Thank you very much, Mr. Chair.
My name is Elise Boisjoly, and I am the assistant deputy minister of the integrity services branch at Employment and Social Development Canada. I am joined by Anik Dupont, who is responsible for the social insurance number program.
Thank you for the opportunity to join you today. My remarks will focus on the social insurance number, or SIN, program. Specifically, I will clarify what the social insurance number is and provide information on its issuance and use; inform the committee on privacy protection related to the SIN; and provide information on our approach in the case of data breach.
What is the SIN? The SIN is a file identifier used by the Government of Canada to coordinate the administration of federal benefits and services and the revenue system. The SIN is required for every person working in insurable or pensionable employment in Canada and to file income tax returns.
It is issued prior to your first job, when you first arrive in Canada or even at birth. During the last fiscal year, over 1.6 million SINs were issued.
The SIN is used, among other things, to deliver over $120 billion in benefits and collect over $300 billion in taxes. It facilitates information sharing to enable the provision of benefits and services to Canadians throughout their life such as child care benefits, student loans, employment insurance, pensions and even death benefits. As such, the SIN is assigned to an individual for life.
The SIN is not a national identifier and cannot be used to obtain identification. In fact, it is not even used by all programs and services within the federal government; only a certain number use it. The SIN alone is never sufficient to access a government program or benefit or to obtain credit or services in the private sector. Additional information is always required.
While data breaches are becoming increasingly commonplace, the Government of Canada follows strong and established procedures to protect the personal information of individuals. My colleague mentioned the Privacy Act and the Personal Information Protection and Electronic Documents Act, which is being administered by Innovation, Science and Economic Development Canada. They provide the legal framework for the collection, retention, use, disclosure and disposition of personal information in the administration of programs by government institutions and the private sector, respectively.
As my colleague mentioned, on November 1, 2018, a new amendment to the Personal Information Protection and Electronic Documents Act came into force, which requires organizations that experience a data breach and that have reason to believe there's a real risk of significant harm to notify the Office of the Privacy Commissioner, the affected individuals and associated organizations as soon as it's feasible. Violating this provision may result in a fine of up to $100,000 per offence.
At Employment and Social Development Canada, we have internal monitoring strategies, privacy policies, directives and information tools for privacy management, as well as a departmental code of conduct and mandatory training for employees on protecting personal information. We believe that any security breach affecting social insurance numbers is very serious and, in fact, we ourselves are not immune to such a situation. For example, in 2012, the personal information of Canada student loan borrowers was potentially compromised. The breach was a catalyst for further improvements to information management practices within the department.
Preventing social insurance number fraud starts with education and awareness. This is why our website and communication materials include information that can help Canadians better understand the steps they should take to protect their social insurance numbers. Canadians can visit the department websites, call us or visit us at one of our Service Canada centres to learn how best to protect themselves. It is important to note that protecting the information of Canadians is a shared responsibility among the government, the private sector and individuals. We strongly discourage Canadians from giving out their social insurance numbers unless they are sure that doing so is legally required or necessary. Canadians should also actively monitor their financial information, including by contacting Canada's credit bureau.
A loss of a social insurance number does not necessarily mean that a fraud has occurred or will occur.
However, should Canadians notice any fraudulent activity related to their social insurance number, they must act quickly to minimize the potential impact by reporting any incidents to the police, contacting the Privacy Commissioner and the Canadian Anti-Fraud Centre, and informing Service Canada. In cases where there is evidence of the social insurance number being used for fraudulent purposes, Service Canada works closely with those affected.
Despite ever larger data breaches, the number of Canadians who have had their social insurance number replaced by Service Canada due to fraud has remained consistent at approximately 60 per year since 2014.
That being said, we understand that many Canadians have signed a petition asking Service Canada to issue new social insurance numbers for those impacted by this data breach. The main reason we do not automatically issue a new social insurance number in these circumstances is simple: getting a new social insurance number will not protect individuals from fraud. The former social insurance number continues to exist and is linked to the individual. If a fraudster uses someone else's former social insurance number and their identity is not fully verified, credit lenders may still ask the victim of fraud to pay the debts.
In addition, it would be the individual's responsibility to provide their new social insurance number to each of their financial institutions, creditors, pension providers, employers—current and past—and any other organizations. Failing to properly do so could put individuals at risk of not receiving benefits or leave the door open to subsequent fraud or identity theft.
It would also mean doubling the monitoring. Individuals would still need to monitor their accounts and credit reports for both social insurance numbers on a regular and ongoing basis. Having multiple social insurance numbers increases the risk of potential fraud.
Active monitoring through credit bureaus as well as regular reviewing of banking and credit card statements remain the best protection against fraud.
In closing, protecting the integrity of the social insurance number is critical to us, and I can assure you that we will continue to take all necessary action to do so, including reading this committee's report and considering advice from this committee and others on how to best improve.
Thank you for your time. I'd be happy to answer your questions.
Merci beaucoup, monsieur le président.
Je m'appelle Elise Boisjoly et je suis la sous-ministre adjointe responsable des services d'intégrité à Emploi et Développement social Canada. Je suis accompagnée par Mme Anik Dupont, responsable du programme du numéro d'assurance sociale.
Je vous remercie de m'avoir donné l'occasion de m'adresser à vous aujourd'hui. Mon allocution portera sur le programme du numéro d'assurance sociale. Plus précisément, j'aimerais clarifier ce qu'est le numéro d'assurance sociale, fournir des renseignements sur son émission et son utilisation, informer le Comité sur la protection de la vie privée en ce qui concerne le numéro d'assurance sociale, et fournir de l'information sur notre approche en cas de fuite d'informations personnelles.
Le numéro d'assurance sociale est un identificateur de dossier ou un numéro de compte utilisé par le gouvernement du Canada pour coordonner l'administration des prestations et services fédéraux, et par le système du revenu. Le numéro d'assurance sociale est requis pour chaque personne qui occupe un emploi assurable ou donnant droit à une pension au Canada, et pour produire une déclaration de revenus.
Un numéro d'assurance sociale est émis avant le premier emploi, en arrivant au Canada pour la première fois ou même à la naissance. Au cours de la dernière année financière, plus de 1,6 million de numéros d'assurance sociale ont été émis.
Le numéro d'assurance sociale sert, entre autres, à verser plus de 120 milliards de dollars en prestations et à percevoir plus de 300 milliards de dollars en impôts. Il facilite l'échange d'information pour permettre l'allocation de prestations et de services aux Canadiens tout au long de leur vie, comme les prestations pour la garde d'enfants, les prêts étudiants, l'assurance-emploi, les pensions et même les prestations de décès. Ainsi, un numéro d'assurance sociale est attribué à une personne pour la vie.
Le numéro d'assurance sociale n'est pas un identificateur national et ne peut pas être utilisé pour obtenir une identification. En fait, il n'est même pas utilisé par tous les programmes du gouvernement fédéral, seulement par un certain nombre. Le numéro d'assurance sociale seul n'est pas suffisant pour accéder à un programme ou à un avantage gouvernemental, ou même pour obtenir du crédit ou des services dans le secteur privé. Des informations supplémentaires sont toujours requises.
Bien que les fuites de données soient de plus en plus courantes, le gouvernement du Canada suit des procédures rigoureuses et établies pour protéger les renseignements personnels des particuliers. Ma collègue a fait mention de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques, qui est administrée par Innovation, Sciences et Développement économique Canada. Ces lois établissent le cadre juridique régissant la collecte, la conservation, l'utilisation, la divulgation et l'élimination des renseignements personnels dans le contexte de l'administration des programmes des institutions gouvernementales et des activités du secteur privé.
Comme l'a dit ma collègue, le 1er novembre 2018, une nouvelle modification a été apportée à la Loi sur la protection des renseignements personnels et les documents électroniques exigeant que les organisations faisant face à une fuite de données et ayant des raisons de croire qu'il y a un risque réel de préjudice grave en informent le Commissariat à la protection de la vie privée, les personnes affectées ainsi que les organisations associées dès que possible. La violation de cette disposition peut conduire à des amendes allant jusqu'à 100 000 $ par infraction.
Au sein d'Emploi et Développement social Canada , nous avons des stratégies de surveillance interne, des politiques de confidentialité, des directives et des outils d'information sur la gestion de la protection de la vie privée, ainsi qu'un code de conduite ministériel et des formations obligatoires pour nos employés sur la protection des renseignements personnels. Nous croyons que toute atteinte à la sécurité touchant le numéro d'assurance sociale est très grave et, en fait, le gouvernement du Canada n'est pas à l'abri de telles situations. Par exemple, en 2012, des informations concernant des prêts étudiants canadiens ont été potentiellement compromises. Cette fuite a servi de catalyseur à l'amélioration des pratiques de gestion de l'information au ministère.
La prévention de la fraude en matière de numéro d'assurance sociale commence par l'éducation et la sensibilisation. C'est pourquoi notre site Web et nos documents de communication contiennent des renseignements qui aident les Canadiens à mieux comprendre les mesures qu'ils devraient prendre pour protéger leur numéro d'assurance sociale. Les Canadiens peuvent visiter le site Web du ministère, nous appeler ou visiter l'un de nos centres Service Canada pour apprendre la meilleure façon de se protéger. II est important de noter que la protection des renseignements personnels des Canadiens est une responsabilité partagée entre le gouvernement, le secteur privé et les particuliers. Nous encourageons fortement les Canadiens à ne pas donner leur numéro d'assurance sociale à moins d'être certains qu'il est légalement requis ou que c'est nécessaire. Les Canadiens devraient également surveiller activement leurs renseignements financiers, notamment en communiquant avec les agences d'évaluation du crédit du Canada.
La perte d'un numéro d'assurance sociale ne signifie pas automatiquement qu'une fraude s'est produite ou se produira.
Cependant, si des Canadiens détectent une activité suspecte touchant leur numéro d'assurance sociale, ils doivent agir rapidement afin de minimiser les répercussions potentielles en signalant tout incident à la police, en contactant le commissaire à la protection de la vie privée et le Centre antifraude du Canada, et en informer Service Canada. Dans les cas où il est prouvé que le numéro d'assurance sociale a été utilisé à des fins frauduleuses, Service Canada travaillera en étroite collaboration avec les personnes touchées.
Le nombre de Canadiens dont le numéro d'assurance sociale a été remplacé par Service Canada en raison d'une fraude est demeuré stable à environ 60 par année depuis 2014, malgré les fuites de données de plus en plus importantes.
Cela dit, nous savons que de nombreux Canadiens ont signé une pétition demandant à Service Canada d'attribuer un nouveau numéro d'assurance sociale aux personnes touchées par cette atteinte aux données. La raison principale pour laquelle nous n'attribuons pas automatiquement un nouveau numéro d'assurance sociale dans ces circonstances est simple: l'obtention d'un nouveau numéro d'assurance sociale ne protégera pas les particuliers contre la fraude. L'ancien numéro d'assurance sociale continue d'exister et est toujours lié aux particuliers. Par exemple, si un fraudeur utilise l'ancien numéro d'assurance sociale d'une personne et que son identité est mal vérifiée, les prêteurs peuvent quand même demander à la personne fraudée de payer les dettes.
Également, il incombera à la personne de fournir son numéro d'assurance sociale à chacune des institutions financières, à ses créanciers, à ses fournisseurs de régime de retraite, à ses employeurs actuels et passés, ou à toute autre organisation à laquelle elle aurait donné son numéro d'assurance sociale. Le faire incorrectement pourrait mettre à risque l'octroi de bénéfices ou laisserait la porte ouverte à la fraude ou au vol d'identité.
Cela signifierait aussi de doubler la surveillance. Les particuliers devraient quand même surveiller leur compte et leurs rapports de solvabilité pour leurs deux numéros d'assurance sociale de façon régulière et continue. La multiplication des numéros d'assurance sociale augmente donc le risque de fraude potentielle.
La surveillance active des bureaux de crédit ainsi que l'examen régulier des relevés bancaires et des relevés de cartes de crédit demeurent la meilleure protection contre la fraude.
En terminant, la protection de l'intégrité du numéro d'assurance sociale est importante pour nous. Je peux vous assurer que nous continuerons à prendre toutes les mesures nécessaires pour y parvenir, incluant la lecture du rapport de ce comité ou d'autres informations provenant de ce comité ou autres sur les meilleures façons d'améliorer la situation.
Je vous remercie de votre temps. Je me ferai un plaisir de répondre à vos questions.