Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Chronologie des événements – Déclaration des atteintes à l’Agence du revenu du Canada (utilisation non autorisée de renseignements de contribuables par une tierce partie)

Contexte

L’Agence du revenu du Canada (ARC) a été touchée par diverses atteintes à la vie privée, qu’elle classe en catégories appelées « charges de travail ». La présente chronologie porte sur les atteintes que l’ARC désigne comme des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie.

Ce type d’atteinte se produit habituellement lorsqu’un auteur malveillant utilise des identifiants compromis pour accéder aux renseignements personnels d’un particulier par l’intermédiaire des services en ligne de l’ARC ou qu’il appelle l’ARC en usurpant l’identité d’un contribuable. L’auteur malveillant cherche alors à modifier des renseignements dans le compte du contribuable afin de rediriger le versement d’une prestation ou d’un remboursement dans un autre compte bancaire.

La charge de travail des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie est ensuite divisée en trois sous-catégories :

  • Utilisation non autorisée de renseignements de contribuables par une tierce partie touchant le compte d’un particulier, ce qui constitue une atteinte à la vie privée visant le compte d’un particulier
  • Utilisation non autorisée de renseignements de contribuables par une tierce partie touchant le compte d’une entreprise, où le compte d’une entreprise est compromis, ce qui fait que les renseignements personnels des individus associés à ces comptes (employés, administrateurs, représentants) sont visés par l’atteinte à la vie privée
  • Cas complexe d’utilisation non autorisée de renseignements de contribuables par une tierce partie, qui pointe généralement vers un stratagème plus large et pourrait avoir une incidence sur de nombreux comptes de particuliers et d’entreprise

La déclaration par l’ARC des atteintes liées aux cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie semble découler de la mobilisation du Commissariat à la protection de la vie privée auprès de l’ARC dans le contexte de deux enquêtes (l’enquête sur le service CléGC portant sur une attaque par bourrage d’identifiants et une autre enquête déclenchée à la suite d’une plainte d’un contribuable). L’ARC collabore bien et répond à nos questions sur les causes, les conséquences et l’envergure de ces atteintes, les mesures correctives qui seront prises, etc. Toutefois, les données sont complexes et doivent encore être analysées. C’est ce que l’enquête lancée récemment vise à faire, en plus d’établir si l’ARC a respecté ses obligations en vertu de la Loi sur la protection des renseignements personnels.

Enquêtes connexes relatives à l’ARC

En février 2024, le Commissariat a conclu son enquête sur les attaques par bourrage d’identifiants qui ont touché l’ARC et Emploi et Développement social Canada (EDSC) en 2020, qu’elle a rendue publique en déposant un rapport spécial au Parlement. Au cours des dernières étapes de l’enquête, l’ARC a informé le Commissariat que 15 000 atteintes liées à des fraudes avaient été détectées en 2020, mais jamais signalées au Commissariat.

Parmi les recommandations faites à l’ARC par le Commissariat dans la foulée de l’enquête sur les attaques par bourrage d’identifiants, mentionnons celles-ci :

  • l’amélioration des cadres de communication et de prise de décisions pour favoriser une réaction rapide aux attaques; et
  • l’élaboration de processus complets d’intervention en cas d’incident afin de prévenir les atteintes futures, de les détecter, de les limiter et de les atténuer, notamment en menant des évaluations régulières de la sécurité.

Nous soulignons que l’ARC travaille à donner suite à ces recommandations et que les progrès sont satisfaisants. Le Commissariat surveille la mise en œuvre des recommandations. Dans son dernier compte rendu du 18 octobre 2024, l’ARC a indiqué qu’elle était en bonne voie de mener à bien leur application d’ici février 2025.

Remarque : L’ARC a affirmé que toutes les recommandations seraient mises en œuvre dans un délai de douze mois, mais le Commissariat avait précisé un échéancier différent pour certaines recommandations; certaines devaient être adoptées dans un délai de six mois, et les autres, dans un délai de douze mois. Par conséquent, l’échéancier de six mois pour certaines recommandations n’a pas été respecté.

(caviardé)

En mars 2024, le Commissariat a conclu une enquête relative à une plainte provenant d’une personne dont les renseignements ont été utilisés par un imposteur afin de demander et de toucher la Prestation canadienne d’urgence (PCU). Cette enquête a été rendue publique en juin lorsque le Commissariat a déposé son rapport annuel au Parlement.

L’enquête a permis de conclure qu’au moment de l’incident, l’ARC se fiait à des mesures de protection inadéquates pour empêcher l’accès non autorisé au compte de la personne plaignante, ce qui a permis à un auteur malveillant de modifier le compte de l’ARC de la personne plaignante. L’enquête a révélé que l’ARC n’a pas pris toutes les mesures raisonnables pour assurer l’exactitude des renseignements personnels sur lesquels elle s’est basée pour prendre des décisions administratives concernant la personne plaignante, comme l’exige le paragraphe 6(2) de la Loi sur la protection des renseignements personnels.

L’enquête a aussi montré que le processus d’avis de l’ARC en cas d’atteinte était long (il lui a fallu environ 2 ans et demi pour informer la personne plaignante de l’atteinte) et que l’ARC n’avait pas déclaré au Commissariat ni l’atteinte ayant touché la personne plaignante ni les atteintes semblables.

(caviardé)

Dernières nouvelles

Le 25 octobre 2024, l’ARC soumet un rapport d’atteintes répertoriant 3 232 autres incidents importants d’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant le compte d’un particulier pour la période de novembre 2023 à septembre 2024.

Le 28 octobre 2024, l’équipe de l’émission The Fifth Estate et de Radio-Canada diffuse les résultats d’une enquête selon laquelle plusieurs auteurs malveillants ou pirates informatiques ont accédé à des milliers de comptes de l’ARC, modifié les renseignements sur le dépôt direct, soumis de fausses demandes de remboursement et empoché des dizaines de millions de dollars en versements frauduleux.

Le 29 octobre 2024, après avoir reçu une plainte, le Commissariat annonce la tenue d’une enquête portant sur les atteintes par utilisation non autorisée de renseignements de contribuables par une tierce partie survenues à l’ARC.

Le 4 novembre 2024, le Commissariat (Direction des politiques, de la recherche et des affaires parlementaires) reçoit la réponse à la question inscrite au Feuilleton Q-2954, qui visait à savoir combien d’atteintes à la vie privée s’étaient produites dans les ministères fédéraux depuis le 1ermars 2023. La réponse de l’ARC mentionne ceci :

« Partie a) : L’ARC a subi 9 068 atteintes à la vie privée (qui ont touché un total de 256 978 personnes). De ce nombre :

  • 492 étaient attribuables à des incidents de sécurité (vol et perte de renseignements, communication accidentelle, etc.) (5,4 %)
  • 1 513 étaient attribuables à du courrier mal acheminé (16,7 %)
  • 101 étaient attribuables à l’inconduite d’un employé (accès non autorisé, communication non autorisée, etc.) (1,1 %)
  • 6 908 étaient attribuables à l’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant des comptes individuels (76,2 %)
  • 52 étaient attribuables à l’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant des comptes d’entreprises (0,6 %)
  • 2 ont été découvertes à la suite de plaintes provenant de particuliers ou du Commissariat à la protection de la vie privée du Canada (0,02 %)

Partie b)(vii) : L’ARC signale au Commissariat et au SCT toutes les atteintes substantielles à la vie privée, conformément à l’obligation de déclaration prévue par la Politique sur la protection de la vie privée du SCT. Selon les exigences de la politique du SCT, 7 046 atteintes à la vie privée (77,7 %) ont été signalées au Commissariat et au SCT ou étaient en voie de l’être entre le 1er mars 2023 et le 16 septembre 2024. »

Le 19 novembre 2024, durant l’appel mensuel avec l’ARC, celle-ci a confirmé les éléments suivants :

1) ce ne sont pas toutes les atteintes mentionnées dans sa réponse à la question inscrite au Feuilleton qui étaient de nature substantielle, mais 2) celles qui l’étaient avaient depuis toutes été déclarées au Commissariat (les chiffres varient selon la période couverte).

Rapport de la vérificatrice générale de 2022

Le 21 novembre 2024, durant son témoignage devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI), l’honorable Marie-Claude Bibeau, ministre du Revenu national, mentionne un rapport de la vérificatrice générale publié en 2022 (le « rapport du BVG ») pour justifier les pratiques de l’ARC en matière de déclaration des atteintes. Elle explique qu’en ce qui a trait aux 31 000 incidents et plus déclarés au Commissariat en mai 2024, « on avait déjà commencé à dévoiler [...] cette information », car « 23 000 cas avaient déjà été rendus publics » dans le rapport du BVG.

Le paragraphe 10.116 du rapport 10 de la vérificatrice générale indique que « [e]n date de juillet 2022, l’Agence avait identifié plus de 23 000 cas de vol d’identité reliés aux paiements de prestations liées à la COVID‑19 versées à des particuliers, représentant 131 millions de dollars ». Ce même paragraphe mentionne aussi que « des paiements versés à 179 comptes d’entreprises totalisant 39 millions de dollars avaient été versés à la suite d’un accès non autorisé ».

(caviardé)

Les chiffres de l’ARC en bref

Nombres Explications
5 500 Dans la déclaration du dirigeant principal de l’information du SCT publiée en août 2020
  • Nombre de comptes de l’ARC ciblés par des auteurs malveillants qui ont utilisé le service CléGC pour valider leur identité et accéder à des comptes d’EDSC, puis utiliser le lien électronique pour se connecter directement aux comptes correspondants de l’ARC.
48 500 Dans le rapport d’atteintes de l’ARC relatif aux attaques par bourrage d’identifiants
  • Nombre de comptes possiblement touchés en fonction d’activités suspectes.
  • Rapport reçu en septembre 2020.
26 000 D’après l’enquête sur les attaques par bourrage d’identifiants survenues en 2020, dont le rapport a été publié en février 2024
  • Nombre de comptes de l’ARC qui ont bel et bien été compromis à la suite d’une attaque par bourrage d’identifiants visant directement le système de l’ARC entre le 26 juillet et le 15 août 2020.
34 000 D’après l’enquête sur les attaques par bourrage d’identifiants survenues en 2020, dont le rapport a été publié en février 2024
  • Nombre de personnes touchées par un incident unique.
  • Incidents autres qu’une utilisation non autorisée de renseignements de contribuables par une tierce partie et que les incidents mentionnés dans les rapports d’atteintes soumis au Commissariat le 9 mai 2024 (31 393) et le 25 octobre 2024 (3 232).
15 000 D’après l’enquête sur les attaques par bourrage d’identifiants survenues en 2020, dont le rapport a été publié en février 2024
  • Nombre approximatif d’atteintes liées à des fraudes remontant à 2020 et n’ayant pas été déclarées dont le Commissariat a eu connaissance dans les dernières étapes de l’enquête.
  • Cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie qui ont été signalés au Commissariat dans le rapport d’atteintes soumis par l’ARC le 9 mai 2024.
  • Font partie des 31 393 incidents.
31 393 Dans le rapport du 9 mai (premier rapport trimestriel remis par l’ARC au Commissariat)
  • Nombre d’atteintes substantielles liées à des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant le compte d’un particulier survenues ou détectées entre mai 2020 et novembre 2023.
3 232 Dans le rapport du 25 octobre (deuxième rapport trimestriel remis par l’ARC au Commissariat)
  • Nombre d’atteintes substantielles liées à des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant le compte d’un particulier survenues ou détectées entre novembre 2023 et septembre 2024.
9 068 D’après la réponse à la question inscrite au Feuilleton Q-2954 – Partie a)
  • Comprend les atteintes à la vie privée substantielles et non substantielles.
  • Au total, ces atteintes ont touché 256 978 personnes.
  • Ce nombre reflète toutes les atteintes à la vie privée consignées par l’ARC pour la période de mars 2023 à septembre 2024.
6 908 D’après la réponse à la question inscrite au Feuilleton Q-2954 – Partie b)
  • Nombre de cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant le compte d’un particulier identifiés pour la période de mars 2023 à septembre 2024.
  • Ces cas ont été déclarés au Commissariat et inclus dans le rapport d’atteintes remis par l’ARC le 9 mai 2024 (ils font partie des 31 393 incidents).
7 046 D’après la réponse à la question inscrite au Feuilleton Q-2954 – Partie b)
  • Ce nombre inclut les 6 908 atteintes liées à des cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie mentionnées ci-dessus (7 046-6 908 = 138).
  • Il représente le nombre d’atteintes substantielles à la vie privée pour la période de mars 2023 à septembre 2024; il inclut les cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie et les autres atteintes.
  • Tous les cas ont maintenant été déclarés au Commissariat, soit au moyen des rapports trimestriels, soit au moyen d’un rapport distinct (voir ci-dessous).
138 Dans les données mentionnées dans la réponse à la question inscrite au Feuilleton Q-2954
  • Différence entre les 7 046 atteintes substantielles et les 6 908 cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie.
  • Il s’agit d’autres atteintes substantielles à la vie privée signalées au Commissariat, outre celles mentionnées dans les deux rapports trimestriels.
23 000 Dans le rapport du vérificateur général de 2022
  • Nombre de cas de fraudes découlant d’un vol d’identité et ayant mené à des paiements.
  • L’audit couvrait la période du 15 mars 2020 au 30 septembre 2022.
  • Ces cas de fraude ont été réévalués de façon rétroactive comme étant des atteintes substantielles et signalés dans le rapport d’atteintes trimestriel de l’ARC remis le 9 mai 2024 – ils font partie des 31 393 incidents; il ne s’agit pas de cas de fraude supplémentaires.
(caviardé) Dans le rapport d’atteintes soumis par l’ARC le 14 mai
  • (caviardé)
  • L’ARC n’a pas nommé le service de préparation de déclarations de revenus dans son rapport d’atteintes, mais elle a récemment indiqué qu’il s’agissait de H&R Block.

Historique des rapports d’atteintes de l’ARC

  • Au cours des dernières années, l’ARC a fait partie des institutions ayant signalé le plus grand nombre d’atteintes.
    Trois institutions ayant signalé le plus grand nombre d’atteintes
    2024-2025 (jusqu’à maintenant) 2023-2024 2022-2023
    EDSC (268) EDSC (377) EDSC (196)
    ARC (86*) ARC (71) ARC (30)
    GRC (14) SCC (20) SCC (14)

    * À l’exclusion des atteintes liées à l’utilisation non autorisée de renseignements de contribuables par une tierce partie signalées le 9 mai (31 393 atteintes) et le 25 octobre (3 232 atteintes).

  • Une grande proportion des atteintes régulièrement signalées par l’ARC au Commissariat (avant la réception des rapports d’atteintes liées à l’utilisation non autorisée de renseignements de contribuables par une tierce partie en mai et en octobre) était liée à du furetage par des employés. En 2023-2024, le furetage par des employés constituait 55 % des atteintes déclarées par l’ARC.
Date de modification :