J’ai le plaisir de vous présenter le Plan ministériel 2025-2026 du Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement. Ce plan décrit les priorités et les objectifs clés que nous poursuivrons au cours de la prochaine année pour appuyer le travail essentiel de l’OSSNR qui permettra d’assurer la reddition de comptes et de maintenir la confiance du public à l’égard des activités en matière de sécurité nationale et de renseignement.
Le rôle du Secrétariat consiste à fournir l’expertise, les ressources et le soutien qui permettront à l’OSSNR d’exercer son mandat efficacement. À mesure que nous progressons, nous continuons de mettre l’accent sur la promotion d’une culture axée sur le professionnalisme, la transparence et l’amélioration continue. En outre, cet engagement constitue la base sur laquelle se fondent tous les aspects de notre travail, et ce, du soutien aux examens indépendants jusqu’à la facilitation d’enquêtes menées en temps opportun et en toute équité.
L’année qui s’amorce sera propice au renforcement de nos processus et à l’amélioration de l’approche suivant laquelle nous nous acquitterons de nos responsabilités. En s’appuyant sur les connaissances acquises lors de travaux antérieurs, en améliorant les capacités internes et en favorisant la collaboration avec les partenaires, le Secrétariat veillera à ce que l’OSSNR continue d’obtenir des résultats significatifs et de grande qualité.
Il reste des difficultés à résoudre, notamment, la complexité de l’accès à l’information nécessaire et la gestion de l’imprévisibilité des procédures, mais le Secrétariat s’engage à résoudre ces difficultés avec diligence. Grâce à une communication claire, à un engagement proactif et à une application continue des normes de service, nous nous efforcerons d’atténuer les risques et d’atteindre les résultats prévus. Nos réussites sont possibles grâce au dévouement et au professionnalisme des membres de l’équipe du Secrétariat. Je leur suis reconnaissant des efforts soutenus qu’ils ont consentis pour appuyer le mandat de l’OSSNR et appliquer un cadre de sécurité nationale axé sur la reddition de comptes et la transparence.
Je vous invite à examiner le présent plan ministériel pour obtenir de plus amples renseignements concernant les priorités que nous avons établies et les résultats que nous voulons atteindre au cours des 12 prochains mois.
Charles Fugère Directeur général Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement
Plans d’exécution des responsabilités essentielles et des services internes
Responsabilités essentielles et services internes
Responsabilité essentielle 1 : Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
Services internes
Responsabilité essentielle 1 : Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
Description
L’OSSNR examine les activités liées à la sécurité nationale et au renseignement du gouvernement du Canada pour vérifier si elles sont légales, raisonnables et nécessaires. En outre, l’OSSNR enquête de façon indépendante et en temps opportun sur les plaintes du public ayant trait aux activités du Service canadien du renseignement de sécurité (SCRS), du Centre de la sécurité des télécommunications (CST), de la Gendarmerie royale du Canada (GRC) de même que sur d’autres types de plaintes connexes.
Le Secrétariat de l’OSSNR appuie l’Office de surveillance dans l’exercice de son mandat. Le contrôle indépendant contribue à renforcer le cadre de responsabilisation pour les activités de sécurité nationale et de renseignement, et à accroître la confiance du public. Ainsi, les ministres et les Canadiens sont informés quant à savoir si les activités de sécurité nationale et de renseignement entreprises par les institutions du gouvernement du Canada sont légales, raisonnables et nécessaires.
Répercussions sur la qualité de vie
The NSIRA Secretariat’s core responsibility relates most closely to the indicator ‘confidence in institutions‘, within the ‘democracy and institutions’ subdomain and under the overarching domain of ‘good governance’.
Indicateurs, résultats et cibles
La présente section fournit des renseignements sur les indicateurs du ministère, les résultats réels des trois derniers exercices financiers déclarés, les cibles et les échéances approuvées en 2020-2021 s’appliquant aux examens en matière de sécurité nationale et du renseignement et aux enquêtes sur les plaintes. Lesdits renseignements sont présentés par résultat ministériel.
Tableau 1 : Les ministres et les Canadiens sont informés quant à savoir si les activités des institutions du gouvernement du Canada en matière de sécurité nationale et de renseignement sont légales, raisonnables et nécessaires.
Le tableau 1 fournit un résumé de l’objectif et des résultats réels pour chaque indicateur associé aux résultats relatifs aux examens en matière de sécurité nationale et de renseignement et aux enquêtes sur les plaintes.
Indicateur
Résultats réels
Cible
Date d’atteinte
Tous les examens obligatoires sont réalisés annuellement.
2021–22: 100 %
2022–23: 100 %
2023–24: 100 %
100 % des examens obligatoires ont été achevés.
Décembre 2022
Des examens portant sur les activités en matière de sécurité nationale ou de renseignement d’au moins cinq ministères ou organismes fédéraux sont réalisés chaque année.
2021–22: 100 %
2022–23: 100 %
2023–24: 100 %
Au moins une activité en matière de sécurité nationale ou de renseignement est examinée dans au moins cinq ministères ou organismes fédéraux chaque année.
Décembre 2022
Toutes les activités de sécurité nationale ou de renseignement jugées hautement prioritaires approuvées par les membres sont examinées tous les trois ans
2021–22: 33 %
2022–23: 33 %
2023–24: 33 %
Achèvement de 100 % sur trois ans; achèvement d’au moins 33 % chaque année.
Décembre 2022
Tableau 2 : Les plaintes relatives à la sécurité nationale font l’objet d’une enquête indépendante réalisée en temps opportun
Indicateur
Résultats réels
Cible
Date d’atteinte
Pourcentage des enquêtes réalisées dans le respect des normes de service du Secrétariat de l’OSSNR
La section suivante décrit les résultats prévus pour les examens en matière de sécurité nationale et de renseignement et les enquêtes sur les plaintes en 2025-2026.
Les ministres et les Canadiens sont informés quant à savoir si les activités des institutions du gouvernement du Canada en matière de sécurité nationale et de renseignement sont légales, raisonnables et nécessaires.
Les résultats que nous prévoyons atteindre
Le travail d’examen sera alimenté et guidé par les connaissances et l’expérience acquises dans le cadre des examens précédents, et cette compréhension accrue des structures organisationnelles, des réseaux, des politiques et des activités des ministères et agences sera mise à profit et sera appliquée à la sélection de nos examens ainsi qu’à leur réalisation.
Les examens en cours et les examens à venir en 2025-2026 seront menés avec le plus haut degré de rigueur et de professionnalisme. Au nombre de ces examens, il faut compter les examens obligatoires et discrétionnaires de même que les examens annuels des activités du SCRS et du CST.
Les rapports d’examen, lesquels rendent compte des résultats de nos examens, seront produits et fournis aux ministres ainsi qu’aux ministères concernés. Ils comprendront toutes les constatations et recommandations formulées en cours d’examen.
Tous les rapports d’examen seront préparés pour diffusion publique suivant des demandes d’accès à l’information et seront publiés sur le site Web de l’OSSNR, ce qui permettra aux Canadiens de prendre connaissance des résultats et des conclusions des travaux de l’OSSNR, lesquels servent à établir si les activités exercées par les institutions du gouvernement du Canada en matière de sécurité nationale et de renseignement sont légales, raisonnables et nécessaires.
Pour accentuer ses efforts en matière d’examen, le Secrétariat continuera à tirer parti des partenariats bilatéraux et multilatéraux établis avec les entités nationales et internationales de la communauté d’examen et de surveillance. Cette participation et cet engagement permettent d’élargir la base de connaissances et d’expérience du Secrétariat grâce à des échanges sur le plan des pratiques exemplaires. Ils permettent également au Secrétariat d’accroître la visibilité de l’OSSNR à l’échelle mondiale et de placer le Canada parmi les leaders de l’industrie en matière d’examen et de surveillance.
Les plaintes relatives à la sécurité nationale font l’objet d’une enquête indépendante réalisée en temps opportun
Les résultats que nous prévoyons atteindre
Le Secrétariat révisera et modifiera les règles de procédure ainsi que les procédures d’exploitation normalisées de l’OSSNR s’appliquant aux enquêtes sur les plaintes, de sorte qu’elles correspondent davantage aux pratiques exemplaires qui ont été définies. En outre, ces révisions garantiront une modernisation continue des processus.
Le Secrétariat préparera une procédure simplifiée qui permettra à l’OSSNR de traiter un nombre accru de divers types d’allégations ou de plaintes individuelles dont la portée des éléments de preuve est plus restreinte, ce qui favorisera la rapidité et l’efficacité du traitement ainsi que l’équité procédurale.
Le Secrétariat poursuivra la préparation et la création d’un milieu de travail multidisciplinaire pouvant compter sur l’expertise nécessaire pour intensifier la professionnalisation des enquêtes et des processus d’enquête de l’OSSNR.
The Secretariat will leverage its strong relationships with partners to commence work on developing procedures for all phases of the investigation of complaints against the RCMP and CBSA related to national security in preparation for the eventual coming into force of the PCRC Act, and this will include the completion of a Memorandum of Understanding (MOU) with the Civilian Review and Complainants Commission (CRCC) / the PCRC.
The Secretariat will also leverage those relationships as it prepares to support the new PCRC with its statutory obligation under the PCRC Act to report race-based and other demographic data related to complaints against the RCMP and the CBSA, namely by ensuring that NSIRA consistently reports, as necessary, on such data for complaints referred to it by the PCRC.
Principaux risques
Le Secrétariat de l’OSSNR a fait des progrès pour ce qui est d’accéder aux renseignements nécessaires à la réalisation des examens. Toutefois, il existe toujours certains risques quant à l’aptitude des entités examinées à répondre aux demandes d’information et à prioriser ces demandes, voire à fournir les accès à l’information essentielle en cours d’examen. Ce risque nuit à la capacité de l’OSSNR de livrer ses examens en temps voulu. Le Secrétariat de l’OSSNR continuera d’atténuer ces risques en fournissant des demandes d’information clairement énoncées, en veillant à ce que ces demandes soient traitées dans les délais fixés et en renvoyant les cas problèmes à un niveau hiérarchique supérieur, s’il y a lieu.
En ce qui concerne les normes de service du Secrétariat, rappelons que l’un des risques qui peuvent compromettre la réalisation des résultats prévus pour les enquêtes sur les plaintes est l’imprévisibilité procédurale des enquêtes de l’OSSNR, laquelle est attribuable à la nature quasi judiciaire de la procédure d’enquête et de l’indépendance institutionnelle dont jouissent les membres de l’OSSNR dans la conduite de leurs enquêtes.
En outre, l’imprévisibilité de la procédure peut entraîner des enquêtes plus longues que d’autres suivant la complexité de la plainte que l’OSSNR doit traiter.
Enfin, la façon dont les organismes réagissent lorsque leurs activités font l’objet de plaintes risque de ralentir considérablement le déroulement des enquêtes sur lesdites plaintes. Ainsi, pour que l’OSSNR puisse mener des enquêtes en temps opportun et pour que le Secrétariat puisse respecter ses normes de service, il faudra que les plaignants et les organismes visés fournissent les documents requis dans les délais fixés et garantissent la disponibilité des personnes aux fins d’entrevues. Comme pour les examens de l’OSSNR, il existe toujours le risque que les parties gouvernementales ne fournissent pas, dans les délais fixés par l’Office de surveillance, les preuves documentaires dont celuici a besoin. En outre, les litiges en cours contre les droits d’accès de l’OSSNR témoignent clairement de ce risque. Or, le Secrétariat continuera d’aider l’OSSNR à communiquer les attentes et les délais de manière claire et cohérente aux parties et à coordonner la représentation de l’OSSNR devant le tribunal fédéral dans les litiges connexes.
Ressources prévues pour atteindre les résultats
Tableau 3 : Ressources prévues pour atteindre les résultats pour les examens en matière de sécurité nationale et de renseignement et les enquêtes sur les plaintes
Le tableau 3 fournit un résumé des dépenses prévues et des équivalents temps plein requis pour atteindre ces résultats.
Agenda 2030 des Nations unies pour le développement durable et Objectifs de développement durable des Nations Unies
Le Secrétariat de l’OSSNR contribue à la mise en œuvre de l’Agenda 2030 et à la concrétisation des objectifs de développement durable (ODD). Dans le cadre de sa stratégie ministérielle de développement durable pour 2023-2027, le Secrétariat de l’OSSNR respecte l’ODD 10 (inégalités réduites), l’ODD 12 (consommation et production responsables) ainsi que l’ODD 13 (mesures relatives à la lutte contre les changements climatiques) en veillant à ce que ses opérations et ses activités soient conformes aux principes de durabilité, d’équité sociale et de responsabilité environnementale. En outre, les initiatives du Secrétariat visent à favoriser une approche équilibrée en matière de développement durable tout en contribuant aux avancées du Canada dans la réalisation des ODD à l’échelle mondiale.
De plus amples informations sur les contributions du Secrétariat de l’OSSNR au titre du Plan fédéral de mise en œuvre de l’Agenda 2030 du Canada et de la Stratégie fédérale de développement durable sont disponibles dans notre Stratégie ministérielle de développement durable.
Répertoire des programmes
Les examens en matière de sécurité nationale et de renseignement et les enquêtes sur les plaintes sont soutenus par le répertoire de programmes suivant :
Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes.
Supporting information on planned expenditures, human resources, and results related to the NSIRA Secretariat’s program inventory is available on GC Infobase.
Services internes
Description
Les services internes sont les services fournis au sein d’un ministère afin qu’il puisse s’acquitter de ses obligations et assurer la prestation de ses programmes. Les neuf catégories de services internes sont les suivantes :
services de gestion et de surveillance;
services de communication
services de gestion des ressources humaines;
services de gestion des finances;
services de gestion de l’information;
services des technologies de l’information;
services de gestion des biens immobiliers;
services de gestion du matériel;
services de gestion des acquisitions.
Plans visant à atteindre les cibles
Cette section présente les mesures prévues par le ministère pour obtenir les résultats et atteindre les cibles pour ce qui a trait aux services internes.
Efficacité de l’exploitation des ressources et du soutien opérationnel
En 2025-2026, le Secrétariat de l’OSSNR continuera de prendre les mesures nécessaires pour que les ressources soient déployées le plus efficacement possible et pour que ses opérations ainsi que ses structures, outils et processus administratifs continuent de répondre aux priorités. Le Secrétariat de l’OSSNR s’efforcera d’officialiser et de documenter certaines politiques, directives et lignes directrices clés devant s’appliquer aux opérations financières et à l’approvisionnement.
Objectifs stratégiques en matière de ressources humaines
Les services de RH jouent un rôle central dans l’atteinte des objectifs organisationnels en mettant en valeur un effectif hautement performant, engagé et souple. L’orientation stratégique des RH met l’accent sur l’amélioration des processus grâce à des stratégies novatrices d’acquisition des talents, de perfectionnement des employés et de maintien en poste qui cadrent avec la mission et les valeurs de l’organisation. Des programmes de perfectionnement remaniés, des possibilités de formation sur mesure, des initiatives de mentorat et des mesures conçues pour favoriser le perfectionnement professionnel font en sorte que les employés sont bien outillés pour répondre aux besoins changeants. De plus, compte tenu de son engagement à l’égard d’une culture positive en milieu de travail, le Secrétariat de l’OSSNR a réalisé des progrès notables en matière de maintien en poste des employés. Ces efforts ainsi que les initiatives axées sur le mieux-être et l’établissement d’une culture axée sur la collaboration accroissent le niveau de satisfaction au travail et favorisent le maintien en poste de l’effectif, ce qui permet à l’organisation de prospérer.
Collaboration et accessibilité accrues
Nous avons prévu de réorganiser nos systèmes internes afin de promouvoir la collaboration et l’accessibilité de l’information au sein des équipes. En outre, nous optimiserons le site Web externe de l’OSSNR de sorte qu’il soit plus accessible et qu’il respecte les objectifs de l’organisation. Ces efforts sont destinés à rationaliser les pratiques d’échange de l’information, à accroître l’efficacité opérationnelle et à favoriser un environnement de travail qui soit davantage connecté et collaboratif. Grâce à ces plans, le Secrétariat de l’OSSNR améliorera les communications internes et externes en veillant à ce que la technologie favorise l’atteinte des objectifs généraux de l’organisme.
Modernisation de la gestion de l’information et de l’administration des archives
Le Secrétariat de l’OSSNR prévoit d’établir des normes complètes de gestion et de conformité pour les archives physiques dans le but de répondre aux exigences réglementaires et organisationnelles. L’accent sera mis sur la modernisation des instruments de politique s’appliquant à la gestion de l’information, de sorte à veiller à ce que les pratiques de traitement et de stockage des données correspondent aux pratiques exemplaires couramment employées dans ce domaine. Au cours de la période 2025-2026, le Secrétariat de l’OSSNR mettra en œuvre sa nouvelle autorisation de disposition qui guidera, conformément aux lignes directrices établies, le recours aux mesures de conservation et d’élimination des documents. En outre, une approche ciblée sera adoptée en vue d’optimiser l’utilisation de GCdocs. Il s’agira notamment d’améliorer les capacités permettant une gestion efficace de l’information dans l’ensemble du Secrétariat de l’OSSNR. Ces efforts garantiront des opérations robustes et fourniront une structure qui favorisera une gouvernance efficace de l’information.
Renforcement des cadres de gestion des risques
Pour renforcer les capacités de gestion des risques de l’organisme, le plan prévoit la mise en œuvre et l’actualisation continue des contrôles de sécurité et des procédures fondées sur les risques, afin d’en garantir la pertinence et la résilience face aux nouvelles menaces. Cette démarche s’appuiera sur le renforcement du cadre interne du programme de gestion des risques et prévoira le développement d’outils plus efficaces pour évaluer, gérer et atténuer les risques dans l’ensemble de l’organisation. En améliorant ces stratégies de gestion des risques, le Secrétariat de l’OSSNR sera mieux outillé pour protéger ses opérations et ses biens et sera mieux à même de favoriser une culture de gestion proactive des risques qui contribuera à la réalisation des objectifs de l’organisation.
Ressources prévues pour atteindre les résultats
Tableau 4 : Ressources prévues pour atteindre les résultats en ce qui a trait aux services internes pour l’exercice visé
Le tableau 4 fournit un résumé des dépenses prévues et des équivalents temps plein requis pour atteindre ces résultats.
Planification de l’attribution de marchés à des entreprises autochtones
Chaque année, les ministères du gouvernement du Canada doivent respecter la cible de 5 % de la valeur totale des marchés en ce qui concerne l’attribution de marchés à des entreprises autochtones. Cet engagement doit être entièrement mis en œuvre d’ici la fin de l’exercice 2024-2025.
Dans le cadre de l’approche progressive à l’échelle du gouvernement, le Secrétariat de l’OSSNR semble en voie d’atteindre cet objectif. Des efforts sont déjà en cours en guise d’appui à l’engagement du gouvernement du Canada selon lequel chaque année, au moins 5 % de la valeur totale des marchés doivent être attribués à des entreprises autochtones.
En 20232024, ayant déjà atteint 3 % (comme le montre le tableau 5), le Secrétariat de l’OSSNR prévoyait d’atteindre l’objectif de 5 % en 2024-2025. Les mesures visant à atteindre l’objectif obligatoire comprennent l’augmentation du nombre de contrats réservés aux entreprises autochtones dans le cadre de la Stratégie d’approvisionnement auprès des entreprises autochtones au cours des trois exercices suivants.
Tableau 5 : Pourcentage des marchés attribués ou qu’il est prévu d’attribuer à des entreprises autochtones
Le tableau 5 présente les résultats actuels et réels ainsi que les résultats prévus et projetés quant au pourcentage total des marchés que l’organisme attribue à des entreprises autochtones.
Champ de déclaration de 5 %
Résultats réels de 2023-2024
Résultats prévus pour 2024-2025
Résultats projetés pour 2025-2026
Pourcentage total de marchés passés avec des entreprises autochtones
3%
5%
5%
Dépenses et ressources humaines prévues
La présente section donne un aperçu des dépenses et des ressources humaines que le Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement a prévues pour les trois prochains exercices, et compare les dépenses prévues pour l’exercice 2025-2026 avec les dépenses réelles des exercices antérieurs.
Dépenses
La présente section donne un aperçu des dépenses prévues par le ministère pour les exercices 2022-2023 à 2027-2028.
Graphique 1 Dépenses prévues par responsabilité essentielle en 2025-2026
Le graphique 1 indique les sommes que le ministère prévoit de dépenser en 2025-2026 pour l’exécution des responsabilités essentielles et la prestation des services internes.
Le graphique 1 est un diagramme à bandes qui fait état des sommes que le ministère prévoit dépenser annuellement sur les responsabilités essentielles et les services internes à partir de 2022-2023 jusqu’à 2027-2028.
Responsabilités essentielles et services internes
Dépenses prévues pour 2025-2026
Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
$11,280,435
Services internes
$8,164,617
Analyse des dépenses prévues par responsabilité essentielle
Les dépenses annuelles consacrées à l’exercice des responsabilités essentielles et à la prestation des services internes sont demeurées stables dans l’ensemble, mais aussi pour ce qui a trait au ratio des dépenses législatives par rapport aux dépenses votées. On s’attend à ce que cette situation demeure relativement stable une fois que l’organisation atteindra son état de stabilité.
Sommaire du rendement budgétaire
Tableau 6 Sommaire des dépenses de trois exercices pour les responsabilités essentielles et les services internes (en dollars)
Table 6presents how much money the NSIRA Secretariat spent over the past three years to carry out its core responsibilities and for internal services. Amounts for the current fiscal year are forecasted based on spending to date.
Responsabilités essentielles et services internes
Dépenses réelles de 2022-2023
Dépenses réelles de 2023-2024
Dépenses prévues pour 2024-2025
Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
$7,756,271
$9,110,398
$11,303,742
Total partiel
$7,756,271
$9,110,398
$11,303,742
Services internes
$10,532,876
$10,535,328
$8,181,486
Total
$18,289,147
$19,645,726
$19,485,229
Analyse des dépenses des trois derniers exercices
Alors que les dépenses prévues semblent être restées constantes au cours des trois derniers exercices et devraient rester les mêmes, la composition des dépenses a changé entre l’exercice 2022-2023 et l’exercice 2024-2025. Un grand projet d’infrastructure était en cours en 2022-2023 et a été achevé en 2023-2024, ce qui a gonflé les dépenses au sein des services internes. Depuis 2022-2023, nous avons constaté une augmentation progressive des dépenses courantes de fonctionnement et d’entretien (F et E) et des salaires, en raison de la croissance de l’organisation et de l’accession à un état stable.
Tableau 7 Dépenses prévues au cours des trois prochains exercices pour les responsabilités essentielles et les services internes (en dollars)
Le tableau 7 indique les sommes d’argent que le Secrétariat de l’OSSNR prévoit dépenser au cours des trois prochains exercices pour s’acquitter de ses responsabilités essentielles et assurer la prestation de ses services internes.
Responsabilités essentielles et services internes
Dépenses prévues pour 2025-2026
Dépenses prévues pour 2026-2027
Dépenses prévues pour 2027-2028
Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
$11,280,435
$11,296,175
$11,296,175
Total partiel
$11,280,435
$11,296,175
$11,296,175
Services internes
$8,164,617
$8,176,009
$8,176,009
Total
$19,445,052
$19,472,184
$19,472,184
Analyse des dépenses des trois prochains exercices
À mesure que l’organisation prendra de la maturité, les dépenses globales prévues devraient demeurer constantes dans un avenir prévisible. Le financement de l’organisation a été régularisé, il n’y a donc pas d’écart important à signaler.
Cette section présente un aperçu du financement voté et législatif du ministère par rapport à ses responsabilités essentielles et à ses services internes. Pour en savoir plus sur les autorisations de financement, consulter les budgets et dépenses du gouvernement du Canada.
Graphique 2 Financement approuvé (législatif et voté) pour une période de six exercices
Le graphique 2 résume le financement voté et législatif du ministère pour la période s’étendant de 2022-2023 à 2027-2028.
Le graphique 2 est un diagramme à bandes qui résume le financement voté et législatif du ministère à partir de 2022-2023 jusqu’à 2027-2028.
Exercice
Total
Crédit votés
Postes législatives
2022–23
$29,791,019
$28,063,351
$1,727,668
2023–24
$24,388,394
$22,633,165
$1,755,229
2024–25
$19,458,632
$17,857,264
$1,601,368
2025–26
$19,445,052
$17,697,005
$1,748,047
2026–27
$19,472,184
$17,720,195
$1,751,989
2027–28
$19,472,184
$17,720,195
$1,751,989
Analyse du financement législatif et voté pour une période de six exercices
Avec la création de l’OSSNR en 2019, il a fallu plus d’espace pour réaliser l’état stable prévu des ETP au sein de l’organisation. Pour répondre à ce besoin, un important projet d’infrastructure a été financé jusqu’en mars 2024, même si le projet a été achevé en août 2024. Ce décalage explique la diminution du financement en 2023-2024, puis en 2024-2025. À partir de 2024-2025, l’organisation a presque atteint l’état d’équilibre prévu, ce qui se reflète dans un budget annuel constant.
For further information on the NSIRA Secretariat’s departmental appropriations, consult the 2025-26 Main Estimates.
État condensé prospectif des opérations
L’état condensé prospectif des opérations donne un aperçu des activités du Secrétariat de l’OSSNR pour la période s’étendant de 2024-2025 à 2025-2026.
Tableau 8 État condensé prospectif des opérations pour l’exercice terminé le 31 mars 2026 (dollars)
Le tableau 8 résume les charges et les revenus affectant le coût de fonctionnement avant le financement du gouvernement et les transferts pour la période de 2024-2025 à 2025-2026. Les montants prévus et projetés dans le présent état des opérations ont été préparés selon la méthode de la comptabilité d’exercice. Les montants prévus et projetés qui sont présentés dans d’autres sections du Plan ministériel ont été établis selon la méthode de comptabilité axée sur les dépenses. Les montants peuvent donc différer.
Renseignements financiers
Résultats prévus pour 2024-2025
Résultats projetés pour 2025-2026
Différence (prévus moins projetés)
Total des charges
$21,201,414
$21,394,362
$192,948
Total des revenus
$0
$0
$0
Coût de fonctionnement net avant le financement du gouvernement et les transferts
$21,201,414
$21,394,362
$192,948
Analyse des résultats prévus et projetés
Bien qu’il n’y ait pas d’écart important entre les résultats projetés pour 2025-2026 et ceux prévus pour 2024-2025, de légères augmentations de l’amortissement des immobilisations corporelles et des services fournis sans frais sont prévues en raison de la réalisation d’un grand projet d’infrastructure qui a été converti d’une immobilisation en cours à une immobilisation au milieu de 2024-2025.
De plus amples détails sur l’état des résultats prospectif et des notes connexes pour 2025-2026, lesquels font état d’un rapprochement du coût net des opérations avec les autorisations demandées, sont accessibles sur le site Web du Secrétariat de l’OSSNR.
Ressources humaines
La présente section présente un aperçu des ressources humaines réelles et prévues du ministère pour la période de 2022-2023 à 2027-2028.
Tableau 9 : Ressources humaines réelles pour les responsabilités essentielles et les services internes
Le tableau 9 fournit, en équivalents temps plein, un résumé des ressources humaines associées aux responsabilités essentielles et aux services internes du Secrétariat de l’OSSNR pour les trois derniers exercices. Les ressources humaines pour l’exercice en cours sont prévues en fonction des données de l’exercice à ce jour.
Responsabilités essentielles et services internes
Nombre d’équivalents temps plein réels pour 2022-2023
Nombre d’équivalents temps plein réels pour 2023-2024
Nombre d’équivalents temps plein prévus pour 2024-2025
Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
53
51
69
Total partiel
53
51
69
Services internes
25
24
31
Total
78
75
100
Analyse des ressources humaines des trois derniers exercices
Le nombre de nos employés à temps plein a progressé de manière significative au cours de l’année écoulée, ce qui témoigne de notre croissance continue et de notre engagement à développer notre organisation. Le taux de roulement a été nettement inférieur cette année, ce qui s’explique en grande partie par l’engagement ferme de l’organisation en faveur d’une culture d’entreprise saine pour ses employés. Le Secrétariat de l’OSSNR a donné à son personnel et à ses cadres les moyens de coordonner efficacement leurs responsabilités professionnelles. Cette démarche est complétée par des efforts visant à mettre en œuvre des priorités organisationnelles claires et à supprimer les cloisonnements au sein de l’organisation. En outre, l’organisation fournit des ressources qui favorisent la santé mentale et physique, créant ainsi un environnement favorable où les employés se sentent valorisés. Ces initiatives sont associées à des opportunités de développement professionnel et à une culture de collaboration.
Tableau 10 : Sommaire de la planification des ressources humaines pour les responsabilités essentielles et les services internes
Le tableau 10 présente des renseignements sur les ressources humaines en équivalents temps plein, pour les responsabilités essentielles et les services internes du Secrétariat de l’OSSNR prévus au cours des trois prochains exercices.
Responsabilités essentielles et services internes
Nombre
d’équivalents temps
plein prévus en
2025-2026
Nombre
d’équivalents temps
plein prévus en
2026-2027
Nombre d’équivalents temps plein prévus en
2027-2028
Examens en matière de sécurité nationale et de renseignement et enquêtes sur les plaintes
69
69
69
Total partiel
69
69
69
Services internes
31
31
31
Total
31
31
31
Analyse des ressources humaines pour les trois prochains exercices
Le Secrétariat de l’OSSNR s’attend à ce que son effectif soit complet en 2025-2026. L’attrition devrait être faible au cours des prochaines années. Par conséquent, le Secrétariat de l’OSSNR prévoit un niveau constant de dotation d’une année à l’autre.
Renseignements ministériels
Profil du ministère
Ministre de tutelle : Le très honorable Mark Carney, premier ministre du Canada
Administrateur général : Charles Fugère, directeur général
Portefeuille ministériel : Bureau du Conseil privé
Instrument habilitant : Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement
Année d’incorporation et de création : 2019
Coordonnées de l’organisation
Adresse postale :
Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement Case postale 2430, succursale B
Ottawa, Ontario K1P 5W5
Courriel : info@nsira-ossnr.gc.ca
Site Web : nsira-ossnr.gc.ca
Dépenses fiscales fédérales
Le Plan ministériel du Secrétariat de l’OSSNR ne comprend pas de renseignements sur les dépenses fiscales.
Il est possible de recourir au système fiscal pour atteindre des objectifs de politique publique en appliquant des mesures spéciales, comme de faibles taux d’imposition, des exemptions, des déductions, des reports et des crédits. Le ministère des Finances Canada publie chaque année des estimations et des projections du coût de ces mesures dans le Rapport sur les dépense fiscales fédérales.
Le présent rapport fournit aussi des renseignements généraux détaillés sur les dépenses fiscales, dont des descriptions, des objectifs, des données historiques et des renvois aux programmes de dépenses fédérales connexes ainsi qu’aux évaluations et aux résultats de l’ACS Plus liés aux dépenses fiscales.
Annexe : définitions
appropriation(crédit)
Autorisation donnée par le Parlement d’effectuer des paiements sur le Trésor.
budgetary expenditures(dépenses budgétaires)
Dépenses de fonctionnement et en capital; paiements de transfert à d’autres ordres de gouvernement, à des ministères ou à des particuliers; et paiements à des sociétés d’État.
core responsibility(responsabilité essentielle)
Fonction ou rôle permanent exercé par un ministère. Les intentions du ministère concernant une responsabilité essentielle se traduisent par un ou plusieurs résultats ministériels auxquels le ministère cherche à contribuer ou sur lesquels il veut avoir une influence.
plan ministériel connexe(plan ministériel)
Exposé des plans et du rendement attendu d’un ministère qui reçoit des crédits parlementaires. Les plans ministériels couvrent une période de trois ans et sont habituellement présentés au Parlement au printemps.
departmental result(résultat ministériel)
Effet ou résultat que vise un ministère. Un résultat ministériel échappe généralement au contrôle direct des ministères, mais il devrait être influencé par les résultats des programmes.
departmental result indicator (indicateur de résultat ministériel)
Mesure quantitative des progrès réalisés par rapport à un résultat ministériel.
departmental results framework(cadre ministériel des résultats)
Cadre qui établit un lien entre les responsabilités essentielles et les résultats ministériels ainsi que les indicateurs de résultat ministériel d’un ministère.
Rapport sur les résultats ministériels(rapport sur les résultats ministériels)
Rapport qui présente les réalisations réelles d’un ministère par rapport aux plans, aux priorités et aux résultats attendus énoncés dans le Plan ministériel correspondant.
full‑time equivalent(équivalent temps plein)
Mesure utilisée pour représenter une année-personne complète d’un employé dans le budget ministériel. Pour un poste donné, le nombre d’équivalents temps plein représente le rapport entre le nombre d’heures travaillées par une personne, divisé par le nombre d’heures normales prévues dans sa convention collective.
gender-based analysis plus (GBA Plus)(analyse comparative entre les sexes plus [ACS Plus])
Est un outil analytique servant à l’élaboration de politiques, de programmes et d’autres initiatives adaptés et inclusifs. Il s’agit d’un processus permettant de comprendre qui est impacté par l’enjeu ou l’occasion abordée par l’initiative; de déterminer comment l’initiative pourrait être adaptée aux différents besoins des personnes les plus impactées; de même que d’anticiper et de lever les obstacles empêchant d’accéder à l’initiative ou d’en bénéficier. L’ACS Plus est une analyse intersectionnelle qui va au-delà des différences biologiques (sexe) et socioculturelles (genre), pour prendre en compte d’autres facteurs tels que l’âge, le handicap, l’éducation, l’ethnicité, la situation économique, la géographie (y compris la ruralité), la langue, la race, la religion et l’orientation sexuelle.
L’utilisation de l’ACS Plus implique d’adopter dans notre travail une approche qui tienne compte du genre et de la diversité. Prendre en compte tous les facteurs identitaires intersectionnels dans le cadre de l’ACS Plus, pas seulement le sexe et le genre, est un engagement du gouvernement du Canada.
government priorities(priorités gouvernementales)
Aux fins du Plan ministériel 2025-2026, les priorités gouvernementales sont les thèmes généraux décrivant le programme du gouvernement dans le discours du Trône.
horizontal initiative(initiative horizontale)
Initiative dans le cadre de laquelle deux ministères fédéraux ou plus reçoivent du financement dans le but d’atteindre un résultat commun, souvent associé à une priorité du gouvernement.
entreprise autochtone (Indigenous business)
For the purpose of the Directive on the Management of Procurement Appendix E: Mandatory Procedures for Contracts Awarded to Indigenous Businesses and the Government of Canada’s commitment that a mandatory minimum target of 5% of the total value of contracts is awarded to Indigenous businesses, a department that meets the definition and requirements as defined by the Indigenous Business Directory.
non‑budgetary expenditures(dépenses non budgétaires)
Autorisations non budgétaires comprenant des opérations sur l’actif et le passif pour des prêts, des placements et des avances ou des comptes à fins déterminées, établis en vertu de lois particulières ou d’autorisations non législatives dans le budget des dépenses et ailleurs. Les opérations non budgétaires sont des dépenses et des rentrées liées aux créances du gouvernement envers des tiers et à ses obligations à l’égard de ces derniers. Les opérations non budgétaires incluent l’ensemble des opérations portant sur les prêts, les investissements et les avances de fonds; en comptant et en comptes débiteurs; en fonds publics reçus ou perçus à des fins admises; et tout autre actif et responsabilité. Les autres biens ou obligations, qui ne sont pas définis de façon précise dans les codes d’autorisations G à P, doivent être enregistrés sous un code R, qui est le code d’autorisation résiduel pour tous les autres biens et obligations.
performance (rendement)
Utilisation qu’une organisation a faite de ses ressources en vue d’obtenir ses résultats, mesure dans laquelle ces résultats se comparent à ceux que l’organisation souhaitait obtenir, et mesure dans laquelle les leçons retenues ont été cernées.
performance indicator(indicateur de rendement)
Moyen qualitatif ou quantitatif de mesurer un extrant ou un résultat en vue de déterminer le rendement d’un ministère, d’un programme, d’une politique ou d’une initiative par rapport aux résultats attendus.
plan(plan)
Exposé des choix stratégiques qui montre comment un ministère entend réaliser ses priorités et obtenir les résultats connexes. De façon générale, un plan explique la logique qui sous-tend les stratégies retenues et tend à mettre l’accent sur des mesures qui se traduisent par des résultats attendus.
planned spending(dépenses prévues)
En ce qui a trait au Plan ministériel et au Rapport sur les résultats ministériels, montants présentés dans le Budget principal des dépenses.
Un ministère est censé être au courant des autorisations qu’il a demandées et obtenues. La détermination des dépenses prévues relève du ministère, et ce dernier doit être en mesure de justifier les dépenses et les augmentations présentées dans son Plan ministériel et son Rapport sur les résultats ministériels.
program(programme)
Services et activités, pris séparément ou en groupe, ou une combinaison des deux, qui sont gérés
ensemble au sein d’un ministère et qui portent sur un ensemble déterminé d’extrants, de résultats ou
de niveaux de services.
program inventory(répertoire des programmes)
Compilation de l’ensemble des programmes du ministère qui décrit la manière dont les ressources sont organisées pour s’acquitter des responsabilités essentielles du ministère et atteindre ses résultats prévus.
result(résultat)
Conséquence attribuable en partie aux activités d’un ministère, d’une politique, d’un programme ou d’une initiative. Les résultats ne relèvent pas d’un ministère, d’une politique, d’un programme ou d’une initiative unique, mais ils s’inscrivent dans la sphère d’influence du ministère.
statutory expenditures(dépenses législatives)
Dépenses approuvées par le Parlement à la suite de l’adoption d’une loi autre qu’une loi de crédits. La loi précise les fins auxquelles peuvent servir les dépenses et les conditions dans lesquelles elles peuvent être effectuées.
target (cible)
Niveau mesurable du rendement ou du succès qu’un ministère, un programme ou une initiative prévoit atteindre dans un délai précis. Une cible peut être quantitative ou qualitative.
voted expenditures(dépenses votées)
Dépenses approuvées annuellement par le Parlement par une loi de crédits. Le libellé de chaque crédit énonce les conditions selon lesquelles les dépenses peuvent être effectuées.
Review of Government of Canada Institutions’ Disclosures of Information Under the Security of Canada Information Disclosure Act in 2023: Backgrounder
Examen des Communications d’Information par des Institutions Fédérales au titre de la loi sur la Communication d’Information ayant trait à la Sécurité du Canada en 2023
Fiche d'information
Fiche d'information
Des Loi sur la communication d’information ayant trait à la sécurité du Canada (SCIDA) is intended to facilitate information sharing across government for national security purposes. Disclosures under SCIDA tend to include considerable personal information, such as passport information, citizenship status, and information gathered by diplomatic missions.
L’OSSNR est chargé d’examiner annuellement les communications effectuées au cours de l’année civile précédente et de soumettre un rapport dans lequel il formule des constatations et des recommandations à l’intention du ministre de la Sécurité publique.
Annual reviews of disclosures by NSIRA are key to ensuring that Government of Canada (GC) institutions use SCIDA in a manner that respects the Canadian Charter of Rights and Freedoms and the privacy rights of the individuals whose information is being disclosed.
Le présent rapport fait état des résultats d’un examen que l’OSSNR a réalisé quant aux communications faites en 2023. En outre, ce rapport a été déposé devant le Parlement par le ministre de la Sécurité publique, conformément au paragraphe 39(2) de la Loi sur l’OSSNR, le 13 juin 2025.
Depuis qu’il a commencé à vérifier, il y a cinq ans, le respect de la Loi par les institutions du GC, l’OSSNR a formulé des recommandations visant à favoriser un niveau de conformité accru au sein des institutions du GC. Ces institutions ont ainsi perfectionné leurs pratiques et affichent désormais une compréhension toujours plus approfondie des obligations qui leur incombent.
Cette année, pour la première fois depuis l’entrée en vigueur de la LCISC, l’OSSNR a constaté une conformité pleine et entière aux dispositions de la Loi. Ainsi, le rapport présente sept recommandations visant à renforcer les pratiques des institutions du GC et à garantir le maintien de ce niveau élevé de conformité.
Review of Government of Canada Institutions’ Disclosures of Information Under the Security of Canada Information Disclosure Act in 2023: Report
Examen des Communications d’Information par des Institutions Fédérales au titre de la loi sur la Communication d’Information ayant trait à la Sécurité du Canada en 2023
Ministère de la défense nationale/Forces armées canadiennes
CANAFE
Centre d’analyse des opérations et déclarations financières du Canada
ACIA
Affaires mondiales Canada
GC
Gouvernement du Canada
IRCC
Immigration, Réfugiés et Citoyenneté Canada
OSSNR
Office de surveillance des activités en matière de sécurité nationale et de renseignement
ASPC
Agence de la santé publique du Canada
SP
Sécurité publique Canada
GRC
Gendarmerie royale du Canada
SAID
Loi sur la communication d’information ayant trait à la sécurité du Canada
TC
Transports Canada
Glossaire
Critère de contribution
Le premier élément du seuil minimum à respecter avant qu’une institution puisse communiquer de l’information en vertu de la LCISC est que cette institution doit avoir conclu que la communication aidera à l’exercice de la compétence ou des
attributions de l’institution fédérale destinataire à l’égard « d’activités portant atteinte à la sécurité du Canada » [alinéa 5(1)a)].
Critère de proportionnalité
Le second élément du seuil minimum à respecter avant qu’une institution puisse communiquer de l’information en vertu de la LCISC est que cette institution doit avoir conclu « que l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances » [alinéa 5(1)b)].
Sommaire
L’objectif du présent examen était d’établir si les institutions du gouvernement du Canada (GC) se conformaient aux prescriptions de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) relativement à la
communication d’information et à la conservation des documents en 2023. L’examen
avait pour objet d’établir si les institutions du GC utilisaient les ententes de
communication d’information conformément aux principes directeurs de la LCISC.
L’examen a également été l’occasion d’enregistrer des données concernant le volume
des communications et de dégager des tendances quant au recours à la LCISC dans
l’ensemble des institutions du GC et à travers le temps.
L’année visée est la cinquième au cours de laquelle les institutions du GC ont eu
recours à la LCISC, mais aussi la cinquième suivant laquelle l’OSSNR examine la
conformité de ces institutions aux dispositions de la Loi. Chaque année, l’OSSNR a
formulé des recommandations, lesquelles visaient à promouvoir la conformité à la Loi.
Ainsi, au cours des cinq dernières années, les institutions du GC ont perfectionné leurs
pratiques et ont constamment approfondi leur compréhension de leurs propres
obligations. Par conséquent, pour la première fois depuis l’entrée en vigueur de la
LCISC, l’OSSNR a constaté une conformité intégrale aux dispositions de la LCISC.
Ainsi, l’OSSNR a pu consacrer son examen à une analyse approfondie du critère de
contribution et du critère de proportionnalité dont il est question dans la LCISC.
Par exemple, certaines communications d’Immigration, Réfugiés et Citoyenneté Canada
(IRCC), bien que conformes à la LCISC, comportaient un risque élevé de
non-conformité à ces deux critères. En outre, l’une des communications concernait des
activités de protestation. Elle a soulevé des préoccupations quant à la façon dont IRCC
était arrivé à la conclusion que ladite communication avait trait à des activités portant
atteinte à la sécurité du Canada et qu’elle répondait donc aux dispositions visées à
l’alinéa 5(1)a) de la LCISC. Trois autres communications ont également été source de
préoccupations quant à la quantité de renseignements personnels qu’IRCC avait
communiqué au titre de l’alinéa 5(1)b) et suivant son évaluation de la proportionnalité.
Les lettres de demande du SCRS – sur lesquelles IRCC s’appuie souvent pour évaluer
la conformité au paragraphe 5(1) – ont parfois manqué de clarté. Or, cette nébulosité a
fait obstacle aux efforts d’IRCC dans sa tentative d’établir si la communication était bel
et bien autorisée en vertu de la LCISC.
Pour ce qui a trait à l’exactitude et à la fiabilité, IRCC a fourni des modèles d’énoncés
qui n’étaient pas toujours pertinents ou adaptés aux circonstances de la communication.
Dans un cas, l’Agence des services frontaliers du Canada (ASFC) a fait une
communication verbale qui ne comportait aucun énoncé relatif à l’exactitude ou à la fiabilité au moment de la transmission. En outre, le formulaire de documentation des
communications prenait le contre-pied de la LCISC en indiquant que la fourniture
d’information sur l’exactitude et la fiabilité était facultative.
Suivant les principes directeurs de la LCISC et les recommandations formulées
précédemment par l’OSSNR, IRCC et le Centre de la sécurité des
télécommunications (CST) ont conclu une entente de communication d’information.
L’OSSNR a formulé sept recommandations visant à atténuer les risques de
non-conformité et à enregistrer les pratiques exemplaires devant servir de guide au
cours des années à venir.
1. Introduction
Fondements législatifs
This review was conducted pursuant to subsections 8(1)(b) and 39(1) of the Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR)
The review satisfies the NSIRA Act’s section 39 requirement for NSIRA to submit a report to the Minister of Public Safety on disclosures made under the Loi sur la communication d’information ayant trait à la sécurité du Canada (SCIDA, Act) during the previous calendar year.
Portée de l’examen
L’objectif du présent examen était d’établir si les institutions du gouvernement du
Canada (GC) se conformaient aux prescriptions de la LCISC relatives à la
communication d’information et à la conservation des documents. L’examen avait
pour objet d’établir si les institutions du GC utilisaient les ententes de
communication d’information conformément aux principes directeurs de la LCISC.
L’examen a également été l’occasion d’enregistrer des données concernant le
volume des communications et de mettre en évidence les schèmes que l’on peut
tirer quant au recours à la LCISC dans l’ensemble des institutions du GC et à
travers le temps.
L’examen porte, notamment, sur toutes les institutions du GC qui ont communiqué
ou reçu de l’information au titre de la LCISC en 2023 : l’Agence des services
frontaliers du Canada (ASFC), le Centre de la sécurité des
télécommunications (CST), le Service canadien du renseignement de
sécurité (SCRS), Affaires mondiales Canada (AMC), Immigration, Réfugiés et
Citoyenneté Canada (IRCC) et la Gendarmerie royale du Canada (GRC).
L’examen a également porté sur Sécurité publique Canada (SP), qui fournit des
consignes stratégiques ainsi que de la formation au sujet de la LCISC dans
l’ensemble du GC.
Méthodologie
Pour toutes les communications effectuées en 2023, l’OSSNR a évalué la
conformité aux exigences administratives aux obligations prévues par la LCISC en
matière de conservation des documents.
L’OSSNR a evalué la conformité aux exigences fondamentales de la LCISC en
matière de communication d’information lorsqu’il s’est penché sur un échantillon
ciblé de 27 communications, lesquelles avaient été choisies en fonction des
critères énoncés en annexe A.
Énoncés généraux
La Loi sur l’OSSNR accorde à l’OSSNR le droit d’accéder en temps voulu à toute
information qu’un ministère contrôle ou qu’il a en sa possession (sauf les
documents confidentiels du Cabinet) et de recevoir, de la part des ministères, les
documents et les explications que l’OSSNR juge nécessaire d’obtenir. L’OSSNR
suit de près la coopération qui s’établit à la suite des demandes d’accès,
notamment la complétude et l’exactitude des communications, lesquelles
alimentent l’évaluation globale de la réactivité d’un ministère lors de chacun des
examens.
Pendant le déroulement de l’examen, tous les organismes concernés ont répondu
aux attentes de l’OSSNR sur le plan de la réactivité.
2. Contexte
La LCISC établit une autorité expresse et autonome permettant aux institutions du
GC de communiquer entre elles des renseignements afin d’assurer la protection du
Canada contre les activités portant atteinte à la sécurité nationale. L’objet de la Loi
est d’encourager et de faciliter ces communications de renseignements.
L’article 9 de la LCISC impose des obligations en matière de conservation des
documents à toutes les institutions qui communiquent ou reçoivent de l’information
au titre de la Loi. Pour sa part, le paragraphe 9(3) exige que ces documents soient
remis à l’OSSNR dans les 30 jours suivant la fin de chaque année civile.
Le paragraphe 5(1) de la LCISC autorise les institutions du GC à communiquer de
l’information – sous réserve de toute interdiction ou restriction prescrite par
d’autres lois ou règlements – à des institutions désignées, dès lors que l’institution
qui communique est convaincue : a) que la communication aidera à l’exercice de la
compétence ou des attributions de l’institution fédérale destinataire à l’égard des
activités portant atteinte à la sécurité du Canada (le « critère de contribution »); et b) que l’incidence de la communication sur le droit à la vie privée d’une personne
sera limitée à ce qui est raisonnablement nécessaire dans les circonstances (le
« critère de proportionnalité »).
Or, le paragraphe 5(2) exige qu’au moment de la communication, les institutions
qui transmettent l’information fournissent des renseignements sur l’exactitude de
l’information et la fiabilité quant à la façon dont celle-ci a été obtenue.
Lorsqu’une institution du GC reçoit de l’information au titre de la Loi, le
paragraphe 5.1(1) exige que cette institution détruise ou remette à l’expéditeur
tous les renseignements personnels dès que possible après leur réception.
Les principes directeurs de la LCISC insistent sur la notion voulant que la
communication efficace et responsable d’information permette de protéger le
Canada et les Canadiens. L’alinéa 4c) propose que les institutions du GC
concluent une entente de communication d’information avec toute institution
fédérale destinataire à laquelle elles communiquent fréquemment de l’information.
3. Constatations, analyse et recommandations
Analyse des volumes et des tendances
En 2023, les institutions du GC ont effectué, en tout, 269 communications au titre
de la LCISC (voir le tableau 1).
Tableau 1 : Nombre de communications effectuées au titre de la LCISC selon les
institutions qui ont communiqué et les institutions destinataires [toutes les
communications (communications proactives)]
Institution destinataire désignée
Institution qui communique l'information
ASFC
ACIA
CCSN
ARC
CST
SCRS
MDN et FAC
Finance
CANAFE
ACIA
Sante
IRCC
ASPC
SP
GRC
TC
TOTAL (proactives)
ASFC
–
–
–
–
–
–
–
–
–
–
–
–
–
–
2
(2)
–
2
(2)
ACIA
–
–
–
–
1
(1)
10
(0)
–
–
–
–
–
–
4
(0)
–
15
(1)
–
53
(32)
IRCC
–
–
–
–
58
(0)
194
(7)
–
–
–
–
–
–
–
–
–
–
252
(7)
TOTAL (proactives)
–
–
–
–
59
(1)
204
(7)
–
–
–
–
–
1
(0)
–
–
6
(2)
–
263
(10)
Le nombre des communications s’est accru de 55 % depuis 2022, renversant ainsi
la tendance à la baisse que l’on avait observée au cours des années précédentes.
Ce changement de cap découle principalement de l’augmentation de 246 % du
nombre des communications venant d’IRCC à destination du SCRS. De fait, le
SCRS attribue cette augmentation à un changement stratégique qui a mené le
Service à faire appel à la LCISC pour demander de l’information qu’IRCC
fournissait auparavant au titre de la Loi sur la protection des renseignements
personnels.
Comme pour les années précédentes, c’est en réaction à une demande que les
institutions ayant communiqué ont envoyé de l’information dans la grande majorité
des cas. Ainsi, seulement 4 % des communications ont été faites de façon
proactive par les institutions qui ont communiqué.
Exigences relatives à la conservation des documents –
article 9
Constatation 1. NSIRA found that every institution that disclosed or received information pursuant to SCIDA in 2023 complied with their record keeping obligations under section 9, but some records were inaccurate or imprecise.
L’article 9 de la LCISC impose des obligations en matière de conservation des
documents à toutes les institutions qui communiquent, mais aussi aux institutions
qui reçoivent de l’information consécutivement à une communication. Au nombre
de ces exigences, il faut compter celle voulant que les documents liés à la
communication décrivent l’information et indiquent si celle-ci a été détruite ou
conservée par le destinataire. Le recoupement que l’OSSNR a établi entre les
documents fournis par les institutions qui ont communiqué et ceux des institutions
destinataires a révélé certaines inexactitudes, lesquelles ont été résolues suivant
des discussions tenues avec les institutions après la réception desdits documents :
d’après l’alinéa 9(2)a), le CST n’a pas inscrit le bon nombre des sujets visés
par la communication dans quatre cas (sur un total de 59);
d’après l’alinéa 9(2)e), des documents du SCRS qui devaient indiquer si
l’information reçue avait été détruite ou conservée contenaient des
informations contradictoires;
d’après l’alinéa 9(1)a), des documents d’IRCC contenaient des descriptions
contradictoires de l’information communiquée.
L’OSSNR n’a pas été en mesure de concilier l’information fournie au sujet d’un cas
où l’ASFC avait fait une communication verbale à la GRC. À partir des documents
initialement fournis par la GRC et l’ASFC, l’OSSNR n’a pas été en mesure d’établir
avec certitude quels renseignements personnels avaient été transmis ni quand
ceux-ci avaient été fournis. Or, en réponse à une recommandation tirée du rapport
d’examen que l’OSSNR a produit pour 2022 au sujet de la LCISC, l’ASFC a
élaboré un formulaire visant à donner un aperçu des communications produites.
En l’occurrence, le formulaire était incomplet et contredisait la copie de
communication qui a également été remise à l’OSSNR.
Comme il l’a fait l’an dernier, l’OSSNR souligne l’importance de la précision
administrative, laquelle doit être appliquée lors de la préparation des documents.
De plus, l’OSSNR note qu’un aperçu des documents – lorsqu’il est adéquatement
préparé – favorise la conformité aux exigences de la LCISC en matière de
conservation des documents.
L’OSSNR a relevé plusieurs occurrences où l’institution qui a communiqué n’avait
pas fourni, au titre de l’alinéa 9(1)e), un énoncé explicite concernant l’information
ayant permis de convaincre cette institution appelée à communiquer que le critère
de proportionnalité avait été respecté2. Trois de ces communications ont fait partie
de l’échantillon ciblé en vue de l’évaluation des critères de contribution et de
proportionnalité.
Critères de contribution et de proportionnalité –
paragraphe 5(1)
Constatation 2. Conclusion no 6 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.
Pour évaluer la conformité aux dispositions du paragraphe 5(1), l’OSSNR a
d’abord pris en compte les énoncés formels préparés par les institutions ayant
communiqué au titre de l’alinéa 9(1)e), lesquels décrivent les renseignements sur
lesquels les institutions se sont fondées pour conclure que la communication était autorisée par la Loi. Lorsqu’un énoncé formel a été fourni, l’OSSNR l’a analysé et
corroboré en examinant tous les autres documents fournis par les institutions du
GC ayant trait à la communication en question. Les documents additionnels fournis
n’ont suscité aucune préoccupation pour ce qui concerne la conformité aux
alinéas 5(1)a) et 5(1)b).
Pour les 27 communications faisant partie de l’échantillon, l’institution qui a
communiqué a fourni un énoncé formel montrant qu’elle était convaincue que la
communication contribuerait à l’exercice de la compétence ou des attributions de
l’institution destinataire.
Pour 24 des 27 communications, l’institution qui a communiqué a fourni un énoncé
formel montrant qu’elle était convaincue que la communication n’aurait une
incidence sur la vie privée d’aucune personne à moins que cette incidence ne soit
raisonnablement nécessaire dans les circonstances. Quant aux trois autres
communications, elles ne comportaient aucun énoncé formel, mais d’autres
documents fournis par les institutions ayant communiqué montraient néanmoins
que celles-ci étaient convaincues du respect du critère de proportionnalité.
Bien que l’OSSNR ait constaté que les institutions respectaient généralement les
dispositions des alinéas 5(1)a) et 5(1)b), les évaluations des critères de
contribution et de proportionnalité d’IRCC ont affiché quelques lacunes. Ces
lacunes sont à l’origine des constatations 3 et 4.
Recommandation 1 : L’OSSNR recommande que les institutions qui communiquent de l’information tiennent compte explicitement des exigences des alinéas 5(1)a) et 5(1)b) dans les documents qu’elles préparent au titre de l’alinéa 9(1)e) de la LCISC.
Exceptions prévues par la LCISC : défense d’une cause, protestation ou
manifestation d’un désaccord
Conclusion 3 :Constatation 3. L’OSSNR a constaté
qu’en une occasion, IRCC n’avait pas
considéré en toute autonomie que sa
communication aurait pu avoir trait à
des activités relevant de l’exception
énoncée dans la LCISC concernant
la défense d’une cause, les
protestations ou les manifestations
d’un désaccord. IRCC se disait plutôt
convaincue du critère de contribution
énoncé dans la LCISC en tenant pour
acquis que le SCRS ne se penchait
que sur les activités portant atteinte à
la sécurité du Canada.
Le critère de contribution dont il est question à l’alinéa 5(1)a) exige que l’institution
qui communique détermine si sa communication a trait à des activités portant
atteinte à la sécurité du Canada. Définies dans la Loi, ces activités comprennent,
par exemple, espionner, se livrer à une activité secrète influencée par l’étranger,
se livrer au terrorisme ou encore entraver de manière considérable ou à grande
échelle le fonctionnement d’infrastructures essentielles. Dans sa définition de la
notion d’activité portant atteinte à la sécurité du Canada, le paragraphe 2(2) de la
LCISC énonce qu’il y a exception lorsqu’il s’agit d’activités de défense d’une
cause, de protestation, de manifestation d’un désaccord ou d’expression artistique.
En soi, celles-ci ne constituent pas des activités portant atteinte à la sécurité du
Canada. L’exception prévue par la loi aide à établir des distinctions entre, d’une
part, les formes légitimes de dissidence politique et, d’autre part, les menaces
contre la sécurité nationale.
Dans un cas, le SCRS a demandé à IRCC de lui fournir de l’information détaillée
sur une personne. La demande visait à obtenir les demandes de passeports en
cours de traitement et soumises antérieurement, alors que ces documents
contiennent une quantité importante de renseignements personnels3. Le SCRS a
justifié sa demande en fournissant un extrait d’article de presse qui rapportait des
paroles prononcées publiquement par une personne qui prenait part à une
protestation.
IRCC n’a pas demandé de justifications additionnelles de la part du SCRS. IRCC a
donc communiqué les renseignements relatifs à la demande de passeport de la
personne en question – lesquels comprenaient des renseignements sur une
personne associée – de même que le numéro du passeport de ladite personne, mais aussi le lieu et la date de délivrance ainsi que la date d’expiration du
passeport.
Lorsque l’OSSNR a demandé en vertu de quels motifs on a jugé que le critère de
contribution avait été respecté, IRCC a répondu qu’il [traduction] « tient pour
acquis que le partenaire indiquera précisément que la personne en question est
liée à une activité portant atteinte à la sécurité du Canada ». Le fonctionnaire
d’IRCC qui a autorisé la communication a d’ailleurs ajouté qu’IRCC tenait pour
acquis que le SCRS ne s’était pas fondé uniquement sur les paroles citées dans
l’article de presse, et ce, compte tenu des limites du pouvoir que le SCRS peut
exercer lorsqu’il s’agit d’enquêter sur des activités licites de défense d’une cause,
de protestation ou de manifestation d’un désaccord au titre de la Loi sur le SCRS.
En effet, la Loi sur le SCRS comporte une exemption qui empêche le SCRS
d’enquêter sur les activités licites de défense d’une cause, de protestation ou de
dissidence lorsqu’aucune menace ne se manifeste en lien avec les activités
énoncées dans la Loi sur le SCRS. Cependant, le libellé de la LCISC « activités
portant atteinte à la sécurité du Canada » se distingue intentionnellement de celui
de la Loi sur le SCRS « menace envers la sécurité du Canada ». Cette distinction
exprime l’intention du législateur voulant que l’institution qui communique procède
à sa propre évaluation de conformité aux exigences.
Subsection 5(1) of the SCIDA explicitly places the onus on the disclosing entity to assure itself that the disclosure is authorized. The process by which an institution satisfies itself should be grounded in an independent and factual assessment. In that context, a mere acquiesce of a request would not be sufficient, nor would a de facto reliance on the recipient respecting their enabling legislation. The threshold of satisfaction imports an objective standard that must be based on facts.
PS guidance notes that although the threshold imposed by subsection 5(1) does not hold institutions to perfection, they must make all reasonable efforts to satisfy themselves that the information will contribute to the recipient’s national security mandate. When encountering activities occurring in the context of political dissent or a protest, NSIRA expects institutions with a national security mandate to exercise caution when requesting information relating to an activity protected under the Charte canadienne des droits et libertés (Charter) to further an investigation. At the same time, in this case, IRCC should have obtained more information prior to disclosure, to substantiate what activities were undermining the security of Canada to ensure the exception did not apply.
Recommandation 2 : NSIRA recommends that IRCC amend their SCIDA policy to underscore that IRCC must independently assess whether the disclosure is authorized. This assessment should consider whether the activity amounts to one of the exceptions to the SCIDA’s definition of activities that undermine the security of Canada.
Nouvelle approche de la LCISC relativement au critère de proportionnalité
Constatation 4. Constatation 4. L’OSSNR a constaté qu’au cours de 2023, IRCC avait exercé une
rigueur accrue dans ses évaluations de la proportionnalité à l’égard des communications
de données de passeports. Toutefois, l’OSSNR a remarqué trois occurrences où IRCC
a communiqué des renseignements sur des visas sans avoir appliqué la même
approche rigoureuse, ce qui posait le risque de communiquer plus de renseignements
personnels que raisonnablement nécessaire dans les circonstances.
À l’été 2023, IRCC a adopté une norme renforcée permettant de bien vérifier que
les intérêts d’aucune personne en matière de vie privée ne seraient touchés plus
que raisonnablement nécessaire lorsque des données de passeports sont
communiquées au SCRS. Selon IRCC, ce changement a été le résultat d’une
recommandation de l’OSSNR voulant qu’IRCC dise expressément, dans ses
documents, si le critère de proportionnalité avait été respecté. En outre, non
seulement IRCC a-t-il adapté ses pratiques en matière de tenue de documents,
mais il a également dirigé son attention vers la question importante en
l’occurrence. En effet, IRCC a examiné de près l’impact que ses communications
pourraient avoir sur la vie privée lorsqu’il répond à des demandes provenant du
SCRS.
Par conséquent, dès lors que le SCRS ne lui fournissait pas de motifs suffisants,
IRCC se faisait plutôt conservateur sur le plan des communications d’information.
Par exemple, IRCC a commencé à expurger les renseignements sur les
personnes associées, qui étaient inscrits dans les demandes de passeport, à
limiter la fourniture de renseignements concernant les demandes antérieures et à
éviter de communiquer les renseignements concernant les demandes présentées par des personnes mineures. IRCC a adopté une approche itérative4 quant à la
communication de données de passeports, ce qui a favorisé la prise en compte
des intérêts des personnes en matière de vie privée par rapport aux besoins du
destinataire et de son enquête.
La nouvelle approche qu’IRCC applique lorsqu’il s’agit d’évaluer la proportionnalité
des communications de données de passeports n’a pas été appréciée par le
SCRS, qui estime que le fait de recevoir des demandes de passeport caviardées
constitue une entrave « majeure » aux enquêtes menées au titre de l’article 125.
Dans une correspondance interne, un analyste du SCRS a indiqué préférer que
[traduction] « IRCC ne filtre pas l’information et laisse plutôt le SCRS faire les
évaluations nécessaires à partir de sa connaissance des menaces [pour la sécurité
nationale] ».
Quoique, la nature discrétionnaire des communications au titre de la LCISC fait en
sorte qu’IRCC peut choisir s’il communiquera ou non de l’information et, le cas
échéant, quelle information sera communiquée. À IRCC, les procédures
opérationnelles normalisées au titre de la LCISC indiquent que les demandes de
communication doivent comporter suffisamment d’information pour justifier la
diffusion d’information concernant des tiers. En vertu de la LCISC, IRCC a la
compétence voulue pour demander et obtenir de telles justifications avant de
communiquer de l’information.
L’attention accrue qu’IRCC a portée aux intérêts en matière de vie privée dans le
contexte des communications relatives aux demandes de passeports n’a pas été
reportée sur l’information collectée depuis les demandes de visas. Il importe de
noter que cette distinction n’est pas un facteur qu’il faudrait prendre en compte
lorsqu’il s’agit d’évaluer la proportionnalité. En vertu de la LCISC, les intérêts des citoyens et des non-citoyens en matière de vie privée doivent être évalués de la
même façon, et ne seront traités différemment, dans le cas d’une demande de
visa, que s’il n’y a pas lieu d’avoir une attente raisonnable en matière de vie
privée.
L’annexe B donne de plus amples détails sur trois communications suivant
lesquelles IRCC a transmis au SCRS de l’information sur les visas de plus de
20 personnes, et ce, sans avoir d’abord établi les faits nécessaires à la réalisation
d’une évaluation éclairée concernant la proportionnalité. Dans ces cas, ou bien
l’identité du sujet de la demande était inconnue ou bien le lien entre le sujet de la
communication et la menace n’avait pas encore été établi. L’OSSNR se serait
attendu à ce qu’IRCC suive une approche plus itérative quant à la communication
de cette information, conformément à l’approche qu’elle a préconisée vers la fin
de 2023 à l’égard des communications de données de passeports. Une telle
approche itérative aurait donné lieu à la communication des renseignements
élémentaires uniquement, et ce, jusqu’à ce qu’un lien plus évident ait été établi
avec l’activité portant atteinte à la sécurité du Canada ou jusqu’à ce que l’identité
de la personne soit confirmée.
En outre, les cas présentés à l’annexe B ne sont pas conformes à la politique
d’IRCC, laquelle souligne que « [l]a communication […] d’une quantité de
renseignements personnels plus grande que nécessaire peut constituer une
atteinte à l’attente raisonnable en matière de respect de la vie privée d’une
personne, qui est un droit protégé par la Charte canadienne des droits et libertés ».
Il s’agit là d’un élément important dans la mesure où la proportionnalité d’une
communication donnée peut être un facteur déterminant s’agissant d’établir le
caractère raisonnable au regard de la Charte.
Sous le régime de la LCISC, et comme l’expliquent les consignes de SP,
l’évaluation du critère de proportionnalité ne sert pas forcément à déterminer si la
communication doit avoir lieu ou non, mais aide plutôt à établir la portée de ce qui
peut être communiqué. Ainsi, il aurait été légitime qu’IRCC évalue les
répercussions que la communication de chaque élément d’information aurait sur la
vie privée des personnes concernées.
Recommandation 3 : NSIRA recommends that IRCC apply an iterative approach to its proportionality assessments, with a view to disclosing only the minimum information reasonably necessary in the circumstances to enable the recipient institution to further their investigation.
Lettres de demande du SCRS
Constatation 5. Constatation 5.L’OSSNR a constaté que dans les demandes que le SCRS a soumises
à IRCC, le Service a employé une terminologie manquant de cohérence et des libellés
manquant souvent de clarté quant à la relation entre le sujet de la demande et l’enquête
dont celui-ci faisait l’objet. En outre, il est arrivé que les communications affichant ce
manque de clarté constituent autant d'obstacles aux efforts qu’IRCC consentait pour
savoir s’il pouvait être certain que lesdites communications étaient autorisées au titre de
la LCISC.
Il se trouve que 96 % des communications d’IRCC à destination du SCRS ont été
transmises en réponse à une demande. IRCC a utilisé l’information contenue dans
les lettres de demande du SCRS pour s’assurer qu’une communication répondait
au critère de contribution ainsi qu’au critère de proportionnalité. Certes, IRCC peut
à loisir demander de plus ample information de la part du SCRS pour s’assurer
que la communication est bel et bien autorisée, mais dans la majorité des cas où le
Service a soumis des demandes de communication, IRCC a étayé ses évaluations
uniquement à partir de l’information que le SCRS lui avait fournie dans ses lettres
de demande.
L’OSSNR a examiné toutes les lettres de demande que le SCRS a acheminées à
IRCC. Il s’avère que le SCRS a employé un large éventail de termes pour justifier
son intérêt à l’égard du sujet d’une demande. Voici quelques-uns de ces termes :
le sujet a retenu l’attention du Service;
le sujet est d’intérêt en raison de sa participation possible à;
le sujet est d’intérêt en lien avec;
le sujet serait présumément l’associé d’une cible;
le sujet serait lié à la menace;
la personne fait l’objet d’une enquête du Service;
le sujet est visé par une enquête du Service;
le sujet est associé de très près à un sujet visé par une enquête du SCRS.
Dans la plupart des cas, le SCRS n’a pas défini ces termes. Il n’a pas non plus
fourni de plus ample information quant aux raisons pour lesquelles le sujet était
d’intérêt.
En outre, le SCRS a employé les mêmes termes (ou des termes semblables) pour
faire allusion à divers niveaux d’intérêt. Par exemple, les expressions « associé de
très près à » et « visé par une enquête du Service » ont été employées dans le cas
de personnes qui n’étaient pas reconnues comme ayant pris part à des activités
liées à une menace ou de personnes que le SCRS soupçonnait d’avoir pris part à
des activités liées à une menace. Dans un autre cas, la lettre de demande du
SCRS indiquait que les sujets étaient liés à la menace, alors que le lien entre la
menace et lesdits sujets n’avait pas été établi.
En conséquence de ces incohérences et de ce manque de clarté, IRCC n’arrivait
pas à saisir les nuances entre les notions censément essentielles à ses
évaluations de la proportionnalité. Ce problème était exacerbé par le fait que le
SCRS avait tendance à demander « toute l’information » associée au sujet/aux
sujets d’une demande donnée.
La relation entre l’information demandée et une enquête représente un facteur
important qu’IRCC prend en compte lorsqu’il s’agit d’évaluer la proportionnalité.
D’ailleurs, la nouvelle approche choisie par IRCC pour l’évaluation de la
proportionnalité tient compte du fait que les renseignements sur les personnes
associées qui sont contenus dans les demandes de passeports pourraient ne pas
être essentiels à l’enquête. Par conséquent, IRCC a souvent choisi d’expurger
certains renseignements sur les tierces personnes, à moins que le SCRS ait fourni
des indications selon lesquelles ces tierces personnes étaient ou pourraient être
impliquées dans l’activité liée à la menace. Dans l’un des nombreux cas, le SCRS
a indiqué que le sujet de la demande était [traduction] « associé de très près à un
sujet visé par une enquête du SCRS ». IRCC a donc demandé des explications
permettant d’établir un lien évident entre le sujet de la demande et l’enquête en
question. Comme le SCRS n’a pas fourni les explications demandées, IRCC a
choisi d’annuler la communication dans la mesure où il n’était pas convaincu
qu’elle répondait au critère de proportionnalité.
Il est essentiel que le SCRS transmette l’information uniformément et dans un
libellé qui soit clair étant donné qu’IRCC s’appuie sur cette information lorsqu’il procède à son analyse de la proportionnalité. C’est particulièrement vrai
lorsqu’IRCC communique de l’information sur les personnes associées.
Lorsqu’elles demandent de l’information au titre de la LCISC, les institutions
destinataires devraient, en toute logique, favoriser la conformité des institutions qui
communiquent aux critères minimums prescrits par la LCISC en employant une
terminologie qui soit claire et uniforme.
Vers la fin de 2023, le SCRS a amorcé la centralisation des procédures
s’appliquant aux demandes de communication qu’il soumet à IRCC au titre de la
LCISC, ce qui devrait favoriser l’uniformisation. Puisqu’en 2023, aucune demande
n’a été soumise au moyen des nouveaux formulaires normalisés, l’OSSNR n’a pas
été en mesure d’évaluer l’effet tangible des changements apportés
Recommandation 4 : NSIRA recommends that CSIS use consistent terminology, and be clear about the nature of the link that has been established between the subject of a request and its investigation, to assist IRCC in satisfying itself of the proportionality test.
Énoncé concernant l’exactitude et la fiabilité – paragraphe 5(2)
Conslusion 6 : Constatation 6. L’OSSNR a constaté que dans toutes les communications
d’information, les institutions qui ont communiqué avaient fourni des précisions pour ce
qui a trait à l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci a été
obtenue. Toutefois, l’ASFC a fait une communication verbale qui ne contenait aucun
énoncé explicite quant à l’exactitude ou à la fiabilité.
En vertu de la LCISC, les ministères sont tenus de fournir des précisions quant à
l’exactitude de l’information et à la fiabilité des moyens par lesquels l’information à
communiquer a été obtenue. En outre, ils doivent fournir ces précisions au moment
de la communication.
Toutes les communications écrites effectuées en 2023 contenaient un énoncé
relatif à l’exactitude et à la fiabilité. Toutefois, l’ASFC a communiqué verbalement
et de façon proactive un tuyau à la GRC (dont il est question au paragraphe 19 de
la présente) dans lequel l’ASFC n’a fourni aucun énoncé explicite concernant
l’exactitude ou la fiabilité au moment de la communication.
Bien que la même information ait été communiquée de nouveau par écrit deux
semaines plus tard, l’énoncé sur l’exactitude et la fiabilité n’a été transmis par écrit à la GRC qu’environ deux mois plus tard, au moment où l’ASFC communiquait de
l’information additionnelle relativement au sujet concerné.
Le paragraphe 5(2) indique que « l’information » relative à l’exactitude et à la
fiabilité « doit » être fournie au moment de la communication. Dans le cas présent,
l’OSSNR estime que le fait d’annoncer à la GRC que l’information communiquée
avait été obtenue grâce à un tuyau constituait en soi une information sur
l’exactitude et la fiabilité. Cela dit, un énoncé explicite transmis par écrit est
considéré comme une pratique exemplaire. Bien que les communications
transmises verbalement ne soient pas interdites, les consignes de SP indiquent
que « [l]es conversations informelles ne devraient pas remplacer le processus
officiel de communication ou les obligations en matière de conservation des
dossiers ».
Recommandation 5 : NSIRA recommends that institutions avoid making verbal disclosures whenever possible. When they must occur, verbal disclosures should explicitly convey the requisite information on accuracy and reliability.
Conclusion 7 : NSIRA found that CBSA’s record of disclosure form contradicts the SCIDA by allowing officials to opt out of providing information regarding accuracy and reliability.
La politique de l’ASFC fait correctement état du caractère obligatoire de la
fourniture d’information concernant l’exactitude et la fiabilité, ce qui n’est pourtant
pas le cas du nouveau formulaire de documentation des demandes. Le formulaire
comporte une case à cocher (oui/non) permettant d’indiquer si un énoncé
confirmant l’exactitude et la fiabilité a été fourni à l’institution destinataire. Lorsque
l’agent de l’ASFC coche la case « non », une boîte interactive lui demande
d’expliquer pourquoi il a choisi de ne pas fournir ledit énoncé. En l’occurrence, il
convient de conclure que la mesure est optionnelle, ce qui permet à l’ASFC de ne
pas répondre à l’exigence en question.
En outre, le formulaire n’indique pas que l’énoncé doit être fourni au moment de la
communication, tel que le demande expressément la LCISC.
Recommendation 6. Recommandation 6. L’OSSNR recommande que l’ASFC fasse en sorte que son
formulaire de documentation des communications s’harmonise avec les dispositions de
la LCISC en énonçant le caractère obligatoire de la fourniture d’information sur
l’exactitude et la fiabilité au moment de la communication.
Conclusion 8 : NSIRA found that IRCC used templated language to describe the disclosure’s accuracy and reliability that was not always relevant or specific to the circumstances of the disclosure.
De fait, toutes les communications d’IRCC effectuées en 2023 affichaient le même
énoncé quant à l’exactitude et à la fiabilité :
[Traduction] « l’information incluse dans la présente communication a
été fournie par le sujet au fil des diverses demandes qu’il a formulées
auprès d’IRCC. Le sujet a déclaré que les renseignements qu’il avait
fournis aux fins desdites demandes étaient véridiques, complets et
exacts. L’information incluse dans la présente communication est
exacte et fiable pour autant que le sujet ait été honnête lorsqu’il a fourni
des renseignements à notre ministère. En outre, IRCC ne détient
aucune information pouvant remettre en question l’exactitude et la
fiabilité de l’information fournie par le sujet.
Il y a eu plusieurs cas où cet énoncé fourni par IRCC ne correspondait pas aux
circonstances de la communication. Par exemple, l’énoncé présenté plus haut
faisait partie d’une communication pour laquelle aucun dossier d’immigration ou de
demande de passeport n’a été trouvé, et dont la seule révélation consistait à
confirmer l’absence de dossiers. Le même énoncé a été utilisé dans des
communications concernant des demandes de passeport générales pour enfants,
lesquelles avaient été remplies par les parents ou les tuteurs légaux et non par les
sujets eux-mêmes. Lorsqu’il a uniquement communiqué l’état de citoyen au CST,
IRCC a quand même inclus le même énoncé, alors que l’information communiquée
n’avait pas été fournie par le sujet dans le contexte de sa demande. Dans l’un des
cas, IRCC a utilisé le même énoncé dans la communication, mais s’est néanmoins
contredit en indiquant également que pour certaines raisons, il était possible que
l’information ne soit pas exacte.
Tous ces cas témoignent d’une tendance suivant laquelle on se contente de
reproduire l’information sur l’exactitude et la fiabilité sans vraiment porter attention
à la pertinence de l’énoncé.
Lorsqu’il propose des consignes concernant l’énoncé sur l’exactitude et la fiabilité,
le guide de SP stipule que « [l]es formules (modèles) doivent être évitées, à moins
que la nature et la source des informations communiquées ne découlent d’un
processus de routine ». IRCC produit un nombre important de communications
chaque année. Certes, certains éléments de langage peuvent être recyclés, mais il
est néanmoins nécessaire que chaque énoncé témoigne fidèlement du contenu de
la communication qu’il accompagne. L’OSSNR a recommandé antérieurement que
les énoncés soient formulés clairement et qu’ils soient adaptés aux circonstances
de la communication.
Recommendation 7. NSIRA recommends that IRCC tailor its statements on accuracy and reliability as to ensure that each disclosure’s statement is specific to the circumstances of the case.
Entente de communication d’information – alinéa 4c)
Conclusion 9 : L’OSSNR a constaté que les communications qui ont eu lieu entre
IRCC et le CST après l’entrée en vigueur de l’entente de communication d’information
qu’ils avaient conclue étaient conformes aux dispositions de la LCISC et aux termes de
ladite entente.
À l’occasion d’examens qu’il a précédemment réalisés concernant la LCISC,
l’OSSNR a noté que certains ministères évoquaient régulièrement la LCISC au
point de nécessiter la conclusion d’ententes de communication d’information (ECI),
une pratique encouragée par l’alinéa 4c) de la LCISC. En 2022, l’OSSNR a
recommandé qu’IRCC et le CST concluent une ECI appelée à régir leurs
communications au titre de la LCISC.
En août 2023, IRCC et le CST ont signé une ECI. Dans l’ensemble, la nouvelle
ECI conclue entre IRCC et le CST favorise la conformité aux dispositions de la
LCISC et fait état de toutes les exigences essentielles établies par la LCISC.
L’entente tient également compte des consignes que SP a récemment élaborées
concernant la préparation des ECI.
Les 24 communications effectuées après la mise en œuvre de l’ECI ont toutes été
jugées conformes à la nouvelle entente. En l’occurrence, l’OSSNR s’est penché
sur chacune des communications faites sous la gouverne de l’ECI et les a
évaluées en les comparant aux exigences énoncées dans l’entente.
4. Conclusion
L’année en cours est la cinquième au cours de laquelle les institutions du GC ont
fait appel à la LCISC. C’est également la cinquième fois que l’OSSNR réalise son
examen annuel de la conformité de ces institutions aux dispositions de la LCISC. À
chaque occasion, l’OSSNR a formulé des recommandations visant à promouvoir la
conformité à la Loi. Au cours des cinq dernières années, les institutions du GC ont
perfectionné leurs pratiques et ont régulièrement affiché une compréhension
accrue de leurs obligations respectives. Ainsi, pour la première fois depuis l’entrée
en vigueur de la LCISC, l’OSSNR a constaté une conformité pleine et entière aux
dispositions de la LCISC.
Le présent examen a été l’occasion d’évaluer la conformité des institutions du GC
aux exigences s’appliquant à la conservation des documents dans le cas des
269 communications qui ont été faites et reçues en 2023. Il a permis d’évaluer la
conformité des institutions aux exigences s’appliquant aux communications d’après
un échantillon ciblé de 27 communications. Toutes les communications examinées
étaient conformes aux exigences de la LCISC, mais l’OSSNR a constaté que les
évaluations de la contribution et de la proportionnalité réalisées par IRCC
comportaient certaines lacunes. Or, une compréhension accrue des activités
portant atteinte à la sécurité du Canada permettrait de réaliser les évaluations de
proportionnalité plus approfondies et rehausserait le degré de pertinence de
l’information communiquée.
L’OSSNR a formulé des recommandations visant à promouvoir la conformité aux
dispositions de la LCISC s’appliquant particulièrement à la façon dont les
ministères établissent si les critères de contribution et de proportionnalité ont été
respectés.
Annexe A.Échantillon de communications
Les communications faisant partie de l’échantillon ont été sélectionnées sur la base du contenu des documents fournis à l’OSSNR au titre du paragraphe 9(3), selon les paramètres suivants :
au moins deux communications par paire « institution qui communique et institution destinataire », le cas échéant;
au moins une communication proactive par institution qui communique, le cas échéant;
au moins une communication demandée par l’institution destinataire, le cas échéant;
toutes les communications qui, selon l’institution destinataire, contiennent
des renseignements personnels ayant été détruits ou retournés au titre du
paragraphe 5.1(1) de la LCISC;
toutes les communications pour lesquelles un écart important a été relevé
entre les documents de l’institution qui communique et ceux de l’institution
destinataire;
toutes les communications faites par une institution ne figurant pas à
l’annexe 3 de la LCISC;
toutes les communications reçues par les institutions inscrites à l’annexe 3
de la LCISC au cours de l’année précédente;
toutes les communications qui, d’après une évaluation préliminaire
effectuée par l’équipe d’examen, posent un risque accru de non-conformité
aux dispositions de l’article 5.
Annexe B.Cas ayant trait à la communication
d’information sur les visas par IRCC
Communication 1 (menace envers la sécurité économique)
De façon proactive, IRCC a communiqué des renseignements sur les demandes
de visa de plusieurs personnes qui ont reçu un permis de travail dans divers
champs de recherche ayant un rapport avec les menaces envers la sécurité
économique. Ces demandes comportaient des renseignements personnels comme
les antécédents d’emploi, les voyages effectués, les coordonnées personnelles,
des photos, les données de passeports, ainsi que des renseignements sur des
tiers. Ces mesures résultaient des efforts d’IRCC visant à reconnaître et à
communiquer au SCRS de l’information concernant les personnes qui pourraient
se livrer à des activités posant une menace envers la prospérité économique du
Canada.
Bien que les préoccupations suscitées par les divers types de menaces en matière
de sécurité économique soient bien étayées, le rôle que ces personnes ont tenu
dans cet espace était inconnu. IRCC a choisi les personnes en question en se
basant sur un critère relatif à la menace, mais les autres critères employés pour
réduire le bassin de plusieurs centaines à une poignée de personnes n’avaient rien
à voir avec la menace que celles-ci posaient. En effet, IRCC a arbitrairement choisi
ces critères additionnels surtout pour des raisons pratiques.
En clair, aucune information n’indiquait que les personnes en question fussent
impliquées dans des activités portant atteinte à la sécurité du Canada. Initialement,
la plupart de ces demandes n’ont pas été renvoyées par IRCC pour enquête de
sécurité au SCRS, signifiant ainsi que l’agent des visas était parfaitement
convaincu que les demandeurs ne posaient aucune menace. Dans un cas, la
demande a été envoyée pour enquête de sécurité, mais le SCRS a répondu par
une recommandation favorable, et le demandeur a obtenu un visa.
La communication proactive de l’intégralité d’un dossier de demande de visa
destinée au SCRS risquait de porter atteinte à la vie privée de ces personnes plus
qu’il n’était raisonnable dans les circonstances.
Communication 2 (entité étrangère)
Le SCRS a demandé à recevoir des données de passeports concernant toute
personne munie d’un visa valide et travaillant au sein d’une entité étrangère
particulière. IRCC ne disposait d’aucune demande de passeport pour les
personnes répondant aux critères de recherche, mais a néanmoins communiqué
l’intégralité des demandes de visa de certaines personnes. IRCC a égalemen fourni de l’information au sujet de personnes qui avaient travaillé précédemment
au sein de l’entité étrangère et de personnes qui ne disposaient pas d’un visa
valide. En raison du décalage entre ce qui a été demandé et ce qui a été
communiqué, on n’a pas répondu au besoin d’adapter l’information selon les
critères de contribution et de proportionnalité voulus par la LCISC.
Aucune de ces personnes n’a été liée à une activité particulière portant atteinte à
la sécurité du Canada, ni au moment de la demande ni après la communication. Le
fait que ni le SCRS ni IRCC n’ont été en mesure de caractériser la nature de la
relation entre ces personnes et les activités de menace a donné lieu au risque que
la communication d’IRCC porte atteinte à la vie privée desdites personnes plus
qu’il n’était raisonnablement nécessaire dans les circonstances.
Communication 3 (volumes massifs de données)
Le SCRS a envoyé à IRCC une lettre demandant la communication d’information
figurant dans des demandes d’immigration soumises par un certain nombre de
personnes, notamment d’une feuille de calcul contenant certaines données
d’identification personnelle (appelées « sélecteurs »). Bien que la demande et la
communication de volumes massifs de données ne soient pas interdites par la
LCISC, les exigences imposées par les critères de contribution et de
proportionnalité doivent néanmoins s’appliquer à chacun des éléments
d’information à communiquer. Ainsi, ce type d’information doit être évalué de façon
responsable avant toute communication.
Certes, la lettre de demande du SCRS fournissait un argumentaire développé pour
faire état des motifs pour lesquels l’auteur de menace nommé dans la lettre de
demande représentait une menace pour la sécurité nationale, mais les
fonctionnaires d’IRCC qui ont autorisé la communication ne disposaient d’aucune
information contemporaine concernant la façon dont ces sélecteurs – et par
extension, les personnes liées à ces sélecteurs – auraient quelque rapport avec
l’auteur de menace.
Néanmoins, IRCC a communiqué des renseignements personnels importants
ayant trait à plusieurs personnes. Par exemple, la communication contenait le
refus d’un état étranger concernant un visa, de l’information sur le service militaire,
une photo personnelle ainsi que d’autres documents qui auraient été fournis aux
fins d’une demande de visa.
Cette communication comprenait plus d’information que ce qui avait été demandé
par le SCRS. Puisque l’identité des personnes n’a pas été confirmée, bien que le
SCRS ait clairement indiqué que l’identification était l’objet de la demande, il y a
lieu de conclure qu’IRCC risquait de communiquer plus que le strict minimum de
renseignements personnels nécessaires à la poursuite de l’enquête du SCRS.
Bien que le fardeau législatif garantissant que la communication est autorisée au
titre de la LCISC repose sur l’entité qui communique, en l’occurrence IRCC, il peut
s’avérer très complexe pour cette entité qui communique de s’acquitter de son
obligation au titre des alinéas 5(1)a) et 5(1)b) dans le cas de ces demandes de
volumes massifs de données, particulièrement lorsque le demandeur ne fournit
que très peu d’éléments permettant de lier chaque sélecteur et chaque personne à
l’activité portant atteinte à la sécurité du Canada.
Annexe C.Aperçu des communications au titre de la
LCISC pendant les années précédentes
Institution qui communique l'information
Institution destinataire désignée au titre de la LCISC (annexe 3)
ASFC
ACIA
CCSN
ARC
CST
SCRS
MDN et FAC
Finance
CANAFE
ACIA
Sante
IRCC
ASPC
SP
GRC
TC
TOTAL
2022
ASFC
–
–
–
–
–
–
–
–
–
–
–
–
–
–
4
–
4
ACIA
–
39
2
–
–
–
–
–
–
–
–
–
–
–
12
–
53
IRCC
–
59
56
–
–
–
–
–
–
–
–
–
–
–
–
–
115
GRC
–
–
–
–
–
–
–
–
–
–
–
–
–
–
1
–
1
TOTAL
–
59
95
2
–
–
–
–
–
–
–
–
–
–
16
–
173
2021
MDN et FAC
–
–
–
–
–
–
–
–
–
–
2
–
–
–
–
–
2
ACIA
–
–
–
–
–
–
–
–
–
–
–
–
–
–
2
–
44
IRCC
–
68
79
–
–
–
–
–
–
–
–
2
–
1
–
–
149
TOTAL
–
68
122
–
–
–
2
–
–
–
–
2
–
1
2
–
195
2020
ASFC
–
–
–
–
–
–
–
–
–
–
1
–
–
–
–
–
4
ACIA
–
–
–
–
–
–
–
–
–
–
–
–
25
–
–
13
40
IRCC
–
60
61
–
–
–
–
–
–
–
–
–
1
–
37
–
159
GRC
–
–
1
–
–
–
–
–
–
–
–
1
–
–
–
–
3
TC
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
2
2
Autres
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
1
TOTAL
–
61
88
1
–
–
3
–
–
–
–
6
–
55
1
–
215
2019
ASFC
–
–
–
–
–
–
–
–
–
–
–
–
–
–
1
–
3
ACIA
–
–
–
–
–
–
–
–
–
–
–
–
23
–
–
–
42
IRCC
–
5
17
–
–
–
–
–
–
–
–
–
1
–
36
–
59
GRC
–
4
1
–
–
–
–
–
–
–
–
–
–
3
–
–
8
TC
–
–
–
–
–
–
–
–
–
–
–
–
–
–
1
–
2
TOTAL
–
4
5
–
41
–
1
–
–
–
1
–
–
–
–
–
114
Annexe D.Constatations et recommandations
Exigences relatives à la conservation des documents –
article 9
Constatation 1. NSIRA found that every institution that disclosed or received information pursuant to SCIDA in 2023 complied with their record keeping obligations under section 9, but some records were inaccurate or imprecise.
Critères de contribution et de proportionnalité –
paragraphe 5(1)
Constatation 2. Conclusion no 6 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.
Recommandation 1 : L’OSSNR recommande que les institutions qui communiquent de l’information tiennent compte explicitement des exigences des alinéas 5(1)a) et 5(1)b) dans les documents qu’elles préparent au titre de l’alinéa 9(1)e) de la LCISC.
Conclusion 3 :Constatation 3. L’OSSNR a constaté
qu’en une occasion, IRCC n’avait pas
considéré en toute autonomie que sa
communication aurait pu avoir trait à
des activités relevant de l’exception
énoncée dans la LCISC concernant
la défense d’une cause, les
protestations ou les manifestations
d’un désaccord. IRCC se disait plutôt
convaincue du critère de contribution
énoncé dans la LCISC en tenant pour
acquis que le SCRS ne se penchait
que sur les activités portant atteinte à
la sécurité du Canada.
Recommandation 2 : NSIRA recommends that IRCC amend their SCIDA policy to underscore that IRCC must independently assess whether the disclosure is authorized. This assessment should consider whether the activity amounts to one of the exceptions to the SCIDA’s definition of activities that undermine the security of Canada.
Constatation 4.Constatation 4. L’OSSNR a constaté qu’au cours de 2023, IRCC avait exercé une
rigueur accrue dans ses évaluations de la proportionnalité à l’égard des communications
de données de passeports. Toutefois, l’OSSNR a remarqué trois occurrences où IRCC
a communiqué des renseignements sur des visas sans avoir appliqué la même
approche rigoureuse, ce qui posait le risque de communiquer plus de renseignements
personnels que raisonnablement nécessaire dans les circonstances.
Recommandation 3 : NSIRA recommends that IRCC apply an iterative approach to its proportionality assessments, with a view to disclosing only the minimum information reasonably necessary in the circumstances to enable the recipient institution to further their investigation.
Constatation 5.Constatation 5.L’OSSNR a constaté que dans les demandes que le SCRS a soumises
à IRCC, le Service a employé une terminologie manquant de cohérence et des libellés
manquant souvent de clarté quant à la relation entre le sujet de la demande et l’enquête
dont celui-ci faisait l’objet. En outre, il est arrivé que les communications affichant ce
manque de clarté constituent autant d'obstacles aux efforts qu’IRCC consentait pour
savoir s’il pouvait être certain que lesdites communications étaient autorisées au titre de
la LCISC.
Recommandation 4 : NSIRA recommends that CSIS use consistent terminology, and be clear about the nature of the link that has been established between the subject of a request and its investigation, to assist IRCC in satisfying itself of the proportionality test.
Énoncé concernant l’exactitude et la fiabilité – paragraphe 5(2)
Conslusion 6 :Constatation 6. L’OSSNR a constaté que dans toutes les communications
d’information, les institutions qui ont communiqué avaient fourni des précisions pour ce
qui a trait à l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci a été
obtenue. Toutefois, l’ASFC a fait une communication verbale qui ne contenait aucun
énoncé explicite quant à l’exactitude ou à la fiabilité.
Recommandation 5 : NSIRA recommends that institutions avoid making verbal disclosures whenever possible. When they must occur, verbal disclosures should explicitly convey the requisite information on accuracy and reliability.
Conclusion 7 : NSIRA found that CBSA’s record of disclosure form contradicts the SCIDA by allowing officials to opt out of providing information regarding accuracy and reliability.
Recommendation 6. Recommandation 6. L’OSSNR recommande que l’ASFC fasse en sorte que son
formulaire de documentation des communications s’harmonise avec les dispositions de
la LCISC en énonçant le caractère obligatoire de la fourniture d’information sur
l’exactitude et la fiabilité au moment de la communication.
Conclusion 8 : NSIRA found that IRCC used templated language to describe the disclosure’s accuracy and reliability that was not always relevant or specific to the circumstances of the disclosure.
Recommendation 7. NSIRA recommends that IRCC tailor its statements on accuracy and reliability as to ensure that each disclosure’s statement is specific to the circumstances of the case.
Entente de communication d’information – alinéa 4c)
Conclusion 9 : L’OSSNR a constaté que les communications qui ont eu lieu entre
IRCC et le CST après l’entrée en vigueur de l’entente de communication d’information
qu’ils avaient conclue étaient conformes aux dispositions de la LCISC et aux termes de
ladite entente.
Le présent rapport trimestriel a été préparé par la direction conformément à l’article 65.1 de la Loi sur la gestion des finances publiques et selon les modalités prescrites par la Directive sur les normes comptables : GC 4400 Rapport financier trimestriel des ministères. Le présent rapport financier trimestriel devrait être lu parallèlement au Budget principal des dépenses 2023 2024.
Ce rapport financier trimestriel n'a pas fait l'objet d'une vérification externe ou d'un
examen.
Mandat
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) est un organisme de surveillance externe indépendant qui relève du Parlement. Créé en juillet 2019, il est chargé d’examiner les activités en matière de sécurité nationale et de renseignement du gouvernement du Canada afin de s’assurer qu’elles sont conformes à la loi, raisonnables et nécessaires. L’OSSNR entend également les plaintes du public concernant les principaux organismes et les activités en matière de sécurité nationale.
Le présent rapport a été préparé par la direction en utilisant une comptabilité axée sur les dépenses. L’état des autorisations joint au rapport présente les autorisations de dépenser accordées à l’OSSNR par le Parlement ainsi que les autorisations que l’OSSNR a utilisées, conformément au Budget principal des dépenses pour l’exercice 2023–2024. Le rapport financier trimestriel a été préparé à l’aide d’un référentiel d’information financière à usage particulier (comptabilité de caisse) conçu pour répondre aux besoins d’information financière liés à l’utilisation des autorisations de dépenser.
Le gouvernement ne peut dépenser sans l’autorisation préalable du Parlement. Les autorisations sont accordées par l’entremise de lois de crédits, sous forme de limites annuelles, ou par l’entremise de lois, sous forme d’autorisations législatives de dépenser à des fins déterminées.
Faits saillants des résultats financiers trimestriels et cumulatifs à ce jour
La présente section expose les éléments importants qui ont contribué à l’augmentation nette ou à la diminution nette des autorisations disponibles au cours de l’exercice et des dépenses réelles durant le trimestre qui s’est terminé le 30 septembre 2023.
Le secrétariat de l’OSSNR avait dépensé environ 52 % de ses autorisations à la fin
du troisième trimestre, comparativement à 39 % durant le même trimestre en
2022–2023 (voir le graphique 1)
Graphique 1 : Comparaison des autorisations budgétaires et des dépenses
budgétaires nettes cumulatives, T3 2023–2024 et T3 2022–2023
Version texte de la figure 1
Comparison of total authorities and total net budgetary expenditures, Q3 2023–24 and Q3 2022–23
2023-24
2022-23
Autorisations budgétaires totales
$24.4
$29.8
Dépenses budgétaires encourues au T2
$4.8
$4.7
Dépenses cumulatives
$12.8
$11.6
Changements importants aux autorisations
Au 31 décembre 2023, le secrétariat de l’OSSNR disposait d’autorisations de
24,4 millions de dollars à utiliser en 2023–2024, contre 29,8 millions de dollars au 31 décembre 2022, ce qui revient à une diminution nette de 5,3 millions de
dollars ou 18 % (voir le graphique 2).
Graphique 2 : Variation des autorisations au 31 décembre 2023
Version texte de la figure 2
Variation des autorisations au 30 juin 2020
Année fiscale 2022-23 totaux disponibles pour l'exercice se terminant le 31 mars 2023
Année fiscale 2023-24 totaux disponibles pour l'exercice se terminant le 31 mars 2024
Crédit 1 - Fonctionnement
28.1
22.6
Postes législatives
1.6
1.8
Autorisations totales
29.7
24.4
La diminution des autorisations de 5,3 millions de dollars s’explique
principalement par une réduction graduelle du financement de fonctionnement
continu du secrétariat de l’OSSNR en raison d'un projet de construction en cours
qui touche à sa fin.
Changements importants touchant les dépenses trimestrielles
Les dépenses du troisième trimestre ont totalisé 4,8 millions de dollars, soit une
augmentation de 0,1 million de dollars par rapport aux 4,7 millions de dollars de
dépenses engagées au cours de la même période en 2022–2023. Le tableau 1
présente les dépenses budgétaires par article courant.
Tableau 1
Changements importants dans les
dépenses par article courant (en milliers de dollars)
Exercice 2023-2024:
crédits utilisés pour
le trimestre ayant
pris fin le 31
décembre 2023
Exercice 2022-2023:
crédits utilisés pour
le trimestre ayant
pris fin le 31
décembre 2022
Variation en $
Variation en %
Personnel
2,866
2,503
363
15%
Transports et communications
110
82
28
34%
Information
1
4
(3)
(75%)
Services professionnels et spéciaux
486
1,271
(785)
(62%)
Location
78
83
(5)
(6%)
Services de réparation et d’entretien
1,161
685
476
69%
Services publics, fournitures et approvisionnements
(1)
21
(22)
(105%)
Acquisition de matériel et d’outillage
83
2
81
4050%
Autres subventions et paiements
(33)
17
(50)
(294%)
Dépenses budgétaires brutes totals
4,751
4,668
83
2%
Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués
Services professionnels et spéciaux
La diminution de 785 000 $ est liée au moment de la facturation de notre accord
de services de soutien interne.
Services de réparation et d’entretien
L’augmentation de 476 000 $ est liée au moment de la facturation d'un projet
d'investissement en cours.
Services publics, fournitures et approvisionnements
La diminution de 22 000 $ est liée à un compte d'attente temporairement non
réconcilié.
Acquisition de matériel et d’outillage
L’augmentation de 81 000 $ s’explique due à l'achat de licences de logiciels et au
soutien et à la maintenance correspondants.
Autres subventions et paiements
La diminution de 50 000 dollars s'explique par un remboursement de l'année
précédente qui a été déposé par erreur sur le compte de l’OSSNR.
Changements importants touchant les dépenses cumulatives depuis le début de l’exercice
Les dépenses depuis le début de l’exercice totalisent 12,8 millions de dollars, soit
une augmentation de 1,2 millions de dollars (11 %) par rapport aux 11,6 millions
de dollars de dépenses engagées au cours de la même période en 2022–2023. Le
tableau 2 présente les dépenses budgétaires par article courant.
Table 2
Changements importants dans les
dépenses par article courant (en milliers de dollars)
Exercice 2023-2024
Cumul des crédits
utilisés à la fin du
trimestre ayant pris
fin
le 31 décembre 2023
Exercice 2022-2023
Cumul des crédits
utilisés à la fin du
trimestre ayant pris
fin
le 31 décembre 2022
Variation en $
Variation en %
Personnel
8,766
7,751
1,015
13%
Transports et communications
302
196
106
54%
Information
5
9
(4)
(44%)
Services professionnels et spéciaux
2,155
2,695
(540)
(20%)
Location
151
132
19
14%
Services de réparation et d’entretien
1,188
749
439
(59%)
Services publics, fournitures et approvisionnements
56
49
7
14%
Acquisition de matériel et d’outillage
135
15
120
800%
Autres subventions et paiements
89
18
71
394%
Dépenses budgétaires brutes totals
12,847
11,614
1,233
11%
Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués
Personnel
L'augmentation de 1 015 000 $ est liée à une augmentation du salaire moyen et à
une augmentation de Équivalents temps plein (ETP) et aux arriérés de salaires résultant de la nouvelle convention collective pour les groupes professionnels EC
et AS.
Transports et communications
L'augmentation de 106 000 $ est due au calendrier de facturation des connexions
Internet de l'organisation.
Services professionnels et spéciaux
La diminution de 540 000 $ s'explique principalement par la conclusion de
contrats de services de gardiennage associés à un projet de construction
d'immobilisations et par le calendrier de facturation des services de soutien
internes.
Services de réparation et d’entretien
L’augmentation de 439 000 $ est liée au calendrier de facturation d'un projet
d'investissement en cours.
Acquisition de matériel et d’outillage
L’augmentation de 120 000 $ est liée principalement par l'achat exceptionnel d'un
ordinateur portable spécialisé.
Autres subventions et paiements
L’augmentation de 71 000 $ s’explique par une augmentation des trop-payés du
système de paie.
Risques et incertitudes
Le Secrétariat de l’OSSNR a fait des progrès en ce qui concerne l’accès aux renseignements requis pour mener les examens; toutefois, des risques subsistent concernant la capacité des entités faisant l’objet d’un examen de répondre aux demandes de renseignements et de les classer par ordre de priorité, ce qui nuit à la capacité de l’OSSNR à mettre en œuvre son plan d’examen en temps opportun. Le Secrétariat de l’OSSNR continuera d’atténuer ce risque en communiquant clairement les éléments liés aux demandes de renseignements, en faisant le suivi de leur traitement en temps opportun selon le calendrier établi et en transmettant les problèmes aux échelons supérieurs, le cas échéant.
Il existe un risque que les fonds reçus pour compenser les augmentations de salaire prévues au cours de l’année à venir soient insuffisants pour couvrir les coûts de ces augmentations, et le coût d’année en année des services fournis par d’autres ministères et organismes gouvernementaux augmente de manière importante.
Des mesures d’atténuation des risques décrits ci-dessus ont été définies et sont
considérées à l’approche et à l'échéancier de l'OSSNR, dans l'exécution des
activités confiées au mandat.
Changements importants touchant le fonctionnement, le personnel et le programme
Il n’y a eu aucun changement au programme du secrétariat de l’OSSNR.
Approbation des hauts fonctionnaires:
John Davies Directeur général
Martyn Turcotte Directeur principal, Services généraux, Dirigeant principal des finances
Annexe
État des autorisations (non audité)
(en milliers de dollars)
Exercice 2023–2024
Exercice 2022–2023
Crédits totaux disponibles pour l'exercice se terminant le 31 mars 2022 (note 1)
Crédits
utilisés pour
le trimestre ayant
pris fin
le 31 décembre
2023
Cumul des crédits utilisés à la fin du trimestre
Crédits totaux disponibles pour l'exercice se terminant le
31 mars 2023
(note 1)
Crédits
utilisés pour
le trimestre ayant
pris fin le
31 décembre
2022
Cumul des crédits utilisés à la fin du trimestre
Crédit 1 - Dépenses nettes de fonctionnement
22,633
4,313
11,531
28.063
4,236
10,318
Autorisations législatives budgétaires
Contributions aux régimes d'avantages sociaux
des employés
1,755
438
1,316
1,728
432
1,296
Autorisations budgétaires totals (note 2)
24,388
4,751
12,847
29,791
4,668
11,614
Note 1 : N’inclut que les autorisations disponibles pour l'exercice et accordées par le Parlement à la fin du trimestre.
Note 2 : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués.
Dépenses ministérielles budgétaires par article courant (non vérifié)
(en milliers de dollars)
Exercice 2023–2024
Exercice 2022–2023
Dépenses prévues pour l’exercice se terminant le 31 mars 2023 (note 1)
Dépensées
durant le
trimestre
ayant pris fin le
31 décembre
2023
Cumul des crédits utilisés à la fin du trimestre
Dépenses prévues pour l’exercice se terminant le 31 mars 2023 (note 1)
Dépensées
durant le
trimestre ayant
pris fin le
31 décembre
2022
Cumul des crédits utilisés à la fin du trimestre
Dépenses
Personnel
13,372
2,866
8,766
13,389
2,503
7,751
Transports et communications
650
110
302
597
82
196
Information
371
1
5
372
4
9
Services professionnels et spéciaux
4,906
486
2,155
4,902
1,271
2,695
Location
271
78
151
271
83
132
Services de réparation et d’entretien
4,580
1,161
1,188
9,722
685
749
Services publics, fournitures et approvisionnements
73
(1)
56
173
21
49
Acquisition de matériel et d’outillage
132
83
135
232
2
15
Autres subventions et paiements
33
(33)
89
133
17
18
Dépenses budgétaires brutes totals (note 2)
24,388
4,751
12,847
29,791
4,668
11,614
Note 1 : N’inclut que les autorisations disponibles pour l'exercice et accordées par le Parlement à la fin du trimestre.
Note 2 : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués.
Review of Government of Canada Institutions’ Disclosures of Information Under the Security of Canada Information Disclosure Act in 2022: Backgrounder
Examen des communications d’information par les institutions fédérales au titre de la Loi sur la communication d’information ayant trait à la sécurité du Canada en 2022
Fiche d'information
Fiche d'information
ISSN : 2817-7533
Ce rapport présente les conclusions et les recommandations formulées dans le cadre de l’examen annuel de l’OSSNR concernant les communications d’information en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC). Celui-ci a été déposé au Parlement par le ministre de la Sécurité publique, comme l’exige le paragraphe 39(2) de la Loi sur l’OSSNR, le 1er novembre 2023.
Afin de protéger le Canada contre toute activité susceptible de compromettre sa sécurité, la LCISC confère un pouvoir explicite et autonome de communication d’information aux institutions fédérales. Son objectif officiel consiste donc à encourager et à faciliter de telles communications.
Ce rapport fournit un aperçu de la façon dont la LCISC a été appliquée en 2022. Ce faisant, il :
répertorie le volume et la nature des communications effectuées au titre de la LCISC;
évalue la mesure dans laquelle la Loi a été respectée; et
fait ressortir les tendances relatives à son application au sein des institutions fédérales et au fil du temps.
Le rapport contient six recommandations visant à accroître la normalisation au sein du gouvernement du Canada d’une manière qui soit conforme aux pratiques exemplaires des institutions et aux principes directeurs de la LCISC.
La Loi sur le CST confère au Centre de la sécurité des télécommunications (CST) le
pouvoir de mener des cyberopérations actives et des cyberopérations défensives (COA/COD). Tel qu’il
est stipulé dans la Loi, une COD a pour but de stopper ou de gêner les cybermenaces étrangères qui
pourraient peser sur les réseaux ou les systèmes du gouvernement fédéral désignés comme étant
importants pour le Canada par le ministre de la Défense nationale (MinDN). Pour leur part, les COA ont
pour vocation de restreindre la capacité des adversaires à porter atteinte aux relations internationales,
à la défense ou à la sécurité du Canada. Les COA/COD sont autorisées par voie d’autorisations
ministérielles (AM) et, en raison de leurs répercussions potentielles sur la politique étrangère, les COA
nécessitent l’approbation du ministre des Affaires étrangères (MAE), alors que les COD ne requièrent
que l’avis du MAE.
Pendant le présent examen, l’OSSNR s’est fixé pour objectif d’évaluer le cadre de
gouvernance qui oriente la conduite des COA/COD. L’OSSNR a également cherché à savoir si le CST
prenait suffisamment en compte ses obligations légales, mais aussi les répercussions de ses
opérations sur la politique étrangère de l’État canadien. En outre, l’OSSNR a analysé les documents
portant sur les politiques et les procédures, sur la gouvernance et sur les opérations, de même que la
correspondance entre le CST et AMC. L’examen a débuté par l’analyse des tout premiers documents
portant sur les COA/COD et s’est conclu à l’échéance de la période de validité des premières
autorisations ministérielles visant des COA/COD.
Dans le présent examen, l’OSSNR a tenu compte de l’apport d’Affaires mondiales
Canada (AMC) en considération du rôle important que ce ministère tient dans la structure de
gouvernance des COA/COD conçue conformément aux exigences établies par la loi relativement au
rôle du MAE à l’égard des AM. Par conséquent, l’OSSNR a été en mesure d’acquérir les éléments de
connaissance lui permettant de bien comprendre les structures de gouvernance et de reddition de
compte qui ont été mises en place pour ces activités, et ce, en étant exposé à des témoignages uniques
de la part de représentants des deux ministères, qui ont fait état de leurs rôles et de leurs
responsabilités respectifs.
La nouveauté de ces pouvoirs a contraint le CST à élaborer de nouveaux mécanismes et
processus tout en tenant compte des pouvoirs et contraintes nouvellement établis par la Loi. L’OSSNR
a d’ailleurs constaté l’important travail effectué par le CST et par AMC pour l’édification de la structure
de gouvernance s’appliquant aux COA/COD. Dans le présent contexte, l’OSSNR a remarqué que
certains aspects de la gouvernance pouvaient être améliorés en les rendant plus transparents et en les
énonçant plus clairement.
En outre, l’OSSNR a noté que le CST pourrait donner une information plus détaillée aux
intervenants prenant part au processus décisionnel et à la gouvernance des COA/COD,
particulièrement dans les documents comme les AM qui autorisent ces opérations et dans les plans
opérationnels établis pour la direction desdites opérations. De plus, l’OSSNR a trouvé que le CST et
AMC n’avaient suffisamment pris en compte ni les nombreuses lacunes, qui ont été recensées dans le
cadre du présent examen, ni les recommandations visant les éléments suivants :
la nécessité de mobiliser d’autres ministères pour s’assurer que les opérations suivent les
priorités globales du gouvernement du Canada;
l’absence d’un seuil de démarcation entre une COA et une COD préventive;
la nécessité d’évaluer la conformité au droit international de chacune des opérations;
la nécessité de communiquer bilatéralement les informations nouvellement acquises qui
renseignent sur le niveau de risque d’une opération.
Les lacunes observées par l’OSSNR sont de celles qui seraient porteuses de risques si
elles ne devaient pas être résolues. Par exemple, en raison de leur nature vaste et générale, les
catégories d’activités, de techniques et de cibles faisant partie des COA/COD [**expurgé**] pourraient
donner lieu à l’interception non intentionnelle d’éléments concernant des activités et des cibles [**expurgé**].
Au reste, étant donné que l’apport d’AMC n’est pas le même pour les COA et les COD, le fait de
classifier par erreur une COA en tant que COD préventive pourrait donner lieu à un accroissement du
risque pour les relations internationales du Canada, dans la mesure où l’on pourrait ne pas avoir
suffisamment consulté AMC.
Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur
pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment
ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs
observations concernant l’information contenue dans les documents qui ont été produits à ce jour en
matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous
pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement
mises en oeuvre.
L’information fournie par le CST n’a pas été vérifiée de façon indépendante par l’OSSNR.
Or, des travaux sont en cours pour établir des politiques opérantes et des pratiques exemplaires
favorisant la vérification indépendante d’une multiplicité d’informations, en accord avec l’engagement
de l’OSSNR à appliquer une approche qui soit axée sur la confiance, mais renforcée par des mesures
de vérification.
Pouvoirs
Le présent examen est effectué en vertu des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office
de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).
Introduction
Contexte de l’examen et méthodologie
Depuis l’entrée en vigueur de la Loi sur le Centre de la sécurité des
télécommunications (Loi sur le CST), le 1er août 2019, le CST est désormais autorisé à mener en toute
autonomie des cyberopérations actives (COA) et des cyberopérations défensives (COD). Au cours des
premières séances d’information tenues à l’automne de 2019, l’OSSNR a appris [**expurgé**]. Or, des représentants du CST ont ensuite apporté des précisions en
indiquant [**expurgé**]. Dans ce contexte, l’OSSNR évaluera les COA et les COD suivant une
approche progressive. En premier lieu, le présent examen a pour objet de mieux saisir la façon dont
s’est développée la structure de gouvernance du CST pour ce qui concerne les COA et les COD.
L’OSSNR enchaînera avec un nouvel examen portant, cette fois, sur les opérations. Cet examen
ultérieur est en cours et devrait se terminer en 2022.
À l’occasion de ce premier examen, nous avons porté une attention particulière aux
structures dont la vocation est de gouverner la conduite des COA et des COD. En l’occurrence, la
gouvernance pourrait correspondre à l’établissement de processus servant à guider et à gérer la
planification, les engagements interministériels, la conformité, la formation et la surveillance, mais aussi
d’autres questions globales qui influent sur la conduite des COA et des COD. L’OSSNR reconnaît que
ces structures sont appelées à évoluer en fonction des enseignements tirés de l’expérience acquise en
cours d’opérations. En outre, les alliés du Canada, qui disposent de pouvoirs semblables en matière
de cyberopérations depuis déjà un certain temps, [**expurgé**]. Dans le présent contexte, l’OSSNR
s’est donné pour objectif de déterminer si, pendant ces premières étapes d’élaboration d’une structure
de gouvernance applicable aux COA et aux COD, le CST avait raisonnablement pris en compte et défini
ses obligations juridiques de même que les aspects des COA et des COD qui pourraient influer sur la
politique étrangère.
Dans le cadre du présent examen, l’OSSNR a évalué les documents faisant état des
politiques, des procédures, du système de gouvernance et de la planification des opérations, mais aussi
les évaluations des risques ainsi que la correspondance entre le CST et Affaires mondiales
Canada (AMC) (dont le rôle déterminant est décrit plus loin). L’OSSNR a examiné les tout premiers
documents portant sur l’élaboration de la structure de gouvernance s’appliquant aux COA et aux COD.
En l’occurrence, la fin de la période d’examen a coïncidé avec l’échéance des premières autorisations
ministérielles visant des COA et des COD, soit le 24 août 2020. Ainsi, les conclusions et les
recommandations formulées dans le présent rapport concernent la structure de gouvernance en
vigueur pendant la période d’examen.
Que sont les cyberopérations actives et défensives?
Tel qu’il est énoncé dans la Loi sur le CST, les cyberopérations défensives (COD) ont pour
vocation de stopper ou de contenir les cybermenaces étrangères avant qu’elles n’atteignent les
systèmes et les réseaux du gouvernement ou les systèmes désignés par le ministre de la Défense
nationale (MinDN) comme étant importants pour le pays, notamment les infrastructures essentielles du
Canada et les partis politiques canadiens inscrits. Quant aux cyberopérations actives, elles permettent
au gouvernement de recourir aux capacités en ligne du CST pour mener, dans le cyberespace, un
vaste éventail d’activités dont l’objet est d’affaiblir furtivement la capacité d’un adversaire à nuire aux
activités du Canada en matière, notamment, de relations internationales, de défense ou de sécurité. À
titre d’exemple, les COA peuvent comprendre des activités visant à désactiver les dispositifs de
communication dont les membres d’un réseau de terroristes étrangers se servent pour communiquer
ou pour planifier leurs attaques. Les répercussions des COA et des COD [**concerne des opérations du CST**] d’une COA ou d’une COD.
Pour mener des COA ou des COD, le CST mise sur ses accès à l’infrastructure
mondiale d’information (IMI), sur une expertise en matière de renseignement étranger, et sur les
partenariats nationaux et internationaux pour acquérir du renseignement apte à favoriser le
déroulement des COA et des COD. Les activités menées dans le cadre du volet « renseignement
étranger » et du volet « cybersécurité » du mandat du CST permettent au Centre de collecter des
informations ayant pour objet de renseigner sur les intentions, les plans et les activités d’auteurs
malveillants qui cherchent à nuire aux intérêts du Canada. Selon le CST, la collecte préliminaire de
renseignement, le développement des capacités [**expurgé**] constituent la majeure partie du travail nécessaire à la tenue des COA et des COD, alors que les
activités qui ont lieu dans le cyberespace ne constituent approximativement que [**expurgé**] de la
charge de travail.
Fondements juridiques des cyberopérations
La Loi sur le CST fait état des pouvoirs légaux dont jouit le CST pour mener des COA/COD.
D’ailleurs, la figure 1 présente des extraits de la Loi qui décrivent ces deux volets. En outre, le régime
des autorisations ministérielles dont il est question dans la Loi sur le CST confère au Centre les pouvoirs
nécessaires à l’exercice des activités ou des catégories d’activités qui sont énumérées à l’article 31 de
la Loi sur le CST et qui concernent les COA/COD.
Cyberopérations défensives (COD)
Article 18 de la Loi sur le CST
En ce qui a trait au volet de son mandat touchant les cyberopérations
défensives, le Centre mène des activités dans l'infrastructure mondiale de
l'information ou par l'entremise de celle-ci afin d'aider à protéger :
(a) l'information électronique et les infrastructures de l'information des
institutions fédérales;
(b) l'information électronique et les infrastructures de l'information
d'importance pour le gouvernement fédéral désignées comme telle [...].
Cyberopérations actives (COA)
Article 19 de la Loi sur le CST
En ce qui a trait au volet de son mandat touchant les cyberopérations actives,
le Centre mène des activités dans l'infrastructure mondiale de l'information ou
par l'entremise de celle-ci afin de réduire, d'interrompre, d'influencer ou de
contrecarrer, selon le cas, les capacités, les intentions ou les activités de tout
étranger ou État, organisme ou groupe terroriste étrangers, dans la mesure où
ces capacités, ces intentions ou ces activités se rapportent aux affaires
internationales, à la défense ou à la sécurité, ou afin d'intervenir dans le
déroulement de telles intentions ou activités.
Il importe de souligner que la Loi
impose des contraintes sur les COA/COD. En
l’occurrence, il leur est interdit de cibler des
Canadiens ou quiconque se trouve sur le territoire
du Canada; elles doivent respecter les termes de la
Charte canadienne des droits et libertés; et il leur
est interdit de cibler l’IMI au Canada.
Les COA/COD doivent être menées
au titre d’une autorisation ministérielle (AM) délivrée
par le MinDN conformément aux dispositions du
paragraphe 29(1) (COD) ou à celles du
paragraphe 30(1) de la Loi sur le CST. Les AM
autorisant les COA/COD habilitent le CST à mener
des activités de COA/COD malgré toute autre loi
fédérale ou loi d’un État étranger. Pour délivrer une
AM, le MinDN doit conclure qu’il y a des motifs raisonnables de croire que l’activité en cause est
raisonnable et proportionnelle, et doit également conclure que l’objectif de la cyberopération ne pourrait
pas être raisonnablement atteint par d’autres moyens10. De plus, le MinDN doit consulter le ministre des
Affaires étrangères (MAE) avant de délivrer une AM pour les COD, mais doit obtenir le consentement
du MAE avant de délivrer une AM pour les COA. Toute activité de COA/COD autorisée ne peut causer,
intentionnellement ou par négligence criminelle, des lésions corporelles à une personne physique ou la
mort de celle-ci; ne peut tenter intentionnellement de quelque manière d’entraver, de détourner ou de
contrecarrer le cours de la justice ou de la démocratie. Il importe d’ajouter que, contrairement aux AM
délivrées pour le volet renseignement étranger de même que pour le volet cybersécurité et assurance
de l’information du mandat du CST, les AM visant les COA et les COD ne sont pas assujetties à
l’approbation du commissaire au renseignement.
En plus des volets COA/COD prévus par son mandat, le CST peut également fournir une
assistance technique et opérationnelle à d’autres ministères du gouvernement du Canada (GC). Le
CST peut assister les organismes fédéraux chargés de l’application de la loi et de la sécurité (OALS)
aux fins de prévention de la criminalité, d’atténuation des menaces pour la sécurité du Canada et de
soutien à des missions militaires autorisées par le GC. Lorsqu’il prête son assistance, le CST agit en
vertu des autorisations légales – et des restrictions afférentes – conférées aux organismes ou aux
ministères faisant appel à ladite assistance. De même, les personnes agissant au nom du CST jouissent
des mêmes mesures d’exemption, de protection et d’immunité que celles qui agissent au nom des
OALS demandeurs. Les activités menées aux fins de ce type d’assistance seront analysées dans le
cadre d’examens ultérieurs de l’OSSNR.
Outre la Loi sur le CST, le droit international est pris en compte dans le cadre juridique
s’appliquant aux activités de COA/COD. Les activités du CST sont liées par le droit international
coutumier dans la mesure où le droit canadien adopte ipso facto le droit international coutumier par
l’intermédiaire de la common law, sauf en cas d’incompatibilité entre les lois.
L’OSSNR note que le droit international en matière de cyberespace est un domaine en
développement. Dans cette sphère du droit, la pratique des États est limitée, les opinions de droit
(postulats selon lesquels les États estiment que ce type de pratique correspond à une obligation
juridique) sont rares et le droit des traités (précisions sur les modalités d’application du droit international
au cyberespace) n’en est qu’à ses balbutiements. De plus, bien qu’il ait fait valoir que le droit
international s’appliquait au cyberespace, le Canada n’a pas encore défini sa propre vision quant à
l’application du droit international aux activités du cyberespace16. Or, le Canada s’est engagé à
promouvoir l’établissement d’une vision commune à tous les États pour ce qui a trait à des normes
volontaires et non contraignantes favorisant le comportement responsable des États dans le
cyberespace. Ainsi, l’OSSNR suivra de près le développement de cette sphère du droit international,
notamment, les pratiques observées par les États à l’égard des activités de COA/COD du CST. Dans
le cadre du prochain examen visant les activités de COA/COD, l’OSSNR se penchera, cette fois, sur la
façon dont le CST et AMC tiennent compte du droit international en vigueur.
Cadre politique s’appliquant aux cyberopérations
Préparation d’un cadre de consultation entre AMC et le CST
Il est possible que les COA/COD accroissent le niveau de risque pour la politique étrangère
et les relations internationales du Canada. Bien que le volet renseignement étranger du CST ne vise
qu’à collecter des informations, les COA/COD [**expurgé**], [**expurgé**].
Comme AMC est le ministère responsable des affaires internationales et de la politique
étrangère du Canada, le MAE est appelé, en vertu de la loi, à tenir un rôle lorsqu’il s’agit de consentir
à ce que le MinDN délivre une autorisation ministérielle pour des COA.
Conformément aux directives du MAE, le CST et AMC ont uni leurs efforts pour créer un
cadre de collaboration sur les questions ayant trait aux COA/COD. Le CST et AMC se sont mobilisés
sur ces questions avant l’entrée en vigueur de la Loi sur le CST, de sorte à recenser les exigences
énoncées dans la Loi en matière de consultation et de consentement. Ensemble, le CST et AMC ont
mis sur pied divers organes interministériels appelés à se pencher sur les COA/COD dans le but de
faciliter le processus de consultation aux divers niveaux, notamment, les groupes de travail constitués
au niveau des directeurs généraux et du sous-ministre adjoint.
Structure de gouvernance du CST
L’Ensemble des politiques relatives à la mission (EPM) du CST décrit en détail les pouvoirs
permettant d’orienter les COA/COD, les activités interdites en cours de COA/COD – de même que les
consignes permettant d’interpréter ces interdictions – et le cadre de gouvernance suivant lequel il
convient de surveiller le déroulement et la conduite des COA/COD, cadre désigné par l’appellation
Cadre de pouvoirs et de planification commun (CPPC). La structure générale du cadre de
gouvernance et des processus connexes a été conçue pour être employée dans toutes les COA/COD,
tous niveaux de risque confondus. Toutefois, c’est en fonction du niveau de risque que ledit cadre établit
les divers niveaux d’approbation.
Pendant la période consacrée à l’examen, le CPPC comportait plusieurs des éléments
nécessaires à la planification, à l’approbation et à la conduite des opérations. Le principal instrument
de planification était [**expurgé**] lequel décrit les [**expurgé**]
de même que [**expurgé**]
tout en mettant en évidence les risques et les mesures d’atténuation correspondantes.
[**expurgé**] sert à déterminer et
à énoncer l’éventail des risques associés à toute nouvelle activité. Durant la période d’examen, le CST
a élaboré [**expurgé**]. L’OSSNR a également reçu des
documents semblables [**expurgé**] ne coïncidant pas avec la période d’examen, mais
contenant des informations pertinentes sur la structure de gouvernance et le niveau opérationnel.
Deux principaux groupes de travail ont pour objet d’évaluer et, le cas échéant, d’approuver,
les plans internes visant les COA/COD. Le Groupe pour les cyberopérations (GCO) est un organe
d’approbation au niveau des directeurs; il regroupe les principaux intervenants et est présidé par le
directeur du secteur opérationnel ayant initié ou parrainé la demande de cyberopérations. Le rôle du
GCO est d’examiner le plan opérationnel et d’en jauger les risques ainsi que les avantages. Le GCO
peut approuver [**expurgé**] il peut également faire approuver ces éléments par le Groupe de gestion des cyberopérations (GGCO), s’il y
a lieu. Le GGCO est un organe d’approbation qui se situe au niveau des directeurs généraux (DG) et
qui est mis sur pied [**expurgé**] a été examiné et recommandé par le GCO.
Ensuite, le CST prépare [**concerne des opérations du CST**]
est examinée en interne pour s’assurer
qu’elle correspond à la teneur [**expurgé**] elle est ensuite approuvée au niveau des
directeurs, bien que le CST ait indiqué que l’approbation pourrait être déléguée à un gestionnaire.
Constatations et recommandations
Clarté des autorisations ministérielles
L’OSSNR avait entrepris de déterminer si les exigences au titre de la Loi sur le CST relativement aux COA/COD se traduisent convenablement dans les AM du MinDN autorisant la tenue
d’activités de COA/COD et si le CST a bien consulté le MAE et obtenu son consentement, comme
l’exige la Loi.
L’OSSNR s’est penché sur deux AM portant respectivement sur des COA et des COD et
valides du [**expurgé**]. Notamment, les deux AM n’approuvaient que des
CAO/COD [**expurgé**]. De plus, l’OSSNR a examiné des documents en
appui des AM, y compris les demandes présentées par le chef au MinDN et les lettres de confirmation
connexes du MAE, ainsi que les documents de travail et la correspondance fournis par le CST et
Affaires mondiales Canada (AMC).
Les AM examinées par l’OSSNR énonçaient les nouveaux pouvoirs conférés au titre de la
Loi sur le CST et définissaient les conditions s’appliquant à la tenue des COA/COD, ainsi que les
interdictions indiquées dans la Loi. De plus, les AM demandaient que les activités de COA/COD soient
harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités
stratégiques du gouvernement du Canada en matière de sécurité nationale, de politique étrangère et
de défense.
Informations recueillies au titre d’autorisations précédentes en appui des cyberopérations
Le CST a reçu l’autorisation de mener des COA/COD à
l’époque où la collecte de renseignements électromagnétiques (SIGINT) étrangers était autorisée par des AM délivrées en application de la Loi sur la défense nationale. [**expurgé**]. Le CST a
confirmé à l’OSSNR que les COA/COD [**expurgé**] reposaient
uniquement sur des informations recueillies au titre des AM délivrées en application de la Loi sur le
CST. [**expurgé**] le CST a fait valoir que [**expurgé**]. L’OSSNR le confirmera dans le cadre de son examen ultérieur de COA/COD
précises.
Consultation du ministre des Affaires étrangères par le CST
Le CST a fourni à AMC les dossiers complets de demande d’AM pour les COA/COD en
place durant la période à l’examen. De plus, les représentants d’AMC et du CST ont noué le dialogue
à différents niveaux avant l’entrée en vigueur de la Loi sur le CST et pendant l’élaboration des AM,
particulièrement pour ce qui est de l’évaluation des catégories d’activités qui y sont autorisées. Dans
sa réponse au dossier de demande d’AM du CST, le MAE a fourni des lettres confirmant qu’il avait été
consulté et qu’il consentait aux AM de COA et de COD respectivement. L’OSSNR est ravi de constater
cette collaboration rapide et rigoureuse de la part des deux organisations, étant donné le lien entre
leurs mandats respectifs dans le contexte des COA/COD.
Les deux lettres du MAE soulignent l’utilité des COA/COD [**expurgé**] du gouvernement du Canada, expliquant l’importance de faire preuve de prudence concernant
ce moyen dans les premières étapes. Notamment, le MAE attire l’attention sur les catégories d’activités
« soigneusement définies » dans l’AM de COA pour garantir que les activités autorisées au titre de l’AM
présentaient [**expurgé**]. Enfin, le MAE a chargé ses
représentants de travailler avec le CST pour mettre en place un cadre de collaboration entourant les [**expurgé**]. Cette directive du MAE concorde avec le point de vue d’AMC sur l’importance d’assurer la cohérence des activités du CST avec la politique étrangère
du Canada et le fait que l’AM ou un autre mécanisme devrait le garantir.
Portée et étendue des autorisations ministérielles
L’AM de COA [**concerne la politique opérationnelle du CST**] délivrée en vertu de l’article 31 de
la Loi sur le CST a autorisé des catégories d’activités, y compris :
[**expurgé**] se mêler des [**expurgé**] d’une cible ou des éléments de l’infrastructure
mondiale de l’information;
[**expurgé**]
[**expurgé**]
perturber la capacité d’un auteur de menace d’utiliser certaines infrastructures.
L’AM pour la COD [**concerne des opérations du CST**] autorisait les mêmes activités,
à l’exception de la dernière catégorie, [**expurgé**].
Les AM pour les COA/COD stipulaient que le CST devait mener les COA/COD [**d’une
certaine façon**]. Selon l’AM de COA, ce sont ces conditions
qui, si elles sont respectées, font en sorte que les COA/COD menées au titre de ces AM comportent [**expurgé**]. Bien qu’AMC évalue les risques en matière de politique
étrangère plutôt sur le plan opérationnel, les AM élaborées pendant la période à l’examen n’imposaient
que deux conditions à respecter lors de la tenue des COA/COD. De plus, c’est au CST qu’il revient de
déterminer les critères permettant de respecter ces conditions générales; l’AM demande seulement au
CST d’en faire rapport. L’OSSNR ajoute que ces conditions ne comprennent aucune variable sur le
plan de la politique étrangère, [**expurgé**]. Pour que soit
confirmé le risque [**expurgé**] d’une opération pour la politique étrangère, l’OSSNR est d’avis qu’il est
important que les AM établissent le calcul des facteurs de risque en matière de politique étrangère.
[**expurgé**] indiquant :
[**expurgé**]
Le CST semble avoir répondu [**concerne des opérations du CST**]. En outre, la capacité du ministre à évaluer les activités autorisées
aux termes de la Loi sur le CST pourrait également être touchée. Pour cette évaluation, la demande
d’AM doit contenir suffisamment de détails pour que le ministre soit convaincu que les exigences sont
remplies.
Les catégories des activités de COA/COD, dont certaines sont exposées au
paragraphe 27, sont grandement généralisées. Par exemple, presque toutes les activités menées dans
le cyberespace peuvent être raisonnablement placées dans la catégorie [**expurgé**] ou se mêler [**expurgé**]
des éléments de l’infrastructure mondiale de l’information ». [**expurgé**]
Effectivement, les discussions préliminaires entre le CST et AMC ont attiré l’attention sur
le fait que [**expurgé**] et de contenu [traduction] « soulevaient des
questions complexes », bien que l’OSSNR précise que de telles activités sont néanmoins autorisées
dans l’AM définitive de COA dans la catégorie d’activités [traduction] [**expurgé**].
Autrement dit, l’autorisation d’une
catégorie d’activités [**expurgé**] a été intégrée dans une
catégorie encore plus vaste d’activités, sans [**expurgé**] évidente [**expurgé**] qui y étaient
liés. Ce type de catégorisation ne permet pas une communication suffisante de l’information pour que
le ministre saisisse les activités [**expurgé**] qui pourraient être menées au titre de l’AM.
En revanche, les techniques et exemples connexes énoncés dans les demandes sont les
seuls moyens qui permettent de préciser les types d’activités pouvant avoir lieu dans le cadre d’une
COA/COD. Ces exemples servent de fondement au MinDN pour évaluer les catégories d’activités dont
il est question dans la demande d’AM. Dans les échanges préliminaires entre le CST et AMC, les
catégories d’activités étaient décrites et analysées conjointement avec les techniques employées dans
leur exécution. Par exemple, il a été noté que [**expurgé**], ce qui a fourni plus d’information à l’OSSNR en ce qui a trait aux actions
qui se trouvaient exactement dans la catégorie d’activités. L’OSSNR ajoute que même ces techniques et exemples sont décrits dans les demandes comme faisant partie d’une liste non exhaustive, ce qui
pourrait permettre au CST de mener des activités qui ne sont pas précisément définies dans les
demandes.
De même, la cible des activités de COA/COD est habituellement désignée comme un
« acteur étranger », ce qui pourrait englober un large éventail de [**expurgé**]
. Dans les débuts de l’élaboration de l’AM, le CST et AMC avaient abordé [**expurgé**]
directement dans les AM, mais
AMC a précisé que [**expurgé**] visaient principalement [**expurgé**] étant donné [**expurgé**]
. AMC a
précisé que l’AM de COA [traduction] « définirait [mieux] [**expurgé**] dans une certaine
mesure ». Ni l’une ni l’autre de ces considérations ne figurait dans les AM définitives [**expurgé**]
qui, d’après les explications du CST, ne se limitent pas aux activités [**expurgé**]
, c’est-à-dire que [**expurgé**]
. L’OSSNR estime que les
AM devraient définir clairement les cibles des activités de COA/COD, [**expurgé**] les COA/COD [**expurgé**]
à des ensembles précis de cibles [**expurgé**] afin que les activités
permises par l’AM traduisent le [**expurgé**].
L’OSSNR souligne que seules les AM, et non les demandes connexes, donnent au CST
l’autorisation de mener ses activités. Par conséquent, l’exclusion de cette information des AM signifie
que seules les grandes catégories d’activités, telles qu’elles sont décrites dans les AM, guident les
mesures que peut prendre le CST dans le cadre de COA et non pas les techniques et exemples
énoncés dans les demandes qui servent de fondement à la norme sur laquelle s’appuie le risque des
activités. Selon l’OSSNR, les catégories décrites dans les AM ne restreignent pas suffisamment les
activités du CST [**concerne des opérations du CST**].
Même
si, aux dires d’AMC, les processus de consultation interministérielle entre les deux organisations
peuvent servir de mécanisme limitant les activités du CST, ces processus n’ont pas été nettement
consignés dans les AM les autorisant. L’OSSNR est d’avis que des AM pour les COA/COD plus
précises réduiraient la possibilité de confusion relativement aux activités précisément autorisées.
La méthode visant à préciser les catégories d’activités concorde avec la façon de faire
habituelle du CST liée à l’obtention d’autorisations larges de la part de hauts dirigeants comme le ministre, accompagnées de mesures de contrôle plus précises qui guident les opérations à exécuter
en fonction des limites de l’activité autorisée. AMC note la tendance à s’appuyer sur des autorisations
plus précises selon [**expurgé**] visée par la demande d’autorisation. Le
CST a expliqué que son approche lui permettait d’obtenir l’autorisation de mener des activités de façon
à [traduction] « apporter une souplesse maximisant les occasions, mais également des réserves
suffisantes pour assurer l’atténuation appropriée des risques. »
Bien que l’OSSNR reconnaisse que les AM doivent donner au CST suffisamment de jeu
pour qu’il mène des COA/COD [**expurgé**] s’il le faut, il est important que
le CST ne mène pas d’activités qui n’étaient pas envisagées ni autorisées par le MinDN ou le MAE lors
de la délivrance des AM applicables. Toujours selon l’OSSNR, dans le contexte des COA/COD [**expurgé**]
, le CST peut adopter une approche plus transparente qui préciserait les catégories d’activités
qu’il demande au ministre d’autoriser. C’est tout particulièrement important étant donné que le CST
utilise ces nouvelles autorisations depuis peu. L’autorisation de catégories d’activités, de techniques
connexes et d’ensembles de cibles plus précis diminuerait la possibilité que les COA/COD [**expurgé**]
dans les AM.
Le CST a indiqué que [traduction] « des objectifs clairs permettent fondamentalement de
montrer le caractère raisonnable et la proportionnalité. » L’OSSNR partage le même avis et croit que
les catégories d’activités et les objectifs décrits dans les AM et les demandes connexes devraient être
plus explicites afin que le MinDN puisse confirmer le caractère raisonnable et la proportionnalité des
COA/COD, d’autant plus que les AM étudiées dans le cadre du présent examen ne se rapportaient pas
précisément à une opération. Dans le cadre de l’autorisation, le ministre exige également que le CST
lui fournisse un rapport trimestriel sur les activités qui ont été menées. De plus, pour délivrer une autorisation, le MinDN doit être convaincu que les activités sont
raisonnables et proportionnelles, et qu’il y a des motifs raisonnables de croire que l’objectif de la
cyberopération ne peut raisonnablement être atteint d’une autre manière. Cette exigence met
davantage l’accent sur la nécessité que le MinDN comprenne, dans une certaine précision, les types
d’activités et les objectifs exécutés en application de l’autorisation.
Dans le cas des deux AM examinées, le ministre a conclu que les exigences énoncées au
paragraphe 34(4) de la Loi sur le CST étaient satisfaites57. De plus, les AM énoncent les objectifs à
atteindre par les COA/COD. Toutefois, la justification selon laquelle les objectifs ne pourraient être
raisonnablement atteints d’une autre manière dans les limites de l’AM de COA est très vague et se
concentre sur les stratégies d’atténuation générales des activités de cybermenace. Étant donné la
rareté des détails fournis au ministre dans le présent cadre, il pourrait être difficile pour le MinDN de
satisfaire à cette exigence législative. En ce qui a trait au seuil établi par le paragraphe 34(4) de la Loi
sur le CST, le Centre a indiqué que [traduction] « la demande d’autorisation doit énoncer les faits qui
expliquent comment chacune des activités décrites dans l’autorisation fait partie d’un plus grand
ensemble d’activités individuelles ou d’une catégorie d’activités qui atteint un objectif ne pouvant pas
être raisonnablement atteint d’une autre manière58. » Dans son prochain examen des COA/COD,
l’OSSNR tentera de déterminer si les COA/COD concordent avec les objectifs établis dans l’AM et se penchera sur la détermination, par le CST, qu’ils n’auraient pas pu être raisonnablement atteints d’une
autre manière.
Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations
actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés
comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même,
l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques
connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.
Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux
conditions des autorisations ministérielles pour les cyberopérations actives et défensives
repose trop sur la détermination technique des risques au détriment des éléments qui
caractérisent la politique étrangère du gouvernement du Canada.
Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément
les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans
le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs
sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces
activités.
Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations
ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la
politique étrangère découlant des cyberopérations actives et défensives.
Élaboration des demandes d’AM [**expurgé**]
Au cours de la période à l’examen, le CST a préparé des demandes d’AM pour ce qu’il
considérait comme étant des COA/COD [**expurgé**] dont l’élaboration a été prioritaire [**concerne des opérations du CST****]
. Alors que se développent les
moyens dont le CST dispose pour mener des COA/COD et que le Centre commence à
[**expurgé**].
L’OSSNR a constaté que le CST et AMC envisageaient les COA représentant un [**expurgé**], lesquelles, si elles sont exécutées, [**expurgé**] selon la
méthodologie d’AMC.
Bien que les AM que l’OSSNR a obtenues à ce jour, lesquelles ne se rapportent pas
précisément à une opération, permettent au CST de mener
, l’OSSNR estime que leur nature générale ne se transfère pas [**AM potentielles de nature différentes**].
Par exemple, [**
d’une inquiétude de l’OSSNR concernant l’habilité du Ministre à analyser pleinement certains facteurs des
description
cyberopérations dans un contexte particulier**]
Dans
le cadre de l’élaboration de la demande d’AM de COA de 2019-2020, AMC a indiqué que
[traduction] « d’autres fins demanderaient d’autres AM. Elles ne seront pas complètement générales;
elles seront précises pour un contexte donné. »
En outre, dans le régime législatif actuel, les demandes d’AM représentent un mécanisme
clé donnant au MAE l’occasion d’évaluer les activités de COA/COD. En raison des [**expurgé**]
COA/COD [**expurgé**] pour la politique étrangère et les relations
internationales du Canada, l’OSSNR estime que le MAE devrait participer plus directement à
l’élaboration et à l’exécution à l’échelle ministérielle, en plus de l’engagement sur le terrain des
opérations entre le CST et AMC. Les deux ministres peuvent assurer plus efficacement leur
responsabilisation relative à de telles opérations au moyen d’AM individuelles qui donnent des détails
précis sur l’opération et sa justification, et sur les activités, outils et techniques employés. Par
conséquent, lorsque le CST se penche sur des COA [**expurgé**] l’OSSNR
l’encourage à élaborer des demandes d’AM propres à ces opérations et à veiller à ce que ces
documents contiennent tous les détails opérationnels pertinents permettant à chaque ministre d’évaluer
pleinement les répercussions et les risques liés à chaque cyberopération et d’en prendre la
responsabilité.
Orientation stratégique des cyberopérations
L’article 19 de la Loi sur le CST régit les pouvoirs du CST quant à la conduite de COA qui
se rapportent aux affaires internationales, à la défense ou à la sécurité, donc à des domaines qui
peuvent faire appel à la responsabilité d’autres ministères et organismes. Qui plus est, les AM
examinées par l’OSSNR exigent que les COA soient [traduction] « harmonisées aux priorités du
Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du
gouvernement du Canada liées à la sécurité nationale, à la politique étrangère et à la défense ». L’établissement de ces priorités fait intervenir plusieurs ministères fédéraux du Canada, comme le
Bureau du Conseil privé (BCP), le MDN et Sécurité publique Canada (SP), qui sont responsables de la
coordination et de la surveillance de différentes parties de l’établissement des priorités dans le présent
contexte. Tout au long du présent examen de la gouvernance, on a noté que le CST atteste la
conformité à ces exigences par un énoncé indiquant que l’AM répond aux grandes priorités du
gouvernement du Canada, sans élaborer sur la façon dont ces priorités sont satisfaites.
Les processus interministériels du gouvernement du Canada relativement à la coordination
d’activités et d’opérations de sécurité nationale ne datent pas d’hier. Par exemple, lorsque le MAE
requiert une collecte de renseignements étrangers au Canada, il présente une demande au ministre de
la Sécurité publique afin que le Service canadien du renseignement de sécurité (SCRS) facilite la
collecte conformément à l’article 16 de la Loi sur le SCRS. Un comité composé de représentants [**expurgé**].
se penche ensuite sur le type de demande. Le
comité examine ensuite les questions au niveau du sous-ministre adjoint, [**concerne les processus décisionnaire du GC**]
. De même, un processus interministériel peut également confirmer la
conformité d’une COA aux priorités plus larges et l’impossibilité d’atteindre raisonnablement les
objectifs d’une autre manière. Autrement dit, les consultations interministérielles sont une façon
d’évaluer les objectifs des COA et leur conformité aux priorités plus larges du gouvernement du
Canada, et de déterminer s’il existe une autre manière d’atteindre les objectifs fixés, comme l’exige la
Loi sur le CST.
L’établissement de priorités plus larges pour le gouvernement du Canada est ressorti
comme élément clé de la structure de gouvernance de ce nouveau pouvoir dans les premières
discussions entre le CST et AMC. Au cours de la période à l’examen, le CST a monté des COA avec
AMC, qui a participé à certains aspects du processus de planification. AMC a encouragé le MAE à
demander l’élaboration d’un mécanisme de gouvernance en vue d’atténuer le risque que
[traduction] « le CST décide, par lui-même, de lancer [**expurgé**]
et a ajouté que [**expurgé**]
. »
Des évaluations internes préliminaires d’AMC se démarquent du mandat touchant le
renseignement étranger du CST, qui répond aux priorités en matière de renseignement approuvées
par le Cabinet, et rendent bien l’essence de cet écart par l’énoncé suivant :
[**citation d’AMC concernant une discussion sur les objectifs et priorités stratégiques des cyberopérations**]
Dans un autre cas, AMC a décrit l’établissement de telles priorités comme étant
[traduction] « une question importante qui n’a pas encore été réglée avec le CST » et a expliqué qu’à
ce moment un organisme dont le mandat touchait notamment la cyberopération devrait décider s’il
s’agit du bon outil pour atteindre un objectif en particulier. AMC a expliqué que ses représentants
avaient ultimement accepté d’aller de l’avant sans se consacrer davantage à ce sujet pour autant qu’un
mécanisme de gouvernance était mis en place avec le CST.
Dans ce contexte, le paragraphe 34(4) de la Loi sur le CST exige que les objectifs d’une
cyberopération ne puissent pas être raisonnablement atteints d’une autre manière et que les
cyberopérations répondent aux priorités dans divers domaines. Étant donné ces exigences, l’OSSNR
indique que les ministères fédéraux, et non seulement le CST et AMC, peuvent fournir des indications
pertinentes sur d’autres possibilités ou des activités en cours qui pourraient atteindre les objectifs en
question.
De plus, AMC a souligné le fait que le Cabinet établissait les besoins permanents en
matière de renseignement (BPR) qui limitent et dirigent plus précisément les activités de collecte de
renseignements étrangers du CST. À ce sujet, le CST a répondu que [traduction] « ces discussions
ont conduit le CST et AMC à accepter de commencer par une autorisation ministérielle comportant [**expurgé**]
appuyée par une structure de consultation et un cadre de
gouvernance entourant les COA/COD du CST et d’AMC. »
Selon l’OSSNR, la Loi sur le CST et l’AM de COA établissent directement un lien entre les
COA et les grands objectifs et priorités du gouvernement du Canada qui touchent directement les
mandats de ministères comme le MDN, le BCP, le SCRS et SP, en plus de ceux du CST et d’AMC. Il
ne suffit pas au CST de déclarer qu’une AM et ses activités connexes concordent avec ces priorités
sans élaborer ou consulter d’autres parties, étant donné que le MDN, le BCP et SP sont responsables
des priorités stratégiques du Canada en matière de sécurité nationale et de défense ou en assurent la
coordination. Ces ministères et organismes seraient les mieux placés pour offrir des commentaires et
une confirmation concernant l’alignement d’une COA sur les objectifs du Canada afin d’atténuer les
risques que peuvent poser ces opérations et de contribuer à la responsabilisation globale de ces
opérations.
[**concerne des sujets du GC liés à la sécurité nationale**]. Par conséquent, le processus de gouvernance appelle l’inclusion, ou à tout le moins leur
consultation, d’autres ministères dont les mandats sont de chapeauter les grands objectifs stratégiques du Canada. Ainsi, les grands intérêts du Canada et les risques possibles seraient suffisamment
examinés et transparaîtraient dans l’élaboration des COA.
Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme
permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités
stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et
l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST
et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du
Canada prenant part à la gestion des objectifs généraux du Canada.
Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre
de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au
renseignement auprès du premier ministre et les autres ministères concernés, dont les
mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent
aux grandes priorités stratégiques du gouvernement du Canada et que les exigences
énoncées dans la Loi sur le CST soient respectées.
Seuil pour la conduite de COD préventives
Le CST établit une différence entre les COD menées en réponse à une cybermenace
et les COD préventives visant à empêcher la concrétisation d’une cybermenace. De plus, le CST et
AMC ont discuté de la nature de ces opérations, notamment qu’elles se trouvaient dans le spectre des
opérations en aval et en amont. Notamment, dans le cas des COD, [**concerne des opérations du CST**].
Le CST a expliqué que le lancement d’une COD [traduction] « exige une preuve que la
menace représente une source potentielle de dommage à une institution fédérale ou à une
infrastructure de l’information ou de l’information électronique précise ». Selon le CST, il n’est pas
nécessaire qu’une infrastructure soit compromise avant que soit lancée une COD. Il faut simplement
pouvoir établir la preuve d’un lien entre une menace de compromission et l’infrastructure.
En même temps, le CST ne dispose pas encore des moyens de faire la distinction entre
ce type de COD et une COA, étant donné que des discussions entre AMC et le CST indiquaient qu’une
COD pouvait ressembler à une COA si la première est menée en amont. Contrairement aux COA, qui
demandent le consentement du MAE et la participation exhaustive d’AMC tout au long du processus
de planification, les COD ne requièrent qu’une consultation auprès du MAE. Sans l’établissement d’un
seuil clair pour une COD menée en amont, il est possible que la participation d’AMC à une opération
qui s’apparente (ou corresponde) à une COA soit insuffisante, [**expurgé**].
Dans notre examen ultérieur, nous porterons une attention particulière à la nature des
COD préventives planifiées ou exécutées afin de déterminer si elles constituent ou non des COA.
Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et
de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui
pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit
considérée à tort comme étant défensive.
Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil
qui permette de distinguer une cyberopération active d’une cyberopération défensive
préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les
autorisations ministérielles applicables.
Collecte de renseignement dans le cadre d’une cyberopération
Aux termes du paragraphe 34(4) de la Loi sur le CST, le MinDN ne peut délivrer
l’autorisation que s’il conclut qu’aucune information ne sera acquise au titre de l’autorisation, sauf
conformément à une autorisation délivrée en vertu des paragraphes 26(1), 27(1) ou (2), ou 40(1). Les
AM pour les COA/COD délivrées pendant la période à l’examen témoignent de cette restriction. Ces
AM et leurs demandes correspondantes mentionnent seulement que les AM entourant les
renseignements étrangers serviront à acquérir de l’information en appui des activités de COA/COD.
Elles énoncent aussi clairement qu’aucune information ne sera acquise dans le cadre des activités de
COA/COD autorisées par l’AM de COA.
Cependant, les AM et les demandes à l’appui ne décrivent pas l’intégralité des activités de
collecte d’information découlant des COA/COD. D’après les politiques du CST, le Centre peut encore
recueillir de l’information [**expurgé**] tant que l’activité est menée au titre d’une autre AM. Le
CST a expliqué que les AM pour les COA/COD ne peuvent servir de fondement à la collecte de
renseignements, mais que [**concerne des opérations du CST**]
. Par exemple, [**expurgé**]
tout en s’appuyant sur l’autorisation liée aux renseignements
étrangers pour [**expurgé**] conformément aux priorités en matière
de renseignement du gouvernement du Canada.
l’information au sujet Loi sur le CST autorise le CST à acquérir de l’information au titre d’AM de
collecte, l’OSSNR est d’avis que la politique du CST permettant la tenue d’activités de collecte au titre
d’AM distinctes pendant la tenue de cyberopérations n’est pas énoncée clairement dans les AM pour
les COA/COD. Plutôt, la collecte d’information fait partie des interdictions dans l’AM de COA, donnant
l’impression que la collecte ne peut avoir lieu peu importe les circonstances. Par conséquent, l’OSSNR souligne que le libellé de l’AM de COA ne traduit pas en toute transparence les politiques internes du
CST.
Le CST a expliqué que [**expurgé**]
durant une COA/COD. En outre, l’OSSNR a appris d’un expert du
CST qu’un [**expurgé**] précis qui énonce en détail les activités à réaliser dans le cadre de
l’opération oriente chaque COA/COD. [**concerne des opérations du CST**].
Étant donné la politique du CST permettant la tenue simultanée de la collecte et de
cyberopérations [**expurgé**] l’OSSNR examinera minutieusement les rôles et
responsabilités [**expurgé**] participant aux COA/COD, ainsi que les aspects techniques de
l’utilisation des systèmes du CST à l’appui des COA/COD lors de son examen ultérieur des opérations
qu’a menées le CST jusqu’à présent.
Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information
dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations
ministérielles pour les cyberopérations actives et défensives.
Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes
présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que,
dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent
au titre d’autorisations distinctes.
Gouvernance interne du CST
L’OSSNR a décidé d’évaluer dans quelle mesure les processus de gouvernance interne
prenaient suffisamment en compte les éléments essentiels à la planification et à l’exécution des
opérations, et de savoir si les intervenants appelés à prendre part aux COA/COD (c.-à-d. AMC et
[**expurgé**]) étaient précisément au fait des paramètres et des contraintes s’appliquant aux
cyberopérations.
Pendant le déroulement de l’examen, le CST donné suite aux exigences applicables en
vertu de la Loi sur le CST et des AM en mettant en place divers mécanismes internes de planification
et de gouvernance. Ces mécanismes visaient les documents et les mesures stratégiques de haut niveau, mais aussi chacune des [**expurgé**] opérationnelles, [**documents/méchanismes**] de chacune
des COA/COD.
Gouvernance des opérations
Comme il a été décrit plus tôt, lorsqu’il s’agit d’approuver chacune des COA/COD, le CST
s’appuie sur divers documents de planification et de gouvernance, notamment, les [**expurgé**]. Dans un premier temps, le CST élabore le [**expurgé**] une COA/COD donnée. Par la suite, le CST crée un [**expurgé**] dans lequel on fait état
des risques dont il faut tenir compte pendant le déroulement de la COA/COD. De plus, le [**expurgé**] et le [**expurgé**] comprennent des champs portant sur les interdictions énoncées dans la Loi sur le CST. Dès lors qu'une cible a été choisie, la [**expurgé**] tient lieu de document de gouvernance définitif, jusqu'à l'établissement des [**expurgé**] des COA/COD.
Semblablement aux AM pour les COA/COD et en guise de plan initial, le [**expurgé**] consiste
généralement en une approbation préalable de l’ensemble des activités et de [**expurgé**].
Il est ensuite perfectionné et développé dans le cadre du processus de [**expurgé**].
Du point de vue de l’OSSNR, [**concerne des opérations du CST**].
Specifically, the [**relates to CSE operations**] and other operational details that, in NSIRA’s view, surpass simply [**redacted**] and contain key components of operational planning. [**redacted**] details the specific [**redacted**]. Nonetheless, despite the [**redacted**] the [**redacted**] it may have a lower approval threshold than that of the [**redacted**].
Overall, NSIRA welcomes that CSE has developed procedures and documented its operational planning associated with ACO/DCO activities, in accordance with its requirements in the MPS. Nonetheless, the numerous governance documents that comprise the governance of ACO/DCOs exist to serve different audiences and purposes, and result in pertinent information dispersed across them, rather than being available in a unified structure for all implicated stakeholders and decision- makers to assess. NSIRA believes the many separate components of governance may be redundant and result in unnecessary ambiguity within the same operational plans that are meant to guide ACO/DCOs. Thus, NSIRA will assess the efficacy of this governance structure as it is applied to operations as part of our subsequent review.
Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les
documents de planification ont été approuvés, contient des informations pertinentes pour les
plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne
des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que
cette présentation soit approuvée à un niveau de gestion inférieur.
Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les
informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous
les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans
tout document soumis à l’attention d’AMC.
Formation sur le nouveau cadre pour les cyberopérations
Les autorisations ministérielles visant les COA et les COD permettent aux catégories de
personnes suivantes de mener des activités COA/COD : [**concerne la politique opérationnelle du CST**] Les AM
exigent également que ces [traduction] « personnes ou catégories de personnes appuient les
opérations du CST et favorisent les intérêts du Canada en matière de renseignement; elles exigent
également que ces personnes ou catégories de personnes aient démontré une compréhension
approfondie des exigences juridiques et stratégiques applicables. »
Soucieux de la formation et de l’orientation de son personnel opérationnel au sujet des
nouvelles exigences juridiques et stratégiques, le CST a déclaré – relativement à une opération
particulière – que :
« Les activités opérationnelles entreprises [**expurgé**]
lesquels sont tenus de suivre des formations complètes et
continues sur les fonctions et les tâches qu’ils sont appelés à exercer, mais aussi sur les politiques et les
exigences en matière de conformité qui s’appliquent à leurs rôles respectifs. De plus, [**expurgé**]
ont été formés, sont tenus responsables des activités qu’ils réalisent
et respectent les exigences en matière de production de rapports sur la conformité. En outre, [**expurgé**]
qui participent aux activités [**expurgé**] ont préalablement reçu le matériel opérationnel permettant de veiller à ce que les conditions d’opération
énoncées dans la présente soient comprises et strictement observées. »
Enfin, le CST a indiqué à l’OSSNR [traduction] « qu’avant l’adoption de la nouvelle loi, le
CST fournissait, virtuellement et en présentiel, des séances d’information sur les nouveaux pouvoirs du
CST à tous les membres de l’effectif du Centre. Des séances d’information personnalisées étaient
également fournies aux équipes opérationnelles ». Au nombre de ces séances, on a pu compter des
conférences, des séances de question avec le chef-adjoint, Politiques et Communication, ainsi que
d’autres types de présentations préparées par les équipes des politiques du CST96. Toutefois, l’OSSNR
note que ces séances de formation, qui comportent nombre d’informations générales, ne sont pas
axées sur les opérations et ne mettent pas à l’épreuve les connaissances que les employés ont
nouvellement acquises concernant le nouveau cadre juridique régissant les opérations.
Compte tenu des exigences et des assurances énoncées plus haut, l’OSSNR s’attendait
à constater que les employés du CST qui fournissent du soutien aux COA/COD disposent d’une
formation effective qui soit suffisante pour acquérir une compréhension approfondie des responsabilités
qui leur incombent en considération des nouveaux pouvoirs, mais aussi des nouvelles contraintes que
la loi leur impose; et pour mettre cette compréhension en pratique pendant le déroulement des
COA/COD.
Dans ce contexte, le CST a mené des exercices pratiques ayant pour objet, entre autres,
de présenter [**certains employés**] les premières étapes du processus de préparation des AM, de leur donner
l’occasion de rédiger des AM et de tester la viabilité fonctionnelle du cadre des AM. Durant les
exercices, [**l'employé susmentionné**] n’avaient pas le droit de demander conseil auprès des responsables des
affaires juridiques ou stratégiques, permettant ainsi aux gestionnaires d’observer les résultats appelés
à se manifester naturellement. Or, l’OSSNR remarque un point essentiel au sujet de cet exercice :
«[**expurgé**] se sont montrés réticents à l’égard du besoin de recourir à plusieurs AM
pour soutenir les objectifs de mission. Des directives et de la formation en matière de politiques seront
nécessaires pour rendre [**expurgé**] aptes à connaître les autorisations qui régissent leurs interventions
dès lors qu’ils prennent part aux opérations réalisées dans le cadre de diverses missions et selon les
termes des AM connexes. Ces directives et cette formation doivent également tenir compte du fait que les
informations collectées en vertu de diverses AM pourraient être assujetties à certaines exigences en
matière de gestion des données. »
Le CST a indiqué que [**certains employés**] recevaient les éléments de connaissance concernant
les autorités juridiques, les exigences et les interdictions s’appliquant aux COA et aux COD pendant
des réunions de planification et à la lecture de documents opérationnels. Or, à l’occasion d’une
entrevue avec un expert du CST [**expurgé**] l’OSSNR a appris que la
formation offerte sur les autorités juridiques, les exigences et les interdictions [**expurgé**].
L’expert en question a également dit que les intervenants qui auraient des
questions concernant la gouvernance devraient [**concerne des opérations du CST**]
À l’OSSNR, on ne sait trop s’il existe des exigences suivant lesquelles [**expurgé**] sont
tenus de posséder une profonde compréhension des paramètres définis pour une COA/COD dans un [**expurgé**].
De fait, [**expurgé**].
Par exemple, lorsqu’on l’a questionné au sujet
de son degré d’aisance à exécuter ses fonctions en vertu de diverses AM, [**expurgé**]
énoncés dans le [**expurgé**]. Le
CST ajoute que [**expurgé**] sont élaborés à partir du [**expurgé**]. Or, comme
l’indique [**expurgé**]
Par conséquent, l’OSSNR estime que s’ils ne
se concentrent que sur le contenu du [**certain document/méchanisme**] risquent de ne pas avoir une
compréhension suffisante des paramètres et des restrictions s’appliquant à l’ensemble de l’opération.
Les AM qui autorisent l’exécution des COA/COD imposent une condition aux employés du
CST impliqués dans l’exécution desdites COA/COD : celle de posséder une compréhension
approfondie des exigences juridiques et stratégiques régissant leurs interventions. Les AM et les
documents de planification opérationnelle contiennent des informations essentielles concernant les
paramètres qui déterminent les pouvoirs s’appliquant, de façon générale, à la conduite des COA/COD,
mais aussi des opérations particulières. Ainsi, l’OSSNR affirme qu’il est de prime importance que les
employés travaillant sur un aspect de l’exécution des COA/COD reçoivent des séances de formation
leur permettant de bien connaître les exigences et les limites s’appliquant à leurs interventions
respectives, lesquelles sont énoncées dans le [**expurgé**] et la [**expurgé**]. Enfin,
pourraient subir des tests visant à mesurer leur degré de compréhension des AM et des
contraintes imposées à certaines opérations.
Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur
permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de
cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les
employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante
ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des
paramètres régissant l’application de ces pouvoirs.
Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de
formation structuré aux employés prenant part à l’exécution des cyberopérations actives et
défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une
connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées
dans les autorisations ministérielles.
Cadre de mobilisation entre le CST et AMC
Étant donné l’exigence législative selon laquelle le MAE doit donner son approbation ou
être consulté en ce qui a trait aux COA/COD, l’OSSNR a cherché à déterminer si le CST avait élaboré
un cadre propice à la mobilisation et à la consultation des représentants d’AMC pour les aspects
communs de leurs mandats respectifs.
Évaluation des risques liés à la politique étrangère par AMC
Lors de l’élaboration du cadre de consultation, AMC et le CST ont mis au point un
mécanisme selon lequel AMC est appelé à donner son avis, voire son approbation avant le lancement
d’une opération, et à évaluer les risques que celle-ci peut comporter en matière de politique étrangère.
En réponse à une demande de consultation présentée par le CST, AMC est tenu de fournir, dans un
délai de cinq jours ouvrables, une évaluation des risques liés à la politique étrangère (ERPE) visant à
établir si [**expurgé**]. Il convient de
souligner que l’ERPE ne constitue pas une approbation de l’opération; il ne s’agit que d’un mécanisme
de consultation. Pour orienter l’ERPE, le CST prépare un [**document/méchanisme**] à l’intention d’AMC
résumant les divers aspects de l’opération. Par ailleurs, c’est dans le cadre d’un examen subséquent
que l’OSSNR vérifiera si l’échéancier fourni par le CST relativement à certaines opérations aura permis
à AMD de mener des ERPE adéquates.
Pour déterminer si une COA/COD [**expurgé**] AMC doit considérer bon
nombre de facteurs. Il faut notamment vérifier si la COA/COD est conforme à la position d’AMC par
rapport aux normes internationales régissant le cyberespace et si elle contribue aux intérêts du Canada.
AMC doit aussi tenir compte de [**concerne des sujets du GC liés à la sécurité nationale**]. Ces considérations sont présentées
dans les mandats du Groupe de travail du CST-AMC, lesquels requièrent qu’AMC évalue :
[**expurgé**]
la conformité au droit international et aux cybernormes;
la cohérence sur le plan de la politique étrangère, notamment la conformité de l’opération aux
priorités en matière de politique étrangère, de sécurité nationale et de défense (au-delà des
[besoins permanents en matière de renseignement]);
[**expurgé**]
Dans le contexte des exigences d’évaluation susmentionnées, AMC a expliqué à
l’OSSNR que ses évaluations des risques posés par les opérations sur le plan de la politique étrangère
n’étaient pas forcément exhaustives, étant donné qu’il évaluait déjà en détail les catégories d’activités
autorisées par l’AM. Cette approche en matière d’évaluation est perceptible dans [**expurgé**] ERPE
reçues par l’OSSNR, lesquelles concluaient que [**expurgé**] ces opérations [**expurgé**]
sans toutefois fournir de précisions sur les facteurs susmentionnés. Étant donné
qu’elles fournissent l’assurance qu’une opération [**expurgé**] et qu’elles sont requises aux
termes de l’AM relative aux COA, les ERPE feront l’objet d’un examen détaillé dans le cadre du prochain examen de l’OSSNR, lequel portera sur les opérations.
Conformité au droit international et aux cybernormes
[**expurgé**]
Le Parlement peut autoriser des violations du droit
international, s’il le fait expressément. Par exemple, à la suite de la décision dans
X (Re) 2014 CAF 249, le Parlement a modifié la Loi sur le SCRS en adoptant le projet de loi C-44 en
2015. Les nouvelles dispositions énonçaient clairement que le SCRS pouvait s’acquitter de ses
fonctions au pays et à l’étranger, et qu’en vertu de nouvelles dispositions de la Loi sur le CST, un juge
pouvait autoriser des activités à l’étranger afin de permettre au Service d’enquêter sur une menace
pour la sécurité du Canada « sans égard à toute autre règle de droit ». Conformément au libellé de
la Loi sur le CST, les AM relatives aux COA/COD peuvent uniquement autoriser le CST à mener des
activités « malgré toute autre loi fédérale ou loi d’un État étranger ». Tel qu’énoncé dans la
jurisprudence, ce libellé pourrait ne pas être suffisamment clair pour permettre au ministre d’autoriser
la violation de règles coutumières du droit international.
[**expurgé**] les AM examinées par l’OSSNR
énonçaient que les activités devaient être [traduction] « conformes aux obligations du Canada en
matière de droit international »115, et chaque AM exigeait que les activités du CST ne contreviennent
pas aux obligations du Canada en la matière116. Ainsi, cela porte à croire que toutes les activités menées
aux termes de l’AM sont conformes au droit international. Or, les documents de gouvernance rédigés
par le CST et AMC, notamment le cadre de consultation, n’établissent pas les paramètres permettant
d’évaluer la conformité des COA/COD avec les obligations du Canada en matière de droit international.
Qui plus est, on ne précise pas les obligations légales internationales en fonction desquelles la
conformité des COA/COD doit être évaluée. Dans son prochain examen, l’OSSNR évaluera dans quelle
mesure les COA/COD menées par le CST et AMC se conforment au droit international.
Dans le cadre de ses échanges avec l’OSSNR, AMC a fait mention de ses consultations interministérielles et internationales remontant à 2016 concernant le
Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (Tallinn Manual 2.0),
lequel a contribué à orienter les AM [**expurgé**]. À la suite de ces
consultations, AMC a créé un manuel qui traite de l’évaluation préliminaire du Canada visant des règles
clés du droit international relatif au cyberespace, selon le Tallinn Manual 2.0. Bien qu’il ne s’agisse que
d’une ébauche ne représentant pas la position définitive du Canada, l’analyse [traduction] « sert de
fondement à des considérations juridiques approfondies ». L’OSSNR n’a reçu aucun autre document
décrivant la manière dont le Canada interprète le droit international relativement aux COA/COD.
Par ailleurs, dans des documents fournis par AMC et le
CST, on fait état de la nécessité d’examiner la légalité de chaque COA/COD envisagée. AMC a
notamment relevé qu’il faudrait analyser les termes [traduction] « reconnus comme étant nuisibles » et
« posant un risque pour la paix internationale et à la sécurité », et ce, dans le contexte de chaque
COA/COD. [**expurgé**].
AMC a expliqué avoir examiné chaque activité s’inscrivant dans les catégories autorisées
afin de vérifier la conformité au droit international au stade d’élaboration de l’AM. Ainsi, il n’a mené
qu’un examen sommaire de la conformité au droit international au stade de l’ERPE pour chaque
opération. AMC a mentionné que le manuel qu’il a créé ainsi que le Tallinn Manual 2.0 ont été
consultés à cet effet. D’après la teneur [**expurgé**] ERPE examinées par l’OSSNR jusqu’à présent, on
ne saurait dire dans quelle mesure le manuel ou l’analyse des normes volontaires de 2015 du Groupe
d’experts gouvernementaux des Nations Unies (GEG de l’ONU) a orienté l’examen du niveau de risque
de chaque opération, ou encore, si les conclusions d’AMC étaient conformes au droit international.
Or, AMC conclut que les activités sont conformes au droit international sans toutefois fournir de
justification.
NSIRA notes that international law in cyberspace is a developing area, and recognizes that Canada and other States are continuing to develop and refine their legal analysis in this field. ACO/DCO activities conducted without a thorough and documented assessment of an operation’s compliance with international law would create significant legal risks for Canada if an operation violates international law. Ultimately, a better documented analysis of Canada’s legal obligations when conducting ACO/DCOs is necessary in order for GAC and CSE to assess an operation’s compliance with international law. NSIRA will further examine the lawfulness of ACO/DCO activities in our subsequent review.
Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le
CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté
et d’objectivité.
Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.
Communication bilatérale de l’information pertinente
AMC et le CST ont tous deux adopté des méthodes qui leur permettent d’évaluer les
risques en fonction de certains facteurs. Cependant, ces types de risques ne sont pas absolus; ils
dépendent d’une vaste gamme de facteurs qui évoluent au fil du temps et à mesure qu’émergent des
renseignements nouveaux. Pour sa part, AMC compose avec des facteurs comme [**concerne des sujets du GC liés à la sécurité nationale**]
À l’heure actuelle, le CST et AMC ont adopté une méthode selon laquelle le CST compte
sur l’information que lui transmet AMC pour demeurer au courant de tout changement lié aux risques
sur le plan de la politique étrangère du Canada. Toutefois, selon la méthode d’AMC susmentionnée,
les risques d’une opération peuvent s’accroître à mesure qu’on obtient des renseignements sur
ou sur les répercussions possibles de l’opération
au-delà d’un [**expurgé**]. Pour sa part, le CST semble surtout se concentrer
sur les changements touchant les risques opérationnels, [**qui sont découverts à un certain moment et
d’une certaine manière**]. Il s’agit d’un mécanisme à sens unique
qui ne tient pas compte d’autres facteurs [**expurgé**].
Dans ce contexte, le CST a expliqué qu’une COA/COD consistait en [**expurgé**], et que par conséquent, [**expurgé**]. Le CST a
également mentionné que [**expurgé**] et que les activités subséquentes peuvent être modifiées au besoin, en fonction de l’information obtenue pendant
l’opération en cours. [**expurgé**].
Dans ce contexte, l’OSSNR a examiné des opérations devant se dérouler sur une
période donnée, dont une COD où le CST devait entreprendre des [**expurgé**]. Dans le cadre d’une autre COA, le CST [**expurgé**]. Dans sa description de l’opération à AMC, le CST a mentionné que de telles activités s’étendraient sur
un certain laps de temps [**expurgé**].
[**concerne des opérations du CST**] tire parti de [**expurgé**] des COA/COD [**expurgé**]
l’OSSNR estime qu’il faudrait mettre en place un mécanisme de notification bidirectionnel
permettant de réévaluer les risques liés à une COA/COD, que ces risques soient découverts avant la
mise en oeuvre de l’opération ou pendant son exécution.
Enfin, en ce qui a trait au processus de gouvernance interne du CST, AMC a un rôle à
jouer dans [**expurgé**]. D’ailleurs, AMC a indiqué que les objectifs, [**expurgé**]
associés aux opérations constituaient des renseignements qu’il
incombe au CST de fournir aux fins de l’évaluation des risques pour la politique étrangère. L’OSSNR
a constaté que le [**expurgé**]
. L’OSSNR note qu’AMC devrait avoir accès à ces détails, car ils servent
de contexte important à son examen, d’autant plus qu’AMC indique dans ses conclusions que les
activités étaient conformes à [**expurgé**].
Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique
étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres
risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à
l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la
documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut
que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment
d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.
Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute
l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant
une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade
de la planification qu’à celui de l’exécution.
Conclusion
Le présent rapport fait suite au premier examen de l’OSSNR portant sur les nouveaux
pouvoirs conférés au CST pour la conduite de COA/COD et illustre l’évolution de la structure de
gouvernance du CST et d’AMC s’appliquant auxdites COA/COD. Le CST est autorisé à mener ce type
d’opération depuis 2019, bien que l’examen ait permis de constater que les deux organismes avaient
commencé à conceptualiser le régime de gouvernance avant l’entrée en vigueur de la Loi sur le CST.
L’OSSNR reconnaît qu’à ce jour, le CST a élaboré une structure de gouvernance complète et salue
son implication dans l’élaboration d’un cadre de consultation avec AMC, cadre dans lequel sont définis
les rôles et les responsabilités de chacune des organisations.
Toutefois, le CST pourrait apporter des améliorations dans l’ensemble de la structure de
gouvernance sur le plan de la transparence et de la clarté, pour ce qui a trait à la planification des
COA/COD – particulièrement lors des premières étapes – en établissant, dans les AM concernées, des
paramètres clairs s’appliquant aux catégories d’activités et aux groupes de cibles qui pourraient être
concernés par des COA/COD. De plus, l’OSSNR estime que la préparation des cyberopérations
pourrait tirer parti de consultations auprès d’autres ministères responsables des priorités et objectifs
stratégiques du Canada en matière de sécurité nationale et de défense. Enfin, le CST et AMC devraient
définir en quoi consiste une COD et établir un seuil applicable à la conduite des COD préventives, ce
qui garantirait une participation appropriée d’AMC dans le cadre des opérations.
Sur le plan opérationnel, le CST et AMC devraient veiller à ce que le degré de conformité
au droit international de chacune des opérations soit évalué et documenté. Pour ce qui concerne le
CST, celui-ci devrait s’assurer que l’information essentielle à l’évaluation des risques posés par la
conduite d’une opération soit normalisée et incluse dans tous les documents sur la gouvernance, et
qu’elle soit mise à la disposition des intervenants appelés à prendre part à l’élaboration et à
l’approbation des COA/COD – y compris AMC. En dernière analyse, le CST devrait s’assurer que son
personnel opérationnel ait une excellente connaissance du nouveau cadre légal et de ses modalités
d’application aux diverses opérations.
Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur
pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment
ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs
observations concernant l’information contenue dans les documents qui ont été produits à ce jour en
matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous
pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement
mises en oeuvre.
ANNEXE A : Types de COA/COD
Figure 1 : Divers type de cyberopérations. Source : documents d’information du CST
[**figure expurgée**]
Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST
Version texte de la figure 2
Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST
DEFENSIVE CYBER OPERATIONS
ACTIVE CYBER OPERATIONS
Activités autorisées
Obtenir l'accès à une part de l'infrastructure mondiale d'information.
Installer, maintenir, copier, distribuer, recherche, modifier, interrompre, supprimer ou intercepter quoi de ce soit dans l'infrastructure mondiale de l'information ou par son entremise pour atteindre un objectif qui ne pourrait pas être raisonnablement atteint par d'autres moyens.
Prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l'activité.
Mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l'exécution des activités ou des catégories d'activités visées par l'autorisation ministérielle.
Approbation ministérielle
Approbation du MinDN et consultation auprès du MAE.
Approbation du MinDN et consentement ou demande du MAE.
Finalité
Appliquer des mesures en ligne contribuant à la protection de l'information électronique et des infrastructures de l'information d'importance pour le gouvernement du Canada.
Endommager, perturber, influencer ou contrer les capacités de tout personne, organisation ou État étrangers.
Contexte
Initiated in response to a cyber threat, or proactively to prevent a cyber threat
Initiated in accordance with Ministerial direction as it relates to international affairs defence or security.
Auteur de menaces / Ensemble de cibless
Dirigées contre des menaces pour les systèmes du gouvernement ou les systèmes d'importance, quelque soit l'auteur de mance. **Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Dirigées contre des cibles particullières conformément aux termes d'une autorisation ministérielle. **Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Résultat
Conçues dans le but de stopper ou de prévenir les menaces dirigées contre les infrastructures fédérales ou désignées comme étant d'importance, suivant des moyens jugés justes et adaptés en fonction desdites menaces.
Réalisées dans le but d'atteindre un objectif en matière d'affaires internationales, de défense ou de sécurité suivant des moyens jugés justes et adaptés aux circonstances.
ANNEXE B : COA et COD (2019-2020)
[**expurgé**]
ANNEXE C : Cadre de travail pour le CST et AMC
Groupe
interministériel
Équipe de la haute
direction (EHD) du
CST-AMC
Groupe de travail des DG du
CST-AMC sur les COA/COD
Niveau des SMA
Coprésidents
Coprésidents de l’EHD :
CST, DG, [**expurgé**]AMC, DG, Direction
générale du
Renseignement
Coprésidents :
CST, DG [**expurgé**] AMC, DG Direction générale du
Renseignement
Composé, notamment, de membres
(niveau des DG) de l’EHD et de
membres de leurs équipes de
soutien respectives.
Coprésidents: CST, chef adjoint, SIGINT
AMC, SMA (directeur
politique) Sécurité
internationale
Rôles et
responsabilités
Échange de
renseignements sur les
priorités et plans de
chacun des ministères
ainsi que sur les sphères
de collaboration.
Relevant de l’EHD, cette entité a été
établie pour exercer un mandat de
collaboration visant les questions
relatives aux COA/COD.
Mise en oeuvre du cadre de
gouvernance associé aux AM visant
les opérations – en cours ou
planifiées [**expurgé**]Relevant de l’EHD, cette entité a été
établie pour exercer un mandat de
collaboration visant les questions
relatives aux COA/COD.
Mise en oeuvre du cadre de
gouvernance associé aux AM visant
les opérations – en cours ou
planifiées [**expurgé**].
Coordination du partage de
renseignement ayant trait à la
planification opérationnelle et à
l’exécution des COA/COD, mais
aussi aux risques connexes et à la
prise en compte de la politique
étrangère du Canada.
Collaboration relative au
renouvellement, à l’évolution et au
développement des AM en vigueur
ou à venir.
Résoudre les problèmes
relevant de la compétence
du GT, mais non résolu au
niveau des DG.
ANNEXE D : Conclusions et recommandations
Conclusions
Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations
actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés
comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même,
l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques
connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.
Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux
conditions des autorisations ministérielles pour les cyberopérations actives et défensives
repose trop sur la détermination technique des risques au détriment des éléments qui
caractérisent la politique étrangère du gouvernement du Canada.
Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme
permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités
stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et
l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST
et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du
Canada prenant part à la gestion des objectifs généraux du Canada.
Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et
de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui
pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit
considérée à tort comme étant défensive.
Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information
dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations
ministérielles pour les cyberopérations actives et défensives.
Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les
documents de planification ont été approuvés, contient des informations pertinentes pour les
plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne
des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que
cette présentation soit approuvée à un niveau de gestion inférieur.
Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur
permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de
cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les
employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante
ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des
paramètres régissant l’application de ces pouvoirs.
Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le
CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté
et d’objectivité.
Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique
étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres
risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à
l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la
documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut
que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment
d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.
Recommandations
Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément
les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans
le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs
sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces
activités.
Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations
ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la
politique étrangère découlant des cyberopérations actives et défensives.
Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre
de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au
renseignement auprès du premier ministre et les autres ministères concernés, dont les
mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent
aux grandes priorités stratégiques du gouvernement du Canada et que les exigences
énoncées dans la Loi sur le CST soient respectées.
Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil
qui permette de distinguer une cyberopération active d’une cyberopération défensive
préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les
autorisations ministérielles applicables.
Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes
présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que,
dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent
au titre d’autorisations distinctes.
Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les
informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous
les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans
tout document soumis à l’attention d’AMC.
Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de
formation structuré aux employés prenant part à l’exécution des cyberopérations actives et
défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une
connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées
dans les autorisations ministérielles.
Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.
Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute
l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant
une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade
de la planification qu’à celui de l’exécution.
Ce site web utilise des cookies afin de vous offrir la meilleure expérience utilisateur possible. Les informations contenues dans les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site web et aider notre équipe à comprendre quelles sont les sections du site web que vous trouvez les plus intéressantes et les plus utiles.
Cookies strictement nécessaires
Strictement nécessaire Le cookie doit être activé à tout moment afin que nous puissions enregistrer vos préférences en matière de paramètres de cookies.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie qu'à chaque fois que vous visiterez ce site web, vous devrez à nouveau activer ou désactiver les cookies.
Cookies tiers
Ce site web utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
L'activation de ce cookie nous aide à améliorer notre site web.
Veuillez d'abord activer les cookies strictement nécessaires afin que nous puissions enregistrer vos préférences !
