:
Bonjour, mesdames et messieurs. Commençons notre séance.
Bienvenue à la 18e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.
Nous poursuivons aujourd'hui notre étude du problème grandissant du vol d'identité et de ses répercussions économiques.
Nous avons le plaisir d'accueillir, en qualité de témoins et de conférenciers, M. Philippe Dufresne, directeur général et avocat général principal à la Commission canadienne des droits de la personne, ainsi que Mme Susan Gardner-Barclay, sous-commissaire et chef de la protection des renseignements personnels, Direction générale des affaires publiques, qui est accompagnée de Mme Helen Brown, directrice générale, Direction de la sécurité et des affaires internes, Direction générale des finances et de l’administration, toutes deux de l'Agence canadienne du revenu.
Nous entendrons d'abord les déclarations préliminaires de nos invités. Nous commencerons par M. Dufresne, de la Commission canadienne des droits de la personne.
Comme cela est d'usage, nous vous demandons de présenter un exposé d'environ 10 minutes, à la suite duquel nous inviterons les membres du comité à poser des questions.
Bienvenue, monsieur Dufresne. Vous avez la parole.
:
Monsieur le président, je vous remercie d'inviter la Commission canadienne des droits de la personne (CCDP) à participer à votre étude du problème grandissant du vol d'identité et de ses répercussions économiques.
J'aimerais vous présenter mon collègue Maciej Karpinski, analyste principal de recherche à la Direction générale de la promotion des droits de la personne.
Aujourd'hui, j'aimerais traiter de trois questions importantes. Je commencerai par parler brièvement de la Commission canadienne des droits de la personne et de la façon dont nous assurons la promotion et la protection des droits de la personne, de même que l'égalité des chances. Je parlerai ensuite du rapport sur la certification de l'identité qu'a publié la Commission en 2010 et du fait qu'il est important de veiller à ce que les mesures utilisées pour certifier l'identité d'un individu soient conformes aux principes des droits de la personne. Enfin, je vous communiquerai nos recommandations sur la façon d'éviter la discrimination dans ce domaine.
[Français]
Je vais commencer par une brève description de la commission et de son mandat.
Nous avons reçu du Parlement le mandat de veiller à l'application de la Loi canadienne sur les droits de la personne et de vérifier la conformité des organisations fédérales à la Loi sur l'équité en matière d'emploi.
Nous recevons des plaintes de discrimination concernant l'emploi et les services offerts par les organisations relevant de la compétence fédérale. Cela comprend la fonction publique fédérale de même que les entreprises du secteur privé oeuvrant dans certaines industries, telles que les transports, les télécommunications et les services bancaires.
Nous participons également, comme partie, à des dossiers importants en matière de droits de la personne devant des tribunaux judiciaires et quasi judiciaires, incluant la Cour suprême du Canada.
La commission travaille également à prévenir la discrimination et à favoriser le développement d'une culture durable axée sur les droits de la personne. Nous y arrivons en fournissant aux organisations des recherches, des politiques et des outils qui contribuent à la compréhension et au respect de la Loi canadienne sur les droits de la personne.
L'un de ces outils est l'évaluation des répercussions des mesures de sécurité sur les droits de la personne, dont je parlerai plus tard dans mon allocution
[Traduction]
Le rapport dont vous nous avez demandé de parler aujourd'hui a été publié en 2010. Il faisait partie d'une initiative de recherche liée à la sécurité nationale et aux droits de la personne. Notre objectif était alors d'aider les organisations chargées de la sécurité nationale à renforcer leurs pratiques en matière de certification de l'identité d'une manière conforme aux droits de la personne.
Bien que notre rapport soit axé sur les organisations de sécurité nationale, ses conclusions, à notre avis, sont pertinentes pour toutes les organisations publiques et privées qui offrent des services nécessitant des renseignements sur l'identité. Nous espérons donc que l'information contenue dans notre rapport sera utile aux travaux de votre comité.
[Français]
Notre rapport a démontré que les formes de certification d'identité les plus fréquemment utilisées présentent le risque d'être discriminatoires en vertu des motifs de distinction illicites prévus dans la Loi canadienne sur les droits de la personne, et ce, pour deux raisons.
Premièrement, la méthode utilisée peut être inaccessible à une personne ou à un groupe de personnes. Deuxièmement, les décisions discrétionnaires prises par les agents concernant la validation de l'identité peuvent conduire à de la discrimination.
[Traduction]
Notre rapport a montré l'existence de deux grands systèmes de mesure pour l'établissement de l'identité. Le premier est unimodal, c'est-à-dire qu'il ne comporte qu'une seule mesure, tandis que l'autre est multimodal, et requiert deux mesures ou plus.
Par exemple, il est possible qu'un système unimodal n'utilise que les empreintes digitales. Ce système peut alors ne pas être accessible aux gens qui n'ont pas de doigts ou dont les empreintes digitales se sont partiellement dégradées en raison de leurs conditions de travail ou de leur âge. À l'inverse, notre étude a montré que les systèmes biométriques multimodaux offrent un degré d'inclusivité qui permet souvent de pallier les limites des systèmes unimodaux. Les systèmes multimodaux peuvent non seulement aider à protéger les droits de la personne, mais ils permettent également de bâtir un système de sécurité plus fort et plus fiable.
Lors de l'examen, la carte Personal ldentity Certifier a été désignée comme système multimodal efficace aux États-Unis. Pour chaque employé fédéral ou entrepreneur inscrit, la carte enregistre à la fois les empreintes digitales et les données biométriques résultant d'un balayage du visage. Bien qu'on utilise principalement la biométrie des empreintes digitales, on a recours à la lecture numérique du visage lorsqu'il est impossible pour un employé fédéral ou un entrepreneur de fournir des empreintes digitales ou lorsqu'il y a des anomalies.
Lorsqu'il faut décider de ces questions importantes, les dispositions législatives sur les droits de la personne fournissent une orientation pour déterminer si une mesure qui serait autrement discriminatoire peut être justifiée. Il faut d'abord examiner à quel point la mesure est nécessaire, ensuite, déterminer s'il existe des moyens moins discriminatoires pour atteindre le même objectif et, enfin, établir à quel point l'atteinte aux droits de la personne l'emporte sur l'avantage offert par la mesure.
Il peut arriver également que certains utilisateurs aient besoin d'une exemption. Il faut donc prévoir, dans l'élaboration de toute mesure, des politiques et des pratiques acceptables permettant de répondre aux besoins de ces personnes. S'il n'existe aucune solution de rechange acceptable à une mesure biométrique particulière, il revient à l'organisation qui utilise la biométrie de démontrer que des efforts suffisants ont été déployés pour explorer d'autres moyens moins discriminatoires d'en arriver aux mêmes résultats.
En nous appuyant sur ces principes, nous avons élaboré l'Évaluation des impacts des mesures de sécurité sur les droits de la personne. Cet outil énonce les dispositions à prendre au cours du cycle de vie d'une mesure de sécurité pour que les normes de sécurité, les politiques et les pratiques soient à la fois efficaces et respectueuses des droits de la personne.
[Français]
Nous sommes d'avis que la conduite d'une évaluation des répercussions sur les droits de la personne avant la mise en oeuvre d'une mesure de sécurité permet non seulement d'améliorer l'efficacité et l'efficience de cette mesure, mais également de gagner du temps et de l'argent, tout en renforçant l'appui de la population aux initiatives de sécurité, qu'elles soient nouvelles ou actuelles.
Voilà ce que nous voulons dire quand nous demandons aux organisations d'analyser sous l'angle des droits de la personne les politiques ou les procédures proposées.
[Traduction]
Je vous remercie de votre attention. Nous serons heureux de répondre à vos questions.
:
Bonjour, monsieur le président, et merci beaucoup.
Bonjour aux membres du comité.
Je m'appelle Susan Gardner-Barclay, et je suis sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels à l'Agence du revenu du Canada, ou ARC.
Je suis accompagnée aujourd'hui par Helen Brown, notre directrice générale de la Direction de la sécurité et des affaires internes à la Direction générale des finances et de l’administration.
[Français]
Nous sommes très heureuses de comparaitre devant vous aujourd'hui afin de vous aider dans votre étude sur le problème croissant qu'est le vol d'identité en parlant des mesures que l'ARC a mises en place pour protéger les renseignements des contribuables.
[Traduction]
En tant qu'une des plus grandes institutions du gouvernement du Canada, l'ARC a plus d'interactions avec les Canadiens que tout autre ministère. En 2012-2013 seulement, plus de 27 millions de Canadiens et d'entreprises ont produit une déclaration de revenus ou une déclaration de revenus et de prestations. L'ARC perçoit environ 400 milliards de dollars par année en taxes, impôts et droits, et elle distribue 22 milliards de dollars en crédits et prestations aux Canadiens. Nos centres d'appels reçoivent 20 millions d'appels par année, et nous traitons plus de 150 millions de pièces de correspondance. Nous avons donc l'un des plus importants fonds de données de renseignements personnels du gouvernement du Canada.
La confiance que les Canadiens accordent à l'ARC pour ce qui est de protéger leurs renseignements est la pierre angulaire du régime canadien d'autocotisation volontaire. En outre, l'article 241 de la Loi de l'impôt sur le revenu et l'article 295 de la Loi sur la taxe d'accise interdisent à tout employé de l'ARC de divulguer des renseignements sur les contribuables, à moins d'y être spécifiquement autorisé en vertu de ces lois. La violation de ces dispositions est une infraction criminelle qui peut entraîner des pénalités sévères pouvant aller jusqu'à l'emprisonnement.
[Français]
C'est pourquoi l'ARC a mis en place un grand nombre de mesures de protection visant à protéger les renseignements personnels et, ainsi, à réduire les risques de vol d'identité.
D'abord et avant tout, l'agence a travaillé avec diligence pour promouvoir une solide culture d'intégrité parmi ses employés.
[Traduction]
Notre Code de déontologie et de conduite nous permet d'informer clairement les employés du fait que la protection des renseignements personnels des contribuables est au coeur de leurs responsabilités et que ces responsabilités demeurent même une fois qu'ils ont quitté l'ARC.
En 2012, l'ARC a lancé son Cadre d'intégrité, qui regroupe tous ses programmes, systèmes et politiques visant à protéger son intégrité. Grâce à ce cadre, les normes élevées établies pour protéger la vie privée des contribuables sont communiquées à tous les employés et gestionnaires et le rendement de l'Agence par rapport à ces normes fait l'objet d'une surveillance et de rapports minutieux.
De plus, l'ARC collabore très étroitement avec la commissaire à la protection de la vie privée du Canada pour veiller à ce que les mesures de protection soient solides et à ce que les améliorations requises soient apportées.
En 2009 et en 2013, la commissaire à la protection de Ia vie privée a réalisé des vérifications du système de gestion de la protection de la vie privée de l'ARC. Au cours de ces vérifications, la commissaire a reconnu la portée et la complexité immenses de l'environnement opérationnel de l'ARC, de même que la culture de sécurité et de confidentialité établie à l'ARC. Naturellement, la commissaire a aussi relevé des points à améliorer qui portaient sur l'exécution uniforme et opportune des évaluations des impacts sur la vie privée; la réalisation d'évaluations du risque pour tous les systèmes de la TI qui traitent des renseignements sur les contribuables; le renforcement de la surveillance de l'accès des employés aux systèmes informatiques et l'amélioration des processus d'échange internes de renseignements sur les atteintes à la vie privée. L'ARC a avalisé toutes les recommandations et elle a réalisé d'importants progrès pour y donner suite, beaucoup d'activités ayant déjà été menées à bonne fin pour cela.
[Français]
Cela comprend la création du rôle de chef de la protection des renseignements personnels en avril 2013. C'est un rôle que j'assume depuis qu'on m'a nommée en octobre dernier sous-commissaire de la Direction générale des affaires publiques et chef de la protection des renseignements personnels.
[Traduction]
En tant que chef de la protection des renseignements personnels, j'ai la responsabilité de superviser toutes les décisions liées à la protection de la vie privée à l'ARC, de promouvoir le respect des droits à la protection des renseignements personnels dans notre organisation et de rendre des comptes à ce sujet.
L'ARC cherche aussi à apporter de nombreux autres changements aux programmes, aux politiques et aux technologies pour mieux gérer la protection de la vie privée. Entre autres, nous misons sur nos contrôles de première ligne pour que les employés aient seulement accès aux systèmes informatiques de l'ARC dont ils ont besoin pour faire leur travail. Nous renforçons également nos contrôles secondaires en misant sur nos systèmes automatisés pour que l'ARC puisse mieux surveiller et analyser toutes les opérations effectuées par ses employés sur leurs ordinateurs.
·De nouveaux protocoles de communication de renseignements ont été établis à l'agence pour que les questions relatives à la protection de la vie privée fassent l'objet d'une surveillance et de rapports exacts. Nous avons mis sur pied un Comité consultatif sur l'intégrité, qui est présidé par le commissaire de l'ARC et qui compte parmi ses membres un conseiller en intégrité externe. Nous réalisons aussi un exercice à l'échelle de l'agence afin que les évaluations des facteurs relatifs à la vie privée soient à jour pour tous les programmes et toutes les initiatives qui en nécessitent une.
L'ARC sait très bien que, en raison de la nature des fonds de renseignements qu'elle détient, une atteinte à la sécurité des renseignements personnels peut représenter un risque que des renseignements servent au vol d'identité ou à d'autres activités criminelles.
La nature des atteintes à la sécurité des renseignements qui ont lieu à l'ARC est extrêmement variée. Elle peut aller d'un employé qui accède par erreur au dossier du mauvais contribuable dans l'exercice de ses fonctions, au courrier mal acheminé, qui constitue 95 p. 100 des atteintes à la sécurité de l'information et des données et à la vie privée de l'ARC, et à de rares cas où les renseignements personnels auxquels on accède pourraient servir à de la fraude ou à un gain financier.
Il est important de noter qu'un grand nombre des atteintes à la sécurité des données relevées par l'ARC ne constituent pas des atteintes à la vie privée, puisque aucun renseignement personnel n'a été divulgué. Toutefois, lorsque l'ARC découvre qu'une atteinte à la vie privée a eu lieu, la situation est évaluée en conformité avec la politique et les procédures du Conseil du Trésor, l'incident est donc consigné et tous les risques potentiels pour la personne touchée sont évalués.
Lorsqu'il y a un risque raisonnable que l'atteinte à la vie privée porte préjudice à une personne, cette dernière en est avisée. La commissaire à la protection de la vie privée en est aussi informée, en conformité avec les lignes directrices du Conseil du Trésor.
Avant de conclure, j'aimerais parler brièvement de ce que l'ARC fait pour mettre en garde les Canadiens contre les stratagèmes d'hameçonnage par des tiers qui tentent de se faire passer pour des représentants de l'ARC afin d'obtenir des renseignements personnels de nature délicate. Cette année, nous avons constaté une nette augmentation de ces stratagèmes au cours de la période de production des déclarations de revenus, et l'ARC continue de prendre diverses mesures pour mettre en garde les Canadiens à leur sujet. Notre site Web fournit des renseignements faciles à trouver sur la forme que prennent ces stratagèmes et sur ce qu'il faut faire pour réduire le risque de vol d'identité. Nous diffusons aussi des alertes fiscales et des communiqués de presse aux médias, et nous attirons fréquemment l'attention des Canadiens sur ces renseignements à l'aide du compte Twitter de notre organisation.
Pour entrer en contact avec·certains groupes, par exemple les aînés et d'autres groupes vulnérables, qui peuvent ne pas avoir accès à Internet, nous avons adopté une stratégie média proactive dans laquelle nous offrons des entrevues aux médias spécialisés, et ce, en diverses langues, selon les régions, en punjabi, en hindi, en cantonais, en italien et en grec notamment. Nous avons aussi établi un solide réseau d'intermédiaires - des organismes d'aînés et de jeunes, des groupes multiculturels, des associations policières, des spécialistes en déclarations de revenus, entre autres - qui communiquent nos renseignements à leurs clients et communautés. Et nous nous associons à d'autres organisations gouvernementales pour faire passer le message au cours d'événements comme le Mois de la prévention de la fraude. Lorsque le vol d'identité se produit malgré tout, l'ARC peut et pourra marquer les dossiers des contribuables pour les protéger contre les activités suspectes.
Bref, monsieur le président, l'ARC s'attache à mettre en place des mesures de contrôle, à les évaluer et à les améliorer.
[Français]
Notre responsabilité de protéger les renseignements des Canadiens est essentielle à notre raison d'être et à nos activités. Nous continuons de déployer beaucoup d'efforts afin de répondre aux attentes des Canadiens à cet égard.
[Traduction]
C'est avec plaisir que nous répondrons à vos questions.
:
Permettez-moi de vous donner un peu de contexte au sujet des chiffres apparaissant à la question écrite 255, qui est, je crois, celle à laquelle vous vous reportez.
Dans cette réponse, il est indiqué que l'ARC a éprouvé environ 2 900 atteintes à la sécurité des renseignements, à la vie privée et à la sécurité des données au cours de la période visée. Quelque 2 800 de ces atteintes étaient en fait des erreurs d'acheminement de courrier. Cela représente environ 0,001 p. 100 des 150 millions de pièces de correspondance que l'ARC traite chaque année.
Naturellement, nous comprenons que nous devons prendre des mesures fermes chaque fois que de l'information concernant un contribuable aboutit au mauvais endroit. Nous avons bel et bien des mesures en place pour traiter les cas d'erreurs d'acheminement de courrier, ce dont ma collègue, Helen Brown, pourra parler.
Je voudrais également vous informer des mesures que nous avons prises à la suite des deux vérifications effectuées par la commissaire à la protection de la vie privée en 2009 et en 2013, auxquelles j'ai fait allusion dans mes déclarations préliminaires.
Essentiellement, nous disposons maintenant d'un mécanisme à plusieurs niveaux pour gérer les atteintes à la sécurité des renseignements et à la vie privée.
Notre première ligne de défense, il va sans dire, ce sont nos employés. Nous avons un code de déontologie très strict qui énonce très, très clairement à nos employés les responsabilités qui leur incombent pour la gestion de la sécurité.
Nous offrons à notre personnel de la formation et de la sensibilisation continues. Nous donnons également à tous les employés de l'ARC un cours sur la sécurité. De plus, nous appliquons maintenant, à l'intérieur de l'ARC, des protocoles complets de communication des renseignements qui nous aident à repérer et à corriger les atteintes qui peuvent survenir; ces protocoles lient tout particulièrement notre direction de la sécurité et des conseils à notre direction de l'AIPRP, à qui incombe la responsabilité de surveiller ces situations.
Nous disposons maintenant de contrôles de première ligne actifs pour nos systèmes technologiques grâce auxquels les seuls systèmes informatiques accessibles aux employés sont ceux dont ils ont besoin pour faire leur travail. Nous avons également des systèmes secondaires très solides que nous travaillons à renforcer davantage au moyen de changements technologiques qui seront mis en place au cours des deux prochaines années. Nous disposerons de systèmes qui nous permettront de surveiller très étroitement les activités des employés sur tous nos systèmes informatiques et de connaître jusqu'aux fichiers auxquels ils ont accès, comment ils y ont accès et quelle information ils y cherchent.
Nous avons un régime très ferme de politiques et de pratiques connexes, y compris une politique disciplinaire très stricte dans laquelle un accès non autorisé est considéré comme une infraction considérablement grave. Nous disposons aussi d'un processus de surveillance très solide, auquel mon bureau participe. Y participent également le comité consultatif sur l'intégrité dont j'ai parlé et, naturellement, le Commissariat à la protection de la vie privée, qui s'intéresse de près à notre dispositif de protection de la vie privée.
:
Quelques exemples existent au Canada.
Nous indiquons dans le rapport que nous avons examiné un lot de pièces d'identité secondaires produites par le gouvernement du Canada. Il y a, entre autres, la carte NEXUS qui comporte deux mesures biométriques, soit les empreintes digitales et le balayage de l'iris. De cette façon, si les empreintes digitales d'une personne ne sont pas lisibles ou qu'une personne n'a pas des doigts que la machine peut scanner, les responsables peuvent se tourner vers le balayage de l'iris. Ces mesures en soi ne sont peut-être pas nécessairement inclusives parce que ce n'est pas tout le monde qui a des doigts et des iris balayables. C'est pour que...
Ce que montre le rapport, c'est que lorsqu'on élabore ce genre de systèmes, il faut toujours prendre un certain temps pour réfléchir aux mesures de rechange qui peuvent être utilisées au besoin lorsque des cas spéciaux se présentent.
Il y a d'autres exemples simples. Ainsi, on peut apercevoir dans les épiceries des scanners à main qui permettent aux employés d'enregistrer l'heure de leur arrivée. Là encore, il y a des scanners à une main et d'autres à deux mains; or un système capable de scanner vraisemblablement les deux mains peut être préférable, parce qu'il est arrivé que des gens se sont opposés au scannage d'une main au profit d'une autre. Avec des systèmes semblables, nous estimons qu'on ne peut pas se fier exclusivement à un système en particulier, mais qu'il vaut mieux en avoir d'autres en complément.