Sélection de la langue

Gouvernement du Canada / Gouvernement du Canada

Recherche

Catégorie : AMC

Rapport annuel sur la Loi sur la protection des renseignements personnels 2023-2024

Table des matières
Aucune balise d'en-tête trouvée

Date de publication :

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Rapport annuel sur la Loi sur l’accès à l’information 2023-2024

Table des matières
Aucune balise d'en-tête trouvée

Date de publication :

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Examen de 2022 portant sur la mise en œuvre par les ministères de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères

Examens Terminés

Examen de 2022 portant sur la mise en œuvre par les ministères de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères

Fiche d’information

Having its origin in the recommendations of Commission of Inquiry into the Actions of Canadian Officials in Relation to Maher Arar, the Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (ACA) and the directions issued under its authority seek to avoid risks of Canadian complicity in torture or other forms of mistreatment. They do so by putting limits on Government of Canada information sharing with foreign entities such as states and non-governmental organizations.  

The directions prohibit Government of Canada departments from disclosing information to – or requesting information from – foreign entities if doing so would result in a substantial risk of mistreatment of any individual by any foreign entity. The directions also limit how departments may use information that is likely to have been obtained through mistreatment. Collectively, the ACA regime codifies Canadian values and commitments under the Charte canadienne des droits et libertés, the Code criminel, and international law in respect of protecting rights and prohibiting torture and other cruel and inhumane treatment. 

Chaque année civile, l’OSSNR est tenu d’examiner la mise en œuvre de toutes les directives émises dans le cadre de la LECCMTIEE. À ce jour, de telles directives ont été données aux administrateurs généraux de douze ministères et organismes. L’examen que l’OSSNR réalise chaque année quant à la mise en œuvre de la LECCMTIEE garantit que le gouvernement du Canada demeure responsable à l’égard de l’information faisant l’objet d’échanges avec ses partenaires étrangers et qu’il respecte les valeurs canadiennes de même que les engagements qui en découlent. Bien que la LECCMTIEE exige que chacun des ministères concernés rende compte à son ministre et au public de la mise en œuvre de la LECCMTIEE chaque année, il convient de noter que le mandat d’examen horizontal de l’OSSNR se démarque dans la mesure où il permet de donner un aperçu unique de la cohérence de cette mise en œuvre ainsi que des décisions connexes prises à l’échelle du gouvernement. 

L’examen de la LECCMTIEE réalisé par l’OSSNR pour 2022 s’est concentré sur les modes par lesquels les ministères ont évalué le risque de mauvais traitements dans le contexte de leurs échanges d’information avec des entités étrangères. L’OSSNR s’est fixé cet objectif dans la mesure où la conformité des ministères aux directives dépend largement de leur capacité à reconnaître les échanges d’information qui sont susceptibles de présenter un risque important de mauvais traitements. Si les ministères sous-évaluent le niveau de risque lié à un échange ou s’ils surévaluent l’impact des mesures prises afin de réduire ce risque, ils ne seront pas en mesure d’enclencher les mécanismes de reddition de comptes et de transparence prévus par la LECCMTIEE. En outre, ces mécanismes comprennent le renvoi de certains cas à risque élevé aux administrateurs généraux, ainsi que la transmission de rapports à l’OSSNR.  

L’OSSNR a constaté des incohérences majeures dans la façon dont les ministères du gouvernement du Canada évaluaient le risque de mauvais traitements posé par certains pays. L’OSSNR a même relevé des cas où, suivant leurs évaluations respectives du risque de mauvais traitements, des ministères avaient attribué diverses cotes de risque « faible » ou « moyen », voire « élevé » à un même pays. L’OSSNR a également constaté que les ministères avaient souvent attribué un poids exagérément élevé aux mesures proposées pour l’atténuation des risques et que, dans certains cas, ces ministères incorporaient de manière erronée les mesures d’atténuation dans leurs évaluations initiales du risque de base par pays.  

De telles failles méthodologiques ainsi que l’absence de freins et de contrepoids dans le processus d’évaluation des risques peuvent amener les ministères à sousévaluer systématiquement les risques posés par les échanges d’information envisagés. En définitive, il s’avère que lorsqu’il ne se conforme pas aux dispositions essentielles des instructions données au titre de la LECCMTIEE, le gouvernement du Canada risque de procéder à des échanges d’information qui seraient contraires aux interdictions prévues par les directives.  

Dans le cadre d’une série de recommandations devant permettre de faire face à ce risque, l’OSSNR a réitéré sa recommandation de 2019 voulant que le gouvernement du Canada élabore une approche unifiée en matière d’évaluations des risques dans le contexte de la LECCMTIEE. Dans chaque examen réalisé depuis 2019 concernant la LECCMTIEE, l’OSSNR a maintenu la position selon laquelle les risques liés aux droits de la personne dans un pays donné devraient être évalués de manière cohérente dans l’ensemble du gouvernement. Cette façon de faire permettrait non seulement d’éviter le gaspillage de ressources attribuable au fait que chacun des ministères réalise ses propres évaluations des risques, mis aussi d’éliminer la possibilité que les résultats des évaluations des risques divergents les uns des autres. 

Table des matières
  1. Fiche d’information

Date de publication :

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Examen de L’utilisation des Tests Polygraphiques Par le Centre de la Sécurité des Télécommunications Pour les Enquêtes de Sécurité

Examens Terminés

Examen de L’utilisation des Tests Polygraphiques Par le Centre de la Sécurité des Télécommunications Pour les Enquêtes de Sécurité

Fiche d’information

En 2021, l’OSSNR a entamé son examen de l’utilisation du polygraphe par le Centre de la sécurité des télécommunications (CST) pour le filtrage de sécurité. Cet examen a également porté sur le rôle du Secrétariat du Conseil du Trésor (SCT) dans l’inclusion des tests polygraphiques dans la Norme sur le filtrage de sécurité introduite en 2014.

Le gouvernement du Canada a recours au polygraphe comme outil de filtrage de sécurité depuis la guerre froide. Lorsque le Service canadien du renseignement de sécurité (SCRS) a commencé à utiliser le polygraphe, en 1984, l’organe de surveillance de l’époque, le Comité de surveillance des activités de renseignement de sécurité (CSARS), en a critiqué l’utilisation pour le contrôle des milliers de Canadiens employés par le SCRS. Le CSARS s’est interrogé plus précisément sur les fondements scientifiques autorisant le recours aux tests polygraphiques en tant que moyen légitime, efficace et équitable de juger de la loyauté des Canadiens, mais aussi sur la justification quant à l’application générale de ce qui est considéré comme un outil particulièrement intrusif.

En 2019, l’OSSNR a réalisé un examen visant la Direction de la sécurité interne du SCRS, lequel abordait le recours, par le Service, aux tests polygraphiques pour le filtrage de sécurité. En cours d’examen, l’OSSNR a constaté plusieurs lacunes dans le programme du SCRS, notamment :

  • les répercussions sur la santé mentale et les résultats inégaux pour les sujets soumis aux tests polygraphiques;
  • l’influence inappropriée du polygraphe sur la prise de décision en matière de filtrage de sécurité;
  • la collecte inutile de renseignements médicaux;
  • l’absence d’une justification politique centralisée de la part du SCT quant aux raisons pour lesquelles le Canada devrait utiliser cet outil.

Au CST, l’OSSNR a constaté plusieurs lacunes ressemblant fortement, voire exactement à celles qui avaient été relevées précédemment, au SCRS.

Pendant la réalisation de cet examen, la priorité de l’OSSNR a toujours été claire : déterminer si la vie privée des employés et des employés potentiels du CST ainsi que leurs droits garantis par la Charte étaient protégés. Or, l’OSSNR a constaté que dans certains cas, comme le montre le présent rapport, ces droits n’ont pas été protégés.

Le gouvernement du Canada est responsable de la protection de ses employés, de ses informations et de ses biens. Or, les menaces qui pèsent sur le Canada et les Canadiens sont réelles. En l’occurrence, le filtrage de sécurité est le principal moyen dont dispose le gouvernement pour déterminer la loyauté d’une personne envers le Canada avant de lui confier l’accès aux informations ou aux installations sensibles qui lui permettront d’exercer ses fonctions en tant que fonctionnaire.

L’examen de l’OSSNR sur l’utilisation, par le CST, du polygraphe pour le filtrage de sécurité est important, car il est le premier suivant lequel un organisme de surveillance indépendant du Canada procède à une évaluation aussi approfondie et complète des activités d’un tel programme.

Dès le départ, l’OSSNR a établi que cet examen ne pouvait être mené à bien sans la possibilité d’évaluer la conduite réelle des tests polygraphiques, mais qu’il était essentiel de mettre en place des mesures de protection appropriées visant à protéger l’anonymat des personnes se soumettant auxdits tests. De fait, comme le démontre le présent rapport, l’accès aux enregistrements a été essentiel dans la mesure où il a permis à l’OSSNR de faire bon nombre de constatations.

En outre, le présent examen tombe à point nommé, alors que le SCT examine et met à jour sa Norme sur le filtrage de sécurité de 2014. Or, l’importance du filtrage de sécurité devrait inciter le SCT à entreprendre une analyse approfondie permettant d’attester les outils de filtrage qu’il préconise et exige, tout en gardant à l’esprit que le filtrage de sécurité ne donne pas à une organisation le droit de passer outre aux protections fondamentales de la vie privée accordées par le droit canadien.

Le gouvernement a maintenant l’occasion de corriger les erreurs du passé et de procéder à une évaluation et une analyse complètes et nécessaires permettant d’établir avec rigueur si l’utilisation du polygraphe est justifiée dans le contexte du filtrage de sécurité. Nous espérons que le gouvernement tiendra compte de nos constatations et de nos recommandations, lesquelles pourraient s’avérer utiles pendant que le SCT procède à une mise à jour qui s’impose depuis longtemps.

Table des matières
  1. Fiche d’information

Date de publication :

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Gouvernance du CST s’appliquant aux cyberopérations actives et défensives

Date de publication :

Sommaire

La Loi sur le CST confère au Centre de la sécurité des télécommunications (CST) le pouvoir de mener des cyberopérations actives et des cyberopérations défensives (COA/COD). Tel qu’il est stipulé dans la Loi, une COD a pour but de stopper ou de gêner les cybermenaces étrangères qui pourraient peser sur les réseaux ou les systèmes du gouvernement fédéral désignés comme étant importants pour le Canada par le ministre de la Défense nationale (MinDN). Pour leur part, les COA ont pour vocation de restreindre la capacité des adversaires à porter atteinte aux relations internationales, à la défense ou à la sécurité du Canada. Les COA/COD sont autorisées par voie d’autorisations ministérielles (AM) et, en raison de leurs répercussions potentielles sur la politique étrangère, les COA nécessitent l’approbation du ministre des Affaires étrangères (MAE), alors que les COD ne requièrent que l’avis du MAE.

Pendant le présent examen, l’OSSNR s’est fixé pour objectif d’évaluer le cadre de gouvernance qui oriente la conduite des COA/COD. L’OSSNR a également cherché à savoir si le CST prenait suffisamment en compte ses obligations légales, mais aussi les répercussions de ses opérations sur la politique étrangère de l’État canadien. En outre, l’OSSNR a analysé les documents portant sur les politiques et les procédures, sur la gouvernance et sur les opérations, de même que la correspondance entre le CST et AMC. L’examen a débuté par l’analyse des tout premiers documents portant sur les COA/COD et s’est conclu à l’échéance de la période de validité des premières autorisations ministérielles visant des COA/COD.

Dans le présent examen, l’OSSNR a tenu compte de l’apport d’Affaires mondiales Canada (AMC) en considération du rôle important que ce ministère tient dans la structure de gouvernance des COA/COD conçue conformément aux exigences établies par la loi relativement au rôle du MAE à l’égard des AM. Par conséquent, l’OSSNR a été en mesure d’acquérir les éléments de connaissance lui permettant de bien comprendre les structures de gouvernance et de reddition de compte qui ont été mises en place pour ces activités, et ce, en étant exposé à des témoignages uniques de la part de représentants des deux ministères, qui ont fait état de leurs rôles et de leurs responsabilités respectifs.

La nouveauté de ces pouvoirs a contraint le CST à élaborer de nouveaux mécanismes et processus tout en tenant compte des pouvoirs et contraintes nouvellement établis par la Loi. L’OSSNR a d’ailleurs constaté l’important travail effectué par le CST et par AMC pour l’édification de la structure de gouvernance s’appliquant aux COA/COD. Dans le présent contexte, l’OSSNR a remarqué que certains aspects de la gouvernance pouvaient être améliorés en les rendant plus transparents et en les énonçant plus clairement.

En outre, l’OSSNR a noté que le CST pourrait donner une information plus détaillée aux intervenants prenant part au processus décisionnel et à la gouvernance des COA/COD, particulièrement dans les documents comme les AM qui autorisent ces opérations et dans les plans opérationnels établis pour la direction desdites opérations. De plus, l’OSSNR a trouvé que le CST et AMC n’avaient suffisamment pris en compte ni les nombreuses lacunes, qui ont été recensées dans le cadre du présent examen, ni les recommandations visant les éléments suivants :

  • la nécessité de mobiliser d’autres ministères pour s’assurer que les opérations suivent les priorités globales du gouvernement du Canada;
  • l’absence d’un seuil de démarcation entre une COA et une COD préventive;
  • la nécessité d’évaluer la conformité au droit international de chacune des opérations;
  • la nécessité de communiquer bilatéralement les informations nouvellement acquises qui renseignent sur le niveau de risque d’une opération.

Les lacunes observées par l’OSSNR sont de celles qui seraient porteuses de risques si elles ne devaient pas être résolues. Par exemple, en raison de leur nature vaste et générale, les catégories d’activités, de techniques et de cibles faisant partie des COA/COD [**expurgé**] pourraient donner lieu à l’interception non intentionnelle d’éléments concernant des activités et des cibles [**expurgé**]. Au reste, étant donné que l’apport d’AMC n’est pas le même pour les COA et les COD, le fait de classifier par erreur une COA en tant que COD préventive pourrait donner lieu à un accroissement du risque pour les relations internationales du Canada, dans la mesure où l’on pourrait ne pas avoir suffisamment consulté AMC.

Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs observations concernant l’information contenue dans les documents qui ont été produits à ce jour en matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement mises en oeuvre.

L’information fournie par le CST n’a pas été vérifiée de façon indépendante par l’OSSNR. Or, des travaux sont en cours pour établir des politiques opérantes et des pratiques exemplaires favorisant la vérification indépendante d’une multiplicité d’informations, en accord avec l’engagement de l’OSSNR à appliquer une approche qui soit axée sur la confiance, mais renforcée par des mesures de vérification.

Pouvoirs

Le présent examen est effectué en vertu des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

Contexte de l’examen et méthodologie

Depuis l’entrée en vigueur de la Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST), le 1er août 2019, le CST est désormais autorisé à mener en toute autonomie des cyberopérations actives (COA) et des cyberopérations défensives (COD). Au cours des premières séances d’information tenues à l’automne de 2019, l’OSSNR a appris [**expurgé**]. Or, des représentants du CST ont ensuite apporté des précisions en indiquant [**expurgé**]. Dans ce contexte, l’OSSNR évaluera les COA et les COD suivant une approche progressive. En premier lieu, le présent examen a pour objet de mieux saisir la façon dont s’est développée la structure de gouvernance du CST pour ce qui concerne les COA et les COD. L’OSSNR enchaînera avec un nouvel examen portant, cette fois, sur les opérations. Cet examen ultérieur est en cours et devrait se terminer en 2022.

À l’occasion de ce premier examen, nous avons porté une attention particulière aux structures dont la vocation est de gouverner la conduite des COA et des COD. En l’occurrence, la gouvernance pourrait correspondre à l’établissement de processus servant à guider et à gérer la planification, les engagements interministériels, la conformité, la formation et la surveillance, mais aussi d’autres questions globales qui influent sur la conduite des COA et des COD. L’OSSNR reconnaît que ces structures sont appelées à évoluer en fonction des enseignements tirés de l’expérience acquise en cours d’opérations. En outre, les alliés du Canada, qui disposent de pouvoirs semblables en matière de cyberopérations depuis déjà un certain temps, [**expurgé**]. Dans le présent contexte, l’OSSNR s’est donné pour objectif de déterminer si, pendant ces premières étapes d’élaboration d’une structure de gouvernance applicable aux COA et aux COD, le CST avait raisonnablement pris en compte et défini ses obligations juridiques de même que les aspects des COA et des COD qui pourraient influer sur la politique étrangère.

Dans le cadre du présent examen, l’OSSNR a évalué les documents faisant état des politiques, des procédures, du système de gouvernance et de la planification des opérations, mais aussi les évaluations des risques ainsi que la correspondance entre le CST et Affaires mondiales Canada (AMC) (dont le rôle déterminant est décrit plus loin). L’OSSNR a examiné les tout premiers documents portant sur l’élaboration de la structure de gouvernance s’appliquant aux COA et aux COD. En l’occurrence, la fin de la période d’examen a coïncidé avec l’échéance des premières autorisations ministérielles visant des COA et des COD, soit le 24 août 2020. Ainsi, les conclusions et les recommandations formulées dans le présent rapport concernent la structure de gouvernance en vigueur pendant la période d’examen.

Que sont les cyberopérations actives et défensives?

Tel qu’il est énoncé dans la Loi sur le CST, les cyberopérations défensives (COD) ont pour vocation de stopper ou de contenir les cybermenaces étrangères avant qu’elles n’atteignent les systèmes et les réseaux du gouvernement ou les systèmes désignés par le ministre de la Défense nationale (MinDN) comme étant importants pour le pays, notamment les infrastructures essentielles du Canada et les partis politiques canadiens inscrits. Quant aux cyberopérations actives, elles permettent au gouvernement de recourir aux capacités en ligne du CST pour mener, dans le cyberespace, un vaste éventail d’activités dont l’objet est d’affaiblir furtivement la capacité d’un adversaire à nuire aux activités du Canada en matière, notamment, de relations internationales, de défense ou de sécurité. À titre d’exemple, les COA peuvent comprendre des activités visant à désactiver les dispositifs de communication dont les membres d’un réseau de terroristes étrangers se servent pour communiquer ou pour planifier leurs attaques. Les répercussions des COA et des COD [**concerne des opérations du CST**] d’une COA ou d’une COD.

Pour mener des COA ou des COD, le CST mise sur ses accès à l’infrastructure mondiale d’information (IMI), sur une expertise en matière de renseignement étranger, et sur les partenariats nationaux et internationaux pour acquérir du renseignement apte à favoriser le déroulement des COA et des COD. Les activités menées dans le cadre du volet « renseignement étranger » et du volet « cybersécurité » du mandat du CST permettent au Centre de collecter des informations ayant pour objet de renseigner sur les intentions, les plans et les activités d’auteurs malveillants qui cherchent à nuire aux intérêts du Canada. Selon le CST, la collecte préliminaire de renseignement, le développement des capacités [**expurgé**] constituent la majeure partie du travail nécessaire à la tenue des COA et des COD, alors que les activités qui ont lieu dans le cyberespace ne constituent approximativement que [**expurgé**] de la charge de travail.

Fondements juridiques des cyberopérations

La Loi sur le CST fait état des pouvoirs légaux dont jouit le CST pour mener des COA/COD. D’ailleurs, la figure 1 présente des extraits de la Loi qui décrivent ces deux volets. En outre, le régime des autorisations ministérielles dont il est question dans la Loi sur le CST confère au Centre les pouvoirs nécessaires à l’exercice des activités ou des catégories d’activités qui sont énumérées à l’article 31 de la Loi sur le CST et qui concernent les COA/COD.

Cyberopérations défensives (COD)

  • Article 18 de la Loi sur le CST
  • En ce qui a trait au volet de son mandat touchant les cyberopérations défensives, le Centre mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin d'aider à protéger :
    • (a) l'information électronique et les infrastructures de l'information des institutions fédérales;
    • (b) l'information électronique et les infrastructures de l'information d'importance pour le gouvernement fédéral désignées comme telle [...].

Cyberopérations actives (COA)

  • Article 19 de la Loi sur le CST
  • En ce qui a trait au volet de son mandat touchant les cyberopérations actives, le Centre mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin de réduire, d'interrompre, d'influencer ou de contrecarrer, selon le cas, les capacités, les intentions ou les activités de tout étranger ou État, organisme ou groupe terroriste étrangers, dans la mesure où ces capacités, ces intentions ou ces activités se rapportent aux affaires internationales, à la défense ou à la sécurité, ou afin d'intervenir dans le déroulement de telles intentions ou activités.

Il importe de souligner que la Loi impose des contraintes sur les COA/COD. En l’occurrence, il leur est interdit de cibler des Canadiens ou quiconque se trouve sur le territoire du Canada; elles doivent respecter les termes de la Charte canadienne des droits et libertés; et il leur est interdit de cibler l’IMI au Canada.

Les COA/COD doivent être menées au titre d’une autorisation ministérielle (AM) délivrée par le MinDN conformément aux dispositions du paragraphe 29(1) (COD) ou à celles du paragraphe 30(1) de la Loi sur le CST. Les AM autorisant les COA/COD habilitent le CST à mener des activités de COA/COD malgré toute autre loi fédérale ou loi d’un État étranger. Pour délivrer une AM, le MinDN doit conclure qu’il y a des motifs raisonnables de croire que l’activité en cause est raisonnable et proportionnelle, et doit également conclure que l’objectif de la cyberopération ne pourrait pas être raisonnablement atteint par d’autres moyens10. De plus, le MinDN doit consulter le ministre des Affaires étrangères (MAE) avant de délivrer une AM pour les COD, mais doit obtenir le consentement du MAE avant de délivrer une AM pour les COA. Toute activité de COA/COD autorisée ne peut causer, intentionnellement ou par négligence criminelle, des lésions corporelles à une personne physique ou la mort de celle-ci; ne peut tenter intentionnellement de quelque manière d’entraver, de détourner ou de contrecarrer le cours de la justice ou de la démocratie. Il importe d’ajouter que, contrairement aux AM délivrées pour le volet renseignement étranger de même que pour le volet cybersécurité et assurance de l’information du mandat du CST, les AM visant les COA et les COD ne sont pas assujetties à l’approbation du commissaire au renseignement.

En plus des volets COA/COD prévus par son mandat, le CST peut également fournir une assistance technique et opérationnelle à d’autres ministères du gouvernement du Canada (GC). Le CST peut assister les organismes fédéraux chargés de l’application de la loi et de la sécurité (OALS) aux fins de prévention de la criminalité, d’atténuation des menaces pour la sécurité du Canada et de soutien à des missions militaires autorisées par le GC. Lorsqu’il prête son assistance, le CST agit en vertu des autorisations légales – et des restrictions afférentes – conférées aux organismes ou aux ministères faisant appel à ladite assistance. De même, les personnes agissant au nom du CST jouissent des mêmes mesures d’exemption, de protection et d’immunité que celles qui agissent au nom des OALS demandeurs. Les activités menées aux fins de ce type d’assistance seront analysées dans le cadre d’examens ultérieurs de l’OSSNR.

Outre la Loi sur le CST, le droit international est pris en compte dans le cadre juridique s’appliquant aux activités de COA/COD. Les activités du CST sont liées par le droit international coutumier dans la mesure où le droit canadien adopte ipso facto le droit international coutumier par l’intermédiaire de la common law, sauf en cas d’incompatibilité entre les lois.

L’OSSNR note que le droit international en matière de cyberespace est un domaine en développement. Dans cette sphère du droit, la pratique des États est limitée, les opinions de droit (postulats selon lesquels les États estiment que ce type de pratique correspond à une obligation juridique) sont rares et le droit des traités (précisions sur les modalités d’application du droit international au cyberespace) n’en est qu’à ses balbutiements. De plus, bien qu’il ait fait valoir que le droit international s’appliquait au cyberespace, le Canada n’a pas encore défini sa propre vision quant à l’application du droit international aux activités du cyberespace16. Or, le Canada s’est engagé à promouvoir l’établissement d’une vision commune à tous les États pour ce qui a trait à des normes volontaires et non contraignantes favorisant le comportement responsable des États dans le cyberespace. Ainsi, l’OSSNR suivra de près le développement de cette sphère du droit international, notamment, les pratiques observées par les États à l’égard des activités de COA/COD du CST. Dans le cadre du prochain examen visant les activités de COA/COD, l’OSSNR se penchera, cette fois, sur la façon dont le CST et AMC tiennent compte du droit international en vigueur.

Cadre politique s’appliquant aux cyberopérations

Préparation d’un cadre de consultation entre AMC et le CST

Il est possible que les COA/COD accroissent le niveau de risque pour la politique étrangère et les relations internationales du Canada. Bien que le volet renseignement étranger du CST ne vise qu’à collecter des informations, les COA/COD [**expurgé**], [**expurgé**]. Comme AMC est le ministère responsable des affaires internationales et de la politique étrangère du Canada, le MAE est appelé, en vertu de la loi, à tenir un rôle lorsqu’il s’agit de consentir à ce que le MinDN délivre une autorisation ministérielle pour des COA.

Conformément aux directives du MAE, le CST et AMC ont uni leurs efforts pour créer un cadre de collaboration sur les questions ayant trait aux COA/COD. Le CST et AMC se sont mobilisés sur ces questions avant l’entrée en vigueur de la Loi sur le CST, de sorte à recenser les exigences énoncées dans la Loi en matière de consultation et de consentement. Ensemble, le CST et AMC ont mis sur pied divers organes interministériels appelés à se pencher sur les COA/COD dans le but de faciliter le processus de consultation aux divers niveaux, notamment, les groupes de travail constitués au niveau des directeurs généraux et du sous-ministre adjoint.

Structure de gouvernance du CST

L’Ensemble des politiques relatives à la mission (EPM) du CST décrit en détail les pouvoirs permettant d’orienter les COA/COD, les activités interdites en cours de COA/COD – de même que les consignes permettant d’interpréter ces interdictions – et le cadre de gouvernance suivant lequel il convient de surveiller le déroulement et la conduite des COA/COD, cadre désigné par l’appellation Cadre de pouvoirs et de planification commun (CPPC). La structure générale du cadre de gouvernance et des processus connexes a été conçue pour être employée dans toutes les COA/COD, tous niveaux de risque confondus. Toutefois, c’est en fonction du niveau de risque que ledit cadre établit les divers niveaux d’approbation.

Pendant la période consacrée à l’examen, le CPPC comportait plusieurs des éléments nécessaires à la planification, à l’approbation et à la conduite des opérations. Le principal instrument de planification était [**expurgé**] lequel décrit les [**expurgé**] de même que [**expurgé**] tout en mettant en évidence les risques et les mesures d’atténuation correspondantes. [**expurgé**] sert à déterminer et à énoncer l’éventail des risques associés à toute nouvelle activité. Durant la période d’examen, le CST a élaboré [**expurgé**]. L’OSSNR a également reçu des documents semblables [**expurgé**] ne coïncidant pas avec la période d’examen, mais contenant des informations pertinentes sur la structure de gouvernance et le niveau opérationnel.

Deux principaux groupes de travail ont pour objet d’évaluer et, le cas échéant, d’approuver, les plans internes visant les COA/COD. Le Groupe pour les cyberopérations (GCO) est un organe d’approbation au niveau des directeurs; il regroupe les principaux intervenants et est présidé par le directeur du secteur opérationnel ayant initié ou parrainé la demande de cyberopérations. Le rôle du GCO est d’examiner le plan opérationnel et d’en jauger les risques ainsi que les avantages. Le GCO peut approuver [**expurgé**] il peut également faire approuver ces éléments par le Groupe de gestion des cyberopérations (GGCO), s’il y a lieu. Le GGCO est un organe d’approbation qui se situe au niveau des directeurs généraux (DG) et qui est mis sur pied [**expurgé**] a été examiné et recommandé par le GCO.

Ensuite, le CST prépare [**concerne des opérations du CST**] est examinée en interne pour s’assurer qu’elle correspond à la teneur [**expurgé**] elle est ensuite approuvée au niveau des directeurs, bien que le CST ait indiqué que l’approbation pourrait être déléguée à un gestionnaire.

Constatations et recommandations

Clarté des autorisations ministérielles

L’OSSNR avait entrepris de déterminer si les exigences au titre de la Loi sur le CST relativement aux COA/COD se traduisent convenablement dans les AM du MinDN autorisant la tenue d’activités de COA/COD et si le CST a bien consulté le MAE et obtenu son consentement, comme l’exige la Loi.

L’OSSNR s’est penché sur deux AM portant respectivement sur des COA et des COD et valides du [**expurgé**]. Notamment, les deux AM n’approuvaient que des CAO/COD [**expurgé**]. De plus, l’OSSNR a examiné des documents en appui des AM, y compris les demandes présentées par le chef au MinDN et les lettres de confirmation connexes du MAE, ainsi que les documents de travail et la correspondance fournis par le CST et Affaires mondiales Canada (AMC).

Les AM examinées par l’OSSNR énonçaient les nouveaux pouvoirs conférés au titre de la Loi sur le CST et définissaient les conditions s’appliquant à la tenue des COA/COD, ainsi que les interdictions indiquées dans la Loi. De plus, les AM demandaient que les activités de COA/COD soient harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du gouvernement du Canada en matière de sécurité nationale, de politique étrangère et de défense.

Informations recueillies au titre d’autorisations précédentes en appui des cyberopérations

Le CST a reçu l’autorisation de mener des COA/COD à l’époque où la collecte de renseignements électromagnétiques (SIGINT) étrangers était autorisée par des AM délivrées en application de la Loi sur la défense nationale. [**expurgé**]. Le CST a confirmé à l’OSSNR que les COA/COD [**expurgé**] reposaient uniquement sur des informations recueillies au titre des AM délivrées en application de la Loi sur le CST. [**expurgé**] le CST a fait valoir que [**expurgé**]. L’OSSNR le confirmera dans le cadre de son examen ultérieur de COA/COD précises.

Consultation du ministre des Affaires étrangères par le CST

Le CST a fourni à AMC les dossiers complets de demande d’AM pour les COA/COD en place durant la période à l’examen. De plus, les représentants d’AMC et du CST ont noué le dialogue à différents niveaux avant l’entrée en vigueur de la Loi sur le CST et pendant l’élaboration des AM, particulièrement pour ce qui est de l’évaluation des catégories d’activités qui y sont autorisées. Dans sa réponse au dossier de demande d’AM du CST, le MAE a fourni des lettres confirmant qu’il avait été consulté et qu’il consentait aux AM de COA et de COD respectivement. L’OSSNR est ravi de constater cette collaboration rapide et rigoureuse de la part des deux organisations, étant donné le lien entre leurs mandats respectifs dans le contexte des COA/COD.

Les deux lettres du MAE soulignent l’utilité des COA/COD [**expurgé**] du gouvernement du Canada, expliquant l’importance de faire preuve de prudence concernant ce moyen dans les premières étapes. Notamment, le MAE attire l’attention sur les catégories d’activités « soigneusement définies » dans l’AM de COA pour garantir que les activités autorisées au titre de l’AM présentaient [**expurgé**]. Enfin, le MAE a chargé ses représentants de travailler avec le CST pour mettre en place un cadre de collaboration entourant les [**expurgé**]. Cette directive du MAE concorde avec le point de vue d’AMC sur l’importance d’assurer la cohérence des activités du CST avec la politique étrangère du Canada et le fait que l’AM ou un autre mécanisme devrait le garantir.

Portée et étendue des autorisations ministérielles

L’AM de COA [**concerne la politique opérationnelle du CST**] délivrée en vertu de l’article 31 de la Loi sur le CST a autorisé des catégories d’activités, y compris :

  • [**expurgé**] se mêler des [**expurgé**] d’une cible ou des éléments de l’infrastructure mondiale de l’information;
  • [**expurgé**]
  • [**expurgé**]
  • perturber la capacité d’un auteur de menace d’utiliser certaines infrastructures.

L’AM pour la COD [**concerne des opérations du CST**] autorisait les mêmes activités, à l’exception de la dernière catégorie, [**expurgé**].

Les AM pour les COA/COD stipulaient que le CST devait mener les COA/COD [**d’une certaine façon**]. Selon l’AM de COA, ce sont ces conditions qui, si elles sont respectées, font en sorte que les COA/COD menées au titre de ces AM comportent [**expurgé**]. Bien qu’AMC évalue les risques en matière de politique étrangère plutôt sur le plan opérationnel, les AM élaborées pendant la période à l’examen n’imposaient que deux conditions à respecter lors de la tenue des COA/COD. De plus, c’est au CST qu’il revient de déterminer les critères permettant de respecter ces conditions générales; l’AM demande seulement au CST d’en faire rapport. L’OSSNR ajoute que ces conditions ne comprennent aucune variable sur le plan de la politique étrangère, [**expurgé**]. Pour que soit confirmé le risque [**expurgé**] d’une opération pour la politique étrangère, l’OSSNR est d’avis qu’il est important que les AM établissent le calcul des facteurs de risque en matière de politique étrangère.

[**expurgé**] indiquant :

[**expurgé**]

Le CST semble avoir répondu [**concerne des opérations du CST**]. En outre, la capacité du ministre à évaluer les activités autorisées aux termes de la Loi sur le CST pourrait également être touchée. Pour cette évaluation, la demande d’AM doit contenir suffisamment de détails pour que le ministre soit convaincu que les exigences sont remplies.

Les catégories des activités de COA/COD, dont certaines sont exposées au paragraphe 27, sont grandement généralisées. Par exemple, presque toutes les activités menées dans le cyberespace peuvent être raisonnablement placées dans la catégorie [**expurgé**] ou se mêler [**expurgé**] des éléments de l’infrastructure mondiale de l’information ». [**expurgé**]

Effectivement, les discussions préliminaires entre le CST et AMC ont attiré l’attention sur le fait que [**expurgé**] et de contenu [traduction] « soulevaient des questions complexes », bien que l’OSSNR précise que de telles activités sont néanmoins autorisées dans l’AM définitive de COA dans la catégorie d’activités [traduction] [**expurgé**]. Autrement dit, l’autorisation d’une catégorie d’activités [**expurgé**] a été intégrée dans une catégorie encore plus vaste d’activités, sans [**expurgé**] évidente [**expurgé**] qui y étaient liés. Ce type de catégorisation ne permet pas une communication suffisante de l’information pour que le ministre saisisse les activités [**expurgé**] qui pourraient être menées au titre de l’AM.

En revanche, les techniques et exemples connexes énoncés dans les demandes sont les seuls moyens qui permettent de préciser les types d’activités pouvant avoir lieu dans le cadre d’une COA/COD. Ces exemples servent de fondement au MinDN pour évaluer les catégories d’activités dont il est question dans la demande d’AM. Dans les échanges préliminaires entre le CST et AMC, les catégories d’activités étaient décrites et analysées conjointement avec les techniques employées dans leur exécution. Par exemple, il a été noté que [**expurgé**], ce qui a fourni plus d’information à l’OSSNR en ce qui a trait aux actions qui se trouvaient exactement dans la catégorie d’activités. L’OSSNR ajoute que même ces techniques et exemples sont décrits dans les demandes comme faisant partie d’une liste non exhaustive, ce qui pourrait permettre au CST de mener des activités qui ne sont pas précisément définies dans les demandes.

De même, la cible des activités de COA/COD est habituellement désignée comme un « acteur étranger », ce qui pourrait englober un large éventail de [**expurgé**] . Dans les débuts de l’élaboration de l’AM, le CST et AMC avaient abordé [**expurgé**] directement dans les AM, mais AMC a précisé que [**expurgé**] visaient principalement [**expurgé**] étant donné [**expurgé**] . AMC a précisé que l’AM de COA [traduction] « définirait [mieux] [**expurgé**] dans une certaine mesure ». Ni l’une ni l’autre de ces considérations ne figurait dans les AM définitives [**expurgé**] qui, d’après les explications du CST, ne se limitent pas aux activités [**expurgé**] , c’est-à-dire que [**expurgé**] . L’OSSNR estime que les AM devraient définir clairement les cibles des activités de COA/COD, [**expurgé**] les COA/COD [**expurgé**] à des ensembles précis de cibles [**expurgé**] afin que les activités permises par l’AM traduisent le [**expurgé**].

L’OSSNR souligne que seules les AM, et non les demandes connexes, donnent au CST l’autorisation de mener ses activités. Par conséquent, l’exclusion de cette information des AM signifie que seules les grandes catégories d’activités, telles qu’elles sont décrites dans les AM, guident les mesures que peut prendre le CST dans le cadre de COA et non pas les techniques et exemples énoncés dans les demandes qui servent de fondement à la norme sur laquelle s’appuie le risque des activités. Selon l’OSSNR, les catégories décrites dans les AM ne restreignent pas suffisamment les activités du CST [**concerne des opérations du CST**]. Même si, aux dires d’AMC, les processus de consultation interministérielle entre les deux organisations peuvent servir de mécanisme limitant les activités du CST, ces processus n’ont pas été nettement consignés dans les AM les autorisant. L’OSSNR est d’avis que des AM pour les COA/COD plus précises réduiraient la possibilité de confusion relativement aux activités précisément autorisées.

La méthode visant à préciser les catégories d’activités concorde avec la façon de faire habituelle du CST liée à l’obtention d’autorisations larges de la part de hauts dirigeants comme le ministre, accompagnées de mesures de contrôle plus précises qui guident les opérations à exécuter en fonction des limites de l’activité autorisée. AMC note la tendance à s’appuyer sur des autorisations plus précises selon [**expurgé**] visée par la demande d’autorisation. Le CST a expliqué que son approche lui permettait d’obtenir l’autorisation de mener des activités de façon à [traduction] « apporter une souplesse maximisant les occasions, mais également des réserves suffisantes pour assurer l’atténuation appropriée des risques. »

Bien que l’OSSNR reconnaisse que les AM doivent donner au CST suffisamment de jeu pour qu’il mène des COA/COD [**expurgé**] s’il le faut, il est important que le CST ne mène pas d’activités qui n’étaient pas envisagées ni autorisées par le MinDN ou le MAE lors de la délivrance des AM applicables. Toujours selon l’OSSNR, dans le contexte des COA/COD [**expurgé**] , le CST peut adopter une approche plus transparente qui préciserait les catégories d’activités qu’il demande au ministre d’autoriser. C’est tout particulièrement important étant donné que le CST utilise ces nouvelles autorisations depuis peu. L’autorisation de catégories d’activités, de techniques connexes et d’ensembles de cibles plus précis diminuerait la possibilité que les COA/COD [**expurgé**] dans les AM.

Le CST a indiqué que [traduction] « des objectifs clairs permettent fondamentalement de montrer le caractère raisonnable et la proportionnalité. » L’OSSNR partage le même avis et croit que les catégories d’activités et les objectifs décrits dans les AM et les demandes connexes devraient être plus explicites afin que le MinDN puisse confirmer le caractère raisonnable et la proportionnalité des COA/COD, d’autant plus que les AM étudiées dans le cadre du présent examen ne se rapportaient pas précisément à une opération. Dans le cadre de l’autorisation, le ministre exige également que le CST lui fournisse un rapport trimestriel sur les activités qui ont été menées. De plus, pour délivrer une autorisation, le MinDN doit être convaincu que les activités sont raisonnables et proportionnelles, et qu’il y a des motifs raisonnables de croire que l’objectif de la cyberopération ne peut raisonnablement être atteint d’une autre manière. Cette exigence met davantage l’accent sur la nécessité que le MinDN comprenne, dans une certaine précision, les types d’activités et les objectifs exécutés en application de l’autorisation.

Dans le cas des deux AM examinées, le ministre a conclu que les exigences énoncées au paragraphe 34(4) de la Loi sur le CST étaient satisfaites57. De plus, les AM énoncent les objectifs à atteindre par les COA/COD. Toutefois, la justification selon laquelle les objectifs ne pourraient être raisonnablement atteints d’une autre manière dans les limites de l’AM de COA est très vague et se concentre sur les stratégies d’atténuation générales des activités de cybermenace. Étant donné la rareté des détails fournis au ministre dans le présent cadre, il pourrait être difficile pour le MinDN de satisfaire à cette exigence législative. En ce qui a trait au seuil établi par le paragraphe 34(4) de la Loi sur le CST, le Centre a indiqué que [traduction] « la demande d’autorisation doit énoncer les faits qui expliquent comment chacune des activités décrites dans l’autorisation fait partie d’un plus grand ensemble d’activités individuelles ou d’une catégorie d’activités qui atteint un objectif ne pouvant pas être raisonnablement atteint d’une autre manière58. » Dans son prochain examen des COA/COD, l’OSSNR tentera de déterminer si les COA/COD concordent avec les objectifs établis dans l’AM et se penchera sur la détermination, par le CST, qu’ils n’auraient pas pu être raisonnablement atteints d’une autre manière.

Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même, l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.

Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux conditions des autorisations ministérielles pour les cyberopérations actives et défensives repose trop sur la détermination technique des risques au détriment des éléments qui caractérisent la politique étrangère du gouvernement du Canada.

Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces activités.

Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la politique étrangère découlant des cyberopérations actives et défensives.

Élaboration des demandes d’AM [**expurgé**]

Au cours de la période à l’examen, le CST a préparé des demandes d’AM pour ce qu’il considérait comme étant des COA/COD [**expurgé**] dont l’élaboration a été prioritaire [**concerne des opérations du CST****] . Alors que se développent les moyens dont le CST dispose pour mener des COA/COD et que le Centre commence à [**expurgé**]. L’OSSNR a constaté que le CST et AMC envisageaient les COA représentant un [**expurgé**], lesquelles, si elles sont exécutées, [**expurgé**] selon la méthodologie d’AMC.

Bien que les AM que l’OSSNR a obtenues à ce jour, lesquelles ne se rapportent pas précisément à une opération, permettent au CST de mener , l’OSSNR estime que leur nature générale ne se transfère pas [**AM potentielles de nature différentes**]. Par exemple, [** d’une inquiétude de l’OSSNR concernant l’habilité du Ministre à analyser pleinement certains facteurs des description cyberopérations dans un contexte particulier**] Dans le cadre de l’élaboration de la demande d’AM de COA de 2019-2020, AMC a indiqué que [traduction] « d’autres fins demanderaient d’autres AM. Elles ne seront pas complètement générales; elles seront précises pour un contexte donné. »

En outre, dans le régime législatif actuel, les demandes d’AM représentent un mécanisme clé donnant au MAE l’occasion d’évaluer les activités de COA/COD. En raison des [**expurgé**] COA/COD [**expurgé**] pour la politique étrangère et les relations internationales du Canada, l’OSSNR estime que le MAE devrait participer plus directement à l’élaboration et à l’exécution à l’échelle ministérielle, en plus de l’engagement sur le terrain des opérations entre le CST et AMC. Les deux ministres peuvent assurer plus efficacement leur responsabilisation relative à de telles opérations au moyen d’AM individuelles qui donnent des détails précis sur l’opération et sa justification, et sur les activités, outils et techniques employés. Par conséquent, lorsque le CST se penche sur des COA [**expurgé**] l’OSSNR l’encourage à élaborer des demandes d’AM propres à ces opérations et à veiller à ce que ces documents contiennent tous les détails opérationnels pertinents permettant à chaque ministre d’évaluer pleinement les répercussions et les risques liés à chaque cyberopération et d’en prendre la responsabilité.

Orientation stratégique des cyberopérations

L’article 19 de la Loi sur le CST régit les pouvoirs du CST quant à la conduite de COA qui se rapportent aux affaires internationales, à la défense ou à la sécurité, donc à des domaines qui peuvent faire appel à la responsabilité d’autres ministères et organismes. Qui plus est, les AM examinées par l’OSSNR exigent que les COA soient [traduction] « harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du gouvernement du Canada liées à la sécurité nationale, à la politique étrangère et à la défense ». L’établissement de ces priorités fait intervenir plusieurs ministères fédéraux du Canada, comme le Bureau du Conseil privé (BCP), le MDN et Sécurité publique Canada (SP), qui sont responsables de la coordination et de la surveillance de différentes parties de l’établissement des priorités dans le présent contexte. Tout au long du présent examen de la gouvernance, on a noté que le CST atteste la conformité à ces exigences par un énoncé indiquant que l’AM répond aux grandes priorités du gouvernement du Canada, sans élaborer sur la façon dont ces priorités sont satisfaites.

Les processus interministériels du gouvernement du Canada relativement à la coordination d’activités et d’opérations de sécurité nationale ne datent pas d’hier. Par exemple, lorsque le MAE requiert une collecte de renseignements étrangers au Canada, il présente une demande au ministre de la Sécurité publique afin que le Service canadien du renseignement de sécurité (SCRS) facilite la collecte conformément à l’article 16 de la Loi sur le SCRS. Un comité composé de représentants [**expurgé**]. se penche ensuite sur le type de demande. Le comité examine ensuite les questions au niveau du sous-ministre adjoint, [**concerne les processus décisionnaire du GC**] . De même, un processus interministériel peut également confirmer la conformité d’une COA aux priorités plus larges et l’impossibilité d’atteindre raisonnablement les objectifs d’une autre manière. Autrement dit, les consultations interministérielles sont une façon d’évaluer les objectifs des COA et leur conformité aux priorités plus larges du gouvernement du Canada, et de déterminer s’il existe une autre manière d’atteindre les objectifs fixés, comme l’exige la Loi sur le CST.

L’établissement de priorités plus larges pour le gouvernement du Canada est ressorti comme élément clé de la structure de gouvernance de ce nouveau pouvoir dans les premières discussions entre le CST et AMC. Au cours de la période à l’examen, le CST a monté des COA avec AMC, qui a participé à certains aspects du processus de planification. AMC a encouragé le MAE à demander l’élaboration d’un mécanisme de gouvernance en vue d’atténuer le risque que [traduction] « le CST décide, par lui-même, de lancer [**expurgé**] et a ajouté que [**expurgé**] . »

Des évaluations internes préliminaires d’AMC se démarquent du mandat touchant le renseignement étranger du CST, qui répond aux priorités en matière de renseignement approuvées par le Cabinet, et rendent bien l’essence de cet écart par l’énoncé suivant :

[**citation d’AMC concernant une discussion sur les objectifs et priorités stratégiques des cyberopérations**]

Dans un autre cas, AMC a décrit l’établissement de telles priorités comme étant [traduction] « une question importante qui n’a pas encore été réglée avec le CST » et a expliqué qu’à ce moment un organisme dont le mandat touchait notamment la cyberopération devrait décider s’il s’agit du bon outil pour atteindre un objectif en particulier. AMC a expliqué que ses représentants avaient ultimement accepté d’aller de l’avant sans se consacrer davantage à ce sujet pour autant qu’un mécanisme de gouvernance était mis en place avec le CST.

Dans ce contexte, le paragraphe 34(4) de la Loi sur le CST exige que les objectifs d’une cyberopération ne puissent pas être raisonnablement atteints d’une autre manière et que les cyberopérations répondent aux priorités dans divers domaines. Étant donné ces exigences, l’OSSNR indique que les ministères fédéraux, et non seulement le CST et AMC, peuvent fournir des indications pertinentes sur d’autres possibilités ou des activités en cours qui pourraient atteindre les objectifs en question.

De plus, AMC a souligné le fait que le Cabinet établissait les besoins permanents en matière de renseignement (BPR) qui limitent et dirigent plus précisément les activités de collecte de renseignements étrangers du CST. À ce sujet, le CST a répondu que [traduction] « ces discussions ont conduit le CST et AMC à accepter de commencer par une autorisation ministérielle comportant [**expurgé**] appuyée par une structure de consultation et un cadre de gouvernance entourant les COA/COD du CST et d’AMC. »

Selon l’OSSNR, la Loi sur le CST et l’AM de COA établissent directement un lien entre les COA et les grands objectifs et priorités du gouvernement du Canada qui touchent directement les mandats de ministères comme le MDN, le BCP, le SCRS et SP, en plus de ceux du CST et d’AMC. Il ne suffit pas au CST de déclarer qu’une AM et ses activités connexes concordent avec ces priorités sans élaborer ou consulter d’autres parties, étant donné que le MDN, le BCP et SP sont responsables des priorités stratégiques du Canada en matière de sécurité nationale et de défense ou en assurent la coordination. Ces ministères et organismes seraient les mieux placés pour offrir des commentaires et une confirmation concernant l’alignement d’une COA sur les objectifs du Canada afin d’atténuer les risques que peuvent poser ces opérations et de contribuer à la responsabilisation globale de ces opérations.

[**concerne des sujets du GC liés à la sécurité nationale**]. Par conséquent, le processus de gouvernance appelle l’inclusion, ou à tout le moins leur consultation, d’autres ministères dont les mandats sont de chapeauter les grands objectifs stratégiques du Canada. Ainsi, les grands intérêts du Canada et les risques possibles seraient suffisamment examinés et transparaîtraient dans l’élaboration des COA.

Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du Canada prenant part à la gestion des objectifs généraux du Canada.

Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au renseignement auprès du premier ministre et les autres ministères concernés, dont les mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent aux grandes priorités stratégiques du gouvernement du Canada et que les exigences énoncées dans la Loi sur le CST soient respectées.

Seuil pour la conduite de COD préventives

Le CST établit une différence entre les COD menées en réponse à une cybermenace et les COD préventives visant à empêcher la concrétisation d’une cybermenace. De plus, le CST et AMC ont discuté de la nature de ces opérations, notamment qu’elles se trouvaient dans le spectre des opérations en aval et en amont. Notamment, dans le cas des COD, [**concerne des opérations du CST**].

Le CST a expliqué que le lancement d’une COD [traduction] « exige une preuve que la menace représente une source potentielle de dommage à une institution fédérale ou à une infrastructure de l’information ou de l’information électronique précise ». Selon le CST, il n’est pas nécessaire qu’une infrastructure soit compromise avant que soit lancée une COD. Il faut simplement pouvoir établir la preuve d’un lien entre une menace de compromission et l’infrastructure.

En même temps, le CST ne dispose pas encore des moyens de faire la distinction entre ce type de COD et une COA, étant donné que des discussions entre AMC et le CST indiquaient qu’une COD pouvait ressembler à une COA si la première est menée en amont. Contrairement aux COA, qui demandent le consentement du MAE et la participation exhaustive d’AMC tout au long du processus de planification, les COD ne requièrent qu’une consultation auprès du MAE. Sans l’établissement d’un seuil clair pour une COD menée en amont, il est possible que la participation d’AMC à une opération qui s’apparente (ou corresponde) à une COA soit insuffisante, [**expurgé**].

Dans notre examen ultérieur, nous porterons une attention particulière à la nature des COD préventives planifiées ou exécutées afin de déterminer si elles constituent ou non des COA.

Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit considérée à tort comme étant défensive.

Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil qui permette de distinguer une cyberopération active d’une cyberopération défensive préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les autorisations ministérielles applicables.

Collecte de renseignement dans le cadre d’une cyberopération

Aux termes du paragraphe 34(4) de la Loi sur le CST, le MinDN ne peut délivrer l’autorisation que s’il conclut qu’aucune information ne sera acquise au titre de l’autorisation, sauf conformément à une autorisation délivrée en vertu des paragraphes 26(1), 27(1) ou (2), ou 40(1). Les AM pour les COA/COD délivrées pendant la période à l’examen témoignent de cette restriction. Ces AM et leurs demandes correspondantes mentionnent seulement que les AM entourant les renseignements étrangers serviront à acquérir de l’information en appui des activités de COA/COD. Elles énoncent aussi clairement qu’aucune information ne sera acquise dans le cadre des activités de COA/COD autorisées par l’AM de COA.

Cependant, les AM et les demandes à l’appui ne décrivent pas l’intégralité des activités de collecte d’information découlant des COA/COD. D’après les politiques du CST, le Centre peut encore recueillir de l’information [**expurgé**] tant que l’activité est menée au titre d’une autre AM. Le CST a expliqué que les AM pour les COA/COD ne peuvent servir de fondement à la collecte de renseignements, mais que [**concerne des opérations du CST**] . Par exemple, [**expurgé**] tout en s’appuyant sur l’autorisation liée aux renseignements étrangers pour [**expurgé**] conformément aux priorités en matière de renseignement du gouvernement du Canada.

Même si la Loi sur le CST autorise le CST à acquérir de l’information au titre d’AM de collecte, l’OSSNR est d’avis que la politique du CST permettant la tenue d’activités de collecte au titre d’AM distinctes pendant la tenue de cyberopérations n’est pas énoncée clairement dans les AM pour les COA/COD. Plutôt, la collecte d’information fait partie des interdictions dans l’AM de COA, donnant l’impression que la collecte ne peut avoir lieu peu importe les circonstances. Par conséquent, l’OSSNR souligne que le libellé de l’AM de COA ne traduit pas en toute transparence les politiques internes du CST.

Le CST a expliqué que [**expurgé**] durant une COA/COD. En outre, l’OSSNR a appris d’un expert du CST qu’un [**expurgé**] précis qui énonce en détail les activités à réaliser dans le cadre de l’opération oriente chaque COA/COD. [**concerne des opérations du CST**].

Étant donné la politique du CST permettant la tenue simultanée de la collecte et de cyberopérations [**expurgé**] l’OSSNR examinera minutieusement les rôles et responsabilités [**expurgé**] participant aux COA/COD, ainsi que les aspects techniques de l’utilisation des systèmes du CST à l’appui des COA/COD lors de son examen ultérieur des opérations qu’a menées le CST jusqu’à présent.

Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations ministérielles pour les cyberopérations actives et défensives.

Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que, dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent au titre d’autorisations distinctes.

Gouvernance interne du CST

L’OSSNR a décidé d’évaluer dans quelle mesure les processus de gouvernance interne prenaient suffisamment en compte les éléments essentiels à la planification et à l’exécution des opérations, et de savoir si les intervenants appelés à prendre part aux COA/COD (c.-à-d. AMC et [**expurgé**]) étaient précisément au fait des paramètres et des contraintes s’appliquant aux cyberopérations.

Pendant le déroulement de l’examen, le CST donné suite aux exigences applicables en vertu de la Loi sur le CST et des AM en mettant en place divers mécanismes internes de planification et de gouvernance. Ces mécanismes visaient les documents et les mesures stratégiques de haut niveau, mais aussi chacune des [**expurgé**] opérationnelles, [**documents/méchanismes**] de chacune des COA/COD.

Gouvernance des opérations

Comme il a été décrit plus tôt, lorsqu’il s’agit d’approuver chacune des COA/COD, le CST s’appuie sur divers documents de planification et de gouvernance, notamment, les [**expurgé**]. Dans un premier temps, le CST élabore le [**expurgé**] une COA/COD donnée. Par la suite, le CST crée un [**expurgé**] dans lequel on fait état des risques dont il faut tenir compte pendant le déroulement de la COA/COD. De plus, le [**expurgé**] et le [**expurgé**] comprennent des champs portant sur les interdictions énoncées dans la Loi sur le CST. Dès lors qu'une cible a été choisie, la [**expurgé**] tient lieu de document de gouvernance définitif, jusqu'à l'établissement des [**expurgé**] des COA/COD.

Semblablement aux AM pour les COA/COD et en guise de plan initial, le [**expurgé**] consiste généralement en une approbation préalable de l’ensemble des activités et de [**expurgé**]. Il est ensuite perfectionné et développé dans le cadre du processus de [**expurgé**]. Du point de vue de l’OSSNR, [**concerne des opérations du CST**].

Specifically, the [**relates to CSE operations**] and other operational details that, in NSIRA’s view, surpass simply [**redacted**] and contain key components of operational planning. [**redacted**] details the specific [**redacted**]. Nonetheless, despite the [**redacted**] the [**redacted**] it may have a lower approval threshold than that of the [**redacted**].

Overall, NSIRA welcomes that CSE has developed procedures and documented its operational planning associated with ACO/DCO activities, in accordance with its requirements in the MPS. Nonetheless, the numerous governance documents that comprise the governance of ACO/DCOs exist to serve different audiences and purposes, and result in pertinent information dispersed across them, rather than being available in a unified structure for all implicated stakeholders and decision- makers to assess. NSIRA believes the many separate components of governance may be redundant and result in unnecessary ambiguity within the same operational plans that are meant to guide ACO/DCOs. Thus, NSIRA will assess the efficacy of this governance structure as it is applied to operations as part of our subsequent review.

Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les documents de planification ont été approuvés, contient des informations pertinentes pour les plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que cette présentation soit approuvée à un niveau de gestion inférieur.

Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans tout document soumis à l’attention d’AMC.

Formation sur le nouveau cadre pour les cyberopérations

Les autorisations ministérielles visant les COA et les COD permettent aux catégories de personnes suivantes de mener des activités COA/COD : [**concerne la politique opérationnelle du CST**] Les AM exigent également que ces [traduction] « personnes ou catégories de personnes appuient les opérations du CST et favorisent les intérêts du Canada en matière de renseignement; elles exigent également que ces personnes ou catégories de personnes aient démontré une compréhension approfondie des exigences juridiques et stratégiques applicables. »

Soucieux de la formation et de l’orientation de son personnel opérationnel au sujet des nouvelles exigences juridiques et stratégiques, le CST a déclaré – relativement à une opération particulière – que :

« Les activités opérationnelles entreprises [**expurgé**] lesquels sont tenus de suivre des formations complètes et continues sur les fonctions et les tâches qu’ils sont appelés à exercer, mais aussi sur les politiques et les exigences en matière de conformité qui s’appliquent à leurs rôles respectifs. De plus, [**expurgé**] ont été formés, sont tenus responsables des activités qu’ils réalisent et respectent les exigences en matière de production de rapports sur la conformité. En outre, [**expurgé**] qui participent aux activités [**expurgé**] ont préalablement reçu le matériel opérationnel permettant de veiller à ce que les conditions d’opération énoncées dans la présente soient comprises et strictement observées. »

Enfin, le CST a indiqué à l’OSSNR [traduction] « qu’avant l’adoption de la nouvelle loi, le CST fournissait, virtuellement et en présentiel, des séances d’information sur les nouveaux pouvoirs du CST à tous les membres de l’effectif du Centre. Des séances d’information personnalisées étaient également fournies aux équipes opérationnelles ». Au nombre de ces séances, on a pu compter des conférences, des séances de question avec le chef-adjoint, Politiques et Communication, ainsi que d’autres types de présentations préparées par les équipes des politiques du CST96. Toutefois, l’OSSNR note que ces séances de formation, qui comportent nombre d’informations générales, ne sont pas axées sur les opérations et ne mettent pas à l’épreuve les connaissances que les employés ont nouvellement acquises concernant le nouveau cadre juridique régissant les opérations.

Compte tenu des exigences et des assurances énoncées plus haut, l’OSSNR s’attendait à constater que les employés du CST qui fournissent du soutien aux COA/COD disposent d’une formation effective qui soit suffisante pour acquérir une compréhension approfondie des responsabilités qui leur incombent en considération des nouveaux pouvoirs, mais aussi des nouvelles contraintes que la loi leur impose; et pour mettre cette compréhension en pratique pendant le déroulement des COA/COD.

Dans ce contexte, le CST a mené des exercices pratiques ayant pour objet, entre autres, de présenter [**certains employés**] les premières étapes du processus de préparation des AM, de leur donner l’occasion de rédiger des AM et de tester la viabilité fonctionnelle du cadre des AM. Durant les exercices, [**l'employé susmentionné**] n’avaient pas le droit de demander conseil auprès des responsables des affaires juridiques ou stratégiques, permettant ainsi aux gestionnaires d’observer les résultats appelés à se manifester naturellement. Or, l’OSSNR remarque un point essentiel au sujet de cet exercice :

«[**expurgé**] se sont montrés réticents à l’égard du besoin de recourir à plusieurs AM pour soutenir les objectifs de mission. Des directives et de la formation en matière de politiques seront nécessaires pour rendre [**expurgé**] aptes à connaître les autorisations qui régissent leurs interventions dès lors qu’ils prennent part aux opérations réalisées dans le cadre de diverses missions et selon les termes des AM connexes. Ces directives et cette formation doivent également tenir compte du fait que les informations collectées en vertu de diverses AM pourraient être assujetties à certaines exigences en matière de gestion des données. »

Le CST a indiqué que [**certains employés**] recevaient les éléments de connaissance concernant les autorités juridiques, les exigences et les interdictions s’appliquant aux COA et aux COD pendant des réunions de planification et à la lecture de documents opérationnels. Or, à l’occasion d’une entrevue avec un expert du CST [**expurgé**] l’OSSNR a appris que la formation offerte sur les autorités juridiques, les exigences et les interdictions [**expurgé**]. L’expert en question a également dit que les intervenants qui auraient des questions concernant la gouvernance devraient [**concerne des opérations du CST**]

À l’OSSNR, on ne sait trop s’il existe des exigences suivant lesquelles [**expurgé**] sont tenus de posséder une profonde compréhension des paramètres définis pour une COA/COD dans un [**expurgé**]. De fait, [**expurgé**]. Par exemple, lorsqu’on l’a questionné au sujet de son degré d’aisance à exécuter ses fonctions en vertu de diverses AM, [**expurgé**] énoncés dans le [**expurgé**]. Le CST ajoute que [**expurgé**] sont élaborés à partir du [**expurgé**]. Or, comme l’indique [**expurgé**] Par conséquent, l’OSSNR estime que s’ils ne se concentrent que sur le contenu du [**certain document/méchanisme**] risquent de ne pas avoir une compréhension suffisante des paramètres et des restrictions s’appliquant à l’ensemble de l’opération.

Les AM qui autorisent l’exécution des COA/COD imposent une condition aux employés du CST impliqués dans l’exécution desdites COA/COD : celle de posséder une compréhension approfondie des exigences juridiques et stratégiques régissant leurs interventions. Les AM et les documents de planification opérationnelle contiennent des informations essentielles concernant les paramètres qui déterminent les pouvoirs s’appliquant, de façon générale, à la conduite des COA/COD, mais aussi des opérations particulières. Ainsi, l’OSSNR affirme qu’il est de prime importance que les employés travaillant sur un aspect de l’exécution des COA/COD reçoivent des séances de formation leur permettant de bien connaître les exigences et les limites s’appliquant à leurs interventions respectives, lesquelles sont énoncées dans le [**expurgé**] et la [**expurgé**]. Enfin, pourraient subir des tests visant à mesurer leur degré de compréhension des AM et des contraintes imposées à certaines opérations.

Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des paramètres régissant l’application de ces pouvoirs.

Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de formation structuré aux employés prenant part à l’exécution des cyberopérations actives et défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées dans les autorisations ministérielles.

Cadre de mobilisation entre le CST et AMC

Étant donné l’exigence législative selon laquelle le MAE doit donner son approbation ou être consulté en ce qui a trait aux COA/COD, l’OSSNR a cherché à déterminer si le CST avait élaboré un cadre propice à la mobilisation et à la consultation des représentants d’AMC pour les aspects communs de leurs mandats respectifs.

Évaluation des risques liés à la politique étrangère par AMC

Lors de l’élaboration du cadre de consultation, AMC et le CST ont mis au point un mécanisme selon lequel AMC est appelé à donner son avis, voire son approbation avant le lancement d’une opération, et à évaluer les risques que celle-ci peut comporter en matière de politique étrangère. En réponse à une demande de consultation présentée par le CST, AMC est tenu de fournir, dans un délai de cinq jours ouvrables, une évaluation des risques liés à la politique étrangère (ERPE) visant à établir si [**expurgé**]. Il convient de souligner que l’ERPE ne constitue pas une approbation de l’opération; il ne s’agit que d’un mécanisme de consultation. Pour orienter l’ERPE, le CST prépare un [**document/méchanisme**] à l’intention d’AMC résumant les divers aspects de l’opération. Par ailleurs, c’est dans le cadre d’un examen subséquent que l’OSSNR vérifiera si l’échéancier fourni par le CST relativement à certaines opérations aura permis à AMD de mener des ERPE adéquates.

Pour déterminer si une COA/COD [**expurgé**] AMC doit considérer bon nombre de facteurs. Il faut notamment vérifier si la COA/COD est conforme à la position d’AMC par rapport aux normes internationales régissant le cyberespace et si elle contribue aux intérêts du Canada. AMC doit aussi tenir compte de [**concerne des sujets du GC liés à la sécurité nationale**]. Ces considérations sont présentées dans les mandats du Groupe de travail du CST-AMC, lesquels requièrent qu’AMC évalue :

  • [**expurgé**]
  • la conformité au droit international et aux cybernormes;
  • la cohérence sur le plan de la politique étrangère, notamment la conformité de l’opération aux priorités en matière de politique étrangère, de sécurité nationale et de défense (au-delà des [besoins permanents en matière de renseignement]);
  • [**expurgé**]

Dans le contexte des exigences d’évaluation susmentionnées, AMC a expliqué à l’OSSNR que ses évaluations des risques posés par les opérations sur le plan de la politique étrangère n’étaient pas forcément exhaustives, étant donné qu’il évaluait déjà en détail les catégories d’activités autorisées par l’AM. Cette approche en matière d’évaluation est perceptible dans [**expurgé**] ERPE reçues par l’OSSNR, lesquelles concluaient que [**expurgé**] ces opérations [**expurgé**] sans toutefois fournir de précisions sur les facteurs susmentionnés. Étant donné qu’elles fournissent l’assurance qu’une opération [**expurgé**] et qu’elles sont requises aux termes de l’AM relative aux COA, les ERPE feront l’objet d’un examen détaillé dans le cadre du prochain examen de l’OSSNR, lequel portera sur les opérations.

Conformité au droit international et aux cybernormes

[**expurgé**]

Le Parlement peut autoriser des violations du droit international, s’il le fait expressément. Par exemple, à la suite de la décision dans X (Re) 2014 CAF 249, le Parlement a modifié la Loi sur le SCRS en adoptant le projet de loi C-44 en 2015. Les nouvelles dispositions énonçaient clairement que le SCRS pouvait s’acquitter de ses fonctions au pays et à l’étranger, et qu’en vertu de nouvelles dispositions de la Loi sur le CST, un juge pouvait autoriser des activités à l’étranger afin de permettre au Service d’enquêter sur une menace pour la sécurité du Canada « sans égard à toute autre règle de droit ». Conformément au libellé de la Loi sur le CST, les AM relatives aux COA/COD peuvent uniquement autoriser le CST à mener des activités « malgré toute autre loi fédérale ou loi d’un État étranger ». Tel qu’énoncé dans la jurisprudence, ce libellé pourrait ne pas être suffisamment clair pour permettre au ministre d’autoriser la violation de règles coutumières du droit international.

[**expurgé**] les AM examinées par l’OSSNR énonçaient que les activités devaient être [traduction] « conformes aux obligations du Canada en matière de droit international »115, et chaque AM exigeait que les activités du CST ne contreviennent pas aux obligations du Canada en la matière116. Ainsi, cela porte à croire que toutes les activités menées aux termes de l’AM sont conformes au droit international. Or, les documents de gouvernance rédigés par le CST et AMC, notamment le cadre de consultation, n’établissent pas les paramètres permettant d’évaluer la conformité des COA/COD avec les obligations du Canada en matière de droit international. Qui plus est, on ne précise pas les obligations légales internationales en fonction desquelles la conformité des COA/COD doit être évaluée. Dans son prochain examen, l’OSSNR évaluera dans quelle mesure les COA/COD menées par le CST et AMC se conforment au droit international.

Dans le cadre de ses échanges avec l’OSSNR, AMC a fait mention de ses consultations interministérielles et internationales remontant à 2016 concernant le Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (Tallinn Manual 2.0), lequel a contribué à orienter les AM [**expurgé**]. À la suite de ces consultations, AMC a créé un manuel qui traite de l’évaluation préliminaire du Canada visant des règles clés du droit international relatif au cyberespace, selon le Tallinn Manual 2.0. Bien qu’il ne s’agisse que d’une ébauche ne représentant pas la position définitive du Canada, l’analyse [traduction] « sert de fondement à des considérations juridiques approfondies ». L’OSSNR n’a reçu aucun autre document décrivant la manière dont le Canada interprète le droit international relativement aux COA/COD.

Par ailleurs, dans des documents fournis par AMC et le CST, on fait état de la nécessité d’examiner la légalité de chaque COA/COD envisagée. AMC a notamment relevé qu’il faudrait analyser les termes [traduction] « reconnus comme étant nuisibles » et « posant un risque pour la paix internationale et à la sécurité », et ce, dans le contexte de chaque COA/COD. [**expurgé**].

AMC a expliqué avoir examiné chaque activité s’inscrivant dans les catégories autorisées afin de vérifier la conformité au droit international au stade d’élaboration de l’AM. Ainsi, il n’a mené qu’un examen sommaire de la conformité au droit international au stade de l’ERPE pour chaque opération. AMC a mentionné que le manuel qu’il a créé ainsi que le Tallinn Manual 2.0 ont été consultés à cet effet. D’après la teneur [**expurgé**] ERPE examinées par l’OSSNR jusqu’à présent, on ne saurait dire dans quelle mesure le manuel ou l’analyse des normes volontaires de 2015 du Groupe d’experts gouvernementaux des Nations Unies (GEG de l’ONU) a orienté l’examen du niveau de risque de chaque opération, ou encore, si les conclusions d’AMC étaient conformes au droit international. Or, AMC conclut que les activités sont conformes au droit international sans toutefois fournir de justification.

NSIRA notes that international law in cyberspace is a developing area, and recognizes that Canada and other States are continuing to develop and refine their legal analysis in this field. ACO/DCO activities conducted without a thorough and documented assessment of an operation’s compliance with international law would create significant legal risks for Canada if an operation violates international law. Ultimately, a better documented analysis of Canada’s legal obligations when conducting ACO/DCOs is necessary in order for GAC and CSE to assess an operation’s compliance with international law. NSIRA will further examine the lawfulness of ACO/DCO activities in our subsequent review.

Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté et d’objectivité.

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Communication bilatérale de l’information pertinente

AMC et le CST ont tous deux adopté des méthodes qui leur permettent d’évaluer les risques en fonction de certains facteurs. Cependant, ces types de risques ne sont pas absolus; ils dépendent d’une vaste gamme de facteurs qui évoluent au fil du temps et à mesure qu’émergent des renseignements nouveaux. Pour sa part, AMC compose avec des facteurs comme [**concerne des sujets du GC liés à la sécurité nationale**]

À l’heure actuelle, le CST et AMC ont adopté une méthode selon laquelle le CST compte sur l’information que lui transmet AMC pour demeurer au courant de tout changement lié aux risques sur le plan de la politique étrangère du Canada. Toutefois, selon la méthode d’AMC susmentionnée, les risques d’une opération peuvent s’accroître à mesure qu’on obtient des renseignements sur ou sur les répercussions possibles de l’opération au-delà d’un [**expurgé**]. Pour sa part, le CST semble surtout se concentrer sur les changements touchant les risques opérationnels, [**qui sont découverts à un certain moment et d’une certaine manière**]. Il s’agit d’un mécanisme à sens unique qui ne tient pas compte d’autres facteurs [**expurgé**].

Dans ce contexte, le CST a expliqué qu’une COA/COD consistait en [**expurgé**], et que par conséquent, [**expurgé**]. Le CST a également mentionné que [**expurgé**] et que les activités subséquentes peuvent être modifiées au besoin, en fonction de l’information obtenue pendant l’opération en cours. [**expurgé**].

Dans ce contexte, l’OSSNR a examiné des opérations devant se dérouler sur une période donnée, dont une COD où le CST devait entreprendre des [**expurgé**]. Dans le cadre d’une autre COA, le CST [**expurgé**]. Dans sa description de l’opération à AMC, le CST a mentionné que de telles activités s’étendraient sur un certain laps de temps [**expurgé**].

[**concerne des opérations du CST**] tire parti de [**expurgé**] des COA/COD [**expurgé**] l’OSSNR estime qu’il faudrait mettre en place un mécanisme de notification bidirectionnel permettant de réévaluer les risques liés à une COA/COD, que ces risques soient découverts avant la mise en oeuvre de l’opération ou pendant son exécution.

Enfin, en ce qui a trait au processus de gouvernance interne du CST, AMC a un rôle à jouer dans [**expurgé**]. D’ailleurs, AMC a indiqué que les objectifs, [**expurgé**] associés aux opérations constituaient des renseignements qu’il incombe au CST de fournir aux fins de l’évaluation des risques pour la politique étrangère. L’OSSNR a constaté que le [**expurgé**] . L’OSSNR note qu’AMC devrait avoir accès à ces détails, car ils servent de contexte important à son examen, d’autant plus qu’AMC indique dans ses conclusions que les activités étaient conformes à [**expurgé**].

Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.

Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade de la planification qu’à celui de l’exécution.

Conclusion

Le présent rapport fait suite au premier examen de l’OSSNR portant sur les nouveaux pouvoirs conférés au CST pour la conduite de COA/COD et illustre l’évolution de la structure de gouvernance du CST et d’AMC s’appliquant auxdites COA/COD. Le CST est autorisé à mener ce type d’opération depuis 2019, bien que l’examen ait permis de constater que les deux organismes avaient commencé à conceptualiser le régime de gouvernance avant l’entrée en vigueur de la Loi sur le CST. L’OSSNR reconnaît qu’à ce jour, le CST a élaboré une structure de gouvernance complète et salue son implication dans l’élaboration d’un cadre de consultation avec AMC, cadre dans lequel sont définis les rôles et les responsabilités de chacune des organisations.

Toutefois, le CST pourrait apporter des améliorations dans l’ensemble de la structure de gouvernance sur le plan de la transparence et de la clarté, pour ce qui a trait à la planification des COA/COD – particulièrement lors des premières étapes – en établissant, dans les AM concernées, des paramètres clairs s’appliquant aux catégories d’activités et aux groupes de cibles qui pourraient être concernés par des COA/COD. De plus, l’OSSNR estime que la préparation des cyberopérations pourrait tirer parti de consultations auprès d’autres ministères responsables des priorités et objectifs stratégiques du Canada en matière de sécurité nationale et de défense. Enfin, le CST et AMC devraient définir en quoi consiste une COD et établir un seuil applicable à la conduite des COD préventives, ce qui garantirait une participation appropriée d’AMC dans le cadre des opérations.

Sur le plan opérationnel, le CST et AMC devraient veiller à ce que le degré de conformité au droit international de chacune des opérations soit évalué et documenté. Pour ce qui concerne le CST, celui-ci devrait s’assurer que l’information essentielle à l’évaluation des risques posés par la conduite d’une opération soit normalisée et incluse dans tous les documents sur la gouvernance, et qu’elle soit mise à la disposition des intervenants appelés à prendre part à l’élaboration et à l’approbation des COA/COD – y compris AMC. En dernière analyse, le CST devrait s’assurer que son personnel opérationnel ait une excellente connaissance du nouveau cadre légal et de ses modalités d’application aux diverses opérations.

Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs observations concernant l’information contenue dans les documents qui ont été produits à ce jour en matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement mises en oeuvre.

ANNEXE A : Types de COA/COD

Figure 1 : Divers type de cyberopérations. Source : documents d’information du CST

[**figure expurgée**]

Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST

Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST
DEFENSIVE CYBER OPERATIONS ACTIVE CYBER OPERATIONS
Activités autorisées
  • Obtenir l'accès à une part de l'infrastructure mondiale d'information.
  • Installer, maintenir, copier, distribuer, recherche, modifier, interrompre, supprimer ou intercepter quoi de ce soit dans l'infrastructure mondiale de l'information ou par son entremise pour atteindre un objectif qui ne pourrait pas être raisonnablement atteint par d'autres moyens.
  • Prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l'activité.
  • Mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l'exécution des activités ou des catégories d'activités visées par l'autorisation ministérielle.
Approbation ministérielle Approbation du MinDN et consultation auprès du MAE. Approbation du MinDN et consentement ou demande du MAE.
Finalité Appliquer des mesures en ligne contribuant à la protection de l'information électronique et des infrastructures de l'information d'importance pour le gouvernement du Canada. Endommager, perturber, influencer ou contrer les capacités de tout personne, organisation ou État étrangers.
Contexte Initiated in response to a cyber threat, or proactively to prevent a cyber threat Initiated in accordance with Ministerial direction as it relates to international affairs defence or security.
Auteur de menaces / Ensemble de cibless Dirigées contre des menaces pour les systèmes du gouvernement ou les systèmes d'importance, quelque soit l'auteur de mance.
**Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.		 Dirigées contre des cibles particullières conformément aux termes d'une autorisation ministérielle.
**Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Résultat Conçues dans le but de stopper ou de prévenir les menaces dirigées contre les infrastructures fédérales ou désignées comme étant d'importance, suivant des moyens jugés justes et adaptés en fonction desdites menaces. Réalisées dans le but d'atteindre un objectif en matière d'affaires internationales, de défense ou de sécurité suivant des moyens jugés justes et adaptés aux circonstances.

ANNEXE B : COA et COD (2019-2020)

[**expurgé**]

ANNEXE C : Cadre de travail pour le CST et AMC

Groupe interministériel Équipe de la haute direction (EHD) du CST-AMC Groupe de travail des DG du CST-AMC sur les COA/COD Niveau des SMA
Coprésidents Coprésidents de l’EHD : CST, DG, [**expurgé**]AMC, DG, Direction générale du Renseignement Coprésidents : CST, DG [**expurgé**] AMC, DG Direction générale du Renseignement Composé, notamment, de membres (niveau des DG) de l’EHD et de membres de leurs équipes de soutien respectives. Coprésidents: CST, chef adjoint, SIGINT AMC, SMA (directeur politique) Sécurité internationale
Rôles et responsabilités

 Échange de renseignements sur les priorités et plans de chacun des ministères ainsi que sur les sphères de collaboration.
 Relevant de l’EHD, cette entité a été établie pour exercer un mandat de collaboration visant les questions relatives aux COA/COD.
Mise en oeuvre du cadre de gouvernance associé aux AM visant les opérations – en cours ou planifiées [**expurgé**]Relevant de l’EHD, cette entité a été établie pour exercer un mandat de collaboration visant les questions relatives aux COA/COD. Mise en oeuvre du cadre de gouvernance associé aux AM visant les opérations – en cours ou planifiées [**expurgé**]. Coordination du partage de renseignement ayant trait à la planification opérationnelle et à l’exécution des COA/COD, mais aussi aux risques connexes et à la prise en compte de la politique étrangère du Canada. Collaboration relative au renouvellement, à l’évolution et au développement des AM en vigueur ou à venir. 		Résoudre les problèmes relevant de la compétence du GT, mais non résolu au niveau des DG.

ANNEXE D : Conclusions et recommandations

Constatations

Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même, l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.

Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux conditions des autorisations ministérielles pour les cyberopérations actives et défensives repose trop sur la détermination technique des risques au détriment des éléments qui caractérisent la politique étrangère du gouvernement du Canada.

Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du Canada prenant part à la gestion des objectifs généraux du Canada.

Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit considérée à tort comme étant défensive.

Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations ministérielles pour les cyberopérations actives et défensives.

Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les documents de planification ont été approuvés, contient des informations pertinentes pour les plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que cette présentation soit approuvée à un niveau de gestion inférieur.

Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des paramètres régissant l’application de ces pouvoirs.

Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté et d’objectivité.

Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.

Recommandations

Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces activités.

Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la politique étrangère découlant des cyberopérations actives et défensives.

Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au renseignement auprès du premier ministre et les autres ministères concernés, dont les mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent aux grandes priorités stratégiques du gouvernement du Canada et que les exigences énoncées dans la Loi sur le CST soient respectées.

Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil qui permette de distinguer une cyberopération active d’une cyberopération défensive préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les autorisations ministérielles applicables.

Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que, dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent au titre d’autorisations distinctes.

Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans tout document soumis à l’attention d’AMC.

Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de formation structuré aux employés prenant part à l’exécution des cyberopérations actives et défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées dans les autorisations ministérielles.

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade de la planification qu’à celui de l’exécution.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Gouvernance du CST s’appliquant aux cyberopérations actives et défensives – Réponses du Gouvernement

Date de publication :

Sommaire

Il s’agissait du premier examen de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) sur la gouvernance des cyberopérations actives et défensives (COA/COD) du CST. L’examen portait sur le cadre de gouvernance qui guide la conduite des COA/COD et sur la prise en compte adéquate du CST de ses obligations juridiques et des répercussions de ses opérations sur la politique étrangère.

Le CST a obtenu le pouvoir de mener des COA/COD en 2019 à la suite de l’adoption de la Loi sur le Centre de la sécurité des télécommunications. Ce pouvoir, qui n’existait pas avant l’entrée en vigueur de la loi, confère au gouvernement du Canada de nouvelles capacités considérables. Le contexte mondial actuel est en train de justifier la pertinence de ces capacités et de ce pouvoir pour le Canada. 

 Comme le CST est résolu à respecter la loi, il a travaillé assidûment et méthodiquement pour opérationnaliser le nouveau pouvoir. Et comme il continue de mettre au point cette capacité, il procède avec prudence pour faire en sorte que toutes les activités respectent la Loi sur le CST et cadrent avec les obligations internationales du Canada, particulièrement celles mises en lumière dans la récente déclaration du Canada sur l’application du droit international dans le cyberespace.

Le CST reconnaît l’importance des organismes d’examen dans la collectivité de la sécurité et du renseignement et accueille favorablement les examens réalisés par ces organismes ainsi que les recommandations qui en découlent. Les recommandations présentées par l’OSSNR dans le cadre de son examen sur le cadre de gouvernance des COA/COD du CST contribueront à orienter l’amélioration des capacités du CST de sorte que ce dernier puisse continuer de mener ses activités dans le respect de la loi et de façon prompte, efficace et efficiente.

Comme Affaires mondiales Canada (AMC) est un partenaire crucial du cadre de gouvernance des COA/COD, l’OSSNR l’a mobilisé pour l’examen et a présenté ses recommandations à AMC et au CST. Le CST et AMC sont heureux de présenter la réponse suivante aux recommandations de l’OSSNR.

Recommandation 1 :

Le CST devrait définir plus précisément les catégories d’activités, les techniques connexes et les cibles visées pour ses COA et COD ainsi que le justificatif et les objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles visant ces activités.

Réponse du CST :

Le CST est d’accord avec cette recommandation.

Même s’il acquiesce à la recommandation, le CST fait remarquer qu’il fournit toujours à la ministre l’information et les détails nécessaires pour qu’elle puisse évaluer la demande et délivrer une autorisation.

Le CST est d’accord avec le fait que, lorsque cela est possible sur le plan des opérations, l’intégration de l’information contenue dans les breffages et les présentations aux demandes et autorisations écrites permettra de produire des rapports écrits plus complets. Le CST a commencé à inclure de l’information plus détaillée dans les demandes et les autorisations liées aux COA/COD.

Recommandation 2 :

AMC devrait ajouter un mécanisme d’évaluation de tous les paramètres de risque pertinents en matière de politique étrangère des COA/COD dans les autorisations ministérielles connexes.

Réponse d’AMC :

AMC est d’accord avec cette recommandation.

AMC tient déjà compte d’une grande variété de facteurs dans son évaluation des risques en matière de politique étrangère, tel que l’indique le modèle d’évaluation des risques en matière de politique étrangère.

Par le passé, le CST a déjà fourni des évaluations des risques opérationnels/techniques distinctes dans ses plans de mission. Ces évaluations contenaient de l’information supplémentaire sur les cibles et leurs activités dans l’infrastructure mondiale de l’information (IMI), les technologies qu’elles utilisent ou les systèmes techniques complexes élaborés et déployés par le CST pour mener ses opérations.

Recommandation 3 :

Le CST et AMC devraient établir un cadre pour la consultation des principaux intervenants, comme la conseillère à la sécurité nationale et au renseignement auprès du premier ministre et d’autres organismes fédéraux dont le mandat recoupe les COA proposées, afin de veiller à ce que ces opérations cadrent avec les priorités stratégiques générales du gouvernement du Canada et répondent aux exigences énoncées dans la Loi sur le CST.

Réponse conjointe du CST et d’AMC :

En principe, le CST et AMC sont d’accord avec cette recommandation.

Le CST et AMC consultent tous les intervenants pertinents du gouvernement du Canada dont le mandat pourrait recouper les COA prévues. Nous sommes d’accord avec le fait qu’il est important d’aligner les opérations avec les priorités stratégiques générales du gouvernement du Canada et croyons qu’il existe déjà plusieurs mesures qui permettent, au besoin, d’informer et de consulter la collectivité élargie de la sécurité et du renseignement. À titre d’exemples, citons le système de comités de sous ministres adjoints et de sous-ministres sur la sécurité et le renseignement (p. ex., le Comité des sous-ministres adjoints sur les opérations de sécurité nationale [CSMAOSN] et le Comité des sous-ministres sur les opérations) ainsi que le système des comités sur des régions géographiques précises. De plus, il existe un processus sur les priorités en matière de renseignement pour l’ensemble de la collectivité qui fournit un cadre et un guide pour les activités liées au renseignement, comme les cyberopérations.

Nous savons que les types de COA envisagées et entreprises se diversifient et que pour cette raison, il pourrait être nécessaire de moderniser le modèle actuel de consultation des organismes fédéraux. Le CST et AMC travailleront ensemble pour établir, au fil du temps et au besoin, un cadre de consultation adéquat.

Recommendation 4 :

Le CST et AMC devraient fixer un seuil pour différencier une cyberopération active d’une cyberopération défensive préventive et décrire ce seuil à la ministre de la Défense nationale dans les autorisations ministérielles applicables.

Réponse conjointe du CST et d’AMC :

Le CST et AMC sont en désaccord avec cette recommandation.

Le CST et AMC ne peuvent pas être d’accord avec cette recommandation, car elle porte sur une activité (cyberopération défensive préventive) qui n’est pas visée par la Loi sur le CST et que le CST ne mène pas.

Au titre de l’article 18 de la Loi sur le CST, qui décrit le volet du mandat du CST touchant les cyberopérations défensives, le CST est autorisé à mener des activités dans l’infrastructure mondiale de l’information ou par l’entremise de celle-ci afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ainsi que l’information électronique et les infrastructures de l’information d’importance pour le gouvernement fédéral désignées comme telles dans la Loi sur le CST (infrastructures pertinentes). Pour qu’une COD soit lancée, il n’est pas nécessaire que la menace ait compromis l’information ou l’infrastructure, mais elle doit constituer une menace crédible pour les infrastructures de l’information désignées comme importantes.

Si l’OSSNR est d’avis que le CST et AMC doivent définir plus clairement le seuil qui différencie une COA d’une COD, alors le CST et AMC sont également en désaccord avec la recommandation étant donné que la Loi sur le CST définit clairement les conditions que le CST doit satisfaire pour entreprendre des activités de cybersécurité, que ce soit des COD ou des COA. Il n’y a donc pas lieu de créer un autre seuil.

Recommandation 5 :

Dans ses demandes présentées à la ministre de la Défense nationale, le CST devrait décrire précisément la possibilité de mener des activités de collecte au titre d’autorisations distinctes lors la réalisation de COA et de COD.

Réponse du CST :

Le CST est d’accord avec cette recommandation.

CSE already accurately describes the potential for collection activities, and the authority for such activities, in its applications to the Minister of National Defence.  CSE has taken steps to ensure that applications for and authorizations of ACOs and DCOs clearly reference the authorizations under which any acquisition of information required to achieve the intended outcome of the ACO or DCO is conducted.

Il est important de souligner que le CST n’est pas autorisé à obtenir de l’information au titre d’une autorisation de COA ou de COD. L’acquisition d’information servant à mener les activités de COA ou de COD est visée par une autorisation de renseignement étranger, une autorisation de cybersécurité ou une autorisation d’urgence. L’utilisation de cette information pour soutenir les COA et les COD est décrite dans les autorisations de renseignement étranger et de cybersécurité du CST. Ces autorisations font l’objet d’un examen du commissaire au renseignement qui évalue le caractère raisonnable et la proportionnalité de l’acquisition ainsi que l’utilisation de l’information à des fins liées aux COA et aux COD.

Recommandation 6 :

Le CST devrait inclure toute l’information pertinente, dont de l’information contextuelle et sur le ciblage, dans tous les plans opérationnels établis pour une cyberopération ainsi que dans le matériel présenté à AMC.

Réponse du CST :

Le CST est en désaccord avec cette recommandation.

GAC requires sufficient and pertinent information upon which to base its analysis related to foreign risk and international law. CSE has worked with GAC to share the appropriate level of operational detail that GAC has requested to conduct their work.  This need is reflected in the CSE-GAC Governance Framework whereby GAC is provided with an operation-specific Mission Plan to inform its Foreign Policy Risk Assessment. GAC is satisfied with the information provided by CSE. When GAC has required additional information to conduct its Foreign Policy Risk Assessment or international law assessment, CSE has provided the supplemental information requested.

Recommandation 7 :

Le CST devrait offrir un programme de formation structurée à ses employées et employés qui participent à l’exécution de COA/COD pour que ceux-ci aient les connaissances nécessaires sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, comme l’exigent les autorisations ministérielles connexes.

Réponse du CST :

Le CST est d’accord avec cette recommandation.

Pour compléter la formation et l’examen annuels obligatoires portant sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, le CST songera à créer un programme de formation sur mesure pour les employées et employés qui prennent part à la planification et à l’exécution des COA et des COD.

Recommandation 8 :

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Réponse conjointe du CST et d’AMC :

Le CST et AMC sont partiellement d’accord avec cette recommandation.

Depuis la parution de l’examen, AMC et le CST ont continué de perfectionner le processus d’évaluation des répercussions juridiques internationales des cyberopérations du CST. La Direction générale des affaires juridiques (DGAJ) d’AMC procède à une évaluation juridique approfondie de la conformité de chaque opération au droit international.

Sur le plan de la procédure, le CST soumet à AMC un plan de mission et lui demande de procéder à une évaluation des risques en matière de politique étrangère. Une fois qu’elle a reçu cette demande, la DGAJ d’AMC mène une consultation avec les avocats du ministère de la Justice en poste dans les Services juridiques du CST et d’AMC et, dans certains cas, avec l’avocat du ministère de la Justice au sein de la Section du droit constitutionnel, administratif et international (SDCAI). L’objectif est de discuter des répercussions, sur le plan du droit international, de l’opération prévue, telle que décrite dans le plan de mission. Un résumé de ces discussions est versé dans une évaluation juridique écrite consignée dans l’évaluation des risques en matière de politique étrangère. Ces discussions reposent sur l’analyse du droit international qui est approfondi depuis de nombreuses années par la DGAJ d’AMC, notamment dans les commentaires du gouvernement du Canada dans le projet de chapitre du Tallinn Manual 2.0 en 2016, dans l’élaboration de l’ébauche de manuel coordonnée par la DGAJ d’AMC et produit en août 2019 et dans l’analyse juridique approfondie réalisée en amont des autorisations ministérielles originales visant les COA et les COD.

AMC fait remarquer qu’il serait inhabituel de produire une évaluation juridique approfondie du droit applicable en lien avec une foule d’opérations possibles ou hypothétiques qui pourraient être menées par le Canada, ses alliés et ses adversaires dans tous les secteurs, y compris dans le cyberespace. AMC, comme tout État généralement, a plutôt pour pratique de procéder à des évaluations juridiques sur des activités ou des opérations précises proposées, des affaires judiciaires et de possibles litiges.

AMC a fait une synthèse de son analyse du droit international dans une déclaration publique sur le droit international applicable dans le cyberespace. La déclaration publique a été élaborée et réalisée à la suite de vastes consultations interministérielles ayant fait appel à des spécialistes du droit et des politiques ainsi que d’analyse d’autres déclarations de pays et de publications et processus de premier plan, dont le Tallinn Manual 2.0, le dialogue d’experts sur le droit international et le cyberespace (dirigé par la Suisse), le processus de La Haye (dirigé par les Pays-Bas), les consultations informelles sur le droit international humanitaire et les cyberopérations (dirigées par la Suisse), le processus d’Oxford et la conférence annuelle sur le droit du US Cyber Command. Le Canada s’est joint à des nations de même sensibilité et à d’autres nations pour produire une déclaration publique, entre autres pour faire avancer des processus multilatéraux en cours aux Nations Unies et ailleurs ainsi que pour approfondir la compréhension commune de l’application du droit international dans le cyberespace et parvenir à un consensus général sur la question.

Recommandation no 9 :

Le CST et AMC devraient communiquer entre eux toute information et nouveauté pertinentes à l’évaluation des risques liées à une cyberopération, tant lors de la planification que de l’exécution.

Réponse conjointe du CST et d’AMC :

Le CST et AMC sont d’accord avec cette recommandation.

Depuis la parution de l’examen, le CST et AMC ont augmenté la fréquence des échanges au niveau de travail. Conformément au cadre de gouvernance d’AMC et du CST sur les cyberopérations étrangères, les deux organismes vont solidifier leurs points de contact et élaborer une procédure opérationnelle normalisée pour qu’ils puissent se transmettre mutuellement toute nouvelle information et toute nouveauté liées à une cyberopération.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Examen de l’OSSNR portant sur le régime applicable aux ensembles de données

Date de publication :

Liste des acronymes

Sigle/acronyme Description
SCRS Service canadien du renseignement de sécurité
ADG Acquisition de données et gouvernance
SDO Sous-directeur Opérations
DMEX Gestion et exploitation des données
ERC External Review and Compliance
CF Cour fédérale
CR Commissaire au renseignement
AJ Autorisation judiciaire
LSN Loi de 2017 sur la sécurité nationale
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
CADO Centre d'analyse des données opérationnelles
EDAP Ensemble de données accessibles au public
BCP Bureau du Conseil privé
SP Sécurité publique Canada
CSARS Comité de surveillance des activités de renseignement de sécurité

Glossaire

Catégorie approuvée d’ensembles de données canadiens. Catégorie d’ensembles de données canadiens approuvée par le Ministre et autorisée par le commissaire au renseignement. Le Service canadien du renseignement de sécurité ne peut collecter et conserver un ensemble de données canadien que s’il fait partie d’une catégorie approuvée.

Ensemble de données canadien. Ensemble de données ayant principalement trait à des Canadiens ou à des personnes se trouvant au Canada.

Ensemble de données. Ensemble d’informations qui sont sauvegardées sous la forme d’un fichier numérique et qui portent sur un même sujet.

Employé désigné. Employé désigné par le Ministre. Cet employé est en mesure d’exercer une ou plusieurs des activités décrites aux articles 11.07 et 11.22, notamment l’évaluation, l’interrogation et l’exploitation des ensembles de données visés à l’article 11.05.

Régime applicable aux ensembles de données. Articles 11.01 à 11.25 et 27.1 de la Loi sur le Service canadien du renseignement de sécurité, qui régissent les ensembles de données.

Évaluation. Période durant laquelle les employés désignés vont – dans la mesure du possible, mais dans les 90 jours suivant le moment de la collecte – évaluer l’ensemble de données et établir si celui-ci :

  • était accessible au public au moment de sa collecte;
  • comportait principalement des données liées à des Canadiens ou à d’autres individus se trouvant au Canada;
  • comportait principalement des informations liées à un individu qui n’est pas un Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’était ni constituée ni prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouvait à l’extérieur du Canada.

Situation d’urgence. Situation posant un danger pour la vie ou la sécurité d’un individu, ou une situation nécessitant l’acquisition de renseignement d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service canadien du renseignement de sécurité s’en tient aux processus d’autorisation prévus à l’article 11.13 ou aux articles 11.17 et 11.18.

Exploitation. Analyse informatique d’un ou de plusieurs ensembles de données ayant pour but d’obtenir des renseignements qui ne seraient pas autrement apparents.

Ensemble de données étranger. Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada.

Autorisation judiciaire. Procédure suivant laquelle un juge de la Cour fédérale autorise la conservation d’un ensemble de données canadien.

Ministre. Dans le présent rapport, le terme « Ministre » désigne le ministre de la Sécurité publique.

Ensemble de données accessible au public. Ensemble de données accessible au public au moment de sa collecte.

Interrogation. Recherche ciblée dans un ou plusieurs ensembles de données, au sujet d’une personne ou d’une entité, ayant pour but d’obtenir des renseignements.

Enquête au titre de l’article 12. Enquête menée par le Service canadien du renseignement de sécurité, qui porte sur des menaces envers la sécurité du Canada.

Menace envers la sécurité du Canada. Activités qui touchent le Canada ou s’y déroulent, notamment les suivantes :

  • l’espionnage ou le sabotage;
  • les activités influencées par l’étranger;
  • l’usage de la violence ou de menaces contre des personnes ou des biens dans le but d’atteindre un objectif politique, religieux ou idéologique;
  • les activités qui, par des actions cachées et illicites, visent à saper le régime de gouvernement constitutionnellement établi au Canada ou dont le but immédiat ou ultime est sa destruction ou son renversement, par la violence.

Sommaire

Le gouvernement du Canada a instauré le régime applicable aux ensembles de données (régime des ensembles de données) suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS ou, ci-après, la Loi). Visé aux articles 11.01 à 11.25 de la Loi sur le SCRS, ce régime habilite le Service canadien du renseignement de sécurité (SCRS, ou le Service) à collecter et à conserver des ensembles de données contenant des renseignements personnels qui ne sont liés ni directement ni immédiatement à des activités qui constituent une menace envers la sécurité du Canada, mais qui sont susceptibles de favoriser la progression d’enquêtes sur la sécurité nationale.

Le présent rapport se divise en quatre sections. La première porte sur la gouvernance et décrit les aspects suivants : les modalités de mise en oeuvre du régime, la première autorisation judiciaire du SCRS relative à un ensemble de données, les vides juridiques relevés dans la Loi et les politiques internes du ministère auxquelles le régime est assujetti. Quant à la deuxième section du présent rapport, elle porte sur les pratiques observées par le SCRS en matière de gestion et de conservation de l’information. Ensuite, la troisième section traite des modalités suivant lesquelles le SCRS forme ses employés à l’exercice des fonctions prévues par le régime des ensembles de données, et aborde quelques difficultés en matière d’affectation des ressources. Enfin, la quatrième et dernière section présente une étude de cas qui aborde les difficultés et les obstacles qui se posent aux éléments traités dans les trois premières sections.

Pour ce qui concerne la gouvernance et la mise en oeuvre, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a conclu que le régime des ensembles de données établi par le SCRS n’était pas conforme au cadre législatif en vigueur. L’approche que le SCRS applique actuellement sur le plan de la collecte des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir les critères minimaux tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

En 2021, le SCRS a demandé une autorisation judiciaire pour la conservation du premier ensemble de données canadien, mais d’une façon qui incite l’OSSNR à douter que la Cour fédérale ait été pleinement informée des divergences exprimées en interne concernant l’utilisation des ensembles de données avant la mise en application du régime des ensembles de données. De plus, en attendant l’autorisation judiciaire, le SCRS a procédé à des interrogations au titre des dispositions concernant les situations d’urgence et a conservé des noms qui ne correspondaient que partiellement aux valeurs recherchées. L’OSSNR a conclu que les résultats conservés en l’occurrence ne respectaient pas le critère minimal s’appliquant obligatoirement à la conservation de cette information au titre de l’article 12 de la Loi. L’OSSNR recommande que le SCRS détruise immédiatement tout fichier contenant les noms retenus dans le cadre d’interrogations liées à des situations d’urgence, dans la mesure où ces fichiers ne répondent pas au critère minimal de la « stricte nécessité ».

Le présent examen a permis de relever, dans le texte de la Loi sur le SCRS un vide juridique qui pose problème sur le plan de la gouvernance s’appliquant aux ensembles de données étrangers. En effet, l’OSSNR note que dans sa forme actuelle, la Loi n’impose, au Ministre ou à la personne désignée, aucune limite de temps pour l’autorisation de conservation d’un ensemble de données étranger. Avant l’instauration du régime des ensembles de données, le SCRS collectait des volumes massifs de données qui ne répondraient plus aux prescriptions du nouveau régime. Après l’adoption du régime des ensembles de données, le SCRS a soumis, le 11 octobre 2019, plusieurs ensembles de données étrangers au directeur, qui faisait office de personne désignée à la place du Ministre. Le commissaire au renseignement (CR) a approuvé le premier ensemble de données étranger tiré de cet important volume de données le 16 décembre 2020. Or, au mois de décembre 2022, le SCRS n’avait soumis au CR que deux autres demandes d’approbation, pour un total de trois approbations en trois ans. L’OSSNR note qu’en conséquence du vide juridique, une demande d’autorisation peut, pendant des années, demeurer sans suite de la part du directeur. D’ailleurs, l’OSSNR remet en cause la façon dont le SCRS est censé respecter le critère minimal de la « probabilité d’aider » ainsi que l’utilité de ces ensembles de données. L’OSSNR recommande que l’on impose une limite de temps pour l’autorisation, par le Ministre ou la personne désignée, d’un ensemble de données étranger.

Le dernier élément de la section ayant trait à la gouvernance met l’accent sur les politiques que le SCRS a adoptées pour encadrer le régime des ensembles de données. En outre, l’OSSNR a conclu que les politiques du SCRS s’appliquant aux ensembles de données accessibles au public ne contenaient aucune disposition exigeant que l’information collectée soit assujettie à une analyse portant sur l’attente raisonnable en matière de protection de la vie privée. Cette question est particulièrement pertinente lorsque l’on prend en compte la demande toujours croissante pour les données achetées auprès de courtiers ainsi que les risques associés à l’achat d’informations disponibles dans le commerce, lesquelles auraient pu être collectées de façon illicite. Ainsi, l’OSSNR recommande que le SCRS procède à l’analyse approfondie et à la documentation de toutes les attentes raisonnables en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. L’OSSNR a également conclu que le SCRS ne disposait d’aucune politique realtive aux informations transitoires et que la directive interne en vigueur ne fournissait aux employés que des consignes insuffisantes pouvant faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.

La deuxième section du présent rapport d’examen a trait à la gestion et à la conservation de l’information des ensembles de données visés à l’article 11. Dès 2018-2019, le SCRS a passé en revue ses fonds d’information pour y relever les informations qui seraient assujetties au régime des ensembles de données une fois que celui-ci serait entré en vigueur. Au début de 2022, le SCRS a constaté plusieurs occurrences où des données, des rapports opérationnels et des informations liées à des Canadiens ou à d’autres individus se trouvant au Canada (informations canadiennes) extraits d’ensembles de données étrangers auraient dû être détruits. Une fois que les éléments de non-conformité ont été relevés, le SCRS a commencé à mettre en place des mesures correctives visant à garantir que les données de ce type seraient repérées et détruites. En octobre 2022, l’OSSNR a effectué une recherche dans le système organisationnel du SCRS et a trouvé des fichiers contenant des dizaines de milliers d’occurrences d’informations personnelles sur des Canadiens tirées d’ensembles de données étrangers, de même que des informations équivalant à des ensembles de données étrangers. L’OSSNR n’est pas satisfait des raisons qu’on lui a données pour justifier la conservation de ces informations dans les systèmes organisationnels du SCRS ni des critères suivant lesquels le SCRS explique que ces informations se distinguent de celles qui avaient été précédemment établies comme étant non conformes. L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.

Qui plus est, l’OSSNR a effectué une autre recherche dans le registre opérationnel du SCRS et y a découvert des informations assimilables à un ensemble de données canadien. Le SCRS n’avait pas retiré le rapport opérationnel, ce qui l’a rendu accessible à quiconque pouvait utiliser le système, ce qui contrevient aux obligations s’appliquant au régime des ensembles de données sur le plan de la conservation. L’OSSNR a avisé le SCRS au sujet de ce rapport et a appris que cette situation serait traitée comme un incident de conformité. L’OSSNR a ensuite effectué une autre recherche et a découvert un autre rapport contenant de l’information qui, par ailleurs, serait assimilable à un ensemble de données canadien. L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. L’OSSNR recommande que le SCRS détruise immédiatement l’information sur des Canadiens et l’information étrangère qui se trouvent dans ses registres organisationnels et opérationnels, et qu’il n’est pas strictement nécessaire de conserver. Cette information non conforme ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel et procède à un balayage complet de ses registres organisationnels et opérationnels dans le but de repérer les informations non conformes.

La troisième section du présent rapport d’examen porte sur la formation de même que sur l’affectation des ressources. Avant l’entrée en vigueur du régime s’appliquant aux ensembles de données, le SCRS avait élaboré et mis en place une formation en guise de préparation à la désignation des employés aux fins du régime des ensembles de données ainsi qu’une formation obligatoire pour tous les employés opérationnels. L’OSSNR conclut que la formation requise pour devenir un employé désigné appelé à évaluer, à interroger et à exploiter les ensembles de données visés à l’article 11 fournit de l’information claire sur les exigences s’appliquant à la collecte et à la conservation. Or, l’OSSNR conclut que le personnel opérationnel du SCRS, y compris les membres qui font principalement la collecte des données de masse, n’a pas reçu une formation suffisante pour être en mesure de reconnaître les situations où l’information collectée pourrait être visée par le régime des ensembles de données. La formation n’est suivie qu’une seule fois par les employés opérationnels, ce qui contrevient aux règles que le SCRS est censé suivre quant à l’application du régime. L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios en guise de formations sur l’application du régime des ensembles de données. Ces ateliers seraient destinés au personnel opérationnel et permettraient de faire appel aux experts, le cas échéant.

Pour englober tous les enjeux cités précédemment, l’OSSNR a choisi une étude de cas qui met en évidence les difficultés que le SCRS rencontre au chapitre de la mise en place du régime des ensembles de données. Le cas en question concernait un ensemble de données contenant des informations sur des milliers de Canadiens. En l’occurrence, l’OSSNR conclut que le SCRS a collecté de l’information qui concernait des activités ne pouvant pas être raisonnablement soupçonnées d’avoir posé une menace envers la sécurité du Canada et dont la collecte, l’analyse et la conservation n’étaient pas strictement nécessaires. Le ministère de la Justice et la gestion du SCRS n’ont pas soumis, à la direction du SCRS, l’intégralité de l’information ayant trait à l’ensemble de données au point de collecte. De plus, l’information a été collectée sans qu’une analyse ait été réalisée à la lumière des dispositions de la Charte et des éléments relatifs à la protection de la vie privée. L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12. L’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

À la suite du présent examen, il convient de conclure que le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. De fait, le SCRS n’a pas cherché à résoudre les éléments juridiques ambigus [**expurgé**] des modalités d’application du régime à l’appréciation de la Cour. En effet, le SCRS a plutôt adopté diverses positions quant à l’application du régime des ensembles de données, et il risque désormais de cantonner ce qui se veut un régime d’encadrement de la collecte et de la conservation à un simple mécanisme de conservation. Sur le plan interne, le SCRS a fourni des ressources et de la formation qui se sont avérées insuffisantes pour garantir la conformité des activités aux dispositions du régime. En l’absence d’un engagement à opérationnaliser les ressources et à soutenir la mise en oeuvre d’un nouveau régime juridique, il y a lieu de conclure que ce type de régime sera destiné à échouer quoi qu’on en pense.

Introduction

Fondements législatifs

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé le présent examen en application de l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Portée de l’examen

L’OSSNR s’est penché, entre janvier 2019 et le 30 juin 2022, sur la mise en oeuvre, par le Service canadien du renseignement de sécurité (SCRS, ou le Service), du régime s’appliquant aux ensembles de données. Or, pendant le déroulement de l’examen, l’OSSNR a jugé nécessaire de consulter des éléments d’information pertinents ne coïncidant pas avec la période susmentionnée.

Méthodologie

L’OSSNR a examiné des documents, réalisé des entrevues et assisté à des séances d’information. L’OSSNR a également assisté à des démonstrations que des experts du SCRS ont données sur le fonctionnement des systèmes concernés. Le SCRS a également donné, aux représentants de l’OSSNR, un accès direct auxdits systèmes.

Énoncés généraux

L’OSSNR a été en mesure de vérifier, conformément à ses propres attentes et exigences, l’information reçue en cours d’examen. De plus, l’OSSNR a eu un accès direct aux systèmes et registres du SCRS, ce qui lui a permis de corroborer cette information.

Pour ce qui concerne la réactivité, on a relevé quelques occurrences mineures où le SCRS n’a pas fourni l’intégralité de l’information demandée par l’OSSNR, mais en règle générale, le Service a répondu aux attentes de l’OSSNR sur ce plan.

Renseignements généraux

En 2015, le Comité de surveillance des activités de renseignement de sécurité (CSARS), le prédécesseur de l’OSSNR, a examiné les modalités de collecte et de conservation de l’information dans le cadre du Programme d’acquisition de données du SCRS. Les examinateurs se sont penchés sur le régime du SCRS s’appliquant aux ensembles de données massifs et ont noté ce qui suit : « le CSARS n’a constaté aucun élément de preuve donnant à penser que le SCRS avait systématiquement tenu compte du seuil de la mesure “strictement nécessaire” tel qu’il est imposé en vertu de l’article 12 de la Loi sur le SCRS; le SCRS ne dispose pas de processus, de cadre de gouvernance et de conseils juridiques relatifs à l’acquisition et à la gestion d’ensembles de données de masse, ce qui va à l’encontre des pratiques de nos proches alliés. »

Après la publication du rapport annuel du CSARS, la Cour fédérale (ci-après désignée comme étant « la Cour ») s’est penchée sur les questions liées à la conservation des données dans la décision qu’elle a rendue en 2016 relativement aux « données connexes ». La Cour a établi que le SCRS avait outrepassé les limites du mandat qui lui était prescrit par la loi en conservant des informations contrevenant à la mesure « strictement nécessaire » prescrite au paragraphe 12(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS). En vertu de cette exigence légale de la mesure « strictement nécessaire » s’appliquant aux faits ayant donné lieu à cette décision, le SCRS ne peut pas conserver de l’information qui n’est pas directement liée à une menace envers la sécurité du Canada, à moins que cette information soit liée à un sujet visé par un mandat. La Cour a conclu que le SCRS avait agi de manière illicite lorsqu’il a conservé des informations non liées à une menace au titre de la mesure « strictement nécessaire », et ce, au-delà de la limite de temps prescrite.

Le gouvernement du Canada a instauré le régime applicable aux ensembles de données suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification la Loi sur le SCRS. Ce régime permet au SCRS de collecter des ensembles de données qui soient susceptibles de l’assister dans l’exercice de ses fonctions, en l’occurrence, des ensembles de données qui ne répondent pas au critère du « strictement nécessaire » par ailleurs exigé à l’article 12.

Le présent examen de l’OSSNR est le premier qui soit réalisé relativement aux ensembles de données depuis l’adoption la LSN. En outre, cet examen décortique et analyse les modalités de gouvernance et d’opérationnalisation du régime. Pendant qu’il considérait la mise en oeuvre du régime, l’OSSNR a également examiné les systèmes et les processus en place aux fins d’ingestion, d’évaluation, d’interrogation et d’exploitation des ensembles de données, processus dont une description détaillée est fournie en annexe A du présent rapport.

Aperçu du régime applicable aux ensembles de données au vu de la législation

Les dispositions de la Loi sur le SCRS (ci-après désignée comme étant « la Loi ») qui gouvernent le régime se trouvent aux articles 11.01 à 11.25, 21, 27 et 27.1 de la Loi (lesquels établissent ce que l’on appelle ci-après le « régime des ensembles de données »). La Loi définit le terme « ensemble de données » comme suit : « [e]nsemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun. » La clause d’application de l’article 11.02 énonce ce qui suit : « Les articles 11.01 à 11.25 s’appliquent aux ensembles de données qui contiennent des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels qui, dans l’immédiat, ne sont pas directement liés à des activités exercées en lien avec une menace pour le Canada. »

Le niveau des autorisations et des approbations des activités de collecte et de conservation d’un ensemble de données est proportionnel au niveau d’atteinte à la vie privée. Pour toutes les catégories d’ensembles de données, à savoir accessibles au public, canadiens et étrangers, le SCRS peut : « recueillir un ensemble de données s’il est convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. » Il existe un autre seuil, plus élevé celui-là, pour la conservation des ensembles de données étrangers et canadiens, à l’égard desquels le SCRS doit établir si l’ensemble de données collecté est « susceptible de l’aider » dans l’exercice de ses fonctions

Le tableau ci-dessous présente synthétiquement le cadre juridique s’appliquant aux ensembles de données accessibles au public (EDAP), aux ensembles de données étrangers et aux ensembles de données canadiens :

                                                                                                   
  Accessible au public Étranger Canadien
Définition Un ensemble de données qui était accessible au public au moment de la collecte. . Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada. A dataset that predominately relates to individuals within Canada or Canadians.
Collection Threshold: Relevant to the performance of duties and functions under s. 12 to s.16
    Must belong to an approved class authorized by the Minister and approved by the Intelligence Commissioner (IC)
Évaluation Dans les 90 jours suivant le moment de la collecte (excluant toute interrogation ou exploitation) : L’employé désigné doit supprimer tout renseignement personnel qui n’est pas pertinent dans le cadre de l’exercice des fonctions du SCRS. L’employé désigné peut supprimer les contenus superflus, erronés ou de moindre qualité; il peut effectuer la traduction ou le décryptage des contenus ou utiliser des techniques de révision liées à la protection de la vie privée; il peut exercer toute activité relative à l’organisation de l’ensemble de données.
  L’employé désigné doit supprimer toute information qui porte sur la santé physique ou mentale d’un individu et pour laquelle il existe une attente raisonnable en matière de protection de la vie privée
  L’employé désigné doit retirer toute information liée à un Canadien ou à une personne se trouvant au Canada. L’employé désigné doit supprimer toute information protégée par le secret professionnel de l’avocat.
Conservation Conservation permise pour les fins visées aux articles 12 à 16. Critère minimal : susceptible d’aider le Service à exercer ses fonctions.
Le ministre ou la personne désignée donne son autorisation, puis le CR donne son approbation. Le ministre donne son approbation, laquelle est suivie d’une autorisation judiciaire.
Période de conservationAucune limite (politique interne régissant la conservation) Maximum de 5 années (renouvelable suivant une nouvelle demande)Maximum de 2 années (renouvelable suivant une nouvelle demande)
Interrogation/exploitationPossibilité d’interroger, d’exploiter et de conserver les résultats pour les fins visées aux articles 12 à 16.L’employé désigné peut interroger ou exploiter (et conserver les résultats) pour peu que ce soit strictement nécessaire au titre des articles 12 et 12.1, et comme le stipule l’article 16.
Peut interroger et exploiter (et conserver les résultats) pour les fins visées à l’article 15.
Tenue de dossiersDossiers : - justification de la collecte; - détails relatifs à chaque exploitation; - détails de l’autorisation légale au titre de laquelle l’information interrogée ou exploitée est conservée. Réalisation de vérifications aléatoires ou routinières.
Obligations : - stocker et gérer séparément des autres informations; - réserver l’accès aux employés désignés pour veiller à ce que les informations acquises ne puissent être communiquées qu’aux fins de l’exercice de fonctions sous le régime de la présente loi.
Situations d’urgenceLe directeur peut autoriser (sous réserve de l’approbation du CR) l’interrogation d’un ensemble de données qui n’a pas déjà été autorisé s’il s’agit d’une situation d’urgence et que l’interrogation de l’ensemble de données est nécessaire afin de préserver la vie ou la sécurité d’un individu ou d’acquérir des renseignements d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service s’en tient aux processus d’autorisation.
RapportsTransmission à l’OSSNR : - de toute vérification effectuée telle qu’il est prescrit par les dispositions s’appliquant à la tenue des dossiers; - de tout retrait d’information concernant un Canadien ou une personne se trouvant au Canada et provenant d’un ensemble de données étranger; d’une copie de l’autorisation du directeur visant l’interrogation pour motif de situation urgence, les résultats de l’interrogation et les mesures prises après l’obtention des résultats de l’interrogation. *L’OSSNR peut faire rapport auprès du directeur lorsqu’à son avis, l’interrogation ou l’exploitation de l’ensemble de données concerné n’est pas conforme aux stipulations de la loi. En l’occurrence, le directeur envoie un rapport accompagné d’informations additionnelles à la Cour fédérale. Dès lors, la Cour fédérale peut émettre une directive ou un ordre ou encore prendre toute autre mesure jugée appropriée.

Gouvernance

Interprétation et application, par le SCRS, du régime applicable aux ensembles de données

Conclusion no 1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif.

Conclusion no 2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

Le régime des ensembles de données avait pour objet de créer une méthode qui permette de collecter et de conserver certaines informations, des activités qui ne seraient pas permises selon les dispositions formulées à l’article 12 de la Loi sur le SCRS. Le SCRS a pris une part active dans la promotion de ce régime détaillé et a noté, pendant les audiences du comité sénatorial, qu’il s’agissait (articles 11.01 à 11.24) d’une « mesure législative assez complexe » qui a nécessité que l’on travaille étroitement avec le ministère de la Justice (ci-après désigné comme étant « le MJ ») pour « étudier les divers processus que nous pouvions utiliser » pour veiller à ce que le régime soit en entière « conformité à la Charte ». Après avoir grandement contribué à la rédaction du document faisant état du régime, le SCRS était bien placé pour élaborer les politiques et les procédures devant s’appliquer à la collecte, à l’interrogation, à l’exploitation et à la vérification des ensembles de données.

[**expurgé**] le SCRS a modifié sa position de sorte à considérer le régime des ensembles de données comme étant, en réalité, assujetti aux autorisations de collecte visées aux articles 12, 15 ou 16 de la Loi sur le SCRS. De fait, le SCRS s’appuie sur le régime des ensembles de données dès lors qu’il a établi que l’information n’est pas visée par ces autorisations en matière de collecte (ce qui est désigné ci-après comme étant la position actuelle du SCRS). Cette position témoigne d’un changement sur le plan de la compréhension que l’on peut avoir quant à la portée du régime des ensembles de données.

Telle qu’elle était présentée dans les politiques et les présentations du Service ainsi que dans le matériel employé pendant la formation NSA 2017, l’application du régime des ensembles de données était davantage conforme à la position initiale du Service. Toutefois, au mois d’avril 2022, le SCRS avait adopté sa position actuelle quant à l’application du régime des ensembles de données, en concluant que la Cour était d’accord avec cette interprétation. Le SCRS considère désormais que le régime permet la collecte et l’utilisation (recherches) des ensembles de données au titre de l’article 12, puis leur conservation au titre du régime des ensembles de données. Le SCRS a continué de modifier sa position actuelle de sorte à permettre une collecte et une conservation élargies en vertu de l’article 12.

Il convient de noter que l’article 12 énonce des conditions s’appliquant à la collecte (et à la conservation) qui sont plus exigeantes que le critère minimal s’appliquant à la collecte et à la rétention dans le cadre du régime des ensembles de données. En vertu de l’article 12, une enquête s’appuiera sur un motif raisonnable de soupçonner une menace envers la sécurité du Canada, et la collecte ainsi que la conservation de l’information n’auront lieu que dans la mesure « strictement nécessaire ». Pour sa part, le régime des ensembles de données permet la collecte pour peu que le SCRS soit « convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. ». La conservation des ensembles de données étrangers et canadiens est permise s’il est « probable » que cette conservation « aide le Service » à exercer ses fonctions. L’article 12 et le régime des ensembles de données diffèrent l’un de l’autre en tant que régimes de contrôle. En vertu de l’article 12, le SCRS peut procéder à la conservation sans l’intervention d’une entité externe. Or, la conservation des ensembles de données canadiens au titre du régime des ensembles de données exige une autorisation de la Cour, alors que la conservation des ensembles de données étrangers nécessite l’approbation du CR.

Le régime des ensembles de données a été créé dans le but d’élargir les conditions rigoureusement réglementées s’appliquant à la collecte et à la conservation, lorsque le critère minimal de la mesure « strictement nécessaire » visé à l’article 12 ne pouvait pas être respecté. Toutefois, selon l’OSSNR, depuis que le SCRS a modifié sa position, comme nous l’avons évoqué précédemment, la façon dont le Service opérationnalise le régime des ensembles de données et en comprend l’application semble avoir considérablement augmenté l’étendue de l’information captée en vertu des pouvoirs qui lui sont conférés au titre de l’article 12. Cette évolution est abordée dans le cadre de l’étude de cas qui est présentée à la fin du présent rapport.

La [**expurgé**] anciennement Gestion et exploitation des données ou DMEX) est une entité dont la fonction première est la gouvernance du régime des ensembles de données. Au mois de juin 2023, le SCRS a avisé l’OSSNR que, désormais, [**expurgé**] prioriserait la collecte au titre de l’article 12 par rapport à la collecte au titre du régime des ensembles de données. Comme le cadre législatif s’appliquant aux ensembles de données s’avère plutôt restrictif, le Service a indiqué qu’il ne collecterait les ensembles de données qu’en prévision de leur exploitation10. Le SCRS a ensuite présenté à l’OSSNR l’exemple éclairant d’un ensemble de données au sens entendu par le régime des ensembles de données et a indiqué que, dans la mesure où il était possible que des acteurs hostiles figurent dans la liste, cet ensemble pouvait être collecté au titre de l’article 11.05 s’appliquant au régime des ensembles de données ou encore de l’article 12. On pouvait également y effectuer des recherches au titre de l’article 12, conserver, au titre du même article, les résultats de recherche portant sur la menace, puis détruire le reste de la liste.

L’approche évolutive que le SCRS a adoptée à l’égard des ensembles de données soulève deux sources de préoccupation. En premier lieu, l’ingestion des ensembles de données au titre de l’article 12 peut désormais, du moins en pratique, correspondre à une interprétation élargie des critères minimaux de « motif raisonnable de soupçonner » et de mesure « strictement nécessaire » visés à l’article 12. Les normes maintenant invoquées pour justifier la collecte et la conservation de certains ensembles de données censément au titre de l’article 12 sont plus près des critères minimaux « convaincu » et « probabilité d’aider » s’appliquant au régime des ensembles de données. L’OSSNR reconnaît que certaines informations répondant à la définition d’un ensemble de données – c.-à-d. la collecte d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun – pourraient être visées par les stipulations de l’article 12 en matière de collecte et d’utilisation, par exemple, une liste des voyageurs extrémistes canadiens. Toutefois, l’OSSNR a des réserves lorsque les pouvoirs énoncés à l’article 12 sont interprétés de telle façon qu’ils permettent la collecte et l’utilisation de renseignements personnels qui ne sont pas directement liés aux activités posant une menace envers la sécurité du Canada. Cette approche sort du cadre législatif et risque de donner lieu à la création d’un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

En second lieu, une procédure de vérification en plusieurs étapes découle d’une interprétation de la Loi sur le SCRS, selon laquelle le régime des ensembles de données s’applique uniquement lorsque les ensembles de données (répondant à la définition de la section 11.02) ne peuvent être ni collectés ni conservés au titre des mandats visés aux articles 12, 15 ou 16. Qui plus est, il y aura une phase préliminaire durant laquelle le SCRS devra décider quelle autorisation doit s’appliquer, et établir si (puisqu’il ne reste plus aucune autre autorisation de collecte ou de conservation) l’ensemble de données doit être traité dans le cadre du régime des ensembles de données. L’absence de conseils judicieux donne lieu à un important risque de confusion quant à ce qui peut être fait à partir de l’ensemble de données pendant cet exercice de vérification et de tri, surtout que cette procédure de vérification n’est pas expressément prévue par la Loi. On ne saurait trop dire si la Loi peut s’assortir d’une procédure parallèle et distincte dans le cadre de laquelle un ensemble de données serait collecté au titre de l’article 12, interrogé à des fins de renseignement et, seulement alors, être transféré en vue d’être conservé au titre du régime des ensembles de données. En l’occurrence, on pourrait estimer que cette approche rendrait superflue l’autorisation d’interrogation de recherche en cas d’urgence au titre de l’article 11.22. Bien que l’OSSNR n’ait pas été en mesure de confirmer l’intégralité de la séquence d’événements, l’étude de cas portant sur l’autorisation judiciaire visant les ensembles de données canadiens (voir la section suivante) illustre le risque de confusion.

Autorisation judiciaire concernant les ensembles de données canadiens

Conclusion no 3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.

Conclusion no 4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12.

[**expurgé**], le SCRS a collecté, [**expurgé**]. Les [**expurgé**] contenaient les renseignements personnels d’individus [**expurgé**] Les ensembles de données ont été acheminés au SCRS en provenance de plusieurs ministères [**expurgé**]. Comme ces ensembles de données ont été reçus par le [**expurgé**] on a jugé qu’ils avaient été collectés au titre de l’article 12. Cependant, le SCRS a ensuite tenté de conserver [**expurgé**] en vertu du régime des ensembles de données, ce qui nécessite une autorisation de la Cour fédérale (CF). En l’occurrence, on a assisté à la première décision concernant une autorisation judiciaire aux fins du régime des ensembles de données. Or, on note deux sources de préoccupation concernant la gestion de cet ensemble de données.

Examen initial de l’ensemble de données au titre de l’article 12

Considérant les éléments qui ont mené à cette autorisation, il serait plutôt difficile de savoir comment cet ensemble de données pourrait être utilisé. Tout indique que [**expurgé**] a reçu les [**expurgé**] en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada. [**expurgé**] considère comme de l’information visée à l’article 12 toute information communiquée et collectée par leur direction. Au moment de recevoir l’ensemble de données, [**expurgé**] n’était pas au courant des discussions qui avaient lieu au sein d’autres directions concernant la possibilité de demander à la Cour d’autoriser la conservation [**expurgé**] au moyen d’une autorisation judiciaire. [**expurgé**] a traité l’information comme elle le ferait pour toute autre information visée à l’article 12 et a effectué des recherches pour au moins deux des noms [**expurgé**] dans la base de données opérationnelle du SCRS, à savoir [**expurgé**]. Des résultats ont été obtenus pour l’un de ces deux noms.

L’OSSNR a d’abord été informé que ces recherches ne constituaient pas des interrogations dans la mesure où elles n’avaient pas été menées dans les [**expurgé**] et qu’elles constituaient plutôt des recherches, depuis [**expurgé**] de noms tirés [**expurgé**]. L’OSSNR a également appris que les recherches ne constituaient pas des interrogations, car elles n’avaient pas [traduction] « pour objet d’obtenir du renseignement » tel que le définit la Loi, puisque le résultat des recherches n’est pas consigné [**expurgé**]. Lors de ses discussions avec le SCRS, l’OSSNR a reçu des informations contradictoires qui montrent les incohérences et la confusion qui règnent en interne à ce sujet.

Dans la lettre de présentation qui accompagnait l’affidavit de l’autorisation judiciaire demandée à la Cour en lien avec un ensemble de données canadien, l’avocat indique que [traduction] « la collecte initiale et l’utilisation que le Service fait de cette information, tel qu’il est décrit dans l’affidavit, s’inscrit dans la portée [**expurgé**] du Service au titre [**expurgé**] ». Dans l’affidavit, le SCRS indique que [traduction « […] [**expurgé**] a vérifié si cette collecte d’information figurait déjà dans le fonds du Service et a estimé la valeur qu’elle pourrait avoir aux fins de ses enquêtes. Aucune recherche n’a été menée à des fins de renseignement […] ». Dans une ébauche antérieure de l’affidavit, le chef de la DMEX avait exprimé son souci à l’égard de ce libellé de la version préliminaire de l’affidavit.

Ce à quoi il ajoute que [traduction] « Nous avons déjà clairement indiqué que les ensembles de données étaient initialement collectés au titre des autorisations visées aux [**expurgé**]. Nous pouvons également affirmer que les vérifications ont été effectuées conformément à ces autorisations, jusqu’à ce que l’on ordonne immédiatement l’arrêt des vérifications une fois l’article 11 invoqué (tout est arrivé rapidement) ». L’OSSNR n’a pas été en mesure d’établir si la recherche des noms tirés de la liste a été effectuée dans le système opérationnel du SCRS dans le but de « vérifier » si [traduction] « la collecte d’information figurait déjà dans le fonds du Service ». Pendant que l’on examinait cette question, il devenait manifeste qu’il y avait une multiplicité d’opinions et nombre de propos contradictoires au sujet des mesures qui avaient été prises au moment de recevoir l’ensemble de données, mais aussi de ce qui semblait permissible aux yeux du SCRS, une fois que l’information d’un ensemble de données est collectée au titre de l’article 12.

Dans la décision qu’elle a rendue concernant l’autorisation, la Cour fédérale a conclu qu’il était raisonnable de collecter l’ensemble de données au titre de l’article 12 compte tenu des circonstances. Or, la Cour note que [traduction] « la décision d’invoquer le régime des ensembles de données et de demander l’approbation d’interroger l’information a été prise au titre des dispositions concernant les situations d’urgence énoncées à l’article 11.22 de la Loi ». On ne sait trop si la Cour était parfaitement au courant des incertitudes qui planaient quant à ce qui pouvait être fait de l’ensemble de données entre la collecte au titre de l’article 12 et le début du processus de conservation au titre du régime des ensembles de données. Le SCRS aurait dû informer pleinement la Cour de cette incertitude (y compris les propos contradictoires concernant la façon dont les données étaient ou pourrait être utilisées) pour que celle-ci puisse fournir des éclaircissements sur sa position quant aux conduites qui sont expressément permissibles avant l’invocation du régime des ensembles de données.

C’est particulièrement le cas depuis que la Cour, dans la décision qu’elle a rendue et les audiences de l’autorisation judiciaire, a fait part de ses préoccupations voulant que les catégories autorisées par le Ministre et approuvées par le CR aient été trop larges. En outre, la Cour a ajouté que [traduction] « l’une de ces catégories est si large que rien ne pourrait en être exclu ». Pourtant, le SCRS a assuré la Cour à quelques reprises que l’information avait été collectée au titre de l’article 11.05 et était protégée par les dispositions du régime; que cette information était défendue par des contrôles d’accès accrus; et que cette information ne pouvait être ni interrogée ni exploitée. Par conséquent, la Cour a été informée qu’en dépit de la vastité des catégories, le régime fournissait les limites nécessaires à la protection de la vie privée des Canadiens. Cette réponse minimise la mesure dans laquelle l’information de l’ensemble de données pourrait être utilisée pendant la période de tri. Encore une fois, cette discussion fournissait au SCRS l’occasion d’éprouver sur le plan juridique et devant la Cour la mise en oeuvre de son interprétation du régime des ensembles de données. Le SCRS aurait pu informer la Cour que ces mesures de protection ne seraient pas forcément en place au moment de collecter de l’information au titre de l’article 12, avant de se tourner vers le régime des ensembles de données pour en légitimer la conservation. Tout semble indiquer que le SCRS a choisi d’assumer cette incertitude sur le plan légal plutôt que de risquer que la Cour interprète le régime de façon contraignante.

Interrogation et conservation en situation d’urgence

Il convient de noter qu’une fois que le SCRS a enclenché le processus lié au régime des ensembles de données, l’ensemble de données pour lequel une autorisation judiciaire était demandée était visé par une autorisation et une approbation au titre de l’article 11.22 sur les situations urgentes. Le SCRS a demandé et reçu l’autorisation du directeur ainsi que l’approbation du CR pour l’interrogation des ensembles de données. Conformément aux exigences énoncées au paragraphe 11.13(2) de la Loi, le SCRS a inclus, dans sa demande d’autorisation judiciaire, le contenu de l’autorisation pour situation urgente, le résultat de l’interrogation autorisée et la description des mesures prises après l’obtention de ces résultats. Cette information a également été fournie à l’OSSNR comme le prescrit l’alinéa 11.25c) de la Loi.

L’interrogation du SCRS portait sur le nom [**expurgé**] Le SCRS a retenu [**expurgé**] correspondances partielles et les a signalées dans son système opérationnel au titre de l’article 12. En examinant les interrogations menées, l’OSSNR a trouvé que les recherches initiales ratissaient extrêmement large dans la mesure où de nombreuses [**expurgé**] de noms ont été recherchées suivant l’utilisation fréquente [**expurgé**] de et l’établissement d’un large éventail de date de naissances [**expurgé**].

Ces vastes recherches ont donné lieu à bon nombre de résultats correspondant aux éléments de la liste. Par exemple, [**expurgé**] étaient tous considérés par l’analyste du SCRS comme des résultats convenables pour une recherche faite à partir du [**expurgé**]. Ces noms ont ensuite fait l’objet de recherches dans [**expurgé**]. L’information provenant d’une interrogation en situation urgente peut être conservée si l’interrogation [traduction] « a été menée au titre de l’article 12 » suivant l’imposition du critère minimal de la mesure « strictement nécessaire » énoncé dans ce même article. Même s’il n’y a, dans [**expurgé**], aucun résultat correspondant intégralement à l’un des noms [**expurgé**] le SCRS a établi que cette absence dans le système opérationnel signifiait que lesdits noms ne pouvaient pas être éliminés en tant que [traduction] « candidats potentiels d’identification » et que [traduction] « en définitive, ces correspondances potentielles qui ne peuvent pas être exclues seront signalées au bureau et conservées au titre de l’article 12 aux fins d’enquête ». De même, s’il advenait que le nom [**expurgé**] soit trop commun pour l’éliminer d’emblée, le SCRS conservait ce nom en le considérant comme étant strictement nécessaire.

Les résultats d’interrogations inutilement larges n’ont pas répondu au critère minimal de la mesure strictement nécessaire aux fins de conservation. [**expurgé**]. En mars 2022, le SCRS a indiqué que [traduction] « [**expurgé**] a établi qu’il cesserait la démarche liée aux résultats (rapporté dans [**expurgé**]) sans de nouvelles informations » et que les [**expurgé**] résultats conservés avaient été [traduction] « intégralement copiés aux fins de rétention, au cas où l’ensemble de données serait détruit ». Or, les interrogations en situation d’urgence ne peuvent être utilisées ni pour contourner les obligations en matière de conservation qui s’appliquent au titre de l’article 12 ni en tant que moyen de conserver l’information en attente du résultat de la demande d’autorisation judiciaire.

Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.

Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.

Vide juridique dans le texte de loi

Conclusion no 5: L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS).

Le régime des ensembles de données a entraîné l’ajout de bon nombre de dispositions détaillées au texte de la Loi sur le SCRS. Or, malgré la complexité du régime, l’OSSNR y a remarqué des lacunes. Les dispositions de la Loi qui gouvernent les autorisations de conservation des ensembles de donnes étrangers ne prescrivent aucun délai que le ministre ou la personne désignée serait tenu de respecter s’agissant d’autoriser la conservation d’un ensemble de données étranger. Avant l’entrée en vigueur du régime des ensembles de données, le SCRS avait accumulé des volumes massifs de données qui n’étaient plus conformes aux stipulations du nouveau régime. Conséquemment, en vertu des dispositions transitoires du projet de loi C-59, on a reconnu la présence de cette information dont on a estimé qu’elle avait été collectée le 13 juillet 2019, conformément à l’arrêté en conseil. Le SCRS disposait ensuite de 90 jours pour évaluer les ensembles de données étrangers qu’il souhaitait conserver et pour établir s’il voulait évaluer les volumes massifs d’information canadienne aux fins d’une éventuelle demande d’autorisation judiciaire.

Le 11 octobre 2019, le SCRS a présenté au directeur dix demandes d’autorisation pour la conservation d’ensembles de données étrangers. La première autorisation visant un ensemble de données a été approuvée par le CR le 16 décembre 2020. Dans sa décision datant du 16 décembre 2020, le CR a formulé des recommandations concernant le contenu des autorisations. L’une de ces recommandations portait sur la mesure dans laquelle les ensembles de données collectés en [**expurgé**] pouvaient encore être en mesure d’aider le SCRS à exercer ses fonctions. Les [**expurgé**] autres ensembles de données qui avaient été soumis au directeur pour autorisation ont alors été modifiés de sorte à comporter l’information demandée par le CR. Ces modifications ont été ajoutées aux demandes, en annexe. En dépit du fait que ces modifications comprenaient de l’information déterminante concernant la façon dont les ensembles de données étaient toujours appelés à aider le SCRS dans l’exercice de ses fonctions, on n’a pas jugé bon de considérer les demandes modifiées comme de nouvelles demandes soumises au directeur. Au mois de décembre 2022, le SCRS n’avait soumis que deux autres demandes d’approbation au CR, pour un total de trois approbations en trois ans.

Le SCRS a affirmé qu’aucune échéance prévue par la loi n’empêchait le directeur d’avoir ces demandes pendant des années et qu’en raison de contraintes sur le plan des ressources, les modifications auraient pris encore plus de temps. Ce vide juridique a donné lieu à la création d’un mécanisme parallèle pour la conservation qui, normalement, est régie selon des règles strictes. Ainsi, le SCRS ne peut ni ingérer, ni interroger, ni exploiter les données tant que le CR n’a pas donné son approbation, mais le vide juridique aura permis au Service d’interroger lesdites données dans des situations urgentes conformément aux dispositions de l’article 11.22 de la Loi sur le SCRS.

De plus, le vide juridique faisant en sorte que la demande d’autorisation reste lettre morte devant le directeur pendant des années remet en question la façon dont le SCRS respectera le critère minimum de la « probabilité d’aider » qui est lié à l’utilité de ces ensembles de données. Or, il convient de noter qu’au mois d’avril 2023, l’ensemble de données approuvé en 2020 n’avait pas encore été interrogé, alors que celui qui a été approuvé en 2021 n’avait été interrogé qu’une [**expurgé**]. Le vide juridique a également été soulevé par le CR qui affirmait ce qui suit : [traduction] « Je ne suis pas convaincu que l’intention du législateur était de faire en sorte qu’il y ait de longs délais entre la soumission d’une demande du SCRS et la décision du directeur, lorsque celui-ci est appelé à autoriser la conservation d’un ensemble de données étranger ».

Recommendation 3: NSIRA recommends that Parliament legislates a time limitation for the authorization of a foreign dataset by the Minister or Minister’s designate.

Politiques du SCRS s’appliquant aux ensembles de données

Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée.

Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données.

Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la consigne provisoire [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.

Pendant le processus d’adoption du projet de loi C-59, le SCRS a exprimé, dans sa politique, son engagement à ne pas collecter des ensembles de données piratés ou volés. En outre, il a reconnu qu’il y aurait [traduction] « une attente beaucoup plus importante en matière de protection de la vie privée à l’égard de ces ensembles de données » et a ajouté que même si des adversaires avaient accès à cette information, le SCRS préférerait se soumettre à « des normes plus élevées ». Toutefois, le SCRS en est arrivé à éprouver des difficultés lorsqu’il s’est agi de mettre en oeuvre les dispositions de la Loi et d’harmoniser ses politiques et ses procédures avec cette même Loi.

L’OSSNR soulève quatre sources de préoccupations. En premier lieu, le centre stratégique pour les ensembles de données est la Direction de la gestion et de l’exploitation des données (DMEX), laquelle a été récemment restructurée et renommée [**expurgé**]. L’ensemble des politiques sur les ensembles de données [**expurgé**] comprend un certain nombre de politiques ayant trait à la reconnaissance, à la collecte et à la conservation des ensembles de données visés à l’article 11.01. Bien que l’engagement à ne pas collecter les ensembles de données volés, piratés ou fuités soit codifié dans [**expurgé**], il n’existe aucune exigence correspondante qui puisse garantir que l’information contenue dans les ensembles de données accessibles au public (EDAP) ne contient aucune information pouvant susciter une attente raisonnable en matière de protection de la vie privée. D’ailleurs, cette exigence est particulièrement pertinente lorsque l’on prend en compte non seulement le marché en forte expansion des données acquises par l’intermédiaire de courtiers en données, mais aussi les risques associés à l’achat d’information disponible dans le commerce, laquelle pourrait avoir été collectée illicitement par lesdits courtiers.

En deuxième lieu, comme il en a été question plus haut, le changement de position du SCRS quant à la relation entre les ensembles de données et quant à ses pouvoirs courants de collecte a donné lieu à des écarts entre l’information qui correspond à des ensembles de données au sens de l’article 11.01 et l’information qui peut être collectée au titre de l’article 12. L’interprétation que le SCRS fait de l’applicabilité du régime des ensembles de données a été revue en 2021, soit deux ans après que les politiques régissant les ensembles de données ont été créées. De fait, l’ensemble de politiques existant correspond davantage à la position que le SCRS avait initialement. Conséquemment, l’ensemble des politiques ne s’harmonise plus avec la position actuelle du SCRS quant à l’application du régime des ensembles de données (question abordée plus haut) ni avec la structure actuelle de la Direction de [**expurgé**].

En troisième lieu, la politique [**expurgé**] avait pour objet d’orienter et d’informer les employés sur le régime des ensembles de données. Elle a également attribué la responsabilité aux [traduction] « employés qui collectent l’ensemble de données » de sorte à établir correctement l’autorisation de collecte. Cela met en évidence l’importance de la formation reçue par les employés, comme en témoignent les propos ci-dessous.

En quatrième lieu, le SCRS a élaboré une consigne provisoire visant à soutenir sa collecte d’ensembles de données au titre de l’article 12. La mise en place de cette consigne coïncide avec la volte-face sur le plan de l’interprétation et de l’opérationnalisation du régime des ensembles de données, dont il a été question plus haut, à la section 4. La consigne permet la collecte d’information électronique dont on a estimé qu’elle avait trait à une menace, mais où les informations liées à la menace et celles qui n’ont aucun lien avec cette menace sont inextricablement amalgamées. Or, la consigne ne fournit aucune information quant à ce qui constitue des informations inextricablement amalgamées, mais en permet la conservation en vase clos jusqu’à [**expurgé**], avec possibilité de prolongation. L’information n’ayant aucun lien avec la menace aurait été assujettie au régime des ensembles de données, alors que la consigne ne donne aucune indication quant aux exigences du régime des ensembles de données concernant, notamment, la collecte et la relation avec la période d’évaluation de 90 jours stipulée par le régime. Concrètement, le SCRS ne dispose d’aucun registre central pour l’information temporaire, faisant ainsi en sorte que celle-ci est enregistrée dans les lecteurs réseau partagés de l’unité sans mesures centralisées de surveillance, de contrôle des accès ou d’audit. Dans ce cas, et compte tenu de l’important roulement de personnel, des lacunes en formation sur la consigne, de l’absence de centres de responsabilités clairement définis dans la politique et de la limite [**expurgé**] qui dépasse largement le délai des 90 jours énoncé dans le régime des ensembles de données, on assiste à la création d’une situation où le SCRS risque de conserver des dépôts d’information qui, par ailleurs, seraient assujettis au régime des ensembles de données.

Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.

Recommandation no 5 : L’OSSNR recommande que le SCRS produise :

  1. des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] , qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
  2. une politique régissant le traitement de l’information éphémère.

Gestion et conservation de l’information

Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service.

Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.

Conclusion no 11 : L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN, en juillet 2019.

Conclusion no 12 : L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur.

De 2018 à 2019, le SCRS a procédé à l’inventaire de ses fonds d’information de sorte à recenser l’information assujettie aux dispositions du régime des ensembles de données – donc à la supprimer – une fois que ce régime entrerait en vigueur. Le SCRS a reconnu plusieurs catégories de rapports opérationnels contenant de l’information collectée canadienne et étrangère, et a créé des mises en garde devant être insérées dans ces rapports pour indiquer que de l’information en avait été retirée.

Concernant les ensembles de données étrangers, la haute direction du SCRS a établi quels ensembles de données étrangers seraient soumis pour autorisation. Des analystes techniques ont mené un certain nombre d’exercices sur des ensembles de données étrangers pour mettre à l’épreuve leur aptitude à reconnaître et à extraire l’information canadienne, comme l’exige le régime des ensembles de données. Ces exercices ont donné lieu à la création de plusieurs [**expurgé**] contenant les données canadiennes extraites. Ces [**expurgé**] ont ensuite été [**expurgé**] lesquels ont été stockés dans le dépôt organisationnel du SCRS. Ce faisant, le SCRS a ainsi conservé des copies de données qui auraient dû être supprimées.

D’après le Service, cette reproduction est une exigence de la politique du SCRS s’appliquant à la gestion de l’information (voir l’annexe A). Par exemple, lorsque l’interrogation d’un ensemble de données a lieu, la politique du SCRS en matière de gestion de l’information exige que l’analyste joigne les résultats de cette interrogation à un rapport qui est ensuite enregistré dans le système opérationnel. Les analystes sont également tenus d’enregistrer une copie de ce rapport et des fichiers joints dans [**expurgé**], le dépôt organisationnel du SCRS. Il s’agit là d’éléments qui sont à l’origine des problèmes de conformité. De plus, ces problèmes rendent encore plus difficile la suppression de l’information lorsque des incidents de conformité ont lieu ou lorsque le SCRS a conservé de l’information qui n’est pas strictement nécessaire. Des exemples additionnels de duplication des données sont fournis en annexe A.

Le 5 septembre 2019, le SCRS a assuré le Ministre qu’il [traduction] « avait engagé d’importantes mesures pour garantir la conformité au cadre régissant les ensembles de données, lequel découlait du projet de loi C-59 et devait bientôt entrer en vigueur », et que [traduction] « en conséquence de cet exercice, nombre d’ensembles de données canadiens et étrangers ont été jugés comme ne respectant pas le critère permettant la conservation au titre de l’article 12 ou celui permettant la conservation suivant le critère minimal de la "probabilité d’aider" au titre du nouveau cadre des ensembles de données. Ces ensembles de données ont donc été détruits avant l’entrée en vigueur ». En septembre 2021, le SCRS a affirmé à l’OSSNR que tous les ensembles de données étrangers qui n’avaient pas été soumis au directeur pour autorisation avaient été détruits ».

En [**expurgé**], un ex-employé de la DMEX a découvert [**expurgé**] contenant un ensemble de données étranger qui avait été collecté avant l’entrée en vigueur du régime des ensembles de données et avait ensuite fait l’objet d’une demande d’autorisation ministérielle. [**expurgé**] contenait l’intégralité de l’ensemble de données dans son état d’avant l’évaluation, y compris de l’information canadienne. En [**expurgé**] un autre employé de la DMEX a découvert, dans un [**expurgé**] dont l’accès était réservé aux employés désignés, de l’information canadienne ayant été extraite d’ensembles de données étrangers. Ces documents contenaient de l’information canadienne et des échantillons d’information étrangère tirés de [**expurgé**] ensembles de données étrangers, dont [**expurgé**] étaient en attente d’une autorisation ministérielle, [**expurgé**] avait déjà été approuvé par le CR et ont été intégralement détruits avant l’entrée en vigueur du régime. Le SCRS a détruit cette information puisqu’elle était conservée illicitement.

Ces incidents ont incité la DMEX à réaliser un examen de dossiers [traduction] « afin d’établir les étapes qu’il conviendra de suivre en prévision de l’entrée en vigueur de la LSN ainsi que les correctifs qui pourraient s’imposer. Bien que des employés aient été chargés de supprimer les ensembles de données pour lesquels aucune autorisation de conservation ne serait demandée en vue de l’entrée en vigueur de la LSN en juillet 2019, aucune démarche n’a été engagée pour demander aux employés de repérer et détruire les autres copies d’ensembles de données et de retirer tout document canadien ou autre de ces ensembles de données avant l’entrée en vigueur de la LSN ou pendant la période d’évaluation de 90 jours qui devait suivre53 ». La DMEX a ensuite demandé aux employés de [traduction] « procéder à une recherche approfondie dans [**expurgé**] ». À la suite de ces recherches, on a trouvé une quantité importante d’information canadienne et étrangère, notamment, de l’information ayant trait à l’ensemble de données sur les [**expurgé**], dont il est question plus loin. La DMEX a signalé ces incidents de conformité à la Direction des examens et de la conformité du SCRS en lui soumettant un rapport d’enquête avec des documents à l’appui. Les observations finales du rapport indiquent qu’un effort « digne d’éloges » a été réalisé pour repérer les données résiduelles, bien qu’en [**expurgé**] ».

En octobre 2022, l’OSSNR a mené des recherches dans les registres organisationnels du SCRS et a trouvé [**expurgé**] dossiers contenant des dizaines de milliers d’entrées comportant des renseignements personnels canadiens tirés de [**expurgé**] ensembles de données étrangers, notamment, de l’information extraite d’ensembles de données qui ont été détruits, approuvés par le CR et en attente d’une autorisation. Les dossiers contenaient également de l’information étrangère. L’information canadienne avait été extraite dans le cadre de l’exercice visant à préparer l’entrée en vigueur de la Loi et aurait dû être détruite.

L’OSSNR a cherché à savoir pourquoi ces dossiers contenant de l’information canadienne principalement extraite à partir d’ensembles de données étrangers détruits se trouvaient toujours dans le registre organisationnel du SCRS et dans quelle mesure l’autorisation légale justifiant leur conservation était valide. Le SCRS n’a pas fourni d’explication valable pour expliquer la non-conformité à la loi. En l’occurrence, le Service a simplement indiqué que l’information faisait partie d’un projet en vue de l’entrée en vigueur du régime des ensembles de données et que :

[Traduction] « ces documents canadiens continuent d’exister dans le dossier enregistré [PA pour PutAway] même si les ensembles de données [**expurgé**] originaux ont tous été détruits ou isolés en attente d’une autorisation ministérielle. À cette époque, bien que contraires aux obligations actuelles (depuis juin 2019) au titre de l’article 11, ce travail et cette conservation auraient été exécutés en vertu (implicitement) des autorisations visées à l’article 12. Comme ce cas est antérieur à l’entrée en vigueur du cadre régissant les ensembles de données, nous ne savons pas précisément s’il pose un risque juridique ou un risque de conformité. [**expurgé**]

Le SCRS a indiqué que les documents avaient été conservés [traduction] « de façon appropriée, en cette période antérieure à C-59, au titre des autorisations implicites visées à l’article 1259 ». On ignore comment le SCRS établit la distinction entre l’information trouvée par l’OSSNR et celle – comme l’indique le paragraphe 55 plus haut – que la DMEX a découverte en [**expurgé**]. Au mois d’août 2023, l’information découverte par l’OSSNR en octobre 2022, laquelle contenait des données canadiennes et étrangères, était conservée par le SCRS en contravention aux obligations qui incombent au Service en vertu des dispositions de la Loi sur le SCRS pour ce qui touche les ensembles de données.

L’OSSNR a également cherché des rapports opérationnels qui, avant l’entrée en vigueur du régime des ensembles de données, avaient été reconnus comme comportant des informations s’assimilant à des ensembles de données canadiens. L’OSSNR a trouvé nombre de rapports dont l’information avait été supprimée et auxquels on avait ajouté une mise en garde. Toutefois, l’OSSNR a découvert [**expurgé**] rapport ayant trait à l’ensemble de données sur [**expurgé**], lequel contenait le [**expurgé**]. Il convient de noter que le rapport opérationnel en question n’a pas été mis à l’écart; il était plutôt accessible à tous les utilisateurs du système et a même été cité en référence dans un rapport produit récemment, soit en août 2022. En l’occurrence, il s’agit là de l’interrogation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.

L’OSSNR a demandé au SCRS de faire état des autorisations en vertu desquelles il conservait cette information. Le SCRS a d’abord répondu qu’il n’était pas en mesure de trouver le rapport, puisqu’il avait été détruit63. Peu après, le SCRS a indiqué qu’il avait trouvé ledit rapport et qu’il traitait le dossier en tant qu’incident de conformité64. En cherchant de nouveau dans le système opérationnel, l’OSSNR a découvert un autre rapport contenant [**expurgé**]. Les deux rapports découverts par l’OSSNR contenaient de l’information qui, par ailleurs, s’assimilerait à un ensemble de données canadien, [**expurgé**]. En conservant cette information canadienne, le SCRS contrevenait aux obligations légales qui lui incombaient en vertu des dispositions de la Loi sur le SCRS s’appliquant au régime des ensembles de données.

L’information non conforme trouvée par l’OSSNR (information canadienne et étrangère provenant d’ensembles de données étrangers; information canadienne figurant dans des rapports opérationnels) a été découverte après le balayage initial effectué antérieurement à C-59 par le SCRS sur les fonds d’information et signalé au Ministre, mais après la [traduction] « recherche approfondie dans tous les fonds d’information personnelle et partagée » effectuée en raison de l’incident de conformité de 2022. Le SCRS n’a pas balayé en profondeur tous ses systèmes pour relever l’information assujettie au régime des ensembles de données, de sorte que cette information soit traitée conformément aux dispositions en vigueur.

Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.

Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

Recommandation no 8 : L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.

Affectation des ressources et formation

Formation

Conclusion no 13 : L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation.

Conclusion no 14 : L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.

Avant l’entrée en vigueur de la LSN et, notamment, du régime des ensembles de données, le SCRS avait élaboré et mis en place une formation spécialisée pour les employés appelés à être désignés au titre du paragraphe 11.06(1) de la Loi sur le SCRS, ainsi qu’une formation obligatoire destinée à tous les employés de la sphère opérationnelle concernant le projet de loi C-59. Le SCRS avait également élaboré et offert un certain nombre de présentations aux directeurs adjoints, aux gestionnaires, au personnel des directions concernées, aux employés d’autres ministères fédéraux et au personnel juridique de la Cour fédérale. Cette série de formations et de présentations correspond à la position initiale du SCRS, dont nous avons discuté précédemment, concernant l’applicabilité du régime des ensembles de données.

Le SCRS offre actuellement deux formations obligatoires pour la désignation des employés. Ces formations mettent l’accent sur la distinction entre l’information « strictement nécessaire » au titre de l’article 12 et ce qui peut être collecté en respectant le critère minimal de la « probabilité d’aider » stipulée par le régime des ensembles de données. Les formations incitent l’employé à approfondir sa connaissance des procédures opérationnelles normalisées et des exigences liées au régime. La formation en ligne ne constitue possiblement pas la formule idéale, mais il faut savoir que les contenus de formation ainsi que la combinaison de questions axées sur les normes et sur les scénarios ont donné aux employés des instructions claires quant au régime et à ses exigences.

Comme il a été dit plus haut, le SCRS a aussi mis en place une formation obligatoire pour tout le personnel opérationnel. Le SCRS a conçu la majeure partie de la formation sur le régime des ensembles de données avant et immédiatement après l’entrée en vigueur de la LSN. Comme nous l’avons dit à la section 4 du présent rapport, on a noté un changement dans la façon dont le SCRS comprend ses obligations légales au titre du régime et dans la manière dont il perçoit et applique ces obligations. Par conséquent, la formation que le personnel opérationnel n’a été tenu de suivre qu’une seule fois en 2019 ne correspond plus et pourrait même s’avérer contraire à la façon dont le SCRS opérationnalise et applique désormais le régime.

De plus, le peu de formation qui est reçue par le personnel opérationnel ne permet pas aux responsables de la collecte d’établir quelles informations constituent un ensemble de données, bien qu’on les tienne responsables d’établir cette distinction. Conséquemment, les personnes qui travaillent à la collecte de volumes massifs d’information n’ont ni la formation ni la connaissance requises pour exercer leurs fonctions adéquatement.

Quant aux agents de renseignement, le SCRS a préparé une présentation sur le régime des ensembles de données devant faire partie du [**expurgé**] cette formation obligatoire offerte aux agents de renseignement au cours des premières années de carrière [**expurgé**] . À l’origine, lorsque le SCRS a instauré le programme de formation, les employés devaient travailler en groupes dans le cadre d’une série d’ateliers au cours desquels ils étaient appelés à reconnaître les caractéristiques des ensembles de données au sens de l’article 11.01, à savoir en quoi ceux-ci se distinguent des ensembles de données au sens de l’article 12 et à établir la correspondance entre les ensembles de données canadiens et ceux qui font partie des catégories approuvées. Cette formation a été offerte sous forme de cours dirigé par un instructeur jusqu’au mois de mars 2020, après quoi le SCRS a retiré la partie atelier à l’occasion d’une mise à jour du programme de formation, ce qui a éliminé de facto tous les sujets et les exercices axés sur des scénarios. Bien que le SCRS ait indiqué à l’OSSNR qu’il était en train de mettre le programme à jour, la formation actuellement offerte ne donne que peu d’éléments qui permettent aux responsables de la collecte d’établir la distinction entre les ensembles de données au sens de l’article 11.01 et l’information visée à l’article 12.

L’OSSNR conclut que l’approche selon laquelle le personnel concerné ne suit qu’une seule fois la formation sur les ensembles de données a fait en sorte que les employés disposent d’une connaissance et d’une compréhension lacunaires du régime des ensembles. Le SCRS devrait intensifier ses efforts ayant pour but de sensibiliser les responsables de la collecte aux exigences et aux particularités du régime des ensembles de données et encourager ces responsables à prendre contact avec la direction responsable de l’exploitation des données en cas de doute.

Recommandation no 9 : L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.

Affectation des ressources

Conclusion no 15 : L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.

Conclusion no 16 : L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données.

Lors d’examens réalisés antérieurement par l’OSSNR, on a constaté que les questions liées à la formation et à l’affectation des ressources se manifestaient fréquemment en même temps et avaient un lien avec l’engagement d’une organisation à l’égard d’un programme ou d’une direction en particulier. En avril et en novembre 2022, le SCRS a informé l’OSSNR que le Centre d’analyse des données opérationnelles (CADO) – qui faisait partie de la DMEX et était responsable de la mise en oeuvre technique du régime des ensembles de données, notamment de l’ingestion, de l’interrogation et de l’exploitation des ensembles de données – affichait des taux de vacance de [**expurgé**] respectivement.

En 2020, aucun employé n’a été désigné pour l’interrogation ou l’exploitation des ensembles de données malgré l’autorisation et l’approbation du premier ensemble de données étranger. L’approche que le SCRS préconise pour veiller à disposer de personnes qui ont été désignées et juridiquement aptes à interroger et exploiter l’information était principalement réactive. Dans un rapport de vérification de 2020 remis à l’OSSNR, le SCRS indiquait que le premier ensemble de données étranger avait été autorisé par le directeur et approuvé par le CR, quoique [traduction] « il n’y avait aucun employé qui ait été désigné pour les interrogations d’exploitation des ensembles de données canadiens ou étrangers au titre de l’article 11.

Conséquemment, aucune interrogation ni aucune exploitation » de l’ensemble de données n’a eu lieu. Le fait que le SCRS a envoyé sa première autorisation au CR sans avoir affecté de ressources à sa sous-section spécialisée et sans avoir permis à celle-ci de mener les interrogations et les exploitations potentiellement requises sur les ensembles de données est assez révélateur [**expurgé**] ans se sont écoulés avant que le SCRS soit en mesure de désigner un employé pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens. Hormis les interrogations menées en vertu de situations urgentes, aucune autre interrogation n’a été effectuée en 2021.

En novembre 2022, le SCRS a fait part de ses préoccupations voulant que la période d’évaluation de 90 jours stipulée dans la Loi soit trop contraignante et qu’elle ait souvent fait manquer des occasions de procéder à des collectes d’information. [**expurgé**]. Au fil de la discussion, l’OSSNR a appris [**expurgé**]. De même, en 2023, l’OSSNR a de nouveau appris que le SCRS n’avait pas été en mesure de composer en fonction des paramètres stipulés par la loi en vigueur. En l’occurrence, le SCRS pouvait compter sur un surcroît de ressources qu’il a pourtant choisi d’affecter à la collecte au titre de [**expurgé**] plutôt qu’à l’application du régime des ensembles de données.

Or, il faut savoir qu’aux difficultés liées à l’affectation des ressources s’ajoutent celles qui ont trait à l’actuel écosystème technique du SCRS. Le cycle de vie d’un ensemble de données fait intervenir une diversité d’outils et de systèmes numériques, [**expurgé**]. De plus, ces outils et systèmes ne peuvent être personnalisés et entretenus que par du personnel spécialisé dans un domaine technique. L’accumulation de ces facteurs a donné lieu à une situation où les employés de la DMEX ne disposent que d’un nombre limité d’options lorsqu’il s’agit d’exploiter les données, ce qui a une incidence sur l’utilité des trois catégories d’ensemble de données. D’après les séances d’information et les démonstrations fournies par des d’experts techniques, il apparaît évident que les systèmes actuels ne sont pas conçus pour que les volumes massifs de données soient traités conformément aux prescriptions.

Recommandation no 10 : L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.

Recommandation no 11 : L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.

Étude de cas : [**expurgé**]

Conclusion no 17 : L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires.

Renseignements généraux

[**expurgé**]

[**expurgé**]

Le [**expurgé**], le SCRS a envoyé un mémoire au Bureau du Conseil privé et à Sécurité publique faisant état de l’information contenue dans [**expurgé**]

CSIS [**redacted**]. The brief discusses the possibility of collecting the dataset under section 11, utilizing the 90-day evaluation period to assess whether it is a publicly available or Canadian dataset, and “if retaining and using the dataset for analysis will help ensure the security of Canada.”

The following day, [**redacted**].

[**expurgé**] le directeur général de la Direction de la gestion et de l’exploitation des données ainsi que le directeur général [**expurgé**] ont corédigé un mémoire présenté à la sous-directrice des Opérations (SDO) pour demander l’autorisation de collecter [**expurgé**] au titre de l’article 12 de la Loi sur le SCRS. Le mémoire contient un résumé de [**expurgé**] Le mémoire fait état des préoccupations exprimées par [**expurgé**] concernant [**expurgé**]

Certes, le mémoire fait part du contenu de l’ensemble de données tel qu’il est décrit [**expurgé**] mais en revanche, il omet de mentionner que [**expurgé**] permis de conclure que la base de données [**expurgé**] probablement été volées.

À la réception du mémoire, la SDO a demandé [**expurgé**] ». Dans sa réponse, la SDO exprime ses réserves en expliquant que [**expurgé**] trouvé aucun indice montrant que [**expurgé**]. En outre, la SDO a indiqué qu’elle admettrait volontiers que l’information [traduction] « pourrait en effet faciliter » le déroulement de l’enquête du SCRS, mais aussi que même si aucun indice ne prouve qu’il y aurait [**expurgé**] [traduction] « il est plus probable qu’improbable » qu’il s’agit là du type d’information qui [traduction] « susciterait [**expurgé**] intérêt ». C’est [**expurgé**] que la SDO a approuvé la collecte au titre de l’article 12. C’est ensuite, [**expurgé**] que le SCRS a reçu [**expurgé**] puis ingéré [**expurgé**] canadienne [**expurgé**]. .

[**expurgé**] On ne sait trop comment cette évaluation a été réalisée. En l’occurrence, elle ne correspond pas à l’analyse que le SCRS a faite de [**expurgé**], laquelle avait servi à préparer un rapport de cas que le SCRS a communiqué à des partenaires gouvernementaux. En outre, le rapport stipule que [traduction] « la part de l’ensemble de données qui a trait à des Canadiens semble [**expurgé**] ». D’ailleurs, le mémoire indique que [traduction] [**expurgé**] ». Or, il convient de noter qu’après la communication du mémoire d’analyse de cas, le SCRS n’a réalisé aucune autre analyse de renseignement ni aucun rapport concernant l’ensemble de données.

Analyse

Lorsque le SCRS a appris l’existence [**expurgé**], les discussions se sont initialement concentrées sur la collecte potentielle d’information au titre du régime des ensembles de données et sur la période d’évaluation de 90 jours en vue d’établir la portée de l’ensemble de données et de savoir s’il s’agissait d’un ensemble de données canadien, étranger ou accessible au public. Or, l’OSSNR ne sait toujours rien du pourquoi ni du comment la discussion a fini par se concentrer plutôt sur la collecte au titre de l’article 12.

Au moment de la collecte, le SCRS ne disposait que d’une information limitée qui, de surcroît, comportait des éléments contradictoires. [**expurgé**] Malheureusement, cette information n’a pas été présentée dans son intégralité à la SDO, lorsqu’il s’est agi de demander une approbation pour la collecte au titre de l’article 12.

L’article 12 de la Loi sur le SCRS stipule que « [l]e Service recueille, au moyen d’enquêtes ou autrement, dans la mesure strictement nécessaire, et analyse et conserve les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu’elles constituent des menaces envers la sécurité du Canada ». Le critère minimal à respecter est le motif raisonnable de soupçonner. Or, la Cour suprême du Canada a défini la norme des « soupçons raisonnables » comme étant « plus que de simples soupçons, mais ils ne correspondent pas à une croyance fondée sur des motifs raisonnables et probables. » Il s’agit « d’une norme solide, qui appelle la prise en compte de l’ensemble des circonstances, en fonction de faits objectivement vérifiables ».

En appliquant au présent cas la jurisprudence de la Cour suprême du Canada qui s’appuie sur la norme des soupçons raisonnables, le SCRS n’a fourni ni preuve ni renseignement pouvant montrer que l’information [**expurgé**] . Dans son outil d’analyse, [**expurgé**]. Or, l’OSSNR n’a trouvé aucune preuve étayant cette affirmation au moment de la collecte, et le SCRS n’a pas été en mesure d’exposer le raisonnement qui l’a conduit à cette conclusion. C’est donc dire qu’il n’y avait aucun signe évident pour soutenir la thèse selon laquelle l’ensemble de données était effectivement lié à une menace envers la sécurité du Canada. En effet, les explications fournies par le SCRS à l’OSSNR ainsi que les documents écrits mettent plutôt l’accent sur l’utilité potentielle de l’information [**expurgé**].

Pour sa part, le SCRS n’a réalisé aucune évaluation préliminaire de l’ensemble de données, puisqu’il n’y avait pas accès. [**expurgé**] disait [**expurgé**] probablement été « volées ». Or, aucune analyse ne s’est penchée ni sur l’incidence de la collecte sur la vie privée ni sur la question à savoir si la collecte de l’ensemble de données au titre de l’article 12 aurait pu nécessiter la délivrance d’un mandat.

Au moment de collecter l’information, le SCRS a analysé l’ensemble de données. Or, il convient de rappeler que cette intervention se résume à une exploitation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.

[**expurgé**] la Direction de la gestion et de l’exploitation des données a fait appel [**expurgé**] pour en savoir davantage quant à la conservation de l’ensemble de données par rapport aux exigences de la politique.

[**expurgé**] ». Or, cette déclaration prend le contrepied de l’évaluation que le SCRS avait lui-même faite de l’ensemble de données, laquelle indiquait que [traduction] [**expurgé**] ». Ensuite, il justifie la conservation en notant que [traduction] [**expurgé**].

Il suffit de consulter un dictionnaire pour constater que les mots « strictement nécessaire » énoncés à l’article 12 de la Loi sur le SCRS disent que l’information doit être « absolument » « indispensable ». Toutefois, dans sa justification, le SCRS n’a pas montré de quelle façon l’information contenue dans l’ensemble de données s’avérait indispensable à son enquête. On offre plutôt un argument du type « au cas où » qui signifie qu’il est important de conserver l’information dans la mesure où elle pourrait éventuellement servir à effectuer des analyses de tendance en matière de ciblage. En définitive, cette justification peut très bien répondre à un critère de type « pourrait probablement aider », mais ne répond absolument pas au critère de la mesure strictement nécessaire.

Le SCRS a avisé l’OSSNR que [**expurgé**] aucune décision n’avait été prise concernant la conservation de l’ensemble de données. L’OSSNR a également appris que s’il advenait qu’un autre ensemble de données pertinent ou de l’information connexe devaient se présenter, [**expurgé**]. L’ensemble de données est actuellement enregistré dans un lecteur réseau partagé dont l’accès est contrôlé. Toutefois, aucune mesure n’a été mise en place pour empêcher qu’il soit copié ou déplacé vers un autre emplacement.

Recommandation no 12 : L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

Conclusion

Dans la version classifiée de son Rapport annuel destiné au Ministre, le SCRS a indiqué ce qui suit : « Les obstacles relatifs tant aux demandes habituelles qu’aux demandes présentées en situation d’urgence mènent à une conclusion claire : le régime sous sa forme actuelle ne permet pas de gérer, dans toute sa diversité, la quantité de données nécessaires à l’établissement d’un programme d’analyse rigoureux et durable dans le respect des mesures de contrôle et de surveillance prévues par le législateur. »

Ayant pris une part considérable dans l’élaboration du régime, le SCRS était bien placé pour élaborer les politiques et les procédures appelées à régir la collecte, l’évaluation, l’interrogation, l’exploitation et la vérification des ensembles de données. Or, l’OSSNR s’attendait à trouver une application du régime des ensembles de données qui soit mieux établie et plus conforme.

Tel qu’il a été indiqué dans le présent rapport, le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. Certes, le régime est complexe, mais le SCRS n’a pas cherché à apporter des éclaircissements quant aux ambiguïtés juridiques [**expurgé**] de l’application du régime à la Cour lorsqu’il en a eu l’occasion. En l’occurrence, le SCRS a adopté divers points de vue quant à l’application du régime des ensembles de données, risquant ainsi de réduire à un simple mécanisme de conservation ce qui en réalité constitue un régime de collecte et de conservation. En interne, le SCRS n’a pas consacré suffisamment de ressources pour garantir la conformité aux dispositions du régime. Ce constat est en outre des incidents de conformité signalés dans le présent rapport et prend en compte les lacunes sur le plan des systèmes et le manque d’experts consacrés au traitement et à l’exploitation des volumes massifs de données. Le SCRS n’a pas non plus été en mesure d’affecter des ressources adéquates aux formations destinées à ses employés pour les sensibiliser aux exigences découlant du régime. Sans une formation appropriée et en l’absence d’un engagement interne à fournir les ressources et le soutien nécessaires, l’instauration d’un nouveau régime, y compris celui qui nous concerne ici, sera vouée à l’échec même si d’aucuns l’estiment parfaitement adapté aux circonstances.

Recommandation no 13 : L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.

ANNEXE A : Considérations d’ordre technique liées au cycle de vie des ensembles de données canadiens et étrangers

La présente annexe décrit les processus techniques et les systèmes investis dans l’identification, la collecte, l’évaluation, la conservation, l’interrogation, l’exploitation, l’ingestion et la destruction des ensembles de données au titre de l’article 11.01. De fait, le SCRS a recours à des processus et à des systèmes semblables pour tous les ensembles de données canadiens et étrangers. La description des processus techniques et systèmes que nous présentons ci-après et qui a trait au cycle de vie des ensembles de données au titre de l’article 11.01 s’inspire des séances d’information offertes par le SCRS le 12 mai 2022 et le 3 octobre 2022116, d’une démonstration technique présentée le 1er novembre 2022 ainsi que de l’ensemble des politiques régissant la collecte, l’évaluation et la conservation des ensembles de données au titre de l’article 11.01. En outre, la présente annexe a pour objet de présenter les processus et les systèmes qui ont été employés jusqu’à la fin de la période visée par le présent examen.

Comme la notion d’ensemble de données est définie à l’article 2 de la Loi sur le SCRS comme étant un « ensemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun », on ne peut que conclure que la portée et l’étendue de ce qui constitue un « ensemble de données » sont considérables. Certains des défis techniques que le SCRS a rencontrés relativement aux ensembles de données tiennent à la diversité des types de données [**expurgé**] et des volumes de fichiers [**expurgé**] qui composent un « ensemble de données ».

Le SCRS reconnaît que [traduction] « même s’ils sont complets, ces systèmes complexes posent certains risques résiduels. En outre, ils sont exploités manuellement, ils sont exigeants en termes de ressources et ils peuvent produire des erreurs. Par conséquent, ils reflètent la complexité du régime des ensembles de données et offrent peu sur le plan de la résilience et de l’adaptabilité ».

Reconnaissance et collecte

Les ensembles de données au titre de l’article 11.01 peuvent être reconnus et recueillis de diverses façons. Par exemple, les employés du Service peuvent recevoir des ensembles de données de la part de partenaires nationaux et internationaux ou d’informateurs dans des courriels, dans des clés USB, dans des disques durs externes ou dans d’autres supports de stockage de données. Les employés du SCRS peuvent [**expurgé**] tomber sur un ensemble de données pendant qu’ils font des recherches dans l’Internet [**expurgé**]. Ces divers processus impliquent une multiplicité de processus techniques et de systèmes dépendamment des moyens ayant permis la reconnaissance et la collecte des ensembles de données, de l’emplacement de ces ensembles, et des personnes dont les renseignements figurent dans les ensembles en question.

Évaluation

La DMEX a centralisé le processus d’évaluation des ensembles de données au titre de l’article 11.01. En outre, l’un des employés désignés de la DMEX doit évaluer l’ensemble de données dans les 90 jours de la collecte initiale. Pendant ces 90 jours, un employé désigné doit établir si l’ensemble de données répond aux critères de conservation s’appliquant aux ensembles de données canadiens ou aux ensembles de données étrangers. Les processus techniques et les systèmes impliqués dans la phase d’évaluation peuvent varier en fonction du format, de la taille et de l’emplacement de l’ensemble de données.[**expurgé**] Chaque ensemble de données doit être évalué au moyen de techniques et d’outils adaptés à ces caractéristiques. Lorsque le SCRS collecte plusieurs versions d’un même ensemble de données, la DMEX doit veiller à ce que toutes les autres copies de l’ensemble de données aient été supprimées des systèmes du Service.

Lorsque le résultat d’évaluation incite la DMEX à tenter de conserver un ensemble de données canadien ou étranger, le SCRS doit soumettre une demande d’approbation et une demande d’autorisation123. Les systèmes et les programmes employés pour préparer le matériel qu’il faut soumettre aux fins d’approbation et d’autorisation donnent souvent lieu à la création d’une documentation substantielle (p. ex. mémoires, notes d’information et affidavits préparés à l’aide des logiciels Word ou Excel de Microsoft) qui sert à décrire les ensembles de données. Dans certains cas, les copies ou les sous-ensembles d’information issus des ensembles de données sont inclus dans le matériel soumis pour approbation et pour autorisation.

Pour gérer et suivre le processus d’évaluation d’un ensemble de données, [**expurgé**], un système d’enregistrement et de suivi des demandes (tickets). Pour chacun des ensembles de données évalués, la DMEX [**expurgé**].

Conservation et ingestion

Une fois que la conservation d’un ensemble de données canadien ou étranger a été approuvée, cet ensemble est ingéré dans le [**expurgé**], le dont le SCRS [**expurgé**]. au SCRS de stocker et combiner ses informations opérationnelles et ses ensembles de données, d’appliquer des contrôles de l’accès à ces informations et d’exécuter toutes les tâches de journalisation de sécurité requises.

L’accès à l’information ingérée [**expurgé**] est contrôlé au moyen d’attributs qui établissent des liens entre ladite information et [**expurgé**] du SCRS. [**expurgé**] pour les employés désignés qui évaluent un ensemble de données et [**expurgé**] pour les employés désignés appelés à interroger et à exploiter les ensembles de données conservés. Nul autre employé ne peut accéder aux ensembles de données.

Lorsque des employés accèdent aux ensembles de données, le SCRS emploie [**expurgé**] pour collecter et indexer de l’information sur les tâches qu’ils exécutent. Le SCRS [**expurgé**].

Interrogation et exploitation

[**figure expurgée**]

Figure 1: Logique des [**expurgé**] pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens

Seuls les employés désignés peuvent interroger et exploiter les ensembles de données canadiens ou étrangers, et la DMEX a centralisé ces processus. Lorsqu’il souhaite interroger un ensemble de données au titre de l’article 11.01 en guise d’appui à une enquête, l’employé du Service doit soumettre à la DMEX [**expurgé**]. Parallèlement à cette demande, [**expurgé**]. L’information fournie dans chacun des [**expurgé**] sert notamment à choisir la justification qui s’impose lorsqu’un analyste désigné de la DMEX applique les mesures d’interrogation ou d’exploitation par l’intermédiaire [**expurgé**].

Lorsque l’analyste de la DMEX trouve des résultats à la suite des interrogations ou des exploitations, il enregistre [**expurgé**]. Il doit ensuite prendre contact, [**expurgé**]. Cette série de procédures manuelles crée plusieurs copies de données brutes provenant des ensembles de données, lesquelles copies peuvent être conservées accidentellement sur le poste de travail d’un employé du Service ou dans l’un de ses courriels envoyés ou reçus.

Les données sont cloisonnées (art. 12, art. 15, art. 16, art. 17) selon [**expurgé**] de l’enquête et conservées conformément aux règles correspondantes du [**expurgé**].

[**expurgé**], le registre organisationnel du SCRS. Cette démarche mène de nouveau à la duplication, dans l’écosystème du SCRS, de données brutes provenant d’ensembles de données au titre de l’article 11.01.

Destruction

Lorsqu’ils sont initialement ingérés dans [**expurgé**] les ensembles de données sont assujettis à une période de conservation établie selon que ces ensembles de données sont canadiens ou étrangers. Une fois que la période de conservation est échue, [**expurgé**].

ANNEXE B : Séances d’information et entrevues

Date Sujet
Séance d’information
17 février 2021 Ensembles de données accessibles au public.
9 septembre 2021 Ensembles de données étrangers.
22 avril 2022 Régime des ensembles de données du SCRS.
12 mai 2022 [**expurgé**] l’évaluation, l’interrogation, l’exploitation et la conservation des ensembles de données canadiens et étrangers ainsi qu’à la production de rapports connexes.
3 octobre 2022 [**expurgé**]
1er novembre 2022 Démonstration technique sur les systèmes liés aux ensembles de données.
[**expurgé**] Séance d’information sur une étude de cas.
6 juin 2023 [**expurgé**]
Entrevue
18 août 2022 Ensemble de données canadien.
6 septembre 2022 Ensemble de données canadien.
14 octobre 2022 Ensemble de données canadien.
21 octobre 2022 Ensemble de données canadien.

ANNEXE C : Conclusions et recommandations

Conclusion no1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif. Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.
Conclusion no2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
Conclusion no3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.
Conclusion no4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12. Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.
Conclusion no 5 : L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS). Recommandation no 3 : L’OSSNR recommande que le législateur légifère sur un délai prescrit pour l’autorisation d’un ensemble de données étranger par le Ministre ou la personne désignée.
Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée. Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.
Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données. Recommandation no 5 : L’OSSNR recommande que le SCRS élabore :
  • des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
  • une politique régissant le traitement de l’information éphémère.
Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service. Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.
Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données. Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Finding 11: L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN (2017), en juillet 2019.
Finding 12: L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur. Recommendation 8: L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.
Finding 13: L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation. Recommendation 9: L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.
Finding 14: L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.
Finding 15: L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. Recommendation 10: L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Finding 16: L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données. Recommendation 11: L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.
Finding 17: L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires. Recommendation 12: L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Recommendation 13: L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes

Examens Terminés

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes

Date de publication :

Sommaire

Le présent examen s’est penché sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC), notamment, sur la façon dont les recherches axées sur les technologies de l’information (TI) ont été menées pour appuyer les enquêtes de contre-ingérence (CI). L’examen a permis d’établir si les recherches axées sur les TI et la collecte d’information ayant pour objet d’appuyer les enquêtes de CI avaient porté atteinte à l’attente raisonnable qu’une personne peut avoir en matière de respect de la vie privée.

En cours d’examen, l’OSSNR a reconnu trois (3) aspects qui semblent préoccupants s’agissant des demandes et des activités de recherche de renseignements de CI axées sur les réseaux informatiques. En l’occurrence, ces demandes et ces activités se divisent en trois catégories : 1) les recherches de l’UNCIFC visant les courriels d’un sujet ainsi que les activités de celui-ci dans Internet ou sur des supports amovibles; 2) la liste de vérification que l’UNCIFC emploie pour reconnaître, mais aussi pour restreindre les paramètres de recherche ainsi que pour établir la façon dont les intervenants concernés définissent lesdits paramètres de recherche; et 3) la façon dont l’acquisition d’information est exploitée pour étendre la portée de recherches ultérieures.

Les employés du MDN ainsi que les militaires des FAC peuvent raisonnablement s’attendre à ce que leur vie privée soit protégée lorsqu’ils se servent des ressources informatiques à des fins personnelles. [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]. De fait, l’OSSNR conclut que l’UNCIFC pourrait tenir erronément pour acquis que les politiques du MDN/FAC autorisent légalement les mesures contraires à l’attente raisonnable qu’un sujet peut avoir en matière de protection de la vie privée.

L’OSSNR a noté que la liste de vérification introduisait le risque de capter des renseignements personnels, voire intimes qui sont constitutifs du coeur des renseignements biographiques d’un sujet. En l’occurrence, l’OSSNR estime que l’application de la liste de vérification pose un risque de captation de renseignements censés être protégés au titre de l’article 8 de la Charte canadienne des droits et libertés (la Charte). L’OSSNR est également d’avis que le MDN/FAC s’appuie sur une définition de la notion de métadonnées qui englobe les renseignements par rapport auxquels on serait pourtant en droit d’avoir des attentes raisonnables en matière de respect de la vie privée.

L’OSSNR a également noté que l’UNCIFC effectuait ses recherches axées sur les TI en fonction de paramètres suffisamment généraux pour correspondre à des informations qui pourraient n’avoir aucun lien avec l’enquête à mener. En outre, ces paramètres étaient appliqués suivant des approbations générales ne faisant état d’aucun contrôle interne particulier ni d’aucun suivi sur le plan des opérations ou au niveau des opérateurs. Compte tenu, entre autres, des limites caractérisant les outils de vérification des TI et de la sélection de paramètres de recherche généraux, force est de constater que les techniques de collecte finissent par ratisser trop large. D’ailleurs, l’OSSNR conclut que les pratiques d’enquête exercées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**] que lesdites pratiques ne sont pas assujetties à un encadrement qui permette de garantir le plus faible niveau d’intrusion possible.

En conséquence de ces conclusions, l’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête visant les systèmes de TI dans le contexte d’enquête de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi. De plus, une fois qu’un fondement juridique aura été posé, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde auxdites conclusions.

Dans la foulée de son Rapport annuel 2020 de l’OSSNR – lequel mettait l’accent sur l’adoption d’une approche visant à « faire confiance, mais [aussi à] vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR a travaillé avec le MDN/FAC pour concevoir une démarche favorisant les « accès par la voie d’un intermédiaire » (proxy access), c’est-à-dire une approche faisant intervenir un intermédiaire issu du ministère, qui accéderait aux dépôts d’information en présence d’un membre du personnel de l’OSSNR et qui pourrait examiner les informations pertinentes qui se trouvent dans le système. Le MDN/FAC s’est dit d’accord, en principe, avec ce type d’accès. Toutefois, compte tenu de la disparité des nombreuses bases de données pouvant se prêter aux recherches de CI, il y avait lieu de conclure que cette initiative ne pourrait pas être mise en oeuvre pendant le déroulement du présent examen. Néanmoins, l’information fournie par le MDN/FAC a été vérifiée en toute indépendance par l’OSSNR, par le biais d’une analyse documentaire et de réunions avec les experts du MDN/FAC. Des travaux collaboratifs sont toujours en cours afin de poursuivre l’élaboration d’un modèle d’accès devant s’appliquer à la vérification indépendante de divers type d’information.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées à l’alinéa 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Mise en contexte de l’examen

En juillet 2019, est entrée en vigueur la Loi sur l’OSSNR qui prévoyait la création de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR). En outre, le mandat organisationnel chargeait l’OSSNR d’examiner un vaste éventail d’activités réalisées dans l’ensemble du gouvernement du Canada, plus particulièrement dans la sphère de la sécurité nationale ou du renseignement, ce qui comprend les activités menées par le ministère de la Défense nationale et par les Forces armées canadiennes (MDN/FAC).

C’est en 2020 que l’OSSNR a réalisé son premier examen visant le MDN/FAC, examen qui s’est concentré sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC). Pendant cet examen, on a relevé deux (2) problèmes de conformité possibles, ce qui a incité les membres de l’OSSNR à approuver la tenue d’un nouvel examen en 2021.

Les problèmes devant faire l’objet d’un examen ultérieur étaient les suivants :

  • une pratique de l’UNCIFC, du sous-ministre adjoint, Gestion de l’information (SMA-GI) et du MDN/FAC consistant à demander de l’information devant être collectée grâce à des recherches effectuées dans les systèmes de technologie de l’information du MDN/FAC, et ce, en guise d’appui à des enquêtes de contre-ingérence (CI);
  • une entrevue réalisée avec un sujet en 2014 [**contient de l’information opérationnelle du MDN/FAC**]

Recherches visant les systèmes de TI

Le présent examen a évalué, en termes juridiques et techniques, la façon dont les recherches axées sur les TI étaient utilisées dans le cadre d’enquêtes de CI. L’examen s’est également penché sur les structures de reddition de comptes qui orientent l’acquisition d’information et de données.

Pendant le présent examen, l’OSSNR a analysé toutes les ressources dont il disposait : les documents matériels et électroniques, les dossiers d’enquête, la correspondance, les bases de données informatisées et les autres fonds d’information ayant trait aux opérations et aux enquêtes, de même que les politiques, les procédures et les conseils juridiques applicables. En outre, cette analyse a permis de vérifier le degré de conformité des activités aux exigences juridiques, ministérielles et stratégiques. Par ailleurs, on a échangé avec des gestionnaires et des officiers, mais aussi avec d’autres membres du personnel du MDN/FAC à l’occasion de présentations, d’entrevues et de réunions.

Pendant l’analyse d’un certain nombre de dossiers d’enquête choisis, l’examen a eu pour objet d’établir si les recherches axées sur les TI et les mesures de collecte d’information menées aux fins d’enquêtes de CI avaient enfreint, en l’occurrence, le principe d’attente raisonnable en matière de respect de la vie privée. De fait, suivant un examen rigoureux, l’OSSNR a tenté de savoir si les recherches menées à des fins d’enquêtes de contre-ingérence (CI) posaient le risque de capter des renseignements personnels qui soient révélateurs, voire intimes et qui pourraient être constitutifs du coeur de la biographie d’un utilisateur. Au Canada, la Constitution accorde à chaque personne le droit de s’attendre à ce que l’État respecte sa vie privée lorsque cet État est appelé à traiter des renseignements personnels qui s’avèrent significatifs, intimes et qui ont trait à l’ensemble des renseignements biographiques, ce qui inclut les renseignements personnels d’un utilisateur qui sont enregistrés dans le matériel informatique du lieu de travail.

L’OSSNR a sélectionné un échantillon de demandes de recherches axées sur les systèmes de TI, qui ont été soumises à l’UNCIFC. À partir de cet échantillon, l’OSSNR devait établir si l’UNCIFC, dans le cadre desdites recherches, s’était conformée aux lois et aux directives du ministre ainsi qu’aux directives, politiques et procédures établies en interne, et si elle avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

L’examen a porté sur un éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier d’actualité [**expurgé**] dont le niveau était élevé (niveau 3). En l’occurrence, il s’agissait d’illustrer les pratiques de l’UNCIFC et du SMA (GI) lorsque des recherches étaient menées dans les systèmes de TI (prière de consulter l’appendice 1 pour en connaître davantage sur ce dossier d’enquête). À travers le prisme de [**expurgé**] , l’OSSNR a tenté d’établir si l’UNCIFC et le SMA (GI) avaient agi contrairement à l’attente raisonnable de personnes en matière de respect de la vie privée pendant le déroulement des enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction des Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Entrevue avec un sujet

L’OSSNR a également réalisé un examen approfondi de l’entrevue que l’UNCIFC a réalisée avec un sujet en 2014. En l’occurrence, il s’agissait de comprendre ce qui avait mené à ladite entrevue, ce qui avait eu lieu en cours d’entrevue, les conséquences possibles de l’entrevue ainsi que la réaction du MDN/FAC après l’incident. L’OSSNR a examiné le dossier d’enquête de l’UNCIFC et en a vérifié le degré de conformité aux lois, aux directives ministérielles et aux politiques applicables. L’OSSNR s’est également penché sur les conseils juridiques formulés par le Cabinet du Juge-avocat général (Cabinet du JAG) et le Conseiller juridique des Forces canadiennes (CJFC).

L’examen de l’OSSNR a eu directement pour effet d’amener le Commandement du renseignement des Forces canadiennes (COMRENSFC) à émettre, le 9 septembre 2021, une directive [**contient de l’information opérationnelle du MDN/FAC**].

De l’avis de l’OSSNR, ces mesures ont répondu aux préoccupations initiales découlant de l’entrevue (avec un sujet) de 2014, dont il a été question précédemment. En conséquence, l’OSSNR a suspendu toute nouvelle enquête dans ce dossier. Or, l’OSSNR pourrait très bien décider de réexaminer cette pratique d’enquête à l’occasion d’examens à venir, une fois que la directive fonctionnelle aura été mise à jour par le COMRENSFC.

Contexte historique de l’UNCIFC

Depuis 1997, les fonctions de contre-ingérence et de sécurité exercées au sein du MDN/FAC ont subi de multiples transformations visant à réaliser des gains d’efficacité et à éliminer les conflits pouvant surgir avec les autres intervenants de la sphère de la sécurité, du renseignement et de l’application de la loi. Depuis son instauration, l’UNCIFC a fait l’objet de 10 études internes, chacune ayant reconnu qu’elle souffrait, entre autres, d’un manque de ressources et de contraintes sur le plan des politiques, ce qui l’a empêchée d’exercer pleinement son mandat. Un faible nombre des recommandations formulées dans ces rapports ont été mises en oeuvre. Lorsqu’on lui a demandé de faire état des raisons pour lesquelles un si grand nombre de recommandations étaient restées lettre morte, l’Unité a évoqué un manque à gagner sur le plan des ressources.

En 1997, le service de sécurité et d’enquêtes criminelles qui oeuvrait eu sein de l’Unité des enquêtes spéciales (UES) a été scindé en deux unités distinctes, à savoir l’UNCIFC et le Service national des enquêtes des Forces canadiennes (SNEFC). Cette démarche faisait suite au dépôt du rapport du Groupe consultatif spécial sur la justice militaire et les services d’enquête ainsi que de l’examen externe de l’Unité des enquêtes spéciales des Forces canadiennes.

La scission faisait écho à la séparation qui s’était produite au milieu des années 1980 entre la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignement de sécurité (SCRS). Pour la première fois, des mandats distincts avaient été créés au sein du MDN/FAC pour les fonctions d’application de la loi, de sécurité et contre-ingérence, et d’enquête de sécurité.

L’UNCIFC nouvellement créée était appelée à exercer les fonctions de sécurité et contre-ingérence au sein du MDN/FAC. Pour sa part, le SNEFC ne se concentre que sur les enquêtes criminelles. Enfin, la fonction d’enquête de sécurité a été établie et elle est désormais désignée comme étant celle du Directeur général – Sécurité de la défense, le Directeur – Sécurité du personnel et gestion de l’identité (DGSD/DSPGI).

La création de l’UNCIFC a été autorisée par le ministre de la Défense nationale (MinDN) au titre d’un arrêté ministériel d’organisation. Ensuite, en vertu d’une Ordonnance d’organisation des Forces canadiennes, le Chef d’état-major de la défense (CEMD) a instauré l’UNCIFC en tant qu’unité de la Force régulière relevant du Groupe du renseignement des Forces canadiennes (GP RENS FC).

Émise en mars 2003 avec l’autorisation du Sous-chef d’état-major de la défense, la série 8002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique pour les activités de CI de défense et réitérait, notamment, les responsabilités du MinDN, du SMA et du CEMD en matière de protection des ressources du MDN/FAC. [**contient de l’information protégée par le secret professionnel de l’avocat**] seraient équivalents à ceux qui sont exercés par les agents de sécurité du ministère qui se trouvent dans les divers ministères du gouvernement fédéral.

There are no provisions of the National Defence Act (NDA) that authorize the conduct of defence intelligence activities. CFNCIU investigations are the only area of defence intelligence that is squarely focused on Canadian citizens (DND employees/CAF members). [**contains information protected by solicitor-client privilege**]

Aucune des dispositions de la Loi sur la défense nationale (LDN) n’autorise la conduite d’activités de renseignement de défense. Les enquêtes de l’UNCIFC constituent le seul aspect du renseignement de défense qui soit expressément axé sur les citoyens canadiens (employés du MDN et militaires des FAC). [**contient de l’information protégée par le secret professionnel de l’avocat**]

Émise en juillet 2012 avec l’autorisation du sous-ministre adjoint (Gestion de l’information) et du dirigeant principal de l’information, la série 6002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique régissant les pouvoirs sur le plan des opérations, des techniques et de la sécurité pour ce qui concerne les systèmes de communication et d’information du MDN/FAC.

La DOAD 6002-2, Utilisation acceptable d’Internet, de l’intranet de la défense, d’ordinateurs et d’autres systèmes d’information fournit aux utilisateurs des instructions relatives aux utilisations officielles, autorisées, non autorisées et interdites des systèmes de TI. C’est d’ailleurs cette politique qui définit les utilisations autorisées et qui fait état de l’attente raisonnable des utilisateurs en matière de respect de la vie privée.

La DOAD 6002-2 indique aux utilisateurs que les utilisations autorisées comprennent les communications avec la famille, les amis et d’autres personnes; les transactions bancaires personnelles; ainsi que l’achat d’articles pour soi ou pour la famille. En l’occurrence, ces utilisations figureraient dans la catégorie des fins autres que les utilisations officielles. Les utilisateurs sont également informés que les attentes en matière de respect de la vie privée s’avèrent réduites en raison de la responsabilité qui incombe au ministère sur le plan de la surveillance des systèmes de TI à des fins d’administration, de maintenance et de sécurité, mais aussi sur le plan du maintien de la conformité aux politiques, aux instructions, aux directives et aux normes du Conseil du Trésor et du MDN/FAC.

Processus d'enquête

L’information que l’UNCIFC reçoit relativement aux menaces a plusieurs sources. De fait, cette information peut provenir de divers détachements, mais aussi de divers partenaires externes. Dès la réception l’information relative à une menace liée à un employé du MDN/FAC ou à un incident, les détachements régionaux (DR) préparent un compte rendu de renseignement (INTREP pour Intelligence Report) destiné au Quartier général (QG), où est centralisée la gestion de toutes les enquêtes.

À la suite de la reconnaissance de l’enjeu de sécurité, on note deux facteurs déterminants pour le déclenchement d’une enquête :

  • il doit avoir un soupçon selon lequel une activité ou un individu constituerait une menace (c.-à-d. le terrorisme, l’extrémisme, la subversion, le sabotage ou le crime organisé que l’on désigne également par le sigle TESSCO) ;
  • la menace soupçonnée doit avoir un lien manifeste avec l’information, l’effectif ou les biens du MDN/FAC.

Lorsque les activités se déroulent dans les limites de ce cadre, le lien doit être établi pour chacune des enquêtes. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Si les soupçons TESSCO et le lien sont suffisamment étayés, les détachements régionaux soumettent une demande faisant état du niveau d’enquête proposé.

Le cadre d’enquête de l’UNCIFC est unique dans la mesure où il aborde des questions de renseignement de sécurité qui sont semblables à celles du SCRS (c.-à-d. TESSCO en plus du crime organisé), alors que la potée de ses enquêtes doit se limiter à l’information, à l’effectif et aux biens du MDN/FAC (c.-à-d. le lien). Contrairement à ce que l’on peut voir au SCRS, la collecte de l’UNCIFC visant les menaces n’est pas expansive compte tenu de la nécessité d’établir un lien; et contrairement à un agent de sécurité du Ministère, l’UNCIFC ne mène des enquêtes ni sur la conformité à la politique ni sur les questions de sécurité découlant de comportements inappropriés – de la part d’employés – qui n’impliqueraient aucun des éléments TESSCO21. De plus, l’UNCIFC n’est responsable ni du filtrage de sécurité (qui est plutôt la responsabilité du DGSD/DSPGI) ni des enquêtes criminelles, qui sont plutôt la responsabilité du Service national des enquêtes des Forces canadiennes (SNEFC).

En définitive, il faut comprendre que le cadre d’enquête de l’UNCIFC occupe un espace étroit au-dessus des sphères portant sur la discipline et le filtrage de sécurité, mais en dessous des affaires de nature criminelle. Avant d’autoriser d’une enquête ou une opération de contre-ingérence, le MDN/FAC doit établir si :

  1. l’enquête est conforme aux lois en vigueur;
  2. les méthodes d’enquête correspondent au type de menace en cause et à la probabilité que celle-ci se concrétise;
  3. l’utilisation des techniques d’enquête intrusives est évaluée dans l’optique d’une éventuelle atteinte aux droits et libertés protégés par la Constitution;
  4. les méthodes de collecte d’information les moins intrusives sont utilisées, en tenant compte des circonstances particulières.

Le graphique ci-dessous fait synthétiquement état des divers niveaux d’enquête et des activités qui sont autorisées par la politique ministérielle pour chacun des cadres d’enquête :

CFNCIU - Graphique 1 caviardé : Processus d'enquête

Bien que les niveaux d’enquête s’inscrivent dans une chronologie, l’examen a permis de constater que la majorité des enquêtes étaient de niveau relativement faible (c.-à-d. EP et N1). Or, cette réalité n’est pas causée par l’absence de menaces TESSCO sérieuses. Elle est plutôt attribuable, en partie, [**expurgé**] l’UNCIFC [**expurgé**] des bases juridiques [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]

Lorsque l’UNCIFC a été créée en 1997, le contexte juridique entourant la Charte était bien différent de celui que l’on observe aujourd’hui. De plus, les technologies se sont développées à un tel point que les systèmes et dispositifs informatiques sont devenus des outils omniprésents. De plus, les capacités et les techniques de surveillance ont évolué. La loi s’est donc adaptée de sorte à protéger les droits garantis par la Charte en exigeant, notamment, que l’État obtienne des autorisations judiciaires (les mandats) lorsqu’il y a lieu de tenir compte d’une attente raisonnable en matière de respect de la vie privée.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

  1. [**expurgé**]
  2. [**expurgé**]
  3. [**expurgé**]
  4. [**expurgé**]
  5. [**expurgé**]
  6. [**expurgé**]
  7. [**expurgé**]
  8. [**expurgé**]
  9. [**expurgé**]
  10. [**expurgé**]

[**contient de l’information protégée par le secret professionnel de l’avocat**] Or, les recherches sans mandat qui vont à l’encontre de l’attente raisonnable en matière de respect de la vie privée sont présomptivement excessives, à moins qu’elles satisfassent aux critères énoncés dans l’arrêt Collins. L’UNCIFC n’a été en mesure de relever clairement aucune autorisation légale qui permette d’effectuer des recherches sans mandat aux fins visées à l’article 8 pendant les enquêtes de CI. Il est clair, dans le présent contexte juridique, que les pouvoirs de l’UNCIFC n’ont pas évolué au même rythme que le mandat tel qu’il est formulé. L’Unité – et dans une large mesure le COMRENSFC – a d’ailleurs reconnu que la politique était désuète sur le plan tant de la terminologie que du contenu. Toutefois, l’OSSNR note que l’actualisation des politiques internes ne fournirait pas forcément les pouvoirs nécessaires pour mener des activités pouvant donner lieu à une atteinte légitime aux droits garantis par la Charte. Les modifications qui permettraient à l’UNCIFC de mener la plupart des activités prévues pour les enquêtes de niveau 2 et de niveau 3 exigeraient que l’on modifie la loi. Du reste, ce constat a été établi dans de nombreux rapports internes qui avaient relevé d’importantes lacunes dans la politique.

Cela explique pourquoi l’Unité mise sur les politiques et les bases juridiques s’appliquant à des organismes d’enquête externes lorsqu’il s’agit d’exercer certaines fonctions, notamment, celles qui exigent un mandat. À titre d’exemple, l’UNCIFC ne peut [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]; ces techniques d’enquête sont toutes rendues possibles suivant le recours à des organismes d’enquête, au titre du mandat que ceux-ci exercent (c.-à-d. le SNEFC, le SCRS, etc.).

Le présent rapport, celui de l’examen de l’OSSNR no 2021-10, devrait être vu comme la continuation de l’examen que l’OSSNR a réalisé en 2019 « Examen visant l’Unité nationale de contre-ingérence des Forces canadiennes (2019-01) ». Or, en conséquence des difficultés posées par la pandémie de COVID-19, notamment, l’accès à l’infrastructure de GI/TI du MDN/FAC, l’OSSNR a décidé de scinder l’examen. Cette séparation a permis de formuler des conclusions et des recommandations à l’intention du ministre de la Défense nationale en février 2021. Le MDN/FAC avait alors accepté toutes les conclusions et recommandations de l’examen de 2019, mais l’OSSNR reconnaît que même si le présent examen suit le précédent de peu, les changements pourraient être déjà en cours de mise en oeuvre. Il va de soi que l’objectif du présent examen n’est pas de réitérer les conclusions et les recommandations formulées précédemment, mais plutôt de fournir de nouvelles observations, cette fois, suivant un contexte opérationnel.

Le présent examen a été l’occasion d’analyser un large éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier de niveau élevé (niveau 3), à savoir le [**expurgé**] , de sorte à illustrer les pratiques de l’UNCIFC et du SMA-GI lorsqu’ils exécutent des recherches axées sur les systèmes de TI (voir l’appendice 1 pour en connaître davantage sur ce dossier).

À travers le prisme de [**expurgé**] l’OSSNR a tenté d’établir si l’UNCIFC ou le SMA-GI avaient porté atteinte à l’attente raisonnable de certaines personnes en matière de respect de la vie privée pendant le déroulement d’enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC) au nom de l’UNCIFC à des fins de CI.

L’OSSNR a sélectionné un échantillon de recherches de l’UNCIFC axées sur les systèmes de TI dans le but d’établir si, pendant le déroulement de ses activités, l’UNCIFC avait agi en conformité avec la loi, les directives ministérielles et internes ainsi que les politiques et procédures, et si l’Unité avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

Conclusions et recommendations

Le présent examen se concentre sur les recherches que l’UNCIFC a effectuées dans le Réseau étendu de la Défense (RED). En l’occurrence, la politique interne autorise le personnel du MDN/FAC à utiliser ce réseau non classifié à des fins personnelles. L’UNCIFC soumet des demandes à trois unités qui disposent de capacités permettant de lancer des requêtes visant les activités qui se produisent dans le RED et de produire des rapports concernant certains utilisateurs ou certains sujets visés par une enquête. Les trois unités internes visées par l’examen étaient la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI), et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Pendant l’examen, l’OSSNR a relevé trois (3) sources de préoccupation concernant les demandes et l’exécution de recherches effectuées dans les réseaux de TI aux fins de CI. Ces sources de préoccupation s’énoncent comme suit :

  1. recherche dans le RED : les recherches de l’UNCIFC [**contient de l’information opérationnelle du MDN/FAC**]
  2. liste de vérification en plusieurs points : la liste de vérification que l’UNCIFC emploie pour relever et limiter les paramètres de recherche, mais aussi la façon dont les intervenants concernés définissent les paramètres de recherche;
  3. recherche élargie : la façon dont l’acquisition d’information peut servir à l’élargissement de recherches ultérieures.

Recherches visant le réseau étendu de la défense

L’UNCIFC demande que des recherches avancées visant les systèmes de TI soient exécutées en guise d’outils pour les enquêtes de CI. Ces recherches peuvent viser [**expurgé**] réseaux [**expurgé**] affichant une multiplicité de niveaux de classification (voir l’annexe F – APERÇU DES SYSTÈMES DE TI). Dans le contexte de ces enquêtes, les recherches sont, en quelque sorte, un assemblage hétérogène d’informations provenant des trois groupes internes : DIIGI, CORFC et DSUFGI.

Lorsqu’elle mène une enquête de CI, l’UNCIFC doit faire intervenir ces groupes séparément moyennant des demandes distinctes. Chaque groupe dispose de son propre processus pour ce qui a trait aux recherches, à la collecte et à la production de rapports d’information. La DIIGI, la DSUFGI et le CORFC peuvent, en toute légalité, effectuer des recherches et faire de la surveillance dans les systèmes de TI, lorsqu’il s’agit de [Translation] « gérer ou de protéger les systèmes informatiques ». À ce titre, ils peuvent également prendre les mesures qui s’imposent raisonnablement, ce qui comprend l’interception de communications privées. Toutefois, les accès qu’ont la DIIGI, la DSUFGI et le CORFC aux systèmes de TI du MDN/FAC dans le cadre des activités de sécurité réseau ne leur confèrent aucun pouvoir lorsqu’il s’agit d’accéder aux systèmes de TI dans le but [**expurgé**].

La démarche décrite par l’UNCIFC lorsqu’il s’agit de faire des recherches dans les systèmes de TI est illustrée par le diagramme ci-dessous :

[**figure expurgée**]

Généralement, la DIIGI, la DSUFGI et le CORFC ont recours à des processus semblables pour ce qui est de fournir la « matière demandée » (remits) – c.-à-d. les produits collectés – à l’UNCIFC à partir des divers systèmes de TI37. Aux étapes de la collecte et du filtrage, c’est l’analyste TI (DIIGI, DSUFGI et CORFC) qui détermine quelle information doit faire partie de la matière demandée. Les analystes récupèrent les données depuis les répertoires liés au sujet en fonction de sélecteurs préalablement définis figurant dans une liste en plusieurs points (élément abordé plus loin); la pertinence à l’égard de la demande est déterminée en dernier lieu suivant l’examen que l’analyste réalise après la collecte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

Dès lors que l’UNCIFC soumet sa demande, le CORFC mobilise son conseiller juridique, mais celui-ci ne semble être ni consulté ni impliqué en cours d’enquête [**contient de l’information protégée par le secret professionnel de l’avocat**]. La DSUFGI et la DIIGI ne disposent d’aucun mécanisme d’examen ou d’encadrement juridique et misent sur la liste de vérification pour appuyer leurs activités de collecte et de filtrage. Le MDN/FAC note que le CORFC sollicite des conseils juridiques (y compris des conseils prodigués verbalement) et qu’il en irait de même pour la DSUFGI et la DIIGI [**contient de l’information protégée par le secret professionnel de l’avocat**]. Toutefois, l’OSSNR n’est pas en mesure de vérifier cette affirmation.

Utilisation des systèmes de TI et attente raisonnable en matière de respect de la vie privée

Il importe de noter que les recherches que l’UNCIFC demande d’exécuter dans les systèmes de TI ne portent possiblement pas atteinte aux droits garantis par la Charte. Or, comme il a été souligné précédemment, le présent examen tente d’établir si les recherches exécutées dans le réseau RED non classifié à des fins de CI comportaient un risque d’atteinte à l’attente raisonnable d’une personne en matière de respect de la vie privée s’agissant des contenus informationnels, y compris ceux qui se trouvent dans les systèmes et dispositifs informatiques en milieu de travail. La jurisprudence reconnaît que l’utilisation des ordinateurs en milieu de travail à des fins personnelles pourrait susciter une attente, bien que relative, en matière de respect de la vie privée conformément aux dispositions de l’article 8 de la Charte. Une attente raisonnable en matière de respect de la vie privée est intimement liée aux faits et dépend de l’ensemble des « facteurs circonstanciels ».

Il est probable que les utilisateurs des systèmes de TI non classifiés du MDN/FAC nourrissent des attentes raisonnables en matière de respect de la vie privée lorsqu’ils se servent desdits systèmes à des fins personnelles. La politique du MDN/FAC qui encadre l’utilisation des systèmes et dispositifs informatiques autorise l’utilisation limitée du matériel informatique lorsqu’il s’agit d’activités de nature personnelle qui n’ont rien à voir avec les fonctions et tâches professionnelles ayant pour objet de favoriser la réalisation des objectifs du MDN et des FC. On peut notamment penser aux communications avec les membres de la famille, les amis ou d’autres personnes à propos de sujet non professionnels; aux achats que l’on fait en ligne pour soi ou pour la famille; ou à la consultation des sources électroniques d’actualités ou d’informations44. Ces activités autorisées (c.-à-d. celles dont les fins sont personnelles) peuvent véhiculer des informations personnelles révélatrices de ce que l’on peut appeler les renseignements biographiques essentiels, lesquels sont protégés en vertu de l’article 8 de la Charte45. Ainsi, un sujet visé par une enquête de l’UNCIFC serait en mesure d’établir un intérêt direct et de nourrir des attentes raisonnables en matière de respect de la vie privée s’agissant de tout contenu informationnel lié à une utilisation personnelle des réseaux du MDN/FAC.

Les employés et les militaires du MDN ont une attente raisonnable en matière de respect de la vie privée lorsqu’ils utilisent les ordinateurs pour des usages personnels. De fait, la politique du MDN/FAC reconnaît que :

« [l]es attentes en matière de vie privée sont limitées pendant l’utilisation des systèmes de TI, car ceux-ci font l’objet d’une surveillance aux fins d’administration, de maintenance et de sécurité des systèmes, et aux fins de conformité aux politiques, instructions, directives et normes du Conseil du Trésor, du MDN et des FAC. »

Une attente sur le plan du respect de la vie privée, fut-elle limitée ou réduite, est néanmoins une attente raisonnable en matière de respect de la vie privée au titre de l’article 8 de la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

L’OSSNR reconnaît que le MDN/FAC a un intérêt légitime quant à la protection des ressources du MDN et des FAC. Toutefois, les « subtilités » relatives au droit d’un employeur censé surveiller l’utilisation des dispositifs mis à la disposition des employés ont été mises en veilleuse par la Cour suprême. Les lois s’appliquant aux recherches visant les ordinateurs d’employés continuent d’évoluer. Or, l’attente raisonnable en matière de respect de la vie privée ne peut être assujettie à une intrusion de la part de l’État que dans la mesure où elle est autorisée par une loi appliquée raisonnablement.

Une recherche ou une fouille effectuée sans mandat est présumée abusive et contraire aux dispositions de l’article 8 de la Charte. À défaut d’un mandat, la Couronne doit prouver, selon la prépondérance des probabilités 1) que la recherche était autorisée par la loi; 2) que la loi l’autorisant n’avait elle-même rien d’abusif; et 3) que le pouvoir d’effectuer la recherche n’a pas été exercé d’une manière abusive. L’OSSNR est soucieux du fait que l’UNCIFC n’a pas adéquatement pris en compte sa base juridique pour établir si elle disposait du pouvoir légitime de mener des recherches sans mandat à des fins de CI.

[**expurgé**] à l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ainsi, les activités de CI ne donneraient lieu à aucune recherche dite abusive au sens de l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

L’UNCIFC [**expurgé**] pour les activités de CI et n’est pas expressément autorisée à se porter à l’encontre de l’attente raisonnable d’un sujet en matière de respect de la vie privée. Or, l’OSSNR note que l’objectif de la politique du Conseil du Trésor est d’assurer la sécurité du gouvernement, un objectif qui se distingue des activités de collecte de renseignement. Qui plus est, l’OSSNR insiste sur le fait que les politiques internes – même celles qui « reflètent et exemplifient les grandes lignes de la Politique sur la sécurité du gouvernement du Conseil du Trésor » – ne constituent vraisemblablement pas les autorités nécessaires pour permettre l’exercice d’activités de CI risquant de porter atteinte aux droits garantis par la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Bien que les recherches de l’UNCIFC ne s’intéressent aucunement aux affaires criminelles, l’exigence expresse de signaler tout méfait aux autorités compétentes peut vraisemblablement imposer plus fermement les normes de protection visées à l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Recherches [**expurgé**]

En [**expurgé**], le Comité de surveillance de la contre‑ingérence (CSCI) a autorisé une enquête de CI de niveau 3 dont le nom de code était [**contient de l’information concernant des enquêtes liées à la sécurité nationale**].

[**contient de l’information opérationnelle du MDN/FAC**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Liste de vérification en plusieurs points

La liste de vérification en plusieurs points fait office d’instructions permanentes d’opération. En effet, elle permet d’établir les paramètres à employer pour accepter les demandes de recherches axées sur les TI soumises par l’UNCIFC, et ce, en faisant correspondre les capacités de recherche technique avec les outils de cyberdéfense dont dispose le MDN/FAC.

La liste de vérification comporte une série de questions ayant trait aux enquêtes axées sur les TI, auxquelles il faut répondre à l’occasion des rapports d’analyse sur les sujets visés par des enquêtes. En outre, la liste de vérification en plusieurs points est considérée comme une série de demandes de soutien TI préalablement approuvées et de critères de recherches connexes qui ont déjà été examinés [**expurgé**]. La liste de vérification constitue la base des demandes que l’UNCIFC soumet à la DIIGI et à la DSUFGI dans la mesure où elle établit une correspondance entre la demande d’information et les critères de recherche autorisés tout en s’inscrivant dans le mandat et les autorisations légales de l’UNCIFC. L’UNCIFC a indiqué [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**expurgé**] Or, la DSUFGI et la DIIGI ne comptent aucun conseiller juridique au sein de leur personnel et doivent miser sur les conseils juridiques du Directeur juridique/Renseignement et opérations d’information (DJ/R et OI) ou sur les conseillers juridiques du quartier général relevant du SMA (GI) par l’entremise de l’UNCIFC.

L’UNCIFC indique que les métadonnées se distinguent des contenus dans la mesure où elles ne constituent que [Traduction] « les attributs d’un contenu et ne révèlent rien de celui-ci. » Ce point de vue repose sur l’argument voulant que les métadonnées ne contiennent aucun élément de contenu, ce qui les rendrait moins sensibles, selon l’UNCIFC. Les métadonnées, [**expurgé**] sont acheminées à l’UNCIFC et proviennent des courriels envoyés ou reçus par le sujet. Ces métadonnées contiennent les attributs des courriels, notamment, l’envoyeur et le destinataire, mais aussi le contenu du champ Objet et le nom des fichiers joints.

L’OSSNR fait remarquer que selon le contexte, les métadonnées peuvent révéler des renseignements biographiques essentiels sur le sujet tout autant que les contenus. D’ailleurs, les informations qui paraissent parallèlement aux renseignements biographiques relatifs à un sujet peuvent s’avérer révélatrices, voire indiscrètes lorsqu’elles sont associées à d’autres informations. Lorsque l’on se penche sur l’information collectée en vertu de la liste de vérification, il peut arriver que des informations personnelles, voire intimes concernant le sujet visé par une enquête y soient révélées contrairement à ce qui était initialement envisagé ou autorisé. De plus, le contenu du champ Objet des courriels a généralement plus en commun avec le contenu qu’avec les métadonnées. En effet, en annonçant le contenu à communiquer, ce champ Objet peut dévoiler le contenu d’un courriel, faisant en sorte que son degré de sensibilité s’apparente à celui du contenu même dudit courriel. Ainsi, il serait inexact de prétendre que le contenu du champ Objet des courriels ne serait qu’une simple métadonnée.

Il importe de noter que pendant le processus de filtrage, les analystes de la DSUFGI évaluent le degré de pertinence en fonction des métadonnées des courriels du sujet [**expurgé**]. La DIIGI procède sensiblement de la même façon. Les retours sont filtrés de sorte à inclure les métadonnées relatives au sujet. Au demeurant, la DSUFGI et la DIIGI, comme il a été dit plus tôt, ne disposent pas d’un soutien juridique qui soit intégré87. L’OSSNR note que les pratiques voulant que les analystes de la DSUFGI et de la DIIGI filtrent l’information afin d’en établir le degré de pertinence – et, dans certains cas, pour veiller à ce que les résultats ne révèlent pas le contenu – constituent des méthodes inappropriées lorsqu’il s’agit d’exécuter des recherches axées sur les TI, dans la mesure où elles contreviennent probablement aux intérêts du sujet en matière de respect de la vie privée (question abordée plus loin).

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En définitive, la politique actuelle [**expurgé**] de l’UNCIFC en matière de TI, laquelle régit les recherches axées sur les TI, [**contient de l’information protégée par le secret professionnel de l’avocat**]. De plus, les recherches axées sur les TI qui s’appuient sur les points de la liste de vérification ne font pas l’objet d’une consultation ou d’un encadrement juridiques (au-delà de la création du modèle de la liste de vérification) [**expurgé**]. Cette situation pose problème puisqu’en raison de leur libellé, les points de la liste de vérification peuvent faire en sorte que des informations relatives au mode de vie et aux choix personnels du sujet soient captées, informations qui sont normalement protégées par les dispositions de l’article 8 de la Charte.

Par exemple, le point 8 de la liste de vérification est [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ce type d’approche risque tout de même de dévoiler des informations par rapport auxquelles le sujet pourrait avoir une attente raisonnable en matière de respect de la vie privée, [**contient de l’information protégée par le secret professionnel de l’avocat**].

Il importe de noter que pendant l’enquête [**expurgé**] l’UNCIFC a présenté au CORFC une demande comportant [**contient de l’information opérationnelle du MDN/FAC**] Le CORFC a rappelé à l’UNCIFC que l’attente raisonnable en matière de respect de la vie privée s’appliquait et que [Traduction] « les enquêtes exploratoires [fishing expeditions] étaient interdites ». On a donc procédé au retrait de la demande [**expurgé**] au CORFC. En revanche, l’UNCIFC a demandé des informations semblables à la DIIGI, qui a acquiescé et a fourni [**expurgé**]. Certes, ces deux demandes n’ont pas été soumises en même temps, mais elles montrent clairement que deux requêtes très semblables peuvent mener à des résultats complètement différents.

À la différence de la DSUFGI et de la DIIGI, le CORFC dispose de ses propres politiques, directives et instructions permanentes d’opération, et doit répondre à des exigences particulières avant qu’une demande de l’UNCIFC puisse être mise à exécution. À titre d’exemple, contrairement à ceux de la DSUFGI et de la DIIGI, les processus du CORFC prévoient qu’un examen juridique sera réalisé par le JAG du GOIFC [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]. L’OSSNR note que l’approche adoptée par le CORFC lorsqu’il s’agit de recevoir le résultat des examens juridiques que le JAG du GOIFC a initialement menés aux fins d’une enquête est préférable à celle de la DSUFGI et de la DIIGI consistant [**expurgé**].

Compte tenu du fait que les points de la liste de vérification et les sélecteurs proposés posent le risque que des informations biographiques, voire intimes concernant le sujet soient captées, l’utilisation de la liste de vérification devient problématique dès lors qu’elle diffère des paramètres convenus et qu’elle n’est ni orientée ni approuvée sur le plan juridique.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Pendant le déroulement du [**expurgé**] l’UNCIFC a pris des mesures visant à restreindre ses paramètres de recherche. Auparavant (c.-à-d. avant l’instauration de la liste de vérification en plusieurs points), les demandes d’information (DI) reposaient sur des paramètres généraux dont la portée était vaste. En effet, à partir de 2014 et jusqu’à l’instauration de la liste de vérification, les DI [**contient de l’information opérationnelle du MDN/FAC**] également partie des DI. En outre, [**expurgé**].

En [**expurgé**] un mois avant l’autorisation de l’enquête [**expurgé**] les enquêteurs de l’UNCIFC ont discuté des contenus abordés par les DI et se sont dits favorables [**contient de l’information opérationnelle du MDN/FAC**]

Le MDN/FAC a bien tenté de restreindre les paramètres de recherche suivant la mise en oeuvre de la liste de vérification en plusieurs points. Toutefois, même avec la liste de vérification, les requêtes axées sur les TI de l’UNCIFC qui ont été présentées dans le cadre de l’enquête [**expurgé**] se fondaient sur des paramètres de recherche si généraux que l’on risquait d’obtenir des informations qui n’avaient rien à voir avec ladite enquête.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Le fait de filtrer les données – pour ne retenir que celles qui s’avèrent pertinentes – après que la collecte et la recherche aient initialement eu lieu pose un risque juridique dans la mesure où toute possibilité d’atteinte à l’attente raisonnable du sujet en matière de respect de la vie privée se serait déjà matérialisée sous l’effet des mesures prises par l’État. Même si l’analyste des TI exécute un filtrage avant d’acheminer les informations à l’UNCIFC, il n’en demeure pas moins que la recherche et la captation qu’il a réalisées en amont constituent respectivement une « fouille » et une « saisie » au sens de l’article 8 de la Charte, dès lors que ladite recherche porte atteinte à une attente raisonnable en matière de respect de la vie privée.

De fait, ces paramètres constituent des facteurs d’approbation globale sans comporter de mesures internes de contrôle ou de surveillance, et ce, sur le plan des opérations, mais aussi au niveau des opérateurs. Compte tenu de la [**expurgé**] les techniques de collecte finissent par ratisser passablement large. C’est donc à l’analyste ou à l’enquêteur qu’il revient de déterminer ce qui est pertinent, donc de filtrer les résultats une fois que les informations/les données ont été collectées.

L’OSSNR a remarqué six occurrences d’élargissement des critères de recherche, ou bien en dehors des critères énoncés dans la liste de vérification ou bien en marge de la demande initiale soumise au CORFC, comme il est illustré en appendice II « Élargissement de la portée d’une recherche – [**expurgé**] exemples particuliers ». En l’occurrence, aucune consultation juridique additionnelle n’a eu lieu, mais il a été clairement indiqué qu’il y avait un risque de contrevenir aux intérêts garantis par la Charte. Comme il a déjà été dit, l’application de paramètres de recherche généraux suivie d’un filtrage des informations « pertinentes » ne constitue pas une technique d’enquête appropriée. De plus, cette approche ne suit pas la politique du MDN/FAC sur le programme de CI, qui vise à faire en sorte qu’avant les enquêtes ou les opérations, la possible utilisation de techniques intrusives soit évaluée en tenant compte d’une possible atteinte aux droits garantis par la Constitution, d’une part, et d’autre part, que les techniques de collecte les moins intrusives soient utilisées tout en tenant compte des circonstances particulières.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexes

Appendix I: [**expurgé**]

Le [**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

[**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

En [**expurgé**] le CSCI a autorisé une enquête de niveau 3 portant le nom de code [**contient de l’information opérationnelle du MDN/FAC**].

Par l’intermédiaire de son Secrétariat de la coordination de l’examen et de la surveillance de la sécurité nationale et du renseignement (SCESSNR), le MDN/FAC a fourni une importante quantité de documents en réponse à notre demande d’information. Il importe cependant de souligner que l’information fournie n’a pas été vérifiée en toute indépendance par l’OSSNR.

[**diagramme et tableau expurgés contenant des informations relatives aux opérations du MDN/CAF**].

APPENDICE II : [**expurgé**] - Exemples spécifiques

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En [**expurgé**] la DIIGI 3-5 a fourni [**expurgé**]. Au moment de communiquer l’information, la DIIGI 3-5 a ajouté que le rapport avait été généré à partir de [**contient de l’information opérationnelle du MDN/FAC**]

Entre [**expurgé**] le CORFC a fourni de l’information à l’UNCIFC en réponse à une demande de recherche axée sur les TI. Cette information énumérait [**contient de l’information opérationnelle du MDN/FAC**].

Le [**expurgé**] l’UNCIFC a demandé au CORFC [Traduction] « un tableau principal énumérant tous les courriels transmis à ce jour avec leurs en-têtes112 ». Cette demande ne comprenait pas les critères de recherche initialement convenus. Le CORFC a accepté cette modification et a fourni un autre rapport contenant [**expurgé**]. Cette modification a eu des répercussions sur les rapports relatifs aux [**expurgé**] qui ont été ultérieurement produits par le CORFC et fournis périodiquement à l’UNCIFC.

En [**expurgé**] l’UNCIFC a demandé au CORFC de lui faire part de [**contient de l’information opérationnelle du MDN/FAC**]. L’UNCIFC a également demandé [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a remis un rapport à l’UNCIFC contenant [**expurgé**]. Parmi les critères de recherche employés, il y avait bien plus que [**expurgé**]. On y retrouvait [**expurgé**] précédemment par l’UNCIFC. La DIIGI 3-5 précise également que [Traduction] « S’il y a [**contient de l’information opérationnelle du MDN/FAC**].

[**expurgé**] Activités

En [**expurgé**] l’UNCIFC a demandé au CORFC d’effectuer une recherche [**expurgé**]. Le CORFC a exécuté la recherche et en a fourni les résultats, lesquels comprenaient [**expurgé**] Il semble que cette demande additionnelle ait fait en sorte d’élargir les critères de recherches pour tous les rapports ultérieurs devant porter que [**expurgé**]. En effet, le nouveau critère de recherche incluait désormais les activités de tout utilisateur s’étant servi de l’un des supports amovibles déjà utilisés par le sujet de l’enquête.

[**expurgé**]

En [**expurgé**] , l’UNCIFC a demandé à la Gestion des événements et de l’information de sécurité (GEIS) de la DIIGI 3-5 de fournir les données [**contient de l’information opérationnelle du MDN/FAC**]. Les données du GEIS comprennent [**expurgé**]. La DIIGI 3-5 a ultérieurement confirmé [**expurgé**].

Le [**expurgé**] l’UNCIFC a demandé à la DSUFGI des recherches axées sur les TI concernant [**contient de l’information opérationnelle du MDN/FAC**] de même que tous [**expurgé**]. Quelques jours plus tard, la DSUFGI a indiqué à l’UNCIFC qu’elle [Traduction] « voyait [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a discuté en interne d’une requête en suspens de l’UNCIFC demandant [Traduction] « d’identifier [**expurgé**] ». Elle a de plus indiqué que c’était possible si [**expurgé**]. Pour l’heure, on ne sait trop pourquoi la portée de l’enquête [**expurgé**]. Dans une correspondance ultérieure, la DIIGI 3-5 a défini les critères de recherche exacts employés en réponse aux 20 questions sur les « requêtes axées sur les TI » (“IT Inquiry”). Ces critères comprenaient [**expurgé**] reconnus par l’UNCIFC comme ayant été [**expurgé**].

En [**expurgé**] l’UNCIFC a fourni au CORFC la liste [**contient de l’information opérationnelle du MDN/FAC**]. La liste avait été fournie accompagnée d’une demande à l’intention du CORFC[**expurgé**].

En [**expurgé**] l’UNCIFC a demandé à la DSUFGI d’effectuer une recherche [**contient de l’information opérationnelle du MDN/FAC**]. Un mois plus tard, la DSUFGI a répondu en produisant un rapport contenant [**expurgé**] . Parmi les [**expurgé**].

Annexe A : Conclusions et Recommandations

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexe B : Sigles et acronymes

  ADM(IM)  Assistant Deputy Minister Information Management
  CDS  Chief of the Defence Staff
  CF INT GP  Canadian Forces Intelligence Group
  CFINTCOM  Canadian Forces Intelligence Command
  CFIOG  Canadian Forces Information Operations Group
  CFIOG JAG  Canadian Forces Information Operations Group Judge Advocate General
  DND/CF Legal Advisor  Office of the Department of National Defence and Canadian Forces Legal Advisor
  CFNCIU  Canadian Forces National Counter-Intelligence Unit
  CFNIS  Canadian Forces National Investigation Service
  CFNOC  Canadian Forces Network Operations Center
  AVE  Counter-intelligence
  CIOC  Counter-Intelligence Oversight Committee
  DAOD  Defence Incidents administratifs Orders et la Directives
  DGDS/ DPSIM  Director General Defence Security, the Director Personal Security and Identification Management
  DIMEI  Directorate of Information Management Engineering and Integration
  DIMEUS  Department of Information Management End-User Services
  Cabinet du JAG  Cabinet du Juge-avocat général
  CEMD  Chef d’état-major de la défense
  AVE  contre-ingérence
  CJ du MDN/FAC  Bureau du Conseiller juridique du ministère de la Défense et des Forces canadiennes
  COMRENSFC  Commandement du renseignement des Forces canadiennes
  CONS JUR  Bureau du conseiller juridique auprès du ministère de la Défense nationale et des Forces canadiennes
  CORFC  Centre d’opérations des réseaux des Forces canadiennes
  CSCI  Comité de surveillance de la contre‑ingérence
  DGSD/DSPGI  directeur général – Sécurité de la défense, Directeur – Sécurité du personnel et gestion de l’identité
  DIIGI  Direction – Ingénierie et intégration (Gestion de l’information)
  DJ/R et OI  directeur juridique/Renseignement et opérations d’information
  DOAD  Directives et ordonnances administratives de la défense
  DSUFGI  Direction – Services à l’utilisateur final (Gestion de l’information)
  GOIFC  Groupe des opérations d’information des Forces canadiennes
  GP RENS FC  Groupe du renseignement des Forces canadiennes
  INTREP  compte rendu de renseignement (Intelligence Report)

Annexe C : Directives du COMRENSFC

[**lettre expurgée**]

Annexe D : Liste de vérification en 20 points

[**liste de contrôle expurgée**]

Annexe E : [**expurgé**]

Annexe F : Aperçu des systèmes de TI

Le tableau ci-dessous met en évidence les réseaux faisant partie de l’infrastructure de GI/TI du MDN/FAC ainsi que les zones de responsabilité correspondant à chacun des groupes décrits précédemment.

[**tableau expurgé**]


Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Examen des pratiques d’échange d’informations entre divers volets du mandat du CST

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Le présent rapport présente une légère modification par rapport à la version finale qui a été soumise au Ministre. En effet, une erreur de formulation s’était glissée dans l’énoncé de la conclusion no 4, donnant lieu à deux libellés différents dans le rapport et dans le sommaire. Une correction a donc été apportée aux fins de publication. Précisions que le libellé exact a toujours été présent dans le corps du rapport final et qu’en définitive, le libellé erroné a été remplacé par le bon libellé aux fins de publication.

Sommaire

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité).

(NC) L’OSSNR a vérifié si les échanges internes d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC) effectués par le CST étaient conformes aux dispositions de la Loi sur la protection des renseignements personnels, qui impose aux institutions fédérales des restrictions sur l’utilisation des renseignements personnels obtenus par voie de collecte, mais aussi de la Loi sur le CST, qui encadre les ICPC collectées de manière incidente et leur utilisation par le CST. Considérant les descriptions que les articles 16 et 17 de la Loi sur le CST fournissent concernant les volets, l’OSSNR constate qu’il peut arriver que des informations collectées par l’un des volets soient utilisées par un autre volet pour des fins semblables ou autrement justifiables. En l’occurrence, il semble bien que les exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne soient respectées. Toutefois, il convient de garder une certaine réserve dans la mesure où les volets énoncés dans la Loi sur le CST diffèrent les uns des autres. En effet, le CST est tenu de procéder, dans chacun des cas, à une analyse de la conformité visant à étudier l’objet de la collecte et des échanges envisagés.

(NC) L’OSSNR estime qu’il est nécessaire que toute demande d’autorisation ministérielle présentée par le chef du CST informe le ministre concernant la façon dont les ICPC pourraient être utilisées par le CST – ce qui comprend l’éventualité d’une communication des ICPC à un autre volet – et les objectifs visés. Hormis une seule exception, les demandes présentées par le chef pendant la période d’examen informaient adéquatement le ministre de la Défense nationale concernant la façon dont les ICPC pourraient être utilisées en guise d’appui à un autre volet. Qui plus est, les demandes en matière de renseignement étranger fournissaient au ministre les informations appropriées quant à la façon dont le CST avait évalué le caractère essentiel (ou l’essentialité) servant à justifier la collecte d’ICPC dans le cadre du volet RE.

(NC) La politique du CST indique qu’une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets est requise avant que des informations puissent être retransmises entre lesdits volets. En outre, la politique du CST fournit des définitions ainsi que des critères d’évaluation et d’application des balises s’appliquant aux informations. Au reste, l’OSSNR est d’avis que le cadre stratégique du CST régissant la communication interne d’informations entre les volets cybersécurité et renseignement étranger du mandat est conforme aux dispositions de la Loi sur le CST.

(NC) Les informations fournies par le CST n’ont pas été l’objet d’une vérification indépendante de la part de l’OSSNR. Or, des travaux sont en cours dans le but de préparer des politiques opérantes et des pratiques exemplaires devant s’appliquer aux vérifications indépendantes de divers types d’informations selon une approche axée sur la confiance, mais aussi sur la prudence, qui répond à l’engagement de l’OSSNR.

Pouvoirs

(NC) Le présent examen a été réalisé conformément aux dispositions énoncées à l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité). De plus, le présent examen avait pour objectif de recenser les activités ayant trait à la communication en interne d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada, plus particulièrement entre les volets « cybersécurité » et « renseignement étranger ». En l’occurrence, cette démarche avait pour objet d’alimenter les examens que l’OSSNR serait ultérieurement appelé à réaliser.

(TS) Le Bureau du commissaire du Centre de la sécurité des télécommunications (BCCST) avait déjà étudié les modalités d’échange et d’accès s’appliquant aux informations sur les cybermenaces échangées entre la Direction du SIGINT et la Direction de la Sécurité des TI du CST. L’examen du BCCST avait alors conclu que les activités d’échange d’informations sur les cybermenaces qui avaient eu lieu entre le SIGINT et la Sécurité des TI du CST avaient été conformes aux exigences énoncées dans la Loi sur la défense nationale et dans la Loi sur la protection des renseignements personnels. L’examen a également indiqué que les informations échangées entre les deux directions n’avaient posé qu’un risque faible pour la vie privée des Canadiens.

(NC) Avec l’entrée en vigueur de la Loi sur le CST, le 1er août 2019, les fondements juridiques sur lesquels s’appuient les activités du CST ont subi des modifications dans la foulée de l’examen du BCCST. En considération des modifications apportées à ces fondements juridiques, l’OSSNR a amorcé une nouvelle évaluation visant à établir si les activités internes d’échange d’informations entre les volets cybersécurité et renseignement étranger du CST étaient toujours conformes aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels.

(NC) D’emblée, l’OSSNR s’attend à ce que les échanges internes d’ICPC effectués au sein du CST répondent aux exigences de la Loi sur le CST et de la Loi sur la protection des renseignements personnels. Le présent examen a donc mis l’accent sur l’analyse des fondements juridiques permettant au CST de procéder à des échanges d’ICPC entre les volets cybersécurité et renseignement étranger.

(NC) La Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) divise le mandat du CST en cinq volets distincts. En l’occurrence, la Loi sur le CST établit des distinctions entre les volets, notamment, sur le plan des objectifs et des activités. Voici donc un aperçu de ces distinctions :

  • Renseignement étranger (RE) (article 16) : acquérir de l’information à partir de l’infrastructure mondiale de l’information (IMI) et utiliser, analyser et diffuser l’information dans le but de fournir des renseignements étrangers.
  • Cybersécurité et assurance de l’information (cybersécurité) (article 17) : fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou celles désignées par le paragraphe 21(1) de la Loi sur le CST, mais aussi acquérir, utiliser et analyser l’information de sorte à renforcer la protection de cette information électronique et de ces infrastructures.
  • Cyberopérations défensives (article 18) : mener, dans l’infrastructure mondiale de l’information, des activités ayant pour but de protéger l’information électronique de même que les infrastructures de l’information des institutions fédérales ou celles désignées au paragraphe 21(1) de la Loi sur le CST.
  • Cyberopérations actives (article 19) : mener des activités dans l’infrastructure mondiale de l’information visant à réduire, à interrompre, à influencer ou à contrecarrer, selon le cas, les capacités, les intentions ou les activités d’entités étrangères.
  • Assistance technique et opérationnelle (article 20) : fournir une assistance technique et opérationnelle aux organismes chargés de l’application de la loi et de la sécurité, aux Forces canadiennes et au ministère de la Défense nationale.

(NC) De plus, la Loi sur le CST établit des distinctions entre les volets en exigeant aussi l’obtention d’autorisations ministérielles (AM) pour les diverses activités du CST, sauf dans les contextes où celui-ci prête son assistance (art 20)6. En outre, exception faite des activités d’assistance, la Loi sur le CST stipule que les activités du CST ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne peuvent porter atteinte à la Charte canadienne des droits et libertés7. Les activités menées par le CST dans la réalisation du volet touchant au RE et à la cybersécurité ne doivent pas contrevenir aux autres lois fédérales ni viser l’acquisition d’information à partir de l’infrastructure mondiale de l’information ou par l’entremise de celui-ci qui puisse porter atteinte à une attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada, à moins d’être menées au titre d’une autorisation ministérielle.

(NC) Le ministre de la Défense nationale peut délivrer une AM permettant au CST de mener des activités ou des catégories d’activités pouvant contrevenir à une loi fédérale et, dans le cas du RE et de la cybersécurité, de viser l’acquisition d’informations qui porteraient atteinte à l’attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada. Les AM de RE et de cybersécurité doivent être approuvées par le commissaire au renseignement (CR), qui est tenu d’examiner si les conclusions que le ministre a rendues avant de délivrer l’autorisation sont raisonnables.

(NC) Ainsi, le CST est autorisé à acquérir incidemment des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada au cours d’activités menées au titre d’une autorisation délivrée en vertu d’une AM de RE [art 26(1)], d’une AM de cybersécurité [art 27(1) ou 27(2)] ou encore d’une AM en cas d’urgence (art 40). Le CST désigne ces informations comme étant des informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC). Avant de délivrer une autorisation, le ministre doit être convaincu que le CST n’utilisera, n’analysera ou ne conservera les ICPC que si la situation répond aux conditions d’essentialité visées à l’article 34 de la Loi sur le CST, conditions qui sont différentes dans le cas des volets RE et cybersécurité. Pour ce qui touche le RE, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est essentielle aux affaires internationales, à la défense ou à la sécurité. Pour ce qui a trait à la cybersécurité, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est nécessaire pour découvrir, isoler, prévenir ou atténuer des dommages (i) aux informations électroniques ou infrastructures de l’information des institutions fédérales ou encore (ii) aux informations électroniques ou infrastructures de l’information visées au paragraphe 21(1) de la Loi sur le CST.

(NC) Étant donné que la Loi sur le CST établit des distinctions entre les volets et leurs AM respectives, l’OSSNR a examiné les fondements juridiques encadrant les activités du CST en matière d’échange d’ICPC entre les volets RE et cybersécurité.

(NC) En raison de difficultés opérationnelles et de problèmes liés aux accès, notamment en contexte de pandémie de COVID-19, le présent examen n’a donné lieu ni à une évaluation ni à une vérification indépendantes de la conformité du CST aux lois ou aux contraintes et pouvoirs en vigueur dans les cas d’échanges d’informations en interne, entre divers volets. Au reste, l’OSSNR n’a pas été en mesure de procéder en toute indépendance à des observations, à des enquêtes ou à des validations visant les systèmes employés aux fins des échanges de données entre divers volets (prière de consulter l’Annexe F pour trouver une description des méthodes et des processus suivis par le CST pour échanger des informations entre deux volets). Or, ces systèmes d’échange de données pourraient ultérieurement être l’objet d’un examen de la part de l’OSSNR.

12. (NC) L’OSSNR avait également l’intention d’examiner les échanges internes d’informations du côté des volets cyberopérations actives (COA) et cyberopérations défensives (COD) du mandat du CST, ce qui comprend également les exigences visées au paragraphe 34(4) de la Loi sur le CST concernant l’acquisition d’informations pendant les cyberopérations de type COA ou COD. Entre autres, ce paragraphe stipule qu’aucune information ne sera acquise au titre d’une autorisation de COA ou de COD, sauf conformément à une autorisation de RE [Loi sur le CST, paragraphe 26(1)], à une autorisation de cybersécurité [Loi sur le CST, paragraphes 27(1) et 27(2)] ou à une autorisation en cas d’urgence [Loi sur le CST, paragraphe 40(1)]. Cet aspect de l’examen a plutôt été réalisé à l’occasion d’un autre examen de l’OSSNR intitulé Cyberopérations actives et cyberopérations défensives du CST – Gouvernance et sera examiné plus avant à l’occasion d’un prochain examen de l’OSSNR devant se dérouler en 2021.

(NC) Il importe d’indiquer que le présent examen ne s’est pas penché sur la communication d’informations nominatives sur un Canadien (INC) à l’extérieur du CST.

Renseignements généraux

Que sont les ICPC?

(NC) Même si elle est mentionnée à plusieurs reprises dans la Loi sur le CST, la notion « information se rapportant à un Canadien ou à une personne se trouvant au Canada » (ICPC) n’y est pas précisément définie. De fait, les ICPC sont des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada et qui pourraient être incidemment collectées par le CST durant des activités de RE ou de cybersécurité menées au titre d’une AM. Selon la politique du CST, s’entend d’une ICPC toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, que cette information puisse ou non servir à identifier ledit Canadien ou ladite personne se trouvant au Canada.

(NC) Il faut donc savoir que les ICPC diffèrent de ce que l’on appelle les informations nominatives sur un Canadien (INC). En outre, la Loi sur le CST emploie fréquemment les deux termes, ICPC et INC, pour désigner certains types d’informations. De fait, les ICPC comprennent toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, tandis que les INC comprennent toute information qui permet d’identifier un Canadien ou une personne se trouvant au Canada et qui a été utilisée, analysée ou conservée au titre d’une autorisation de RE ou de situation d’urgence. Pour le CST, les INC sont un sous-ensemble des ICPC. Par ailleurs, l’article 43 de la Loi sur le CST indique que les INC peuvent être communiquées par le CST à des personnes désignées en vertu de l’article 45 de cette même Loi.

Échanges internes d’ICPC au CST

(TS) Dans certains cas, la politique du CST permet que les ICPC collectées dans le cadre des activités d’un volet soient communiquées aux fins d’utilisation par un autre volet (voir l’Annexe D pour une description des autres types d’informations pouvant être échangées entre les volets RE et cybersécurité). Le CST permet que le RE soit utilisé en interne pour répondre à des besoins liés à la cybersécurité. Les informations conservées au sein du volet cybersécurité peuvent être utilisées par le personnel du CST travaillant au sein du volet RE, à moins que les informations soient assujetties à des conditions particulières imposées par des clients externes ou des entités divulgatrices. Selon le CST, les échanges d’information entre les divers volets du mandat permettent au Centre d’exercer ses fonctions de soutien aux priorités du gouvernement du Canada.

(TS) Dans le contexte de la cybersécurité, le CST a indiqué que les ICPC échangées en interne dans le but d'appuyer le volet RE [description des opérations du CST expurgé]

(TS//SI) À titre d’exemple, le CST a abordé [description des opérations du CST expurgé]. Le fait de communiquer cette information entre divers volets du mandat a permis au CST de renforcer la protection de l’information électronique et des structures de l’information du GC, mais aussi des systèmes et réseaux d’importance (SRI) en permettant de reconnaître, d’isoler et d’atténuer la menace en question. Cette communication a également fourni aux décideurs du GC un portrait complet des menaces qui ciblent le Canada.

(TS) Après avoir examiné une série de rapports choisis au hasard, reçu des informations de la part du CST et interrogé des analystes expérimentés à la fois en RE et en cybersécurité29, l’OSSNR a appris que les ICPC échangées30 entre les volets RE et cybersécurité comprenaient généralement [liste des données opérationnelles utilisées dans le système expurgé]

(NC) Le CST estime que même lorsque des ICPC sont échangées entre les divers volets, les activités ne ciblent aucunement des Canadiens ou des personnes se trouvant au Canada. Comme il a été dit précédemment, les activités du CST ne doivent viser ni les Canadiens ni les personnes se trouvant au Canada..

Conclusions et recommendations

Conformité aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels

Quelles sont les lois s’appliquant aux échanges d’informations en interne?

(S) Les lois s’appliquant au CST en matière d’échange d’informations en interne sont les lois habilitantes du CST, à savoir la Loi sur le CST et la Loi sur la protection des renseignements personnels. La Loi sur le CST ne contient pas à proprement parler d’autorisation permettant les échanges d’ICPC entre les divers volets. De même, les dispositions de la Loi sur le CST en matière de divulgation des INC, lesquelles sont énoncées aux articles 43 à 45, n’abordent pas directement la question des échanges d’ICPC en interne. De fait, pour que des informations soient divulguées en vertu de ces dispositions, le ministre doit d’abord autoriser le CST à collecter les INC et à les communiquer en interne. De plus, le CST ne constitue pas une entité désignée en vertu de l’article 45 de la Loi sur le CST pour ce qui a trait à la réception d’informations divulguées au titre des articles 43 et 44.

(NC) Les ICPC pourraient constituer des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels, à savoir des informations se rapportant à une personne identifiable, qui sont enregistrées sous une forme ou une autre. Par exemple, les adresses IP canadiennes pourraient constituer à la fois des ICPC au sens de la Loi sur le CST, mais aussi des renseignements personnels au sens de la Loi sur la protection des renseignements personnels. En vertu de l’article 4 de la Loi sur la protection des renseignements personnels, la collecte de renseignements personnels doit être directement liée à une activité ou un programme d’exploitation de l’organisme, ce qui englobe les activités relevant du mandat du CST en vertu de la Loi sur le CST.

(NC) La Loi sur la protection des renseignements personnels exige également que les renseignements personnels soient utilisés ou divulgués conformément aux dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels. En l’occurrence, l’article 7 énonce ce qui suit :

À défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci :

  • qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins;
  • qu’aux fins auxquelles ils peuvent lui être communiqués en vertu de du paragraphe 8(2).

(NC) L’OSSNR a vérifié si les échanges d’ICPC effectués par le CST en interne répondaient aux exigences de la Loi sur la protection des renseignements personnels, laquelle impose des contraintes sur la façon dont les renseignements personnels collectés peuvent être utilisés par les institutions fédérales. L’OSSNR a conclu que dans certaines circonstances, comme il est décrit plus loin dans le présent rapport, les échanges d’ICPC constituant des renseignements personnels entre les volets RE et cybersécurité pourraient répondre aux exigences de la Loi sur la protection des renseignements personnels. Or, cette évaluation de la conformité nécessite l’analyse de chacun des cas.

(Protégé B//Secret professionnel de l’avocat) L’OSSNR s’est penché sur l’analyse juridique de la DSJ du CST, laquelle a été réalisée par les avocats du ministère de la Justice (MJ), [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

Conformité à la Loi sur la protection des renseignements personnels

(NC) Suivant son évaluation de la conformité à l’article 7 de la Loi sur la protection des renseignements personnels, l’OSSNR note que le CST met davantage l’accent sur la conformité aux dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST, lorsqu’il s’agit de soutenir les échanges internes de renseignements personnels entre divers volets du mandat.

(NC) Comme il a été indiqué, l’article 7 de la Loi sur la protection des renseignements personnels déclare qu’à défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci : 1) qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins; ou 2) qu’aux fins auxquelles ils peuvent lui être communiqués en vertu du paragraphe 8(2) de la Loi. Il importe de souligner que les fins de l’utilisation des informations ne doivent pas forcément être identiques à celles auxquelles les informations ont été obtenues; il suffit que cette utilisation soit compatible avec les fins.

(NC) Le fait de s’appuyer sur l’article 34 de la Loi sur le CST pose une difficulté sur le plan de la conformité à la Loi sur la protection des renseignements personnels, car l’article 34 ne cite pas à proprement parler les fins de la collecte incidente d’ICPC ni n’énonce d’autorisation visant les échanges en interne. Il établit plutôt les préalables qu’il faut respecter avant que le ministre exerce son pouvoir de délivrer une AM. Les alinéas 34(2)c) et 34(3)d) de la Loi sur le CST précisent que le ministre doit être convaincu que les mesures de protection de la vie privée visées à l’article 24 de la Loi garantiront que les ICPC seront utilisées, analysées, et conservées uniquement si ces ICPC sont conformes aux exigences en matière d’essentialité qui s’appliquent, selon le cas, au RE ou à la cybersécurité. En outre, ces conditions établissent un seuil obligatoire s’appliquant à l’utilisation, à l’analyse et à la conservation des ICPC collectées en vertu d’une AM, et non une autorisation visant les échanges d’ICPC en interne.

(NC) Tout dépend des circonstances de fait suivant lesquelles les ICPC sont échangées. En effet, tout échange d’ICPC contenant des renseignements personnels entre les volets RE et cybersécurité du CST pourrait être permis en vertu de la Loi sur le CST et de la Loi sur la protection des renseignements personnels, pour peu que les informations soient échangées pour les mêmes motifs que ceux pour lesquels elles avaient été obtenues ou pour une utilisation qui soit compatible avec ces motifs. En l’occurrence, il conviendrait de procéder à une évaluation de chacun des cas pour s’assurer que les ICPC sont de facto échangées en interne pour les mêmes motifs que ceux invoqués pour justifier la collecte, pour des motifs compatibles avec ceux ayant justifié la collecte ou encore pour les motifs visés à l’alinéa 7b) en vertu desquels les échanges sont permis à condition de répondre à l’un des critères énoncés par le Parlement au paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Tel qu’il a été dit précédemment, le CST ne considère pas les échanges internes comme étant des divulgations d’informations. Or, l’OSSNR note que la question de savoir si les échanges internes constituent à proprement parler une « utilisation » ou une « divulgation » au titre de la Loi sur la protection des renseignements personnels demeure nébuleuse. Néanmoins, l’OSSNR souligne qu’en se basant uniquement sur le critère « d’essentialité » visé à l’article 34, le CST ne se permet pas de conclure indubitablement qu’il dispose des pouvoirs requis pour procéder auxdits échanges en interne.

(NC) Une justification au titre de l’alinéa 7a) ou de l’alinéa 8(2)a) de la Loi sur la protection des renseignements personnels exige que le CST révèle l’objet de la collecte incidente et de l’échange en interne, qui est énoncé dans le volet correspondant du mandat du CST. Les motifs de collecte – de même que l’autorisation de procéder à la collecte – de renseignements personnels sont énoncés dans la Loi sur le CST. Les articles 16 et 17 de la Loi décrivent le RE et la cybersécurité comme étant les programmes et les activités opérationnelles de l’organisme, et les autorisent à collecter des informations dans l’exercice de leurs mandats respectifs. Rappelons que les AM doivent autoriser la collecte dès lors que les activités pourraient contrevenir aux dispositions d’une loi du Parlement ou prévoir l’acquisition – à partir de/par l’entremise de l’IMI – d’informations qui pourraient porter atteinte à une attente raisonnable en matière de protection de la vie privée d’un Canadien ou d’une personne se trouvant au Canada. Suivant la description des volets aux articles 16 et 17 de la Loi sur le CST, il peut y avoir des cas où les informations acquises en vertu de l’un des volets puissent être utilisées pour les mêmes motifs ou pour des motifs compatibles avec ceux d’un autre volet, ce qui répond aux exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne des informations. Toutefois, on ne peut pas tenir ce principe pour acquis dans la mesure où les objectifs des divers volets sont décrits différemment dans la Loi.

(NC) L’article 16 de la Loi sur le CST autorise le Centre à acquérir des informations à partir/par l’entremise de l’IMI et d’utiliser, d’analyser et de communiquer ces informations aux fins de production de renseignement étranger conformément aux priorités du gouvernement du Canada (GC)45. Or, l’article 17 de la Loi sur le CST autorise le Centre à fournir des avis, des conseils et des services dans le but d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales, mais aussi les systèmes désignés comme étant importants pour le gouvernement fédéral, ainsi qu’à acquérir, à utiliser et à analyser les informations issues de l’IMI ou d’autres sources afin de fournir lesdits avis, conseils et services.

(TS//SI) Lorsqu’il s’agit d’échanger des ICPC acquises par le volet RE dans le but d’appuyer le volet cybersécurité du mandat du CST, il y a tout lieu de croire que les motifs demeurent les mêmes si la cybersécurité fait partie des motifs pour lesquels le RE a été obtenu, utilisé, analysé ou communiqué. Or, il convient de mentionner que pendant la période couverte par le présent examen, [lié aux priorités du GC expurgé]. Les échanges d’informations qui visent à répondre aux objectifs du CST consistant, selon l’article 17, à fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou désignées pourraient être considérés comme constituant des usages semblables (sinon compatibles) à l’usage pour lequel les ICPC ont initialement été obtenues. Dès lors que du RE est utilisé dans le cadre du volet prévu à l’article 17 afin de protéger l’information électronique et les infrastructures de l’information fédérales ou désignées, les motifs de la collecte et l’utilisation corollaire des informations collectées pourraient demeurer les mêmes.

(NC) Pour ce qui concerne les ICPC acquises par le volet cybersécurité, les communications d’informations vers le volet RE pourraient être autorisées pour peu que l’usage du RE repose sur des motifs semblables (sinon compatibles) à ceux qui justifient l’acquisition initiale des informations, c.-à-d. de fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique ou les infrastructures de l’information fédérales ou désignées. Ainsi, la communication d’ICPC obtenues par le volet cybersécurité vers le volet RE serait permissible en vertu de la Loi sur la protection des renseignements personnels pour peu que les échanges internes servent l’objectif consistant à aider à protéger l’information électronique et les infrastructures de l’information fédérales ou désignées.

(NC) Somme toute, si le CST acquiert des renseignements personnels afin d’alimenter les activités des volets RE ou cybersécurité ou de servir des usages compatibles avec ces activités, ses échanges internes d’ICPC peuvent être conformes aux dispositions de l’alinéa 7a) ou du paragraphe 8(2) de la Loi sur la protection des renseignements personnels, pour peu que les fins poursuivies par les activités de collecte et d’échange soient énoncées et justifiées. De plus, le CST doit toujours répondre aux conditions stipulées dans la Loi sur le CST et ayant trait aux AM relativement à la collecte et à l’utilisation des ICPC. Pour justifier les échanges internes de renseignements personnels entre divers volets, il faut réaliser une analyse approfondie axée sur les circonstances de fait de chacun des cas.

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  1. établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  2. établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Autorisations ministérielles

(NC) La Loi sur le CST ne permet pas au ministre d’autoriser les échanges d’ICPC en interne. En effet, seules les AM peuvent accorder une autorisation visant, dans le cas du RE, les activités ou catégories d’activités énumérées au paragraphe 26(2) ou encore, dans le cas de la cybersécurité, les activités d’accès ou d’acquisition visant les informations visées aux paragraphes 27(1) et 27(2). Tout échange interne d’ICPC contenant des renseignements personnels doit être réalisé en conformité aux dispositions de la Loi sur la protection des renseignements personnels.

(NC) Comme il a été dit précédemment, l’article 24 de la Loi sur le CST exige que le Centre mette en place des mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada en ce qui a trait à l’utilisation, à l’analyse, à la conservation et à la divulgation d’ICPC. Ainsi, lorsqu’il délivre une AM, le ministre doit avoir conclu que ces mesures garantiront que les ICPC acquises ne seront utilisées, analysées ou conservées que si elles répondent aux critères d’essentialité énoncés aux alinéas 34(2)c) ou 34(3)d). Le ministre peut délivrer les autorisations s’il conclut que les activités en cause sont « raisonnables et proportionnelles compte tenu de la nature de l’objectif à atteindre et des activités. » Alors que le ministre soupèse le caractère raisonnable des activités proposées aux fins du RE ou de la cybersécurité, on peut imaginer que certaines activités puissent être raisonnables et proportionnelles dans un contexte, mais pas dans l’autre. Certes, les activités autorisées au titre du paragraphe 26(2) peuvent acquérir un éventail d’informations plus large que celui qui est visé aux paragraphes 27(1) et 27(2). Or, les communications d’informations allant du RE à la cybersécurité pourraient permettre au CST d’utiliser, aux fins de la cybersécurité, plus d’informations que ce qui est permis par les autorisations de cybersécurité en soi et pourraient nécessiter de nouvelles mesures de protection de la vie privée lorsque lesdites informations sont utilisées.

(NC) Pour délivrer une AM, le chef du CST doit, dans une demande, faire état des faits de telle sorte que le ministre puisse conclure qu’il y a des motifs raisonnables de croire que l’autorisation est nécessaire et que les critères justifiant la délivrance sont respectés. L’OSSNR estime nécessaire que la demande présentée par le chef donne au ministre toutes les informations requises sur la façon dont les ICPC pourraient être utilisées et analysées par le CST, ce qui comprend les modalités d’échange des ICPC avec d’autres volets ainsi que les fins poursuivies. Ces informations devraient également permettre au ministre de déterminer, en application de l’article 35, si d’autres critères, conditions ou contraintes pourraient être recommandés afin de protéger la vie privée des Canadiens dès lors qu’il est question de délivrer une autorisation de RE ou de cybersécurité.

(TS//SI) Pour ce qui concerne les autorisations délivrées en 2020, la plupart des demandes présentées par le chef du CST indiquaient que les informations collectées et conservées pourraient possiblement être utilisées par d’autres volets, alors que le texte de la plupart des AM correspondantes ne faisait aucune mention de possibles utilisations par d’autres volets. Dans un cas particulier, c’est la situation inverse qui s’est produite : [exemple d’opérations du CST expurgé].

(TS//SI) De plus, en 2020, les demandes et les autorisations de RE indiquent que pour répondre au critère d’essentialité s’appliquant à la conservation des ICPC au titre de l’alinéa 34(2)c) de la Loi sur le CST, les ICPC seront conservées pour peu qu’elles soient jugées essentielles pour la cybersécurité. En l’occurrence, la cybersécurité fait partie de ces éléments qui sont « essentiels pour la sécurité », ce qui donne au ministre des éléments contextuels additionnels sur la façon dont les conditions de l’essentialité sont évaluées, mais aussi respectées par le CST. L’OSSNR estime que ces informations sont nécessaires dans la mesure où elles permettent au ministre d’établir si les conditions énumérées à l’article 34 de la Loi sur le CST ont été respectées préalablement à la délivrance de l’AM.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Évaluation de l’essentialité, de la nécessité et de la pertinence

(NC) En vertu de la politique du CST, il faut procéder à une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets avant d’être en mesure d’établir s’il convient d’échanger les informations entre divers volets (voir l’Annexe G pour connaître les balises et les définitions employées pour l’évaluation des ICPC que l’on envisage de communiquer entre divers volets). Ces termes sont tirés de la Loi sur le CST, mais n’y sont pas définis. La politique du CST fournit des définitions et des critères sur lesquels reposent l’évaluation et l’application de ces balises aux informations. Or, l’OSSNR n’a évalué ni le caractère licite de ces balises stratégiques ni la façon dont les exigences sont respectées par le CST lorsque ce dernier procède à des échanges d’ICPC en interne. Ces aspects pourraient être examinés à l’occasion d’examens ultérieurs.

(TS) La politique du CST établit également les critères suivant lesquels il convient d’autoriser les échanges d’ICPC entre divers volets (voir l’Annexe E pour connaître les processus d’approbation que le CST applique aux échanges d’informations). Avant que les ICPC puissent être échangées entre divers volets, leur caractère essentiel doit être évalué en fonction du volet qui en a fait l’acquisition. Dès lors qu’elles ne respectent pas les balises permettant d’établir leur caractère essentiel, les informations doivent être supprimées.

(Protégé B//Secret professionnel de l’avocat) Selon le CST, [avis ou conseil juridique expurgé]

(NC) L’OSSNR admet que la Loi sur le CST n’exige pas que les ICPC échangées en interne entre les volets RE et cybersécurité respectent les deux conditions de l’essentialité visées aux alinéas 34(2)c) et 34(3)d) de la Loi. Or, les paragraphes 22(3) et 22(4) de la Loi sur le CST exigent la délivrance d’une AM de RE ou de cybersécurité, lorsque les activités à mener en soutien à l’un ou l’autre de ces volets impliquent l’acquisition, à partir de l’IMI, d’informations pouvant porter atteinte à une attente raisonnable de protection de la vie privée ou lorsque les activités pourraient contrevenir à une loi fédérale. Les AM ne peuvent autoriser que les activités ou catégories d’activités énumérées au paragraphe 26(2) pour le RE, ou pour accéder aux infrastructures de l’information et acquérir les informations énoncées aux paragraphes 27(1) et 27(2). Comme il a été dit précédemment, les balises s’appliquant à « l’essentialité » (cf. l’article 34) établissent l’autorité du ministre en matière d’approbation d’une AM en fonction des préalables énoncés au paragraphe 24 concernant la protection de la vie privée. On pourrait donc comprendre que cette exigence s’applique à l’utilisation, à l’analyse et à la conservation des ICPC collectées par le CST en vertu d’une AM, et ce, dans un seul volet. Par conséquent, la Loi sur le CST n’exige d’aucune façon que le CST respecte les balises encadrant la notion d’essentialité dans le cas d’un volet dont les ICPC font l’objet d’un échange en interne. Les ICPC doivent uniquement respecter les conditions initiales d’essentialité énoncées à l’alinéa 34(2)c) ou à l’alinéa 34(3)d) lorsque des ICPC sont acquises conformément à l’AM qui autorise la collecte incidente desdites ICPC.

Constatation no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

Conclusion

(NC) Comme la Loi sur le CST établit des distinctions entre les divers volets et les AM correspondantes, l’OSSNR a décidé d’examiner les fondements juridiques régissant les échanges d’ICPC entre le volet RE et le volet cybersécurité du mandat du CST. L’OSSNR a conclu que dans certaines circonstances, les échanges en interne pourraient être compatibles avec les dispositions de la Loi sur la protection des renseignements personnels. Toutefois, le CST doit accorder une attention accrue aux motifs de la collecte d’ICPC lorsqu’il s’agit de justifier les échanges d’ICPC en interne.

(NC) Le présent examen a également permis d’acquérir une connaissance de base des processus, des systèmes et des mesures de conformité en vigueur au CST relativement aux échanges d’ICPC entre divers volets du mandat. Même s’il n’a pas été en mesure de vérifier ces informations en toute indépendance, l’OSSNR envisage de s’en inspirer pour réaliser les examens ultérieurs.

Annexes

ANNEXE A : Objectifs, portée et méthodologie

(NC) Initialement, l’OSSNR se proposait d’examiner les échanges internes d’ICPC entre divers volets du mandat du CST suivant une approche thématique devant se concentrer sur plusieurs secteurs opérationnels et plusieurs volets. En outre, l’examen prévoyait d’examiner les échanges d’informations ayant eu lieu entre divers volets, du 1er août 2019 au 1er août 2020, de sorte à évaluer en toute indépendance :

  • la conformité aux exigences juridiques, ministérielles et stratégiques, notamment la gestion adéquate des risques liés à la conformité pendant la conduite d’activités d’échange d’informations entre divers volets du mandat du CST;
  • les politiques, les procédures et les pratiques du CST s’appliquant aux échanges internes d’informations entre divers volets du mandat du CST.

(NC) Compte tenu de la conjoncture défavorable au déroulement des opérations, pensons notamment aux perturbations et aux difficultés d’accès liées à la pandémie de COVID-19, il a fallu réviser à la baisse les objectifs, la portée et la méthodologie qui avaient été fixés pour le mandat du présent examen (envoyé au CST le 28 août 2020). Par conséquent, l’examen n’a porté que sur les fondements juridiques sur lesquels s’appuient les échanges d’informations entre le volet RE et le volet cybersécurité.

(NC) L’OSSNR a donc examiné des documents et des dossiers ayant trait aux échanges d’informations entre divers volets du mandat du CST, et ce, pour la période s’étendant du 1er août 2019, date d’entrée en vigueur de la Loi sur le CST, au 1er août 2020.

(NC) Deux entrevues ont été réalisées avec des employés du CST ayant pris part à des échanges d’informations entre divers volets du mandat du CST. De plus, une entrevue a été réalisée avec un avocat du ministère de la Justice qui connaît bien le cadre juridique qui régit ce type d’activités.

(NC) L’OSSNR a également produit une description élémentaire de certains des processus, des systèmes et des mesures de conformité s’appliquant aux échanges d’informations dans le but d’établir une base de connaissances sur laquelle les examens ultérieurs pourront s’appuyer.

ANNEXE B : Réunions et séances d’information

Séance d’information, Information Sharing: Sharing information for use across aspects of the CSE Mandate, OSSNR, 7 février 2020.

OSSNR, réunion avec l’avocat du ministère de la Justice à la DSJ du CST, 13 octobre 2020.

OSSNR, réunion avec des analystes du CST, 20 octobre 2020.

ANNEXE C : Conclusions et recommandations

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  • établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  • établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Conclusion no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

ANNEXE D : Les informations sur les partenaires et les clients ainsi que les informations publiquement accessibles faisant l’objet d’échanges entre les volets renseignement étranger et cybersécurité

(Protégé B) Dans le cadre du volet cybersécurité, les clients du fédéral, mais aussi d’autres clients peuvent divulguer des informations sur les cybermenaces au CST, qui est l’organisme responsable de la cybersécurité au Canada. Ces clients peuvent également faire appel aux services du CST aux fins d’analyse et d’atténuation de cyberincidents avérés ou soupçonnés. Les informations communiquées peuvent être utilisées à des fins liées au RE, pour peu que cette communication serve à identifier, à isoler, à prévenir ou à atténuer les dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC.

(Protégé B) Les documents de gouvernance qui encadrent les ententes conclues entre le CST, d’une part, et le GC et les clients non fédéraux, d’autre part, précisent que les informations qui ont été obtenues par le CST par l’intermédiaire du réseau ou du système d’un client et qui se rapportent au volet cybersécurité peuvent être communiquées aux partenaires [informations opérationnelles du CST expurgé] ou aux partenaires internes dans le cas des clients du GC) qui œuvrent dans le domaine de la cybersécurité aux fins de découverte, d’isolement, de prévention ou d’atténuation des dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC56. Toutefois, ces documents n’indiquent pas explicitement que les informations provenant des clients pourraient être utilisées à des fins liées au RE. Pour permettre aux entités divulgatrices de donner un consentement qui soit éclairé, l’OSSNR estime qu’il serait approprié que le CST soit parfaitement transparent concernant la façon dont les informations provenant des clients pourraient être utilisées par le CST.

(Protégé B) Lorsqu’elles sont communiquées à des partenaires [informations opérationnelles du CST expurgé] les informations venant de clients sont anonymisées, et les renseignements permettant d’identifier une personne sont exclus. Tout produit de cybersécurité diffusable qui a été créé à partir d’informations venant d’un client ne doit contenir que l’information nécessaire à l’atténuation d’une cybercompromission. De plus, les entités divulgatrices peuvent également imposer certaines restrictions sur l’utilisation et la communication de leurs données au moment de la divulgation.

(TS) En vertu du paragraphe 21(1) de la Loi sur le CST, le Centre est autorisé à acquérir et à utiliser les informations publiquement accessibles sans avoir à demander une AM. Actuellement, [lié à un avis ou conseil juridique expurgé].

ANNEXE E : Processus d’approbation et approbation des échanges d’informations

Processus d’approbation des échanges d’ICPC

(TS//SI) Le pouvoir officiel d’autorisation des échanges d’informations est énoncé dans la politique interne du CST et est tributaire de la nature des informations à échanger. La politique du CST exige l’approbation de la gestion (ce qu’on appelle également « autorité de diffusion ») avant tout échange d’ICPC non supprimées entre divers volets. Cependant, la politique ne donne aucune précision quant au processus d’approbation en vigueur. On s’en remet plutôt au secteur opérationnel concerné et aux pratiques opérationnelles qui y sont observées. D’après l’ensemble des politiques relatives à la mission (EPM), toutes les décisions de gestion doivent être enregistrées et conservées dans un dépôt central aux fins de transparence et de reddition de comptes. En outre, ces enregistrements doivent être accessibles aux responsables des examens. Toutefois, dans le cadre du présent examen, l’OSSNR n’a pas été en mesure de vérifier ni d’évaluer en toute indépendance le processus d’approbation visant les échanges d’ICPC en interne.

(TS) En règle générale, le CST exige des approbations de gestion dans le cas des échanges d’informations – contenues dans un rapport – aux fins d’utilisation par divers volets du mandat du CST. Lorsque les informations contiennent des ICPC, le CST élève l’autorité de diffusion au niveau hiérarchique approprié. L’autorité de diffusion appropriée et les conditions de diffusion sont décrites dans la politique (dont il est question plus bas). L’autorité de diffusion est responsable des échanges d’informations et doit être avisée de tout changement apporté aux données et donnant lieu à une modification des informations se rapportant à la vie privée que l’on envisage de communiquer.

(TS) Les techniques d’échange automatisé [lié aux priorités du GC expurgé]

Communication d’ICPC du volet cybersécurité au volet renseignement étranger

(NC) Les ICPC conservées aux fins du volet cybersécurité peuvent être communiquées au volet RE à titre de produits de cybersécurité communicables (PCC) dès lors que ces produits répondent aux exigences énumérées plus bas. Or, l’autorité de diffusion est établie en fonction de l’impact que la communication des informations peut avoir sur la vie privée d’un individu ou d’une entité, et cet impact est déterminé en fonction du niveau de sensibilité et de la nature des ICPC. Selon le niveau de sensibilité des ICPC, les gestionnaires ou superviseurs des opérations du Centre canadien pour la cybersécurité (CCC) doivent approuver les PCC contenant des ICPC.

(NC) D’après le CST, les exigences s’appliquant aux PCC sont les suivantes :

Exigence Quand et comment l’exigence est appliquée
L’objectif est de fournir des conseils, des avis et des services Au moment de l’échange. – Pourquoi cette information doit-elle faire l’objet d’un échange?
Le produit ne contient que les informations conservées La décision d’utiliser ou de conserver les informations est prise au moment où les données brutes sont évaluées dans le but d’en établir la pertinence et la nécessité (et l’essentialité dans le cas des ICPC) pour le volet cybersécurité du mandat.
Protection de la vie privée

Au moment de l’échange, s’il y a lieu (p. ex. restitution au propriétaire de système/à l’administrateur qui a déjà accès aux informations depuis ses propres systèmes ou diffusion à un auditoire élargi moyennant de rigoureuses restrictions visant l’utilisation des informations).

Aucune suppression n’est requise lorsque les ICPC sont échangées pour utilisation dans le cadre du volet RE du mandat, pour peu que l’échange vise à soutenir les activités consacrées à la protection des informations électroniques et des infrastructures de l’information du GC ou à la protection des systèmes et réseaux d’importance pour le GC.
Classification et contraintes s’appliquant à l’utilisation et au traitement

S’appliquent à l’utilisation et à la diffusion des informations par le volet RE au moment de l’échange ou à une étape ultérieure. Peuvent comprendre des utilisations subséquentes préapprouvées et, s’il y a lieu, des restrictions imposées par le propriétaire des données/des systèmes.

Peuvent être appliquées aux rapports produits finis (RPF) par une plateforme de préparation de rapports (PPR); imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.
Vérifiable Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.
À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine (p. ex. AM vs non-AM; le client divulgateur, s’il y a lieu, etc.); les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement.
Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 25.2 du chapitre consacré à la cybersécurité, dans l’EPM.

Communication d’ICPC du volet renseignement étranger au volet cybersécurité

(TS) Les ICPC obtenues aux fins du volet RE peuvent être communiquées au CCC en tant que produits SIGINT communicables (PSC). Or, avant d’être communiqués, les PSC contenant des informations présentant un intérêt reconnu sur le plan de la vie privée de Canadiens ou se rapportant à du matériel présentant un intérêt sur le plan de la vie privée de Canadiens nécessitent l’approbation du CA SIGINT, quoique ce pouvoir d’approbation puisse être délégué à un autre intervenant.

(TS) Le tableau suivant présente succinctement les façons dont les critères énoncés dans la politique peuvent être respectés lorsqu’il s’agit de créer un PSC aux fins d’échange d’informations pour utilisation par le volet cybersécurité.

Exigence Quand et comment l’exigence est appliquée
Les informations se rapportent au contexte du RE Au moment de l’évaluation. Ce critère doit être respecté préalablement à toute utilisation.
Protection de la vie privée (p. ex. suppression des ICPC)

Au moment de l’échange, s’il y a lieu.

La suppression est obligatoire pour ce qui a trait aux ICPC contenues dans un RPF communiqué à l’extérieur du CST. Les clients du CCC qui reçoivent ces RPF peuvent demander ces INC en faisant appel au processus lié aux mesures consécutives.

Autrement, aucune suppression n’est requise lorsque les ICPC doivent servir à des fins de cybersécurité, mais il convient alors d’appliquer d’autres mesures de protection de la vie privée, par exemple, des restrictions quant aux destinataires des informations.
Expurgation S’applique au moment de l’échange ou lorsque l’utilisation par la cybersécurité nécessite que les informations soient nettoyées dans le but de protéger les intérêts du CST.
Sérialisation

Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.

À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine [exemple d’opérations du CST expurgé] les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement
Restrictions de diffusion

S’appliquent à l’utilisation et à la diffusion des informations par le volet cybersécurité au moment de l’échange ou à une étape ultérieure. Peuvent comprendre l’application de mesures préapprouvées.

Peuvent être appliquées aux RPF par une plateforme de préparation de rapports; imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.
Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 27.8 du chapitre consacré au RE, dans l’EPM.

Examens internes portant sur les échanges d’informations

(TS) Les échanges d’informations en interne entre divers volets sont assujettis à des examens que le CST réalise en interne sur les échanges automatisés, mais aussi sur les interrogations de données. Le groupe Conformité du SIGINT, l’équipe responsable de la conformité interne des activités relevant du volet RE, a examiné les interrogations provenant du CST pour les années 2019 et 2020, et a confirmé la conformité des activités d’interrogation. Le Programme organisationnel de conformité des activités (POCA) n’a pas été en mesure de prioriser les examens de surveillance de la conformité au cours des deux derniers exercices, ce qui l’a empêché de surveiller d’autres activités pouvant poser un risque élevé en matière de conformité.

(TS) Les techniques d’échange automatisé sont également assujetties à des examens. En effet, tous les 12 mois, l’équipe Conformité du SIGINT est tenue de revalider toutes les occurrences d’échanges automatisés survenues entre le volet RE et le volet cybersécurité. Le plus récent examen portant sur la période allant de juillet 2019 à septembre 2020 a permis de confirmer que les [nombre expurgé] d’échange automatisé étaient conformes aux exigences de la politique, à l’exception [nombre expurgé] que le CST n’a pas été en mesure d’évaluer.

ANNEXE F : Méthodes et processus d’échange

(TS) Dans la présente section sont décrits les processus et les méthodes employés par le CST pour échanger des informations entre le volet RE et le volet cybersécurité. De fait, le Centre dispose d’une multitude de systèmes, de méthodes et de processus qui facilitent les échanges d’informations, que celles-ci soient nettoyées ou non, entre ces volets. Or, il faut savoir que les processus décrits plus bas ne sont pas statiques. En effet, les systèmes, les méthodes et les processus du CST peuvent évoluer.

(TS) En général, l’accès aux informations de chacun de ces volets est contrôlé [lié à un avis ou conseil juridique expurgé]

(TS//SI) Par exemple, au Centre pour la cybersécurité [description des opérations du CST expurgé]

(NC) Tel qu’il est stipulé à l’article 24 de la Loi sur le CST, le Centre doit avoir mis en place des mesures visant à protéger la vie privée des Canadiens et des personnes se trouvant au Canada lorsqu’il utilise des informations se rapportant à ces personnes pour atteindre des objectifs fixés pour le volet RE ou le volet cybersécurité du mandat.

(TS) La suppression ou la restriction des ICPC ne sont pas requises par la politique du CST lorsqu’il s’agit d’échanger des informations en interne. En effet, il est de pratique courante d’échanger des ICPC sans suppression entre le volet RE et le volet cybersécurité. Au CST, bien que la politique ne l’exige aucunement, on invite les analystes à anonymiser ou à supprimer les renseignements personnels lorsque ceux-ci ne sont pas essentiels à la compréhension du contexte ou de la nature d’un enjeu. Le CST reconnaît que la suppression et la restriction constituent des pratiques exemplaires, mais qu’elles sont non obligatoires. Par conséquent, le CST estime que le fait de n’avoir ni supprimé, ni restreint, ni anonymisé les informations échangées entre divers volets ne constitue pas en soi une infraction à la loi.

Accès intervolets aux données brutes du SIGINT et du Centre pour la cybersécurité

(TS) Lorsqu’ils accèdent aux données d’un autre volet qui ne figurent pas dans un rapport (c.-à-d. les PSC ou les PCC), les analystes sont tenus de respecter les exigences de la politique qui s’appliquent aux données qu’ils sont appelés à consulter.

(TS//SI) Pour ce qui a trait au volet RE, [description des opérations du CST expurgé]

(TS//SI) Par exemple, [description des opérations du CST expurgé]

(TS//SI) Lorsqu’ils analysent des données de RE brutes, les membres du personnel du Centre pour la cybersécurité doivent se conformer aux autorisations et aux exigences s’appliquant au renseignement étranger. L’utilisation, le traitement et la conservation de ces informations sont également assujettis aux restrictions s’appliquant aux données du renseignement étranger.

(TS//SI) [expurgé] le personnel du SIGINT peut consulter et utiliser les systèmes du Centre pour la cybersécurité à condition de répondre aux critères énoncés à la section 26.1 de l’EPM, Cybersécurité. L’accès aux systèmes du Centre pour la cybersécurité et aux données de cybersécurité brutes est semblablement réservé [expurgé] aux individus qui ont démontré un besoin de connaître, qui ont suivi les formations prescrites et qui ont réussi aux épreuves de connaissances [expurgé].

Rapports – PCC et PSC

(NC) Les informations conservées sont échangées en interne suivant des processus officiels de rapports donnant lieu, notamment, à des PSC (ce qui comprend les RPF) ou à des PCC.

(TS//SI) Les membres du personnel du Centre pour la cybersécurité qui sont assujettis aux exigences en matière de cybersécurité peuvent également être des clients internes n’ayant aucun accès aux données RE brutes84. Des informations du renseignement étranger sont échangées en tant que PSC avec des membres du personnel de la cybersécurité, ce qui signifie que les informations sont conformes aux exigences de la politique du CST en matière de diffusion, lesquelles prévoient la suppression et une approbation, et qu’elles ont été assujetties aux restrictions imposées aux données de renseignement. Pendant la période visée par le présent examen, [nombre expurgé] PSC ont reçu une autorisation de diffusion par le volet RE et ont été mis à la disposition de membres du personnel œuvrant au sein du volet cybersécurité.

(TS//SI) Des informations de la cybersécurité peuvent être incluses dans des rapports et être diffusées auprès des membres du personnel SIGINT, pour être ultérieurement utilisées en tant que PCC dans le cadre d’activités du volet RE. Les informations diffusées par l’intermédiaire de PCC doivent répondre aux exigences de la politique du CST en matière de diffusion. Or, leur utilisation ultérieure doit être compatible avec les usages en vigueur au volet cybersécurité du mandat du CST et doit servir à la promotion des priorités du GC. Pendant la période visée par le présent examen,[nombre expurgé] PCC ont été diffusés auprès de destinataires autorisés du SIGINT.

Réception des identifiants ayant été éliminés des rapports

(TS) Les ICPC qui ont été supprimées des RPF diffusées dans SLINGSHOT88 peuvent être fournies aux clients internes du CST moyennant une demande soumise par l’intermédiaire du processus de divulgation externe des INC. Il s’agit là du seul mécanisme par lequel les renseignements personnels supprimés peuvent être obtenus et diffusés. En l’occurrence, les ICPC supprimées peuvent être obtenues en soumettant une demande à l’équipe du Bureau d’intervention du groupe Communication d’informations (D2A). En outre, le demandeur doit faire état des fondements juridiques et des motifs opérationnels qui justifient sa demande avant de recevoir les informations non supprimées. Entre le 1er août 2019 et le 1er août 2020, [description des opérations du CST expurgé]

(TS) Même s’il est essentiellement le même que celui qui est employé aux fins du processus de comunication externe, le mécanisme par lequel est diffusée cette information est plutôt considéré comme donnant lieu à une utilisation interne des informations et non à une divulgation en tant que telle. Il n’est donc pas nécessaire que les exigences s’appliquant au régime de divulgation visé aux articles 43 à 46 de la Loi sur le CST soient respectées pour que les informations supprimées soient divulguées auprès de clients internes du CST.

Rapports conjoints

(TS//SI) Les informations peuvent également être échangées entre le volet renseignement étranger et le volet cybersécurité aux fins de diffusion de renseignement étranger consécutivement aux autorités en matière de cybersécurité. Or, ces informations du renseignement étranger doivent être d’abord utilisées à des fins relevant de la sphère du renseignement étranger. Dès lors, elles peuvent être mises à la disposition du personnel du CCC dans le cadre du volet cybersécurité. Ce n’est que dans un troisième temps que ces informations peuvent être diffusées en vertu desdites autorités.

(TS//SI) Pour chacun des volets, l’approbation des échanges visant les informations du renseignement étranger aux fins du volet cybersécurité du mandat doit se soumettre aux autorités d’approbation compétentes en matière de diffusion. [description des opérations du CST expurgé]

Échanges automatisés (types de PSC ou de PCC)

(TS) La politique du CST définit les échanges automatisés comme suit : [Traduction] « utilisation de techniques ou de processus automatisés pour faciliter la diffusion de [rapports communicables expurgé] ».

(TS//SI) Le CST a recours à une pluralité de mécanismes automatisés pour échanger desi informations entre divers volets. [description des opérations du CST expurgé].

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

Autres modalités d’échange

(TS) Il se peut que les échanges d’informations entre deux volets soient réalisés suivant des méthodes plutôt informelles. En intensifiant la collaboration, les analystes se donnent accès à un bassin de connaissances plus important et particulièrement utile pour les deux volets du mandat. En l’occurrence, les analystes peuvent procéder à des échanges de connaissances générales sans avoir à les signaler. En outre, la politique du CST prévoit des échanges d’analyses à l’occasion desquelles les analystes peuvent s’adresser à des partenaires œuvrant au sein d’un volet différent à des fins de collaboration sur des objectifs communs propices aux échanges d’informations. Cependant, tout échange de données doit être conforme aux exigences s’appliquant à la diffusion de PCC ou de PSC, bien que les données ne soient pas tenues d’être diffusées par l’intermédiaire des systèmes officiels de diffusion des produits.

ANNEXE G : Politique et balises à respecter dans le cas des échanges internes

(NC) La politique du CST indique que les ICPC peuvent être échangées en interne pour peu que les échanges respectent les balises énoncées ci-dessous. Or, rappelons que l’OSSNR n’a pas été en mesure de vérifier si ces balises ou les définitions connexes étaient conformes au droit, mais il n’est pas exclu que ce type de vérification ait lieu au cours des prochains examens. Au reste, l’OSSNR n’a pas non plus été en mesure de voir si les exigences de la politique avaient été respectées.

Du volet renseignement étranger au volet cybersécurité

(TS) Pour ce qui a trait au volet RE, les ICPC doivent avoir été jugées essentielles et pertinentes pour les activités de ce volet RE avant que les échanges aient lieu, conformément aux dispositions de l’alinéa 34(2)c) de la Loi sur le CST. D’après la politique du CST, les informations doivent avoir été considérées comme étant essentielles pour les affaires internationales, la défense ou la sécurité, ce qui comprend la cybersécurité. Or, l’adjectif « essentiel » n’est pas défini dans la politique du CST, quoique celle-ci énonce les critères suivant lesquels il convient d’évaluer les ICPC dans un contexte de protection de la vie et de la sûreté des individus ou de défense contre les activités criminelles qui menacent la sécurité du Canada.

(TS) Pour qu’elles soient échangées aux fins des activités du volet cybersécurité du mandat, les ICPC de RE doivent être pertinentes pour le volet cybersécurité. Or, ces ICPC doivent être évaluées plus avant sur le plan de la nécessité dans le contexte du volet cybersécurité, ce qui permet de savoir si les informations sont nécessaires à la protection des systèmes du GC ou des systèmes désignés comme étant importants. Or, c’est en vertu de la politique qu’il y a lieu de décider d’appliquer les balises délimitant la sphère de nécessité visée au paragraphe 44(1) de la Loi sur le CST.

(TS) La politique du CST exige le respect du principe de nécessité, [description des opérations du CST expurgé]. Ces informations sont nécessaires à l’exercice du mandat de cybersécurité dans la mesure où elles contribuent à la protection des systèmes du GC, mais aussi des systèmes et réseaux d’importance (notamment le blocage de certains types de trafic). Toutefois, les individus et les entités identifiables ne sont pas les points de mire de l’activité. Or, dans le contexte de la cybersécurité, le CST estime que le risque de préjudice à l’attente raisonnable en matière de protection de la vie privée de l’individu est relativement faible et que, par conséquent, le seuil de nécessité justifie la communication d’ICPC acquises par le RE vers le volet cybersécurité.

Du volet cybersécurité au volet renseignement étranger

(TS//SI) Dans le contexte du volet cybersécurité, les ICPC acquises en vertu d’une AM doivent avoir été jugées pertinentes, mais aussi essentielles avant tout échange, conformément au critère d’essentialité énoncé à l’alinéa 34(3)d) de la Loi sur le CST. Or, d’après la politique du CST, les ICPC sont considérées comme étant essentielles lorsque, sans elles, le CST ne serait en mesure de protéger ni les systèmes des institutions fédérales, ni les réseaux et systèmes d’importance, ni les informations électroniques que ces systèmes et réseaux contiennent. Toutefois, les ICPC qui ne sont pas acquises en vertu d’une AM, notamment les renseignements sur les clients, ne doivent répondre qu’au critère de nécessité.

(TS) Les ICPC échangées sont également évaluées sur le plan de l’essentialité pour le volet RE (c.-à-d. essentiel pour les affaires internationales, la défense ou la sécurité), qu’une AM de cybersécurité ait été délivrée ou non. La décision d’évaluer plus avant les ICPC acquises par la cybersécurité sur le plan de l’essentialité et selon les critères du RE relève de la politique, [description des opérations du CST expurgé].

(TS//SI) Comme l’a expliqué le CST, les ICPC acquises par la cybersécurité et échangées en interne en guise de soutien au volet RE ont pour objet de protéger les institutions fédérales ou les réseaux et systèmes d’importance, mais aussi les informations électroniques qui y sont conservées. Ces ICPC servent à identifier les menaces étrangères qui pèsent sur les systèmes canadiens, un objectif qui cadre parfaitement avec les

ANNEXE H : Échanges internes des ICPC au CST

Figure : Diagramme du processus de partage interne de l'IRTC au CST

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Examen de Programme d'établissement de rapports sur la sécurité mondiale d'Affaires mondiales Canada

Fiche d’information

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC.

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Sommaire

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Plus important, l’examen conclut que même si le PERSM est assujetti à la Convention de Vienne sur les relations diplomatiques (CVRD), il fonctionne sans recourir à des conseils juridiques qui permettraient d’évaluer les activités exercées dans le cadre du Programme. De même, les agents du PERSM ne reçoivent pas de formation adéquate relativement à leurs obligations juridiques. En l’occurrence, les activités menées à l’étranger par certains agents du PERS suscitent des préoccupations voulant que certaines d’entre elles ne soient pas exercées selon les fonctions et obligations établies en vertu de la CVRD.

Même si les agents du PERSM se servent de la CVRD comme d’un bouclier destiné pour leurs actions, certains d’entre eux n’ont semblé ni apprécier les limites de cette immunité ni comprendre la portée réelle de leurs fonctions et obligations. De plus, il n’était pas certain que tous les agents comprennent qu’une fois déchus de leur immunité diplomatique, ils s’exposaient à des mesures de rétorsion de la part des États accréditaires. L’examen a relevé l’absence d’évaluations de risques, de protocoles de sécurité et de conseils juridiques à l’égard des contrôles accrus que les agents du PERSM peuvent susciter de par la nature de leurs priorités en matière de rapports.

En tant que partenaires gouvernementaux à l’étranger, le SCRS et le PERSM interagissent fréquemment entre eux, dans la mesure où leurs mandats respectifs se recoupent. On observe que la coordination entre les missions et les administrations centrales du SCRS et d’AMC sont lacunaires, ce qui donne lieu à une gouvernance incohérente lorsqu’il s’agit [caviardé].

L’examen a également permis de constater que le Programme ne s’était pas doté de mesures de protection apte à garantir la sûreté des contacts à l’étranger. Or, bien que la plupart des interactions entre les agents et les contacts soient sans graves conséquences, le Programme ne semble pas en mesure d’apprécier les risques liés à certaines de ces interactions. Significativement, l’examen a relevé quelques sources de préoccupation potentielles concernant la façon dont les renseignements identificateurs canadiens sont gérés. En conséquence, il est recommandé qu’AMC soumette le Programme à une évaluation des facteurs relatifs à la vie privée.

La création d’une entité de renseignement étranger au sein d’AMC, ou encore le consentement à un changement d’orientation de la mission du PERSM permettant de collecter secrètement de l’information, contreviennent aux principes de la CVRD. Par conséquent, l’OSSNR croit qu’il est important que le gouvernement réfléchisse aux questions soulevées par le présent examen et en vienne à prendre une décision quant aux moyens à privilégier pour la collecte de ce type d’information. L’OSSNR reconnaît que le présent enjeu ne relève pas de son champ de compétence et qu’il pourrait plutôt nécessiter l’attention du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR). Nous avons l’intention de mettre le présent rapport à la disposition de nos homologues en matière d’examen de sorte à amorcer la démarche de réflexion.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées aux alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Introduction

Le Programme d’établissement de rapports sur la sécurité mondiale (PERSM) d’Affaires mondiales Canada (AMC) collecte et dissémine de l’information en soutien aux priorités du Canada en matière de renseignement. Au fil de ses quelque vingt années d’existence, le Programme a considérablement évolué, et les produits du PERSM en sont venus à retenir l’attention non seulement des ministères et organismes du gouvernement du Canada (GC), mais aussi des États alliés.

Le présent examen était le premier que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) réalisait de façon autonome relativement à des activités exercées par AMC. D’ailleurs, pendant qu’il examinait les activités du programme unique et complexe que représente le PERSM, l’OSSNR a eu l’occasion de mieux connaître le mandat, les politiques et les autorisations juridiques d’AMC.

L’OSSNR s’est donné pour objectif d’établir si les activités du PERSM étaient menées conformément aux dispositions de la loi et des politiques ainsi qu’aux procédures en vigueur, et de déterminer si les activités étaient justes et nécessaires. De plus, l’examen de l’OSSNR avait également pour objet d’établir si les politiques et procédures du Programme étaient suffisamment élaborées pour soutenir des activités à l’étranger.

La période d’activité visée par la présente étude s’étend du 1er janvier 2017 au 31 décembre 2019, quoique l’OSSNR s’est également penché sur de l’information concernant des éléments antérieurs ou postérieurs à cette période. L’OSSNR a aussi examiné un échantillon significatif des missions du PERSM, lequel a offert une diversité de perspectives quant à la nature et la portée des activités du Programme.

Compte tenu des circonstances particulières attribuables à la création récente de l’OSSNR et aux difficultés connexes sur le plan de la logistique et des procédures associées à cette transition, il convient de rappeler que le présent examen n’a été rendu possible que grâce au soutien du personnel d’AMC, plus particulièrement celui des membres de l’Unité de liaison avec les organismes de surveillance externe. De plus, l’OSSNR tient à remercier le SCRS et son équipe Examen externe et Conformité pour avoir facilité le déroulement de l’examen. En outre, le présent rapport devait être achevé au cours de l’été de 2020, mais l’échéance a été reportée en raison de la pandémie de COVID-19, laquelle a débuté au moment où l’OSSNR en était au stade initial d’établissement de la portée de l’examen.

Historique du PERSM

Pendant la Guerre froide, l’établissement des rapports de sécurité était intégré à la production des rapports politiques effectués par les diplomates Canadiens en poste à l’étranger,. Pour combler ses besoins en matière d’information en matière de sécurité, la collectivité de la sécurité et du renseignement (S et R) du Canada misait principalement sur ces rapports. Une fois la Guerre froide terminée, l’établissement des rapports de sécurité n’était plus régulièrement incorporé à la production des rapports politiques par les diplomates affectés à l’étranger. En outre, ce changement témoigne de ce qui suit :

« un ordre mondial en évolution et ponctué de défis de sécurité inédits; des priorités nouvelles et évolutives au niveau national et ministériel; une perte d’expertise se manifestant à mesure que les diplomates et les gestionnaires quittaient leurs postes ou partaient à la retraite; et d’importantes réductions de personnel dans la fonction publique conjuguées aux restrictions budgétaires strictes des années 1990 sont autant de facteurs qui ont eu une incidence sur les activités et les priorités d’AMC. »

Le PERSM a été créé peu après les événements du 11 septembre 2001. Dans sa forme actuelle, le Programme compte un personnel d’une trentaine de diplomates appelées à se consacrer ouvertement aux rapports fondés sur une seule source – à partir d’un réseau principalement constitué de contacts « non traditionnels » – portant sur des enjeux d’intérêt pour la collectivité canadienne de la sécurité, du renseignement, de la défense et des politiques étrangères. Les agents du PERSM (ou les agents) exercent leurs fonctions à l’intérieur, mais aussi à l’extérieur des capitales des États hôtes, et se déplacent régulièrement vers les zones moins fréquentées par les diplomates. Depuis 2009, ces rapports (qui alimentent les décideurs canadiens et alliés) sont en phase avec les priorités du GC en matière de renseignement.

Les agents du PERSM se rapportent à la Direction d’analyses et de rapports de renseignement (INA), laquelle relève de la Direction générale du renseignement dont le responsable est le SMA, Sécurité nationale et affaires politiques. Le PERSM s’est doté d’une structure de gestion matricielle : au niveau de la mission, les agents relèvent du gestionnaire, Service de la politique étrangère et de la diplomatie (SPED) ou du chef de mission (CDM), alors que l’Administration centrale (AC) du PERSM détermine principalement les priorités s’appliquant aux agents en matière de collecte. De plus, l’AC du PERSM établit les attentes à l’égard du Programme.

Conclusions et recommendations

Utilité du PERSM

Le PERSM est le seul programme diplomatique canadien qui soit financé dans le but de collecter de l’information de sécurité officielle. Le PERSM fonctionne comme une ressource réservée dans la mesure où la majeure partie du temps (dans une proportion de 90 %), un agent se consacre à la production de rapports à une seule source. Aucun autre programme d’AMC ne consacre autant de ressources à la « collecte pure ».

Les clients du PERSM ont maintes fois indiqué que les rapports fournissaient de l’information pertinente qui répond aux besoins de leurs ministères ou organismes respectifs en matière de collecte. De fait, les rapports du PERSM offrent des perspectives « pragmatiques » produites par un groupe diversifié, ce qui est unique lorsqu’on compare ces rapports à ceux des autres modalités de collecte du GC. Les destinataires ont indiqué que les rapports fournissaient de l’information utile concernant les menaces et les tendances générales dans les nouveaux secteurs d’intérêt.

Des clients ont souligné que l’un des principaux atouts du PERSM était la priorité accordée à la formation linguistique, laquelle prévoit, dans certains cas, plus d’une année de formation comprenant des périodes d’immersion dans le pays en question. Les clients du PERSM ont remarqué que la maîtrise des langues était une valeur sûre pour le Programme.

De plus, les clients ont salué la capacité du Programme à affecter rapidement des agents à la couverture de questions, de secteurs ou d’événements particuliers qui sont d’une grande valeur pour le GC. Or, malgré ces avantages, un examen des documents du PERSM révèle le besoin d’améliorer les mécanismes de rétroaction sur les produits, ce qui permettrait d’établir dans quelle mesure les rapports répondent aux besoins des clients.

Fonctions et obligations en vertu de la Convention de Vienne sur les relations diplomatiques

Les fonctions que les missions diplomatiques sont légalement tenues d’exercer ainsi que les obligations incombant aux diplomates qui jouissent de privilèges et d’une immunité dans un État accréditaire sont établies en vertu de la Convention de Vienne sur les relations diplomatiques (CVRD). En vertu du droit international coutumier, la CVRD est généralement acceptée en tant que codification du droit, des règlements et des pratiques en matière de diplomatie. Selon AMC, les fonctions du PERSM correspondent à celles qui sont exercées par les missions diplomatiques et qui sont décrites à l’article 3 de la CVRD. Conformément à l’énoncé de l’alinéa 3(1)d)17, il exerce une partie des fonctions de la mission diplomatique en s’informant par tous les moyens licites des conditions et de l’évolution des événements dans l’État accréditaire et en faisant rapport à ce sujet au gouvernement de l’État accréditant. L’alinéa 3(1)d) exige précisément que les rapports diplomatiques soient produits « par des moyens licites ».

D’après le paragraphe 41(1) de la CVRD, les diplomates qui exercent les fonctions énumérées à l’article 3 et qui bénéficient des privilèges et immunités dans l’État accréditaire ont le devoir « de respecter les lois et règlements de l’État accréditaire » et de « ne pas s’immiscer dans les affaires intérieures de cet État ». Tout manquement à ces obligations constitue un abus de privilège ou d’immunité (ce que l’on appelle également abus des fonctions diplomatiques).

Recours applicables en cas d’abus de l’immunité diplomatique et des privilèges connexes

Tel qu’il est indiqué dans la CVRD, les recours en cas d’abus de privilège ou d’immunité comprennent les suivantes : informer l’État accréditant que le diplomate en question est persona non grata (article 9 de la CVRD) et, dans quelques cas extrêmes, rompre les relations diplomatiques, lesquelles sont établies par consentement mutuel, comme l’explique l’article 2 de la CVRD.

Il importe de noter qu’en pareil cas, l’État accréditeur n’est pas tenu de justifier le recours qu’il exerce. Ainsi, la perception d’abus peut constituer un motif d’expulsion d’un diplomate ou de rupture des relations diplomatiques tout autant que l’abus avéré. Dans l’affaire des otages détenus à Téhéran, la Cour internationale de justice a expliqué la discrétion qui est ancrée dans ce régime de la façon suivante :

L’article 9 […] de la convention […] tien[t] compte de la difficulté qu’il peut y avoir en pratique à prouver de tels abus dans chaque cas ou même à déterminer exactement quand l’exercice de la fonction diplomatique […] peut être considéré comme se traduisant par des actes d’« espionnage », ou d’« ingérence dans les affaires intérieures ». Le paragraphe 1 de l’article 9 prend en compte ce type de difficulté en déclarant expressément, dès la phrase initiale que « [l’]État accréditaire peut, à tout moment et sans avoir à motiver sa décision », informer l’État accréditant que tout membre du personnel diplomatique de la mission est « persona non grata » ou n’est « pas acceptable. »En plus de ce moyen de remédier aux abus de la fonction diplomatique que peuvent commettre les membres d’une mission à titre individuel, l’État accréditaire dispose d’un remède plus radical si les abus prennent de graves proportions. C’est le pouvoir discrétionnairequ’a tout État accréditaire de rompre les relations diplomatiques avec un État accréditant et de demander la fermeture immédiate de la mission coupable. (Soulignement ajouté par l’OSSNR)

L’immunité dont jouissent individuellement les diplomates cesse « au moment où [ils] quittent le pays ou à l’expiration d’un délai raisonnable qui [leur] aura été accordé à cette fin […] ». En certaines circonstances, l’État accréditaire peut intenter une poursuite contre un diplomate en cas d’infraction à son droit interne, une fois que l’immunité personnelle du diplomate en question a cessé.

Les actes accomplis par un diplomate « dans l’exercice de ses fonctions comme membre de la mission » continuent de bénéficier de l’immunité même lorsque l’immunité personnelle du diplomate a cessé. Toutefois, les actes qui ne font pas partie des fonctions légitimes d’un diplomate ne continueront pas de bénéficier de l’immunité. En l’occurrence, le diplomate peut être passible de poursuites pour les infractions qu’il aurait commises en cours de mission s’il devait retourner dans le pays accréditaire sans avoir préalablement obtenu la protection de l’immunité diplomatique ou s’il omet de quitter le pays accréditaire avant l’expiration du délai raisonnable qui aurait été fixé.

Bien entendu, il y a d’autres moyens plus modérés dont dispose l’État accréditaire pour réagir aux abus de fonctions d’un diplomate, et ce, sur le plan tant juridique que politique. Hormis les risques plus improbables d’expulsion ou de rupture des relations diplomatiques, il existe plusieurs types de dommages à la réputation qui peuvent résulter des atteintes aux dispositions de la CVRD. L’OSSNR insiste sur le fait que les agents du PERSM devraient se montrer hésitants avant de placer un État accréditaire à exercer un recours.

Lorsque les activités du PERSM s’écartent du cadre juridique s’appliquant aux fonctions diplomatiques régies par le droit international, il conviendrait aussi de savoir si ces activités respectent le droit canadien. Les relations diplomatiques se poursuivent en vertu de la prérogative de la Couronne sur la conduite des relations internationales, laquelle est assujettie au droit international. L’on considère que les règles prohibitives du droit international coutumier, lesquelles englobent les règles prohibitives du droit diplomatique, sont intégrées dans la common law canadienne, à moins qu’une loi stipule le contraire. De même, la prérogative de la Couronne est partie intégrante de notre common law. Il faut donc prendre en compte la façon dont l’exercice de la prérogative de la Couronne se concilie avec ces règles prohibitives.

Perceptions

Fonctions diplomatiques vs fonctions du renseignement

Au sein de la Direction générale du renseignement d’AMC, les directives en matière d’établissement de rapports du PERSM découlent des priorités du Canada en matière de renseignement. Néanmoins, AMC présente le Programme à l’OSSNR comme une entité répondant aux normes habituelles en matière de production de rapports diplomatiques. En fait, l’OSSNR perçoit le Programme comme une entité naviguant en zone grise, pris entre deux éléments d’une même dichotomie.

Les agents du PERSM sont postés dans divers pays pour y collecter de l’information répondant aux priorités du GC en matière de renseignement. Ces pays se distinguent souvent par leurs piètres bilans en matière de droits de la personne; un haut degré de méfiance de la part des étrangers; ils se montrent généralement implacables en matière de sécurité interne; et ils tendent à recourir à des mécanismes de surveillance de masse à l’endroit des étrangers et citoyens. Voilà pourquoi la perception que les États accréditaires ont des activités du PERSM constitue un facteur que le Programme doit prendre en compte.

Lorsque l’OSSNR a demandé de quelle manière le Programme expliquait les écarts entre ce qui constitue des activités permises et les lois de l’État accréditaire, les agents du PERSM ont fait valoir qu’ils exerçaient leurs fonctions en vertu de la CVRD27. Même s’ils reconnaissaient avoir le droit d’exercer leurs fonctions au titre du droit diplomatique, les agents savaient très bien que l’État accréditaire pouvait percevoir leur rôle autrement. Certains agents ont indiqué qu’ils atténuaient ce risque en évitant de faire rapport sur des sujets sensibles.

Certes, le PERSM établit ses rapports en fonction des priorités en matière de renseignement et obtient de l’information de la part de contacts humains, mais les agents croient qu’ils se distinguent des praticiens du renseignement dans la mesure où ils agissent ouvertement à titre de membres accrédités d’une mission diplomatique et qu’ils ne rémunèrent ou ne préposent pas leurs contacts. En dépit de ces affirmations, la question de savoir si les actions d’un agent du PERSM sont « ouvertes » ou « secrètes » et si les agents rémunèrent les contacts ou les affectent à des tâches ou non est sans effet, lorsqu’il s’agit d’évaluer des allégations d’abus de privilège et d’immunité au titre de la CVRD. En fait, dans bon nombre de cas, les activités d’ingérence qui ont attiré l’attention des États accréditaires avaient manifestement été menées ouvertement.

Le risque

Les agents du PERSM doivent se montrer vigilants à l’égard de toute activité pouvant être perçue, par les États accréditaires, comme exclue des fonctions officielles d’une mission diplomatique. La présente partie de rapport fait brièvement état de certains des risques liés à ce facteur.

Risques encourus par le gouvernement du Canada et ses alliés

L’OSSNR s’attendait à découvrir un cadre de gouvernance du PERSM qui soit en mesure de faire clairement état des politiques internes et de fournir aux agents des directives sur la façon d’exercer leurs fonctions d’établissement des rapports diplomatiques. Or, le PERSM ne dispose pas d’un tel cadre.

Lorsqu’on l’a questionné au sujet de l’absence d’un cadre de gouvernance, le PERSM a indiqué qu’un ensemble de politiques n’était pas nécessaire puisque les agents [traduction] « font ce que les diplomates ont toujours fait ». Bien que la gestion du PERSM ait signifié que son personnel œuvrait à professionnaliser le Programme, la politique est actuellement :

established by the Head of the GSRP, exercising their judgement and discretion, and drawing on specialized expertise, including support from legal, human resources and finance divisions, and seeking formal or informal approval from senior executives as required and when appropriate.

Les orientations politiques fournies par le chef du PERSM sont communiquées aux agents par courriels. Il n’existe aucun registre central qui permette de gérer cette information. Outre l’insuffisance des structures de gestion de l’information, on note des lacunes sur le plan de la gestion de l’information dans d’autres secteurs. Entre autres, on a relevé des incompatibilités entre divers systèmes, sans compter les disparités qui persistent entre les missions sur le plan des accréditations de sécurité. Au reste, une partie de l’information est conservée à la mission exclusivement, ce qui limite la visibilité de l’AC et la capacité de celle-ci à suivre de près les activités des missions.

En conséquence de l’absence d’une structure de gouvernance adéquate, aux difficultés liées à la gestion de l’information et aux contraintes qui limitent la surveillance des activités des missions, le Programme n’a pas toujours été en mesure de gérer convenablement les risques.

À titre d’exemple, les responsables de l’examen ont relevé des cas où des alliés du Canada avaient mépris des agents du PERSM pour des représentants des services de renseignement canadiens.

Même si l’OSSNR n’a observé aucun cas où les agents du PERSM auraient intentionnellement induit les États accréditaires en erreur, il faut tout de même rappeler que dans un cas, le manque de compréhension concernant le mandat du Programme [caviardé].

Certains des destinataires des rapports du PERSM ont également indiqué que d’autres destinataires (particulièrement ceux dont les antécédents en matière de sécurité et de renseignement sont plutôt limités) n’ont pas vraiment compris que ces produits provenaient d’une seule source et qu’ils n’avaient été ni validés ni corroborés. En l’occurrence, cet élément est particulièrement pertinent, puisque par le passé, des agents du PERSM ont involontairement relayé de l’information dont on a ensuite conclu qu’il s’agissait de la mésinformation et de la désinformation40. Il convient de noter que le PERSM a produit un peu plus de cinq mille rapports pendant la période visée par le présent examen, parmi lesquels on a compté deux occurrences de désinformation avérée pour dix rapports. De plus, les destinataires ont maintes fois souligné la mésinformation se trouvant dans les rapports du PERSM, mais l’OSSNR n’a pas été en mesure de vérifier tous les rapports du programme pendant le déroulement de l’examen.

Comme il a été noté précédemment, l’une des difficultés qui se posent au Programme est l’absence d’une surveillance qui soit suffisante. À l’AC, quatre employés à temps complet sont responsables de la gestion d’environ trente agents, de la vérification d’approximativement deux mille rapports chaque année, de la communication informelle d’orientations en matière de politique et de l’exercice de mesures de liaison avec les intervenants concernés43. Cette charge de travail prive l’AC de la capacité d’appliquer des contrôles de qualité adéquats sur les activités des agents.

Constatation no 1 : L’OSSNR conclut que les structures de gouvernance et de responsabilisation du PERSM ne sont pas suffisamment élaborées.

Constatation no 2 : L’OSSNR conclut que les activités du PERSM comportent le potentiel de risque inutile d’atteinte à la réputation et de préjudice politique pour le gouvernement du Canada.

Constatation no 3 : L’OSSNR conclut que le PERSM ne maintient pas adéquatement des registres centraux ou applique les des pratiques exemplaires en matière de gestion de l’information

Recommandation no 1 : L’OSSNR recommande que le PERSM se dote prioritairement d’un cadre de gouvernance.

Recommandation no 2 : L’OSSNR recommande qu’AMC applique, sur le plan de la conservation des données et de la gestion de l’information, les pratiques qui sont déjà énoncées dans les politiques du GC.

Partenariat opérationnel entre AMC et le SCRS

Le SCRS dispose d’un cadre qui énonce les attentes de l’État accréditaire sur le plan tant politique qu’opérationnel44. La Loi sur le SCRS fait état, à l’article 17, de la façon dont des ententes doivent être régies. De plus, il y a des Instructions ministérielles qui orientent la conduite du SCRS à l’étranger. Ce cadre de gouvernance structure les opérations du SCRS de sorte qu’elles respectent les lois nationales et internationales. Dans la plupart des cas, le SCRS préfère être le principal interlocuteur des partenaires étrangers de la sécurité et du renseignement, au même titre qu’AMC préfère être le principal allocutaire des représentants diplomatiques.

Dans au moins un cas, le PERSM – et non le SCRS – a constitué le principal point de contact auprès des services de renseignement de l’étranger. En l’occurrence, AMC a refusé d’approuver une relation au titre de l’article 17 entre le SCRS et [caviardé] en raison d’un dossier diplomatique sensible qui était toujours en cours. Toutefois, l’OSSNR n’a rien relevé qui puisse indiquer que d’autres relations concernant, entre autres, la GRC ou le PERSM aient été interdites de la sorte. Quoi qu’il en soit, bien qu’il arrive que le SCRS se voie refuser l’autorisation d’établir un lien avec un organe étranger en raison des termes d’une entente avec une entité étrangère, AMC n’impose pas ce genre de restriction.

En outre, il convient de rappeler que les obligations juridiques du SCRS et d’AMC au titre de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (LECCMTIEE) sont exactement les mêmes, mais qu’elles risquent d’être appliquées différemment. À titre d’exemple, tandis que le SCRS peut exercer un contrôle sur ceux avec qui il peut ou ne peut pas assurer la liaison uniquement dans la mesure où les Instructions du ministre le permettent (c.-à-d. art. 17, Loi sur le SCRS), AMC n’est pas assujetti à de telles restrictions. AMC mise plutôt sur des processus d’atténuation interne lorsqu’il échange de l’information avec des entités étrangères, ce qui, pour le SCRS, n’est pertinent que si le ministre permet déjà au Service d’entrer en contact avec ladite entité.

Certes, la gestion du PERSM a affirmé qu’il ne revenait pas aux agents d’assurer la liaison avec les services étrangers de sécurité et de renseignement, mais il faut savoir que les agents du PERSM n’ont pas toujours exposé ce facteur à l’OSSNR. Par exemple, certains agents ont interagi avec des membres des services de renseignement locaux, pendant que d’autres considéraient que ces interactions ne faisaient pas partie de leurs fonctions.

En plusieurs occasions, des États accréditaires ont demandé au SCRS de fournir des éclaircissements concernant ce qu’il percevait comme étant des activités inappropriées de la part d’agents du PERSM. Dans ces cas de figure, le SCRS a tenté de rassurer ces partenaires en faisant valoir que le PERSM n’était pas un programme secret de collecte. L’OSSNR a également relevé certaines difficultés dans les régions où les activités du SCRS et celles du PERSM se chevauchent (p. ex. les répertoires de contacts).

L’OSSNR a entendu bon nombre d’agents du PERSM dire qu’ils trouvaient que les partenaires de mission issus du SCRS étaient généralement ouverts et enclins à prodiguer des conseils en matière de sécurité. Dans un autre cas, l’agent du PERSM a signalé une relation hostile avec son homologue du SCRS.

L’OSSNR a aussi remarqué plusieurs cas où rien ne semblait indiquer que les agents du PERSM avaient établi de relations suffisamment productives avec le SCRS au sein de la mission. En l’occurrence, même si les personnes se montraient cordiales les unes envers les autres, on s’en tenait à très peu d’interactions, et les agents du SCRS se montraient plutôt réservés. Certes, l’OSSNR comprend bien les protections juridiques s’appliquant aux échanges d’information auxquels le SCRS participe, mais tout indique qu’il y aurait des lacunes sur le plan de la coordination et des interactions entre le PERSM et le SCRS sur le terrain.

Lorsque l’OSSNR a soulevé la question de la coordination à l’étranger, la direction du PERSM a soutenu que sur ce plan, aucun mécanisme ne serait nécessaire dans la mesure où le SCRS était un client du Programme et non un partenaire. En effet, c’est bien en tant que client que le SCRS reçoit les rapports du PERSM, mais ce qui est dit plus haut indique clairement qu’à l’étranger, le PERSM et le SCRS exercent leurs fonctions en grande proximité, ce qui nécessite de gérer les facteurs qui complexifient la coexistence.

Le SCRS et AMC font partie d’une même équipe de cogestion (EC) dont les membres travaillent au niveau des directeurs généraux et des sous-ministre. Or, l’OSSNR constate que même si l’EC peut très bien servir d’organe de coordination, rien n’indique que les leçons tirées à ce jour auraient été mises à profit sur le plan de la collaboration entre le PERSM et le SCRS. De plus, l’EC ne se réunit que rarement, ce qui réduit considérablement l’influence qu’il peut avoir.

Constatation no 4 : L’OSSNR conclut que les mesures de coordination entre le SCRS et le PERSM sont insuffisantes, ce qui donne lieu à des incohérences sur le plan de la gouvernance lorsqu’il s’agit de traiter avec des entités étrangères.

Recommandation no 3 : L’OSSNR recommande l’élaboration de lignes directrices claires en matière de coordination entre le SCRS et le PERSM. Il recommande également que le SCRS et le PERSM s’entendent sur l’approche à adopter lorsqu’il s’agit d’interagir avec des entités étrangères à l’extérieur du Canada.

Risques encourus par les agents

AMC a indiqué qu’il ne disposait d’aucune opinion juridique quant au cadre juridique s’appliquant au PERSM. L’OSSNR remarque qu’on n’a suffisamment établi ni la portée des fonctions exercées au titre de l’alinéa 3(1)d) au sein des missions diplomatiques ou au titre du paragraphe 41(1) de la CVRD ni les types d’activités suivant lesquels les agents du PERSM risquent d’être déclarés persona non grata par l’État accréditaire. Au nombre des éléments particulièrement ambigus, il faut compter la notion plutôt large d’ingérence diplomatique telle qu’elle figure au paragraphe 41(1), laquelle notion n’est pas clairement définie dans le contexte du droit diplomatique et mériterait qu’on s’y attarde plus avant. Plus le comportement d’un agent du PERSM est sensible, plus l’État accréditaire aura tendance à percevoir ce comportement comme de l’ingérence. D’autre part, le seuil de ce qui constitue de l’ingérence ne sera pas le même d’un État à un autre.

De même, lorsque leurs activités revêtent certains des aspects que l’on interprète généralement à l’espionnage, les agents du PERSM risquent d’outrepasser leur mandat, de violer les lois intérieures de l’État accréditaire et d’outrepasser les fonctions diplomatiques qu’ils sont légalement appelés à exercer en tant qu’agents du PERSM. L’équipe responsable des questions juridiques et stratégiques à AMC devra analyser ces risques en profondeur, comme l’expliquent les paragraphes qui suivent.

Les risques de ne pas créer des cadres juridique et stratégique pourrait porter atteinte à la réputation du Canada et de préjudice aux relations diplomatiques, sans compter les risques encourus par les agents du PERSM concernés. L’OSSNR a remarqué que plusieurs agents du PERSM se servaient régulièrement de la CVRD comme d’un bouclier protecteur de leurs actions. En effet, les agents n’ont pas eu l’air d’apprécier qu’un manquement aux obligations leur incombant au titre de la CVRD en vienne à constituer un abus de leur immunité et de leurs privilèges diplomatiques. L’alinéa 3(1)d) de la CVRD reconnaît les rapports fondés sur l’information obtenue par des moyens licites. Par conséquent, tout écart par rapport à cette exigence pose le risque que l’agent du PERSM ne jouisse plus d’aucune immunité dès lors que son affectation au poste diplomatique prend fin.

Le Code de conduite à l’étranger d’AMC reconnaît explicitement que les normes locales de l’État accréditaire doivent être respectées par les représentants du Canada et que les perceptions à l’égard de ces représentants peuvent avoir une incidence négative sur la réputation du Canada. En outre, les activités des agents du PERSM sont également régies par d’autres protocoles, lesquels portent notamment, sur les risques de catastrophes naturelles, les problèmes locaux en matière de santé, la criminalité et la sécurité matérielle de la mission.

Pour collecter de l’information pertinente, les agents du PERSM sont souvent appelés à se déplacer vers des régions dangereuses qui ne sont que rarement fréquentées par les autres diplomates. De plus, les agents du PERSM traitent également avec des contacts susceptibles de défendre des positions considérées comme étant délicates par les États accréditaires. À l’évidence, ces contacts n’auraient que peu de valeur pour le Programme si l’information qu’ils possèdent ou les points de vues qu’ils adoptent pouvaient être recueillis ailleurs. Certes, les diplomates sont d’emblée susceptibles d’attirer l’attention des autorités locales, mais il faut rappeler qu’en raison de la nature du mandat du PERSM, les agents du Programme courent un risque accru d’être surveillés par les États accréditaires.

Il semble y avoir une divergence entre l’AC du PERSM et la gestion de la mission. En effet, il semble n’y avoir aucune structure de responsabilisation qui soit partagée. Par conséquent, la prépondérance de l’un ou l’autre des groupes de gestion s’en trouve affaiblie. Par exemple, l’OSSNR a remarqué plusieurs cas où la structure hiérarchique n’était claire ni pour les partenaires du Programme ni pour la direction d’AMC. À titre d’exemple, le laps de temps qui s’est écoulé avant la réception de directives essentielles a placé un agent dans une situation où la poursuite des activités comportait désormais le risque d’être perçue comme une entorse aux dispositions de la CVRD.

Les formations ou les séances d’information que les agents du PERSM reçoivent concernant les paramètres qui déterminent les privilèges et les immunités diplomatiques ne sont pas adéquates. Ce manque de connaissance peut avoir des répercussions considérables sur l’aptitude des agents du PERSM à se conduire dans le respect du cadre de leurs fonctions diplomatiques. De plus, à partir du moment où l’immunité diplomatique d’un agent du PERSM prend fin, un État accréditaire pourrait vouloir imposer des mesures de représailles.

Étude de cas : acceptation et rapport concernant de l’information classifiée

À plusieurs reprises pendant le déroulement de l’examen, l’OSSNR a entendu les agents du PERSM dire qu’ils possédaient une bonne compréhension des balises juridiques qui régissent leurs actions. Cependant, un certain cas qui a eu lieu a mis en évidence la nécessité de veiller à ce les agents du PERSM soient suffisamment au fait de leurs obligations juridiques. En l’occurrence, un agent du PERSM a reçu, de la part de l’un de ses contacts, ce qui semblait être [caviardé] classifié [caviardé].

À l’instar du Canada, [caviardé] dispose de lois interdisant la divulgation d’information classifiée. Dès lors, les actions des agents du PERSM doivent être conformes à [caviardé]. De plus, l’article 41 de la CVRD stipule clairement que les diplomates sont tenus de respecter les lois et règlements de l’État accréditaire. Or, l’OSSNR n’a rien remarqué qui puisse indiquer que des consultations auprès d’un conseiller juridique auraient eu lieu en rapport avec ce cas particulier.

Dans un autre cas, un agent du PERSM à [caviardé] a demandé et reçu ce qui était probablement de l’information classifiée de la part d’un contact. L’information reçue comprenait des [caviardé].

Dans les deux cas examinés plus haut, les deux agents du PERSM semblaient croire que leurs actions se distinguaient des activités des agents de renseignement au motif qu’ils n’offraient aucune rémunération en échange de l’information. Comme il a été dit précédemment, ce motif n’est pas pertinent lorsqu’il s’agit de conformité aux dispositions de la CVRD. Qui plus est, les cas précités soulèvent des préoccupations quant aux abus de privilèges diplomatiques.

Les agents du PERSM ne disposent pas de lignes directrices claires sur la façon de procéder lorsqu’ils sont exposés à de l’information qui se trouve au-delà des limites qui circonscrivent la collecte diplomatique. L’OSSNR a relevé une occurrence où un agent du PERSM aurait reçu de l’information dont on soupçonnait qu’elle fût classifiée et l’aurait retournée à la source, comme il se devait. Toutefois, tout indique que le résultat était une conséquence du bon jugement affiché par l’agent plutôt que l’effet d’une directive explicite.

Constatation no 5 : L’OSSNR constate l’absence d’évaluation des risques et de protocoles portant précisément sur la surveillance accrue dont les agents du PERSM pourraient faire l’objet en raison de leurs priorités en matière d’établissement de rapports.

Constatation no 6 : L’OSSNR conclut que même s’il exerce ses fonctions en vertu de la CVRD, le PERSM agit sans tirer parti de conseils juridiques, lesquels lui permettraient d’évaluer les activités du Programme.

Constation no 7 : L’OSSNR conclut que les agents du PERSM ne reçoivent pas une formation adéquate sur leurs obligations juridiques.

Recommandation no 4 : L’OSSNR recommande que le PERSM élabore des protocoles sur les risques ainsi que des lignes directrices en matière de sécurité qui soient adaptés au PERSM

Recommandation 5 : L’OSSNR recommande qu’AMC réalise une évaluation juridique approfondie des activités du PERSM. Par la suite, les agents du PERSM devraient recevoir une formation consécutive aux résultats de ladite évaluation.

Risques encourus par les contacts

Comme il a été expliqué précédemment, plus les agents du PERSM agissent de façon sensible, plus leur conduite risque d’être perçue comme de l’ingérence par l’État accréditaire. C’est particulièrement vrai dans le cas des interactions entre les agents et les contacts. Il importe de souligner que les protections diplomatiques censément offertes par la CVRD aux agents du PERSM ne s’appliquent pas aux contacts. Ainsi, tout dépend a) de la mesure dans laquelle un contact est réellement libre de communiquer de l’information à un État étranger et b) de la mesure dans laquelle les activités d’un agent PERSM pourraient éveiller des soupçons importuns à propos de cette interaction.

Les agents du PERSM ont signalé diverses expériences vécues avec leurs contacts dans leurs environnements opérationnels respectifs, sur le plan du risque et de la sécurité. Compte tenu de la nature ouverte de la collecte, la plupart des agents du PERSM, tous environnements confondus, croyaient qu’il n’y avait pas vraiment lieu de se faire du souci pour les contacts. Dans les cas où ils reconnaissaient que certaines régions et/ou certaines circonstances posaient un risque élevé pour les contacts, les agents ont répondu que ces situations étaient fréquemment atténuées en suivant la piste proposée par le contact. En d’autres termes, comme le contact était celui qui connaissait le mieux l’environnement, l’agent du PERSM se rendait particulièrement attentif à ces aspects délicats.

Dans certains cas, des agents du PERSM ont exprimé leurs préoccupations quant à la sécurité de leurs contacts en raison de risques qu’il serait difficile d’atténuer. L’un des agents du PERSM a souligné, en cours d’entrevue, que son contact l’avait informé que leurs interactions attireraient une attention non voulue de la part des autorités locales. De même, un autre contact du PERSM a été mis en détention par les autorités locales et questionné concernant son interaction avec un agent du PERSM. En d’autres occurrences, des agents du PERSM ont évoqué un soulèvement politique ou un renforcement des mesures de sécurité pour expliquer pourquoi leurs contacts avaient abruptement cessé de leur parler.

Pendant le déroulement du présent examen, l’effet des distinctions entre contacts ouverts et sources clandestines a été omniprésent. À plusieurs égards, le désaccord de la gestion du PERSM sur le fait qu’un contact ne peut être perçu de la même façon qu’une source de renseignement est fondé. Certes, la plupart des interactions que les agents du PERSM peuvent avoir avec les contacts sont sans danger. Toutefois, compte tenu de la nature des exigences en matière de rapports dans le contexte du Programme, il y a eu des cas où les interactions entre le contact et l’agent ont comporté des risques considérables. À titre d’exemple, citons un cas où le PERSM [caviardé] s’est entretenu avec diverses personnes [caviardé].

Ces questions et ces régions ne sont pas reconnues comme étant hautement sensibles pour les États accréditaires, mais en revanche, elles correspondent largement aux enjeux par rapport auxquels on peut demander à une source secrète de collecter de l’information.

Le problème avec lequel le Programme doit composer sur le plan de la « gestion des contacts » est que tout ce qui, à première vue, s’apparente à ce qui relève d’un programme de « gestion des sources » prête le flanc aux critiques d’usage selon lesquelles les activités visées seraient associées de trop près aux rapports non diplomatiques. Par exemple, le Programme aurait certainement intérêt à s’inspirer des pratiques exemplaires s’appliquant à la gestion du HUMINT. Il n’en demeure pas moins que la possibilité de reconnaître les aspects qui comporteraient les plus grands avantages, spécialement dans le contexte d’un programme diplomatique, n’est pas évidente.

En l’absence d’une structure de gouvernance devant s’appliquer à la « gestion des contacts », les agents sont contraints de miser uniquement sur leur bon jugement pour savoir ce que ces interactions finiront par donner. Entre autres, l’agent doit déterminer qui il rencontrera, où la rencontre aura lieu et quels seront les protocoles de sécurité qu’il conviendra d’appliquer compte tenu des circonstances.

Il est arrivé que l’agent tente par ses propres moyens de renforcer la sécurité du contact, notamment, en décidant à la dernière minute de l’endroit de la rencontre, ce qui permet de réduire les risques qu’une tierce partie sache où la rencontre doit avoir lieu. Dans un autre exemple, l’agent a tenté de bloquer la localisation des dispositifs mobiles au moyen d’un sac Faraday.

Même si les mesures ont été prises dans l’intérêt des contacts rencontrés, les services de renseignement qui observent ces mesures pourraient avoir une tout autre perception quant à l’intention desdites mesures. Plus particulièrement, ce type de situation pose le risque que les contacts du PERSM soient perçus, par les États accréditaires, comme les éléments d’un service de renseignement hostile.

Quel que soit l’environnement ou le degré d’aisance avec le contact, on a remarqué des incohérences dans la façon dont les agents du PERSM donnaient des garanties à leurs contacts. Par exemple, certains agents garantissent à leurs contacts que les rapports du PERSM sont anonymisés ou confidentiels, alors que d’autres agents n’offrent aucune garantie de la sorte. Rien n’indiquait que les agents pouvaient montrer une compréhension commune quant aux garanties pouvant être offertes aux contacts ou que les contacts avaient une compréhension suffisante de ce qui pouvait advenir de l’information qu’ils fournissaient.

Les destinataires des rapports du PERSM ont maintes fois évoqué l’aisance avec laquelle ils étaient en mesure de reconnaître les contacts à partir des descriptions contenues dans les rapports. Fait à noter, la majorité des agents ont affirmé qu’ils produisaient des rapports à la suite de leurs rencontres avec des contacts canadiens. L’anonymisation de l’information sur les Canadiens est particulièrement importante lorsqu’il s’agit de veiller à ce qu’AMC remplisse ses obligations au titre de la Loi sur la protection des renseignements personnels ou d’autres dispositions législatives applicables. L’OSSNR envisage de se pencher sur la question à savoir si le PERSM remplit ses obligations en matière d’échange d’information relativement aux contacts canadiens.

Constatation no 8 : L’OSSNR conclut que le PERSM ne dispose pas de mesures qui permettent de protéger adéquatement les interactions avec les contacts à l’étranger.

Recommandation 6 : L’OSSNR recommande que le PERSM élabore, suivant une consultation auprès des conseillers juridiques d’AMC, un ensemble de pratiques exemplaires qu’il pourra appliquer aux interactions avec les contacts.

Recommandation 7 : L’OSSNR recommande qu’AMC soumette le PERSM à une évaluation des facteurs relatifs à la vie privée.

Conclusion

Le PERSM évolue dans une zone clairement grise; la vision du PERSM, quant au Programme, prévoit [traduction] « une intégration accrue, au sein du PERSM, des normes et des pratiques exemplaires en vigueur au sein de la collectivité du renseignement, tout en continuant d’incarner les valeurs cardinales de la diplomatie ». Le défi qu’il conviendra de relever dans l’immédiat sera de concilier ces valeurs et ces principes, et de produire les modalités permettant de les appliquer efficacement sur le terrain.

Le principe de réciprocité est un élément important de la diplomatie. Or, les activités de certains agents du PERSM à l’étranger soulèvent des préoccupations quant au fait que des diplomates du Canada ne se comportent pas conformément au cadre de leurs fonctions et obligations au titre de la CVRD, ce qui peut, au passage, avoir une incidence sur la façon dont ces États étrangers exercent leurs activités au Canada.

Le renseignement étranger collecté par les Canadiens est très recherché. Or, les universitaires et les hauts responsables de divers ministères ont clairement indiqué que les alliés du Canada souhaitent vivement que le Canada s’implique davantage.

La création d’une entité de renseignement étranger au sein d’AMC, ou le fait de permettre au PERSM de modifier l’orientation de la mission vers cette sphère de collecte, irait à l’encontre des principes de la CVRD. Ainsi, il serait important que le GC prenne en compte les enjeux soulevés par le présent examen et en vienne à établir les moyens les plus appropriés de collecter ce type d’information. L’OSSNR estime que les enjeux soulevés en cours d’examen devront susciter une réflexion approfondie sur la pertinence d’un service canadien consacré exclusivement au renseignement étranger. Or, ne relevant pas du mandat de l’OSSNR, cet enjeu pourrait nécessiter l’attention du CPSNR.

Annexe A: Constatations et recommandations

Constatation no 1 : L’OSSNR conclut que les structures de gouvernance et de responsabilisation du PERSM ne sont pas suffisamment élaborées.

Constatation no 2 : L’OSSNR conclut que les activités du PERSM comportent le potentiel de risque inutile d’atteinte à la réputation et de préjudice politique pour le gouvernement du Canada.

Constatation no 3 : L’OSSNR conclut que le PERSM ne maintient pas adéquatement des registres centraux ou applique les des pratiques exemplaires en matière de gestion de l’information

Constatation no 4 : L’OSSNR conclut que les mesures de coordination entre le SCRS et le PERSM sont insuffisantes, ce qui donne lieu à des incohérences sur le plan de la gouvernance lorsqu’il s’agit de traiter avec des entités étrangères.

Constatation no 5 : L’OSSNR constate l’absence d’évaluation des risques et de protocoles portant précisément sur la surveillance accrue dont les agents du PERSM pourraient faire l’objet en raison de leurs priorités en matière d’établissement de rapports.

Constatation no 6 : L’OSSNR conclut que même s’il exerce ses fonctions en vertu de la CVRD, le PERSM agit sans tirer parti de conseils juridiques, lesquels lui permettraient d’évaluer les activités du Programme.

Constation no 7 : L’OSSNR conclut que les agents du PERSM ne reçoivent pas une formation adéquate sur leurs obligations juridiques.

Conclusion no 8 : L’OSSNR conclut que le PERSM ne dispose pas de mesures qui permettent de protéger adéquatement les interactions avec les contacts à l’étranger.

Recommandation no 1 : L’OSSNR recommande que le PERSM se dote prioritairement d’un cadre de gouvernance.

Recommandation no 2 : L’OSSNR recommande qu’AMC applique, sur le plan de la conservation des données et de la gestion de l’information, les pratiques qui sont déjà énoncées dans les politiques du GC.

Recommandation no 3 : L’OSSNR recommande l’élaboration de lignes directrices claires en matière de coordination entre le SCRS et le PERSM. Il recommande également que le SCRS et le PERSM s’entendent sur l’approche à adopter lorsqu’il s’agit d’interagir avec des entités étrangères à l’extérieur du Canada.

Recommandation no 4 : L’OSSNR recommande que le PERSM élabore des protocoles sur les risques ainsi que des lignes directrices en matière de sécurité qui soient adaptés au PERSM

Recommandation 5 : L’OSSNR recommande qu’AMC réalise une évaluation juridique approfondie des activités du PERSM. Par la suite, les agents du PERSM devraient recevoir une formation consécutive aux résultats de ladite évaluation.

Recommandation 6 : L’OSSNR recommande que le PERSM élabore, suivant une consultation auprès des conseillers juridiques d’AMC, un ensemble de pratiques exemplaires qu’il pourra appliquer aux interactions avec les contacts.

Recommandation 7 : L’OSSNR recommande qu’AMC soumette le PERSM à une évaluation des facteurs relatifs à la vie privée.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :