Résumé de l’évaluation des facteurs relatifs à la vie privée (ÉFVP) – Programme d’encouragements pour la recherche scientifique et le développement expérimental (RS&DE) (Formulaire T661 amélioré de demande pour les dépenses)
La Direction de la recherche scientifique et du développement expérimental de la Direction générale des programmes d’observation
Aperçu et amorce d’une ÉFVP
Institution fédérale
Agence du revenu du Canada
Fonctionnaire responsable de l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)
Richard Montroy
Sous-commissaire
Direction générale des programmes d’observation
Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels
Marie-Claude Juneau
Coordonnatrice de l’AIPRP
Nom du programme ou de l’activité de l’institution fédérale
Observation en matière de déclaration – Recherche scientifique et développement expérimental
Résumé du projet, de l'initiative, des modifications :
Le Budget de 2013 a introduit des mesures qui offrent à l’ARC des outils administratifs pour permettre une meilleure évaluation du risque. Le formulaire T661 de demande du programme de la RS&DE a été révisé pour exiger des renseignements plus détaillés sur les préparateurs de demandes de la RS&DE et sur les ententes de facturation. En particulier, dans les cas où un ou plus d’un tiers ont aidé à la préparation d’une demande, le numéro d’entreprise (NE) de chaque tiers est maintenant requis, ainsi que des détails au sujet des ententes de facturation, notamment si des honoraires conditionnels ont été appliqués, et le montant des honoraires. Si aucun tiers n'est intervenu, le demandeur devra certifier qu'aucun tiers n'a participé de quelque manière à la préparation des demandes liées au programme de la RS&DE. L'ARC analysera attentivement l'information additionnelle prescrite afin de déterminer des corrélations avec un risque plus élevé de non-conformité dans les demandes de la RS&DE.
Afin de bien respecter les exigences de la Loi sur la protection des renseignements personnels et les directives sur la protection de la vie privée de l’ARC et du Secrétariat du Conseil du Trésor, cette évaluation des facteurs relatifs à la vie privée a examiné les risques concernant les renseignements personnels qui peuvent être associés à cette initiative, et avec d’autres renseignements personnels qui sont déjà exigés des contribuables lorsqu’ils complètent le formulaire amélioré de demande pour les dépenses T661. Les risques identifiés concernant les renseignements personnels ont été atténués, réduits, ou éliminés. Une liste détaillée de ces risques peut être trouvée dans les sections suivantes.
Description de la catégorie de document et du fichier de renseignements personnels
Catégories de documents spécifiques à l'institution ou ordinaire : Recherche scientifique et développement expérimental, ARC DGPO 155
Description des FRP spécifiques à l'institution ou ordinaire : Recherche scientifique et développement expérimental, ARC PPU 441
Autorisation légale pour le programme ou l’activité
L’article 37 de la Loi de l’impôt sur le revenu (LIR) fourni le cadre du programme de la RS&DE. De plus, l’article 162 de la LIR prévoit la collecte d’informations supplémentaires.
Les changements à la LIR suite au Budget 2013 : L’article 162 de la LIR est modifié par adjonction, après le paragraphe (5), de ce qui suit :
Défaut de fournir des renseignements relatifs au préparateur
(5.1) Toute personne ou société de personnes qui fait un faux énoncé ou une omission en ce qui a trait aux renseignements relatifs au préparateur devant figurer dans un formulaire de RS&DE, ou qui participe, consent ou acquiesce à ce faux énoncé ou à cette omission, est solidairement responsable, avec tout préparateur, du paiement d’une pénalité de 1 000 $.
Diligence raisonnable
(5.2) Le préparateur de formulaire de RS&DE n’est pas passible de la pénalité visée au paragraphe (5.1) relativement à un faux énoncé ou à une omission s’il a agi avec autant de soin, de diligence et de compétence pour prévenir le manquement que ne l’aurait fait une personne raisonnablement prudente dans les mêmes circonstances.
Définitions
(5.3) Les définitions qui suivent s’appliquent au présent paragraphe et aux paragraphes (5.1) et (5.2).
« formulaire de RS&DE » / "SR&ED form"
« formulaire de RS&DE » Formulaire prescrit à présenter au ministre aux termes du paragraphe 37(11).
« préparateur» / "claim preparer"
« préparateur» Personne ou société de personnes qui, pour une contrepartie, s’engage à établir un formulaire de RS&DE ou à aider à l’établissement d’un tel formulaire, à l’exclusion d’un employé qui établit le formulaire, ou qui aide à son établissement, dans le cadre de l’exercice des fonctions de son emploi.
« renseignements relatifs au préparateur » / "claim preparer information"
« renseignements relatifs au préparateur » Renseignements prescrits concernant :
(a) l’identité du préparateur d’un formulaire de RS&DE;
(b) les dispositions aux termes desquelles le préparateur s’engage à établir le formulaire pour une contrepartie.
Ces dispositions s’appliquent aux formulaires produits à compter du 1er janvier 2014.
Détermination et classement du risque
1) Type de programme ou d’activité
Conformité / Enquêtes réglementaires et exécution de la réglementation
Niveau de risque pour la vie privée : 3
Détails :
Les renseignements seront utilisés afin de déterminer le risque global d’inobservation avec les dispositions de la LIR. De plus, le contribuable et le préparateur pourraient être soumis à une pénalité administrative si les renseignements fournis sont incomplets, inexacts ou manquants.
2) Type de renseignements personnels en jeu et contexte
Numéro d’assurance sociale, renseignements médicaux ou financiers ou autres renseignements personnels de nature délicate ou éléments contextuels de nature délicate entourant les renseignements personnels. Renseignements personnels sur des mineurs ou des personnes inaptes ou encore concernant une personne agissant au nom de l’intéressé.
Niveau de risque pour la vie privée : 3
Détails :
Pour compléter les renseignements personnels déjà exigés sur le T661, des informations complémentaires exigées en vertu de cette initiative comprennent le nom du préparateur, son numéro d’entreprise, et de l'information financière (l’entente de facturation et le total des honoraires). Les renseignements personnels sont recueillis à partir du formulaire de demande T661 de la RS&DE, formulaire considéré comme une annexe de la déclaration de revenus, et ces renseignements personnels sont traitées comme de l’information qui relève de la définition des renseignements des contribuables ou des renseignements confidentiels, selon le cas, et qui est soumise aux dispositions de confidentialité prévues à l'article 241 de la Loi de l'impôt sur le revenu.
Le numéro d’assurance social (NAS) est recueilli dans les cas où il existe un partenariat et que les partenaires sont des individus qui n’ont pas de numéro d’entreprise. Il n’est pas nécessaire que les membres d’un partenariat produisent des T661 avec leurs déclarations individuelles, par contre ils peuvent demander leur part des crédits d’impôt du partenariat. Le NAS sert de lien entre la déclaration de revenus du partenariat et la déclaration de revenus du partenaire, dans le cas où le partenaire est un individu.
3) Partenaires de programme ou d’activité et participation du secteur privé
Avec d’autres institutions fédérales
Niveau de risque pour la vie privée : 2
Détails :
Les données et les résultats du programme de la RS&DE sont partagés pour analyse avec Statistique Canada et le Ministère des Finances, et à ce titre, les renseignements personnels peuvent également être partagés avec ces institutions, selon leurs protocoles d’entente respectifs.
4) Durée du programme ou de l’activité
Programme à long terme
Niveau de risque pour la vie privée : 3
Détails :
Le programme de la RS&DE existe depuis 1986 et restera un programme à long terme.
5) Population du programme
Le programme touche certains individus à des fins administratives externes.
Niveau de risque pour la vie privée : 3
Détails:
Les exigences actuelles de renseignements personnels s’appliquent à tous les demandeurs de la RS&DE. Il y a approximativement 30 000 demandes T2 de la RS&DE produites chaque année. De plus, il y a approximativement 4 000 demandes T1 de la RS&DE produites chaque année.
Depuis le 1er janvier 2014, les nouveaux renseignements personnels sont exigés pour tous les demandeurs de la RS&DE qui utilisent un préparateur pour remplir leur demande.
6) Technologie et vie privée
L'activité ou le programme nouveau ou modifié exige-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’une application, y compris un logiciel de collaboration (ou groupware) mis en place pour soutenir le programme ou l’activité en termes de création, de collecte ou de traitement des renseignements personnels?
Risque pour la vie privée : Non
Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?
Risque pour la vie privée : Oui
Details :
Certaines des nouvelles informations seront stockées dans CORTAX. CORTAX est un ancien système qui est utilisé pour stocker toutes les données des déclarations de revenus des sociétés (T2). CORTAX sera modifié pour accepter les nouvelles informations.
Les nouvelles informations du T661 obtenues dans les déclarations de revenus des individus (T1) seront stockées dans RAPID.
Les informations de la vérification d’un T661, que ce soit d’une T1 ou d’une T2, seront stockées dans le SIGV (Système d'information de gestion de la vérification).
Les bases de données CORTAX, SIGV, et RAPID, sont entreposées dans les serveurs de l'ARC et sont correctement protégées. L'accès est uniquement disponible pour les employés de l'ARC (qui ont nécessairement été soumis individuellement à une enquête de sécurité). Il y a un accès contrôlé à l'emplacement physique où les ordinateurs sont conservés. Il y a une piste de vérification pour tous les visionnements et les changements survenant dans CORTAX, SIGV, et RAPID. Chaque utilisateur se voit attribuer un différent niveau d'accès, basé sur la structure organisationnelle et sur le besoin de savoir.
En outre, l'Infrastructure à clé publique (ICP) a été mise en œuvre pour soutenir plusieurs initiatives dans l’ensemble de l'ARC, y compris l'accès à distance sécurisé (ADS), le courrier électronique sécurisé, et d'autres transactions électroniques où la sécurité et/ou des signatures numériques sont nécessaires. L’ICP est un système complet de procédures et de technologies qui établit un environnement sécurisé de travail électronique, permettant aux utilisateurs de l'ARC d'effectuer des transactions électroniques sécurisées. L’ICP utilise des profils numériques, outils essentiels à l’utilisation sécuritaire et fiable de nos réseaux électroniques. Les profils numériques nous permettent d’utiliser nos réseaux électroniques pour envoyer, recevoir et accéder de façon sécuritaire à des renseignements désignés (protégés).
Il n’y a aucun besoin de stocker temporairement ou définitivement des données sur un périphérique externe (CD, USB, disque dur externe) et les accès à CORTAX, SIVG et RAPID par des périphériques externes sont interdits.
Les préoccupations et les risques globaux sur la vie privée sont faibles et devraient rester faibles. Les pratiques d'atténuation actuelles sont jugées adéquates.
Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes :
Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).
Risque pour la vie privée : Non
Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.
Risque pour la vie privée : Non
Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.
Risque pour la vie privée : Non
7) Transmission des renseignements personnels
Les renseignements personnels sont utilisés dans un système qui a des connections avec au moins un autre système.
Niveau de risque pour la vie privée : 2
Détails: Les renseignements recueillis dans le formulaire T661 sont considérés comme faisant partie de la déclaration de revenus et à ce titre, tous les contrôles que l’ARC a mis en place pour les déclarations de revenus s’appliquent également. La demande est reçue et traitée par les centres fiscaux. Quatre-vingt pour cent de toutes les demandes de la RS&DE sont produites par voie électronique, et les informations contenues dans le T661 seraient chargées automatiquement dans l'ordinateur central (CORTAX). Le 20% restant des demandes seraient entrées manuellement par les centres fiscaux. Les demandes T2 de la RS&DE sont soumises à une évaluation initiale du risque au centre fiscal, et la génération de cas dans le SIGV est faite par un système automatisé; les demandes T1 au-dessus d’un certain seuil de montant en dollars, les partenariats, et les demandes T3 sont envoyés directement au BFSC. Les renseignements dans CORTAX seraient accédés par les agents de cotisation du centre fiscal qui travaillent avec le programme de la RS&DE, et l’agent de cotisation ne considèrera que la complétude des renseignements dans le formulaire, et non pas leur véracité. Une évaluation préliminaire du risque détermine si la demande T2 doit être acceptée tel que produite, ou si elle doit être envoyée au BFSC pour un examen plus approfondi. Cette détermination est automatisée, en utilisant l'outil de gestion des risques de la RS&DE (OGR de la RS&DE), et ne nécessite aucune intervention par l’agent de cotisation. Environ 40% des demandes envoyées au centre fiscal sont acceptées telles que produites par le centre fiscal, sur la base de l'évaluation préliminaire et automatisé du risque. De plus, le personnel de la RS&DE dans les bureaux locaux peuvent accéder CORTAX pour obtenir des informations de la T661, afin d'effectuer une évaluation plus détaillée du risque et d'effectuer les examens technique et financier (actions de vérification) de la demande.
8) Risque possible pour l’institution
Détails :
Atteinte à la réputation, embarras, perte de crédibilité.
9) Risque possible pour le particulier ou l’employé
Détails :
Préjudice financier.
Détails de la page
- Date de modification :