Date de publication :

Sigles et acronymes

Glossaire

Sommaire

L’objectif du présent examen était d’établir si les institutions du gouvernement du Canada (GC) se conformaient aux prescriptions de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) relativement à la communication d’information et à la conservation des documents en 2023. L’examen avait pour objet d’établir si les institutions du GC utilisaient les ententes de communication d’information conformément aux principes directeurs de la LCISC. L’examen a également été l’occasion d’enregistrer des données concernant le volume des communications et de dégager des tendances quant au recours à la LCISC dans l’ensemble des institutions du GC et à travers le temps.

L’année visée est la cinquième au cours de laquelle les institutions du GC ont eu recours à la LCISC, mais aussi la cinquième suivant laquelle l’OSSNR examine la conformité de ces institutions aux dispositions de la Loi. Chaque année, l’OSSNR a formulé des recommandations, lesquelles visaient à promouvoir la conformité à la Loi. Ainsi, au cours des cinq dernières années, les institutions du GC ont perfectionné leurs pratiques et ont constamment approfondi leur compréhension de leurs propres obligations. Par conséquent, pour la première fois depuis l’entrée en vigueur de la LCISC, l’OSSNR a constaté une conformité intégrale aux dispositions de la LCISC. Ainsi, l’OSSNR a pu consacrer son examen à une analyse approfondie du critère de contribution et du critère de proportionnalité dont il est question dans la LCISC.

Par exemple, certaines communications d’Immigration, Réfugiés et Citoyenneté Canada (IRCC), bien que conformes à la LCISC, comportaient un risque élevé de non-conformité à ces deux critères. En outre, l’une des communications concernait des activités de protestation. Elle a soulevé des préoccupations quant à la façon dont IRCC était arrivé à la conclusion que ladite communication avait trait à des activités portant atteinte à la sécurité du Canada et qu’elle répondait donc aux dispositions visées à l’alinéa 5(1)a) de la LCISC. Trois autres communications ont également été source de préoccupations quant à la quantité de renseignements personnels qu’IRCC avait communiqué au titre de l’alinéa 5(1)b) et suivant son évaluation de la proportionnalité.

Les lettres de demande du SCRS – sur lesquelles IRCC s’appuie souvent pour évaluer la conformité au paragraphe 5(1) – ont parfois manqué de clarté. Or, cette nébulosité a fait obstacle aux efforts d’IRCC dans sa tentative d’établir si la communication était bel et bien autorisée en vertu de la LCISC.

Pour ce qui a trait à l’exactitude et à la fiabilité, IRCC a fourni des modèles d’énoncés qui n’étaient pas toujours pertinents ou adaptés aux circonstances de la communication. Dans un cas, l’Agence des services frontaliers du Canada (ASFC) a fait une communication verbale qui ne comportait aucun énoncé relatif à l’exactitude ou à la fiabilité au moment de la transmission. En outre, le formulaire de documentation des communications prenait le contre-pied de la LCISC en indiquant que la fourniture d’information sur l’exactitude et la fiabilité était facultative.

Suivant les principes directeurs de la LCISC et les recommandations formulées précédemment par l’OSSNR, IRCC et le Centre de la sécurité des télécommunications (CST) ont conclu une entente de communication d’information.

L’OSSNR a formulé sept recommandations visant à atténuer les risques de non-conformité et à enregistrer les pratiques exemplaires devant servir de guide au cours des années à venir.

1. Introduction

Fondements législatifs

This review was conducted pursuant to subsections 8(1)(b) and 39(1) of the Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR)

The review satisfies the NSIRA Act’s section 39 requirement for NSIRA to submit a report to the Minister of Public Safety on disclosures made under the Loi sur la communication d’information ayant trait à la sécurité du Canada (SCIDA, Act) during the previous calendar year.

Portée de l’examen

L’objectif du présent examen était d’établir si les institutions du gouvernement du Canada (GC) se conformaient aux prescriptions de la LCISC relatives à la communication d’information et à la conservation des documents. L’examen avait pour objet d’établir si les institutions du GC utilisaient les ententes de communication d’information conformément aux principes directeurs de la LCISC. L’examen a également été l’occasion d’enregistrer des données concernant le volume des communications et de mettre en évidence les schèmes que l’on peut tirer quant au recours à la LCISC dans l’ensemble des institutions du GC et à travers le temps.

L’examen porte, notamment, sur toutes les institutions du GC qui ont communiqué ou reçu de l’information au titre de la LCISC en 2023 : l’Agence des services frontaliers du Canada (ASFC), le Centre de la sécurité des télécommunications (CST), le Service canadien du renseignement de sécurité (SCRS), Affaires mondiales Canada (AMC), Immigration, Réfugiés et Citoyenneté Canada (IRCC) et la Gendarmerie royale du Canada (GRC). L’examen a également porté sur Sécurité publique Canada (SP), qui fournit des consignes stratégiques ainsi que de la formation au sujet de la LCISC dans l’ensemble du GC.

Méthodologie

Pour toutes les communications effectuées en 2023, l’OSSNR a évalué la conformité aux exigences administratives aux obligations prévues par la LCISC en matière de conservation des documents.

L’OSSNR a evalué la conformité aux exigences fondamentales de la LCISC en matière de communication d’information lorsqu’il s’est penché sur un échantillon ciblé de 27 communications, lesquelles avaient été choisies en fonction des critères énoncés en annexe A.

Énoncés généraux

La Loi sur l’OSSNR accorde à l’OSSNR le droit d’accéder en temps voulu à toute information qu’un ministère contrôle ou qu’il a en sa possession (sauf les documents confidentiels du Cabinet) et de recevoir, de la part des ministères, les documents et les explications que l’OSSNR juge nécessaire d’obtenir. L’OSSNR suit de près la coopération qui s’établit à la suite des demandes d’accès, notamment la complétude et l’exactitude des communications, lesquelles alimentent l’évaluation globale de la réactivité d’un ministère lors de chacun des examens.

Pendant le déroulement de l’examen, tous les organismes concernés ont répondu aux attentes de l’OSSNR sur le plan de la réactivité.

2. Contexte

La LCISC établit une autorité expresse et autonome permettant aux institutions du GC de communiquer entre elles des renseignements afin d’assurer la protection du Canada contre les activités portant atteinte à la sécurité nationale. L’objet de la Loi est d’encourager et de faciliter ces communications de renseignements.

L’article 9 de la LCISC impose des obligations en matière de conservation des documents à toutes les institutions qui communiquent ou reçoivent de l’information au titre de la Loi. Pour sa part, le paragraphe 9(3) exige que ces documents soient remis à l’OSSNR dans les 30 jours suivant la fin de chaque année civile.

Le paragraphe 5(1) de la LCISC autorise les institutions du GC à communiquer de l’information – sous réserve de toute interdiction ou restriction prescrite par d’autres lois ou règlements – à des institutions désignées, dès lors que l’institution qui communique est convaincue : a) que la communication aidera à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire à l’égard des activités portant atteinte à la sécurité du Canada (le « critère de contribution »); et b) que l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances (le « critère de proportionnalité »).

Or, le paragraphe 5(2) exige qu’au moment de la communication, les institutions qui transmettent l’information fournissent des renseignements sur l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci a été obtenue.

Lorsqu’une institution du GC reçoit de l’information au titre de la Loi, le paragraphe 5.1(1) exige que cette institution détruise ou remette à l’expéditeur tous les renseignements personnels dès que possible après leur réception.

Les principes directeurs de la LCISC insistent sur la notion voulant que la communication efficace et responsable d’information permette de protéger le Canada et les Canadiens. L’alinéa 4c) propose que les institutions du GC concluent une entente de communication d’information avec toute institution fédérale destinataire à laquelle elles communiquent fréquemment de l’information.

3. Constatations, analyse et recommandations

Analyse des volumes et des tendances

En 2023, les institutions du GC ont effectué, en tout, 269 communications au titre de la LCISC (voir le tableau 1).

Tableau 1 : Nombre de communications effectuées au titre de la LCISC selon les institutions qui ont communiqué et les institutions destinataires [toutes les communications (communications proactives)]

Le nombre des communications s’est accru de 55 % depuis 2022, renversant ainsi la tendance à la baisse que l’on avait observée au cours des années précédentes. Ce changement de cap découle principalement de l’augmentation de 246 % du nombre des communications venant d’IRCC à destination du SCRS. De fait, le SCRS attribue cette augmentation à un changement stratégique qui a mené le Service à faire appel à la LCISC pour demander de l’information qu’IRCC fournissait auparavant au titre de la Loi sur la protection des renseignements personnels.

Comme pour les années précédentes, c’est en réaction à une demande que les institutions ayant communiqué ont envoyé de l’information dans la grande majorité des cas. Ainsi, seulement 4 % des communications ont été faites de façon proactive par les institutions qui ont communiqué.

Exigences relatives à la conservation des documents – article 9

Constatation 1. NSIRA found that every institution that disclosed or received information pursuant to SCIDA in 2023 complied with their record keeping obligations under section 9, but some records were inaccurate or imprecise.

L’article 9 de la LCISC impose des obligations en matière de conservation des documents à toutes les institutions qui communiquent, mais aussi aux institutions qui reçoivent de l’information consécutivement à une communication. Au nombre de ces exigences, il faut compter celle voulant que les documents liés à la communication décrivent l’information et indiquent si celle-ci a été détruite ou conservée par le destinataire. Le recoupement que l’OSSNR a établi entre les documents fournis par les institutions qui ont communiqué et ceux des institutions destinataires a révélé certaines inexactitudes, lesquelles ont été résolues suivant des discussions tenues avec les institutions après la réception desdits documents :

• d’après l’alinéa 9(2)a), le CST n’a pas inscrit le bon nombre des sujets visés par la communication dans quatre cas (sur un total de 59);
• d’après l’alinéa 9(2)e), des documents du SCRS qui devaient indiquer si l’information reçue avait été détruite ou conservée contenaient des informations contradictoires;
• d’après l’alinéa 9(1)a), des documents d’IRCC contenaient des descriptions contradictoires de l’information communiquée.

L’OSSNR n’a pas été en mesure de concilier l’information fournie au sujet d’un cas où l’ASFC avait fait une communication verbale à la GRC. À partir des documents initialement fournis par la GRC et l’ASFC, l’OSSNR n’a pas été en mesure d’établir avec certitude quels renseignements personnels avaient été transmis ni quand ceux-ci avaient été fournis. Or, en réponse à une recommandation tirée du rapport d’examen que l’OSSNR a produit pour 2022 au sujet de la LCISC, l’ASFC a élaboré un formulaire visant à donner un aperçu des communications produites. En l’occurrence, le formulaire était incomplet et contredisait la copie de communication qui a également été remise à l’OSSNR.

Comme il l’a fait l’an dernier, l’OSSNR souligne l’importance de la précision administrative, laquelle doit être appliquée lors de la préparation des documents. De plus, l’OSSNR note qu’un aperçu des documents – lorsqu’il est adéquatement préparé – favorise la conformité aux exigences de la LCISC en matière de conservation des documents.

L’OSSNR a relevé plusieurs occurrences où l’institution qui a communiqué n’avait pas fourni, au titre de l’alinéa 9(1)e), un énoncé explicite concernant l’information ayant permis de convaincre cette institution appelée à communiquer que le critère de proportionnalité avait été respecté2. Trois de ces communications ont fait partie de l’échantillon ciblé en vue de l’évaluation des critères de contribution et de proportionnalité.

Critères de contribution et de proportionnalité – paragraphe 5(1)

Constatation 2. Conclusion no 6 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.

Pour évaluer la conformité aux dispositions du paragraphe 5(1), l’OSSNR a d’abord pris en compte les énoncés formels préparés par les institutions ayant communiqué au titre de l’alinéa 9(1)e), lesquels décrivent les renseignements sur lesquels les institutions se sont fondées pour conclure que la communication était autorisée par la Loi. Lorsqu’un énoncé formel a été fourni, l’OSSNR l’a analysé et corroboré en examinant tous les autres documents fournis par les institutions du GC ayant trait à la communication en question. Les documents additionnels fournis n’ont suscité aucune préoccupation pour ce qui concerne la conformité aux alinéas 5(1)a) et 5(1)b).

Pour les 27 communications faisant partie de l’échantillon, l’institution qui a communiqué a fourni un énoncé formel montrant qu’elle était convaincue que la communication contribuerait à l’exercice de la compétence ou des attributions de l’institution destinataire.

Pour 24 des 27 communications, l’institution qui a communiqué a fourni un énoncé formel montrant qu’elle était convaincue que la communication n’aurait une incidence sur la vie privée d’aucune personne à moins que cette incidence ne soit raisonnablement nécessaire dans les circonstances. Quant aux trois autres communications, elles ne comportaient aucun énoncé formel, mais d’autres documents fournis par les institutions ayant communiqué montraient néanmoins que celles-ci étaient convaincues du respect du critère de proportionnalité.

Bien que l’OSSNR ait constaté que les institutions respectaient généralement les dispositions des alinéas 5(1)a) et 5(1)b), les évaluations des critères de contribution et de proportionnalité d’IRCC ont affiché quelques lacunes. Ces lacunes sont à l’origine des constatations 3 et 4.

Recommandation 1 : L’OSSNR recommande que les institutions qui communiquent de l’information tiennent compte explicitement des exigences des alinéas 5(1)a) et 5(1)b) dans les documents qu’elles préparent au titre de l’alinéa 9(1)e) de la LCISC.

Exceptions prévues par la LCISC : défense d’une cause, protestation ou manifestation d’un désaccord

Conclusion 3 : Constatation 3. L’OSSNR a constaté qu’en une occasion, IRCC n’avait pas considéré en toute autonomie que sa communication aurait pu avoir trait à des activités relevant de l’exception énoncée dans la LCISC concernant la défense d’une cause, les protestations ou les manifestations d’un désaccord. IRCC se disait plutôt convaincue du critère de contribution énoncé dans la LCISC en tenant pour acquis que le SCRS ne se penchait que sur les activités portant atteinte à la sécurité du Canada.

Le critère de contribution dont il est question à l’alinéa 5(1)a) exige que l’institution qui communique détermine si sa communication a trait à des activités portant atteinte à la sécurité du Canada. Définies dans la Loi, ces activités comprennent, par exemple, espionner, se livrer à une activité secrète influencée par l’étranger, se livrer au terrorisme ou encore entraver de manière considérable ou à grande échelle le fonctionnement d’infrastructures essentielles. Dans sa définition de la notion d’activité portant atteinte à la sécurité du Canada, le paragraphe 2(2) de la LCISC énonce qu’il y a exception lorsqu’il s’agit d’activités de défense d’une cause, de protestation, de manifestation d’un désaccord ou d’expression artistique. En soi, celles-ci ne constituent pas des activités portant atteinte à la sécurité du Canada. L’exception prévue par la loi aide à établir des distinctions entre, d’une part, les formes légitimes de dissidence politique et, d’autre part, les menaces contre la sécurité nationale.

Dans un cas, le SCRS a demandé à IRCC de lui fournir de l’information détaillée sur une personne. La demande visait à obtenir les demandes de passeports en cours de traitement et soumises antérieurement, alors que ces documents contiennent une quantité importante de renseignements personnels3. Le SCRS a justifié sa demande en fournissant un extrait d’article de presse qui rapportait des paroles prononcées publiquement par une personne qui prenait part à une protestation.

IRCC n’a pas demandé de justifications additionnelles de la part du SCRS. IRCC a donc communiqué les renseignements relatifs à la demande de passeport de la personne en question – lesquels comprenaient des renseignements sur une personne associée – de même que le numéro du passeport de ladite personne, mais aussi le lieu et la date de délivrance ainsi que la date d’expiration du passeport.

Lorsque l’OSSNR a demandé en vertu de quels motifs on a jugé que le critère de contribution avait été respecté, IRCC a répondu qu’il [traduction] « tient pour acquis que le partenaire indiquera précisément que la personne en question est liée à une activité portant atteinte à la sécurité du Canada ». Le fonctionnaire d’IRCC qui a autorisé la communication a d’ailleurs ajouté qu’IRCC tenait pour acquis que le SCRS ne s’était pas fondé uniquement sur les paroles citées dans l’article de presse, et ce, compte tenu des limites du pouvoir que le SCRS peut exercer lorsqu’il s’agit d’enquêter sur des activités licites de défense d’une cause, de protestation ou de manifestation d’un désaccord au titre de la Loi sur le SCRS.

En effet, la Loi sur le SCRS comporte une exemption qui empêche le SCRS d’enquêter sur les activités licites de défense d’une cause, de protestation ou de dissidence lorsqu’aucune menace ne se manifeste en lien avec les activités énoncées dans la Loi sur le SCRS. Cependant, le libellé de la LCISC « activités portant atteinte à la sécurité du Canada » se distingue intentionnellement de celui de la Loi sur le SCRS « menace envers la sécurité du Canada ». Cette distinction exprime l’intention du législateur voulant que l’institution qui communique procède à sa propre évaluation de conformité aux exigences.

Subsection 5(1) of the SCIDA explicitly places the onus on the disclosing entity to assure itself that the disclosure is authorized. The process by which an institution satisfies itself should be grounded in an independent and factual assessment. In that context, a mere acquiesce of a request would not be sufficient, nor would a de facto reliance on the recipient respecting their enabling legislation. The threshold of satisfaction imports an objective standard that must be based on facts.

PS guidance notes that although the threshold imposed by subsection 5(1) does not hold institutions to perfection, they must make all reasonable efforts to satisfy themselves that the information will contribute to the recipient’s national security mandate. When encountering activities occurring in the context of political dissent or a protest, NSIRA expects institutions with a national security mandate to exercise caution when requesting information relating to an activity protected under the Charte canadienne des droits et libertés (Charter) to further an investigation. At the same time, in this case, IRCC should have obtained more information prior to disclosure, to substantiate what activities were undermining the security of Canada to ensure the exception did not apply.

Recommandation 2 : NSIRA recommends that IRCC amend their SCIDA policy to underscore that IRCC must independently assess whether the disclosure is authorized. This assessment should consider whether the activity amounts to one of the exceptions to the SCIDA’s definition of activities that undermine the security of Canada.

Nouvelle approche de la LCISC relativement au critère de proportionnalité

Constatation 4. Constatation 4. L’OSSNR a constaté qu’au cours de 2023, IRCC avait exercé une rigueur accrue dans ses évaluations de la proportionnalité à l’égard des communications de données de passeports. Toutefois, l’OSSNR a remarqué trois occurrences où IRCC a communiqué des renseignements sur des visas sans avoir appliqué la même approche rigoureuse, ce qui posait le risque de communiquer plus de renseignements personnels que raisonnablement nécessaire dans les circonstances.

À l’été 2023, IRCC a adopté une norme renforcée permettant de bien vérifier que les intérêts d’aucune personne en matière de vie privée ne seraient touchés plus que raisonnablement nécessaire lorsque des données de passeports sont communiquées au SCRS. Selon IRCC, ce changement a été le résultat d’une recommandation de l’OSSNR voulant qu’IRCC dise expressément, dans ses documents, si le critère de proportionnalité avait été respecté. En outre, non seulement IRCC a-t-il adapté ses pratiques en matière de tenue de documents, mais il a également dirigé son attention vers la question importante en l’occurrence. En effet, IRCC a examiné de près l’impact que ses communications pourraient avoir sur la vie privée lorsqu’il répond à des demandes provenant du SCRS.

Par conséquent, dès lors que le SCRS ne lui fournissait pas de motifs suffisants, IRCC se faisait plutôt conservateur sur le plan des communications d’information. Par exemple, IRCC a commencé à expurger les renseignements sur les personnes associées, qui étaient inscrits dans les demandes de passeport, à limiter la fourniture de renseignements concernant les demandes antérieures et à éviter de communiquer les renseignements concernant les demandes présentées par des personnes mineures. IRCC a adopté une approche itérative4 quant à la communication de données de passeports, ce qui a favorisé la prise en compte des intérêts des personnes en matière de vie privée par rapport aux besoins du destinataire et de son enquête.

La nouvelle approche qu’IRCC applique lorsqu’il s’agit d’évaluer la proportionnalité des communications de données de passeports n’a pas été appréciée par le SCRS, qui estime que le fait de recevoir des demandes de passeport caviardées constitue une entrave « majeure » aux enquêtes menées au titre de l’article 125. Dans une correspondance interne, un analyste du SCRS a indiqué préférer que [traduction] « IRCC ne filtre pas l’information et laisse plutôt le SCRS faire les évaluations nécessaires à partir de sa connaissance des menaces [pour la sécurité nationale] ».

Quoique, la nature discrétionnaire des communications au titre de la LCISC fait en sorte qu’IRCC peut choisir s’il communiquera ou non de l’information et, le cas échéant, quelle information sera communiquée. À IRCC, les procédures opérationnelles normalisées au titre de la LCISC indiquent que les demandes de communication doivent comporter suffisamment d’information pour justifier la diffusion d’information concernant des tiers. En vertu de la LCISC, IRCC a la compétence voulue pour demander et obtenir de telles justifications avant de communiquer de l’information.

L’attention accrue qu’IRCC a portée aux intérêts en matière de vie privée dans le contexte des communications relatives aux demandes de passeports n’a pas été reportée sur l’information collectée depuis les demandes de visas. Il importe de noter que cette distinction n’est pas un facteur qu’il faudrait prendre en compte lorsqu’il s’agit d’évaluer la proportionnalité. En vertu de la LCISC, les intérêts des citoyens et des non-citoyens en matière de vie privée doivent être évalués de la même façon, et ne seront traités différemment, dans le cas d’une demande de visa, que s’il n’y a pas lieu d’avoir une attente raisonnable en matière de vie privée.

L’annexe B donne de plus amples détails sur trois communications suivant lesquelles IRCC a transmis au SCRS de l’information sur les visas de plus de 20 personnes, et ce, sans avoir d’abord établi les faits nécessaires à la réalisation d’une évaluation éclairée concernant la proportionnalité. Dans ces cas, ou bien l’identité du sujet de la demande était inconnue ou bien le lien entre le sujet de la communication et la menace n’avait pas encore été établi. L’OSSNR se serait attendu à ce qu’IRCC suive une approche plus itérative quant à la communication de cette information, conformément à l’approche qu’elle a préconisée vers la fin de 2023 à l’égard des communications de données de passeports. Une telle approche itérative aurait donné lieu à la communication des renseignements élémentaires uniquement, et ce, jusqu’à ce qu’un lien plus évident ait été établi avec l’activité portant atteinte à la sécurité du Canada ou jusqu’à ce que l’identité de la personne soit confirmée.

En outre, les cas présentés à l’annexe B ne sont pas conformes à la politique d’IRCC, laquelle souligne que « [l]a communication […] d’une quantité de renseignements personnels plus grande que nécessaire peut constituer une atteinte à l’attente raisonnable en matière de respect de la vie privée d’une personne, qui est un droit protégé par la Charte canadienne des droits et libertés ». Il s’agit là d’un élément important dans la mesure où la proportionnalité d’une communication donnée peut être un facteur déterminant s’agissant d’établir le caractère raisonnable au regard de la Charte.

Sous le régime de la LCISC, et comme l’expliquent les consignes de SP, l’évaluation du critère de proportionnalité ne sert pas forcément à déterminer si la communication doit avoir lieu ou non, mais aide plutôt à établir la portée de ce qui peut être communiqué. Ainsi, il aurait été légitime qu’IRCC évalue les répercussions que la communication de chaque élément d’information aurait sur la vie privée des personnes concernées.

Recommandation 3 : NSIRA recommends that IRCC apply an iterative approach to its proportionality assessments, with a view to disclosing only the minimum information reasonably necessary in the circumstances to enable the recipient institution to further their investigation.

Lettres de demande du SCRS

Constatation 5. Constatation 5.L’OSSNR a constaté que dans les demandes que le SCRS a soumises à IRCC, le Service a employé une terminologie manquant de cohérence et des libellés manquant souvent de clarté quant à la relation entre le sujet de la demande et l’enquête dont celui-ci faisait l’objet. En outre, il est arrivé que les communications affichant ce manque de clarté constituent autant d'obstacles aux efforts qu’IRCC consentait pour savoir s’il pouvait être certain que lesdites communications étaient autorisées au titre de la LCISC.

Il se trouve que 96 % des communications d’IRCC à destination du SCRS ont été transmises en réponse à une demande. IRCC a utilisé l’information contenue dans les lettres de demande du SCRS pour s’assurer qu’une communication répondait au critère de contribution ainsi qu’au critère de proportionnalité. Certes, IRCC peut à loisir demander de plus ample information de la part du SCRS pour s’assurer que la communication est bel et bien autorisée, mais dans la majorité des cas où le Service a soumis des demandes de communication, IRCC a étayé ses évaluations uniquement à partir de l’information que le SCRS lui avait fournie dans ses lettres de demande.

L’OSSNR a examiné toutes les lettres de demande que le SCRS a acheminées à IRCC. Il s’avère que le SCRS a employé un large éventail de termes pour justifier son intérêt à l’égard du sujet d’une demande. Voici quelques-uns de ces termes :

• le sujet a retenu l’attention du Service;
• le sujet est d’intérêt en raison de sa participation possible à;
• le sujet est d’intérêt en lien avec;
• le sujet serait présumément l’associé d’une cible;
• le sujet serait lié à la menace;
• la personne fait l’objet d’une enquête du Service;
• le sujet est visé par une enquête du Service;
• le sujet est associé de très près à un sujet visé par une enquête du SCRS.

Dans la plupart des cas, le SCRS n’a pas défini ces termes. Il n’a pas non plus fourni de plus ample information quant aux raisons pour lesquelles le sujet était d’intérêt.

En outre, le SCRS a employé les mêmes termes (ou des termes semblables) pour faire allusion à divers niveaux d’intérêt. Par exemple, les expressions « associé de très près à » et « visé par une enquête du Service » ont été employées dans le cas de personnes qui n’étaient pas reconnues comme ayant pris part à des activités liées à une menace ou de personnes que le SCRS soupçonnait d’avoir pris part à des activités liées à une menace. Dans un autre cas, la lettre de demande du SCRS indiquait que les sujets étaient liés à la menace, alors que le lien entre la menace et lesdits sujets n’avait pas été établi.

En conséquence de ces incohérences et de ce manque de clarté, IRCC n’arrivait pas à saisir les nuances entre les notions censément essentielles à ses évaluations de la proportionnalité. Ce problème était exacerbé par le fait que le SCRS avait tendance à demander « toute l’information » associée au sujet/aux sujets d’une demande donnée.

La relation entre l’information demandée et une enquête représente un facteur important qu’IRCC prend en compte lorsqu’il s’agit d’évaluer la proportionnalité. D’ailleurs, la nouvelle approche choisie par IRCC pour l’évaluation de la proportionnalité tient compte du fait que les renseignements sur les personnes associées qui sont contenus dans les demandes de passeports pourraient ne pas être essentiels à l’enquête. Par conséquent, IRCC a souvent choisi d’expurger certains renseignements sur les tierces personnes, à moins que le SCRS ait fourni des indications selon lesquelles ces tierces personnes étaient ou pourraient être impliquées dans l’activité liée à la menace. Dans l’un des nombreux cas, le SCRS a indiqué que le sujet de la demande était [traduction] « associé de très près à un sujet visé par une enquête du SCRS ». IRCC a donc demandé des explications permettant d’établir un lien évident entre le sujet de la demande et l’enquête en question. Comme le SCRS n’a pas fourni les explications demandées, IRCC a choisi d’annuler la communication dans la mesure où il n’était pas convaincu qu’elle répondait au critère de proportionnalité.

Il est essentiel que le SCRS transmette l’information uniformément et dans un libellé qui soit clair étant donné qu’IRCC s’appuie sur cette information lorsqu’il procède à son analyse de la proportionnalité. C’est particulièrement vrai lorsqu’IRCC communique de l’information sur les personnes associées. Lorsqu’elles demandent de l’information au titre de la LCISC, les institutions destinataires devraient, en toute logique, favoriser la conformité des institutions qui communiquent aux critères minimums prescrits par la LCISC en employant une terminologie qui soit claire et uniforme.

Vers la fin de 2023, le SCRS a amorcé la centralisation des procédures s’appliquant aux demandes de communication qu’il soumet à IRCC au titre de la LCISC, ce qui devrait favoriser l’uniformisation. Puisqu’en 2023, aucune demande n’a été soumise au moyen des nouveaux formulaires normalisés, l’OSSNR n’a pas été en mesure d’évaluer l’effet tangible des changements apportés

Recommandation 4 : NSIRA recommends that CSIS use consistent terminology, and be clear about the nature of the link that has been established between the subject of a request and its investigation, to assist IRCC in satisfying itself of the proportionality test.

Énoncé concernant l’exactitude et la fiabilité – paragraphe 5(2)

Conslusion 6 : Constatation 6. L’OSSNR a constaté que dans toutes les communications d’information, les institutions qui ont communiqué avaient fourni des précisions pour ce qui a trait à l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci a été obtenue. Toutefois, l’ASFC a fait une communication verbale qui ne contenait aucun énoncé explicite quant à l’exactitude ou à la fiabilité.

En vertu de la LCISC, les ministères sont tenus de fournir des précisions quant à l’exactitude de l’information et à la fiabilité des moyens par lesquels l’information à communiquer a été obtenue. En outre, ils doivent fournir ces précisions au moment de la communication.

Toutes les communications écrites effectuées en 2023 contenaient un énoncé relatif à l’exactitude et à la fiabilité. Toutefois, l’ASFC a communiqué verbalement et de façon proactive un tuyau à la GRC (dont il est question au paragraphe 19 de la présente) dans lequel l’ASFC n’a fourni aucun énoncé explicite concernant l’exactitude ou la fiabilité au moment de la communication.

Bien que la même information ait été communiquée de nouveau par écrit deux semaines plus tard, l’énoncé sur l’exactitude et la fiabilité n’a été transmis par écrit à la GRC qu’environ deux mois plus tard, au moment où l’ASFC communiquait de l’information additionnelle relativement au sujet concerné.

Le paragraphe 5(2) indique que « l’information » relative à l’exactitude et à la fiabilité « doit » être fournie au moment de la communication. Dans le cas présent, l’OSSNR estime que le fait d’annoncer à la GRC que l’information communiquée avait été obtenue grâce à un tuyau constituait en soi une information sur l’exactitude et la fiabilité. Cela dit, un énoncé explicite transmis par écrit est considéré comme une pratique exemplaire. Bien que les communications transmises verbalement ne soient pas interdites, les consignes de SP indiquent que « [l]es conversations informelles ne devraient pas remplacer le processus officiel de communication ou les obligations en matière de conservation des dossiers ».

Recommandation 5 : NSIRA recommends that institutions avoid making verbal disclosures whenever possible. When they must occur, verbal disclosures should explicitly convey the requisite information on accuracy and reliability.

Conclusion 7 : NSIRA found that CBSA’s record of disclosure form contradicts the SCIDA by allowing officials to opt out of providing information regarding accuracy and reliability.

La politique de l’ASFC fait correctement état du caractère obligatoire de la fourniture d’information concernant l’exactitude et la fiabilité, ce qui n’est pourtant pas le cas du nouveau formulaire de documentation des demandes. Le formulaire comporte une case à cocher (oui/non) permettant d’indiquer si un énoncé confirmant l’exactitude et la fiabilité a été fourni à l’institution destinataire. Lorsque l’agent de l’ASFC coche la case « non », une boîte interactive lui demande d’expliquer pourquoi il a choisi de ne pas fournir ledit énoncé. En l’occurrence, il convient de conclure que la mesure est optionnelle, ce qui permet à l’ASFC de ne pas répondre à l’exigence en question.

En outre, le formulaire n’indique pas que l’énoncé doit être fourni au moment de la communication, tel que le demande expressément la LCISC.

Recommendation 6. Recommandation 6. L’OSSNR recommande que l’ASFC fasse en sorte que son formulaire de documentation des communications s’harmonise avec les dispositions de la LCISC en énonçant le caractère obligatoire de la fourniture d’information sur l’exactitude et la fiabilité au moment de la communication.

Conclusion 8 : NSIRA found that IRCC used templated language to describe the disclosure’s accuracy and reliability that was not always relevant or specific to the circumstances of the disclosure.

De fait, toutes les communications d’IRCC effectuées en 2023 affichaient le même énoncé quant à l’exactitude et à la fiabilité :

[Traduction] « l’information incluse dans la présente communication a été fournie par le sujet au fil des diverses demandes qu’il a formulées auprès d’IRCC. Le sujet a déclaré que les renseignements qu’il avait fournis aux fins desdites demandes étaient véridiques, complets et exacts. L’information incluse dans la présente communication est exacte et fiable pour autant que le sujet ait été honnête lorsqu’il a fourni des renseignements à notre ministère. En outre, IRCC ne détient aucune information pouvant remettre en question l’exactitude et la fiabilité de l’information fournie par le sujet.

Il y a eu plusieurs cas où cet énoncé fourni par IRCC ne correspondait pas aux circonstances de la communication. Par exemple, l’énoncé présenté plus haut faisait partie d’une communication pour laquelle aucun dossier d’immigration ou de demande de passeport n’a été trouvé, et dont la seule révélation consistait à confirmer l’absence de dossiers. Le même énoncé a été utilisé dans des communications concernant des demandes de passeport générales pour enfants, lesquelles avaient été remplies par les parents ou les tuteurs légaux et non par les sujets eux-mêmes. Lorsqu’il a uniquement communiqué l’état de citoyen au CST, IRCC a quand même inclus le même énoncé, alors que l’information communiquée n’avait pas été fournie par le sujet dans le contexte de sa demande. Dans l’un des cas, IRCC a utilisé le même énoncé dans la communication, mais s’est néanmoins contredit en indiquant également que pour certaines raisons, il était possible que l’information ne soit pas exacte.

Tous ces cas témoignent d’une tendance suivant laquelle on se contente de reproduire l’information sur l’exactitude et la fiabilité sans vraiment porter attention à la pertinence de l’énoncé.

Lorsqu’il propose des consignes concernant l’énoncé sur l’exactitude et la fiabilité, le guide de SP stipule que « [l]es formules (modèles) doivent être évitées, à moins que la nature et la source des informations communiquées ne découlent d’un processus de routine ». IRCC produit un nombre important de communications chaque année. Certes, certains éléments de langage peuvent être recyclés, mais il est néanmoins nécessaire que chaque énoncé témoigne fidèlement du contenu de la communication qu’il accompagne. L’OSSNR a recommandé antérieurement que les énoncés soient formulés clairement et qu’ils soient adaptés aux circonstances de la communication.

Recommendation 7. NSIRA recommends that IRCC tailor its statements on accuracy and reliability as to ensure that each disclosure’s statement is specific to the circumstances of the case.

Entente de communication d’information – alinéa 4c)

Conclusion 9 : L’OSSNR a constaté que les communications qui ont eu lieu entre IRCC et le CST après l’entrée en vigueur de l’entente de communication d’information qu’ils avaient conclue étaient conformes aux dispositions de la LCISC et aux termes de ladite entente.

À l’occasion d’examens qu’il a précédemment réalisés concernant la LCISC, l’OSSNR a noté que certains ministères évoquaient régulièrement la LCISC au point de nécessiter la conclusion d’ententes de communication d’information (ECI), une pratique encouragée par l’alinéa 4c) de la LCISC. En 2022, l’OSSNR a recommandé qu’IRCC et le CST concluent une ECI appelée à régir leurs communications au titre de la LCISC.

En août 2023, IRCC et le CST ont signé une ECI. Dans l’ensemble, la nouvelle ECI conclue entre IRCC et le CST favorise la conformité aux dispositions de la LCISC et fait état de toutes les exigences essentielles établies par la LCISC. L’entente tient également compte des consignes que SP a récemment élaborées concernant la préparation des ECI.

Les 24 communications effectuées après la mise en œuvre de l’ECI ont toutes été jugées conformes à la nouvelle entente. En l’occurrence, l’OSSNR s’est penché sur chacune des communications faites sous la gouverne de l’ECI et les a évaluées en les comparant aux exigences énoncées dans l’entente.

4. Conclusion

L’année en cours est la cinquième au cours de laquelle les institutions du GC ont fait appel à la LCISC. C’est également la cinquième fois que l’OSSNR réalise son examen annuel de la conformité de ces institutions aux dispositions de la LCISC. À chaque occasion, l’OSSNR a formulé des recommandations visant à promouvoir la conformité à la Loi. Au cours des cinq dernières années, les institutions du GC ont perfectionné leurs pratiques et ont régulièrement affiché une compréhension accrue de leurs obligations respectives. Ainsi, pour la première fois depuis l’entrée en vigueur de la LCISC, l’OSSNR a constaté une conformité pleine et entière aux dispositions de la LCISC.

Le présent examen a été l’occasion d’évaluer la conformité des institutions du GC aux exigences s’appliquant à la conservation des documents dans le cas des 269 communications qui ont été faites et reçues en 2023. Il a permis d’évaluer la conformité des institutions aux exigences s’appliquant aux communications d’après un échantillon ciblé de 27 communications. Toutes les communications examinées étaient conformes aux exigences de la LCISC, mais l’OSSNR a constaté que les évaluations de la contribution et de la proportionnalité réalisées par IRCC comportaient certaines lacunes. Or, une compréhension accrue des activités portant atteinte à la sécurité du Canada permettrait de réaliser les évaluations de proportionnalité plus approfondies et rehausserait le degré de pertinence de l’information communiquée.

L’OSSNR a formulé des recommandations visant à promouvoir la conformité aux dispositions de la LCISC s’appliquant particulièrement à la façon dont les ministères établissent si les critères de contribution et de proportionnalité ont été respectés.

Annexe A.Échantillon de communications

Les communications faisant partie de l’échantillon ont été sélectionnées sur la base du contenu des documents fournis à l’OSSNR au titre du paragraphe 9(3), selon les paramètres suivants :

• au moins deux communications par paire « institution qui communique et institution destinataire », le cas échéant;
• au moins une communication proactive par institution qui communique, le cas échéant;
• au moins une communication demandée par l’institution destinataire, le cas échéant;
• toutes les communications qui, selon l’institution destinataire, contiennent des renseignements personnels ayant été détruits ou retournés au titre du paragraphe 5.1(1) de la LCISC;
• toutes les communications pour lesquelles un écart important a été relevé entre les documents de l’institution qui communique et ceux de l’institution destinataire;
• toutes les communications faites par une institution ne figurant pas à l’annexe 3 de la LCISC;
• toutes les communications reçues par les institutions inscrites à l’annexe 3 de la LCISC au cours de l’année précédente;
• toutes les communications qui, d’après une évaluation préliminaire effectuée par l’équipe d’examen, posent un risque accru de non-conformité aux dispositions de l’article 5.

Annexe B.Cas ayant trait à la communication d’information sur les visas par IRCC

Communication 1 (menace envers la sécurité économique)

De façon proactive, IRCC a communiqué des renseignements sur les demandes de visa de plusieurs personnes qui ont reçu un permis de travail dans divers champs de recherche ayant un rapport avec les menaces envers la sécurité économique. Ces demandes comportaient des renseignements personnels comme les antécédents d’emploi, les voyages effectués, les coordonnées personnelles, des photos, les données de passeports, ainsi que des renseignements sur des tiers. Ces mesures résultaient des efforts d’IRCC visant à reconnaître et à communiquer au SCRS de l’information concernant les personnes qui pourraient se livrer à des activités posant une menace envers la prospérité économique du Canada.

Bien que les préoccupations suscitées par les divers types de menaces en matière de sécurité économique soient bien étayées, le rôle que ces personnes ont tenu dans cet espace était inconnu. IRCC a choisi les personnes en question en se basant sur un critère relatif à la menace, mais les autres critères employés pour réduire le bassin de plusieurs centaines à une poignée de personnes n’avaient rien à voir avec la menace que celles-ci posaient. En effet, IRCC a arbitrairement choisi ces critères additionnels surtout pour des raisons pratiques.

En clair, aucune information n’indiquait que les personnes en question fussent impliquées dans des activités portant atteinte à la sécurité du Canada. Initialement, la plupart de ces demandes n’ont pas été renvoyées par IRCC pour enquête de sécurité au SCRS, signifiant ainsi que l’agent des visas était parfaitement convaincu que les demandeurs ne posaient aucune menace. Dans un cas, la demande a été envoyée pour enquête de sécurité, mais le SCRS a répondu par une recommandation favorable, et le demandeur a obtenu un visa.

La communication proactive de l’intégralité d’un dossier de demande de visa destinée au SCRS risquait de porter atteinte à la vie privée de ces personnes plus qu’il n’était raisonnable dans les circonstances.

Communication 2 (entité étrangère)

Le SCRS a demandé à recevoir des données de passeports concernant toute personne munie d’un visa valide et travaillant au sein d’une entité étrangère particulière. IRCC ne disposait d’aucune demande de passeport pour les personnes répondant aux critères de recherche, mais a néanmoins communiqué l’intégralité des demandes de visa de certaines personnes. IRCC a égalemen fourni de l’information au sujet de personnes qui avaient travaillé précédemment au sein de l’entité étrangère et de personnes qui ne disposaient pas d’un visa valide. En raison du décalage entre ce qui a été demandé et ce qui a été communiqué, on n’a pas répondu au besoin d’adapter l’information selon les critères de contribution et de proportionnalité voulus par la LCISC.

Aucune de ces personnes n’a été liée à une activité particulière portant atteinte à la sécurité du Canada, ni au moment de la demande ni après la communication. Le fait que ni le SCRS ni IRCC n’ont été en mesure de caractériser la nature de la relation entre ces personnes et les activités de menace a donné lieu au risque que la communication d’IRCC porte atteinte à la vie privée desdites personnes plus qu’il n’était raisonnablement nécessaire dans les circonstances.

Communication 3 (volumes massifs de données)

Le SCRS a envoyé à IRCC une lettre demandant la communication d’information figurant dans des demandes d’immigration soumises par un certain nombre de personnes, notamment d’une feuille de calcul contenant certaines données d’identification personnelle (appelées « sélecteurs »). Bien que la demande et la communication de volumes massifs de données ne soient pas interdites par la LCISC, les exigences imposées par les critères de contribution et de proportionnalité doivent néanmoins s’appliquer à chacun des éléments d’information à communiquer. Ainsi, ce type d’information doit être évalué de façon responsable avant toute communication.

Certes, la lettre de demande du SCRS fournissait un argumentaire développé pour faire état des motifs pour lesquels l’auteur de menace nommé dans la lettre de demande représentait une menace pour la sécurité nationale, mais les fonctionnaires d’IRCC qui ont autorisé la communication ne disposaient d’aucune information contemporaine concernant la façon dont ces sélecteurs – et par extension, les personnes liées à ces sélecteurs – auraient quelque rapport avec l’auteur de menace.

Néanmoins, IRCC a communiqué des renseignements personnels importants ayant trait à plusieurs personnes. Par exemple, la communication contenait le refus d’un état étranger concernant un visa, de l’information sur le service militaire, une photo personnelle ainsi que d’autres documents qui auraient été fournis aux fins d’une demande de visa.

Cette communication comprenait plus d’information que ce qui avait été demandé par le SCRS. Puisque l’identité des personnes n’a pas été confirmée, bien que le SCRS ait clairement indiqué que l’identification était l’objet de la demande, il y a lieu de conclure qu’IRCC risquait de communiquer plus que le strict minimum de renseignements personnels nécessaires à la poursuite de l’enquête du SCRS.

Bien que le fardeau législatif garantissant que la communication est autorisée au titre de la LCISC repose sur l’entité qui communique, en l’occurrence IRCC, il peut s’avérer très complexe pour cette entité qui communique de s’acquitter de son obligation au titre des alinéas 5(1)a) et 5(1)b) dans le cas de ces demandes de volumes massifs de données, particulièrement lorsque le demandeur ne fournit que très peu d’éléments permettant de lier chaque sélecteur et chaque personne à l’activité portant atteinte à la sécurité du Canada.

Annexe C.Aperçu des communications au titre de la LCISC pendant les années précédentes

Annexe D.Constatations et recommandations

Exigences relatives à la conservation des documents – article 9

Constatation 1. NSIRA found that every institution that disclosed or received information pursuant to SCIDA in 2023 complied with their record keeping obligations under section 9, but some records were inaccurate or imprecise.

Critères de contribution et de proportionnalité – paragraphe 5(1)

Constatation 2. Conclusion no 6 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.

Recommandation 1 : L’OSSNR recommande que les institutions qui communiquent de l’information tiennent compte explicitement des exigences des alinéas 5(1)a) et 5(1)b) dans les documents qu’elles préparent au titre de l’alinéa 9(1)e) de la LCISC.

Conclusion 3 : Constatation 3. L’OSSNR a constaté qu’en une occasion, IRCC n’avait pas considéré en toute autonomie que sa communication aurait pu avoir trait à des activités relevant de l’exception énoncée dans la LCISC concernant la défense d’une cause, les protestations ou les manifestations d’un désaccord. IRCC se disait plutôt convaincue du critère de contribution énoncé dans la LCISC en tenant pour acquis que le SCRS ne se penchait que sur les activités portant atteinte à la sécurité du Canada.

Recommandation 2 : NSIRA recommends that IRCC amend their SCIDA policy to underscore that IRCC must independently assess whether the disclosure is authorized. This assessment should consider whether the activity amounts to one of the exceptions to the SCIDA’s definition of activities that undermine the security of Canada.

Constatation 4. Constatation 4. L’OSSNR a constaté qu’au cours de 2023, IRCC avait exercé une rigueur accrue dans ses évaluations de la proportionnalité à l’égard des communications de données de passeports. Toutefois, l’OSSNR a remarqué trois occurrences où IRCC a communiqué des renseignements sur des visas sans avoir appliqué la même approche rigoureuse, ce qui posait le risque de communiquer plus de renseignements personnels que raisonnablement nécessaire dans les circonstances.

Recommandation 3 : NSIRA recommends that IRCC apply an iterative approach to its proportionality assessments, with a view to disclosing only the minimum information reasonably necessary in the circumstances to enable the recipient institution to further their investigation.

Constatation 5. Constatation 5.L’OSSNR a constaté que dans les demandes que le SCRS a soumises à IRCC, le Service a employé une terminologie manquant de cohérence et des libellés manquant souvent de clarté quant à la relation entre le sujet de la demande et l’enquête dont celui-ci faisait l’objet. En outre, il est arrivé que les communications affichant ce manque de clarté constituent autant d'obstacles aux efforts qu’IRCC consentait pour savoir s’il pouvait être certain que lesdites communications étaient autorisées au titre de la LCISC.

Recommandation 4 : NSIRA recommends that CSIS use consistent terminology, and be clear about the nature of the link that has been established between the subject of a request and its investigation, to assist IRCC in satisfying itself of the proportionality test.

Énoncé concernant l’exactitude et la fiabilité – paragraphe 5(2)

Conslusion 6 : Constatation 6. L’OSSNR a constaté que dans toutes les communications d’information, les institutions qui ont communiqué avaient fourni des précisions pour ce qui a trait à l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci a été obtenue. Toutefois, l’ASFC a fait une communication verbale qui ne contenait aucun énoncé explicite quant à l’exactitude ou à la fiabilité.

Recommandation 5 : NSIRA recommends that institutions avoid making verbal disclosures whenever possible. When they must occur, verbal disclosures should explicitly convey the requisite information on accuracy and reliability.

Conclusion 7 : NSIRA found that CBSA’s record of disclosure form contradicts the SCIDA by allowing officials to opt out of providing information regarding accuracy and reliability.

Recommendation 6. Recommandation 6. L’OSSNR recommande que l’ASFC fasse en sorte que son formulaire de documentation des communications s’harmonise avec les dispositions de la LCISC en énonçant le caractère obligatoire de la fourniture d’information sur l’exactitude et la fiabilité au moment de la communication.

Conclusion 8 : NSIRA found that IRCC used templated language to describe the disclosure’s accuracy and reliability that was not always relevant or specific to the circumstances of the disclosure.

Recommendation 7. NSIRA recommends that IRCC tailor its statements on accuracy and reliability as to ensure that each disclosure’s statement is specific to the circumstances of the case.

Entente de communication d’information – alinéa 4c)

Conclusion 9 : L’OSSNR a constaté que les communications qui ont eu lieu entre IRCC et le CST après l’entrée en vigueur de l’entente de communication d’information qu’ils avaient conclue étaient conformes aux dispositions de la LCISC et aux termes de ladite entente.