- Liste des acronymes
- Glossaire
- Sommaire
- Introduction
- Renseignements généraux
- Gouvernance
- Interprétation et application, par le SCRS, du régime applicable aux ensembles de données
- Autorisation judiciaire concernant les ensembles de données canadiens
- Examen initial de l’ensemble de données au titre de l’article 12
- Interrogation et conservation en situation d’urgence
- Vide juridique dans le texte de loi
- Politiques du SCRS s’appliquant aux ensembles de données
- Gestion et conservation de l’information
- Affectation des ressources et formation
- Étude de cas : [**expurgé**]
- Conclusion
- ANNEXE A : Considérations d’ordre technique liées au cycle de vie des ensembles de données canadiens et étrangers
- ANNEXE B : Séances d’information et entrevues
- ANNEXE C : Conclusions et recommandations
Date de publication :
Liste des acronymes
| Sigle/acronyme | Description |
|---|---|
| SCRS | Service canadien du renseignement de sécurité |
| ADG | Acquisition de données et gouvernance |
| SDO | Sous-directeur Opérations |
| DMEX | Gestion et exploitation des données |
| ERC | External Review and Compliance |
| CF | Cour fédérale |
| CR | Commissaire au renseignement |
| AJ | Autorisation judiciaire |
| LSN | Loi de 2017 sur la sécurité nationale |
| OSSNR | Office de surveillance des activités en matière de sécurité nationale et de renseignement |
| CADO | Centre d'analyse des données opérationnelles |
| EDAP | Ensemble de données accessibles au public |
| BCP | Bureau du Conseil privé |
| SP | Sécurité publique Canada |
| CSARS | Comité de surveillance des activités de renseignement de sécurité |
Glossaire
Catégorie approuvée d’ensembles de données canadiens. Catégorie d’ensembles de données canadiens approuvée par le Ministre et autorisée par le commissaire au renseignement. Le Service canadien du renseignement de sécurité ne peut collecter et conserver un ensemble de données canadien que s’il fait partie d’une catégorie approuvée.
Ensemble de données canadien. Ensemble de données ayant principalement trait à des Canadiens ou à des personnes se trouvant au Canada.
Ensemble de données. Ensemble d’informations qui sont sauvegardées sous la forme d’un fichier numérique et qui portent sur un même sujet.
Employé désigné. Employé désigné par le Ministre. Cet employé est en mesure d’exercer une ou plusieurs des activités décrites aux articles 11.07 et 11.22, notamment l’évaluation, l’interrogation et l’exploitation des ensembles de données visés à l’article 11.05.
Régime applicable aux ensembles de données. Articles 11.01 à 11.25 et 27.1 de la Loi sur le Service canadien du renseignement de sécurité, qui régissent les ensembles de données.
Évaluation. Période durant laquelle les employés désignés vont – dans la mesure du possible, mais dans les 90 jours suivant le moment de la collecte – évaluer l’ensemble de données et établir si celui-ci :
- était accessible au public au moment de sa collecte;
- comportait principalement des données liées à des Canadiens ou à d’autres individus se trouvant au Canada;
- comportait principalement des informations liées à un individu qui n’est pas un Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’était ni constituée ni prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouvait à l’extérieur du Canada.
Situation d’urgence. Situation posant un danger pour la vie ou la sécurité d’un individu, ou une situation nécessitant l’acquisition de renseignement d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service canadien du renseignement de sécurité s’en tient aux processus d’autorisation prévus à l’article 11.13 ou aux articles 11.17 et 11.18.
Exploitation. Analyse informatique d’un ou de plusieurs ensembles de données ayant pour but d’obtenir des renseignements qui ne seraient pas autrement apparents.
Ensemble de données étranger. Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada.
Autorisation judiciaire. Procédure suivant laquelle un juge de la Cour fédérale autorise la conservation d’un ensemble de données canadien.
Ministre. Dans le présent rapport, le terme « Ministre » désigne le ministre de la Sécurité publique.
Ensemble de données accessible au public. Ensemble de données accessible au public au moment de sa collecte.
Interrogation. Recherche ciblée dans un ou plusieurs ensembles de données, au sujet d’une personne ou d’une entité, ayant pour but d’obtenir des renseignements.
Enquête au titre de l’article 12. Enquête menée par le Service canadien du renseignement de sécurité, qui porte sur des menaces envers la sécurité du Canada.
Menace envers la sécurité du Canada. Activités qui touchent le Canada ou s’y déroulent, notamment les suivantes :
- l’espionnage ou le sabotage;
- les activités influencées par l’étranger;
- l’usage de la violence ou de menaces contre des personnes ou des biens dans le but d’atteindre un objectif politique, religieux ou idéologique;
- les activités qui, par des actions cachées et illicites, visent à saper le régime de gouvernement constitutionnellement établi au Canada ou dont le but immédiat ou ultime est sa destruction ou son renversement, par la violence.
Sommaire
Le gouvernement du Canada a instauré le régime applicable aux ensembles de données (régime des ensembles de données) suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS ou, ci-après, la Loi). Visé aux articles 11.01 à 11.25 de la Loi sur le SCRS, ce régime habilite le Service canadien du renseignement de sécurité (SCRS, ou le Service) à collecter et à conserver des ensembles de données contenant des renseignements personnels qui ne sont liés ni directement ni immédiatement à des activités qui constituent une menace envers la sécurité du Canada, mais qui sont susceptibles de favoriser la progression d’enquêtes sur la sécurité nationale.
Le présent rapport se divise en quatre sections. La première porte sur la gouvernance et décrit les aspects suivants : les modalités de mise en oeuvre du régime, la première autorisation judiciaire du SCRS relative à un ensemble de données, les vides juridiques relevés dans la Loi et les politiques internes du ministère auxquelles le régime est assujetti. Quant à la deuxième section du présent rapport, elle porte sur les pratiques observées par le SCRS en matière de gestion et de conservation de l’information. Ensuite, la troisième section traite des modalités suivant lesquelles le SCRS forme ses employés à l’exercice des fonctions prévues par le régime des ensembles de données, et aborde quelques difficultés en matière d’affectation des ressources. Enfin, la quatrième et dernière section présente une étude de cas qui aborde les difficultés et les obstacles qui se posent aux éléments traités dans les trois premières sections.
Pour ce qui concerne la gouvernance et la mise en oeuvre, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a conclu que le régime des ensembles de données établi par le SCRS n’était pas conforme au cadre législatif en vigueur. L’approche que le SCRS applique actuellement sur le plan de la collecte des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir les critères minimaux tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
En 2021, le SCRS a demandé une autorisation judiciaire pour la conservation du premier ensemble de données canadien, mais d’une façon qui incite l’OSSNR à douter que la Cour fédérale ait été pleinement informée des divergences exprimées en interne concernant l’utilisation des ensembles de données avant la mise en application du régime des ensembles de données. De plus, en attendant l’autorisation judiciaire, le SCRS a procédé à des interrogations au titre des dispositions concernant les situations d’urgence et a conservé des noms qui ne correspondaient que partiellement aux valeurs recherchées. L’OSSNR a conclu que les résultats conservés en l’occurrence ne respectaient pas le critère minimal s’appliquant obligatoirement à la conservation de cette information au titre de l’article 12 de la Loi. L’OSSNR recommande que le SCRS détruise immédiatement tout fichier contenant les noms retenus dans le cadre d’interrogations liées à des situations d’urgence, dans la mesure où ces fichiers ne répondent pas au critère minimal de la « stricte nécessité ».
Le présent examen a permis de relever, dans le texte de la Loi sur le SCRS un vide juridique qui pose problème sur le plan de la gouvernance s’appliquant aux ensembles de données étrangers. En effet, l’OSSNR note que dans sa forme actuelle, la Loi n’impose, au Ministre ou à la personne désignée, aucune limite de temps pour l’autorisation de conservation d’un ensemble de données étranger. Avant l’instauration du régime des ensembles de données, le SCRS collectait des volumes massifs de données qui ne répondraient plus aux prescriptions du nouveau régime. Après l’adoption du régime des ensembles de données, le SCRS a soumis, le 11 octobre 2019, plusieurs ensembles de données étrangers au directeur, qui faisait office de personne désignée à la place du Ministre. Le commissaire au renseignement (CR) a approuvé le premier ensemble de données étranger tiré de cet important volume de données le 16 décembre 2020. Or, au mois de décembre 2022, le SCRS n’avait soumis au CR que deux autres demandes d’approbation, pour un total de trois approbations en trois ans. L’OSSNR note qu’en conséquence du vide juridique, une demande d’autorisation peut, pendant des années, demeurer sans suite de la part du directeur. D’ailleurs, l’OSSNR remet en cause la façon dont le SCRS est censé respecter le critère minimal de la « probabilité d’aider » ainsi que l’utilité de ces ensembles de données. L’OSSNR recommande que l’on impose une limite de temps pour l’autorisation, par le Ministre ou la personne désignée, d’un ensemble de données étranger.
Le dernier élément de la section ayant trait à la gouvernance met l’accent sur les politiques que le SCRS a adoptées pour encadrer le régime des ensembles de données. En outre, l’OSSNR a conclu que les politiques du SCRS s’appliquant aux ensembles de données accessibles au public ne contenaient aucune disposition exigeant que l’information collectée soit assujettie à une analyse portant sur l’attente raisonnable en matière de protection de la vie privée. Cette question est particulièrement pertinente lorsque l’on prend en compte la demande toujours croissante pour les données achetées auprès de courtiers ainsi que les risques associés à l’achat d’informations disponibles dans le commerce, lesquelles auraient pu être collectées de façon illicite. Ainsi, l’OSSNR recommande que le SCRS procède à l’analyse approfondie et à la documentation de toutes les attentes raisonnables en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. L’OSSNR a également conclu que le SCRS ne disposait d’aucune politique realtive aux informations transitoires et que la directive interne en vigueur ne fournissait aux employés que des consignes insuffisantes pouvant faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
La deuxième section du présent rapport d’examen a trait à la gestion et à la conservation de l’information des ensembles de données visés à l’article 11. Dès 2018-2019, le SCRS a passé en revue ses fonds d’information pour y relever les informations qui seraient assujetties au régime des ensembles de données une fois que celui-ci serait entré en vigueur. Au début de 2022, le SCRS a constaté plusieurs occurrences où des données, des rapports opérationnels et des informations liées à des Canadiens ou à d’autres individus se trouvant au Canada (informations canadiennes) extraits d’ensembles de données étrangers auraient dû être détruits. Une fois que les éléments de non-conformité ont été relevés, le SCRS a commencé à mettre en place des mesures correctives visant à garantir que les données de ce type seraient repérées et détruites. En octobre 2022, l’OSSNR a effectué une recherche dans le système organisationnel du SCRS et a trouvé des fichiers contenant des dizaines de milliers d’occurrences d’informations personnelles sur des Canadiens tirées d’ensembles de données étrangers, de même que des informations équivalant à des ensembles de données étrangers. L’OSSNR n’est pas satisfait des raisons qu’on lui a données pour justifier la conservation de ces informations dans les systèmes organisationnels du SCRS ni des critères suivant lesquels le SCRS explique que ces informations se distinguent de celles qui avaient été précédemment établies comme étant non conformes. L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.
Qui plus est, l’OSSNR a effectué une autre recherche dans le registre opérationnel du SCRS et y a découvert des informations assimilables à un ensemble de données canadien. Le SCRS n’avait pas retiré le rapport opérationnel, ce qui l’a rendu accessible à quiconque pouvait utiliser le système, ce qui contrevient aux obligations s’appliquant au régime des ensembles de données sur le plan de la conservation. L’OSSNR a avisé le SCRS au sujet de ce rapport et a appris que cette situation serait traitée comme un incident de conformité. L’OSSNR a ensuite effectué une autre recherche et a découvert un autre rapport contenant de l’information qui, par ailleurs, serait assimilable à un ensemble de données canadien. L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. L’OSSNR recommande que le SCRS détruise immédiatement l’information sur des Canadiens et l’information étrangère qui se trouvent dans ses registres organisationnels et opérationnels, et qu’il n’est pas strictement nécessaire de conserver. Cette information non conforme ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel et procède à un balayage complet de ses registres organisationnels et opérationnels dans le but de repérer les informations non conformes.
La troisième section du présent rapport d’examen porte sur la formation de même que sur l’affectation des ressources. Avant l’entrée en vigueur du régime s’appliquant aux ensembles de données, le SCRS avait élaboré et mis en place une formation en guise de préparation à la désignation des employés aux fins du régime des ensembles de données ainsi qu’une formation obligatoire pour tous les employés opérationnels. L’OSSNR conclut que la formation requise pour devenir un employé désigné appelé à évaluer, à interroger et à exploiter les ensembles de données visés à l’article 11 fournit de l’information claire sur les exigences s’appliquant à la collecte et à la conservation. Or, l’OSSNR conclut que le personnel opérationnel du SCRS, y compris les membres qui font principalement la collecte des données de masse, n’a pas reçu une formation suffisante pour être en mesure de reconnaître les situations où l’information collectée pourrait être visée par le régime des ensembles de données. La formation n’est suivie qu’une seule fois par les employés opérationnels, ce qui contrevient aux règles que le SCRS est censé suivre quant à l’application du régime. L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios en guise de formations sur l’application du régime des ensembles de données. Ces ateliers seraient destinés au personnel opérationnel et permettraient de faire appel aux experts, le cas échéant.
Pour englober tous les enjeux cités précédemment, l’OSSNR a choisi une étude de cas qui met en évidence les difficultés que le SCRS rencontre au chapitre de la mise en place du régime des ensembles de données. Le cas en question concernait un ensemble de données contenant des informations sur des milliers de Canadiens. En l’occurrence, l’OSSNR conclut que le SCRS a collecté de l’information qui concernait des activités ne pouvant pas être raisonnablement soupçonnées d’avoir posé une menace envers la sécurité du Canada et dont la collecte, l’analyse et la conservation n’étaient pas strictement nécessaires. Le ministère de la Justice et la gestion du SCRS n’ont pas soumis, à la direction du SCRS, l’intégralité de l’information ayant trait à l’ensemble de données au point de collecte. De plus, l’information a été collectée sans qu’une analyse ait été réalisée à la lumière des dispositions de la Charte et des éléments relatifs à la protection de la vie privée. L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12. L’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
À la suite du présent examen, il convient de conclure que le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. De fait, le SCRS n’a pas cherché à résoudre les éléments juridiques ambigus [**expurgé**] des modalités d’application du régime à l’appréciation de la Cour. En effet, le SCRS a plutôt adopté diverses positions quant à l’application du régime des ensembles de données, et il risque désormais de cantonner ce qui se veut un régime d’encadrement de la collecte et de la conservation à un simple mécanisme de conservation. Sur le plan interne, le SCRS a fourni des ressources et de la formation qui se sont avérées insuffisantes pour garantir la conformité des activités aux dispositions du régime. En l’absence d’un engagement à opérationnaliser les ressources et à soutenir la mise en oeuvre d’un nouveau régime juridique, il y a lieu de conclure que ce type de régime sera destiné à échouer quoi qu’on en pense.
Introduction
Fondements législatifs
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé le présent examen en application de l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.
Portée de l’examen
L’OSSNR s’est penché, entre janvier 2019 et le 30 juin 2022, sur la mise en oeuvre, par le Service canadien du renseignement de sécurité (SCRS, ou le Service), du régime s’appliquant aux ensembles de données. Or, pendant le déroulement de l’examen, l’OSSNR a jugé nécessaire de consulter des éléments d’information pertinents ne coïncidant pas avec la période susmentionnée.
Méthodologie
L’OSSNR a examiné des documents, réalisé des entrevues et assisté à des séances d’information. L’OSSNR a également assisté à des démonstrations que des experts du SCRS ont données sur le fonctionnement des systèmes concernés. Le SCRS a également donné, aux représentants de l’OSSNR, un accès direct auxdits systèmes.
Énoncés généraux
L’OSSNR a été en mesure de vérifier, conformément à ses propres attentes et exigences, l’information reçue en cours d’examen. De plus, l’OSSNR a eu un accès direct aux systèmes et registres du SCRS, ce qui lui a permis de corroborer cette information.
Pour ce qui concerne la réactivité, on a relevé quelques occurrences mineures où le SCRS n’a pas fourni l’intégralité de l’information demandée par l’OSSNR, mais en règle générale, le Service a répondu aux attentes de l’OSSNR sur ce plan.
Renseignements généraux
En 2015, le Comité de surveillance des activités de renseignement de sécurité (CSARS), le prédécesseur de l’OSSNR, a examiné les modalités de collecte et de conservation de l’information dans le cadre du Programme d’acquisition de données du SCRS. Les examinateurs se sont penchés sur le régime du SCRS s’appliquant aux ensembles de données massifs et ont noté ce qui suit : « le CSARS n’a constaté aucun élément de preuve donnant à penser que le SCRS avait systématiquement tenu compte du seuil de la mesure “strictement nécessaire” tel qu’il est imposé en vertu de l’article 12 de la Loi sur le SCRS; le SCRS ne dispose pas de processus, de cadre de gouvernance et de conseils juridiques relatifs à l’acquisition et à la gestion d’ensembles de données de masse, ce qui va à l’encontre des pratiques de nos proches alliés. »
Après la publication du rapport annuel du CSARS, la Cour fédérale (ci-après désignée comme étant « la Cour ») s’est penchée sur les questions liées à la conservation des données dans la décision qu’elle a rendue en 2016 relativement aux « données connexes ». La Cour a établi que le SCRS avait outrepassé les limites du mandat qui lui était prescrit par la loi en conservant des informations contrevenant à la mesure « strictement nécessaire » prescrite au paragraphe 12(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS). En vertu de cette exigence légale de la mesure « strictement nécessaire » s’appliquant aux faits ayant donné lieu à cette décision, le SCRS ne peut pas conserver de l’information qui n’est pas directement liée à une menace envers la sécurité du Canada, à moins que cette information soit liée à un sujet visé par un mandat. La Cour a conclu que le SCRS avait agi de manière illicite lorsqu’il a conservé des informations non liées à une menace au titre de la mesure « strictement nécessaire », et ce, au-delà de la limite de temps prescrite.
Le gouvernement du Canada a instauré le régime applicable aux ensembles de données suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification la Loi sur le SCRS. Ce régime permet au SCRS de collecter des ensembles de données qui soient susceptibles de l’assister dans l’exercice de ses fonctions, en l’occurrence, des ensembles de données qui ne répondent pas au critère du « strictement nécessaire » par ailleurs exigé à l’article 12.
Le présent examen de l’OSSNR est le premier qui soit réalisé relativement aux ensembles de données depuis l’adoption la LSN. En outre, cet examen décortique et analyse les modalités de gouvernance et d’opérationnalisation du régime. Pendant qu’il considérait la mise en oeuvre du régime, l’OSSNR a également examiné les systèmes et les processus en place aux fins d’ingestion, d’évaluation, d’interrogation et d’exploitation des ensembles de données, processus dont une description détaillée est fournie en annexe A du présent rapport.
Aperçu du régime applicable aux ensembles de données au vu de la législation
Les dispositions de la Loi sur le SCRS (ci-après désignée comme étant « la Loi ») qui gouvernent le régime se trouvent aux articles 11.01 à 11.25, 21, 27 et 27.1 de la Loi (lesquels établissent ce que l’on appelle ci-après le « régime des ensembles de données »). La Loi définit le terme « ensemble de données » comme suit : « [e]nsemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun. » La clause d’application de l’article 11.02 énonce ce qui suit : « Les articles 11.01 à 11.25 s’appliquent aux ensembles de données qui contiennent des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels qui, dans l’immédiat, ne sont pas directement liés à des activités exercées en lien avec une menace pour le Canada. »
Le niveau des autorisations et des approbations des activités de collecte et de conservation d’un ensemble de données est proportionnel au niveau d’atteinte à la vie privée. Pour toutes les catégories d’ensembles de données, à savoir accessibles au public, canadiens et étrangers, le SCRS peut : « recueillir un ensemble de données s’il est convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. » Il existe un autre seuil, plus élevé celui-là, pour la conservation des ensembles de données étrangers et canadiens, à l’égard desquels le SCRS doit établir si l’ensemble de données collecté est « susceptible de l’aider » dans l’exercice de ses fonctions
Le tableau ci-dessous présente synthétiquement le cadre juridique s’appliquant aux ensembles de données accessibles au public (EDAP), aux ensembles de données étrangers et aux ensembles de données canadiens :
| Accessible au public | Étranger | Canadien | |
|---|---|---|---|
| Définition | Un ensemble de données qui était accessible au public au moment de la collecte. | . Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada. | A dataset that predominately relates to individuals within Canada or Canadians. |
| Collection | Threshold: Relevant to the performance of duties and functions under s. 12 to s.16 | ||
| Must belong to an approved class authorized by the Minister and approved by the Intelligence Commissioner (IC) | |||
| Évaluation | Dans les 90 jours suivant le moment de la collecte (excluant toute interrogation ou exploitation) : L’employé désigné doit supprimer tout renseignement personnel qui n’est pas pertinent dans le cadre de l’exercice des fonctions du SCRS. L’employé désigné peut supprimer les contenus superflus, erronés ou de moindre qualité; il peut effectuer la traduction ou le décryptage des contenus ou utiliser des techniques de révision liées à la protection de la vie privée; il peut exercer toute activité relative à l’organisation de l’ensemble de données. | ||
| L’employé désigné doit supprimer toute information qui porte sur la santé physique ou mentale d’un individu et pour laquelle il existe une attente raisonnable en matière de protection de la vie privée | |||
| L’employé désigné doit retirer toute information liée à un Canadien ou à une personne se trouvant au Canada. | L’employé désigné doit supprimer toute information protégée par le secret professionnel de l’avocat. | ||
| Conservation | Conservation permise pour les fins visées aux articles 12 à 16. | Critère minimal : susceptible d’aider le Service à exercer ses fonctions. | |
| Le ministre ou la personne désignée donne son autorisation, puis le CR donne son approbation. | Le ministre donne son approbation, laquelle est suivie d’une autorisation judiciaire. | ||
| Période de conservation | Aucune limite (politique interne régissant la conservation) | Maximum de 5 années (renouvelable suivant une nouvelle demande) | Maximum de 2 années (renouvelable suivant une nouvelle demande) |
| Interrogation/exploitation | Possibilité d’interroger, d’exploiter et de conserver les résultats pour les fins visées aux articles 12 à 16. | L’employé désigné peut interroger ou exploiter (et conserver les résultats) pour peu que ce soit strictement nécessaire au titre des articles 12 et 12.1, et comme le stipule l’article 16. | |
| Peut interroger et exploiter (et conserver les résultats) pour les fins visées à l’article 15. | |||
| Tenue de dossiers | Dossiers : - justification de la collecte; - détails relatifs à chaque exploitation; - détails de l’autorisation légale au titre de laquelle l’information interrogée ou exploitée est conservée. Réalisation de vérifications aléatoires ou routinières. | ||
| Obligations : - stocker et gérer séparément des autres informations; - réserver l’accès aux employés désignés pour veiller à ce que les informations acquises ne puissent être communiquées qu’aux fins de l’exercice de fonctions sous le régime de la présente loi. | |||
| Situations d’urgence | Le directeur peut autoriser (sous réserve de l’approbation du CR) l’interrogation d’un ensemble de données qui n’a pas déjà été autorisé s’il s’agit d’une situation d’urgence et que l’interrogation de l’ensemble de données est nécessaire afin de préserver la vie ou la sécurité d’un individu ou d’acquérir des renseignements d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service s’en tient aux processus d’autorisation. | ||
| Rapports | Transmission à l’OSSNR : - de toute vérification effectuée telle qu’il est prescrit par les dispositions s’appliquant à la tenue des dossiers; - de tout retrait d’information concernant un Canadien ou une personne se trouvant au Canada et provenant d’un ensemble de données étranger; d’une copie de l’autorisation du directeur visant l’interrogation pour motif de situation urgence, les résultats de l’interrogation et les mesures prises après l’obtention des résultats de l’interrogation. *L’OSSNR peut faire rapport auprès du directeur lorsqu’à son avis, l’interrogation ou l’exploitation de l’ensemble de données concerné n’est pas conforme aux stipulations de la loi. En l’occurrence, le directeur envoie un rapport accompagné d’informations additionnelles à la Cour fédérale. Dès lors, la Cour fédérale peut émettre une directive ou un ordre ou encore prendre toute autre mesure jugée appropriée. | ||
Gouvernance
Interprétation et application, par le SCRS, du régime applicable aux ensembles de données
Conclusion no 1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif.
Conclusion no 2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
Le régime des ensembles de données avait pour objet de créer une méthode qui permette de collecter et de conserver certaines informations, des activités qui ne seraient pas permises selon les dispositions formulées à l’article 12 de la Loi sur le SCRS. Le SCRS a pris une part active dans la promotion de ce régime détaillé et a noté, pendant les audiences du comité sénatorial, qu’il s’agissait (articles 11.01 à 11.24) d’une « mesure législative assez complexe » qui a nécessité que l’on travaille étroitement avec le ministère de la Justice (ci-après désigné comme étant « le MJ ») pour « étudier les divers processus que nous pouvions utiliser » pour veiller à ce que le régime soit en entière « conformité à la Charte ». Après avoir grandement contribué à la rédaction du document faisant état du régime, le SCRS était bien placé pour élaborer les politiques et les procédures devant s’appliquer à la collecte, à l’interrogation, à l’exploitation et à la vérification des ensembles de données.
[**expurgé**] le SCRS a modifié sa position de sorte à considérer le régime des ensembles de données comme étant, en réalité, assujetti aux autorisations de collecte visées aux articles 12, 15 ou 16 de la Loi sur le SCRS. De fait, le SCRS s’appuie sur le régime des ensembles de données dès lors qu’il a établi que l’information n’est pas visée par ces autorisations en matière de collecte (ce qui est désigné ci-après comme étant la position actuelle du SCRS). Cette position témoigne d’un changement sur le plan de la compréhension que l’on peut avoir quant à la portée du régime des ensembles de données.
Telle qu’elle était présentée dans les politiques et les présentations du Service ainsi que dans le matériel employé pendant la formation NSA 2017, l’application du régime des ensembles de données était davantage conforme à la position initiale du Service. Toutefois, au mois d’avril 2022, le SCRS avait adopté sa position actuelle quant à l’application du régime des ensembles de données, en concluant que la Cour était d’accord avec cette interprétation. Le SCRS considère désormais que le régime permet la collecte et l’utilisation (recherches) des ensembles de données au titre de l’article 12, puis leur conservation au titre du régime des ensembles de données. Le SCRS a continué de modifier sa position actuelle de sorte à permettre une collecte et une conservation élargies en vertu de l’article 12.
Il convient de noter que l’article 12 énonce des conditions s’appliquant à la collecte (et à la conservation) qui sont plus exigeantes que le critère minimal s’appliquant à la collecte et à la rétention dans le cadre du régime des ensembles de données. En vertu de l’article 12, une enquête s’appuiera sur un motif raisonnable de soupçonner une menace envers la sécurité du Canada, et la collecte ainsi que la conservation de l’information n’auront lieu que dans la mesure « strictement nécessaire ». Pour sa part, le régime des ensembles de données permet la collecte pour peu que le SCRS soit « convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. ». La conservation des ensembles de données étrangers et canadiens est permise s’il est « probable » que cette conservation « aide le Service » à exercer ses fonctions. L’article 12 et le régime des ensembles de données diffèrent l’un de l’autre en tant que régimes de contrôle. En vertu de l’article 12, le SCRS peut procéder à la conservation sans l’intervention d’une entité externe. Or, la conservation des ensembles de données canadiens au titre du régime des ensembles de données exige une autorisation de la Cour, alors que la conservation des ensembles de données étrangers nécessite l’approbation du CR.
Le régime des ensembles de données a été créé dans le but d’élargir les conditions rigoureusement réglementées s’appliquant à la collecte et à la conservation, lorsque le critère minimal de la mesure « strictement nécessaire » visé à l’article 12 ne pouvait pas être respecté. Toutefois, selon l’OSSNR, depuis que le SCRS a modifié sa position, comme nous l’avons évoqué précédemment, la façon dont le Service opérationnalise le régime des ensembles de données et en comprend l’application semble avoir considérablement augmenté l’étendue de l’information captée en vertu des pouvoirs qui lui sont conférés au titre de l’article 12. Cette évolution est abordée dans le cadre de l’étude de cas qui est présentée à la fin du présent rapport.
La [**expurgé**] anciennement Gestion et exploitation des données ou DMEX) est une entité dont la fonction première est la gouvernance du régime des ensembles de données. Au mois de juin 2023, le SCRS a avisé l’OSSNR que, désormais, [**expurgé**] prioriserait la collecte au titre de l’article 12 par rapport à la collecte au titre du régime des ensembles de données. Comme le cadre législatif s’appliquant aux ensembles de données s’avère plutôt restrictif, le Service a indiqué qu’il ne collecterait les ensembles de données qu’en prévision de leur exploitation10. Le SCRS a ensuite présenté à l’OSSNR l’exemple éclairant d’un ensemble de données au sens entendu par le régime des ensembles de données et a indiqué que, dans la mesure où il était possible que des acteurs hostiles figurent dans la liste, cet ensemble pouvait être collecté au titre de l’article 11.05 s’appliquant au régime des ensembles de données ou encore de l’article 12. On pouvait également y effectuer des recherches au titre de l’article 12, conserver, au titre du même article, les résultats de recherche portant sur la menace, puis détruire le reste de la liste.
L’approche évolutive que le SCRS a adoptée à l’égard des ensembles de données soulève deux sources de préoccupation. En premier lieu, l’ingestion des ensembles de données au titre de l’article 12 peut désormais, du moins en pratique, correspondre à une interprétation élargie des critères minimaux de « motif raisonnable de soupçonner » et de mesure « strictement nécessaire » visés à l’article 12. Les normes maintenant invoquées pour justifier la collecte et la conservation de certains ensembles de données censément au titre de l’article 12 sont plus près des critères minimaux « convaincu » et « probabilité d’aider » s’appliquant au régime des ensembles de données. L’OSSNR reconnaît que certaines informations répondant à la définition d’un ensemble de données – c.-à-d. la collecte d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun – pourraient être visées par les stipulations de l’article 12 en matière de collecte et d’utilisation, par exemple, une liste des voyageurs extrémistes canadiens. Toutefois, l’OSSNR a des réserves lorsque les pouvoirs énoncés à l’article 12 sont interprétés de telle façon qu’ils permettent la collecte et l’utilisation de renseignements personnels qui ne sont pas directement liés aux activités posant une menace envers la sécurité du Canada. Cette approche sort du cadre législatif et risque de donner lieu à la création d’un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
En second lieu, une procédure de vérification en plusieurs étapes découle d’une interprétation de la Loi sur le SCRS, selon laquelle le régime des ensembles de données s’applique uniquement lorsque les ensembles de données (répondant à la définition de la section 11.02) ne peuvent être ni collectés ni conservés au titre des mandats visés aux articles 12, 15 ou 16. Qui plus est, il y aura une phase préliminaire durant laquelle le SCRS devra décider quelle autorisation doit s’appliquer, et établir si (puisqu’il ne reste plus aucune autre autorisation de collecte ou de conservation) l’ensemble de données doit être traité dans le cadre du régime des ensembles de données. L’absence de conseils judicieux donne lieu à un important risque de confusion quant à ce qui peut être fait à partir de l’ensemble de données pendant cet exercice de vérification et de tri, surtout que cette procédure de vérification n’est pas expressément prévue par la Loi. On ne saurait trop dire si la Loi peut s’assortir d’une procédure parallèle et distincte dans le cadre de laquelle un ensemble de données serait collecté au titre de l’article 12, interrogé à des fins de renseignement et, seulement alors, être transféré en vue d’être conservé au titre du régime des ensembles de données. En l’occurrence, on pourrait estimer que cette approche rendrait superflue l’autorisation d’interrogation de recherche en cas d’urgence au titre de l’article 11.22. Bien que l’OSSNR n’ait pas été en mesure de confirmer l’intégralité de la séquence d’événements, l’étude de cas portant sur l’autorisation judiciaire visant les ensembles de données canadiens (voir la section suivante) illustre le risque de confusion.
Autorisation judiciaire concernant les ensembles de données canadiens
Conclusion no 3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.
Conclusion no 4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12.
[**expurgé**], le SCRS a collecté, [**expurgé**]. Les [**expurgé**] contenaient les renseignements personnels d’individus [**expurgé**] Les ensembles de données ont été acheminés au SCRS en provenance de plusieurs ministères [**expurgé**]. Comme ces ensembles de données ont été reçus par le [**expurgé**] on a jugé qu’ils avaient été collectés au titre de l’article 12. Cependant, le SCRS a ensuite tenté de conserver [**expurgé**] en vertu du régime des ensembles de données, ce qui nécessite une autorisation de la Cour fédérale (CF). En l’occurrence, on a assisté à la première décision concernant une autorisation judiciaire aux fins du régime des ensembles de données. Or, on note deux sources de préoccupation concernant la gestion de cet ensemble de données.
Examen initial de l’ensemble de données au titre de l’article 12
Considérant les éléments qui ont mené à cette autorisation, il serait plutôt difficile de savoir comment cet ensemble de données pourrait être utilisé. Tout indique que [**expurgé**] a reçu les [**expurgé**] en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada. [**expurgé**] considère comme de l’information visée à l’article 12 toute information communiquée et collectée par leur direction. Au moment de recevoir l’ensemble de données, [**expurgé**] n’était pas au courant des discussions qui avaient lieu au sein d’autres directions concernant la possibilité de demander à la Cour d’autoriser la conservation [**expurgé**] au moyen d’une autorisation judiciaire. [**expurgé**] a traité l’information comme elle le ferait pour toute autre information visée à l’article 12 et a effectué des recherches pour au moins deux des noms [**expurgé**] dans la base de données opérationnelle du SCRS, à savoir [**expurgé**]. Des résultats ont été obtenus pour l’un de ces deux noms.
L’OSSNR a d’abord été informé que ces recherches ne constituaient pas des interrogations dans la mesure où elles n’avaient pas été menées dans les [**expurgé**] et qu’elles constituaient plutôt des recherches, depuis [**expurgé**] de noms tirés [**expurgé**]. L’OSSNR a également appris que les recherches ne constituaient pas des interrogations, car elles n’avaient pas [traduction] « pour objet d’obtenir du renseignement » tel que le définit la Loi, puisque le résultat des recherches n’est pas consigné [**expurgé**]. Lors de ses discussions avec le SCRS, l’OSSNR a reçu des informations contradictoires qui montrent les incohérences et la confusion qui règnent en interne à ce sujet.
Dans la lettre de présentation qui accompagnait l’affidavit de l’autorisation judiciaire demandée à la Cour en lien avec un ensemble de données canadien, l’avocat indique que [traduction] « la collecte initiale et l’utilisation que le Service fait de cette information, tel qu’il est décrit dans l’affidavit, s’inscrit dans la portée [**expurgé**] du Service au titre [**expurgé**] ». Dans l’affidavit, le SCRS indique que [traduction « […] [**expurgé**] a vérifié si cette collecte d’information figurait déjà dans le fonds du Service et a estimé la valeur qu’elle pourrait avoir aux fins de ses enquêtes. Aucune recherche n’a été menée à des fins de renseignement […] ». Dans une ébauche antérieure de l’affidavit, le chef de la DMEX avait exprimé son souci à l’égard de ce libellé de la version préliminaire de l’affidavit.
Ce à quoi il ajoute que [traduction] « Nous avons déjà clairement indiqué que les ensembles de données étaient initialement collectés au titre des autorisations visées aux [**expurgé**]. Nous pouvons également affirmer que les vérifications ont été effectuées conformément à ces autorisations, jusqu’à ce que l’on ordonne immédiatement l’arrêt des vérifications une fois l’article 11 invoqué (tout est arrivé rapidement) ». L’OSSNR n’a pas été en mesure d’établir si la recherche des noms tirés de la liste a été effectuée dans le système opérationnel du SCRS dans le but de « vérifier » si [traduction] « la collecte d’information figurait déjà dans le fonds du Service ». Pendant que l’on examinait cette question, il devenait manifeste qu’il y avait une multiplicité d’opinions et nombre de propos contradictoires au sujet des mesures qui avaient été prises au moment de recevoir l’ensemble de données, mais aussi de ce qui semblait permissible aux yeux du SCRS, une fois que l’information d’un ensemble de données est collectée au titre de l’article 12.
Dans la décision qu’elle a rendue concernant l’autorisation, la Cour fédérale a conclu qu’il était raisonnable de collecter l’ensemble de données au titre de l’article 12 compte tenu des circonstances. Or, la Cour note que [traduction] « la décision d’invoquer le régime des ensembles de données et de demander l’approbation d’interroger l’information a été prise au titre des dispositions concernant les situations d’urgence énoncées à l’article 11.22 de la Loi ». On ne sait trop si la Cour était parfaitement au courant des incertitudes qui planaient quant à ce qui pouvait être fait de l’ensemble de données entre la collecte au titre de l’article 12 et le début du processus de conservation au titre du régime des ensembles de données. Le SCRS aurait dû informer pleinement la Cour de cette incertitude (y compris les propos contradictoires concernant la façon dont les données étaient ou pourrait être utilisées) pour que celle-ci puisse fournir des éclaircissements sur sa position quant aux conduites qui sont expressément permissibles avant l’invocation du régime des ensembles de données.
C’est particulièrement le cas depuis que la Cour, dans la décision qu’elle a rendue et les audiences de l’autorisation judiciaire, a fait part de ses préoccupations voulant que les catégories autorisées par le Ministre et approuvées par le CR aient été trop larges. En outre, la Cour a ajouté que [traduction] « l’une de ces catégories est si large que rien ne pourrait en être exclu ». Pourtant, le SCRS a assuré la Cour à quelques reprises que l’information avait été collectée au titre de l’article 11.05 et était protégée par les dispositions du régime; que cette information était défendue par des contrôles d’accès accrus; et que cette information ne pouvait être ni interrogée ni exploitée. Par conséquent, la Cour a été informée qu’en dépit de la vastité des catégories, le régime fournissait les limites nécessaires à la protection de la vie privée des Canadiens. Cette réponse minimise la mesure dans laquelle l’information de l’ensemble de données pourrait être utilisée pendant la période de tri. Encore une fois, cette discussion fournissait au SCRS l’occasion d’éprouver sur le plan juridique et devant la Cour la mise en oeuvre de son interprétation du régime des ensembles de données. Le SCRS aurait pu informer la Cour que ces mesures de protection ne seraient pas forcément en place au moment de collecter de l’information au titre de l’article 12, avant de se tourner vers le régime des ensembles de données pour en légitimer la conservation. Tout semble indiquer que le SCRS a choisi d’assumer cette incertitude sur le plan légal plutôt que de risquer que la Cour interprète le régime de façon contraignante.
Interrogation et conservation en situation d’urgence
Il convient de noter qu’une fois que le SCRS a enclenché le processus lié au régime des ensembles de données, l’ensemble de données pour lequel une autorisation judiciaire était demandée était visé par une autorisation et une approbation au titre de l’article 11.22 sur les situations urgentes. Le SCRS a demandé et reçu l’autorisation du directeur ainsi que l’approbation du CR pour l’interrogation des ensembles de données. Conformément aux exigences énoncées au paragraphe 11.13(2) de la Loi, le SCRS a inclus, dans sa demande d’autorisation judiciaire, le contenu de l’autorisation pour situation urgente, le résultat de l’interrogation autorisée et la description des mesures prises après l’obtention de ces résultats. Cette information a également été fournie à l’OSSNR comme le prescrit l’alinéa 11.25c) de la Loi.
L’interrogation du SCRS portait sur le nom [**expurgé**] Le SCRS a retenu [**expurgé**] correspondances partielles et les a signalées dans son système opérationnel au titre de l’article 12. En examinant les interrogations menées, l’OSSNR a trouvé que les recherches initiales ratissaient extrêmement large dans la mesure où de nombreuses [**expurgé**] de noms ont été recherchées suivant l’utilisation fréquente [**expurgé**] de et l’établissement d’un large éventail de date de naissances [**expurgé**].
Ces vastes recherches ont donné lieu à bon nombre de résultats correspondant aux éléments de la liste. Par exemple, [**expurgé**] étaient tous considérés par l’analyste du SCRS comme des résultats convenables pour une recherche faite à partir du [**expurgé**]. Ces noms ont ensuite fait l’objet de recherches dans [**expurgé**]. L’information provenant d’une interrogation en situation urgente peut être conservée si l’interrogation [traduction] « a été menée au titre de l’article 12 » suivant l’imposition du critère minimal de la mesure « strictement nécessaire » énoncé dans ce même article. Même s’il n’y a, dans [**expurgé**], aucun résultat correspondant intégralement à l’un des noms [**expurgé**] le SCRS a établi que cette absence dans le système opérationnel signifiait que lesdits noms ne pouvaient pas être éliminés en tant que [traduction] « candidats potentiels d’identification » et que [traduction] « en définitive, ces correspondances potentielles qui ne peuvent pas être exclues seront signalées au bureau et conservées au titre de l’article 12 aux fins d’enquête ». De même, s’il advenait que le nom [**expurgé**] soit trop commun pour l’éliminer d’emblée, le SCRS conservait ce nom en le considérant comme étant strictement nécessaire.
Les résultats d’interrogations inutilement larges n’ont pas répondu au critère minimal de la mesure strictement nécessaire aux fins de conservation. [**expurgé**]. En mars 2022, le SCRS a indiqué que [traduction] « [**expurgé**] a établi qu’il cesserait la démarche liée aux résultats (rapporté dans [**expurgé**]) sans de nouvelles informations » et que les [**expurgé**] résultats conservés avaient été [traduction] « intégralement copiés aux fins de rétention, au cas où l’ensemble de données serait détruit ». Or, les interrogations en situation d’urgence ne peuvent être utilisées ni pour contourner les obligations en matière de conservation qui s’appliquent au titre de l’article 12 ni en tant que moyen de conserver l’information en attente du résultat de la demande d’autorisation judiciaire.
Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.
Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.
Vide juridique dans le texte de loi
Conclusion no 5: L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS).
Le régime des ensembles de données a entraîné l’ajout de bon nombre de dispositions détaillées au texte de la Loi sur le SCRS. Or, malgré la complexité du régime, l’OSSNR y a remarqué des lacunes. Les dispositions de la Loi qui gouvernent les autorisations de conservation des ensembles de donnes étrangers ne prescrivent aucun délai que le ministre ou la personne désignée serait tenu de respecter s’agissant d’autoriser la conservation d’un ensemble de données étranger. Avant l’entrée en vigueur du régime des ensembles de données, le SCRS avait accumulé des volumes massifs de données qui n’étaient plus conformes aux stipulations du nouveau régime. Conséquemment, en vertu des dispositions transitoires du projet de loi C-59, on a reconnu la présence de cette information dont on a estimé qu’elle avait été collectée le 13 juillet 2019, conformément à l’arrêté en conseil. Le SCRS disposait ensuite de 90 jours pour évaluer les ensembles de données étrangers qu’il souhaitait conserver et pour établir s’il voulait évaluer les volumes massifs d’information canadienne aux fins d’une éventuelle demande d’autorisation judiciaire.
Le 11 octobre 2019, le SCRS a présenté au directeur dix demandes d’autorisation pour la conservation d’ensembles de données étrangers. La première autorisation visant un ensemble de données a été approuvée par le CR le 16 décembre 2020. Dans sa décision datant du 16 décembre 2020, le CR a formulé des recommandations concernant le contenu des autorisations. L’une de ces recommandations portait sur la mesure dans laquelle les ensembles de données collectés en [**expurgé**] pouvaient encore être en mesure d’aider le SCRS à exercer ses fonctions. Les [**expurgé**] autres ensembles de données qui avaient été soumis au directeur pour autorisation ont alors été modifiés de sorte à comporter l’information demandée par le CR. Ces modifications ont été ajoutées aux demandes, en annexe. En dépit du fait que ces modifications comprenaient de l’information déterminante concernant la façon dont les ensembles de données étaient toujours appelés à aider le SCRS dans l’exercice de ses fonctions, on n’a pas jugé bon de considérer les demandes modifiées comme de nouvelles demandes soumises au directeur. Au mois de décembre 2022, le SCRS n’avait soumis que deux autres demandes d’approbation au CR, pour un total de trois approbations en trois ans.
Le SCRS a affirmé qu’aucune échéance prévue par la loi n’empêchait le directeur d’avoir ces demandes pendant des années et qu’en raison de contraintes sur le plan des ressources, les modifications auraient pris encore plus de temps. Ce vide juridique a donné lieu à la création d’un mécanisme parallèle pour la conservation qui, normalement, est régie selon des règles strictes. Ainsi, le SCRS ne peut ni ingérer, ni interroger, ni exploiter les données tant que le CR n’a pas donné son approbation, mais le vide juridique aura permis au Service d’interroger lesdites données dans des situations urgentes conformément aux dispositions de l’article 11.22 de la Loi sur le SCRS.
De plus, le vide juridique faisant en sorte que la demande d’autorisation reste lettre morte devant le directeur pendant des années remet en question la façon dont le SCRS respectera le critère minimum de la « probabilité d’aider » qui est lié à l’utilité de ces ensembles de données. Or, il convient de noter qu’au mois d’avril 2023, l’ensemble de données approuvé en 2020 n’avait pas encore été interrogé, alors que celui qui a été approuvé en 2021 n’avait été interrogé qu’une [**expurgé**]. Le vide juridique a également été soulevé par le CR qui affirmait ce qui suit : [traduction] « Je ne suis pas convaincu que l’intention du législateur était de faire en sorte qu’il y ait de longs délais entre la soumission d’une demande du SCRS et la décision du directeur, lorsque celui-ci est appelé à autoriser la conservation d’un ensemble de données étranger ».
Recommendation 3: NSIRA recommends that Parliament legislates a time limitation for the authorization of a foreign dataset by the Minister or Minister’s designate.
Politiques du SCRS s’appliquant aux ensembles de données
Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée.
Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données.
Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la consigne provisoire [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
Pendant le processus d’adoption du projet de loi C-59, le SCRS a exprimé, dans sa politique, son engagement à ne pas collecter des ensembles de données piratés ou volés. En outre, il a reconnu qu’il y aurait [traduction] « une attente beaucoup plus importante en matière de protection de la vie privée à l’égard de ces ensembles de données » et a ajouté que même si des adversaires avaient accès à cette information, le SCRS préférerait se soumettre à « des normes plus élevées ». Toutefois, le SCRS en est arrivé à éprouver des difficultés lorsqu’il s’est agi de mettre en oeuvre les dispositions de la Loi et d’harmoniser ses politiques et ses procédures avec cette même Loi.
L’OSSNR soulève quatre sources de préoccupations. En premier lieu, le centre stratégique pour les ensembles de données est la Direction de la gestion et de l’exploitation des données (DMEX), laquelle a été récemment restructurée et renommée [**expurgé**]. L’ensemble des politiques sur les ensembles de données [**expurgé**] comprend un certain nombre de politiques ayant trait à la reconnaissance, à la collecte et à la conservation des ensembles de données visés à l’article 11.01. Bien que l’engagement à ne pas collecter les ensembles de données volés, piratés ou fuités soit codifié dans [**expurgé**], il n’existe aucune exigence correspondante qui puisse garantir que l’information contenue dans les ensembles de données accessibles au public (EDAP) ne contient aucune information pouvant susciter une attente raisonnable en matière de protection de la vie privée. D’ailleurs, cette exigence est particulièrement pertinente lorsque l’on prend en compte non seulement le marché en forte expansion des données acquises par l’intermédiaire de courtiers en données, mais aussi les risques associés à l’achat d’information disponible dans le commerce, laquelle pourrait avoir été collectée illicitement par lesdits courtiers.
En deuxième lieu, comme il en a été question plus haut, le changement de position du SCRS quant à la relation entre les ensembles de données et quant à ses pouvoirs courants de collecte a donné lieu à des écarts entre l’information qui correspond à des ensembles de données au sens de l’article 11.01 et l’information qui peut être collectée au titre de l’article 12. L’interprétation que le SCRS fait de l’applicabilité du régime des ensembles de données a été revue en 2021, soit deux ans après que les politiques régissant les ensembles de données ont été créées. De fait, l’ensemble de politiques existant correspond davantage à la position que le SCRS avait initialement. Conséquemment, l’ensemble des politiques ne s’harmonise plus avec la position actuelle du SCRS quant à l’application du régime des ensembles de données (question abordée plus haut) ni avec la structure actuelle de la Direction de [**expurgé**].
En troisième lieu, la politique [**expurgé**] avait pour objet d’orienter et d’informer les employés sur le régime des ensembles de données. Elle a également attribué la responsabilité aux [traduction] « employés qui collectent l’ensemble de données » de sorte à établir correctement l’autorisation de collecte. Cela met en évidence l’importance de la formation reçue par les employés, comme en témoignent les propos ci-dessous.
En quatrième lieu, le SCRS a élaboré une consigne provisoire visant à soutenir sa collecte d’ensembles de données au titre de l’article 12. La mise en place de cette consigne coïncide avec la volte-face sur le plan de l’interprétation et de l’opérationnalisation du régime des ensembles de données, dont il a été question plus haut, à la section 4. La consigne permet la collecte d’information électronique dont on a estimé qu’elle avait trait à une menace, mais où les informations liées à la menace et celles qui n’ont aucun lien avec cette menace sont inextricablement amalgamées. Or, la consigne ne fournit aucune information quant à ce qui constitue des informations inextricablement amalgamées, mais en permet la conservation en vase clos jusqu’à [**expurgé**], avec possibilité de prolongation. L’information n’ayant aucun lien avec la menace aurait été assujettie au régime des ensembles de données, alors que la consigne ne donne aucune indication quant aux exigences du régime des ensembles de données concernant, notamment, la collecte et la relation avec la période d’évaluation de 90 jours stipulée par le régime. Concrètement, le SCRS ne dispose d’aucun registre central pour l’information temporaire, faisant ainsi en sorte que celle-ci est enregistrée dans les lecteurs réseau partagés de l’unité sans mesures centralisées de surveillance, de contrôle des accès ou d’audit. Dans ce cas, et compte tenu de l’important roulement de personnel, des lacunes en formation sur la consigne, de l’absence de centres de responsabilités clairement définis dans la politique et de la limite [**expurgé**] qui dépasse largement le délai des 90 jours énoncé dans le régime des ensembles de données, on assiste à la création d’une situation où le SCRS risque de conserver des dépôts d’information qui, par ailleurs, seraient assujettis au régime des ensembles de données.
Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.
Recommandation no 5 : L’OSSNR recommande que le SCRS produise :
- des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] , qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
- une politique régissant le traitement de l’information éphémère.
Gestion et conservation de l’information
Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service.
Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.
Conclusion no 11 : L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN, en juillet 2019.
Conclusion no 12 : L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur.
De 2018 à 2019, le SCRS a procédé à l’inventaire de ses fonds d’information de sorte à recenser l’information assujettie aux dispositions du régime des ensembles de données – donc à la supprimer – une fois que ce régime entrerait en vigueur. Le SCRS a reconnu plusieurs catégories de rapports opérationnels contenant de l’information collectée canadienne et étrangère, et a créé des mises en garde devant être insérées dans ces rapports pour indiquer que de l’information en avait été retirée.
Concernant les ensembles de données étrangers, la haute direction du SCRS a établi quels ensembles de données étrangers seraient soumis pour autorisation. Des analystes techniques ont mené un certain nombre d’exercices sur des ensembles de données étrangers pour mettre à l’épreuve leur aptitude à reconnaître et à extraire l’information canadienne, comme l’exige le régime des ensembles de données. Ces exercices ont donné lieu à la création de plusieurs [**expurgé**] contenant les données canadiennes extraites. Ces [**expurgé**] ont ensuite été [**expurgé**] lesquels ont été stockés dans le dépôt organisationnel du SCRS. Ce faisant, le SCRS a ainsi conservé des copies de données qui auraient dû être supprimées.
D’après le Service, cette reproduction est une exigence de la politique du SCRS s’appliquant à la gestion de l’information (voir l’annexe A). Par exemple, lorsque l’interrogation d’un ensemble de données a lieu, la politique du SCRS en matière de gestion de l’information exige que l’analyste joigne les résultats de cette interrogation à un rapport qui est ensuite enregistré dans le système opérationnel. Les analystes sont également tenus d’enregistrer une copie de ce rapport et des fichiers joints dans [**expurgé**], le dépôt organisationnel du SCRS. Il s’agit là d’éléments qui sont à l’origine des problèmes de conformité. De plus, ces problèmes rendent encore plus difficile la suppression de l’information lorsque des incidents de conformité ont lieu ou lorsque le SCRS a conservé de l’information qui n’est pas strictement nécessaire. Des exemples additionnels de duplication des données sont fournis en annexe A.
Le 5 septembre 2019, le SCRS a assuré le Ministre qu’il [traduction] « avait engagé d’importantes mesures pour garantir la conformité au cadre régissant les ensembles de données, lequel découlait du projet de loi C-59 et devait bientôt entrer en vigueur », et que [traduction] « en conséquence de cet exercice, nombre d’ensembles de données canadiens et étrangers ont été jugés comme ne respectant pas le critère permettant la conservation au titre de l’article 12 ou celui permettant la conservation suivant le critère minimal de la "probabilité d’aider" au titre du nouveau cadre des ensembles de données. Ces ensembles de données ont donc été détruits avant l’entrée en vigueur ». En septembre 2021, le SCRS a affirmé à l’OSSNR que tous les ensembles de données étrangers qui n’avaient pas été soumis au directeur pour autorisation avaient été détruits ».
En [**expurgé**], un ex-employé de la DMEX a découvert [**expurgé**] contenant un ensemble de données étranger qui avait été collecté avant l’entrée en vigueur du régime des ensembles de données et avait ensuite fait l’objet d’une demande d’autorisation ministérielle. [**expurgé**] contenait l’intégralité de l’ensemble de données dans son état d’avant l’évaluation, y compris de l’information canadienne. En [**expurgé**] un autre employé de la DMEX a découvert, dans un [**expurgé**] dont l’accès était réservé aux employés désignés, de l’information canadienne ayant été extraite d’ensembles de données étrangers. Ces documents contenaient de l’information canadienne et des échantillons d’information étrangère tirés de [**expurgé**] ensembles de données étrangers, dont [**expurgé**] étaient en attente d’une autorisation ministérielle, [**expurgé**] avait déjà été approuvé par le CR et ont été intégralement détruits avant l’entrée en vigueur du régime. Le SCRS a détruit cette information puisqu’elle était conservée illicitement.
Ces incidents ont incité la DMEX à réaliser un examen de dossiers [traduction] « afin d’établir les étapes qu’il conviendra de suivre en prévision de l’entrée en vigueur de la LSN ainsi que les correctifs qui pourraient s’imposer. Bien que des employés aient été chargés de supprimer les ensembles de données pour lesquels aucune autorisation de conservation ne serait demandée en vue de l’entrée en vigueur de la LSN en juillet 2019, aucune démarche n’a été engagée pour demander aux employés de repérer et détruire les autres copies d’ensembles de données et de retirer tout document canadien ou autre de ces ensembles de données avant l’entrée en vigueur de la LSN ou pendant la période d’évaluation de 90 jours qui devait suivre53 ». La DMEX a ensuite demandé aux employés de [traduction] « procéder à une recherche approfondie dans [**expurgé**] ». À la suite de ces recherches, on a trouvé une quantité importante d’information canadienne et étrangère, notamment, de l’information ayant trait à l’ensemble de données sur les [**expurgé**], dont il est question plus loin. La DMEX a signalé ces incidents de conformité à la Direction des examens et de la conformité du SCRS en lui soumettant un rapport d’enquête avec des documents à l’appui. Les observations finales du rapport indiquent qu’un effort « digne d’éloges » a été réalisé pour repérer les données résiduelles, bien qu’en [**expurgé**] ».
En octobre 2022, l’OSSNR a mené des recherches dans les registres organisationnels du SCRS et a trouvé [**expurgé**] dossiers contenant des dizaines de milliers d’entrées comportant des renseignements personnels canadiens tirés de [**expurgé**] ensembles de données étrangers, notamment, de l’information extraite d’ensembles de données qui ont été détruits, approuvés par le CR et en attente d’une autorisation. Les dossiers contenaient également de l’information étrangère. L’information canadienne avait été extraite dans le cadre de l’exercice visant à préparer l’entrée en vigueur de la Loi et aurait dû être détruite.
L’OSSNR a cherché à savoir pourquoi ces dossiers contenant de l’information canadienne principalement extraite à partir d’ensembles de données étrangers détruits se trouvaient toujours dans le registre organisationnel du SCRS et dans quelle mesure l’autorisation légale justifiant leur conservation était valide. Le SCRS n’a pas fourni d’explication valable pour expliquer la non-conformité à la loi. En l’occurrence, le Service a simplement indiqué que l’information faisait partie d’un projet en vue de l’entrée en vigueur du régime des ensembles de données et que :
[Traduction] « ces documents canadiens continuent d’exister dans le dossier enregistré [PA pour PutAway] même si les ensembles de données [**expurgé**] originaux ont tous été détruits ou isolés en attente d’une autorisation ministérielle. À cette époque, bien que contraires aux obligations actuelles (depuis juin 2019) au titre de l’article 11, ce travail et cette conservation auraient été exécutés en vertu (implicitement) des autorisations visées à l’article 12. Comme ce cas est antérieur à l’entrée en vigueur du cadre régissant les ensembles de données, nous ne savons pas précisément s’il pose un risque juridique ou un risque de conformité. [**expurgé**]
Le SCRS a indiqué que les documents avaient été conservés [traduction] « de façon appropriée, en cette période antérieure à C-59, au titre des autorisations implicites visées à l’article 1259 ». On ignore comment le SCRS établit la distinction entre l’information trouvée par l’OSSNR et celle – comme l’indique le paragraphe 55 plus haut – que la DMEX a découverte en [**expurgé**]. Au mois d’août 2023, l’information découverte par l’OSSNR en octobre 2022, laquelle contenait des données canadiennes et étrangères, était conservée par le SCRS en contravention aux obligations qui incombent au Service en vertu des dispositions de la Loi sur le SCRS pour ce qui touche les ensembles de données.
L’OSSNR a également cherché des rapports opérationnels qui, avant l’entrée en vigueur du régime des ensembles de données, avaient été reconnus comme comportant des informations s’assimilant à des ensembles de données canadiens. L’OSSNR a trouvé nombre de rapports dont l’information avait été supprimée et auxquels on avait ajouté une mise en garde. Toutefois, l’OSSNR a découvert [**expurgé**] rapport ayant trait à l’ensemble de données sur [**expurgé**], lequel contenait le [**expurgé**]. Il convient de noter que le rapport opérationnel en question n’a pas été mis à l’écart; il était plutôt accessible à tous les utilisateurs du système et a même été cité en référence dans un rapport produit récemment, soit en août 2022. En l’occurrence, il s’agit là de l’interrogation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.
L’OSSNR a demandé au SCRS de faire état des autorisations en vertu desquelles il conservait cette information. Le SCRS a d’abord répondu qu’il n’était pas en mesure de trouver le rapport, puisqu’il avait été détruit63. Peu après, le SCRS a indiqué qu’il avait trouvé ledit rapport et qu’il traitait le dossier en tant qu’incident de conformité64. En cherchant de nouveau dans le système opérationnel, l’OSSNR a découvert un autre rapport contenant [**expurgé**]. Les deux rapports découverts par l’OSSNR contenaient de l’information qui, par ailleurs, s’assimilerait à un ensemble de données canadien, [**expurgé**]. En conservant cette information canadienne, le SCRS contrevenait aux obligations légales qui lui incombaient en vertu des dispositions de la Loi sur le SCRS s’appliquant au régime des ensembles de données.
L’information non conforme trouvée par l’OSSNR (information canadienne et étrangère provenant d’ensembles de données étrangers; information canadienne figurant dans des rapports opérationnels) a été découverte après le balayage initial effectué antérieurement à C-59 par le SCRS sur les fonds d’information et signalé au Ministre, mais après la [traduction] « recherche approfondie dans tous les fonds d’information personnelle et partagée » effectuée en raison de l’incident de conformité de 2022. Le SCRS n’a pas balayé en profondeur tous ses systèmes pour relever l’information assujettie au régime des ensembles de données, de sorte que cette information soit traitée conformément aux dispositions en vigueur.
Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.
Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Recommandation no 8 : L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.
Affectation des ressources et formation
Formation
Conclusion no 13 : L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation.
Conclusion no 14 : L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.
Avant l’entrée en vigueur de la LSN et, notamment, du régime des ensembles de données, le SCRS avait élaboré et mis en place une formation spécialisée pour les employés appelés à être désignés au titre du paragraphe 11.06(1) de la Loi sur le SCRS, ainsi qu’une formation obligatoire destinée à tous les employés de la sphère opérationnelle concernant le projet de loi C-59. Le SCRS avait également élaboré et offert un certain nombre de présentations aux directeurs adjoints, aux gestionnaires, au personnel des directions concernées, aux employés d’autres ministères fédéraux et au personnel juridique de la Cour fédérale. Cette série de formations et de présentations correspond à la position initiale du SCRS, dont nous avons discuté précédemment, concernant l’applicabilité du régime des ensembles de données.
Le SCRS offre actuellement deux formations obligatoires pour la désignation des employés. Ces formations mettent l’accent sur la distinction entre l’information « strictement nécessaire » au titre de l’article 12 et ce qui peut être collecté en respectant le critère minimal de la « probabilité d’aider » stipulée par le régime des ensembles de données. Les formations incitent l’employé à approfondir sa connaissance des procédures opérationnelles normalisées et des exigences liées au régime. La formation en ligne ne constitue possiblement pas la formule idéale, mais il faut savoir que les contenus de formation ainsi que la combinaison de questions axées sur les normes et sur les scénarios ont donné aux employés des instructions claires quant au régime et à ses exigences.
Comme il a été dit plus haut, le SCRS a aussi mis en place une formation obligatoire pour tout le personnel opérationnel. Le SCRS a conçu la majeure partie de la formation sur le régime des ensembles de données avant et immédiatement après l’entrée en vigueur de la LSN. Comme nous l’avons dit à la section 4 du présent rapport, on a noté un changement dans la façon dont le SCRS comprend ses obligations légales au titre du régime et dans la manière dont il perçoit et applique ces obligations. Par conséquent, la formation que le personnel opérationnel n’a été tenu de suivre qu’une seule fois en 2019 ne correspond plus et pourrait même s’avérer contraire à la façon dont le SCRS opérationnalise et applique désormais le régime.
De plus, le peu de formation qui est reçue par le personnel opérationnel ne permet pas aux responsables de la collecte d’établir quelles informations constituent un ensemble de données, bien qu’on les tienne responsables d’établir cette distinction. Conséquemment, les personnes qui travaillent à la collecte de volumes massifs d’information n’ont ni la formation ni la connaissance requises pour exercer leurs fonctions adéquatement.
Quant aux agents de renseignement, le SCRS a préparé une présentation sur le régime des ensembles de données devant faire partie du [**expurgé**] cette formation obligatoire offerte aux agents de renseignement au cours des premières années de carrière [**expurgé**] . À l’origine, lorsque le SCRS a instauré le programme de formation, les employés devaient travailler en groupes dans le cadre d’une série d’ateliers au cours desquels ils étaient appelés à reconnaître les caractéristiques des ensembles de données au sens de l’article 11.01, à savoir en quoi ceux-ci se distinguent des ensembles de données au sens de l’article 12 et à établir la correspondance entre les ensembles de données canadiens et ceux qui font partie des catégories approuvées. Cette formation a été offerte sous forme de cours dirigé par un instructeur jusqu’au mois de mars 2020, après quoi le SCRS a retiré la partie atelier à l’occasion d’une mise à jour du programme de formation, ce qui a éliminé de facto tous les sujets et les exercices axés sur des scénarios. Bien que le SCRS ait indiqué à l’OSSNR qu’il était en train de mettre le programme à jour, la formation actuellement offerte ne donne que peu d’éléments qui permettent aux responsables de la collecte d’établir la distinction entre les ensembles de données au sens de l’article 11.01 et l’information visée à l’article 12.
L’OSSNR conclut que l’approche selon laquelle le personnel concerné ne suit qu’une seule fois la formation sur les ensembles de données a fait en sorte que les employés disposent d’une connaissance et d’une compréhension lacunaires du régime des ensembles. Le SCRS devrait intensifier ses efforts ayant pour but de sensibiliser les responsables de la collecte aux exigences et aux particularités du régime des ensembles de données et encourager ces responsables à prendre contact avec la direction responsable de l’exploitation des données en cas de doute.
Recommandation no 9 : L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.
Affectation des ressources
Conclusion no 15 : L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Conclusion no 16 : L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données.
Lors d’examens réalisés antérieurement par l’OSSNR, on a constaté que les questions liées à la formation et à l’affectation des ressources se manifestaient fréquemment en même temps et avaient un lien avec l’engagement d’une organisation à l’égard d’un programme ou d’une direction en particulier. En avril et en novembre 2022, le SCRS a informé l’OSSNR que le Centre d’analyse des données opérationnelles (CADO) – qui faisait partie de la DMEX et était responsable de la mise en oeuvre technique du régime des ensembles de données, notamment de l’ingestion, de l’interrogation et de l’exploitation des ensembles de données – affichait des taux de vacance de [**expurgé**] respectivement.
En 2020, aucun employé n’a été désigné pour l’interrogation ou l’exploitation des ensembles de données malgré l’autorisation et l’approbation du premier ensemble de données étranger. L’approche que le SCRS préconise pour veiller à disposer de personnes qui ont été désignées et juridiquement aptes à interroger et exploiter l’information était principalement réactive. Dans un rapport de vérification de 2020 remis à l’OSSNR, le SCRS indiquait que le premier ensemble de données étranger avait été autorisé par le directeur et approuvé par le CR, quoique [traduction] « il n’y avait aucun employé qui ait été désigné pour les interrogations d’exploitation des ensembles de données canadiens ou étrangers au titre de l’article 11.
Conséquemment, aucune interrogation ni aucune exploitation » de l’ensemble de données n’a eu lieu. Le fait que le SCRS a envoyé sa première autorisation au CR sans avoir affecté de ressources à sa sous-section spécialisée et sans avoir permis à celle-ci de mener les interrogations et les exploitations potentiellement requises sur les ensembles de données est assez révélateur [**expurgé**] ans se sont écoulés avant que le SCRS soit en mesure de désigner un employé pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens. Hormis les interrogations menées en vertu de situations urgentes, aucune autre interrogation n’a été effectuée en 2021.
En novembre 2022, le SCRS a fait part de ses préoccupations voulant que la période d’évaluation de 90 jours stipulée dans la Loi soit trop contraignante et qu’elle ait souvent fait manquer des occasions de procéder à des collectes d’information. [**expurgé**]. Au fil de la discussion, l’OSSNR a appris [**expurgé**]. De même, en 2023, l’OSSNR a de nouveau appris que le SCRS n’avait pas été en mesure de composer en fonction des paramètres stipulés par la loi en vigueur. En l’occurrence, le SCRS pouvait compter sur un surcroît de ressources qu’il a pourtant choisi d’affecter à la collecte au titre de [**expurgé**] plutôt qu’à l’application du régime des ensembles de données.
Or, il faut savoir qu’aux difficultés liées à l’affectation des ressources s’ajoutent celles qui ont trait à l’actuel écosystème technique du SCRS. Le cycle de vie d’un ensemble de données fait intervenir une diversité d’outils et de systèmes numériques, [**expurgé**]. De plus, ces outils et systèmes ne peuvent être personnalisés et entretenus que par du personnel spécialisé dans un domaine technique. L’accumulation de ces facteurs a donné lieu à une situation où les employés de la DMEX ne disposent que d’un nombre limité d’options lorsqu’il s’agit d’exploiter les données, ce qui a une incidence sur l’utilité des trois catégories d’ensemble de données. D’après les séances d’information et les démonstrations fournies par des d’experts techniques, il apparaît évident que les systèmes actuels ne sont pas conçus pour que les volumes massifs de données soient traités conformément aux prescriptions.
Recommandation no 10 : L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Recommandation no 11 : L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.
Étude de cas : [**expurgé**]
Conclusion no 17 : L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires.
Renseignements généraux
[**expurgé**]
[**expurgé**]
Le [**expurgé**], le SCRS a envoyé un mémoire au Bureau du Conseil privé et à Sécurité publique faisant état de l’information contenue dans [**expurgé**]
CSIS [**redacted**]. The brief discusses the possibility of collecting the dataset under section 11, utilizing the 90-day evaluation period to assess whether it is a publicly available or Canadian dataset, and “if retaining and using the dataset for analysis will help ensure the security of Canada.”
The following day, [**redacted**].
[**expurgé**] le directeur général de la Direction de la gestion et de l’exploitation des données ainsi que le directeur général [**expurgé**] ont corédigé un mémoire présenté à la sous-directrice des Opérations (SDO) pour demander l’autorisation de collecter [**expurgé**] au titre de l’article 12 de la Loi sur le SCRS. Le mémoire contient un résumé de [**expurgé**] Le mémoire fait état des préoccupations exprimées par [**expurgé**] concernant [**expurgé**]
Certes, le mémoire fait part du contenu de l’ensemble de données tel qu’il est décrit [**expurgé**] mais en revanche, il omet de mentionner que [**expurgé**] permis de conclure que la base de données [**expurgé**] probablement été volées.
À la réception du mémoire, la SDO a demandé [**expurgé**] ». Dans sa réponse, la SDO exprime ses réserves en expliquant que [**expurgé**] trouvé aucun indice montrant que [**expurgé**]. En outre, la SDO a indiqué qu’elle admettrait volontiers que l’information [traduction] « pourrait en effet faciliter » le déroulement de l’enquête du SCRS, mais aussi que même si aucun indice ne prouve qu’il y aurait [**expurgé**] [traduction] « il est plus probable qu’improbable » qu’il s’agit là du type d’information qui [traduction] « susciterait [**expurgé**] intérêt ». C’est [**expurgé**] que la SDO a approuvé la collecte au titre de l’article 12. C’est ensuite, [**expurgé**] que le SCRS a reçu [**expurgé**] puis ingéré [**expurgé**] canadienne [**expurgé**]. .
[**expurgé**] On ne sait trop comment cette évaluation a été réalisée. En l’occurrence, elle ne correspond pas à l’analyse que le SCRS a faite de [**expurgé**], laquelle avait servi à préparer un rapport de cas que le SCRS a communiqué à des partenaires gouvernementaux. En outre, le rapport stipule que [traduction] « la part de l’ensemble de données qui a trait à des Canadiens semble [**expurgé**] ». D’ailleurs, le mémoire indique que [traduction] [**expurgé**] ». Or, il convient de noter qu’après la communication du mémoire d’analyse de cas, le SCRS n’a réalisé aucune autre analyse de renseignement ni aucun rapport concernant l’ensemble de données.
Analyse
Lorsque le SCRS a appris l’existence [**expurgé**], les discussions se sont initialement concentrées sur la collecte potentielle d’information au titre du régime des ensembles de données et sur la période d’évaluation de 90 jours en vue d’établir la portée de l’ensemble de données et de savoir s’il s’agissait d’un ensemble de données canadien, étranger ou accessible au public. Or, l’OSSNR ne sait toujours rien du pourquoi ni du comment la discussion a fini par se concentrer plutôt sur la collecte au titre de l’article 12.
Au moment de la collecte, le SCRS ne disposait que d’une information limitée qui, de surcroît, comportait des éléments contradictoires. [**expurgé**] Malheureusement, cette information n’a pas été présentée dans son intégralité à la SDO, lorsqu’il s’est agi de demander une approbation pour la collecte au titre de l’article 12.
L’article 12 de la Loi sur le SCRS stipule que « [l]e Service recueille, au moyen d’enquêtes ou autrement, dans la mesure strictement nécessaire, et analyse et conserve les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu’elles constituent des menaces envers la sécurité du Canada ». Le critère minimal à respecter est le motif raisonnable de soupçonner. Or, la Cour suprême du Canada a défini la norme des « soupçons raisonnables » comme étant « plus que de simples soupçons, mais ils ne correspondent pas à une croyance fondée sur des motifs raisonnables et probables. » Il s’agit « d’une norme solide, qui appelle la prise en compte de l’ensemble des circonstances, en fonction de faits objectivement vérifiables ».
En appliquant au présent cas la jurisprudence de la Cour suprême du Canada qui s’appuie sur la norme des soupçons raisonnables, le SCRS n’a fourni ni preuve ni renseignement pouvant montrer que l’information [**expurgé**] . Dans son outil d’analyse, [**expurgé**]. Or, l’OSSNR n’a trouvé aucune preuve étayant cette affirmation au moment de la collecte, et le SCRS n’a pas été en mesure d’exposer le raisonnement qui l’a conduit à cette conclusion. C’est donc dire qu’il n’y avait aucun signe évident pour soutenir la thèse selon laquelle l’ensemble de données était effectivement lié à une menace envers la sécurité du Canada. En effet, les explications fournies par le SCRS à l’OSSNR ainsi que les documents écrits mettent plutôt l’accent sur l’utilité potentielle de l’information [**expurgé**].
Pour sa part, le SCRS n’a réalisé aucune évaluation préliminaire de l’ensemble de données, puisqu’il n’y avait pas accès. [**expurgé**] disait [**expurgé**] probablement été « volées ». Or, aucune analyse ne s’est penchée ni sur l’incidence de la collecte sur la vie privée ni sur la question à savoir si la collecte de l’ensemble de données au titre de l’article 12 aurait pu nécessiter la délivrance d’un mandat.
Au moment de collecter l’information, le SCRS a analysé l’ensemble de données. Or, il convient de rappeler que cette intervention se résume à une exploitation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.
[**expurgé**] la Direction de la gestion et de l’exploitation des données a fait appel [**expurgé**] pour en savoir davantage quant à la conservation de l’ensemble de données par rapport aux exigences de la politique.
[**expurgé**] ». Or, cette déclaration prend le contrepied de l’évaluation que le SCRS avait lui-même faite de l’ensemble de données, laquelle indiquait que [traduction] [**expurgé**] ». Ensuite, il justifie la conservation en notant que [traduction] [**expurgé**].
Il suffit de consulter un dictionnaire pour constater que les mots « strictement nécessaire » énoncés à l’article 12 de la Loi sur le SCRS disent que l’information doit être « absolument » « indispensable ». Toutefois, dans sa justification, le SCRS n’a pas montré de quelle façon l’information contenue dans l’ensemble de données s’avérait indispensable à son enquête. On offre plutôt un argument du type « au cas où » qui signifie qu’il est important de conserver l’information dans la mesure où elle pourrait éventuellement servir à effectuer des analyses de tendance en matière de ciblage. En définitive, cette justification peut très bien répondre à un critère de type « pourrait probablement aider », mais ne répond absolument pas au critère de la mesure strictement nécessaire.
Le SCRS a avisé l’OSSNR que [**expurgé**] aucune décision n’avait été prise concernant la conservation de l’ensemble de données. L’OSSNR a également appris que s’il advenait qu’un autre ensemble de données pertinent ou de l’information connexe devaient se présenter, [**expurgé**]. L’ensemble de données est actuellement enregistré dans un lecteur réseau partagé dont l’accès est contrôlé. Toutefois, aucune mesure n’a été mise en place pour empêcher qu’il soit copié ou déplacé vers un autre emplacement.
Recommandation no 12 : L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Conclusion
Dans la version classifiée de son Rapport annuel destiné au Ministre, le SCRS a indiqué ce qui suit : « Les obstacles relatifs tant aux demandes habituelles qu’aux demandes présentées en situation d’urgence mènent à une conclusion claire : le régime sous sa forme actuelle ne permet pas de gérer, dans toute sa diversité, la quantité de données nécessaires à l’établissement d’un programme d’analyse rigoureux et durable dans le respect des mesures de contrôle et de surveillance prévues par le législateur. »
Ayant pris une part considérable dans l’élaboration du régime, le SCRS était bien placé pour élaborer les politiques et les procédures appelées à régir la collecte, l’évaluation, l’interrogation, l’exploitation et la vérification des ensembles de données. Or, l’OSSNR s’attendait à trouver une application du régime des ensembles de données qui soit mieux établie et plus conforme.
Tel qu’il a été indiqué dans le présent rapport, le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. Certes, le régime est complexe, mais le SCRS n’a pas cherché à apporter des éclaircissements quant aux ambiguïtés juridiques [**expurgé**] de l’application du régime à la Cour lorsqu’il en a eu l’occasion. En l’occurrence, le SCRS a adopté divers points de vue quant à l’application du régime des ensembles de données, risquant ainsi de réduire à un simple mécanisme de conservation ce qui en réalité constitue un régime de collecte et de conservation. En interne, le SCRS n’a pas consacré suffisamment de ressources pour garantir la conformité aux dispositions du régime. Ce constat est en outre des incidents de conformité signalés dans le présent rapport et prend en compte les lacunes sur le plan des systèmes et le manque d’experts consacrés au traitement et à l’exploitation des volumes massifs de données. Le SCRS n’a pas non plus été en mesure d’affecter des ressources adéquates aux formations destinées à ses employés pour les sensibiliser aux exigences découlant du régime. Sans une formation appropriée et en l’absence d’un engagement interne à fournir les ressources et le soutien nécessaires, l’instauration d’un nouveau régime, y compris celui qui nous concerne ici, sera vouée à l’échec même si d’aucuns l’estiment parfaitement adapté aux circonstances.
Recommandation no 13 : L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.
ANNEXE A : Considérations d’ordre technique liées au cycle de vie des ensembles de données canadiens et étrangers
La présente annexe décrit les processus techniques et les systèmes investis dans l’identification, la collecte, l’évaluation, la conservation, l’interrogation, l’exploitation, l’ingestion et la destruction des ensembles de données au titre de l’article 11.01. De fait, le SCRS a recours à des processus et à des systèmes semblables pour tous les ensembles de données canadiens et étrangers. La description des processus techniques et systèmes que nous présentons ci-après et qui a trait au cycle de vie des ensembles de données au titre de l’article 11.01 s’inspire des séances d’information offertes par le SCRS le 12 mai 2022 et le 3 octobre 2022116, d’une démonstration technique présentée le 1er novembre 2022 ainsi que de l’ensemble des politiques régissant la collecte, l’évaluation et la conservation des ensembles de données au titre de l’article 11.01. En outre, la présente annexe a pour objet de présenter les processus et les systèmes qui ont été employés jusqu’à la fin de la période visée par le présent examen.
Comme la notion d’ensemble de données est définie à l’article 2 de la Loi sur le SCRS comme étant un « ensemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun », on ne peut que conclure que la portée et l’étendue de ce qui constitue un « ensemble de données » sont considérables. Certains des défis techniques que le SCRS a rencontrés relativement aux ensembles de données tiennent à la diversité des types de données [**expurgé**] et des volumes de fichiers [**expurgé**] qui composent un « ensemble de données ».
Le SCRS reconnaît que [traduction] « même s’ils sont complets, ces systèmes complexes posent certains risques résiduels. En outre, ils sont exploités manuellement, ils sont exigeants en termes de ressources et ils peuvent produire des erreurs. Par conséquent, ils reflètent la complexité du régime des ensembles de données et offrent peu sur le plan de la résilience et de l’adaptabilité ».
Reconnaissance et collecte
Les ensembles de données au titre de l’article 11.01 peuvent être reconnus et recueillis de diverses façons. Par exemple, les employés du Service peuvent recevoir des ensembles de données de la part de partenaires nationaux et internationaux ou d’informateurs dans des courriels, dans des clés USB, dans des disques durs externes ou dans d’autres supports de stockage de données. Les employés du SCRS peuvent [**expurgé**] tomber sur un ensemble de données pendant qu’ils font des recherches dans l’Internet [**expurgé**]. Ces divers processus impliquent une multiplicité de processus techniques et de systèmes dépendamment des moyens ayant permis la reconnaissance et la collecte des ensembles de données, de l’emplacement de ces ensembles, et des personnes dont les renseignements figurent dans les ensembles en question.
Évaluation
La DMEX a centralisé le processus d’évaluation des ensembles de données au titre de l’article 11.01. En outre, l’un des employés désignés de la DMEX doit évaluer l’ensemble de données dans les 90 jours de la collecte initiale. Pendant ces 90 jours, un employé désigné doit établir si l’ensemble de données répond aux critères de conservation s’appliquant aux ensembles de données canadiens ou aux ensembles de données étrangers. Les processus techniques et les systèmes impliqués dans la phase d’évaluation peuvent varier en fonction du format, de la taille et de l’emplacement de l’ensemble de données.[**expurgé**] Chaque ensemble de données doit être évalué au moyen de techniques et d’outils adaptés à ces caractéristiques. Lorsque le SCRS collecte plusieurs versions d’un même ensemble de données, la DMEX doit veiller à ce que toutes les autres copies de l’ensemble de données aient été supprimées des systèmes du Service.
Lorsque le résultat d’évaluation incite la DMEX à tenter de conserver un ensemble de données canadien ou étranger, le SCRS doit soumettre une demande d’approbation et une demande d’autorisation123. Les systèmes et les programmes employés pour préparer le matériel qu’il faut soumettre aux fins d’approbation et d’autorisation donnent souvent lieu à la création d’une documentation substantielle (p. ex. mémoires, notes d’information et affidavits préparés à l’aide des logiciels Word ou Excel de Microsoft) qui sert à décrire les ensembles de données. Dans certains cas, les copies ou les sous-ensembles d’information issus des ensembles de données sont inclus dans le matériel soumis pour approbation et pour autorisation.
Pour gérer et suivre le processus d’évaluation d’un ensemble de données, [**expurgé**], un système d’enregistrement et de suivi des demandes (tickets). Pour chacun des ensembles de données évalués, la DMEX [**expurgé**].
Conservation et ingestion
Une fois que la conservation d’un ensemble de données canadien ou étranger a été approuvée, cet ensemble est ingéré dans le [**expurgé**], le dont le SCRS [**expurgé**]. au SCRS de stocker et combiner ses informations opérationnelles et ses ensembles de données, d’appliquer des contrôles de l’accès à ces informations et d’exécuter toutes les tâches de journalisation de sécurité requises.
L’accès à l’information ingérée [**expurgé**] est contrôlé au moyen d’attributs qui établissent des liens entre ladite information et [**expurgé**] du SCRS. [**expurgé**] pour les employés désignés qui évaluent un ensemble de données et [**expurgé**] pour les employés désignés appelés à interroger et à exploiter les ensembles de données conservés. Nul autre employé ne peut accéder aux ensembles de données.
Lorsque des employés accèdent aux ensembles de données, le SCRS emploie [**expurgé**] pour collecter et indexer de l’information sur les tâches qu’ils exécutent. Le SCRS [**expurgé**].
Interrogation et exploitation
[**figure expurgée**]
Figure 1: Logique des [**expurgé**] pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens
Seuls les employés désignés peuvent interroger et exploiter les ensembles de données canadiens ou étrangers, et la DMEX a centralisé ces processus. Lorsqu’il souhaite interroger un ensemble de données au titre de l’article 11.01 en guise d’appui à une enquête, l’employé du Service doit soumettre à la DMEX [**expurgé**]. Parallèlement à cette demande, [**expurgé**]. L’information fournie dans chacun des [**expurgé**] sert notamment à choisir la justification qui s’impose lorsqu’un analyste désigné de la DMEX applique les mesures d’interrogation ou d’exploitation par l’intermédiaire [**expurgé**].
Lorsque l’analyste de la DMEX trouve des résultats à la suite des interrogations ou des exploitations, il enregistre [**expurgé**]. Il doit ensuite prendre contact, [**expurgé**]. Cette série de procédures manuelles crée plusieurs copies de données brutes provenant des ensembles de données, lesquelles copies peuvent être conservées accidentellement sur le poste de travail d’un employé du Service ou dans l’un de ses courriels envoyés ou reçus.
Les données sont cloisonnées (art. 12, art. 15, art. 16, art. 17) selon [**expurgé**] de l’enquête et conservées conformément aux règles correspondantes du [**expurgé**].
[**expurgé**], le registre organisationnel du SCRS. Cette démarche mène de nouveau à la duplication, dans l’écosystème du SCRS, de données brutes provenant d’ensembles de données au titre de l’article 11.01.
Destruction
Lorsqu’ils sont initialement ingérés dans [**expurgé**] les ensembles de données sont assujettis à une période de conservation établie selon que ces ensembles de données sont canadiens ou étrangers. Une fois que la période de conservation est échue, [**expurgé**].
ANNEXE B : Séances d’information et entrevues
| Date | Sujet |
|---|---|
| Séance d’information | |
| 17 février 2021 | Ensembles de données accessibles au public. |
| 9 septembre 2021 | Ensembles de données étrangers. |
| 22 avril 2022 | Régime des ensembles de données du SCRS. |
| 12 mai 2022 | [**expurgé**] l’évaluation, l’interrogation, l’exploitation et la conservation des ensembles de données canadiens et étrangers ainsi qu’à la production de rapports connexes. |
| 3 octobre 2022 | [**expurgé**] |
| 1er novembre 2022 | Démonstration technique sur les systèmes liés aux ensembles de données. |
| [**expurgé**] | Séance d’information sur une étude de cas. |
| 6 juin 2023 | [**expurgé**] |
| Entrevue | |
| 18 août 2022 | Ensemble de données canadien. |
| 6 septembre 2022 | Ensemble de données canadien. |
| 14 octobre 2022 | Ensemble de données canadien. |
| 21 octobre 2022 | Ensemble de données canadien. |
ANNEXE C : Conclusions et recommandations
| Conclusion no1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif. | Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données. |
| Conclusion no2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données. | |
| Conclusion no3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données. | |
| Conclusion no4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12. | Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire. |
| Conclusion no 5 : L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS). | Recommandation no 3 : L’OSSNR recommande que le législateur légifère sur un délai prescrit pour l’autorisation d’un ensemble de données étranger par le Ministre ou la personne désignée. |
| Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée. | Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. |
| Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données. | Recommandation no 5 : L’OSSNR
recommande que le SCRS élabore :
|
| Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données. | |
| Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service. | Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel. |
| Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données. | Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. |
| Finding 11: L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN (2017), en juillet 2019. | |
| Finding 12: L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur. | Recommendation 8: L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme. |
| Finding 13: L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation. | Recommendation 9: L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant. |
| Finding 14: L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données. | |
| Finding 15: L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. | Recommendation 10: L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. |
| Finding 16: L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données. | Recommendation 11: L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter. |
| Finding 17: L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires. | Recommendation 12: L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. |
| Recommendation 13: L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale. | |
