/  04 novembre 2019

Protéger son NAS : pourquoi et comment?

Des millions de Canadiens ont été touchés par le piratage de données personnelles au courant de l’année qui s’achève. Parmi les informations volées figure le numéro d’assurance sociale (NAS). Quels sont les dangers potentiels qu’implique l’utilisation frauduleuse d’un NAS?

Un peu d’histoire…

Le NAS a été mis en place en 1964 dans la foulée du rapport que la Commission royale d’enquête sur l’organisation du gouvernement (Commission Glassco) a produit en 1962. Son but premier était de recenser les personnes aux fins de l’assurance-chômage (aujourd’hui l’assurance-emploi). À compter de 1965, il a été utilisé comme numéro d’identification pour le régime de pensions du Canada (RPC) et le régime des rentes du Québec (RRQ) et, en 1967, pour l’impôt sur le revenu. Aujourd’hui, il sert à identifier les personnes qui sont rémunérées pour leur travail, paient des impôts, cotisent au régime des rentes et se prévalent de divers programmes ou services gouvernementaux.

 

Tout citoyen et résident (permanent ou temporaire) canadien qui souhaite travailler au Canada, ou y recevoir des prestations et des services gouvernementaux, doit posséder un NAS. Celui-ci comprend neuf chiffres et n’est attribué qu’à un seul individu (le détenteur) afin de pouvoir l’identifier aux fins de son emploi, de programmes du gouvernement et de l’impôt. Il n’est pas pour autant une pièce d’identité et il ne doit pas être utilisé à cette fin.

 

Comme il contient des renseignements personnels et confidentiels (le nom du détenteur et de ses parents ainsi que la date et le lieu de sa naissance), il faut impérativement protéger la sécurité et l’intégrité du NAS afin de contrer le vol d’identité et les utilisations frauduleuses.

 

À qui et pourquoi le divulguer?

Le NAS est une information d’ordre personnel selon la Loi sur la protection des renseignements personnels et documents électroniques qui régit sa collecte, son utilisation, sa divulgation et sa protection.

 

Un Code de bonnes pratiques du numéro d’assurance sociale (NAS) (le Code) décrit d’ailleurs les rôles et responsabilités de tous ses utilisateurs. Il contient non seulement des principes de gestion et d’utilisation relatifs à la protection des renseignements personnels, à sa sécurité et à son intégrité, mais également des normes et des conseils pour permettre de comprendre et d’assumer les responsabilités à son égard.

 

Ainsi, tout détenteur d’un NAS se doit de :

  1. ne jamais le fournir à moins d’être certain de la nécessité légale de le faire;
  2. prendre des mesures afin de le protéger de même que sa carte d’assurance sociale et d’autres renseignements personnels contre le vol;
  3. informer Service Canada et les autres autorités compétentes s’il croit que son NAS est utilisé frauduleusement;
  4. s’assurer que ses renseignements personnels figurant sur le Registre de l’assurance sociale sont exacts, complets et à jour.

De son côté, un employeur doit :

  1. demander le NAS de tout nouvel employé dans les trois jours suivant le début de son emploi et le conserver dans ses archives;
  2. s’assurer que toute personne ayant un NAS temporaire (c.-à-d. qui commence par un « 9 ») est autorisée à travailler au Canada et que son document d’immigration n’est pas échu;
  3. protéger les informations personnelles de ses employés, tout particulièrement leur NAS, contre le vol et la fraude;
  4. informer Service Canada s’il soupçonne une fraude relative à un NAS.

 

Quant aux organismes privés, ils sont tenus de :

  1. ne jamais utiliser un NAS comme pièce d’identité ou numéro d’identification client;
  2. informer leurs clients des raisons qui justifient de demander le NAS, et de l’utiliser uniquement à ces fins;
  3. ne pas demander à leurs clients de donner leur NAS comme condition préalable à l’obtention d’un produit ou d’un service, à moins que la loi ne l’exige;
  4. protéger les renseignements personnels de leurs clients, y compris les NAS, du vol et d’une utilisation (ou divulgation) frauduleuse.

 

Ces organismes doivent demander un NAS seulement si la loi les y oblige (déclaration de revenus, versement de prestations gouvernementales, etc.).

 

Quant aux organismes à but non lucratif, même s’ils ne sont pas assujettis à la Loi sur la protection des renseignements personnels et documents électroniques, il leur est recommandé de respecter les mêmes exigences que celles auxquelles les organismes commerciaux sont tenus.

 

De plus amples renseignements sur le Code sont disponibles dans le site web du gouvernement du Canada (www.canada.ca/fr/emploi-developpement-social/services/numero-assurance-sociale/rapports/code-pratiques.html).

Dépassé, le NAS?

Unique et universel, le NAS s’avère particulièrement propice pour comparer, échanger, recouper ou assurer la concordance de données entre diverses bases. Aussi, comme il n’existe aucune restriction réglementaire quant à sa délivrance et à son utilisation, celle-ci s’est propagée, au fil des décennies, au sein des administrations publiques (fédérale, provinciales, municipales) ainsi que dans le secteur privé où le NAS sert effectivement de code d’identification dans une multitude de transactions (bancaires, financières, commerciales, etc.).

Malheureusement, bon nombre de citoyens ignorent qu’ils n’ont pas à fournir leur NAS pour :

  • prouver leur identité (à l’exception de programmes gouvernementaux particuliers);
  • effectuer des transactions bancaires (hypothèques, marges de crédit, prêts);
  • remplir des demandes pour des éléments de crédit (carte de crédit, prêt ou hypothèque) dans une institution financière sous prétexte de faciliter la vérification d’une cote de crédit;
  • encaisser un chèque;
  • rédiger un testament;
  • présenter une demande d’admission dans une université, un cégep ou une école;
  • remplir une demande d’emploi;
  • remplir une demande de location de logement ni pour négocier un bail avec un propriétaire;
  • remplir des questionnaires médicaux ou pour s’inscrire à un régime de services médicaux supplémentaires offert par un employeur;
  • se procurer des biens ou des services (abonnement à un service téléphonique ou à un club vidéo ou sportif, achat de préarrangements funéraires, location de voiture, etc.).

 

Par contre, un NAS doit être fourni dans les cas suivants :

  • embauche par un nouvel employeur;
  • production d’une déclaration de revenus;
  • ouverture d’un compte générant des intérêts dans une institution financière (banque, caisse populaire);
  • programmes et prestations du gouvernement :
  • régime de pensions du Canada (RPC);
  • régime de rentes du Québec (RRQ);
  • sécurité de la vieillesse (PSV);
  • assurance-emploi;
  • régime enregistré d’épargne études (REEE);
  • régime enregistré d’épargne invalidité (REEI);
  • allocation canadienne pour enfants;
  • prêts d’études canadiens;
  • demandes de remboursement de la taxe sur les produits et services (TPS) ou de la taxe de vente harmonisée (TVH);
  • aide sociale;
  • anciens combattants;
  • accidents du travail;
  • pensions alimentaires pour enfants.

 

Il y a 20 ans maintenant, le Comité permanent du développement des ressources humaines et de la condition des personnes handicapées a signalé, dans un rapport intitulé Au-delà des chiffres : L’avenir du numéro d’assurance sociale au Canada, que la plupart des Canadiens ignoraient quand ils étaient tenus de fournir leur NAS et pouvaient refuser de le divulguer sans encourir de conséquences. De son côté, le Bureau du vérificateur général du Canada a mis au jour à plusieurs reprises des problèmes relativement à la gestion du NAS et qualifié d’insatisfaisants les progrès réalisés à la suite de ses interventions.

 

Pour prévenir le vol d’identité et les conséquences graves de son utilisation frauduleuse (contracter un emprunt, obtenir une carte de crédit, vendre une maison, etc.), un minimum de précautions élémentaires est de mise. Ainsi, il ne faut jamais :

  • porter une carte d’assurance sociale sur soi ni l’utiliser comme pièce d’identité;
  • laisser des documents contenant des renseignements personnels, en particulier un NAS, dans un endroit facilement accessible;
  • divulguer un NAS à qui que ce soit, à moins d’avoir la certitude que la personne concernée a légalement le droit de connaître cette information;
  • communiquer un NAS par téléphone, à moins d’avoir composé le numéro soi-même et de n’entretenir aucun doute sur l’identité de l’interlocuteur;
  • répondre aux courriels demandant de fournir des renseignements personnels;
  • communiquer des informations sensibles, y compris un NAS, en utilisant un téléphone cellulaire ou tout autre appareil sans fil, à moins d’être parfaitement sûr que la transmission est sécurisée.

 

En résumé, moins on partage son NAS, mieux on le protège.

 

En ce qui concerne la « solution » maintes fois évoquée de changer de NAS, il a été démontré qu’elle est non seulement complexe et ardue, mais qu’un nouveau numéro ne protégerait aucunement un particulier contre la fraude, car l’ancien demeurerait toujours lié à sa personne.

 

Créé il y a plus d’un demi-siècle maintenant, le NAS est aux yeux de plusieurs spécialistes un outil d’authentification dépassé compte tenu des moyens technologiques disponibles. Il n’en demeure pas moins que le protéger est une responsabilité qui n’incombe pas uniquement au gouvernement. Tout comme la charité bien ordonnée, l’identité sécurisée commence par soi-même.