Services de vérification du revenu v 2.0 - Résumé de l’évaluation des facteurs relatifs à la vie privée

Direction de la gestion de l’information et des relations
Direction générale du service, de l’innovation et de l’intégration

Aperçu et amorce de l’Évaluation des facteurs relatifs à la vie privée (ÉFVP)

Institution fédérale

Agence du revenu du Canada

Fonctionnaire responsable de l’ÉFVP

Mireille Laroche
Sous‑commissaire
Direction générale de la stratégie et de l’intégration

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Marie-Claude Juneau
Directrice
Direction de l’accès à l’information et de la protection des renseignements personnels

Nom du programme ou de l’activité de l’institution fédérale

Services de vérification du revenu

Description de la catégorie de document et du fichier de renseignements personnels

Catégories de documents spécifiques à l’institution ou ordinaire :

• Déclaration de revenu des particuliers (ARC DGCPS 217)
• Programmes de prestations - Prestation fiscale canadienne pour enfants et autres programmes et suppléments fédéraux, provinciaux et territoriaux (ARC DGCPS 646)
• Programme de prestations - Programme relatif au crédit d'impôt pour personnes handicapées (CIPH) (ARC DGCPS 647)
• Programme de prestations - Programme de la prestation fiscale pour le revenu de travail (ARC DGCPS 346)
• Programmes de prestations - Crédit pour taxe sur les produits et services/taxe de vente harmonisée (TPS/TVH) et autres programmes de crédit provinciaux et territoriaux connexes (ARC DGCPS 648)

Description des FRP spécifiques à l’institution ou ordinaire :

• Traitement des déclarations et des paiements des particuliers (ARC PPU 005)
• Prestation fiscale canadienne pour enfants (ARC PPU 063)
• Programme relatif au crédit d'impôt pour personnes handicapées (ARC PPU 218)
• Prestation fiscale pour le revenu de travail (ARC PPU 178)
• Crédit pour taxe sur les biens et services/taxe de vente harmonisée (crédit pour TPS/TVH) (ARC PPU 140)

Autorisation légale pour le programme ou l’activité

L’article 241 de la Loi de l’impôt sur le revenu permet à l’ARC de fournir certains renseignements des contribuables à toute personne, y compris un fonctionnaire du gouvernement fédéral, ou d’un gouvernement provincial ou territorial, avec le consentement du contribuable. L’autorisation légale qui permet au ministère du gouvernement provincial, territorial ou fédéral de collecter des renseignements personnels et de conclure une entente avec l’ARC est précisée dans chacune des ententes écrites.

Résumé du projet, de l’initiative ou des modifications 

Les particuliers qui présentent une demande au titre de divers programmes d’aide au revenu fédéraux, provinciaux ou territoriaux doivent fournir une preuve de revenu. Parmi les programmes d’aide au revenu, notons ceux visant le coût des médicaments, le logement et les prêts et bourses pour les étudiants. Avec le consentement du demandeur, l’Agence du revenu du Canada (ARC) envoie la preuve de revenu par voie électronique et en toute sécurité à son gouvernement partenaire.

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes, des activités et des services

Niveau de risque pour la vie privée : 2

Détails : L’ARC donne des renseignements personnels à des partenaires avec qui elle a conclu une entente écrite afin d’établir l’admissibilité à des prestations ou à une aide. 

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale, les renseignements médicaux et financiers ou autres renseignements personnels de nature délicate ou encore le contexte de ceux-ci sont de nature délicate. Les renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom du particulier concerné. 

Niveau de risque pour la vie privée : 3

Détails : La plupart des renseignements utilisés dans le contexte de la vérification du revenu correspondent à la catégorie 3, puisqu’il s’agit de données personnelles comme le numéro d’assurance sociale, la date de naissance, l’adresse, l’état civil et des renseignements financiers. 

C) Partenaires de programme ou d’activité et participation du secteur privé

Un ou plusieurs gouvernements provinciaux ou municipaux et le gouvernement fédéral

Niveau de risque pour la vie privée : 3

Détails : Les renseignements des contribuables sont échangés entre l’ARC et d’autres ministères provinciaux, territoriaux ou fédéraux. Les détails sont indiqués dans une entente de collaboration écrite. 

D) Durée du programme ou de l’activité 

Programme à longe terme. 

Niveau de risque pour la vie privée : 3

Détails : La vérification du revenu est un programme à long terme dont la fin n’est pas clairement établie. Chacune des ententes se termine cependant lorsque les programmes des partenaires changent ou cessent. Chacune des ententes doit également faire l’objet d’un examen obligatoire tous les 10 ans.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme touche les demandeurs au titre de programmes d’aide au revenu fédéraux, provinciaux ou territoriaux.

F) Technologie et vie privée

L'activité ou le programme (nouveau ou modifié) comporte-t-il l’implantation d’un nouveau système électronique, logiciel ou programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est implanté pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Non

Détails : S.O.

Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI? 

Risque pour la vie privée : Non

Détails : S.O.

L'activité ou le programme (nouveau ou modifié) comprend la mise en œuvre d’une ou de plusieurs des technologies suivantes : 

Méthode d’identification améliorée

Cela comprend la technologie biométrique (c.-à-d. la reconnaissance faciale, l’analyse de la démarche, la lecture ou le balayage de l’iris, l’analyse des empreintes digitales, la signature ou l’empreinte vocale, l’identification par radiofréquence [IRF], etc.) ainsi que la technologie des laissez-passer facilités (Easy pass), les nouvelles cartes d’identité comportant des bandes magnétiques, comme les « cartes intelligentes » (c.-à-d., des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou uniquement à une puce de mémoire dotée d’une matrice logique non programmable).  

Risque pour la vie privée : Non

Détails : S.O.

Utilisation de la surveillance

Cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification et la surveillance par satellite, entre autres. 

Risque pour la vie privée : Non

Détails : S.O.

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances

Pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements. 

Risque pour la vie privée : Oui

Détails : Dans le cadre d’un protocole de transfert de fichiers avec un logiciel de chiffrement Entrust, le partenaire fédéral, provincial ou territorial transmet des renseignements à l’ARC, comme le prénom, le nom de famille, le numéro d’assurance sociale et la date de naissance, afin de valider l’identité du contribuable. Afin d’obtenir une cote d’une grande exactitude, le numéro d’assurance sociale et deux des trois autres éléments doivent correspondre. Lorsqu’un rapprochement est effectué, l’ARC envoie à son partenaire le type et le nombre de zones de données convenus au moyen du même protocole de transfert de fichiers.

G) Transmission des renseignements personnels

Les renseignements personnels sont transmis à l’aide de technologies sans fil.

Niveau de risque pour la vie privée : 2

Détails : L’ARC extrait des renseignements personnels de son système d’ordinateur central et les envoie à l’organisation partenaire au moyen d’un protocole de transfert de fichiers avec un logiciel de chiffrement Entrust.

H) Risque possible pour l’institution

Détails : Si les renseignements sont libérés ou compromis de façon accidentelle ou délibérée, cela pourrait mettre l’ARC et son partenaire fédéral, provincial ou territorial dans l’embarras et entraîner une perte de crédibilité et une baisse de la confiance du public.

I) Risque possible pour le particulier ou l’employé

Détails : Si des données personnelles sont compromises, cela pourrait entraîner un préjudice financier et un embarras pour le particulier.