Service bancaire à l'étranger - Évaluation des facteurs relatifs à la vie privée

Rapport sommaire

  1. Introduction
  2. Modèle opérationnel
  3. Analyse des données
  4. Gestion des risques liés à la protection des renseignements personnels

1. Introduction

En avril 2002, le receveur général (RG) du Canada a conclu une entente avec la division canadienne de l'Association nationale de la Banque d'Amérique (BA) en vue d'émettre des paiements, pour le compte du gouvernement du Canada, à des bénéficiaires habitant à l'étranger. Dans le cadre de cette entente, la BA produira des instruments de paiement dans la devise du pays dans lequel les bénéficiaires possèdent une adresse postale.

2. Modèle opérationnel

Travaux publics et Services gouvernementaux Canada (TPSGC), par l'entremise du RG, a mis en place un processus pour émettre des paiements aux bénéficiaires pour le compte du gouvernement du Canada. Les changements apportés au processus visent le transfert des détails du paiement (nom, adresse et numéro de compte de banque du bénéficiaire, type de paiement et montant à verser) du Système normalisé des paiements (SNP) de TPSGC vers la BA, qui traitera le paiement et indiquera au RG que le paiement a été émis avec succès ou retournera l'opération de paiement rejetée, sans modification, au RG, qui prendra les mesures appropriées. Il n'est pas nécessaire de modifier le processus de paiement actuellement utilisé par TPSGC. Dans le cadre de ce processus, les ministères et les organismes du gouvernement fédéral continueront de transmettre les données nécessaires à l'émission des paiements aux bénéficiaires. Ces données seront ensuite transférées par voie électronique à la BA, qui payera les bénéficiaires dans la devise du pays où ils résident.

Les services bancaires à l'étranger commencent par le transfert, par TPSGC, des fichiers de paiement à l'intention de la BA. Ils comprennent la validation et le traitement de l'instruction de paiement par la BA et se terminent avec la livraison du paiement au bénéficiaire et la confirmation, auprès de TPSGC, que la livraison a été effectuée.

TPSGC transmettra à la BA le nom et l'adresse du bénéficiaire ainsi que les détails du paiement, comme il est mentionné ci-dessus. Ces renseignements personnels ne seront traités qu'après leur réception. Après le traitement des renseignements personnels, les données sur le paiement seront stockées à titre de données historiques et conservées en format électronique et/ou sur papier dans un lieu protégé.

3. Analyse des données

3.1 Processus de paiement de la BA

Étape 1. Le ministère émetteur transmet une demande de paiement à TPSGC.

Étape 2. TPSGC transforme la demande selon le format des opérations approprié et reconnu par la BA et la remet ensuite à la BA.

Étape 3. La BA valide les données sur le paiement reçues, détermine le montant à verser dans la devise demandée ainsi que l'acheminement approprié selon le type de paiement, soit à une banque correspondante ou au bénéficiaire.

Étape 4. Les instructions de paiement rejetées sont retournées à TPSGC, et le ministère émetteur en est informé. Ces instructions peuvent être corrigées, soumises de nouveau ou annulées ou encore le paiement peut être acheminé à une adresse au Canada.

Étape 5. Les instructions de paiement par chèque peuvent être accompagnées des détails du paiement sur une pièce jointe (talon). Ce talon renferme les détails particuliers au paiement.

Étape 6. Après avoir émis le paiement selon les instructions, la BA transmet les renseignements suivants à TPSGC : les résultats de la demande de paiement;

  • les résultats de la demande de paiement;
  • les résultats de la demande relative à l'administration;
  • les résultats du paiement après son émission;
  • les résultats de la demande relative à l'administrative (non monétaire) après son émission.

3.2 Fichiers de sortie

La BA produit quatre fichiers de « résultats », qui renferment :

  • les résultats du fichier des instructions de paiement;
  • les résultats du fichier des ordres relatifs à l'administration;
  • les résultats du fichier de paiement après l'émission du paiement;
  • les résultats du fichier de demande relative à l'administration (non monétaire) après l'émission de la demande.

Les résultats associés au fichier des instructions de paiement et au fichier des ordres relatifs à l'administration servent à informer TPSGC de l'acceptation ou du rejet des instructions reçues et à fournir des données supplémentaires sur le paiement, par exemple le montant calculé en dollars canadiens ou en devise et le taux utilisé, le numéro de référence de la BA et les montants totaux débités ou crédités. Ces fichiers sont transmis à TPSGC après le traitement des fichiers de demandes de paiement et de demandes relatives à l'administration. Puisque la BA ne conserve pas les renseignements du talon, qui est en format électronique, ils sont effectivement détruits. Ce processus peut être réalisé une ou deux fois par jour. Les documents sont conservés pour six années financières et ensuite détruits.

Sommaire du tableau Le Tableau de circulation des données inclut l'information sur les données liées aux instructions de paiement, les données liées au compte bancaire du bénéficiaire et les données liées aux résultats du paiement.
Tableau de circulation des données
Groupe de données Expéditeur Destinataire Utilisation
Les données liées aux instructions de paiement sont les suivantes :
  • date du paiement;
  • montant du paiement (en dollars canadiens et dans la devise particulière, le cas échéant);
  • nom et adresse du bénéficiaire;
  • type de paiement (virement télégraphique, chèque ou dépôt direct);
  • détails du paiement.
Receveur général Banque d'Amérique Émission de paiements à l'intention des bénéficiaires
Les données liées au compte bancaire du bénéficiaire sont les suivantes :
  • nom du bénéficiaire;
  • numéro de transit de la banque (banque et succursale);
  • numéro du compte bancaire;
  • type de compte (épargne ou chèque) pour le dépôt direct en dollars américains seulement;
  • montant du paiement;
  • codes SWIFT et BIC;
  • nom et adresse de la banque;
Receveur général Banque d'Amérique Dépôt de fonds dans les comptes bancaires des bénéficiaires
Les données liées aux résultats du paiement sont les suivantes (il s'agit d'un numéro de la BA qui confirme quel information a été acceptée et traitée et que le paiement a été émis) :
  • date du paiement;
  • montant du paiement (en dollars canadiens et dans la devise particulière, le cas échéant);
  • nom et adresse du bénéficiaire;
  • type de paiement (virement télégraphique, chèque ou dépôt direct);
  • détails du paiement.
Banque d'Amérique Receveur général Avis sur les paiements émis aux bénéficiaires, aux fins de comptabilité. Ces données visent à informer TPSGC de l'acceptation ou du rejet des ordres de paiement reçus et à fournir des données supplémentaires sur les paiements, par exemple le montant calculé en dollars canadiens ou en devise, le taux utilisé, le numéro de référence de la BA et les montants totaux débités ou crédités.

4. Gestion des risques liés à la protection des renseignements personnels

4.1 Sécurité du système et vérifications

La sécurité du système est une fonction intégrée de ce dernier. Les utilisateurs sont identifiés et authentifiés au moyen d'un mécanisme de sécurité unique, à partir du système. Tous les objets du système sont soumis à un contrôle de la sécurité.

Les pistes de vérification servent d'enregistrement des activités des systèmes et des applications. Tous les systèmes de la BA consignent suffisamment de données pour permettre de retracer des événements de sécurité importants jusqu'à la personne responsable et de créer une piste de vérification sur l'accès aux données et aux ressources.

Si le paiement est supérieur à 10 000 $ CA, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes oblige la BA à signaler les transferts électroniques de fonds transfrontaliers au Centre d'analyse des opérations et déclarations financières du Canada.

Les enregistrements sont stockés conformément aux règlements de la Loi sur les banques et de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes qui prévoient généralement leur conservation de cinq à dix ans à compter de la date de l'opération. Les enregistrements sont stockés et détruits dans un lieu protégé, conformément aux règlements mentionnés ci-dessus. Les données de nature délicate qui doivent être détruites immédiatement sont stockées dans des bacs à recyclage fermés à clés et détruites par un entrepreneur dans un lieu protégé.

La BA n'est pas tenue de veiller à l'exactitude des détails de paiement fournis par TPSGC, mais doit s'assurer que le fichier transmis par TPSGC est correctement formaté et autorisé. Si le fichier reçu de TPSGC échoue à ces contrôles de vérification, la BA le retourne à TPSGC aux fins de correction.

4.2 Conclusion

En somme, TPSGC a examiné les changements apportés aux services bancaires à l'étranger et est en mesure de confirmer que toutes les questions de protection des renseignements personnels qui pourraient découler de la modification du processus ont été traitées. Par conséquent, il n'est pas nécessaire de prendre des mesures supplémentaires pour respecter les exigences de la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques.