ENTENTE MODIFIANT L’ENTENTE PORTANT SUR L’ÉCHANGE DE RENSEIGNEMENTS NÉCESSAIRES À L’APPLICATION DE LA LOI SUR LE RÉGIME DE RENTES DU QUÉBEC, DONT LA MISE À JOUR DU REGISTRE DES COTISANTS
ENTRE LE MINISTRE DES FINANCES, exerçant les fonctions du ministre du Revenu conformément au décret numéro 821-2019 du 14 août 2019, représenté par monsieur Carl Gauthier, en sa qualité de président-directeur général de Revenu Québec,
ci-après nommé « Revenu Québec » ET RETRAITE QUÉBEC, organisme institué en vertu de la Loi sur Retraite Québec (RLRQ, chapitre R-26.3), représentée par monsieur Michel Després, en sa qualité de président-directeur général;
ci-après appelée « Retraite Québec »
ATTENDU QUE Revenu Québec et Retraite Québec ont conclu l'Entente portant sur l'échange de renseignements nécessaires à l'application de la Loi sur le Régime de rentes du Québec, dont la mise à jour du registre des cotisants le 21 février 2020 (ci-après « l'Entente »);
ATTENDU QUE l'Entente a été conclue conformément à l'article 69.8 de la Loi sur l'administration fiscale (RLRQ, chapitre A-6.002, ci-après « LAF »), lequel prévoit la rédaction d'une entente écrite précisant notamment les modes de communication utilisés;
ATTENDU QU’en vertu du deuxième alinéa de l’article 69.8 de la LAF, cette entente a été soumise à la Commission d’accès à l’information et a reçu un avis favorable le 8 janvier 2020;
ATTENDU QUE le mode de communication prévu à l’Entente doit être remplacé, car Retraite Québec a entrepris une migration de ses systèmes informatiques hébergés sur une plateforme centrale (PFC) vers une plateforme intermédiaire (PFI), rendant les accès aux traitements interactifs hébergés sur la PFC de Retraite Québec bientôt indisponibles;
ATTENDU QUE la modification du mode de communication nécessite la rédaction d’une entente modificative qui doit être soumise à la Commission d'accès à l’information pour avis conformément au deuxième alinéa de l’article 69.8 de la LAF.
EN CONSÉQUENCE, LES PARTIES CONVIENNENT DE CE QUI SUIT : 1. L’article 9 « Accessibilité aux renseignements par un lien interactif » de l’annexe B de l’Entente est remplacé par le suivant :
9. Accessibilité aux renseignements par un lien interactif 9.1 Retraite Québec rend accessibles à Revenu Québec, par un lien interactif ou tout autre moyen sécurisé, les renseignements provenant du fichier du régime de rentes visés par les articles 1.1 et 1.2 de la présente annexe.
9.2 Le réseau de télécommunication de Retraite Québec est accessible du lundi au vendredi, entre 8 h et 18 h, les jours ouvrables.
2. L’article 10 « Droits d’accès » est ajouté à l’annexe B de l’Entente : 10. Droits d’accès 10.1 Le personnel de Revenu Québec désigné comme utilisateur autorisé obtiendra les accès suivants : i. Pour le fichier d’inscription de la clientèle :
• en mode consultation ii. Pour le registre des cotisants :
• en mode consultation seulement pour l’affichage « Consulter les gains et contributions » • en mode consultation et modification pour l’affichage « Consulter un relevé-1 » et l’affichage « Consulter une TP-1 »
10.2 Il est possible pour le personnel désigné de Revenu Québec de rechercher le nom d’un client à l’aide du type de transaction sélectionné.
3. L’article 11 « Utilisateur autorisé » est ajouté à l’annexe B de l’Entente : 11. Utilisateur autorisé Un utilisateur autorisé est un membre du personnel de Revenu Québec auquel Revenu Québec a attribué un privilège d’accès nécessaire à l’exercice de ses fonctions.
4. L’article 12 « Gestion des identités et des accès » est ajouté à l’annexe B de l’Entente :
12. Gestion des identités et des accès 12.1 Revenu Québec est responsable de l’identification des utilisateurs ayant accès aux applications de Retraite Québec. Le niveau d’assurance sur l’identité (NAI) requis pour un utilisateur de Revenu Québec qui accède aux applications de Retraite Québec doit être supérieur ou égal au niveau convenu entre les parties. Revenu Québec doit être en mesure de démontrer en tout temps que son processus de vérification d’identité permet d’atteindre le NAI convenu.
12.2 Revenu Québec s’engage à fournir, sur demande de Retraite Québec, l’identité de la personne associée à un identifiant, pour fins de vérification ou d’enquête, et ce, durant une période plus grande ou égale à celle convenue entre les parties.
12.3 Revenu Québec est responsable de l’authentification des utilisateurs ayant accès aux applications de Retraite Québec. Le niveau d’assurance sur l’authentification (NAA) pour un utilisateur de Revenu Québec qui accède aux applications de Retraite Québec doit être supérieur ou égal au niveau convenu entre les parties. Revenu Québec doit être en mesure de démontrer en tout temps que son mécanisme d’authentification, la résistance des authentifiants utilisés et son processus de gestion des authentifiants permettent d’atteindre le NAA convenu.
12.4 L’habilitation des utilisateurs s’effectue par Revenu Québec selon un modèle d’accès convenu entre les deux parties. Ces habilitations doivent en tout temps respecter le principe du moindre privilège.
12.5 Revenu Québec doit être en mesure de démontrer en tout temps que son processus de gestion du cycle de vie des habilitations et son processus de vérification / certification des accès aux systèmes de Retraite Québec respectent les modalités et la fréquence convenue entre les parties. Selon l’évaluation du risque, Retraite Québec pourrait renforcer le contrôle d’accès à ses applications selon des règles qui prennent en compte des éléments de contexte tels que le domaine de provenance de l’utilisateur, le mode d’authentification ainsi que l’horaire d’utilisation.
12.6 Revenu Québec reconnaît à Retraite Québec le droit de journaliser les accès et tentatives d’accès à ses infrastructures et applications en vertu de
2
la présente entente, et de conserver les journaux sur une période appropriée conformément au calendrier de conservation des documents.
12.7 Revenu Québec s’engage à fournir un jeton de sécurité valide, c’est-à-dire un document numérique contenant l’information pertinente d’identité, de contrôle d’accès et de contexte. L’information requise, son format et la durée de validité du jeton de sécurité devront être fournis selon les paramètres convenus entre les parties.
12.8 Revenu Québec doit être en mesure de démontrer en tout temps que son service de fédération permet la traçabilité complète des jetons de sécurité transmis à Retraite Québec.
12.9 Revenu Québec assure la confidentialité des informations véhiculées par le jeton de sécurité via des services convenus avec Retraite Québec (chiffrement du jeton de sécurité). Le niveau d’assurance sur la fédération (NAF) requis pour tous les jetons de sécurité doit être égal ou supérieur au niveau convenu entre les parties. Revenu Québec doit être en mesure de démontrer en tout temps que son service de fédération permet d’atteindre le NAF convenu.
12.10 Un lien sécurisé accessible exclusivement à partir du réseau de Revenu Québec et répondant aux spécifications convenues entre les parties doit être utilisé pour accéder aux applications de Retraite Québec.
12.11 Retraite Québec peut suspendre à son gré le privilège d’accès aux utilisateurs de Revenu Québec si les termes de la présente entente ne sont pas respectés ou pour toute autre raison jugée valable par Retraite Québec. Retraite Québec en avise Revenu Québec dans les meilleurs délais, de la façon convenue entre les parties.
5. La section intitulée « Mesures de sécurité » de l’annexe C de l’Entente est remplacée par la suivante :
MESURES DE SÉCURITÉ Les renseignements doivent être gardés dans des endroits sécuritaires et leur accès n'est permis qu'aux personnes autorisées.
Les normes et les standards gouvernementaux en regard de la sécurité de l'information, y compris les référentiels et les bonnes pratiques reconnues par l’industrie, doivent être appliqués aux renseignements obtenus.
Les responsables organisationnels de la sécurité de l’information de chacune des parties s’engagent à s’aviser mutuellement de toute perte réelle ou présumée ou de toute divulgation non autorisée de renseignements.
6. Sauf les modifications ci-dessus, l’Entente et les annexes signées en février 2020 demeurent inchangées et en vigueur.
7. Cette modification entre en vigueur à la date de la dernière signature. EN FOI DE QUOI, LES PARTIES ONT SIGNÉ POUR RETRAITE QUÉBEC À Québec Ce Michel Després Président-directeur général Retraite Québec
POUR LE MINISTRE DES FINANCES À Québec Ce 12 mars 2021 Carl Gauthier Président-directeur général Revenu Québec 3