Notes from the IAPP Canada: Special report on CRA breaches raises fresh privacy concerns

For Canadian privacy professionals keeping score, the Canada Revenue Agency is back in the headlines — again. Last week, Privacy Commissioner Philippe Dufresne tabled a special report in Parliament finding that the CRA has logged more than 42,000 confirmed breaches of taxpayer accounts since 2020. 

In plain terms, that is tens of thousands of instances where bad actors gained unauthorized access to, or altered, Canadians' financial and tax information. The commissioner concluded that the CRA contravened federal privacy law, pointing to persistent gaps in safeguards, monitoring, detection and governance, even while acknowledging recent efforts to improve.

At this point, one of the challenges is simply figuring out whether a given story reflects a new incident or the long tail of an older one. The CRA's privacy troubles have become so frequent that they blur together. An OPC investigation into a major 2020 cyberattack only wrapped up recently, a class-action settlement tied to that breach was approved just days ago, and now we have a special report documenting tens of thousands of additional cases spanning several years. 

None of this is exaggerated; it is the cumulative effect of repeated findings, rolling disclosures and delayed reporting. The result is a lingering sense that the CRA is always catching up to the last problem while the next one is already underway.

That matters because of the nature of the data at issue. The CRA holds extraordinarily sensitive information about Canadians: income, benefits, banking details, identity data and more. In many respects, this information is even more immediately harmful in the wrong hands than the largely statistical or deidentified data collected by Statistics Canada. 

StatsCan, to its credit, appears to take data protection extremely seriously — or at least manages to attract far fewer privacy-related headlines. The contrast is hard to ignore. When financial data is compromised at scale, the consequences are not abstract. They show up as fraud, identity theft and real financial loss.

The commissioner issued nine recommendations to the CRA, eight of which were accepted in full and one in part. Measures such as stronger authentication, improved breach tracking and better governance are all steps in the right direction. Dufresne even noted that he is encouraged by changes already made and those promised in the months ahead. Still, for many observers, confidence will come only when improved controls translate into a sustained absence of new breach stories.

On a much lighter note — speaking of keeping score — at least one professional hockey championship will be won by a Canadian team this year. The Ottawa Charge face the Montréal Victoire in the Professional Women's Hockey League final, meaning a Canadian club must take the trophy — a feat no Canadian NHL team has managed since 1993. Go Charge.

Notes de l'IAPP Canada : Rapport spécial sur les violations de l'ARC soulève de nouvelles préoccupations en matière de vie privée

Pour les professionnels canadiens de la protection de la vie privée qui tiennent le compte, l’Agence du revenu du Canada (ARC) fait de nouveau les manchettes — encore une fois. La semaine dernière, le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a déposé au Parlement un rapport spécial révélant que l’ARC a recensé plus de 42 000 atteintes confirmées aux comptes de contribuables depuis 2020. En clair, cela représente des dizaines de milliers de cas où des acteurs malveillants ont obtenu un accès non autorisé à des renseignements financiers de Canadiennes et de Canadiens, ou en ont modifié le contenu. Le Commissaire a conclu que l’ARC avait contrevenu à la Loi sur la protection des renseignements personnels, en soulignant de graves lacunes dans la prévention de telles atteintes, la surveillance, la détection et la gouvernance — et ce malgré les efforts récents de l’Agence pour améliorer ses pratiques.

Il est même devenu ardu de savoir si nous sommes en présence d’une nouvelle affaire ou tout simplement d’une retombée du problème précédent. Les déboires de l’ARC en matière de protection des renseignements personnels se sont tellement multipliés qu’ils finissent par se confondre. Pas plus tard qu’au début de 2024, le Commissariat venait de conclure une enquête portant sur une atteinte majeure survenue en 2020. Et voilà que cette semaine, un tribunal fédéral a approuvé un règlement de 8,7 millions de dollars dans le cadre d’un recours collectif intenté par des milliers de Canadiens touchés par cette affaire de 2020. On en arrive à un point où, le temps qu’une brèche de l’ARC soit colmatée, une autre fait déjà la une.

L’ensemble de ces incidents met en lumière l’ampleur des enjeux. L’ARC détient en effet des renseignements parmi les plus sensibles qui soient : revenus, prestations, coordonnées bancaires, données d’identification, etc. Un véritable « trésor » pour les fraudeurs et voleurs d’identité. On peut même affirmer que ces informations sont davantage exploitables à court terme que les données essentiellement anonymisées recueillies par Statistique Canada — un organisme qui, soit dit en passant, ne défraie pratiquement jamais la chronique en matière d’atteintes à la protection des données. La différence est frappante : au bout du compte, ce qui est en jeu, c’est la confiance du public et la sécurité financière des Canadiens. Lorsque des données financières sont compromises à grande échelle, les conséquences ne sont en rien théoriques : elles se traduisent par des fraudes, des vols d’identité et des pertes financières bien réelles.

La bonne nouvelle, c’est que l’ARC a accepté les neuf recommandations du Commissaire au terme de son enquête — huit dans leur intégralité et la dernière en partie — et a déjà commencé à appliquer plusieurs mesures correctives, notamment le renforcement de l’authentification multifacteur par l’introduction de codes d’accès à usage unique. Philippe Dufresne s’est d’ailleurs dit encouragé par les progrès déjà réalisés et ceux annoncés pour les prochains mois. La moins bonne, c’est que ce n’est pas la première fois que l’on entend ce genre de promesses. Il faudra voir si cela se traduit par un redressement à long terme, ou s’il ne s’agit que du prochain chapitre d’une saga qui semble sans fin.

Sur une note plus légère — et puisqu’il est question de tenir le pointage — on sait déjà qu’au moins un championnat de hockey sera remporté par une équipe canadienne cette semaine. Les Ottawa Charge affronteront les Montréal Victoire en finale de la PWHL, ce qui signifie qu’un club canadien repartira forcément avec le trophée — un exploit qu’aucune équipe canadienne de la LNH n’a réalisé depuis 1993. Go Charge!

This French companion article is not meant to be an exact translation, but rather an article that generally covers the same topic as the English article.