Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Enquête sur les mesures prises par l’Agence du revenu du Canada pour assurer l’exactitude des renseignements personnels d’un contribuable utilisés pour rendre une décision administrative à son sujet

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels (la Loi)

Le 28 mars 2024

Description

En 2023, le Commissariat à la protection de la vie privée du Canada a reçu une plainte provenant d’une personne dont les renseignements ont été utilisés par un imposteur afin de demander et de toucher la Prestation canadienne d’urgence (PCU). L’imposteur a ensuite présenté une demande d’assurance-emploi et a reçu ces prestations d’Emploi et Développement social Canada. En conséquence, la personne plaignante a reçu un nouvel avis de cotisation de la part de l’Agence du revenu du Canada (ARC), modifiant ses revenus à la hausse et indiquant qu’elle devait plus de 5 500 $ au gouvernement du Canada.

Après enquête, le Commissariat a conclu qu’au moment de l’incident, l’ARC se fiait à des mesures de protection inadéquates pour empêcher l’accès non autorisé au compte de la personne plaignante et la modification non autorisée des renseignements de ce même compte. L’ARC n’avait donc pas pris toutes les mesures raisonnables pour assurer l’exactitude des renseignements personnels sur lesquels elle s’est basée pour prendre des décisions administratives concernant la personne plaignante, comme l’exige le paragraphe 6(2) de la Loi sur la protection des renseignements personnels.

Depuis, l’ARC a mis en place des mesures correctives à ses procédures de demandes d’authentification permettant d’accéder aux comptes de l’ARC, notamment celles reçues par téléphone, et a renforcé ses mesures de sécurité pour les modifications à incidence élevée qui sont apportées aux renseignements personnels.

Points à retenir

  • Les mesures de protection appliquées pour éviter l’accès et la modification non autorisés devraient être proportionnelles à la sensibilité des renseignements détenus par l’organisation.
  • Le risque de préjudice subi par une personne découlant du vol d’identité demeure et va au-delà des répercussions financières; on compte parmi d’autres préjudices à la vie privée, la détresse psychologique que crée le fait d’en être victime.
  • Une authentification appropriée est essentielle pour avoir la certitude que les renseignements sont fournis par la personne qui détient réellement le compte (ou par un représentant autorisé) et pour prévenir des modifications malveillantes.

Rapport de conclusions

Vue d’ensemble

  1. Le plaignant soutient que l’Agence du revenu du Canada (ARC) a contrevenu aux dispositions de la Loi qui portent sur l’exactitude des renseignements personnels en ne prenant pas toutes les mesures raisonnables pour s’assurer de l’exactitude des renseignements utilisés par un imposteur pour demander et recevoir la Prestation canadienne d’urgence (PCU) en son nom.
  2. Plus précisément, le plaignant a expliqué que son compte Mon dossier de l’ARC avait été compromis en 2020 et que ses renseignements relatifs au dépôt direct et ses coordonnées avaient alors été modifiés. Une demande de prestation frauduleuse a ensuite été présentée en son nom, et c’est un imposteur qui a reçu la prestation. En avril 2021, le plaignant a reçu un feuillet État des prestations d’assurance-emploi et autres prestations (T4A) où l’on pouvait voir que plusieurs versements de la PCU, une prestation offerte dans le contexte de la pandémie de COVID-19, avaient été effectués à son nom en 2020.
  3. Le plaignant a aussi déclaré que par suite de la compromission de son compte Mon dossier de l’ARC, l’imposteur a pu présenter une demande frauduleuse d’assurance-emploi (AE) et recevoir des prestations d’AE d’Emploi et Développement social Canada (EDSC) durant l’année civile 2021Note de bas de page 1. Par conséquent, en 2022, le plaignant a reçu de l’ARC un nouvel avis de cotisation pour 2021 modifiant ses revenus à la hausse et indiquant qu’il devait plus de 5 500 $ au gouvernement du Canada.
  4. L’ARC n’a pas contesté le fait que le plaignant a été victime d’un vol d’identité, que quelqu’un a accédé à son compte sans autorisation et que cet accès non autorisé a donné lieu à des activités frauduleuses. Comme l’accès non autorisé au compte du plaignant et la modification de ses renseignements personnels par l’intermédiaire de son compte Mon dossier ne sont pas contestés, l’enquête a porté sur les mesures de protection en place (pour prévenir l’accès non autorisé et la modification des renseignements) au moment de l’atteinte afin de permettre d’évaluer si les mesures raisonnables ont été prises pour assurer l’exactitude des renseignements personnels.
  5. Il est à noter qu’un rapport de conclusions publié récemment par le Commissariat à la protection de la vie privée du Canada (le Commissariat) au sujet d’un incident distinct comprend une évaluation des mesures de protection en place au moment d’une autre atteinte (qui a eu lieu durant la même période) où des renseignements personnels détenus par l’ARC ont été communiqués et modifiés de façon non autorisée, notamment par l’intermédiaire de Mon dossier. Même si le vecteur d’attaque était différent, nous sommes d’avis que les évaluations menées dans le cadre de cette autre enquête portant sur la validation de l’identité et des identifiants sont pertinentes en l’espèce.
  6. À la lumière de ce qui précède et aux fins de traitement de la présente plainte, nous avons voulu déterminer si l’ARC a pris toutes les mesures raisonnables pour empêcher la modification non autorisée des renseignements personnels du plaignant par un imposteur, comme l’exige le paragraphe 6(2) de la Loi, qui prévoit qu’« une institution fédérale est tenue de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets. »
  7. Après examen des observations des parties, nous estimons que l’ARC n’a pas pris toutes les mesures raisonnables pour assurer l’exactitude des renseignements personnels sur lesquels elle s’est basée pour prendre des décisions administratives concernant le plaignant. L’ARC s’est notamment fiée à des mesures de protection inadéquates pour empêcher l’accès et la modification non autorisés, ce qui a entraîné le versement frauduleux de la PCU à un imposteur, au nom du plaignant.
  8. Depuis l’incident, l’ARC a mis en place des mesures correctives aux processus utilisés au moment de l’atteinte et elle s’est engagée auprès du Commissariat à apporter des changements afin d’éviter d’autres atteintes semblables. Les mesures correctives et les changements sont décrits dans la section Analyse du présent rapport.
  9. Par conséquent, nous estimons que la plainte est fondée et conditionnellement résolue.

Analyse

Enjeu : L’Agence du revenu du Canada n’a pas pris toutes les mesures raisonnables pour assurer l’exactitude des renseignements personnels

  1. Le paragraphe 6(2) de la Loi oblige les ministères à veiller, dans la mesure du possible, à ce que les renseignements personnels qu’ils utilisent à des fins administratives soient à jour, exacts et complets.
  2. Comme il est indiqué aux sections 4.2.15 et 4.2.16 de la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor, les mesures raisonnables pour assurer l’exactitude des renseignements personnels comprennent notamment ce qui suit : « […] recueillir les renseignements personnels directement de l’individu […] [ou] mettre en œuvre des mesures pour : 1) s’assurer que les renseignements personnels sont obtenus d’une source fiable; 2) vérifier ou valider l’exactitude des renseignements personnels avant de les utiliser ».
  3. En septembre 2020, le plaignant a appris que l’une de ses connaissances avait reçu une lettre de l’ARC indiquant que son compte Mon dossier de l’ARCNote de bas de page 2 avait été verrouillé et que ses renseignements bancaires avaient été modifiés. Cette nouvelle a incité le plaignant à vérifier son compte Mon dossier le 25 septembre 2020. Il a alors découvert que sept paiements de PCU d’un montant de 2 000 $ avaient été effectués à son nom. Le plaignant a appelé l’ARC le 28 septembre 2020. Durant l’appel, l’agent de l’ARC a indiqué que les renseignements relatifs au dépôt direct avaient été modifiés à plusieurs reprises par l’intermédiaire de Mon dossier, que sept demandes de PCU avaient été présentées et qu’un vol d’identité était hautement probableNote de bas de page 3.
  4. L’ARC a confirmé que le 27 mai 2020, un deuxième ensemble d’identifiants avait été créé pour accéder au compte Mon dossier du plaignant selon un niveau 2 de validation de l’identitéNote de bas de page 4. Par la suite, l’imposteur a communiqué avec le centre d’appels de l’ARC en se faisant passer pour le plaignant et a fourni des renseignements personnels sensibles au sujet de celui-ci, ce qui lui a permis de répondre aux critères de confidentialité. Cela a mis fin au processus de vérificationNote de bas de page 5 qui visait à confirmer l’identité de l’appelant. L’imposteur a ensuite été en mesure de faire modifier immédiatement l’adresse courriel au dossier par l’agent de l’ARC, [traduction] « et un code de sécurité a été envoyé par courriel pour permettre la mise à jour des identifiants (la validation de l’identité est passée du niveau 2 au niveau 3, soit le niveau le plus élevé) et donner accès à l’individu à tous les services de Mon dossierNote de bas de page 6 ».
  5. Plus tard le même jour, les renseignements relatifs au dépôt direct indiqués dans le compte Mon dossier du plaignant ont été modifiés et trois demandes de PCU ont été faites. Entre le 28 mai et le 8 juillet 2020, les renseignements relatifs au dépôt direct ont été modifiés à plusieurs reprises, et quatre autres demandes de PCU ont été soumises; six demandes ont été faites en ligne, et l’une a été faite auprès du centre d’appels. L’ARC a confirmé qu’en tout, sixNote de bas de page 7 versements de la PCU ont été effectués, pour un total de 12 000 $.
  6. Lorsque nous avons demandé à l’ARC si des mécanismes de signalement étaient en place au centre d’appels lorsqu’un nouvel ensemble d’identifiants a été créé pour accéder au compte Mon dossier du plaignant, elle a indiqué qu’il n’y avait pas lieu pour l’agent de poser des questions à ce sujet puisqu’il était alors permis d’avoir plusieurs identifiantsNote de bas de page 8.
  7. Le Commissariat a aussi demandé si le titulaire d’un compte Mon dossier était avisé quand un changement était apporté à son compte (par exemple à son adresse courriel), et l’ARC a répondu par la négative.
  8. Comme il est indiqué dans la section Vue d’ensemble, nous ne pouvions déterminer si les mesures raisonnables ont été prises pour assurer l’exactitude des renseignements personnels sans aussi examiner les mesures de protection qui étaient en place au moment de l’atteinte afin d’empêcher l’accès et la modification non autorisés.
  9. Dans l’ensemble, nous avons constaté que la faiblesse des mesures de sécurité et le manque de mesures d’atténuation des risques (par exemple, des vérifications insuffisantes lors de la modification de renseignements à incidence élevée comme les données de dépôt direct et l’envoi par courriel du code de sécurité visant à augmenter le niveau de validation de l’identité), combinés aux préoccupations sur la validation de l’identité et des identifiants qui avaient déjà fait l’objet d’une enquête, ont contribué au vol d’identité et aux activités frauduleuses dont a été victime le plaignant.
  10. Le rapport de conclusions publié récemment par le Commissariat comprend une évaluation des mesures de protection en place lors d’une autre atteinte où des renseignements personnels détenus par l’ARC ont été communiqués et modifiés de façon non autorisée, notamment par l’intermédiaire de Mon dossier. Même si le vecteur d’attaque était différent, nous sommes d’avis que les évaluations menées dans le cadre de cette autre enquête portant sur la validation de l’identité et des identifiants sont pertinentes en l’espèce.
  11. Une authentification appropriée est essentielle pour avoir la certitude que les renseignements ne sont pas fournis par des imposteurs, mais par les bonnes personnes (ou par un représentant autorisé) et pour prévenir des modifications malveillantes. L’accès aux renseignements et leur modification non autorisés posent un risque de préjudice élevé, et les imposteurs peuvent tirer profit de la fraude qui crée ces préjudices.
  12. Dans le cas qui nous occupe, en franchissant avec succès les étapes d’authentification de l’ARC en place à l’époque et en accédant au compte Mon dossier du plaignant, l’imposteur a pu saisir des renseignements inexacts sur le plaignant dans le système de l’ARC. Ceux-ci ont ensuite été utilisés pour prendre des décisions touchant le plaignant, notamment l’émission des versements de PCU à son nom.
  13. Comme ces questions ont fait l’objet d’un examen approfondi et d’un rapport détaillé distincts, nous ne reprendrons pas ici toute l’analyse. Cependant, il est important de noter, puisque cela reste pertinent, que nous avions déjà signalé que les mesures de protection appliquées pour éviter l’accès et la modification non autorisés devaient être proportionnelles à la sensibilité des renseignements auxquels un imposteur pouvait accéder. De plus, Mon dossier comprend de nombreux renseignementsNote de bas de page 9. La situation du plaignant, telle qu’elle est décrite ici et dans l’autre rapport, fait bien ressortir les répercussions considérables et durables que peuvent causer l’accès non autorisé à leurs renseignements personnels ainsi que la modification non autorisée de ces renseignements. Elle souligne également l’importance de prévenir de tels incidents.
  14. De plus, nous avons conclu précédemment que l’ARC a sous-évalué le niveau requis de validation de l’identité pour les services en ligne touchés par cette atteinte (y compris Mon dossier), ce qui a fait en sorte que les pratiques d’authentification en place étaient inadéquates et n’ont pu empêcher le vol d’identité. La conclusion est la même ici, car les renseignements personnels conservés par l’ARC, qu’il est possible de modifier par l’entremise de ses services en ligne, représentent les mêmes renseignements de nature sensible qu’elle détient en grande quantité et qu’un imposteur a été en mesure d’utiliser de façon frauduleuse à la suite d’un accès non autorisé.
  15. Compte tenu de ce qui précède, nous avons établi qu’au moment de l’atteinte, l’ARC ne veillait pas, comme l’exige le paragraphe 6(2) de la Loi, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient exacts et qu’elle a contrevenu aux dispositions de la Loi en ce qui concerne l’exactitude des renseignements.
  16. L’ARC a indiqué qu’en mai 2021, par suite d’échanges additionnels avec le plaignant, elle a pu confirmer que le plaignant n’avait pas demandé la PCU et qu’il y avait eu utilisation non autorisée des renseignements d’un contribuable par un tiers (UNAT). Par conséquent, les paiements de la PCU ont été supprimés du compte du plaignant, qui a par ailleurs été informé de ne pas tenir compte du feuillet T4A qu’il avait reçu.
  17. De plus, depuis ces incidents, l’ARC a pris des mesures afin de prévenir la récurrence d’activités frauduleuses semblables. Notamment, le code de sécurité donnant accès aux services en ligne n’est plus envoyé par courriel, les procédures de confirmation des demandes d’autorisation par téléphone ont été renforcées et des mesures de sécurité ont été ajoutées pour les modifications à incidence élevée qui sont apportées aux renseignements personnels, par exemple en ce qui a trait au dépôt direct.
  18. Dans le rapport de conclusions publié récemment et mentionné au paragraphe 19, qui est pertinent dans cette affaire, le Commissariat a formulé des recommandations à l’ARC concernant ses pratiques d’assurance de l’identité et d’assurance du justificatif, recommandations que l’ARC a acceptéesNote de bas de page 10. Nous sommes donc d’avis que lorsque nos recommandations auront été mises en œuvre, la question de la validation inadéquate de l’identité sera résolue.
  19. Par conséquent, nous concluons que la plainte est fondée et conditionnellement résolue.
  20. Durant notre enquête, nous avons aussi appris que le 25 mai 2020, soit deux jours avant l’incident décrit ci-dessus dans la section Analyse, quelqu’un qui semblait utiliser ses propres identifiantsNote de bas de page 11 a demandé (au moyen du portail « Représenter un client ») à être inscrit comme représentant autoriséNote de bas de page 12Note de bas de page 13Note de bas de page 14 au compte du plaignant.
  21. Pour ce faire, la personne a d’abord dû créer un code d’identification du représentant, ce qui nécessitait de fournir le nom et le numéro d’assurance socialeNote de bas de page 15 du plaignant avant d’être associé à son compte. Dans ce cas, une fois la correspondance établie dans le système entre le représentant et le contribuable, l’imposteur a obtenu le niveau 1 de validation de l’identité, soit un accès en lecture seuleNote de bas de page 16.
  22. L’ARC a par la suite indiqué que, le 27 mai 2020, le représentant nouvellement autorisé a utilisé le portail Représenter un client pour consulter les renseignements personnels du plaignant.
  23. Lorsque nous lui avons demandé si ces atteintes visant les renseignements personnels du plaignant étaient le fait du même imposteur, l’ARC a répondu qu’il n’y avait aucun lien entre la fraude par représentant et la création du deuxième ensemble d’identifiants associé au compte du plaignant décrite ci-dessus.
  24. Toutefois, nous sommes d’avis que ces activités frauduleuses – i) un imposteur accédant aux renseignements personnels du plaignant par l’intermédiaire du portail Représenter un client et ii) un imposteur créant de nouveaux identifiants pour accéder de façon non autorisée au compte du plaignant afin de modifier les renseignements personnels qu’il contient –, qui sont survenues le même jour, sont, selon la prépondérance des probabilités, le fait de la même personne.
  25. Bien que l’ARC n’ait pu confirmer que c’est le cas, il semble raisonnable de penser que l’imposteur a pu i) voir certains renseignements contenus dans le compte Mon dossier du plaignant par l’intermédiaire du portail Représenter un client, ii) créer de nouveaux identifiants pour accéder directement au compte Mon dossier du plaignant et iii) mettre à niveau les identifiants afin d’avoir un accès total au compte Mon dossier du plaignant, où il est possible de modifier des renseignements, par exemple ceux relatifs au dépôt direct.
  26. Par suite de l’incident, l’ARC a lancé le service Confirmer mon représentant pour toutes les demandes d’autorisation Représenter un client; le contribuable doit ainsi ouvrir une session dans son compte et autoriser le représentantNote de bas de page 17. L’ARC a aussi renforcé les mesures pour la validation de l’identité des représentants, qui est passée au niveau 3.
  27. Dans l’ensemble, nous sommes satisfaits des mesures prises par l’ARC et nous croyons que son engagement à donner suite aux recommandations pertinentes présentées dans le rapport connexe récemment publié contribuera à prévenir des incidents semblables.

Autres

Établissement d’un nouvel avis de cotisation par l’Agence du revenu du Canada par suite d’activités frauduleuses touchant le compte du plaignant

  1. Le plaignant a soulevé des préoccupations quant au fait qu’il a été victime d’un vol d’identité auprès d’EDSC par suite de la compromission de son compte de l’ARC et qu’un imposteur a reçu plus de 26 000 $ en prestations d’AE. Comme nous l’avons mentionné dans la section Vue d’ensemble, la plainte contre EDSC a fait l’objet d’une enquête et d’un rapport distincts. Toutefois, le plaignant a affirmé qu’il continuait à recevoir de la correspondance de l’ARC au sujet de l’impôt dû relativement à ces prestations d’AE. En se basant sur le feuillet T4E du 25 avril 2022 établi par EDSC et faisant état des prestations versées, l’ARC a produit un nouvel avis de cotisation pour 2021 indiquant au client qu’il devait au gouvernement la somme de 5 689,91 $.
  2. Comme la correspondance provenait de l’ARC, le plaignant a tenté de régler la question directement auprès d’elle, en vain. Dans une lettre datée du 11 octobre 2022 et adressée au plaignant, l’ARC a expliqué que le feuillet T4E avait été établi par le gouvernement et indiquait que le plaignant avait touché des prestations d’un montant de 26 931 $. Conformément au sous-alinéa 56(1)(a)(iv) de la Loi de l’impôt sur le revenu, l’ARC avait l’obligation d’inclure ce montant dans le revenu du plaignant pour l’année d’imposition correspondante, ce qui a entraîné l’établissement de la nouvelle cotisation modifiant celle qui lui avait été acheminée précédemment. L’ARC a informé le plaignant à cette époque que s’il n’avait pas touché lesdites prestations, il devait communiquer avec Service Canada pour obtenir un feuillet T4E modifié ou annulé.
  3. Le plaignant a par la suite reçu une lettre de l’ARC datée du 10 mars 2023 l’informant que des intérêts avaient été ajoutés au montant dû, portant sa dette à 6 018,97 $. Il était ensuite indiqué que [traduction] « [p]our éviter d’autres frais d’intérêts et d’éventuelles actions en justice, ce montant devait être payé immédiatement ».
  4. Après avoir été avisée de la tenue de notre enquête, l’ARC a communiqué avec EDSC à ce sujet le 23 mai 2023. Le 5 juin 2023, le feuillet T4E du plaignant avait été modifié, de même que ses déclarations de revenus de 2020 et de 2021, et il avait reçu de nouveaux avis de cotisation pour les années d’imposition 2020 et 2021.
  5. Néanmoins, comme l’ARC savait que le contribuable avait été victime d’un vol d’identité lié aux systèmes de l’ARC et à la PCU, le Commissariat est d’avis qu’elle aurait dû communiquer plus rapidement avec EDSC pour l’informer du risque lié au vol d’identité après avoir été avisée par le plaignant qu’il n’avait pas touché de prestation d’AE. Ainsi, EDSC aurait pu enquêter sur la fraude en matière d’AE dont le plaignant se disait victime et la situation aurait été réglée beaucoup plus rapidement. Cette communication avec EDSC est particulièrement pertinente dans le cas présent puisqu’au moment de l’incident, un système permettait à toute personne ouvrant une session dans un compte Mon dossier de l’ARC d’accéder librement au compte EDSC correspondant, et vice versa, sans aucune autre mesure d’authentification.
  6. À cet égard, nous encourageons l’ARC à envisager la mise en œuvre de mesures pour faciliter le règlement des situations où les renseignements d’un contribuable accessibles par l’intermédiaire du système d’un autre ministère sont compromis, et ce, dans le but d’éviter des délais significatifs dans l’examen de la situation et de réduire les préjudices.

Déclaration et signalement en cas d’atteinte à la vie privée

Avis
  1. Nous constatons que le compte du plaignant a été compromis en mai 2020, que celui-ci a avisé l’ARC en septembre 2020 et que, par suite de la collaboration entre l’ARC et le plaignant, le compte de celui-ci a été redressé en mai 2021. Toutefois, ce n’est qu’en octobre 2022 que le plaignant a reçu une lettre expliquant la compromission et offrant la surveillance du crédit.
  2. L’ARC a expliqué qu’en septembre 2022, elle avait commencé à fournir rétroactivement des services de surveillance du crédit aux personnes touchées par une UNAT entre le 16 mars 2020 et juillet 2022.
  3. Nous reconnaissons que, jusqu’à la fin de 2020, l’ARC s’est consacrée à détecter et à limiter les incidents liés à l’UNAT, de même qu’à faire enquête sur ces incidents et à en atténuer les répercussions. Nous croyons toutefois que pour réduire au minimum les préjudices pour les personnes touchées, il est essentiel de les aviser et de leur offrir des mesures d’atténuation en temps opportun.
  4. Par conséquent, nous invitons l’ARC à agir plus promptement pour informer les personnes touchées lorsqu’une atteinte substantielle à la vie privée survient et qu’il est raisonnable de croire qu’elle pourrait causer un dommage ou un préjudiceNote de bas de page 18 à ces personnes.
Signalement d’atteintes à la vie privée
  1. Lorsque l’enquête a commencé, l’ARC n’avait pas encore présenté au Commissariat de rapport d’atteinte à la vie privée concernant cet incident, contrevenant ainsi aux obligations en matière d’établissement de rapports prévues par la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT). Durant l’enquête, nous avons demandé à l’ARC si elle avait l’intention de le faire, étant donné que l’accès non autorisé à ses renseignements personnels avait touché le plaignant par l’intermédiaire de deux vecteurs, soit i) une fraude relative à l’identification du représentant et ii) une fraude relative à la PCU.
  2. L’ARC a répondu qu’elle allait produire un rapport d’atteinte relativement à [traduction] « l’accès non autorisé par un représentant » et qu’elle [traduction] « préparait un rapport d’atteinte à la vie privée relativement aux incidents où un vol d’identité présumé avait causé des atteintes substantielles à la vie privée ». Pour ce qui est de la fraude relative à la PCU, l’ARC a expliqué que [traduction] « ce ne sont pas tous les cas de fraude qui entraînent une atteinte à la vie privée ». Même si nous convenons qu’une fraude ne mène pas nécessairement à une atteinte à la vie privée, nous croyons que le cas qui nous occupe illustre bien qu’il existe un risque réel de préjudice important, et c’est pour cette raison que nous nous serions attendus à ce que l’ARC produise un rapport sur cet incident.
  3. Au moment de rédiger le présent rapport, le Commissariat n’avait reçu aucun rapport d’atteinte relativement à l’incident.
  4. L’Unité d’intervention en cas d’atteinte à la vie privée du Commissariat fera un suivi distinct directement auprès de l’ARC concernant ces questions qui demeurent en suspens.
Date de modification :