Merci, monsieur le président.
Bonjour à tous les membres du Comité.
Je m'appelle Maxime Guénette et je suis sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels de l'Agence du revenu du Canada. Ma collègue Gillian Pranke, sous-commissaire adjointe de la Direction générale de cotisation, de prestation et de service de l'Agence, m'accompagne aujourd'hui.
L'Agence du revenu du Canada est une organisation qui touche la vie de pratiquement tous les Canadiens. Elle est l'un des plus importants détenteurs de renseignements personnels du gouvernement du Canada. À l'Agence, nous traitons plus de 28 millions de déclarations de revenus de particuliers chaque année. II est donc essentiel qu'elle dispose d'un cadre de protection des renseignements personnels exhaustif pour gérer et protéger les renseignements de tous les Canadiens.
L'intégrité en milieu de travail est la pierre angulaire de la culture mise en avant par l'Agence. L'Agence aide ses employés à bien agir en leur fournissant des lignes directrices claires et des outils visant à assurer la sécurité et la confidentialité ainsi qu'à protéger les renseignements personnels, les programmes et les données.
L'Agence est tenue de respecter la Loi sur la protection des renseignements personnels ainsi que les politiques et directives du Conseil du Trésor qui y sont liées pour assurer la gestion et la protection des renseignements personnels des Canadiens. L'article 241 de la Loi de l'impôt sur le revenu impose également des exigences en matière de confidentialité aux employés de l'Agence et aux autres personnes ayant accès aux renseignements sur les contribuables.
L'Agence observe aussi la Politique sur la sécurité du gouvernement et les orientations fournies par les principaux organismes de sécurité, comme le Centre de la sécurité des télécommunications et le Centre canadien pour la cybersécurité, qui sont intervenus tantôt.
En avril 2013, l'Agence a nommé son premier chef de la protection des renseignements personnels, qui est, entre autres, responsable des fonctions liées à l'accès à l'information et à la protection des renseignements personnels à l'Agence.
En tant que chef de la protection des renseignements personnels, mon rôle consiste, entre autres, à faire en sorte que la protection des renseignements que l'Agence détient soit assurée et renforcée par la supervision des décisions liées à la protection des renseignements personnels, y compris l'évaluation des répercussions de nos programmes sur la protection de ces renseignements; la défense des droits relatifs à la protection des renseignements personnels, ce qui comprend la gestion des atteintes à la vie privée à l'interne; et le rapport à la haute direction de l'Agence sur l'état de la gestion de la protection des renseignements personnels.
À l'Agence, la responsabilité quant à la saine gestion de la protection des renseignements personnels ne se limite pas à nommer un chef de la protection des renseignements personnels; il s'agit d'une responsabilité que partagent tous les employés.
Pour préserver son intégrité, l'Agence doit avoir en place les systèmes appropriés pour protéger les renseignements de nature délicate des menaces externes. Les réseaux et les postes de travail de l'Agence sont dotés de logiciels de détection et de suppression de logiciels malveillants et de virus. lls sont mis à jour quotidiennement et protègent l'environnement de l'Agence contre les menaces de virus et de codes malveillants.
Pour ce qui est des employés de l'Agence, leurs ordinateurs sont dotés d'un ensemble de produits de sécurité allant de logiciels antivirus à des logiciels de détection des intrusions au niveau de l'hôte.
Les services externes sont pris en charge par des plateformes sécurisées et protégées par des pare-feu et des outils de prévention des intrusions visant à détecter et à prévenir l'accès non autorisé aux systèmes de l'Agence.
Pour ce qui est des transactions en ligne, nous nous assurons que les renseignements de nature délicate sont chiffrés lors de la transmission entre l'ordinateur d'un contribuable et nos serveurs Web. Peu importe la façon dont les Canadiens choisissent d'interagir avec l'Agence, ils doivent suivre un processus d'authentification en deux étapes pour accéder à leur compte.
Ces étapes sont essentielles pour que seules les personnes autorisées aient accès aux renseignements personnels. Le processus comprend la validation d'un ensemble de points de données personnelles et confidentielles, dont, entre autres, le numéro d'assurance sociale d'une personne, mais aussi le mois et l'année de sa naissance, et des renseignements tirés de sa déclaration de revenus de l'année précédente.
L'Agence mettra sous peu en œuvre un nouveau numéro d'identification personnel pour les contribuables qui appellent la ligne des demandes de renseignements sur l'impôt des particuliers. De plus, l'Agence étudie actuellement des procédures de sécurité supplémentaires pour protéger les renseignements des contribuables. Comme la cybercriminalité et l'hameçonnage sont maintenant fréquents et que les techniques utilisées sont de plus en plus sophistiquées, l'Agence agit de façon proactive en avertissant le public que des fraudeurs communiquent avec les gens en prétendant travailler pour elle.
Une façon simple pour les contribuables de se protéger contre la fraude est de s'inscrire à Mon dossier ou à Mon dossier d'entreprise afin de gérer leur dossier fiscal facilement et en toute sécurité au moyen des portails sécurisés de l'Agence. Ceux qui sont inscrits à Mon dossier peuvent aussi s'inscrire au courrier en ligne afin de recevoir des alertes du compte qui les informent des arnaques possibles ou d'autres activités frauduleuses qui pourraient avoir une incidence sur eux.
L'Agence est fière de sa réputation d'organisation de pointe engagée à assurer l'excellence de l'administration du régime fiscal du Canada. Toutefois, des activités inappropriées ou frauduleuses peuvent se produire en milieu de travail. L'Agence a mis en place toute une gamme de contrôles pour s'assurer que les seules personnes qui accèdent aux renseignements des contribuables sont les employés tenus de le faire dans le cadre de leur travail. Elle peut ainsi détecter les cas d'inconduite qui pourraient se produire.
La surveillance de l'accès des employés aux renseignements des contribuables est centralisée, ce qui garantit un processus indépendant permettant à l'Agence de détecter des activités douteuses dans ses systèmes et d'intervenir quand c'est nécessaire. De cette façon, les utilisateurs autorisés ont accès uniquement aux applications et aux données auxquelles ils ont droit d'accéder en fonction de règles administratives strictes.
En 2017, l'Agence a mis en œuvre une solution de gestion de la fraude d'entreprise, qui complète les contrôles de sécurité existants et réduit encore plus les risques d'accès non autorisé et d'atteinte à la vie privée. La solution de gestion de la fraude d'entreprise permet la surveillance proactive et la détection de l'accès non autorisé des employés. L'Agence prend très au sérieux toute allégation ou tout soupçon d'inconduite de la part d'un employé et fait minutieusement enquête. Lorsque les soupçons d'actes répréhensibles ou d'inconduite sont fondés, des mesures disciplinaires appropriées sont prises, qui peuvent aller jusqu'au congédiement. Si l'on soupçonne une activité criminelle, la question est renvoyée aux autorités compétentes.
Au moment de leur embauche, les employés de l'Agence doivent attester avoir lu le Code d'intégrité et de conduite professionnelle ainsi que le Code de valeurs et d'éthique du secteur public.
Le code décrit de façon claire la norme de conduite que les employés doivent respecter, dont l'obligation de protéger les renseignements des contribuables, conformément à l'article 241 de la Loi de l'impôt sur le revenu. L'accès non autorisé à ces renseignements est considéré comme une inconduite grave, comme l'indique la Directive sur la discipline de l'Agence.
Le code veille à ce que les employés, actuels et anciens, soient au courant que l'obligation de protéger les renseignements des contribuables se poursuit même après leur départ de l'Agence. Chaque année, on demande à tous les employés de relire et de confirmer leurs obligations en vertu du Code d'intégrité et de conduite professionnelle de l'Agence.
Toute atteinte à la vie privée qui survient est évaluée conformément aux politiques et aux procédures du Secrétariat du Conseil du Trésor afin de consigner et d'évaluer tous les risques potentiels pour la personne touchée. Un représentant de l'Agence spécialisé lui offrira un soutien afin qu'elle puisse poser des questions et obtenir les renseignements dont elle a besoin, et selon le cas, accéder à des services gratuits de protection du crédit.
Dans les rares cas où les renseignements d'un contribuable sont véritablement compromis, l'Agence prend des mesures pour résoudre toutes les questions en suspens. Ces mesures comprennent l'examen de toutes les activités frauduleuses qui pourraient avoir eu lieu dans le compte, y compris les remboursements frauduleux.
L'Agence est fermement résolue à maintenir la confiance des Canadiens en notre organisation et à répondre à leurs attentes concernant la mise en place des contrôles nécessaires pour assurer la sécurité des renseignements qui lui sont confiés. Nous avons travaillé fort pour gagner la confiance du public, puisque celle-ci est à la base d'un régime fiscal fondé sur l'autocotisation.
II faut des années pour se forger une bonne réputation, et nous maintenons la nôtre en demeurant vigilants dans nos efforts pour protéger les contribuables contre les atteintes à la sécurité et pour protéger le système d'administration de l'impôt du Canada contre toute inconduite et infraction criminelle.
Je vous remercie, monsieur le président. Je répondrai maintenant avec plaisir à vos questions.