Fiches des enjeux consolidées au sujet des atteintes à la vie privée à l’Agence du revenu du Canada

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique

---

Signalement au Commissariat à la protection de la vie privée des atteintes survenues à l’Agence du revenu du Canada

Notes d’allocution

• En mai 2024, l’Agence du revenu du Canada (ARC) a soumis au Commissariat à la protection de la vie privée du Canada un rapport répertoriant 31 393 atteintes substantielles à la vie privée.
• L’ARC a informé le Commissariat que ces incidents, qu’elle désigne comme des cas individuels d’« utilisation non autorisée de renseignements de contribuables par une tierce partie », avaient été détectés entre mai 2020 et novembre 2023.
• Le 25 octobre 2024, l’ARC a soumis au Commissariat un autre rapport qui faisait état de 3 232 atteintes substantielles supplémentaires, toujours sous la forme d’utilisation non autorisée de renseignements de contribuables par une tierce partie. L’ARC a indiqué que ces atteintes avaient été détectées entre novembre 2023 et septembre 2024.
• Ces deux rapports s’ajoutent aux 33 cas d’utilisation non autorisée de renseignements de contribuables par une tierce partie signalés plus tôt cette année.
• Bien que ce nombre élevé soit préoccupant, il est encourageant de voir que l’ARC a détecté et signalé ces atteintes à la vie privée et qu’elle suit les recommandations formulées dans le rapport d’enquête publié par le Commissariat en février 2024.

Contexte

Atteintes à la vie privée signalées au Commissariat par l’ARC

Exercice	Utilisation non autorisée de renseignements de contribuables par une tierce partie	Incidents autres qu’une utilisation non autorisée de renseignements de contribuables par une tierce partie	Total
2024-2025 (au 31 oct. 2024)	34 658	51	34 709
2023-2024	0	71	71
2022-2023	0	30	30

• Le 14 février 2024, le Commissariat a publié les conclusions de son enquête sur les attaques par bourrage d’identifiants survenues à l’ARC durant l’été 2020. L’ARC a accepté de mettre en œuvre les recommandations du Commissariat, y compris l’élaboration de processus d’intervention en cas d’incidents afin de prévenir, de détecter, de contenir et d’atténuer les atteintes à l’avenir.
• L’ARC continue de donner suite à nos recommandations et fournit périodiquement au Commissariat des comptes rendus sur ses progrès.

Enquête du Commissariat à la protection de la vie privée sur les atteintes à la vie privée à l’Agence du revenu du Canada

Notes d’allocution

• À la suite d’une plainte concernant les atteintes, j’ai annoncé le 29 octobre la tenue d’une enquête sur plus de 31 000 atteintes à la vie privée survenues à l’Agence du revenu du Canada (ARC), dont certaines remontaient à 2020.
• L’enquête visera à déterminer si l’ARC a respecté ses obligations au titre de la Loi sur la protection des renseignements personnels et si ses mesures de protection et ses processus d’intervention sont adéquats.
• Je ne peux vous transmettre d’autre information à ce sujet puisque l’enquête est en cours.

Contexte

• Les institutions fédérales sont tenues de signaler les atteintes au Commissariat conformément aux politiques et aux directives du SCT. Il n’y a aucune exigence à ce sujet dans la Loi sur la protection des renseignements personnels.
• Le Commissariat a rencontré l’ARC à plusieurs reprises afin de comprendre la nature des atteintes signalées en mai, d’obtenir des éclaircissements sur le processus suivi par l’ARC pour informer les personnes touchées par les atteintes et d’en savoir plus sur les efforts que l’ARC déploie pour remédier à ces atteintes et en atténuer les conséquences.
• Lorsqu’on nous signale une atteinte au sein d’une institution assujettie à la Loi sur la protection des renseignements personnels, nous communiquons généralement avec l’institution afin d’évaluer les mesures à prendre, le cas échéant, pour assurer la conformité. Dans ce cas précis, même si nous étions encore en lien avec l’institution, la réception d’une plainte a donné lieu à une enquête.
• Le rapport d’enquête de février 2024 sur l’attaque par bourrage d’identifiants ayant visé l’ARC en 2020 se penchait aussi sur les mesures de protection de l’ARC et son intervention en cas d’atteintes; toutefois, la portée se limitait à l’attaque par bourrage d’identifiants.
• La nouvelle enquête examinera les mêmes éléments, mais sa portée sera plus grande (c.-à-d. qu’elle se penchera sur d’autres vecteurs de menace ayant pu contribuer aux atteintes signalées au Commissariat par l’ARC en mai).
• De façon générale, le Commissariat a pour objectif de terminer les enquêtes dans des délais raisonnables. Cela peut parfois s’avérer difficile compte tenu du nombre croissant de plaintes et des ressources limitées dont il dispose pour servir les Canadiens.

Article 241 de la Loi de l’impôt sur le revenu (LIR)

Notes d’allocution

• L’article 241 de la LIR interdit aux fonctionnaires de communiquer des renseignements relatifs aux contribuables, sous réserve d’exceptions limitées, par exemple aux fins d’une enquête menée en vertu de la Loi sur la protection des renseignements personnels.
• Nous ne croyons pas qu’il soit nécessaire de modifier l’article 241 de la LIR pour autoriser le signalement au Commissariat de préoccupations relatives à la protection de la vie privée. La disposition existante n’empêche pas les organisations gouvernementales de signaler les atteintes à la vie privée au Commissariat, comme l’exige la politique du Secrétariat du Conseil du Trésor (SCT).
• Le signalement des atteintes devrait contenir des renseignements généraux et non des données précises sur un cas ou des renseignements personnels.
• L’article 241 n’empêcherait pas les fonctionnaires de parler d’une atteinte à la vie privée en termes généraux, par exemple d’indiquer quand ils ont eu connaissance de l’atteinte ou quand ils ont signalé l’atteinte au Commissariat.

Contexte

• Aux termes du paragraphe 241(10) de la Loi de l’impôt sur le revenu (LIR), un renseignement confidentiel est un renseignement de toute nature concernant un contribuable obtenu par le ministre responsable de l’ARC ou en son nom pour l’application de la LIR. Toutefois, la définition exclut le renseignement qui ne révèle pas l’identité du contribuable en cause.
• La définition de « renseignement confidentiel » donnée dans la LIR est différente de la définition de « renseignements personnels » contenue dans la Loi sur la protection des renseignements personnels, car elle peut comprendre un renseignement concernant une entreprise, et non seulement un particulier.
• Voir la Politique sur la protection de la vie privée du SCT, en vigueur le 9 octobre 2024. Les entités gouvernementales sont tenues de signaler au SCT et au Commissariat les atteintes substantielles à la vie privée (alinéa 4.2.12).
• L’une des exceptions à l’interdiction de communiquer un renseignement confidentiel au titre de l’article 241 de la LIR concerne les renseignements utilisés dans le but de mener une enquête en vertu de la Loi sur la protection des renseignements personnels (sous-alinéa 241(4)e)(ix) de la LIR et paragraphe 34(2) de la Loi sur la protection des renseignements personnels).
• Selon la Loi sur la protection des renseignements personnels, des renseignements personnels peuvent être communiqués sans le consentement de la personne concernée lorsqu’une loi fédérale ou un règlement autorise cette communication (alinéa 8(2)b)).

Attentes des employés en matière de respect de la vie privée relativement à l’utilisation des téléphones et ordinateurs fournis par leur employeur

Notes d’allocution

• Je sais que certains médias ont affirmé que, dans le but d’identifier des dénonciateurs, l’ARC a examiné ses ordinateurs et ses systèmes afin de savoir qui avait accédé à certains fichiers et pour quelle raison.
• Les employés ont droit au respect de leur vie privée au travail, même s’ils se trouvent dans les locaux de leur employeur et/ou utilisent les appareils de leur employeur, tels que les ordinateurs et les téléphones cellulaires.
• Dans les lignes directrices du Commissariat sur la protection des renseignements personnels au travail, nous insistons sur le fait que toute surveillance des employés doit être limitée à des fins spécifiques, ciblées et appropriées aux circonstances.
• La transparence en matière de surveillance des employés est aussi essentielle. Les employeurs doivent informer les employés du but, de la nature, de l’étendue et des raisons de la surveillance, ainsi que des conséquences possibles pour les travailleurs, à moins qu’il ne s’agisse d’une situation exceptionnelle.

Contexte

• Le 14 novembre 2024, CBC News a publié un article affirmant que l’ARC menait une « chasse aux sorcières » pour trouver des dénonciateurs qui auraient parlé aux médias. On mentionnait aussi que, dans le cadre d’une enquête, une équipe de l’émission The Fifth Estate et de Radio-Canada avait appris que des employés croyaient que l’ARC fouillait les ordinateurs pour voir qui avait accédé à certains dossiers et pour quelle raison.
• À l’occasion de la réunion du Comité sénatorial permanent des finances nationales (NFFN) du 19 novembre 2024, l’honorable Marie-Claude Bibeau, ministre du Revenu national, et Bob Hamilton, commissaire du revenu, ont tous deux nié que l’ARC menait une « chasse aux sorcières ». Le commissaire Hamilton a cependant indiqué que l’ARC tentait de déterminer ce qui s’était passé et ce qu’elle pouvait faire pour s’assurer que tout le monde agisse comme il se doit à l’avenir.
• Lors de la réunion du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) du 21 novembre 2024, la ministre Bibeau a à plusieurs reprises exprimé son désaccord quant à l’utilisation de l’expression « lanceurs d’alerte » pour désigner les employés de l’ARC qui avaient parlé aux médias.
• Durant la même réunion, le commissaire Hamilton a déclaré que l’ARC fait enquête lorsque quelqu’un agit de façon inappropriée par rapport à son code d’éthique et a admis que l’ARC cherchait à déterminer comment l’information était entrée dans le domaine public. Il a aussi indiqué qu’en cas de conduite contraire à son code d’éthique, l’ARC pouvait employer différents moyens allant de mesures disciplinaires mineures jusqu’à la cessation d’emploi.

Légalité d’une recherche dans les courriels d’employés à des fins disciplinaires

Notes d’allocution

• Lorsqu’une institution fédérale apprend qu’un employé a communiqué de façon non autorisée de l’information aux médias, elle peut, au titre de l’article 4 de la Loi sur la protection des renseignements personnels, faire une recherche dans les courriels de l’employé aux fins de son enquête.
• L’enquête peut avoir pour but de prévenir d’autres communications non autorisées ou d’examiner des questions connexes comme du harcèlement ou de la fraude.
• L’institution gouvernementale peut également être tenue d’enquêter, en vertu de la politique du SCT, s’il existe un risque que des renseignements personnels aient été communiqués sans autorisation.
• La Loi sur la protection des renseignements personnels n’autoriserait pas une recherche dans les courriels d’un employé à titre d’acte de représailles dans le cas d’une divulgation protégée d’un prétendu acte répréhensible au titre de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles (LPFDAR).
• La LPFDAR prévoit des processus qui permettent aux fonctionnaires de faire une divulgation protégée d’un prétendu acte répréhensible, y compris un signalement confidentiel au commissaire à l’intégrité du secteur public (article 13). La LPFDAR prévoit qu’un fonctionnaire peut faire une divulgation publique d’un acte répréhensible dans des circonstances limitées (article 16).

Contexte

• Voir l’annexe B – Procédures obligatoires pour les atteintes à la vie privée de la Directive sur les pratiques relatives à la protection de la vie privée du SCT, qui est entré en vigueur le 1er mars 2024.
• Les seuls renseignements personnels qu’une institution fédérale peut recueillir sont ceux qui ont un lien direct avec ses programmes ou ses activités (art. 4. LPRP). Bien qu’une institution fédérale doive normalement recueillir les renseignements directement auprès de la personne concernée, elle n’est pas tenue de le faire si cela risque de contrarier les fins de la collecte (alinéa 5(3)b) de la Loi sur la protection des renseignements personnels).
• L’employeur ne doit ensuite utiliser les renseignements qu’aux fins auxquelles ils ont été recueillis ou pour les usages compatibles avec ces fins, à moins que l’employé consente à une autre utilisation ou qu’une exemption prévue au paragraphe 8(2) s’applique.
• Un fonctionnaire peut communiquer de façon confidentielle à son supérieur hiérarchique, à l’agent supérieur désigné ou au commissaire à l’intégrité du secteur public tout renseignement qui, selon lui, peut démontrer qu’un acte répréhensible a été commis ou est sur le point de l’être. Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles, L.C. 2005, ch. 46, art. 12 et 13.

Enquête sur les attaques par bourrage d’identifiants ayant visé l’Agence du revenu du Canada et Emploi et Développement social Canada (service CléGC) en 2020

Notes d’allocution

• Le 14 février 2024, j’ai publié les résultats d’une enquête sur le respect de la Loi sur la protection des renseignements personnels par l’Agence du revenu du Canada (ARC) et Emploi et Développement social Canada (EDSC) dans le contexte d’attaques survenues durant l’été 2020.
• Les pirates informatiques ont utilisé le vecteur d’attaque par bourrage d’identifiants pour accéder au portail en ligne de l’ARC et ensuite créer ou modifier plus de 34 000 comptes de contribuables.
• L’enquête a révélé que les pirates avaient exploité des failles dans les processus d’authentification de l’identité de l’ARC et que celle-ci avait sous-évalué le niveau d’assurance de l’identité requis pour ses services en ligne. Elle a aussi permis de constater que l’ARC n’avait pas été en mesure de détecter ni de limiter rapidement les atteintes.
• L’ARC a accepté de mettre en œuvre les recommandations du Commissariat, notamment d’adopter des processus exhaustifs d’intervention en cas d’incident et de mener des évaluations régulières de la sécurité. Le Commissariat continue de faire un suivi auprès de l’ARC pour savoir comment progresse la mise en œuvre de ses recommandations.

Contexte

• Il s’agissait d’une enquête menée à l’initiative du Commissaire au sujet de l’ARC, de Services partagés Canada et d’EDSC. Par la suite, un petit nombre de plaintes contre l’ARC et EDSC ont été reçues.
• Dans le cas d’une attaque par bourrage d’identifiants, les pirates informatiques utilisent des identifiants volés lors d’atteintes précédentes contre d’autres organisations pour accéder à des comptes en ligne existants. Cette technique exploite la tendance des gens à réutiliser leurs noms d’utilisateur et mots de passe.
• Contrairement à la précédente, la nouvelle enquête sur l’ARC, qui a été annoncée le 29 octobre 2024, portera sur ses mesures de sécurité et ses processus d’intervention en cas d’atteintes dans un contexte plus large, en tenant compte d’autres vecteurs d’attaques possibles (outre le bourrage d’identifiants) qui pourraient avoir causé les atteintes signalées au Commissariat le 9 mai (plus de 31 000) et le 25 octobre (plus de 3 200).
• Dans les dernières étapes de l’enquête, l’ARC nous a fait part de 15 000 atteintes non signalées qui s’ajoutaient aux 34 000 atteintes et plus faisant partie de l’incident de bourrage d’identifiants mentionné dans le rapport sur le service CléGC.

Annonce de l’ARC concernant l’atteinte contre le service CléGC

Notes d’allocution

• Le Secrétariat du Conseil du Trésor a informé les Canadiens des attaques par bourrage d’identifiants contre le service CléGC et des comptes de l’ARC en publiant une déclaration du Bureau du dirigeant principal de l’information le 17 août 2020.

Contexte

• Dans sa déclaration, le gouvernement du Canada a indiqué qu’il prenait des mesures à la suite d’attaques de « bourrage de justificatifs» contre le service CléGC ainsi que des comptes de l’Agence du Revenu du Canada (ARC). Ces attaques, qui utilisaient des noms d’utilisateur et des mots de passe recueillis à la suite de précédents piratages de comptes dans le monde entier, tiraient parti du fait que de nombreuses personnes utilisent les mêmes noms d’utilisateur et mots de passe pour plusieurs comptes.
• Le gouvernement a indiqué que tous les comptes CléGC touchés ont été annulés dès que la menace a été découverte et les ministères communiquent avec les utilisateurs dont les comptes ont été annulés afin de leur fournir des instructions sur la façon d’obtenir une nouvelle CléGC.
• Il a aussi déclaré qu’environ 5 500 comptes de l’ARC ont été ciblés dans le cadre de cette récente attaque de « bourrage de justificatifs» visant l’ARC. L’accès à tous les comptes touchés a été suspendu pour protéger les renseignements des contribuables. L’Agence communique avec tous les particuliers touchés et travaillera de pair avec eux pour rétablir l’accès à leur compte Mon dossier de l’ARC.
• Le gouvernement poursuit son enquête, de même que la GRC, pour déterminer s’il y a eu des atteintes à la vie privée et si des renseignements ont été obtenus à partir de ces comptes. De plus, le Commissariat a été informé pour lui signaler que des atteintes à la vie privée pourraient avoir eu lieu.
• Le Commissariat à la protection de la vie privée a annoncé le 13 octobre 2020 que deux enquêtes seraient menées à l’initiative du Commissaire.

Réponse à la question inscrite au Feuilleton portant sur les atteintes à la vie privée

Notes d’allocution

• J’ai pris connaissance de la réponse de l’Agence du revenu du Canada (ARC) à la question inscrite au Feuilleton Q-2954, où elle a indiqué qu’elle avait signalé ou était sur le point de signaler au Commissariat 7 046 atteintes substantielles à la vie privée.
• L’ARC a confirmé au Commissariat que toutes ces atteintes lui ont maintenant été signalées.
• Ces atteintes seront évaluées dans le cadre de l’enquête que j’ai annoncée le 29 octobre. Comme l’enquête est en cours, je ne peux pas fournir d’autres renseignements pour le moment.

Contexte

• Le 4 novembre, le Commissariat a reçu copie de la réponse à la question inscrite au Feuilleton Q-2954, qui visait à savoir combien d’atteintes à la vie privée s’étaient produites dans les ministères fédéraux depuis le 1er mars 2023. En ce qui a trait à la situation qui nous occupe, l’ARC a signalé ce qui suit :
  • Partie a) : L’ARC a subi 9 068 atteintes à la vie privée (qui ont touché un total de 256 978 personnes). De ce nombre :

• 492 étaient attribuables à des incidents de sécurité (vol et perte de renseignements, communication accidentelle, etc.) (5,4 %)
• 1 513 étaient attribuables à du courrier mal acheminé (16,7 %)
• 101 étaient attribuables à l’inconduite d’un employé (accès non autorisé, communication non autorisée, etc.) (1,1 %)
• 6 908 étaient attribuables à l’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant des comptes de particuliers (76,2 %)
• 52 étaient attribuables à l’utilisation non autorisée de renseignements de contribuables par une tierce partie touchant des comptes d’entreprises (0,6 %)
• 2 ont été découvertes à la suite de plaintes provenant de particuliers ou du Commissariat à la protection de la vie privée du Canada (0,02 %)
• Partie b)(vii) : L’ARC signale au Commissariat et au SCT toutes les atteintes substantielles à la vie privée, conformément à l’obligation de déclaration prévue par la Politique sur la protection de la vie privée du SCT. Selon les exigences de la politique du SCT, 7 046 atteintes à la vie privée (77,7 %) ont été signalées au Commissariat et au SCT ou étaient en voie de l’être entre le 1er mars 2023 et le 16 septembre 2024.

H&R Block

Notes d’allocution

• En avril 2024, H&R Block a informé le Commissariat qu’elle enquêtait sur des allégations anonymes d’une possible atteinte à la vie privée.
• H&R Block a par la suite déclaré que son enquête n’avait pas permis de corroborer les allégations et que, par conséquent, elle n’avait pas soumis de rapport d’atteinte au Commissariat.
• Je sais que des médias ont affirmé que l’ARC avait observé, au début du printemps 2024, un scénario dans lequel des fraudeurs utilisaient des identifiants de H&R Block pour prendre le contrôle de comptes de contribuables. Toutefois, je n’ai reçu aucune plainte à ce sujet ni aucune information concernant le rôle présumé de H&R Block dans des atteintes à la vie privée ayant touché l’ARC.
• Le 29 octobre 2024, après avoir reçu une plainte contre l’ARC, j’ai lancé une enquête sur des cyberattaques ayant mené à plus de 31 000 atteintes à la vie privée à l’ARC, dont certaines remontaient à 2020.
• Dans le cadre de cette enquête, le Commissariat peut communiquer avec des tiers, dont H&R Block, au besoin.

Contexte

• En juillet 2024, en réponse aux questions du Commissariat, H&R Block a présenté l’étendue de son enquête et sa conclusion selon laquelle aucun renseignement personnel n’avait été compromis. Elle n’a fait aucune mention d’identifiants qui auraient pu être compromis.
• Compte tenu des déclarations de H&R Block, nous avons établi qu’il n’y avait eu aucune atteinte à la vie privée et avons fermé le dossier.
• (caviardé)
• L’enquête sur les atteintes survenues à l’ARC qui a été lancée le 29 octobre vise à faire la lumière sur leurs causes possibles.

Statistiques et tendances en matière de signalement des atteintes

Notes d’allocution

• Au cours de la dernière année, le Commissariat à la protection de la vie privée a constaté une augmentation de 28 % des signalements d’atteintes à la vie privée par rapport à l’année précédente, tant en provenance du secteur public fédéral que du secteur privé.
• Dans le secteur privé, si le nombre d’incidents signalés a augmenté dans une certaine mesure, le nombre de personnes touchées par les atteintes à la vie privée signalées au Commissariat, lui, a plus que doublé, passant de 12 millions à environ 25 millions de comptes canadiens touchés.
• Malgré la hausse du nombre de signalements, le Commissariat reste préoccupé par le fait que certaines atteintes à la vie privée peuvent ne pas être détectées, être mal évaluées et, en fin de compte, ne pas être signalées, en particulier les cyberincidents qui surviennent dans les institutions fédérales. Seule une minorité d’entre elles signalent ces incidents.
• Alors que près de la moitié (46 %) des rapports du secteur privé reçus en 2023-2024 faisaient état de cyberattaques, seulement 7 % des rapports du secteur public indiquaient qu’un cyberincident était à la source de l’atteinte.
• Bien que l’ARC ait signalé plus de 30 000 atteintes au Commissariat depuis le début de l’exercice, un grand nombre d’entre elles, voire la plupart, ont été détectées au cours des dernières années, ce qui témoigne de retards importants dans le signalement.

Contexte

Déclarations d’atteinte reçues par le Commissariat

Dates	LPRPDE	LPRP	Total	Atteintes liées à des cyberincidents (secteur public)
2024-2025 (au 31 octobre)	412	413*	825	6 (1,4 %)
2023-2024	693	561	1 254	37 (6,6 %)
2022-2023	681	298	979	1 (0,3 %)

* N’inclut pas les atteintes survenues à l’ARC et signalées le 9 mai (31 393) et le 25 octobre (3 232).

• Il est à noter que toutes les cyberattaques liées à l’utilisation non autorisée de renseignements de contribuables par une tierce partie qui ont été signalées par l’ARC ont été comptabilisées comme une seule atteinte.
• Sur les 37 atteintes (6,6 %) liées à des cyberincidents qui ont été signalées en 2023-2024, 33 concernaient BGRS. Si l’on compte ces 33 atteintes comme un seul incident, il ne reste que 4 atteintes (0,7 %) qui sont liées à des cyberincidents.

Exigences du SCT en matière de déclaration obligatoire des atteintes

Notes d’allocution

• Bien que des exigences en matière de signalement des atteintes à la vie privée s’appliquent tant au secteur public fédéral qu’au secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la seule loi qui exige la déclaration des atteintes. J’ai recommandé que les obligations de signalement des atteintes deviennent une exigence législative en vertu de la Loi sur la protection des renseignements personnels.
• Selon l’alinéa 4.2.12 de la Politique sur la protection de la vie privée du SCT, les institutions fédérales sont tenues de signaler les atteintes substantielles à la vie privée au SCT et au Commissariat au plus tard sept jours après qu’elles ont déterminé que l’atteinte est substantielle.
  • L’annexe A de la Politique définit une atteinte substantielle comme une atteinte à la vie privée qui pourrait vraisemblablement entraîner un risque réel de préjudice grave pour un individu.
• Durant son enquête sur les attaques par bourrage d’identifiants ayant visé l’Agence du revenu du Canada (ARC) et Emploi et Développement social Canada (EDSC) en 2020, le Commissariat a appris que des atteintes survenues à l’ARC (jusqu’à 15 000) ne lui avaient pas été signalées. J’ai fait état de cette situation dans le rapport spécial au Parlement portant sur cette enquête, qui a été déposé en février 2024.
• Dans le cadre de nos suivis auprès de l’ARC pour surveiller la mise en œuvre des recommandations formulées dans ce rapport spécial, le 9 mai 2024, le Commissariat a reçu un rapport de l’ARC qui répertoriait plus de 31 000 atteintes à la vie privée, dont certaines remontaient à 2020.

Contexte

• De façon générale, le Commissariat est préoccupé par le fait que, trop souvent, les atteintes à la vie privée ne sont pas détectées ou sont mal évaluées, entraînant ainsi un sous-signalement de ce type d’atteintes dans le secteur public.
• Le Commissariat continue également de constater un écart important entre les secteurs privé et public en ce qui concerne le signalement des cyberincidents. En 2023-2024, le Commissariat a reçu 321 rapports de cyberincidents provenant du secteur privé, et seulement 37 provenant d’institutions fédérales, dont 33 concernaient une atteinte survenue chez un fournisseur de services du gouvernement (BGRS).

Réponse du Commissariat à la protection de la vie privée aux rapports d’atteinte

Notes d’allocution

• Le Commissariat examine et évalue tous les rapports d’atteinte à la vie privée qui lui sont soumis. Les atteintes qui présentent des risques élevés font l’objet d’un examen minutieux et d’un suivi rigoureux.
• Les rapports sont d’abord examinés afin de déterminer si les atteintes ont été maîtrisées. Ils sont ensuite évalués afin d’établir si le seuil minimal pour signaler une atteinte (risque réel de préjudice grave, ou RRPG) a été franchi, si les personnes touchées ont bien été informées et quelle analyse est nécessaire pour déterminer les prochaines étapes.
• Selon les résultats, le Commissariat peut :
  • Fermer le dossier si l’atteinte présente des risques faibles et si l’organisation touchée a pris les mesures appropriées pour i) limiter la portée de l’atteinte; ii) informer les personnes touchées iii) empêcher qu’un tel incident se reproduise;
  • Demander des éclaircissements à l’organisation qui a fait le signalement ou lui donner des conseils;
  • Formuler des recommandations informelles concernant la façon de limiter la portée d’une atteinte, d’informer les personnes touchées et d’adopter des mesures de prévention;
  • Ouvrir une enquête officielle.

Contexte

• Pour évaluer le RRPG, il faut évaluer : a) la sensibilité des renseignements personnels en cause; b) la probabilité que les renseignements personnels ont été, sont ou seront utilisés à mauvais escient.
• Le Commissariat a mis au point un outil scientifique d’évaluation du RRPG. Il souhaite en offrir une version publique d’ici la fin de l’exercice. L’outil est actuellement utilisé par l’Unité d’intervention en cas d’atteinte à la vie privée du Commissariat pour l’aider à déterminer le niveau d’analyse requis pour chaque rapport d’atteinte. Les atteintes dont le RRPG est moins élevé présentent des risques moindres et nécessitent une analyse moins poussée ainsi qu’une mobilisation moindre du Commissariat auprès de l’organisation touchée.
• Au cours des cinq dernières années, neuf enquêtes ont été ouvertes à l’initiative du Commissaire au sujet d’atteintes signalées au Commissariat, et la plus récente visait l’ARC.

Rapport annuel du CPVP

Notes d’allocution

• Selon l’article 38 de la Loi sur la protection des renseignements personnels, le Commissaire à la protection de la vie privée doit présenter au Parlement, dans les trois mois suivant la fin de chaque exercice, le rapport de ses activités au cours de l’exercice.
• Le plus récent rapport annuel du Commissariat a été remis au Parlement le 6 juin 2024. Il fait état des activités du Commissariat au cours de l’exercice 2023-2024 et comprend le nombre de dossiers d’atteintes qui ont été reçus et fermés entre le 1er avril 2023 et le 31 mars 2024.
• Le 9 mai 2024, l’Agence du revenu du Canada (ARC) a soumis au Commissariat un rapport d’atteintes concernant plus de 31 000 atteintes substantielles à la vie privée, dont certaines remontaient à 2020. Le 25 octobre 2024, elle a remis un autre rapport concernant plus de 3 200 autres incidents. L’ARC a confirmé que ceux-ci constituaient également des atteintes substantielles survenues entre novembre 2023 et septembre 2024.
• Tout rapport d’atteinte reçu par le Commissariat le 1er avril 2024 ou ultérieurement sera mentionné dans le rapport annuel de 2025 que le Commissariat déposera au Parlement au titre de l’article 38 de la Loi sur la protection des renseignements personnels.

Contexte

• Le 28 octobre 2024, l’émission The Fifth Estate et Radio-Canada ont indiqué que l’ARC avait admis avoir subi, entre mars 2020 et décembre 2023, plus de 31 468 atteintes substantielles à la vie privée qui ont touché 62 000 contribuables canadiens.
• On soutenait dans l’article que le Commissariat avait justifié sa décision de ne pas mentionner l’augmentation massive du nombre d’atteintes à la vie privée dans son rapport annuel au Parlement déposé en juin 2024 en disant que l’ARC avait envoyé l’information après la période couverte par le rapport.
• Les chiffres donnés par les médias (31 468) ont été fournis par le Secrétariat du Conseil du Trésor et diffèrent de ceux fournis au Commissariat (31 393) par l’ARC dans son rapport d’atteintes du 9 mai.
• Dans ses deux derniers rapports annuels, le Commissariat a indiqué avoir reçu respectivement 71 (2023-2024) et 30 (2022-2023) rapports d’atteintes de la part de l’ARC. Pour les deux exercices, l’ARC était au deuxième rang des institutions fédérales ayant signalé le plus grand nombre d’atteintes au Commissariat. Emploi et Développement social Canada occupait la première place avec 377 atteintes en 2023-2024 et 196 atteintes en 2022-2023.

Évaluation des facteurs relatifs à la vie privée et consultations avec l’Agence du revenu du Canada sur les mesures de détection de la fraude

Notes d’allocution

• L’Agence du revenu du Canada (ARC) s’est montrée réceptive et proactive quant à l’élaboration d’évaluations des facteurs relatifs à la vie privée (EFVP) et elle reste en contact avec le Commissariat.
• Depuis le début de 2024, le Commissariat a reçu quatre EFVP de l’ARC relativement à des programmes nécessitant l’identification des contribuables, à l’observation d’activités suspectes et à des enquêtes sur des fraudes.
• Le Commissariat a répondu à ces EFVP en formulant certaines recommandations relatives à la responsabilisation, à l’efficacité, à la limitation de la collecte, de l’utilisation, de la communication et de la conservation, à l’avis et au consentement ainsi qu’à la prise de décision automatisée.
  • Des douze recommandations qui ont été faites, l’ARC en a accepté neuf. Les autres recommandations avaient trait à un manque de clarté dans les EFVP.
• Les recommandations du Commissariat ne sont pas contraignantes et il revient en fin de compte à l’institution de décider si elle les mettra en œuvre et de quelle façon.

Contexte

• Quelques programmes permettent de détecter les fraudes, par exemple le programme de gestion de l’authentification et des justificatifs d’identité ou le programme de vérification et examen de la TPS et TVH, ou encore les informations de source anonymes fournies par l’intermédiaire des services de protection individuels. Les cas les plus graves d’évasion et de fraude fiscales sont traités par le programme des enquêtes criminelles de l’ARC.
• L’EFVP pour le programme des enquêtes criminelles a été mis à jour en février 2024. L’ARC a accepté les recommandations relatives à la formation des employés en matière de protection de la vie privée, à la transparence des avis de confidentialité ainsi qu’à l’élaboration de documents d’orientation clairs pour les enquêteurs. Toutefois, l’ARC n’a pas fourni les éclaircissements nécessaires quant à la façon dont elle conserve les renseignements personnels recueillis aux fins d’enquêtes.
• Les plus récentes consultations et EFVP portaient sur la mise en œuvre de programmes de prévention et de détection des atteintes ainsi que de limitation de l’accès inapproprié aux renseignements des contribuables par les employés plutôt que par des tierces parties.

Réforme de la Loi sur la protection des renseignements personnels – Avis d’atteinte à la vie privée

Notes d’allocution

• La Loi sur la protection des renseignements personnels n’a malheureusement pas beaucoup changé depuis son entrée en vigueur il y a plus de 40 ans.
• En 2020, le ministère de la Justice a publié un document de consultation proposant une série de changements à la Loi sur la protection des renseignements personnels, notamment l’obligation de tenir un registre des atteintes et d’informer le Commissariat et les personnes touchées lorsqu’il y a un risque de préjudice grave.
• Dans son mémoire, le Commissariat a recommandé l’adoption d’un libellé plus précis sur l’échéancier des rapports d’atteintes à la vie privée, proposant que les atteintes soient signalées « dans les meilleurs délais et au plus tard dans les sept jours civils après que l’institution ait pris connaissance de l’atteinte », plutôt que « dès que possible », soit l’expression suggérée par le ministère de la Justice.
• Avec des échéanciers clairs et courts, le Commissariat pourrait intervenir efficacement et les institutions connaîtraient exactement leurs obligations légales.

Contexte

• D’après le document de consultation du ministère de la Justice, la Loi devrait obliger les organismes publics fédéraux à réduire et à atténuer les répercussions des atteintes substantielles à la protection des renseignements personnels, et à aviser le Commissaire à la protection de la vie privée et les individus touchés s’il y a un risque de préjudice grave pour les individus en question. L’obligation de notification s’appliquerait dès que possible après la prise de mesures visant à limiter les dommages causés et à évaluer la situation.
• En mars 2021, le Commissariat a présenté un mémoire dans lequel il recommandait ce qui suit concernant les obligations en matière de déclaration des atteintes :
  • Le Commissariat devrait obtenir l’accès à tous les rapports préparés par les institutions ou pour elles au sujet de la cause d’une atteinte à la vie privée et des leçons apprises à la suite de celle-ci.
  • Le Commissariat devrait être avisé dans les meilleurs délais et au plus tard dans les sept jours civils, après avoir pris connaissance de l’atteinte.
  • Afin d’assurer une certaine cohérence avec la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur la protection de la vie privée des consommateurs proposée, l’expression « risque réel de préjudice grave » devrait être utilisée dans la définition du seuil applicable aux atteintes à déclarer.
• La plus récente mise à jour du ministère de la Justice depuis le lancement de la consultation a été la publication d’un rapport « ce que nous avons entendu » en août 2021 et d’un rapport sur la consultation des Autochtones en 2022 publié en octobre 2023.

Recours collectif de 2022 au sujet des atteintes à la vie privée

Notes d’allocution

• En 2020, une importante atteinte à la sécurité des données a touché les comptes en ligne gérés par l’Agence du revenu du Canada (ARC) et Emploi et développement social Canada (EDSC).
• L’atteinte a compromis les données de plus de 45 000 personnes et des milliers de comptes ont été utilisés pour demander frauduleusement des prestations gouvernementales mises en place pendant la pandémie de COVID-19.
  • J’ai publié les résultats de mon enquête sur cette atteinte le 14 février 2024.
• En 2020, un recours collectif a été intenté relativement à cette atteinte. En 2022, la poursuite a été autorisée par un juge de la Cour fédérale.

Contexte

• Dans l’affaire Sweet v. Canada, 2022 FC 1228, le juge Southcott de la Cour fédérale a autorisé l’action comme recours collectif en vertu de la règle 334.16 des Règles des Cours fédérales.
• Le représentant du groupe, Todd Sweet, affirme qu’il a découvert en 2020 que ses renseignements sur le dépôt direct qui se trouvaient dans le portail « Mon dossier » de l’Agence du revenu du Canada (ARC) avaient été modifiés et qu’une personne inconnue et non autorisée avait utilisé son compte pour présenter quatre demandes de prestations mises en place pendant la pandémie de COVID-19.
• Les comptes du gouvernement ont fait l’objet d’une attaque par bourrage d’identifiants de la part d’un auteur de menaces. Il existe des preuves que 48 110 comptes de l’ARC ont été touchés et que 12 700 d’entre eux ont été utilisés à des fins frauduleuses. Des preuves indiquent aussi que 5 957 comptes d’EDSC ont été touchés, dont 1 200 ont été utilisés pour demander des prestations liées à la COVID-19.
• Les comptes compromis contenaient des renseignements personnels et financiers, par exemple des registres financiers, des avis de cotisation et de l’information sur les handicaps, les enfants et le statut d’immigrant des titulaires de comptes.
• Les questions certifiées comme points de droit ou de fait communs portent sur la négligence systémique, l’abus de confiance et l’intrusion dans l’intimité.
• Le groupe comprend des personnes dont les renseignements personnels et financiers qui se trouvaient dans un compte en ligne gouvernemental ont été divulgués à une tierce partie sans leur autorisation entre le 1er mars et le 31 décembre 2020, sous réserve de certaines exclusions.

Rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) sur l’utilisation par le gouvernement fédéral d’outils de criminalistique numérique

Notes d’allocution

• J’accueille favorablement le récent rapport du Comité sur l’étude de l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et des ordinateurs, dans le cadre de laquelle j’ai comparu devant le Comité en février.
• Je note que le rapport confirme la nécessité de mettre en place un certain nombre de mesures essentielles que j’ai recommandées, dont les suivantes :
  • modifier le préambule de la Loi sur la protection des renseignements personnels pour reconnaître le droit à la vie privée comme un droit fondamental;
  • accorder au Commissariat le pouvoir de faire des recommandations et de rendre des ordonnances lorsque je constate des violations à la Loi sur la protection des renseignements personnels.
• L’augmentation de la menace et de la gravité des cyberattaques vient renforcer la pertinence de ces recommandations pour assurer la protection adéquate des renseignements personnels des Canadiennes et des Canadiens.

Contexte

• Le Comité ETHI a lancé son étude à la suite d’un reportage paru en novembre 2023 et indiquant qu’au moins 13 ministères et organismes fédéraux utilisaient des outils permettant d’extraire les données personnelles d’appareils mobiles ou d’ordinateurs et que le recours à cette technologie n’avait pas fait l’objet d’une évaluation des facteurs relatifs à la vie privée (EFVP).
• Le Comité ETHI a présenté son rapport à la Chambre des communes le 10 octobre 2024.
• Le rapport du Comité ETHI reprenait nombre des recommandations faites par le Commissaire lors de sa comparution en février. À la suite du dépôt de ce rapport, le Commissariat a publié une déclaration dans laquelle il saluait les recommandations du Comité.
• Depuis 2022, le Comité ETHI a recommandé que la Loi sur la protection des renseignements personnels soit modifiée afin d’octroyer au Commissariat le pouvoir de rendre des ordonnances dans trois autres rapports : 1) Collecte et utilisation des données sur la mobilité par le gouvernement du Canada et enjeux liés; 2) La technologie de reconnaissance faciale et le pouvoir grandissant de l’intelligence artificielle; 3) Outils d’enquête sur appareil utilisés par la Gendarmerie royale du Canada et enjeux liés.
• Le Comité ETHI a aussi déjà recommandé dans son rapport intitulé Outils d’enquête sur appareil utilisés par la Gendarmerie royale du Canada et enjeux liés que le préambule de la Loi sur la protection des renseignements personnels soit modifié pour reconnaître le droit à la vie privée comme un droit fondamental.

Cybersécurité

Notes d’allocution

• La cybersécurité est un élément fondamental de la protection des données personnelles et sensibles contre l’accès et la communication non autorisés.
• L’orientation du gouvernement du Canada en matière de cybersécurité est la responsabilité du Centre canadien pour la cybersécurité, de Services partagés Canada et du Secrétariat du Conseil du Trésor. Ces trois ministères sont également chargés de surveiller l’infrastructure de technologie de l’information de base du gouvernement afin de détecter et de régler les problèmes.
• Les ministères sont responsables de la sécurité des applications qui relèvent de leur mandat et des données qu’elles traitent.
• Les principes et pratiques exemplaires en matière de protection de la vie privée ainsi que la compréhension des risques et des vulnérabilités d’une organisation donnée devraient guider les décisions et les cadres de cybersécurité. La meilleure façon de réduire la collecte inutile de données et de maintenir des contrôles appropriés est d’intégrer les principes de protection de la vie privée dès la conception et jusqu’à la mise en œuvre.

Contexte

• Lors de la cyberattaque ayant visé l’Agence du revenu du Canada en 2020, les pirates informatiques ont pu accéder à des services gouvernementaux et rediriger des paiements vers des comptes frauduleux. Tant le vecteur d’accès initial (réutilisation d’identifiants, aussi appelée « bourrage d’identifiants ») que le but final (réacheminement non autorisé des fonds) semblent être les mêmes dans cette atteinte.
• Les auteurs de menaces utilisent des canaux de communication bien connus pour échanger des données compromises, par exemple des forums de pirates sur Internet ou des groupes de discussion sur Telegram. En surveillant ces canaux, une organisation peut réussir à avoir une longueur d’avance sur les pirates et ainsi atténuer ou prévenir des campagnes de cyberattaques.
• Pour réduire les risques de réutilisation des identifiants, les ministères peuvent entre autres avoir recours à l’authentification multifacteur et encourager les utilisateurs à se servir d’un logiciel de gestion des mots de passe pour créer de façon sécuritaire des mots de passe forts et aléatoires pour chacune de leurs applications.
• Bien que Services partagés Canada fournisse certaines applications et certains services d’entreprise, comme le lui permettent l’article 8 de la Loi sur Services partagés Canada et son mandat défini par le décret 2015-1071, les ministères sont responsables de la sécurité des applications qui relèvent de leur mandat particulier et des données qu’elles traitent.

Collaborer avec la GRC

Notes d’allocution

• Les activités criminelles liées aux atteintes à la sécurité des données ne relèvent pas des critères de la Loi sur la protection de la vie privée et elles ne font donc pas partie de mon mandat.
• Il incombe aux institutions fédérales qui soupçonnent ou détectent de telles activités criminelles de les signaler aux organismes d’application de la loi, le cas échéant.
• L’Agence du revenu du Canada (ARC) a confirmé au Commissariat qu’elle transmet les cas présumés d’activités criminelles aux forces de l’ordre, le cas échéant.
• Dans le cas où le Commissariat découvrirait ou soupçonnerait une activité criminelle au cours d’une enquête, il se pencherait sur la façon de traiter la question compte tenu de ses obligations légales.
• Le Commissariat collaborera à toute enquête criminelle dans les limites de ce qu’il peut fournir comme information relativement à une enquête en cours.

Contexte

• Durant les réunions du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) les 21 et 26 novembre, le député Adam Chambers a demandé si les atteintes avaient été signalées à la GRC. Lors de sa comparution devant le Comité ETHI, l’ARC a expliqué qu’elle a une équipe des enquêtes criminelles qui est chargée de traiter les dossiers comportant un aspect criminel et qui collabore de près avec les forces de l’ordre, à qui elle transmet des dossiers, le cas échéant.
• Dans ses rapports d’atteinte (dans la section portant sur les avis à d’autres organismes), l’ARC a indiqué qu’elle examine chaque incident où des renseignements personnels sont compromis et qu’elle soumet les cas d’activité criminelle potentielle aux forces de l’ordre, le cas échéant.
• Nous avons appris, dans le cadre d’autres enquêtes relatives à la Loi sur la protection des renseignements personnels, que l’ARC a déjà signalé des activités criminelles à la GRC aux fins d’enquête. Autrement, l’ARC ne transmet pas de détails ni d’information sur l’état d’avancement d’une enquête de la GRC ou sur d’autres communications connexes, et jusqu’à maintenant, nous n’avons pas jugé nécessaire de contacter la GRC pour faire avancer une enquête du Commissariat.
• Selon le paragraphe 64(2) de la Loi sur la protection des renseignements personnels, le Commissaire peut, à sa discrétion, faire part au procureur général du Canada de renseignements qu’il détient à l’égard de la perpétration d’une infraction par un administrateur, un dirigeant ou un employé d’une institution fédérale si, à son avis, il existe des éléments de preuve.

Financement pour traiter les atteintes

Notes d’allocution

• Depuis qu’il est obligatoire de déclarer les atteintes à la vie privée, le volume et la complexité des atteintes qui sont signalées au Commissariat ont augmenté de manière exponentielle.
• Les Canadiens et les Canadiennes s’attendent à ce que le Commissariat évalue les atteintes qui lui sont signalées afin de prendre en compte les risques liés aux mesures de sécurité, d’atténuer les dommages et de prévenir les atteintes.
• Le budget de 2023 prévoyait 5,7 millions de dollars sur deux ans pour gérer l’arriéré des enquêtes et permettre au Commissariat d’examiner en profondeur un plus grand nombre de rapports d’atteintes à la vie privée.
• Ce financement temporaire a permis de réaliser de réelles avancées en ce qui concerne ces priorités, mais nous aurons besoin d’une solution permanente si nous voulons nous attaquer au volume et à la complexité des problèmes de protection de la vie privée dans le contexte numérique actuel.
• Voilà pourquoi, au minimum, le financement temporaire de 5,7 millions de dollars destiné à la réduction de l’arriéré des plaintes et aux enquêtes sur les atteintes à la vie privée devrait devenir permanent.

Contexte

• En mai 2014, la déclaration au Commissariat des atteintes à la vie privée est devenue obligatoire dans le secteur public fédéral par l’intermédiaire d’instruments de politique du Secrétariat du Conseil du Trésor. Quant au signalement des atteintes à la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, il est entré en vigueur en novembre 2018.
• Avant l’exercice 2018-2019, le Commissariat recevait en moyenne, par exercice, environ 220 rapports d’atteintes à la vie privée provenant autant d’entités du secteur public que du secteur privé. Au cours des cinq derniers exercices, le Commissariat a reçu respectivement 1 019, 1 062, 1 108, 979 et 1 254 rapports d’atteintes, soit cinq fois plus en moyenne.
• Le budget de 2023 prévoyait un montant supplémentaire de 5,7 millions de dollars sur deux ans pour permettre au Commissariat de traiter un nombre croissant d’atteintes à la vie privée signalées et l’arriéré des plaintes :

  2023-2024	2024-2025
  2,84 M	2,84 M

• Ce financement se voulait une mesure provisoire en attendant la réforme des lois sur la protection de la vie privée; il devait permettre d’assurer les responsabilités en matière de surveillance des atteintes à la vie privée et de mener en temps voulu les enquêtes relatives aux plaintes du public.

Consentement à l’échange de renseignements personnels par des plateformes de déclaration de revenus tierces

Notes d’allocution

• Sans un examen approfondi, je ne peux pas parler d’une entente de divulgation précise liée à un service commercial en particulier.
• La Loi sur la protection des renseignements personnels et les documents électroniques prévoit qu’un consentement explicite devrait généralement être obtenu si les renseignements sont susceptibles d’être considérés comme sensibles (ce qui serait le cas de renseignements financiers).
• L’orientation du Commissariat quant à l’obtention d’un consentement valable énonce clairement que les organisations doivent informer les personnes de leurs pratiques de protection des renseignements personnels de manière complète et compréhensible pour que le consentement soit valable.
• L’utilisation d’un langage obscur, complexe et déroutant, souvent dans des politiques de confidentialité ou des conditions d’utilisation trop longues ou rédigées dans un langage trop technique, constitue une pratique de conception trompeuse courante. De telles pratiques visent à inciter les utilisateurs à prendre des décisions en matière de protection de leur vie privée qui ne sont pas dans leur intérêt.

Contexte

• Lors de sa comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) le 26 novembre 2024, André Lareau, professeur à l’Université Laval, a déclaré que les contribuables qui utilisent des plateformes de préparation de déclaration de revenus de tiers, comme celle de H&R Block, sont généralement tenus par les conditions d’utilisation de ces plateformes d’accepter la communication de leurs renseignements personnels à des entreprises telles que Meta et Google, y compris à l’extérieur du Canada. En utilisant les plateformes, les contribuables sont réputés avoir accepté ces conditions. M. Lareau a recommandé qu’on interdise à ces plateformes de transmettre les renseignements des contribuables à d’autres parties.
• Le principe 4.3.6 de la LPRPDE prévoit qu’« une organisation doit généralement obtenir le consentement explicite d’une personne lorsque les renseignements sont susceptibles d’être considérés de nature sensible. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant.»
• Dans le rapport sur le ratissage du Commissariat portant sur les pratiques de conception trompeuse publié en juillet 2024, il était indiqué que sur les 145 sites Web et applications examinés, dans 96 % des cas, les politiques de confidentialité étaient soit trop longues, soit rédigées dans un langage technique et déroutant, ce qui les rendait difficiles à lire et à comprendre.
• En octobre 2024, dans une résolution conjointe intitulée « Repérer et atténuer les préjudices découlant des mécanismes de conception trompeuse relatifs à la protection de la vie privée », les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée ont appelé les organisations à promouvoir la transparence lors de la collecte de renseignements personnels en utilisant un langage simple et clair.

Utilisation des pixels par les fraudeurs ayant visé l’Agence du revenu du Canada

Notes d’allocution

• L’enquête sur les atteintes à l’Agence du revenu du Canada (ARC) évaluera le respect des dispositions de la Loi sur la protection des renseignements personnels, y compris les mesures de protection contre l’accès non autorisé et la modification des renseignements personnels.
• Le Commissariat se penchera sur les vecteurs d’attaque que les auteurs malveillants ont utilisés et sur les vulnérabilités qu’ils ont exploitées pour accéder aux comptes des contribuables ou en créer de nouveaux.
• Même s’il est possible que des vulnérabilités existent dans certaines portions du processus utilisé pour accéder aux systèmes de l’ARC, le Commissariat n’a pas été informé de problèmes liés à des pixels transmis par l’intermédiaire de Meta ou de Google.
• La portée d’une enquête peut être élargie en cours de route si d’autres questions pertinentes émergent.

Contexte

• Lors de la réunion du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) du 26 novembre, M. Lareau, professeur à l’Université Laval, s’est dit préoccupé par le fait qu’ImpôtExpert facilite le transfert de renseignements personnels de ses clients à Google et à Meta.
• Nous n’avons reçu aucune plainte à ce sujet et nous n’avons pas non plus entendu parler de préoccupations concernant ImpôtExpert en particulier.
• ImpôtExpert est un logiciel de préparation de déclaration de revenus vendu en ligne et en magasin.
• ImpôtExpert appartient à Thomson Reuters. Sa déclaration de confidentialité comprend de nombreux exemples de données personnelles qui sont recueillies, entre autres des données sur l’utilisation ainsi que sur les appareils et les navigateurs utilisés, des données de localisation et des données biométriques. Elle décrit également la manière dont Thomson Reuters et ses partenaires commerciaux tiers (tels que les réseaux de médias sociaux) peuvent utiliser des technologies de suivi telles que des images invisibles, des balises et des pixels. Selon la déclaration, les utilisateurs peuvent empêcher la mise en place des outils de suivi ou en modifier les paramètres.

Conditions d’utilisation des plateformes de déclaration de revenus tierces

Notes d’allocution

• Le Commissariat à la protection de la vie privée a pris note du témoignage présenté devant ce comité concernant les conditions d’utilisation que des plateformes de déclaration de revenus tierces appliquent relativement à la communication des renseignements personnels.
• Les entreprises de préparation de déclarations de revenus tierces sont assujetties aux lois canadiennes sur la protection de la vie privée. Même si la Loi sur la protection des renseignements personnels et les documents électroniques ne mentionne pas précisément les conditions d’utilisation, elle prévoit qu’un consentement explicite devrait généralement être obtenu si les renseignements sont susceptibles d’être considérés comme sensibles, ce qui serait le cas de la plupart des renseignements financiers.
• Les individus doivent avoir été informés des pratiques de l’organisation en matière de protection de la vie privée de manière détaillée et en des termes faciles à comprendre. La transparence est importante pour assurer un consentement valable.
• L’utilisation d’un langage obscur, complexe et déroutant, souvent dans des politiques de confidentialité ou des conditions d’utilisation trop longues ou rédigées dans un langage trop technique, constitue une pratique de conception trompeuse courante. De telles pratiques visent à inciter les utilisateurs à prendre des décisions en matière de protection de leur vie privée qui ne sont pas dans leur intérêt.

Contexte

• Selon sa politique sur la confidentialité qui se trouve en ligne, H&R Block (Canada) limite la collecte, l’utilisation ou la divulgation de renseignements personnels « à ce qui est nécessaire pour répondre aux besoins en matière de produits et de services » et utilise les témoins et autres technologies de suivi (p. ex. les balises Web) uniquement pour améliorer l’expérience en ligne des clients.

Enquête du Congrès américain sur des attaques visant la confidentialité de renseignements fiscaux (2023)

Notes d’allocution

• En raison de leur caractère sensible et parce qu’il est important que le public ait confiance dans le système fiscal, les renseignements des contribuables exigent le niveau de protection le plus élevé.
• Aux États-Unis, une enquête menée par le Congrès en 2023 a révélé que de grandes sociétés de préparation des déclarations de revenus, dont H&R Block, communiquaient des renseignements sur les contribuables à Meta et à Google sans le consentement valable des contribuables.
• Un récent rapport de vérification publié par l’inspecteur général du Trésor pour l’administration fiscale a aussi révélé que quatre entreprises de préparation de déclarations de revenus (dont les noms n’ont pas été dévoilés) n’avaient pas respecté l’obligation réglementaire d’informer clairement les contribuables des fins auxquelles les renseignements contenus dans leurs déclarations de revenus seraient utilisés.
• Ce rapport concluait également que l’Internal Revenue Service (IRS) n’était pas au courant de l’étendue des renseignements fiscaux communiqués à des tiers par l’intermédiaire des sites Web des entreprises de préparation de déclarations de revenus.

Contexte

• En novembre 2022, le journal américain The Markup a déclaré que les principaux services de préparation de déclaration de revenus transmettaient depuis des années des renseignements sensibles sur les contribuables à Meta et à Google. À la suite de ces révélations, un groupe de législateurs démocrates a ouvert une enquête sur l’ampleur des divulgations.
• Dans leur rapport publié en juillet 2023, ils indiquaient que des entreprises de préparation de déclaration de revenus comme TaxAct, TaxSlayer et H&R Block avaient fourni à Meta et à Google des millions de renseignements sur les déclarations d’impôts des contribuables au moyen de « pixels espions », des balises créées par des entreprises technologiques, que des entreprises intègrent à leurs sites Web pour améliorer le suivi et le ciblage des utilisateurs.
• Le rapport concluait que les entreprises avaient fait preuve d’une insouciance éhontée en activant les outils de suivi de Meta et de Google sur leurs sites Web sans saisir pleinement comment les données des contribuables seraient communiquées, qu’elles semblaient avoir agi avec un « mépris stupéfiant » pour la vie privée des contribuables en n’informant pas les utilisateurs de la manière dont leurs renseignements seraient recueillis et utilisés et que, ce faisant, elles avaient peut-être contrevenu aux lois sur la protection de la vie privée des contribuables.
• En octobre 2024, les législateurs à l’origine du rapport ont une fois de plus demandé au département de la Justice d’enquêter après la publication en septembre 2024 d’un rapport de vérification de l’inspecteur général du Trésor pour l’administration fiscale qui a révélé que quatre entreprises de préparation de déclaration de revenus (dont les noms n’avaient pas été dévoilés) avaient communiqué des renseignements sur des consommateurs sans obtenir le consentement valable de ces derniers.

La loi américaine autorise-t-elle les services de déclaration de revenus tiers à transmettre des renseignements sur les utilisateurs?

Notes d’allocution

• Aux États-Unis, l’Internal Revenue Code interdit explicitement aux services de préparation de déclarations de revenus de communiquer les renseignements sur les déclarations à des fins qui ne sont pas liées à la préparation de ces déclarations, sous réserve d’exceptions limitées.
• Bien que la Loi de l’impôt sur le revenu du Canada ne prévoit pas de dispositions similaires, la Loi sur la protection des renseignements personnels et les documents électroniques interdit aux organisations du secteur privé de communiquer des renseignements personnels à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige.
• Il incombe aux entreprises de s’assurer qu’elles respectent la législation canadienne en matière de protection de la vie privée. Un consentement explicite devrait généralement être obtenu si les renseignements sont susceptibles d’être considérés comme sensibles, par exemple des renseignements financiers.
• Pour que le consentement soit considéré comme éclairé et valide, les individus doivent avoir été informés des pratiques de l’organisation en matière de protection de la vie privée de manière détaillée et en des termes faciles à comprendre.

Contexte

• Le Commissariat n’a pas examiné les pratiques relatives à la communication de renseignements des services de préparation de déclarations de revenus au Canada et n’est donc pas en mesure de se prononcer sur la question.
• L’article 7216 de l’Internal Revenue Code, le code américain des impôts, est une disposition pénale qui interdit aux préparateurs de déclarations de revenus de communiquer ou d’utiliser, sciemment ou sans se soucier des conséquences, des renseignements relatifs à une déclaration de revenus à des fins autres que la préparation ou l’aide à la préparation de la déclaration.
• Les articles 301.7216–2 et 301.7216–3 des Treasury Regulations prévoient des exceptions à cette interdiction, par exemple aux fins d’obtention de conseils juridiques ou si le contribuable a consenti à la transmission de ses renseignements à un autre préparateur.
• Les principes relatifs à l’équité dans le traitement de l’information énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques exigent des organisations du secteur privé qu’elles limitent la communication des renseignements aux fins auxquelles ils ont été recueillis (cinquième principe).
• Un rapport publié en 2023 par plusieurs sénateurs américains indiquait que certaines entreprises de préparation de déclarations de revenus avaient admis avoir utilisé des pixels espions de Google et de Meta, ainsi que d’autres sociétés, qui ont envoyé des données personnelles à ces sociétés. Il était précisé que cette façon de faire pouvait constituer une violation des lois américaines.

L’Agence du revenu du Canada respecte-t-elle ses engagements relatifs aux recommandations formulées dans le rapport sur le service CléGC?

Notes d’allocution

• Le 14 février 2024, j’ai publié les résultats d’une enquête sur le respect de la Loi sur la protection des renseignements personnels par l’Agence du revenu du Canada (ARC) et Emploi et Développement social Canada (EDSC) dans le contexte d’attaques par bourrages d’identifiants survenues à l’été 2020.
• Depuis les attaques de 2020, l’ARC a amélioré ses processus d’authentification en ligne et par téléphone qui permettent aux contribuables d’accéder à leurs comptes.
• Dans mon rapport d’enquête, j’avais formulé cinq recommandations à l’intention de l’ARC, notamment :
  • améliorer les cadres de communication et de prise de décisions pour favoriser une réaction rapide aux attaques;
  • élaborer des processus complets d’intervention en cas d’incident afin de prévenir les atteintes futures, de les détecter, de les limiter et de les atténuer, notamment en menant des évaluations régulières de la sécurité.
• Le Commissariat a voulu s’assurer que l’ARC mettait en œuvre ces recommandations en examinant les plans et les présentations et en assurant un suivi régulier avec l’ARC pour évaluer les progrès réalisés.
• Nous estimons que l’ARC est en bonne voie d’achever la mise en œuvre des recommandations du Commissariat d’ici février 2025.

Contexte

• Deux des recommandations devaient être mises en œuvre dans un délai de six mois et deux autres, dans un délai de douze mois. La dernière recommandation préconisait la tenue d’évaluations de la sécurité annuelles et bisannuelles.
• Le Commissariat a suivi la mise en œuvre par l’ARC des recommandations découlant de cette enquête et d’une autre enquête connexe. D’après le dernier compte rendu que nous avons reçu le 18 octobre 2024, l’ARC est en bonne voie d’achever la mise en œuvre des recommandations du Commissariat d’ici février 2025.

Quelles sont vos attentes à l’égard de l’Agence du revenu du Canada? Êtes-vous satisfait des mesures qu’elle prend?

Notes d’allocution

• Tout d’abord, j’attends des institutions qu’elles contiennent les atteintes en en établissant la ou les causes et en mettant en œuvre des mesures pour y remédier.
• Je m’attends aussi à ce que les institutions informent les personnes touchées rapidement après l’atteinte.
• De même, j’estime que les institutions doivent informer le Commissariat et collaborer avec lui lorsqu’une atteinte est considérée comme présentant un risque réel de préjudice grave pour les personnes touchées.
• De manière générale, je suis satisfait que l’Agence du revenu du Canada (ARC) prenne des mesures pour mieux détecter les atteintes et y remédier, notamment en mettant en œuvre les recommandations formulées dans le rapport spécial que j’ai déposé au Parlement en février 2024.

Contexte

• L’ARC a accepté de mettre en œuvre les cinq recommandations contenues dans le rapport spécial déposé en février 2024, y compris l’élaboration de processus d’intervention en cas d’incidents afin de prévenir, de détecter, de contenir et d’atténuer les atteintes à l’avenir. Deux des recommandations devaient être mises en œuvre dans un délai de six mois et deux autres, dans un délai de douze mois. La dernière recommandation préconisait la tenue d’évaluations de la sécurité annuelles et bisannuelles.
• Les recommandations mentionnées ci-dessus ont été adressées à l’ARC et à Emploi et Développement social Canada (EDSC). Une sixième recommandation s’applique uniquement à EDSC.
• L’ARC poursuit la mise en œuvre de nos recommandations et devrait les avoir toutes appliquées d’ici février 2025. L’ARC fournit au Commissariat des comptes rendus réguliers sur les progrès réalisés.

Que devraient faire les Canadiennes et les Canadiens touchés par cette atteinte?

Notes d’allocution

• La population canadienne doit prendre les avis d’atteintes au sérieux. Lorsqu’une institution publie un tel avis, elle doit expliquer aux personnes touchées ce qu’elles peuvent faire pour réduire les risques liés à l’atteinte.
• Les Canadiens et les Canadiennes victimes d’une atteinte devraient modifier leurs mots de passe. De façon générale, il est aussi judicieux d’adopter les mesures de protection supplémentaires comme l’authentification multifacteur ou la surveillance du crédit.
• De plus, les personnes touchées par une atteinte devraient surveiller leurs comptes compromis afin d’y détecter toute activité suspecte et, le cas échéant, de la signaler rapidement à l’institution ou à l’organisation responsable.
• Enfin, il est recommandé de rester vigilant à long terme, car les auteurs malveillants peuvent attendre un certain temps avant d’utiliser les renseignements personnels compromis.

Contexte

• Le site Web du Commissariat fournit des conseils sur la manière de réduire le risque de vol d’identité à l’intention des personnes qui reçoivent un avis d’atteinte à la vie privée. L’une des principales recommandations est de changer ses mots de passe.
• Comme les auteurs malveillants ont parfois recours au bourrage d’identifiants – ils vont par exemple réutiliser des mots de passe compromis –, il est fortement recommandé de ne pas employer le même mot de passe sur différentes plateformes et de changer régulièrement ses mots de passe.
• On suggère également aux gens de garder leurs coordonnées (numéro de téléphone, adresse de courriel, adresse postale) à jour auprès des organisations avec qui ils font affaire afin que celles-ci puissent les joindre en cas d’atteinte.

Résultats des discussions avec l’Agence du revenu du Canada depuis mai

Notes d’allocution

• L’Agence du revenu du Canada (ARC) a indiqué au Commissariat qu’elle avait mis en place diverses mesures de sécurité (p. ex. l’authentification multifacteur) pour limiter l’accès non autorisé aux comptes des contribuables. L’ARC a précisé qu’elle s’adapte en permanence afin de composer avec les nouvelles menaces.
• L’ARC a mentionné qu’il était complexe d’aviser les personnes touchées, puisqu’elle doit d’abord vérifier l’identité des personnes avec qui elle veut communiquer pour s’assurer de ne pas avoir affaire aux fraudeurs.
• Certains contribuables sont également difficiles à joindre, soit parce que leurs coordonnées ne sont pas à jour, soit parce qu’ils ne rappellent pas l’ARC.
• L’ARC a confirmé qu’elle est en train de mettre en œuvre toutes les recommandations du rapport de février 2024 et d’élaborer des processus pour améliorer le suivi et la déclaration des atteintes à la vie privée liées à l’accès non autorisé aux comptes des contribuables.

Contexte

• Depuis le mois de mai, le Commissariat tient des réunions mensuelles avec l’ARC afin de mieux comprendre les processus d’intervention de l’ARC en cas d’atteintes, y compris l’envoi d’avis aux personnes touchées.
• Ces réunions visent également à comprendre la nature et les causes des plus de 31 000 atteintes déclarées le 9 mai, les mesures correctives prises par l’ARC pour remédier à ces atteintes et les efforts qu’elle a faits pour aviser les personnes concernées.
• Jusqu’à maintenant, nos discussions avec l’ARC nous ont aidés à comprendre les difficultés qu’elle rencontre pour déclarer les atteintes en temps voulu et les efforts qu’elle déploie pour améliorer ses processus de traitement et de déclaration des atteintes.
• Bien que l’ARC ait affirmé avoir avisé ou tenté d’aviser tous les contribuables touchés – soit plus de 31 000 personnes –, le Commissariat a des questions à cet égard, entre autres en ce qui concerne la rapidité avec laquelle les personnes concernées ont été informées.

Différence entre les 31 000 atteintes (fraude) et l’atteinte par bourrage d’identifiants (rapport sur CléGC)

Notes d’allocution

• L’attaque par bourrage d’identifiants survenue durant l’été 2020 constituait une seule atteinte qui a touché de nombreuses personnes. La cause fondamentale était la même pour tous les comptes touchés.
• Quant aux 31 000 atteintes signalées au Commissariat à la protection de la vie privée en mai 2024, elles sont le résultat d’attaques individuelles visant les comptes d’autres personnes, et aucune cause fondamentale n’a été établie. Il faut distinguer ces atteintes de l’attaque par bourrage d’identifiants qui a déjà fait l’objet d’une enquête.
• Ces 31 000 atteintes supplémentaires peuvent ou non découler d’attaques par bourrage d’identifiants. Elles comprennent les 15 000 incidents liés à la Prestation canadienne d’urgence (PCU) dont nous avons pris connaissance à la fin de l’enquête de février 2024.

Contexte

• Les 31 393 atteintes attribuables à l’utilisation non autorisée de renseignements de contribuables par une tierce partie signalées au Commissariat le 9 mai 2024 ne sont pas toutes le résultat de bourrages d’identifiants :
  • Elles peuvent découler d’autres formes d’accès non autorisé aux comptes de contribuables par l’intermédiaire des portails en ligne ou du centre d’appels de l’ARC.
  • Par exemple, des fraudeurs ont pu usurper l’identité d’un contribuable et appeler l’ARC pour demander la modification du mot de passe lié à son compte. Cette façon de faire ne constitue pas du bourrage d’identifiants.
• Les 31 393 incidents signalés ont eu lieu entre mai 2020 et novembre 2023.

Rapport 10 de la vérificatrice générale du Canada (2022)

Notes d’allocution

• Dans son rapport de 2022 sur les prestations liées à la COVID-19, la vérificatrice générale a indiqué que l’Agence du revenu du Canada (ARC) avait identifié plus de 23 000 cas de vol d’identité reliés aux paiements de prestations liées à la COVID‑19. Bien que le rapport ne parle pas expressément d’atteintes à la vie privée, l’ARC a récemment confirmé au Commissariat à la protection de la vie privée que c’était bien le cas.
• Cela dit, le fait de révéler les cas de fraude au Bureau du vérificateur général ne dispense pas une institution de l’obligation de déclarer au Commissariat et au Secrétariat du Conseil du Trésor (SCT) les atteintes substantielles à la vie privée, conformément aux exigences de la politique du SCT. Ce n’est que cette année que l’ARC a signalé au Commissariat les atteintes mentionnées dans le rapport de la vérificatrice générale.
• L’ARC a récemment indiqué au Commissariat que les 23 000 cas mentionnés dans le rapport de la vérificatrice générale font partie du rapport d’atteintes qu’elle lui a remis le 9 mai 2024 et qui fait état de 31 393 atteintes.
• Le Commissariat ayant annoncé le 29 octobre 2024 l’ouverture d’une enquête à ce sujet, il examinera les questions liées dans le cadre de cette enquête. Je ne peux pas fournir d’autres renseignements pour le moment.

Contexte

• Le paragraphe 10.116 du rapport 10 de la vérificatrice générale indique que « [e]n date de juillet 2022, l’Agence avait identifié plus de 23 000 cas de vol d’identité reliés aux paiements de prestations liées à la COVID‑19 versées à des particuliers, représentant 131 millions de dollars. »
• Le rapport de la vérificatrice générale couvre la période du 15 mars 2020 au 30 septembre 2022. Cette période est plus courte que celle couverte par le rapport du 9 mai (mai 2020 à novembre 2023), qui mentionnait 31 393 atteintes à la vie privée. De plus, le rapport de la vérificatrice générale portait principalement sur les paiements frauduleux, et non sur les atteintes à la vie privée.
• Étant donné que les 23 000 cas de vol d’identité signalés au Bureau du vérificateur général avaient déjà été identifiés par l’ARC en 2022 et qu’ils avaient été jugés importants, ils auraient dû être signalés au Commissariat et au SCT à ce moment, conformément à la directive du SCT.

Recommandations du Commissariat à la protection de la vie privée concernant une hypothétique plateforme de déclaration de revenus de l’Agence du revenu du Canada

Notes d’allocution

• La politique du SCT exige que les institutions gouvernementales informent le SCT et le Commissariat de toute initiative prévue qui pourrait être liée à la Loi sur la protection des renseignements personnels ou qui aurait une incidence sur la vie privée.
• À ce jour, l’Agence du revenu du Canada (ARC) n’a pas contacté le Commissariat pour une consultation et n’a pas non plus soumis d’évaluation des facteurs relatifs à la vie privée concernant une éventuelle plateforme de déclaration de revenus.
• Si l’ARC envisage une telle initiative, le Commissariat peut la conseiller et l’orienter sur la manière de procéder tout en respectant ses obligations légales et politiques et en adoptant des pratiques exemplaires.
• Sans avoir de précisions sur cette éventuelle plateforme, je ne peux pas fournir de recommandations détaillées. Toutefois, je m’attendrais à y voir des énoncés de confidentialité clairs et explicites, à ce que la communication secondaire des renseignements personnels recueillis soit limitée, à moins que la personne concernée ait donné son consentement, à ce que l’accès aux renseignements personnels soit limité et à ce que des ententes d’échange de renseignements personnels soient mises en place lorsque l’échange peut se faire en toute légalité.
• De plus, il faudrait que l’ARC prenne des mesures pour s’assurer que les renseignements personnels sont efficacement protégés en tout temps.

Contexte

• La section 4.2.2 de la Politique sur la protection de la vie privée exige des institutions qu’elles informent le SCT et le Commissariat des initiatives qui pourraient être liées à la Loi sur la protection des renseignements personnels ou avoir une incidence sur la vie privée.
• Les énoncés de confidentialité doivent répondre aux exigences établies par le SCT à la section 4.2.20 de la Directive sur les pratiques relatives à la protection de la vie privée.
• Tel qu’il est mentionné à la section 4.2.22.2 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT, le consentement de la personne concernée est nécessaire lorsque des renseignements personnels sont utilisés à des fins qui ne respectent pas celles auxquelles les renseignements ont été recueillis initialement.
• Selon la section 4.2.30 de la Directive sur les pratiques relatives à la protection de la vie privée du SCT, les institutions doivent limiter l’accès aux renseignements personnels.
• Les accords d’échange de renseignements doivent répondre aux exigences de la section 4.2.34 de la Directive sur les pratiques relatives à la protection de la vie privée.

Considérations liées à la protection de la vie privée quant à une plateforme de déclaration de revenus de l’Agence du revenu du Canada

Notes d’allocution

• Je sais que M. Lareau a recommandé au Comité que l’Agence du revenu du Canada (ARC) crée sa propre plateforme de déclaration de revenus afin d’atténuer les préoccupations en matière de protection de la vie privée que soulèvent les plateformes de tiers.
• Je pense qu’une solution élaborée par l’ARC pourrait contribuer à ce que les renseignements personnels et les données financières des contribuables restent sous le contrôle de l’ARC. Le risque que des fournisseurs tiers transmettent des données confidentielles à d’autres fins serait ainsi grandement réduit.
• Une plateforme conçue par l’ARC diminuerait aussi les risques que des données confidentielles soient stockées sur des serveurs à l’extérieur du pays. Les fournisseurs tiers opèrent souvent à l’échelle mondiale, ce qui peut faire en sorte que les renseignements des contribuables sont soumis aux lois sur le traitement des données en vigueur dans des pays étrangers. Si les données restent au Canada, il est plus facile de faire respecter la Loi sur la protection des renseignements personnels et les données des utilisateurs sont mieux protégées.
• Cependant, une plateforme de déclaration de revenus élaborée par l’ARC ne réglerait pas le problème de la réutilisation des identifiants. Cette question n’est pas liée aux systèmes et aux logiciels de l’ARC, mais bien aux habitudes des utilisateurs, qui réutilisent les mêmes mots de passe sur plusieurs plateformes en ligne.

Contexte

• Dans le Discours du Trône de 2020, le gouvernement s’est engagé à travailler « à la mise en place d’un système gratuit de production automatisée des déclarations d’impôt pour les déclarations simples afin que les citoyens reçoivent les prestations dont ils ont besoin ».
• L’ARC tient une liste des logiciels homologués pour la transmission électronique des déclarations de revenus. Si un logiciel figure sur cette liste, c’est qu’il est compatible avec le service de transmission des déclarations par voie électronique de l’ARC. L’ARC a soumis une évaluation des facteurs relatifs à la vie privée (EFVP) pour la transmission électronique des déclarations en avril 2022.
• L’EFVP a passé par le processus de tri, mais n’a pas fait l’objet d’un examen secondaire, car les risques (liés à la collecte d’un volume important de renseignements personnels sensibles sur un grand groupe d’individus et à leur transmission au moyen de la technologie sans fil) ont été jugés suffisamment atténués.

• Il convient de noter que cette EFVP portait sur la manière dont l’ARC gère les renseignements personnels de personnes qui préparent des déclarations de revenus pour le compte d’autres personnes; elle n’expliquait pas comment l’ARC homologue les produits logiciels qui peuvent être utilisés pour soumettre une déclaration de revenus à l’ARC.