Vérification de l'Agence du revenu du Canada - page 6

RAPPORT DE VÉRIFICATION DE LA COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DU CANADA,
2013
4
AGENCE DU REVENU DU CANADA
CONSTATATIONS
Il règne, à l’ARC, une culture de sécurité et de
confidentialité qui est attribuable à la présence d’un
cadre d’intégrité, de politiques, d’activités de formation
et de sensibilisation, ainsi que d’autres initiatives. On
décèle toutefois des lacunes prononcées sur le plan
de la mise en œuvre et de la surveillance de certaines
de ses principales politiques et pratiques en matière de
sécurité et de protection de la vie privée. Ces lacunes
nuisent à la capacité de l’ARC de protéger pleinement
les renseignements sur les contribuables contre toute
consultation, utilisation ou communication inappro-
priée. Plus particulièrement, on constate :
• qu’afin de respecter une recommandation
formulée lors de la vérification de 2009, un chef
de la protection des renseignements personnels
(CPRP) a été nommé le 3 avril 2013. Le rôle du
CPRP n’a cependant pas encore été défini avec
précision aux fins de la coordination des obli-
gations relatives à la reddition de comptes, aux
responsabilités et aux activités liées à la protec-
tion de la vie privée à l’échelle de l’Agence;
• que des évaluations des facteurs relatifs à la
vie privée ne sont pas toujours réalisées afin
d’évaluer les risques associés à des changements
relatifs aux programmes qui auront des réper-
cussions sur les renseignements personnels
des contribuables;
• que de nombreux systèmes informatiques qui
traitent des renseignements sur les contribuables
ne font pas l’objet d’une évaluation de la menace
et des risques, ce qui pourrait faire en sorte que
des lacunes ne soient pas décelées;
• que l’efficacité des contrôles mis en œuvre par
l’Agence afin de repérer et de prévenir toute
consultation ou utilisation inappropriée de
renseignements sur les contribuables par des
employés est limitée par l’absence d’un outil
automatisé permettant de repérer et de signaler
les potentiels cas d’accès inapproprié ainsi que
par certaines lacunes au chapitre de la collecte de
données permettant d’établir une piste de vérifica-
tion dans les systèmes informatiques de l’ARC;
• que des cas d’accès inapproprié aux dossiers de
milliers de contribuables sont passés inaperçus
pendant une longue période;
• que la Direction de l’accès à l’information et de
la protection des renseignements personnels
n’est pas régulièrement informée des atteintes à
la vie privée résultant de la consultation et de la
communication inappropriée de renseignements
sur les contribuables.
Depuis la parution du rapport portant sur la dernière
vérification effectuée par le Commissariat, en 2009,
l’ARC a effectué des progrès en ce qui a trait au
renforcement de ses politiques et de ses procédures
en matière de sécurité et de protection de la vie privée,
ainsi qu’en ce qui concerne la communication de ses
attentes à l’égard de la protection des renseignements
personnels à ses employés. L’Agence déploie également
des efforts en vue d’améliorer la gestion des droits
d’accès et de surveiller plus étroitement l’accès des
employés aux renseignements sur les contribuables.
Les observations et les recommandations formulées
dans le présent rapport ont pour but d’améliorer les
pratiques de traitement des renseignements personnels
de l’Agence et, ainsi, d’atténuer les risques de consulta-
tion, d’utilisation ou de communication non autorisée
des renseignements personnels des contribuables.
L’Agence a répondu à nos conclusions. Chacune des
recommandations formulées dans le rapport de
vérification est suivie de la réponse de la direction
de l’Agence.
1,2,3,4,5 7,8,9,10,11,12,13,14,15,16,...36
Powered by FlippingBook