Depuis mars 2020, l’ARC fait face à une exploitation massive des comptes de contribuables par des acteurs malveillants.
42 755 atteintes individuelles confirmées ont été recensées au moment de la rédaction du rapport.
Dans le détail, 31 393 atteintes ont été relevées entre mai 2020 et novembre 2023, 3 232 entre novembre 2023 et septembre 2024 et enfin 8 130 entre octobre 2024 et septembre 2025.
L’enquête inclut 15 000 incidents survenus en 2020 qui n’avaient pas été initialement signalés au Commissariat.
Les conséquences pour les citoyens sont des redirections frauduleuses de paiements et de prestations gouvernementales, des soumissions de demandes de prestations illégitimes, des risques accrus de vol d’identité et de pertes financières importantes et du stress psychologique lié à l’usurpation d’identité sur de longues périodes.
« Ces risques peuvent également causer des préjudices connexes au chapitre de la vie privée, par exemple le stress psychologique lié au fait d’être victime (possiblement pendant des années) d’un vol d’identité », insiste le rapport.
L’enquête indique aussi que l’ARC n’a pas été en mesure de fournir des détails précis sur chaque atteinte en raison des limites de ses systèmes de suivi et du volume global des incidents.
L’authentification multifacteur (AMF) obligatoire a été mise en œuvre tardivement (octobre 2021). Et, l’ARC s’est appuyée sur des méthodes jugées moins robustes, comme les codes envoyés par SMS, au lieu de privilégier des pratiques exemplaires résistantes à l’hameçonnage.
Le Commissariat souligne aussi « que, même si l’échantillon a fourni certains des renseignements demandés, il ne répondait pas entièrement à une question clé, à savoir comment les attaquants ont réussi à contourner les processus d’authentification pour accéder sans autorisation aux renseignements personnels en possession de l’ARC (Agence du revenu du Canada) ou pour les modifier. »
Par ailleurs, le Commissaire reconnaît que l’ARC a mené des efforts importants depuis 2024 pour renforcer sa position de sécurité.
L’approche de l’ARC en matière de confinement et d’atténuation des atteintes (une fois détectées) a été jugée satisfaisante.
La création du Service de protection de l’identité (SPI) et d’une équipe dédiée aux problèmes de sécurité complexes est vue comme une étape positive.
« Je trouve encourageants les changements que l’ARC a déjà apportés et qu’elle s’est engagée à mettre en œuvre au cours des prochains mois, alors qu’elle continue de revoir ses pratiques en matière de protection de la vie privée et des données », a notamment commenté Philippe Dufresne, le Commissaire à la protection de la vie privée du Canada.
À la suite de son enquête sur l’Agence du revenu du Canada (ARC), le Commissaire à la protection de la vie privée a formulé neuf recommandations pour renforcer la sécurité des renseignements personnels.
L’ARC a accepté huit de ces recommandations intégralement et une partiellement.
