Le verrouillage : la communication était la clé
Un examen du manque de communication de l’Agence du revenu du Canada (ARC) lorsqu’elle a verrouillé 187 000 canadiens de leur compte de l’ARC en février 2021.
Bureau de l'ombudsman des contribuables
Bureau 1000-171, rue Slater, Ottawa, ON K1P 5H7
Téléphone : 613-221-3109 | Numéro sans frais : 1-866-586-3839
Télécopieur : 418-566-0321 | Numéro sans frais : 1-866-586-3855
© Ministre des Services publics et de l'Approvisionnement Canada 2022
No de cat. : Rv10-22/2023F-PDF
ISBN : 978-0-660-45837-3
Contributeurs
Agent principal d'examen
systémique :
Tristan Benson
Gestionnaire, Plaintes et examens :
Line De Matteis
Contributeurs supplémentaires
Conception graphique et mise en page :
nineSixteen Creative Inc.
Responsable des communications :
Maxime Poulin
Autres formats
Avant propos
Nous avons entrepris cet examen en tenant compte du contexte dans lequel l’Agence du revenu du Canada (ARC) fonctionnait en février 2021.
Plus précisément, à l’été 2020, des attaques de « bourrage de justificatifs d’identité » ont été perpétrées sur certains comptes de l’ARC et le service CléGC. Le service CléGC est utilisé pour accéder à plusieurs comptes en ligne du gouvernement. Ces cyberattaques ont été reconnues par le dirigeant principal de l’information du gouvernement du Canada et ont amené l’ARC à prendre des mesures supplémentaires pour sécuriser ses comptes, afin d’empêcher que la fraude soit commise par des personnes malveillantes. Cela était particulièrement important à l’époque, car les demandes de nombreuses prestations liées à la COVID-19 étaient toujours ouvertes.
De plus, au cours de cette période et des mois qui ont suivi, l’ARC a reçu une attention médiatique importante, car certains bénéficiaires de prestations liés à la COVID-19 ont été informés qu’il pourrait y avoir des problèmes pour établir leur admissibilité aux paiements qu’ils ont reçus, et qu’ils pourraient devoir rembourser certains de ces montants si leur admissibilité n’a pas pu être confirmée.
Bien que nous reconnaissions que l’ARC avait plusieurs priorités concurrentes à ce moment-là, son manque de communication après avoir involontairement envoyé un courriel à 119 200 Canadiens* a fait en sorte que de nombreux Canadiens ont pris conscience qu’ils n’avaient plus accès à leur compte de l’ARC, alors qu’ils n’étaient pas immédiatement informés de la raison. Bien que le secret puisse être un outil en matière de cybersécurité, l’ARC a constaté qu’il y avait des lacunes dans ses efforts de coordination et de communication, car elle devait déployer de nouvelles mesures de sécurité rapidement.
Ce rapport souligne l’importance de la communication en temps opportun, même lorsqu’il y a des priorités concurrentes. Les Canadiens s’attendent à ce que l’ARC offre des renseignements complets, précis, clairs et opportuns, surtout en temps de crise. L’ARC devrait prendre toutes les mesures nécessaires pour que cela ne se reproduise pas. Bien que l’ARC ait rapidement amélioré son processus de sécurisation des comptes, qui est moins perturbateur et plus informatif, les recommandations formulées dans le présent rapport aideront l’ARC à fournir des renseignements aux Canadiens dans toutes les situations, et ce en temps opportun.
Me François Boileau
Ombudsman des contribuables
* Dans ce rapport, les expressions désignant des personnes visent les individus de tous genre.
Mandat de l'ombudsman des contribuables
L’ombudsman a pour mandat d’aider, de conseiller et de renseigner la ministre du Revenu national sur toute question relative aux services fournis par l’ARC. Le mandat est énoncé à l’article 4 du décret C.P. 2020-0703.
Nous remplissons ce mandat en communiquant, en facilitant, en examinant et en influençant.
Communiquer
Tout ce que nous faisons commence avec vous. Une fois que vous aurez déposé une plainte auprès de nous, nous communiquerons avec vous pour vous écouter et discuter de votre problème.
Nous sommes impartiaux et objectifs. Nous ne défendrons ni vous ni l’ARC. Nous effectuerons un examen indépendant de votre plainte, et si nous cernons une lacune en matière de service, nous travaillerons à la résoudre.
De plus, nous communiquons avec les organismes afin de les informer de nos services et d’écouter les problèmes qu’elles et leurs clients ou membres éprouvent avec le service de l’ARC.
Faciliter
Si vous avez un problème de service et que le fait d’appeler l’ARC ne résout pas le problème, vous pouvez déposer une plainte auprès de la rétroaction sur les services de l’ARC à l’adresse canada.ca/arc-retroaction-service. La rétroaction liée au service de l’ARC permet aux Canadiens de soumettre une plainte ou de fournir une rétroaction positive à l’ARC.
Si vous nous soumettez une plainte et que vous n’avez pas déposé de plainte auprès de la rétroaction liée aux services de l’ARC, nous pouvons faciliter ce processus pour vous.
Parfois, les problèmes ne peuvent être résolus qu’en parlant à quelqu’un à l’ARC. Nous pouvons faciliter cette communication si votre situation est convaincante.
En général, nous considérons des situations comme étant convaincantes si l’attente de l’achèvement de l’examen par l’équipe de la rétroaction sur les services de l’ARC :
- vous empêche de subvenir à vos besoins fondamentaux;
- limite l’exploitation de votre entreprise;
- a une incidence considérable sur votre santé mentale ou votre réputation.
Examiner
Si la rétroaction liée au service de l’ARC ne permet pas de résoudre votre problème lié au service, communiquez avec nous. Nous pouvons examiner le problème.
Nous examinerons la réponse à la rétroaction liée au service de l’ARC et le dossier associé. Nous vous poserons des questions à vous et à l’ARC, analyserons les renseignements que nous recevons et vous fournirons nos constatations.
Nous enquêtons également sur les problèmes les plus fréquemment signalés par les plaignants. Si nous dégageons une tendance, nous l’examinons afin de déterminer si nous pouvons faire quelque chose pour la renverser, avec l’aide de l’ARC.
Influencer
Notre objectif est de formuler des recommandations significatives et réalisables pour améliorer la qualité du service offert par l’ARC.Ces recommandations peuvent avoir une incidence sur un contribuable en particulier ou sur un segment de la population.
Ce que nous faisons
Notre rôle
Nous sommes là pour améliorer le service que l’Agence du revenu du Canada fournit aux contribuables en examinant les plaintes liées au service. Nous examinons également les problèmes qui peuvent toucher plus d’une personne.
On entend habituellement par contribuable une personne qui est tenue de payer de l’impôt, qui est admissible à une prestation ou qui reçoit un service auprès de l’ARC.
Nous examinons les problèmes liés au service non résolus qui sont liés à huit droits de service décrits dans la Charte des droits du contribuable. Pour voir les huit droits que nous respectons, allez à l’adresse canada.ca/boc-vos-droits.
Nous pouvons également faciliter la prise de contact avec l’ARC lorsqu’il y a une situation convaincante. De plus, si un problème lié au service touche plus d’une personne ou un segment de la population, nous pouvons l’examiner pour déterminer s’il dissimule un problème sous-jacent et, ainsi, formuler des recommandations pour résoudre celui-ci.
De plus, nous communiquons avec les organismes, écoutons les Canadiens et effectuons des recherches pour donner une voix aux populations vulnérables qui pourraient ne pas être entendues autrement. Cela nous permet de mieux comprendre la façon dont les Canadiens perçoivent l’ARC et nous aide à axer nos recherches sur les problèmes qui pourraient devoir être examinés.
À votre service
Nous servons les contribuables et leurs représentants. Nous servons également les personnes vulnérables qui pourraient ne pas communiquer directement avec nous.
Communiquer avec nous
Nous nous efforçons constamment de communiquer avec un plus grand nombre de Canadiens et de nous faire connaître. Nous encourageons les Canadiens à tirer parti de notre service gratuit s’ils ont un problème lié au service non résolu avec l’ARC.
Comment nous fonctionnons
L’ombudsman des contribuables relève directement de la ministre du Revenu national. Bien que nous travaillions indépendamment de l’ARC, nous sommes liés sur le plan administratif lors de la gestion des ressources financières et humaines. En d’autres mots, nous n’avons pas un accès direct aux renseignements des contribuables qui se trouvent dans les bases de données de l’ARC, mais nous avons des processus en place, et avec votre consentement, nous échangeons vos renseignements avec l’ARC pour résoudre votre plainte liée au service.
Introduction
Au début de février 2021, juste avant l’ouverture de la période de production des déclarations de revenus et de prestations de 2020 par l’ARC, il y a eu un changement considérable dans ce que nous avons entendu des plaignants. Nous avons commencé à entendre parler de l’accès restreint à leurs comptes de l’ARC.
Parmi les plaintes reçues entre février et mars 2021, 40 % indiquaient un problème lié au compte de l’ARC.
Cette question est devenue à l’avant-plan des préoccupations de notre bureau le 16 février 2021, lorsque nous avons constaté une hausse des plaintes au sujet des comptes de l’ARC, entendu de la part des Canadiens et vu des rapports dans les médias.
Figure - version textuelle
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Janvier | 0 | 0 | 0 | 4 | 2 | 2 | 2 | 2 | 0 | 0 | 2 | 2 | 1 | 0 | 1 | 0 | 1 | 3 | 4 | 3 | 1 | 1 | 0 | 0 | 3 | 2 | 1 | 2 | 3 | 0 | 0 |
Février | 2 | 5 | 2 | 1 | 3 | 0 | 1 | 3 | 3 | 2 | 3 | 4 | 0 | 0 | 3 | 8 | 19 | 8 | 6 | 0 | 0 | 8 | 8 | 15 | 24 | 22 | 0 | 1 | |||
Mars | 26 | 14 | 12 | 10 | 2 | 2 | 0 | 8 | 6 | 1 | 3 | 1 | 0 | 0 | 13 | 3 | 1 | 1 | 4 | 0 | 1 | 6 | 3 | 9 | 2 | 2 | 0 | 0 | 5 | 4 | 3 |
La majorité des Canadiens comptent sur leurs comptes de l’ARC pour communiquer avec l’ARC en ligne.
Les comptes de l’ARC permettent ce qui suit :
- de vous laisser consulter vos renseignements personnels sur l’impôt sur le revenu et les prestations et de gérer vos questions fiscales en ligne : modifier votre déclaration, changer votre adresse ou votre numéro de téléphone, vous inscrire aux avis par courriel de l’ARC, autoriser votre représentant ou contester officiellement votre cotisation ou votre détermination au moyen de Mon dossier;
- aux représentants autorisés d’accéder en ligne aux renseignements personnels sur l’impôt et les prestations ou aux renseignements sur les comptes d’entreprise d’un particulier ou d’une entreprise, ou de votre employeur au moyen de Représenter un client;
- aux entreprises d’avoir accès en ligne à leurs comptes de TPS/TVH, de retenues sur la paie, d’impôt sur le revenu des sociétés, de taxes d’accise, de droits d’accise et d’autres prélèvements au moyen de Mon dossier d’entreprise.
Les utilisateurs du compte de l’ARC touchés ont tous déclaré avoir été verrouillés de leur compte après avoir reçu un courriel de l’ARC qui indiquait ce qui suit :
Image - version textuelle
Le texte de l'image indique ce qui suit :
Subject: Email Address Removed
– Canada Revenue Agency /
Adresse de courriel supprimée –
Agence du revenu du Canada
English version *** La
version française suit ***
Dear ******:
This email address has been removed from your Canada Revenue Agency account.
You will no longer receive email
notifications to this email address.
This is an automated email
message. Please do not reply.
Version française *** The English version precedes ***
Cher/Chère ****** :
Cette adresse de courriel a
été retirée de votre compte de
l’Agence du revenu du Canada.
Vous ne recevrez plus les
avis par courriel à cette
adresse de courriel.
Ceci est un message
électronique automatisé.
Veuillez ne pas y répondre.
Nous avons constaté que les courriels non sollicités ont suscité l’inquiétude de nombreux Canadiens, et nous avons compris pourquoi : les Canadiens n’ont pas demandé le retrait de leur adresse électronique. De plus, le courriel qu’ils ont reçu de l’ARC n’a pas fourni de renseignements significatifs. Lors de la vérification de leur compte de l’ARC pour valider les renseignements contenus dans le courriel, un message d’erreur a été fourni indiquant que le compte était verrouillé et qu’ils devaient appeler l’ARC.
À l’heure actuelle, l’ARC n’a informé personne, y compris les utilisateurs touchés, qu’elle avait verrouillé les comptes de l’ARC. Cependant, étant donné toute la confusion et la couverture médiatique sur ce sujet, il était clair que l’ARC devait faire une déclaration publique. Cela aurait permis de renforcer la confiance des Canadiens et d’aider l’ARC à respecter sa vision voulant être digne de confiance, juste et au service des gens d’abord.
De nombreux Canadiens dont l’accès à leur compte de l’ARC a été verrouillé ont suivi les instructions de l’ARC et ont appelé son centre de contact dans l’espoir de communiquer avec un agent et accéder à leur compte. Cela a donné lieu à un autre problème, car ceux qui ont appelé l’ARC ont été insatisfaits de leur expérience en matière de service des centres de contact de l’ARC.
Bien que bon nombre d’entre eux aient d’abord été préoccupés par le verrouillage de leur compte de l’ARC, ils sont devenus frustrés lorsqu’ils n’ont pas été en mesure de joindre un agent de l’ARC pour tenter de résoudre le problème. De plus, leur frustration a continué, car même si le centre de contact de l’ARC était à pleine capacité, l’ARC a tout de même encouragé les gens à appeler lorsqu’elle leur répondait sur les médias sociaux.
Par conséquent, le centre de contact de l’ARC a rejeté bon nombre de ces appels parce que ses files d’attente étaient pleines. Toutefois, même les appelants qui ont réussi à se mettre dans la file d’attente étaient mécontents, car pendant des semaines, ils ont été obligés de supporter de longs temps d’attente; les appelants ont déclaré avoir été déconnectés prématurément et les certains qui ont parlé avec un agent ont été transférés à une autre file d’attente pour faire face à des temps d’attente encore plus longs.
Les Canadiens qui ont réussi à parler à un agent au cours des quelques premiers jours et à récupérer l’accès de leur compte ont tout de même reçu peu de renseignements sur la raison pour laquelle leur adresse de courriel a été supprimée.
Ce n’était pas plus facile pour ceux qui ont choisi de ne pas appeler pour obtenir des précisions sur la raison pour laquelle ils ont reçu le courriel. Cela s’explique par le fait que, pendant de nombreuses heures, l’ARC est demeurée silencieuse. Le 16 février, et pendant la majeure partie du 17 février 2021, les Canadiens ont exprimé publiquement qu’ils ne pouvaient pas obtenir les renseignements dont ils avaient besoin de la part des médias, sur Canada.ca, ou des comptes de médias sociaux de l’ARC sur les raisons pour lesquelles ils avaient reçu ce courriel ou la raison pour laquelle leur accès à leur compte de l’ARC a été verrouillé.
Ce manque de communication claire de la part de l’ARC est ce qui nous a amenés à ouvrir cet examen. Notre objectif était d’examiner les efforts de communication de l’ARC et de cerner les possibilités d’améliorer la communication avec les Canadiens.
Contexte et échéancier
Du 8 au 9 février 2021, l’ARC a examiné les ID utilisateur et les mots de passe de l’ARC, appelés
« justificatifs », afin de pouvoir repérer ceux qui pourraient être compromis et donner un accès non autorisé aux comptes de l’ARC.
Ces justificatifs peuvent avoir été compromis par des tiers non autorisés, externes à l’ARC, qui auraient pu les avoir obtenus au moyen de diverses méthodes, comme des stratagèmes d’hameçonnage par courriel ou des atteintes à la protection des données de tiers.
L’examen de l’ARC a permis de cerner 187 000 comptes de l’ARC qui auraient pu être consultés au moyen de justificatifs d’identité potentiellement compromis. Pour sécuriser les comptes de l’ARC touchés, l’ARC les a verrouillés le 11 février 2021. Ensuite, le 16 février 2021, l’ARC a supprimé les adresses électroniques de 119 200 de ces comptes.
Cela permettait aux contribuables de se faire envoyer du courrier en papier, pendant qu’ils n’avaient pas accès à leur compte. Normalement, lorsque l’ARC supprime une adresse de courriel d’un compte de l’ARC, elle envoie un courriel automatique au contribuable. Ce courriel est habituellement supprimé lorsque l’ARC verrouille le compte sans d’abord consulter le contribuable.
Toutefois, cette fois, l’ARC n’a pas réussi à empêcher l’envoi de ce courriel. Cela a fait en sorte que l’ARC a involontairement envoyé un courriel à chacun des 119 200 contribuables qui avaient une adresse de courriel au dossier de l’ARC.
Dans l’heure suivant l’envoi, l’ARC a réalisé qu’elle avait envoyé les courriels par erreur et a rapidement commencé à en entendre par les médias.
L’ARC a fourni des réponses aux médias, et le 17 février 2021, elle a fourni différents renseignements au moyen de ses comptes de médias sociaux.
Puis, 24 jours plus tard, le 12 mars 2021, elle a publié une déclaration intitulée : Comptes verrouillés le 16 février sur Canada.ca.
Puis, 56 jours plus tard, soit le 7 mai 2021, l’ARC a envoyé une lettre aux 67 800 contribuables qui n’avaient pas d’adresse électronique au dossier de l’ARC pour les informer que leurs justificatifs d’identité avaient été révoqués.
Image - version textuelle
8 et 9 février
- L’ARC a analysé 18,7 millions de justificatifs d’identité.
- Elle a cerné les justificatifs d’identité problématiques liés à 187 000 comptes uniques de l’ARC.
11 février
- L’ARC a verrouillé les 187 000 contribuables touchés de leur compte de l’ARC.
16 février
14 h 30 HNE
- L’ARC a supprimé les adresses de courriel des 119 200 comptes comportant une adresse de courriel.
- Ce retrait a déclenché l’envoi d’un message automatisé à chaque contribuable, qui est normalement supprimé.
~14 h 30 HNE
- 119 200 contribuables ont reçu un courriel non sollicité indiquant que leur adresse de courriel a été supprimée.
15 h 35 HNE
- L’ARC s’est rendu compte qu’une erreur s’est produite après ne pas avoir supprimé le courriel.
16 h 47 HNE
- Les médias canadiens commencent à aborder le problème.
17 février
21 h 25 HNE
- L’ARC a fourni plus de renseignements au moyen de ses comptes de médias sociaux et a publié un bulletin sur Canada.ca.
12 mars
20 h 54 HNE
- L’ARC a publié l’énoncé sur les comptes verrouillés le 16 février sur Canada.ca.
7 mai
- L’ARC a envoyé une lettre aux 68 000 contribuables qui n’ont pas d’adresse de courriel au dossier.
Incidence sur les Canadiens
Pour bien comprendre l’incidence du verrouillage sur les Canadiens, nous devions examiner la façon dont il les a touchés.
L’ARC a indiqué qu’elle a entrepris un processus de transformation afin de renforcer ses offres de services afin de répondre aux besoins et aux attentes en mettant les gens d’abord. De plus, elle a indiqué qu’elle veut être plus axée sur le client et a élaboré une nouvelle philosophie qui place les Canadiens au centre de sa prise de décisions. Son objectif est de fournir aux Canadiens « un accès à des renseignements faciles à comprendre, de haute qualité et uniformes, ainsi qu’à un soutien proactif et personnalisé, et ce peu importe la voie qu’ils préfèrent utiliser pour communiquer avec
l’ARC ». Pourtant, ses efforts de communication, après avoir verrouillé 187 000 Canadiens de leur compte de l’ARC, n’ont pas réussi à :
- être au service des gens avant tout;
- être axé sur le client;
- fournir des renseignements uniformes, peu importe la voie que les Canadiens préfèrent utiliser.
Toutefois, plus important encore, l’ARC n’a pas reconnu l’incidence de son manque d’action sur chaque personne touchée et tous les autres Canadiens qui ont fait confiance à l’ARC.
Au lieu de cela, ils ont été laissés avec un manque de communication proactive après que l’ARC ait verrouillé des milliers de Canadiens de leurs comptes et leur ait involontairement envoyé un courriel par erreur.
Après de nombreuses communications avec l’ARC, nous avons tenté de cerner la source du problème. Bien que l’ARC ait reconnu que ses efforts de communication auraient pu être meilleurs, elle n’a pas reconnu adéquatement l’incidence de ses actions, ou son absence, sur les Canadiens.
Même les Canadiens qui n’ont pas reçu de courriel de l’ARC ont été touchés. Nous avons constaté que certains attendaient avec impatience l’assurance de l’ARC qu’il n’y avait pas d’atteinte à la sécurité. Il a fallu à l’ARC jusqu’à six jours et cinq heures pour informer les Canadiens qu’elle a verrouillé leurs comptes et plus d’un jour et cinq heures pour le rendre public sur les médias sociaux et sur Canada.ca après avoir réalisé qu’elle avait involontairement envoyé les courriels à 119 200 Canadiens. Cela a fait en sorte que de nombreux Canadiens dépendent fortement des médias et d’autres ont finalement été laissés dans l’ignorance sans que l’ARC les rassure directement.
Questionnement
À un moment où « [p]rès de six Canadiens sur dix (57 %) ont remarqué une hausse des tentatives de fraude [...] » et peu de temps après, l’ARC a eu ses propres cyberincidents, elle aurait dû être particulièrement consciente de l’incidence de ses courriels non sollicités sur les Canadiens.
Bien entendu, de nombreux Canadiens, après avoir reçu le courriel de l’ARC, se sont interrogés en demandant ce qui suit :
Mon compte de l’ARC a-t-il été piraté? S’agit-il d’une fraude?
Y a-t-il eu une atteinte à la protection des données?
En 2021, il y a eu 106 974 rapports de fraude au Canada, ce qui a eu une incidence sur
67 916 Canadiens qui ont perdu 381 millions de dollars. Note de bas de page 1
L’ARC n’a pas eu à chercher beaucoup plus loin que ses propres comptes de médias sociaux pour constater que les Canadiens remettaient en question le courriel qu’ils recevaient. Ils disaient [traduction] « L’ARC a-t-elle été piratée?... » « ... Je suppose que c’est un problème dans le système ou que l’ARC a été piratée?... » « ... l’ARC a-t-elle été piratée aujourd’hui? », « Mon compte a été piraté et il a été impossible de communiquer avec qui que ce soit sur la ligne de fraude de l’ARC... »
Il était clair que les Canadiens se demandaient pourquoi ils avaient reçu ce courriel. Bon nombre d’entre eux ont rapidement indiqué qu’ils commençaient à se sentir anxieux.
Anxiété
Les Canadiens étaient anxieux à l’idée de la possibilité que leur compte de l’ARC soit compromis. Cela s’explique par le fait qu’à l’époque, l’ARC administrait encore de nombreuses prestations liées à la COVID-19.
Ces prestations étaient une bouée de sauvetage pour de nombreux Canadiens qui comptaient sur elles pour subvenir aux besoins de base comme la nourriture et le logement ou pour continuer à exploiter leur entreprise. Certains étaient effrayés à l’idée que l’ARC aurait pu être piratée et que l’accès à leurs prestations très nécessaires pourrait
être touché.
Les Canadiens ont communiqué avec l’ARC en indiquant ce qui suit : [traduction] « Mon courriel a été supprimé; j’ai vraiment peur en ce moment... » et « C’est effrayant...! »
Toutefois, à mesure que les médias ont pris connaissance de la situation, ils ont communiqué avec l’ARC et ont reçu des renseignements plus détaillés. Cela a permis aux Canadiens d’être rassurés que l’ARC n’avait pas été piratée. Nous avons observé que, même si les Canadiens ont commencé à exprimer moins d’anxiété, ils ont rapidement commencé à exprimer leur frustration à l’égard de l’ARC en raison de son manque de communication.
Frustration
Nous avons constaté que les Canadiens ont demandé à l’ARC de leur fournir plus de renseignements, et bon nombre de leurs plaidoyers sont restés sans réponse pendant plus de 29 heures.
Pour aggraver les choses, l’ARC, qui était habituellement très active sur les médias sociaux, avec une moyenne de trois publications sur Twitter par jour en 2021, n’a pas publié un seul message après avoir envoyé les courriels par erreur jusqu’à plus de 29 heures plus tard.
Pour nous, les Canadiens étaient clairs sur ce dont ils avaient besoin : ils avaient besoin d’une communication directe. L’ARC indique qu’elle « lira toutes les mentions directes sur les médias sociaux », mais malgré la lecture de ce que les Canadiens disaient, elle n’a pris aucune mesure significative dans un délai raisonnable.
Les contribuables ont indiqué : [Traduction] « Pouvez-vous fournir une communication au sujet des courriels qui ont été envoyés indiquant que les adresses de courriel ont été supprimées et que les comptes sont verrouillés? » « C’est n’importe quoi que nous, en tant que Canadiens, devons exercer ce genre de pression de masse sur une telle institution (c.-à-d., une institution que nous ne pouvons pas éviter d’utiliser) pour obtenir une meilleure communication. » « Je ne sais pas si je trouve du réconfort en sachant que tant de personnes sont dans ce bordel ensemble, ou si je suis déçu que quelqu’un dans l’équipe des communications ignore les préoccupations de tout le monde. Cela en dit long sur ce que signifie la protection des renseignements personnels pour l’ARC. »
Un aspect clé de la philosophie « Les gens d’abord » de l’ARC devrait être de bien comprendre l’incidence que ses actions, ou son inaction, peut avoir sur les Canadiens. Nous espérons que ce rapport met en lumière ce que les Canadiens ont vécu et qu’il encourage l’ARC à communiquer de façon plus proactive à l’avenir.
Constatations et observations - la crise
Principal problème
L’un des principaux enjeux de cet examen était le fait que l’ARC n’était pas prête à communiquer des renseignements sur les mesures qu’elle a prises.
Même si elle n’a pas communiqué avec les Canadiens en temps opportun après avoir verrouillé 187 000 Canadiens de leur compte et envoyé involontairement un courriel à 119 200 d’entre eux, elle aurait dû être préparée à transmettre des renseignements avec les Canadiens dès qu’elle a verrouillé les comptes.
En tant que contribuable, vous pouvez vous attendre à ce que l’ARC vous fournisse des renseignements complets, exacts, clairs et opportuns. Il s’agit du droit 6 de la Charte des droits du contribuable.
Apprenez-en davantage sur vos droits et les huit droits que nous respectons à l’adresse canada.ca/boc-vos-droits.
L’ARC semblait avoir un objectif en tête : protéger les Canadiens et effectuer une analyse des justificatifs d’identité qui pourraient être compromis et utilisés à mauvais escient par des tiers non autorisés. Il est louable et attendu que l’ARC prenne des mesures pour protéger les comptes.
En raison de la quantité croissante de données stockées en ligne, les Canadiens et les organisations doivent faire preuve de prudence dans la sécurisation des comptes en ligne afin de s’assurer qu’il n’y a pas d’accès non autorisé à leurs comptes. Même si l’ARC savait que l’analyse entraînerait probablement la compromission des justificatifs d’identité et le verrouillage des comptes, elle n’avait pas de plan suffisant pour informer immédiatement les Canadiens touchés de ses mesures et de la façon de résoudre le problème.
Il est important de comprendre que même si le courriel envoyé par erreur n’avait pas été envoyé, ces 187 000 comptes étaient déjà verrouillés. L’ARC n’était pas prête à informer immédiatement les Canadiens touchés. Cela a laissé de nombreux Canadiens dans l’ignorance.
Les recommandations formulées dans le présent rapport d’examen systémique sont présentées à la ministre du Revenu national et à la présidente du Conseil de direction.
Image - version textuelle
Recommandation 1
L’ombudsman des contribuables recommande à l’ARC d’effectuer un examen officiel de ses processus afin de s’assurer qu’elle a un plan souple qui prévoit un effort coordonné pour informer de façon proactive les Canadiens, en temps opportun, notamment sur Canada.ca, au moyen des médias sociaux et traditionnels, et par courriel les problèmes qui pourraient les toucher.
Comprendre le problème
Lors de l’examen de cette question, nous avons reconnu qu’il s’agissait d’une crise pour l’ARC et les 187 000 Canadiens touchés. De plus, pour mettre efficacement les gens d’abord à l’ARC, elle devait considérer cette situation comme une crise et ne pas sousestimer la situation ou omettre de reconnaître sa gravité.
Communiquer en situation de crise
Pour communiquer efficacement en situation de crise, nous devons d’abord comprendre la façon dont les gens traitent les renseignements pendant une crise. Dans le cadre de notre recherche sur les crises, nous avons examiné la crise des Centers for Disease Control and Prevention’s Crisis and Emergency Risk Communication (CERC) qui [traduction] « fournit des formations, des outils et des ressources pour aider les communicateurs de la santé, les intervenants d’urgence et les dirigeants des organisations à communiquer efficacement pendant les urgences ». Il fournit également un manuel, Psychology of a Crisis, qui décrit les quatre façons dont les gens traitent les renseignements pendant une crise.
Il indique que les gens effectueront ce qui suit :
- simplifier les messages;
- conserver les croyances actuelles;
- chercher des renseignements et des opinions supplémentaires;
- croire le premier message.
À partir de là, le CERC détermine quatre traits souhaitables que les messages devraient avoir de la part du communicateur.
Plus précisément, ils devraient être :
- simples;
- diffusés à partir d’une source crédible;
- cohérents;
- exacts et opportuns.
Ces quatre caractéristiques reflètent efficacement ce qui était nécessaire pendant la crise du verrouillage des comptes de l’ARC. Ci-dessous, nous examinerons la façon dont chacun aurait pu avoir une incidence sur le verrouillage. La philosophie Les gens d’abord devrait commencer par tenir les Canadiens informés.
Messages simples
Lorsque nous examinons les messages que l’ARC a fournis pendant cette crise, certains n’étaient ni directs ni concis. Par exemple, l’énoncé principal de l’ARC qui a été fourni à de nombreux médias n’a pas souligné ce qui suit :
- il n’y a eu aucune cyberattaque à l’ARC;
- il n’y avait aucun besoin urgent pour les Canadiens de déverrouiller leur compte, à moins qu’ils aient besoin de prestations liées à la COVID-19.
L’énoncé se lit comme suit :
L’Agence du revenu du Canada (l’Agence) aimerait profiter de l’occasion pour fournir des précisions sur une alerte qui a été envoyée le 16 février concernant les adresses de courriel associées à certains comptes de l’Agence. Certains contribuables pourraient avoir reçu un avis de l’Agence indiquant que leur adresse de courriel a été retirée de leur compte.
Pour être clair, ces comptes n’ont pas été touchés par une cyberattaque contre l’Agence. Ces comptes n’ont pas été compromis et la mesure prise, qui était de verrouiller les comptes, était une mesure préventive. Dans un monde de plus en plus numérique, les organisations doivent constamment prendre des mesures pour protéger les renseignements de nature délicate contre les menaces en constante évolution. La protection des renseignements des contribuables est primordiale pour l’Agence du revenu du Canada. C’est pourquoi nous avons mis en place des mesures rigoureuses et continues pour analyser, cerner et atténuer les menaces potentielles.
Dans ce cas précis, une analyse interne a indiqué, preuves à l’appui, que certains justificatifs des comptes (p. ex., ID utilisateur et mots de passe) pourraient avoir été compromis et mis à la disposition de personnes non autorisées. Ces justificatifs n’ont pas été compromis en raison d’un manquement dans les systèmes de l’Agence. Ils ont plutôt été obtenus par divers moyens par des sources externes à l’Agence. À titre de mesure de sécurité préventive et pour empêcher l’accès non autorisé à ces comptes, nous avons pris des mesures rapides pour verrouiller les comptes et nous sommes en train de communiquer avec les véritables titulaires de ces comptes dans le but de les déverrouiller.
Nous travaillerons avec les personnes touchées pour rétablir leurs justificatifs et déverrouiller leur compte. Les contribuables ne sont pas tenus de communiquer avec nous de façon urgente, sauf s’ils sont des demandeurs de prestations d’urgence et s’ils ont des demandes actives dans notre système. Nous établirons l’ordre de priorité de ces appels afin de réduire au minimum les retards dans le versement de ces prestations d’urgence d’une importance capitale.
La vigilance des Canadiens à l’égard de la protection des renseignements sur les comptes est également une couche essentielle de sécurité. L’Agence rappelle à tous les Canadiens qu’il est important de surveiller leurs comptes de l’Agence pour déceler toute activité suspecte, y compris les changements non sollicités aux services bancaires ou à l’adresse postale ou les demandes de prestations effectuées en votre nom. Les Canadiens sont également invités à changer leurs mots de passe régulièrement.
Depuis les incidents de cybersécurité de l’été 2020, l’Agence a mis en place un certain nombre de mesures de protection et de mesures proactives supplémentaires pour accroître la sécurité de nos comptes en ligne, y compris l’authentification à facteurs multiples.
Nous remercions les Canadiens pour leur patience alors que nous travaillons à réactiver les comptes et demeurons vigilants en ce qui concerne notre sécurité en ligne afin d’assurer la protection des renseignements des contribuables. Nous sommes désolés de cet inconvénient.
Pour obtenir de plus amples renseignements sur la façon de vous protéger contre la fraude, veuillez consulter notre site Web.
Alors que les énoncés sur LinkedIn et Facebook étaient plus simples; son énoncé sur Facebook a omis d’informer les Canadiens qu’il n’était pas urgent de déverrouiller leur compte, à moins qu’ils aient besoin de prestations liées à la COVID-19. Cependant, l’ARC l’a fait sur Facebooklorsqu’elle a répondu aux commentaires des contribuables. Il est clair que l’ARC a négligé le pouvoir des messages simples en cas de crise. Cette négligence a probablement donné lieu à plus de questions de la part des Canadiens à un moment où ils avaient besoin de clarté.
L’ARC aurait pu simplement dire :
Pour protéger les renseignements des contribuables, nous avons verrouillé certains comptes de l’ARC. Les justificatifs d’identité (c.-à-d., les ID utilisateur et les mots de passe de l’ARC) utilisés pour accéder à ces comptes auraient pu être compromis par des tiers externes à l’ARC.
Cela n’a pas été causé par une cyberattaque à l’ARC.
Chaque compte touché ayant une adresse de courriel a reçu un courriel indiquant que son adresse de courriel a été supprimée.
Ne communiquez pas avec nous pour déverrouiller votre compte, sauf si vous avez un besoin urgent de recevoir une prestation liée à la COVID-19.
Nous communiquerons avec toutes les personnes touchées.
Ce message simplifié aurait fourni les renseignements nécessaires aux Canadiens et aurait souligné qu’il n’était pas nécessaire d’appeler. De plus, il aurait atténué le problème supplémentaire que l’ARC a causé à son centre de contact au début de sa période de production des déclarations de revenus de 2021.
27 100 Canadiens qui ont été bloqués hors de leur compte ARC ont probablement dépensé un total combiné de près de 3 000 000 minutes (50 000 heures) en attente dans une période de quatre semaines pour essayer de parler à l’ARC et finalement obtenir l’accès à leur compte.
Malheureusement, tout ce temps a été perdu, car dès le 23 février 2021, l’ARC cherchait activement une solution de rechange pour que les contribuables puissent récupérer l’accès à leur compte de l’ARC, sans avoir à communiquer avec l’ARC. De plus, au 1er mars 2021, l’ARC était confiante dans cette nouvelle approche, mais elle n’a pas réussi à mettre à jour ses alertes contextuelles sur ses pages Web de services en ligne pour communiquer ces renseignements aux Canadiens. Au lieu de cela, la page sur Canada.ca affichait le même message du 17 février 2021 au 12 mars 2021.
L’ARC aurait dû informer les Canadiens qu’elle poursuivait activement une autre approche pour les aider à retrouver l’accès à leur compte de l’ARC. Ce faisant, elle aurait allégé le fardeau qu’elle a causé à ses centres de contact, ainsi que la frustration et l’anxiété éprouvées par de nombreux Canadiens.
Image - version textuelle
Recommandation 2
L’ombudsman des contribuables recommande à l’ARC de créer un calendrier de mise à jour pour ses alertes contextuelles pour s’assurer que les renseignements qu’elle fournit toujours sont utiles et à jour.
Source crédible
Après cet incident, ce que nous avons jugé préoccupant pour les Canadiens et notre bureau, c’était le manque de renseignements disponibles sur Canada.ca et la dépendance de l’ARC à l’égard des médias sociaux pour fournir une vue d’ensemble.
Le site Web du gouvernement du Canada, Canada.ca, s’est bâti une réputation de source crédible pour toutes les communications et tous les renseignements du gouvernement du Canada (y compris ses ministères et organismes). En raison du nombre limité de caractères sur certaines plateformes de médias sociaux, tout renseignement publié sur les médias sociaux devrait être lié à une page Web Canada.ca avec plus de renseignements. Ce n’est pas seulement notre point de vue, mais aussi celui du Secrétariat du Conseil du Trésor du Canada, qui régit les lignes directrices obligatoires pour les médias sociaux et les communications Web du gouvernement du Canada.
Toutefois, après que l’ARC a envoyé un courriel aux contribuables, elle n’a pas fourni de liens sur ses publications sur les médias sociaux vers Canada.ca, mais elle a plutôt fourni un lien vers sa page LinkedIn, ce qui n’était pas facilement accessible.
Nous savions que l’ARC devait communiquer avec tous les Canadiens. Pourquoi ne l’a-t-elle pas fait?
L’ARC devait communiquer avec tous les Canadiens, car même les Canadiens non touchés remettaient en question l’infrastructure de l’ARC et ce qui se passait à l’ARC.
Par conséquent, l’ARC aurait dû être prête à rassurer les Canadiens dès qu’elle a réalisé ce qui s’était passé.
L’ARC a dit à notre bureau que si elle publiait un énoncé sur Canada.ca, il n’aurait pas été assez direct. Nous sommes respectueusement en désaccord. Un énoncé sur Canada.ca est direct et provient de la source principale. Bien que la publication d’un énoncé sur Canada.ca puisse ne pas parvenir directement à chaque utilisateur de compte de l’ARC touché, l’ARC aurait également pu envoyer le même énoncé par courriel et par la poste aux Canadiens touchés. Toutefois, l’ARC a indiqué qu’elle aurait pu seulement envoyer l’énoncé par courriel si elle avait ajouté les courriels dans son système et qu’elle a choisi de ne pas le faire. Les réponses de l’ARC aux questions que nous avons posées au cours de notre examen ont démontré que l’ARC a créé des obstacles à la communication avec les personnes touchées. Il n’y a peut-être jamais une solution parfaite, mais la solution de l’ARC dans ce cas était insuffisante.
Image - version textuelle
Recommandation 3
L’ombudsman des contribuables recommande à l’ARC de veiller à ce qu’elle fournisse toujours un lien vers la présence Web du gouvernement du Canada, comme Canada.ca, à partir de ses publications sur les médias sociaux.
Messages uniformes
Bien que la communication soit essentielle, l’uniformité des messages est tout aussi importante. L’uniformité aide à bâtir la confiance dans les messages. Toutefois, pour cette crise, l’ARC n’a pas été cohérente. Ni à ses agents du centre de contact, ni aux médias, ni sur Canada.ca, ni sur ses publications sur ses comptes de médias sociaux : Facebook, LinkedIn et Twitter. Bien que chacun des énoncés de l’ARC semble comporter des lacunes, une chose était évidente, soit le manque d’uniformité dans ses messages. De plus, l’ARC n’a pas expliqué pourquoi sa communication manquait d’uniformité.
Bien que nous soyons conscients de la limite de caractères sur Twitter, il existe d’autres méthodes pour fournir des renseignements plus détaillés. Par exemple, si elle avait publié son énoncé LinkedIn sur Canada.ca, elle aurait pu éviter cette limitation, tout en fournissant des messages uniformes à partir d’une source accessible et fiable. Toutefois, l’ARC a fourni des énoncés incohérents qui portaient à confusion pour le lecteur. Un énoncé uniforme fourni par l’intermédiaire de toutes ses méthodes de communication aurait aidé l’ARC à rétablir la confiance des Canadiens et, en fin de compte, aurait été utile à de nombreuses personnes.
Exacts et opportuns
Aucune communication pendant six jours et cinq heures n’est pas opportune ou acceptable. La Chambre de commerce du Canada fournit un guide de planification des communications de crise disponible à titre informatif. Il contient des principes de communication efficace en situation de crise qui soulignent que « vous avez toujours quelque chose à dire » et d’« arrêter toute autre communication. » Bien que l’ARC ait interrompu toutes les autres communications jusqu’à ce qu’elle règle cette situation de courriel, il lui a fallu plus d’un jour et cinq heures pour répondre à ceux qui ont reçu un courriel, et jusqu’à six jours et cinq heures pour ceux qui ont tenté d’ouvrir une session et qui étaient verrouillés de leur compte.
Nous félicitons l’ARC d’être proactive en repérant les justificatifs d’identité potentiellement compromis et en protégeant les renseignements de nature délicate contre les menaces en constante évolution. Toutefois, en raison du courriel d’avis, l’ARC aurait dû être réactive plutôt que d’être préparée de façon stratégique à communiquer la façon dont elle protège les renseignements de nature délicate. Bien qu’elle ait communiqué des renseignements importants aux médias, elle n’a pas communiqué efficacement avec les Canadiens.
Par conséquent, l’ARC doit commencer à améliorer sa communication en rendant publics les renseignements qu’elle fournit aux médias. Cela aurait permis de rendre les renseignements fournis plus rapidement. S’il est assez important de les fournir aux médias, il est assez important de les fournir à tous les Canadiens sur Canada.ca.
Image - version textuelle
Recommandation 4
L’ombudsman des contribuables recommande à l’ARC de mettre les renseignements qu’elle fournit aux médias canadiens à la disposition des Canadiens en même temps, par exemple, au moyen de Canada.ca.
De plus, l’ARC n’a pas assumé la responsabilité du problème et n’a pas divulgué la raison pour laquelle les Canadiens ont reçu les courriels. Bien que nous reconnaissions que des erreurs se produisent, il n’y a aucune raison de ne pas être honnête avec les Canadiens.
De plus, et ce qui est plus préoccupant, c’est que 24 jours plus tard, lorsque l’ARC a finalement fourni un énoncé sur Canada.ca, il était inexact. Plus précisément, il était intitulé « Comptes verrouillés le 16 février »; toutefois, les comptes ont été verrouillés le 11 février.
L’ARC doit être plus consciente du droit numéro six de la Charte des droits du contribuable, qui indique aux Canadiens qu’ils ont le droit de recevoir des renseignements complets, exacts, clairs et opportuns de la part de l’ARC. Cela aidera l’ARC à communiquer plus efficacement.
Constatations et observations - Approche de communication
Comme l’ARC n’a pas suivi une stratégie de communication de crise suffisante, son approche a créé des problèmes uniques, dont bon nombre ont aggravé le problème.
Plus précisément, l’ARC a :
- fourni un énoncé sur LinkedIn qui n’était pas facilement accessible à certains;
- manqué de directives à jour sur ce qu’il faut faire en cas de crise;
- fournit aucune approche de communication progressive;
- omis de prendre des décisions avec empathie;
- omis d’effectuer une analyse rétrospective pour déterminer ses erreurs de communication.
Facilement accessible
Comme il a été mentionné plus tôt, l’ARC aurait dû rendre l’énoncé sur le verrouillage de comptes disponible sur Canada.ca aux fins d’accessibilité. Toutefois, l’ARC a choisi de le rendre disponible uniquement sur les médias sociaux jusqu’au 12 mars 2021. Cela a donné lieu à deux autres problèmes :
- Lorsque les Canadiens ont voulu en savoir plus et ont lu le tweet de l’ARC, ils ont été redirigés vers la page LinkedIn de l’ARC. Toutefois, LinkedIn a empêché certains utilisateurs d’accéder au site sans d’abord ouvrir une session. De nombreux utilisateurs choisiraient probablement de ne pas le faire, surtout après avoir appris que leurs justificatifs d’identité avaient été compromis. Nous avons informé l’ARC de ceproblème et elle a maintenu sa décision de le faire. Elle a indiqué que, dans le cadre de la mise à l’essai initiale, elle a constaté qu’une fois que les utilisateurs ont été redirigés vers la page principale LinkedIn de l’Agence du revenu du Canada, les utilisateurs auraient été en mesure de voir la publication épinglée qui mettait en évidence la mise à jour sur le verrouillage. Toutefois, même à ce jour, nous ne pouvons pas accéder à la page LinkedIn de l’ARC à partir de son tweet. Bien que nous puissions accéder à la page LinkedIn de l’ARC de façon indépendante, nous sommes toujours invités à fournir des justificatifs d’identité après avoir cliqué sur l’hyperlien dans le tweet.
- Les Canadiens francophones qui ont eu la chance d’avoir accès à la page LinkedIn de l’ARC n’auraient bientôt pas eu un accès facile à la mise à jour de l’ARC. Cela s’explique par le fait que les règles de LinkedIn ne permettent qu’une seule mise à jour et que l’ARC a choisi d’effectuer la mise à jour en anglais. Cela a permis de mettre en évidence la publication en anglais dans la partie supérieure, mais elle a laissé la publication en français enterrée après que d’autres publications ont été publiées un jour plus tard. Ces problèmes uniques auraient pu être évités, et les Canadiens auraient pu obtenir les renseignements dont ils avaient besoin en liant les renseignements supplémentaires vers Canada.ca. Lorsque des renseignements supplémentaires sont requis à partir d’un affichage dans les médias sociaux, l’ARC devrait diriger les Canadiens vers des renseignements supplémentaires sur Canada.ca dans 100 % des cas.
Procédures et directives
L’ARC a mis à jour sa Directive sur la gestion des enjeux à la suite du verrouillage. Cette directive fournit des lignes directrices sur la façon de « prévoir, cibler, évaluer, atténuer, communiquer et traiter efficacement les enjeux internes et externes pouvant avoir une incidence sur les activités de l’ARC, sa capacité à remplir son mandat ou pouvant miner la confiance des Canadiens envers l’ARC ».
Toutefois, l’ARC n’a pas de plan de communication en cas de crise qui décrit en détail les mesures précises que l’ARC doit prendre pour régler la crise. Bien que sa Directive sur la gestion des enjeux soit efficace pour déterminer les grandes étapes à suivre, elle n’a pas la précision qui est habituellement précisée dans un plan de communication.
Figure - text version
Recommandation 5
L’ombudsman des contribuables recommande à l’ARC de s’assurer qu’elle a un plan de gestion des enjeux qui est adaptable afin qu’elle puisse communiquer efficacement avec les Canadiens lorsqu’il y a un problème émergent.
Approche de communication
Une chose qui est devenue évidente dans notre examen était l’approche réactive de l’ARC à l’égard de la question du verrouillage des comptes dans ses actions et ses communications. Même l’ARC a dit à notre bureau qu’elle était réactive et non proactive.
Toutefois, l’ARC devrait faire de son mieux pour ne pas se faire prendre au dépourvu et s’assurer qu’elle fait appel à des experts en la matière à des moments où de nombreux Canadiens pourraient être touchés. En consultant les experts en la matière de communication, l’ARC aurait pu être préparée si des répercussions négatives avaient été signalées. Ce n’était pas le cas pendant le verrouillage. Même dans les jours précédant le verrouillage et même si elle analysait des justificatifs d’identité potentiellement compromis, l’ARC ne préparait pas de plan de communication. Pendant cette période, et probablement les semaines précédentes, l’ARC aurait dû savoir ce que l’examen pouvait révéler. Par conséquent, elle aurait dû savoir qu’elle avait besoin d’un plan de communication pour s’assurer qu’elle était préparée pour les constatations. Toutefois, ce que nous avons entendu de la part de l’ARC, c’est qu’elle ne l’a pas fait et qu’elle a continué de n’avoir aucun plan de communication jusqu’à ce qu’elle change la façon dont elle a sécurisé les comptes le 13 mars 2021. Encore une fois, nous avons été surpris qu’un projet aussi vaste n’ait pas de plan de communication.
Empathie dans le service à l'ARC
L’ARC a indiqué que « l’empathie est la capacité et la volonté de se mettre à la place de l’autre et de se rapprocher de ses pensées, de ses émotions et de ses sentiments, sans porter de jugement ». Toutefois, si les employés de l’ARC s’étaient mis à la place des autres et qu’ils étaient en contact avec leurs pensées et leurs émotions, ils auraient su que les Canadiens voulaient être rassurés et orientés rapidement et efficacement. L’approche de communication de l’ARC n’a pas été rassurante.
Effectuer un examen rétrospectif
La première étape pour améliorer votre réponse est de vous demander ce qui a mal tourné. Il est toujours préférable d’apprendre de ses erreurs afin qu’elles ne soient pas répétées. L’une des meilleures façons de le faire est de mener un examen rétrospectif et de déterminer ce qui a mal fonctionné, ce qui a fonctionné et ce qui peut être amélioré. Par conséquent, nous avons demandé à l’ARC si elle a effectué un examen rétrospectif, et nous avons estimé que sa réponse était incomplète.
L’ARC nous a informés que des erreurs avaient été commises, relevées et reconnues, mais qu’elle n’avait toujours pas effectué d’examen précis ou officiel.
Ensuite, lorsque nous avons demandé à l’ARC de cerner les erreurs qu’elle a commises, elle a simplement indiqué que les secteurs responsables au sein de l’ARC auraient dû être informés à l’avance, ce qui leur aurait permis de préparer des plans d’urgence appropriés, tels qu’un plan de communication.
Bien que nous soyons d’accord pour dire que la consultation préalable avant que des mesures soient prises est avantageuse, nous estimons qu’il s’agit du principal point à retenir de l’ARC à la suite du verrouillage.
Si l’ARC avait effectué un examen rétrospectif, elle aurait pu améliorer ses processus en apprenant de ses erreurs et, par conséquent, communiquer plus efficacement avec les Canadiens à l’avenir.
Améliorations apportées
L’ARC a apporté de nombreuses améliorations après le verrouillage, y compris les deux suivantes :
Justificatifs d'identité révoqués
Avant le 13 mars 2021, l’ARC ne permettait pas l’accès à un compte de l’ARC si un justificatif était compromis. Toutefois, l’ARC a depuis amélioré la façon dont elle protège les comptes de l’ARC. À compter du 13 mars 2021, elle ne verrouille plus les comptes lorsqu’elle détermine que des justificatifs d’identité qui sont potentiellement compromis. Dans ces cas, elle ne révoque que les justificatifs d’identité touchés.
Ce faisant, les utilisateurs peuvent toujours accéder à leur compte de l’ARC à l’aide d’un autre justificatif, au moyen d’un partenaire de connexion ou d’un partenaire provincial. Par conséquent, si un justificatif a été révoqué, l’utilisateur peut toujours accéder à son compte de l’ARC.
Par exemple :
Pour accéder au compte de l’ARC qui est lié au numéro d’assurance sociale (NAS) 999 999 999, l’utilisateur peut avoir deux façons différentes d’ouvrir une session, y compris :
Justificatif 1 avec:
ID utilisateur de l’ARC : chiensducanada
Mot de passe : leschienssontcoolJustificatif 2 avec :
ID utilisateur de l’ARC : chatsducanada
Mot de passe : leschatssontcoolSi seul le justificatif d’identité 1 est désigné comme étant compromis, l’ARC ne verrouillera maintenant que l’accès au compte de l’ARC appartenant au NAS 999 999 999 du justificatif 1. Toutefois, l’utilisateur peut toujours obtenir un accès à l’aide du justificatif 2.
Cette expérience est beaucoup plus transparente pour les Canadiens, car ils peuvent maintenant créer de nouveaux justificatifs sans avoir à appeler le centre de contact de l’ARC, tout en protégeant l’intégrité des comptes de l’ARC.
Communication d'abord
Depuis l’ouverture de notre examen, l’ARC a été proactive sur la communication avec les Canadiens pour toute révocation à venir. Elle a inclus les médias et a fourni des alertes contextuelles sur ses pages Web. Il s’agit d’une approche utile en plus d’envoyer des instructions précises par courriel directement aux Canadiens lorsqu’un justificatif est révoqué.
Conclusion
Cet examen a mis en évidence un problème récurrent à l’ARC : elle communique de façon réactive plutôt que de façon proactive.
L’ARC a admis qu’elle était réactive après le verrouillage, mais elle aurait pu éviter cela en étant proactive et en créant un plan suffisant avant de verrouiller l’accès à 187 000 Canadiens. Cela n’est pas acceptable, les Canadiens méritent d’être informés. Les Canadiens ne devraient pas avoir besoin d’appeler l’ARC pour obtenir de plus amples renseignements, surtout en ce qui concerne tous les problèmes récurrents liés à l’accès aux centres de contact. De plus, les forums de médias sociaux, les médias, les représentants et les organismes communautaires ne devraient pas avoir à combler les lacunes lorsque l’ARC ne répond pas adéquatement à un problème. L’ARC doit réexaminer ses efforts de communication et communiquer de façon proactive avec les Canadiens :
- quand ils en ont besoin;
- au moyen du canal qu’ils préfèrent utiliser, y compris Canada.ca.
Maintenant, plus que jamais, la société est habilitée à s’attaquer aux problèmes et à communiquer immédiatement. L’ARC doit rattraper son retard. L’ARC ne doit pas attendre qu’un enjeu atteigne un certain seuil avant d’agir. Elle devrait être prête à prendre des mesures, le cas échéant.
Bien que nous reconnaissions que tout ne nécessite pas un énoncé officiel, nous savons que des renseignements accessibles au public sont nécessaires.
Recommandations
En vue de régler les problèmes soulevés dans le présent rapport, l’ombudsman des contribuables formule les recommandations suivantes à la ministre du Revenu national et à la présidente du Conseil de direction de l’ARC :
- L’ombudsman des contribuables recommande à l’ARC d’effectuer un examen officiel de ses processus afin de s’assurer qu’elle a un plan souple qui prévoit un effort coordonné pour informer de façon proactive les Canadiens, en temps opportun, notamment sur Canada.ca, au moyen des médias sociaux et traditionnels, et par courriel les problèmes qui pourraient les toucher.
- L’ombudsman des contribuables recommande à l’ARC de créer un calendrier de mise à jour pour ses alertes contextuelles pour s’assurer que les renseignements qu’elle fournit toujours sont utiles et à jour
- L’ombudsman des contribuables recommande à l’ARC de veiller à ce qu’elle fournisse toujours un lien vers la présence Web du gouvernement du Canada, comme Canada.ca, à partir de ses publications sur les médias sociaux.
- L’ombudsman des contribuables recommande à l’ARC de mettre les renseignements qu’elle fournit aux médias canadiens à la disposition des Canadiens en même temps, par exemple, au moyen de Canada.ca.
- L’ombudsman des contribuables recommande à l’ARC de s’assurer qu’elle a un plan de gestion des enjeux qui est adaptable afin qu’elle puisse communiquer efficacement avec les Canadiens lorsqu’il y a un problème émergent.
Détails de la page
- Date de modification :