Sélection de la langue

Gouvernement du Canada / Gouvernement du Canada

Recherche

Catégorie : No-Index

Review of Departmental Frameworks for Avoiding Complicity in Mistreatment by Foreign Entities 2017 MD: Report

LECCMTIEE (examen des IM de 2017)

Rapport

Date de publication :

Résumé

En 2011 et de nouveau en 2017, un certain nombre de ministères et d’organismes ont reçu de leur ministre des directives (ci-après appelées « directive ministérielle » ou « DM ») sur la façon de gérer les risques de mauvais traitements associés à l’échange d’information avec des entités étrangères. Récemment, le Parlement a adopté la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (Loi). En septembre 2019, en vertu de la Loi, des instructions ont été données à douze ministères, dont six n’avaient encore jamais reçu d’instructions officielles sur cette question.

Le présent examen avait pour objectif d’aider l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) à acquérir des connaissances sur les processus d’échange d’information adoptés par les ministères en vertu de la DM de 2017. Les instructions données conformément à la Loi en septembre 2019 ont codifié bon nombre des dispositions de la DM de 2017 sans en changer les interdictions et les limites essentielles. Le présent examen a donc permis de mettre en place une base de connaissances précieuse qui accélérera et facilitera les examens des échanges d’information que réalisera l’OSSNR.

L’examen a été axé sur les ministères qui avaient déjà reçu la DM de 2017 : le Service canadien du renseignement de sécurité (SCRS), le Centre de la sécurité des télécommunications (CST), la Gendarmerie royale du Canada (GRC), l’Agence des services frontaliers du Canada (ASFC), Affaires mondiales Canada (AMC) et le ministère de la Défense nationale et les Forces armées canadiennes (MDN et FAC).

Observations et recommandations

Le degré de mise en œuvre varie d’un ministère à un autre

L’OSSNR a noté des différences importantes entre les six ministères en ce qui a trait au degré de mise en œuvre des processus d’échange d’information. En résumé :

  • le CST, le SCRS et la GRC ont mis en œuvre la DM de 2017;
  • le MDN et les FAC sont en voie de mettre en œuvre les derniers éléments de la DM de 2017;
  • AMC n’a pas encore totalement mis en œuvre la DM de 2017;
  • en pratique, l’ASFC n’a pas encore opérationnalisé la DM de 2017.

The concept of “substantial risk” of mistreatment is not defined

Comme la DM de 2017, la Loi et les instructions qui en découlent interdisent les échanges d’information qui entraîneraient un risque sérieux que de mauvais traitements soient infligés. Cependant, ni la Loi ni les instructions connexes ne comprennent une définition du terme « risque sérieux », malgré le rôle central que ce concept joue dans le régime. Le terme « risque substantiel » était défini dans les DM de 2011 et de 2017. L’absence d’une telle définition suscite des inquiétudes sur l’interprétation qui sera donnée à ce critère à l’avenir.

Recommandation : La définition de « risque sérieux » devrait être codifiée dans la loi ou dans les instructions publiques.

L’indépendance du processus décisionnel varie d’un ministère à un autre.

  • le CST et la GRC ont les processus les plus indépendants;
  • les processus décisionnels mis en place par AMC jusqu’ici enlèvent aux employés « de première ligne » la responsabilité de la prise de décisions à risque élevé;
  • au SCRS ainsi qu’au MDN et aux FAC, les décideurs ont habituellement un intérêt opérationnel direct dans l’échange d’information;
  • l’ASFC n’a pas encore opérationnalisé ses processus d’échange d’information.

Recommandation : Les ministères devraient faire en sorte que, dans les cas où le risque de mauvais traitements se rapproche du niveau « sérieux », les décisions soient prises indépendamment des employés des secteurs opérationnels ayant un intérêt particulier dans le résultat.

Les évaluations des risques associés aux échanges d’information ne sont pas uniformisées.

En vertu de la DM de 2017, AMC, le SCRS, le CST et la GRC ont tous leur propre série de profils de pays étrangers ou d’entités étrangères, tandis que le MDN et les FAC sont en train d’établir les leurs. L’existence de multiples évaluations différentes constitue un dédoublement inutile. Elle pourrait également introduire des incohérences, les ministères arrivant parfois à des conclusions très différentes sur les bilans des pays étrangers et des entités étrangères en matière de droits de la personne ainsi que sur les risques associés à l’échange d’information.

Recommandation : Les ministères devraient : a) se doter d’un ensemble unifié d’évaluations de la situation des droits de la personne dans les pays étrangers, notamment d’un niveau uniforme de classification du risque de mauvais traitements pour chaque pays; b) dans la mesure où de multiples ministères traitent avec les mêmes entités étrangères dans un pays donné, utiliser des évaluations uniformisées du risque de mauvais traitements associé à l’échange d’information avec des entités étrangères.

Avantages des examens internes des processus d’échange d’information

Enfin, l’OSSNR a constaté que les examens internes périodiques des politiques et des processus en matière d’échange d’information aident à en assurer le bon fonctionnement à long terme.

Recommandation : Les ministères devraient effectuer des examens internes périodiques de leurs politiques et de leurs processus en matière d’échange d’information avec des organismes étrangers afin de repérer les lacunes et les éléments qui ont besoin d’être améliorés.

2. Authorités

Le présent examen a été réalisé conformément à la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), plus particulièrement aux alinéas 8(1)a) et 8(1)b) et aux articles 9 et 11 de cette loi.

3. Introduction

De nombreux ministères et organismes du gouvernement du Canada échangent couramment de l’information avec des entités étrangères. Comme l’échange d’information avec les organismes de certains pays peut entraîner un risque que de mauvais traitements soient infligés à des individus, il incombe au gouvernement du Canada d’évaluer et d’atténuer les risques que ces échanges comportent. C’est particulièrement le cas pour les échanges d’information liés à la sécurité nationale et au renseignement, l’information ayant souvent trait à une présumée participation au terrorisme ou à d’autres activités criminelles.

Le Canada a pris plusieurs engagements contraignants en vertu du Pacte international relatif aux droits civils et politiques (PIDCP), de la Convention contre la torture et autres peines ou traitements cruels, inhumains ou dégradants (CCT) et d’autres ententes internationales. Les interdictions des mauvais traitements – y compris de la complicité dans les cas de mauvais traitements – énoncées dans ces ententes sont considérées comme faisant partie du droit international coutumier. Certaines obligations du Canada ont été intégrées dans des lois canadiennes en vertu de l’article 269.1 du Code criminel.

En 2011 et de nouveau en 2017, un certain nombre de ministères ont reçu de leur ministre des instructions sur la façon de gérer les risques associés à l’échange d’information avec des entités étrangères. Récemment, le Parlement a adopté le projet de loi C-59, qui comprenait la Loi. En septembre 2019, en vertu de la Loi, des instructions ont été données à douze ministères, dont six n’avaient encore jamais reçu d’instructions officielles sur l’échange d’information avec des entités étrangères.

Conformément au paragraphe 8(2.2) de Loi de L’OSSNR Conformément au paragraphe 8(2.2) de sa loi constituante, l’OSSNR examine chaque année la mise en œuvre dans chaque ministère des instructions données par le gouverneur en conseil en vertu de la Loi. L’OSSNR réalisera ce premier examen en 2020. Il a cependant effectué le présent examen dans le but d’apprendre à connaître et de comprendre la mise en œuvre dans les ministères de l’IM de 2017. Les instructions données en vertu de la Loi en septembre 2019 ont codifié bon nombre des dispositions de l’IM de 2017 sans en changer les limites et les interdictions essentielles. Le présent examen a donc fourni une base précieuse qui accélérera et facilitera les examens des échanges d’information que réalisera l’OSSNR.

L’examen a été axé sur les six ministères qui avaient reçu l’IM de 2017 : le SCRS, le CST, la GRC, l’ASFC, AMC ainsi que le MDN et les FAC. L’OSSNR a examiné les politiques et processus des ministères ainsi que les documents relatifs aux ententes avec l’étranger. Dans la mesure du possible, l’OSSNR a présenté une seule étude de cas par ministère afin de montrer comment l’échange d’information s’effectue en pratique. Étant donné l’approche de haut niveau adoptée pour le présent examen, l’OSSNR a décidé de faire une série d’observations générales sur les forces et les faiblesses du cadre d’échange d’information avec des entités étrangères des ministères, plutôt que des constatations officielles. Les recommandations formulées par l’OSSNR s’appliquent à l’ensemble des ministères.

Le présent examen a été axé sur les politiques et procédures ministérielles pour la communication et la demande de renseignements auxquels un risque de mauvais traitements est associé. Il ne porte pas sur l’utilisation de renseignements qui pourraient avoir été obtenus à la suite de mauvais traitements, sujet sur lequel l’OSSNR pourrait se pencher ultérieurement.

4. Renseignement généraux

En 2011, le gouvernement du Canada a approuvé un « Cadre de gestion des risques liés à l’échange d’information avec des entités étrangères ». Ce cadre général a été la première série de la directive multiministérielles données sur la question de l’échange d’information et des mauvais traitements. Son objectif principal était d’établir une façon uniforme et cohérente d’aborder l’échange d’information avec des entités étrangères à l’échelle du gouvernement.

Plus tard en 2011, un certain nombre de ministères dont les mandats étaient liés à la sécurité nationale ou au renseignement ont reçu des directives de leur ministre sur l’échange d’information avec des organismes étrangers (DM de 2011). Plus précisément, la DM de 2011 a été donnée au SCRS, au CST, à l’ASFC et à la GRC. La DM de 2011, qui a fini par être publiée en vertu de la Loi sur l’accès à l’information, a été abondamment critiquée par des organisations non gouvernementales, des groupes de défense des libertés civiles et d’autres, dont l’Association du Barreau canadien. La principale critique était qu’elle n’interdisait pas clairement la communication ou la demande de renseignements comportant un « risque substantiel » de mauvais traitements, mais autorisaient plutôt les ministères à évaluer la valeur des renseignements en fonction du risque de mauvais traitements.

En 2017, la DM de 2011 a été remplacée par une nouvelle « Instruction du ministre : Éviter la complicité dans les cas de mauvais traitements par des entités étrangères » (IM de 2017). La DM de 2017 a été donnée au SCRS, au CST, à l’ASFC et à la GRC – les ministères qui avaient reçu l’IM de 2011 – ainsi qu’au MDN et aux FAC et à AMC. Elle comprenait de nombreuses modifications, mais les plus importantes étaient l’interdiction claire de communiquer et de demander des renseignements entraînant un risque substantiel de mauvais traitements ainsi que les nouvelles limites fixées pour l’utilisation de renseignements vraisemblablement obtenus à la suite d’un mauvais traitement infligé par une entité étrangère. De plus, la nouvelle DM exigeait que les ministères tiennent à jour des politiques et des procédures afin d’évaluer les risques liés aux relations avec des entités étrangères.

L’IM de 2017 obligeait en outre les ministères à collaborer pour évaluer les pays étrangers et les entités étrangères. En réponse, Sécurité publique Canada (SP) a mis sur pied le Groupe de coordination d’échange de renseignements (GCER), composé de SP et des six ministères qui avaient reçu la DM de 2017. L’objectif était d’encourager les discussions interministérielles à l’appui d’une approche coordonnée de la mise en œuvre de la DM.

La Loi est entrée en vigueur le 13 juillet 2019. Elle prévoit que le gouverneur en conseil donne des instructions aux six ministères qui avaient reçu l’IM de 2017 et laisse à sa discrétion la décision d’en donner à d’autres ministères. Le 4 septembre 2019, la gouverneure en conseil a donné des instructions en vertu de la Loi à douze ministères. En plus des six ministères obligatoires, des instructions ont été données à SP, au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), à Transports Canada, à Immigration, Réfugiés et Citoyenneté Canada (IRCC), à l’Agence du revenu du Canada (ARC) et au ministère des Pêches et des Océans (MPO). Ces six nouveaux ministères font maintenant aussi partie du GCER présidé par SP.

En pratique, le régime d’échange d’information prévu par la Loi et les instructions subséquentes du gouverneur en conseil ressemblent beaucoup à la DM de 2017. Les limites fondamentales des possibilités d’échange d’information des ministères fédéraux sont restées les mêmes. Il est cependant intéressant de noter que le nouveau régime omet certains aspects de la DM de 2017. Ni la Loi ni les instructions connexes n’exigent des ministères, comme le faisait la DM de 2017, qu’ils tiennent à jour des politiques et des procédures internes afin d’évaluer les risques liés aux relations avec des entités étrangères, en collaboration avec d’autres ministères. Plus important encore, le nouveau régime ne définit pas le critère du « risque sérieux ». Les ramifications de ces choix sont examinées ci-après.

5. Observations et recommandations

Rapports

Une des nouvelles obligations imposées aux ministères dans la DM de 2017 était qu’ils présentent un rapport annuel à leur ministre comprenant :

Tous les ministères qui ont reçu la DM de 2017 se sont acquittés de leur obligation de faire rapport à leurs ministres respectifs, c’est-à-dire qu’ils ont produit un rapport à la fin de 2018 ou au début de 2019 décrivant leur première année d’activité sous le régime de la DM. Au moment de la rédaction du présent rapport, cependant, les ministères n’avaient pas tous publié un rapport public. Comme il procédait à un examen de base, l’OSSNR n’a pas évalué les rapports d’un œil critique.

Ministère Rapport au ministre Rapport public Cas approuvés Cas refusés
ASFC Présenté Publié 0 0
SCRS Présenté Publié 1 1
GRC Présenté Publié 25 4
CST Présenté Publié 1 0
MDN et FAC Présenté Non publié 0 0
AMC Présenté Non publié 0 0

Mise en œuvre de la directive ministérielle de 2017

Lorsque la DM de 2017 a été donnée, les ministères qui s’étaient déjà dotés de politiques et de procédures sur l’échange d’information conformément à la DM de 2011 se sont trouvés à bénéficier d’un avantage considérable. Le SCRS, le CST et la GRC, plus particulièrement, ont pu adapter rapidement leur système existant à la DM de 2017. Par contre, pour les ministères qui n’avaient pas reçu la DM de 2011 – ou qui ne l’avaient pas mise en œuvre –, l’arrivée de la DM de 2017 s’est révélée plus difficile.

CST : L’OSSNR observe que le CST a pleinement mis en œuvre tous les éléments de la DM de 2017. Les exigences de la DM ont été intégrées directement dans les politiques et les processus opérationnels du CST15. L’annexe D contient un aperçu détaillé du cadre d’échange d’information du CST et les résultats de l’étude de cas examinée par l’OSSNR.

GRC : En réponse à la DM de 2017, la GRC a révisé son cadre d’échange d’information et créé le Groupe d’évaluation de l’application de la loi (GEAL) qui, entre autres, évalue les antécédents en matière de droits de la personne des pays et tient un système de répartition des demandes d’échange d’information en fonction du risque. La GRC travaille actuellement à intégrer ces processus dans son Manuel des opérations. L’annexe E contient un aperçu détaillé du cadre d’échange d’information de la GRC et les résultats de l’étude de cas examinée par l’OSSNR.

SCRS : Après avoir reçu la DM de 2017, le SCRS a rapidement mis à jour ses politiques et procédures. En 2018, il a également instauré un nouveau système, comprenant trois niveaux de restriction selon la gravité du problème, pour mettre en œuvre l’exigence de la DM de limiter les échanges d’information avec des entités étrangères qui participent au mauvais traitement de personnes. Le SCRS a informé l’OSSNR qu’il révise ses politiques et procédures actuelles. L’annexe F contient un aperçu détaillé du cadre d’échange d’information du SCRS et les résultats de l’étude de cas examinée par l’OSSNR.

MDN et FAC : Bien qu’ils n’aient pas reçu la DM de 2011, le MDN et les FAC avaient des directives internes régissant les échanges d’information avec des entités étrangères depuis 2010. Après avoir reçu la DM de 2017, le MDN et les FAC ont mis à jour l’ensemble de leurs politiques et processus sur l’échange d’information afin de les rendre conformes aux nouvelles exigences. Le MDN et les FAC soumettent les forces partenaires à des vérifications, mais ils n’ont pas encore de système complet d’évaluation et de gestion des risques associés à l’échange d’information avec des entités étrangères. Toutefois, ils élaborent actuellement des profils de risque par pays plus détaillés ainsi qu’un processus d’évaluation uniformisé qui sera utilisé pour évaluer les risques associés aux échanges d’information avant qu’une entente d’échange d’information soit conclue. L’annexe G contient un aperçu détaillé du cadre d’échange d’information du MDN et des FAC.

AMC : Après avoir reçu la DM de 2017, AMC a créé le Comité de conformité à la directive ministérielle (CCDM) en décembre 2018. L’objectif du CCDM est d’examiner les demandes d’échange d’information auxquelles la DM pourrait s’appliquer. Il s’agit cependant de tout ce dont AMC dispose en fait de politiques et de procédures conformément à la DM. Il n’a pas de politiques ou de procédures expliquant la façon dont les employés doivent évaluer les cas d’échange d’information possibles de façon à ce que le CCDM soit saisi de tous les cas pertinents. Il ne suffit pas de simplement informer les employés qu’il leur revient d’évaluer un critère juridique complexe – le concept du « risque sérieux » de mauvais traitements au cœur des DM de 2011 et de 2017 ainsi que de la Loi – sans les orienter sur la façon dont ils doivent procéder. À ce titre, l’OSSNR observe qu’AMC n’a pas encore pleinement mis en œuvre la DM de 2017.

AMC (suite) : Il convient de noter qu’AMC produit des rapports sur la situation des droits de la personne dans les différents pays qui sont couramment utilisés au gouvernement pour faciliter l’évaluation des risques associés aux échanges avec des entités étrangères. Depuis 2018, AMC consacre une nouvelle partie de ces rapports à la question des mauvais traitements. L’annexe H contient un aperçu détaillé du cadre d’échange d’information d’AMC et les résultats de l’étude de cas examinée par l’OSSNR.

ASFC : En octobre 2018, l’ASFC a publié une version révisée d’un document stratégique de haut niveau en réponse à la DM de 2017. Ce document ne contenait cependant aucun processus concret de détection et de traitement des cas d’échange d’information associés à un risque de mauvais traitements. Les employés de l’ASFC n’ont donc pas de directives sur la façon de s’acquitter de leurs responsabilités en vertu de l’IM. L’ASFC n’a pas non plus de processus d’évaluation des risques associés à certains pays étrangers et entités étrangères, comme l’exige la DM. Elle a rédigé des processus et des politiques additionnelles depuis, qu’elle n’a cependant pas encore arrêtés définitivement ou appliqués. Étant donné ces lacunes importantes, l’OSSNR observe que l’ASFC n’a pas encore opérationnalisé la DM de 2017. Toutefois, l’ASFC a informé l’OSSNR qu’elle a l’intention d’apporter des améliorations importantes au cours de la prochaine année. L’annexe I contient un aperçu détaillé du cadre d’échange d’information de l’ASFC.

Les annexes propres à chaque ministère mentionnées ci-dessus contiennent des observations additionnelles. Il convient aussi de signaler que l’examen des politiques et des processus ministériels effectué par l’OSSNR se situait à un niveau élevé et qu’à ce titre les examens futurs pourraient donner lieu à des constatations et à des recommandations additionnelles. De plus, un certain nombre de ministères ont entrepris de réviser leurs pratiques d’échange d’information, dont plus particulièrement le SCRS et le MDN et les FAC.

Dans son tour d’horizon des ministères, l’OSSNR a constaté que les niveaux de rigueur et de cohérence varient au chapitre de la tenue de dossiers. Des comptes rendus justes et détaillés des délibérations et des raisonnements à l’appui des décisions prises concernant l’échange d’information avec des entités étrangères sont nécessaires pour renforcer la responsabilisation, étant donné surtout la décision que la Cour suprême a rendue récemment dans l’affaire Vavilov. L’OSSNR pourrait revenir sur cette question ultérieurement.

En juin 2019, la GRC a effectué un examen interne du cadre et des politiques en place en matière d’échange d’information. Cet examen lui a permis de mettre au jour diverses lacunes liées aux politiques, aux processus, à la formation et à la répartition des ressources. En se fondant sur la version provisoire de ce document qui lui a été remise, l’OSSNR constate que l’examen a été franc et approfondi. Il est actuellement utilisé pour orienter les améliorations à apporter. Des examens internes périodiques – comme celui que la GRC a effectué – devraient être considérés comme une pratique exemplaire.

Recommandation no 1 : Les ministères devraient effectuer des examens internes périodiques de leurs politiques et de leurs processus en matière d’échange d’information avec des organismes étrangers afin de repérer les lacunes et les éléments qui ont besoin d’être améliorés.

Processus décisionnel indépendant

Le concept d’atténuation des risques est déterminant dans les cadres d’échange d’information des ministères. Lorsqu’un échange d’information entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, l’information ne peut être échangée que si le ministère prend des mesures pour atténuer le risque de mauvais traitements de telle façon que le risque résiduel ne soit plus sérieux. Cela dépend donc beaucoup de la personne qui, au sein des ministères, est autorisée à prendre des décisions sur les points suivants :

  • les cas proposés d’échange d’information qui entraîneraient un risque sérieux de mauvais traitements
  • la suffisance des mesures d’atténuation proposées.

Lorsqu’il a examiné les divers processus décisionnels adoptés par les ministères, l’OSSNR a constaté que les niveaux d’indépendance face au personnel opérationnel varient. Il s’est particulièrement intéressé aux processus dans lesquels les personnes qui prennent les décisions ont un intérêt opérationnel direct dans l’échange d’information, créant un éventuel conflit entre les impératifs opérationnels et les obligations du ministère de respecter la DM.

Au CST, tout le processus d’évaluation des risques de mauvais traitements est effectué par des équipes non opérationnelles. La centralisation du processus décisionnel en matière d’échange d’information à l’intérieur d’une seule direction réduit au minimum les pressions opérationnelles directes tout en facilitant la prise de décisions éclairées et objectives.

Le processus de la GRC repose sur d’autres mécanismes pour assurer un processus décisionnel indépendant. Lorsqu’ils veulent échanger de l’information, les enquêteurs doivent consulter une liste de pays et de types d’échanges d’information pour lesquels la GRC a déterminé à l’avance qu’ils représentent un risque suffisant de mauvais traitements. Si l’échange proposé correspond à la liste, le cas est automatiquement soumis au Comité consultatif sur les risques – Information de l’étranger (CCRIE). Le CCRIE est constitué de plusieurs cadres supérieurs de la direction générale de la GRC qui ne sont pas directement liés à la première ligne opérationnelle. Le système de renvoi au CCRIE repose sur des critères clairs et retire leur pouvoir discrétionnaire aux agents qui ont un intérêt direct dans l’échange d’information. Il est possible que ces agents ne comprennent pas bien le contexte géopolitique de l’échange d’information proposé et ne soient donc pas les mieux placés pour évaluer si un risque sérieux de mauvais traitements pourrait en découler.

AMC demande que les directeurs généraux et les chefs de mission soumettent au CCDM tous les cas où un échange d’information proposé pourrait entraîner un risque sérieux de mauvais traitements. Le CCDM, qui est composé de cadres supérieurs de tout le ministère ainsi que d’un représentant des services juridiques, décide centralement s’il est possible d’atténuer ce risque sérieux. Comme il a déjà été signalé, cependant, AMC n’a pas encore donné de directives à ses fonctionnaires sur la façon de déterminer si le critère de renvoi au CCDM est respecté.

Comparativement à ceux du CST, d’AMC et de la GRC, les processus décisionnels du SCRS et du MDN et des FAC sont beaucoup plus proches des opérations. Le SCRS donne aux modules des orientations de haut niveau sur la façon de déterminer si un échange d’information pourrait entraîner un risque sérieux de mauvais traitements, mais laisse au sous-directeur général ou au directeur général de chacune des directions la responsabilité de décider, en dernière analyse, si la situation représente effectivement un risque sérieux et si ce risque peut être atténué. Ce n’est que si le SCRS a fortement restreint les échanges d’information avec l’entité étrangère en question – ou encore si la direction n’est pas certaine que le risque sérieux peut être atténué – que le dossier doit être soumis au Comité d’évaluation des échanges d’information (CEEI) qui tranchera. Par conséquent, la majorité des décisions du SCRS d’échanger de l’information – même celles qui sont associées à un risque sérieux de mauvais traitements – sont prises par des fonctionnaires qui ont un intérêt direct dans le résultat de l’échange d’information proposé.

Dans le cas du MDN et des FAC, les décisions relatives aux échanges d’information relèvent d’officiers de la chaîne de commandement militaire. L’OSSNR a été informé que les échanges d’information courants sont approuvés par les officiers subalternes désignés sur le théâtre des opérations, les cas associés à des circonstances inhabituelles ou dans lesquels il est difficile de déterminer avec certitude s’il existe un risque sérieux de mauvais traitements ou si ce risque peut être atténué sont soumis aux échelons supérieurs. Une fois qu’un dossier est transmis aux échelons supérieurs de la chaîne de commandement, les officiers supérieurs reçoivent des conseils de divers représentants officiels au quartier général.

À l’heure actuelle, l’ASFC n’a pas de processus pour évaluer le risque sérieux ou pour décider si un tel risque peut être atténué. En pratique, donc, il incombe à ses agents, qui agissent sans directives, de repérer les cas auxquels la DM de 2017 s’applique et de gérer les risques connexes. L’ASFC a rédigé une ébauche de procédure pour les cas dans lesquels il est difficile de déterminer avec certitude si un risque sérieux de mauvais traitements peut être atténué, mais cette procédure n’a pas encore été mise en œuvre.

Recommandation no 2 : Les ministères devraient faire en sorte que, dans les cas où le risque de mauvais traitements se rapproche du niveau « sérieux », les décisions soient prises indépendamment des employés des secteurs opérationnels ayant un intérêt particulier dans le résultat.

Évaluations des pays

Comme il a déjà été signalé, la DM de 2017 comprenait un ajout important, soit l’exigence imposée aux ministères de tenir à jour des politiques et des procédures afin d’évaluer les risques liés aux relations d’échange d’information qu’ils entretiennent avec des entités étrangères. Fait intéressant, la DM exigeait que les ministères évaluent le bilan des pays étrangers en matière de droits de la personne dans l’ensemble, et pas seulement celui d’entités précises (c.-à-d. services de police ou de renseignement) dans ces pays. La DM n’interdisait pas l’échange d’information avec des entités étrangères dans des pays dont les antécédents en matière de respect des droits de la personne sont inquiétants. Elle donnait à entendre que les relations du Canada avec de telles entités étrangères ne pourraient pas être envisagées séparément du contexte plus général des droits de la personne dans lequel ces entités travaillent.

Dans plusieurs cas, l’OSSNR a remarqué que les ministères mentionnaient l’absence de renseignements directs du gouvernement du Canada sur les mauvais traitements infligés par une entité étrangère donnée à l’appui d’une proposition d’échange d’information, ou encore à l’appui d’une politique moins restrictive sur l’échange d’information avec l’entité en question – malgré un nombre amplement suffisant de rapports du domaine public sur les violations systématiques des droits de la personne. L’OSSNR fait remarquer qu’un manque de rapports internes du gouvernement du Canada sur les mauvais traitements infligés par une entité étrangère donnée ne constitue pas une preuve que l’entité n’inflige pas de mauvais traitements. Les ministères doivent tenir compte de tout l’éventail des sources dans leur évaluation du risque, y compris des sources ouvertes comme les médias et les organisations non gouvernementales (ONG).

AMC, le SCRS, le CST et la GRC ont tous leur propre série de profils de pays étrangers ou d’entités étrangères, tandis que le MDN et les FAC sont en train d’établir les leurs. L’existence de multiples évaluations différentes constitue un dédoublement inutile. Elle pourrait également introduire d’importantes incohérences, les ministères arrivant parfois à des conclusions très différentes sur les bilans de pays étrangers et d’entités étrangères en matière de droits de la personne ainsi que sur les risques associés à l’échange d’information. Maintenant que des instructions ont été données en vertu de la Loi à douze ministères, ce problème prendra probablement de l’ampleur. Ce point est discuté plus longuement à l’annexe F.

Le GCER cherche à orienter les ministères dans l’élaboration de leurs processus d’évaluation de la question des droits de la personne en offrant une tribune pour discuter de pratiques exemplaires. SP a informé l’OSSNR que le GCER n’avait pas discuté de projet en vue d’uniformiser ces évaluations.

Recommandation no 3 : Les ministères devraient :

  • se doter d’un ensemble unifié d’évaluations de la situation des droits de la personne dans les pays étrangers, notamment d’un niveau uniforme de classification du risque de mauvais traitements pour chaque pays;
  • des évaluations normalisées des risques de mauvais traitements posés par les échanges d'information avec les entités étrangères , dans la mesure où plusieurs ministères traitent avec les mêmes entités étrangères d'un pays donné.

La recommandation qui précède n’empêche pas les ministères d’adopter des approches qui leur sont propres pour atténuer les risques de mauvais traitements. Par exemple, un ministère pourrait être en mesure de tirer parti de certains aspects de sa relation avec une entité étrangère pour réduire le risque de mauvais traitements, ce dont d’autres ministères ne pourront pas profiter. Ces différences ne devraient toutefois pas avoir d’incidence sur la détermination initiale du risque sous-jacent de mauvais traitements associé à l’échange d’information avec une entité étrangère.

Dans India v. Badesha (2017), la Cour suprême du Canada a récemment fourni des conseils sur les facteurs contextuels à examiner dans l’évaluation de la fiabilité des assurances demandées à des entités étrangères sur la question des mauvais traitements. Sans être exhaustif, cet arrêt offre aux ministères quelques conseils sur le caractère adéquat des assurances reçues.

Devoir de diligence

Pendant l’examen du cadre d’AMC, l’OSSNR a constaté une tension entre l’adhésion à la DM de 2017 et le devoir de diligence d’AMC, qui doit assurer la sécurité des employés en poste dans les missions à l’étranger. Effectivement, les deux cas d’échange d’information soumis au CCDM en 2019 portaient sur des menaces pesant sur la sécurité de missions. Dans l’un de ces cas, l’information a été communiquée à une entité étrangère avant que le CCDM ait eu la chance d’évaluer le risque de mauvais traitements. Le fonctionnaire d’AMC avait alors invoqué la nécessité d’assurer la sécurité des employés de la mission (voir l’annexe H).

L’OSSNR reconnaît l’importance de la sécurité de la mission et la gravité des dilemmes qui se posent lorsque les besoins liés à la sécurité de la mission entrent en conflit avec les obligations d’AMC en matière d’échange d’information. Néanmoins, le climat tendu d’une mission qui fait face à une menace n’est peut-être pas le meilleur endroit pour prendre rapidement une décision sur le risque de mauvais traitements.

Risque sérieux

Comme la DM de 2017, la Loi et les instructions qui en découlent interdisent les échanges d’information qui entraîneraient un risque sérieux que de mauvais traitements soient infligés. Cependant, ni la Loi ni les instructions connexes ne comprennent une définition du terme « risque sérieux », malgré le rôle central que ce concept joue dans le régime. Le terme « risque substantiel » était défini dans les DM de 2011 et de 2017. L’absence d’une telle définition suscite des inquiétudes sur l’interprétation qui sera donnée à ce critère à l’avenir.

En consultation avec d’autres ministères, SP élabore un document stratégique dans lequel il reprend la définition de risque substantiel des DM de 2011 et de 2017 pour l’appliquer à « risque sérieux ». Le document contient aussi d’autres exigences qui figuraient dans la DM de 2017, mais qui ont été omises dans la Loi et dans les instructions connexes. Lorsque l’OSSNR le leur a demandé, les six ministères qui avaient reçu la DM de 2017 ont tous dit qu’ils avaient l’intention de continuer de respecter la définition établie de risque sérieux. Cette intention est rassurante et devrait limiter le risque d’incohérences entre les ministères. Néanmoins, les divers ministères ne devraient pas avoir à déterminer chacun de leur côté ce que signifie un concept aussi essentiel.

Recommandation no 4 : La définition de « risque sérieux » devrait être codifiée dans la loi ou dans les instructions publiques.

La définition de risque substantiel de la DM de 2017 prévoit que les mauvais traitements sont prévisibles. Comme il est décrit dans l’annexe G, l’évaluation que font le MDN et les FAC de la prévisibilité comprend plusieurs facteurs, mais un élément clé est que le risque de mauvais traitements doit être une « conséquence causale » de l’échange d’information du MDN ou des FAC. L’OSSNR observe que la façon dont le MDN et les FAC interprètent le critère de la prévisibilité risque de restreindre la définition de risque sérieux et par conséquent l’application de la DM de 2017. Étant donné l’importance d’une compréhension claire et uniforme du « risque sérieux » entre les ministères, au cours des prochaines années, l’OSSNR pourrait examiner l’application du critère du « risque sérieux » par le MDN et les FAC – ainsi que d’autres ministères – à l’échange d’information avec des entités étrangères.

Selon la définition, l’existence d’un risque sérieux est établie s’il est plus probable qu’improbable que des mauvais traitements soient infligés. Une nuance est cependant apportée, c’est-à-dire que l’existence d’un risque sérieux peut être établie à un niveau de probabilité inférieur « lorsqu’une personne risque de subir un préjudice grave ». Cette nuance traduit une réalité plus large : l’évaluation du risque sérieux n’est pas censée être un processus strictement mécaniste de pondération des probabilités. Il est précisé dans la DM de 2017 que le gouvernement du Canada « ne veut pas participer aux actions qui impliquent le recours à la torture ou à d’autres formes de peines et de traitements cruels, inhumains ou dégradants. Associer sciemment le gouvernement du Canada à une telle action nuirait à la crédibilité et à l’efficacité de tout ministère ou organisme qui y serait associé. » Lorsqu’ils interprètent le critère du risque sérieux, les ministères devraient toujours être attentifs à l’objectif plus général du cadre d’échange d’information du Canada avec des entités étrangères.

Afin de donner vie à ce cadre, il incombe aux ministères, premièrement, de faire en sorte que les employés reçoivent la formation nécessaire pour bien comprendre leurs obligations légales et, deuxièmement, de se doter de processus clairs et bien établis qui favorisent et facilitent la conformité au sens le plus large du terme.

6. Conclusion

L’examen visait à permettre à l’OSSNR d’acquérir des connaissances sur les processus d’échange d’information adoptés par les ministères conformément à la DM de 2017. L’OSSNR a noté des différences importantes entre les ministères examinés en ce qui a trait au niveau de mise en œuvre des processus d’échange d’information. L’indépendance du processus décisionnel varie également beaucoup.

Les cadres ministériels d’échange d’information continueront d’évoluer au fil du temps, mais le présent examen fournira une base de référence à des fins de comparaison lorsque des éléments nouveaux seront apportés en vertu de la Loi. L’examen a aussi servi à repérer des éléments qui pourraient susciter des préoccupations que l’OSSNR pourrait réexaminer au cours des années à venir.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of federal institutions’ disclosures of information under the Security of Canada Information Disclosure Act in 2021: Report

Examen des communications d’information par des institutions fédérales au titre de la loi sur la communication d’information ayant trait à la sécurité du canada en 2021

Date de publication :

Résumé

1. Le présent rapport présente les résultats d’un examen réalisé par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) relativement aux communications d’information faites par des institutions fédérales au titre de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC), dans le contexte de la troisième année de la mise en application des dispositions de la LCISC. En l’occurrence, l’examen de l’OSSNR porte plus particulièrement sur les communications proactives d’Affaires mondiales Canada (AMC).

2. La LCISC vise à encourager et à faciliter la communication d’information entre les institutions fédérales afin de protéger le Canada contre des activités qui menacent la sécurité nationale ou qui y portent atteinte, sous réserve de certaines conditions. La LCISC impose un critère en deux temps qui doit être respecté avant toute communication d’information : la communication d’information doit aider à l’exercice de la compétence ou des attributions de l’institution destinataire à l’égard des activités portant atteinte à la sécurité du Canada ; l’incidence de la communication d’information sur le droit à la vie privée d’une personne doit se limiter à ce qui est raisonnablement nécessaire dans les circonstances. La LCISC comporte également des dispositions et des principes directeurs s’appliquant à la gestion des communications d’information, notamment, aux déclarations relatives à l’exactitude et à la fiabilité ainsi qu’aux obligations en matière de conservation des documents.

3. L’OSSNR a relevé des sources de préoccupation qui mettent en évidence la nécessité d’améliorer les formations. En outre, l’OSSNR est d’avis qu’il existe des risques de méprise, lorsqu’il s’agit d’établir si la LCISC constitue le mécanisme devant s’appliquer à certaines communications d’information relative à la sécurité nationale. Certaines communications ont posé problème dans la mesure où elles ne remplissaient pas le critère en deux temps imposé par la LCISC avant que les informations soient communiquées. Il s’avère qu’à défaut de répondre à ce critère, certaines communications de renseignements personnels contrevenaient aux dispositions de la LCISC. Du reste, deux des communications ne comprenaient aucunedéclaration relative à l’exactitude et à la fiabilité, ce qui est contraire aux prescriptions de la LCISC. Pour ce qui concerne la conservation des documents, l’OSSNR recommande que les ministères documentent de façon simultanée l’information contenant les éléments appelés à garantir que la communication d’information n’aura, sur le droit à la vie privée d’une personne, qu’une incidence se limitant à ce qui est raisonnablement nécessaire dans les circonstances.

4. L’OSSNR déclare avoir eu accès à tous les renseignements nécessaires à la conduite du présent examen.

2. Introduction

5. Lorsque les ministères fédéraux omettent de communiquer cohéremment, responsablement et en temps opportun des informations relatives à la sécurité nationale, des conséquences graves et tragiques risquent de s’ensuivre; c’est d’ailleurs ce que montrent les enquêtes réalisées dans l’affaire Maher Arar et l’affaire Air India5. En tant qu’organe chargé de surveiller l’application du cadre de reddition de comptes en matière de sécurité nationale du Canada, l’OSSNR doit préparer un rapport portant sur les communications d’information sous le régime de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) réalisées durant l’année civile précédente. La présente est le seul rapport d’examen de l’OSSNR qui doive être rendu public et déposé devant la Chambre des communes et le Sénat, ce qui témoigne de l’importance que le Parlement accorde aux examens indépendants et à la responsabilisation, lorsqu’il s’agit des communications d’information relative à la sécurité nationale.

6. D’ailleurs, le titre intégral de la LCISC décrit très bien la fin officielle de cette loi : Loi visant à encourager et à faciliter la communication d’information entre les institutions fédérales afin de protéger le Canada contre des activités qui portent atteinte à la sécurité du Canada.

7. La LCISC régit les modalités selon lesquelles les institutions fédérales communiquent les informations, y compris les renseignements personnels, qui ont trait aux activités portant atteinte à la sécurité du Canada, à un groupe restreint d’institutions fédérales exerçant un mandat de protection de la sécurité nationale. Les communications d’information sont faites soit proactivement, à l’instigation d’une institution fédérale, soit en réponse à une demande présentée par une institution autorisée à recevoir de l’information au titre de la LCISC.

8. Il importe de noter que la LCISC n’est qu’un simple outil. Elle n’est utile que dans la mesure où elle est reconnue et appliquée en temps réel. À l’évidence, ses effets positifs reposent sur la façon dont les individus et les institutions en interprètent et en appliquent les dispositions. Les institutions fédérales autorisées à communiquer de l’information au titre de la LCISC doivent donc demeurer vigilantes lorsqu’il s’agit d’information pouvant avoir une incidence sur la sécurité nationale, même dans le cas d’activités exécutées aux moins élevés des niveaux opérationnels. Après avoir reconnu des informations ayant trait à des enjeux relevant de la sécurité nationale, les ministères doivent d’abord établir s’ils sont autorisés à communiquer ces informations. Ils doivent ensuite déterminer à quelles entités ces informations peuvent être communiquées en s’assurant de faire le nécessaire pour minimiser toute incidence sur le droit à la vie privée des personnes.

9. Lorsqu’il est question de communiquer de l’information à d’autres institutions nationales, les ministères et organismes fédéraux dont le mandat principal est de veiller sur la sécurité nationale peuvent généralement s’appuyer sur leur propre cadre juridique et ne sont donc pas tenus de s’en remettre aux dispositions de la LCISC. Dans certains de ses rapports précédents, l’OSSNR a d’ailleurs noté que pour plusieurs de ces institutions, les communications d’information au titre de la LCISC ne représentaient qu’une faible part de leurs communications d’information à l’intention d’organisations nationales.

10. L’OSSNR comprend le rôle important que tient la LCISC dans le cadre général de la sécurité nationale. Or, l’OSSNR soulève quelques réserves quant à l’application rigoureuse des dispositions de la LCISC, notamment, de ses principes directeurs, et quant à la communication de renseignements personnels. Qui plus est, l’OSSNR a la compétence voulue pour examiner toutes les communications d’information dans l’ensemble du gouvernement du Canada et, de ce point de vue, l’OSSNR est en mesure de reconnaître les tendances et les enjeux récurrents. Cette perspective ؘ– dont aucun des autres ministères fédéraux ne peut se prévaloir en soi– permet à l’OSSNR de tirer des conclusions et de formuler des recommandations aptes à renforcer les mesures de communication d’information dans la sphère de la sécurité nationale.

Objet de l’examen

11. Lorsqu’il s’est agi d’établir l’objectif du présent examen, l’OSSNR a tenu compte des préoccupations soulevées lors de l’examen réalisé l’année précédente. Or, dans le cadre de l’examen visant les communications d’information au titre de la LCISC en 2020, un examen que l’OSSNR a mené conjointement avec le Commissariat à la protection de la vie privée (CPVP), on a remarqué que la majorité des communications faites par les ministères fédéraux – près de 99 % – respectaient les exigences minimales s’appliquant aux communications d’information au titre de la LCISC. Autrement dit, les institutions à l’origine des communications avaient recueilli suffisamment de preuves pour être convaincues du bien-fondé des communications, pour savoir que l’information à communiquer allait aider à l’exercice de la compétence ou des attributions de l’institution destinataire à l’égard des activités portant atteinte à la sécurité du Canada, et pour être rassurées sur le fait que l’incidence des communications d’information sur le droit à la vie privée d’une personne se limiterait à ce qui est raisonnablement nécessaire dans les circonstances.

12. Or, les quelques communications d’information qui ont soulevé des préoccupations étaient celles qui avaient été fournies proactivement à l’institution destinataire11. C’est pourquoi l’OSSNR a choisi de se concentrer sur cette catégorie pour l’examen des communications d’information réalisées en 2021 au titre de la LCISC. En 2021, la majorité des communications proactives étaient issues d’Affaires mondiales Canada (AMC). L’OSSNR s’est donc penché plus particulièrement sur les communications proactives faites par AMC en 2021, lesquelles constituaient un échantillon suffisamment représentatif.

13. En plus d’analyser ces communications d’information du point de vue des exigences minimales de la LCISC, le présent examen a évalué d’autres exigences importantes prévues à la LCISC, lesquelles ont pour objet de veiller à ce que les communications d’information relatives à la sécurité nationale se fassent responsablement. Au nombre de ces exigences, notons que les communications d’information doivent s’accompagner d’énoncés attestant l’exactitude et la fiabilité de l’information communiquée, sans compter que les institutions à l’origine des communications sont tenues de préparer et de conserver les documents comportant une description des renseignements sur lesquels elles s’appuient pour être convaincues que lesdites communications répondent aux critères d’autorisation énoncés dans la LCISC.

14. L’échantillon examiné n’était composé que de communications issues d’AMC, mais il faut savoir que bon nombre des conclusions et des recommandations ont été formulées à titre indicatif et dans des termes généraux, et qu’elles peuvent, dans plusieurs cas, s’avérer utiles à toutes les institutions appelées à communiquer de l’information au titre de la LCISC.

Objectifs de l’examen

15. Le présent examen avait principalement pour objectif d’évaluer les communications d’information proactives au titre de la LCISC.

16. Plus précisément, l’examen visait à établir si AMC :

  • a) était convaincu, avant toute communication d’information, que ladite communication aiderait à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire prévues par une loi fédérale ou une autre autorité légitime à l’égard d’activités portant atteinte à la sécurité du Canada, tel qu’il est stipulé à l’alinéa 5(1)a) de la LCISC;
  • b) était convaincu, avant toute communication d’information, que l’incidence de la communication sur le droit à la vie privée d’une personne serait limitée à ce qui est raisonnablement nécessaire dans les circonstances, tel qu’il est stipulé à l’alinéa 5(1)b) de la LCISC;
  • c) avait fourni, au moment de procéder à la communication d’information, des renseignements sur l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci avait été obtenue, tel qu’il est stipulé au paragraphe 5(2) de la LCISC;
  • d) avait conservé les documents contenant une description des renseignements sur lesquels le ministère s’était appuyé pour être convaincu que lesdites communications répondaient aux critères d’autorisation énoncés dans la LCISC, tel qu’il est stipulé à l’alinéa 9(1)e) de la LCISC.

Méthodologie

17. L’OSSNR a eu accès à 195 communications d’information auprès de ministères fédéraux ayant déclaré avoir communiqué ou reçu de l’information au titre de la LCISC entre le 1er janvier et le 31 décembre 2021. L’OSSNR a donc procédé à un examen préliminaire de toutes les communications auxquelles il avait eu accès.

18. L’OSSNR s’est concentré, pour les besoins du présent examen, sur les communications d’information proactives d’AMC uniquement. AMC a recensé 16 communications d’information proactives sur les 44 communications faites au titre de la LCISC en 2021. Toutefois, pendant l’examen du matériel fourni par AMC, l’OSSNR a remarqué que trois de ces dossiers étaient en fait des demandes d’information présentées par un autre ministère, et non des communications d’information au titre de la LCISC. Par conséquent, l’OSSNR a retiré ces trois dossiers de l’échantillon d’examen et n’a donc analysé que les 13 communications restantes, qu’AMC avait déclarées comme étant des communications d’information proactives.

19. En outre, l’OSSNR a envoyé à AMC cinq demandes d’information complémentaires concernant les communications d’information à examiner et a évalué tous les documents fournis.

3. Analyse

20. . En cours d’examen, l’OSSNR a relevé des éléments positifs au sujet des communications d’information, éléments qu’il se propose de mettre en évidence dans le présent rapport. Or, les communications d’information proactives constituent un aspect important du régime de la LCISC, et les conclusions et recommandations formulées dans la présente auront ainsi pour objet d’accroître le degré de conformité aux dispositions de la LCISC.

Seuils à respecter avant de communiquer de l’information aux institutions fédérales au titre de la LCISC

a) Compétence ou attributions relatives aux activités portant atteinte à la sécurité du Canada

21. L’alinéa 5(1)a) de la LCISC exige que les ministères fassent le nécessaire pour être convaincus qu’une communication d’information « aidera à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire prévues par une loi fédérale ou une autre autorité légitime à l’égard d’activités portant atteinte à la sécurité du Canada ».

22. La définition du terme « activité portant atteinte à la sécurité du Canada » est énoncée au paragraphe 2(1) de la LCISC et vise, notamment, l’espionnage et le terrorisme. Or, elle exclut des activités, notamment, les activités de défense d’une cause ou de protestation qui ne sont pas menées en conjonction avec des activités qui portent atteinte à la sécurité du Canada.

23. Pendant le présent examen, l’OSSNR a analysé chacune des communications d’information dans l’échantillon ainsi que les documents connexes pour établir si AMC avait fait le nécessaire, avant toute communication d’information, pour être convaincu que l’information à communiquer contribuerait au champ de compétence du ministère destinataire à l’égard des activités portant atteinte à la sécurité du Canada, tel qu’il est énoncé dans la LCISC.

24. Dans 12 des 13 communications d’information examinées, AMC avait acquis la certitude que la communication d’information répondait à ces exigences. De plus, pour chacune de ces 12 communications d’information, AMC avait non seulement documenté que le destinataire avait la compétence requise, mais avait également établi dans quelle mesure l’information aiderait l’exercice de cette compétence à l’égard des activités portant atteinte à la sécurité du Canada, tel qu’il est exigé par la LCISC. À titre d’exemple, voir l’encadré 1. L’information contenue dans le dossier de communication d’information appuie le propos de cet énoncé.

Encadré 1 : Exemple d’un énoncé tiré d’une communication d’information montrant qu’AMC avait la conviction que les dispositions énoncées à l’alinéa 5(1)a) de la LCISC avaient été respectées

La communication d’information d’AMC aidera le SCRS à s’acquitter de ses responsabilités au titre de l’article 12 de la Loi sur le SCRS, lesquelles requièrent que le SCRS enquête sur des activités dont on peut raisonnablement s’attendre à ce qu’elles posent une menace pour la sécurité du Canada. L’alinéa 2a) de la Loi sur le SCRS stipule que la notion de « menaces envers la sécurité du Canada » englobe les menaces ou les actes « [d]'espionnage ou le sabotage visant le Canada ou préjudiciables à ses intérêts, ainsi que les activités tendant à favoriser ce genre d’espionnage ou de sabotage ». Le SCRS recueille, analyse et conserve des renseignements dans la mesure où il est strictement nécessaire de le faire, pour ensuite faire rapport auprès du gouvernement du Canada et lui prodiguer des conseils. Dans la présente situation, la communication d’information d’AMC permettra au SCRS d’exercer sa responsabilité au titre de l’article 12 de la Loi sur le SCRS, à savoir d’enquêter et de produire un rapport sur les menaces pour la sécurité du Canada, tel qu’il est énoncé à l’alinéa 2a) de la Loi sur le SCRS. Plus précisément, la communication d’information permettra d’évaluer le risque d’une menace d’espionnage [contre les intérêts du Canada à l’étranger].

25. Toutefois, l’OSSNR a observé que pour une des douze communications d’information, AMC a consulté plus d’information que ce qui était nécessaire pour déterminer si la communication d’information était autorisée en vertu de la LCISC. Cette communication d’information est décrite ci-dessous.

Communication 1

26. Un pays étranger a fourni de l’information à l’Administration centrale d’AMC concernant une personne ayant des liens avec le Canada. Ce pays a également demandé qu’AMC achemine l’information aux autorités compétentes. AMC a ensuite rencontré des représentants du SCRS et leur a montré l’information qu’il détenait de sorte à établir si celle-ci permettrait au SCRS d’exercer son mandat à l’égard de la sécurité nationale. Le SCRS a examiné l’information et a confirmé que celle-ci s’avérait utile pour son enquête. Le SCRS n’a pas enregistré cette communication dans son fonds d’information.

27. À la suite de cette consultation, AMC a conclu que certains des documents n’avaient pas trait à une activité portant atteinte à la sécurité du Canada dans la mesure où ces documents contenaient [Traduction] « une part importante de renseignements personnels n’ayant aucun lien avec [le sujet de l’enquête] et se rapportant à des facteurs considérés comme étant conformes à la loi canadienne, notamment, la liberté d’expression (sans intention déclarée de commettre des actes de violence) et la liberté de réunion pacifique. » Par la suite, AMC a formellement communiqué au SCRS seulement une partie des documents consultés précédemment. Pour ce qui a trait à cette communication formelle, AMC s’est déclaré convaincu par rapport aux exigences stipulées à l’alinéa 5(1)a) de la LCISC.

28. AMC a indiqué à l’OSSNR que le guide de Sécurité publique Canada sur la communication d’information responsable (guide de SP) constituait son principal document d’orientation en matière de politique relativement à la LCISC. L’OSSNR note que le guide de SP encourage les institutions fédérales à [Traduction] « contacter l’institution destinataire désignée avant la communication de l’information afin de déterminer non seulement si l’information est liée à des activités qui portent atteinte à la sécurité du Canada, mais aussi comment cette information contribue au mandat de sécurité nationale de l’institution destinataire. » Il ne faut pas interpréter cet énoncé comme s’il donnait l’autorisation de consulter plus d’information que nécessaire, compte tenu de la possibilité que de l’information n’étant aucunement visée par les dispositions de la LCISC soit inclue.

29. Au cours de sa consultation auprès du SCRS, AMC s’est enquis d’information qu’il a ensuite évaluée comme n’ayant rien à voir avec des activités portant atteinte à la sécurité du Canada, tel qu’il est énoncé dans la LCISC, et qui a été retirée de la communication d’information formelle au titre de la LCISC. La consultation consistait, entre autres, à montrer l’intégralité du fonds d’information d’AMC au SCRS, ce qui représentait une information plus que suffisante pour obtenir, de la part du SCRS, la conviction que l’information était pertinente. L’information utilisée dans les consultations devrait être limitée à l’information nécessaire pour obtenir une confirmation par le destinataire potentiel que l’information contribue à la réalisation de son mandat et a trait aux activités qui portent atteinte à la sécurité du Canada.

30. En outre, quoique 12 des 13 communications d’information satisfaisaient aux exigences énoncées à l’alinéa 5(1)a) de la LCISC, une d’entre elles n’y satisfaisait pas. L’OSSNR aborde cette communication d’information ci-dessous.

Communication 2

31. De son propre chef, une personne à l’étranger a déclaré être membre du gouvernement de ce pays et a fourni de l’information à un responsable de l’ambassade du Canada concernant une menace alléguée. AMC a communiqué cette information ainsi que les renseignements personnels, notamment, les coordonnées de ladite personne, au Service canadien du renseignement de sécurité (SCRS) en faisant valoir que cette communication d’information était autorisée en vertu de la LCISC. Toutefois, AMC n’a pas tenté de savoir si la communication d’information respectait les deux seuils exigés aux alinéas 5(1)a) et 5(1)b) de la LCISC avant de communiquer l’intégralité de ladite information. Au cours du présent examen, AMC a expliqué à l’OSSNR que c’est à tort que la communication d’information avait été faite au titre de la LCISC et qu’en la circonstance, celle-ci aurait dû s’appuyer sur une autre source d’autorité pour se justifier, à savoir la Loi sur la protection des renseignements personnels ou encore la prérogative de la Couronne. L’OSSNR n’a pas vérifié si l’un ou l’autre de ces deux mécanismes aurait pu être évoqué à juste titre. Néanmoins, cet exemple montre deux choses : a) qu’il y a un risque de confusion lorsqu’il s’agit d’établir si la LCISC constitue le mécanisme qu’il convient d’appliquer dans certains cas de communication d’information ayant trait à la sécurité nationale; b) que la confusion, dans le cas présent, a mené à une invocation inappropriée de la LCISC pour justifier la communication d’information.

Conclusion no 1 : L’OSSNR conclut que dans 12 des 13 communications d’information examinées, AMC avait acquis la certitude que la communication d’information aiderait l’exercice de la compétence ou des attributions de l’institution fédérale destinataire à l’égard d’activités portant atteinte à la sécurité du Canada, tel qu’il est exigé à l’alinéa 5(1)a) de la LCISC

Conclusion no 2 : L’OSSNR conclut que, sans qu’ils aient d’abord mené une analyse en application de l’alinéa 5(1)a) de la LCISC, les ministères risquent de communiquer de l’information qui n’est pas liée au mandat en matière de sécurité nationale de l’institution bénéficiaire ou à l’égard des activités portant atteinte à la sécurité du Canada.

Conclusion no 3 : L’OSSNR conclut que dans une 1 des 13 communications d’information, AMC a consulté plus d’information que nécessaire pour obtenir une confirmation que la communication contribuait au mandat du SCRS ou qu’elle avait trait aux activités portant atteinte à la sécurité du Canada.

Recommandation no 1 : L’OSSNR recommande que les consultations soient limitées à l’information nécessaire pour obtenir une confirmation par le bénéficiaire potentiel que l’information contribue à son mandat et a trait aux activités qui portent atteinte à la sécurité du Canada.

b) Le droit à la vie privée n’est pas touché plus que ce qui est raisonnablement nécessaire dans les circonstances

32. L’alinéa 5(1)b) de la LCISC exige que les institutions qui communiquent soient convaincues que l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances.

33. Les 13 communications proactives comprenaient des renseignements personnels, définis dans la Loi sur la protection des renseignements personnels 16 , c’est-à-dire de l’information permettant d’identifier un individu, comme un nom, des coordonnées, des antécédents ou des soupçons sur l’individu.

34. Le Guide de SP oriente le type d’analyse nécessaire avant la communication de renseignements personnels. Plus particulièrement, le Guide de PS indique que la [traduction] « question de savoir si l’information ayant une incidence sur le droit à la vie privée d’une personne est considérée comme “raisonnablement nécessaire” dépendra des circonstances propres à chaque cas. Les considérations pertinentes incluent les facteurs contextuels, comme le type et la nature de l’information en question et l’objectif de la communication. »

35. À la suite de la demande d’information additionnelle de l’OSSNR, AMC a expliqué être convaincu que l’incidence des communications proactives en question sur le droit à la vie privée d’une personne est limitée à ce qui est raisonnablement nécessaire dans les circonstances.

36. Entre autres, AMC a expliqué que dans 8 des 13 communications, AMC a déterminé qu’une partie de l’information qu’il envisageait de communiquer ne s’inscrivait pas dans le mandat de l’institution destinataire. Pour les mêmes communications, AMC a ajouté avoir déterminé qu’une partie de l’information dans ses fonds d’information n’aidait pas à l’enquête de l’institution ou ne correspondait pas à la demande d’information initiale de l’institution destinataire. Par exemple, dans l’une des communications, seul le déplacement d’un individu à l’étranger a été communiqué au SCRS puisque l’information touchait ses responsabilités relativement à une question de sécurité nationale. D’autre information dans les fonds d’information d’AMC, comme l’information concernant d’autres individus, n’a pas été incluse dans la communication puisqu’AMC a déterminé qu’elle n’était pas pertinente.

37. De même, AMC a expliqué que dans 2 des 13 communications, AMC a déterminé qu’une partie de l’information devait être communiquée au ministère destinataire et a donc été incluse dans la communication. L’information plus détaillée qui n’était pas liée aux activités portant atteinte à la sécurité du Canada n’a pas été communiquée. Par exemple, dans l’une des deux communications, seule l’information relative à une présumée activité d’espionnage a été communiquée au SCRS, tandis que l’information détaillée sur certaines activités personnelles et certains comportements a été retenue.

38. L’OSSNR a constaté que des 13 communications d’information contenues dans l’échantillon, trois communications ne satisfaisaient pas aux exigences énoncées à l’alinéa 5(1)b) de la LCISC

39. Dans la Communication 2, décrite ci-dessus, AMC a communiqué de l’information reçue d’un individu qui, de son propre chef, a fourni de l’information à un représentant d’une ambassade du Canada à l’étranger. AMC n’a pas mené d’analyse au titre de la LCISC, notamment à savoir si l’incidence de la communication sur le droit à la vie privée est limitée à ce qui est raisonnablement nécessaire dans les circonstances, et a donc communiqué l’information en entier au SCRS. AMC a expliqué à l’OSSNR que c’est à tort que la communication d’information avait été faite au titre de la LCISC et a été autorisée en vertu d’une autre source d’autorité pour se justifier, à savoir la Loi sur la protection des renseignements personnels ou encore la prérogative de la Couronne. L’OSSNR n’a pas vérifié si l’un ou l’autre de ces deux mécanismes aurait pu être évoqué à juste titre.

Communications 3 et 4

40. Une ambassade du Canada à l’étranger a reçu des captures d’écran provenant d’un groupe privé sur les médias sociaux. Les captures d’écran comprenaient de l’information sur un mouvement politique dans un autre pays. Elles comprenaient aussi les coordonnées de tous les membres du groupe. Or, même si le groupe publiait des affiches sur le mouvement et de l’information sur des manifestations au Canada, aucune menace, précise ou générale, n’était présente dans le matériel. Cependant, d’après l’information contenue dans les captures d’écran et le contexte général des manifestations, des événements antérieurs et des médias libres, AMC a déterminé que l’information contribuait à l’exercice de la compétence ou des attributions de la Gendarmerie royale du Canada (GRC) et du SCRS, à l’égard des activités portant atteinte à la sécurité du Canada.

41. AMC a communiqué toute l’information à la GRC et au SCRS. Le seul élément caviardé était le nom et les coordonnées de l’individu qui a fourni l’information à AMC

42. GAC explained to NSIRA that it concluded that paragraph 5(1)(b) of the SCIDA was met because it did not identify a reasonable expectation of privacy in the content of the private social media group. NSIRA observes that GAC did not consider all of the relevant factors that would allow it to satisfy itself that the disclosure would not affect any person’s privacy interest more than is reasonably necessary in the circumstances. As such, the disclosure of information did not meet the second threshold requirement under subsection 5(1) of the SCIDA. Therefore, the disclosure of personal information of the group members did not comply with the requirements of the SCIDA.

Conclusion no 4 : L’OSSNR conclut que, dans 10 des 13 communications, AMC était convaincu que l’incidence de la communication sur le droit à la vie privée d’une personne serait limitée à ce qui est raisonnablement nécessaire dans les circonstances, tel qu’il est stipulé à l’alinéa 5(1)b) de la LCISC.

Déclarations relatives à l’exactitude et à la fiabilité

43. Dans le Rapport Arar, on indique que « [l]e fait de partager de l’information non fiable ou inexacte ne permet guère de repérer les menaces réelles et graves envers la sécurité nationale et d’y parer, et peut causer un préjudice irréparable à des particuliers. »

44. La communication d’information responsable et efficace est un élément central des principes directeurs de la LCISC. Les institutions qui communiquent doivent fournir, au titre du paragraphe 5(2) de la LCISC, des renseignements sur l’exactitude de l’information et la fiabilité quant à la façon dont celle-ci a été obtenue, au moment de la communication.

45. Étant donné la valeur contextuelle qu’apportent les déclarations relatives à l’exactitude et à la fiabilité aux communications, les déclarations précises et complètes qui se rapportent précisément aux circonstances de la communication peuvent contribuer à empêcher de fausses perceptions et à veiller à ce que les institutions destinataires comprennent bien l’exactitude et la fiabilité de l’information communiquée.

46. AMC s’appuyait sur le Guide de SP comme principal document d’orientation stratégique relatif à la LCISC. Le Guide de SP stipule que de veiller à ce que l’information communiquée soit le plus exacte, complète et à jour que possible est un élément clé de la communication d’information responsable et efficace.

47. AMC a informé l’OSSNR que les organismes partenaires peuvent mieux vérifier l’exactitude de l’information et la fiabilité de sa source qu’AMC. L’OSSNR convient que, dans certaines circonstances, AMC possède des moyens limités pour effectuer les vérifications. Néanmoins, la LCISC exige que chaque communication soit accompagnée de déclarations relatives à l’exactitude et à la fiabilité; ces déclarations doivent être claires et propres au contexte pour être satisfaisantes.

48. Comme exemple d’une déclaration complète, AMC a fourni le paragraphe suivant : [traduction] L’information communiquée par AMC a été obtenue dans le cadre de contacts entre des représentants d’AMC et la [source connue et crédible X et une autre personne]. AMC n’est pas en mesure de déterminer l’exactitude et la fiabilité de l’information ci-dessus fournie aux représentants d’AMC par [ces personnes]. AMC estime que [la source X] est très crédible et qu’elle fournit probablement de l’information fiable.

49. Dans l’ensemble, 11 des 13 communications étaient accompagnées de déclarations relatives à l’exactitude et à la fiabilité. Toutefois, deux communications ne comprenaient pas la déclaration exigée par la LCISC. Ces omissions n’étaient pas liées à l’incapacité d’AMC de vérifier l’exactitude et la fiabilité de l’information.

Conclusion no 5 : L’OSSNR conclut que 2 des 13 communications ne comprenaient aucune déclaration relative à l’exactitude et à la fiabilité, ce qui est contraire au paragraphe 5(2) de la LCISC.

Recommandation no 2 : L’OSSNR recommande que les déclarations relatives à l’exactitude et à la fiabilité soient claires et propres aux circonstances de la communication afin d’offrir le contexte le plus utile et satisfaisant pour l’institution destinataire.

Conservation de documents

50. L’alinéa 9(1)e) de la LCISC demande que les institutions qui communiquent de l’information préparent une description des renseignements sur lesquels elles se sont fondées pour conclure que la communication était autorisée par la LCISC, y compris que l’incidence de la communication sur le droit à la vie privée sera limitée à ce qui est raisonnablement nécessaire dans les circonstances, dans le cadre de leurs obligations en matière de conservation de documents énoncées dans la LCISC.

51. Le Guide de SP définit les étapes d’une communication, qui comprennent la création d’un document décrivant les renseignements sur lesquels se fonde une institution qui communique de l’information pour conclure que la communication était autorisée par la LCISC. De plus, l’Annexe A : Gabarit pour la conservation des dossiers à l’intention des institutions communiquant de l’information en vertu de la LCISC du Guide de SP, qui aide les ministères à répondre aux obligations en matière de conservation de documents des institutions qui communiquent de l’information en vertu de la LCISC, comporte un champ permettant aux ministères de décrire ces renseignements. Elle réitère les exigences stipulées aux alinéas 5(1)a) et b) de la LCISC selon lesquelles l’institution qui communique de l’information doit être convaincue que la communication aidera au mandat de l’institution destinataire en matière de sécurité nationale et que l’incidence de la communication sur le droit à la vie privée de la personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances.

52. L’examen des communications au titre de la LCISC réalisé en 2020 a révélé que les documents d’AMC décrivant les renseignements sur lesquels il se fonde pour conclure que certaines communications d’information au SCRS faites en réponse à une demande étaient robustes. Cette observation était fondée sur le fait que les documents d’AMC contenaient des renseignements fournis par le SCRS pour faciliter l’évaluation d’AMC, y compris des détails sur les répercussions possibles sur le ou les sujets de la demande.

53. Durant l’examen de cette année, l’OSSNR a demandé qu’AMC décrive la façon dont elle a été convaincue que la communication était autorisée conformément aux deux exigences minimales L’OSSNR a aussi demandé qu’AMC fournisse tous les documents justificatifs sur lesquels AMC s’est appuyé dans son évaluation. AMC a fourni des explications à la suite des demandes de l’OSSNR à ce sujet, renvoyant à des documents justificatifs. En fonction d’un examen des documents fournis, l’OSSNR observe qu’AMC pourrait améliorer ses pratiques s’il articulait simultanément et expressément les renseignements sur lesquels il s’est fondé pour être convaincu que l’incidence des communications sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances.

Recommandation no 3 : L’OSSNR recommande que tous les ministères communiquant de l’information préparent simultanément des descriptions des renseignements sur lesquels ils se sont fondés pour conclure que les communications étaient autorisées par la LCISC.

Formation sur la LCISC

54. AMC a eu recours à quatre documents PowerPoint distincts en 2021 pour former les employés au sujet de la LCISC.

55. Le cours Gouvernance, accès, sécurité technique et espionnage (GATE) était offert à tous les employés qui partent en affectation comme cours préparatoire centré sur la sensibilisation à la sécurité de l’information à AMC. Le cours ne donnait pas d’exemples ou de scénarios pratiques, mais expliquait que toute communication d’information en vertu de la LCISC devait passer par l’administration centrale d’AMC.

56. De plus, un exposé fourni par le directeur général de la Direction générale du renseignement à la majorité des chefs de mission partant en affectation comme cours préparatoire sur la sécurité et le soutien du renseignement ne fournissait aucun exemple explicatif ou scénario, mais indiquait que toute communication d’information en vertu de la LCISC devait passer par l’administration centrale.

57. Enfin, les services juridiques du ministère de la Justice ont fourni deux exposés : un pour les agents du Programme d’établissement de rapports sur la sécurité mondiale (PERSM) partant en affectation afin de présenter les politiques et pratiques en matière de communication de l’information, y compris plusieurs diapositives sur la LCISC, et l’autre pour des groupes d’employés à l’Administration centrale pour présenter les politiques et pratiques en matière de communication de l’information. L’OSSNR fait remarquer que chaque exposé ne comprenait qu’un ou deux exemples illustrant les éléments à prendre en considération dans le cadre d’une communication au titre de la LCISC

58. Des quatre exposés, trois comprenaient un éventail d’information sur les exigences en matière de conservation de documents. Cependant, l’information présentée dans les exposés se limitait principalement à réitérer les exigences stipulées dans la LCISC, et aucun exemple pratique ou scénario n’a été présenté. De même, bien que ces exposés aient réitéré les exigences stipulées dans la LCISC d’inclure des déclarations relatives à l’exactitude et à la fiabilité, aucun exemple pratique n’a été fourni.

Conclusion no 6 : L’OSSNR conclut que la formation d’AMC sur la LCISC est dépourvue des exemples illustratifs nécessaires pour fournir aux employés les principes sur lesquels s’appuyer pour répondre à leurs obligations au titre de la LCISC.

Recommandation no 4 : L’OSSNR recommande d’ajouter des exemples et des scénarios illustratifs dans la formation sur la LCISC, y compris sur les exigences minimales sur la communication, les déclarations relatives à l’exactitude et à la fiabilité et les exigences en matière de conservation de documents

4. Capacité de répondre aux attentes et fourniture de l'information

59. Tous les ministères ont respecté la date limite pour la fourniture de l’information à l’OSSNR.

60. Les paragraphes 9(1) et 9(2) de la LCISC énoncent les obligations en matière de conservation de documents pour les institutions destinataires et qui communiquent l’information. Le paragraphe 9(3) de la LCISC oblige tous les ministères à fournir tous les documents préparés en application de ces paragraphes à l’OSSNR, afin que l’Office prépare son examen annuel des communications au titre de la LCISC. La conservation de documents rigoureuse est une exigence légale à laquelle sont assujetties les institutions destinataires et qui communiquent de l’information; qui plus est, l’OSSNR ne peut exercer son obligation de rédiger un examen annuel sans tous les documents de tous les ministères.

61. Le présent examen portait sur les communications proactives d’AMC. L’OSSNR a comparé le nombre de communications signalées par AMC et le nombre de communications reçues des institutions destinataires et souligne que les nombres correspondent. L’OSSNR n’a pas vérifié de façon indépendante l’intégralité des documents fournis par AMC. Néanmoins, l’évaluation au titre de la LCISC exige qu’AMC fasse preuve de conformité. Des demandes d’information additionnelle au cours de la période d’examen ont mené l’OSSNR à conclure qu’il avait reçu tous les renseignements nécessaires pour mener l’examen. Enfin, AMC a pu examiner une ébauche provisoire du rapport et fournir des renseignements additionnels. C’est pourquoi l’OSSNR juge qu’il a reçu toute l’information nécessaire pour réaliser l’examen.

5. Conclusion

62. La LCISC est un outil législatif qui vise à encourager et à faciliter la communication responsable et efficace d’information liée à la sécurité nationale entre les institutions fédérales gouvernementales. Des treize communications de l’échantillon à l’examen, trois ne respectaient pas au moins l’une des deux exigences minimales en matière de communication et deux n’étaient pas accompagnées de déclarations relatives à l’exactitude et à la fiabilité. Avant de consulter les communications potentielles, les ministères devraient déterminer les renseignements qu’ils sont tenus d’inclure dans la consultation. Par ailleurs, les ministères devraient étayer simultanément les motifs sur lesquels ils se sont fondés pour décider que les communications étaient autorisées par la LCISC. De plus, on recommande d’apporter des améliorations à la formation continue pour fournir des exemples plus illustratifs afin d’aider les employés à remplir leurs obligations au titre de la LCISC. L’OSSNR attend avec intérêt de revisiter l’application de la LCISC dans les années à venir et espère noter une amélioration de la conformité, de la conservation de documents et de la prestation de programmes de formation.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of federal institutions’ disclosures of information under the Security of Canada Information Disclosure Act in 2021: Backgrounder

Examen des communications d’information par des institutions fédérales au titre de la loi sur la communication d’information ayant trait à la sécurité du canada en 2021

Fiche d'information

Le présent rapport présente les résultats d’un examen réalisé par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) relativement aux communications d’information faites par des institutions fédérales au titre de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC), dans le contexte de la troisième année de la mise en application des dispositions de la LCISC. En l’occurrence, l’examen de l’OSSNR porte plus particulièrement sur les communications proactives d’Affaires mondiales Canada (AMC). 

La LCISC vise à encourager et à faciliter la communication d’information entre les institutions fédérales afin de protéger le Canada contre des activités qui menacent la sécurité nationale ou qui y portent atteinte, sous réserve de certaines conditions. La LCISC impose un critère en deux temps qui doit être respecté avant toute communication d’information : la communication d’information doit aider à l’exercice de la compétence ou des attributions de l’institution destinataire à l’égard des activités portant atteinte à la sécurité du Canada ; l’incidence de la communication d’information sur le droit à la vie privée d’une personne doit se limiter à ce qui est raisonnablement nécessaire dans les circonstances. La LCISC comporte également des dispositions et des principes directeurs s’appliquant à la gestion des communications d’information, notamment, aux déclarations relatives à l’exactitude et à la fiabilité ainsi qu’aux obligations en matière de conservation des documents.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of Canadian Security Intelligence Service’s threat reduction activities: Backgrounder

Review of Canadian Security Intelligence Service’s threat reduction activities

Fiche d'information

Document d’information

Le 15 février 2021, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a présenté au ministre de la Sécurité publique et de la Protection civile un rapport classifié sur les activités de réduction de la menace du Service canadien du renseignement de sécurité (SCRS). Il s’agissait du premier examen du mandat de réduction de la menace du SCRS réalisé par l’OSSNR. Le rapport contient l’examen de conformité détaillé d’un échantillon de mesures de réduction de la menace de 2019.

L’examen de l’OSSNR a révélé que toutes les mesures examinées satisfaisaient aux obligations aux termes des directives ministérielles. Essentiellement, les mesures prises par le SCRS satisfaisaient aux exigences de la Loi sur le Service canadien du renseignement de sécurité. Toutefois, l’OSSNR a noté que dans un nombre limité de cas, le SCRS avait choisi des personnes aux fins d’inclusion dans les mesures de réduction de la menace sans l’existence d’un lien rationnel entre le choix de la personne et la menace. Par conséquent, ces mesures n’étaient pas « raisonnables et proportionnelles », conformément à Loi sur le Service canadien du renseignement de sécurité.

Pour un type de mesure de réduction de la menace ayant fait l'objet de l'examen, l’OSSNR est d’avis qu’il faut accorder plus d'attention à la façon dont le SCRS fait appel à des tiers. Cela obligerait le SCRS à tenir pleinement compte des répercussions de ses mesures sur la Charte canadienne des droits et libertés (Charte), et pourrait l'obliger à obtenir des mandats avant de prendre certaines mesures.

Étant donné que l’année 2020 marquait la cinquième année écoulée depuis que le SCRS a obtenu des pouvoirs en matière de la réduction de la menace dans le cadre de la Loi antiterroriste de 2015, l’OSSNR a mené une analyse de haut niveau de toutes les mesures de réduction de la menace qui ont été prises au cours des cinq dernières années afin de définir les tendances et d’éclairer le choix des sujets qui seront examinés par l’OSSNR dans l’avenir. Dans l’ensemble, bien que l’utilisation des pouvoirs en matière de réduction de la menace par le SCRS soit limitée, l’OSSNR a indiqué que le Service exerce des pouvoirs en matière de réduction de la menace en ce qui a trait à l’éventail complet des menaces à la sécurité nationale prescrits en vertu de Loi sur le Service canadien du renseignement de sécurité.

La publication de ce résumé s’harmonise avec les efforts de transparence de l’OSSNR en rendant son travail plus accessible aux Canadiens. L’OSSNR continuera d’examiner les activités de réduction de la menace du SCRS chaque année, conformément au paragraphe 8(2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of Canadian Security Intelligence Service’s threat reduction activities: Report

Review of Canadian Security Intelligence Service’s threat reduction activities

Rapport

Table des matières
  1. Version HTML à venir bientôt

Date de publication :

Version HTML à venir bientôt

Notre équipe travaille sur une version HTML de ce contenu afin d'améliorer la convivialité et la compatibilité sur tous les appareils. Nous visons à la rendre disponible dans un avenir proche. Merci de votre patience !

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of the Canadian Security Intelligence Service-Royal Canadian Mounted Police relationship in a region of Canada through the lens of an ongoing investigation: Report

Review of the Canadian Security Intelligence Service-Royal Canadian Mounted Police relationship in a region of Canada through the lens of an ongoing investigation

Rapport

Table des matières
  1. Version HTML à venir bientôt

Date de publication :

Version HTML à venir bientôt

Notre équipe travaille sur une version HTML de ce contenu afin d'améliorer la convivialité et la compatibilité sur tous les appareils. Nous visons à la rendre disponible dans un avenir proche. Merci de votre patience !

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of the Canadian Security Intelligence Service-Royal Canadian Mounted Police relationship in a region of Canada through the lens of an ongoing investigation: Backgrounder

Review of the Canadian Security Intelligence Service-Royal Canadian Mounted Police relationship in a region of Canada through the lens of an ongoing investigation

Fiche d'information

Fiche d'information

Le 10 février 2021, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a déposé devant le ministre de la Sécurité publique et de la Protection civile un rapport classifié faisant état de la relation entre le SCRS et la GRC dans une région du Canada du point de vue d’une enquête en cours

Suivant l’examen de l’OSSNR, on a relevé que dans la région concernée, les organismes avaient établi une relation étroite qui a concrètement permis d’harmoniser les activités opérationnelles. Néanmoins, les contraintes technologiques rendent fastidieux et chronophage le processus d’harmonisation entre le SCRS et la GRC. Qui plus est, l’OSSNR a relevé une réticence généralisée de la part des deux organismes, lorsqu’il s’agit de relier les renseignements du SCRS à une enquête de la GRC.

L’OSSNR a trouvé que le cadre qui guide actuellement les relations entre le SCRS et la GRC établissait les principes et les lignes directrices devant régir la gestion des risques liés aux interactions et aux échanges de renseignements entre les deux organismes. En revanche, il ne permet toujours pas de résoudre certaines questions fondamentales liées au problème de « conciliation du renseignement et de la preuve ».

Dans l’ensemble, l’OSSNR estime que le SCRS et la GRC ont fait peu de progrès relativement au traitement de la menace faisant l’objet d’une enquête. De plus, le SCRS et la GRC ne partagent pas la même vision ni ne disposent de stratégies complémentaires permettant de s’attaquer à la menace.

La publication du présent résumé s’harmonise avec les efforts de l’OSSNR visant à accroître la transparence et à être plus accessible aux Canadiens grâce à son travail. À l’avenir, l’OSSNR examinera la mise en œuvre, par le SCRS et la GRC, des résultats de l’Examen de l’amélioration de l’efficacité opérationnelle (EAEO), lequel énonce d’ambitieuses recommandations visant à améliorer la façon dont le SCRS et la GRC gèrent conjointement les menaces.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of the Canadian Security Intelligence Service’s (CSIS) Internal Security Branch: Report

L’examen de la Direction de la sécurité interne du Service canadien du renseignement de sécurité (SCRS)

Rapport

Table des matières
  1. Version HTML à venir bientôt

Date de publication :

Version HTML à venir bientôt

Notre équipe travaille sur une version HTML de ce contenu afin d'améliorer la convivialité et la compatibilité sur tous les appareils. Nous visons à la rendre disponible dans un avenir proche. Merci de votre patience !

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of the Canadian Security Intelligence Service’s (CSIS) Internal Security Branch: Backgrounder

L’examen de la Direction de la sécurité interne du Service canadien du renseignement de sécurité (SCRS)

Fiche d'information

Document d’information

Le 14 août 2019, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a présenté au ministre de la Sécurité publique et de la Protection civile un rapport classifié sur son examen de la Direction de la sécurité interne du Service canadien du renseignement de sécurité (SCRS). Cet examen fait suite à l’étude menée en 2013 par le prédécesseur de l’OSSNR, le Comité de surveillance des activités de renseignement de sécurité (CSARS), de la Direction de la sécurité interne (SI) du SCRS. Le CSARS a relevé un certain nombre de lacunes graves quant à la manipulation de dossiers sensibles et de listes d’accès, ainsi qu’aux pratiques en matière d’enquêtes internes et à la gestion de ces dernières par le SCRS.

Le dernier examen de l’OSSNR a révélé que, bien que des améliorations importantes aient été apportées à la sécurité interne du SCRS depuis l’examen de 2013 (La menace interne et son incidence sur la gestion de l’information – Rapport en vertu de l’article 54 [TRÈS SECRET] [PDF de l’examen] CSARS 2013-06), d’autres améliorations aux politiques de sécurité interne pourraient renforcer l’uniformité du processus décisionnel concernant les dossiers de sécurité du personnel et les enquêtes. Cela pourrait aussi améliorer l’équité procédurale de ces processus en général.

L’examen de l’OSSNR a également examiné l’utilisation du polygraphe et cherché comment on en justifiait l’utilisation tout en évaluant à quel point de telles utilisations sont raisonnables et nécessaires. Plusieurs observations clés ont été tirées de cette analyse. Elle a aussi soulevé une question beaucoup plus vaste, à savoir la mesure dans laquelle le document de politique global du gouvernement, la Norme sur le filtrage de sécurité, fournit une orientation adéquate aux ministères et organismes lorsqu’ils mettent en œuvre cette mesure de protection.

À l’avenir, l’OSSNR continuera d'examiner l’utilisation du polygraphe comme outil de filtrage de sécurité.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :

Review of the Canadian Security Intelligence Service’s (CSIS) use of Geolocation information: Report

L’examen de l’utilisation de l’information sur la géolocalisation par le Service canadien du renseignement de sécurité (SCRS)

Rapport

Date de publication :

1. Autorisations

Le Comité de surveillance des activités de renseignement de sécurité (CSARS) a commencé le présent examen conformément aux dispositions du paragraphe 38(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS), qui conférait au CSARS la fonction de surveiller la façon dont le Service canadien du renseignement de sécurité (SCRS) exerce ses fonctions.

Pendant qu’il effectuait cet examen, le projet de loi C-59 – Loi concernant des questions de sécurité nationale – a reçu la sanction royale le 21 juin 2019. La partie 1 du projet de loi C-59 édictait la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), qui est entrée en vigueur par décret de la gouverneure en conseil le 12 juillet 2019. La Loi sur l’OSSNR a abrogé les dispositions de la Loi sur le SCRS qui constituaient et régissaient le CSARS et l’a remplacé par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR ou Office). La Loi sur l’OSSNR prévoit la composition, le mandat et les pouvoirs de l’OSSNR et modifie la Loi sur le SCRS, et d’autres lois, en vue du transfert de certaines attributions au nouvel office.

La présente étude a été poursuivie conformément aux dispositions de l’alinéa 8(1)a) et du paragraphe 8(3) de la Loi sur l’OSSNR qui confèrent à l’OSSNR le mandat d’examiner toute activité exercée par le SCRS et de formuler les conclusions et recommandations qu’il estime indiquées.

2. Introduction

Dans l’exercice de sa fonction d’examen, l’OSSNR s’attend à ce que les activités du SCRS soient légales et conformes aux directives ministérielles. Le présent examen est axé sur la collecte de données de géolocalisation sans mandat par le SCRS et s’inscrit dans le cadre de l’intérêt constant que l’OSSNR porte aux activités de collecte et d’exploitation de données menées par le SCRS avec et sans mandat. Des examens antérieurs ont porté sur les activités de collecte et de conservation de métadonnées menées par le SCRS en vertu de mandats et sur les activités de collecte et d’exploitation d’ensembles de données personnelles menées par le SCRS sans mandat. La présente étude est la première que l’OSSNR consacre à la collecte de données de géolocalisation par le SCRS.

Le présent examen a été effectué dans le contexte de décisions de la Cour fédérale, plus particulièrement de la décision sur les numéros d’identité internationale de l’abonné mobile (IMSI) rendue le 27 septembre 2017, qui ont des répercussions sur la collecte, l’utilisation et la conservation de données par le SCRS, y compris des données géolocalisation. Dans la décision qu’elle a rendue sur les IMSI, la Cour fédérale a conclu que l’article 12 autorise effectivement le SCRS à obtenir des données de géolocalisation lorsque les attentes en matière de vie privée sont faibles, mais qu’il aurait besoin d’un mandat pour passer à des activités plus envahissantes, comme géolocaliser un individu.

Il convient de signaler que la portée de l’étude était plus large au départ et qu’elle visait à inclure un examen plus exhaustif de la collecte de différents types de données de géolocalisation, avec ou sans mandat. L’OSSNR tiendra compte de la portée réduite de cet examen dans de futures études.

3. Objectifs

La présente étude vise à déterminer si la collecte sans mandat de données de géolocalisation que le SCRS utilise à l’appui de ses opérations est conforme aux sources de droit applicables, dont la Charte canadienne des droits et libertés (Charte) et la Loi sur le SCRS, ainsi qu’aux directives ministérielles et aux politiques opérationnelles. Elle vise également à déterminer si le SCRS a mis en place suffisamment de garanties, sous la forme de politiques et de procédures officielles, pour être en mesure de respecter ses obligations juridiques dans une période où la technologie et le contexte juridique évoluent rapidement.

4. Portée et méthode

La portée et l’orientation de l’étude ont été définies à la suite d’un examen préliminaire des documents disponibles et d’une séance d’information avec la ████████████████████████████████████████████████████████ De plus, l'OSSNR a demandé au SCRS de recenser toutes les activités menées par la █████ susceptibles d’avoir entraîné la collecte desdonnées géographiquesdecibles qui ne sont pas visées par un mandat au cours de la périodeà l’étude.Ces informations ont servi de fondement pour
demander certains documents au SCRS.

L’OSSNR a examiné tous les documents fournis par le SCRS et a demandé, extrait et examiné des documents provenant de divers systèmes informatiques et des courriels du SCRS afin de s’assurer de disposer d’un bilan clair des activités. Parmi les documents examinés figuraient des demandes envoyées par les régions à la image ██████████████ , les réponses données à ces demandes, des notes d’information, des documents de planification, des évaluations juridiques et des documents de correspondance interne.

Pour évaluer la conformité avec la loi de l’utilisation que le SCRS fait des données de géolocalisation, l’OSSNR a décidé d’effectuer une étude de cas approfondie de ██████████████████████████████████████████ de géolocalisation. L’Office a examiné toutes les fois où le SCRS a utilisé ██████████ pendant la période à l’étude. Comme le présent examen repose sur une seule étude de cas, l’OSSNR est conscient qu’il étend ses constatations et ses conclusions à d’autres types de données de géolocalisation

L’examen visait essentiellement la période du 1er janvier 2017 au 30 juin 2018, mais l’OSSNR a également tenu compte d’informations hors de cette période pour assurer l’exhaustivité de son évaluation.

5. Critères

L’OSSNR s’attend à ce que le SCRS mène ses activités conformément aux sources de droit pertinentes, dont la Loi sur le SCRS, la Charte, la Loi sur la protection des renseignements personnels et la jurisprudence. Il s’attend aussi à ce qu’il le fasse conformément aux directives ministérielles.
Étant donné le thème de cet examen, l’analyse de la Charte, dont l’article 8 établit que chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, était particulièrement importante. Cette analyse visait à déterminer si l’utilisation de ███████ pour recueillir les données de géolocalisation d’une personne constitue une fouille aux fins de l’article 8, ce qui nécessiterait un mandat.

Politiques et procédures

L’OSSNR s’attendait à ce que le SCRS se soit doté de politiques et de procédures pour orienter la collecte, l’utilisation et la conservation des données de ███████ , malgré leur caractère unique, et à ce que ces politiques et procédures soient conformes aux obligations légales du SCRS, notamment en vertu de la Charte, ainsi qu’à ses obligations découlant des instructions du ministre.

À titre de référence, les politiques pertinentes en ce qui a trait à la collecte d’informations ███████

  • ███████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ En principe, cela autorise la collecte d’informations de cette nature sur un très vaste échantillon de personnes;
  • les politiques sur les activités de collecte du █████████ , dont la note de service du SDO de 2015 faisant du █████████ le centre de décision national pour la █████████De plus, les procédures sur la █████████ permettent au █████ de mener █████████ une telle activité, définie comme un outil ou une technique ne nécessitant pas l’obtention d’un mandat et pouvant être utilisée contre ██████████████████████████████████████████████████████████████.

6. Contexte

La technique d’enquête – █████████

████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ d'utilisateurs du monde entier.

█████████ garde ses données pendant trois mois. Les informations ne sont pas disponibles en temps réel. Cependant, il faut compter seulement de 24 à 48 heures entre le moment où ████ est recueilli et celui où il est disponible dans ████████.

████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

L’annexe A contient un exemple de l’utilisation de █████ contre une cible du SCRS.

Chronologie de l’utilisation de par le SCRS █████

a. Du point de départ au début du projet pilote : de juillet 2015 à janvier 2018

████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

La █████ a abondé dans le sens du █████ et s’est demandé elle aussi si l’utilisation de risquait de soulever des problèmes de nature juridique qui devraient être réglés avant la période d’essai. La █████ a demandé à connaître les règles afin de pouvoir planifier en conséquence et tirer le maximum de l’évaluation. Elle a ajouté que les données semblaient formidables, mais qu’elles devaient être assujetties à des règles de gouvernance ou de nature juridique lorsqu’elles se retrouvent entre les mains d’un organisme fédéral. Ces questions ont été soulevées dans un courriel envoyé au █████ et au ███████████.

███████████████████████████████████████████████████████████████████████████████████████████████████████████████████ Néanmoins, en septembre 2017, la █████ se préparait à évaluer █████ , c’est-à-dire à █████ ce service pour une période d’essai de deux mois.

La █████ a réuni en octobre le █████████████████████████████████████████████████████████████████████████████████████████████████████████ Cette réunion avait pour objectif de préparer une évaluation de █████ et, à cette fin, de prendre des décisions sur quelques détails visant à assurer la conformité aux lois et aux politiques.

Les questions inscrites à l’ordre du jour étaient les suivantes :

  • 1 ) La politique actuelle du █████ s’applique-t-elle à l’utilisation de █████ ou doit-elle être adaptée?
  • 2) Existe-t-il une attente raisonnable en matière de respect de la vie privée à l’égard des données de ███████.
  • 3) Y a-t-il autre chose dont le SCRS doit tenir compte avant de pouvoir utiliser █████ Par exemple, des procédures ou des essais additionnels de █████ ?

Selon le compte rendu écrit des discussions que la █████ a diffusé à la suite de la rencontre, il a été convenu que █████ était conforme aux activités de collecte menées par le CRTI en vertu d’une autorisation générale, permettant « la recherche et l’utilisation d’informations de sources ouvertes » à l’appui d’enquêtes. Il a également été décidé que l’utilisation de █████ cadrait avec les politiques du █████ puisqu’il s’agirait de questions liées à des menaces par l’utilisation ██████████████ qui ne serait utilisé qu’avec les autorisations ██████████████ . Enfin, il a été évalué que les données de ██████████████ qui seraient intégrées dans les fichiers respecteraient le critère de la stricte nécessité applicable à la collecte et à la conservation énoncé dans la Loi sur le SCRS parce qu’elles seraient liées à une menace précise.

██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Après la réunion, le chef adjoint des ██████ a approuvé l’utilisation à l’essai de ██████ Dans le document d’approbation, qui est en fait un courriel adressé à la ███ et au ████ , le chef adjoint précise que, ██████████████████████████████████████████████████████████████████.

b. La période d’essai au SCRS – de mars à juillet 2018

Le SCRS a amorcé son projet pilote ████ le 14 janvier 2018. Ce projet devait durer deux mois initialement, mais comme le SCRS s’est heurté dès le départ à des problèmes techniques qui ont retardé son utilisation complète et ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Pendant cette période, ████████ a été utilisé environ ███ fois au total, ce qui a donné lieu à ███ messages opérationnels. Comme il a déjà été signalé, la ███ a fait des efforts pour s’assurer que ████ de ████████ était conforme aux politiques du SCRS sur la collecte et ████████ en vertu d’autorisations d’enquête ainsi qu’au critère de la stricte nécessité applicable à la collecte et à la conservation énoncé dans la Loi sur le SCRS.

La ████ a terminé son évaluation de ████████ à la fin d’avril 2018. ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████.

La première version d’une note d’information visant à obtenir l’autorisation ████████████ a été rédigée conjointement par le ████ en avril 2018. Il y était indiqué que le projet pilote d’utilisation de ████ avait été mené en vertu des autorisations accordées au ████ et, qu’après évaluation, il avait été estimé que ████ était conforme aux politiques opérationnelles actuelles. ████████████████████ étaient également mentionnés dans la note d’information : dans le premier cas, seule une quantité limitée d’informations serait recueillie, ce qui serait conforme au critère de stricte nécessité; dans le deuxième cas, ████████████████████ , qui serait alors ████████████████████.

Le ████████████ ont rédigé une autre version de la note d’information. Cette dernière était datée du 15 mai 2018 et a été envoyée au directeur général (DG) de la ████. Contrairement à la première version, cette note d’information avait le double objectif d’obtenir un avis juridique et ████████████. Dans cette version qui a finalement été envoyée au DG de la █████ , il était également indiqué que ██████ avait été jugé conforme aux autorisations accordées au ██████ , à la suite de discussions avec la Direction de l’examen externe et de la conformité (EEC) du SCRS et ██████ de la ██████ ainsi que d’une rencontre informelle avec un représentant des Services juridiques (SJ). Il était précisé que l’██████████████████ était conforme aux directives et aux autorisations existantes et que, bien que l’ ██████ ait estimé que le ████████████████ , aucun avis juridique officiel n’avait encore été reçu et que la note d’information pourrait être le mécanisme permettant d’en obtenir un.

L’OSSNR s’est informé sur la teneur des discussions tenues avec l’EEC et les SJ ainsi que sur les documents disponibles sur ces réunions. Il a appris que l’agente de conformité de l’EEC intégrée dans la ████ connaissait ████, parce qu’il avait été présenté au cours d’une assemblée générale, mais qu’elle n’avait participé à aucune discussion à ce sujet. L’OSSNR a demandé à voir les documents à l’appui des discussions avec les SJ, mais n’a rien reçu.

c. Avis juridique : de juillet 2018 à février 2019

Après avoir reçu la note d’information de mai, le 20 juillet, le DG ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Le 31 juillet, un avis juridique préliminaire a été reçu.

██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Un avis juridique officiel a été fourni le 7 décembre 2018 qui remettait en question l’utilisation de ████████sans mandat par le SCRS, sauf dans des cas très rares, par exemple, ████████████████████████████████████████████████████████████████████.

Le SCRS a demandé un nouvel avis juridique afin de savoir si████████████████████████████████████████ Dans l’avis juridique fourni en réponse à cette question, daté du 19 février 2019, les SJ ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████.

En se fondant en partie sur l’avis juridique de février 2019, le SCRS a par la suite décidé de ████████████████████████████████████████████████████████████████████████████████████████████████████████ . L’OSSNR croit comprendre qu’à l’heure actuelle ████████████ n’est utilisé que dans des circonstances très précises et conformément aux lignes directrices énoncées dans les avis juridiques.

7. Constatations

Constatation no 1 – Respect de la Loi sur le SCRS et de la Charte L’OSSNR constate qu’il y avait un risque que le SCRS contrevienne à l’article 8 de la Charte pendant la période d’essai au cours de laquelle il a utilisé █████ sans mandat.

Le SCRS a demandé aux SJ de lui fournir un avis juridique sur cette technique d’enquête, plus particulièrement de se pencher sur la question du risque juridique associé à l’utilisation de ██████████au sujet (i) de Canadiens ou de personnes se trouvant au Canada; (ii) de sources humaines ou d’employés, avec leur consentement éclairé. Dans une note de service datée du 7 décembre 2018, les SJ ont fourni l’avis juridique suivant au SCRS.

██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

L’examen du dossier effectué par l’OSSNR, dans le but de disposer d’un avis juridique indépendant, appuie l’opinion des SJ à cet égard. Plus particulièrement, l’Office croit que l’utilisation de ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████constitue une fouille au sens de l’article 8 de la Charte. Pour arriver à cette conclusion, l’OSSNR constate qu’il est très peu probable qu’un tribunal conclue que l’article 12 de la Loi sur le SCRS constitue une autorisation légale suffisante pour que l’utilisation de ██████ sans mandat ne soit pas « abusive » aux fins de l’article 8 de la Charte. Le SCRS serait donc tenu d’obtenir un mandat conformément à l’article 21 de la Loi sur le SCRS pour effectuer une telle fouille. Il convient de signaler que l’Office a fondé son analyse juridique sur le même ensemble de faits que les SJ pour fournir leur avis juridique.

Pour parvenir à cette conclusion, l’OSSNR interprète l’article 12 de la Loi sur le SCRS comme autorisant uniquement les activités de collecte dont le niveau d’intrusion est minimal. À cet égard, il est d’accord avec l’avis des SJ selon lequel, ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Au moment de la rédaction du présent rapport, le SCRS évalue diverses façons d’utiliser █████████ dans le futur après avoir obtenu un mandat.

███████

Constatation no 2 – Gouvernance du projet pilote d’utilisation de █████████

L’OSSNR constate qu’aucun centre de décision n’était clairement responsable de l’utilisation des données de ████████.

L’OSSNR a demandé sur quelles politiques et procédures avait reposé la décision d’autoriser la période d’essai et quelle sous-section de la ████ avait été chargée d’évaluer et d’autoriser l’utilisation de ████ . Comme il a déjà été mentionné, le dossier donne à penser que trois sous-sections distinctes ont participé à ██████████ pour la période d’essai.

█████████████ avait été chargée En tant que centre de décision en ce qui a trait à a pour rôle et pour mandat de coordonner, ██████████████████ À ce titre, elle aurait été chargée d’évaluer les répercussions sur la vie privée de l’utilisation de ███████████, entre autres, si ████████ avait été considérée comme un █████ Toutefois, ███████ n’était pas ███████ , mais plutôt comme un █████████████████ n’a donc pas évalué si l’utilisation de ███████ sur les Ceci dit, il était clairement indiqué dans la note d’information du 15 mai 2018 ███████ que estimait que l’utilisation de ███████ était conforme aux directives et autorisations actuelles. Faute de dossier officiel, l’OSSNR n’a pas été en mesure d’évaluer la teneur, ou le fondement, de cette évaluation.

Le ██████ est la sous-section chargée d’assurer un soutien opérationnel à la ████████████████████████ en utilisant des ████████████████████████ L’équipe du ██████ utilise d’autres produits de ████████████ et est celle qui a assisté à la première démonstration de ██████. Il a finalement été déterminé que ce serait en vertu des autorisations du que serait utilisé. Toutefois, le ██████ n’était pas le principal utilisateur de ██████ . Il n’a pas participé non plus à l’évaluation officielle des données de ██████

Il incombait donc à la ██████ de trouver un moyen d’évaluer officiellement ██████ étant donné son expertise en données de géolocalisation. Toutefois, la ██████ ne recueille généralement pas de données, mais se contente plutôt d’utiliser celles qui lui sont fournies. Elle n’a donc pas effectué une évaluation préliminaire approfondie, et ne s’est pas fait demander de le faire, afin de déterminer si l’utilisation de ██████ soulevait des problèmes, de nature juridique ou autres, qu’il faudrait régler, même à l’étape du projet pilote. La ██████ a néanmoins préparé, de son propre chef, un document officiel afin de guider son évaluation de ██████ pendant la période d’essai. L’OSSNR constate également que la ██████ s’est conformée à la politique actuelle de n’utiliser ██████ que lorsqu’il existait une autorisation d’enquête valide.

L’OSSNR n’a reçu aucun document officiel sur la décision d’autoriser le projet pilote. L’avis de décision d’utiliser ██████ dans le cadre d’un projet pilote était un courriel, qui contenait le paragraphe suivant.

[Traduction] Je ne vois aucune raison de ne pas entreprendre une évaluation – ██████████████████ De plus, ██████████████████, ██████████████████████ par exemple, ne sont pas fournis tant que nous n’avons pas déterminé qu’ils sont « strictement nécessaires » et qu’ils présentent un intérêt dans le cadre de l’enquête – il ne s’agit donc que jusqu’à ce que nous trouvions quelque chose de pertinent.

Ultimately, NSIRA was unable to identify which of the three policy areas within ██████ should have had, according to existing policies and procedures, responsibility for the assessment of ████████████████████████████████████████████████████████████████████████████████████.

Constatation no 3 – Avis de décision

L’OSSNR constate que le document d’approbation du projet pilote d’utilisation de ██████ était un courriel, et que ce courriel n’a pas été « classé » dans le dossier officiel, comme il aurait dû l’être

Comme il a déjà été mentionné, ce qui se rapproche le plus d’un avis de décision d’utiliser ██████ dans le cadre d’un projet pilote était un courriel d’un chef adjoint de la ██████ dont le texte intégral est cité ci-dessus.

L’OSSNR constate que ce courriel n’a pas été « classé » comme il aurait dû l’être étant donné qu’il représente, de facto, l’autorisation d’acquérir ██████ afin de l’évaluer et qu’il est nécessaire à des fins de gestion des dossiers et de reddition de comptes. Il a plutôt été enregistré sur un lecteur « personnel » et n’a été présenté que dans le cadre du processus d’examen.

Constatations nos 4 et 5 – Évaluation du risque dans le dossier de ██████

L’OSSNR constate qu’étant donné que le SCRS ne dispose d’aucune politique ou procédure sur l’évaluation et la manipulation des technologies de collecte nouvelles ou émergentes, une évaluation officielle des risques juridiques associés à l’utilisation de ██████ aurait été nécessaire

L’OSSNR constate que le SCRS n’a pas tenu compte de multiples indices que l’utilisation de ██████ pourrait soulever des problèmes juridiques

Selon les directives ministérielles, le SCRS doit évaluer quatre catégories de risques liés aux activités opérationnelles (opérationnel, politique, juridique et lié à la politique étrangère). Plus particulièrement, il est indiqué dans les directives que le SCRS doit « examiner son propre niveau d’expérience ainsi que le caractère innovateur de l’activité opérationnelle».

L’OSSNR s’est fait dire qu’il n’existe aucun processus officiel d’évaluation des risques dans des dossiers comme celui de ████████████ , parce que ce logiciel était considéré comme ████████████████████████ Cette position est conforme à la lecture que fait l’Office des politiques pertinentes, citées un peu plus haut, c’est-à-dire ████████████████████████████████ , aucune de ces politiques n’exigeant une évaluation des risques juridiques avant ████████████ soit utilisé à des fins de collecte.

██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Il a été donné à entendre à l’OSSNR qu’il n’aurait pas été possible d’effectuer une évaluation approfondie de ████████ avant le projet pilote, le raisonnement étant qu’une évaluation des risques n’est possible que lorsque les ████████. L’OSSNR accepte en principe qu’il existe des situations dans lesquelles il serait difficile de se rendre compte des risques juridiques tant que ████████ et ne les a pas pleinement évaluées. Cependant, il incombe au SCRS d’atténuer ces risques le plus possible malgré les difficultés.

De plus, dans ce cas, l’OSSNR constate qu’il y avait des indices de la nécessité de faire preuve de prudence face aux ████████ avant même le début de l’essai, notamment la décision sur les IMSI de la Cour fédérale, qui a conclu qu’il fallait un mandat pour géolocaliser une personne.

À l’interne, de multiples indices démontraient qu’il pourrait y avoir des raisons de faire particulièrement attention, dont :

deux courriels envoyés avant le début du projet pilote, l’un par le █████ le 28 juin 2017, l’autre par la █████ le 27 septembre 2017, contenant tous les deux des questions de nature juridique ou liées à la gouvernance;

la réunion organisée par la █████ afin de déterminer si les données de █████ étaient associées à une attente raisonnable en matière de respect de la vie privée;

les exemples fournis par ███████████████████████████████████████████████████████████████████████████████████████████████ et l’évaluation de █████ en avril 2018, selon laquelle cet outil soulevait des préoccupations sur le plan de la protection de la vie privée parce qu’il était possible de générer █████████ et █████████.

Il y a eu d’autres indices de la nécessité d’être prudent. ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████

Malgré ces signes, aucune mesure officielle n’a été prise pour évaluer la question des risques juridiques avant la note d’information de mai 2018 qui demandait un avis juridique officiel.

L’OSSNR recommande qu’une politique soit élaborée ou modifiée selon le cas exigeant une évaluation documentée des risques, juridiques notamment, dans des situations comme celle de ██████████ c’est-à-dire lorsque les informations recueillies au moyen de technologies nouvelles ou émergentes sont susceptibles de contenir des données à l’égard desquelles il peut y avoir une attente raisonnable en matière de respect de la vie privée. De plus, l’OSSNR recommande qu’un centre de décision soit clairement désigné pour ce type de collecte ██████████ , si ce n’est pas le ██████████.

Conclusion

D’entrée de jeu, █████ a été qualifié d’outil utilisant des █████ Cette affirmation figure clairement dans le courriel d’approbation. █████████████████████████████ envisagerait, il n’est pas clair que, comme il est affirmé, les données exploitées au moyen █████ de sont vraiment des ███████████████ du moins au sens où on l’entend couramment.

La façon dont █████ a été évalué n’a pas été sans conséquence, en ce sens qu’elle semble avoir justifié l’absence d’une évaluation juridique plus approfondie. Cette hypothèse s’est révélée problématique : elle a eu pour conséquence d’exposer le SCRS à un risque de contrevenir à la Charte.

L’OSSNR est conscient que des discussions ont été tenues au sein de la █████ sur la nécessité de bénéficier d’un soutien juridique constant. Plus précisément, le █████ a demandé qu’une enveloppe budgétaire sur les politiques et les dispositions législatives soit créée afin que les questions juridiques et de politique liées à l’exploitation des données soient adéquatement traitées. Il demandait notamment qu’une ressource des SJ soit affectée à ces questions à plein temps ou même un jour par semaine afin de pouvoir compter sur un soutien juridique35. L’OSSNR comprend que cette demande a été faite en partie à cause de la difficulté à obtenir un avis juridique lorsque le besoin s’en fait sentir. Il a été informé qu’aucune réponse n’a encore été donnée à la demande du █████ de bénéficier d’un soutien juridique hebdomadaire

La combinaison d’un élargissement de la portée du type, de la quantité et des sources de données recueillies par le SCRS et d’un contexte juridique en évolution constante expose ce secteur à un risque juridique élevé en permanence. Le SCRS a déclaré publiquement que le concept de l’attente raisonnable en matière de respect de la vie privée évolue au fil du temps et s’est assuré à voir à ce que ses méthodes de détermination de l’attente raisonnable en matière de respect de la vie privée demeurent cohérentes.

L’OSSNR est d’avis que, dans ce contexte, il est essentiel que la █████ puisse bénéficier d’un soutien juridique pour que le niveau de risque des activités menées par le Service soit acceptable. L’OSSNR s’attend à ce que le SCRS et le ministère de la Justice fassent preuve d’un leadership institutionnel qui permettrait la prise de décisions responsables dans un contexte d’incertitude en mettant à la disposition de la █████ le soutien juridique dont elle a besoin en priorité.

Share this page

No endorsement of any products or services is expressed or implied.

Share this page
Date de modification :