ETHI Réunion de comité
Les Avis de convocation contiennent des renseignements sur le sujet, la date, l’heure et l’endroit de la réunion, ainsi qu’une liste des témoins qui doivent comparaître devant le comité. Les Témoignages sont le compte rendu transcrit, révisé et corrigé de tout ce qui a été dit pendant la séance. Les Procès-verbaux sont le compte rendu officiel des séances.
Pour faire une recherche avancée, utilisez l’outil Rechercher dans les publications.
Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.
Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
|
l |
|
l |
|
TÉMOIGNAGES
Le jeudi 21 novembre 2024
[Enregistrement électronique]
[Français]
Je déclare la séance ouverte.
Bienvenue à la 140e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.
[Traduction]
Sommes-nous tous prêts à commencer?
Très bien.
[Français]
D'abord, je demanderais à tous les participants en personne de lire les lignes directrices inscrites sur les nouvelles cartes à jour qui se trouvent sur la table. Ces mesures sont en place pour aider à prévenir les incidents acoustiques, dont les effets Larsen, de même que pour protéger la santé et la sécurité de tous les participants, y compris des interprètes. Vous remarquerez également qu'un code QR figure sur la carte et renvoie à une courte vidéo de sensibilisation.
Conformément à l'article 108(3)h) du Règlement et à la motion adoptée par le Comité le mardi 29 octobre 2024, le Comité entreprend son étude des atteintes à la vie privée à l'Agence du revenu du Canada.
J'aimerais souhaiter la bienvenue aux témoins invités pour la première heure.
Comparaissant aujourd'hui, nous avons l'honorable Marie‑Claude Bibeau, ministre du Revenu national. À ses côtés, de l'Agence du revenu du Canada, se trouve M. Bob Hamilton, commissaire du Revenu.
Madame la ministre, vous avez maintenant la parole pendant cinq minutes pour prononcer votre déclaration d'ouverture.
Merci, monsieur le président.
Je vous remercie de me donner l'occasion de discuter du travail de l'Agence du revenu du Canada concernant l'accès non autorisé aux renseignements des contribuables.
D'abord et avant tout, il faut absolument mentionner que la protection des renseignements des contribuables demeure l'une des plus grandes priorités du gouvernement et de l'Agence. Nous avons une tolérance zéro à l'égard de la fraude sous toutes ses formes.
Permettez-moi de prendre le temps qui m'est alloué pour vous dresser le portrait de la situation. Malheureusement, l'augmentation de la fraude et du vol d'identité est un phénomène mondial. Toutes les institutions gouvernementales et toutes les organisations du secteur privé dans le monde font face à ces menaces en constante évolution. Aucune organisation n'est à l'abri de ce phénomène, pas même les organisations du gouvernement du Canada. D'ailleurs, le Centre antifraude du Canada ne cesse de mettre en garde les Canadiennes et les Canadiens contre les menaces persistantes. Au sein de l'Agence, depuis 2020, il y a eu une augmentation considérable du nombre de tentatives de vol d'identité et d'utilisation non autorisée des renseignements des contribuables par des tiers, notamment à la suite de l'annonce des prestations d'urgence liées à la COVID.
Plus tard cette année-là, l'Agence a également constaté une augmentation des violations de données externes et des cybermenaces. Je tiens à rassurer tout le monde, l'Agence a mis en place une approche de sécurité à plusieurs niveaux pour contrer ces menaces. Premièrement, l'Agence surveille régulièrement les comptes des contribuables pour détecter toute activité suspecte, afin de repérer, de prévenir et de traiter rapidement les cas potentiels de fraude et de vol d'identité.
L'Agence a aussi mis en place de nombreuses mesures tangibles pour rendre ces systèmes plus robustes. Mentionnons l'authentification multifactorielle, la révocation d'identifiants à risque, l'obligation d'avoir un courriel inscrit à Mon Dossier, les tests captcha qui permettent de s'assurer qu'on fait bien affaire avec un humain et non un robot, et l'augmentation des tests de pénétration des systèmes informatiques. Pour combattre la fraude, l'Agence combine aussi des analyses de données avancées et des renseignements recueillis auprès de nombreuses sources, notamment des organismes chargés de l'application de la loi et des institutions financières.
De plus, l'Agence continue de collaborer avec des partenaires nationaux et internationaux pour développer et garder à jour sa stratégie, et ainsi empêcher la persistance de ces violations. À cet effet, l'Agence communique notamment avec le Commissariat à la protection de la vie privée du Canada afin de discuter de divers sujets, entre autres la gestion des atteintes à la vie privée, les enquêtes sur la protection des renseignements personnels et les initiatives nouvelles ou modifiées qui requièrent l'utilisation de renseignements personnels.
[Traduction]
À l'international, l'Agence est membre du Joint Chiefs of Global Tax Enforcement connu sous le nom de J5. Cette organisation regroupe cinq pays, dont le Canada. Le J5 mène des opérations coordonnées pour appréhender les fraudeurs qui commettent des crimes fiscaux transfrontaliers.
De plus, l'Agence dispose d'équipes spéciales pour traiter les enjeux liés à la fraude, qu'il s'agisse d'atteintes à la vie privée, de vols d'identité ou de stratagèmes fiscaux de toute nature. Ces dernières années, elle a d'ailleurs augmenté le nombre d'employés qui se consacrent à la lutte contre la fraude en tout genre.
Et finalement, je peux vous assurer que l'Agence continue sans relâche d'investir dans la sécurité et d'améliorer ses technologies, ses processus et ses contrôles.
Je terminerai en vous disant que le gouvernement du Canada et l'Agence prennent très au sérieux l'équité et l'intégrité du régime fiscal canadien. La confiance des particuliers et des entreprises envers l'Agence est la pierre angulaire du régime d'autocotisation du Canada. Nous tous, ici présents, faisons tout ce qui est en notre pouvoir pour maintenir un haut niveau de confiance.
Merci, monsieur le président.
Merci, madame la ministre.
À titre d'information pour les autres membres du Comité, j'ai demandé à M. Hamilton de faire sa déclaration durant la deuxième heure de réunion afin de nous permettre d'optimiser notre temps avec la ministre.
Madame la ministre et monsieur Hamilton, comme vous le savez, les membres du Comité ont peu de temps pour poser des questions. Veuillez ne pas vous en formaliser s'ils veulent reprendre une partie de leur temps pour poser une autre question.
Monsieur Chambers, vous avez six minutes. Vous pouvez commencer.
Merci beaucoup, monsieur le président.
Merci de votre présence. Je crois que c'est la première fois que nous sommes ensemble à un comité.
Quand avez-vous été mise au courant de l'atteinte à la vie privée signalée par CBC/Radio-Canada il y a quelques semaines seulement?
Comme vous le savez, je ne peux pas parler d'un cas précis.
[Français]
Je peux cependant vous dire que dès que je suis arrivée à l'Agence du revenu du Canada, au mois de juillet de l'année passée, j'ai reçu un breffage exhaustif sur toutes les situations de fraude potentielle et sur les dossiers à l'étude. De plus, chaque fois qu'une situation requiert une attention particulière, j'en suis informée.
[Traduction]
On vous a informée de cas de fraude lorsque vous êtes arrivée à l'ARC, ou quand vous avez reçu votre premier breffage. Est‑ce exact?
[Français]
[Traduction]
Je comprends cela, mais, dans le cas de l'atteinte à la vie privée qui a été signalée en lien avec H&R Block, quand avez-vous été mise au courant de ces dossiers?
[Français]
Monsieur Chambers, je suis sûre que vous savez très bien que, à cause de l'article 241 de la Loi de l'impôt sur le revenu, je ne peux pas parler d'un cas précis, que ce soit celui-ci ou un autre, alors je ne peux pas vous répondre.
[Traduction]
Madame la ministre, je connais très bien l'article 241. Nous ne parlons pas d'un contribuable en particulier en ce moment. Nous vous demandons quand vous avez été informée.
Il existe une note d'information ou une note de service qui contient ce qui suit: « Il y a consensus sur le fait que ces faiblesses représentent un risque majeur pour l'Agence. Bien qu'il y ait des considérations relatives au financement [interne] et des considérations relatives aux ressources [humaines] à prendre en compte, nous sommes tous d'accord pour dire que la visibilité est requise. »
Vous rappelez-vous avoir reçu cette note de service?
[Français]
Je reçois plusieurs notes de service. Je suis breffée de différentes façons, verbalement et par écrit, régulièrement. Ce n'est pas une chose qui me surprend.
[Traduction]
Le commissaire pourrait peut-être nous éclairer.
Vous souvenez-vous de la note dont je parle? Elle était mentionnée dans un reportage de CBC/Radio-Canada.
Non, je ne m'en souviens pas.
Je répéterai simplement ce qu'a dit la ministre. Nous ne discutons pas de cas précis.
Mon temps est très limité, monsieur le commissaire. Je vous remercie.
Madame la ministre, selon votre témoignage, vous ne pouvez pas dire aux Canadiens quand vous avez pris connaissance de la grave atteinte à la vie privée signalée dans les médias.
[Français]
[Traduction]
Il serait juste de dire que si vous en avez été informée rapidement, lorsque l'atteinte s'est produite, vous en auriez probablement été informée peu de temps après. Est‑ce exact?
[Français]
Absolument. Quand une atteinte à la vie privée est moindrement importante, j'en suis rapidement informée.
[Traduction]
Merveilleux.
Pourquoi cette atteinte n'a‑t‑elle pas été signalée au public, si c'était une atteinte à la vie privée importante, lorsque vous en avez été informée, peu de temps après qu'elle se soit produite?
[Français]
La façon dont on fonctionne à l'Agence est la suivante: dès qu'on soupçonne qu'il y a eu un vol d'identité, on bloque le compte, puis on communique directement avec l'individu ou les individus concernés ou avec la compagnie concernée.
Il n'y a que dans les cas où c'est plus généralisé, comme durant la pandémie de COVID‑19, que nous transmettons une communication au public. Toutefois, la personne concernée ou les personnes concernées ont été immédiatement informées.
[Traduction]
Cela touche quand même des milliers de contribuables. Si une telle atteinte se produisait à l'extérieur du gouvernement, les organisations visées auraient l'obligation d'en informer le public. Comment se fait‑il que cette atteinte n'ait pas été rendue publique? Pire encore, pourquoi avoir caché l'information au commissaire à la protection de la vie privée et ne la lui avoir communiquée qu'après la date limite pour qu'il puisse l'inclure dans son rapport en 2024?
[Français]
Je peux vous dire que, dans le rapport de la vérificatrice générale du Canada de 2022, on avait déjà commencé à dévoiler ou à transmettre cette information. Vous me parlez aujourd'hui d'un bloc de 31 000 vols d'identité, mais cela s'est passé sur plusieurs années. Si vous retournez au rapport de la vérificatrice générale de 2022, vous allez voir que 23 000 cas avaient déjà été rendus publics.
[Traduction]
Si le processus de l'ARC fonctionne vraiment bien et que la ministre est informée relativement vite des atteintes à la vie privée — vous êtes au courant d'atteintes à la vie privée qui se sont produites sur plusieurs années —, il est raisonnable de présumer que vous ou votre prédécesseure avez été mises au courant de ces atteintes à la vie privée bien avant la date limite de mars du commissaire à la protection de la vie privée pour inclure l'information dans son rapport annuel au Parlement. Comment se fait‑il que ces atteintes à la vie privée aient été signalées au commissaire à la protection de la vie privée après la date limite, alors que vous laissez entendre dans votre propre témoignage que vous auriez été mise au courant de ces atteintes à la vie privée bien avant la date limite pour les signaler au public?
[Français]
Je suis informée rapidement lorsqu'il y a des tentatives de vol d'identité, qu'il faut ensuite valider. Pour ce faire, on informe sans tarder l'individu ou les individus de la situation. On en fait aussi rapport et, comme je vous dis, on avait déjà commencé à en faire rapport dans le cadre du rapport de la vérificatrice générale de 2022.
[Traduction]
Madame la ministre, selon le commissaire à la protection de la vie privée, il y a eu très peu d'atteintes à la vie privée à l'ARC, parce qu'il n'en a pas été informé de manière à pouvoir en faire état dans son rapport en 2024. La chronologie des événements ne me convainc pas tout à fait pour l'instant, mais je crois avoir dépassé mon temps de parole.
Merci, monsieur Chambers.
Nous passons maintenant à notre amie de Châteauguay—Lacolle.
Madame Shanahan, vous avez six minutes. Allez‑y, s'il vous plaît.
[Français]
Merci, monsieur le président.
Ma circonscription de Châteauguay—Lacolle sera bientôt celle de Châteauguay—Les Jardins‑de‑Napierville. Je suis très fière de ce changement de nom pour nos associations.
Madame la ministre, je vous remercie d'être avec nous aujourd'hui.
Pour ceux qui ne le sauraient pas, j'ai travaillé longtemps dans le domaine de la préparation des déclarations de revenus, et j'ai discuté de l'importance pour les Canadiens et les Canadiennes d'être éduqués, conseillés et soutenus dans leur déclaration de revenus. J'ai vu l'évolution dans la façon de faire. Quand j'ai commencé, les déclarations de revenus se faisaient sur papier, ce dont M. Villemure se souvient peut-être aussi. Il fallait regarder la concordance entre les déclarations de revenus du Québec et celles du fédéral.
Par la suite, le développement des logiciels a permis de faire la transition vers des données automatiques. Maintenant, on peut avoir accès à nos données confidentielles sur un site Internet. Je dis toujours aux gens de mon entourage que ce logiciel est là surtout aux fins de la vérification des données, car, en fait, il peut y avoir des erreurs et des problèmes.
Madame la ministre, selon vous, quelle serait la meilleure façon pour les Canadiens et les Canadiennes de s'assurer que leurs déclarations sont faites en bonne et due forme?
Merci, madame Shanahan.
Il y a aussi beaucoup de communications qui se font à l'Agence. Je dirais que la première recommandation serait de s'assurer de ne pas toujours utiliser le même identifiant ni le même mot de passe. En effet, on se rend extrêmement vulnérable quand on a des mots de passe trop faciles. Alors si, par malheur, un fraudeur trouve nos codes, il peut avoir accès à plusieurs de nos sources, que ce soit la banque, que ce soit l'Agence ou autres.
Effectivement, au sein de l'Agence, nous avons toute une stratégie de communication sur le site Web. Nous offrons également de la formation sous différentes formes, au moyen d'outils de formation pour aider les gens à se protéger. Mentionnons l'hygiène numérique, qui est extrêmement importante parce qu'en ce moment, la majorité, sinon la totalité des vols d'identité dont on parle aujourd'hui sont les vols d'informations à l'extérieur de l'Agence. Avouons qu'il est difficile de se souvenir de tous ces mots de passe, ce qui explique qu'on a tendance à choisir les mêmes. Les fraudeurs sont des gens qui ont obtenu nos identifiants et mots de passe à l'extérieur, et qui les utilisent pour entrer sur le site de l'Agence. Par conséquent, il est vraiment important que les gens se protègent.
Je vous remercie de cette information.
Justement, puisqu'on parle des vols d'identité, j'étais au Comité permanent des comptes publics, l'an passé, quand nous avons eu les mêmes entrevues. Je pense au témoignage de M. Hamilton, entre autres, qui était là aussi. C'est la vérificatrice générale qui s'était penchée là-dessus et qui avait fait une analyse. C'était donc devenu public, et il y avait environ 20 000 cas à ce moment-là.
Cependant, on comprend que c'est aussi une question de temps. Nous produisons notre déclaration de revenus trois ou quatre mois après le début de l'année financière, qui commence le 1er janvier et se termine le 31 décembre. Alors, ça prend du temps, tant pour les contribuables que pour l'Agence du revenu du Canada, pour comprendre ce qui est arrivé. Ensuite, il faut attendre encore plusieurs mois, et ça peut s'étaler sur deux ou trois années financières. J'aimerais entendre vos commentaires là-dessus, mais j'aimerais d'abord savoir une chose. La vérificatrice générale a déterminé que les mesures que l'Agence avait prises à ce moment-là étaient satisfaisantes. Constatez-vous la même chose aujourd'hui? Êtes-vous satisfaite des mesures que l'Agence prend en ce moment?
Oui, effectivement.
L'Agence a mis en place plusieurs systèmes pour protéger les Canadiens. Nous travaillons en partenariat avec plusieurs institutions, ici, au Canada, mais aussi sur la scène internationale. Quand une situation se produit, que ce soit chez l'un ou chez l'autre, on la dévoile et on s'échange des techniques pour éviter qu'elle se reproduise. Je dis toujours qu'on multiplie les filets de sécurité. De cette façon, si, par malheur, une attaque passe à travers les mailles d'un filet, il y a un deuxième filet pour l'arrêter.
On peut d'abord penser à l'authentification multifactorielle. Chaque fois qu'un citoyen veut changer une information dans son compte Mon dossier, comme son adresse ou son numéro de compte bancaire, il reçoit tout de suite un courriel. Alors, si vous recevez un courriel qui dit que votre numéro de compte bancaire a été changé dans votre dossier à l'Agence du revenu du Canada et que vous n'avez pas fait ce changement, appelez immédiatement l'Agence pour qu'on bloque ça.
Nous avons donc mis en place plusieurs mesures de sécurité pour prévenir le plus de fraude possible. Toutefois, les fraudeurs sont créatifs, mais nous sommes aussi créatifs et compétents. Nous avons une équipe qui suit ça de très près pour protéger les citoyens chaque fois qu'un nouveau stratagème est utilisé.
Merci, madame la ministre et madame Shanahan.
Monsieur Villemure, vous avez la parole pour six minutes.
Merci beaucoup, monsieur le président.
Madame la ministre, merci d'être avec nous aujourd'hui. J'ai plusieurs questions pour vous.
Je vous ai entendu dire, dans vos réponses précédentes, qu'on fait souvent porter à l'utilisateur le fardeau de se protéger, par exemple en changeant ses mots de passe. Vous savez que la vie numérique est compliquée. On a tendance à faire confiance à une organisation telle que l'Agence du revenu. La confiance, sur le plan conceptuel, c'est la non-nécessité de faire la preuve, mais aujourd'hui, c'est ce qu'on doit faire. Il y a donc un problème dans le raisonnement. Y a-t-il moyen de ne pas faire porter tout le fardeau aux utilisateurs?
Je pense que c'est une responsabilité partagée. Nous devons faire attention, comme quand on met notre ceinture de sécurité en voiture. Nous avons tous une responsabilité personnelle, mais je vous assure qu'il y a énormément d'efforts, d'énergie, d'investissements et de formation au sein de l'Agence pour protéger les gens contre le vol d'identité.
Encore une fois, les informations en question ont été obtenues par l'entremise de systèmes en dehors de l'Agence. Une fois que ces informations ont été obtenues, les gens ont pu entrer. Alors, l'Agence met en place plusieurs mesures. Par exemple, il nous est tous arrivé, pour accéder à notre compte, qu'on nous demande de cliquer sur les carrés d'une image qui contiennent une bicyclette. C'est déjà une façon de s'assurer que c'est une personne, et non une machine, qui essaie d'entrer dans le système. On nous demande aussi parfois d'entrer un code qui nous est envoyé sur notre cellulaire, par exemple. On met en place plusieurs mesures semblables. Vous savez de quoi je parle, n'est-ce pas?
Nous avons environ 400 cadres supérieurs, un autre niveau de gestionnaires. Je vais trouver l'information.
D'accord. C'est le deuxième niveau du service à la clientèle, si l'on veut.
J'aimerais savoir une chose. Dans les situations problématiques où interviennent des lanceurs d'alerte, ces derniers agissent souvent parce qu'ils n'ont pas eu de succès lorsqu'ils ont rapporté les faits au sein de l'organisation. Qu'en pensez-vous?
En ce qui concerne les lanceurs d'alerte, je pense que certaines situations doivent être dénoncées, j'en conviens tout à fait. D'ailleurs, c'est pour cette raison que nous appuyons le projet de loi C‑290, qui va en ce sens.
L'Agence du revenu du Canada a tout de même la particularité d'être une cible de choix, parce que c'est là où se trouvent beaucoup d'informations personnelles. Nous sommes régis par la Loi de l'impôt sur le revenu, dont l'article 241. Beaucoup de mesures tournent autour de cela. Nous avons un code d'éthique, et nous devons y faire attention.
Tous les employés ont la responsabilité de protéger l'intégrité du système fiscal et, évidemment, on doit ne pas compromettre des enquêtes.
Parmi les 60 000 employés ou les 400 employés qui occupent des postes de cadre supérieur, combien d'entre eux sont en télétravail?
Présentement, selon le règlement, tous les employés doivent travailler trois jours par semaine au bureau.
Une partie des employés ont une exemption présentement, mais, en général, tous les employés doivent travailler trois jours par semaine au bureau. Certaines personnes doivent travailler au bureau cinq jours par semaine, en raison du poste qu'elles occupent.
Bien sûr. Avant la pandémie, nous avions 43 000 employés. Au plus fort de la pandémie, nous en avions 62 000. Aujourd'hui, nous en avons à peu près 58 000.
Une culture d'entreprise existe un peu partout. Or, il est plausible de croire que certains employés n'ont pas connu l'Agence telle qu'elle était avant la pandémie et que, possiblement, le télétravail a eu une incidence sur la difficulté d'adhérer à la culture de l'Agence, qui est celle de la confidentialité, je l'avoue. Je cherche à savoir si la supervision est adéquate, considérant que certains employés ne sont pas ou n'ont jamais été présents sur les lieux.
Je ne sais pas de quel niveau de supervision vous parlez, mais je pense qu'en effet, on trouve des façons de travailler. La COVID‑19 nous a tous appris à travailler différemment.
Je peux vous assurer que des mécanismes sont en place pour nous assurer de l'intégrité des employés. Évidemment, ils ont un niveau d'accès aux informations qui dépend de leurs fonctions. Tout le monde n'a pas un accès illimité.
Encore une fois, il faut se rappeler qu'il y a près de 60 000 employés. Bien sûr, tous les employés ne sont pas au courant de tout le travail que les équipes, l'équipe de sécurité et tous les collaborateurs font pour essayer d'améliorer les systèmes.
Par ailleurs, l'utilisation de l'expression « lanceurs d'alerte » dans notre situation me pose problème, parce que les informations qui ont été communiquées publiquement aux médias étaient déjà publiques soit dans les rapports soit de la vérificatrice générale, soit dans les témoignages du Comité permanent des finances ou du Comité permanent des comptes publics. Le journal n'a rien appris de neuf à l'Agence ou aux parlementaires, même si le grand public, lui, a peut-être appris des choses.
[Traduction]
Merci beaucoup.
Madame la ministre, je dois dire d'emblée que j'ai trouvé vos réponses à M. Chambers très évasives. Je vais vous donner l'occasion de répondre au test Nixon. Commençons par un exposé des faits dont vous avez convenu.
Vous avez déclaré que la vérificatrice générale avait signalé en 2022 que 23 000 comptes avaient été compromis. Est‑ce exact?
Dans le cadre de la transition, vous auriez été mise au courant des atteintes détectées en 2022. Est‑ce exact?
Vous deviez savoir que quelque 190 millions de dollars ont été versés à cause de fraudes découlant de piratage remontant jusqu'à 2020. Est‑ce exact?
Parce que je ne me souviens pas de toutes les séances d'information que j'ai reçues au cours de la dernière année.
Avec tout le respect que je vous dois, madame la ministre, nous parlons d'une atteinte importante à la vie privée de milliers de personnes, qui représente des centaines de millions de dollars, dans votre ministère.
Monsieur Hamilton, je vais vous soumettre au test Nixon. À quel moment avez-vous su que ces atteintes avaient eu lieu?
Je suis régulièrement tenu au courant des atteintes à la vie privée qui se produisent. Je pense, à titre de précision...
Je me suis assuré d'être au courant de toutes les mesures que nous avons prises, de l'historique du dossier...
Je pense qu'il est important — pas tant de savoir la date précise à laquelle j'en ai pris connaissance, mais...
D'accord.
Monsieur le président, je veux simplement mentionner que le commissaire a sur son bureau en ce moment un document d'information, que je vais décrire pour le hansard.
Je vous dirais, madame la ministre, que vous devez également être bien au courant du fait que nous devons composer avec des tactiques d'obstruction depuis cinq semaines en raison du pouvoir d'un comité d'exiger des documents, n'est‑ce pas?
La raison pour laquelle je le mentionne, monsieur, c'est que je ne veux pas avoir à demander au Comité d'adopter une motion pour vous demander de soumettre tous les documents qui se trouvent sur cette table. Je préférerais que vous nous répondiez avec clarté, parce que je ne suis pas prêt à accepter que vous comparaissiez devant le Comité sans connaître les dates auxquelles vous auriez été informé de ces atteintes à la vie privée.
Je pense qu'il est important, tout d'abord, de faire la distinction entre deux périodes. Il y a eu la pandémie, puis la période qui a suivi, et il y a eu beaucoup de violations pendant la pandémie. Je pense que vous avez parlé de 23 000 cas, ou peu importe, et au fur et à mesure que nous...
À quel moment cela devient‑il suffisamment grave pour que vous vous sentiez investi d'un devoir de franchise envers le public pour l'informer qu'une atteinte à la vie privée de cette ampleur s'est produite au sein de votre ministère, monsieur?
... et nous en avons fait rapport en toute transparence au commissaire à la protection de la vie privée. Je reconnais qu'il s'est écoulé un peu de temps avant que nous l'en informions, mais...
Monsieur Hamilton, il semble y avoir une culture du secret ici. Pouvez-vous me parler de la politique de votre ministère sur les dénonciateurs?
Avec plaisir. Je peux vous dire que nous sommes parmi les plus transparents en matière de divulgation d'information. Je reconnais qu'il y a eu une lenteur ici. Notre politique sur les dénonciateurs est d'encourager les gens à parler à leurs gestionnaires, à leurs superviseurs, s'ils voient quelque chose. Ensuite, nous avons un processus interne par lequel les gens, sous le couvert de l'anonymat, peuvent exprimer leurs préoccupations s'ils pensent que quelque chose ne va pas. En outre, il y a toujours le commissaire à l'intégrité du secteur public à qui n'importe quel fonctionnaire du gouvernement peut se plaindre.
Cela m'amène au courriel que vous avez envoyé. Je suis sûr que vous vous souvenez du courriel que vous avez envoyé au sujet du respect de notre intégrité. Lorsqu'on parle de dénonciation dans un contexte de divulgation publique, on parle souvent de prendre un risque à son emploi pour divulguer au public, pour le bien public, des actes répréhensibles ou des fautes professionnelles qui pourraient avoir été commis dans le milieu de travail. Ce n'est pas ce que vous avez décrit. Que pensez-vous de la dénonciation de la part d'employés de votre agence, qui pourraient présenter au public des problèmes qui se produisent au sein de votre agence?
Il y a deux choses que je dirais. Nous avons de bons mécanismes internes qui permettent aux gens de dénoncer des choses pour que des mesures soient prises. Ensuite, les employés ont la responsabilité de ne pas dévoiler de renseignements des contribuables.
Il ne s'agit pas de dévoiler des renseignements précis. Il ne s'agit pas de parler de renseignements désagrégés.
On parle ici d'une atteinte majeure et massive à la vie privée du Canadien moyen, qui ressent un genre de détresse lorsque cela se produit, soit dit en passant... J'aide des milliers de gens dans le traitement de leur déclaration de revenus, et je sais que s'il y a de la fraude là, bon nombre de ces personnes — des aînés, des personnes à revenu fixe — ne recevront soudain pas leurs prestations de la Sécurité de la vieillesse ou du Supplément de revenu garanti. Elles ne recevront pas tout ce à quoi elles ont droit, et c'est sans parler de leurs déclarations de revenus.
Je vais vous poser une dernière question pour conclure ce tour‑ci, monsieur, et je vais vous demander d'y répondre honnêtement, afin que je n'aie pas à présenter une motion pour exiger que vous fournissiez une réponse au Comité. Quelle est la somme totale des pertes pour le Trésor public, y compris à cause de paiements injustifiés liés à la TPS et aux déclarations des entreprises, que des comptes aient été piratés ou non?
Je voulais connaître le coût total des sommes perdues en raison de paiements injustifiés liés à la TPS et aux déclarations des entreprises, que cela soit attribuable au piratage de comptes ou non.
Je n'ai pas ce chiffre. Certains collègues se joindront à moi pour la deuxième heure et pourraient être en mesure de vous en dire davantage. Sinon, nous devrons vous transmettre une réponse ultérieurement.
Je vous dirais par ailleurs au sujet des lanceurs d'alerte que nous ne pouvons effectivement pas fournir de renseignements relatifs aux contribuables, et que nous ne parlons pas non plus publiquement des stratagèmes que les gens essaient de mettre en place à nos dépens, parce que nous ne voulons pas que n'importe quel citoyen puisse ainsi savoir comment s'y prendre. Nous avons réussi à bien ancrer une culture organisationnelle visant à encourager chaque employé à s'en remettre aux mécanismes en place lorsqu'il constate que quelque chose ne tourne pas rond.
Je suis désolé. Nous devons vous arrêter ici.
Je crois comprendre qu'il y a un problème avec l'interprétation.
Je viens d'en être informé, monsieur Green. Je me demande si nous pourrions faire un test pour voir...
Une voix: Tout va bien maintenant.
Le président: D'accord.
[Français]
Voilà qui termine le premier tour de questions et nous allons maintenant commencer le deuxième.
Monsieur Berthold, vous avez la parole pour cinq minutes.
Merci beaucoup, monsieur le président.
Madame Bibeau, bonjour.
Quand vous avez fait vos remarques préliminaires, vous avez utilisé ce que j'appelle un grand langage gouvernemental. Votre discours était beau et bien préparé, mais il donnait malheureusement peu de détails sur ce qui est arrivé, sur l'ampleur de la situation et sur les conséquences pour les citoyens et les citoyennes qui ont été victimes de ces fraudes. Il y a eu 31 000 atteintes à la vie privée entre 2020 et 2023, et 62 000 contribuables canadiens ont été touchés directement. Tous ces dossiers sont-ils maintenant réglés?
Je peux vous assurer que, dès qu'on a le moindre doute qu'il y a eu une atteinte à la vie privée, on informe immédiatement la personne concernée. Je tiens à ce que ce soit clair.
Vous nous avez déjà dit cela, madame Bibeau.
Ce que je veux savoir, c'est combien de gens attendent encore que leur dossier soit réglé. Combien de gens attendent encore des chèques? Tous les dossiers ont-ils été réglés?
Il faudrait que je m'informe auprès de l'équipe, mais, ce que je peux vous dire, c'est qu'il y a différents niveaux d'atteinte à la vie privée. Dans certains cas, le fraudeur aura eu accès au dossier, mais il n'aura pu rien y voir. Il n'aura donc pas pu utiliser l'information pour autre chose. De tels cas se règlent vite.
Je parle des cas où il y a eu de la fraude, où de l'argent a été versé et où une enquête a été ouverte. Comme on le sait, quand les gens font l'objet d'une enquête, aucune transaction n'est possible tant et aussi longtemps que la situation n'est pas réglée.
Je peux vous parler de deux cas, mais je n'ai pas le droit, moi non plus, de nommer les gens. Dans le premier cas, on a reçu une plainte le 28 avril 2022, et celle-ci a été réglée le 26 juillet 2024. Pendant deux ans, la personne n'a donc pas pu avoir accès à toutes les sommes d'aide gouvernementale auxquelles elle avait droit. Dans l'autre cas, il s'agit d'un dossier qui nous a été rapporté le 20 mai 2020, mais qui n'a été réglé que le 8 octobre 2024.
Madame Bibeau, en tant que ministre, est-ce que ça ne vous touche pas d'entendre ça ou de lire ce genre d'articles?
Bien sûr que ça me touche. Chaque cas est assurément important, et je vous assure que l'Agence fait le maximum, qui dépend du niveau…
Madame Bibeau, je veux savoir ce que vous faites, pas ce que l'Agence fait. Appelez-vous l'Agence pour lui dire qu'il faut régler le problème rapidement ou attendez-vous le prochain breffage? Vous attaquez-vous aux lanceurs d'alerte afin que l'histoire ne soit pas reprise par les médias?
Dites-moi ce qui est juste pour les gens qui attendent la résolution de leur dossier et qui n'ont pas accès à l'aide gouvernementale. Dites-moi ce qui est juste en ce moment.
Je vous assure que les gens de nos équipes travaillent fort.
Ce que j'essaie de vous dire, c'est que le niveau d'attaque ou d'accès aux comptes des clients varie. Certains cas peuvent être réglés très facilement, alors que d'autres ont des effets plus importants, ce qui demande plus de temps. Nous sommes là pour aider les gens. Des systèmes de protection sont en place et nous travaillons notamment avec TransUnion pour protéger les données.
Pouvez-vous vous engager à régler ces dossiers beaucoup plus rapidement? On parle de gens qui n'ont pas accès à de l'aide gouvernementale ou de familles qui ne sont pas en mesure d'acheter de la nourriture. Nous travaillons tous fort, en tant que députés. Vous savez qu'il y a eu des cas abominables pour lesquels les gens attendent des solutions. Or, ce que j'entends de votre part, c'est que vous ne pouvez pas parler de cas précis, que vous faites votre possible et qu'il y a différents niveaux d'atteinte à la vie privée. Encore une fois, il s'agit d'un langage gouvernemental.
En tant que ministre, vous êtes responsable de l'Agence. N'avez-vous pas le goût de brasser la cage et de dire à l'Agence que ces cas doivent être réglés en deux mois, afin qu'on puisse passer à autre chose?
Je suis certaine qu'on va pouvoir vous donner des exemples beaucoup plus détaillés, et je vous assure qu'on essaie d'agir le plus vite possible, mais ça ne dépend pas toujours simplement de l'Agence. Ce qu'elle contrôle, elle le contrôle, et elle est en mesure d'agir rapidement. Par contre, ça va parfois au-delà de l'Agence. En effet, elle doit travailler en partenariat avec d'autres acteurs, car elle n'a pas tous les leviers.
Des plaintes ont-elles été faites à la police concernant toutes ces fraudes? Un réseau criminel organisé est-il impliqué?
L'Agence peut subir différents types d'attaques. Par exemple, il y a les attaques de « bourrage de justificatifs »....
[Traduction]
Oui. Je ne peux pas vous dire avec certitude combien il y en a, mais je peux vous parler de la façon dont nous traitons les cas en question. Si nous estimons qu'il peut y avoir activité criminelle, nous faisons appel à nos propres enquêteurs spécialisés, et nous pouvons également soumettre l'affaire aux forces de l'ordre.
[Français]
Combien de cas ont été confiés aux autorités policières?
Monsieur le président, peut-être que la ministre pourrait faire parvenir l'information au Comité.
[Traduction]
Il faudrait que je consulte mon équipe pour savoir exactement combien, et nous devrons peut-être même vous revenir à ce sujet, mais c'est effectivement une chose que nous pouvons faire. En outre, cela s'applique non seulement aux fraudes comme celles dont il est question ici, mais aussi aux cas d'évasion fiscale où nous pourrions considérer que des actes criminels ont été commis.
[Français]
Merci beaucoup, monsieur le président.
Madame la ministre, merci de comparaître devant le Comité aujourd'hui. Avant de vous poser des questions, je vais m'adresser à M. Hamilton.
[Traduction]
Monsieur Hamilton, dans les 31 000 cas dont on parle sans cesse, ce n'est pas toujours la même infraction qui est en cause. Il s'agit d'une série d'atteintes différentes dont le nombre peut varier, n'est‑ce pas?
Oui, c'est exact. Dans de nombreux cas, le type d'atteinte était semblable, mais c'était effectivement d'une série d'atteintes différentes.
Il s'agissait de violations commises aux dépens de tierces parties. Ce n'est pas le système de l'ARC qui a été directement pris à partie, mais plutôt des tiers liés à l'ARC qui ont été victimes de ces actes. Est‑ce exact?
Oui. Si on prend un exemple classique, il s'agirait d'une personne qui obtient des renseignements d'une tierce partie, peut-être d'une institution financière. Ces renseignements sont vendus sur le Web clandestin ou ailleurs, et les gens utilisent ensuite ces renseignements, ce mot de passe ou cet identifiant, pour essayer d'entrer dans le système de l'ARC. Nous en avons vu des exemples pendant la pandémie, lorsqu'il y avait des sommes importantes en jeu, ce qui nous a amenés à vraiment intensifier nos activités pour contrer la fraude par rapport à ce que nous faisions avant la pandémie.
Merci.
J'essaie d'apporter des éclaircissements concernant certains éléments soulevés précédemment pour vous donner l'occasion de vous expliquer. M. Green a posé un certain nombre de questions sur le moment où vous avez pris connaissance de ces atteintes. Comme il y a eu un certain nombre d'atteintes, vous avez sans doute été mis au courant à différents moments.
Je n'essaie pas d'obtenir une date précise, parce que je pense que c'est ce qui vous embêtait un peu. Vous vous demandiez si vous en aviez entendu parler le 14 février, le 27 février ou au mois de mars. Pouvez-vous vous rappeler à peu près à quelle période vous avez pris connaissance des différentes violations?
Voulez-vous dire à partir du début?
Je dirais qu'il y a eu beaucoup d'activité vers le mois d'août 2020, lorsque nous avons découvert qu'il se passait toutes sortes de choses et que nous avons vu certains vecteurs faire leur apparition. Des sommes considérables étaient en jeu. Depuis, nous avons pu observer certains cas semblables, mais nous en avons aussi vu d'autres où les gens n'essayent pas nécessairement, par exemple, d'obtenir de l'argent de la PCU. Certains peuvent miser notamment sur nos délais de paiement pour essayer d'obtenir un remboursement en produisant une fausse déclaration. C'est un autre type de fraude que nous avons vu se manifester. Tout cela intervient au fil d'une certaine période sans que l'on puisse dire que c'est arrivé à telle ou telle date. Je dois donc vous avouer que je ne sais pas exactement à quel moment le nombre a pu passer de 23 000 à 25 000, disons, mais peut-être que mes collègues pourront vous donner une réponse plus précise à ce sujet.
Je comprends. Je pense qu'il s'agit d'infractions différentes qui surviennent pendant des périodes continues. Vous ne pouvez donc pas vous souvenir d'une date précise, car vous avez probablement été informé de telles atteintes à plusieurs occasions distinctes. Est‑ce exact?
Oui, c'est tout à fait exact, et cela continue. Je crois que l'on peut tout au moins se réjouir du fait que nous résistons de mieux en mieux aux attaques ainsi lancées. En outre, lorsque nous sommes mis au fait d'une atteinte à la vie privée, nous nous assurons de verrouiller le compte et de prendre les mesures qui s'imposent en nous préoccupant du sort de la personne ciblée. Nous essayons de régler le problème le plus rapidement possible.
Tout à l'heure, on a parlé de retards. Il faut dire que nous avons un arriéré considérable faisant suite à la pandémie. Nous nous efforçons toujours de protéger le compte de la personne en lui accordant une protection de crédit lorsque la situation le justifie. Ensuite, nous nous penchons sur l'affaire, nous la réglons et nous voyons exactement ce qui s'est passé et ce qui doit être fait pour remédier à la situation. J'aimerais bien que nous puissions aller encore plus vite. Nous avons d'ores et déjà accéléré le rythme, mais nous sommes encore aux prises avec de nombreux cas qui se sont présentés au début des années 2020.
Merci beaucoup.
[Français]
Madame la ministre, je sais que vous êtes vraiment une personne pragmatique, et ce n'est pas nouveau pour vous.
Quand vous êtes entrée à l'Agence du revenu du Canada, vous avez indiqué clairement aux employés de vous informer lorsqu'il y avait quelque chose d'important, n'est-ce pas?
Effectivement, vous me connaissez très bien, monsieur Housefather.
Permettez-moi de prendre une petite seconde pour répondre à la question de M. Berthold. Il y a eu 135 condamnations, 25 millions de dollars en amendes imposées, 58 individus condamnés à des peines d'emprisonnement pour un total de 108 années, et 44 millions de dollars en impôts fédéraux éludés. Ce sont les résultats qui couvrent les cinq dernières années, de 2019 à 2024.
Je vous remercie, monsieur Housefather.
Il vous reste trois secondes. Votre temps de parole est écoulé.
[Traduction]
Merci, monsieur Housefather.
[Français]
Monsieur Villemure, vous avez la parole pour deux minutes et demie.
Merci beaucoup, monsieur le président. Deux minutes et demie, ce n'est pas long, alors je vais y aller rapidement.
Madame la ministre, j'ai l'impression qu'il y a plus une culture du secret qu'une culture de lanceurs d'alerte à l'Agence du revenu du Canada. Combien y a-t-il de cas de curiosité malsaine?
Je vous assure que nous surveillons cela étroitement. Nous avons des mécanismes en place. Nos systèmes nous permettent de savoir si un employé va consulter un dossier. Un employé qui va juste consulter son propre dossier écope de cinq jours de suspension. Nous prenons cela vraiment très sérieusement.
Présentement, nous sommes dans la gestion des ressources humaines, de façon générale. Il y a une gradation des sanctions. Si ce n'est pas judiciarisé, cela reste dans la bulle de la gestion des ressources humaines. Toutefois, je peux vous assurer que c'est pris très au sérieux.
D'accord. Cette question vous sera soulevée de nouveau, à un moment donné.
À tout hasard, le lanceur d'alerte va souvent agir par désespoir, parce que tout ce qu'il a fait n'a pas fonctionné. La supervision ne fonctionnait pas, il y avait quelque chose qui ne fonctionnait pas. Selon vous, pourquoi un lanceur d'alerte agit-il?
Encore une fois, j'ai de la difficulté avec l'utilisation de l'expression « lanceur d'alerte » dans notre contexte.
Sortez du contexte. En général, pourquoi un lanceur d'alerte — comme il y en a déjà eu à l'Agence — agit-il?
Il agit parce qu'il croit effectivement que l'organisme pourrait agir d'une façon différente, question de paradigme.
Encore une fois, voulez-vous dire les lanceurs d'alerte qui parlent aux médias, ou les employés qui vont voir la commissaire à l'intégrité du secteur public?
Ce n'est pas la première fois qu'il y a violation de la confidentialité ou des fraudes à l'Agence du revenu du Canada.
Si vous me le permettez, je vais vous donner les montants en dollars.
Nous avons atteint un pic en ce qui concerne les vols d'identité pendant la COVID‑19, à cause des programmes qui étaient basés sur des attestations. C'était la pire année pour ce qui est des vols d'identité, puisqu'il n'y avait aucune commune mesure. En 2020, comme vous le savez, et quelqu'un en a parlé tout à l'heure…
Oui, il y en a toujours un peu. Cependant, on parle de pertes de 3 millions de dollars pour ce qui est des vols d'identité l'année dernière, alors que nous sortons 59 milliards de dollars. Vous voyez la comparaison entre les 3 millions de dollars et les 59 milliards de dollars. Je voulais juste mettre les choses en perspective.
Merci, madame Bibeau.
[Traduction]
Monsieur Green, comme M. Villemure vient d'avoir droit à trois minutes pour ce tour de questions, je vais vous accorder le même temps de parole.
Merci. Je vous remercie de votre équité, monsieur le président.
Madame la ministre, menez-vous actuellement une enquête sur les lanceurs d'alerte au sein de l'ARC?
[Français]
Nous ne sommes pas en train de mener une enquête sur les employés. Nous sommes en train de rappeler aux employés leurs obligations en vertu de l'article 241 de la Loi de l'impôt sur le revenu.
[Traduction]
Merci.
Monsieur Hamilton, suivant un reportage de CBC, vous n'auriez pas nié le fait que vous auriez fouillé dans les ordinateurs de vos employés pour voir qui a accès à quels dossiers et à quelles fins. Menez-vous actuellement une enquête sur les lanceurs d'alerte au sein de l'ARC?
Vous parlez donc du domaine public. Nous allons toujours enquêter si quelqu'un agit de façon inappropriée par rapport à notre code d'éthique ou à son devoir de loyauté envers nous. À titre d'exemple, c'est ce qui est arrivé lorsque nous avons appris qu'un grand nombre d'employés avaient demandé la PCU.
Bien sûr.
Menez-vous actuellement une enquête sur les lanceurs d'alerte qui sont à l'origine du reportage diffusé à l'émission The Fifth Estate?
Je vous demande une réponse directe, monsieur Hamilton. Pourriez-vous fournir une réponse directe au Comité, s'il vous plaît?
Encore une fois, enquêtez-vous sur les lanceurs d'alerte qui sont à l'origine du reportage diffusé à l'émission The Fifth Estate?
Nous cherchons à déterminer si l'information était vraie et comment elle est entrée dans le domaine public.
Y aura‑t‑il des représailles? Dans l'affirmative, quelles formes prendront-elles pour les lanceurs d'alerte?
... comme on l'a déjà indiqué, cela peut aller de mesures disciplinaires mineures, comme une réprimande verbale ou écrite, jusqu'à la cessation d'emploi. Tout dépend de la gravité des gestes posés.
Nous avons des politiques strictes à cet égard, de sorte que lorsque quelque chose de grave se produit... Pour reprendre le cas de la PCU, il y a des gens qui ont été congédiés.
Nous parlons précisément de l'émissionThe Fifth Estate. Pour les gens qui nous regardent, on pourrait dire que les employés qui, dans l'intérêt public, ont communiqué des renseignements à la population avaient peut-être l'impression qu'ils devaient être loyaux envers les contribuables canadiens en veillant à ce qu'ils sachent vraiment de quoi il en retourne, plutôt que d'être loyaux envers une bureaucratie ou un gouvernement à proprement parler.
Que dites-vous aux gens qui nous regardent aujourd'hui?
Je dis que nous prenons très au sérieux notre responsabilité d'agir avec honnêteté pour protéger le public canadien. Cependant, nous devons également protéger les informations qui ont été confiées à l'Agence, parce que vos renseignements et les miens...
... de données désagrégées. Ce n'est pas comme s'il était question de mes reçus. On parle d'une violation flagrante qui a donné lieu à 31 000 cas de fraude. Il ne s'agit pas d'atteintes importantes à la vie privée dans des dossiers individuels. On peut parler d'une défaillance systématique et structurelle en ce sens que l'Agence n'arrivait pas à comprendre ce qui se passait avec ces tierces parties.
De toute évidence, ces gens‑là ont eu l'impression que le problème n'était pas réglé, ce qui les a incités à lancer l'alerte.
Bien franchement, j'estime que nous aurions aussi dû être au courant en notre qualité de députés. Nous n'avions aucune idée de ce qui se passait avant de l'apprendre dans les médias.
Vous en aurez l'occasion, monsieur Hamilton, au cours de la deuxième heure. Je suis presque certain que nous allons y revenir.
Monsieur Chambers, vous avez cinq minutes, puis nous terminerons avec M. Bains, qui aura cinq minutes lui aussi.
Merci, monsieur le président.
Madame la ministre, vous avez dit tout à l'heure que l'ARC a « une tolérance zéro à l'égard de la fraude sous toutes ses formes ». Combien les contribuables ont-ils perdu à cause des différentes fraudes dont l'ARC a été victime, l'an dernier, par exemple?
L'an dernier, c'était environ 2 millions de dollars. Cette année, c'est 3 millions de dollars jusqu'à maintenant.
[Français]
[Traduction]
Non, je parle de tous les genres de fraude, y compris celle liée à la TPS et les stratagèmes de type carrousel. C'est vous qui avez parlé d'une « tolérance zéro à l'égard de la fraude sous toutes ses formes ».
Je veux savoir combien nous ont coûté les fraudes perpétrées à l'encontre de contribuables canadiens.
[Français]
Quand nous disons que nous avons zéro tolérance, ça veut dire que nous avons une équipe solide, nous avons des systèmes et nous avons des outils pour…
[Traduction]
Vous ne connaissez pas le chiffre. Est‑ce bien ce que vous avez dit? Vous n'avez pas de chiffre à nous donner.
[Français]
Chaque fois qu'il y a fraude, nous contre-attaquons et nous mettons en place toutes les mesures pour que ça ne se reproduise pas. Ensuite, il y a des poursuites. C'est dans ce sens-là que nous avons zéro tolérance.
[Traduction]
D'accord. Merci.
J'aurais une dernière question concernant l'usurpation d'identité. Étant donné qu'il s'agissait d'un nombre important de cas — une opération sans doute complexe et bien planifiée —, avez-vous mis la GRC au fait de la situation? Est‑ce que la GRC a été saisie de l'affaire pour pouvoir détecter d'éventuels liens avec le crime organisé et peut-être la présence d'un complice au sein même de l'ARC qui aurait pu faciliter la mise en oeuvre de ce genre de stratagèmes?
Avez-vous communiqué avec la GRC au sujet des cas d'usurpation d'identité?
[Français]
Les 31 000 cas d'atteinte à la vie privée dont on parle représentent plusieurs regroupements. Ça inclut entre autres une attaque par bourrage, mais il y a aussi plusieurs cas plus ou moins individuels. Des poursuites sont en cours et notre équipe interne des enquêtes criminelles travaille sur les dossiers. Il y a différents niveaux d'enquête en cours.
[Traduction]
D'accord, mais votre équipe d'enquêtes criminelles n'est pas la GRC, alors la question demeure.
Est‑ce que certains de ces cas de vol d'identité, en particulier ceux concernant les violations commises aux dépens de tierces parties, ont été soumis à la GRC, ou avez-vous demandé l'aide de la GRC?
[Français]
Nous avons recours à la GRC dans certains cas, certainement. Comme je vous le dis, ces cinq dernières années, il y a eu 135…
[Traduction]
Je suis désolé. Comme vous avez dit « certainement », dois‑je présumer que vous avez bel et bien demandé de l'aide à la GRC?
[Français]
Certainement. Il y a eu 135 condamnations ces cinq dernières années. Les condamnations doivent donc inévitablement venir de la police.
[Traduction]
En ce qui concerne les 31 000 comptes touchés et le problème avec H&R Block, avez-vous obtenu le soutien de la GRC?
[Français]
[Traduction]
D'accord. Nous allons garder cette question en veilleuse. Nous pourrons faire un suivi auprès du commissaire au cours de la prochaine heure.
Ces fraudes entraînent souvent une dette envers le gouvernement, une dette envers les contribuables. En ce qui concerne les stratagèmes très sophistiqués de type carrousel au titre de la TPS, quel est le montant le plus élevé que le gouvernement a dû comptabilisé comme perte?
[Français]
Encore une fois, vous voulez m'amener vers un dossier spécifique. Ça, ce n'est pas possible pour moi.
Par contre, ce que je peux vous dire sur les carrousels, c'est qu'on a mis plusieurs mesures en place. Ça, je peux vous en parler.
[Traduction]
De façon plus générale, quel est le montant le plus important versé à une entreprise que l'ARC a dû comptabiliser comme perte l'an dernier?
[Français]
[Traduction]
Diriez-vous que votre prédécesseure et l'ARC ont contrevenu à l'article 241 lorsqu'ils ont dit en 2019 que le montant le plus élevé qu'ils avaient comptabilisé à titre de perte en 2019 était de 133 millions de dollars? Rien ne semblait en fait les empêcher de divulguer ce montant le plus élevé enregistré pour une entreprise.
Madame la ministre, voulez-vous toujours invoquer l'article 241 sur la protection de la vie privée?
[Français]
[Traduction]
Est‑ce 100 millions de dollars? Est‑ce 200 millions de dollars? Pourrait‑il s'agir de 500 millions de dollars ou peut-être de 600 millions de dollars? Quel est le montant dont il est question ici?
[Français]
J'ai le processus sous les yeux, mais je ne peux pas vous donner les montants.
Voulez-vous répondre, monsieur Hamilton?
[Traduction]
Je suis désolé. Je tiens à être très clair à ce sujet. L'article 241 ne peut pas vous servir d'échappatoire pour ne pas divulguer des détails anonymisés. L'ancienne ministre responsable de l'ARC a publié un chiffre selon lequel, en 2019, 133 millions de dollars ont été comptabilisés comme perte pour un seul contribuable. Ma question est donc la suivante. Quel a été le montant le plus élevé comptabilisé comme perte au cours de la dernière année?
Tout d'abord, je répète que je ne pourrai pas répondre à cette question, parce que je ne le sais pas. Nous sommes très transparents en ce qui concerne nos radiations dans les comptes publics. C'est là que vous trouverez tous les chiffres. Tout ce que nous pouvons révéler y est révélé.
Nous pouvons revenir en arrière pour examiner le tout. Je pourrai peut-être ainsi trouver le chiffre que vous cherchez. Nous avons en fait des fonctionnaires qui pourraient...
Merci, monsieur le président.
Je remercie la ministre et les représentants de l'ARC de s'être joints à nous aujourd'hui.
Madame la ministre, dans votre déclaration préliminaire, vous avez parlé de l'effort international de lutte contre la fraude fiscale. Pouvez-vous nous donner plus de détails à ce sujet? Y a‑t‑il des partenariats internationaux qui vous permettent de récupérer des fonds qui seraient allés à l'étranger?
[Français]
Merci. Effectivement, nous participons à divers partenariats.
Il y a, entre autres, le Forum de l'OCDE sur l'administration fiscale, présidé d'ailleurs par le commissaire Hamilton. Il y a aussi le J5, dont on parle souvent et qui était à Ottawa il y a environ un mois. Le J5 regroupe tant des organismes publics, soit nos homologues des cinq pays membres, que des institutions financières, c'est-à-dire tant le secteur public que le secteur privé.
Il y a aussi le réseau international des conventions fiscales, qui nous permet d'échanger de l'information sur des dossiers particuliers, par exemple, sur des multinationales. Il y a les télévirements internationaux, pour lesquels nous avons des ententes d'échange d'informations avec une centaine de pays. De plus, nous avons évidemment beaucoup d'outils que nous échangeons, ici, au Canada.
Nous sommes donc très actifs sur la scène internationale pour échanger l'information et traquer les gens qui font de l'évasion fiscale.
[Traduction]
Êtes-vous ainsi en mesure de récupérer des fonds qui sont allés à l'étranger et qui ont été perdus frauduleusement?
[Français]
Nous avons déjà des ententes avec certains pays, qui nous permettent de partager de l'information. Je n'ai pas d'exemples concrets me permettant de dire jusqu'à quel point nous avons pu récupérer des fonds.
Pouvez-vous compléter ma réponse, monsieur le commissaire?
[Traduction]
Nous avons mis en place des mécanismes qui nous permettent d'aller plus loin que les simples échanges d'information. Si un différend survient au sujet de sommes qui auraient dû être versées à un pays ou à un autre, mais qui ne l'ont pas été, nous avons des moyens de tirer les choses au clair. Nous travaillons en étroite collaboration avec d'autres pays pour mettre en place d'un commun accord des mesures nous aidant à régler les différends de ce genre.
Obtenons-nous des résultats en pareil cas? Avons-nous réussi à récupérer des fonds? Cela s'est‑il produit?
[Français]
J'ai un exemple sous les yeux. Dans le cas des Panama Papers, nous avons été capables de récupérer 83 millions de dollars.
[Traduction]
Je veux revenir à ce dont parlait mon collègue d'en face. Il y a des fraudeurs qui prétendent être des agents de l'ARC. Il est difficile pour les agents de l'ARC de s'assurer qu'ils interagissent avec la bonne personne, mais il est également difficile pour les contribuables de s'assurer qu'ils sont vraiment en contact avec un agent de l'ARC.
Quelles précautions pourriez-vous recommander aux contribuables à cet égard? Devraient-ils toujours être ceux qui appellent en utilisant le numéro indiqué sur votre site Web? Quel est le mécanisme en place à cette fin?
[Français]
Effectivement, il faut être très prudent quand on communique de l'information. Si un agent de l'Agence du revenu du Canada vous appelle, il va avoir de l'information à vous communiquer, et non de l'information à vous demander. Dans le doute, quand on a une communication de l'Agence, que ce soit par écrit ou verbalement, on peut toujours mettre fin à la communication et appeler l'Agence à son numéro général. De plus, quand on reçoit un courriel, il y a un code. Alors, si on rappelle l'Agence en lui fournissant ce code, et qu'on se fait dire que le code ne veut rien dire, c'est que c'était une fraude. À l'inverse, si le code est lié à notre dossier, c'est que c'était effectivement un courriel de l'Agence. Donc, quelqu'un de l'Agence qui vous appelle va vous donner des informations, mais il ne vous en demandera pas.
[Traduction]
Qu'arrive‑t‑il aux contribuables qui sont victimes d'un vol d'identité? Y a‑t‑il des mesures pour les soutenir?
[Français]
Quand il y a des vols d'identité, nous travaillons entre autres avec TransUnion, une agence qui est un peu l'équivalent d'Equifax, que plusieurs connaissent. Cela permet de faire un suivi des comptes financiers des clients qui ont subi un vol d'identité. Encore une fois, tout dépend du niveau de gravité du vol d'identité. Le fraudeur a-t-il simplement changé une information? A-t-il seulement changé le numéro de compte bancaire pour recevoir des prestations, sans avoir vu les autres informations du contribuable? Dans certains autres cas, le fraudeur a pu tout voir. C'est plus rare, mais ça arrive aussi. Donc, le degré de soutien à la protection du client peut varier en fonction du niveau de gravité de la fraude.
[Traduction]
Merci, monsieur Bains.
J'ai une question, madame la ministre. Il y a eu entre mars 2020 et décembre 2023, 31 468 atteintes à la vie privée qui ont touché directement 62 000 contribuables canadiens. Seulement 113 de ces atteintes ont été signalées au Commissariat à la protection de la vie privée, alors qu'au total, 31 468 ont été signalées rétroactivement. Pourquoi le commissaire à la protection de la vie privée n'a‑t‑il pas été mis au fait à l'époque de l'ampleur du problème, alors qu'il a été saisi de seulement 113 dossiers? Pourquoi n'a‑t‑il pas pu avoir accès à cette information?
[Français]
Il est vrai qu'il y a eu un certain retard, mais nous divulguons cette information chaque trimestre dans les rapports de la vérificatrice générale. De plus, nous venons ici, au Comité permanent des finances ou au Comité permanent des comptes publics, et nous donnons cette information.
Ce qui explique ce retard dans la divulgation, c'est qu'il y a eu une vague inhabituelle de vols d'identité. Dans de tels cas, notre priorité est de bloquer le compte en question et d'appeler l'individu pour vérifier s'il y a bien eu vol d'identité. En effet, il arrive parfois qu'on craigne qu'il y ait eu un vol d'identité, mais qu'on se rende compte que la personne avait réellement fait un changement. Donc, cette validation doit être faite, et c'est notre priorité. Or, comme le nombre de vols d'identité était inhabituel, notre équipe était vraiment mobilisée pour protéger les gens, faire des suivis et resserrer cela.
Encore une fois, chaque fois qu'il arrive une situation de vol d'identité, on se dépêche de comprendre ce qui s'est passé et de refermer la faille.
[Traduction]
Êtes-vous en mesure de faire une ventilation...? Je ne vous demande pas de détails, mais j'aimerais simplement que vous nous disiez si nous savons qui sont ces 31 000 personnes dont la vie privée a été touchée, et si elles ont été contactées individuellement ou non.
[Français]
Merci, madame la ministre.
Nous allons suspendre la réunion quelques minutes, le temps de nous préparer en vue de la deuxième heure de la réunion.
[Traduction]
Bon retour à tous.
Le Comité reprend son étude des atteintes à la vie privée à l'Agence du revenu du Canada. Les témoins que nous avons convoqués pour la deuxième heure de notre séance sont présents.
Le commissaire de l'ARC, M. Hamilton, est de nouveau parmi nous. Nous accueillons également d'autres représentants de l'Agence, c'est‑à‑dire Sophie Galarneau, sous-commissaire, Direction générale des affaires publiques, et chef de la protection des renseignements personnels; Harry Gill, sous-commissaire, Direction générale de la sécurité, et agent de sécurité de l'Agence; Gillian Pranke, sous-commissaire, Direction générale de cotisation, de prestation et de service; et Marc Lemieux, sous-commissaire, Direction générale des recouvrements et de la vérification.
Monsieur le commissaire, je tiens à vous remercier d'avoir attendu avant de faire votre déclaration. Vous disposez de cinq minutes pour la faire maintenant. Vous avez la parole, monsieur.
Merci, monsieur le président.
Je vous remercie de l'occasion qui nous est donnée de poursuivre notre discussion. Vous avez déjà présenté les personnes qui m'accompagnent. Ces personnes peuvent répondre à certaines des questions plus détaillées dont nous avons parlé tout à l'heure.
Je tiens à dire que la protection des renseignements des contribuables canadiens demeure l'une de nos plus grandes priorités. Si vous examinez la mission de l'Agence, vous constaterez qu'elle consiste à fournir un service aux Canadiens et à assurer l'équité du régime fiscal grâce à la conformité et la protection des renseignements. Nous prenons donc cette responsabilité très au sérieux.
Dans un monde de plus en plus numérique, l'accroissement des fraudes et des vols d'identité est devenu une tendance mondiale. Nous ne sommes pas le seul pays ni la seule organisation à affronter ces problèmes. À l'échelle internationale, les réponses à ces tendances comprennent la création d'un groupe de travail spécial ciblant la cybercriminalité au sein du groupe de travail appelé Joint Chiefs of Global Tax Enforcement, ou J5, que la ministre a mentionné. L'Agence, qui représente le Canada, est un membre actif du J5.
Malgré les contrôles de sécurité rigoureux déjà en place, l'Agence — comme toute organisation — reconnaît qu'elle n'est pas à l'abri de ces tendances croissantes. De plus, elle reconnaît l'inquiétude que suscitent les atteintes à la vie privée et les vols d'identité chez les personnes concernées.
L'Agence ne discute pas publiquement des stratagèmes fiscaux utilisés par les fraudeurs, afin d'éviter d'inciter d'autres fraudeurs potentiels à suivre leur exemple. Néanmoins, il est important de noter qu'une atteinte à la vie privée ne signifie pas nécessairement que nos systèmes ont été compromis ou que des renseignements ont été extraits. Dans la grande majorité des cas que nous rencontrons, les fraudeurs ont accès à des données qui ne proviennent pas de l'Agence et tentent de les exploiter en se faisant passer pour de vrais contribuables, ce dont nous avons discuté plus tôt pendant la séance.
Cela dit, l'Agence dispose d'un système de défense à plusieurs niveaux pour détecter et désigner les menaces comme la fraude, le vol d'identité et les stratagèmes fiscaux, et pour réagir à ces menaces afin de protéger ses systèmes. Et nous réussissons à nous protéger contre des centaines de milliers de tentatives frauduleuses d'accès aux comptes de particuliers et d'entreprises.
Par souci de transparence, nous signalons toutes les atteintes à la vie privée au Secrétariat du Conseil du Trésor du Canada et au Commissariat à la protection de la vie privée du Canada. Certes, comme nous l'avons déjà dit, certains signalements ont été retardés à la suite de la pandémie, mais nous les signalons, et nous considérons que nous faisons preuve d'une grande transparence à cet égard.
Nous signalons également les atteintes à la vie privée à la fin de chaque exercice financier dans notre rapport intitulé « Rapport annuel au Parlement — L'application de la Loi sur la protection des renseignements personnels ».
[Français]
Lorsqu'une fraude est soupçonnée, l'Agence prend des mesures de précaution immédiates sur le compte du contribuable, comme le bloquer pour empêcher des transactions, et elle effectue des examens approfondis avec les personnes concernées.
Notre service de protection de l'identité prend ensuite le relais. Ce service se consacre aux particuliers et aux entreprises. Nous offrons un service accessible et de grande qualité aux personnes touchées par le vol d'identité. Lorsqu'un vol d'identité est rapporté, l'Agence offre une protection de crédit et surveille les comptes de clients touchés afin d'éviter que les contribuables ne soient à nouveau victimes.
[Traduction]
Dans les rares cas où des fonds sont versés de manière frauduleuse, nous prenons toutes les mesures d'application de la loi mises à notre disposition pour restituer les fonds à la Couronne et tenir les parties contrevenantes responsables. Cela comprend des enquêtes criminelles qui pourraient aussi être renvoyées à la GRC.
Soyons clairs: il n'existe pas de solution miracle pour se protéger contre la fraude ou les atteintes à la vie privée. Voilà pourquoi l'Agence a mis en place des mesures de protection à plusieurs niveaux, dont la mesure obligatoire d'authentification multifactorielle. Les personnes doivent saisir un code d'accès à usage unique chaque fois qu'ils utilisent les services de connexion de l'Agence.
En outre, l'Agence effectue régulièrement des évaluations de sécurité, comme des analyses de vulnérabilité, des essais de pénétration et des évaluations du risque lié à la sécurité qui pèse sur les services numériques et les systèmes de l'Agence. Nous effectuons régulièrement des vérifications de routine pour distinguer les justificatifs d'identité des contribuables qui pourraient avoir été obtenus par des parties externes non autorisées, et nous prenons immédiatement des mesures pour annuler ces justificatifs d'identité afin d'éviter qu'ils ne soient exploités par des fraudeurs.
[Français]
De plus, nous investissons continuellement dans la sécurité en améliorant nos technologies, nos processus et nos contrôles pour assurer la sécurité des renseignements des contribuables. Au fur et à mesure que les tactiques des fraudeurs évoluent, l'Agence s'adapte en restant vigilante dans ses efforts pour garder une longueur d'avance.
[Traduction]
Je vous remercie de votre attention, monsieur le président.
Nous répondrons volontiers à toutes les questions du Comité.
Je vous remercie, monsieur Hamilton.
Nous allons amorcer une série d'interventions de six minutes en commençant par donner la parole à M. Chambers.
La parole est à vous.
Merci, monsieur le président.
Je remercie également les témoins d'avoir accepté de comparaître devant notre comité.
Monsieur le commissaire, vous avez mentionné qu'il y a eu des retards dans le signalement des atteintes à la vie privée. J'essaie simplement de comprendre le cadre des droits décisionnels qui est en place à l'ARC. Qui a décidé de ne pas signaler ces atteintes en temps opportun?
J'assume la responsabilité de ce qui se passe au sein de l'ARC. Ce n'était pas une décision consciente de ne pas les signaler. Cela s'est produit parce que nous faisions face à un gigantesque arriéré. Nous étions en train de mettre au point le processus de signalement de ces atteintes à la vie privée, parce que nous n'en avions pas connu un aussi grand nombre dans le passé. Nous avions établi des processus pour nous assurer que nous bloquions les comptes en vue d'éviter d'éventuels préjudices et que nous informions les personnes concernées. Ensuite, nous avons essayé de découvrir ce qui s'était passé. Puis, avec le temps, nous avons été en mesure de les signaler.
La ministre n'en savait rien, alors vous soutenez que la décision de ne pas les signaler n'était pas une décision ministérielle.
Eh bien, je suppose que j'en assume la responsabilité. C'était une circonstance que nous ne pouvions pas... en raison de la charge de travail.
Écoutez, voici le problème. Par exemple, puisque nous parlons des droits décisionnels, qui a décidé de revenir sur la décision relative aux fiducies nues? Était‑ce une décision ministérielle, ou est‑ce que la décision de revenir sur l'obligation de déposer une demande de fiducie nue était ministérielle?
J'essaie de me rappeler exactement comment nous sommes parvenus à cette décision. Je jouis de certains pouvoirs délégués à cet égard, et il est certain que j'en ai discuté avec la ministre.
Un de mes anciens patrons affirmait que l'on peut toujours déléguer des responsabilités, mais pas l'obligation de rendre des comptes. Il me semble qu'il y a un certain flou autour des droits décisionnels et des droits de veto, ainsi qu'autour de la personne qui fait une recommandation et de la personne qui prend la décision en fin de compte. D'une part, si c'est le ministère qui, par exemple, prend les décisions concernant les fiducies nues... D'après les témoignages, l'ARC peut décider de son propre chef de ne pas mettre en œuvre une décision du gouvernement ou du ministère des Finances. Il me semble qu'il y a un manque de clarté à cet égard, ou que l'on ne sait pas très bien à qui revient la décision finale à l'égard de certaines de ces questions. Nous allons étudier cet enjeu un peu plus à fond tout à l'heure, j'espère.
En ce qui concerne ces atteintes à la vie privée, l'ARC déclare qu'elles découlent d'atteintes externes à la sécurité. Les systèmes de l'ARC n'ont pas été compromis par ces 31 000 cas. Est‑ce que c'est...?
Oui, il est certain que la grande majorité des cas découlent de sources externes. Je ne crois pas qu'aucun des 31 000 cas ne provienne de nos systèmes, mais je vais interroger mes collègues à ce sujet.
Pour répondre à votre question précédente, je tiens mes pouvoirs de la ministre. Elle a le pouvoir de me les déléguer. Je suis sûr que vous savez comment cela fonctionne.
Monsieur Lemieux, je ne sais pas si vous voulez ajouter quelque chose.
En ce qui concerne les cas de vol d'identité que nous nous employons à résoudre, nous y travaillons depuis l'été 2020, l'époque à laquelle ils se sont réellement produits. Nous communiquons avec les contribuables en nous assurant que nous parlons aux bonnes personnes, et nous enquêtons pour comprendre ce qui s'est passé. Nous avons pris toutes les mesures nécessaires pour...
Je suis désolé, mais je vais vous interrompre, parce que votre réponse est assez longue. L'IRS a mis en place des protocoles assez coûteux qui sont censés prévenir les paiements à des personnes qui vivent à des adresses improbables. Comment se fait‑il que nous semblions avoir adopté cette position? N'avons-nous pas appris, au cours de la pandémie de COVID‑19, que l'application du principe selon lequel on paie immédiatement, et on vérifie plus tard n'a pas vraiment donné de bons résultats pour les contribuables?
Je pense que vous soulevez une excellente question. Après avoir discuté avec mes collègues internationaux, y compris ceux de l'IRS, je peux dire que c'est un problème que toutes les administrations fiscales affrontent. À mesure que nous avançons dans un monde de plus en plus numérique, nous pouvons faire les choses plus rapidement. Cela nous permet d'offrir de meilleurs services, mais nous devons également nous assurer que nous avons mis en œuvre des mesures appropriées pour contrôler les risques et éviter que des méfaits ne se produisent.
Il ne faut pas tomber dans un extrême ou dans l'autre. Si nous stoppions tout pour examiner chaque transaction, nos activités s'arrêteraient, mais il est clair que nous ne pouvons pas non plus laisser passer ces transactions. Je dirais qu'il ne me semble pas évident que l'IRS — ou n'importe quelle autre administration — soit doté d'un meilleur système pour trouver ce juste équilibre.
Y a‑t‑il un niveau acceptable de fraude qui, selon vous...? Si vous versez — je ne sais pas, insérez un chiffre ici — 100 ou 60 milliards de dollars aux Canadiens, y a‑t‑il un pourcentage où vous dites: « Vous savez quoi? La rapidité est importante ». Par conséquent, si la fraude correspond à 1 % de ce montant, ce n'est pas grave?
En un sens, ce que vous dites est correct. Il faut être capable de gérer les risques et de réfléchir à ce qui constitue un niveau acceptable de fraude, afin de pouvoir trouver un juste équilibre entre les services et la surveillance.
Pendant le temps qu'il me reste, j'ai quelques questions complémentaires à poser au sujet de la note de service mentionnée auparavant, des questions qui sont raisonnablement détaillées. Nous allons donc demander des réponses à ces questions. Je les fournirai à la greffière. J'espère que nous pourrons peut-être donner suite à ces questions par écrit, en obtenant des réponses précises à propos des sujets que nous avons abordés aujourd'hui.
Enfin, pourquoi, en 2019, le ministère était‑il tout à fait prêt à informer le public des plus importantes déductions fiscales pour les sociétés à ce jour, à savoir 133 millions de dollars, alors qu'aujourd'hui, il essaie d'utiliser l'article 241 pour éviter de dévoiler les plus importantes déductions fiscales pour les sociétés?
Oui, pour la réponse à cette question, je vais peut-être me tourner vers mon collègue, Marc Lemieux. Je n'ai pas de souvenir particulier concernant l'année 2019.
Je n'étais pas à l'ARC en 2019, alors je ne peux pas répondre à cette question, mais la question concernant les déductions fiscales pour les sociétés nous a été posée cette année. Nous avons vérifié ce qu'il en était auprès du ministère, et on nous a dit que nous ne sommes pas autorisés à communiquer cette information.
Vous pourriez peut-être aborder de nouveau ce sujet plus tard, monsieur Chambers.
Madame Khalid, vous avez la parole pendant six minutes.
Merci beaucoup, monsieur le président.
Je remercie également nos hauts fonctionnaires de s'être joints à nous aujourd'hui. Je vous en suis vraiment reconnaissante.
Je commencerai par aborder une question qui a été soulevée pendant la série de questions précédente et qui concerne le commissaire à la protection de la vie privée et votre interaction avec lui. Il est évident que nous parlons de grandes quantités de données et de nombreuses préoccupations des Canadiens en matière de protection de la vie privée. Vous avez plus de 31 millions de clients, comme vous les appelez à l'ARC, et 60 000 employés. À quoi ressemble votre interaction avec le commissaire à la protection de la vie privée? À quelle fréquence communiquez-vous avec lui ou son commissariat, et quelles sont les préoccupations que vous soulevez auprès d'eux?
Je vais commencer à répondre à votre question, mais ma collègue, Mme Galarneau, pourra peut-être vous en dire davantage, car c'est elle qui a les relations les plus étroites avec ce groupe.
Je dirais que nos relations sont très bonnes, pour les raisons que vous avez décrites. Nous faisons partie d'une grande organisation où des risques peuvent exister, et nous sommes très ouverts avec eux, malgré le retard lié aux 30 000 cas dont nous avons parlé plus tôt. Non seulement nous nous efforçons de leur présenter des rapports complets et transparents — et nous avons maintenant rattrapé tout notre retard à cet égard —, mais nous avons aussi des interactions régulières avec eux et, dans certains cas, nous les prévenons le plus tôt possible si nous voyons quelque chose venir. Vous entendrez bientôt le commissaire à la protection de la vie privée, et il aura peut-être un point de vue différent à ce sujet, mais je ne crois pas que ce sera le cas.
Madame Galarneau, je ne sais pas s'il y a quelque chose que vous souhaitez souligner.
J'ajouterai seulement que ce que le commissaire vient de dire est tout à fait exact. Nous avons une très bonne relation de collaboration avec le commissaire à la protection de la vie privée, et nous respectons pleinement la réglementation et nos obligations en matière de rapport.
Dans les sept jours suivant la confirmation d'une atteinte substantielle, nous fournissons ces rapports d'atteinte à la vie privée, et nous avons discuté avec eux de cette charge de travail de 31 000 cas. Nous avons eu des échanges étroits avec eux afin de déterminer la meilleure façon de signaler ces cas, après qu'ils nous l'ont demandé dans leur rapport de février 2024. Je précise encore une fois que nous nous conformons maintenant à cette exigence.
Cette atteinte s'est produite il y a plusieurs années. Comment interagissez-vous avec eux régulièrement? Le faites-vous simplement au cas par cas, ou un cadre régulier a‑t‑il été établi pour décrire la façon dont vous devez communiquer et travailler avec le Commissariat à la protection de la vie privée?
Je dirais que nous le faisons au cas par cas, et lorsque c'est nécessaire. Cela dit, lorsque nous faisons face à des cas que nous jugeons importants, nous les appelons pour les prévenir, même avant d'être en mesure de confirmer les cas. J'ai certainement toujours trouvé que les lignes de communication étaient bien établies et productives.
Je vous remercie de vos réponses. Je vous en suis reconnaissante.
Commissaire Hamilton, vous avez mentionné tout à l'heure une unité des enquêtes criminelles au sein de l'ARC. Pouvez-vous nous en dire davantage à ce sujet, s'il vous plaît?
L'unité des enquêtes criminelles joue un rôle, éventuellement, dans des affaires comme des vols d'identité et d'autres cas de fraude, mais elle enquête également sur l'évasion fiscale de manière plus générale. Nous disposons donc de notre propre groupe d'enquêteurs qui peuvent prendre en charge des affaires criminelles et, le cas échéant, les renvoyer aux forces de l'ordre ou à d'autres instances, comme je l'ai mentionné. Nous avons parlé tout à l'heure de l'affaire des Panama Papers. C'est ce groupe qui intervient et fait avancer les choses en cas d'activité criminelle.
Monsieur Gill, souhaitez-vous ajouter quelque chose à cela?
J'ajouterais que notre section des enquêtes criminelles au sein de l'ARC enquête sur les cas de fraude fiscale, les cas de fraude liée à la TPS et les violations de la loi que nous appliquons. C'est notre lien avec la GRC.
La question de la GRC a été soulevée tout à l'heure. Notre première étape consiste à renvoyer des affaires à ses agents. À ce stade, notre équipe suit ses procédures internes et prend la décision de transmettre ou non l'affaire à la GRC. Comme vous le comprendrez, pour des raisons évidentes, ces détails sont gardés scrupuleusement secrets afin de ne pas compromettre les enquêtes.
Du côté du droit civil, qui est le secteur dans lequel je travaille, nous ne recevons pas de rétroaction en général. Même dans le cadre des enquêtes criminelles que nous menons au sein de l'ARC, nous ne recevons pas, habituellement, de renseignements sur l'état d'avancement d'un dossier s'il a été renvoyé à la GRC. Ces détails sont très bien gardés.
Je vous remercie.
Enfin, j'aimerais poser une question au sujet des signalements et de la structure interne de l'ARC liée aux signalements et aux lanceurs d'alerte. Pouvez-vous nous dire comment ce système a évolué au fil des ans et ce que vous en pensez?
Quelles mesures ont été prises au fil des années? Comment pouvons-nous améliorer ce système?
Je ne peux pas vraiment parler de son évolution au fil du temps, mais je suis assez satisfait de la description que j'en ferais aujourd'hui, pour être honnête avec vous.
Nous communiquons activement aux employés qu'ils peuvent faire part de leurs préoccupations à leur supérieur. Nous disons que c'est probablement la première voie à suivre, mais que, comme je l'ai mentionné plus tôt, nous avons aussi un processus interne anonyme. Les personnes peuvent faire part de leurs inquiétudes en toute sécurité s'ils voient quelque chose qu'ils estiment ne pas être approprié. Enfin, il y a la surveillance de la commissaire à l'intégrité du secteur public. Les cas peuvent lui être soumis.
Un certain nombre lui ont été soumis, mais je ne pense pas que beaucoup lui soient parvenus. On peut donc dire que nos systèmes internes fonctionnent bien, mais je ne peux pas l'affirmer en toute confiance.
Je suis convaincu que nous disposons d'un régime ouvert que les gens comprennent. J'espère qu'ils ne craignent pas de signaler tout ce qu'ils voient se produire et qu'ils jugent inapproprié à l'interne, dans ce cadre anonyme.
Merci beaucoup, monsieur le président.
Monsieur Hamilton, j'aimerais creuser davantage un sujet qui a été abordé un peu plus tôt. Dans une série de rapports annuels, le commissaire à la protection de la vie privée n'avait signalé que 113 atteintes à la vie privée pour les années 2020 à 2024. Or, en réponse aux questions de Radio‑Canada, on s'est rendu compte que ce nombre était plus près de 32 000.
Que s'est-il passé? Combien d'argent est impliqué?
Il y a deux parties à cette question, selon moi.
En ce qui concerne le rapport de 2023‑2024, on nous a malheureusement rapporté ces cas juste après la date d'échéance. Toutefois, nous sommes maintenant au courant. C'est une des raisons qui expliquent cette différence, selon moi, mais Mme Galarneau voudra peut-être ajouter autre chose.
En ce qui concerne les 31 000 cas, le montant des fraudes s'élève à 190 millions de dollars, si je me souviens bien. Quelqu'un pourra me corriger si je me trompe. Ce montant est cumulatif, de l'année 2020 jusqu'à la fin de la période. Malheureusement, en raison du processus, ces montants continuent d'augmenter. Telle est l'histoire à propos des 31 000 cas, n'est-ce pas, madame Galarneau?
J'aimerais apporter une petite correction. Il n'y a pas de date d'échéance. Nous avons effectivement accusé un certain retard et nous en avons expliqué la raison: nous mettions vraiment l'accent sur la protection des comptes, la protection des citoyens et le renforcement de nos systèmes. Toutefois, nous sommes maintenant à jour en ce qui concerne nos rapports au commissaire à la vie privée et au Conseil du Trésor. Nous avons fait rapport sur l'ensemble de ces cas.
Je voudrais aussi clarifier qu'en lien avec les 190 millions de dollars rapportés par le commissaire, la vaste majorité des fraudes ont eu lieu durant la première année, c'est-à-dire en 2020, au moment de la pandémie. On parle de 180 millions de dollars qui ont été obtenus frauduleusement à ce moment.
Ça a mal été durant la pandémie, n'est-ce pas?
Selon un article de Radio‑Canada, l'Agence a dû élaborer un processus de signalement de ces types d'atteinte à la vie privée depuis les révélations des dernières semaines. Je me demande pourquoi l'ARC n'avait pas déjà mis en place ce processus.
Ce que je peux d'abord vous dire, c'est que nous avons été très transparents avec les Canadiens en ce qui concerne le risque. Ce n'est pas la première fois que nous en parlons. Cela fait des années que nous sensibilisons les Canadiens. Nous avons des sites Web. Il y a des initiatives de communication du gouvernement du Canada à propos des arnaques. Dans un des sites Web, nous parlons du vol d'identité et nous informons les Canadiens quant aux façons de se protéger.
Nous n'avons rien caché ici. Il y a effectivement eu du retard dans les rapports, mais nous sommes maintenant à jour.
Il faudrait que je retourne voir le nombre de visites qu'il y a eu, mais le site Web est facile à trouver. Si vous tapez le mot « arnaque », vous allez le trouver.
D'accord.
Souvent, dans des cas comme celui-là, on remarque qu'on laisse le fardeau de la responsabilité à l'utilisateur plutôt qu'à l'Agence. C'est ce que je cherche à savoir, au moyen de ma question. Sans accuser personne, il est tout de même facile de dire qu'il existe des ressources, qu'il existe ceci et cela. Or, parfois, les gens ne le savent pas. La littératie sur certains sujets, par exemple la littératie numérique ou financière, n'est peut-être pas assez élevée. Néanmoins, cela n'empêche pas ces gens d'avoir des droits.
Revenons aux lanceurs d'alerte. J'aimerais savoir une chose, car le sujet m'importe depuis longtemps. Quand un lanceur d'alerte se manifeste, c'est généralement parce qu'il n'y a pas eu d'écoute à l'interne ou parce qu'il a peur en raison du fait que la personne concernée est son supérieur. Il y a donc au moins un inconfort. On ne lance pas une alerte pour rien, et je tiens pour acquis que les gens sont généralement honnêtes. J'aimerais donc savoir ce qui se passe.
La culture de l'Agence semble être davantage une culture qui favorise le secret. Il me semble qu'on a davantage tenté de chercher qui étaient les lanceurs d'alerte que de chercher qui était en réalité le coupable. Quand on regarde le fil des événements, on dirait que le coupable est en fait le lanceur d'alerte.
J'aimerais que vous m'éclairiez sur cette situation.
Il n'y a pas de culture du secret à l'Agence, selon moi. Toutefois, nous sommes très conscients d'avoir beaucoup d'informations sensibles à propos des contribuables. Il est donc nécessaire de prendre des précautions pour nous assurer que cette information n'est pas communiquée à une autre personne travaillant à l'Agence ou à l'extérieur de l'Agence.
Nous sommes dans un environnement où il y a un besoin de savoir, mais je pense que la plupart des personnes à l'Agence respectent le fait que nous devons faire les choses de manière appropriée.
Je comprends que la confidentialité est essentielle. Je ne vous parle toutefois pas de la confidentialité nécessaire au fonctionnement de l'Agence, mais du secret que l'Agence met dans sa transparence à l'égard des citoyens.
Le secret serait une suite logique de la confidentialité, dans une certaine mesure. Cependant, à l'Agence du revenu du Canada, tout comme, d'ailleurs, au sein d'organisations provinciales qui traitent du revenu, le secret est assez présent.
Diriez-vous donc que vous avez une culture du secret ou une culture de la transparence?
Je pense que c'est un mélange des deux. Certains aspects de notre travail doivent demeurer secrets, parce que nous devons protéger l'information, mais nous sommes en général très transparents. Nous rapportons des brèches…
[Traduction]
[Français]
… et d'autres choses. Également, quand il y a une arnaque, une fraude ou une condamnation, nous transmettons l'information au public…
[Traduction]
[Français]
[Traduction]
Je suis désolé. Quand je vous ai coupé la parole, on avait dépassé le temps imparti de 30 secondes. Lorsque je vous demande d'abréger, veuillez le faire, d'accord? Je dois être juste envers tous les autres députés, y compris M. Green.
Monsieur Green, vous disposez de six minutes. Allez‑y.
Merci beaucoup.
J'ai fait ce que j'avais dit. Nous adopterons un ton un peu différent avec le personnel. Évidemment, avec les ministres, les choses sont un peu plus conflictuelles. Cependant, je m'intéresse vivement au concept des lanceurs d'alerte.
Monsieur Hamilton, qui, au sein de votre ministère, est responsable de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles?
J'ai cru comprendre qu'en vertu de la loi, tout administrateur de la fonction publique fédérale « désigne un agent supérieur » et met en place un mécanisme de divulgation interne. De qui s'agit‑il?
Nous savons qu'il existe plusieurs catégories de divulgation. Tout à l'heure, vous avez parlé de loyauté, et je pense que lorsque le contribuable moyen entend ces propos, avec les conspirations de l'État profond et autres, cela peut devenir problématique. J'aimerais profiter de l'occasion pour approfondir un peu cette question.
Dans quelles circonstances un employé de la fonction publique est‑il légalement autorisé à divulguer des renseignements aux médias?
Excusez‑moi. Si des membres du personnel de l'Agence agissent en tant que lanceurs d'alerte — que l'on définit comme des membres du personnel qui divulguent des renseignements, mais pas à l'interne —, existe‑t‑il des cas, selon vous, dans lesquels le personnel de l'ARC est autorisé à divulguer publiquement des renseignements aux médias en l'absence d'un mécanisme interne?
Je ferais une distinction entre deux choses.
Premièrement, il nous arrive de nous exprimer publiquement, non pas au sujet d'un problème au sein de l'Agence, mais de ce qui se passe, dans le cadre d'une séance d'information technique de type factuel. Ces situations se produisent, mais, mais elles sont généralement contrôlées, si je peux m'exprimer ainsi, de sorte que...
Monsieur Hamilton, je veux être direct, et parfois je ne pose peut-être pas les questions de manière directe.
Dans ce contexte, nous parlons de l'enquête de The Fifth Estate pour laquelle des membres du personnel — je ne sais pas à quel niveau — avaient divulgué des renseignements aux médias. Nous recevons maintenant des rapports indiquant qu'une enquête est en cours. Vous avez suggéré, monsieur, lors de la précédente série de témoignages, que celle‑ci pourrait aboutir à des représailles pouvant aller jusqu'au licenciement.
J'aimerais que vous me disiez, en tant que commissaire, dans quelles circonstances il serait éthiquement et légalement permis, en vertu de la loi, de faire une divulgation protégée.
Je pense que la loi stipule que vous pouvez divulguer des renseignements à la commissaire à l'intégrité du secteur public, mais je ne suis pas juriste. Je n'ai pas la loi sous les yeux. Dans ces circonstances...
En tant que syndicaliste et porte-parole de notre parti en matière de travail, je vous dirais qu'en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles, la divulgation de renseignements aux médias est autorisée dans les cas où il n'y ait pas suffisamment de temps pour suivre la procédure interne régulière. Les renseignements peuvent être divulgués aux médias, mais il faut évidemment qu'il y ait une infraction grave à la loi ou « un risque imminent, grave et précis pour la vie, la santé ou la sécurité humaines ou pour l’environnement ». Bien entendu, le lanceur d'alerte doit obtenir l'avis de leur syndicat interne à ce sujet.
Cependant, ce que l'on essaie de dire ici, c'est que les défaillances des systèmes ne concernent parfois pas la divulgation de cas individuels ou de renseignements désagrégés sur des questions liées aux renseignements de citoyens particuliers, mais sont plutôt des cas agrégés de défaillances systémiques. Convenez-vous que, dans certains cas, il y ait alors des raisons éthiques de divulguer ces renseignements?
J'imagine qu'en théorie, une situation pourrait se produire dans laquelle vous auriez épuisé toutes les possibilités...
D'accord.
Je vais vous donner un autre exemple dans lequel leur divulgation serait protégée. Je vous ai demandé tout à l'heure, et je vous laisserai conclure avec la question que je vous ai posée à la fin, qui était, pour vous rafraîchir la mémoire, la suivante: Qu'avez-vous à dire aux personnes qui pourraient avoir l'impression de faire l'objet d'une enquête pour avoir divulgué des faits aux médias et qui, comme vous l'avez déclaré, risquent d'être licenciées?
J'aimerais indiquer qu'il existe un autre exemple dans lequel ces personnes pourraient être protégées, à savoir dans le cas d'une audience parlementaire publique. En théorie, je pourrais inviter publiquement tous les lanceurs d'alerte à transmettre des commentaires anonymes à ce comité, ce qui — d'après ce que j'ai lu, bien que je ne sois pas juriste et ils devront probablement poser la question au syndicat — pourrait les protéger en vertu de la loi.
Convenez-vous que c'est une possibilité, compte tenu des privilèges parlementaires qu'accorde le Parlement?
Je n'ai pas de commentaire particulier à faire sur le privilège parlementaire et sur ce qui en fait partie ou non.
Ce que je dirais, et ce que je dirais à nos employés, c'est que s'ils pensent que quelque chose ne va pas au sein de l'Agence et qu'ils veulent en parler, nous avons des moyens de répondre à la situation, à savoir les trois que j'ai mentionnés. J'aimerais également qu'ils viennent me parler s'ils ressentent de la frustration.
S'ils ne passent pas par la procédure interne, s'ils s'adressent aux médias et s'ils font l'objet d'une enquête, quelles en seront les conséquences?
Tout dépend de la nature de l'action, qui peut être relativement mineure ou majeure. Ils pourraient avoir divulgué des renseignements sur les contribuables, ou avoir parlé de choses que nous ne...
En théorie, que se passerait‑il si l'on parlait à The Fifth Estate d'atteintes majeures à la vie privée dans 31 000 dossiers différents? Quelles représailles la loi sur les lanceurs d'alerte prévoit-elle pour ce type de cas?
Encore une fois, le problème n'est pas tant lié au fait qu'il y ait 31 000 dossiers. La question est la suivante: Quelle mesure l'employé a‑t‑il prise? Quelle était la gravité de cette violation? Ce sont là les éléments sur lesquels nous devrions nous pencher.
Mon temps est écoulé, mais je me suis engagé à vous donner la possibilité de répondre. Les six minutes dont je disposais sont épuisées.
Merci.
Merci, monsieur Green.
Nous allons maintenant procéder à un tour de cinq minutes.
Monsieur Chambers, allez‑y.
Merci, monsieur le président.
Je sais que mon collègue, M. Green, n'est pas avocat, mais il en incarne parfois un bon à la télévision.
Madame Galarneau, je ne comprends pas très bien comment les choses se sont déroulées. L'Agence n'avait-elle pas connaissance de l'ensemble des violations de la vie privée lorsque vous travailliez sur l'arriéré, ou connaissiez-vous le nombre de violations et aviez-vous choisi de ne pas le signaler?
Tout d'abord, je tiens à dire qu'il n'y a pas eu d'intention malveillante de dissimuler des renseignements ni de retarder la publication d'un quelconque rapport. Je pense qu'il est important d'insister sur ce point.
Je comprends. J'aimerais savoir si vous étiez au courant. C'est une chose de ne pas savoir qu'il y a 31 000 cas, mais c'en est une autre de savoir qu'il y a 31 000 cas et de ne pas le signaler.
Nous savions qu'il y avait des milliers de cas. Le rapport du Bureau de la vérificatrice générale en faisait état. À l'époque, le rapport indiquait qu'en juillet 2022, nous en avions 23 000 pour un montant de 131 millions de dollars. Ce sont les renseignements qui figuraient dans le rapport et que nous avons communiqués au Bureau de la vérificatrice générale.
J'ai comparu devant le Comité en février et j'ai dit, à l'époque, que nous en étions à 26 000. Nous continuions à trouver ces cas. Ce processus prend beaucoup de temps. Nous devons valider tous les éléments. Nous voulions en faire rapport, mais notre priorité était de les traiter. Notre intention n'a jamais été de ne pas les divulguer. Nous devions trouver un mécanisme pour le faire.
Ce dont je peux vous assurer, c'est que nous avons vraiment fait rapport sur...
Je comprends que ce n'était pas votre intention, mais le résultat est qu'il y a eu une mauvaise communication ou un manque de communication entre l'ARC et le commissaire à la protection de la vie privée. Êtes-vous d'accord avec cette évaluation?
Je ne sais pas si le commissaire à la protection de la vie privée était au courant lorsque ces violations ont été signalées par le Bureau de la vérificatrice générale.
D'accord. J'aimerais passer à autre chose.
En ce qui concerne la fraude, les stratagèmes de type carrousel au titre de la TPS, quand l'ARC a‑t‑elle appris qu'il s'agissait d'un problème grave. Je ne vous demande pas une date précise, mais l'année. Était‑ce il y a quelques années? Était‑ce seulement l'année dernière? Quand avez-vous vraiment pris connaissance de ces stratagèmes?
La communauté internationale de la TPS connaît les stratagèmes de type carrousel depuis un certain nombre d'années. En ce qui concerne la gravité de la situation, je ne sais pas exactement quand elle est devenue...
La question est la suivante: au cours des années précédentes, l'ARC a‑t‑elle recommandé au ministère des Finances d'apporter des modifications législatives afin de prévenir ces pratiques?
J'invoque le Règlement, monsieur le président. Je comprends que vous soyez très indulgent, mais je pense que plus nous serons stricts, mieux ce sera pour cette question spécifique, et je m'interroge sur la pertinence de cette question.
Les stratagèmes de type carrousel au titre de la TPS sont des fraudes. Nous parlons de fraude aujourd'hui. La question est la suivante: l'ARC a‑t‑elle recommandé l'apport de modifications législatives visant à lutter contre ces fraudes? En avez-vous parlé au ministère des Finances?
Je peux dire que nous avons eu des discussions avec nos collègues des Finances à ce sujet, parce que d'autres pays prennent certaines mesures, mais nous assumons aussi nos responsabilités.
Aucune mesure législative n'a été prise pour remédier à ce problème, que nous connaissons depuis de nombreuses années.
Merci beaucoup.
Au cours de ma dernière minute, je vais revenir sur ces radiations qui peuvent découler d'une fraude. Certaines découlent d'une fraude. Il y a eu une augmentation significative du montant des radiations d'actifs, 4,9 milliards de dollars en un an. Vous avez déjà divulgué les montants. Nous avons parlé aujourd'hui des montants les plus importants.
Pensez-vous que, dans l'intérêt du public, nous devrions envisager de modifier l'article 241 afin de publier la liste des sociétés qui bénéficient d'importantes déductions fiscales et qui doivent de l'argent aux contribuables canadiens?
Je n'ai pas d'opinion à exprimer à ce sujet. L'article 241 est inscrit dans la loi. La responsabilité revient au ministère des Finances, mais...
C'est vrai, mais ces déductions fiscales atteignent maintenant des niveaux importants: 11 contribuables constitués en société ont radié plus d'un milliard de dollars. Nous ne savons pas quelles sont ces entreprises. Dans l'intérêt du public, maintenant que nous parlons d'argent réel, ne pensez-vous pas que le public devrait connaître le nom de ces sociétés?
Encore une fois, je n'ai pas vraiment de commentaire à faire à ce sujet. Nous faisons de notre mieux pour être aussi transparents que possible avec les renseignements dont nous disposons.
Si vous le souhaitez, en réponse à une prochaine question, M. Lemieux pourra peut-être en dire un peu plus sur le processus de radiation, mais nous nous concentrons sur la mise en place d'un processus solide visant à recouvrer les dettes.
Merci, monsieur le président.
J'aimerais revenir aux 31 000 cas et à l'évolution de ce nombre, parce que j'étais là au comité des comptes publics. Je ne me souviens pas précisément de tous les témoignages, mais je me rappelle que le véritable nœud de l'affaire était l'émergence soudaine d'un très grand nombre de cas de fraude d'identité, à la suite d'une période évidemment très difficile, la COVID, et le fait qu'on avait décidé de faire une post-vérification plutôt qu'une vérification préalable. On voulait, bien sûr, veiller à ce que les Canadiens reçoivent l'argent dont ils avaient besoin pour survivre aux confinements indispensables pour protéger la santé publique.
Cependant, je peux comprendre que cela a exercé une pression énorme sur le système. Je sais que dans ma propre circonscription, il y a eu des cas évidents de vol d'identité et de faux comptes bancaires. Comme nous sommes une petite collectivité, les banques ont été en mesure de reconnaître ces cas et de geler les comptes. Il y avait des électeurs qui n'avaient pas fait de demande pour la COVID, mais qui avaient de l'argent lié à la COVID dans un compte à leur nom, et ces comptes ont été gelés.
Il est très intéressant de voir qu'il y avait une certaine capacité, une certaine surveillance, dans la mesure du possible, à cet égard. Je pense que les banques sont très efficaces face à de tels problèmes. Elles reconnaissent les activités inhabituelles d'ouverture ou d'utilisation de comptes, et certainement de toute fermeture rapide de comptes accompagnés du retrait de tout l'argent.
Pour le plaisir, j'ai effectué de simples recherches, parce que nous recevons tous des avis de l'ARC, et quelqu'un s'inquiétait du fait qu'il incombe aux contribuables d'aller vérifier leur compte de l'ARC. Je recommande certainement aux gens de le faire, et je pense qu'à mesure que les applications deviennent plus conviviales, ça devient plus facile. Cependant, en cherchant juste avec le terme « ARC », j'ai trouvé un tas de messages de la part de l'Agence au cours de la dernière année et demie environ, qui disaient que j'avais du nouveau courrier que je devrais aller consulter. J'apprécie ce genre de service.
Maintenant, peut-être que quelqu'un peut m'expliquer ce qui suit. Y a‑t‑il quoi que ce soit que je devrais surveiller pour savoir s'il s'agissait d'un message bidon? Ce genre de choses se produit certainement, et mes électeurs sont très préoccupés par les messages textes qu'ils reçoivent et qui sont clairement frauduleux.
Il est tout à fait possible que certaines personnes appellent en disant qu'elles sont de l'Agence. Je dirais que si vous avez un doute, il vaut mieux ne pas divulguer d'information à ces personnes. Cependant, sachez que nous devons parfois appeler les contribuables lorsqu'il y a un vol d'identité; c'est l'un des cas exceptionnels où nous appellerions quelqu'un.
Si vous n’êtes pas à l'aise avec l'appel, si vous avez des doutes, n'y répondez pas. Dites à la personne que vous ne croyez pas que c'est l'ARC. Si c'est l'Agence, la personne vous expliquera les étapes à suivre pour vérifier qu'elle appelle vraiment de l'ARC. On vous donnera un numéro. On vous demandera d'aller sur le site Web pour trouver vous-même le numéro 1‑800 que vous devriez appeler. À partir de là, on vous confirmera que quelqu'un à l'ARC essaie de vous joindre, et on pourra vous mettre en contact avec cette personne.
L'Agence a un service de protection de l'identité. Il y a une ligne réservée pour ces cas. Si vous appelez la ligne d'information générale, lorsque vous écoutez le message, vous pouvez choisir une option, et votre appel sera dirigé vers les services de protection de l'identité. L'attente y est assez courte, et les gens vont s'occuper de vous.
En cas de doute, appelez l'Agence. Nous vous répondrons et nous pourrons voir si quelqu'un de l'ARC essaie vraiment de vous joindre.
Merci beaucoup, monsieur Lemieux. J'ai dit à ma mère que si quiconque l'appelle pour lui demander quoi que ce soit, elle doit raccrocher le téléphone ou ne pas répondre. En fait, elle a contrecarré l'une de ces fraudes de grands-parents en faisant cela. Cela a été un énorme soulagement.
J'ajouterais que si vous ne voulez pas parler à quelqu'un de l'ARC, on vous enverra une lettre papier.
Merci, madame Shanahan.
J'aime toujours ces appels du magistrat local qui dit que votre compte d'impôt a été saisi ou je ne sais quelle autre ânerie ils racontent.
[Français]
Monsieur Villemure, vous avez la parole pour deux minutes et demie.
Merci, monsieur le président.
Je souris toujours quand j'entends l'Agence du revenu du Canada me dire que le temps d'attente est court.
J'aimerais proposer une motion dont j'ai donné avis il y a environ une semaine.
La motion dit ceci:
Attendu que le 6 novembre 2024, le gouvernement libéral a annoncé la fermeture de la filiale canadienne du réseau social TikTok:
Que le Comité invite à témoigner:
a) Pour une durée de deux heures, François-Philippe Champagne, ministre de l'Innovation, des Sciences et de l'Industrie
b) Pour une heure chacun:
i. David Vigneault, ancien directeur du SCRS
ii. Philippe Dufresne, Commissaire à la protection de la vie privée du Canada
Que le Comité fasse rapport de ses observations et conclusions à la Chambre.
Merci, monsieur Villemure.
La motion est recevable et nous allons en discuter. Je demanderais aux témoins de rester à leur place un moment.
Avez-vous des commentaires à ajouter, monsieur Villemure?
Récemment, nous avons appris par les journaux que le ministre de l'Innovation, des Sciences et de l'Industrie avait entrepris une enquête sur TikTok, il y a longtemps. Nous-mêmes, au Comité, avons reçu les représentants de TikTok à quelques reprises pour leur poser des questions auxquelles nous n'avons pas obtenu de réponse. Nous avions tenté en vain de savoir quand l'enquête serait complétée. Nous savons maintenant qu'elle a été complétée récemment.
Le ministre a publié un communiqué qui dit que le gouvernement bannit TikTok du Canada. Dans le même communiqué, par contre, on dit que les Canadiens peuvent continuer à utiliser l'application TikTok, car cela relève d'un choix personnel. C'est un peu paradoxal, selon moi.
Un aspect important est laissé complètement dans l'obscurité dans ce dossier: si TikTok n'est pas au Canada, le commissaire à la protection de la vie privée du Canada n'aura pas de pouvoir de surveillance ou de contrôle. Il pourra toujours surveiller, mais il ne pourra rien faire.
Je pense que cette motion s'inscrit directement dans la mission du Comité. J'aimerais que l'enquête puisse être entreprise dans les meilleurs délais. Merci.
Monsieur le président, je crois qu'on pourrait considérer comme un amendement favorable le fait de simplement ajouter à la motion de M. Villemure que cela se fasse avant la pause du 17 décembre 2024.
D'accord. Nous verrons si c'est possible. Nous allons essayer de le faire. Je ne sais pas si nous allons ajouter cela à la motion, parce que nous avons déjà des choses à l'horaire.
Allez‑y, madame Shanahan.
Merci, monsieur le président.
[Français]
Je vais continuer en français.
J'ai bien compris les raisons de la motion de M. Villemure. Bien sûr, une décision de ce genre est une grande décision.
Personnellement, je conseille à tous les Canadiens de ne pas avoir l'application TikTok. Je ne comprends pas ce genre d'affaires. Tout le monde sait qu'il s'agit d'une compagnie chinoise et, honnêtement, ne pas utiliser cette application relève du gros bon sens. J'ai justement entendu parler de gens très créatifs qui sont capables de créer un logiciel semblable. Les jeunes aiment tellement TikTok, mais il me semble que nous avons assez de logiciels, de plateformes et de façons de partager du contenu créatif, comme les danses et toutes les idées folles qu'on peut trouver sur cette application. Il est incroyable de voir toutes les informations qui peuvent malheureusement être recueillies sur les Canadiens, alors qu'on parle tellement de la confidentialité et de la vie privée.
Monsieur le président, je me demande si nous devons garder les témoins ici. J'imagine que vous êtes en train de réfléchir à ça aussi.
J'aurais quand même quelques points à soulever. Si je pose cette question, c'est parce que nous arrivons à la fin de la période qui était d'abord prévue pour la réunion.
En fait, c'est contradictoire, n'est-ce pas? Nous prenons soin de garder privées et confidentielles les informations des gens. D'un autre côté, les gens sont attirés par des logiciels, des applications où on leur demande des informations personnelles. Ces informations ne sont pas nécessairement financières, mais elles sont personnelles, n'est-ce pas? On parle du nom de la personne, de son adresse, de son numéro de téléphone, de ses activités et, j'imagine, des associations dont elle fait partie, de ses amis et ainsi de suite.
Je suis la première à dire que toutes ces activités devraient être protégées par nos…
[Traduction]
J'invoque le Règlement, monsieur le président. Je me demande simplement quelle est la liste des intervenants parce que, compte tenu du temps dont nous disposons, je ne voudrais pas soumettre ces braves gens, nos fonctionnaires, à ce qui sera probablement un long débat. Je réfléchis juste au fait que…
Nous avons à peu près jusqu'à 18 heures. Mme Khalid interviendra après Mme Shanahan. Et j'ai une question pour M. Hamilton que j'aimerais poser à la fin.
[Français]
Je veux soulever un point, à savoir qu'il est très important d'assurer la protection de la vie privée.
Quand l'annonce a été faite au sujet de TikTok, j'avais une question au sujet de la protection de la vie privée. On dit qu'on interdit la compagnie TikTok du Canada, donc la filiale canadienne de TikTok, mais que les Canadiens peuvent continuer d'utiliser la plateforme. Quand j'ai entendu ça, je me suis dit: un instant, y a-t-il un moyen de protéger les Canadiens pour ce qui est de l'utilisation, de la fraude ou du partage illégal non éthique de leurs informations? Effectivement, c'est possible.
Selon la Loi sur la protection des renseignements personnels et les documents électroniques, les autorités et le commissaire à la protection de la vie privée du Canada ont un droit de regard, ils ont la responsabilité de prendre des mesures disciplinaires, de mettre les choses en ordre ou de prendre des mesures contre TikTok s'il y a des violations à cet égard, peu importe où se trouve l'équipement, les fameux serveurs. Apparemment, cet équipement se trouve dans des endroits comme Singapour et dans des pays avec lesquels nous avons tout de même des ententes et de bonnes relations. Ça m'a rassurée d'entendre ça.
L'autre aspect que je voulais soulever est l'accès à des informations classifiées. Ça met certaines personnes ici dans une situation difficile, parce que certains membres actuels et passés du Comité ont siégé au Comité des parlementaires sur la sécurité nationale et le renseignement. Je ne pense pas que ça concerne les membres qui sont de l'autre côté.
Bien sûr, il est manifeste et de notoriété publique que cette décision a été prise pour des raisons de sécurité nationale. La sécurité nationale implique l'accès à des informations classifiées, ce qui exige une certaine cote de sécurité. Le processus des cotes est très strict. En fait, il est aussi strict, sinon plus, qu'à l'Agence du revenu du Canada: on doit accepter le fait qu'on ne peut divulguer ou rendre publiques des informations qui sont liées à la sécurité nationale.
Je comprends les raisons de la motion. Je comprends les inquiétudes qu'a soulevées mon collègue, parce que j'avais les mêmes inquiétudes, à savoir si les Canadiens, les Canadiennes, les Québécois et les Québécoises seront protégés même si la filiale de TikTok est fermée au Canada. La réponse est oui. Ils sont protégés.
J'avais peut-être une autre question sur un autre point, mais je ne m'avancerai même pas là-dessus. Honnêtement, je ne veux pas mêler les choses d'un comité à l'autre. Il serait assurément plus approprié de poser certaines questions liées à la sécurité nationale et aux renseignements ailleurs. Je pense donc que je vais m'arrêter ici. J'espère que mon collègue comprend que mes commentaires partent d'une bonne intention.
Nous avons déjà étudié TikTok et les autres plateformes, parce que nous partageons tous la même inquiétude. Nous nous demandons quel est le pouvoir du gouvernement et des forces policières, dans un cadre légal, pour mettre la main sur une compagnie qui exploite une plateforme abusant des informations des Canadiens. Voilà mon argument. Merci.
[Traduction]
Merci, monsieur le président.
Je remercie M. Villemure d'avoir proposé cette motion.
Je suis sûre que tous les membres du Comité — en tout cas, les membres permanents ici présents — savent ce que je pense de la question des entreprises de médias sociaux et de leurs activités en matière de protection de la vie privée des Canadiens. En principe, je pense donc qu'il s'agit d'une bonne étude pour notre gouvernement et pour les parlementaires. Cependant, je ne sais pas si notre comité est le bon endroit pour la faire, et je vais faire deux brèves observations à ce sujet.
La première concerne la LIC, la décision qui découle de la Loi sur Investissement Canada. Je pense que ce que le commissaire de la GRC et le ministre pourraient dire serait vraiment limité, compte tenu des problèmes d'autorisation de sécurité et de la question de la sécurité nationale et du renseignement en général qui entourent toute cette question, comme l'a dit ma collègue Brenda Shanahan, lorsque nous parlons de la Chine et de la raison pour laquelle cette entreprise fait l'objet d'une enquête en premier lieu. Je pense que le Comité des parlementaires sur la sécurité nationale et le renseignement serait mieux placé pour s'en occuper. La GRC et le ministre seraient davantage en mesure de parler ouvertement et en toute honnêteté et de dire, avec documents à l'appui: « Voici ce qui doit se passer » ou « Voici les circonstances entourant la décision ».
Le deuxième point que j'aimerais soulever à ce sujet, monsieur le président, c'est que je sais que M. Villemure a parlé de la LPRPDE et de son champ d'application. Je pense que TikTok serait toujours assujetti aux lois canadiennes sur la protection des renseignements personnels au Canada, quel que soit l'endroit où l'entreprise est située, tant qu'il y a un point de contact pour les Canadiens. Je ne sais pas s'il est exact de dire qu'une fois que l'entreprise a quitté le pays qu'elle ne relève plus de la compétence canadienne, parce qu'il y a beaucoup d'entreprises qui exercent leurs activités au Canada et qui n'ont pas de siège social ici, mais qui sont tout de même régies par les lois canadiennes. Dans ce cas‑ci, je pense que TikTok serait certainement assujettie à la Loi sur la protection des renseignements personnels et les documents électroniques, compte tenu de ses activités au Canada, que son bureau soit situé en sol canadien ou non.
Voilà les deux brèves observations que je voulais faire.
Je me rends compte que nous dépassons un peu le temps prévu. J'aimerais proposer un très bref amendement à la motion avant que nous passions au vote. La motion demande que le ministre François-Philippe Champagne comparaisse, et cela ne me pose aucun problème.
Dans la partie b) de la motion, nous demandons à David Vigneault, l'ancien directeur du SCRS, et à Philippe Dufresne, le commissaire à la protection de la vie privée, de comparaître pendant une heure chacun. Je pense que l'ancien directeur du SCRS n'a aucun rôle à jouer dans tout cela. Je pense que ce devrait être le directeur actuel du SCRS, si nous voulons l'inviter à comparaître, et ce serait M. Daniel Rogers. Je propose que nous remplacions M. David Vigneault, ancien directeur du SCRS, par M. Daniel Rogers, actuel directeur de l'organisation.
Si je comprends bien, il s'agit d'un amendement visant à remplacer David Vigneault par Daniel Rogers. C'est tout.
Monsieur le président, je remercie ma collègue de sa candeur et de sa coopération.
Madame Khalid, j'aime beaucoup votre idée et vous me faites penser que ce serait peut-être une bonne idée que nous invitions David Vigneault ainsi que le nouveau directeur, de sorte qu'il n'y aura pas de trou entre les témoignages. En effet, le nouveau directeur n'était pas là à l'époque où l'enquête a eu lieu et M. Vigneault pourrait apporter un complément d'information. Pour ma part, je suis très à l'aise d'inviter les deux directeurs du SCRS.
[Traduction]
[Français]
Monsieur Villemure, Mme Khalid a proposé un amendement visant à remplacer M. Vigneault par M. Rogers. Est-ce que vous voulez que votre proposition soit un sous-amendement?
D'accord.
[Traduction]
Je vais accepter cela comme un sous-amendement proposant d'inviter les deux témoins.
Madame Shanahan, allez‑y.
[Français]
J'aimerais savoir pour quelle raison l'ancien directeur serait convoqué. Il est sûr que les gens changent de rôle, mais ça ne veut pas dire qu'ils peuvent divulguer tout ce qu'ils ont fait durant leur mandat. Les mêmes règlements, les mêmes lois, les mêmes contraintes vont s'appliquer. Franchement, je trouve cela redondant.
C'est pour cette raison que les deux devraient venir. Ils vont pouvoir se compléter. Il n'y aura donc pas de moment mort dans le narratif. C'est la raison du sous-amendement.
Je ne sais pas qui était là ou n'était pas là pendant ce temps.
Nous discutons à l'heure actuelle du sous-amendement proposé par M. Villemure pour que nous invitions et M. Vigneault et M. Rogers.
[Traduction]
Je vois que vous avez levé la main, monsieur Housefather, puis ce sera au tour de Mme Khalid.
Allez‑y au sujet du sous-amendement.
Merci, monsieur le président.
Monsieur le président, j'aimerais que vous envisagiez de déclarer le sous-amendement irrecevable, car il va à l'encontre de la raison principale de l'amendement. La raison principale de l'amendement est de supprimer le nom de cet homme. On ne peut pas avoir un sous-amendement qui le rajouterait. Je vous demanderais peut-être, monsieur le président, de revoir votre position. Je ne pense pas que le sous-amendement soit recevable.
Je vais l'accepter, monsieur Housefather.
Je veux dire, c'est au Comité de décider s'il ne veut pas inviter cette personne. Les membres peuvent certainement voter contre. Je vais accepter l'amendement et le sous-amendement. Je pense que la proposition de M. Villemure est raisonnable.
J'invoque le Règlement. Pour revenir à mon point initial, même si c'était bien en théorie, on avait dit que la discussion serait brève. De toute évidence, ce n'est pas le cas. Des membres du personnel, des cadres supérieurs, sont assis ici.
Ce que je vous propose, monsieur le président, si cela convient aux témoins — et la suggestion vient de quelqu'un qui a perdu son tour de parole, soit dit en passant —, c'est que nous ayons l'occasion de leur envoyer des questions par écrit auxquelles ils pourraient répondre.
Je vais accepter votre suggestion, monsieur Green. Je vais libérer les témoins.
J'ai une question, monsieur Hamilton, que la greffière vous fera parvenir au nom du Comité et à laquelle j'aimerais obtenir une réponse. Elle porte sur la fraude liée à la PCU. Je sais que vous avez mené des enquêtes au sein de l'ARC. Je veux savoir quelles autres enquêtes ont été menées dans quels autres ministères. C'est la question que je vous poserai par écrit, monsieur.
Maintenant, au sujet du sous-amendement, la parole est à Mme Khalid.
Moi aussi, j'ai demandé plus de ressources.
Allez‑y, madame Khalid.
Merci beaucoup, monsieur le président.
Savez-vous quoi? Je pense que j'ai dit ce que j'avais à dire.
J'ajouterai simplement, au cas où je n'aurais pas clarifié les choses pour les gens qui nous écoutent, que la LIC fait référence à la Loi sur Investissement Canada.
La raison pour laquelle j'ai dit qu'il s'agirait d'une étude limitée, c'est qu'une certaine classification en ce qui concerne l'autorisation de sécurité s'applique. La Loi sur Investissement Canada prévoit une classification précise des documents, et les députés... J'ai ma cote de sécurité de niveau très secret, mais d'autres ne l'ont pas, alors je ne pense pas qu'un examen ou une discussion de ces documents devrait être public.
Sur ce, je vais m'arrêter là et, encore une fois, je réitère mes arguments selon lesquels le directeur actuel du SCRS devrait être en mesure de parler de tout ce qui s'est passé dans l'organisation. Je ne pense pas qu'il soit nécessaire de faire venir d'anciens administrateurs. Je pense que c'est suffisant d'inviter le directeur actuel. Il n'est tout simplement pas logique de faire revenir un ancien directeur.
Je vais m'arrêter ici, monsieur le président.
Merci.
Nous sommes saisis d'un sous-amendement. Je vais demander le consentement unanime, étant donné qu'il n'y a pas d'autres intervenants sur le sous-amendement.
Ai‑je le consentement unanime au sujet du sous-amendement?
Avec dissidence?
Nous allons procéder à un vote par appel nominal sur le sous-amendement.
Je vais rompre l'égalité en votant oui.
(Le sous-amendement est adopté par 6 voix contre 5.)
Le sous-amendement est adopté. L'amendement inclut maintenant MM. Vigneault et Rogers.
Y a‑t‑il consensus sur l'amendement modifié?
Merci.
Pour que ce soit clair, nous en sommes à l'amendement, qui inclut M. Vigneault et M. Rogers. C'est là où nous en sommes en ce moment, parce que cela a été approuvé dans le sous-amendement.
Si vous votez oui, vous votez pour la venue de M. Rogers et de M. Vigneault. Si vous votez non, vous votez contre l'amendement modifié. Revenons au vote.
(L'amendement est adopté par 10 voix contre 0.)
Nous en sommes maintenant à la motion principale modifiée. Comme il n'y a pas d'autres intervenants, je vais mettre la question aux voix.
(La motion modifiée est adoptée par 10 voix contre 0.)
Le président: Je n'ai pas d'autres points à l'ordre du jour. Je vais lever la séance.
Je vous souhaite une excellente fin de semaine. Merci à tous.
Explorateur de la publication
Explorateur de la publication