Title: Les services
1Les services électroniques de Revenu Québec,
aspects juridiques et protection des
renseignements confidentielsPrésenté par
Patricia Nault, avocateJacques Gilbert,
conseillerDirection générale de la législation
et des enquêtes - Revenu QuébecNovembre 2006
2I Introduction
- Évolution des services électroniques
- 1994-1997 Première génération de services
électroniques - TED - particuliers (par les préparateurs)
- EDI - paiement
- Transmission de relevés de renseignements sur
disquette - Site Internet informationnel
- Info-remboursement
- 1997 Orientation stratégique de recourir aux
échanges électroniques dans le but daméliorer
ladministration publique
3I Introduction (suite)
- 1998 Lancement du projet de PES
- 2000 ImpôtNet grand public
- 2002 Première livraison des services Clic
Revenu - 2004 Fonction de vérification didentité pour
la Régie des rentes du Québec - 2005 Fonction de vérification didentité pour
le gouvernement (ClicSÉQUR)
4I Introduction (suite)
- 2006 Continuité
- Amélioration des services électroniques actuels
- Nouveaux services (ex. dossier fiscal du
particulier en ligne) - Participation au gouvernement en ligne
5II Dispositions législatives
- Article 37.1 de la Loi sur le ministère du Revenu
-
- Une personne qui, dans les cas déterminés par
le ministre, satisfait aux conditions et aux
modalités déterminées par celui-ci, peut
transmettre par voie télématique ou sur support
informatique un document ou un renseignement
exigible en vertu d'une loi fiscale.
6II Dispositions législatives (suite)
- Article 1.1 de la Loi sur le ministère du Revenu
- Dans toute loi fiscale et les règlements
édictés en vertu d'une telle loi, à moins que le
contexte ne s'y oppose, le mot prescrit
signifie, dans le cas d'un formulaire ou d'un
renseignement à fournir dans un formulaire,
prescrit par le ministre ou par le sous-ministre
et, dans tout autre cas, prescrit par règlement
ou déterminé conformément à des règles prescrites
par règlement.
7II Dispositions législatives (suite)
- Exemple
- Art. 412 de la Loi sur la taxe de vente du Québec
- Une demande d'inscription doit être effectuée
au moyen du formulaire prescrit contenant les
renseignements prescrits et présentée au ministre
de la manière prescrite par ce dernier.
8III - Authentification des citoyenset des
entreprises dans le cadre du gouvernement en
ligne
- Concepts
- Vérification didentité
- La vérification didentité permet détablir
lidentité dune personne. Elle peut être
effectuée à partir de caractéristiques,
connaissances ou objets quune personne présente
ou possède. - La vérification didentité préalable est surtout
effectuée lors de la délivrance dun identifiant - La vérification didentité subséquente, également
appelée authentification, survient à chaque fois
quune personne utilise un identifiant pour
établir son identité - Les informations contenues dans cette section
proviennent du document Authentification des
citoyens et des entreprises dans le cadre du
gouvernement en ligne Orientations et
stratégies produit par le Conseil du trésor du
Québec.
9III - Authentification des citoyenset des
entreprises dans le cadre du gouvernement en
ligne (suite)
- Identifiant
- Lidentifiant est une information associée à une
personne, connue de celle-ci ou contenue sur un
support logique ou sur un support transportable
dont elle est la détentrice, et qui permet son
identification. - Authentifiant
- Lauthentifiant est une information
confidentielle détenue par la personne, qui
permet son authentification. - Authentification
- Lauthentification est un acte qui permet de
valider lidentité déclarée dune personne.
10III - Authentification des citoyenset des
entreprises dans le cadre du gouvernement en
ligne (suite)
- Les niveaux de confiance de lauthentification
- Aucune authentification
- Service anonyme
- Généralement, un service de nature
informationnelle - Authentification de niveau bas
- Lorsquune vérification didentité nest pas
essentielle mais quil peut être utile de
reconnaître lutilisateur - Souvent utilisée pour des fins de
personnalisation (ex conserver les préférences
de lutilisateur au regard dun mode daffichage)
11III - Authentification des citoyenset des
entreprises dans le cadre du gouvernement en
ligne (suite)
- Authentification de niveau moyen
- Degré de certitude raisonnable de lidentité de
lutilisateur afin de lui offrir un service - PES où lusager peut consulter des renseignements
inscrits à son dossier et y apporter des
modifications - Authentification de niveau élevé
- Très grande certitude de lidentité de
lutilisateur - PES impliquant des montants dargent élevés
- PES où sont communiqués des renseignements de
nature très sensible (risque élevé ou très élevé)
12IV - Les différents niveaux dauthentification à
Revenu Québec
- Aucune authentification requise
- Service anonyme
- Ex. Validation du numéro TVQ
- Authentification de niveau bas
- Avec renseignements didentification
- Ex. Requêtes dirigées
- Avec code dutilisateur et mot de passe communs
- Ex. Consultation de données privilégiées pour
les concepteurs de logiciels
13IV - Les différents niveaux dauthentification à
Revenu Québec (suite)
- Authentification de niveau moyen
- Par corroboration de données avec un seul
secret (sans consultation de données
confidentielles) - Service dinscription aux lois fiscales
- Services ImpôtNet
- Service de changement dadresse
14IV - Les différents niveaux dauthentification à
Revenu Québec (suite)
- Avec code dutilisateur et mot de passe (avec
consultation du dossier de lentreprise ou du
particulier) - Boîte de courriel sécurisée
- Services offerts pour limpôt des particuliers
- Changement dadresse
- Transmission de la déclaration de revenus
- Consultation des messages
- Confirmation de remboursement anticipé
- Avis de cotisation
15IV - Les différents niveaux dauthentification à
Revenu Québec (suite)
- Inscription dune entreprise aux fichiers de
Revenu Québec - Changement dadresse (particulier et entreprise)
- Production périodique de différentes déclarations
- Production des relevés 1 et du Sommaire des
retenues et des cotisations de l'employeur - Consultation du dossier de lentreprise
16V - Inscription aux services Clic Revenu Le
rôle des intervenants
- Le Représentant Autorisé est la personne pouvant
engager lentreprise auprès de Revenu Québec,
cette personne peut être - Pour une personne morale, un des représentants
doffice de lentreprise, soit le président,
vice-président, secrétaire ou trésorier , tel que
connu au Registraire des entreprises (REQ) ou
encore, une personne désignée par le conseil
dadministration - Pour une société de personnes, un associé ou une
personne désignée par procuration - Pour le particulier en affaires, lui-même ou une
personne désignée par procuration - Ses responsabilités
- Réalise la demande dinscription
- Accepte les conditions dutilisation
- Désigne le ou les responsable(s) des services
électroniques (RSE)
Ces deux rôles peuvent être assumés par une même
personne
Représentant autorisé de lentreprise
Contexte spécifique aux grandes firmes comptables
- Responsable des procuration externes
- Gère un ensemble de procurations externes reçues
- Assigne les procurations externes aux
utilisateurs autorisés
- Le Responsable des services électroniques peut
être - Un employé interne de lentreprise
- Une personne externe (tiers)
- Ses responsabilités
- Détient une procuration générale
- Gère les comptes des utilisateurs
- Gère les autorisations daccès par loctroi de
procurations
Responsable des services électroniques
Responsable des procurations externes
- Utilisateur autorisé
- Utilise un ou plusieurs services électroniques
selon ses droits daccès
Utilisateur autorisé
17V - Inscription aux services Clic Revenu
- Inscription de lentreprise
- Inscription avec retour de documents sur support
papier - Demande dinscription et procurations en ligne
mais transmises sur support papier - Lien établi par la signature du représentant
autorisé - Conséquences de la signature du représentant
autorisé sur les procurations - Désignation des responsables des services
électroniques (RSÉ) à titre de représentants
auprès de Revenu Québec - Autorisation pour Revenu Québec de communiquer
des renseignements confidentiels concernant
lentreprise aux RSÉ
18V - Inscription aux services Clic Revenu
- Conséquences de la signature du représentant
autorisé sur la demande dinscription - Acceptation de loffre de services de Revenu
Québec - Engagement à respecter les conditions
dutilisation - Reconnaissance des transactions effectuées
- Activation de linscription sur réception de
documents, après vérification du pouvoir du
représentant autorisé de lier lentreprise
19V - Inscription aux services Clic Revenu(suite)
- Inscription sans retour de documents sur support
papier - Lien établi par combinaison de moyens
- La LCJTI prévoit diverses règles quant à
létablissement dun lien avec un document
technologique - Larticle 38 LCJTI indique les résultats à
atteindre en laissant le choix des moyens à
utiliser, soit détablir le lien par tout procédé
ou par une combinaison de moyens - Larticle 40 LCJTI prévoit que pour pouvoir
confirmer l'identification de la personne,
physique ou morale, on peut utiliser notamment
une combinaison de moyens de quelque nature que
ce soit, pourvu que les objectifs soient
rencontrés
20V - Inscription aux services Clic Revenu (suite)
- Demande dinscription et procurations en ligne
- Identification des personnes morales pour établir
le lien - Corroboration de deux secrets transmis par la
poste, au siège - Numéro davis de cotisation
- Numéro dinvitation
- Vérification du rôle du représentant dans les
banques de Revenu Québec - Identification des particuliers en affaires pour
établir le lien - Corroboration de deux secrets et du numéro
dassurance sociale - Numéro davis de cotisation
- Code daccès annuel
21V - Inscription aux services Clic Revenu (suite)
- Sociétés de personnes et personnes morales sans
numéro dinvitation - Activation en ligne non supportée pour le moment
- Activation suite à la vérification de
renseignements par un employé de Revenu Québec - Mêmes conséquences en ce qui concerne les
procurations et la demande dinscription quavec
une signature
22Synthèse du processus dinscription des
entreprises
Responsable des services électroniques (RSE)
23V - Inscription aux services Clic Revenu (suite)
- Inscription du particulier
- Niveau dauthentification supérieur à celui qui
existait - Identification des particuliers pour établir le
lien - Corroboration de deux secrets et du numéro
dassurance sociale - Numéro davis de cotisation
- Code daccès annuel
- Activation en ligne
- Conversion forcée des codes Clic Revenu en codes
dutilisateur ClicSÉQUR (novembre 2006)
24V - Inscription aux services Clic Revenu (suite)
- Lien entre une transaction et son auteur
- Code dutilisateur et mot de passe ne permettent
pas détablir directement un lien entre le
document et la personne - Dissociation de lidentité de la personne et du
document, contrairement à une signature - Établissement du lien entre le document et son
auteur par une combinaison de moyens - Établissement du lien entre lentreprise et la
transaction par une combinaison de moyens
25V - Inscription aux services Clic Revenu (suite)
- Gestion des procurations
- Responsable des services électroniques (RSÉ)
- Le RSÉ peut permettre à tout utilisateur
daccéder aux services. Il a le pouvoir
dautoriser Revenu Québec à divulguer des
renseignements confidentiels aux utilisateurs.
Il a tous les pouvoirs de gestion des accès.
Toutefois, il ne peut que suspendre ou réactiver
les droits daccès dun autre RSÉ.
26V - Inscription aux services Clic Revenu (suite)
- Responsable des procurations externes (RPE)
- La tâche du RPE consiste à gérer les
procurations externes quil reçoit dun mandant.
Il peut créer des procurations externes à partir
des services Clic Revenu. - Utilisateur
- Lutilisateur est une personne qui détient une
procuration pour accéder aux informations
relatives à une entreprise.
27Synthèse du processus de gestion des procurations
28V - Inscription aux services Clic Revenu (suite)
- Conservation des documents
- Empreinte numérique
- Dès réception du document et immédiatement après
son déchiffrement, lempreinte numérique des
données quil contient est générée et conservée.
Ce moyen permet dassurer lintégrité des
données à partir de ce moment et par la suite,
pour la durée de son cycle de vie. - Image de laccusé de réception
- Une image de laccusé de réception qui contient
toutes les données transmises est conservée pour
fins de preuve et une empreinte numérique est
générée et conservée afin de préserver
lintégrité de linformation.
29V - Inscription aux services Clic Revenu (suite)
- Journalisation et profilage
- Conservation des traces
- Raisons légales
- Contrôles a posteriori
- Utilisation des traces
- Traces non utilisées à des fins de profilage
- Pages journalisées
30VI - Paiements électroniques
- Paiement en ligne
- Débit pré-autorisé (DPA)
- Bordereau de paiement
31VII Obligation de larticle 35 LCJTI
- La partie qui offre un produit ou un service au
moyen d'un document préprogrammé doit, sous peine
d'inopposabilité de la communication ou
d'annulation de la transaction, faire en sorte
que le document fournisse les instructions
nécessaires pour que la partie qui utilise un tel
document puisse dans les meilleurs délais
l'aviser d'une erreur commise ou disposer des
moyens pour prévenir ou corriger une erreur. De
même, des instructions ou des moyens doivent lui
être fournis pour qu'elle soit en mesure d'éviter
l'obtention d'un produit ou d'un service dont
elle ne veut pas ou qu'elle n'obtiendrait pas
sans l'erreur commise ou pour qu'elle soit en
mesure de le rendre ou, le cas échéant, de le
détruire.
32VII Obligation de larticle 35 LCJTI (suite)
- Exemples
- Comment procéder
- Vérification des données
- Aide en ligne
- Désactivation de certains boutons par défaut ou
désactivation de la touche Enter - Numéros de téléphone
33VIII Bonnes pratiques
- Exemples
- Dernier accès
- Désactivation du code dutilisateur
- Envoi des secrets
- Durée de validité du numéro dinvitation
- Envoi dune lettre (activation en ligne)
- Générer le code dutilisateur ou non
- Question rappel (mot de passe)
34IX Conclusion
- Services électroniques de Revenu Québec
- Suivi du projet des échanges électroniques de
Revenu Québec par la Commission daccès à
linformation (CAI) - Protection des renseignements confidentiels
(PRC) versus Accès à linformation (dualité
de la Loi sur laccès) - Projet innovateur dont les risques ont été
judicieusement évalués en matière de preuve et
de PRC, tout en assurant la conformité légale du
projet
35IX Conclusion (suite)
- Projet qui a permis de créer une synergie entre
les différents domaines dexpertise tels que
juridique, organisationnel, gestion de projet,
gestion des risques, gestion de la sécurité,
gestion documentaire et développement
technologique - Utilisation par la RRQ et le MSG (ClicSÉQUR) de
la fonction de vérification didentité de Revenu
Québec un exemple de partenariat daffaires
avec dautres ministères et organismes
36Avis de cotisation
- Jugement de la Cour dappel du Québec
- Modifications à la Loi sur le ministère du
Revenu - Obligation denvoi de Revenu Québec
- Présomptions denvoi et de réception (art. 31
LCJTI) - Adresse de courriel non sécurisée
- Adresse du destinataire convenue à lintérieur
du logiciel - Impression de lavis de cotisation
- Journalisation