- Sigles et acronymes
- Glossaire
- Sommaire
- 1. Introduction
- 2. Contexte
- 3. Constatations, analyse et recommandations
- Analyse des volumes et des tendances
- Exigences relatives à la conservation des documents – article 9
- Entente de communication d’information – alinéa 4c)
- Exigences en matière de communication d’information – article 5
- Critères de contribution et de proportionnalité – paragraphe 5(1)
- Obligation de détruire ou de remettre à l’expéditeur – paragraphe 5.1(1)
- 4. Conclusion
- Annexe A. Historique des communications au titre de la LCISC
- Annexe B. Conclusions et recommeandations
Date de publication :
Sigles et acronymes
| ASFC | Agence des services frontaliers du Canada |
| ACIA | Agence canadienne d’inspection des aliments |
| CCSN | Commission canadienne de sûreté nucléaire |
| ARC | Agence du revenu du Canada |
| CST | Centre de la sécurité des télécommunications |
| SCRS | Service canadien du renseignement de sécurité |
| MDN/FAC | Ministère de la défense nationale/Forces armées canadiennes |
| CANAFE | Centre d’analyse des opérations et déclarations financières du Canada |
| AMC | Affaires mondiales Canada |
| GC | Gouvernement du Canada |
| IRCC | Immigration, Réfugiés et Citoyenneté Canada |
| OSSNR | Office de surveillance des activités en matière de sécurité nationale et de renseignement |
| ASPC | Agence de la santé publique du Canada |
| SP | Sécurité publique Canada |
| GRC | Gendarmerie royale du Canada |
| SAID | Loi sur la communication d’information ayant trait à la sécurité du Canada |
| TC | Transports Canada |
Glossaire
| Critère de contribution | Le premier élément du seuil minimum à respecter avant qu’une institution puisse communiquer de l’information en vertu de la LCISC est que cette institution doit avoir conclu que la communication aidera à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire à l’égard « d’activités portant atteinte à la sécurité du Canada » [alinéa 5(1)a)]. |
| Critère de proportionnalité | Le second élément du seuil minimum à respecter avant qu’une institution puisse communiquer de l’information en vertu de la LCISC est que cette institution doit avoir conclu « que l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances » [alinéa 5(1)b)]. |
Sommaire
Le présent examen avait pour objet d’évaluer le degré de conformité d’institutions du gouvernement du Canada aux exigences s’appliquant aux communications et à la conservation des documents en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) au cours de l’année 2024. L’examen a également permis de recueillir des données volumétriques sur les communications transmises au titre de la LCISC et de dégager des tendances quant à l’application continue de la LCISC dans l’ensemble des institutions du gouvernement du Canada (GC).
L’OSSNR a constaté que, globalement, l’Agence des services frontaliers du Canada (ASFC), le Centre de la sécurité des télécommunications (CST), le Service canadien du renseignement de sécurité (SCRS), Affaires mondiales Canada (AFC), Immigration, Réfugiés et Citoyenneté Canada (IRCC) et la Gendarmerie royale du Canada (GRC) s’acquittaient des obligations que la LCISC leur imposait en matière de gestion des documents.
En raison d’une augmentation importante de près de 300 % des communications transmises par IRCC au SCRS en 2024, l’OSSNR a décidé de concentrer la majeure partie de ses efforts sur ces deux institutions.
Pendant la période visée par l’examen, IRCC et le SCRS ont mis en place un processus de demande et de communication en plusieurs étapes de sorte à réduire la quantité d’information venant de tierces parties qui est communiquée par IRCC, ce qui permet d’accroître le degré de conformité à la LCISC. Toutefois, l’OSSNR a relevé des occurrences où l’information fournie à IRCC par le SCRS était limitée, ce qui affaiblissait la capacité d’IRCC à se convaincre, en tant qu’institution appelée à communiquer, que l’information demandée concerne assurément des activités pouvant porter atteinte à la sécurité du Canada.
En outre, l’OSSNR a constaté qu’IRCC ne disposait d’aucune politique formelle pouvant régir la communication d’information relative à des personnes mineures.
L’OSSNR a constaté que, dans trois de ses demandes d’information soumises au titre de la LCISC, le CST avait transmis à IRCC plus de renseignements que ce qui était requis pour les communications d’information.
L’OSSNR a fait quatre recommandations pour que les institutions soient en mesure de présenter leurs demandes et leurs communications au titre de la LCISC suivant le recours à un libellé qui permette de réduire toute incidence sur la vie privée des individus concernés.
Pour ce qui a trait à l’exigence énoncée au paragraphe 5.1(1) de la LCISC selon laquelle l’institution destinataire doit détruire ou remettre tout renseignement personnel qui n’est pas nécessaire, l’OSSNR a constaté que le SCRS pourrait ne s’être pas conformé à la loi, en conservant une communication qui contenait des renseignements personnels erronés.
1. Introduction
Fondements législatifs
This review was conducted under the authority of paragraphs 8(1)(a), 8(1)(b), and subsection 39(1) of the Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (“NSIRA Act”).
In accordance with section 39 of the NSIRA Act, this review fulfills NSIRA’s requirement to submit an annual report to the Minister of Public Safety regarding disclosures made under the Loi sur la communication d’information ayant trait à la sécurité du Canada (SCIDA, or the Act) in the preceding calendar year.
Portée
L’objectif du présent examen était d’évaluer le degré de conformité d’institutions du gouvernement du Canada (GC) aux prescriptions de la LCISC en matière de communication et de conservation des documents en 2024. L’examen a également permis de recueillir des données volumétriques sur les communications transmises au titre de la LCISC, d’analyser les schèmes d’utilisation au sein des diverses institutions et d’examiner la façon dont les institutions du GC se servaient des ententes de communication d’information.
L’évaluation de la conformité qui figure dans le présent rapport s’est limitée aux institutions du GC qui ont communiqué ou reçu de l’information au titre de la LCISC en 2024, à savoir l’Agence des services frontaliers du Canada (ASFC), le Centre de la sécurité des télécommunications (CST), le Service canadien du renseignement de sécurité (SCRS), Affaires mondiales Canada (AFC), Immigration, Réfugiés et Citoyenneté Canada (IRCC) et la Gendarmerie royale du Canada (GRC).
Méthodologie
L’examen se fonde principalement sur des documents fournis à l’OSSNR par les institutions qui ont transmis ou reçu des communications au titre du paragraphe 9(3) de la LCISC. À ces documents s’ajoutent une analyse des politiques et procédures des institutions en rapport avec la LCISC de même que les réponses que ces institutions ont fournies aux demandes d’information.
L’évaluation de la conformité qui figure dans le présent rapport s’est limitée aux institutions du GC qui ont communiqué ou reçu de l’information au titre de la LCISC en 2024, à savoir l’Agence des services frontaliers du Canada (ASFC), le Centre de la sécurité des télécommunications (CST), le Service canadien du renseignement de sécurité (SCRS), Affaires mondiales Canada (AFC), Immigration, Réfugiés et Citoyenneté Canada (IRCC) et la Gendarmerie royale du Canada (GRC).
Énoncés généraux
La Loi sur l’OSSNR accorde à l’Office de surveillance le droit d’accéder en temps voulu aux informations qui relèvent de tout ministère ou qui sont en possession de tout ministère (à l’exception des documents confidentiels du Cabinet) et de recevoir, de la part de tout ministère, les documents et explications que l’Office de surveillance juge nécessaires. L’OSSNR exerce un suivi du degré de coopération affiché à l’égard des demandes d’accès, notamment sur le plan de la complétude et de l’exactitude des informations communiquées, dans le but de procéder à une évaluation de la réactivité d’un ministère dans le cadre de chacun des examens.
L’ASFC, le CST, le SCRS, AMC et la GRC ont répondu aux attentes de l’OSSNR en matière de réactivité tout au long du processus d’examen. Par ailleurs, compte tenu des importants retards qu’il a affichés dans ses réponses aux demandes d’information, IRCC n’a répondu que partiellement aux attentes en matière de réactivité.
2. Contexte
La LCISC établit une autorité expresse et autonome permettant aux institutions du GC de communiquer entre elles des renseignements afin d’assurer la protection du Canada contre les activités portant atteinte à la sécurité nationale. L’objet de la Loi est d’encourager et de faciliter ces communications de renseignements.
L’article 9 de la LCISC impose des obligations en matière de conservation des documents à toutes les institutions qui communiquent ou reçoivent de l’information au titre de la Loi. Pour sa part, le paragraphe 9(3) exige que ces documents soient remis à l’OSSNR dans les 30 jours suivant la fin de chaque année civile.
Le paragraphe 5(1) de la LCISC autorise les institutions fédérales à communiquer de l’information – sous réserve des interdictions ou restrictions prévues par d’autres lois ou règlements – à des institutions désignées, à condition que l’institution qui communique l’information soit convaincue que a) la communication aidera à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire à l’égard d’activités portant atteinte à la sécurité du Canada (le « critère de contribution ») et b) l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances (le « critère de proportionnalité »).
Le paragraphe 5(2) exige que, au moment d’effectuer une communication, les institutions qui communiquent fournissent également de l’information concernant l’exactitude des renseignements communiqués et la fiabilité des moyens employés pour obtenir ces renseignements.
Lorsqu’une institution fédérale reçoit de l’information en vertu de la Loi, le paragraphe 5.1(1) exige que cette institution détruise ou remette les renseignements personnels superflus le plus tôt possible après les avoir reçus.
Les principes directeurs de la LCISC insistent sur la notion voulant que la communication efficace et responsable d’information permette de protéger le Canada et les Canadiens. Rappelons que l’alinéa 4c) propose que les institutions du GC concluent une entente de communication d’information avec toute institution fédérale destinataire à laquelle elles communiquent fréquemment de l’information.
3. Constatations, analyse et recommandations
Analyse des volumes et des tendances
Constatation 1. L’OSSNR constate que le nombre des communications d’IRCC transmises au SCRS en vertu de la LCISC s’est considérablement accru en 2024. SCIDA increased significantly in 2024.
En 2024, les institutions du GC ont effectué, en tout, 900 communications au titre de la LCISC (voir le tableau 1). Le nombre des communications s’est donc accru de 235 % par rapport à 2023.
Tableau 1 : Nombre de communications effectuées au titre de la LCISC selon les institutions qui ont communiqué et les institutions destinataires [toutes les communications (communications proactives)]
| Institution destinataire désignée | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Institution qui communique l'information | ASFC | ACIA | CCSN | ARC | CST | SCRS | MDN/FAC | Finances | CANAFE | AMC | Sante | IRCC | ASPC | SP | GRC | TC | TOTAL (proactives) |
| ASFC | – | – | – | – | – | (2) | – | – | – | – | – | – | – | – | (2) | – | (4) |
| AMC | – | – | – | – | (1) | 41 (12) |
– | – | – | – | – | – | – | – | 7 (2) |
– | 49 (15) |
| IRCC | – | – | – | – | 76 | 770 | – | – | – | – | – | – | – | – | (1) | – | 847 (1) |
| TOTAL (proactives) | – | – | – | – | 77 (1) |
813 (14) |
– | – | – | – | – | – | – | – | 10 (5) |
– | 900 (20) |
This substantial increase in records was primarily driven by IRCC’s disclosures to CSIS, which grew nearly 300% from 194 in 2023 to 770 in 2024. IRCC previously disclosed similar information to CSIS under the Loi sur la protection des renseignements personnels, whereas now the SCIDA is the primary mechanism for CSIS to obtain immigration information. CSIS also credits the increase in disclosures to enhanced collaboration with IRCC aimed at improving operational staff awareness and understanding of the SCIDA regime.
Au cours des années précédentes, on a remarqué, dans la majorité des cas, que les institutions communiquaient de l’information en réponse à une demande. Seuls 2 % des communications étaient envoyées de façon proactive.
Exigences relatives à la conservation des documents – article 9
L’article 9 de la LCISC stipule un certain nombre d’obligations qui doivent être respectées par les institutions qui communiquent et par celles qui reçoivent. Ces exigences visent à promouvoir la reddition de comptes et la transparence en imposant de documenter l’information essentielle, notamment la description des données communiquées ou reçues, les personnes concernées, les dates pertinentes ainsi que les motifs légaux qui justifient la communication. Les institutions sont également tenues de déclarer si de l’information a été détruite ou remise à l’expéditeur.
Après une analyse des documents soumis par le SCRS et IRCC, l’OSSNR a constaté plusieurs écarts mineurs relativement à la conservation des documents. Ces écarts peuvent être attribuables à des duplications, des modifications ou des annulations de demandes de la part du SCRS. Par exemple, dans certains cas, les questions de suivi venant du SCRS au sujet des communications qu’il avait reçues étaient enregistrées dans une demande distincte par IRCC.
En outre, IRCC a attribué des numéros de dossier séquentiels à un certain nombre de demandes qui ont été envoyées en 2024, mais qui n’ont été traitées qu’en 2025. Ces communications étaient incluses dans les registres de conservation des documents remis à l’OSSNR. IRCC a expliqué qu’à l’avenir, il n’attribuerait un numéro de dossier qu’aux demandes qui auront été traitées au cours de l’année civile en cours, ce qui devrait atténuer la confusion.
IRCC a également indiqué qu’il s’était engagé à mettre ses registres de conservation des documents à la disposition du SCRS tous les trimestres, ce qui permettra de réagir aux écarts s’il y a lieu. Une communication claire et efficace entre les institutions qui communiquent et celles qui reçoivent s’avère essentielle lorsqu’on tient à ce que la conservation des documents soit rigoureuse; elle permet également de gérer l’information en toute sécurité, d’observer les lois et de favoriser la précision sur le plan de l’administration.
Entente de communication d’information – alinéa 4c)
Au mois d’août 2023, le CST et IRCC ont signé une entente de communication d’information (ECI) de sorte à formaliser leurs échanges d’information réguliers et à favoriser la conformité à la LCISC. Le principal objet des communications qu’IRCC transmet au CST en vertu de la LCISC est d’établir le statut de citoyen ou le statut d’immigrant au Canada d’une personne d’intérêt. Ces communications permettent au CST de demeurer conforme à la loi dans la mesure où il lui est interdit, dans le cadre de son mandat, de diriger ses activités opérationnelles sur des Canadiens ou sur des personnes se trouvant au Canada.
Dans ses demandes, le CST fournit des informations nominatives se rapportant à un individu, ce qui permet à IRCC de faire une recherche dans les systèmes appropriés, principalement le Système mondial de gestion des cas (SMGC). Le SMGC contient tous les renseignements sur la citoyenneté et l’immigration concernant les citoyens canadiens, les ressortissants étrangers et les résidents permanents. En outre, le SMGC contient les demandes soumises par des individus ainsi que l’information saisie par les agents d’immigration ou par d’autres ministères et organismes, notamment l’ASFC.
Dans sa demande, le CST transmet minimalement à IRCC le nom complet de l’individu ainsi que sa date de naissance. Le CST peut également inclure, le cas échéant, certains autres renseignements nominaux, comme la nationalité avérée ou présumée, le lieu de naissance et un numéro de téléphone. L’ECI conclue entre le CST et IRCC contient une liste exhaustive des informations que le CST peut fournir pour aider IRCC à produire des résultats précis.
Dans trois cas distincts, toutefois, l’OSSNR a remarqué que le CST avait fourni à IRCC un type de renseignement personnel qui ne figurait pas dans l’ECI. Le CST a fait valoir que tous les détails pertinents avaient été transmis pour accroître la probabilité que l’IRCC produise des résultats probants. IRCC a confirmé à l’OSSNR qu’il ne lui était pas possible, comme toujours, de tirer parti des renseignements personnels particuliers fournis par le CST pour effectuer ses recherches.
L’ECI n’interdit pas formellement au CST de communiquer de l’information qui sort du cadre établi par l’entente conclue avec IRCC. Néanmoins, le CST devrait vérifier si les renseignements qu’il transmet sont pertinents pour l’institution qui communique, ce qui permettrait d’éviter les transmissions inutiles de renseignements personnels.
Exigences en matière de communication d’information – article 5
Au printemps de 2024, IRCC et le SCRS ont élaboré un processus à plusieurs étapes s’appliquant aux communications au titre de la LCISC. Ils ont également procédé à la répartition des demandes et communications en vertu de la LCISC en deux catégories : « élémentaire » et « avancée » . En mettant ce processus en place, IRCC et le SCRS ont formellement adopté trois modèles normalisés : une lettre de demande, une liste de vérification et un formulaire de réponse. La liste de vérification et le formulaire de réponse, plus particulièrement, visent à guider les analystes d’IRCC lorsqu’il s’agit de ne fournir que les renseignements nécessaires; ils ont fait partie de toutes les communications.
Au minimum, une communication élémentaire contient des renseignements biographiques provenant des cinq dernières années, notamment l’information de citoyenneté ou d’immigration, la situation de famille et les coordonnées. Elle peut également contenir des photos ainsi que des données récentes sur l’emploi, les antécédents de voyage et les caractéristiques physiques.
Lorsque le SCRS a besoin d’un historique personnel complet et de documents à l’appui, notamment les demandes d’immigration numérisées, la demande devient une communication avancée au titre de la LCISC, laquelle requiert des justificatifs additionnels. Ce type de communication contient souvent des renseignements s’étalant sur une période historique plus longue (comme les 10 dernières années ou plus).
Auparavant, même lorsqu’il s’agissait de ne communiquer que des renseignements biographiques élémentaires, IRCC incluait une copie de la plus récente demande d’immigration soumise par un individu (p. ex. un passeport ou une demande de visa). Ainsi, nombre de communications remontant aux premiers mois de l’année visée par l’examen contenaient des renseignements relatifs à un tiers, entre autres, de l’information non caviardée sur le répondant, sur une personne à contacter en cas d’urgence ou sur une référence. L’OSSNR a observé que, pour les communications élémentaires au titre de la LCISC, le système à plusieurs étapes réduisait le nombre des cas où IRCC incluait des renseignements relatifs à des tiers. Cette réduction était en partie attribuable au fait que les copies numérisées de demandes n’étaient plus incluses.
Généralement, IRCC caviarde les références figurant dans les demandes de passeport avant de procéder à la communication. Les autres types de renseignements relatifs à des tiers sont caviardés au cas par cas.
Le processus de communication débute lorsqu’IRCC reçoit, de la part du SCRS, une lettre de demande contenant une liste normalisée d’éléments sur lesquels les deux institutions se sont entendues. Cette approche permet au SCRS de n’identifier que l’information nécessaire à la demande tout en résolvant les problèmes causés précédemment par des listes de renseignements incohérentes préparées à la pièce. Par exemple, le SCRS peut demander des renseignements biographiques, comme les données de passeports ou l’information de citoyenneté, mais choisit de ne demander aucune coordonnée. Par ailleurs, les lettres de demandes avancées comprennent une option permettant de recevoir une copie numérisée des demandes.
Tout au long de 2024, la lettre de demande, la liste de vérification et le formulaire de réponse ont subi des modifications visant à répondre aux besoins d’IRCC et du SCRS. L’OSSNR a remarqué que de nouveaux types d’information couramment demandés qui n’avaient pas figuré dans la lettre de demande ont été ajoutés en fonction des besoins. En outre, IRCC a réuni la liste de vérification et le formulaire de réponse dans le but d’atténuer le fardeau administratif. Le processus à plusieurs étapes a permis à IRCC de gérer la hausse du nombre des communications tout en limitant la quantité des informations relatives à des tiers qui sont transmises.
Il importe de noter qu’en décidant d’utiliser une liste de vérification et un formulaire en guise de réponse, IRCC a préconisé un processus itératif qui a permis d’améliorer l’efficacité opérationnelle et la conformité aux lois dans les deux institutions assujetties à la LCISC. En outre, les temps de réponse sont répartis en trois catégories de priorité : demande relative à une urgence potentiellement mortelle, demande opérationnelle prioritaire et demande courante. IRCC à l’intention de prioriser de la même façon les demandes provenant d’autres institutions assujetties à la LCISC.
Les communications qui figurent ci après illustrent succinctement la façon dont le processus à plusieurs étapes a permis à IRCC de réduire davantage la quantité de renseignements personnels dans les communications régies par la LCISC. Le premier cas présente une communication typique d’avant l’instauration du système à plusieurs étapes, alors que la deuxième et la troisième communication ont eu lieu après l’introduction du système.
Communication 1
Le SCRS a envoyé une lettre à IRCC pour demander la communication d’information concernant un étranger qui faisait l’objet d’une enquête en lien avec une certaine institution. La demande devait inclure les documents des cinq années précédentes.
En l’absence d’un système appelé à limiter l’information qu’il est possible de communiquer, IRCC a transmis les copies numérisées de toutes les demandes soumises par l’individu en question : permis d’études, permis de travail, de preuve de résidence permanente et visa de résident temporaire. Tous les documents faisant partie de la communication ne comportaient aucun caviardage. Qui plus est, ils incluaient de l’information relative à un tiers et à une personne mineure ainsi que des renseignements financiers.
Communication 2
Le SCRS a demandé à IRCC de lui transmettre, au titre de la LCISC, une communication élémentaire comportant de l’information concernant des individu affiliés à une certaine entité étrangère. Dans son justificatif, le SCRS a indiqué que l’entité étrangère et les individus cités constituaient des entités « d’intérêt pour la sécurité nationale » dans le contexte d’une enquête du SCRS.
Comme il s’agissait d’une demande de communication élémentaire, IRCC a pris des mesures permettant de limiter le contenu de la communication en fournissant au SCRS un tableau ne contenant que le nom, le lieu de naissance, le statut ou les antécédents d’immigration et la nature de l’affiliation. Dans la correspondance par courriels, IRCC a indiqué que, si le SCRS avait besoin de plus amples détails ou souhaitait plutôt soumettre une demande de catégorie avancée pour un individu ou tous les individus concernés, il serait tenu de fournir un justificatif plus détaillé.
COMMUNICATION 3
Le SCRS a demandé à IRCC de lui transmettre une communication avancée contenant de l’information ayant trait à plusieurs individus en invoquant le fait que le Service avait « des motifs raisonnables de croire » que les sujets auraient été en contact avec des « membres connus » d’un service de renseignement étranger. Le SCRS a tenu à préciser son raisonnement en fournissant à IRCC une quantité importante d’information contextuelle au sujet de l’entité étrangère en question et de la façon dont l’information demandée contribuerait à faire avancer l’enquête.
Le SCRS a également demandé des copies numérisées de tous les documents cités dans sa demande. IRCC a communiqué presque toutes les catégories d’information demandées par le SCRS. Dans la liste de vérification jointe à la communication, IRCC a indiqué qu’il avait caviardé l’information relative à des tiers ainsi que d’autres éléments qui n’avaient rien à voir avec la demande du SCRS.
Lorsqu’on établit une comparaison par rapport au premier cas, on voit, dans le deuxième cas, que la délimitation entre la communication élémentaire et la communication avancée au titre de la LCISC a permis d’éviter qu’IRCC transmette trop de renseignements personnels dans le cas sans plus de justification. Dans le troisième cas, même si le SCRS a fourni une justification étoffée, IRCC n’a pas inclus toutes les informations dont il disposait dans ses fonds de renseignements concernant les sujets, dans la mesure où ces informations n’étaient pas toutes pertinentes.
Critères de contribution et de proportionnalité – paragraphe 5(1)
Les communications d’information faites en vertu du paragraphe (1) de la LCISC ne peuvent avoir lieu que si IRCC est convaincu de l’application de deux critères. Premièrement, IRCC doit être convaincu que la communication permettra au SCRS d’exercer sa compétence quant aux activités qui menacent la sécurité du Canada. Deuxièmement, IRCC doit être convaincu que la communication ne portera pas atteinte au droit à la vie privée d’une personne plus qu’il n’est nécessaire compte tenu des circonstances. Lorsqu’IRCC est convaincu que les deux critères sont respectés, il « peut » procéder à une communication. Charge à l’institution qui communique de s’assurer que l’information qu’elle communique répond aux critères établis.
Bien qu’il ne soit pas tenu de transmettre une information détaillée concernant ses enquêtes, ses programmes ou ses rapports avec IRCC, le SCRS doit fournir, dans ses demandes, suffisamment d’information pour qu’IRCC puisse exercer responsablement sa discrétion. Une brève explication générale concernant le lien entre, d’une part, l’information recherchée et, d’autre part, la responsabilité et la compétence du SCRS en matière de sécurité nationale peut suffire. Toutefois, les institutions qui communiquent peuvent demander des clarifications en requérant une explication plus détaillée des activités menaçantes dont il est question dans la demande.
Pour la majorité des demandes élémentaires examinées par l’OSSNR, le SCRS a choisi d’exprimer ses justifications par des phrases vagues comme [traduction] « le sujet représente un intérêt en matière de sécurité nationale en rapport avec l’enquête du Service concernant […] » la menace en question. En revanche, l’OSSNR a remarqué d’autres demandes élémentaires où le SCRS avait clairement décrit, justifications à l’appui, en quoi l’information demandée contribuerait à faire avancer ses enquêtes. Par ailleurs, les demandes avancées contenaient presque toutes des justifications rigoureusement formulées.
Dans les lettres de demande élémentaire du SCRS, les incohérences relevées dans la description d’une activité menaçante n’ont pourtant pas souvent incité IRCC à demander de plus amples éclaircissements. Concrètement, IRCC a globalement tenu pour acquis que le SCRS ne demanderait que des informations favorisant de facto l’exercice de son mandat. L’OSSNR n’a relevé nulle part qu’IRCC menait des évaluations indépendantes fondées sur un cadre structurel ou sur des critères solides.
IRCC a indiqué que, dans ses communications, il caviardait toute information qu’il juge non pertinente de sorte à veiller à ce que seuls les renseignements pertinents soient communiqués. Or, IRCC n’était pas toujours convaincu par les justifications fournies par le SCRS, particulièrement dans le cas des demandes avancées ou des demandes multiples. L’OSSNR a remarqué qu’IRCC demandait de plus amples justifications, communiquait moins d’information que demandé ou caviardait les renseignements inutiles concernant les tiers.
À défaut de justifications détaillées dans les demandes soumises au titre de la LCISC, on court le risque de compromettre la conformité aux dispositions de l’alinéa 5(1)b). Par conséquent, les institutions qui reçoivent devraient fournir aux institutions qui communiquent l’information et les justificatifs qui sauront les convaincre que le critère de contribution est respecté. Pour qu’elle soit suffisante, l’analyse des activités qui menacent la sécurité du Canada nécessite qu’IRCC en connaisse les circonstances.
La recommandation présentée ci après s’inscrit dans la lignée de celles qui ont été formulées dans le cadre de l’examen réalisé par l’OSSNR en 2024, à savoir qu’IRCC ne devrait pas automatiquement accepter, sans une évaluation indépendante, la demande d’une institution appelée à recevoir. L’examen recommandait également qu’IRCC ne communique qu’un minimum d’information raisonnablement nécessaire, de sorte à protéger la vie privée des individus concernés et à respecter les normes juridiques stipulées dans la LCISC . The review also recommended that IRCC disclose only the minimum information reasonably necessary to protect individuals’ privacy in the circumstances and comply with the legal standards of the SCIDA.
En 2024, IRCC a indiqué qu’il avait reçu un nombre accru de demandes de communications concernant des personnes mineures et a pris contact avec le SCRS pour veiller au respect de leur vie privée. Toutefois, la politique en place à IRCC pour ce qui a trait à la LCISC n’aborde pas le traitement des personnes mineures dans le contexte des communications assujetties au régime.
L’OSSNR a remarqué qu’IRCC faisait preuve d’incohérence dans son approche relative à la communication d’information concernant des personnes mineures et qu’il ne caviardait pas l’information adéquatement dans bon nombre des communications examinées. Dans au moins un cas, IRCC a indiqué qu’il avait caviardé l’information relative à une personne mineure. Toutefois, l’OSSNR a remarqué qu’IRCC n’avait pas toujours appliqué le caviardage là où c’était requis. En effet, son nom, sa date de naissance et son numéro d’identité national avaient été laissés sans caviardage ailleurs dans la même communication. Dans d’autres communications, IRCC a soit caviardé complètement l’information concernant une personne mineure, soit décidé de ne faire aucune communication.
The care attendant to a minor’s privacy rights in other areas of the law (as seen in, among others, the Criminal Code, the Youth Criminal Justice Act and various international conventions) indicates that minors may also attract a heightened privacy expectation in a national security context. Children under 16, for example, may not have a choice in submitting applications for passports which are completed on their behalf by a parent or guardian.
Obligation de détruire ou de remettre à l’expéditeur – paragraphe 5.1(1)
Le paragraphe 5.1(1) de la LCISC exige la destruction ou la remise, dès que possible après leur réception, des renseignements personnels qui lui sont communiqués au titre de l’article 5 et qui ne sont pas nécessaires à l’exercice de sa compétence ou de ses attributions prévues par une loi fédérale à l’égard d’activités portant atteinte à la sécurité nationale du Canada. Le SCRS n’est pas visé par cette exigence stipulée au paragraphe 5.1(3) lorsqu’il conserve une communication du fait qu’elle se rapporte à l’exercice de ses fonctions aux termes de l’article 12 de la Loi sur le SCRS.
En 2024, le SCRS représentait la seule institution à relever les communications contenant de l’information qui avait été détruite ou remise à l’expéditeur au titre du paragraphe 5.1(1) : trois ont été jugées comme ne prêtant pas à déclaration obligatoire, une était inadmissible (mauvais sujet) et une avait été communiquée par IRCC avant que le SCRS n’arrive à annuler la demande, bien que la communication n’ait pas été diffusée.
Separately, NSIRA identified one disclosure where CSIS retained personal information about the wrong individual. In early 2024, CSIS sent a letter to IRCC requesting a foreign citizen’s current and past applications for the past five years. As the request was made before the tiered process had been implemented, IRCC’s disclosure was extensive and included full visa and work permit applications, as well as unredacted familial and financial information.
Peu après la réception de la communication, le SCRS a conclu que l’individu en question n’était pas le sujet de la demande. Malgré l’exigence voulant que l’information soit détruite, le SCRS l’a entièrement conservée « à des fins de référence ». Lorsqu’on l’a interrogé à ce sujet, le SCRS a confirmé que la communication n’aurait dû être conservée [traduction] « ni en partie ni totalement » et que la question avait été renvoyée à la section interne responsable de la conformité.
L’article 12 de la Loi sur le SCRS permet au Service, dans la mesure où c’est strictement nécessaire, de collecter, d’analyser et de conserver de l’information concernant les activités représentant une menace pour la sécurité du Canada. Toutefois, comme le SCRS n’a pas déclaré que cette information avait été conservée au titre de l’article 12 de la Loi sur le SCRS – il n’était donc pas nécessaire de la conserver –, l’exception visée au paragraphe 5.1(3) de la LCISC ne s’appliquait pas. Le SCRS était donc tenu de détruire ou de remettre à l’expéditeur l’information au titre du paragraphe 5.1(1).
4. Conclusion
Le présent examen marque la sixième année consécutive où l’OSSNR étudie la conformité des institutions du GC aux dispositions de la LCISC. Au vu des communications examinées, l’OSSNR a conclu que les institutions répondaient généralement aux exigences en matière de communication et de gestion des documents.
L’OSSNR a noté d’importantes améliorations qui ont considérablement renforcé les processus de demande et de communication entre IRCC et le SCRS, ce qui a permis d’accroître le degré de conformité. Toutefois, l’OSSNR a également reconnu des risques dans la façon dont IRCC applique les principales exigences stipulées dans les alinéas 5(1)a) and 5(1)b) de la LCISC.
En outre, l’OSSNR a relevé de possibles occurrences de non conformité aux dispositions du paragraphe 5.1(1) de la LCISC en raison de la conservation de renseignements personnels qui avaient été jugés non nécessaires.
Les recommandations que l’OSSNR a formulées dans le cadre du présent examen visent à aider les institutions qui communiquent et celles qui reçoivent à suivre les normes de la LCISC en matière de protection des renseignements personnels, ce qui leur permettra d’apporter des améliorations quant à la protection de la sécurité nationale et à l’exercice des mandats qui leur sont respectivement conférés par la loi.
Annexe A. Historique des communications au titre de la LCISC
| Institution qui communique l'information | Institution destinataire désignée au titre de la LCISC (annexe 3) | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ASFC | ACIA | CCSN | ARC | CST | SCRS | MDN/FAC | Finances | CANAFE | AMC | Sante | IRCC | ASPC | SP | GRC | TC | TOTAL | |
| 2023 | |||||||||||||||||
| ASFC | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 2 (2) | – | 2 (2) |
| AMC | – | – | – | – | 1 (1) | 10 (0) | – | – | – | – | – | – | – | – | – | – | 15 (1) |
| RCC | – | – | – | – | 58 (0) | 194 (7) | – | – | – | – | – | – | – | – | – | – | 252 (7) |
| TOTAL | – | – | – | – | 59 (1) | 204 (7) | – | – | – | – | – | – | – | – | 6 (2) | – | 269 (10) |
| 2022 | |||||||||||||||||
| ASFC | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 4 | – | 4 |
| AMC | – | – | – | – | – | 39 | 2 | – | – | – | – | – | – | – | 12 | – | 53 |
| IRCC | – | – | – | – | 59 | 56 | – | – | – | – | – | – | – | – | – | – | 115 |
| GRC | – | – | – | – | – | – | – | – | – | – | – | 1 | – | – | – | – | 1 |
| TOTAL | – | – | – | – | 59 | 95 | 2 | – | – | – | – | 1 | – | – | 16 | – | 173 |
| 2021 | |||||||||||||||||
| MDN/FAC | – | – | – | – | – | 2 | – | – | – | – | – | – | – | – | – | – | 2 |
| AMC | – | – | – | – | – | 41 | – | – | – | – | – | 1 | – | – | 2 | – | 44 |
| IRCC | – | – | – | – | 68 | 79 | – | – | – | 2 | – | – | – | – | – | – | 149 |
| TOTAL | – | – | – | – | 68 | 122 | – | – | – | 2 | – | 1 | – | – | 2 | – | 195 |
| 2020 | |||||||||||||||||
| ASFC | – | – | – | – | – | 1 | – | – | – | – | – | – | – | – | 3 | – | 4 |
| AMC | – | – | – | – | 1 | 25 | – | – | – | – | – | 1 | – | – | 13 | – | 40 |
| IRCC | – | – | – | – | 60 | 61 | – | – | – | – | – | – | – | – | 37 | 1 | 159 |
| GRC | – | – | – | – | – | – | – | 1 | – | – | 3 | – | 5 | – | – | – | 9 |
| TC | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 2 | – | 2 |
| Autres | – | – | – | – | – | 1 | – | – | – | – | – | – | – | – | – | – | 1 |
| TOTAL | – | – | – | – | 61 | 88 | 1 | – | – | 3 | – | 6 | – | – | 55 | 1 | 215 |
| 2019 | |||||||||||||||||
| ASFC | – | – | – | – | – | 1 | – | – | – | – | – | – | – | – | 2 | – | 3 |
| AMC | – | – | – | – | – | 23 | – | – | – | – | – | 3 | – | 1 | 15 | – | 42 |
| IRCC | – | – | – | – | 5 | 17 | 1 | – | – | – | – | – | – | – | 36 | – | 59 |
| GRC | – | – | – | 4 | – | – | – | – | 1 | 3 | – | 1 | – | – | – | – | 9 |
| TC | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 1 | – | 1 |
| TOTAL | – | – | – | 4 | 5 | 41 | 1 | – | 1 | 3 | – | 4 | – | 1 | 54 | – | 114 |
Annexe B. Conclusions et recommeandations
L’OSSNR a formulé les conclusions et les recommandations suivantes dans le cadre de son examen.
Analyse des volumes et des tendances
Constatation 1. L’OSSNR constate que le nombre des communications d’IRCC transmises au SCRS en vertu de la LCISC s’est considérablement accru en 2024.
Exigences relatives à la conservation des documents – article 9
Constatation 2. L’OSSNR constate, d’après l’échantillon de communications examiné, que chacune des institutions ayant communiqué ou reçu de l’information au titre de la LCISC en 2024 avait respecté les obligations prévues à l’article 9 pour ce qui concerne la conservation des documents.
Entente de communication d’information – alinéa 4c)
Conclusion 3 : L’OSSNR constate que le CST a transmis à IRCC plus d’information que nécessaire dans trois des demandes de communication qu’il a soumises au titre de la LCISC.
Recommandation 1 : L’OSSNR recommande que le CST, lorsqu’il demande une communication au titre de la LCISC, limite sa transmission d’information à ce qu’IRCC a reconnu comme étant pertinent pour ses fonds d’information.
Exigences en matière de communication d’information – article 5
Constatation 4. L’OSSNR constate que la mise en place, par IRCC et le SCRS, d’un processus de demande et de communication à plusieurs étapes a entraîné une réduction de la quantité des renseignements de tiers communiqués par IRCC, ce qui a permis de renforcer la conformité à la LCISC.
Constatation 5. L’OSSNR constate des cas où l’information que le SCRS a fournie à IRCC était limitée, ce qui a affaibli la capacité d’IRCC à respecter, en tant qu’institution qui communique, son obligation de vérifier que l’information communiquée concerne bel et bien une activité qui menace la sécurité du Canada.
Recommandation 2 : L’OSSNR recommande qu’au besoin, IRCC demande des éclaircissements de la part des institutions demanderesses pour veiller à disposer de toute l’information pertinente qui est requise pour remplir les obligations qui lui incombent en tant qu’institution qui communique au titre de la LCISC avant de procéder à la communication.
Constatation 6 : L’OSSNR constate qu’IRCC ne disposait d’aucune politique pouvant régir la communication, au titre de la LCISC, d’information concernant les personnes mineures.
Recommandation 3 : L’OSSNR recommande qu’IRCC instaure une politique sur la communication d’information se rapportant aux personnes mineures, qui reconnaisse les droits particuliers de ces personnes.
Obligation de détruire ou de remettre à l’expéditeur – paragraphe 5.1(1)
Constatation 7 : L’OSSNR constate que le SCRS pourrait ne s’être pas conformé aux dispositions du paragraphe 5.1(1) de la LCISC lorsqu’il a conservé une communication contenant des renseignements personnels dont il n’avait pas besoin pour exercer sa compétence.
Recommandation 4 : L’OSSNR recommande que le SCRS détruise tous les renseignements personnels qui lui ont été transmis dans une communication et qui n’étaient pas nécessaires à l’exercice de sa compétence.
