Communiqué

Une enquête du Commissaire à la protection de la vie privée du Canada concernant des atteintes amène l’Agence du revenu du Canada à s’engager à améliorer ses mesures de sécurité

Le 7 mai 2026 – Gatineau (Québec)

Une enquête menée par le Commissaire à la protection de la vie privée du Canada a permis de conclure que, bien que l’Agence du revenu du Canada (ARC) ait pris des mesures depuis 2024 pour améliorer sa position de sécurité, il est possible d’en faire davantage pour empêcher que les renseignements des contribuables soient exploités par des acteurs malveillants.

Dans un rapport spécial déposé aujourd’hui au Parlement, le Commissaire à la protection de la vie privée du Canada fait valoir que plus de 42 000 atteintes visant des particuliers ont été recensées à l’ARC depuis 2020, à la suite de l’accès non autorisé à des renseignements de contribuables canadiens ou à la modification de ces renseignements par des acteurs malveillants. En accédant à des renseignements personnels ou en les modifiant, les acteurs malveillants sont en mesure de rediriger le paiement de prestations du gouvernement ou de soumettre des demandes frauduleuses pour de telles prestations, causant ainsi des pertes financières et d’autres difficultés importantes pour les contribuables légitimes.

Cette enquête fait suite à une enquête menée par le Commissariat en 2024 concernant des atteintes à la vie privée, qui résultaient du vol d’identifiants, à la suite de laquelle le Commissaire à la protection de la vie privée du Canada avait formulé des recommandations.

L’enquête récente a permis de faire état de lacunes persistantes dans les mesures de prévention, de surveillance, de détection, de correction et de gouvernance de l’ARC en matière d’atteintes à la vie privée. Voici quelques-uns des principaux problèmes relevés :

• L’ARC n’a pas été en mesure de fournir des détails sur chaque atteinte à la vie privée qu’elle avait rapportée. Elle a expliqué que cela était en raison des limites de ses systèmes de suivi, du volume global des atteintes et des ressources considérables que cela nécessiterait.
• L’ARC n’a pas mis en œuvre rapidement l’authentification multifacteur obligatoire et, une fois celle-ci en place, elle ne s’est pas systématiquement appuyée sur les méthodes les plus solides considérées comme les meilleures pratiques de l’industrie.
• L’ARC n’a pas été en mesure de bien expliquer dans tous les cas comment les attaquants ont réussi à contourner les processus d’authentification pour accéder sans autorisation aux renseignements personnels en possession de l’ARC ou pour les modifier.

Afin de remédier aux lacunes relevées au cours de l’enquête, le Commissaire à la protection de la vie privée du Canada a formulé neuf recommandations d’amélioration, dont huit ont été acceptées dans leur intégralité et une en partie par l’ARC. Parmi ces recommandations, notons l’amélioration de la manière dont l’ARC assure le suivi des atteintes individuelles et les signale, ainsi que la mise en place d’un processus visant à évaluer l’efficacité des mesures de protection afin de réduire la fréquence des atteintes.

Selon le rapport, l’ARC a également amélioré son système d’authentification multifacteur, notamment en mettant en place des codes d’accès uniques et d’autres mesures visant à compliquer la tâche des acteurs malveillants qui cherchent à contourner les contrôles.

Citation

« L’Agence du revenu du Canada détient des renseignements personnels très sensibles et précieux au sujet des Canadiennes et des Canadiens, ce qui peut en faire une cible de choix pour les acteurs malveillants. Il est donc essentiel de prioriser la protection de la vie privée afin de veiller à ce que des mesures de protection adéquates et rigoureuses soient mises en place de manière concertée et proactive dans le but de prévenir les atteintes à la vie privée et de préserver la confiance de la population canadienne. Je trouve encourageants les changements que l’ARC a déjà apportés et qu’elle s’est engagée à mettre en œuvre au cours des prochains mois, alors qu’elle continue de revoir ses pratiques en matière de protection de la vie privée et des données. »

Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

Lien connexe

• Rapport spécial au Parlement : Enquête sur la communication et la modification non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada

Relations avec les médias

Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca