisées pour veiller à l’exactitude des renseignements personnels.

7) Transmission des renseignements personnels

Les renseignements personnels sont transférés à des appareils portatifs ou être imprimés.

Niveau de risque pour la vie privée : 3

Détails: Les renseignements personnels peuvent être utilisés dans un système qui a accès à d’autres systèmes et être transférés à des appareils portatifs sécurisés.

Details: L’ARC utilise des serveurs Web spécialement configurés pour tout service en ligne ( p. ex. : Mondossier); utilise des pare-feu pour protéger ses serveurs Web des accès non autorisés. Elle ne stocke pas vos renseignements personnels dans ces serveurs; elle enregistre vos renseignements de façon sécuritaire dans des systèmes informatiques distincts auxquels on ne peut pas accéder directement par Internet.

Pour la transmission de renseignements personnels, l’ARC limite l’accès à ses serveurs aux seuls navigateurs Web qui répondent à ses normes des standards élevés de sécurité par chiffrement. Ses systèmes vérifient que vos données personnelles et financières sont bien chiffrées (ou embrouillées) lorsqu’elles circulent entre votre ordinateur et ses serveurs. L’ARC s’assure ainsi que les pirates informatiques ou les autres internautes ne peuvent ni voir ni modifier les données transmises. Sa norme en matière de chiffrement est le protocole de chiffrement Secure Sockets Layer version 3.0 (SSLV3) sur 128 bits. Cette forme de chiffrement est l’une des plus sécuritaires en Amérique du Nord et c’est une exigence typique des services Web pour lesquels la sécurité des renseignements personnels est prioritaire, comme les services bancaires ou d’achat en direct.

Appareils portables :

Certains postes de travail d’employés comprennent des ordinateurs portatifs remis par l’ARC sur des stations d’accueil. Les ordinateurs portatifs sont conformes à la Politique sur la sécurité de l’environnement informatique en faisant appel au chiffrement et au contrôle de l’accès. Tout télétravail se fait à l’aide d’une connexion à l’Accès à distance sécurisé.

Toutes les clés USB utilisées doivent être remis par l’Agence et formatées à l’aide de la technologie de chiffrement propre à l’utilisateur.

Transferts de données et échanges :

Les fichiers de données sont chiffrés et transférés par voie électronique au moyen du Protocol de transfert de fichiers (PTF) ou par messager bonded en se servant de disques compacts (DC) ou de disques numériques polyvalents (DVD). 

Toutes les transactions électroniques sont transférées de façon sécuritaire au moyen du logiciel de chiffrement Entrust avec l’infrastructure à clés publiques (ICP), et une connexion du protocole SSL à chiffrement sur 128 bits. En se servant de la clé publique Entrust, seule la clé privée correspondante que détient le partenaire peut déchiffrer le fichier. De plus, toutes les applications Web sur internet nécessitent l’utilisation d’un ID utilisateur et d’un mot de passe.

Pour s’inscrire à un programme reposant sur l’ICP de l’ARC, les participants doivent d’abord être des abonnés de l’ICP de l’ARC et obtenir l’approbation d’une autorité locale d’enregistrement de l’ARC. L’administrateur du système de l’ARC peut contrôler ou limiter l’accès à certains répertoires sur le serveur. En plus de restreindre l’accès au serveur, les données de chaque partenaire sont chiffrées à l’aide de la clé publique Entrust, seule la clé privée correspondante que détient le partenaire peut déchiffrer le fichier.

8) Risque possible pour l’institution

Détails: Si les renseignements personnels étaient divulgués ou compromis, que ce soit accidentellement ou délibérément, cela pourrait vraisemblablement être embarrassant pour l’Agence, ainsi que lui faire perdre de la crédibilité et la confiance du public.

9) Risque possible pour le particulier ou l’employé

Détails : Si les renseignements personnels d’un particuler étaient compromis, cela pourrait lui causer de l’embarras et un préjudice financier.

Détails de la page

Date de modification :