Date de publication :

Sigles et acronymes

COA	Cyberopération active
DIIPE	Demande d’information issue de pistes d’enquête
Loi sur le CST	Loi sur le Centre de la sécurité des télécommunications
SCRS	Service canadien du renseignement de sécurité
Loi sur le SCRS	Loi sur le Service canadien du renseignement de securite
MJ	Ministère de la Justice
FILGI	Informations sur la génération de pistes de renseignement étranger
GC	Gouvernement du Canada
HUMINT	Renseignement d’origine humaine (Human Intelligence)
IP	Protocole Internet (Internet Protocol)
IRD	Exigence en matière de renseignement (Intelligence Requirement Disclosure)
LDN	Loi sur la défense nationale
BCCST	Bureau du commissaire du Centre de la sécurité des télécommunications
DA	Demande d'assistance
SIGINT	Renseignement électromagnétique (Signals Intelligence)

SOMMAIRE

Le Centre de la sécurité des télécommunications (CST) et le Service canadien du renseignement de sécurité (SCRS) sont deux des principaux piliers des activités de collecte de renseignement au Canada. Par conséquent, une collaboration efficace entre les deux organismes est essentielle pour assurer la sécurité nationale. Il importe de se montrer apte à envisager les activités des deux organismes comme allant de pair, même s’il existe une différence fondamentale entre le mandat du SCRS, lequel autorise la collecte et l’échange d’information sur les Canadiens, et le mandat du CST, qui interdit de diriger des activités vers des Canadiens.

Les organismes predecesseurs de l'OSSNR ne disposaient pas d'un mandat leur permettant de proceder a des examens touchant plusieurs ministeres. Le present rapport fait suite au premier examen portant s.ur la collaboration entre le CST et le SCRS a donner acces a l'information des deux organismes et a permettre l'examen d'un echantillon d'echanges d'information et d'activites operationnelles menees conjointement par ces deux entites. En outre, l'examen a permis d'analyser de l'information concernant la collaboration entre le CST et le SCRS relativement aux mesures de reduction de la menace (MRM) du SCRS. Ainsi, en realisant le present examen, l'OSSNR a repondu a son obligation de faire rapport annuellement sur un aspect des MRM du SCRS, conformement aux dispositions du paragraphe 8(2) de la Loi sur l'Office de surveillance en matiere de securite nationale et de renseignement. Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement to review an aspect of CSIS’s TRMs.

Collaboration opérationnelle

Demande d'assistance du SCRS

CSE executes CSIS RFAs under the assistance aspect of its mandate provided by section 20 of the Loi sur le Centre de la sécurité des télécommunications (CSE Act). NSIRA found a lack of information sharing and proactive planning on behalf of CSE and CSIS and recommended some procedural changes to improve information flow, transparency, and accountability of CSE’s execution of CSIS’s authorities and powers.

Opérations conjointes

C’est dans le cadre d’opérations conjointes que les ministères travaillent de concert contre les menaces communes au titre de leurs mandats respectifs et des autorisations législatives qui en découlent. Toutefois, il faut tenir compte d’une nette distinction entre le mandat du SCRS, lequel autorise la collecte d’information sur les Canadiens, et le mandat du CST, à qui il est interdit d’exercer des activités qui visent des Canadiens en vertu du paragraphe 22(1) de la Loi sur le CST. L’OSSNR a constaté que le CST avait omis de prendre en compte et d’atténuer le risque élevé de ciblage de Canadiens lorsqu’il travaille avec le SCRS. Ainsi, l’OSSNR a recommandé que les deux organismes s’engagent dans une collaboration accrue lorsqu’il s’agit de planifier les opérations conjointes, et que le CST réalise des évaluations des risques et de l’extranéité qui se concentrent davantage sur le respect des dispositions lui interdisant de cibler des Canadiens lorsqu’il collabore avec le SCRS.

Échanges d’information

Pistes fournies par le SCRS

Le SCRS a recours aux messages contenant des pistes fournies par le SCRS (PFS) pour communiquer de l’information que le CST pourrait juger pertinente aux fins de ses activités de renseignement étranger. Ces messages contiennent un vaste éventail d’information, notamment de l’information au sujet de Canadiens, et il arrive que le SCRS formule une demande d’intervention dans la foulée de la communication d’information. L’OSSNR a constaté que le processus faisant appel aux PFS ne disposait pas de structures de gouvernance et de responsabilisation adéquates, ce qui crée le risque que le CST en arrive à faire du rétrociblage. Le rétrociblage est le moyen par lequel le CST exerce des activités d’enquête SIGINT sur une cible étrangère dans le but d’obtenir de l’information sur un Canadien qui est en contact avec cette cible étrangère, ce qui revient à mener des activités qui ciblent des Canadiens. L’OSSNR recommande que les deux organismes mettent en place des politiques, des procédures ainsi que des formations destinées aux analystes de sorte à normaliser les mesures de communication et de réception des PFS. L’OSSNR recommande également que le SCRS cesse de formuler des demandes ayant trait à des Canadiens par l’intermédiaire du processus faisant appel aux PFS.

Furthermore, NSIRA found that CSE’s application of incidental collection provisions may not be appropriate in situations where CSE knows there is a Canadian nexus to the foreign intelligence lead, and where it knows it is likely to collect Canadian information in pursuing the lead. NSIRA recommended that CSE reconsider how it manages the collection, retention, and reporting of specific Canadian information when it has advance knowledge of this information, given the protections of the Charte canadienne des droits et libertés.

NSIRA found one case of non-compliance with the law further to a CLI. In this case, CSIS sent CSE a CLI accompanied by [**redacted**] of a Canadian’s device. CSE analyzed [**redacted**] of the device, with the intent to obtain foreign intelligence information from it. NSIRA found this contravened CSE’s prohibition against directing its activities at Canadians and recommended that CSE clearly articulate in its policy that conducting analysis on Canadian information to identify information of foreign intelligence value is prohibited.

Soucie externe des rapports exceptionnels

Dans le cas de la boucle des rapports exceptionnels, le CST sert de vecteur entre les partenaires étrangers et le SCRS pour ce qui a trait à l'acheminement de rapports SIGINT venant d'organismes étrangers ayant directement ciblé des Canadiens. Certains de ces rapports reviennent pour être ainsi récupérés par le CST au titre du volet « renseignement étranger » de son mandat. Le CST utilise l'intégralité du rapport, plutôt que d'utiliser uniquement l'information ayant une valeur de renseignement étranger. Ainsi, l'OSSNR a constaté que cette pratique était non conforme à la loi compte tenu du fait qu'il est interdit au CST de diriger ses activités vers des Canadiens. L'OSSNR a recommandé que le SCRS ne communique et que le CST n'utilise que les pistes contenues dans les rapport qui ont trait uniquement aux entités étrangères.

L'outil de protection de l'entité

Pour ce qui concerne le processus des PFS et la boucle des rapports exceptionnels, le CST possède, dans sa base de données de ciblage, l'outil de protection de l'entité pouvant être appliqué aux identifiants canadiens. En outre, cet outil permet de prévenir le ciblage de l'identifiant qui pourrait survenir ultérieurement. Or, l'OSSNR a constaté que cet outil n'était pas systématiquement employé et a recommandé de codifier son utilisation dans le texte d'une politique.

Mesures de réduction de la menace

Le SCRS consulte fréquemment le CST avant d'appliquer des mesures de réduction de la menace (MRM), comme l'exige le paragraphe 12.1(3) de la Loi sur le SCRS. Ce type de consultation a lieu pendant les étapes de planification générale et d'approbation d'une MRM. Or, l'OSSNR a appris que le CST avait exprimé une préférence pour une consultation plus détaillée devant avoir lieu plus tard, pendant le processus de MRM, consultation que le SCRS n'a pourtant pas engagée. Ainsi, l'OSSNR a recommandé que le SCRS mène ce type de consultation détaillée.

L'OSSNR a aussi examiné une situation où une MRM du SCRS était appelée à servir de complément à une cyberopération active (COA) du CST. L'OSSNR a constaté que le CST n'avait pas avisé le SCRS suffisamment rapidement au sujet d'un incident relatif à la conformité en lien avec sa COA. L'OSSNR a recommandé ce qui suit : lorsqu'il relève des incidents de non-conformité qui se produisent dans le cadre de ses propres activités et que celles-ci débordent dans la sphère des MRM, le CST devrait en aviser le SCRS.

Relation entre le CST et le SCRS

L’OSSNR a constaté que dans une opération, le CST n’avait pas coopéré efficacement avec le SCRS, ce qui a donné lieu à une occasion ratée de promouvoir, par la collaboration intérieure, les objectifs du Canada en matière de renseignement. Le fait que le CST ne favorise pas suffisamment la collaboration entre partenaires nationaux, comme en témoigne cette opération, est le reflet d’un problème plus répandu. Comme le CST dispose d’une expertise technique unique, sa prédisposition à travailler avec ses partenaires nationaux constituerait un facteur essentiel pour la réussite des activités canadiennes. Si le CST ne tient pas effectivement compte de l’ampleur du rendement opérationnel dont le Canada pourrait bénéficier grâce aux possibilités de collaboration entre partenaires nationaux, le Canada risque de passer à côté d’occasions de répondre aux objectifs en matière de renseignement.

INTRODUCTION

Fondements législatifs

This review was conducted under the authority of section 8(1)(a) and section 8(2) of the Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement. This review satisfies NSIRA’s annual legislative requirement to review an aspect of CSIS’s performance of its Threat Reduction Measures (TRMs).

Portée de l’examen

This review considered operational collaboration between the Communications Security Establishment (CSE) and the Canadian Security Intelligence Service (CSIS). Unless otherwise specified, CSE’s reviewed activities were conducted under the foreign intelligence authorities found at section 16 of the Loi sur le Centre de la sécurité des télécommunications (CSE Act) and associated Ministerial Authorizations.

L’OSSNR a cherché à comprendre comment et en quelles circonstances le CST et le SCRS collaboraient. Pour ce faire, l’OSSNR a examiné deux des principales méthodes de collaboration s’appliquant au contexte des opérations : la collaboration au titre du volet « assistance » du mandat du CST et la collaboration que les deux organismes ont apportée au titre de leurs mandats respectifs. De plus, l’OSSNR a examiné deux types d’échange d’information : les pistes fournies par le SCRS (PFS) et la communication de rapports exceptionnels. Par ailleurs, l’OSSNR a évalué nombre d’éléments, notamment les structures de gouvernance et la conformité à la loi.

L’OSSNR a également examiné la collaboration entre les organismes dans le contexte de la prise de MRM par le SCRS. En outre, l’OSSNR s’est penché sur les consultations que le SCRS a tenues avec le CST dans le cadre du régime des MRM, de même que sur un cas où une MRM du SCRS a servi de complément à une cyberopération active (COA) menée par le CST.

Enfin, l’OSSNR s’est basé sur l’information recueillie pendant le déroulement de l’examen pour formuler des commentaires sur le lien de collaboration entre le CST et le SCRS.

La période visée par le présent examen s’étend du $1^{er}$ janvier 2016 au 30 septembre 2021, bien que des informations produites avant ou après cette période puissent avoir été prises en compte.

Méthodologie

Tout au long du présent examen, l’OSSNR a eu recours à un vaste éventail de méthodes, notamment l’analyse de documents, les exposés et les démonstrations techniques, les accès directs et indirects aux systèmes et registres, et les entrevues avec certains employés du CST et du SCRS.

Énoncés généraux

L'OSSNR constate que dans !'ensemble, ses atterites sur le plan de la reactivite du CST en cours d'examen n'ont pas ete satisfaites. Le CST a tarde a repondre aux demandes d'information de l'OSSNR et a remis en question l'acces de l'OSSNR a !'information. Le CST a apporte des ameliorations dans les dernieres e'tapes de !'examen, en favorisant la participation franche et ouverte du personnel operationnel du CST. not met. CSE delayed responding to NSIRA information requests and challenged NSIRA’s access to information. CSE made improvements in the review’s final stages including by facilitating candid and open participation of CSE operational staff.

NSIRA found that the requirements for the verification of requested CSE information for this review were partially met. CSE facilitated technical verification sessions for NSIRA staff, with the ability to test information and statements provided over the course of the review in certain CSE repositories and systems. While NSIRA was satisfied with CSE’s facilitation of the verification exercise, some of the results of the queries performed by NSIRA did not align with the information provided by CSE.

NSIRA found that overall, its expectations for responsiveness by CSIS during this review were met. While there were some delays with CSIS’s provision of information, CSIS liaison representatives and all operational staff with whom NSIRA engaged were professional, candid, and transparent. CSIS often proactively provided relevant information that allowed NSIRA to obtain the facts and contextual information it needed to support its review.

NSIRA found that the requirements for the verification of requested CSIS information for this review were met. NSIRA had direct access to CSIS systems and repositories, and, therefore, was able to corroborate information in real time. As well, documentation within repositories supported statements made to NSIRA by CSIS staff in briefings and interviews.

CONTEXTE

Les organismes prédécesseurs de l’OSSNR ne disposaient pas d’un mandat leur permettant de procéder à des examens touchant plusieurs ministères. Le présent examen portant sur la collaboration entre le CST et le SCRS est donc le premier à ouvrir l’accès à l’information des deux organismes, permettant ainsi d’analyser ladite collaboration depuis la perspective de l’un et de l’autre. Il s’agit également du premier examen de la collaboration entre le CST et le SCRS en dehors du contexte du volet assistance du CST. En l’occurrence, l’examen a porté sur la collaboration dans le contexte d’opérations où le CST et le SCRS ont coopéré au titre de leurs mandats respectifs.

La possibilité d’aborder les activités des deux organismes hors du contexte du volet assistance est importante, compte tenu des différences fondamentales entre le mandat du SCRS, lequel autorise la collecte et l’échange d’information sur les Canadiens, et le mandat du CST, qui interdit de diriger des activités vers des Canadiens en vertu du paragraphe 22(1) de la Loi sur le CST. Dans le contexte où le CST prête assistance au SCRS en vertu de son mandat d’assistance, ces différences n’ont aucune incidence dans la mesure où ce sont les pouvoirs du SCRS qui s’appliquent. Toutefois, il est clair que lesdites différences ont une incidence sur d’autres aspects de la collaboration opérationnelle. Ainsi, le présent examen a été le premier à évaluer les importants risques en matière de conformité qui découlent des différences entre le CST et le SCRS sur le plan des pouvoirs et des contraintes.

CONSTATATIONS, ANALYSE ET RECOMMANDATIONS

Collaboration dans le cadre d’opérations

Le CST et le SCRS collaborent en fonction de deux mécanismes : 1) les demandes d’assistance (DA) venant du SCRS, et 2) ce que l’OSSNR appelle les opérations conjointes. L’OSSNR a donc procédé à l’examen approfondi de deux opérations faisant suite à une DA et d’une autre constituant une opération conjointe.

Demande d'assistance

Le volet assistance du mandat du CST est énoncé à l’article 20 de la Loi sur le CST. En vertu de cet article, le CST est autorisé à fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l’application de la loi et de la sécurité, aux Forces canadiennes et au ministère de la Défense nationale. Dans le contexte où l’assistance est accordée, le paragraphe 25(1) de la Loi sur le CST octroie au CST les mêmes pouvoirs que ceux dont jouit l’organisme demandeur d’assistance et assujettit le CST aux mêmes contraintes que celles qui sont imposées à l’organisme demandeur, ce qui inclut les pouvoirs et contraintes énoncés dans les mandats.

La politique du CST régit le volet assistance du mandat du CST. Elle englobe donc l’assistance fournie au SCRS. Cette politique nécessite que le SCRS remplisse un formulaire de DA dans lequel doivent figurer les détails concernant les autorisations légales en vertu desquelles la demande est formulée, notamment les mandats ou d’autres documents faisant état de ces autorisations, ainsi que la portée des activités que l’on demande d’exercer. La politique du CST exige qu’un plan opérationnel soit préparé de sorte à traduire ces demandes en « activités opérationnelles réalisables ».

Constatation 1 : L'OSSNR a constate que le CST ne communiquait pas regulierement ses plans operationnels ni ses evaluations de risques connexes au SCRS lorsqu'il exercait .des activites en vertu des autorisations du SCRS. En l'occurrence, le SCRS pourrait ne pas etre en mesure d'effectuer une evaluation approfondie des activites du CST pour ce qui a trait a la conformite.

According to CSE policy, its operational plans drafted further to an RFA must. consolidate all authorities and stakeholders, define the permissible activities, outline roles and responsibilities, and establish mandatory processes. In practice, these plans contain details of the precise actions CSE will undertake to satisfy the RFA,
and the mechanism by which warrant conditions will be respected. Further, certain operational plans also articulate actions CSIS will take throughout the operation. As part of the planning process, CSE must also assess the risks of the requested activities.

CSE does not routinely provide their operational plans or risk assessments to CSIS. Without access to these documents, CSIS may not be able .to confirm whether CSE actions comply with CSIS authorities as it may not be privy to, or have a record of, the precise actions CSE plans to undertake under the RFA. Furthermore, when operational plans account for activities to be. conducted by CSIS in support of the
assistance, a failure to share this document could culminate in a misunderstanding of roles and responsibilities.

In September 2022, CSIS noted that the current RFA system is often plagued with delays as the departments struggle to determine whether the technology that CSE proposes to use is compatible with the enabling CSIS authority. Sharing proposed CSE operational plans at the outset would serve to bolster CSIS’s understanding of
CSE’s technologies and allow CSIS to comment on the proposed technologies. This may further reduce delays by allowing CSIS to develop precedent on CSE technologies and their relationships to CSIS authorities.

Recommandation 1 : L’OSSNR recommande que le CST communique ses plans opérationnels ainsi que le résultat des évaluations de risques connexes au SCRS avant de s’engager dans les opérations menées suivant les pouvoirs du SCRS.

CASE STUDY: Operation [**redacted**] Warranted Section 12 Investigation

Operation [**expurgé**] (see Annex A), carried out under sections 12 and 21 of the Loi sur le Service canadien du renseignement de securite (CSIS Act), was designed to collect intelligence on [**expurgé**]. After obtaining a Federal Court warrant, CSIS submitted an RFA to CSE to conduct SIGINT collection on the target, [**expurgé**].

Constatation 2 : L’OSSNR a conclu que la collaboration opérationnelle étroite a créé les conditions appropriées pour que le SCRS puisse surveiller les activités d’aide du CST afin d’en assurer la conformité aux conditions du mandat.

The warrants that authorized CSIS [**expurgé**] required that CSIS verify [**expurgé**] before a full collection of information could happen. To conduct [**expurgé**] CSIS has a standard [**expurgé**] collection procedure, [**expurgé**] [**expurgé**] When CSIS has reasonable grounds to believe [**expurgé**] the full collection of information [**expurgé**] can proceed. The warrant requires that this review be conducted by a “designated Service employee.”

In this case, as CSIS’s [**expurgé**] procedure differed from CSE’s standard approach to [**expurgé**], CSE and CSIS engaged in detailed communications so that CSIS could confirm warrant conditions were respected. Further, to fulfill the “designated Service employee” requirement, a CSIS employee physically attended CSE premises to review collected [**expurgé**] and confirm that there were reasonable grounds to believe that [**expurgé**].

Additional in-depth communication and cooperation between operational teams that reinforced compliance was evident. For example, the RFA required that before [**expurgé**] CSE had to obtain written permission from the CSIS designated employee. This practice compelled regular and consistent communication between the two departments that assisted in ensuring warrant conditions were respected.

Recommandation 2 : NSIRA recommends that when CSIS engages CSE for assistance with the execution of warranted powers, a CSIS employee be involved to ensure compliance in CSE’s collection activities until the
request for assistance has terminated.

Constatation 3 : L’OSSNR a constaté que le SCRS avait omis de soumettre en temps opportun une demande d’assistance actualisée au CST, lorsqu’il a cherché à obtenir de nouveaux pouvoirs conférés par mandat.

Constatation 4: L’OSSNR a constaté que le CST et le SCRS ne se s’étaient engagés conjointement dans aucune enquête relativement à un incident de non-conformité ni dans aucune mesure d’évaluation ou de contrôle concernant cet incident.

L’omission de veiller à ce qu’une nouvelle DA soit approuvée lorsqu’un nouveau mandat a été délivré a donné lieu à un incident de non-conformité de la part du CST et à une perte importante sur le plan de la collecte de renseignement pour le SCRS.

CSIS obtained warranted powers on the target valid from [**expurgé**] to [**expurgé**] and then subsequently from [**expurgé**] to [**expurgé**]. After receiving the initial set of warrants, CSIS submitted an RFA to CSE that was valid until the warrants’ expiry on [**expurgé**]. When CSIS obtained the second set of warrants, it failed to provide CSE with an updated RFA until [**expurgé**]. This meant that while a warrant existed for collection on the target, CSE did not have an active RFA in place authorizing it to collect on the target between [**expurgé**] et en [**expurgé**].

CSE experienced a compliance incident with respect to the initial RF A. The CSIS warrants allowed for requests to foreign partners to collect on. the target while they were outside Canada. Such a request was made to [**expurgé**] SIGINT collection agency, [**expurgé**] CSE explained that despite having submitted a request to cease collection at the expiry of the first set of warrants, [**expurgé**] tools used for this collection at the time were experiencing technical issues that it suspects caused the incident.

While a valid warrant existed at the time of [**expurgé**] collection, as an RFA was not in place to cover these dates, CSE submitted a request to have the collected information purged from relevant systems, with a CSIS employee copied on the correspondence. According to CSE, this was the only means by which CSIS was informed of the incident and CSE’s response. CSIS indicated that it had no record of any compliance incidents on the file and that no evidence exists that any investigation of the compliance incident took place independently by CSIS or concurrently between CSIS and CSE.

Recommandation 3 : L’OSSNR recommande que le SCRS adopte un processus faisant en sorte que les demandes d’assistance qui sont requises soient soumises au CST le plus tôt possible dès lors que les pouvoirs conférés par mandat ont été acquis.

Recommandation 4 : NSIRA recommends that when working under a
request for assistance CSIS and CSE develop a framework for joint
investigation of potential compliance incidents.

CASE STUDY: Operation [**expurgé**] Warranted Section 16 Operation

Operation [**expurgé**] (see Annex A) was carried out under section 16 of the CSIS Act After obtaining a Federal Court warrant, CSIS submitted an RFA to CSE, [**expurgé**]

Constatation 5 : L’OSSNR a constaté que le CST et le SCRS n’avaient pas mis en place un cadre opérationnel efficace devant s’appliquer à leurs activités de collecte. Cette absence de cadre a donné lieu à deux occurrences de non-conformité aux directives de la Cour fédérale.

The Federal Court authorized [**expurgé**] warrant [**expurgé**] the Federal Court authorized the operation with the direction that [**expurgé**] it was permitted to ask permission [**expurgé**]. However, [**expurgé**] not permitted [**expurgé**]

However, on two occasions, [**expurgé**] leading to compliance incidents with the CSIS warrant. These incidents can largely be attributed to a disconnect in CSE and CSIS’s understanding of the authority granted by the Federal Court. These compliance incidents have been briefed to the Federal Court.

The issues underpinning the compliance incidents began in [**expurgé**]. CSIS informed the Court [**expurgé**]. CSE misunderstood this to mean[**expurgé**] now permitted to [**expurgé**] for its own [**expurgé**] intelligence purposes. CSE communicated this [**expurgé**] without CSIS’s knowledge. CSIS understood correctly that this new process had no impact on [**expurgé**] for its own [**expurgé**] intelligence mandate.

Pendant pres de [**expurgé**] aucun des organismes n'a releve cet ecart sur le plan de l'interpretation. Ce n'est qu'en [**expurgé**], lorsque le CST a mis a la disposition du SCRS le resume [**expurgé**] que le Service a compris que le CST exercait ses activites malgre une mauvaise comprehension des pouvoirs applicables. [**expurgé**]. It was not until [**expurgé**], when CSE shared with CSIS a summary of [**expurgé**] that CSIS realized CSE was operating under a false understanding of the authorities.

During the period under review, the only materials to govern [**expurgé**] were the initial RFA seeking CSE’s assistance, a [**expurgé**] CSE operational plan, [**expurgé**]. CSE’s operational plan was not shared with CSIS and CSIS did not draft any other policy instrument to guide the operation. Further, there was no formal agreement in place between CSE, CSIS, [**expurgé**] setting out the procedures to govern the execution of [**expurgé**].

Absent a written agreement, all practical arrangements concerning this operation were made via correspondence at the working level. With the exception of initial communications in [**expurgé**], working level communications with [**expurgé**] excluded CSIS. CSE managed [**expurgé**], which meant that CSIS was not privy to the majority of the practical conversations that guided exactly how its warrant powers would be executed. Reliance on this ad hoc working [**expurgé**] level correspondence and decision making resulted in knowledge gaps and ultimately non-compliance caused by confusion as the operation evolved.

Given the complexity of this operation [**expurgé**], a written [**expurgé**] agreement coupled with CSIS’s involvement in day-to-day communications [**expurgé**] may have provided an early awareness of, and ultimately guarded against, non-compliance with CSIS’s warranted authorities.

Since the end of the period under review, an agreement between CSE, CSIS, [**expurgé**] to govern [**expurgé**] was in development.

Recommandation 5 : L’OSSNR recommande que le SCRS s’assure que les rôles et les responsabilités sont clairement convenus avant de permettre aux partenaires d’exécuter des mandats. S’il y a lieu, ces ententes devraient être communiquées à la Cour fédérale.

Recommandation 6 : L’OSSNR recommande que le SCRS s’assure qu’il participe directement à toutes les communications de fond avec tout partenaire qui exécute activement ses pouvoirs conférés par mandat.

Recommandation no 7 : L’OSSNR recommande que le SCRS communique les paragraphes 32 à 41 du présent examen, ainsi que les recommandations connexes, à la Cour fédérale.

Opérations conjointes

Le CST et le SCRS mènent des opérations conjointes dans le cadre desquelles les deux organismes travaillent en parallèle contre les menaces communes en considération de leurs mandats respectifs et des pouvoirs que chacun exerce en vertu de la loi. Les circonstances entourant les opérations conjointes sont souvent caractérisées par des interdépendances qui ne rendent les opérations possibles que suivant des mesures de collaboration.

CASE STUDY: Operation [**expurgé**]

In operation [**expurgé**] (see Annex A), CSIS wanted to identify [**expurgé**]. To do so, it [**expurgé**].

CSE leveraged the CSIS operation and, using its own foreign intelligence powers, [**expurgé**].

Constatation 6 : L’OSSNR a conclu que le CST et le SCRS ont trouvé une occasion efficace de collaborer dans le cadre de leurs mandats respectifs et de mener une opération qui s’est avérée avantageuse tant pour le Canada que pour ses alliés.

Operation [**expurgé**] proved beneficial for both CSE and CSIS, and represents an example of the departments appropriately identifying an opportunity, and executing an operation, that addressed a common threat actor by applying their own legislative powers in a complementary way. This operation contributed to CSIS’s ability to identify [**expurgé**] and enabled CSE to publish [**expurgé**] intelligence reports concerning the threat. CSE authorized CSIS to undertake [**expurgé**] actions stemming from their intelligence reports, largely consisting of information sharing with foreign partners, further demonstrating the value of the intelligence acquired.

Constatation 7 : L’OSSNR a constaté que le cadre opérationnel du SCRS était satisfaisant, mais que celui du CST ne prévoyait aucune évaluation des risques liés à l’opération sur le plan juridique ou stratégique.

CSIS had a robust governance structure supporting [**expurgé**]. For each round of activity, CSIS had an approved operational plan accompanied by a risk assessment that reflected the specific facts [**expurgé**].

Conversely, CSE used a combination of instruments to govern its participation in [**expurgé**]. Governing the operation was a [**expurgé**] Intelligence Requirement Disclosure (IRD) provided to CSIS, which highlighted CSE’s intent to [**expurgé**]. The IRD did not identify specific targets of interest, but noted that “it is understood that operational plans for each new target(s) would be drafted according to the applicable policies/procedures.”

CSE did not draft new operational plans specific to the activities being performed as part of [**expurgé**]. Rather it relied on an umbrella operational project approval for [**expurgé**]. While CSE developed technical risk mitigation measure for a subset of the rounds it was involved in, it did not have a governing document that assessed overall risk and compliance. No risk assessments were performed and no legal advice was obtained specific to this operation.

While the use of umbrella approvals may be appropriate in some circumstances, in [**expurgé**] it did not allow CSE to properly consider the elevated risk specific to this operation. CSE’s umbrella approval also did not identify mitigation measures to reduce the risk of targeting Canadians, and simply noted “target pursuit will be located outside of Canada,” without specifying measures to ensure this.

CSIS clearly articulated the presence of Canadians in the operation as part of its proposal for the activity to CSE, stating that “the Service is closely monitoring the activities of [**expurgé**] Canadians [**expurgé**]. With this information, it is clear that there was an elevated risk of CSE targeting a Canadian contrary to its prohibition on directing its activities at Canadians, solely through its participation in this operation. Therefore, a specific operational plan and risk assessment would have been appropriate. Instead, the use of its umbrella approval in this case meant that CSE participated in an operation initially designed to identify Canadian threat actors without seeking specific legal or policy advice.

Recommandation no 8 : L’OSSNR recommande que le CST réalise des évaluations des risques pour chaque activité opérationnelle dès lors qu’il s’engage dans des opérations conjointes avec le SCRS. Ces évaluations devraient prendre particulièrement en compte le risque de cibler des Canadiens et devraient prévoir l’application de mesures proactives visant à atténuer ce risque.

Constatation no 8 : L’OSSNR a constaté que le CST et le SCRS n’avaient conjointement préparé aucun document faisant état d’un plan opérationnel ou des conditions de participation ni aucune évaluation des risques.

S’agissant de la collaboration avec le CST ou avec d’autres ministères, le SCRS ne dispose d’aucune politique ni d’aucune procédure qui puissent orienter sa planification opérationnelle ou ses impératifs en matière d’évaluation des risques.

D’un autre côté, la politique du CST nécessite que celui-ci élabore par écrit les conditions de participation, lorsqu’il est appelé à exercer des activités opérationnelles conjointement avec des organismes partenaires. Ces conditions doivent prévoir une évaluation des risques globaux liés à l’opération, un énoncé des rôles et des responsabilités ainsi qu’un aperçu des mécanismes visant à protéger, à communiquer et à divulguer légalement l’information sensible. La politique du CST recommande également que le CST et les ministères partenaires créent des évaluations de risques et des plans opérationnels qui soient collaboratifs plutôt que concurrents. Advenant que ce ne soit pas possible, la politique recommande que les ministères concernés se communiquent leurs évaluations et leurs plans opérationnels respectifs.

There is no evidence that any of the operational procedural documents utilized for [**expurgé**] were exchanged between the two departments, nor any evidence of the terms of engagement required by CSE policy.

The lack of document exchange created a situation that could have resulted in knowledge and awareness gaps. For example, CSE’s technical risk mitigation charts allocated full responsibility to CSIS for [**expurgé**] of the [**expurgé**] measures involved in the operation, and partial responsibility for another [**expurgé**]. No written record exists that CSE informed CSIS of these responsibilities or confirmed CSIS was willing or capable of undertaking the relevant measures.

La réalisation conjointe de la planification et des évaluations de risques — ou du moins, l’échange de ces documents de planification — est importante lorsque le CST et le SCRS coopèrent au titre de leurs mandats respectifs. Compte tenu de la possible hausse des risques cumulatifs dans le cas des opérations impliquant plusieurs ministères qui exercent divers pouvoirs, qui sont assujettis à diverses contraintes et qui exercent des pratiques opérationnelles différentes, il est essentiel que ceux-ci collaborent planifient conjointement et communiquent efficacement les uns avec les autres.

Recommandation no 9 : L’OSSNR recommande que, lorsqu’ils participent à des opérations conjointes, le CST et le SCRS élaborent conjointement ou échangent des conditions d’engagement, des plans opérationnels et des évaluations des risques.

Constatation no 9 : L’OSSNR a constaté que les évaluations de l’extranéité réalisées par le CST ne prenaient pas en compte le risque accru de ciblage de Canadiens lorsque le CST travaillait avec le SCRS.

CSE’s policy requires that a foreignness assessment be conducted to determine that the user of the device at issue is not Canadian or located in Canada. The foreignness assessment must be conducted by CSE personnel responsible for querying or targeting as close to commencing the operation as possible and as required once the activity has been approved. It also notes that the foreignness assessment must meet the threshold of reasonable grounds to believe and must consider the fact that [**expurgé**] may not reflect the foreign status of a target.

Lorsque des évaluations de l’extranéité visent un groupe de personnes, la politique du CST indique que les évaluations devraient veiller, autant que possible, à ce que chaque personne faisant partie du groupe ne soit pas un Canadien et ne se trouve pas au Canada.

For its foreignness assessment in [**expurgé**] CSE explained that it primarily relied on CSIS’s verbal briefing that [**expurgé**] contained a large proportion of [**expurgé**], despite CSIS having advised that Canadians were likely to be found in [**expurgé**]. Beyond this, CSE explained that to assess foreignness, it built filters into [**expurgé**]. As a final step, CSE noted that it monitored collection [**expurgé**] were only [**expurgé**] foreign individuals.

This foreignness assessment performed by CSE in [**expurgé**] cannot be considered to meet its policy requirements. The [**expurgé**] filters applied by CSE, [**expurgé**] do not necessarily reflect nationality or location as noted in CSE’s policy. Further, CS E’s reliance on CSIS’s statement about the composition of [**expurgé**] does not meet the requirement that CSE personnel conduct the assessment to determine that each [**expurgé**] is not Canadian.

The only means of truly assessing foreignness in this operation occurred [**expurgé**] in the final step where CSE reviewed collected information. CSE cannot rely on after the fact foreignness assessments to satisfy its proactive policy obligations.

Recommandation no 10 : L’OSSNR recommande que le CST réalise des évaluations de l’extranéité qui tiennent compte du risque accru de ciblage de Canadiens lorsqu’il travaille avec le SCRS.

Collaboration en matière d’échange d’information

Le présent examen s’est concentré sur deux méthodes d’échange d’information : 1) les messages contenant des pistes d’information et 2) la boucle des rapports exceptionnels. De plus, le présent examen a été l’occasion d’analyser les mesures prises par le CST pour protéger, dans le cadre de ces deux processus, les renseignements concernant des Canadiens.

Messages contenant des pistes

CSIS Lead Information messages (CLls) and Foreign Intelligence Lead Generation Information (FILGls) are the means by which CSIS shares intelligence it believes may be of value to CSE’s foreign intelligence mandate. In addition to providing lead information, CSIS uses these messages to request information from and/or action by
CSE. CLls are generally sent in a [**expurgé**] and FILGls in [**expurgé**] files. For ease of reference, NSIRA will refer to both kinds of messages as CLls.

Ce sont des analystes du SCRS qui envoient directement les PFS à des analystes du CST. Une fois les PFS reçues, le CST détermine comment il réagira au renseignement, notamment, en déterminant s’il y a lieu d’entamer des mesures fondées sur les pistes reçues. Au SCRS, les PFS sont enregistrées dans un seul et même registre organisationnel, alors qu’au CST, ce n’est pas le cas.

L’OSSNR a évalué un échantillon de 25 PFS et a pris connaissance de plusieurs autres PFS, ce qui a permis de confirmer le caractère habituel de ce type d’échange. Le contenu des PFS varie grandement. Certaines ne contenaient que des pistes d’enquête relative à du renseignement étranger sans aucun lien avec des Canadiens, alors que d’autres ne contenaient que de l’information sur des Canadiens ou étaient à l’origine de demandes de renseignement sur des Canadiens.

La Loi sur le SCRS et la Loi sur le CST régissent la communication, l’acquisition et l’utilisation de l’information contenue dans les PFS. Le SCRS communique cette information conformément aux dispositions du paragraphe 19(2) de la Loi sur le SCRS, lesquelles autorisent le Service à communiquer de l’information en vue de l’exercice de fonctions données. L’article 16 de la Loi sur le CST permet au CST de collecter du renseignement étranger grâce à un éventail de sources et de méthodes. En outre, le CST se fonde sur les dispositions de cet article lorsqu’il utilise l’information contenue dans les PFS.

Bien que la loi interdise au CST de diriger ses activités vers des Canadiens, il faut savoir qu’en certaines circonstances, le paragraphe 23(4) de la Loi sur le CST autorise le CST à acquérir incidemment de l’information sur des Canadiens. Une information a été collectée incidemment (ou de manière fortuite) lorsqu’elle n’était pas volontairement recherchée et que la mesure donnant lieu à son acquisition ne ciblait ni un Canadien ni une personne se trouvant au Canada. Tirant parti de cette disposition, le CST est en mesure d’acquérir l’information concernant des Canadiens qui a été communiquée par le SCRS par l’intermédiaire des PFS.

Constatation no 10 : L’OSSNR a conclu que le CST et le SCRS ne disposent pas de politiques, de procédures et de mécanismes de reddition de comptes pour régir les messages d’information du SCRS ainsi que les demandes et les mesures connexes.

Constatation 11 : L’OSSNR a conclu que l’utilisation par le SCRS de messages d’information pour échanger de l’information et faire des demandes au sujet de Canadiens crée un risque élevé de non-conformité pour le CST.

Le SCRS ne dispose pas de politiques, de procédures ou d’autres types de consigne sur lesquels les analystes pourraient s’appuyer pour élaborer et communiquer les PFS au CST.

La politique du CST fournit des consignes générales lorsqu’il s’agit de recevoir les communications venant d’entités du GC. Toutefois, cette politique ne fait pas spécifiquement état des paramètres s’appliquant à la façon de traiter l’information canadienne contenue dans les communications venant du SCRS. En outre, elle ne décrit pas les actions que les analystes du CST peuvent engager relativement à cette information, ne fournit aucune structure normalisée permettant d’orienter le traitement des PFS reçues, et n’exige aucunement de tenir des dossiers sur les activités entreprises à la suite des PFS.

Cette situation est particulièrement problématique dans la mesure où le processus relatif aux PFS est parfois employé par le SCRS dans le but de communiquer ou de réunir des informations concernant des Canadiens, ce qui expose le CST à un risque accru de non-conformité advenant qu’il choisisse d’exploiter les pistes d’information.

Actuellement, chacun des analystes du CST est chargé de déterminer ce qui peut ou ne peut pas être fait de l’information canadienne. En cas de doute, ces analystes sont tenus de prendre les mesures nécessaires pour obtenir des conseils auprès des responsables de l’unité chargée des politiques du CST, lesquels responsables ne disposent pas des politiques sur lesquelles ils pourraient s’appuyer. Ces lacunes créent de l’incohérence et accroissent le risque d’incidents de non-conformité.

Dans deux des PFS examinées par l’OSSNR, le SCRS a fourni au CST des sélecteurs étrangers et des informations concernant des Canadiens se trouvant à l’extérieur du pays. Dans les deux cas, le SCRS cherchait à savoir si le CST était au courant de contacts entre les sélecteurs étrangers et les sélecteurs dont on présumait qu’ils appartenaient aux Canadiens. Dans un cas, le SCRS a également demandé au CST de confirmer si les sélecteurs présumément canadiens appartenaient de facto au Canadien concerné ou s’ils étaient utilisés par celui-ci.

Dans ces cas, l’équipe du CST a correctement reconnu qu’en traitant la demande du SCRS, elle risquait de commettre du rétrociblage où le CST exercerait des activités d’enquête SIGINT sur des cibles étrangères ayant pour effet d’obtenir de l’information concernant un Canadien se trouvant en contact avec ladite cible étrangère. Le CST a admis que ce faisant, il en viendrait à diriger ses activités vers des Canadiens et qu’en conséquence, ces activités contreviendraient à la loi.

The CSE team in these cases sought policy advice. The policy unit responded that the team would be permitted to perform contact chaining analysis on the foreign targets of interest as long as activities ceased if they led to a Canadian. This advice relied on the premise that “there is no real intent to gather information about the CDN
contact; merely to gather more Fl on the original valid target.”

CSE did not articulate another legitimate foreign intelligence motive for conducting contact chaining on the foreign selectors. As such, the intent of the proposed activity appears to be to respond to the request in the CLI; namely, to determine contact between the foreign selectors and Canadian selectors. This would have constituted
reverse targeting even if CSE stopped once a Canadian contact was identified.

Lorsque l’OSSNR s’est penché sur la question, le CST a révoqué les deux conseils stratégiques après avoir établi qu’ils étaient fautifs. Le CST a également confirmé qu’aucune activité n’avait été exercée en lien avec les demandes du SCRS.

These cases demonstrate the risk that currently exists with the lack of policies and procedures in place with respect to CLls. Even when analysts properly identified issues and sought advice, the lack of policy and standard operating procedures for managing Canadian information found in CLls could have resulted in non-compliance. CSE needs a policy framework in place with respect to CLls. This framework should outline a structure to respond to CLls that accounts for what CSE analysts can and cannot do with Canadian information, requires appropriate
oversight and properly safeguards against reverse targeting requests. Operating procedures should also require thorough reporting and tracking mechanisms to document exactly how CSE analysts act in response to CLls, as well as their foreign intelligence intent for conducting any follow-on activities.

Recommandation no 11 : L’OSSNR recommande au SCRS de cesser de présenter des demandes d’action ou d’obtention d’autres renseignements au CST concernant des Canadiens ou des personnes au Canada par l’entremise de messages d’information du SCRS.

Recommandation no 12 : L’OSSNR recommande que le SCRS élabore des politiques, des procédures et une formation pour les analystes afin de normaliser la divulgation des messages d’information du SCRS au CST.

Recommandation no 13 : L’OSSNR recommande que le CST élabore des politiques, des procédures et une formation des analystes afin de normaliser l’utilisation des messages d’information du SCRS.

Constatation 12 : NSIRA found that CSE’s application of incidental collection provisions may not be appropriate in situations where CSE knows there is a Canadian nexus to a CSIS foreign intelligence lead, and where it knows it is
likely to collect Canadian information in pursuing the lead.

In a third CLI reviewed by NSIRA, the CSE analyst receiving the CLI did not obtain legal or policy advice prior to taking action on the information disclosed by CSIS. In this case, CSIS provided CSE with a CLI containing [**expurgé**] CSIS also noted that [**expurgé**] believed to be in contact with Canadian [**expurgé**] CSIS requested, via the same CLI, that CSE ask the foreign SIGINT partner to release a report with [**expurgé**] Canadian so that CSIS could make a request to obtain them.

Four days after receiving the disclosure, CSE generated an intelligence report in response to the CLI which noted that [**expurgé**] in the CLI [**expurgé**] in contact with [**expurgé**] Canadien [**expurgé**]. CSIS obtained [**expurgé**] Canadien [**expurgé**] by submitting a request for disclosure of Canadian identifying information. The report named [**expurgé**] and identified [**expurgé**] contact events. The report does not include the contents [**expurgé**] Canadien [**expurgé**] et [**expurgé**] This suggests that contact chaining was performed by CSE, potentially for the purposes of identifying [**expurgé**] Canadien [**expurgé**].

While directing activities against [**expurgé**] would have been permissible under the foreign intelligence mandate, any attempts to specifically identify the Canadian [**expurgé**] known to be in contact with would amount to reverse targeting, as discussed above. CSE advised that their activity pursuant to the CLI was entirely focused on [**expurgé**] with the intent of [**expurgé**] that the discovery of the Canadian information was incidental. However, the report’s focus on the Canadian contact events with no additional foreign intelligence calls this explanation into question and suggests reverse targeting may have taken place. Absent a formal tracking system that documents CSE analyst actions and supporting rationale in response to CLls CSE cannot demonstrate no reverse targeting took place and NSIRA cannot confirm the rationale for the CSE activity.

CSE’s incidental collection provisions may be insufficient to manage the collection, retention, and reporting of Canadian information in similar scenarios. Incidental collection occurs when the Canadian information was not deliberately sought and the information acquisition activity was not directed at the Canadian or person in Canada. These provisions are most often used by CSE when, in the process of conducting foreign intelligence activities, it discovers specific Canadian information or information about Canadians that was previously unknown. In some CLls, CSIS shares a foreign intelligence lead with CSE and may highlight a distinct Canadian
link. When CSE pursues this lead, the Canadian information may not be deliberately sought but CSE is aware of its existence. It is, therefore, insufficient to treat the use, retention, and reporting of this Canadian information in the same manner. This is particularly true when CSE is alerted to the existence of the Canadian information by
CSIS, and reports the Canadian information back to CSIS, which would otherwise generally require a warrant to collect Canadian information of the same nature.

Le CST a besoin d’un régime qui lui permette de mener des activités de renseignement étranger légitimes à la suite d’une PFS, et ce, de façon à protéger les renseignements déjà connus sur un Canadien. Sinon, le CST et le SCRS courent le risque de collaborer en vue de collecter des renseignements qu’ils n’auraient normalement pas la permission de recueillir en vertu de leurs mandats respectifs et qui sont protégés par les dispositions de la Charte canadienne des droits et libertés.

Recommandation no 14 : NSIRA recommends that CSE develop a regime for collecting, retaining, and reporting to CSIS Canadian information it uncovers further to legitimate foreign intelligence activities where it has
advance knowledge of the Canadian information.

CASE STUDY: Non-Compliance with the Law – CSE Analyzes [**expurgé**] of a Canadian’s Device

Finding 13: NSIRA found that CSE did not comply with section 22(1) of the CSE Act when it analyzed [**expurgé**] of a Canadian’s device obtained through a CSIS lead information message.

In one case reviewed by NSIRA, CSIS sent a CLI to CSE that contained [**expurgé**] of the contents of a Canadian’s [**expurgé**] device. The Canadian was the subject of a CSIS warrant and had been [**expurgé**] authorities due to [**expurgé**] involvement in [**expurgé**] activities. [**expurgé**] of the individual’s [**expurgé**] and shared it with CSIS, which in turned shared it with CSE via a CLI.

The CLI indicated the individual’s [**expurgé**] The CLI further explained how CSIS acquired [**expurgé**] of the device, indicated that the individual was currently the subject of CSIS investigation, and stated that [**expurgé**] of the individual’s device was being provided for “analytic and lead generation purposes”.

CSE relied on its foreign intelligence mandate to ingest the CLI and [**expurgé**] of the Canadian’s device and to analyze the information found within. The analysis did not yield anything of foreign intelligence value and CSE subsequently deleted the data.

As CSE’s prohibition against directing its activities at Canadians applies in this case, CSE provided two arguments to NSIRA to justify analyzing the information despite [**expurgé**] originating from a Canadian’s device. First, it noted that had been lawfully obtained by CSIS, stating that [**expurgé**] … it received [**expurgé**] of the content of the device, that was legally obtained by CSIS and disclosed to CSE.” Second, CSE stated that it analyzed [**expurgé**] of the device in order to identify information of foreign intelligence interest and the Canadian information found in the device was incidental.

La politique du CST précise que pour respecter l’interdiction de viser des Canadiens, les activités de renseignement étranger doivent être dirigées vers des personnes ou des entités étrangères se trouvant à l’extérieur du Canada. Elle ajoute que l’analyse et l’évaluation des données ayant une valeur de renseignement étranger sont considérées comme étant des activités de production SIGINT, ce qui confirme que l’analyse opérationnelle ne doit en aucun cas viser des Canadiens ou des personnes se trouvant au Canada. La politique stipule clairement que ces dispositions s’appliquent à l’information collectée par les activités du CST ainsi qu’aux données ou à l’information qu’un ministère du GC communique au CST pour exploitation dans le cadre du volet renseignement étranger du mandat du CST.

Pour ce qui a spécifiquement trait aux communications d’information, la politique du CST indique que [traduction] « lorsque le caractère étranger n’est pas évident dans l’information communiquée (p. ex. lorsque l’information en question concerne un Canadien ou une personne se trouvant au Canada), le CST doit veiller à ce que l’entité à l’origine de la communication explique par écrit en quoi l’information communiquée a une valeur de renseignement étranger ». Comme nous l’avons dit, dans le cas présent, la PFS indiquait seulement que l’information était fournie pour « analyse et production de pistes d’enquête » et n’a rien indiqué quant à sa valeur en matière de renseignement étranger.

L’OSSNR n’a relevé aucune preuve que le CST aurait demandé cette information de la part du SCRS. De plus, l’inclusion générale de l’énoncé [traduction] « lorsque l’information en question concerne un Canadien ou une personne se trouvant au Canada » contredit l’idée selon laquelle l’analyse opérationnelle ne doit en aucun cas viser des Canadiens ou des personnes se trouvant au Canada. Le présent exemple ne devrait pas faire partie de cette section de la politique du CST sans stipuler que l’information doit correspondre aux rares exceptions qui permettent au CST de conserver de l’information sur des Canadiens, comme il est indiqué plus loin.

In this case, CSE conducted SIGINT production activities (specifically, operational analysis) [**expurgé**] of the device. As this device belonged to a Canadian, CSE’s actions were directed at a Canadian. It is irrelevant that the actions were intended to produce information of foreign intelligence interest, or that the information was initially legally obtained by CSIS.

There are two circumstances in which CSE is permitted to acquire and/or use Canadian information under their foreign intelligence mandate. In the first, CSE’s policy, citing section 46 of the CSE Act, permits certain use, analysis, and disclosure of information relating to a Canadian or person in Canada in its possession in
circumstances where there are reasonable grounds to believe that there is imminent danger of death or serious bodily harm to any individual and that the information will be relevant to the imminent danger. CSE did not provide any information to suggest such circumstances applied in this case.

Quant à la seconde situation, elle peut invoquer la collecte fortuite. Toutefois, l’information ne peut pas être considérée comme ayant été collectée de manière fortuite, s’il s’avère que ladite collecte résultait d’une activité qui visait un Canadien. [**expurgé**]

Although legal advice was not sought in relation to [**expurgé**] of the Canadian’s device, [**expurgé**] CSE was not permitted to use [**expurgé**] Canadian’s device as a starting point to identify information of foreign intelligence interest as [**expurgé**] device could reasonably be expected to contain [**expurgé**] information that could not be seen to be incidentally collected.

En reponse aux preoccupations exprimees par l'OSSNR dans le cas present, le CST a declare ce qui suit:

[Traduction] La législation canadienne en matière de sécurité nationale vise notamment à éviter les écarts entre les organismes de sécurité du Canada sur le plan de l’information et à s’assurer que les menaces étrangères et intérieures sont traitées par les organismes compétents de façon cohérente. Le fait que le CST ne soit pas en mesure d’acquérir ou d’utiliser l’information qui a été acquise par le SCRS dans le cadre d’activités légitimes visant un Canadien, mais qui a tout de même une valeur sur le plan du renseignement étranger pourrait causer des lacunes ayant de lourdes répercussions sur la sécurité nationale du Canada.

This response fails to consider the context of this situation. CSE may acquire and use information of foreign intelligence value that has been lawfully obtained by CSIS, even if obtained by CSIS directing its activities at a Canadian, as CSE suggests in the above. The compliance issue in this case was that CSE itself conducted the
analysis on Canadian information (i.e. directing its activities at a Canadian) in order to identify information of foreign intelligence value and attempted to then justify this action as incidental collection. To render this compliant, the analysis of the Canadian information would have needed to be done by CSIS prior to disclosure as opposed to by CSE post-disclosure. This is an important distinction that differentiates this case from legitimate instances of CSE’s analysis of CSIS disclosures.

As articulated in CSE policy, CSIS’s (or other GC departments’) legal authorities to disclose do not create corresponding authorities for CSE to analyze, and CSE’s intent to discover foreign intelligence information does not relieve it of its responsibility to not direct its activities at Canadians. When operating under its foreign intelligence mandate, CSE’s actions further to all CLls must be consistent with its own authorities and applicable restrictions. In this case, CS E’s analysis of [**expurgé**] of the Canadian’s device contravened section 22(1) of the CSE Act.

Further to the above, CSE stated that it “acknowledges the perception of this anomalous activity of receiving a file containing [**expurgé**] of the content of a Canadian’s device [and] has since made a policy decision to not look into this particular kind of file.” CSE did not provide any policy documentation to support this statement.

Recommandation no 15 : L’OSSNR recommande que le CST mette à jour ses politiques afin d’interdire l’analyse de renseignements relatifs à un Canadien ou à une personne au Canada dans le but de cerner des renseignements étrangers.

Boucle des rapports exceptionnels

L’OSSNR a examiné le processus suivant lequel le SCRS reçoit des rapports exceptionnels et les communique au CST. Dans la présente, l’OSSNR désignera ce processus par le terme « boucle des rapports exceptionnels ».

Lorsque des partenaires SIGINT étrangers produisent des rapports découlant du ciblage direct de Canadiens, ces rapports sont désignés par le CST et le SCRS par le terme « rapports exceptionnels ». Le partenariat que forme la Collectivité des cinq fonctionne selon une entente non écrite de longue date voulant que les activités SIGINT exercées par ses membres ne ciblent pas les citoyens des autres États membres. Toutefois, puisque ces États sont souverains, il est entendu qu’ils peuvent exceptionnellement cibler les citoyens d’autres États membres de la Collectivité des cinq, s’il s’agit de réagir à une menace$^7$ en toute urgence. Les rapports exceptionnels qui sont produits en pareille circonstance revêtent un intérêt pour le SCRS dans la mesure où un Canadien est concerné et que, par conséquent, un lien pourrait être établi avec la sécurité du Canada.

Prior to 2014, SIGINT partners shared exceptional reporting directly with CSIS. However, due to [**expurgé**] at CSIS it was determined that under RFA, CSE could act as a conduit between foreign SIGINT partners and CSIS. Under this RFA, known as [**expurgé**] SIGINT partners provide exceptional reports directly to CSE either through CSE’s intelligence reporting software, SLINGSHOT, or via other secure communications methods. CSE then grants CSIS staff access to the exceptional reports within SLINGSHOT. After [**expurgé**] deemed success by the departments, [**expurgé**]

Sous l’effet de DA, le CST a également obtenu l’autorisation d’examiner les rapports en vue d’y trouver des informations relevant de la sphère du renseignement étranger. Le CST peut alors demander que le SCRS lui communique les rapports contenant de l’information ayant une valeur en matière de renseignement étranger. À cette étape du processus, le SCRS agit au titre du paragraphe 19(2) de la Loi sur le SCRS en examinant la demande et en décidant s’il y a lieu de communiquer au CST le rapport exceptionnel dans son intégralité. Le CST, ne se trouvant plus sous l’effet de la DA, reçoit alors la communication et utilise le rapport exceptionnel à des fins de traitement du renseignement étranger, exerçant les pouvoirs qui lui sont conférés en vertu de l’article 16 de la Loi sur le CST.

Of note, the Office of the Communications Security Establishment Commissioner reviewed the initial implementation of [**expurgé**] in 2015 and found the procedure to be compliant with the law. However, the report noted that while CSE analysts were reviewing the exceptional reporting to identify foreign lead information, CSIS did not disclose any foreign lead information until after the period under review, so the “reporting loop” was not reviewed at that time.

ÉTUDE DE CAS : Non-conformité à la loi – Le CST reçoit et utilise dans leur intégralité des rapports exceptionnels

Finding 14: NSIRA found that CSE did not comply with either section 22(1) of the CSE Act or section 273.64(2)(a) of the Loi sur la défense nationale (NDA) when it used [**redacted**] complete exceptional reports for foreign intelligence purposes.

The review period began prior to the enactment of the CSE Act, as such, some of CSE’s activities under [**expurgé**] were conducted under the authorities of the NOA. Section 273.64(2)(a) of the NOA is the mirror provision to section 22(1) of the CSE Act, which prohibits CSE from directing its activities at
Canadians or persons in Canada.

During the period under review, [**expurgé**] exceptional reports were transmitted from CSE to CSIS using [**expurgé**] Of these [**expurgé**] CSE requested the disclosure of [**expurgé**] and received and analyzed all [**expurgé**] in their entirety. Some foreign selectors were targeted further to the reports. However, CSE indicated that the exceptional reports primarily “added context” to CSE [**expurgé**] investigations.

CSE stated generally that “Canadian information [found in the exceptional reports] is not used in connection with any SIGINT Fl activity.” However, it provided no specific confirmation concerning the [**expurgé**] reports in question, nor did it detail any mitigating measures used with respect to the Canadian information contained in these reports.

[**expurgé**]

Le CST ne peut pas obtenir indirectement (par l’intermédiaire du SCRS) les rapports qu’il ne peut normalement pas directement recevoir de la part de ses partenaires SIGINT, comme il est indiqué plus haut. Il ne peut pas non plus utiliser l’information sur un Canadien en tant que point de départ aux fins des activités qu’il exerce en vertu du volet renseignement étranger de son mandat. Comme le CST n’a aucun intérêt dans l’information concernant un Canadien qui figurerait dans les rapports et qu’il n’est pas autorisé à utiliser cette information, une approche mieux définie doit être adoptée pour permettre au CST d’obtenir de l’information lui permettant d’exercer ses fonctions en matière de renseignement étranger sans toutefois enfreindre l’interdiction visée au paragraphe 22(1) de la Loi sur le CST. En l’occurrence, on devrait envisager de perfectionner le processus lié aux PFS en l’assortissant de mesures permettant de protéger l’information sur les Canadiens, comme il est recommandé plus haut.

Recommandation no 16 : L’OSSNR recommande que le SCRS extraie le renseignement étranger qui s’avère utile lorsqu’il envisage de divulguer des rapports exceptionnels au CST, plutôt que d’envoyer la version intégrale desdits rapports.

Recommandation no 17 : L’OSSNR recommande que le CST cesse d’utiliser des rapports spéciaux complets du SCRS dans le cadre de son mandat en matière de renseignement étranger.

Outil de protection de l’entité

Pour ce qui concerne les messages contenant des pistes fournies par le SCRS et les rapports exceptionnels, le CST a indiqué que les informations qu’il reçoit concernant des Canadiens peuvent être saisies de façon proactive en tant que « entités protégées » dans la base de données de ciblage du CST. L’outil de protection des entités qui est intégré à la base de données de ciblage empêche le CST de cibler des Canadiens en signalant les identifiants appartenant à un Canadien et en bloquant toute interrogation et demande de ciblage ultérieures visant cet identifiant.

L’OSSNR a conclu que le CST n’utilise pas systématiquement son outil d’entité protégée pour empêcher le ciblage des renseignements d’identification de Canadiens qu’il reçoit du SCRS.

L’information relative à un Canadien que le SCRS a envoyée au CST par l’intermédiaire des PFS et des rapports exceptionnels n’a pas été régulièrement saisie en tant qu’entité protégée dans la base de données de ciblage du CST. [redacted] des [redacted] identifiants canadiens qui ont été fournis au CST par le SCRS et qui faisaient partie de l’échantillon prélevé par l’OSSNR n’ont été ni trouvés dans la base de données ni marqués comme étant des entités protégées.

La politique du CST énonce que l’information concernant des Canadiens peut être utilisée, analysée ou conservée par le CST pour divers motifs, dont l’un est de faire en sorte que l’information soit saisie dans la base de données des entités protégées dans le but de prévenir tout ciblage involontaire. Elle précise également que les mesures d’interrogation et de ciblage doivent tenir compte des entrées de la base de données des entités protégées de sorte à minimiser le risque de collecter de manière fortuite les communications de Canadiens. Toutefois, il n’existe en soi aucune exigence stratégique voulant que l’information sur un Canadien qui aurait été obtenue à la suite d’une communication ou découverte directement par une activité SIGINT du CST soit signalée au moyen de l’outil de protection des entités.

Recommandation no 18 : L’OSSNR recommande que le CST impose une exigence de toujours appliquer l’outil d’entité protégée à tous les renseignements d’identification de Canadiens.

Collaboration relative aux mesures de réduction de la menace

Dans le cadre de l’examen, l’OSSNR a répondu à l’exigence voulant qu’il réalise annuellement l’examen d’un aspect des mesures de réduction de la menace (MRM) que le SCRS mène au titre de l’article 12.1 de la Loi sur le CST.

Le SCRS consulte le CST

En vertu du régime des MRM, lorsqu’il a des motifs raisonnables de croire qu’une activité constitue une menace pour la sécurité du Canada, le SCRS peut prendre des mesures visant à réduire cette menace. Le paragraphe 12.1(3) de la Loi sur le SCRS requiert que le SCRS consulte, avant de prendre toute mesure, d’autres ministères ou organismes fédéraux, selon le cas, pour déterminer s’il est en position de réduire la menace en question.

Constatation 16 : L’OSSNR a constaté que même lorsque le SCRS tient une consultation initiale, celui-ci ne maintient généralement pas le contact avec le CST pendant le déroulement des mesures de réduction de la menace, ce qui peut donner lieu à des chevauchements avec les activités du CST.

Conformément à l’exigence de consultation prévue par la loi pour ce qui touche le régime des MRM — laquelle exigence est énoncée dans les politiques opérationnelles du SCRS —, le SCRS consulte régulièrement le CST, notamment en vue d’harmoniser les activités, avant d’entreprendre les MRM. Nombre de mesures peuvent être mises en œuvre dans le cadre d’une seule et même autorisation de MRM. Malgré que le CST demande de prendre contact plus régulièrement, la consultation entre le SCRS et le CST n’a généralement lieu que pendant les phases de planification et d’approbation des pouvoirs s’appliquant aux MRM. Or, cette façon de faire limite l’effet positif de la consultation. L’OSSNR a d’ailleurs examiné trois cas qui illustrent cette limite.

In one case concerning a TRM meant to address [**expurgé**] CSE highlighted that certain teams could benefit from a consultation prior to the execution of specific measures. In another case, CSE requested that, prior to implementing a TRM in relation to [**expurgé**], CSIS inform CSE of the Finally, in a TRM that allowed CSIS [**expurgé**] against [**expurgé**], CSE identified that they had several teams focusing on the same target set and noted it would be helpful for them to have advance notice of any potential TRM activity. CSE further noted they may be able to provide validation or other assistance.

In the first two cases, CSIS did not pursue any further consultation with CSE, deeming CSE’s overall concurrence with the TRM authority to be sufficient. In relation to the [**expurgé**] TRM, CSIS did document consultation with CSE in relation to [**expurgé**] specific measures, which CSE supported.

Pour que le SCRS respecte son obligation de consultation prévue par la loi, le CST pourrait avoir besoin d’être mis au courant des mesures spécifiques à prendre, de sorte à confirmer s’il est effectivement en mesure de réduire la menace. Pour les situations semblables à celles où le CST a relevé des chevauchements entre les activités des deux organismes, il y a lieu de conclure que des consultations permettraient également de reconnaître les possibilités se prêtant à un renforcement des mesures de collaboration ou de l’assistance, mais aussi de garantir un certain degré de cohérence pour ce qui a trait aux messages que le GC envoie aux partenaires externes.

Recommandation no 19 : L’OSSNR recommande que le SCRS fasse régulièrement contact avec le CST pendant la mise en œuvre de ses mesures de réduction de la menace dès lors qu’il y a un risque de chevauchement sur le plan opérationnel.

Coordination d’une MRM avec une cyberopération active du CST

L’OSSNR s’est penché sur un cas où une MRM du SCRS a été utilisée pour appuyer une cyberopération active (COA) que le CST menait dans le cadre de son propre mandat.

CASE STUDY: Operation [**expurgé**]

[**expurgé**] CSE undertook an ACO wherein [**expurgé**] CSIS conducted a measure under a previously approved TRM authority aimed at [**expurgé**] CSE and CSIS were both part of [**expurgé**] in which this operation was discussed.

Constatation 17 : L’OSSNR a conclu que le CST n’a pas avisé le SCRS en temps opportun d’un incident de conformité relatif à une cyperopération active, qui était lié à une mesure de réduction des menaces du SCRS.

CSE and CSIS collaborated closely both in setting up CSIS’s TRM to complement CSE’s ACO, as well as in the lead-up to the TRM’s execution. This included communication regarding the logistics and timelines of CSE’s activity and the associated logistics of CSIS’s [**expurgé**] Once the TRM was implemented, CSIS advised CSE, at which point the collaboration ceased.

[**expurgé**] CSE discovered via open source research that [**expurgé**] The next day, CSE sent an email to some individuals from [**expurgé**] of this incident, however, no CSIS employees were copied on the email. CSE noted that CSIS was informed verbally but did not specify when this happened or what information was shared. According to CSIS, it was not until after a [**expurgé**] bilateral meeting between CSIS and CSE management where the operation was discussed that it was fully briefed on CSE’s compliance incident.

Initially, CSE had advised CSIS that the operation would not [**expurgé**] As such, CSE’s discovery [**expurgé**] changed a key parameter of the operation upon which CSIS planned its TRM.

While this compliance incident did not create a knock-on compliance incident for CSIS, under different conditions it could have. CSE’s delay in effectively communicating the compliance incident to CSIS increases that risk. Given that the TRM and ACO regimes both enable their respective departments to actively take
measures, albeit of a different nature, to counter threats, there is potential for this scenario to repeat under different circumstances and the departments should be alive to this potential as they run similar concurrent operations.

Recommandation no 20 : L’OSSNR recommande que le CST transmette au SCRS le détail des incidents de non-conformité qui risquent d’avoir lieu lorsqu’un chevauchement avec une mesure de réduction de la menace du SCRS pourrait survenir.

État de la collaboration entre le CST et le SCRS

Constatation 18 : L’OSSNR a conclu que le CST n’a pas coopéré efficacement avec le SCRS, ce qui a donné lieu à une occasion manquée de faire progresser les objectifs canadiens en matière de renseignement grâce à une collaboration nationale.

In operation [**expurgé**] CSIS sought to collect information within Canada on a foreign target under sections 12 and 21 of the CSIS Act. [**expurgé**]

Dans [**expurgé**] CSIS submitted an RFA to CSE to [**expurgé**] CSE accepted and committed to [**expurgé**] Dans [**expurgé**] CSE advised CSIS that it was [**expurgé**] Dans [**expurgé**], CSE formally terminated the RFA noting that [**expurgé**] it was no longer in a position to resource [**expurgé**] At this point, CSE had not provided CSIS with [**expurgé**] under the RFA. [**expurgé**]

CSE began a separate operation against the same target under section 16 of the CSE Act, as it had advised CSIS in [**expurgé**] that it planned to do. This operation utilized CSE’s [**expurgé**] This opportunity was derived from CSIS efforts under the [**expurgé**] initiative. Despite requests from CSIS to also explore this new operation under RFA focusing on the communications of other CSIS warranted targets [**expurgé**] CSE opted to execute the operation under their own foreign intelligence mandate. CSE reasoned that this was the better option given the potential for collection of high value foreign intelligence concerning targets and that an RFA for CSIS warranted targets [**expurgé**] could be implemented once the operation was running. While this RFA was later actioned, during the period under review, [**expurgé**]

Throughout [**expurgé**] CSE failed to consider the impact of its choices on CSIS’s ability to discharge its mandate and detracted from Canada’s overall ability to successfully progress the [**expurgé**] operation as [**expurgé**] effort against the target. CSE initially committed to assisting CSIS, [**expurgé**], but later terminated the RFA without providing CSIS the requested assistance. CSE then utilized information it obtained from the CSIS operation to develop its own initiative, failing to promote a collaborative approach [**expurgé**]

This lack of prioritization of domestic collaboration presents as a more general issue, not only isolated to the [**expurgé**] operation.

Un protocole d’entente qui a été conclu entre le CST et le SCRS, et qui était en place depuis 2011 indique que les organismes [traduction] « se fourniront mutuellement du soutien opérationnel, le cas échéant, suivant leurs mandats respectifs ». En outre, les deux organismes [traduction] « collaboreront de sorte à éviter les chevauchements sur le plan du développement technologique et des initiatives en matière de technologie dans le contexte des opérations, et ce, en misant, selon les cas, sur l’expertise technique du CST, afin de promouvoir les intérêts du CST et du SCRS ».

Même si elle met l’accent sur le recours aux outils du CST dans le but de soutenir les initiatives des deux organismes, la politique du CST ne propose rien pour promouvoir ce type de coopération. En vertu du volet assistance de son mandat, le CST n’est pas tenu de donner suite aux DA et peut rejeter une demande en considération de ses ressources opérationnelles et des priorités. Toutefois, il n’existe aucune exigence connexe voulant que le CST analyse l’impact de l’activité demandée sur l’initiative de l’organisme demandeur ou sur les priorités stratégiques du GC, lorsqu’il prend sa décision. Hormis le volet assistance du mandat du CST, la politique du CST indique à plusieurs reprises qu’il est important de prendre en compte les activités des partenaires de la Collectivité des cinq ainsi que les répercussions que le CST peut avoir sur ses partenaires lorsqu’il mène ses activités. En revanche, rien de tel n’est proposé quant à la coopération intérieure.

Inversement, les nouvelles instructions ministérielles (IM) pour le SCRS – celles qui portent sur les opérations et accordent la priorité à la collaboration intérieure – estiment que ce type de collaboration constitue une valeur fondamentale : [traduction] « le Service reconnaîtra et atténuera tous les effets défavorables importants que ses activités pourraient avoir sur l’exercice du mandat des autres ministères et organismes fédéraux, notamment, en échangeant de l’information et en collaborant avec ceux-ci, selon les besoins ». Même si elles n’étaient pas en vigueur pendant la période visée par l’examen, ces IM mettaient l’accent sur l’importance de la collaboration intérieure. Aucune des IM formulées par le ministre de la Défense nationale à l’intention du CST ne comporte de telles consignes particulières.

Le CST possède une expertise technique unique au sein du GC. Ainsi, sa disposition à travailler avec les partenaires intérieurs peut s’avérer cruciale pour la réussite des initiatives du Canada. Lorsque le CST se concentre principalement sur ses propres objectifs ou sur ceux de la collectivité des cinq et qu’il n’accorde pas une aussi grande attention à l’ensemble du potentiel opérationnel que le Canada peut réaliser grâce à la collaboration intérieure, le pays risque de renoncer à des occasions où il pourrait atteindre ses objectifs en matière de renseignement.

CONCLUSION

Le CST et le SCRS sont deux des principaux piliers des activités de collecte de renseignement au Canada. Par conséquent, une collaboration efficace entre les deux organismes est essentielle pour assurer la sécurité nationale et promouvoir les intérêts du Canada. Le CST et le SCRS devraient s’attacher à mettre en commun leurs capacités et expertises respectives dans le but de répondre aux priorités du GC en matière de renseignement.

Compte tenu des différences entre leurs mandats et leurs cadres juridiques respectifs, il conviendrait que le CST et le SCRS planifient soigneusement leur collaboration et établissent des garde-fous. Une gouvernance structurée, une compréhension approfondie des rôles et des responsabilités ainsi que des échanges d’information adéquats sont autant d’éléments essentiels de toute forme de collaboration opérationnelle entre les deux organismes. Une fois ces éléments mis en place, on peut envisager que la collaboration entre le CST et le SCRS s’en trouvera élargie et approfondie et qu’à ce titre, elle aura une incidence considérable.

Annexe A : Opérations

[**expurgé**] enquête avec mandat au titre de l’article 12

In this operation, CSE and CSIS both targeted selectors associated with a CSIS section 12 warranted target. CSIS obtained a [**expurgé**] warrant, amongst others, which allowed them to [**expurgé**] The target had also
demonstrated [**expurgé**] increasing the difficulty and risk associated with [**expurgé**] As such, CSIS submitted an RFA to CSE to assist with [**expurgé**] as well as to conduct SIGINT collection. Regardless of which entity was responsible for the collection, the warrant required that a CSIS “designated employee” review the results of a limited initial collection and confirm that [**expurgé**]

The operation was structured such that CSIS was responsible for [**expurgé**] and CSE was responsible [**expurgé**] outside of Canada. Both CSE and CSIS successfully [**expurgé**] and produced intelligence products as a result of the operation. CSE’s collection was enabled by and CSIS collection was enabled using a combination of their own tools and CSE tools.

Warranted Section 16 Operation

In this operation, CSIS submitted an RFA to CSE, [**expurgé**] in order [**expurgé**] to [**expurgé**] et en [**expurgé**] under section 16 CSIS warranted authorities. This operation [**expurgé**] The operation was structured such that [**expurgé**] CSE was responsible for analyzing the data and reporting on it. The operation took place in [**expurgé**]

Throughout the course of the operation there were two compliance incidents wherein [**expurgé**] for [**expurgé**] intelligence purposes.

In the first instance, a CSE analyst looking through the [**expurgé**] identified that [**expurgé**] reporting that was not [**expurgé**]. Upon further investigation it was identified that [**expurgé**] used [**expurgé**] without seeking CSIS’s approval. [**expurgé**] reported that in this instance the analyst who released the relevant report failed to recognize that [**expurgé**] utilized this information in error.

In the second incident, [**expurgé**] CSIS provided a list of questions [**expurgé**] to answer concerning [**expurgé**] responded, [**expurgé**] This was again discovered by a CSE analyst [**expurgé**] reported that they thought providing the responses to the questions encompassed the required authorization.

In addition to the human error involved in violating the reporting requirements of the warrant in these cases, both non-compliance incidents also involved [**expurgé**] for [**expurgé**] intelligence purposes, contrary to the warrant.

These instances have both been reported to the Federal Court. At present, CSE has received written confirmation from [**expurgé**] for [**expurgé**] intelligence purposes.

[**expurgé**] Operation

In this operation, [**expurgé**]

CSE and CSIS discovered that this operation could also be used in order to support collection under section 16 of the CSE Act. As such, CSE [**expurgé**] the CSE infrastructure ran a number of checks [**expurgé**] in an attempt to filter out Canadians or those located in Canada. These checks included identifying [**expurgé**] Once CSE did successfully [**expurgé**] it would then also conducted further analysis on the collection in order to ascertain if the user of the device was Canadian or located in Canada. When CSE successfully [**expurgé**] they produced reports, which were released to CSIS. Should CSIS be interested in using the reporting, either to further their own investigation or to share with partners, it was able to seek permission from CSE to do so.

The departments conducted this operation entirely under their own mandates, CSIS Act section 12 and CSE Act section 16. While CSIS collection would have been possible without CSE’s involvement in the operation, CSE did require CSIS in order to gain access to [**expurgé**]

Annexe B : Rapports produits au titre de l’article 35

Non-compliance with the Law – CSE Analyzes [**expurgé**] of a Canadian’s Device

Les messages contenant des pistes fournies par le SCRS (PFS) et les demandes d’information issue de pistes d’enquête (DIIPE) sont les moyens par lesquels le SCRS communique le renseignement qu’il croit pertinent pour le volet renseignement étranger du mandat du CST. En plus de fournir des pistes, le SCRS utilise lesdits messages pour demander de l’information provenant du CST ou exploitée par le CST.

CLIs are generally sent in a [**expurgé**] Ce sont des analystes du SCRS qui envoient directement les PFS à des analystes du CST. Une fois les PFS reçues, le CST détermine comment il réagira au renseignement, notamment, en déterminant s’il y a lieu d’entamer des mesures fondées sur les pistes reçues. Au SCRS, les PFS sont enregistrées dans un seul et même registre organisationnel, alors qu’au CST, ce n’est pas le cas.

Both the Canadian Security Intelligence Services Act (CSIS Act) and the Loi sur le Centre de la sécurité des télécommunications (CSE Act) govern the disclosure and acquisition of the information contained in CUs. CSIS shares this type of information pursuant to section 19(2) of the CSIS Act, which enables it to disclose information for the purposes of the performance of its duties and functions. Section 16 of the CSE Act permits CSE to collect foreign intelligence using a range of sources and methods, and it relies on this section to acquire the information contained in the CLIs.

While CSE is prohibited from directing its activities at Canadians under section 22(1) of the CSE Act, section 23(4) of the CSE Act does permit CSE, in certain circumstances, to incidentally acquire information about Canadians. Incidental collection occurs when information was not deliberately sought and the information acquisition
activity was not directed at the Canadian or person in Canada. It is using this provision that CSE is able to acquire the information about Canadians shared by CSIS via the CLI process.

L’OSSNR a constaté que le CST ne s’était pas conformé aux dispositions du paragraphe 22(1) de la Loi sur le CST lorsqu’il a analysé [**expurgé**] du contenu d’un dispositif appartenant à un Canadien, laquelle avait été acquise par l’intermédiaire d’un message contenant des pistes fournies par le SCRS.

In one case reviewed by NSIRA, CSIS sent a CLI to CSE that contained [**expurgé**] of the contents of a Canadian’s [**expurgé**] device. The Canadian was the subject of a CSIS warrant and had been [**expurgé**] authorities due to [**expurgé**] involvement in [**expurgé**] activities. [**expurgé**] authorities [**expurgé**] of the individual’s and shared it with CSIS, which in turned shared it with CSE via a CLI.

The CLI indicated the individual’s [**expurgé**] The CLI further explained how CSIS acquired [**expurgé**] of the device, indicated that the [**expurgé**] and stated that [**expurgé**] of the individual’s device was being provided for “analytic and lead generation purposes”.

CSE relied on its foreign intelligence mandate to ingest the CLI and [**expurgé**] of the Canadian’s device and to analyze the information found within. The analysis did not yield anything of foreign intelligence value and CSE subsequently deleted the data.

As CSE’s prohibition against directing its activities at Canadians applies in this case, CSE provided two arguments to NSIRA to justify analyzing the information despite [**expurgé**] originating from a Canadian’s device. First, it noted that [**expurgé**] had been lawfully obtained by CSIS, stating that [**expurgé**] it received of the [**expurgé**] content of the device, that was legally obtained by CSIS and disclosed to CSE.” Second, CSE stated that it analyzed [**expurgé**] of the device in order to identify information of foreign intelligence interest and the Canadian information found in the device was incidental.

La politique du CST précise que pour respecter l’interdiction de viser des Canadiens, les activités de renseignement étranger doivent être dirigées vers des personnes ou des entités étrangères se trouvant à l’extérieur du Canada. Elle ajoute que l’analyse et l’évaluation des données ayant une valeur de renseignement étranger sont considérées comme étant des activités de production SIGINT, ce qui confirme que l’analyse opérationnelle ne doit en aucun cas viser des Canadiens ou des personnes se trouvant au Canada. La politique stipule clairement que ces dispositions s’appliquent à l’information collectée par les activités du CST ainsi qu’aux données ou à l’information qu’un ministère du GC communique au CST pour exploitation dans le cadre du volet renseignement étranger du mandat du CST.

Pour ce qui a spécifiquement trait aux communications d’information, la politique du CST indique que [traduction] « lorsque le caractère étranger n’est pas évident dans l’information communiquée (p. ex. lorsque l’information en question concerne un Canadien ou une personne se trouvant au Canada), le CST doit veiller à ce que l’entité à l’origine de la communication explique par écrit en quoi l’information communiquée a une valeur de renseignement étranger ». Comme nous l’avons dit, dans le cas présent, la PFS indiquait seulement que l’information était fournie pour « analyse et production de pistes d’enquête » et n’a rien indiqué quant à sa valeur en matière de renseignement étranger. L’OSSNR n’a relevé aucune preuve que le CST aurait demandé cette information de la part du SCRS. De plus, l’inclusion générale de l’énoncé [traduction] « lorsque l’information concerne un Canadien ou une personne se trouvant au Canada » contredit l’idée selon laquelle l’analyse opérationnelle ne doit en aucun cas viser des Canadiens ou des personnes se trouvant au Canada. Le présent exemple ne devrait pas faire partie de cette section de la politique du CST sans stipuler que l’information doit correspondre aux rares exceptions qui permettent au CST de conserver de l’information sur des Canadiens.

In this case, CSE conducted SIGINT production activities (specifically, operational analysis) [**expurgé**] of the device. As this device belonged to a Canadian, CSE’s actions were directed at a Canadian. It is irrelevant that the actions were intended to produce information of foreign intelligence interest, or that the information was initially legally obtained by CSIS.

Il existe deux situations où le CST est autorisé à acquérir ou à utiliser de l’information sur des Canadiens en vertu du volet renseignement étranger de son mandat. Dans la première situation, citant l’article 46 de la Loi sur le CST, la politique du CST dit que le CST peut utiliser ou analyser de l’information se rapportant à un Canadien ou à une personne se trouvant au Canada s’il a des motifs raisonnables de croire qu’il y a un danger imminent de mort ou de lésions corporelles graves pour une personne physique et que l’information est pertinente. Or, le CST n’a fourni aucune information pouvant montrer que les circonstances du cas présent correspondaient à celles visées à l’article 46.

Quant à la seconde situation, elle peut invoquer la collecte fortuite. Toutefois, l’information ne peut pas être considérée comme ayant été collectée de manière fortuite, s’il s’avère que ladite collecte résultait d’une activité qui visait un Canadien. [**expurgé**]

Although legal advice was not sought in relation to [**expurgé**] of the Canadian’s device, [**expurgé**] CSE was not permitted to use [**expurgé**] Canadian’s device as a starting point to identify information of foreign intelligence interest as [**expurgé**] device could reasonably be expected to contain [**expurgé**] that could not be seen to be incidentally collected.

En reponse aux preoccupations exprimees par l'OSSNR dans le cas present, le CST a declare ce qui suit:

[Traduction] La législation canadienne en matière de sécurité nationale vise notamment à éviter les écarts entre les organismes de sécurité du Canada sur le plan de l’information et à s’assurer que les menaces étrangères et intérieures sont traitées par les organismes compétents de façon cohérente. Le fait que le CST ne soit pas en mesure d’acquérir ou d’utiliser l’information qui a été acquise par le SCRS dans le cadre d’activités légitimes visant un Canadien, mais qui a tout de même une valeur sur le plan du renseignement étranger pourrait causer des lacunes ayant de lourdes répercussions sur la sécurité nationale du Canada.

Cette réponse ne tient pas compte des éléments contextuels de la situation présente. Le CST peut acquérir et utiliser l’information qui a été légalement acquise par le SCRS et qui a une valeur sur le plan du renseignement étranger, et ce, même si cette acquisition a été faite dans le cadre d’activités où le SCRS visait un Canadien, comme c’est le cas dans les propos du CST rapportés plus haut. Or, dans le cas présent, le problème de non-conformité venait du fait que le CST avait lui-même effectué l’analyse de l’information sur un Canadien (c.-à-d. que son activité visait un Canadien) dans le but de repérer l’information ayant une valeur sur le plan du renseignement étranger, et qu’il avait ensuite tenté de se justifier en affirmant que son intervention n’était que de la collecte fortuite. En l’occurrence, pour assurer la conformité, l’analyse de l’information sur un Canadien aurait dû être faite par le SCRS avant la communication au CST, plutôt que d’être faite par le CST après la communication. Il s’agit là d’une différence qu’il est important de reconnaître pour être en mesure de voir ce qui distingue la présente situation de celles où le CST procède à une analyse légitime des divulgations du SCRS.

As articulated in CSE policy, CSIS’s (or other GC departments’) legal authorities to disclose do not create corresponding authorities for CSE to analyze, and CSE’s intent to discover foreign intelligence information does not relieve it of its responsibility to not direct its activities at Canadians. When operating under its foreign intelligence mandate, CSE’s actions further to all CLIs must be consistent with its own authorities and applicable restrictions. In this case, CSE’s analysis of [**expurgé**] of the Canadian’s device contravened section 22(1) of the CSE Act.

Further to the above, CSE stated that it “acknowledges the perception of this anomalous activity of receiving a file containing [**expurgé**] of the content of a Canadian’s device [and] has since made a policy decision to not look into this particular kind of file.” CSE did not provide any policy documentation to support this statement.

Non-conformité à la loi – Le CST reçoit et utilise dans leur intégralité des rapports exceptionnels

Lorsque des partenaires SIGINT étrangers produisent des rapports découlant du ciblage direct de Canadiens, ces rapports sont désignés par le CST et le SCRS par le terme « rapports exceptionnels ». Le partenariat que forme la Collectivité des cinq fonctionne selon une entente non écrite de longue date voulant que les activités du renseignement électromagnétique exercées par ses membres ne ciblent pas les citoyens des autres États membres. Toutefois, puisque ces États sont souverains, il est entendu qu'ils peuvent exceptionnellement cibler les citoyens d'autres États membres de la Collectivité des cinq, s'il s'agit de réagir à une menace en toute urgence⁹. Les rapports exceptionnels qui sont produits en pareille circonstance revêtent un intérêt pour le SCRS dans la mesure où un Canadien est concerné et que, par conséquent, un lien pourrait être établi avec la sécurité du Canada.

Prior to 2014, SIGINT partners shared exceptional reporting directly with CSIS. However, due to [**expurgé**] at CSIS it was determined that under RFA, CSE could act as a conduit between foreign SIGINT partners and CSIS. Under this RFA, known as [**expurgé**] SIGINT partners provide exceptional reports directly to CSE either through CSE’s intelligence reporting software, SLINGSHOT, or via other secure communications methods. CSE then grants CSIS staff access to the exceptional reports within SLINGSHOT. After [**expurgé**] deemed success by the departments, [**expurgé**]

Sous l’effet de DA, le CST a également obtenu l’autorisation d’examiner les rapports en vue d’y trouver des informations relevant de la sphère du renseignement étranger. Le CST peut alors demander que le SCRS lui communique les rapports contenant de l’information ayant une valeur en matière de renseignement étranger. À cette étape du processus, le SCRS agit au titre du paragraphe 19(2) de la Loi sur le SCRS en examinant la demande et en décidant s’il y a lieu de communiquer au CST le rapport exceptionnel dans son intégralité. Le CST, ne se trouvant plus sous l’effet de la DA, reçoit alors la communication et utilise le rapport exceptionnel à des fins de traitement du renseignement étranger, exerçant les pouvoirs qui lui sont conférés en vertu de l’article 16 de la Loi sur le CST.

Of note, the Office of the Communications Security Establishment Commissioner reviewed the initial implementation of [**expurgé**] in 2015 and found the procedure to be compliant with the law. However, the report noted that while CSE analysts were reviewing the exceptional reporting to identify foreign lead information, CSIS did not disclose any foreign lead information until after the review period, so this part of the process was not reviewed at that time.

NSIRA found that CSE did not comply with either section 22(1) of the CSE Act or section 273.64(2)(a) of the National Defence Act (NDA) when it used [**expurgé**] complete exceptional reports for foreign intelligence purposes.

The review period began prior to the enactment of the CSE Act, as such, some of CSE’s activities under [**expurgé**] were conducted under the authorities of the NDA. Section 273.64(2)(a) of the NDA is the mirror provision to section 22(1) of the CSE Act, which prohibits CSE from directing its activities at Canadians or persons in Canada.

During the period under review, [**expurgé**] exceptional reports were transmitted from CSE to CSIS using both [**expurgé**]. Of these [**expurgé**] CSE requested the disclosure of [**expurgé**] and received and analyzed all [**expurgé**] in their entirety. Some foreign selectors were targeted further to the reports. However, CSE indicated that the exceptional reports primarily “added context” to CSE [**expurgé**] investigations.

CSE stated generally that “Canadian information [found in the exceptional reports] is not used in connection with any SIGINT FI activity.” However, it provided no specific confirmation concerning the [**expurgé**] reports in question, nor did it detail any mitigating measures used with respect to the Canadian information contained in these reports.

[**expurgé**]

Le CST ne peut pas obtenir indirectement (par l’intermédiaire du SCRS) les rapports qu’il ne peut normalement pas directement recevoir de la part de ses partenaires SIGINT, comme il est indiqué plus haut. Il ne peut pas non plus utiliser l’information sur un Canadien en tant que point de départ aux fins des activités qu’il exerce en vertu du volet renseignement étranger de son mandat. Comme le CST n’a aucun intérêt dans l’information concernant un Canadien qui figurerait dans les rapports et qu’il n’est pas autorisé à utiliser cette information, une approche mieux définie doit être adoptée pour permettre au CST d’obtenir de l’information lui permettant d’exercer ses fonctions en matière de renseignement étranger sans toutefois enfreindre l’interdiction visée au paragraphe 22(1) de la Loi sur le CST. En l’occurrence, on devrait envisager de perfectionner le processus lié aux PFS en l’assortissant de mesures permettant de protéger l’information sur les Canadiens, comme il est recommandé plus haut.

Annexe C : Constatations et recommandations

Collaboration dans le cadre d’opérations : demandes d’assistance

Constatation 1 : L’OSSNR a conclu que le CST ne communique pas régulièrement ses plans opérationnels et ses évaluations des risques connexes au SCRS lorsqu’il exerce ses activités sous les pouvoirs du SCRS. Par conséquent, le SCRS pourrait ne pas être en mesure d’évaluer pleinement les activités du CST pour en assurer la conformité.ce.

Recommandation 1 : L’OSSNR recommande que le CST communique ses plans opérationnels ainsi que le résultat des évaluations de risques connexes au SCRS avant de s’engager dans les opérations menées suivant les pouvoirs du SCRS.

Constatation 2 : L’OSSNR a conclu que la collaboration opérationnelle étroite a créé les conditions appropriées pour que le SCRS puisse surveiller les activités d’aide du CST afin d’en assurer la conformité aux conditions du mandat.

Recommandation 2 : L’OSSNR recommande que, lorsque le SCRS communique avec le CST pour obtenir de l’aide dans l’exécution des pouvoirs justifiés, un employé du SCRS participe à la vérification de la conformité aux activités de collecte du CST jusqu’à la fin de la demande d’aide.

Constatation 3 : L’OSSNR a conclu que le SCRS n’avait pas présenté une demande d’aide à jour au CST en temps opportun lorsqu’il cherchait de nouveaux pouvoirs conférés par mandat.

Recommandation 3 : L’OSSNR recommande que le SCRS adopte un processus faisant en sorte que les demandes d’assistance qui sont requises soient soumises au CST le plus tôt possible dès lors que les pouvoirs conférés par mandat ont été acquis.

Constatation 4 : L’OSSNR a conclu que le CST et le SCRS n’ont pas mené d’enquête, d’évaluation ou de suivi d’un incident de conformité en collaboration.

Recommandation 4 : L’OSSNR recommande, lorsqu’il s’agit d’une demande d’aide, le SCRS et le CST élaborent un cadre d’enquête conjointe sur les incidents de non-conformité potentiels.

Constatation 5 : L’OSSNR a conclu que le CST et le SCRS n’ont pas mis en œuvre un cadre opérationnel efficace pour leurs activités de collecte. Cela a mené à deux cas de non-conformité aux directives de la Cour fédérale.

Recommandation 5 : L’OSSNR recommande que le SCRS s’assure que les rôles et les responsabilités sont clairement convenus avant de permettre aux partenaires d’exécuter des mandats. S’il y a lieu, ces ententes devraient être communiquées à la Cour fédérale.t.

Recommandation 6 : L’OSSNR recommande que le SCRS s’assure qu’il participe directement à toutes les communications de fond avec tout partenaire qui exécute activement ses pouvoirs conférés par mandat.

Recommandation no 7 : L’OSSNR recommande que le SCRS communique les paragraphes 32 à 41 du présent examen, ainsi que les recommandations connexes, à la Cour fédérale.

Collaboration dans le cadre d’opérations : opérations conjointes

Constatation 6 : L’OSSNR a conclu que le CST et le SCRS ont trouvé une occasion efficace de collaborer dans le cadre de leurs mandats respectifs et de mener une opération qui s’est avérée avantageuse tant pour le Canada que pour ses alliés.

Constatation 7 : L’OSSNR a conclu que, bien que le cadre opérationnel du SCRS soit suffisant, le cadre opérationnel du CST n’évaluait pas les risques juridiques et politiques propres aux opérations.

Recommandation no 8 : L’OSSNR recommande que, lorsque le CST participe à des opérations conjointes avec le SCRS, il effectue des évaluations des risques pour chaque activité opérationnelle. Ces évaluations devraient particulièrement tenir compte du risque de cibler des Canadiens et mettre en œuvre des mesures proactives pour atténuer ce risque.k.

Constatation no 8 : L’OSSNR a constaté que le CST et le SCRS n’avaient conjointement préparé aucun document faisant état d’un plan opérationnel ou des conditions de participation ni aucune évaluation des risques.

Recommandation no 9 : L’OSSNR recommande que, lorsqu’ils participent à des opérations conjointes, le CST et le SCRS élaborent conjointement ou échangent des conditions d’engagement, des plans opérationnels et des évaluations des risques.

Constatation 9 : L’OSSNR a conclu que l’évaluation du caractère étranger du CST ne tenait pas compte du risque accru de cibler des Canadiens dans le cadre de la collaboration avec le SCRS.

Recommandation no 10 : L’OSSNR recommande que le CST réalise des évaluations de l’extranéité qui tiennent compte du risque accru de ciblage de Canadiens lorsqu’il travaille avec le SCRS.

Collaboration en matière d’échange d’information : pistes fournies par le SCRS

Constatation no 10 : L’OSSNR a conclu que le CST et le SCRS ne disposent pas de politiques, de procédures et de mécanismes de reddition de comptes pour régir les messages d’information du SCRS ainsi que les demandes et les mesures connexes.

Recommandation no 12 : L’OSSNR recommande que le SCRS élabore des politiques, des procédures et une formation pour les analystes afin de normaliser la divulgation des messages d’information du SCRS au CST.

Recommandation no 13 : L’OSSNR recommande que le CST élabore des politiques, des procédures et une formation des analystes afin de normaliser l’utilisation des messages d’information du SCRS.

Constatation 11 : L’OSSNR a conclu que l’utilisation par le SCRS de messages d’information pour échanger de l’information et faire des demandes au sujet de Canadiens crée un risque élevé de non-conformité pour le CST.

Recommandation no 11 : L’OSSNR recommande au SCRS de cesser de présenter des demandes d’action ou d’obtention d’autres renseignements au CST concernant des Canadiens ou des personnes au Canada par l’entremise de messages d’information du SCRS.

Constatation 12 : L’OSSNR a conclu que l’application par le CST des dispositions relatives à la collecte accidentelle pourrait ne pas être appropriée dans les situations où le CST sait qu’une source potentielle de renseignements étrangers du SCRS a un lien avec le Canada et où il sait qu’il est probable de recueillir des renseignements sur des Canadiens dans la poursuite de la source.

Recommandation no 14 : L’OSSNR recommande que le CST élabore un régime pour la collecte et la conservation de renseignements canadiens et la production de rapports au SCRS sur les renseignements canadiens qu’il découvre dans le cadre d’activités légitimes de renseignement étranger lorsqu’il acquiert une connaissance approfondie de l’information canadienne.n.

Finding 13: NSIRA found that CSE did not comply with section 22(1) of the CSE Act when it analyzed [**expurgé**] of a Canadian’s device obtained through a CSIS lead information message.

Recommandation no 15 : L’OSSNR recommande que le CST mette à jour ses politiques afin d’interdire l’analyse de renseignements relatifs à un Canadien ou à une personne au Canada dans le but de cerner des renseignements étrangers.

Collaboration en matière d'échange d'information: boucle des rapports exceptionnels

Finding 14: NSIRA found that CSE did not comply with either section 22(1) of the CSE Act or section 273.64(2)(a) of the Loi sur la défense nationale (NDA) when it used [**expurgé**] complete exceptional reports for foreign intelligence purposes.

Recommandation no 16 : L’OSSNR recommande que le SCRS extraie le renseignement étranger qui s’avère utile lorsqu’il envisage de divulguer des rapports exceptionnels au CST, plutôt que d’envoyer la version intégrale desdits rapports.

Recommandation no 17 : L’OSSNR recommande que le CST cesse d’utiliser des rapports spéciaux complets du SCRS dans le cadre de son mandat en matière de renseignement étranger.

Collaboration en matière d'échange d'information: outil de protection de l'entité

Constatation 15 : L’OSSNR a conclu que le CST n’utilise pas systématiquement son outil d’entité protégée pour empêcher le ciblage des renseignements d’identification de Canadiens qu’il reçoit du SCRS.

Recommandation no 18 : L’OSSNR recommande que le CST impose une exigence de toujours appliquer l’outil d’entité protégée à tous les renseignements d’identification de Canadiens.

Collaboration relative aux mesures de réduction de la menace

Constatation 16 : L’OSSNR a conclu que, même si le SCRS effectue une consultation initiale, il ne poursuit pas régulièrement des consultations additionnelles avec le CST pendant les activités de mesure de réduction des menaces qui pourraient chevaucher les activités du CST.

Recommandation no 19 : L’OSSNR recommande que le SCRS fasse régulièrement contact avec le CST pendant la mise en œuvre de ses mesures de réduction de la menace dès lors qu’il y a un risque de chevauchement sur le plan opérationnel.

Constatation 17 : L’OSSNR a conclu que le CST n’a pas avisé le SCRS en temps opportun d’un incident de conformité relatif à une cyperopération active, qui était lié à une mesure de réduction des menaces du SCRS.

Recommandation no 20 : L’OSSNR recommande que le CST transmette au SCRS le détail des incidents de non-conformité qui risquent d’avoir lieu lorsqu’un chevauchement avec une mesure de réduction de la menace du SCRS pourrait survenir.

Collaboration relative aux mesures de réduction de la menace

Collaboration relative aux mesures de réduction de la menace

Constatation 18 : L’OSSNR a conclu que le CST n’a pas coopéré efficacement avec le SCRS, ce qui a donné lieu à une occasion manquée de faire progresser les objectifs canadiens en matière de renseignement grâce à une collaboration nationale.