Centre d’analyse des opérations et déclarations financières du Canada
Article 37 de la Loi sur la protection des renseignements personnels
Paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Rapport final 2017
Points principaux
Éléments examinés
La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) a créé le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE ou le Centre), et exige que ce dernier s’assure que les renseignements personnels sous sa responsabilité soient protégés contre toute divulgation non autorisée. Les articles 4 à 8 de la Loi sur la protection des renseignements personnels régissent la façon dont les institutions fédérales, y compris CANAFE, peuvent recueillir, utiliser et conserver des renseignements personnels. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a procédé à un examen pour déterminer si les politiques, les pratiques et les processus que CANAFE a mis en place pour gérer les renseignements personnels qu’il reçoit, recueille et conserve sont conformes aux obligations du Centre énoncées dans la LRPCFAT et dans la Loi sur la protection des renseignements personnels. Notre examen comportait une analyse du nombre et du type de renseignements personnels que CANAFE recueille directement auprès des entités déclarantes lorsqu’il surveille la conformité par rapport aux obligations de déclaration imposées par la LRPCFAT.
Nous avons interrogé des représentants de CANAFE et de Services partagés Canada (SPC), examiné les documents pertinents et analysé un échantillon de déclarations d’opérations que CANAFE a reçues entre avril 2014 et juillet 2016. Nous avons aussi examiné un échantillon de dossiers d’examen de la conformité compilés par CANAFE d’avril 2014 à mars 2016. Tous les examens ont été menés dans la région de la capitale nationale.
Notre examen comportait une évaluation qui visait à déterminer si des mesures de protection techniques adéquates sont en place pour protéger les renseignements personnels reçus, recueillis et conservés par CANAFE contre l’utilisation et la divulgation inappropriées et non autorisées. Puisque les fonds de données électroniques de CANAFE reposent sur l’infrastructure technique maintenant exploitée par SPC, nous avons évalué les mesures prises par CANAFE afin de s’assurer que SPC a mis en place des mesures de protection satisfaisantes dans le domaine de la technologie de l’information (TI).
Nous avons aussi évalué les progrès réalisés par CANAFE dans la réponse aux observations et aux recommandations formulées dans notre rapport de vérification de 2013. Plus précisément, nous nous sommes penchés sur la façon dont CANAFE avait abordé notre observation selon laquelle il avait reçu et conservé des renseignements personnels qui ne respectaient pas les seuils de déclaration imposés par la LRPCFAT. Cette observation avait également été formulée dans notre rapport de 2009. Les deux rapports de vérification précédents recommandaient, pour atténuer ce risque, que CANAFE vérifie les rapports reçus avant de les inscrire dans la base de données afin de relever et de détruire les renseignements personnels le plus tôt possible.
Nous n’avons pas examiné la divulgation de renseignements personnels par CANAFE aux partenaires du régime comme les services de police, le Service canadien du renseignement de sécurité (SCRS), l’Agence des services frontaliers du Canada (l’ASFC), l’Agence du revenu du Canada (ARC) et les commissions des valeurs mobilières des provinces et des territoires. Le traitement des renseignements personnels par CANAFE concernant ses employés et les pratiques de traitement des renseignements personnels des entités relevant de CANAFE n’ont pas été examinés non plus.
Importance de l’examen
Selon le rapport annuel 2015-2016 de CANAFE, la déclaration des opérations financières a augmenté de 63 % au cours des cinq dernières années. En effet, uniquement au cours du dernier exercice, CANAFE a reçu presque 24 millions de déclarations. En date du 31 mars 2016, dans les bases de données de CANAFE, on comptait environ 212 millions de déclarations contenant des renseignements personnels.
Les déclarations sont transmises par les entités déclarantes sans que les personnes concernées le sachent ou aient donné leur consentement à cet égardNote de bas de page 1, et ces déclarations sont conservées dans les bases de données de CANAFE pendant au moins 10 ans. Ces documents contiennent des renseignements financiers de nature délicate et d’autres renseignements personnels, et une atteinte à la protection des renseignements personnels pourrait avoir de graves incidences pour les personnes concernées. La réception de déclarations qui ne respectent pas les seuils établis par la Loi et la longue période de conservation de ces déclarations augmentent le risque d’un examen inutile et non justifié de personnes respectueuses des lois par CANAFE. En outre, les renseignements personnels qui se trouvent dans les fonds de données de CANAFE (autres que les déclarations des mouvements transfrontaliers) ne sont pas accessibles en vertu de la Loi sur la protection des renseignements personnels, et les personnes ne peuvent pas vérifier les documents ou demander des correctionsNote de bas de page 2.
Ces facteurs font ressortir la nécessité pour CANAFE de faire preuve de diligence pour s’assurer qu’il conserve seulement les renseignements que la Loi l’autorise à posséder, que ces renseignements soient les plus exacts possible et que ces renseignements soient protégés contre toute utilisation et/ou divulgation inappropriée à l’aide de mesures de protection, en fonction de la nature délicate des renseignements en question.
Constatations
Pendant cette vérification, nous avons conclu que CANAFE a fait des efforts importants pour améliorer ses pratiques de traitement des renseignements personnels, ce qui a entraîné des améliorations aux mesures de protection des renseignements personnels. Toutefois, nous avons relevé des problèmes liés à la surveillance des activités des utilisateurs à l’interne et à la répartition des rôles et des responsabilités en matière de sécurité de la TI qui sont maintenant partagés entre SPC et CANAFE. Nous avons aussi constaté que CANAFE continue de recevoir et de conserver des renseignements personnels qui ne respectent pas les seuils de déclaration imposés par la Loi.
De plus, nous avons trouvé des indications selon lesquelles la vaste majorité des déclarations reçues par CANAFE pourraient n’être jamais utilisées. En date du 31 mars 2016, 37 millions de déclarations reçues par CANAFE avaient atteint la fin de leur période de conservation de 10 ans et avaient été éliminées sans avoir été utilisées dans une divulgation. Ce chiffre correspond presque à la quantité totale de déclarations reçues par CANAFE depuis sa création jusqu’au 31 mars 2006.
Nos principales constatations sont résumées ci-après.
- Il n’existe aucune assurance formelle montrant que les renseignements personnels obtenus, conservés et transmis par CANAFE sont protégés adéquatement dans l’infrastructure de TI de SPC. Depuis 2012, les fonds de données électroniques de CANAFE sont hébergés dans l’infrastructure de TI de SPC, conformément à la Loi sur Services partagés CanadaNote de bas de page 3. Au cours des dernières années, CANAFE a fait face à certaines difficultés en ce qui concerne l’obtention d’assurances de SPC que certaines mesures de protection techniques requises sont en place. En outre, les données de télévirements reçues des entités déclarantes par CANAFE et l’ARC sont transmises à l’ARC au moyen d’un système technique prescrit par le gouvernement du Canada pour lequel SPC n’a pas renouvelé l’autorisation d’exploitationNote de bas de page 4. Par conséquent, la transmission des renseignements personnels de nature délicate à l’ARC par le biais de la solution de SPC n’est plus assurée d’être protégée adéquatement contre une utilisation ou une divulgation non autorisée.
- CANAFE continue de recevoir et de conserver des renseignements personnels à l’extérieur des seuils de déclaration imposés par la Loi. Cette situation présente des risques pour la protection de la vie privée en mettant des renseignements personnels, qui n’auraient jamais dû être transmis à CANAFE, à la disposition de ce dernier afin d’être utilisés et, éventuellement, d’être divulgués à d’autres institutions. Il est peu probable que ce problème soit réglé, du moins pas avant que CANAFE renforce ses contrôles actuels au moyen d’un processus de contrôle initial solide, afin de contribuer à s’assurer que les déclarations qu’il conserve dans ses bases de données soient conformes aux seuils de déclaration et ne contiennent pas de renseignements personnels inutiles et/ou excessifs.
- CANAFE recueille et conserve des quantités et des types inutiles de renseignements personnels auprès des entités, tout en évaluant leur conformité par rapport à la Partie 1 ou 1.1 de la LRPCFAT.
Introduction
- Le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE, ou le Centre) a la responsabilité d’aider à détecter, à prévenir et à décourager le recyclage des produits de la criminalité, le financement d’activités terroristes et les autres menaces à la sécurité du Canada. C’est un organisme distinct qui relève du ministre des Finances à qui il incombe de rendre des comptes au Parlement sur les activités du Centre. Il a été établi et mène ses activités en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT, ou la Loi) et des Règlements connexesNote de bas de page 5.
- Sous le régime de la LRPCFAT, certaines entreprises doivent recueillir des renseignements sur leurs clients et sur les opérations. Elles doivent déclarer ces renseignements, en tout ou en partie, au Centre dans les circonstances prescrites. Un grand nombre d’entités et de types d’entités doivent présenter une déclaration à CANAFENote de bas de page 6 :
- les comptables;
- les notaires (en Colombie-Britannique);
- les casinos;
- les négociants en pierres et métaux précieux;
- les entités financières (banques, coopératives de crédit, caisses populaires, coopérative de services financiers, sociétés de fiducie et de prêt);
- les agents et les représentants d’assurances-vie;
- les agents et les courtiers immobiliers;
- les entreprises de services monétaires (conversion de devises étrangères, virements d’argent);
- les courtiers en valeurs mobilières.
- CANAFE reçoit les types de déclarations ci-dessous. Toutes les déclarations contiennent des renseignements personnels.
- Examen des déclarations d’opérations douteuses (DOD) : Une DOD doit être présentée lorsqu’une opération financière a été tentée ou a été effectuée, et pour laquelle il existe des motifs raisonnables de soupçonner que l’opération est liée à une infraction de blanchiment d’argent ou de financement d’activités terroristes. Il n’y a pas de seuil monétaire pour la déclaration d’une opération douteuse.
- Déclaration d’opérations importantes en espèces (DOIE) : Une déclaration d’opérations importantes en espèces est transmise à CANAFE lorsqu’une entité déclarante reçoit une somme de 10 000 $ ou plus en espèces au cours d’une seule opération, ou lorsqu’elle reçoit deux sommes ou plus totalisant 10 000 $ ou plus au cours d’une période de 24 heures de la même personne ou entité, ou en son nom.
- Déclaration de télévirements (DT) : Une déclaration de télévirements est présentée à CANAFE lors de la réception d’instructions, par voie électronique, magnétique ou optique ou au moyen d’un appareil téléphonique ou d’un ordinateur, pour le transfert d’une somme de 10 000 $ ou plus vers le Canada ou vers l’étranger en une seule ou plusieurs opérations totalisant 10 000 $ ou plus au cours d’une période de 24 heures par une même personne ou entité, ou en son nom.
- Déclaration relative à un déboursement de casino (DDC) : Les casinos doivent déclarer à CANAFE lorsqu’ils font un déboursement de 10 000 $ ou plus au cours d’une seule opération, ou lorsqu’ils font deux déboursements ou plus d’un montant total de 10 000 $ ou plus, quand ils savent que ces déboursements ont été effectués au cours d’une période de 24 heures au nom de la même personne ou entité.
- Déclaration de biens appartenant à un groupe terroriste (DBGT) : Les entités déclarantes doivent produire une déclaration de biens appartenant à un groupe terroriste lorsqu’ils savent que des biens appartiennent à un terroriste ou à un groupe terroriste, ou que ces biens sont contrôlés par un terroriste ou un groupe terroriste ou en son nom, ou si elles ont des raisons de penser que les biens en question appartiennent à une personne inscrite dans le Règlement d’application des résolutions des Nations Unies sur la lutte contre le terrorisme, ou que ces biens sont contrôlés par un terroriste ou un groupe terroriste ou en son nomNote de bas de page 7. Les biens immobiliers, l’argent en espèces, les comptes bancaires, les polices d’assurance, les mandats, les valeurs mobilières, les pierres et les métaux précieux et les autres types d’actifs sont considérés comme des biens.
- Déclaration sur les mouvements transfrontaliers d’espèces et d’effets (DMTEE) : Une déclaration de mouvement transfrontalier est transmise à l’Agence des services frontaliers du Canada (ASFC) par une personne qui arrive au Canada, ou qui quitte le pays, en transportant une somme en espèces ou un instrument monétaire de 10 000 $ ou plus, ou par une personne qui envoie par la poste une telle somme vers le Canada ou à l’étranger ou qui reçoit une telle somme. L’ASFC transmet alors une déclaration à CANAFE. L’ASFC transmet alors également une déclaration de saisie des douanes à CANAFE lorsque des sommes en espèces ou des instruments monétaires non déclarés sont saisis ou lors de la saisie de produits présumés d’activités criminelles.
- Déclaration de renseignements transmis volontairement (DRTV) : Les personnes peuvent déclarer volontairement leurs soupçons à CANAFE concernant des activités de blanchiment d’argent ou de financement des activités terroristes. Les organismes d’application de la Loi, les institutions gouvernementales et les partenaires du renseignement peuvent également fournir des renseignements au Centre au moyen de la présentation d’une DRTV.
- Divers achats importants, mais potentiellement légitimes, peuvent être déclarés automatiquement à CANAFE. Les DOIE, les DT et les DOD présentées à CANAFE par les entités déclarantes assujetties à la Loi peuvent comprendre des opérations comme les acomptes et les mises de fonds liées à des hypothèques pour l’achat d’une maison, d’une voiture, d’un bateau ou d’un véhicule récréatif, des fonds envoyés à des membres de la famille à l’étranger et des sommes d’argent reçues par des étudiants étrangers qui étudient au Canada.
- CANAFE analyse et évalue les renseignements qu’il reçoit et les compare avec les données d’autres organismes d’application de la Loi et de renseignement, ainsi qu’avec les renseignements accessibles au public. Les analystes de CANAFE peuvent en déduire que les renseignements à divulguer fournissent « des motifs raisonnables de soupçonner » qu’il serait « utiles aux fins d’une enquête ou d’une poursuite relativement à une infraction de blanchiment d’argent ou de financement d’activités terroristes ».
- Lorsque c’est le cas, CANAFE doit divulguer des renseignements précis aux services de police fédéraux, provinciaux ou municipaux; ces renseignements serviront à des enquêtes relatives au blanchiment d’argent et/ou au financement des activités terroristes. Lorsque CANAFE a des motifs raisonnables de soupçonner que les renseignements à divulguer sont pertinents pour des menaces à la sécurité du Canada, il doit divulguer les renseignements au SCRS. Si, en plus, CANAFE satisfait également à d’autres seuils en particulier établis en vertu de la LRPCFAT, le Centre doit divulguer les renseignements en question à d’autres destinataires, y compris l’ARC, l’ASFC, le Centre de la sécurité des télécommunications et tout autre organisme ou entité qui administre la législation provinciale sur les valeurs mobilières. CANAFE peut aussi divulguer des renseignements à des unités étrangères ou internationales de renseignement lorsqu’elles ont des raisons raisonnables de soupçonner que les renseignements à communiquer seraient pertinents dans le cadre d’une enquête ou d’une poursuite pour une infraction de blanchiment d’argent ou de financement d’activités terroristes, ou pour une infraction essentiellement semblable.
- CANAFE recueille également des renseignements directement auprès d’entités pendant qu’il évalue leur conformité par rapport à la Partie 1 ou 1.1 de la LRPCFAT, comme il doit le faire en vertu de la Loi.
Ce que nous avons trouvé dans les vérifications précédentes
- La LRPCFAT exige que le Commissariat effectue un examen, tous les deux ans, des mesures adoptées par le Centre pour protéger les renseignements qu’il reçoit ou recueille, et il doit faire rapport au Parlement concernant ces mesuresNote de bas de page 8. Il s’agit du troisième examen du genre entrepris par le commissaire; les examens précédents ont été réalisés en 2009 et en 2013. Ces deux examens précédents ont conclu que CANAFE avait reçu et conservé des déclarations qui n’étaient pas conformes aux seuils établis en vertu de la LRPCFAT. Vous trouverez un tableau énonçant les recommandations faites en 2013 et notre évaluation des progrès effectués pour mettre en œuvre ces recommandations à l’annexe A du présent document.
Événements depuis notre dernière vérification
- Le Comité sénatorial permanent des banques et du commerce a entrepris un examen de la LRPCFAT en 2013Note de bas de page 9. Le rapport du Comité contenait des recommandations liées à l’évaluation de l’efficacité de CANAFE et de la valeur des poursuites dans les cas d’infractions liées au terrorisme et au recyclage des produits de la criminalité, ainsi qu’au besoin accru d’échange de renseignements. En outre, le rapport indiquait la nécessité d’établir un équilibre approprié entre l’échange de renseignements et la protection des renseignements personnels.
- En 2014, le projet de loi C-31Note de bas de page 10 a modifié la LRPCFAT, entre autres, de façon à donner plus de souplesse aux institutions déclarantes lorsqu’elles vérifient l’identité d’un client, améliorent les exigences en matière d’inscription et de tenue des dossiers pour les institutions financières et les intermédiaires, incluent une référence explicite aux casinos en ligne dans la Loi, et étendent l’application de la Loi aux personnes et aux entités qui s’occupent des entreprises de services monétaires en devises étrangères et en monnaies virtuelles, même si ces dispositions ne sont pas encore en vigueur. Le projet de loi C-31 a aussi permis à CANAFE de divulguer à l’ARC des renseignements relatifs à la conformité par rapport à la Partie 1 de la LRPCFAT.
- Il est particulièrement important de noter que pour cette vérification, le projet de loi C-31 a aussi ajouté le paragraphe 54(2) à la LRPCFATNote de bas de page 11. Cette disposition exige que le Centre détruise les renseignements qu’il reçoit des entités déclarantes qu’il détermine, dans le cours normal de ses activités, comme ne devant pas lui être déclarés. CANAFE doit, de la même façon, détruire tout renseignement fourni volontairement par le public qu’il détermine, dans le cours normal de ses activités, comme n’étant pas lié à des soupçons de blanchiment d’argent ou de financement d’activités terroristes. Les renseignements doivent être détruits « dans un délai raisonnable à la suite de la décision »; la Loi ne définit cependant pas ce que signifie « raisonnable » dans ces circonstances.
- En 2015, le projet de loi C-59Note de bas de page 12 a modifié le paragraphe 55(3) de la LRPCFAT afin d’exiger de CANAFE la divulgation de certains renseignements aux commissions des valeurs mobilières des provinces et des territoires s’il existe des motifs raisonnables de soupçonner que ces renseignements seraient utiles aux fins d’enquête ou de poursuite relativement à une infraction de blanchiment d’argent ou à une infraction de financement des activités terroristes, ainsi qu’à une infraction énoncée dans la législation sur les valeurs mobilières administrée par l’organisme auquel la divulgation est faite.
- La Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) de 2015Note de bas de page 13 encourage et facilite un échange accru de renseignements personnels entre les ministères fédéraux pour protéger le Canada contre les activités « portant atteinte à la sécurité du Canada ». Selon CANAFE, la LCISC n’a pas eu de répercussions importantes sur ses activités, car CANAFE peut seulement recevoir et divulguer des renseignements en vertu de la LRPCFAT.
- En juin 2015, le Comité permanent des finances de la Chambre des communes a présenté son rapport sur le financement des activités terroristes au Canada et à l’étrangerNote de bas de page 14. Le Comité a fait un certain nombre de recommandations axées sur l’augmentation de l’efficacité des efforts internationaux visant à combattre le financement des activités terroristes et du régime canadien de lutte contre le blanchiment d’argent et contre le financement des activités terroristes. Parmi les recommandations, le Comité a conseillé à CANAFE d’exhorter les institutions financières du Canada à améliorer la formation offerte à leurs agents de conformité afin d’assurer l’identification adéquate des opérations douteuses.
- Le plus récent rapport d’évaluation du régime canadien de lutte contre le blanchiment d’argent et contre le financement des activités terroristes rédigé par le Groupe d’action financière (GAFI) a été publié en septembre 2016. Le GAFI est un organisme intergouvernemental composé de représentants de diverses administrations du monde entier, y compris du Canada. Ses objectifs sont d’établir des normes et de faire la promotion d’une mise en œuvre de mesures juridiques, réglementaires et opérationnelles destinées à combattre le blanchiment d’argent, le financement des activités terroristes et les autres menaces associées à l’intégrité du système financier internationalNote de bas de page 15. Le rapportNote de bas de page 16 contient une analyse de la conformité du Canada par rapport à ses obligations internationales et du niveau d’efficacité du régime canadien de lutte contre le blanchiment d’argent et contre le financement des activités terroristes. Le rapport ne contenait aucune recommandation se rapportant aux questions relatives à la protection de la vie privée ou à l’utilisation des renseignements personnels.
Fonds de données de CANAFE sur l’infrastructure de TI de Services partagés Canada
- Services partagés Canada (SPC) a été créé en 2011 pour gérer, de façon centrale, l’infrastructure de technologie de l’information de 42 autres institutions du gouvernement du Canada, y compris CANAFE. La propriété de l’infrastructure soutenant les systèmes principaux et les fonds de données électroniques de CANAFE a été transférée à SPC en 2012. Les deux institutions exercent une responsabilité partagée quant à la protection des systèmes et des renseignements personnels reçus, recueillis et gérés par voie électronique dans le contexte des activités prescrites de CANAFE. En vertu de la Loi sur Services partagés Canada, SPC est responsable de la fourniture d’une infrastructure de TINote de bas de page 17. CANAFE a la responsabilité de s’assurer que les renseignements personnels qu’il recueille sont gérés et protégés conformément à la Loi sur la protection des renseignements personnels et à la LRPCFAT.
Objet de cette vérification
- La vérification visait principalement à déterminer si CANAFE avait pris les mesures appropriées pour s’assurer que des mesures de protection adéquates ont été mises en place afin de protéger les renseignements personnels dans les fonds de données électroniques de CANAFE, qui sont hébergés dans l’infrastructure de TI pour laquelle SPC est maintenant le fournisseur de services. Cette transition, qui a eu lieu en 2012, n’a pas été examinée pendant notre vérification de 2013.
- La vérification a aussi permis d’évaluer la collecte de renseignements personnels auprès des entités déclarantes par CANAFE au cours de ses activités d’évaluation. Elle a également permis d’examiner les progrès accomplis par CANAFE en réponse aux observations et aux recommandations énoncées dans notre vérification de 2013.
- Nous n’avons pas vérifié les divulgations de CANAFE aux partenaires du régime, le traitement par le Centre des renseignements personnels concernant ses employés ou les pratiques de traitement des renseignements personnels des entités qui font rapport à CANAFE.
- Des éléments probants ont été obtenus au moyen de l’examen des documents, des entretiens et des sondages de vérification. Nous avons examiné un échantillon de déclarations d’opérations douteuses (DOD) et de déclarations de renseignements transmis volontairement (DRTV), et nous avons examiné toutes les déclarations de biens appartenant à un groupe terroriste (DBGT) qui se trouvaient dans la base de données de CANAFE. Nous avons également vérifié de quelle façon les déclarations comportant certains seuils de déclaration financière sont gérées, et nous nous sommes renseignés auprès de SPC en ce qui concerne la protection des renseignements de CANAFE.
- L’annexe B du présent document contient de plus amples renseignements sur l’objectif, les critères, la portée et l’approche de la vérification.
Observations et recommandations
- Les articles 4 à 8 de la Loi sur la protection des renseignements personnels limitent la collecte de renseignements personnels par les institutions fédérales et régissent la façon dont les renseignements peuvent être utilisés et divulgués. La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) exige que CANAFE s’assure que les mesures de protection appropriées soient en place pour protéger les renseignements personnels qu’il recueille et conserve.
- Nous avons examiné la façon dont CANAFE gère les renseignements personnels qu’il reçoit dans les déclarations et les documents qui lui sont présentés par les institutions financières et les autres entités déclarantes, ou au moyen d’une collecte directe du Centre pendant ses activités d’évaluation de la conformité. Nous avons également examiné les mesures que CANAFE prend pour s’assurer que les renseignements personnels qu’il obtient sont protégés avec des mesures de protection suffisantes pendant que ces renseignements sont hébergés dans l’infrastructure de TI de SPC et lorsqu’ils sont transmis à l’ARC.
- Nous nous attendions à déterminer que : CANAFE reçoit et conserve seulement les renseignements personnels liés directement à ses activités et à ses programmes de fonctionnement, et pour lesquels il a l’autorité législative; les mesures de protection en place pour protéger de tels renseignements sont conformes aux politiques, aux directives et aux normes de sécurité de la TI pertinentes du gouvernement du Canada, afin d’atténuer les risques d’atteinte à la protection des renseignements personnels et de divulgations inappropriées; et les renseignements personnels sont éliminés à la fin de la période de conservation prévue.
- Il n’existe aucune assurance formelle que les renseignements personnels recueillis, conservés et transmis par le Centre sont protégés de façon appropriée dans l’infrastructure de TI de Services partagés Canada.
- La Politique sur la sécurité du gouvernement (la Politique)Note de bas de page 18 du Secrétariat du Conseil du Trésor du Canada (SCT) prescrit des mesures de protection pour protéger et préserver la confidentialité et l’intégrité des biens du gouvernement, y compris des renseignements personnels. De plus, la Politique établit des exigences de sécurité obligatoires minimales. Les institutions fédérales doivent mener leurs propres évaluations pour déterminer si des mesures de protection au-dessus des niveaux de référence sont nécessaires. La Politique prévoit aussi une surveillance continue des menaces afin d’assurer le maintien de mesures de sécurité appropriées.
- La Politique est mise en œuvre au moyen de normes et de directives qui doivent être suivies par les institutions gouvernementales. La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI)Note de bas de page 19 du SCT exige que les systèmes de TI soient certifiés et accrédités au moyen d’un processus d’évaluation de sécurité et autorisation (ESA) avant le début de leur utilisation. Une ESA sert à évaluer et à atténuer les risques à un niveau acceptable. Le processus pourrait comprendre la conduite d’évaluations de la menace et des risques afin de déterminer les besoins en matière de sécurité, d’énoncés de sensibilité afin d’évaluer la nature délicate des renseignements ou des biens, et d’évaluation des facteurs relatifs à la vie privée (EFVP) afin d’évaluer et d’atténuer les risques potentiels pour la protection de la vie privée.
- La propriété de l’infrastructure en appui aux systèmes principaux de CANAFE a été transférée à SPC en 2012. Nous avons noté que SPC n’avait effectué aucune ESA pour cette ancienne infrastructure. SPC amorcera un processus d’ESA pour les anciens systèmes seulement lorsque des changements importants sont nécessaires, ou sur réception d’une demande formelle de l’institution partenaire. Toutefois, CANAFE n’a pas présenté une telle demande. Nous avons conclu que CANAFE avait mis à jour les évaluations de sécurité antérieures pour ses systèmes en collaboration avec les employés de SPC assignés expressément aux locaux de CANAFE, mais sans participation de la direction de SPC. Bien que SPC ait informé notre bureau qu’ils avaient mis en place des pratiques de sécurité pour aider à atténuer le risque d’accès non autorisé aux données de CANAFE, par exemple la conduite d’une analyse de vulnérabilité, ces pratiques ne sont pas destinées à remplacer le processus d’ESA. Il n’existe donc pas d’assurance formelle que tous les risques liés à la protection de la vie privée et à la sécurité se rapportant aux fonds de renseignements de CANAFE hébergés dans l’infrastructure de SPC ont été déterminés et atténués de manière appropriée.
- Les entités déclarantes doivent présenter des déclarations sur les télévirements (DT) de 10 000 $ ou plus à CANAFE et à l’ARC. Du point de vue fonctionnel, les déclarations sont transmises à l’ARC par le biais des Services gérés de transfert sécurisé de fichiers (SGTSF), qui est un service centralisé de SPC. Nous avons noté que la lettre d’accréditation, qui est nécessaire au fonctionnement du système, avait expiré en février 2015. SPC a confirmé que l’accréditation pour ce système pangouvernemental était expirée. Par conséquent, le système des SGTSF utilisé pour transmettre les DT à l’ARC n’est pas autorisé à fonctionner actuellement.
Recommandation
CANAFE devrait présenter une demande officielle à SPC pour lancer le processus d’évaluation de la sécurité et d’autorisation (ESA), afin de s’assurer que l’infrastructure de TI de SPC où les données de CANAFE passent, ou dans laquelle elles sont hébergées, est certifiée et accréditée conformément à la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE a pris un certain nombre de mesures pour s’assurer que les renseignements qu’il reçoit sont protégés adéquatement dans le contexte de la prestation de service d’infrastructure obligatoire de SPC. Par exemple, le directeur de CANAFE a rédigé ses attentes et ses préoccupations par rapport à la sécurité de la TI et les a envoyées au président de SPC; un protocole d’entente a été préparé pour s’assurer que tous les employés de SPC assignés aux locaux de CANAFE possèdent une habilitation de sécurité de niveau approprié; et le Centre a évalué et accrédité officiellement son ancienne infrastructure, qui n’a pas changé de façon importante depuis que les opérations de l’infrastructure ont été transférées à SPC.
Bien que SPC soit responsable de l’infrastructure et doive s’assurer qu’une telle infrastructure est conforme aux exigences de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information (GSTI) du SCT, CANAFE demandera officiellement à SPC de lancer un processus d’ESA afin de mettre à jour la certification et l’accréditation de l’infrastructure de TI où les données de CANAFE passent, ou dans laquelle elles sont hébergées.
- Les rôles et les responsabilités entre CANAFE et SPC en matière de protection de la vie privée et de sécurité ne sont pas définis clairement
- Le paragraphe 29.2(2) de la Loi sur la gestion des finances publiquesNote de bas de page 20 exige la conclusion d’accords écrits pour régir la prestation de services de soutien internes d’un ministère par un autre. De tels accords doivent comprendre des clauses précises sur la protection des renseignements personnels afin d’assurer la conformité par rapport à la Loi sur la protection des renseignements personnels et aux politiques, directives et normes pertinentes du SCT. La Ligne directrice sur les ententes de services – Éléments essentielsNote de bas de page 21 du SCT fournit une orientation sur le contenu et la structure de gouvernance des ententes de service, y compris celles qui ont été conclues entre deux ministères fédéraux. Il est recommandé de faire de la protection de la vie privée et de la sécurité des éléments essentiels de telles ententes.
- La Politique sur la protection des renseignements personnels de CANAFE indique que les renseignements personnels doivent être protégés contre un accès non autorisé, la perte, l’utilisation, la divulgation ou la destruction grâce à l’inclusion de clauses de confidentialité précises dans les contrats et d’autres ententes avec des tiers.
- Nous avons révisé l’entente administrative conclue entre CANAFE et SPC qui décrit, dans des termes généraux, leur relation d’affaires régulière. Toutefois, ce document n’indique pas les rôles et les responsabilités de chaque ministère pour ce qui est de la protection des données de CANAFE. L’entente ne comprend pas de clauses sur la protection de la vie privée et la sécurité énonçant les exigences en matière d’évaluations de la protection de la vie privée et de la sécurité, la gestion des droits d’accès et de la surveillance, le contrôle et la garde des renseignements personnels, ou une orientation sur la façon de traiter les atteintes à la protection des renseignements personnels. Bien que CANAFE et SPC aient conclu un certain nombre d’autres ententes portant sur des services précis, ces ententes ne sont pas complètes et n’abordent pas adéquatement les questions de sécurité et de protection de la vie privée en ce qui concerne les fonds de données de CANAFE.
- L’entente administrative conclue entre CANAFE et SPC comprend une option permettant de conclure un protocole de fonctionnement afin de veiller à ce que certaines circonstances ou certains besoins opérationnels particuliers ou spécialisés soient pris en considération, ce qui permet aux parties d’assurer la prestation de leurs programmes et de leurs services respectifs, en pleine conformité par rapport aux exigences juridiques, aux obligations des politiques et aux mesures de contrôle de gestion. Un tel protocole donnerait l’occasion de définir clairement les rôles et les responsabilités de CANAFE et de SPC en ce qui concerne la protection de la vie privée et la sécurité des données. Cependant, les parties n’ont pas conclu de protocole de fonctionnement.
- SPC, en consultation avec les ministères partenaires (y compris CANAFE), a élaboré un tableau qui indique les responsabilités et les obligations de rendre compte entre lui et ses partenaires en ce qui concerne la sécurité de leurs fonds de renseignements. Le tableau porte sur des domaines comme l’élaboration de normes de sécurité et les processus ministériels de gestion des risques liés à la sécurité de la TI. Bien que le tableau donne une orientation sur les rôles et les responsabilités se rapportant à la sécurité des fonds de renseignements des partenaires, ce texte n’est pas contraignant et n’a pas pour but d’inclure des clauses pertinentes qui font partie habituellement d’une entente, ce qui est pourtant une exigence énoncée au paragraphe 29.2(2) de la Loi sur la gestion des finances publiques.
- Les Lignes directrices sur les incidents d’atteinte à la vie privée de CANAFE décrivent un processus général à suivre en cas d’atteinte à la protection des renseignements personnels, mais elles n’indiquent rien au sujet des rôles et des responsabilités de CANAFE et de SPC si une atteinte à la protection des renseignements personnels survenait dans l’infrastructure de SPC. La section 6 de la Directive sur les atteintes à la vie privée de SPC indique que les rôles et les responsabilités seront partagés lorsque des atteintes se produisent dans l’infrastructure de TI de SPC et touchent les données d’une institution partenaire, mais la Directive ne donne pas de détails sur la façon dont le partage des responsabilités sera effectué.
Recommandation
Conformément à la Loi sur la gestion des finances publiques et à la Ligne directrice sur les ententes de services – Éléments essentiels du SCT, CANAFE devrait collaborer avec SPC pour mettre en place une entente qui définit clairement les rôles et les responsabilités en matière de sécurité de la TI et les clauses pertinentes liées à la protection de la vie privée et à la sécurité pour la protection des fonds de renseignements de CANAFE.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE a pris un certain nombre de mesures pour s’assurer que les renseignements qu’il reçoit sont protégés adéquatement dans le contexte de la prestation de service d’infrastructure obligatoire de SPC. Par exemple, le directeur de CANAFE a rédigé ses attentes et ses préoccupations par rapport à la sécurité de la TI et les a envoyées au président de SPC; un protocole d’entente a été préparé pour s’assurer que tous les employés de SPC assignés aux locaux de CANAFE possèdent une habilitation de sécurité de niveau approprié; et le Centre a évalué et accrédité officiellement son ancienne infrastructure, qui n’a pas changé de façon importante depuis que les opérations de l’infrastructure ont été transférées à SPC. Lorsque des problèmes surviennent, des solutions sont apportées par l’entremise du gestionnaire de la prestation des services de SPC et par d’autres mécanismes officiels.
CANAFE engagera Services partagés Canada à établir une entente qui définit clairement les rôles et les responsabilités en matière de sécurité de la TI et les clauses pertinentes liées à la protection de la vie privée et à la sécurité pour la protection des fonds de renseignements de CANAFE.
- CANAFE ne surveille pas régulièrement les registres des activités des systèmes de TI pour déterminer les accès, l’utilisation ou la divulgation inappropriés de renseignements personnels.
- L’article 6.2.21 de la Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 22 du SCT exige que les ministères adoptent des mesures appropriées pour s’assurer que l’utilisation et la divulgation de renseignements personnels, ainsi que l’accès à ceux-ci, soient surveillés et consignés. Ainsi, les activités inappropriées ou non autorisées à cet égard peuvent être décelées et rectifiées en temps opportun.
- De la même façon, l’article 17 de la GSTI exige que les ministères surveillent continuellement le rendement des systèmes afin de détecter rapidement toute tentative ou cas réel d’accès non autorisé à un système, ou toute tentative ou cas réel de contournement des mécanismes de sécurité. Au minimum, les ministères doivent inclure une fonction de journal de vérification de la sécurité dans tous les systèmes de TI. Les ministères doivent intégrer des outils de détection des incidents automatisés et en temps réel dans les systèmes à risque élevé.
- Les renseignements personnels que CANAFE reçoit et recueille pour s’acquitter de son rôle du renseignement sont entreposés sur plusieurs systèmes les renseignements personnels. Cela comprend toutes les déclarations présentées au Centre. Ces systèmes contiennent des renseignements financiers détaillés et d’autres éléments de renseignements personnels de nature délicate.
- Une entrée est créée et enregistrée lorsque les utilisateurs ouvrent une session, ou lorsqu’ils créent, modifient, affichent ou suppriment des fichiers sur un des réseaux. Cependant, ce ne sont pas toutes les entrées qui sont surveillées pour assurer l’identification en temps opportun d’un accès inapproprié ou non autorisé à des renseignements personnels accessibles aux utilisateurs internes, ou la divulgation de ces renseignements personnels.
Recommandation
CANAFE devrait s’assurer que les registres des activités de tous les systèmes de TI sont surveillés régulièrement afin d’y déceler des indications d’utilisation, de divulgation ou d’accès inapproprié, ainsi que des tentatives de contourner les protocoles de sécurité, afin de s’assurer que de telles activités sont détectées et contrecarrées le plus rapidement possible.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE s’engage à protéger ses fonds de données. Comme il est noté dans les vérifications antérieures du Commissariat à la protection de la vie privée du Canada (CPVP), le Centre utilise une approche solide et complète en matière de sécurité, y compris une infrastructure de sécurité de la TI solide, pour protéger ses réseaux et ses applications. À la suite de la vérification du CPVP de 2013, CANAFE a entrepris des mesures supplémentaires afin de renforcer davantage les capacités du Centre en matière de surveillance en lien avec les activités des systèmes de CANAFE, y compris un projet de renforcement de la sécurité de la TI et une initiative de prévention de la perte de données.
À cette fin, le nouveau Plan de sécurité organisationnel du Centre énonce une deuxième phase de l’initiative de prévention de la perte de données. CANAFE continuera aussi d’évaluer les options et de mettre en œuvre des mesures appropriées afin de renforcer sa capacité de détecter, de façon proactive, les activités internes inappropriées ou malveillantes.
- CANAFE continue de recevoir et de conserver des renseignements personnels qui ne sont pas conformes aux seuils de déclaration énoncés dans la LRPCFAT.
- La LRPCFAT autorise CANAFE à recevoir des déclarations des entités déclarantes et de l’ASFC. En date du 31 juillet 2016, CANAFE avait reçu presque 257 millions de déclarations de ce genre.
- Nos vérifications de 2009 et de 2013 ont déterminé que CANAFE avait reçu et conservé des renseignements personnels qui n’étaient pas conformes aux seuils de déclaration établis par la Loi. Nous avons formulé des recommandations demandant à CANAFE d’atténuer ce risque en mettant en œuvre un processus de contrôle des déclarations reçues avant leur conservation.
- CANAFE a mis en œuvre plusieurs mesures pour valider les déclarations reçues. Comme la majorité des déclarations reçues par CANAFE sont présentées par voie électronique, les champs à remplir concernant les déclarations reçues sont révisés automatiquement pour valider, au moyen d’un certain nombre de « règles de validation », si les renseignements requis ont été fournis, et si ces renseignements sont dans le bon format. Des vérifications sont également menées pour certains types de renseignements personnels qui ne doivent pas être fournis – par exemple, les numéros d’assurance sociale (NAS) et les numéros de certaines cartes d’assurance-maladie provinciales. Des déclarations peuvent être carrément rejetées, ou un message d’avertissement peut être envoyé à l’entité déclarante.
- Les règles de validation de CANAFE s’appliquent à la présentation, par voie électronique, des déclarations d’opérations douteuses (DOD), des déclarations d’opérations importantes en espèces (DOIE), des déclarations de télévirements (DT) et des déclarations relatives à un déboursement de casino (DDC). Après avoir appliqué les règles de validation aux renseignements personnels, nous avons noté qu’environ 18 600 DOIE, DT et DDC avaient été rejetées entre le 1er juin 2014 et le 31 mai 2016.
- Les DOD ne sont pas rejetées, même si les règles de validation signalent des problèmes, car le Centre considère leur contenu comme étant utile. Dans certains cas où les DOD contenaient des renseignements inutiles, des messages d’avertissement ont été envoyés aux entités déclarantes. Les déclarations de renseignements transmis volontairement (DRTV) ne sont pas assujetties à une validation automatique.
- Ces mesures ont été plutôt efficaces pour relever et mettre de côté des déclarations non conformes dans certaines catégories de déclarations. Toutefois, au moyen d’un échantillonnage, nous avons trouvé des preuves que CANAFE continue de recevoir et de conserver des renseignements personnels qui ne répondent pas aux seuils de déclaration.
Déclarations d’opérations douteuses
- Nous avons noté que cinq DOD, dans un échantillon de 280 déclarations de ce type, ne comprenaient ni description ni justification concernant des activités de blanchiment d’argent ou de financement d’activités terroristes. L’absence de tels renseignements dans une déclaration fait en sorte qu’il est difficile d’évaluer si le seuil de « motifs raisonnables » a été respecté.
- Nous avons relevé des DOD liées à des opérations qui n’indiquaient pas qu’elles comportaient « des motifs raisonnables de soupçonner » qu’elles étaient liées à des activités de blanchiment d’argent ou de financement d’activités terroristes. Vous pouvez en consulter des exemples dans la Pièce A ci-dessous. Dans chaque cas, un rapport a été envoyé à CANAFE, et CANAFE a conservé le rapport dans sa base de données.
Pièce A
- Un certain nombre de personnes se sont identifiées avec des passeports du Moyen-Orient pendant une opération immobilière. L’entité déclarante a présenté une DOD. Aucun autre détail ni aucune autre justification de soupçon n’a été fourni.
- Une personne avait l’intention de réaliser une opération financière. Lorsque la personne a déclaré qu’elle avait investi dans le marché boursier, surtout dans des entreprises de production de marijuana à des fins médicales, l’entité déclarante a rempli une DOD, car « une personne œuvrant dans l’industrie de la marijuana thérapeutique réglementée par le gouvernement fait aussi face à des risques élevés et pourrait également avoir des liens avec le commerce de la marijuana illicite ».
- Un client d’une institution financière a fait un chèque de plus de 20 000 $ à un proche parent. L’entité a présenté une DOD parce qu’elle « ne connaissait pas la raison pour laquelle le chèque avait été émis, ni pourquoi ce chèque était établi à ce montant ». Aucun autre renseignement justifiant la présentation de la déclaration n’a été donné.
- CANAFE a mis en place un processus pour séparer et, par la suite, éliminer des déclarations qui ne sont pas conformes aux seuils de déclaration. Cependant, nous avons conclu que ce processus n’était pas respecté de façon uniforme. CANAFE nous a informés que les analystes du Centre pouvaient décider de conserver des déclarations qui ne sont pas conformes au seuil, au cas où des renseignements supplémentaires seraient reçus à l’avenir, qui pourraient rendre une déclaration utile.
Déclarations de renseignements transmis volontairement
- Nous avons aussi examiné un échantillon de déclarations de renseignements transmis volontairement (DRTV). Les DRTV présentées par les entités autres que celles responsables de l’application de la Loi, les entités gouvernementales ou les organismes étrangers semblables à CANAFE doivent porter sur des soupçons de blanchiment d’argent ou de financement d’activités terroristes. Par contre, nous avons trouvé des DRTV qui n’ont pas été présentées par ces entités dans lesquelles il n’y avait pas de soupçon de blanchiment d’argent ou de financement d’activités terroristes. La Pièce B ci-dessous montre un exemple d’une telle situation.
Pièce B
Un client d’une institution financière a été accusé de fraude pour une infraction portée à l’attention de l’institution par un reportage des médias. L’institution financière a présenté une DRTV en indiquant qu’« une DOD n’a pas été présentée, car l’opération sur le compte n’a pas été jugée suspecte ou comme indiquant la présence d’un blanchiment d’argent ».
- La LRPCFAT indique que CANAFE doit recevoir des renseignements fournis par les organismes d’application de la Loi ou les institutions ou organismes du gouvernement. Aucun seuil de déclaration n’est associé à ces DRTV. Toutefois, les DRTV sont utilisées régulièrement pour demander des renseignements. La Pièce C montre un exemple de la façon dont les DRTV sont utilisées à cet égard.
Pièce C
Une DRTV envoyée par un service de police demandait à CANAFE de fournir des renseignements sur les membres d’un groupe de manifestants autochtones qui s’oppose à la construction d’un pipeline. Dans la DRTV, il était indiqué qu’aucune des personnes nommées dans la déclaration n’était suspectée d’être membre d’un groupe de crime organisé ou d’un groupe terroriste. Malgré cela, la DRTV a demandé des renseignements sur les activités de financement de chaque personne et sur les dons de bienfaisance.
- Ces exemples indiquent que les DRTV – assujetties à un seuil de déclaration – et les DOD qui ne sont pas conformes aux seuils établis par la Loi pour les déclarations continuent d’être envoyées à CANAFE et d’être conservées par ce dernier. Nous reconnaissons que la modification récente qui a permis d’ajouter le paragraphe 54(2) de la LRPCFAT force le Centre à détruire des renseignements qui ne sont pas conformes aux seuils de déclaration lorsqu’une telle décision est prise dans le cours normal de ses activités. Par contre, en l’absence d’un mécanisme de contrôle initial plus strict, CANAFE continuera de recevoir de telles déclarations et de les conserver dans ses bases de données, éventuellement pendant de longues périodes, avant qu’elles puissent être découvertes et éliminées.
Recommandation
Nous encourageons CANAFE à poursuivre ses efforts pour mettre en œuvre un contrôle initial solide et complet pour les déclarations reçues afin de s’assurer que les rapports et les déclarations qu’il conserve respectent les seuils de déclaration imposés par la Loi et ne contiennent pas de renseignements personnels inutiles et/ou excessifs.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE reconnaît l’importance de s’assurer que ses fonds de données contiennent seulement les renseignements que le Centre a l’autorité législative de recevoir. CANAFE continuera de mettre en œuvre des mesures de contrôle initial solides et complètes établies au cours des dernières années pour réduire au minimum la réception de renseignements personnels inutiles.
Déclarations de biens appartenant à un groupe terroriste
- Conformément au Code criminelNote de bas de page 23, les entités déclarantes doivent présenter une déclaration de biens appartenant à un groupe terroriste (DBGT) à la GRC et au SCRS s’ils ont des biens en leur possession ou sous leur contrôle et qu’elles savent que ces biens appartiennent à un terroriste ou à un groupe terroriste ou sont contrôlés par celui-ci ou en son nom au sens de la Loi. Ces renseignements doivent également être communiqués à CANAFE en vertu de la LRPCFAT. De la même façon, les entités déclarantes doivent présenter une DBGT s’ils ont des biens en leur possession ou sous leur contrôle et qu’elles savent que ces biens appartiennent à une personne inscrite dans le Règlement d’application des résolutions des Nations Unies sur la lutte contre le terrorisme ou sont contrôlés par celle-ci. Depuis sa création jusqu’en décembre 2016, CANAFE a reçu, au total, 109 DBGT.
- Dans les vérifications antérieures, nous avons conclu que presque la moitié des DBGT présentées à CANAFE avaient été présentées sur la base d’une « correspondance possible » avec des listes de terroristes. CANAFE a pour pratique de conserver ces déclarations sans égard à une « possible » appartenance à un groupe terroriste, qui resterait donc à confirmer ultérieurement. Dans le passé, nous avons recommandé que CANAFE examine des possibilités auprès de ses partenaires du renseignement pour s’assurer, dans la mesure du possible, que l’appartenance à un groupe terroriste serait confirmée avant que CANAFE conserve ces données.
- CANAFE s’est engagé à établir un dialogue avec ses partenaires du renseignement afin d’examiner des façons d’atténuer le risque de conserver des renseignements sur des personnes alors qu’il a été confirmé qu’il n’existait aucune appartenance à un groupe terroriste. En raison de cet engagement, notre vérification de 2013 a indiqué que les progrès concernant cette recommandation étaient satisfaisants.
- Les demandes de renseignements que nous avons faites pendant cette vérification n’ont permis de relever aucune preuve qu’un tel dialogue aurait eu lieu, et CANAFE a confirmé qu’il n’avait reçu aucune communication de ses partenaires d’application de la Loi qui rejetait des soupçons d’appartenance à un groupe terroriste pour des personnes nommées dans des DBGT. CANAFE nous a informés qu’il n’a pas le pouvoir juridique de communiquer avec ses partenaires d’application de la Loi pour confirmer ou rejeter des soupçons d’appartenance à un groupe terroriste, à moins que le seuil de divulgation de renseignements à des partenaires ait été atteint.
- Nous avons examiné un échantillon de DBGT, et nous avons noté que le type de problèmes observés en 2009 et en 2013 reste le même. Les entités déclarantes continuent de présenter des déclarations sur la base d’une « correspondance possible » avec les listes de terroristes. De plus, nous avons constaté qu’une DBGT avait été présentée en 2007 sur la base d’une « correspondance de nom possible »; deux mois plus tard, l’entité déclarante a envoyé une correction à la première déclaration indiquant que la personne n’était pas affiliée au terrorisme. La DBGT initiale et la correction subséquente se trouvent encore dans la base de données.
- Nous avons également observé qu’en décembre 2016, 42 DBGT – presque la moitié des déclarations de ce genre présentées à CANAFE depuis sa création – avaient atteint la fin de leur période de conservation de 10 ans et ont été éliminées par CANAFE sans jamais avoir été utilisées dans une divulgation.
Recommandation
CANAFE devrait examiner manuellement toutes les DBGT et éliminer immédiatement celles qui sont identifiées comme ne respectant pas les seuils de déclaration.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE effectuera un examen manuel de toutes les déclarations de biens appartenant à un groupe terroriste dans ses fonds de données. Si le Centre possède ou reçoit des renseignements d’une entité déclarante qui a présenté une déclaration ou les documents appropriés indiquant qu’une appartenance à un groupe terroriste n’est plus soupçonnée, CANAFE mettra immédiatement cette déclaration de côté et l’éliminera.
Déclarations associées à des seuils
- Nous avons conclu que CANAFE continue de recevoir et de conserver des déclarations qui ne respectent pas certains seuils financiers établis dans la Loi. CANAFE reçoit quatre types de déclarations auxquelles s’appliquent des seuils financiers précis et objectifs. Il s’agit des déclarations suivantes : déclarations de télévirements (DT), déclarations d’opérations importantes en espèces (DOIE), déclarations relatives à un déboursement de casino (DDC) et déclarations sur les mouvements transfrontaliers d’espèces et d’effets (DMTEE). En vertu de la LRPCFAT, CANAFE est autorisé à recueillir des déclarations liées seulement aux opérations de 10 000 $ ou plus pour ces catégories.
- Si au moins deux opérations de moins de 10 000 $ chacune sont réalisées par une seule personne ou entité, ou pour son compte, dans un délai de 24 heures, et totalisent ensemble 10 000 $ ou plus, elles doivent également être déclarées. Il s’agit de « la règle de 24 heures » qui s’applique aux DT, aux DOIE et aux DDC.
- Pendant nos vérifications de 2009 et de 2013, nous avons conclu que CANAFE n’avait pas la capacité de faire la correspondance des déclarations reçues en respectant la règle de 24 heures. CANAFE n’a pas été en mesure de vérifier la correspondance des DT et des DOIE de moins de 10 000 $ avec les autres déclarations présentées par une seule personne ou entité, ou pour son compte, au cours de la période de 24 heures. Le même problème a de nouveau été relevé dans cette vérification.
- CANAFE a fait des efforts pour élaborer une solution automatisée destinée à régler ce problème. Cependant, CANAFE reconnaît que la solution qu’il a essayé d’instaurer s’était soldée par un échec. CANAFE nous a informés qu’il pourrait ne pas être possible de mettre en place une solution automatisée. Par conséquent, le niveau de risque dans ce domaine ne s’est pas amélioré depuis notre première vérification en 2009.
- Au 31 juillet 2016, CANAFE a reçu plus de 254 millions de DT et de DOIE. Parmi ces déclarations, environ 80 000 DT et 150 000 DOIE sont inférieures au seuil de déclaration de 10 000 $ et ne sont pas assujetties à la règle de 24 heures. CANAFE n’a pas le pouvoir juridique de conserver les opérations inférieures à 10 000 $, à moins qu’elles correspondent à une autre opération effectuée dans un délai de 24 heures par une seule personne ou entité, ou pour son compte.
Recommandation
CANAFE devrait éliminer les DT et les DOIE inférieures au seuil de déclaration de 10 000 $ qui ne sont pas visées par la règle de 24 heures, car le Centre n’a aucun pouvoir législatif lui permettant de conserver ces renseignements.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE reconnaît l’importance de s’assurer que ses fonds de données contiennent seulement les renseignements que le Centre a le droit de recevoir. Au cours des dernières années, le Centre a pris certaines mesures concrètes pour limiter la réception des déclarations qui ne respectent pas le seuil de déclaration établi par la Loi. Par exemple, CANAFE a mis en place des règles de validation solides qui rejettent la présentation de soi-disant déclarations qui ne respectent pas le seuil de déclaration. En outre, un processus bien défini a été mis en place pour s’assurer que toute soi-disant déclaration trouvée dans les fonds de données du Centre pendant le déroulement normal des activités est mise de côté afin de veiller à ce qu’elle ne soit pas utilisée à des fins d’analyse et ne soit pas divulguée. CANAFE détruit les renseignements qu’il détermine comme ne respectant pas le seuil de déclaration, conformément à son processus d’élimination et aux calendriers correspondants.
CANAFE entreprend aussi de nombreuses activités de participation et de formation avec les entités déclarantes afin de souligner l’importance de s’assurer que toutes les déclarations envoyées au Centre respectent les seuils établis par la Loi et les règlements. Par ailleurs, CANAFE est en train de mettre à jour ses lignes directrices pour les entités déclarantes, en mettant un accent particulier sur la règle de 24 heures, afin d’aider à réduire au minimum la présentation de renseignements qui ne respectent pas les seuils.
CANAFE s’assurera également que ses divulgations de renseignements financiers soient faites strictement en conformité avec la Loi, et que ces divulgations ne contiennent pas de déclarations que le Centre n’aurait pas dû recevoir.
À cette fin, CANAFE examinera les options visant à identifier, à mettre de côté et à détruire les renseignements qu’il n’aurait pas dû recevoir.
- CANAFE recueille et conserve des quantités et des types de renseignements personnels inutiles en provenance des entités qui sont régies par la LRPCFAT pendant qu’il effectue des examens de la conformité.
- CANAFE assure l’exécution d’un programme de conformité pour s’assurer que les entités déclarantes respectent leurs obligations énoncées dans la LRPCFAT. En date du 31 mars 2016, CANAFE avait effectué 7 450 examens de la conformité. La LRPCFAT permet à CANAFE de recueillir des renseignements dans le cadre de ses examens de la conformité. La Directive sur les pratiques relatives à la protection de la vie privéeNote de bas de page 24 du SCT exige que les institutions gouvernementales limitent la collecte de renseignements personnels aux renseignements qui sont nécessaires aux activités et aux programmes de l’institution gouvernementale et qui sont directement liés à ces activités et à ces programmes.
- Notre vérification de 2013 a conclu que CANAFE avait recueilli et conservé des renseignements personnels inutiles dans le cadre de ses dossiers portant sur la conformité. Ces renseignements personnels comprennent des photocopies de dossiers d’impôt de personnes décédées, des dossiers médicaux, des attestations de décès, des dossiers de crédit, des permis de conduire, des passeports et des cartes d’assurance sociale (NAS).
- CANAFE a pris des mesures pour répondre à nos recommandations de 2013 se rapportant à ces problèmes, y compris la mise en œuvre d’une politique selon laquelle seuls les renseignements ou les documents nécessaires pour faire la preuve des lacunes doivent être conservés. Toutefois, l’échantillon de dossiers d’examen de la conformité que nous avons examiné dans le cadre de cette vérification indiquait que des renseignements qui ne sont pas nécessaires pour faire la preuve des lacunes continuent d’être conservés.
- Nous avons conclu que les dossiers d’examen de la conformité contenaient des renseignements qui n’étaient pas liés aux lacunes relevées, et que des renseignements étaient conservés dans des cas où absolument aucune lacune n’avait été relevée. Voici certains renseignements que nous avons notés à cet égard :
- Une base de données opérationnelle montrant de nombreux paiements en ligne, ainsi que le nom, l’adresse, la date de naissance et le NAS appartenant à des personnes;
- Des renseignements sur des ouvertures de comptes, y compris des photocopies de permis de conduire;
- Des formulaires contenant des renseignements personnels, y compris des renseignements sur des cartes d’identité, une date d’embauche, une profession, etc.;
- Des photocopies de formulaires d’ouverture de comptes, y compris des renseignements sur le nom, la date de naissance, le NAS, la citoyenneté, etc.;
- Le nom et l’adresse de courriel d’employés, ainsi que des commentaires sur leur rendement.
Recommandation
CANAFE devrait augmenter ses efforts de sensibilisation pour aborder précisément la question des renseignements personnels inutiles fournis par les entités pendant les examens de la conformité. En outre, CANAFE devrait entreprendre un exercice interne de réduction au minimum et d’élimination des données afin de détruire les renseignements personnels qui se trouvent dans ses dossiers d’examen de la conformité et qui ne sont pas nécessaires pour faire la preuve des lacunes.
Réponse de CANAFE
CANAFE accepte la recommandation.
CANAFE a mis en place un programme de sensibilisation complet pour informer les entités déclarantes au sujet de leurs obligations en vertu de la LRPCFAT, y compris les types de renseignements qui doivent ou ne doivent pas être fournis pendant les examens de la conformité. Le Centre révise actuellement ses lettres de notification afin de rendre encore plus clair pour les entités déclarantes le fait qu’elles doivent fournir uniquement les renseignements demandés dans la lettre et qu’elles ne doivent pas présenter de renseignements personnels qui ne sont pas nécessaires.
À cette fin, le Centre examinera la possibilité d’augmenter ses efforts de sensibilisation pour régler le problème des renseignements personnels fournis de façon inutile par les entités déclarantes pendant les examens de la conformité. CANAFE met également en œuvre un processus d’assurance de la qualité qui sous-tend un exercice de réduction au minimum et d’élimination des données visant à détruire les renseignements reçus et recueillis dans le contexte de ses examens de la conformité qui ne font pas la preuve des lacunes relevées.
Conclusion
- CANAFE a fait des efforts importants pour atténuer les risques de recueillir des renseignements qui sont non pertinents pour son mandat et/ou qui dépassent sa compétence législative. Des progrès ont été réalisés.
- Parmi ces progrès, notons la mise en œuvre d’un processus automatisé de contrôle initial pour s’assurer que les champs obligatoires dans les déclarations envoyées à CANAFE ont été remplis. Le processus de contrôle a mené au rejet de milliers d’opérations qui ne respectaient pas les seuils de déclaration. CANAFE a également entrepris des activités de sensibilisation au sujet de la conformité afin de conscientiser les entités déclarantes en ce qui concerne les renseignements requis et les renseignements qui ne doivent pas être déclarés. De plus, un processus est en place permettant de mettre de côté et de détruire les renseignements qui n’auraient pas dû être déclarés, lorsque les analystes de CANAFE trouvent ces renseignements dans le cadre de leurs activités régulières.
- Par contre, les constatations de notre examen montrent que des milliers de déclarations contenant des renseignements qui n’auraient pas dû être déclarés à CANAFE sont conservées dans sa base de données. Ce risque demeurera jusqu’à ce que CANAFE améliore son système complet actuel de contrôle initial pour qu’il filtre efficacement les déclarations qui ne respectent pas clairement les seuils applicables établis par la Loi.
- CANAFE doit travailler en collaboration avec Services partagés Canada (SPC) afin de s’assurer que les renseignements personnels reçus, conservés et transmis par le Centre soient protégés adéquatement lorsqu’ils sont entreposés et transmis dans l’infrastructure de TI de SPC. Pour ce faire, il faudra un effort concerté de la part de CANAFE et de SPC, car les deux institutions ont des responsabilités partagées en ce qui concerne la protection des renseignements reçus et recueillis par CANAFE, ainsi que la certification et l’accréditation des systèmes de TI sur lesquels il s’appuie, et par lesquels les renseignements sont transmis.
ANNEXE A
Évaluation des progrès relatifs aux recommandations antérieures
En nous fondant sur les mesures prises par CANAFE pour répondre aux recommandations énoncées dans notre vérification de 2013, nous avons attribué une des cotes suivantes :
- Satisfaisant – Les progrès sont satisfaisants, compte tenu de l’importance et de la complexité de la question, ainsi que du temps écoulé depuis que le paragraphe de recommandation a été rédigé; ou
- Insatisfaisant – Les progrès sont insatisfaisants, compte tenu de l’importance et de la complexité de la question, ainsi que du temps écoulé depuis que le paragraphe de recommandation a été rédigé.
Notre évaluation des mesures prises par CANAFE pour répondre aux recommandations de notre vérification de 2009 faisait partie de notre rapport de vérification de 2013 – vous pouvez la consulter dans le site suivant : Vérification du Centre d’analyse des opérations et déclarations financières du Canada. Rapport Final 2013.
Recommandations de 2013 | Évaluation de 2017 |
---|---|
Protection des fonds de renseignements | |
CANAFE devrait mettre en œuvre des mesures pour s’assurer que tous les membres de son personnel possèdent une solide connaissance des politiques de sécurité et de protection de la vie privée de CANAFE afin d’assurer la protection des renseignements personnels et de respecter leur obligation de s’y conformer en tout temps. | Satisfaisant Diverses séances de formation et de sensibilisation sur la protection des renseignements personnels, la gestion de l’information et la sécurité ont été offertes. |
Conformité au Code de pratiques équitables en matière de gestion des renseignements personnels | |
Pour concilier ses obligations en vertu de la LRPCFAT avec celles de la Loi sur la protection des renseignements personnels, CANAFE devrait analyser et évaluer les déclarations entrantes pour s’assurer qu’il reçoit et conserve seulement les renseignements qui respectent les seuils de déclaration imposés par la Loi et qu’il utilise dans le cadre d’une activité ou d’un programme continu. | Insatisfaisant Notre examen a permis de trouver diverses déclarations qui ne respectaient pas les seuils de déclaration et qui, par conséquent, ne doivent pas être conservées. |
CANAFE devrait évaluer l’efficacité de ses programmes de sensibilisation et les renforcer au besoin pour atténuer le risque de recevoir des renseignements personnels qui vont au-delà des paramètres et des seuils indiqués dans la LRPCFAT. | Satisfaisant CANAFE a mené une importante activité de sensibilisation. Dans le même ordre d’idées, CANAFE fournit de l’information et des conseils dans son site Web. |
CANAFE devrait trouver et éliminer les renseignements qu’il n’aurait pas dû recevoir et qui ne sont pas liés directement à ses activités et à ses programmes de fonctionnement. | Insatisfaisant Les déclarations qui ne respectaient pas les seuils de déclaration ont été conservées. |
CANAFE devrait : a) conclure une entente avec BAC en ce qui concerne les conditions de transfert de ses dossiers d’archives; b) mettre en œuvre une politique officielle pour l’information et les dossiers dont les périodes de conservation et d’élimination ne sont pas expressément indiquées dans la LRPCFAT. | Satisfaisant L’entente avec BAC a été signée. CANAFE a mis en œuvre des calendriers de conservation et d’élimination. |
Mandat de conformité de CANAFE | |
Conformément aux pratiques exemplaires en matière de protection de la vie privée, et pour assurer une réduction au minimum et cohérente des données par les agents de conformité, CANAFE devrait mettre à jour ses politiques et ses procédures pour déterminer clairement quels renseignements les agents de la conformité doivent enregistrer et conserver dans les dossiers de conformité afin de combler les lacunes. | Satisfaisant Les politiques ont été mises à jour afin d’indiquer que seuls les renseignements pertinents pour faire la preuve des lacunes doivent être conservés dans les dossiers d’examen. |
CANAFE devrait inclure un processus de surveillance de la protection des renseignements personnels dans son programme d’assurance de la qualité afin de déterminer si les renseignements recueillis et conservés pendant la conduite des examens de la conformité sont limités à ceux qui sont nécessaires pour établir la conformité par rapport à la Loi. | Insatisfaisant Aucun programme d’assurance de la qualité n’a encore été mis en place. Notre examen a permis de déterminer que des renseignements non pertinents pour faire la preuve des lacunes ont été conservés. |
Le formulaire de consentement pour entrer dans une maison d’habitation en vue d’un examen de la conformité devrait être davantage modifié afin d’indiquer l’objectif de la collecte de la date de naissance sur le formulaire et les utilisations qui en seront faites. | Satisfaisant Le formulaire a été modifié tel que recommandé. |
Puisque les organismes de réglementation ont publié des directives sur la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) qui demandent aux entités de déclarer les opérations inférieures au seuil établi par la Loi, CANAFE devrait prendre des mesures pour s’assurer que les directives publiées par les organismes de réglementation partenaires respectent les exigences de la LRPCFAT. | Satisfaisant CANAFE a envoyé de la correspondance aux organismes de réglementation partenaires en mettant l’accent sur le fait qu’il faut éviter de déclarer trop de renseignements et qu’il faut assurer la cohérence dans les directives envoyées aux entités déclarantes. |
ANNEXE B
Au sujet de la vérification
Autorisation
L’article 37 de la Loi sur la protection des renseignements personnels autorise le commissaire à la protection de la vie privée à entreprendre des examens de conformité sur la façon dont les institutions gouvernementales gèrent leurs fonds de renseignements personnels et à faire des recommandations s’il y a lieu. En vertu du paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), le commissaire à la protection de la vie privée doit, tous les deux ans, procéder à un examen des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) afin de protéger les renseignements qu’il reçoit ou recueille, et doit faire rapport concernant les résultats de ces examens devant le Parlement.
Objectif
La vérification a pour objectif d’évaluer si CANAFE a des mesures de contrôle adéquates pour protéger les renseignements personnels qu’il recueille et conserve, et si CANAFE gère ces renseignements conformément aux articles 4 à 8 de la Loi sur la protection des renseignements personnels. De plus, nous nous sommes concentrés sur la question à savoir si CANAFE avait pris les mesures adéquates pour s’assurer que des mesures de protection appropriées sont en place pour protéger les renseignements personnels dans les fonds de données électroniques de CANAFE, qui sont hébergés dans l’infrastructure de TI de Services partagés Canada (SPC).
La vérification a aussi permis d’évaluer la collecte de renseignements personnels auprès des entités déclarantes par CANAFE pendant ses activités d’évaluation de la conformité, et d’examiner les progrès réalisés par CANAFE en réponse aux observations et aux recommandations dans nos vérifications de 2009 et de 2013.
Critères
Les critères pour la réalisation de la vérification sont fondés sur les autorisations énoncées dans la Loi sur la protection des renseignements personnels, dans les politiques du Secrétariat du Conseil du Trésor (SCT) et dans la LRPCFAT. Nous nous attendions à ce que CANAFE prenne les mesures suivantes :
- limiter la réception, la collecte et l’utilisation de renseignements personnels à ceux qui sont nécessaires pour l’exécution de son mandat;
- conserver et éliminer les renseignements personnels conformément aux autorisations en vigueur;
- s’assurer d’avoir mis en place les mesures de sécurité appropriées pour ses fonds de renseignements, ses systèmes et son infrastructure.
Portée et approche
L’équipe de vérification a examiné les programmes et les processus de CANAFE, où les répercussions sur la protection de la vie privée ont été jugées comme étant importantes. En outre, le rôle de SPC dans la protection des renseignements de CANAFE qui passent dans son infrastructure de technologie de l’information, ou dans laquelle elles sont hébergées, a été révisé.
Nous avons évalué les politiques, les lignes directrices, le matériel de formation, les évaluations des menaces et des risques physiques et dans le domaine de la TI, les protocoles d’entente et les listes de vérification de contrôle de la vie privée. Nous avons aussi interrogé les membres du personnel de CANAFE et de SPC, examiné les processus de déclaration, et révisé des échantillons de déclarations et des dossiers d’examen de la conformité. Toutes les activités d’examen ont été menées dans la région de la capitale nationale, et notre travail de vérification a été achevé en grande partie le 31 mars 2017.
Normes
La vérification a été menée conformément au mandat législatif, aux politiques et aux pratiques du Commissariat à la protection de la vie privée du Canada, et elle était conforme à l’esprit des normes de vérification recommandées par les Comptables professionnels agréés du Canada.
Équipe de vérification
Directrice générale intérimaire : Lara Ives
Sarah MacKay
Tauqeer Shaik
Ivan Villafan
Lindsay Scotton
- Date de modification :