Sélection de la langue

Gouvernement du Canada / Gouvernement du Canada

Recherche


Examen de 2021 portant sur la mise en oeuvre par les ministères de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères

Examens Terminés

Examen de 2021 portant sur la mise en oeuvre par les ministères de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères


Date de publication :

Liste des acronymes

Abbreviation Expansion
2017 MD 2017 Ministerial Direction on Avoiding Mistreatment by Foreign Entities
ACA (ACMFEA, or “the Act”) Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères
ADM Assistant Deputy Minister
AMCC Avoiding Mistreatment Compliance Committee
ASFC Agence des services frontaliers du Canada
ARC Agence du revenu du Canada
CRCC Civilian Review and Complaints Commission for the RCMP
CST Centre de la sécurité des télécommunications
SCRS Service canadien du renseignement de sécurité
MPO Department of Fisheries and Oceans
MDN et FAC Department of National Defence / Canadian Armed Forces
EPPP Enhanced Passenger Protect Program
CANAFE Centre d’analyse des opérations et déclarations financières du Canada
FIRAC Foreign Information Risk Advisory Committee
FPNS Federal Policing National Security
AMC Affaires mondiales Canada
GATE Governance, Accreditation, Technical Security and Espionage
HOM Head of Mission (or Chargé)
HRR Human Right Report
ICCPR Pacte international relatif aux droits civils et politiques
ICE Integrated Collaborative Environment
INPL Intelligence Policy and Programs Division
IRCC Immigration, Réfugiés et Citoyenneté Canada
ISCG Information Sharing Coordination Group
LEAG Law Enforcement Assessment Group
LO Liaison Officer
MDCC Ministerial Direction Compliance Committee
NSICOP National Security and Intelligence Committee of Parliamentarians
OSSNR National Security Intelligence Review Agency
OiC Orders in Council
PPP Passenger Protect Program
SP Sécurité publique Canada
GRC Gendarmerie royale du Canada
DR Requests for Information
TBID Transports Canada
Abréviation Développement
AL Agent de liaison
AMC Affaires mondiales Canada
ARC Agence du revenu du Canada
ASFC Agence des services frontaliers du Canada
CANAFE Centre d’analyse des opérations et déclarations financières du Canada
CCDM Comité de conformité à la directive ministérielle
CCEMT Comité de conformité pour éviter les mauvais traitement
CCETP Commission civile d’examen et de traitement des plaintes relatives à la GRC
CCRIE Comité consultatif sur les risques – Information de l’étranger
CDM Chef de mission (ou chargé de mission)
CPSNR Comité des parlementaires sur la sécurité nationale et le renseignement
CST Centre de la sécurité des télécommunications
DC Décret en conseil
DI Demande d’information
ECI Environnement collaboratif intégré
GASE Gouvernance, accréditation, sécurité technique et espionnage
GCER Groupe de coordination d’échange de renseignements
GEAL Groupe d’évaluation de l’application de la loi
GRC Gendarmerie royale du Canada
IM-2017 Instructions du ministre de 2017 visant à éviter la complicité dans les cas de mauvais traitements par des entités étrangères
INPL Direction des politiques et des programmes liés au renseignement
IRCC Immigration, Réfugiés et Citoyenneté Canada
Loi visant à éviter la complicité, la Loi Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères
MDN/FAC Ministère de la Défense nationale/Forces armées canadiennes
MPO Ministère des Pêches et des Océans
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
PIDCP Pacte international relatif aux droits civils et politiques
PPP Programme de protection des passagers
PPP-A Programme de protection des passagers amélioré
RDP Rapport sur les droits de la personne
SCRS Service canadien du renseignement de sécurité
SMA Sous-ministre adjoint
SNPF Sécurité nationale et Police fédérale
SP Sécurité publique Canada
TBID Transports Canada

Sommaire

Le présent examen se concentre sur la mise en oeuvre, par les ministères, des instructions reçues par voie de décrets en conseil (DC) formulés au titre de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi). Le présent rapport fait suite à la troisième évaluation annuelle de l’OSSNR portant sur la mise en oeuvre prescrite des directives émises au titre de la Loi.

Cette année, l’examen couvre l’année civile 2021 et se divise en trois sections. Dans la première section, l’examen aborde les obligations légales de tous les ministères. Ensuite, les sections deux et trois font état d’une analyse approfondie de la façon dont la Gendarmerie royale du Canada (GRC) et Affaires mondiales Canada (AMC) ont mis en application les directives émises au titre de la Loi. Dans la mesure du possible, l’OSSNR s’est penché sur des études de cas qui permettent d’examiner la mise en application des dispositions de la Loi.

L’OSSNR note que pour une troisième année consécutive, aucun cas n’a été renvoyé au niveau de l’administrateur général de l’un ou l’autre des ministères. Il s’agit là d’une exigence énoncée dans les DC au cas où des responsables ne seraient pas en mesure d’établir si les risques sérieux peuvent être atténués. Les examens à venir se pencheront plutôt sur le traitement hiérarchisé (escalation) et le processus décisionnel au sein des ministères.

Dans le rapport intitulé Examen des cadres ministériels visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (2019-06), l’OSSNR recommandait ce qui suit : « la définition de “risque sérieux” devrait être codifiée dans la loi ou dans les instructions publiques. » Or, l’OSSNR note que certains ministères ont tenté de combler cette lacune en se fondant sur la définition du terme « risque sérieux » que l’on retrouve dans les instructions ministérielles de 2017. Compte tenu de l’examen prescrit devant porter sur la Loi de 2017 sur la sécurité nationale (projet de loi C-59) et de l’aspect central de la notion de « risque sérieux » pour le régime qui gouverne la Loi, l’OSSNR réitère sa recommandation de 2019 demandant que ladite notion soit codifiée dans la loi.

Pendant l’examen de l’an dernier, l’OSSNR a établi que l’Agence des services frontaliers du Canada (ASFC) et Sécurité publique (SP) Canada n’avaient pas encore achevé leurs politiques respectives ayant trait à la Loi. Bien qu’ils aient réalisé des progrès sur ce plan, il faut admettre que l’ASFC et SP n’ont pas encore mis en oeuvre l’intégralité de leurs cadres relatifs à la Loi ni les politiques et procédures connexes.

La GRC dispose d’une cadre solide pour le tri et le traitement des cas ayant trait à la Loi. Or, la partie « analyse approfondie » du présent examen indique que la GRC ne dispose d’aucun système centralisé pour documenter les garanties et qu’elle n’effectue aucune surveillance ni aucune mise à jour régulière sur le plan de la fiabilité desdites garanties. L’OSSNR a également remarqué que la GRC ne s’était doté d’aucun mécanisme permettant, en temps opportun, de tenir à jour les profils de pays et d’entités, et que l’information collectée en cours d’opération par l’agent de liaison n’était pas consignée dans un registre central qui puisse servir de référence à l’occasion d’évaluations ultérieures.

Pendant l’analyse de l’un des dossiers du Comité consultatif sur les risques - Information de l’étranger (CCRIE) relevant de la GRC, l’OSSNR a estimé que les justificatifs invoqués par le commissaire adjoint pour décliner le conseil formulé par le CCRIE ne tenaient suffisamment compte ni des dispositions énoncées dans les décrets applicables. De fait, l’OSSNR juge que le commissaire adjoint avait erronément mis l’accent sur l’importance de la relation stratégique qu’il conviendrait de maintenir avec l’entité étrangère dans l’évaluation des risques de mauvais traitements de la personne concernée.

L’OSSNR a s’est penché sur les douze ministères en mettant l’accent sur l’examen des politiques et cadres stratégiques applicables qui ont été soumis par lesdits ministères. La GRC s’est montrée réactive aux intérêts de l’OSSNR en fournissant les documents et les séances d’information dans les temps convenus. En raison de contraintes de temps, l’OSSNR a principalement misé sur les documents papier qui lui ont été remis. AMC s’est montré disposé à fournir l’information demandée par l’OSSNR et a tout mis en oeuvre pour apporter des éclaircissements concernant les demandes. Au reste, AMC a répondu en temps voulu et a fait le nécessaire pour que le personnel et l’information demandés soient mis à la disposition de l’OSSNR.

L’OSSNR estime qu’AMC dépend largement du personnel opérationnel et des chefs de mission pour ce qui concerne la prise de décisions et la reddition de comptes au titre de la Loi. Il s’agit là d’un changement marqué par rapport aux conclusions de l’examen de 2019, selon lesquelles les décisions étaient plutôt prises par le Comité de conformité à la directive ministérielle (CCDM) à l’Administration centrale.

En outre, AMC n’a réalisé en interne aucun exercice de mise en correspondance visant à déterminer quels secteurs d’activités étaient les plus susceptibles d’être concernés par la Loi. Comme le nombre de cas est faible cette année, compte tenu de la taille d’AMC et puisque le personnel n’est pas tenu de suivre une formation sur la Loi, l’OSSNR craint que tous les secteurs prenant part aux échanges d’information au sein d’AMC ne soient pas adéquatement informés pour ce qui touche leurs obligations en vertu de la Loi.

L’OSSNR note également qu’AMC ne dispose d’aucun mécanisme de suivi ou de gestion de la documentation pour ce qui est des mises en garde et des garanties. Ce constat pose problème dans la mesure où les membres du personnel de mission occupent des postes permutants, ce qui empêche les intervenants de poser un jugement sûr, puisqu’ils ne peuvent pas s’appuyer sur les mises en garde ou les garanties qui ont été déterminantes lors de précédents échanges d’information.

Au cours de l’examen, AMC s’est montré disposé à fournir l’information demandée par l’OSSNR et a tout mis en oeuvre pour apporter des éclaircissements concernant les demandes. AMC a fourni en temps raisonnable tous les documents demandés par l’OSSNR.

Le présent examen a évalué l’application concrète, par les ministères, des instructions reçues au titre de la Loi et des cadres connexes dans le but de répondre aux exigences de la Loi. À cet égard, le présent examen constitue la première analyse approfondie des répercussions de la Loi au sein de chacun des ministères.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées au paragraphe 8(2.2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), lequel stipule que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) doit examiner, chaque année civile, la mise en œuvre des instructions données en vertu de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi).

Introduction

Le présent examen se concentre sur la mise en œuvre, par les ministères, des instructions reçues par voie de décrets en conseil formulés au titre de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères. Le but premier du présent examen est de déterminer si les ministères remplissent les obligations qui leur incombent au titre de la Loi et des instructions connexes. Au reste, l’OSSNR a pour mandat de réaliser ce type d’examen une fois l’an.

Renseignements généraux

Bon nombre de ministères et organismes du gouvernement du Canada échangent fréquemment de l’information avec des entités étrangères. Or, comme les échanges d’information avec les entités de certains pays posent le risque que de mauvais traitements soient infligés à des personnes, il incombe au gouvernement du Canada d’évaluer et, le cas échéant, d’atténuer les risques que présente ce type d’échange1. C’est le cas, en particulier, des échanges d’information ayant trait à la sécurité nationale et au renseignement où l’information en question a souvent trait à des allégations de participation à des actes terroristes ou à d’autres types d’activités criminelles.

Les Instructions du ministre de 2017 visant à éviter la complicité dans les cas de mauvais traitements par des entités étrangères (IM 2017) définissent la notion de « risque sérieux » comme suit :

« […] un risque personnel, actuel et prévisible de subir de mauvais traitements. Pour pouvoir être qualifié de « sérieux », le risque doit être réel et ne pas être uniquement théorique ou spéculatif. Dans la plupart des cas, l’existence d’un risque sérieux est établie s’il est plus probable qu’improbable que de mauvais traitements soient infligés à une personne. Cependant, dans certains cas, en particulier lorsqu’une personne risque de subir un préjudice grave, l’existence du « risque sérieux » peut être établie à un niveau de probabilité inférieur. »

Le présent examen annuel constitue le troisième réalisé par l’OSSNR au sujet de la mise en œuvre des instructions émises au titre de la Loi. Il prend donc le relais des examens réalisés précédemment sur l’enjeu que représente le fait d’éviter la complicité dans les cas de mauvais traitements. Le premier examen faisait suite à l’IM 2017, alors que le deuxième examen visait plutôt à évaluer les instructions émises au titre de la Loi tout en devant ne se pencher que sur les quatre mois qui ont suivi la transmission des instructions en fin d’année civile 2019. Ce troisième examen constitue le premier où l’OSSNR peut étudier une année complète depuis l’adoption des instructions émises au titre de la Loi pour l’année civile 2020.

L’OSSNR s’est concentré sur la réalisation d’entrevues approfondies visant à comprendre la façon dont les ministères mettent en œuvre les instructions conformément à la Loi. Cette approche permet de s’appuyer sur les connaissances acquises au cours des trois dernières années, mais aussi d’analyser les modalités d’application desdites instructions émises au titre de la Loi en misant sur des études de cas qui permettent d’évaluer concrètement les modalités d’application des divers cadres par les ministères.

L’examen couvre donc l’année civile 2021 et se divise en trois sections. La première section porte sur l’obligation légale suivant laquelle l’OSSNR doit réaliser des examens visant les activités que les ministères ont exercées pendant une année complète. Cette année, l’OSSNR a réalisé un examen approfondi des activités de deux ministères : l’examen des activités de la Gendarmerie royale du Canada (GRC) est présenté à la deuxième section, alors que celui qui a trait aux activités d’Affaires mondiales Canada (AMC) est présenté à la troisième section.

Méthodologie

Le paragraphe 7(1) de la Loi impose aux administrateurs généraux qui ont reçu des instructions l’obligation de soumettre un rapport au ministre concernant la mise en œuvre desdites instructions au cours de l’année civile précédente et de publier une copie du rapport qui soit accessible au public. Quant au ministre, il doit fournir la version classifiée du rapport à l’OSSNR.

Ces obligations qui incombent aux ministères sont également énoncées dans la Loi sur l’OSSNR. En vertu du paragraphe 8(2.2) de la Loi sur l’OSSNR, l’Office doit examiner, chaque année civile, la mise en œuvre des instructions données en vertu de la Loi. De plus, en vertu de son droit prévu par la loi, l’OSSNR peut examiner cette mise en œuvre au-delà des exigences stipulées par la Loi, et ce, en vertu de son mandat visant à examiner toute activité qu’un ministère exerce dans la sphère de la sécurité nationale ou du renseignement.

Les décrets en conseil (DC) qui ont été émis comportent une obligation d’information selon laquelle les décisions nécessitant un renvoi à l’administrateur général doivent être signalées au ministre, puis aux organismes d’examen3. Cette obligation crée des responsabilités additionnelles sur le plan de la prise de décisions par les ministères et permet à l’OSSNR de demeurer informé de toute difficulté pouvant survenir en dehors du cycle annuel visé par un rapport.

Le présent examen porte sur la mise en œuvre des instructions émises pour les 12 ministères à qui s’adressaient les décrets émis consécutivement à la Loi. La période visée par l’examen s’étend du 1er janvier au 31 décembre 2021. De plus, l’OSSNR a procédé à une analyse approfondie d’études de cas provenant de deux ministères : AMC et la GRC. Par ailleurs, l’OSSNR veillera à ce que les autres ministères fassent également l’objet d’examens au cours des prochaines années.

Pendant le présent examen, l’OSSNR a pris en compte les fondements légaux ainsi que les cadres de gouvernance. L’OSSNR s’est également appuyé sur des documents et de l’information obtenus à l’occasion de séances d’information tenues par les ministères.

Vérification de l'information et réactivité

L’OSSNR a réalisé un examen visant les 12 ministères en procédant à l’analyse des politiques et des cadres juridiques applicables, tels qu’ils ont été soumis par les ministères.

La GRC s’est montrée réactive aux demandes de l’OSSNR en fournissant les documents et les séances d’information selon les échéances convenues. Or, en raison de contraintes de temps, l’OSSNR a dû s’appuyer largement sur les documents papier qui lui ont été fournis. Dans le cadre du présent examen, l’OSSNR estime qu’en général, ses attentes sur le plan de la réactivité de la part de la GRC ont été comblées.

Pour sa part, AMC s’est montré disposé à fournir l’information demandée par l’OSSNR et a tout mis en œuvre pour apporter des éclaircissements concernant les demandes. Au reste, AMC a répondu en temps voulu et a fait le nécessaire pour que le personnel et l’information demandés soient mis à la disposition de l’OSSNR. L’OSSNR estime qu’en général, ses attentes sur le plan de la réactivité de la part d’AMC ont été comblées.

Tous les ministères

Actualisation des cadres et production de rapports

Conclusion No 1 : L’OSSNR constate que l’Agence des services frontaliers et Sécurité publique Canada n’ont pas encore mis en œuvre un cadre complet d’application de la Loi visant à éviter la complicité et que les politiques et procédures connexes sont encore en cours d’élaboration.

D’après le matériel fourni à l’OSSNR, dix ministères ont établi des cadres et politiques traitant de la question à savoir si la communication d’information à une entité étrangère pouvait poser le risque sérieux qu’un mauvais traitement soit infligé à une personne. Le matériel fourni à l’OSSNR par l’Agence du revenu du Canada (ARC), le ministère de la Défense nationale/les Forces armées canadiennes (MDN/FAC) et Transports Canada (TC) indique que ces trois ministères sont en train de perfectionner les cadres et les politiques qu’ils avaient déjà mis en place6. Dans son rapport de l’an dernier, l’OSSNR a noté que l’Agence des services frontaliers du Canada (ASFC) et Sécurité publique (SP) Canada n’avaient pas encore achevé leurs politiques respectives ayant trait à la Loi.

Cadres

L’ASFC a indiqué qu’elle avait provisoirement approuvé un cadre suivant lequel on pouvait établir si une demande d’information provenant d’une entité étrangère posait le risque sérieux qu’un mauvais traitement soit infligé à une personne. L’ASFC a informé l’OSSNR qu’elle avait émis une directive visant à mener un examen interne dont l’objectif serait d’établir le degré de faisabilité d’une opération de mise en œuvre dans plusieurs secteurs de programmes.

Sécurité publique a indiqué qu’une série de mesure d’évaluation des risques était en cours d’élaboration et qu’on envisageait de tenir des séances d’information pour veiller à ce que les autres secteurs de programmes qui ne sont pas directement touchés par les dispositions de la Loi soient au courant des obligations s’appliquant aux échanges d’information. SP a également dit que le secteur de programmes touché par les instructions du ministre (les Instructions, les IM) avait opérationnalisé la politique tout en s’assurant que les procédures et les processus connexes s’harmonisaient avec les exigences énoncées dans la politique ministérielle, dans la Loi et dans les Instructions. Ces politiques sont entrées en vigueur au mois de janvier 2022, quoique « certains aspects » n’ont pas encore été peaufinés. Quant à l’ensemble des évaluations des risques, il est toujours en cours d’élaboration.

SP envisage également de tenir des séances d’information auprès de diverses sections du ministère qui, pour l’heure, n’auraient pas à appliquer les Instructions, mais devraient néanmoins en connaître la teneur, au cas où elles seraient appelées à élaborer de nouveaux programmes comportant un volet « échange d’information ».

En 2020, conformément aux termes de son mandat, AMC a amorcé un examen complet visant le Comité de conformité pour éviter les mauvais traitements (CCEMT)12. AMC a indiqué que des recommandations théoriques avaient été formulées pour aborder les lacunes relevées. Les recommandations portent, notamment, sur le moment opportun pour prendre des décisions, sur la question de l’obligation de diligence et sur la production de rapports sur le résultat des dossiers à la suite des décisions prises par le Comité.

L’OSSNR a appris que l’examen du Secrétariat du CCEMT serait achevé en 2022 et que le mandat serait mis à jour peu de temps après. En réponse aux demandes d’information de l’OSSNR concernant l’analyse des risques, AMC a indiqué qu’il avait créé, pendant la période d’examen, un nouveau formulaire d’évaluation des risques et qu’il était en train de préparer un guide d’orientation général ayant pour objectif d’appuyer les employés pendant les processus d’évaluation des risques et de prise de décision. Ces questions sont abordées en plus de détails dans la troisième section du présent rapport.

La GRC a noté quelques lacunes internes pour ce qui touche les évaluations de pays et l’inaptitude à tenir les rapports à jour sur une base régulière. Un cadre a été soumis à l’OSSNR concernant la façon dont la GRC envisage de combler ces lacunes de sorte à favoriser le processus du Comité consultatif sur les risques - Information de l’étranger (CCRIE).

Rapports

Le paragraphe 7(1) de la Loi exige que les administrateurs généraux soumettent au ministre compétent un rapport sur la mise en œuvre des Instructions qui leur ont été données l’année précédente par voie de décrets. La Loi visant à éviter la complicité stipule que les rapports doivent être soumis chaque année avant le 1er mars.

Les douze ministères ont rempli leurs obligations en soumettant leurs rapports à leurs ministres respectifs. Toutefois, le Centre de la sécurité des télécommunications (CST) et TC ont soumis leurs rapports peu après l’échéance du 1er mars.

Le paragraphe 7(2) de la Loi exige également que les administrateurs généraux mettent à la disposition du public une version non classifiée du rapport, et ce, dès que possible après le dépôt devant le ministre. De fait, les douze ministères ont publié leurs rapports en temps voulu.

L’article 8 de la Loi exige que le ministre soumette une copie du rapport au Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR), à l’OSSNR et, s’il y a lieu, à la Commission civile d’examen et de traitement des plaintes (CCETP) relevant de la Gendarmerie royale du Canada.

Le tableau ci-dessous présente une synthèse des réponses ministérielles aux questions portant sur la mise en œuvre ainsi que des évaluations que l’OSSNR a faites de ces réponses. Les évaluations se sont fondées sur les détails pertinents fournis par les ministères en fonction du contexte dans lequel les informations ont été demandées. Les exigences non respectées ont été soulignées. Au reste, le nombre relativement faible de ces non-respects était lié aux ministères qui n’avaient pas répondu à certaines des obligations énoncées par la Loi pour ce qui a trait à la production de rapports.

Tableau synthèse 1.1 - Exigences au titre de la Loi
  ASFC ARC CST SCRS MPO MDN CANAFE AMC IRCC SP GRC TBID
Cas renvoyés à l’administrateur général? Non Non Non Non Non Non Non Non Non Non Non Non
Le rapport a-t-il été soumis au ministre? Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
Le rapport a-t-il été rendu accessible au public? Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui
Le ministre a-t-il remis une copie au CPSNR, à l’OSSNR et à la CCETP? Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui

Tris et traitement hiérarchisé des cas

Conclusions No 2 : L’OSSNR constate que, tous ministères confondus, aucun cas régi par la Loi visant à éviter la complicité n’a été renvoyé à l’administrateur général entre le 1er janvier et le 31 décembre 2021.

Les douze ministères ont indiqué qu’ils n’avaient renvoyé aucun cas à leur administrateur général pour décision. Il s’agit là d’une exigence énoncée par voie de décret pour traiter les cas où les fonctionnaires ne seraient pas en mesure d’établir si un risque sérieux peut être atténué. Par conséquent, toutes les exigences additionnelles en matière de production de rapports qui se rapporteraient à ce niveau décisionnel n’étaient pas applicables.

Tableau synthèse 1.2 - Cas examinés par la hiérarchie, par niveau d'approbation
  ASFC ARC CST SCRS MPO MDN CANAFE AMC IRCC SP GRC TBID
Niveau 1. (Superviseur/ chef adjoint) 0 634 236 (23) 780) 0 Not Known/Not Tracked 48 6 2 401 55 0
Niveau 2. (Gestionnaire/ chef) 0 325 176 (24) 243 0 Not Known/Not Tracked 48 6 2 401 55 0
Niveau 3. (Directeur/DGA) 8(25) 69
Niveau 4. (DG/comité/ groupe de travail) 0 63 1 (26) 81 0 7 48 0 0 0 55 0
Niveau 5. (SMA/commissaire adjoint/ L1) 0 0 0 (27) 0 0 2 0 0 0 0 55 0
Niveau 6. (Administrateur général) 0 0 0 0 0 0 0 0 0 0 0 0

L’OSSNR note qu’il s’agit de la troisième année consécutive où aucun cas n’a été renvoyé au niveau de l’administrateur général, et ce, tous ministères confondus.

Les examens à venir pourraient être particulièrement attentifs aux questions du traitement hiérarchisé des cas et des processus décisionnels dans les ministères, puisque l’un des objectifs formels de l’OSSNR en matière d’examen des obligations liées à la Loi consiste à veiller à ce que l’évaluation des risques soit renvoyée au responsable hiérarchique compétent.

Mise en oeuvre des recommendations précédentes

Dans le cadre du présent examen, l’OSSNR a demandé de l’information concernant la mise en œuvre des recommandations qu’il avait formulées précédemment.

Dans le rapport intitulé Examen des cadres ministériels visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (2019-06), l’OSSNR recommandait ce qui suit : « la définition de “risque sérieux” devrait être codifiée dans la loi ou dans les instructions publiques. » Or, l’OSSNR note que certains ministères ont tenté de combler cette lacune en se fondant sur la définition du terme « risque sérieux » que l’on retrouve dans les instructions ministérielles de 2017. Compte tenu de l’examen prescrit devant porter sur la Loi de 2017 sur la sécurité nationale (projet de loi C-59) et de l’aspect central de la notion de « risque sérieux » pour le régime qui gouverne la Loi, l’OSSNR réitère sa recommandation de 2019 demandant que ladite notion soit codifiée dans la loi.

Le MDN/FAC a indiqué à l’OSSNR que consécutivement à ses recommandations, le ministère avait intégré une définition du terme « risque sérieux » dans le document Orientation fonctionnelle du Chef du renseignement de la Défense sur les activités d’échange d’information du MDN/FAC avec des entités étrangères. Toutefois, il convient de noter que le MDN/FAC a adopté d’autres définitions, notamment, pour l’adjectif « prévisible » (foreseeable). L’OSSNR avait déjà exprimé ses réserves dans l’annexe détaillée de 2019 sur l’application, par le MDN/FAC, des IM pour ce qui a trait à l’interprétation que le MDN/FAC fait de la notion de « prévisibilité ». Le MDN/FAC a également indiqué à l’OSSNR qu’il avait élaboré une méthodologie pour les profils relevant du MDN/FAC en tirant parti d’une méthodologie que d’autres organisations emploient pour évaluer les droits de la personne. Au reste, le MDN/FAC a ajouté qu’il prenait activement part aux activités de groupes de travail interministériels s’intéressant à la Loi dans le but de participer aux échanges sur la méthodologie, les procédures et les évaluations ayant trait aux droits de la personne et pour faire part de ses préoccupations.

Sur les douze ministères, l’ARC, l’ASFC, le SCRS, le MDN/FAC, SP et TC ont continué de peaufiner les cadres et les politiques à la suite des conclusions et des recommandations issues des examens précédents qui avaient eu trait à la Loi31. Bien que les recommandations n’aient pas visé de ministères en particulier, bon nombre de ceux-ci ont indiqué avoir pris ces recommandations en compte dans le but d’apporter certaines améliorations.

À titre d’exemple, en réaction à la recommandation no 1 de l’examen 2019 de l’OSSNR (concernant l’importance de réaliser périodiquement des examens internes), l’ARC a décidé de se pencher sur ses procédures d’échange d’information. En conséquence, l’ARC a apporté des modifications aux procédures en ce sens que les évaluations de risques censés être d’un niveau « faible » sont désormais approuvées au niveau des gestionnaires, alors qu’auparavant, l’échelon des directeurs représentait le niveau minimum d’approbation.

L’ASFC a provisoirement approuvé sa politique ayant trait à la Loi et est en train de réaliser des examens additionnels pour veiller à ce que ladite politique soit opérante dans plusieurs secteurs de programmes. L’ASFC a indiqué que la politique comprenait des conseils concernant la communication d’information, les demandes d’information et l’utilisation de l’information en situation pouvant poser des risques sérieux qu’un mauvais traitement soit infligé à une personne. Dans cette politique, l’ASFC a incorporé des procédures et des processus visant à évaluer les risques et à assurer une coordination avec le Comité de la haute direction sur l’évaluation des risques.

SP a également achevé son ébauche de politique pour faire suite à la conclusion que l’OSSNR avait formulée dans son rapport d’examen 2020 sur la Loi et selon laquelle SP n’avait pas encore mis au point ses cadres de politiques conformément aux Instructions reçues au titre de la Loi. SP a indiqué qu’une politique avait été approuvée et était entrée en vigueur le 1er janvier 2022. L’OSSNR a appris que certains ajouts à la politique étaient toujours en cours de mise en œuvre, notamment, l’élaboration d’outils d’évaluation des risques.

Enfin, TC a indiqué à l’OSSNR qu’il avait pris acte des commentaires formulés au sujet de la mise en œuvre des mesures relatives à la Loi depuis l’adoption de la politique ministérielle en août 2020. En outre, TC souligne que sa politique ministérielle est en cours de révision et qu’il conviendra, par conséquent, d’apporter quelques éclaircissements et de renforcer certains des éléments essentiels. TC a fait savoir qu’au nombre des modifications en cours, il fallait compter le perfectionnement des libellés, et ce, pour préciser les rôles, les exigences de programmes en matière de responsabilité et l’échéancier de la mise en œuvre. À ce titre, TC fournit de plus amples orientations quant aux exigences relatives au format et au contenu des rapports afin d’appuyer les programmes lorsqu’il s’agit d’établir les rapports annuels.

À l’échelle du programme, TC est en train d’examiner l’effet des modifications apportées à la politique (au cours de la dernière année) sur la structure fonctionnelle et les rôles connexes dans le contexte du Programme de protection des passagers (PPP). À ce jour, le PPP est la seule activité programmatique qui puisse, selon TC, poser des risques en rapport avec les dispositions de la Loi. Du reste, le PPP est en cours de transition vers l’établissement d’un cadre amélioré qui devrait être parfaitement opérant au mois de mars 2023.

L’OSSNR réitère sa recommandation précédente voulant que les ministères trouvent le moyen d’établir un seul outil normalisé pour l’évaluation des risques posés par les pays et les entités, ce qui permettrait d’uniformiser l’approche que les ministères adoptent lorsqu’ils interagissent avec des entités étrangères qui suscitent des préoccupations au regard de la Loi.

Gendarmerie royale du Canada

L’examen relatif à la Loi pour l’année 2021 représente le deuxième de l’OSSNR concernant l’aspect « mise en œuvre » de ladite Loi. Comme il a été dit à la rubrique « Contexte » du présent rapport, l’OSSNR a enrichi les connaissances qu’il avait acquises lors de l’examen annuel portant sur la Loi en procédant à une analyse approfondie de la mise en œuvre des Instructions. L’analyse approfondie met en évidence certaines des pratiques exemplaires que le gouvernement du Canada a adoptées, mais aussi certaines des difficultés posées par l’adoption des cadres. Cette année, la GRC et AMC ont été choisis. Figurant parmi les premiers ministères visés par les Instructions du ministre émises en 2011, la GRC a eu plus de dix ans pour élaborer, mettre en œuvre et perfectionner son propre cadre. En outre, AMC a été choisi parce que l’organisation a reçu des Instructions du ministre en 2017 et dans la mesure où AMC tient un rôle marquant en tant que principal élaborateur de rapports en matière de droits de la personne.

Mise en application de la Loi visant à éviter la complicité

Conclusion No 3 : L’OSSNR estime que la GRC a mis en place un cadre solide permettant de trier adéquatement les cas auxquels s’appliquent les dispositions de la Loi visant à éviter la complicité.

En 2011, la GRC a reçu des IM sur l’échange d’information avec des entités étrangères. Toutefois, les IM émises ne s’appliquaient qu’aux échanges d’information relative à la sécurité nationale. En réaction aux IM de 2011, la GRC a créé le Comité d’analyse des risques – Information de l’étranger (CARIE), lequel a été renommé Comité consultatif sur les risques – Information de l’étranger (CCRIE) après l’émission des IM de 2017.

La portée des IM de 2017 a été élargie de sorte à inclure tous les groupes et tout le personnel de la GRC, et le CCRIE a été l’objet d’une semblable mesure. Avec la promulgation de la Loi, le commissaire devait tenir compte des Instructions imposées par voie de décret. Or, les exigences opérationnelles sont demeurées les mêmes de 2017 à 2019. Au reste, la mise en œuvre des dispositions de la Loi par la GRC implique surtout les trois mécanismes suivants : le CCRIE, le Groupe d’évaluation de l’application de la loi (GEAL) et la production du rapport annuel.

Le CCRIE est un organe consultatif pour la haute direction. Il est responsable de fournir au personnel de la GRC un mécanisme permettant d’examiner les échanges d’information pouvant poser un risque sérieux de mauvais traitements. Le CCRIE est un élément essentiel du mécanisme de détermination du risque pour les cas concernés par les dispositions de la Loi. Le comité examine le contexte opérationnel de chacune des demandes, l’application de stratégies d’atténuation des risques ainsi que la solidité des garanties. Puis il formule des recommandations à l’intention du commissaire adjoint compétent.

Il importe de noter que le mandat du CCRIE a été mis à jour en décembre 2021, soit après la conclusion de la dernière réunion du CCRIE portant sur une étude de cas dont il est question plus loin. Le mandat précédent avait été rédigé après l’émission des IM de 2017 et énonçait ce qui suit : « dans les cas d’échange d’information où il existe clairement un besoin de procéder, mais aussi un risque substantiel de mauvais traitement, la décision sera renvoyée devant le commissaire aux fins d’approbation finale, conformément aux IM et à la politique opérationnelle. » Le mandat révisé indique que c’est au commissaire adjoint – ou au directeur exécutif – qu’il revient de décider si le risque sérieux de mauvais traitements peut être atténué. Ainsi, le mandat stipule explicitement que le commissaire adjoint – ou le directeur exécutif – constitue les seuls décideurs, alors que le CCRIE doit exercer la fonction de conseiller. Or, l’OSSNR tient à faire une mise en garde en faisant valoir que la délégation apparente ou perçue du pouvoir décisionnel au commissaire adjoint pose un risque de non-conformité au but et à l’objet de la Loi et des décrets connexes.

Le comité se compose de deux personnes assumant la présidence à tour de rôle et d’un certain nombre de membres issus de plusieurs divisions de la GRC. À la suite d’un examen interne, la GRC a modifié la constitution du CCRIE en s’assurant que les coprésidents ne prendraient pas de décisions relativement aux cas de leurs unités respectives, et ce, dans l’intention d’éliminer les situations où il pourrait y avoir un conflit d’intérêt réel ou apparent.

Le CCRIE se réunit aux deux semaines ou en fonction des besoins, particulièrement lorsque des cas urgents ou pressants surviennent. Or, les recommandations formulées par le comité sont non contraignantes. L’OSSNR a également noté qu’en avril 2022, le nombre des membres du comité devrait être accru.

Au cours de la dernière année, la GRC a amorcé des travaux d’amélioration du cadre et a créé des outils devant aider le personnel à interagir avec le CCRIE. On a mis en place le Groupe de coordination du CCRIE, une équipe chargée de mener des consultations auprès du personnel dans le but de favoriser le processus de tri des cas potentiels et d’établir le degré de mobilisation du CCRIE. La GRC a également élaboré un ensemble d’outils qui fait état, notamment, des définitions et des seuils à respecter, des stratégies d’atténuation ainsi que des exigences du CCRIE.

Le Groupe de coordination du CCRIE collabore avec le personnel et les membres de la GRC pour leur prêter main-forte pendant le processus d’évaluation des risques et pour déterminer si une évaluation du CCRIE est nécessaire. Le rôle et les responsabilités du Groupe de coordination ont été mis à jour suivant l’ajout d’un objectif, soit celui de fournir de l’orientation et du soutien aux membres pour étoffer la soumission des cas. De fait, le Groupe vise à améliorer la tenue des dossiers; à reconnaître les difficultés internes sur le plan stratégique; à mobiliser les partenaires fédéraux externes relativement aux questions intersectorielles de sorte à améliorer les processus et les pratiques; ainsi qu’à communiquer le résultat des réunions du CCRIE et du GEAL portant sur les cas particuliers, pour faire le point sur l’évaluation des entités étrangères.

La GRC en est également à l’étape finale de la mise à jour de son Manuel des opérations. Cette mesure a pour but de favoriser l’application uniforme des Instructions dans l’ensemble de la GRC. Cette mise à jour vise, notamment, à clarifier les rôles et les responsabilités, mais aussi les seuils et les déclencheurs qui font en sorte qu’un échange d’information doit être examiné par le CCRIE.

Comme nous le verrons plus loin dans le présent rapport, le décret de 2019 comporte une exigence voulant qu’un cas soit renvoyé au commissaire de la GRC pour décision dès lors que les responsables ne sont pas en mesure d’établir si le risque posé par l’échange d’information peut être atténué. De plus, en vertu du paragraphe 3(1) du décret, lorsque de l’information qui a été utilisée aurait possiblement été obtenue par une entité étrangère à la suite du mauvais traitement d’une personne, le commissaire de la GRC doit signaler et communiquer en temps opportun toute information prise en compte dans le processus de détermination ou de prise de décision à l’OSSNR, à la Commission civile d’examen et de traitement des plaintes relatives à la GRC (CCETP) et au Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) de sorte à prévenir les pertes de vie ou les blessures corporelles importantes.

Le GEAL est chargé de préparer les profils d’évaluation des pays et de tenir à jour le portail de l’environnement collaboratif intégré où l’information est enregistrée et, s’il y a lieu, consultée par les agents. L’OSSNR a appris qu’au cours des dernières années, l’équipe du GEAL avait été gravement sous-financée et avait sérieusement manqué de ressources, faisant ainsi en sorte que plusieurs des profils de pays n’étaient plus à jour, sans compter que le tiers des pays n’avait été l’objet d’aucun rapport d’évaluation.

Un rapport annuel faisant état de la mise en œuvre de la Loi et des cas renvoyés devant le commissaire pour décision doit être acheminé au ministre de la Sécurité publique, à l’OSSNR, au CPSNR et à la CCETP. La GRC doit également communiquer toute information prise en compte dans le processus de détermination ou de décision. Pour voir une description complète des processus de la GRC, prière de consulter l’annexe A : Cadres ministériels.

La GRC continue d’améliorer les processus du CCRIE. Dernièrement, la GRC a pris les moyens nécessaires pour améliorer les produits servant à déterminer si les échanges d’information proposés posent des risques sérieux de mauvais traitements qui nécessiteraient des évaluations de la part du CCRIE. Au nombre de ces améliorations, il faut compter des outils de visualisation permettant de schématiser le processus décisionnel, des définitions de termes essentiels, des stratégies d’atténuation et les éléments déclencheurs appelant le CCRIE à procéder à une évaluation.

En outre, la GRC continue de réaliser des progrès considérables pour ce qui a trait à l’actualisation des ressources contenues dans le site SharePoint, le module de formation sur la Loi et la politique énoncée dans le Manuel des opérations de la GRC. Bien que ces initiatives continuent de progresser, l’OSSNR tient à saluer l’initiative de la GRC consistant à réaliser un examen interne du CCRIE et à faire le nécessaire pour résoudre les lacunes relevées.

Cadre d'échange de l'information et analyse des risques

Conclusion No 4 : L’OSSNR constate que les évaluations de risques réalisées par le CCRIE de la GRC comprennent des objectifs qui sont en sus des exigences énoncées dans les décrets en conseil, notamment, l’évaluation du risque de ne pas échanger de l’information.

Conclusion No 5 : L’OSSNR constate que le recours, par la GRC, à une procédure d’évaluation des risques en deux parties – l’une portant sur le profil de pays et l’autre sur la personne, de sorte à déterminer s’il y a un risque sérieux et à comprendre les circonstances particulières entourant la personne dont il est question dans l’évaluation des risques – constitue une pratique exemplaire.

Le cadre de la GRC s’appliquant aux échanges d’information assujettis à la Loi vise essentiellement à gérer le risque. Certes, cette activité s’appuie dans une large mesure sur la formulation de garanties et de mises en garde, mais il faut savoir que les enquêteurs misent sur l’évaluation que font les agents de liaison et les analystes déployés à l’étranger (AL/ADE) à l’égard du pays ou de l’entité étrangère en question. Dans le cadre de leurs fonctions, les AL et les ADE sont appelés à fournir de l’information à jour concernant les derniers rapports sur les pays et les entités ainsi que les relations établies avec certaines entités, mais aussi concernant les précédents sur le plan des échanges d’information impliquant la GRC et les antécédents en matière de droits de la personne. Les enquêteurs se servent de cette information pour orienter les mesures d’atténuation s’appliquant à une éventuelle demande/communication d’information.

Lorsqu’il procède à des évaluations et formule des recommandations pour le commissaire adjoint, le CCRIE prend en compte les aspects particuliers du cas visé par l’évaluation des risques (comprise dans la demande au CCRIE), l’évaluation du pays réalisée par le GEAL ainsi que les commentaires venant des agents de liaison et des analystes déployés à l’étranger (AL/ADE). Un compte rendu des décisions est rédigé après chaque réunion et met en évidence l’historique des échanges avec les entités concernées, les risques et les mesures d’atténuation envisagées ainsi que les recommandations finales du comité. Suivant l’information fournie dans le compte rendu des décisions et les recommandations du comité, le commissaire adjoint prend une décision.

Bien que la GRC n’ait pas encore formellement intégré l’Analyse comparative entre les sexes dans ses évaluations de risques concernés par la Loi, l’OSSNR note que les évaluations des risques par pays réalisées par la GRC reconnaissent les groupes vulnérables qui sont à risque de mauvais traitements en tenant compte des « préoccupations relatives aux droits de la personne pour des groupes spécifiques ». Dans le cas des personnes reconnues comme étant à risque devant une entité ou un pays désignés comme posant un niveau de risque modéré, une évaluation du CCRIE doit être réalisée avant tout échange d’information.

L’OSSNR s’est constitué un échantillon de vingt occurrences où le CCRIE a été convoqué. Cependant, on a relevé un certain nombre de cas où plusieurs réunions du CCRIE portaient sur un même dossier. Par exemple, [**expurgé**] lequel fait l’objet d’un examen approfondi dans le cadre de l’analyse des dossiers échantillonnés par l’OSSNR, comptait trois différentes réunions du CCRIE. Ainsi, les vingt interventions du CCRIE faisant partie de l’échantillon correspondent à seize cas distincts. Les demandes formulées par l’OSSNR ont employé la nomenclature du CCRIE, et la GRC a répondu aux demandes en fonction de ce qui était sollicité dans les demandes d’information. Il en résulte que l’OSSNR n’a été en mesure de visualiser l’information sur les dossiers d’enquête que lorsque lesdits dossiers constituaient des points de contact avec le processus du CCRIE; les dossiers d’enquêtes opérationnels n’ont pas pu être fournis dans leur intégralité.

L’OSSNR reconnaît que la GRC a rempli ses obligations lorsqu’il s’est agi de répondre à nos demandes d’information. Toutefois, lorsqu’il est devenu manifeste que l’OSSNR n’avait pas obtenu l’intégralité d’un cas, notamment, les dossiers d’enquête, le manque de temps a fini par empêcher l’OSSNR d’obtenir et d’analyser l’information manquante mais pertinente.

Communication d'information sortante

L’OSSNR a remarqué que dans au moins 35 % des cas du CCRIE qui ont été échantillonnés, la GRC a pris en compte, dans ses évaluations, la possibilité que le non-partage d’information ait des répercussions négatives. Ainsi, l’évaluation du CCRIE tient compte du risque de ne pas communiquer de l’information sortante, en mettant l’accent sur le maintien, l’établissement ou la préservation des relations avec les partenaires d’échange d’information. En outre, la GRC a indiqué à l’OSSNR qu’elle tiendrait également compte des risques potentiels pour la sécurité publique en cas de non-partage de l’information54. L’OSSNR comprend que la fiabilité des garanties et des mises en garde dépend largement des circonstances et du contexte entourant chacun des cas, mais encouragerait fortement la GRC à fonder les motifs servant à justifier les échanges d’information d’abord sur les risques encourus par la personne concernée. L’OSSNR note que les stratégies d’évaluation et d’atténuation des risques (pour minimiser les risques) constituent les outils à utiliser prioritairement lorsqu’il s’agit de déterminer si de l’information peut être échangée ou non. Or, ni la Loi ni les décrets ne permettent de jauger les facteurs externes comme la détérioration des relations découlant du non-échange d’information ou la sécurité publique en comparaison des risques pour la personne.

Mesures d'atténuation et d'assurance

Conclusion No 6 : L’OSSNR constate que la GRC ne dispose d’aucun système centralisé permettant de documenter les garanties et qu’elle ne surveille pas régulièrement ni ne met à jour les évaluations de la fiabilité desdites garanties

La GRC a laissé savoir à l’OSSNR que les garanties et les mises en garde, qu’elles aient été observées ou non, qui ont trait aux échanges d’information avec des entités étrangères sont enregistrées dans le dossier d’enquête. La GRC a d’ailleurs ajouté que l’information est échangée au cas par cas, par l’intermédiaire de l’agent de liaison compétent ou d’INTERPOL.

Les agents de liaison et les analystes déployés à l’étranger (AL/ADE) sont tenus d’enregistrer leurs interactions dans les notes qu’ils intègrent aux dossiers d’enquête. La GRC a indiqué à l’OSSNR que c’était dans ces notes que les occurrences de non-respect des garanties ou des mises en garde devaient être consignées.

La GRC a souligné qu’elle comptait sur son réseau à l’étranger pour surveiller la fiabilité des garanties et des mises en garde, et que le personnel rencontrait régulièrement les partenaires de l’application de la loi ainsi que les AL étrangers des pays alliés. La GRC a d’ailleurs ajouté que tout indice de détérioration des droits de la personne dans un pays et tout rapport particulier sur le mauvais traitement d’une personne feraient l’objet de discussions et seraient enregistrés dans le dossier d’enquête (opérationnel) de la GRC. En dernier lieu, ces éléments seraient inscrits au formulaire d’évaluation des risques du CCRIE de la GRC.

Comme il a été dit, en raison de contraintes de temps, l’OSSNR a reçu l’information relative aux réunions du CCRIE ainsi que les documents connexes, mais n’a pas été en mesure d’examiner les dossiers d’enquête opérationnels de la GRC. Lorsque l’OSSNR a demandé de produire les critères permettant d’évaluer la fiabilité des garanties et des mises en garde pour ce qui concerne les cas échantillonnés, l’Office a été renvoyé au formulaire d’évaluation des risques du CCRIE (que l’on appelle également le formulaire 6517) et s’est fait répondre ce qui suit :

[Traduction] « La note de bas de page met en évidence un certain nombre de dossiers d’enquête. Le rapport général et le rapport complémentaire ont été examinés en prévision de cette réponse. Aucun souci n’a été enregistré pour ce qui a trait aux garanties, alors qu’une seule occurrence semblait poser problème relativement à une mise en garde. À cet égard, le dossier [**expurgé**] fait état d’une occasion où un organisme partenaire n’avait pas respecté l’exigence d’une mise en garde voulant que les mesures soient coordonnées – aucune allégation de mauvais traitement n’a été documentée dans le dossier. Ce manquement a été signalé auprès de l’organisme partenaire, puis corrigé. »

L’OSSNR remarque que le dossier [**expurgé**] avait trait à une entreprise menant des activités en [**expurgé**], mais que l’information avait été demandée auprès [**expurgé**]. L’évaluation des risques du GEAL concernant [**expurgé**], un pays posant un risque modéré, ne fait aucunement mention d’un problème relativement à l’échange d’information ou à l’utilisation de mises en garde. Or, il faut savoir que cette évaluation n’a pas été mise à jour depuis août 201858. En l’occurrence, la GRC a indiqué ce qui suit :

[Traduction] « L’évaluation du GEAL concernant ce pays n’avait pas été mise à jour, mais en l’occurrence, on s’attendrait à ce que l’AL soulève cette question lors de consultations ultérieures avec les diverses équipes d’enquête qui envisageraient d’échanger de l’information avec cette entité. »

L’OSSNR tient à rappeler l’importance du suivi a posteriori des garanties et des mises en garde. L’OSSNR a d’ailleurs remarqué que l’émission d’une garantie ou d’une mise en garde pouvait parfois s’appuyer sur les garanties fournies par un responsable officiel (au sein d’une entité étrangère ou d’un pays étranger). En l’absence des documents requis, cette situation peut devenir problématique en raison du fait que des changements de position peuvent survenir et que les garanties pourraient ne plus être valides si la personne n’est plus en position voulue. Il convient donc de faire un suivi des garanties et de les renouveler pour veiller à ce qu’elles soient suivies advenant un changement d’employé.

Par ailleurs, aucun processus centralisé n’est prévu pour la documentation des garanties. On a plutôt recours à une documentation occasionnelle dans certains dossiers d’enquête, ce qui peut être problématique dans les situations où les AL ou les ADE n’occupent leur poste que pour une courte durée. Lorsque le dossier d’enquête est fermé, il se peut que le nouvel AL ou ADE ne soit pas au courant des situations où les garanties n’ont pas été respectées.

Recommendation no 1 : L’OSSNR recommande que la GRC mette en place un système centralisé permettant de faire un suivi des mises en garde et des garanties fournies par les entités étrangères et, dans la mesure du possible, de vérifier et indiquer si lesdites mises en garde et garanties ont été respectées.

Profile des pays et des entités

Conclusion No 7 : L’OSSNR estime que la GRC n’effectue pas une mise à jour régulière ni ne planifie la mise à jour de ses évaluations de pays et d’entités. Dans nombre de cas, ces évaluations ont plus de quatre ans et misent, dans une large mesure, sur des agrégats de renseignements provenant de sources ouvertes.

Conclusion No 8 : L’OSSNR constate que l’information collectée par l’agent de liaison en cours d’opération n’est pas consignée dans un registre central. Ainsi, cette information ne peut pas être utilisée dans le cadre d’évaluations ultérieures.

En 2019, la GRC a réalisé un examen interne portant sur son cadre d’échange d’information de même que sur le GEAL et le CCRIE. À la suite de cet examen, l’OSSNR a recommandé, en 2019, que les ministères adoptent la pratique exemplaire voulant qu’ils réalisent des examens internes de leurs politiques et processus respectifs. Bien que l’intention ne soit pas de couvrir les éléments déjà identifiés dans le cadre d’un examen (en interne), l’OSSNR note tout de même que trois années se sont écoulées, et que les difficultés liées aux évaluations des pays et des entités persistent.

Sur les 90 évaluations dont la GRC se sert pour fonder ses évaluations des risques, 87 % n’ont pas été mis à jour depuis 2018, alors que les 13 % restant n’ont pas été mis à jour depuis 2019. Pendant l’année 2021, la GRC n’a mis à jour aucun de ses profils de pays. Or l’OSSNR a appris qu’en 2022, [**expurgé**] mais avait également indiqué que le manque de financement constituait un important problème.

L’une des principales conclusions de l’examen interne de la GRC traite de la composition des profils en disant qu’ils [Traduction] « […] ne représentent pas suffisamment l’expérience opérationnelle de la GRC ». Dans le rapport d’examen, on peut lire ce qui suit : [Traduction] « Les profils de pays et d’entités du GEAL sont principalement fondés sur de l’information de sources ouvertes plutôt que sur des données fournies par les groupes opérationnels […] ». Pendant la durée de l’examen, la GRC a insisté sur le rôle et l’importance de l’agent de liaison pendant le processus du CCRIE, en faisant valoir que c’est l’agent de liaison qui est le mieux placé pour combler les lacunes que peuvent présenter les profils de pays et d’entités. L’OSSNR observe que l’examen interne met en évidence certaines des difficultés avec lesquelles les agents de liaison sont aux prises, notamment, en faisant allusion aux responsabilités supplémentaires liées aux processus du GEAL et du CCRIE qui les empêchent, dans une certaine mesure, d’exercer leurs fonctions normales.

L’OSSNR note que la GRC investit des efforts considérables dans l’amélioration des mesures de suivi après les opérations. L’OSSNR se réjouit donc de pouvoir examiner les progrès réalisés au cours de la prochaine année quant aux mesures prises par la GRC pour actualiser les profils de pays et d’entités, et pour mettre en place des mécanismes de surveillance automatisée des médias et de suivi des échanges d’information avec INTERPOL Ottawa.

Étude de cas : [**expurgé**]

[**expurgé**] la GRC a tenté d’obtenir l’approbation d’une entrevue avec [**expurgé**]

La GRC a cherché [**expurgé**] entrevue après [**expurgé**] dans le but d’évaluer le risque actuel ou la menace [**expurgé**] pour le Canada et les citoyens canadiens, [**expurgé**] La GRC a indiqué que [Traduction] « […] une entrevue fructueuse ferait progresser l’enquête [**expurgé**] , et permettrait d’améliorer considérablement la capacité à reconnaître la menace et les risques [**expurgé**] pour la sécurité [**expurgé**] . »

Au reste, la GRC croit que [Traduction] « les échanges avec [**expurgé**] pourraient mener à [**expurgé**] l’information ainsi qu’aux éléments de preuve [**expurgé**]

[**expurgé**]

En interne, le profil de pays que la GRC applique [**expurgé**]est associé à un risque élevé (ROUGE). En effet, ce profil fait état d’allégations graves d’atteinte aux droits de la personne [**expurgé**][**expurgé**] des incidents de torture [**expurgé**] – où les individus soupçonnés [**expurgé**] doivent régulièrement subir des procès inéquitables. La GRC avait émis quelques réserves en indiquant que [Traduction] « [s]i [**expurgé**] risquerait de se faire torturer ou de subir de mauvais traitements [**expurgé**]. » Suivant l’application des dispositions de la politique, le cas a été renvoyé au Comité consultatif sur les risques – Information de l’étranger (CCRIE).

a) FIRAC [**redacted**]

[**expurgé**],le CCRIE s’est réuni et a discuté de la demande visant à mener une entrevue avec [**expurgé**]. [**expurgé**] Comité a estimé qu’il y avait un risque sérieux de mauvais traitements dans le cas [**expurgé**] qu’aucune des mesures en place ne pouvait atténuer suffisamment les risques soulevés. Le CCRIE a indiqué [**expurgé**]

Le CCRIE a toutefois indiqué [Traduction] « que des efforts devraient être consentis pour que l’emplacement des entrevues à venir soit plus judicieusement choisi. » On a d’ailleurs noté que [**expurgé**] devait [Traduction] « permettre à la GRC de surveiller les résultats et les garanties qui ont été l’objet de discussions sur le plan stratégique, [**expurgé**].

En conséquence, le CCRIE a recommandé que la GRC [Traduction] « entame des discussions [**expurgé**] relativement [**expurgé**], la possibilité [**expurgé**]. Le commissaire adjoint [**expurgé**] a approuvé cette recommandation.

Évènements survenus [**expurgé**]

Consécutivement à recommandation du CCRIE, les [**expurgé**] de la GRC, [**expurgé**].

[**expurgé**]

Consécutivement à recommandation du CCRIE, les [**expurgé**] de la GRC, [**expurgé**].

[**expurgé**]

D’après les propos tenus [**expurgé**] l’équipe des enquêtes a demandé au CCRIE de permettre [**expurgé**] de plus amples discussions [**expurgé**] pour permettre à la GRC [**expurgé**] entrevue avec [**expurgé**] et d’obtenir les garanties assurant [**expurgé**].

Évènement survenus [**expurgé**]

[**expurgé**] de la GRC à [**expurgé**] a repris pris contact avec [**expurgé**] de la GRC [**expurgé**] réaliser une entrevue avec [**expurgé**].

[**expurgé**]

[**expurgé**]

[**expurgé**]

[**expurgé**]

[**expurgé**]

La GRC [**expurgé**] renvoyé au CCRIE la demande d’entrevue avec [**expurgé**] ainsi que des mesures d’atténuation additionnelles.

[**expurgé**]

[**expurgé**]

Le CCRIE a tenu une réunion visant à discuter de la demande de communication de renseignements personnels sur [**expurgé**].

Le comité a conclu [**expurgé**] risquait sérieusement de s’exposer à de mauvais traitements advenant que l’information soit échangée et que les risques relevés ne puissent pas être atténués au moyen de mises en garde et de garanties. En conséquence, le comité a recommandé que l’information ne soit pas échangée. En outre, cette recommandation se fondait sur plusieurs sources d’inquiétude :

  • [**expurgé**]
  • la reconnaissance d’un risque sérieux de mauvais traitements qui n’aurait pas pu être atténué [**expurgé**]
  • l’incapacité à garantir [**expurgé**]
  • des préoccupations sur le plan de la sécurité selon l’information pouvant ressortir de l’entrevue;
  • [**expurgé**]
  • [**expurgé**]
  • les garanties ont été jugées insuffisantes pour atténuer les risques, [**expurgé**] ce qui empêchait d’évaluer adéquatement la confiance qu’il serait convenu d’avoir dans lesdites garanties.

Le CCRIE a recommandé [**expurgé**] se penche sur d’autres options permettant de réduire le risque de mauvais traitements et se présente de nouveau devant le Comité pour réexamen de la situation. Parmi ces options, le Comité a proposé [**expurgé**].

[**expurgé**], le commissaire adjoint [**expurgé**] a rejeté la recommandation du CCRIE et a autorisé l’échange d’information. Cette décision était fondée sur les éléments suivants :

  1. [**expurgé**] la GRC devrait prendre en compte les conséquences d’un refus d’échanger [**expurgé**] dans la mesure où ce refus porterait atteinte à la relation suivant laquelle [Traduction] « la relation [**expurgé**] serait propice à l’obtention d’information et à l’exercice d’une certaine influence ».
  2. [**expurgé**]
  3. L’importance, pour la GRC, de maintenir une relation solide [**expurgé**].

Le commissaire adjoint en vient à conclure que [Traduction] « le défaut de procéder à l’échange pose un risque qui ne peut pas être géré [**expurgé**]. Même si elle ne donne aucune garantie quant à l’exercice de quelque influence que ce soit, cette option est tout de même la meilleure selon moi. »

Un courriel envoyé ultérieurement par le commissaire adjoint [**expurgé**] faisait part de nouveaux éléments ayant influé sur la décision de rejeter les recommandations du CCRIE. Ces éléments portaient sur le risque de ne pas procéder à l’échange d’information. En l’occurrence, ces renseignements additionnels mettaient l’accent sur des considérations d’ordre stratégique et opérationnel. [**expurgé**]. Le commissaire adjoint a précisé que le manque d’engagement [**expurgé**]. Sur le plan stratégique, le commissaire adjoint a indiqué que la relation risquait de se détériorer advenant que l’information ne soit pas échangée. Il a également précisé que [Traduction] « à défaut de fournir [**expurgé**] et à consentir les efforts d’atténuation énoncés ci-dessous, la relation [**expurgé**] risque de se détériorer, [**expurgé**] . »

Le commissaire adjoint poursuit sa réflexion en ajoutant qu’il conviendrait de procéder à une analyse des besoins relativement aux difficultés [**expurgé**] et de prendre en compte l’importance de l’information à tirer de l’entrevue ainsi que l’importance de la relation [**expurgé**]. Ajoutons que le commissaire adjoint estime que [**expurgé**] établissement d’une relation solide [**expurgé**] favoriserait les mesures d’atténuation du risque le plus important tout en permettant de gérer les risques qui pèsent actuellement sur les Canadiens se trouvant [**expurgé**]. En conclusion de son courriel, le commissaire adjoint tenait à indiquer qu’il estimait que l’échange d’information était requis pour atténuer le risque de mauvais traitements pouvant être infligé [**expurgé**] qu’en l’occurrence, toute réticence à répondre favorablement pourrait engendrer un risque encore plus important.

Analyse

Conclusion No 9 : L’OSSNR constate que les membres du CCRIE avaient conclu que l’échange d’information engendrerait un risque sérieux de mauvais traitements qui ne pourrait pas être atténué. Or, le commissaire adjoint a établi que le risque pouvait bel et bien être atténué. Ces positions divergentes ont donc donné lieu à un désaccord entre les responsables ou à ce qu’il convient de considérer comme une situation où « les fonctionnaires ne sont pas en mesure d’établir s’il est possible d’atténuer le risque ».

La Loi et les décrets connexes interdisent formellement tout échange d’information posant le risque sérieux qu’une personne subisse de mauvais traitements. À moins que les « fonctionnaires concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties et que les mesures d’atténuation appropriées sont prises », l’information ne peut pas être communiquée. Le paragraphe 1(2) du décret ajoute ce qui suit : « Si les fonctionnaires ne sont pas en mesure d’établir s’il est possible d’atténuer le risque, le commissaire veille à ce que la question lui soit renvoyée pour décision.

La décision du commissaire adjoint voulant que l’information soit échangée contrairement à la recommandation du CCRIE s’appuie sur le paragraphe 1(2) du décret et conclut que dans la mesure où le CCRIE est responsable de formuler une recommandation à l’intention du commissaire adjoint, c’est celui-ci qui constitue le décideur final. Le commissaire adjoint [Traduction] « a établi que le risque pouvait être atténué ». En l’occurrence, le commissaire adjoint a considéré que sa décision finale n’allait à l’encontre ni du processus décrit dans le mandat du CCRIE ni des dispositions énoncées dans les décrets. Or, les décrets sont clairs : lorsque « les fonctionnaires ne sont pas en mesure d’établir s’il est possible d’atténuer le risque, le dossier doit être renvoyé au commissaire […]101 ». Ainsi, s’appuyant sur les termes du paragraphe 1(2) du décret, l’OSSNR soutient que ce dossier aurait dû être renvoyé au commissaire pour décision.

Conclusion No 10 : L’OSSNR estime que les arguments sur lesquels s’appuie la décision du commissaire adjoint de rejeter le conseil du CCRIE ne tenaient pas suffisamment compte des dispositions stipulées dans les décrets en conseil. L’OSSNR estime surtout que dans son évaluation des risques de mauvais traitements de la personne concernée, le commissaire adjoint avait erronément mis l’accent sur l’importance de la relation stratégique qu’il conviendrait de maintenir avec l’entité étrangère.

[**expurgé**]

Un certain nombre d’hypothèses sous-tendent la justification formulée par le commissaire adjoint pour autoriser la communication de l’information demandée.

[**expurgé**]. Toutefois, cette analyse fait fi [**expurgé**]. Cela prend le contrepied des rapports [**expurgé**] de la GRC [**expurgé**] et des comptes rendus de décisions du CCRIE selon lesquels [**expurgé**]. De la même façon, le commissaire adjoint n’a pas tenu compte de la possibilité [**expurgé**].

Par ailleurs, le commissaire adjoint s’appuie sur [**expurgé**] depuis un certain temps, mais ne se soucie pas de savoir dans quelle mesure les risques [**expurgé**] pourraient s’accroître [**expurgé**].

En second lieu, l’analyse du commissaire adjoint s’appuyait sur [**expurgé**].

Le commissaire adjoint ne tient pas compte des préoccupations du CCRIE concernant [**expurgé**] l’insuffisance des mesures d’atténuation. Il considère plutôt [**expurgé**] un risque plus important advenant que l’information ne soit pas communiquée, mais n’explique pas comment il en arrive à cette conclusion. Le commissaire adjoint de tient pas compte non plus des préoccupations du CCRIE [**expurgé**].

De plus, la décision du commissaire adjoint insistait sur l’importance de la relation entre la GRC [**expurgé**]. D’un autre côté, le CCRIE a fait valoir [**expurgé**] garanties seraient respectées. Ainsi, le raisonnement du commissaire adjoint se concentre sur l’importance de [**expurgé**] cette relation [**expurgé**].

Comme il a été dit plus tôt, selon la GRC :

[Traduction] « […] certes, la Loi visant à éviter la complicité et les décrets connexes n’abordent pas les éléments externes. Or, il n’est pas exclu que l’analyse globale prenne en compte les considérations stratégiques, encore que des risques puissent être encourus par la personne concernée, ni que les partenariats stratégiques puissent être considérés en soi comme des mesures d’atténuation. Il importe de noter que la Loi visant à éviter la complicité et les décrets connexes ne l’emportent pas sur les obligations qui nous incombent en vertu de la Loi sur la GRC. »

[Traduction] « […] ainsi, toute action ou inaction peut donner lieu à des conséquences indésirables. Il est dès lors prudent d’en faire état lorsqu’il s’agit de faire montre de diligence raisonnable et de prouver que tous les aspects d’une mesure ont été pris en compte. Les relations stratégiques ou à plus forte raison les mesures qui mettent en péril les relations stratégiques, comme dans le cas présent, peuvent causer d’importants dommages. C’est d’ailleurs ce que le commissaire adjoint a indiqué. »

L’OSSNR note que l’évaluation portant sur les mauvais traitements doit se limiter à savoir si la communication pourrait donner lieu au risque sérieux qu’une personne subisse de mauvais traitements et si ledit risque peut être atténué. Ainsi, l’OSSNR tient à mettre en garde contre le recours à des considérations parallèles, notamment les relations stratégiques, lorsqu’il s’agit de déterminer s’il existe bel et bien un risque sérieux.

Il convient de noter que le commissaire adjoint a proposé des mesures d’atténuation additionnelles pour analyse. Toutefois, ces mesures s’appliquaient toutes [**expurgé**]. Or, les mesures n’exigeaient aucunement que l’obtention de garanties et l’application des mesures d’atténuation proposées par le CCRIE constituent des conditions préalables à l’échange d’information.

Recommendation No 2 : L’OSSNR recommande que dans les cas où le commissaire adjoint de la GRC est en désaccord avec une recommandation du CCRIE selon laquelle une information ne devrait pas être échangée, le dossier soit automatiquement renvoyé au commissaire.

Recommendation No 3 : L’OSSNR recommande que l’évaluation du risque sérieux ne porte que sur les termes énoncés dans le décret en conseil – à savoir sur le risque sérieux de mauvais traitements et sur la possibilité d’atténuer ledit risque – et que les objectifs externes, notamment, la promotion des relations stratégiques n’aient aucune incidence sur les décisions à rendre.

Enfin, dans le cas qui nous concerne ici, le commissaire adjoint chargé d’approuver les recommandations du CCRIE était celui qui devait encadrer le secteur d’activité concerné. En 2019, l’OSSNR a recommandé que « [l]es ministères devraient faire en sorte que, dans les cas où le risque de mauvais traitements se rapproche du niveau « sérieux », les décisions soient prises indépendamment des employés des secteurs opérationnels ayant un intérêt particulier dans le résultat. » Comme il a été dit au paragraphe 61, la GRC a modifié, en 2021, le processus du CCRIE de telle sorte que le CCRIE mise dorénavant sur des co-présidents. Ainsi, l’ajout d’un poste de président (co-président) permet de s’assurer que le président qui surveille un cas particulier du CCRIE n’est pas celui qui est responsable du secteur d’activité dont ledit cas relève. Considérant le cas présent, on constate qu’il serait nécessaire de reproduire ce type de structure au niveau de la haute direction de sorte à garantir que le processus décisionnel sera impartial et à veiller à ce que la gestion du cas repose surtout sur le risque sérieux que de mauvais traitements soient infligés à la personne en question, plutôt que sur des considérations parallèles d’ordre stratégique.

Recommendation No 4 : L’OSSNR estime que les recommandations du CCRIE devraient être renvoyées à un commissaire adjoint qui n’est pas le responsable de la sous-direction dont le cas est issu.

Affaires mondiales Canada

Pendant la période d’examen, soit du 1er janvier au 31 décembre 2021, on a recensé six cas qui ont été renvoyés à la Direction des politiques et des programmes liés au renseignement (INPL) pour évaluation113. Tous les cas qui ont été soumis à l’OSSNR avaient trait à la « sécurité de la mission ». En l’occurrence les missions devaient miser sur l’assistance des autorités locales dans des situations où le personnel de l’ambassade ou du consulat étaient potentiellement exposés à certaines menaces. Lorsqu’on l’a interrogé au sujet du faible nombre de cas, AMC a répondu à l’OSSNR que les échanges (avec des entités étrangères) de renseignements permettant d’identifier une personne étaient très rares dans le contexte de la Loi.

Mise en application de la Loi visant à éviter la complicité

Conclusion No 11 : L’OSSNR estime qu’AMC en est arrivé au point où il dépend largement du personnel opérationnel et des chefs de mission lorsqu’il s’agit de prendre des décisions et de s’acquitter de ses responsabilités au titre de la Loi visant à éviter la complicité

Le 14 décembre 2017, AMC a reçu les Instructions du ministre : Éviter la complicité dans les cas de mauvais traitements par des entités étrangères (IM 2017). Or, AMC n’avait pas reçu les Instructions du ministre sur l’échange d’information avec des organismes étrangers (IM 2011) qui avaient été transmises à un certain nombre de ministères.

Le ministère gère un réseau mondial encadrant plus de 175 missions dans 110 pays, il dispose d’un effectif d’environ 12 000 personnes et il exerce son mandat grâce à un budget de plus de 7 milliards de dollars.

Lorsqu’on l’a questionné au sujet de la façon dont le ministère met la Loi en pratique, AMC a évoqué ses programmes de mobilisation et de formation. En outre, AMC a indiqué à l’OSSNR que ses programmes de formation ciblaient des membres particuliers du personnel afin de favoriser la sensibilisation et la conformité aux dispositions de la Loi. Les formations font état des rôles et des responsabilités dans le contexte de la Loi et des décrets connexes. De plus, elles fournissent aux employés une définition de la notion de « risque sérieux » ainsi les coordonnées de personnes-ressources à l’Administration centrale

En 2021, l’OSSNR s’est engagé à analyser de près les mesures de tri et les processus décisionnels s’appliquant au contexte de la Loi, et ce, en réalisant un examen visant AMC et la GRC. Dans le cadre de l’examen de 2020, l’OSSNR a constaté des écarts considérables entre les ministères pour ce qui a trait aux évaluations des risques et au niveau d’approbation requis. Plus particulièrement, l’OSSNR a noté des lacunes dans les procédures d’AMC en matière d’évaluation des risques, lacunes qui auraient nécessité l’intervention du sous-ministre.

Lorsqu’on a demandé si AMC avait commencé à apporter des correctifs ou encore à modifier les cadres ou les politiques pour faire suite aux conclusions et aux recommandations des examens précédents, AMC a répondu que des correctifs avaient été apportés au cadre grâce à la création du formulaire d’évaluation du risque de mauvais traitements (FERMT). AMC a expliqué que le formulaire favoriserait l’uniformisation des seuils à appliquer lorsqu’il s’agit de renvoyer un cas à un niveau hiérarchique plus élevé aux fins de décision et qu’il permettrait de normaliser la façon dont les cas sont documentés. Or, en date du 31 août 2022, AMC n’avait toujours pas commencé à utiliser ledit formulaire.

Actuellement, le chef de mission (CDM) produit la première évaluation en déterminant si le risque que la personne subisse de mauvais traitements peut être atténué au point d’atteindre un niveau inférieur au seuil du risque dit « sérieux ». Ce n’est que dans les situations où il constate une source de préoccupation concernant l’adéquation des mesures d’atténuation ou des évaluations que le CDM demande conseil en envoyant un courriel à la boîte générique de la Direction des politiques et des programmes liés au renseignement (INPL).

L’INPL peut prêter main-forte à la mission en réalisant une évaluation des risques. À cette étape, si l’on établit qu’il existe un risque sérieux de mauvais traitements qui ne peut pas être atténué et s’il est prévu que la mission ait tout de même lieu, le directeur général de la région concernée peut demander que le Comité de conformité pour éviter les mauvais traitements (CCEMT) se réunisse. Ainsi, le CCEMT fait part de sa décision au CDM. En outre, AMC a indiqué que le rôle du CCEMT :

[Traduction] « […] est de recommander des stratégies d’atténuation des risques, de solliciter de plus en plus des discussions de haut niveau et l’approbation des décisions au besoin, y compris par le sous-ministre des Affaires étrangères, et de documenter la façon dont chaque cas est géré. Le Comité est convoqué ponctuellement pour examiner de possibles cas de divulgation de demande ou d’utilisation de renseignements qui appellent l’application des instructions établies par décret. Des structures semblables à celle du Comité sont en place dans d’autres ministères et organismes assujettis au décret. »

En 2020 et 2021, AMC a amorcé un examen visant le Secrétariat du CCEMT, anciennement connu sous le nom de Comité de conformité à la directive ministérielle (CCDM). AMC a indiqué que des recommandations théoriques avaient été formulées de sorte à améliorer les méthodes de travail du comité et à mettre à jour le texte du mandat, tout en expliquant que le caractère opportun des décisions du comité, la prise en compte des questions liées au devoir de diligence et la production de rapports terminaux sur les résultats des décisions du comité faisaient l’objet d’un examen. Il est attendu que l’examen visant le Secrétariat du CCEMT sera achevé en 2022 et que le mandat sera mis à jour un peu plus tard.

Dans les six cas soumis pendant la période d’examen, l’OSSNR a remarqué que la décision finale visant à établir s’il convenait de communiquer l’information aux autorités locales reposait sur le CDM. Un exemple probant de ce type d’occurrence est le cas HANOI, où la mission a été avisée :

[Traduction] « […] de noter qu’en pareille situation, le pouvoir décisionnel est exercé en dernière instance par la mission/le responsable géographique. Le rôle de l’INPL – en tant que principal point de contact pour ce qui concerne la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères – se résume à donner des conseils sur les considérations pertinentes et non à donner des autorisations. »

D’après la correspondance entre l’INPL et l’équipe de mission en poste à Hanoï, il semble y avoir un besoin d’apporter des précisions concernant les rôles décisionnels pour ce qui concerne la Loi. De fait, l’INPL a indiqué à l’équipe de mission que [Traduction] « en effet, il incombe à la mission de déterminer s’il y a un risque sérieux de mauvais traitements ou non. »

La centralisation de la responsabilité entre les mains du CDM plutôt que de l’Administration centrale constitue un changement important sur le plan de la mise en œuvre depuis l’examen approfondi visant AMC, que l’OSSNR a réalisé en 2019. En effet, à l’occasion des examens précédents, on a noté que les cas pouvant poser un risque sérieux de mauvais traitements devaient être renvoyés au CCDM (par l’intermédiaire de l’INPL). En dernière analyse, c’est le comité qui devait établir si les mesures d’atténuation proposées étaient suffisantes et si la communication d’information devrait avoir lieu. Cette modification des modalités de mise en œuvre met en péril l’indépendance du processus par rapport à ceux qui, pour des motifs opérationnels, pourraient tirer parti des résultats de l’échange d’information.

Recommendation No 5 : L’OSSNR recommande qu’AMC veille à ce que la responsabilité en matière de conformité à la Loi visant à éviter la complicité incombe clairement au Comité de conformité pour éviter les mauvais traitements.

Cadres d'échange de l'information

Conclusion No 12 : L’OSSNR estime qu’AMC n’a pas démontré que tous ses secteurs d’activités étaient intégrés à son cadre assujetti à la Loi visant à éviter la complicité.

AMC ne dispose d’aucune entente pour les échanges d’information avec des entités étrangères dans le contexte de la Loi. Or, lorsqu’on a demandé de quelle façon AMC surveillait ses échanges d’information, on a obtenu la réponse suivante :

[Traduction] « Un certain nombre de divisions d’AMC reçoivent de l’information qui pourrait avoir été obtenue à la suite de mauvais traitements. Or, comme elles exercent des mandats différents, les divisions reçoivent divers types d’information et doivent donc appliquer des processus/des cadres distincts pour tenter de reconnaître les informations qui pourraient avoir été obtenues à la suite de mauvais traitements. Par conséquent, AMC n’est pas en mesure d’appliquer un seul et même ensemble de processus à toutes les divisions qui cherchent d’emblée à reconnaître et à étiqueter l’information entrante qui pourrait avoir été le résultat de mauvais traitements. »

Or, AMC n’a réalisé aucun exercice interne de description des processus qui eût permis d’établir quels secteurs d’activités sont assujettis à la Loi. Compte tenu du faible nombre de cas pour la présente année, mais aussi de la taille d’AMC et puisque la formation sur la Loi n’est pas obligatoire pour les membres du personnel, l’OSSNR soulève quelques réserves quant au fait que tous les secteurs d’AMC impliqués dans les échanges d’information n’ont pas été adéquatement informés de leurs obligations en vertu de la Loi.

Lorsqu’on a demandé de plus amples précisions concernant la nature des échanges d’information assujettis à la Loi, AMC a répondu ce qui suit :

[Traduction] « Les échanges d’information ont lieu sans entente formelle avec les entités étrangères, et la majeure partie de l’information échangée n’a rien à voir avec des personnes. Chaque situation où de l’information est échangée est unique et se déroule en fonction des relations et des pays concernés. »

Chacun des échanges d’information est traité au cas par cas et est renvoyé au niveau hiérarchique compétent selon les circonstances de l’échange en question.

Il importe de noter que lorsqu’une évaluation établit qu’il n’y a PAS de risque sérieux de mauvais traitement, mais que l’échange d’information implique directement ou indirectement des renseignements permettant d’identifier une personne ET que l’entité ou le pays étranger ne sont pas des partenaires de confiance sur le plan des droits de la personne, les employés d’AMC doivent tout de même enregistrer, dans un formulaire d’évaluation des risques, les justificatifs sur lesquels on se base pour conclure qu’il n’y a PAS de risque sérieux de mauvais traitement. Il convient alors de monter un dossier bien étoffé.

Conclusion No 13 : L’OSSNR constate qu’AMC n’a pas rendu la formation sur la Loi visant à éviter la complicité obligatoire pour le personnel des secteurs d’activité concernés. De ce fait, les membres du personnel pourraient prendre part à des échanges d’information sans avoir reçu la formation requise et sans connaître adéquatement les dispositions auxquelles les échanges sont assujettis au titre de la Loi visant à éviter la complicité.

Lorsqu’il s’agit d’établir s’il y a des risques de mauvais traitement, les employés d’AMC tirent parti des rapports sur les droits de la personne ainsi que de tout renseignement pertinent ayant trait au pays ou à l’entité associée à l’information à échanger. Le profil de risque de la personne dont les renseignements font partie d’un échange est également pris en compte lorsqu’il est question de déterminer si un risque de mauvais traitements existe. En l’occurrence, il s’agit de recourir à un ensemble d’information visant à alimenter les évaluations et les décisions, plutôt que de ne miser que sur un seul outil.

La formation n’est obligatoire que pour les employés travaillant dans des missions ou des fonctions à risque élevé, alors qu’elle est simplement proposée au reste du personnel des missions et de l’Administration centrale. AMC s’est engagé à créer, dans Internet, une page consacrée à la Loi et à diffuser des communications de sensibilisation. Or, les employés sont encouragés à consulter ces ressources, mais n’y sont pas tenus.

AMC s’est doté de formations et d’un programme de sensibilisation visant à tenir le personnel des missions à l’étranger et de l’Administration centrale au courant de leurs obligations au titre de la Loi. En outre, les éléments essentiels de cette Loi sont intégrés au programme d’AMC en matière de sensibilisation à la Gouvernance, l’accréditation, la sécurité technique et l’espionnage (GASE), aux cadres juridique et stratégique sur l’échange d’information, et à un module de formation préalable à l’affectation des chefs de mission134. Ces formations font état des rôles et des responsabilités des fonctionnaires relativement aux obligations découlant de la Loi et des décrets connexes. De plus, elles proposent une définition de la notion de « risque sérieux » et fournissent les coordonnées des personnes-ressources à l’Administration centrale. Il importe de noter que le programme de sensibilisation GASE et les segments de formation portant sur la Loi ne sont pas considérés comme des formations fondamentales, mais plutôt comme des outils de mobilisation ayant pour objet d’amener le personnel canadien à l’étranger à prendre connaissance de la situation pour ce qui a trait à la sécurité de l’information et aux sujets relatifs au renseignement. Pour sa part, la formation fournie par le ministère de la Justice constitue la formation de base destinée au personnel.

Lorsqu’on a posé des questions concernant la formation pour la Direction générale des opérations consulaires, AMC a semblé n’en avoir qu’une connaissance superficielle et a indiqué avoir appris, d’après le Rapport annuel de 2021 (sur l’application des Instructions contenues dans le décret : Instructions visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères), que les instructions relatives à la Loi étaient abordées dans la séance de formation offerte par la Direction générale des opérations consulaires.

Les employés visés par la formation à l’Administration centrale sont les agents de sécurité de la mission, les agents de gestion consulaire, les gestionnaires du programme de préparation, les agents du Programme d’établissement de rapports sur la sécurité mondiale et les chefs de mission, sans oublier tous les membres de la Direction générale du renseignement. Pour ce qui touche les missions, la formation est fournie à tout le personnel canadien à l’étranger, y compris aux employés d’autres ministères affectés aux missions. Ce n’est que tout récemment qu’AMC a commencé à faire le suivi du nombre d’employés qui ont reçu la formation sur la Loi. En l’occurrence, on estime à au moins 300 le nombre des employés d’AMC qui ont suivi cette formation depuis 2020.

Lorsqu’on l’a interrogé au sujet des chiffres relatifs aux formations fournies, AMC a avancé qu’il n’y avait qu’un faible pourcentage des agents d’AMC à l’étranger qui pourrait devoir composer avec des décisions ayant trait à la Loi. Comme la formation n’est obligatoire que pour une partie de l’effectif, l’OSSNR craint, compte tenu du nombre des échanges d’information et de la multiplicité des secteurs d’activités concernés, qu’il y ait un risque que lesdits échanges d’information soient traités ou erronément initiés par des personnes qui ne disposent pas des connaissances requises.

Il arrive qu’AMC traite avec des entités étrangères aux antécédents douteux en matière de respect des droits de la personne, et ce, dans des contextes d’instabilité. C’est pourquoi l’OSSNR se dit extrêmement préoccupé par le fait qu’AMC n’a toujours pas été en mesure de montrer qu’il avait mis en œuvre les termes du cadre lié à la Loi dans l’ensemble de ses secteurs d’activités.

Recommandation No 6 : L’OSSNR recommande qu’AMC réalise en interne un exercice formel de schématisation des processus d’autres secteurs d’activité potentiellement concernés, de sorte à s’assurer que les obligations qui lui incombent en vertu de la Loi visant à éviter la complicité soient respectées.

Recommendation No 7 : L’OSSNR recommande qu’AMC rende obligatoire la formation sur la Loi visant à éviter la complicité, et ce, pour tout le personnel permutant.

Rapport sur les droits de la personne

Conclusion No 14 : L’OSSNR estime qu’AMC n’a pas tenu régulièrement à jour ses rapports sur les droits de la personne. Certes, bon nombre de ces rapports ont été mis à jour pendant l’année d’examen 2021, mais plus de la moitié n’a pas été mise à jour depuis 2019. Cette situation pose de sérieux problèmes dans la mesure où les ministères et les organismes s’appuient en grande partie sur ces rapports lorsqu’il s’agit d’évaluer les risques au titre de la Loi visant à éviter la complicité.

AMC élabore des rapports classifiés en matière de droits de la personne, qui sont mis à la disposition d’un certain nombre de partenaires internes du gouvernement du Canada. Chacun d’entre eux vise à faire un état de la situation en matière de droits de la personne pour un pays donné. En outre, ces rapports alimentent les processus décisionnels en matière d’engagement et de programmation orientés vers l’international, ce qui touche les politiques étrangères, le développement, le commerce, la sécurité et les activités consulaires. Les rapports à jour en matière de droits de la personne (après 2019) comportent une section particulière qui traite de la Loi et des décrets connexes, mais qui fait également état des circonstances entourant les mauvais traitements dans le pays en question.

L’entrée en vigueur de la Loi et l’émission des décrets connexes ont fait en sorte qu’un nombre important de ministères se sont trouvés assujettis à des instructions visant à éviter les cas de mauvais traitements infligés par des entités étrangères. Or, plusieurs de ces ministères ne disposaient d’aucun cadre d’application ni d’aucune évaluation de pays permettant de respecter ces obligations. En outre, cette situation a fait augmenter le nombre des demandes pour des rapports d’AMC sur les droits de la personne.

Avant que la Loi reçoive la sanction royale, AMC fournissait des rapports sur les droits de la personne aux ministères qui étaient visés par les Instructions du ministre émises en 2017. AMC collabore également avec des partenaires dans le but d’intégrer aux rapports les rétroactions sur les droits de la personne. De plus, AMC prend en compte les commentaires sur les pays d’intérêt en vue des prochains cycles de production de rapports. Il importe également de noter qu’AMC ne tient aucune statistique sur la nature des rapports ou sur la fréquence à laquelle ceux-ci ont été demandés ou consultés par les partenaires internes.

L’OSSNR reconnaît qu’en 2021, AMC venait de mettre en place une liste de priorités quant à la mise à jour des rapports sur les droits de la personne, et que pendant la période d’examen, d’importants progrès avaient ensuite été réalisés sur ce plan, comme en témoigne la mise à jour de 25 % des profils de pays. En l’occurrence, les profils de plusieurs pays à risque élevé ont été mis à jour de sorte à tenir compte des plus récents événements. Par contre, bon nombre de rapports demeurent périmés puisqu’environ 60 % des 133 rapports sur les droits de la personne n’ont pas été mis à jour depuis 2019. Par exemple, les rapports sur le Pakistan, la Somalie, l’Ukraine et le Yémen n’ont pas été actualisés depuis 2019, alors que ceux portant sur l’Afrique du Sud et le Bélarusse n’ont pas été retouchés depuis 2015.

La mise à jour régulière des rapports permettra de veiller à ce que les décisions prises au titre de la Loi se fondent sur une information essentielle et fiable pour ce qui a trait aux droits de la personne. Cette mise à jour est d’autant plus capitale dans la mesure où les autres ministères tirent parti des rapports d’AMC en matière de droits de la personne lorsqu’il leur incombe de réaliser leurs évaluations des risques. L’OSSNR note que le Groupe de coordination d’échange de renseignements dirigé par Sécurité publique Canada continue de travailler sur la priorisation et sur les questions liées aux échanges de rapports sur les droits de la personne entre les ministères146. Il convient de rappeler que les rapports d’AMC sur les droits de la personne sont considérés comme des compléments à ce que les ministères collectent déjà aux fins de leurs propres évaluations. Par conséquent, AMC ne fournit aucun jugement évaluatif sur les risques dans ses rapports sur les droits de la personne. De fait, AMC n’indique pas si un pays ou une entité pose un risque élevé ou faible, ce qui laisse les ministères libres de réaliser leurs propres évaluations fondées sur l’information qu’ils ont collectée dans l’exercice de leurs mandats respectifs.

L’OSSNR a appris que la liste des priorités par pays d’AMC avait été élaborée en collaboration avec des ministères et organismes partenaires ainsi qu’avec certaines divisions d’AMC. Cette liste s’appuie sur une évaluation des besoins opérationnels des ministères et organismes fédéraux du Canada. L’OSSNR est au fait des effets de la pandémie sur les opérations, particulièrement sur les missions à l’étranger, mais encourage tout de même AMC à maintenir le cap et à continuer de travailler avec les autres ministères et organismes de sorte que les rapports sur les droits de la personne soient mis à jour aussi fréquemment que possible.

Élaboration des rapports sur les droits de la personne

AMC produit des rapports sur les droits de la personne en collaboration avec ses missions. Coordonnés par le Bureau des droits de la personne, des libertés et de l’inclusion d’AMC, les rapports sont utilisés pour alimenter les évaluations des risques, mais aussi pour faciliter l’orientation des décisions en matière de politique et de programmation.

Les missions sont responsables de tenir à jour leurs rapports sur les droits de la personne et, s’il y a lieu, sont liées par les accords sur la mesure du rendement des missions. Le personnel des missions collabore avec les directions générales géographiques pour ce qui est de la préparation des rapports. Bien que l’Administration centrale soit responsable de l’attribution et de la coordination des tâches liées à la production des rapports, c’est le chef de mission qui est appelé à approuver lesdits rapports. Ceux-ci comprennent de l’information contextuelle et générale sur les droits de la personne dans le pays en question ainsi qu’une analyse des événements importants qui ont touché la question des droits de la personne et qui ont eu lieu pendant la période d’examen150. En règle générale, les rapports rassemblent de l’information provenant de sources diverses, notamment, des rapports de source ouverte, des consultations auprès d’organismes de défense des droits de la personne et de partenaires de la société civile, et des prises de contact avec les autorités et les intervenants gouvernementaux.

Recommendation No 8 : L’OSSNR recommande qu’AMC veille à ce que les rapports sur les droits de la personne soient régulièrement mis à jour pour chaque pays, ce qui permettra auxdits rapports de rendre fidèlement compte de l’évolution des enjeux en matière de droits de la personne.

Garanties

Conclusion No 15 : L’OSSNR estime qu’AMC n’utilise pas une approche normalisée et centralisée pour le suivi des documents relatifs aux garanties.

AMC a indiqué qu’aucune approche normalisée n’avait été mise en place pour évaluer la fiabilité ou pour assurer la documentation des garanties reçues de la part d’entités étrangères. Les évaluations des risques sont réalisées au cas par cas. Au moment d’être interrogé au sujet de la gestion des garanties, AMC a déclaré qu’il n’y avait aucune disposition législative ni aucun règlement devant s’appliquer aux garanties diplomatiques, mais que les responsables affectés à chacun des cas prenaient en compte la crédibilité et les antécédents des entités étrangères, l’expérience des partenaires partageant le même point de vue ainsi que la faisabilité des mesures de surveillance des garanties et des mises en garde qu’il convient de communiquer à l’occasion des échanges. Or, c’est à la mission qu’il incombe d’assurer un suivi et une surveillance qui permettent de savoir si les garanties et les mises en garde sont respectées.

Dans le cas ATHENS fourni par AMC, l’OSSNR a remarqué que l’on s’était coordonné pour veiller à ce que les garanties et les mises en garde soient en place avant que l’information soit communiquée aux autorités locales. Selon l’OSSNR, la mission était au fait de ses obligations au titre de la Loi et des instructions connexes, et a tenté de garantir le mieux-être de la personne détenue par les autorités. [**expurgé**] les membres de la mission ont eu recours à des mesures correctives visant à faire en sorte que ladite personne ne risque pas de subir de mauvais traitements.

Dans le cas ATHENS, [**expurgé**] Or, l’OSSNR a remarqué qu’aucun mécanisme formel de suivi ou de documentation n’avait été mis en place pour faire le suivi des mises en garde et des garanties. Cette situation effective pose problème dans la mesure où le personnel de la mission est permutant, ce qui l’empêche souvent de savoir si les mises en garde et les garanties sont fondées sur des occurrences d’échange qui auraient eu lieu antérieurement

Recommendation No 9 : L’OSSNR recommande qu’AMC mette en place un système centralisé permettant de faire un suivi des mises en garde et des garanties fournies par les entités étrangères et de documenter toute occurrence de non-conformité, et ce, dans le but d’appuyer les évaluations de risques devant être réalisées ultérieurement.

Appendices I: Conclusions et recommendations

Conclusion No 1 : L’OSSNR constate que l’Agence des services frontaliers et Sécurité publique Canada n’ont pas encore mis en œuvre un cadre complet d’application de la Loi visant à éviter la complicité et que les politiques et procédures connexes sont encore en cours d’élaboration.

Conclusions No 2 : L’OSSNR constate que, tous ministères confondus, aucun cas régi par la Loi visant à éviter la complicité n’a été renvoyé à l’administrateur général entre le 1er janvier et le 31 décembre 2021.

Conclusion No 3 : L’OSSNR estime que la GRC a mis en place un cadre solide permettant de trier adéquatement les cas auxquels s’appliquent les dispositions de la Loi visant à éviter la complicité.

Conclusion No 4 : L’OSSNR constate que les évaluations de risques réalisées par le CCRIE de la GRC comprennent des objectifs qui sont en sus des exigences énoncées dans les décrets en conseil, notamment, l’évaluation du risque de ne pas échanger de l’information.

Conclusion No 5 : L’OSSNR constate que le recours, par la GRC, à une procédure d’évaluation des risques en deux parties – l’une portant sur le profil de pays et l’autre sur la personne, de sorte à déterminer s’il y a un risque sérieux et à comprendre les circonstances particulières entourant la personne dont il est question dans l’évaluation des risques – constitue une pratique exemplaire.

Conclusion No 6 : L’OSSNR constate que la GRC ne dispose d’aucun système centralisé permettant de documenter les garanties et qu’elle ne surveille pas régulièrement ni ne met à jour les évaluations de la fiabilité desdites garanties

Conclusion No 7 : L’OSSNR estime que la GRC n’effectue pas une mise à jour régulière ni ne planifie la mise à jour de ses évaluations de pays et d’entités. Dans nombre de cas, ces évaluations ont plus de quatre ans et misent, dans une large mesure, sur des agrégats de renseignements provenant de sources ouvertes.

Conclusion No 8 : L’OSSNR constate que l’information collectée par l’agent de liaison en cours d’opération n’est pas consignée dans un registre central. Ainsi, cette information ne peut pas être utilisée dans le cadre d’évaluations ultérieures.

Conclusion No 9 : L’OSSNR constate que les membres du CCRIE avaient conclu que l’échange d’information engendrerait un risque sérieux de mauvais traitements qui ne pourrait pas être atténué. Or, le commissaire adjoint a établi que le risque pouvait bel et bien être atténué. Ces positions divergentes ont donc donné lieu à un désaccord entre les responsables ou à ce qu’il convient de considérer comme une situation où « les fonctionnaires ne sont pas en mesure d’établir s’il est possible d’atténuer le risque ».

Conclusion No 10 : L’OSSNR estime que les arguments sur lesquels s’appuie la décision du commissaire adjoint de rejeter le conseil du CCRIE ne tenaient pas suffisamment compte des dispositions stipulées dans les décrets en conseil. L’OSSNR estime surtout que dans son évaluation des risques de mauvais traitements de la personne concernée, le commissaire adjoint avait erronément mis l’accent sur l’importance de la relation stratégique qu’il conviendrait de maintenir avec l’entité étrangère.

Conclusion No 11 : L’OSSNR estime qu’AMC en est arrivé au point où il dépend largement du personnel opérationnel et des chefs de mission lorsqu’il s’agit de prendre des décisions et de s’acquitter de ses responsabilités au titre de la Loi visant à éviter la complicité

Conclusion No 12 : L’OSSNR estime qu’AMC n’a pas démontré que tous ses secteurs d’activités étaient intégrés à son cadre assujetti à la Loi visant à éviter la complicité.

Conclusion No 13 : L’OSSNR constate qu’AMC n’a pas rendu la formation sur la Loi visant à éviter la complicité obligatoire pour le personnel des secteurs d’activité concernés. De ce fait, les membres du personnel pourraient prendre part à des échanges d’information sans avoir reçu la formation requise et sans connaître adéquatement les dispositions auxquelles les échanges sont assujettis au titre de la Loi visant à éviter la complicité.

Conclusion No 14 : L’OSSNR estime qu’AMC n’a pas tenu régulièrement à jour ses rapports sur les droits de la personne. Certes, bon nombre de ces rapports ont été mis à jour pendant l’année d’examen 2021, mais plus de la moitié n’a pas été mise à jour depuis 2019. Cette situation pose de sérieux problèmes dans la mesure où les ministères et les organismes s’appuient en grande partie sur ces rapports lorsqu’il s’agit d’évaluer les risques au titre de la Loi visant à éviter la complicité.

Conclusion No 15 : L’OSSNR estime qu’AMC n’utilise pas une approche normalisée et centralisée pour le suivi des documents relatifs aux garanties.

Recommendation no 1 : L’OSSNR recommande que la GRC mette en place un système centralisé permettant de faire un suivi des mises en garde et des garanties fournies par les entités étrangères et, dans la mesure du possible, de vérifier et indiquer si lesdites mises en garde et garanties ont été respectées.

Recommendation No 2 : L’OSSNR recommande que dans les cas où le commissaire adjoint de la GRC est en désaccord avec une recommandation du CCRIE selon laquelle une information ne devrait pas être échangée, le dossier soit automatiquement renvoyé au commissaire.

Recommendation No 3 : L’OSSNR recommande que l’évaluation du risque sérieux ne porte que sur les termes énoncés dans le décret en conseil – à savoir sur le risque sérieux de mauvais traitements et sur la possibilité d’atténuer ledit risque – et que les objectifs externes, notamment, la promotion des relations stratégiques n’aient aucune incidence sur les décisions à rendre.

Recommendation No 4 : L’OSSNR estime que les recommandations du CCRIE devraient être renvoyées à un commissaire adjoint qui n’est pas le responsable de la sous-direction dont le cas est issu.

Recommendation No 5 : L’OSSNR recommande qu’AMC veille à ce que la responsabilité en matière de conformité à la Loi visant à éviter la complicité incombe clairement au Comité de conformité pour éviter les mauvais traitements.

Recommandation No 6 : L’OSSNR recommande qu’AMC réalise en interne un exercice formel de schématisation des processus d’autres secteurs d’activité potentiellement concernés, de sorte à s’assurer que les obligations qui lui incombent en vertu de la Loi visant à éviter la complicité soient respectées.

Recommendation No 7 : L’OSSNR recommande qu’AMC rende obligatoire la formation sur la Loi visant à éviter la complicité, et ce, pour tout le personnel permutant.

Recommendation No 8 : L’OSSNR recommande qu’AMC veille à ce que les rapports sur les droits de la personne soient régulièrement mis à jour pour chaque pays, ce qui permettra auxdits rapports de rendre fidèlement compte de l’évolution des enjeux en matière de droits de la personne.

Recommendation No 9 : L’OSSNR recommande qu’AMC mette en place un système centralisé permettant de faire un suivi des mises en garde et des garanties fournies par les entités étrangères et de documenter toute occurrence de non-conformité, et ce, dans le but d’appuyer les évaluations de risques devant être réalisées ultérieurement.

Appendice II : Cadre et contexte de a Loi visant à éviter la complicité

Il importe de savoir à quel point les cadres juridiques ont évolué au cours des dix dernières années. Pour ce qui touche le droit international, l’État du Canada est partie à un certain nombre d’instruments internationaux, notamment, le Pacte international relatif aux droits civils et politiques (PIDCP) et la Convention contre la torture et autres peines ou traitements cruels, inhumains ou dégradants (CCT). En général, les interdictions relatives aux mauvais traitements sont désormais considérées comme faisant partie du droit international coutumier. D’ailleurs, ces engagements internationaux ont été intégrés au droit interne canadien, entre autres, l’interdiction eu égard à la torture, qui est clairement définie et codifiée dans le Code criminel, à l’article 269.1.

En 2010, le gouvernement du Canada a mis en place un cadre général visant à « [a]tténuer le risque de mauvais traitements lorsque de l’information est échangée avec des entités étrangères ». Il s’agissait là des premières instructions transmises par le gouvernement à plusieurs ministères et organismes relativement aux questions ayant trait aux échanges d’information et aux mauvais traitements.

Après l’établissement des cadres, deux Instructions du ministre ont été émises dans le menu détail aux ministères et organismes en 2011 et en 2017. L’IM de 2017 a été remise à sept ministères et organismes, et comportait des interdictions eu égard aux échanges d’information pouvant donner lieu à des risques sérieux de mauvais traitements qui ne peuvent pas être atténués. Les IM contenaient également des paramètres clairement définis concernant l’utilisation de l’information qui aurait pu être obtenue à la suite de mauvais traitements. Ainsi, la portée des IM s’en trouvait élargie dans la mesure où ces IM ne portaient plus exclusivement sur les enjeux de sécurité nationale, puisqu’elles abordaient désormais la question des échanges d’information avec les entités étrangères.

Le 12 juillet 2019, la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères est entrée en vigueur. Cette Loi codifie et consacre l’engagement du Canada à respecter les dispositions de la Charte canadienne des droits et libertés ainsi que les lois internationales interdisant la torture et les autres peines ou traitements cruels, inhumains ou dégradants. L’objectif premier de l’intégration de ces principes par voie législative plutôt que par l’intermédiaire d’instructions du ministre, comme c’était le cas, était de veiller à ce que l’engagement du Canada envers ces principes soit permanent plutôt que de fluctuer au gré des ministres ou des gouvernements au pouvoir. La Loi fournit un fondement législatif permettant au gouverneur en conseil (GEC) d’émettre des Instructions par l’intermédiaire des décrets en conseil. En outre, la Loi impose au GEC l’obligation d’émettre des décrets à au moins sept des ministères concernés. En septembre 2019, 12 décrets ont été transmis aux ministères et organismes appelés à échanger de l’information avec des entités étrangères.

Les décrets en conseil interdisent la communication d’information aux entités étrangères dès lors que cette communication pourrait donner lieu au risque sérieux qu’une personne subisse de mauvais traitements. Ces décrets interdisent également de demander à des organismes étrangers de l’information dès lors que ces demandes pourraient donner lieu au risque sérieux qu’une personne subisse de mauvais traitements. De plus, les décrets émis imposent certains paramètres à l’utilisation de l’information possiblement obtenue à la suite du mauvais traitement d’une personne, entre autres, en interdisant son utilisation là où il y aurait un risque sérieux de nouveaux mauvais traitements – notamment en tant qu’élément de preuve dans des procédures judiciaires, administratives ou autres – là où il y aurait un risque de porter atteinte aux droits et libertés de ladite personne (à moins que l’administrateur général ait décrété que cette utilisation serait nécessaire pour empêcher des pertes de vies ou des blessures corporelles importantes).

Instructions du ministre (2011)

  • Transmises au SCRS, au CST, à l’ASFC et à la GRC.
  • Le MDN a préparé en interne des instructions semblables, mais n’a pas reçu d’instructions de la part du ministre (directives fonctionnelles).
  • Les principales critiques déploraient que les ministères n’eussent pas le loisir de mesurer la valeur de l’information par rapport au risque de mauvais traitements.

Instructions du ministre (2017)

  • Ajout d’AMC et du MDN (au groupe formé par le SCRS, le CST, la GRC et l’ASFC).
  • Un certain nombre de changements ont été apportées, notamment, l’interdiction de communiquer ou de demander de l’information, ainsi que les nouvelles limites s’appliquant à l’utilisation de l’information (obtenue à la suite de mauvais traitements).
  • Exigences voulant que les ministères établissent et conservent des politiques et procédures permettant d’évaluer les risques.
  • Exigences en matière de coopération interinstitutions.

Décrets promulgés au titre de la Loi de 2019 visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères

  • Transmis à douze ministères et organismes, dont six n’avaient jamais reçu d’instructions formelles concernant les échanges d’information avec des entités étrangères (SP, CANAFE, TC, IRCC, ARC et MPO).
  • Codification de bon nombre des dispositions des IM de 2017.

Comme il en avait été question dans l’introduction, le cadre juridique qui gouverne les échanges d’information avec des entités étrangères s’applique à l’information ayant trait à tous les particuliers, qu’ils soient en détention ou non. Actuellement, on remarque qu’il n’y a aucune politique qui s’applique à l’ensemble du gouvernement dans le contexte de la Loi. Toutefois, les décrets qui ont été promulgués formulent des orientations quant au seuil à respecter pour les échanges d’information et aux niveaux hiérarchiques appelés à donner leur approbation lorsque l’incertitude plane sur les mesures d’atténuation et, le cas échéant, sur leur aptitude à suffisamment réduire le risque sérieux de mauvais traitement. En 2018, Sécurité publique Canada a mis sur pied un Groupe de coordination d’échange de renseignements dont l’objectif est de favoriser la diffusion des pratiques exemplaires entre les ministères et organismes.

Chaque ministère élabore son propre cadre interne et ses propres politiques pour la mise en application de la Loi. Certains ministères qui ont reçu précédemment des IM visant à éviter la complicité dans les cas de mauvais traitements infligés par les entités étrangères ont tiré parti de circonstances propices à la création de processus, de procédures et de politiques internes permettant de reconnaître les pratiques d’échange d’information qui pourraient poser un risque sérieux de mauvais traitements. Ces ministères ont développé non seulement des approches structurées visant à enregistrer les garanties (verbales ou écrite) reçues de la part des entités étrangères concernées, mais aussi des mesures d’atténuation qu’il conviendrait d’appliquer de sorte qu’une menace soit ramenée sous le seuil du risque sérieux de mauvais traitements.

Appendice III : Recommandations précédentes

Conclusions et recommandations des années précédentes
Rapport pour l'année 2018 Rapport pour l'année 2019 Rapport pour l'année 2020
Conclusion No 1 : Avantages des examens internes des processus d’échange d’information. L’OSSNR a constaté que les examens internes périodiques des politiques et des processus en matière d’échange d’information aident à en assurer le bon fonctionnement à long terme. Conclusion No 1 : L’OSSNR a constaté que plusieurs ministères qui n’étaient pas au fait auparavant des visées de la Loi ont décrit les progrès considérables qu’ils ont faits, pendant la période d’examen et après celle-ci, en vue d’élaborer des cadres officiels pour soutenir sa mise en œuvre. Conclusion no 1 : L’OSSNR constate qu’au cours de la période visée par l’examen, l’ASFC et SP n’ont pas achevé leurs cadres de politique respectifs, contrairement aux instructions reçues au titre de la Loi
Recommandation no 1 : Les ministères devraient effectuer des examens internes périodiques de leurs politiques et de leurs processus en matière d’échange d’information avec des organismes étrangers afin de repérer les lacunes et les éléments qui ont besoin d’être améliorés. Constatation no 2 : L’OSSNR a constaté que les ministères qui effectuent peu d’échanges de renseignements avec des entités étrangères n’ont pas encore pleinement reconnu l’importance de mettre en place un cadre d’échange d’information officiel. Conclusion no 2 : L’OSSNR constate qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier visé par la Loi n’a été renvoyé aux administrateurs généraux des ministères.
Conclusion No 2 : L’indépendance du processus décisionnel varie d’un ministère à un autre. L’OSSNR a examiné la distance qui est mise entre les employés opérationnels qui pourraient porter un intérêt particulier à l’échange et la responsabilité de la prise de décisions à risque élevé. Dans certains ministères, les décideurs ont un intérêt opérationnel direct dans l’échange d’information, ce qui crée un risque de conflit entre les impératifs opérationnels et les obligations du ministère conformément à la DM. Plus particulièrement, l’OSSNR a noté que :
  • le CST et la GRC ont les processus les plus indépendants;
  • le processus d’échange d’information mis en place par AMC jusqu’ici enlève aux employés de première ligne la responsabilité de la prise de décisions à risque élevé;
  • au SCRS ainsi qu’au MDN et aux FAC, les décideurs ont habituellement un intérêt opérationnel direct dans l’échange d’information;
  • l’ASFC n’a pas encore opérationnalisé ses processus d’échange d’information.
Recommandation no 1 : L’OSSNR recommande que tous les ministères qui reçoivent des instructions en vertu de la Loi disposent d’un cadre officiel garantissant qu’ils peuvent pleinement soutenir la mise en œuvre de ces dernières. Conclusion No 3 : L’OSSNR constate que même si les ministères se fondent sur des sources d’information et des méthodes similaires pour déterminer si un dossier concernant le même pays suscitant des préoccupations doit être acheminé à un échelon supérieur, il existe d’importantes différences dans l’évaluation du risque et le niveau d’approbation requis qui en découlent.
Recommandation No 2 : Les ministères devraient faire en sorte que, dans les cas où le risque de mauvais traitements se rapproche du niveau « sérieux », les décisions soient prises indépendamment des employés des secteurs opérationnels ayant un intérêt particulier dans le résultat. Conclusion No 3 : L’OSSNR a constaté que la variabilité des cadres ministériels et les différences observées entre ces derniers témoignent du manque de coordination jusqu’à présent entre tous les ministères concernés et démontrent la nécessité de définir les pratiques exemplaires. Conclusion No 4 : L’OSSNR relève une lacune importante sur le plan des procédures, notamment, lors de l’analyse d’une demande de divulgation de renseignements. En l’occurrence, aucun renseignement n’a finalement été divulgué, mais il s’avère que le risque de mauvais traitements était sérieux et que le cas aurait dû être renvoyé au sous-ministre compétent, en l’occurrence, le sous-ministre des Affaires étrangères.
Conclusion No 3 : Les évaluations des risques associés aux échanges d’information ne sont pas uniformisées. En vertu de la DM de 2017, AMC, le SCRS, le CST et la GRC ont tous leur propre série de profils de pays étrangers ou d’entités étrangères, tandis que le MDN et les FAC sont en train d’établir les leurs. L’existence de multiples évaluations différentes constitue un dédoublement inutile. Elle pourrait également introduire des incohérences, les ministères arrivant parfois à des conclusions très différentes sur les bilans des pays étrangers et des entités étrangères en matière de droits de la personne ainsi que sur les risques associés à l’échange d’information. Recommandation No 2 : L’OSSNR recommande que les ministères coordonnent leurs activités afin de déterminer les pratiques exemplaires liées à toutes les composantes essentielles des cadres d’échange d’information et que le GCER soit mobilisé pour s’assurer que ces pratiques sont communiquées, dans la mesure du possible, à l’ensemble des ministères concernés de manière à soutenir la mise en œuvre de la Loi.
Recommandation No 3 : Les ministères devraient :
  • se doter d’un ensemble unifié d’évaluations de la situation des droits de la personne dans les pays étrangers, notamment d’un niveau uniforme de classification du risque de mauvais traitements pour chaque pays;
  • dans la mesure où de multiples ministères traitent avec les mêmes entités étrangères dans un pays donné, utiliser des évaluations uniformisées du risque de mauvais traitements associé à l’échange d’information avec des entités étrangères.
Constatation No 4 : L’OSSNR a constaté un manque d’uniformité entre les ministères en ce qui a trait à l’application des cadres d’échange d’information existants, plus particulièrement en ce qui concerne les seuils d’évaluation de l’information et le renvoi des cas au palier supérieur aux fins de décision par les cadres supérieurs.
Conclusion No 4 : Le concept de « risque sérieux » de mauvais traitements n’est pas défini. Comme la DM de 2017, la Loi et les instructions qui en découlent interdisent les échanges d’information qui entraîneraient un risque sérieux que de mauvais traitements soient infligés. Cependant, ni la Loi ni les instructions connexes ne comprennent une définition du terme « risque sérieux », malgré le rôle central que ce concept joue dans le régime. Le terme « risque substantiel » était défini dans les DM de 2011 et de 2017. L’absence d’une telle définition suscite des inquiétudes sur l’interprétation qui sera donnée à ce critère à l’avenir. Recommandation No 3 : L’OSSNR recommande aux ministères d’établir des seuils uniformes pour déclencher l’application de leurs cadres d’échange d’information, notamment en ce qui concerne les évaluations initiales au regard des préoccupations soulevées dans la Loi, l’acheminement des cas au palier suivant du processus décisionnel et la façon dont tout ceci est documenté.
Recommendation No 4 : La définition de « risque sérieux » devrait être codifiée dans la loi ou ans les instructions publiques. Constatation No 5 : L’OSSNR a constaté un manque d’harmonisation et de normalisation en ce qui a trait aux évaluations des pays et des entités utilisées par les ministères, ce qui entraîne un manque d’uniformité dans l’approche ou la position adoptée par tous les ministères concernés lorsqu’ils interagissent avec des entités étrangères qui suscitent des préoccupations au regard de la Loi.
Recommandation No 4 : L’OSSNR recommande aux ministères de trouver un moyen d’établir des outils harmonisés et normalisés d’évaluation des risques que présentent les pays et les entités afin de soutenir l’adoption d’une approche uniforme par les ministères lorsqu’ils interagissent avec des entités étrangères qui suscitent des préoccupations au regard de la Loi.

Annexe A : Cadres ministériels

Gendarmerie royale du Canada

Après avoir reçu les IM de 2017, la GRC a mis sur pied un nouveau Groupe d’évaluation de l’application de la loi (GEAL). Le GEAL dispose d’un mandat détaillé qui fait état des membres du groupe ainsi que des rôles et responsabilités qui incombent à ces membres. La principale fonction du GEAL est d’évaluer les pays et les entités d’application de la loi de l’étranger sur le plan des risques de mauvais traitements. Lorsqu’il procède à une évaluation, le GEAL prend en compte un certain nombre de facteurs, notamment, les antécédents du pays en matière de protection des droits de la personne, l’implication de certaines entités étrangères dans le contexte d’atteinte aux droits de la personne, l’historique des services locaux d’application de la loi sur le plan du respect des mises en garde, ainsi qu’une évaluation, par pays, des risques encourus par les personnes eu égard aux opinions politiques, à la religion, à l’identité ethnique, à l’orientation sexuelle, etc. Ainsi, le GEAL [Traduction] « tient un rôle prépondérant quant au processus décisionnel du CCRIE, lorsqu’il s’agit d’établir s’il convient d’échanger de l’information avec des services étrangers d’application de la loi. »

À l’heure actuelle, la GRC a ventilé entre ces catégories 146 profils de pays approuvés, dont 20 sont à risque élevé, 69 à risque modéré et 57 à risque faible. Cinquante et une évaluations de pays sont toujours en suspens. Pour le moment, le GEAL a l’intention de mettre ses profils à jour tous les deux ans, bien qu’il soit conscient qu’il devra mettre certains rapports à jour plus fréquemment en fonction des exigences opérationnelles. Jusqu’ici, il a été estimé que des mises à jour périodiques étaient hautement prioritaires pour 40 pays étant donné le volume des échanges d’information effectués.Actuellement, la GRC a catégorisé 146 profils de pays qui ont été approuvés, dont 20 sont associés à un risque élevé, 69 à un risque modéré, et 57 à un risque faible. On compte toujours 51 évaluations de pays qui n’ont pas été réalisées. Le GEAL envisage de mettre à jour la majorité de ses profils tous les deux ans, alors que certains seront mis à jour plus fréquemment en fonction des exigences opérationnelles. À ce jour, on compte 40 pays dont le profil doit absolument être mis à jour périodiquement en raison du volume des échanges d’information auxquels ces pays prennent part.

Graphic of FIRAC Process

Processus

Lorsqu’il reconnaît la nécessité d’échanger de l’information avec une entité étrangère, l’agent de la GRC doit suivre une procédure déjà établie :

[Traduction] « L’agent doit d’abord consulter un certain site intranet de la GRC, lequel a été créé par le GEAL. Ce site énumère les pays et leur attribue un code de couleur. Lorsqu’un pays arbore le code de couleur « vert », l’agent peut procéder à l’échange d’information. Or, lorsqu’un pays arbore le code de couleur « rouge » – ou encore le code de couleur « jaune » et que le contexte de l’échange proposé comporte des aspects et des facteurs associés aux cas énumérés – le dossier doit être renvoyé au CCRIE ».

Lorsque l’apport du CCRIE est requis, l’agent remplit un formulaire normalisé. Ce formulaire rempli doit être approuvé par un agent compétent des Enquêtes criminelles (EC) ou par un autre agent d’approbation. Le formulaire comprend un résumé de l’information à échanger, le type d’échange (demande, communication ou utilisation), le contexte opérationnel, les risques posés par l’échange d’information, la valeur de l’information pour l’enquête, les stratégies d’atténuation possibles et, s’il y a lieu, le libellé de l’information qui sera communiquée ou utilisée.

Le Secrétariat du CCRIE crée une trousse d’information qui comprend le formulaire de l’agent, le profil de pays du GEAL ainsi que les documents à l’appui soumis par le DG. La trousse d’information est ensuite envoyée aux membres du CCRIE en prévision de la réunion.

Une réunion du CCRIE est convoquée, puis la demande y est analysée et les stratégies d’atténuation sont prises en compte. C’est au président qu’il incombe de prendre la décision finale pour ce qui concerne les recommandations du CCRIE, mais la grande majorité des dossiers sont réglés à l’unanimité. Les opinions divergentes sont enregistrées dans le compte rendu des décisions. Or, une fois que le CCRIE a enregistré ses recommandations, le compte rendu des décisions et la note d’information afférente sont acheminés au commissaire adjoint pour décision finale.

Quant aux dossiers à l’égard desquels le CCRIE n’est pas en mesure d’établir si un risque sérieux de mauvais traitements peut être atténué, le commissaire adjoint compétent remet le compte rendu des décisions au sous-commissaire, qui demandera au commissaire de rendre une décision.

Affaires mondiales Canada

Actualisation du cadre

Affaires mondiales Canada (AMC) a indiqué qu’aucune modification n’avait été apportée à son cadre pendant la période visée par le présent examen.

Annex I: Global Affairs Canada Framework

Processus

Tri

AMC ne compte pas sur un ensemble unique de processus permettant d’établir si l’information utilisée par le ministère pourrait avoir été obtenue à la suite de mauvais traitements infligés à une personne par une entité étrangère. Lorsqu’il juge qu’il est probable que l’information reçue a été obtenue à la suite de mauvais infligés à une personne par une entité étrangère, mais souhaite tout de même utiliser ladite information, le responsable est tenu, conformément à ce qu’il a appris lors de sa formation, de s’enquérir auprès d’un gestionnaire des programmes de l’Administration centrale. S’il n’est pas en mesure de prendre une décision quant à établir si l’utilisation respecte les dispositions de la Loi, ce gestionnaire doit consulter le groupe des politiques ministérielles concerné ainsi que les Services juridiques.

Comités de la haute direction

Les réunions du Comité de conformité pour éviter les mauvais traitements (CCEMT) portent principalement sur les éléments suivants :

  • L’information que l’on envisage d’utiliser est-elle susceptible d’avoir été obtenue à la suite de mauvais traitements?
  • Quelles sont les mesures proposées pour atténuer les risques? Quelle est la probabilité que ces mesures atteignent leur objectif?
  • Il conviendra de prendre en compte les justificatifs et l’ampleur de toute éventuelle implication avec l’entité ou l’État étranger, qui pourrait donner lieu à un mauvais traitements.

Le Secrétariat du CCEMT crée un compte rendu des décisions et le fait parvenir aux membres du CCEMT pour commentaires. Une fois que l’information est colligée, celle-ci est conservée par le Secrétariat pour d’éventuels rapports. Le Secrétariat du CCEMT assure un suivi auprès du responsable demandeur pour faire le point concernant le résultat de la situation et pour lui demander une dernière mise à jour dès lors que la situation est réglée.

Chacun des rapports sur les droits de la personne produits par Affaires mondiales Canada se fonde sur des données probantes pour faire un état de la situation en matière de droits de la personne dans un pays donné. Cet aperçu rapporte les événements importants qui touchent la question des droits de la personne tout en décrivant les tendances et les faits nouveaux. De plus, il comprend une section portant sur la question des mauvais traitements. Au reste, aucun score n’est attribué aux pays, et c’est aux responsables qu’il revient d’évaluer les risques à partir de l’information contenue dans les rapports.

Mesures d’atténuation

L’Unité des services juridiques ou la Direction des politiques et des programmes liés au renseignement fournissent des orientations concernant les restrictions et les interdictions s’appliquant à l’utilisation des renseignements obtenus à la suite de mauvais traitements. Ils sont également en mesure de proposer d’éventuelles mesures d’atténuation, notamment l’aseptisation des renseignements, lorsque l’un des risques suivants se concrétise : infliction de mauvais traitements à un individu; atteinte aux droits et aux libertés d’un individu; utilisation de renseignements à titre de preuves dans toute forme de procédures judiciaires, administratives ou autres.

Share this page
Date de modification :

Examen de la diffusion du renseignement ayant trait à l’ingérence politique étrangère exercée par la République populaire de Chine de 2018 à 2023

Examens Terminés

Examen de la diffusion du renseignement ayant trait à l’ingérence politique étrangère exercée par la République populaire de Chine de 2018 à 2023


Date de publication :

Lettre au Premier ministre

April 26, 2024

Le très honorable Justin Trudeau, P.C., député
Premier ministre du Canada
80, rue Wellington
Ottawa (Ontario) K1A 0A2

Monsieur le Premier ministre,

Au nom de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), je suis heureuse de vous soumettre notre rapport spécial faisant suite à l’Examen de la diffusion du renseignement ayant trait à l’ingérence politique étrangère exercée par la République populaire de Chine de 2018 à 2023.

Rappelons que cet examen a été réalisé en application des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

L’examen nous a permis d’analyser la façon dont l’information a circulé au sein du gouvernement relativement aux activités d’ingérence étrangère exercée par la République populaire de Chine de 2018 à 2023, période durant laquelle ont eu lieu deux élections générales fédérales. Conformément à ses attributions et à son mandat, l’OSSNR a notamment examiné ce qui suit : les pratiques du Service canadien du renseignement de sécurité en matière de diffusion de l’information; le fonctionnement d’entités clés établies par le gouvernement dans le but de protéger l’intégrité des élections du Canada; ainsi que le rôle tenu par de hauts fonctionnaires, notamment par le conseiller à la sécurité nationale et au renseignement auprès du Premier Ministre, pour ce qui concerne la diffusion du renseignement. Vous avez reçu une version classifiée du présent rapport en date du 5 mars 2024.

Dès le début du processus d’examen, l’OSSNR a mené ses travaux indépendamment de ceux du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR), mais a tout de même fait en sorte qu’il n’y ait aucune duplication inutile entre les deux organes de surveillance. Le 5 mars 2024, l’OSSNR a avisé le CPSNR ainsi que les responsables de l’enquête publique sur l’ingérence étrangère dans les processus électoraux fédéraux et les institutions démocratiques que la version finale du rapport classifié de l’OSSNR vous avait été remise.

À ce moment, l’OSSNR vous a également indiqué qu’à son avis, il était dans l’intérêt public de faire rapport sur ce problème. Ainsi, en application de l’article 40 de la Loi sur l’OSSNR, nous vous remettons un rapport spécial pour dépôt au Parlement. Pendant une période s’échelonnant sur six semaines, l’OSSNR a tenu, conformément à l’alinéa 52(1)b) de la Loi sur l’OSSNR, des consultations auprès des administrateurs généraux des ministères et organismes concernés pour veiller à ce que le rapport spécial ne contienne aucun renseignement dont la divulgation pourrait s’avérer préjudiciable pour la sécurité nationale, la défense nationale ou les relations internationales, ni aucune information qui serait protégée par le privilège lié au litige, le privilège du secret professionnel de l’avocat ou le secret professionnel de l’avocat et du notaire.

Reconnaissant l’importance que revêt ce sujet pour les Canadiens, l’OSSNR a fait le nécessaire pour que le rapport soit rédigé en vue d’une diffusion à grande échelle. En outre, l’OSSNR a obtenu des explications quant aux expurgations qui ont été appliquées et estime que la présente version du rapport comporte toute l’information qu’il est possible de divulguer. Par ailleurs, les conclusions et les recommandations formulées dans le rapport classifié de l’OSSNR ne contenaient aucune information préjudiciable ou protégée. Ainsi, les conclusions et les recommandations qui accompagnent le rapport spécial sont exactement les mêmes que celles figurant dans le rapport classifié. 

Conformément aux obligations énoncées dans la Loi sur l’OSSNR, le présent rapport doit être déposé devant chaque chambre du Parlement dans les quinze premiers jours de séance de celle-ci. En guise de respect du privilège parlementaire, l’OSSNR s’abstiendra de commenter le contenu de son rapport tant que le rapport spécial n’aura pas été déposé au Parlement.

Le présent rapport contient huit recommandations. Nous demandons au gouvernement d’indiquer à l’OSSNR s’il est d’accord avec lesdites recommandations et, dans l’affirmative, de préciser comment il entend les mettre en œuvre. Une attention minutieuse et opportune devra être accordée aux recommandations de l’OSSNR si l’on souhaite que les efforts investis par l’OSSNR sur le plan de la responsabilisation des institutions gouvernementales donnent des résultats probants. De plus, l’OSSNR pourrait publier dans son site Web, si elles sont disponibles, les réponses du gouvernement aux recommandations formulées. Ces réponses pourraient alors accompagner la version du présent rapport et pourraient, le cas échéant, figurer dans un rapport annuel.

Je vous prie d’agréer, Monsieur le Premier Ministre, l’expression de ma très haute considération.

L’honorable Marie Deschamps, C.C.

Présidente // Office de surveillance des activités en matière de sécurité nationale et de renseignement

Modifications

En vertu de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), l’Office de surveillance peut remettre au ministre concerné un rapport spécial portant sur tout enjeu relevant du mandat de l’OSSNR. Le ministre doit alors déposer le rapport spécial devant le Parlement dans les 15 jours de séance suivants.

Préalablement à la soumission d’un tel rapport, l’alinéa 52(1)(b) de la Loi sur l’OSSNR exige que l’Office de surveillance consulte les administrateurs généraux concernés pour veiller à ce que le rapport spécial ne contienne aucun renseignement dont la divulgation pourrait s’avérer préjudiciable pour la sécurité nationale, la défense nationale ou les relations internationales, ni aucune information qui soit protégée par le privilège lié au litige, le privilège du secret professionnel de l’avocat ou le secret professionnel de l’avocat et du notaire.

Le présent document est un rapport spécial que l’OSSNR a produit en application de l’article 40. Il s’agit d’une version révisée classifié qui a été remis au premier ministre le 5 mars 2024. En l’occurrence, les révisions apportées ont permis de retirer les informations pouvant s’avérer préjudiciables. Là où l’information pouvait simplement être retirée sans nuire à la lisibilité du document, l’OSSNR a remplacé le texte supprimé par une série de trois astérisques (***). Or, lorsqu’il a été nécessaire de contextualiser une suppression, l’OSSNR a modifié le texte en reformulant brièvement l’information qui avait été supprimée. Ces interventions sont signalées par l’ajout d’une série de trois astérisques au début et à la fin de la reformulation, et celle-ci est précédée et suivie de crochets (voir l’exemple ci-dessous).

EXEMPLE : [**Les parties révisées affichent des séries de trois astérisques qui précèdent et suivent la phrase, et la reformulation est entourée de crochets.**]

Liste des acronymes

Abbreviation Expansion
CEIPP Critical Election Incident Public Protocol
CTSN Canadian Top Secret Network
CST Centre de la sécurité des télécommunications
SCRS Service canadien du renseignement de sécurité
MDN Ministère de la Défense nationale
DM Deputy Minister
FI Foreign Interference
AMC Affaires mondiales Canada
HUMINT Human Intelligence
IAS Intelligence Assessment Secretariat
ISR Independent Special Rapporteur
MP Member of Parliament
NHQ National Headquarters
NSIA National Security and Intelligence Advisor
NSICOP National Security and Intelligence Committee of Parliamentarians
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
BCP Bureau du Conseil privé
PRC People’s Republic of China
PMO Prime Minister’s Office
PSB Protective Security Briefing
SP Sécurité publique Canada
GRC Gendarmerie royale du Canada
RRM Rapid Response Mechanism
SIGINT Signals Intelligence
SITE TF Security and Intelligence Threats to Elections Task Force
TRM Threat Reduction Measure
UFWD United Front Work Department
Abréviation Développement
AC Administration centrale
AMC Affaires mondiales Canada
BCP Bureau du Conseil privé
CPM Cabinet du premier ministre
CPSNR Comité des parlementaires sur la sécurité nationale et le renseignement
CSNR Conseiller à la sécurité nationale et au renseignement
CST Centre de la sécurité des télécommunications
DER Direction de l’évaluation du renseignement
DTFU Département du travail du Front uni
GRC Gendarmerie royale du Canada
GT MSRE Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections
HUMINT Renseignement humain (Human Intelligence)
IE Ingérence étrangère
MDN Ministère de la Défense nationale
MRM Mesure de réduction de la menace
MRR Mécanisme de réponse rapide
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
PPIEM Protocole public en cas d’incident électoral majeur
RCTS Réseau canadien Très secret
RPC République populaire de Chine
RSI Rapporteur spécial indépendant
SCRS Service canadien du renseignement de sécurité
SIGINT Renseignement électromagnétique (Signals Intelligence)
SISP Séance d’information sur la sécurité préventive
SM Sous ministre
SP Sécurité publique Canada

Sommaire

La collectivité de la sécurité et du renseignement admet unanimement que l’ingérence politique étrangère est une menace considérable pour le Canada et que la République populaire de Chine (RPC) constitue l’un des principaux auteurs de ce type de menace qui pèse sur tous les ordres de gouvernement. Pourtant, le présent examen – lequel porte sur la façon dont le renseignement ayant trait à l’ingérence politique étrangère exercée par la RPC a été diffusé entre 2018 et 2023 (période qui englobe les deux dernières élections fédérales) – indique que les éléments constitutifs de cette collectivité manifestent, en interne et entre eux, d’importants désaccords quant à savoir si, quand et comment il convient de diffuser les renseignements dont chacun dispose.

En outre, ces désaccords et ces disparités se fondent sur un enjeu qui concerne l’ensemble de la collectivité de la sécurité et du renseignement : comment doit on aborder cette « zone grise » où les activités d’ingérence politique étrangère en viennent à ressembler aux activités courantes des sphères politique et diplomatique? En l’occurrence, l’OSSNR a relevé un certain nombre d’éléments indicateurs de cet enjeu pendant le déroulement de l’examen, notamment dans les décisions visant à établir s’il y avait lieu de diffuser l’information et comment il convenait de caractériser ce qui devait être diffusé. Le risque de qualifier de menace des manifestations politiques ou diplomatiques qui seraient pourtant légitimes a amené certains membres de la collectivité du renseignement à éviter de considérer certaines activités comme des activités de menace. 

Intelligence is by its nature provisory. It does not constitute proof that the described activities took place, or took place in the manner suggested by the source(s) of the information. At the same time, the fact that it is ne contenait pas proof does not mean it should be withheld – by this standard, very little (if any) intelligence would ever be shared. What is required – between collection and dissemination – is an evaluation of the intelligence and a decision as to whether it should, or should not, be communicated in some way.

Pour ce qui a trait à la diffusion du renseignement concernant l’ingérence étrangère dans les élections, le Service canadien du renseignement de sécurité (SCRS) a fait face à un dilemme. D’une part, l’information relative à l’ingérence étrangère dans les élections constituait une priorité pour le gouvernement, et le SCRS avait déployé son dispositif de collecte de sorte à mener son enquête sur le plan de l’ingérence politique étrangère. D’autre part, le SCRS reconnaissait la possibilité que la collecte et la diffusion de renseignement concernant les élections puissent également être interprétées comme des formes d’ingérence dans le processus électoral. Ainsi, une tension de fond demeure : toute mesure – notamment la diffusion de renseignement – prise par le SCRS avant ou pendant l’élection ne doit, ni en fait ni en apparence, influer sur celle ci. 

Au sein du SCRS, cette dynamique était bien connue, mais elle n’est formellement abordée ni dans la politique ni dans les lignes directrices. Comme il était difficile de savoir, surtout pour les responsables de la collecte de renseignement, quels étaient les motifs généraux ou les politiques appelés à orienter les mesures de diffusion du renseignement sur l’ingérence politique étrangère, il devenait tout aussi difficile de savoir comment ces motifs et ces politiques devaient orienter chacune des décisions. Globalement au sein du SCRS, on avait de plus en plus l’impression que les règles et les décisions étaient établies, voire modifiées, malgré l’absence d’une stratégie ou d’orientations qui soient cohérentes.

L’OSSNR recommande que le SCRS conçoive une politique et une stratégie complètes s’appliquant à tous les aspects de la façon dont le SCRS se mobilise – à savoir lorsqu’il enquête, produit des rapports et réagit aux menaces – contre l’ingérence politique étrangère. En outre, ces outils rehausseraient le niveau de cohérence au sein de l’organisation. Ils indiqueraient aux intervenants du gouvernement du Canada que le SCRS a attentivement pris en compte tous les aspects de l’ingérence politique étrangère, particulièrement les difficultés qu’elle pose, mais aussi qu’il établit des rapports et prodigue des conseils suivant des normes et des seuils rationnellement établis. 

Le SCRS est membre du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (MSRE) en compagnie du Centre de la sécurité des télécommunications (CST), de la Gendarmerie royale du Canada (GRC) et d’Affaires mondiales Canada (AMC). L’une des principales fonctions du Groupe de travail est de remettre des rapports de renseignement coordonnés à un groupe de hauts fonctionnaires, à savoir le groupe responsable du Protocole public en cas d’incident électoral majeur (PPIEM), pendant la période de l’élection. Ces deux organes ont pour objet de recevoir et d’analyser le renseignement provenant de la collectivité du renseignement relativement à l’ingérence politique étrangère dans les élections fédérales, mais aussi de réagir audit renseignement.

Les visées du Groupe de travail MSRE et du groupe responsable du PPIEM ont été définies dans le but de remédier au problème global et systématique d’une ingérence qui est principalement exercée en ligne (à l’instar de ce que nous avons pu observer durant l’élection présidentielle américaine de 2016). Or, ces organes n’ont pas été en mesure s’attaquer adéquatement aux sources traditionnelles et humaines de l’ingérence exercée dans les circonscriptions. Ainsi, l’OSSNR recommande que le Groupe de travail MSRE et le groupe responsable du PPIEM fassent l’objet de mesures d’adaptation visant à leur permettre désormais de veiller à ce que les menaces liées à l’ingérence étrangère soient intégralement et adéquatement prises en charge.

En contexte non électoral, la collectivité du renseignement collecte régulièrement du renseignement sur l’ingérence politique étrangère de la RPC. Ce renseignement est échangé horizontalement, au sein de la collectivité, ainsi que verticalement, avec les principaux décideurs, notamment les représentants élus.

Au cours de la période visée par l’examen, le SCRS n’a pas été en mesure de savoir exactement qui avait reçu et lu ses documents de renseignement. Cette absence de certitude est en partie attribuable à la multiplicité des systèmes de suivi interne qui sont employés par les ministères destinataires et qui n’ont possiblement pas été en mesure d’enregistrer ce type de données. Mais en définitive, c’est au destinateur de cette information sensible, en l’occurrence le SCRS, qu’il incombe de contrôler et de documenter les accès.

Le défaut de savoir ce qui a été reçu – et par qui – a eu des répercussions en donnant lieu, notamment, à la controverse autour du renseignement selon lequel la RPC ciblait un député en exercice.

Les médias et les propos du public concernant ce renseignement traitaient principalement de deux produits du SCRS : l’un émis en mai 2021, l’autre en juillet 2021. De fait, aucun des produits ne constituait le mécanisme par lequel le ministre et le sous ministre de la Sécurité publique devaient initialement être mis au courant des activités de menace que la RPC dirigeait contre ledit député et sa famille. Ce sont plutôt [**des renseignements du SCRS**] qui, [**avant mai 2021**], [**avaient**] trait au ciblage que la RPC exerçait à l’endroit du député en question. Le SCRS a envoyé [**ces renseignements**] des listes de destinataires, qui incluaient le sous ministre et le ministre de la Sécurité publique.

Sécurité publique a confirmé qu’au moins un [**expurgé**] avait été remis au Ministre [**avant mai**] 2021, probablement inséré dans une trousse de lecture produite hebdomadairement. Toutefois, le ministère n’a pas été en mesure de savoir ce qu’il était advenu [**expurgé**]. Or, cette situation est inadmissible. Ainsi, l’OSSNR recommande que soit mis en place un mécanisme élémentaire de responsabilisation par lequel le SCRS et Sécurité publique enregistreraient rigoureusement les données permettant de savoir qui a reçu les produits de renseignement et, le cas échéant, qui les a lus. 

Dans le même temps, le suivi des produits de renseignement jusqu’à leurs destinataires n’est pas une panacée. Les utilisateurs devraient avoir un intérêt réel pour le renseignement qu’ils reçoivent et comprendre dans quelle mesure ce renseignement peut leur permettre de s’acquitter de leurs responsabilités respectives.

En 2021, des analystes du Bureau du Conseil privé et du SCRS ont produit des rapports qui devaient présenter une synthèse des activités d’ingérence étrangère de la RPC, mais que la conseillère à la sécurité nationale et au renseignement (CSNR) auprès du premier ministre a vus comme de simples comptes rendus d’activités diplomatiques courantes. Ce désaccord a joué un rôle dans le fait que certains des produits de renseignement ne se sont pas rendus à l’exécutif politique, notamment le premier ministre.

L’écart entre le point de vue du SCRS et celui du CSNR est important dans la mesure où cette question s’avère fondamentale. Or, le SCRS a produit des rapports suivant la collecte et l’analyse de renseignement concernant des activités dont il estimait qu’elles constituaient une menace envers la sécurité nationale. L’un des principaux utilisateurs de ces rapports (qui s’avère être l’intermédiaire par lequel le renseignement parvient au premier ministre) était en désaccord avec cette appréciation. En théorie, les engagements en matière d’intervention en cas d’ingérence politique étrangère sont relativement simples à comprendre. Mais en pratique, ils risquent de s’embrouiller si les divergences élémentaires quant à la nature de la menace deviennent monnaie courante au sein de la collectivité.

L’OSSNR recommande que les utilisateurs habituels du renseignement adoptent des mesures permettant d’accroître le niveau de compétence en matière d’exploitation du renseignement au sein de leurs ministères respectifs; il recommande également que la collectivité de la sécurité et du renseignement acquière une seule et même compréhension fonctionnelle de ce qui constitue de l’ingérence politique étrangère. Certes, le CSNR tient un rôle de coordonnateur au sein de la collectivité de la sécurité et du renseignement, mais les attributions de ce rôle ne sont toujours pas définies. Ainsi, la portée de son influence dans les décisions concernant la distribution des produits de renseignement du SCRS n’est pas clairement établie. Par conséquent, l’OSSNR recommande que le rôle du CSNR, pour ce qui a trait notamment aux décisions en matière de diffusion du renseignement, soit décrit dans un instrument juridique.

Introduction

Fondements législatifs

Le présent examen a été réalisé en application des autorisations visées aux alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Portée de l’examen

La portée de l’examen s’étend à tout le renseignement portant sur l’ingérence exercée par la République populaire de Chine sur les institutions et les processus démocratiques fédéraux, de 2018 à 2023. L’accent a été mis expressément sur le cheminement que ce renseignement a suivi au sein du gouvernement, c’est à dire depuis le travail de ceux qui ont collecté le renseignement jusqu’aux utilisateurs dudit renseignement (les « clients »), à savoir certains cadres supérieurs de la fonction publique ainsi que des représentants élus.

Le présent examen traite, notamment, des ministères et organismes suivants :

  • le Service canadien du renseignement de sécurité (SCRS);
  • le Centre de la sécurité des télécommunications (CST);
  • la Gendarmerie royale du Canada (GRC);
  • Affaires mondiales Canada (AMC);
  • Sécurité publique Canada (Sécurité publique, SP)
  • le Bureau du Conseil privé (BCP).

Il s’agit là des membres principaux de la collectivité de la sécurité et du renseignement qui exercent un mandat se rapportant à l’ingérence étrangère dans les institutions et les processus démocratiques du Canada. L’examen a également tiré parti d’informations qu’Élections Canada (EC) a fournies au sujet de ses relations avec les ministères et organismes énumérés plus haut, mais il a aussi tiré parti de renseignements qu’EC a reçus de ces ministères et organismes.

Méthodologie

L’OSSNR a recueilli de l’information suivant diverses modalités, que voici :

  • examen de documents (environ 17 000 documents);
  • neuf (9) séances d’information;
  • quatorze (14) entrevues;
  • vingt et une (21) demandes d’information,
    • notamment, des demandes de documents ainsi que des demandes de réponses écrites à diverses questions;
  • accès direct à la base de données opérationnelle et au répertoire organisationnel du SCRS;
  • accès direct à la base de données du CST contenant les rapports sur l’ingérence étrangère.

La Loi sur l’OSSNR autorise l’Office de surveillance à accéder à toute l’information, sauf aux documents confidentiels du Cabinet, dont dispose ou que contrôle l’entité visée par l’examen (ou l’entité examinée). De plus, cette loi autorise l’Office de surveillance à recevoir, de la part de l’entité examinée, tout document et toute explication qu’il juge nécessaire.

Au départ, l’OSSNR n’a pas demandé de recevoir les documents confidentiels du Cabinet dans la mesure où la portée de l’examen ne s’étendait pas aux réponses stratégiques du gouvernement en matière d’ingérence étrangère, se concentrant plutôt sur le cheminement de l’information au sein de l’appareil gouvernemental. Toutefois, dans son premier rapport public, le rapporteur spécial indépendant (RSI) sur l’ingérence étrangère, le très honorable David Johnston, a recommandé que l’OSSNR ait accès aux documents confidentiels du Cabinet qui lui avaient été remis aux fins de l’examen qu’il était chargé de réaliser. Dans la foulée de cette recommandation, l’OSSNR a écrit au premier ministre le 7 juin 2023 pour demander que tous les documents confidentiels du Cabinet se rapportant au sujet de son examen lui soient remis, et non seulement ceux reçus par le RSI. 

Le 13 juin 2023, un arrêté en conseil autorisait la remise, à l’OSSNR, des documents confidentiels du Cabinet examinés par le RSI. Or, il convient de rappeler que la portée et l’objet de l’examen de l’OSSNR diffèrent de ceux du rapport déposé le 23 mai 2023 par le RSI. Le rapport du RSI se concentrait sur le renseignement qui avait trait à l’ingérence étrangère exercée pendant les 43e et 44e élections générales fédérales et qui avait été rapporté dans les médias. Souhaitant préserver l’intégrité de ses examens et garantir son indépendance, l’OSSNR ne pouvait pas se pencher sur une partie des documents confidentiels du Cabinet (ceux remis au RSI) sans examiner tous les autres documents confidentiels du Cabinet s’avérant pertinents, compte tenu précisément de la portée et de l’objet de son examen. La demande concernant la totalité des documents pertinents est restée sans réponse de la part du premier ministre. Par conséquent, l’OSSNR a refusé de se pencher sur le sous-ensemble de documents confidentiels du Cabinet qui lui avait été fourni. En considération de la portée du présent examen, l’OSSNR estime néanmoins avoir reçu toute l’information nécessaire pour étayer solidement son analyse, ses conclusions et ses recommandations. 8. Conformément aux obligations qui lui incombent en vertu de l’article 13 de la Loi sur l’OSSNR, l’Office de surveillance a coopéré avec le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) de sorte à éviter le double emploi s’agissant des travaux que les deux organismes réalisent dans le cadre de leurs examens respectifs sur l’ingérence étrangère.

Déclarations concernant l’examen

Le SCRS, le CST, la GRC, AMC et Sécurité publique ont répondu aux attentes de l’OSSNR sur le plan de la réactivité pendant le déroulement du présent examen. Quant au BCP, il n’a répondu aux attentes que partiellement en raison des retards qu’il a affichés lorsqu’il s’est agi de répondre aux demandes d’information de l’OSSNR.

L’OSSNR a été en mesure de vérifier l’information relative au présent examen conformément aux attentes.

Renseignements généraux

À partir de l’automne de 2022, une série de reportages du journal The Globe and Mail et de Global News ont fait référence à des documents classifiés du SCRS portant sur l’ingérence étrangère de la RPC dans les institutions et les processus démocratiques du Canada, dans le cadre, en l’occurrence, des 43e et 44e élections fédérales. Ces reportages ont suscité des inquiétudes à l’égard de la réaction du gouvernement face à la menace que constitue l’ingérence étrangère, mais aussi quant à l’intégrité des institutions et processus démocratiques du Canada.

Le 9 mars 2023, l’OSSNR a annoncé qu’il amorcerait le présent examen portant sur la production et la diffusion du renseignement sur l’ingérence étrangère commise à l’occasion des 43e et 44e élections fédérales. L’examen devait se concentrer principalement sur le cheminement de cette information au sein du gouvernement, pour ensuite permettre de répondre à la question fondamentale : la collectivité de la sécurité et du renseignement a t elle adéquatement relayé l’information aux responsables de la protection des institutions et processus démocratiques du Canada contre les menaces d’ingérence étrangère? La granularité de cette question – laquelle requiert la comparaison entre les données brutes collectées et le renseignement ultérieurement diffusé dans les produits finis – se prêtait au mandat de l’OSSNR ainsi qu’aux accès que ce mandat procure, notamment l’accès direct aux systèmes du SCRS et la possibilité de discuter avec les agents de renseignement sur le terrain. On a jugé que certaines considérations générales d’ordre politique (par exemple, ce que les décideurs politiques ont fait ou décidé de ne pas faire de l’information qu’ils ont reçue) ne faisaient pas partie de la portée des travaux, mais qu’elles devraient être prises en compte par d’autres organismes chargés d’examiner les activités du présent domaine, notamment le CPSNR et la commission d’enquête dirigée par l’honorable Marie Josée Hogue. La question que pose l’OSSNR est fondamentale en cela qu’une réponse opérante nécessite une information qui soit adéquate.

Ingérence politique étrangère

L’ingérence étrangère comprend les activités secrètes, clandestines ou trompeuses que des acteurs étrangers mènent dans le but de promouvoir leurs intérêts, que ceux ci soient de nature stratégique, géopolitique ou économique, ou qu’ils relèvent de la sécurité. L’ingérence étrangère peut être exercée dans toutes les sphères de la société, notamment le secteur privé, le monde universitaire, les médias et le système politique. L’ingérence exercée dans cette dernière sphère, l’ingérence politique étrangère est un sous ensemble de ce que l’on conçoit plus généralement comme de l’ingérence étrangère.

Un exemple probant d’ingérence politique étrangère est la propagation, voire l’amplification de la désinformation dans les plateformes de médias sociaux, comme l’a fait la Russie pendant l’élection présidentielle américaine de 2016. Tout aussi répandues sont les formes « traditionnelles » (par des humains) d’ingérence qui comportent divers aspects, notamment : l’entretien de relations avec les personnalités politiques aux fins d’ingérence; le recrutement et la coercition de personnes travaillant dans le domaine politique (notamment le personnel ministériel); les dons en espèce versés illicitement, illégalement ou clandestinement à des politiciens ou à des partis politiques; et l’exercice de pressions sur les diasporas au moyen de menaces et de mesure d’intimidation.

Selon les propos tenus au sein de la collectivité de la sécurité et du renseignement, le plus important auteur d’ingérence étrangère (politique ou autre) au Canada est la RPC. En effet, la RPC mène systématiquement de vastes opérations d’ingérence dans tous les ordres de gouvernement. Ces activités sont généralement l’œuvre du Département du travail du Front uni (DTFU), dont la mission est, notamment, de façonner et d’influencer, à l’échelle mondiale, les perceptions à l’égard de la RPC ainsi que les politiques la concernant. Cette influence peut prendre une diversité de moyens selon des approches ouvertes ou secrètes. Le DTFU existe depuis des décennies, mais l’on reconnaît généralement que ses activités se sont intensifiées depuis l’accession de Xi Jinping à la direction permanente de la RPC, intensification qui coïncide avec l’accroissement des tensions entre la RPC et les États occidentaux, notamment le Canada.

Le SCRS produit des rapports sur l’ingérence étrangère depuis qu’il a été créé, en 1984. À l’article 2 de la Loi sur le SCRS, on trouve une définition des termes « menaces envers la sécurité du Canada » et « activités influencées par l’étranger », qui constituent des « activités qui sont préjudiciables [aux intérêts du Canada], et qui sont de nature clandestine ou trompeuse ou comportent des menaces envers quiconque ».

Par le passé, les rapports du SCRS sur l’ingérence étrangère de la RPC ont déjà suscité la controverse au sein du public. Ce fut le cas en 2010, lorsque Richard Fadden, alors directeur du SCRS, a fait des déclarations publiques concernant l’ingérence politique de la RPC au Canada, selon lesquelles le SCRS enquêtait sur bon nombre de politiciens dont on croyait qu’ils étaient [traduction] « sous l’influence d’un gouvernement étranger ». Ces commentaires ont suscité de nombreuses critiques exprimées publiquement, notamment celle venant du Comité permanent de la sécurité publique et nationale qui concluait que « [l]es allégations du directeur du SCRS ont nui à l’image de la classe politique et à celle de la communauté chinoise canadienne » .  

Puis en, [**expurgé**], le SCRS a créé un bureau spécial appelé à enquêter sur l’ingérence étrangère de la RPC, [**Une phrase a été modifiée et une autre supprimée pour éliminer l’information préjudiciable. Ces phrases décrivaient l’organisation des enquête du SCRS.**]. Le SCRS a indiqué à l’OSSNR que le volume des activités d’ingérence étrangère était considérable, [**expurgé**].

Au cours des années suivantes, les enquêtes n’ont cessé d’évoluer sans compter que le niveau de sensibilité des enquêtes et des rapports concernant l’ingérence politique étrangère (comme le démontre la controverse entourant la déclaration de M. Fadden) demeure élevé. Cette tension – entre une tendance favorisant la progression des enquêtes en matière d’ingérence étrangère et une approche plutôt prudente tenant compte de la sensibilité des enjeux – est manifeste dans toutes les activités abordées dans le présent rapport. De par sa nature, le renseignement est transitoire. Il ne constitue pas en soi une preuve que les activités décrites ont eu lieu ou qu’elles ont eu lieu de la façon qui est décrite par les sources de l’information. Or, ce n’est pas parce qu’il a été collecté que le renseignement doit nécessairement être diffusé auprès des clients du gouvernement. En revanche, le fait qu’il ne constitue pas une preuve ne signifie pas pour autant qu’il devrait être ignoré – sinon, une infime partie du renseignement, voire aucun renseignement ne serait mis en commun. En définitive, il faudrait qu’entre la collecte et la diffusion, une évaluation du renseignement soit réalisée, permettant ainsi de prendre une décision éclairée quant à la diffusion ou à la non diffusion dudit renseignement et aux moyens de le diffuser, le cas échéant. Ce procédé de même que ce processus décisionnel s’avèrent essentiels aux fonctions de la collectivité de la sécurité et du renseignement. Ils sont au cœur du présent rapport d’examen.

Conclusions, analyse et recommandations

La présente section fait état des conclusions de l’examen, de l’analyse qui en a suivi et des recommandations de l’OSSNR :

  • La partie 1 s’attarde à la diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des 43e et 44e élections fédérales. En l’occurrence, le principal objectif était d’évaluer le cheminement du renseignement. L’OSSNR a choisi de procéder à une analyse approfondie de trois cas précis. Les détails de ces cas et d’autres informations complémentaires ont été examinés par l’OSSNR, ce qui a permis de formuler des conclusions générales ayant trait à la diffusion du renseignement concernant l’ingérence politique étrangère de la RPC, puis d’émettre des recommandations générales à l’intention du SCRS concernant la gouvernance que le Service exerce dans ce domaine. 
  • Quant à la partie 2, elle aborde le rôle du Groupe de travail sur les menaces en matière de sécurité et de renseignement visant les élections (MSRE) et celui du groupe responsable du Protocole public en cas d’incident électoral majeur (PPIEM). Ces deux organes ont été créés pour recevoir et analyser le renseignement provenant de la collectivité du renseignement en vue d’intervenir. L’analyse met en évidence les lacunes et donne lieu à des recommandations visant à permettre à ces organes de se positionner avantageusement et de réagir adéquatement à la menace que constitue l’ingérence politique étrangère.
  • Enfin, la partie 3 s’écarte du contexte des élections pour s’attarder plutôt au cheminement global qu’a suivi, de 2018 à 2023, le renseignement sur l’ingérence politique étrangère de la RPC au sein de la collectivité de la sécurité et du renseignement, ce qui comprend les fonctionnaires et les représentants élus. Une attention particulière est accordée aux méthodes de diffusion du SCRS ainsi qu’au rôle du conseiller à la sécurité nationale et au renseignement (CSNR) auprès du premier ministre. Cette analyse fait brièvement état de la diffusion du renseignement relatif aux activités de ciblage que la RPC a exercées à l’égard d’un député, et propose une évaluation de la diffusion de deux produits d’analyse approfondie du renseignement sur l’ingérence politique étrangère.

Une fois combinés, ces éléments apportent des éclaircissements sur les difficultés globales liées à la façon dont le renseignement sur l’ingérence politique étrangère de la RPC a cheminé au sein du gouvernement du Canada, pendant la période visée par l’examen.

Partie 1 : Collecte et diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des élections fédérales de 2019 et de 2021

L’OSSNR a examiné le renseignement produit par le SCRS, le CST, AMC, le BCP et la GRC relativement à l’ingérence étrangère exercée pendant la 43e et la 44e élections fédérales. Dans trois cas – un en 2019 et deux en 2021 –, l’OSSNR a examiné la façon dont le SCRS diffusait le renseignement aux entités concernées du gouvernement du Canada, ce qui comprend le Groupe de travail MSRE et le groupe responsable du PPIEM.

Étude de cas 1 (élection de 2019)

L’étude de cas 1 concerne le renseignement qui a été collecté, en appui à un candidat à l’élection fédérale, sur les activités d’ingérence étrangère que la RPC a exercées.

Le renseignement lié à ce cas a été largement diffusé, notamment au Groupe de travail MSRE, au parti du candidat, à Élections Canada, au Bureau du commissaire aux élections fédérales, à de hauts fonctionnaires (notamment le groupe responsable du PPIEM), au ministre de la Sécurité publique et au premier ministre. Toutefois, dans certains cas, la diffusion de renseignement affichait des lacunes quant à la clarté et au caractère opportun.

Par exemple, le SCRS a diffusé, puis rappelé un produit d’analyse de renseignement clé concernant le cas avant l’élection. Le 1er octobre 2019, le SCRS a diffusé un document d’information en matière de sécurité nationale concernant les activités d’ingérence étrangères de la RPC se rapportant au cas en question. Le document d’information a été envoyé à une liste de destinataires comprenant de hauts fonctionnaires et des représentants du Groupe de travail MSRE. Dix jours plus tard, soit le 10 octobre, le SCRS a rappelé le produit et a demandé que tous les destinataires en détruisent les copies qui leur avaient été fournies. Cette décision a été prise par le directeur du SCRS à la suite d’une discussion avec le CSNR. Lorsque l’OSSNR lui a demandé d’expliquer les motifs pour lesquels le produit avait été rappelé, le SCRS a indiqué que ni le directeur ni le bureau du directeur ne pouvaient se souvenir des détails de la décision, si ce n’est que celle ci faisait suite à une demande du CSNR.

Dans le même temps, l’analyse ainsi que l’évaluation connexe incluses dans le produit ont été fournies (pas forcément avec le même détail ) dans des séances d’information verbales. Le 28 septembre, le SCRS (en sa qualité de membre du Groupe de travail MSRE et lors d’une réunion dirigée par le BCP) a informé les membres du parti du candidat concerné qui disposaient d’une cote de sécurité au niveau « Secret » au sujet du renseignement mettant au jour l’ingérence étrangère exercée par la RPC. Au bout de deux jours, soit le 30 septembre, le directeur du SCRS a fait part de ce renseignement et de l’évaluation réalisée par le SCRS au groupe responsable du PPIEM.

S’agissant du renseignement relatif à l’ingérence étrangère de la RPC associée au cas, le premier ministre n’en a pas été directement informé par le SCRS avant le mois de février 2021, soit seize mois après l’élection. Néanmoins, le premier ministre pourrait avoir été indirectement mis au courant du renseignement pertinent dont le SCRS disposait. Le BCP a indiqué qu’une séance d’information du BCP présentée au cabinet du premier ministre (CPM) et portant sur [traduction] « les enjeux liés à [l’étude de cas 1] avait probablement eu lieu à la fin de septembre ou au début d’octobre 2019 », sans pouvoir fournir à l’OSSNR quelque document que ce soit à ce sujet. De plus, certains éléments semblent indiquer que le 29 septembre, le premier ministre aurait été informé du contenu de la séance d’information offerte le 28 septembre par le SCRS.

En décembre 2019, le secrétaire adjoint à la Sécurité et au renseignement du BCP a préparé un mémoire au CSNR recommandant que celui ci informe le chef de cabinet du premier ministre concernant l’évaluation réalisée par le SCRS [**expurgé**]. Le dossier d’information aurait également fait part de vulnérabilités potentielles décelées dans le processus de nomination du candidat. Le BCP a indiqué qu’il n’y avait aucun document qui puisse confirmer que le mémoire avait été remis au CSNR (quoique le BCP était [traduction] « certain que [le CSNR] avait été mis au courant de l’information qu’il contenait »), ni aucun document indiquant que le CPM avait été informé conformément aux recommandations dudit mémoire. En qualité de membres du groupe responsable du PPIEM, le CSNR et le greffier du Conseil privé ont assisté à la séance d’information du 30 septembre 2019. En janvier 2020, le SCRS les a informés de nouveau sur le même sujet. Ensuite, en mars 2020, le SCRS a informé le ministre de la Sécurité publique relativement au cas.

Figure 1. Diffusion du renseignement relatif à l’étude de cas 1 : les dates clés

Figure 1. Diffusion du renseignement relatif à l’étude de cas 1 : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Les premiers rapports de renseignement sur les activités d’ingérence étrangère ayant trait au cas en question n’établissaient pas suffisamment de distinction entre les activités politiques courantes et l’ingérence étrangère constituant une menace. Certes, cette distinction était principalement implicite, mais en l’absence d’une compréhension claire de ce qui incitait le SCRS à croire que telle ou telle activité constituait de l’ingérence étrangère, il se pourrait que les utilisateurs du renseignement – particulièrement ceux qui étaient au fait des tactiques employées pendant les campagnes politiques – n’aient pas été en mesure d’apprécier l’apport du renseignement fourni.

Étude de cas 2 (élection de 2021)

L’étude de cas 2 concerne le renseignement collecté [**expurgé**] au sujet des activités d’ingérence étrangère réalisées par la RPC.

Le renseignement associé à l’étude de cas 2 a été acheminé [**expurgé**] au Groupe de travail MSRE, au groupe responsable du PPIEM et, peu après l’élection, au premier ministre.  

Cette diffusion tombait à point nommé, mais le SCRS a dérogé à ses pratiques de diffusion habituelles en limitant le nombre des rapports de renseignement. On ne sait trop si une décision d’application générale a été explicitement prise quant à la suspension de toute production de rapports de renseignement concernant l’étude de cas 2 pendant la période d’élection, ou si le faible nombre des rapports produits a été la conséquence logique de facteurs ponctuels propres à chacun des cas.

Le SCRS a envisagé plusieurs options permettant d’aborder et d’atténuer l’ingérence étrangère dans ce cas. [**expurgé**]. Le SCRS a réfléchi en vue de savoir si [**expurgé**] devrait avoir lieu avant ou après l’élection. En définitive, on a établi qu’il serait très imprudent [**expurgé**]. Notamment, le SCRS a indiqué que si ses efforts devaient être connus du public, le Service risquait d’être accusé d’ingérence dans le processus démocratique [**expurgé**].

[**Deux phrases ont été supprimées pour éliminer l’information préjudiciable. Ces phrases décrivaient le processus de communication du renseignement ayant trait aux activités d’ingérence étrangères de la RPC.**].

Figure 2. Diffusion du renseignement relatif à l’étude de cas 2 : les dates clés

Figure 2. Diffusion du renseignement relatif à l’étude de cas 2 : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Comme pour l’étude de cas 1, on note certaines difficultés sur le plan de la compréhension qu’ont les utilisateurs quant à l’importance prévue du renseignement fourni. Par exemple, un membre du groupe responsable du PPIEM a demandé des éclaircissements sur le côté « trompeur et clandestin » (éléments clés de la définition que le SCRS donne de la notion d’ingérence étrangère) des activités [**expurgé**]. Le SCRS a également indiqué que [**expurgé**] la RPC [**expurgé**] faisant ainsi fi de l’avis général qu’AMC avait transmis à toutes les missions diplomatiques au Canada et selon lequel [**tout apport**] direct ou indirect [**expurgé**] à l’élection était inapproprié.

Le renseignement collecté par le SCRS a été soumis aux entités concernées – notamment au groupe responsable du PPIEM [**expurgé**] – avant l’élection. En effet, selon ceux qui connaissent les travaux du groupe responsable, [**expurgé**] a été considéré comme un « succès » retentissant pour ce qui a trait à l’élection de 2021. Cette perception est généralement partagée par le SCRS [**expurgé**] informant les hauts fonctionnaires [**expurgé**].  

Néanmoins, le SCRS a dérogé à son processus habituel de diffusion en conséquence – en partie du moins – du sujet en question (ingérence politique étrangère). De plus, le fait que le SCRS n’a pas été en mesure de dire clairement si la décision d’éluder les produits de renseignement présentés par écrit avait été explicitement prise témoigne, en soi, d’un manque de clarté quant à la façon dont le renseignement sur l’ingérence politique étrangère devrait être traité, particulièrement pendant les élections.

Globalement, l’étude de cas 2 s’avère plus révélatrice, non pas en tant qu’exemple de diffusion lacunaire ou inadéquate du renseignement, mais plutôt comme une illustration des enjeux liés particulièrement à la diffusion du renseignement sur l’ingérence politique étrangère qui, lorsqu’on l’associe à d’autres exemples et d’autres cas, révèle des difficultés globales et systémiques dans la façon dont le SCRS communique l’information qu’il collecte au sujet des processus politiques.

Étude de cas 3 (élection de 2021)

L’étude de cas 3 concerne le renseignement collecté au sujet de l’ingérence étrangère que la RPC a exercée dans plusieurs circonscriptions d’une région géographique particulière, mais aussi au sujet de campagnes plus globales qui avaient un lien avec cette région, ciblant l’élection de façon plus générale. On compte plusieurs éléments de renseignement : ayant trait à diverses activités; collectés à divers moments auprès de diverses sources; faisant l’objet de mises en garde et de considérations diverses; diffusées (ou non) à divers moments, dans divers formats et à divers destinataires. 

Les décisions prises quant au moment et à la façon de diffuser ce renseignement ont donné lieu à des désaccords, à de l’incertitude et à un manque de communication au sein du SCRS. Cette rupture survenait principalement entre les agents appelés à collecter le renseignement dans les régions et ceux responsables de la diffusion dudit renseignement depuis l’Administration centrale (AC) (l’AC englobe [**l’unité spécialisée qui, à l’AC, combine les capacités opérationnelles et analytiques (ci après désignée par le terme « unité spécialisée de l’AC »)**] et la haute direction du SCRS). Pour simplifier, les agents de renseignement ne comprenaient pas pourquoi une part du renseignement qu’ils collectaient n’était pas du tout diffusée ou diffusée après ce qu’ils percevaient comme des retards anormaux. En revanche, il est souvent arrivé que l’AC décide de ne pas diffuser (ou de retarder la diffusion) du renseignement pour des raisons – généralement liées au caractère unique de l’ingérence politique étrangère – qui n’ont pas été communiquées ou qui, en l’absence de critères ou de motifs standards, pouvaient sembler arbitraires.

Le renseignement portant sur l’ingérence étrangère de la RPC dans une circonscription particulière constitue un exemple typique. [**Une phrase supprimée pour éliminer l’information préjudiciable. Cette phrase traitait de la date/des dates de collecte et des activités de menace décrites par le renseignement.**] Au bureau responsable de la collecte et de l’analyse de ce renseignement, on a cru bon d’inclure celui ci dans un rapport de renseignement destiné à la diffusion, d’autant plus qu’il avait trait directement à l’élection. À [**l’automne de 2021**], bon nombre de courriels ont été envoyés depuis la région vers [**l’unité spécialisée de l’AC**], dans lesquels on demandait d’expliquer pourquoi l’information n’avait pas été diffusée. Par la suite, le renseignement a été placé dans un rapport de renseignement ([**expurgé**]), puis il a été diffusé le [**expurgé**] 2021. Pour les responsables du bureau, ce retard ([**expurgé**]) a considérablement affaibli l’impact de l’information.  

D’autres renseignements concernant des occurrences ou des exemples distincts d’ingérence étrangère de la part de la RPC [**expurgé**] n’ont jamais été diffusés. En [**expurgé**] 2021, un analyste régional a rédigé un produit d’analyse incorporant ce renseignement, de sorte à produire [**expurgé**] d’ingérence étrangère de la RPC. Toutefois, un analyste principal [**de l’unité spécialisée de l’AC**] a estimé que la version préliminaire du produit ne contextualisait suffisamment [**expurgé**] l’ingérence étrangère de la RPC. Bien qu’au bureau régional, on ait reconnu [**expurgé**] on a néanmoins cru que les mises en garde d’usage (qui sont souvent incluses dans les rapports du SCRS [**expurgé**]) auraient suffisamment contextualisé l’information.  

[**À l’unité spécialisée de l’AC**], en revanche, on croyait plutôt [**expurgé**] rendait le renseignement problématique au point où, pour en faire rapport, il serait nécessaire de [traduction] « contextualiser [**expurgé**]. L’inquiétude vient du fait que l’information [**expurgé**] advenant qu’elle soit diffusée sans contexte ni caractérisation. Pour l’équipe régionale, cette apparente réticence à faire valoir l’information collectée semblait indiquer que des normes distinctes étaient appliquées au renseignement relatif à l’ingérence politique étrangère.

Il y a également eu des difficultés et des désaccords relativement au renseignement portant sur l’ensemble des campagnes d’ingérence. Après l’élection, un parti politique a envoyé au BCP une lettre dans laquelle on faisait état de ce que l’on croyait être de l’ingérence étrangère ciblant ses candidats dans 13 circonscriptions fédérales. L’une des principales préoccupations du parti était une campagne de désinformation dirigée contre lui.

Le Groupe de travail MSRE, plus précisément le SCRS et le mécanisme de réponse rapide (MRR) d’AMC, a consacré une importante analyse à cette campagne. En définitive, ni le SCRS ni le MRR n’ont été en mesure d’établir un lien direct avec la RPC. En décembre 2021, le Groupe de travail MSRE a achevé son rapport après action (RAA) sur l’élection de 2021, dans lequel il concluait que [**Une phrase a été modifiée pour en éliminer l’information préjudiciable. La phrase résumait la conclusion du Groupe de travail MSRE selon laquelle celui ci n’avait pas été en mesure d’établir un lien entre les propos tenus en ligne contre le parti politique et un acteur étatique étranger.**].

Toutefois, avant la publication de ce rapport, en [**expurgé**] 2021, le SCRS a collecté du renseignement [**expurgé**] la campagne de désinformation en ligne contre le parti politique.

Au sein du SCRS, on ne pouvait se mettre d’accord ni sur la façon de caractériser [**expurgé**] la campagne menée en ligne ni sur la question à savoir si [**expurgé**] devraient ou non être diffusés en tant que renseignement signalant une interférence étrangère exercée par la RPC. [**Deux phrases ont été supprimées pour éliminer l’information préjudiciable. Ces phrases abordaient la question des perspectives concurrentes adoptées par la région et une unité spécialisée de l’AC au sujet de la façon de caractériser le renseignement relatif aux activités d’ingérence étrangère potentielles.**]

L’élément crucial de ces perspectives contradictoires était la divergence sur le plan des orientations et de l’appréciation à l’égard des questions délicates associées aux rapports portant sur l’ingérence politique étrangère, divergence qui s’est cristallisée dans les diverses attitudes quant au seuil à partir duquel il convient de faire rapport. [**Deux phrases ont été supprimées pour éliminer l’information préjudiciable. Ces phrases décrivaient les interprétations concurrentes au sein du SCRS quant à certains renseignements sur les activités d’ingérence étrangères possibles, de même que les différences d’opinions qui en découlent relativement à la diffusion desdits renseignements.**] Ainsi, on assurerait aux utilisateurs du renseignement que le SCRS ne fait pas simplement rapport sur les activités normales [**expurgé**] régulièrement part au processus politique, mais plutôt sur des activités posant une menace envers la sécurité nationale du Canada.  

L’ébauche d’un rapport de renseignement faisant état [**expurgé**] dans l’ingérence étrangère pendant l’élection de 2021 n’a pas été diffusée. Ce renseignement a plutôt été réinvesti dans un produit plus général portant sur l’ensemble des activités d’ingérence étrangère [**expurgé**]. En juillet 2022, [**l’unité spécialisée de l’AC**] a indiqué à la région qu’il avait reporté la publication de la version longue du produit de renseignement jusqu’à ce qu’on puisse obtenir [**expurgé**] lorsqu’il s’agit d’inclure du renseignement électromagnétique (SIGINT) [**expurgé**] dans une analyse. Au bureau régional, par contre, on avait le sentiment que le produit, tel qu’il était rédigé, faisait suffisamment état des activités de menace [**expurgé**] et devait, par conséquent, être diffusé immédiatement. Étant donné que le SCRS pouvait voir le renseignement électromagnétique [**expurgé**], le report de la diffusion et l’inclusion de cette information dans le produit semblent indiquer que le SCRS sentait le besoin de convaincre les utilisateurs de la pertinence de l’évaluation que le Service avait faite [**expurgé**] plutôt que de simplement fournir cette évaluation en sa qualité de service de renseignement de sécurité du Canada. [**L’unité spécialisée de l’AC**] a d’ailleurs indiqué que la direction du SCRS planifiait de discuter du produit avec de hauts dirigeants de l’extérieur du SCRS (notamment le CSNR et le greffier du Conseil privé) avant d’en produire la version définitive.

Figure 3. : Diffusion du renseignement *** dans l’élection de 2021 : les dates clés

Figure 3. : Diffusion du renseignement [**expurgé**] dans l’élection de 2021 : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Les discussions au sujet du produit se sont poursuivies au cours de l’hiver et du printemps de 2023, et ont abouti à la décision de publier ledit produit en juillet 2023 pour diffusion à l’intérieur du SCRS seulement. Au mois de novembre 2023, le renseignement du SCRS concernant la possible implication [**expurgé**] dans des activités d’ingérence étrangère ciblant le processus électoral de 2021 n’a toujours pas été diffusé (dans un produit de renseignement écrit) à l’extérieur du SCRS, et ce, [**expurgé**] années après avoir été collecté.

Évaluation de la diffusion du renseignement par le SCRS

Conclusion 1 : L’OSSNR a conclu que la diffusion, par le SCRS, du renseignement concernant l’ingérence politique étrangère pendant la 43e et la 44e élections fédérales était incohérente. Plus précisément, il s’avère qu’en diverses occasions :

  • la justification des décisions à savoir si et comment il convenait de diffuser le renseignement n’était pas claire, ce qui a eu une incidence directe sur l’acheminement de l’information;
  • la menace posée par les activités d’ingérence politique étrangère n’a pas été clairement communiquée par le SCRS.

Conclusion 2 : L’OSSNR a conclu que la diffusion et l’utilisation, par le SCRS, du renseignement sur l’ingérence politique étrangère avaient été marquées par le souci selon lequel ce type d’action pourrait constituer ou sembler constituer une forme d’ingérence dans le processus démocratique.

Conclusion 3 : L’OSSNR a conclu que le SCRS avait fréquemment choisi de présenter des exposés verbaux plutôt que des produits écrits lorsqu’il s’agissait de diffuser du renseignement sur l’ingérence politique étrangère pendant les élections.

Conclusion 4 : L’OSSNR a conclu qu’au sein du SCRS, il y avait une rupture entre une région et l’Administration centrale quant à savoir si les rapports sur l’ingérence politique étrangère devaient être assujettis à un seuil élevé de confiance, de corroboration et de contextualisation avant la diffusion.

Au sein du SCRS, l’ingérence politique étrangère est considérée comme un sous ensemble de la sphère globale de l’ingérence étrangère, alors que les enquêtes portant sur les institutions et les processus démocratiques font partie de procédures générales qui régissent le traitement que le SCRS réserve aux institutions fondamentales canadiennes . Toutefois, le renseignement sur l’ingérence politique étrangère présente bon nombre de difficultés qui ne sont portant abordées ni dans la politique ni dans les lignes directrices.

Le SCRS a fait face à un dilemme fondamental. D’une part, l’information relative à l’ingérence étrangère dans les élections constituait une priorité pour le gouvernement, et le SCRS avait déployé son dispositif de collecte de sorte à enquêter sur l’ingérence politique étrangère. D’autre part, le SCRS reconnaissait la possibilité que la collecte et la diffusion de renseignement concernant les élections puissent également être interprétées comme des formes d’ingérence dans le processus électoral. Ainsi, une tension de fond demeure : toute mesure – notamment la diffusion de renseignement – prise par le SCRS avant ou pendant l’élection ne doit, ni en fait ni en apparence, influer sur celle ci. 

Cette dynamique est bel et bien reconnue au sein du SCRS, mais n’est exprimée ni dans la politique ni dans les lignes directrices. Or, il importe d’abord de souligner, en outre, que les considérations ou les critères spécifiques suivant lesquels le SCRS pourrait établir un juste équilibre entre ces deux impératifs concurrents sont difficiles à saisir. Lorsqu’elles ne sont pas clairement formulées, les décisions paraissent arbitraires. Comme il était difficile de savoir, surtout pour les responsables de la collecte de renseignement, quels étaient les motifs généraux ou les politiques appelés à orienter les mesures de diffusion du renseignement sur l’ingérence politique étrangère, il devenait tout aussi difficile de savoir comment ces motifs et ces politiques devaient orienter chacune des décisions. Il convient d’ailleurs de souligner que les lacunes sur le plan de la clarté ont été génératrices de frustration (comme l’illustre l’énoncé d’un courriel : [traduction] « à quoi sert la collecte si l’information que nous recueillons n’est ni traitée ni diffusée? »).

De plus, comme ils ne savaient trop sur quels motifs se fonder pour décider des mesures à prendre (ou pour relayer l’information à l’externe), les décideurs ont fini par développer une aversion naturelle au risque. Il va sans dire que cette situation a engendré de la frustration chez ceux qui doivent conseiller les décideurs. Enfin, comme les motifs demeuraient flous, il devenait impossible, au sein du SCRS, de tenir des discussions rationnelles et de débattre sur l’établissement d’un juste équilibre entre les impératifs concurrents (informer sans influencer), ou d’afficher quelque cohérence dans la façon de mettre en œuvre cet équilibre.

On a relevé plusieurs cas où le renseignement n’a pas été intégré dans les brefs rapports de renseignement brut, mais a plutôt été retenu pour intégration dans des produits analytiques plus élaborés. Cette dynamique particulière qui se manifeste lorsqu’il s’agit d’ingérence politique étrangère semble indiquer qu’en général, les produits d’analyse constituent les meilleurs vecteurs de communication de l’information collectée. D’après ce que l’on observe, les décisions semblent avoir été prises au cas par cas et pourraient laisser entendre qu’il y avait une certaine réticence à placer l’information dans les rapports de renseignement, ce qui contrevient pourtant aux pratiques habituelles du SCRS en matière de diffusion.

Ainsi, la préférence pour les exposés verbaux comme mode de diffusion pendant les élections constituait une dérogation aux pratiques de diffusion que le SCRS adopte généralement. Qu’elle soit justifiée ou non, cette dérogation porte à croire qu’il convient d’adopter des pratiques spéciales dans le cas de l’ingérence politique étrangère, et ce, même s’il n’y a aucune politique ni aucune procédure qui permettent de définir clairement ce que ces pratiques spéciales sont censées être. Mais en plus, cette dérogation, crée des difficultés lorsqu’il s’agit d’encadrer et de documenter la communication de l’information.

Cette nébulosité qui caractérise les processus se répercute également sur l’approbation des activités de lutte contre l’ingérence politique étrangère. Bien que le pouvoir formel d’approbation d’une activité particulière puisse être exercé à un certain niveau (par exemple, celui du directeur général régional), on reconnaissait tout de même que le niveau informel d’approbation pour ce qui a trait aux activités liées à l’ingérence politique étrangère revenait à la haute direction, notamment au sous-directeur des Opérations, voire au directeur. Bien que la politique ne prévoie rien à cet égard, il est devenu normal de « sensibiliser » ou d’informer les représentants du BCP avant que le SCRS puisse entreprendre certaines activités de lutte contre l’ingérence étrangère.

Par exemple, avant l’élection de 2021, le SCRS a offert des séances d’information sur la sécurité préventive (SISP) ayant pour objet de sensibiliser les députés au sujet de la menace posée par l’ingérence étrangère. Un bureau régional a planifié une série de SISP à l’intention d’un nombre limité de députés que l’on estimait à risque d’être ciblés par des activités d’ingérence politique étrangère. Cependant, l’AC a exigé l’arrêt des SISP, le temps que [**l’unité spécialisée de l’AC**] prépare une stratégie nationale portant sur les SISP, laquelle visait les mêmes objectifs tout en misant sur les enseignements tirés d’une campagne semblable ayant eu lieu avant l’élection de 2019.

La campagne nationale a été conçue [**Une phrase a été modifiée et une autre supprimée pour éliminer l’information préjudiciable. Ces phrases décrivaient des méthodes et des tactiques employées par le SCRS.**] Advenant qu’elle soit dévoilée, cette intention pouvait être perçue comme une intervention inappropriée du SCRS dans le processus démocratique.

Probablement en raison de cet élément sensible, la campagne nationale a fait face à des complications causées par le vaste processus d’approbation, mais aussi par la décision de sensibiliser également les responsables du BCP et de Sécurité publique avant le procéder aux séances en tant que telles. En définitive, la complexité et les retards liés à la campagne nationale ont fait en sorte que celle ci n’a pu se dérouler comme prévu. Ainsi, la région a décidé de rencontrer le plus grand nombre possible des députés initialement visés par les SISP, et ce, avant le début de la période électorale. Tout contact avec les députés pendant la période électorale était jugé inapproprié.

Des éléments sensibles liés aux activités de lutte contre l’ingérence politique étrangère ont également influé [**Une phrase a été modifiée et trois autres supprimées pour éliminer l’information préjudiciable. Ces phrases décrivaient les objectifs et la mise en œuvre d’une activité opérationnelle du SCRS.**]. Il s’agissait là [traduction] « d’un choix conscient […] en raison d’éléments sensibles sur le plan politique » qui, selon le SCRS, pourraient avoir atténué l’effet stratégique attendu de [**l’activité opérationnelle du SCRS**].  

Enfin, ces éléments sensibles ont également influé sur la diffusion de produits de renseignement particuliers. Principalement, comme il en a été question plus tôt, le renseignement collecté en [**expurgé**] 2021 a finalement été publié en juillet 2023, dans un produit de renseignement pour diffusion réservée au SCRS. Après une vaste consultation, une révision approfondie et de longs retards, un haut dirigeant du SCRS a décidé de ne pas diffuser le produit à l’extérieur du SCRS (voir l’étude de cas 3). 

Au cœur des questions abordées plus tôt, on retrouve le manque de clarté et la communication lacunaire qui caractérisent les enquêtes du SCRS sur l’ingérence politique étrangère. Globalement au sein du SCRS, on avait de plus en plus l’impression que les règles et les décisions étaient établies, voire modifiées, malgré l’absence d’une stratégie ou d’orientations qui soient cohérentes.

En soi, le renseignement ne constitue pas une preuve, mais il n’est pas non plus le fruit de spéculations, de conjectures ou de rumeurs. En théorie, le seuil ou la norme permettant de déterminer quel renseignement doit être diffusé devraient être uniformes pour l’ensemble des activités liées aux menaces. En pratique, toutefois, les cas examinés montrent qu’il y avait, à tout le moins, la perception selon laquelle des normes plus rigoureuses s’appliqueraient au renseignement ayant trait à l’ingérence politique étrangère. Certes, un haut dirigeant du SCRS a indiqué à l’OSSNR que les normes s’appliquant au renseignement sur l’ingérence politique étrangère n’étaient pas différentes lorsqu’on les comparait au reste de l’information sur les menaces, mais il a également affirmé qu’il convenait de tenir compte de certains éléments sensibles lorsqu’il était question de diffuser du renseignement au sujet d’une personne évoluant dans la sphère politique. Par exemple, ce type d’information pourrait avoir une incidence sur la carrière de cette personne, notamment sur sa capacité à prendre part aux processus démocratiques.

Par ailleurs, des agents régionaux responsables de la collecte et de l’analyse croyaient que l’AC du SCRS ([**l’unité spécialisée de l’AC**] et la haute direction) cherchait trop à obtenir des preuves irréfutables lorsqu’il s’agissait d’établir des liens entre les activités et les acteurs étatiques.

La maximisation des éléments corroboratifs constitue une part essentielle du travail effectué dans la sphère du renseignement. Par définition, les normes doivent être uniformes et s’appliquer uniformément en toute circonstance. Or, la position voulant que la maximisation des éléments corroboratifs ou les normes de diffusion s’appliquent de la même façon à l’ingérence politique étrangère et aux autres types de rapports s’avère insoutenable, si l’on n’arrive pas à mettre clairement en évidence la façon dont les décisions sont concrètement prises. Tout refus de tenir compte du caractère distinct de l’ingérence politique étrangère mène à la confusion et à la consternation.

L’ingérence politique étrangère se produit souvent dans une « zone grise » se trouvant à la limite qui sépare les activités politiques et diplomatiques légitimes et ouvertes des activités d’ingérence secrète et clandestine. Bon nombre des utilisateurs du renseignement sur l’ingérence politique étrangère connaissent bien les activités des sphères politique (par exemple, les ministres, les députés et les partis politiques) et diplomatique (par exemple, les responsables d’AMC). Ce facteur engendre des difficultés pour le SCRS lorsqu’il s’agit d’exprimer clairement aux utilisateurs du renseignement les raisons pour lesquelles les rapports sont importants et liés à des menaces.

En résumé, le SCRS fait rapport sur des activités qui ont lieu dans le domaine de spécialité des clients qu’ils servent. Concrètement, cette situation fait en sorte que tout renseignement diffusé doit résulter d’une compréhension suffisante de ce qui distingue les activités légitimes des activités illicites. La limite est difficile à tracer, particulièrement lorsque l’on comprend que l’ingérence étrangère de la RPC se concrétise par une accumulation progressive d’activités et de pressions qui, en soi et sans contextualisation, pourraient paraître anodines, mais qui, une fois réunies, finissent par constituer une campagne visant à s’ingérer dans la démocratie du Canada. L’ingérence étrangère de la RPC s’apparente davantage à un grondement continu qu’à un retentissant coup de canon.

On compte de nombreuses lacunes déterminantes lorsqu’on se penche sur les mesures du SCRS en matière de diffusion et d’utilisation du renseignement ayant trait à l’ingérence politique étrangère. Premièrement, le SCRS n’a pas clairement défini sa tolérance au risque à l’égard des activités de lutte contre l’ingérence politique étrangère. Une définition claire de la tolérance au risque permet à ceux qui approuvent les mesures de bien saisir les limites à l’intérieur desquelles le SCRS est en mesure de bien fonctionner.

Deuxièmement et dans le même ordre d’idées, le processus d’approbation relatif aux activités de lutte contre l’ingérence politique étrangère ne reflète pas toujours ce qui se passe en pratique. À titre d’exemple, il y a peu de directives et d’attentes qui soient clairement exprimées dans la politique du SCRS concernant les occasions et les raisons qui justifient la consultation d’entités externes – comme Sécurité publique et le BCP – avant l’exécution de mesures ou d’activités, et il n’y a aucune directive ni aucune attente qui fasse état de la dynamique particulière qui s’applique aux activités de lutte contre l’ingérence politique étrangère citées plus haut. Il convient de noter qu’en mai 2023, le ministre de la Sécurité publique a émis, pour le SCRS, les « Directives ministérielles sur les menaces à la sécurité du Canada dirigées contre le Parlement et les parlementaires », lesquelles font état des principes régissant les consultations dans ce contexte particulier. Toutefois, les DM n’abordent pas la question de l’ingérence politique étrangère dirigée contre les autres institutions démocratiques.

Troisièmement, le SCRS n’a pas explicitement proposé de seuil relativement aux mesures de production et de diffusion du renseignement en matière d’ingérence politique étrangère. C’est-à-dire, le niveau de confiance et de corroboration requis pour que l’information collectée soit incluse dans un produit de renseignement en plus du niveau de contextualisation, qui font en sorte que le produit pourra être diffusé auprès des clients du gouvernement du Canada. Les éléments sensibles associés à ce type de renseignement ainsi que les exigences correspondantes appelées à optimiser la confiance et la corroboration, par comparaison à d’autres types de renseignement de sécurité, devraient être reconnus. Par exemple, le SCRS pourrait envisager d’évaluer si [**expurgé**] critères [**expurgé**] s’appliquant à la production de rapports de renseignement sont adaptés aux particularités du renseignement sur l’ingérence politique étrangère .   

Ce qu’il faut, en définitive, c’est une politique et une stratégie détaillées portant sur tous les aspects de la façon dont le SCRS aborde (réalisation d’enquêtes, production de rapports et mise en œuvre de mesures) la menace que constitue l’ingérence politique. Ces outils rehausseraient le degré de cohérence entre les régions et l’AC, et amélioreraient, de façon plus générale, la compréhension et la communication entre les divers échelons de l’organisation, depuis les agents de renseignement et les analystes jusqu’aux membres de la haute direction. Par la même occasion, ces outils signifieraient aux intervenants du gouvernement du Canada, en particulier aux décideurs principaux, que le SCRS a attentivement pris en compte tous les aspects de l’ingérence politique étrangère, y compris les éléments sensibles qui la caractérisent, en plus de faire rapport et de formuler des conseils au sujet de cette menace en se fondant sur des normes et des seuils rigoureusement établis. 

Le Canada n’est pas le seul pays à faire face à l’ingérence politique étrangère. Au cours des dernières années, tous ses partenaires de la Collectivité des cinq (Australie, Nouvelle Zélande, États Unis et Royaume-Uni) ont publiquement reconnu la menace posée par l’ingérence étrangère que la RPC exerce à l’égard de leurs processus démocratiques respectifs. En l’occurrence, il conviendra profiter de l’occasion pour tirer parti de ces expériences communes et pour établir les pratiques exemplaires qui s’imposeront.

Recommandation no 1 : L’OSSNR recommande que le SCRS élabore, suivant des consultations auprès des parties intéressées du gouvernement, une politique complète appelée à encadrer ses interventions face à la menace que pose l’ingérence politique étrangère. Cette politique devrait :

  • indiquer précisément les seuils et les pratiques à respecter pour la communication et la diffusion du renseignement concernant l’ingérence politique étrangère. Notamment, il faudrait indiquer les niveaux appropriés de confiance, de corroboration, de contextualisation et de caractérisation qui détermineront si le renseignement doit faire l’objet d’un rapport;
  • faire clairement état de la tolérance au risque que le SCRS peut appliquer lorsqu’il s’agit de prendre des mesures contre la menace que pose l’ingérence politique étrangère;
  • mettre en place des processus clairs d’approbation et de notification (ce qui inclut les consultations externes) pour toutes les activités ayant trait à la lutte contre l’ingérence politique étrangère;
  • faire clairement état de toute exigence ou procédure particulières pouvant s’appliquer, s’il y a lieu, pendant la période d’élection, ce qui comprend notamment les procédures permettant de diffuser en temps voulu le renseignement sur l’ingérence politique étrangère;
  • analyser les pratiques exemplaires des partenaires internationaux (particulièrement ceux de la Collectivité des cinq) en matière d’enquête et d’établissement de rapports concernant l’ingérence politique étrangère.

Partie 2 : Le Groupe de travail MSRE et le groupe responsable du PPIEM

À la suite de l’ingérence étrangère russe dont il a été démontré qu’elle avait bel et bien eu lieu lors de l’élection présidentielle de 2016, aux États Unis, le gouvernement du Canada a instauré une série de mesure visant à protéger l’intégrité des élections fédérales. Trois de ces mesures s’avèrent pertinentes dans le cadre du présent examen :

  • Le groupe responsable du Protocole public en cas d’incident électoral majeur (PPIEM). Établi suivant une Directive du Cabinet, le PPIEM s’utilise pendant la période électorale et est administré par un groupe de hauts fonctionnaires . Le groupe évalue l’information sur la sécurité et le renseignement dans le but d’établir s’il y a lieu d’annoncer publiquement [traduction] « qu’un incident ou une série d’incidents ont eu lieu et risquent de compromettre la capacité du Canada à tenir des élections qui soient libres et justes ». Or, le protocole n’a pas été utilisé – c. à d. qu’aucune annonce publique n’a été faite – lors des élections de 2019 ou de 2021.
  • Le Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (MSRE). Le Groupe de travail MSRE se compose de représentants issus du SCRS, du CST, de la GRC et d’AMC. Le principal objectif du Groupe de travail est de fournir au groupe responsable du PPIEM des rapports de renseignement coordonnés concernant les menaces qui pèsent sur les élections.
  • Le mécanisme de réponse rapide (MRR) du G7. Créé à l’occasion de la réunion du G7 tenue à Charlevoix en 2018, le MRR du Canada relève d’AMC et s’attaque aux menaces étrangères qui planent sur les processus démocratiques, en procédant à l’analyse des menaces puis à la rédaction de rapports sur les activités de manipulation d’information menées en lignes par les acteurs étatiques étrangers. L’équipe du MRR tient lieu de représentant d’AMC au sein du Groupe de travail MSRE.

Ces entités ont tenu un rôle important pour ce qui concerne l’acheminement du renseignement sur l’ingérence étrangère de la RPC pendant les élections de 2019 et de 2021. Pour l’essentiel, le Groupe de travail MSRE a servi – ou était censé servir – de courroie de transmission pour le renseignement sur les menaces, alors que le groupe responsable du PPIEM devait recevoir cette information tout en étant investi d’un mandat particulier, celui de communiquer (ou décider de ne pas communiquer) au public canadien l’information qui lui avait été soumise.

Conclusion 5 : L’OSSNR a conclu que le Groupe de travail MSRE et le groupe responsable du PPIEM n’avaient pas été conçus pour s’attaquer convenablement à l’ingérence étrangère traditionnelle d’origine humaine. Plus précisément :

  • Le Groupe de travail MSRE se concentre sur les activités de menace pendant la période électorale, mais il faut également savoir que l’ingérence étrangère a aussi lieu entre ces périodes.
  • La représentation d’Affaires mondiales Canada au sein du Groupe de travail MSRE se concentrait sur les activités d’ingérence étrangères menées en ligne.
  • Le seuil particulièrement élevé que le groupe responsable du PPIEM respecte pour ce qui concerne les annonces publiques risque très peu d’être atteint dans le cas de l’ingérence étrangère traditionnelle, puisque celle ci consiste surtout à cibler certaines circonscriptions.

La structure et l’orientation du Groupe de travail MSRE et du groupe responsable du PPIEM ont été façonnées par la nécessité de protéger les élections contre une ingérence étrangère généralisée et coordonnée qui sévit jusqu’au jour de l’élection inclusivement. En l’occurrence, il s’agit de protéger les élections canadiennes contre le type d’ingérence étrangère (principalement de la désinformation en ligne) dont on a été témoin aux États Unis et ailleurs dans le monde.

Par la même occasion, la collectivité de la sécurité et du renseignement a reconnu que l’ingérence d’origine humaine, que l’on dit « traditionnelle », avait été et continue d’être la plus importante menace envers les processus et les institutions démocratiques du Canada. Par exemple, dans l’aperçu qu’il a donné de la menace en 2021, le Groupe de travail MSRE a indiqué que les auteurs d’ingérence étrangère avaient principalement recours à des tactiques axées sur les interventions humaines [traduction] « en réaction, avant tout, à la façon dont le Canada organise ses élections […], mais aussi en raison du fait que les opérations d’influence HUMINT s’avèrent plus efficaces que les activités en ligne, compte tenu de la structure du système électoral canadien ». De fait, la prédominance de l’ingérence étrangère traditionnelle était connue avant 2019, et les expériences subséquentes n’ont fait que renforcer cette perception.

Malgré cette reconnaissance, les paramètres selon lesquels le Groupe de travail MSRE et le groupe responsable du PPIEM fonctionnent ne correspondent pas à la nature de la menace qui émane de l’ingérence étrangère traditionnelle.

À l’occasion d’un bilan postélectoral, un membre du groupe responsable du PPIEM a indiqué qu’aucune campagne d’ingérence d’envergure fructueuse n’avait eu lieu, et que l’élection avait été exempte de menace, si l’on fait exception de quelques éléments mineurs. Selon l’un des membres du groupe responsable du PPIEM, l’ingérence étrangère qui a eu lieu dans une circonscription particulière [**expurgé**] [traduction] « était sans importance pour l’élection » et, par conséquent, ne faisait pas partie du mandat du groupe. Pendant la même réunion, le directeur du SCRS a fait valoir que le [traduction] « plus important cas » d’ingérence étrangère par la RPC pendant l’élection se résumait aux événements survenus dans cette circonscription. Le directeur a également déploré que [traduction] « la machine » (le Groupe de travail MSRE et le groupe responsable du PPIEM) n’ait pas été conçue pour faire face à l’ingérence étrangère en dehors des périodes d’élections.

Contrairement aux opérations ponctuelles ou aux campagnes de grande envergure (notamment la désinformation en ligne menée à grande échelle), le renseignement sur l’ingérence étrangère traditionnelle dans les élections se veut plutôt granulaire et spécifique, et s’intéresse davantage aux activités que des particuliers mènent dans certaines circonscriptions. L’évaluation de l’incidence de ces activités au niveau des circonscriptions nécessite de recevoir et d’analyser continuellement tout le renseignement pertinent, ce qui est particulièrement difficile compte tenu de la brève période durant laquelle une élection se déroule.

De même, l’un des éléments centraux de l’ingérence étrangère traditionnelle est que celle ci se déroule sur le long terme et ne cantonne pas forcément aux périodes électorales. Bien que les activités du Groupe de travail MSRE se poursuivent l’année durant, sa capacité et son rythme de fonctionnement n’en sont pas moins réduits en dehors des périodes électorales. De plus, son principal centre d’intérêt demeure la période électorale ainsi que le résultat et l’intégrité du vote au jour du scrutin. En quelque sorte, la concentration sur ces aspects mine la capacité du Groupe de travail à s’attaquer à toutes les facettes d’une ingérence étrangère traditionnelle qui, pour sa part, ne se limite pas aux périodes électorales et menace les institutions démocratiques dans leur ensemble. 

Il convient également de prendre en compte la présence de l’équipe du MRR qui représente AMC au sein du Groupe de travail. Le MRR est conçu spécialement pour fonctionner en ligne dans le but de surveiller les médias sociaux et de détecter les activités pouvant constituer de l’ingérence étrangère, notamment la propagation et l’amplification de la désinformation. Par contre, la capacité d’AMC à analyser le renseignement ayant trait à l’ingérence étrangère traditionnelle et de concevoir des mesures d’intervention contre cette ingérence n’est pas suffisamment représentée au sein du Groupe de travail. L’ingérence étrangère traditionnelle s’exerce souvent par l’intermédiaire [**expurgé**]. AMC pourrait être appelé à tenir un rôle important sur le plan de l’intervention (par exemple, l’émission de protestations officielles ou l’expulsion de diplomates) et de l’interprétation (par exemple, pour ce qui concerne la distinction entre « ingérence étrangère » et « activité diplomatique légitime »), rôle qui s’étend au-delà des limites du mandat exercé actuellement par l’équipe du MRR.

Enfin, le seuil que le groupe responsable du PPIEM respecte relativement aux annonces publiques portant sur l’intégrité d’une élection est fonction de l’ingérence étrangère générale et systématique, à savoir celle qui est exercée dans le cadre de campagnes de désinformation en ligne ou d’autres types de cyberactivités. Concrètement, cela signifie que le public pourrait ne recevoir aucune communication de la part du groupe responsable du PPIEM, même si de l’ingérence étrangère d’une certaine ampleur devait avoir lieu, pour peu que ladite ingérence demeure en deçà de ce qui est pourtant reconnu comme un seuil étonnement élevé.

Le manque de communication publique – de transparence – risque d’engendrer de nombreuses difficultés et peut être interprété de multiples façons. Lorsque l’information concernant des tentatives particulières d’ingérence étrangère fait surface après l’élection, aucune communication transmise pendant l’élection ne peut être interprétée comme étant, de la part du gouvernement, une lacune sur le plan des mesures ou un manque de volonté à prendre des mesures. Lorsqu’aucune de ces informations ne fait surface et que l’on estime que l’intégrité de l’élection n’a aucunement été menacée par l’ingérence étrangère, on risque de se donner une fausse impression quant à l’ampleur de l’ingérence étrangère qui a eu lieu.

Recommandation no 2 : L’OSSNR recommande que le Groupe de travail MSRE définisse ses priorités en fonction des menaces réelles, notamment celles qui se concrétisent en dehors de la période électorale en tant que telle.

Recommandation no 3 : L’OSSNR recommande qu’Affaires mondiales Canada (AMC) et le Bureau du Conseil privé (BCP) veillent à ce que la représentation d’AMC au sein du Groupe de travail MSRE tire parti de la capacité du ministère à analyser et à traiter l’ingérence étrangère traditionnelle d’origine humaine, et ce, à titre de complément au mandat de l’équipe du mécanisme de réponse rapide.

Recommandation no 4 : L’OSSNR recommande que le Bureau du Conseil privé charge le groupe responsable du PPIEM d’élaborer de nouvelles stratégies permettant de réagir à l’intégralité des menaces qui se posent pendant les périodes électorales, notamment lorsque lesdites menaces se concrétisent dans des circonscriptions particulières.

Partie 3 : L’acheminement du renseignement sur l’ingérence étrangère de la RPC

La troisième et dernière section du présent rapport s’éloigne quelque peu du contexte électoral à proprement parler pour se pencher plutôt sur la question plus générale de l’acheminement du renseignement concernant l’ingérence étrangère de la RPC entre 2018 et 2023. Comme il a été dit, l’ingérence politique étrangère est chronique et omniprésente. La collectivité du renseignement recueille continuellement du renseignement sur l’ingérence politique étrangère de la RPC. Ce renseignement est échangé horizontalement, au sein de la collectivité, ainsi que verticalement, avec les principaux décideurs, notamment les représentants élus.

Les échanges de renseignement effectués de façon responsable entre les organisations constituent une caractéristique importante de toute collectivité de la sécurité et du renseignement digne de ce nom. Certes, les éléments sensibles, notamment les sources et les méthodes de travail, rendent nécessaire la classification du matériel sans oublier que le principe du besoin de connaître restreint le nombre des personnes autorisées à voir certaines informations. Or, les échanges réciproques de renseignement entre les organisations renforcent la capacité de chacune à informer ses décideurs dans la mesure où ces échanges permettent à chaque entité de présenter son point de vue en fonction de son expertise et de son mandat.

Conclusion no 6 : L’OSSNR a conclu que la diffusion restreinte de certains renseignements du SCRS et du CST auprès des hauts responsables exclusivement avait réduit la capacité de la Gendarmerie royale du Canada, d’Affaires mondiales Canada et du Bureau du Conseil privé à tenir compte desdits renseignements au moment de procéder à leur analyse.

En ce qui a trait au renseignement sur l’ingérence étrangère de la RPC, les rapports provenant des principaux « collecteurs » (le SCRS et le CST) ont alimenté les analyses de renseignement faites par les autres organisations de la collectivité de la sécurité et du renseignement concernées par le présent examen (AMC, la GRC et le BCP).

Toutefois, ces échanges entre organisations n’ont pas eu que de bons côtés. Par exemple, une évaluation d’AMC datant de la fin d’août 2021 met en avant du renseignement du SCRS où il est question de l’ingérence politique de la RPC, mais omet de faire état d’autres renseignements du SCRS, qui sont pourtant pertinents pour l’évaluation d’AMC. Compte tenu de la sensibilité du renseignement, toutefois, le rapport de renseignement du SCRS qui était pertinent pour l’analyse d’AMC – mais qui n’avait pas été fourni – a été envoyé à un certain nombre de « destinataires désignés seulement », ce qui a fait que les hauts responsables d’AMC y ont eu accès, alors que les analystes de la Direction générale du renseignement d’AMC n’y ont pas eu accès. Cette dynamique caractérise bon nombre des rapports de renseignement qui ont été produits et diffusés au sujet de l’ingérence politique étrangère de la RPC, ce qui a parfois causé des difficultés aux organisations destinataires lorsqu’il s’agissait d’incorporer ledit renseignement dans leurs propres évaluations analytiques. 

Par exemple, [**expurgé**] dans le cas de l’expulsion de Zhao Wei, diplomate de la RPC, en mai 2023 , [**expurgé**]. (Dans le même temps, des désaccords ont persisté entre le SCRS et AMC s’agissant de savoir ce qui constitue ou non une « activité diplomatique légitime ».)

Une dynamique semblable caractérisait le renseignement électromagnétique (SIGINT) du CST sur l’ingérence étrangère de la RPC. En effet, plusieurs rapports produits finis – produits de renseignement standards du CST – étaient bel et bien incorporés aux analyses d’AMC, du BCP et de la GRC. Or, une partie du renseignement le plus pertinent était classifiée à un niveau tel que sa diffusion s’en trouvait considérablement restreinte, un facteur attribuable au niveau de sensibilité de la méthode de collecte. Ainsi, ce renseignement était réservé à un nombre limité de personnes (parmi les hauts responsables) qui, au sein du gouvernement, détenaient l’endoctrinement requis.

Il convient de trouver un juste équilibre entre, d’une part, la protection de l’information sensible par l’imposition de contrainte à la diffusion et, d’autre part, le fait de veiller à ce que toute information pertinente soit échangée en vue d’alimenter l’analyse du renseignement et d’apporter des éclaircissements quant aux mesures que le gouvernement devrait prendre. L’OSSNR n’a pas tenté de savoir si certains produits de renseignement étaient ou non « surclassifiés », mais a tout de même remarqué que les décisions en matière de classification avaient une incidence directe sur la diffusion.

Conclusion no 7 : L’OSSNR a conclu que le SCRS et Sécurité publique ne disposaient d’aucun registre permettant de savoir qui reçoit et qui lit certains produits de renseignement, une carence qui crée des lacunes sur le plan de la responsabilisation.

Au sein du gouvernement du Canada, le renseignement est échangé de diverses façons. Quant au renseignement du SCRS, il peut être échangé directement par l’envoi de courriels sécurisés ou par le téléversement des produits dans des systèmes comme le Réseau canadien Très secret (RCTS) ou le répertoire SLINGSHOT du CST . Des copies papier de produits peuvent être diffusées par l’intermédiaire du programme des agents des relations avec la clientèle (ARC) du CST, c’est à dire auprès d’agents intégrés au sein de divers ministères et organismes. Certains ministères, notamment AMC et Sécurité publique, disposent de leurs propres agents de diffusion du renseignement. Les courriels sécurisés auxquels sont joints des produits de renseignement contiennent des consignes indiquant, au destinataire, à qui (au sein du ministère) ledit produit doit parvenir (par exemple, aux sous ministres et aux ministres).

Pendant la période visée par l’examen, le SCRS n’avait pas les moyens de faire un suivi rigoureux permettant de savoir qui avait reçu le renseignement et qui en avait pris acte. Cette lacune était en partie attribuable aux systèmes de suivi interne des divers ministères destinataires, lesquels pourraient ne pas avoir intégralement saisi ces données. Or, à titre d’auteur de l’information sensible, le SCRS constitue l’entité à laquelle il incombe de contrôler et de documenter les accès.

Le renseignement concernant l’ingérence exercée par la RPC sur un député

Le fait de ne pas savoir qui a lu les documents a eu des conséquences qui se sont manifestées dans la controverse entourant le renseignement ayant trait au ciblage exercé par la RPC à l’endroit d’un député en exercice.

En mai 2023, des reportages médiatiques ont révélé que le gouvernement du Canada disposait de renseignement indiquant qu’un député et les membres de sa famille avaient fait « l’objet » de sanctions de la part de la RPC.

Le propos des médias et du public tournait autour de deux produits du SCRS. D’abord, une évaluation de renseignement du SCRS remontant à juillet 2021, [**Une phrase a été modifiée pour éliminer l’information préjudiciable. La phrase décrivait le contenu de l’évaluation de renseignement dans lequel il y avait du renseignement sur les activités d’ingérence étrangère de la RPC.**]. Le second intitulé [traduction] « Note de gestion des enjeux » (Issues Management Note) a été envoyé par le SCRS aux hauts responsables pour les aviser que le Service informerait deux députés (notamment le député en question) concernant les activités de menace exercées à leur endroit par la RPC.

Or, on a eu tort de mettre l’accent sur ces deux produits. Ni l’un ni l’autre ne constituait le mécanisme par lequel le ministre et le sous ministre de la Sécurité publique étaient censés être tenus au courant des menaces proférées par la RPC à l’endroit du député et des membres de sa famille.

Il convient plutôt de retourner [**avant mai 2021**] où on a vu [**du renseignement du SCRS**] sur l’incident où la RPC avait ciblé le député. [**Ce renseignement du SCRS a**] été envoyé à une liste de destinataires désignés, dans laquelle figuraient le sous ministre et le ministre de la Sécurité publique. [**Le renseignement du SCRS**] a été envoyé par courriel sécurisé directement aux destinataires et aux personnes ressources des divers ministères. Ces personnes ressources des divers ministères ont eu pour consigne de fournir l’information à certains hauts responsables désignés, notamment au ministre de la Sécurité publique, puisque ces hauts responsables n’auraient pas d’accès direct aux courriels sécurisés. Au nombre des autres destinataires désignés [**du renseignement du SCRS**], il faut compter le CSNR, le greffier du Conseil privé, le sous ministre de la Défense nationale, le conseiller en matière de politique étrangère et de défense, le chef du CST ainsi que d’autres hauts responsables provenant d’AMC, du BCP, du MDN, du CST et de Sécurité publique.

Le SCRS a diffusé [**expurgé**] 2021. [**Une phrase a été supprimée pour éliminer l’information préjudiciable. Cette phrase résumait le renseignement du SCRS.**] Sécurité publique a indiqué à l’OSSNR que [**le renseignement du SCRS**] avait été diffusé en interne pendant la semaine [**expurgé**] 2021 et que [traduction] « la seule indication est qu’il a été envoyé à la haute direction ».  

Puis,[**expurgé**] 2021, le SCRS a diffusé [**expurgé**] contenant des renseignements selon lesquels [**Une phrase a été supprimée pour éliminer l’information préjudiciable. Cette phrase résumait le renseignement du SCRS.**] Sécurité publique a indiqué à l’OSSNR que [**le renseignement du SCRS**] avait été diffusé en interne pendant la semaine [**expurgé**] 2021, et que [traduction] « la seule indication est qu’il a été envoyé au ministre ».

Enfin, le [**expurgé**] 2021, le SCRS a diffusé [**Une phrase a été modifiée pour éliminer l’information préjudiciable. Cette phrase résumait le renseignement du SCRS.**] L’information était requise urgemment, car [**expurgé**]. Sécurité publique a indiqué qu’il ne disposait d’aucune preuve de réception de ce [**renseignement du SCRS**].

Figure 4. Diffusion du renseignement sur le ciblage d’un député fédéral : les dates clés

Figure 4. Key dates, dissemination of intelligence on targeting of a federal MP

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Comme il a été dit déjà, Sécurité publique a indiqué qu’au moins un [**segment de renseignement du SCRS**] avait été remis au ministre de la Sécurité publique, probablement inséré dans une trousse de lecture hebdomadaire produite vers la fin de mars 2021. Cet envoi aurait précédé de quelques mois la note de gestion des enjeux de mai 2021 et l’évaluation de renseignement de juillet 2021. Il n’y a aucune trace qui puisse indiquer que [**expurgé**] a été transmis au ministre, et ce, même si celui ci figurait dans la liste des destinataires désignés.

Or, le principal problème demeure le fait que Sécurité publique n’a pas été en mesure de retrouver [**expurgé**]. À la suite de la controverse publique de 2023, le SCRS et Sécurité publique ont établi la chronologie des événements marquants. Selon Sécurité publique, il se pourrait qu’une « erreur humaine » ait été à l’origine de cette absence dans les dossiers et que les fichiers correspondants aient été accidentellement supprimés. De plus, le directeur du SCRS et le CSNR ont demandé que la chronologie du SCRS et de SP rappelle que [traduction] « la distribution d’un document n’indique pas forcément que celui ci a été reçu ou lu par le destinataire ». Cette notion – voulant qu’un « trou noir » s’interpose entre l’envoi d’un produit crucial et sa réception par le destinataire – est la preuve évidente d’une situation inadmissible.

Il convient donc de conclure que c’est au SCRS qu’il incombe d’instaurer un système qui enregistre dans le détail les étapes de transmission et de réception de son propre renseignement, notamment – comme ce devrait être le cas pour certains renseignements prioritaires – le nom des personnes qui ont lu les produits en question. Le renseignement prioritaire pourrait comprendre le renseignement hautement sensible et particulièrement urgent ayant trait, par exemple, à la menace d’ingérence étrangère à l’endroit des élections ou encore des institutions et processus démocratiques essentiels.

Recommandation no 5 : L’OSSNR recommande que le SCRS et Sécurité publique se dotent d’un mécanisme élémentaire de responsabilisation permettant de suivre et de documenter rigoureusement la réception des produits de renseignement. Dans le cas du renseignement hautement sensible et particulièrement urgent, il conviendrait d’enregistrer également toute occurrence de lecture des produits de renseignement.

Dans le même temps, le suivi des produits de renseignement jusqu’à leurs destinataires n’est pas une panacée. Les consommateurs devraient avoir un intérêt réel pour le renseignement qu’ils reçoivent et comprendre dans quelle mesure ce renseignement peut leur permettre de s’acquitter de leurs responsabilités respectives.

Conclusion no 8 : L’OSSNR a conclu que la diffusion du renseignement sur l’ingérence politique étrangère de 2018 à 2023 avait été plombée par un certain nombre de difficultés. Plus précisément :

  • les utilisateurs ne comprenaient pas toujours la portée du renseignement qu’ils recevaient ou la façon d’intégrer ce renseignement dans leurs analyses stratégiques et leurs processus décisionnels;
  • on a relevé des désaccords entre les sous sections du renseignement et les hauts fonctionnaires quant à savoir si les activités décrites dans certains produits de renseignement constituaient de l’ingérence étrangère ou si elles ne représentaient que des activités diplomatiques légitimes.

Conclusion no 9 : L’OSSNR a conclu qu’il y avait des désaccords entre les hauts fonctionnaires et le CSNR quant à savoir si les évaluations de renseignement devraient être mises à la disposition de l’exécutif politique. En définitive, les interventions du CSNR se sont soldées par le fait que deux produits ne se sont pas rendus à l’exécutif politique, notamment le premier ministre.

Conclusion no 10 : L’OSSNR a conclu que le rôle du CSNR quant aux décisions relatives à la diffusion des produits de renseignement du SCRS n’était pas clairement défini.

Dans plusieurs séances d’information et entrevues tenues dans l’ensemble de la collectivité, l’OSSNR a entendu parler de la difficulté à faire comprendre ce qu’il conviendrait de faire (so-what) de l’analyse de renseignement. Cette difficulté tient en partie à ce que d’aucuns appellent « l’écart sur le plan de la littératie », que l’on semble observer entre les collectivités du renseignement et des politiques. En d’autres mots, les analystes du renseignement auraient un faible niveau de littératie en matière de politique, alors que les analystes des politiques ou les décideurs politiques auraient un faible niveau de littératie en matière de renseignement. Tout compte fait, cet écart peut engendrer de la confusion lorsqu’il s’agit d’établir ce à quoi le renseignement doit servir et ce qu’il convient de faire au sujet des menaces décrites dans ce renseignement.

Il suffit de penser à l’accent mis sur le renseignement « exploitable » ou sur les « recommandations » de mesures que les utilisateurs souhaitent obtenir de la part de la collectivité du renseignement. Le renseignement ne vient pas toujours avec ce type de caractéristique. En effet, il est généralement fourni à des fins d’information et de sensibilisation seulement (notamment pour mettre en évidence les tendances majeures et les principales menaces). Les analystes du renseignement ont fait valoir qu’en définitive, c’est aux utilisateurs du renseignement que revient la responsabilité de prendre des mesures (notamment d’orienter les politiques stratégiques), alors que le rôle des analystes se cantonne à fournir une information permettant de choisir et appliquer les mesures qui s’imposent.

La fonction principale du processus s’appliquant au renseignement est de fournir des analyses de renseignement aux responsables des politiques. Les analyses approfondies – c. à d. le fait d’assembler des données disparates pour en faire un tout cohérent s’accompagnant d’appréciations et d’évaluations sur l’incidence de l’information présentée – constituent le principal élément du mandat exercé par certaines unités spécialisées au sein des organismes de sécurité et de renseignement, notamment la Direction de l’évaluation du renseignement (DER) du SCRS et le Secrétariat de l’évaluation du renseignement (SER) du BCP. C’est donc aux analystes qu’il revient de contextualiser, à l’intention des principaux utilisateurs, le renseignement collecté.

La diffusion de renseignement auprès de l’exécutif politique peut être faite verbalement, à l’occasion de séances d’information formelles ou informelles, par de hauts fonctionnaires, notamment les sous ministres ou, dans le cas du premier ministre, par le CSNR. Dans le même temps, les produits d’analyse écrits peuvent fournir à l’exécutif politique des analyses essentielles ainsi que les points prioritaires à retenir au sujet des menaces envers la sécurité du Canada.

« Rapport spécial » du BCP

À l’automne de 2021, le CSNR intérimaire a reçu une série de fiches d’information de la part du SER du BCP concernant l’ingérence étrangère de la RPC. Pour mieux comprendre l’enjeu, le CSNR intérimaire a commandé un « rapport spécial » qui allierait le renseignement étranger (le mandat traditionnellement exercé par le SER) et le renseignement de sécurité intérieure (le domaine du SCRS).

De façon générale, le rapport spécial avait pour objet de fournir [traduction] « une évaluation sommaire des activités d’ingérence étrangère (IE) exercées par la Chine, tant au Canada que dans le reste du monde ». Le rapport se fondait sur plus de [**expurgé**] rapports du SCRS, sur des rapports [**expurgé**] et sur des analyses de sources ouvertes. Les principales estimations indiquaient que [traduction] « la collectivité du renseignement du Canada s’entend sur le fait que la Chine pose la principale menace envers le Canada sur le plan de l’ingérence étrangère (IE) », que [traduction] « le Canada demeure [**expurgé**] aux efforts d’IE déployés par la Chine », mais aussi que [traduction] « les moyens investis par la Chine en matière d’IE sont sophistiqués, persistants et multidimensionnels. Or, l’ingérence dans les élections ne représente que l’un des nombreux moyens employés par la Chine en matière d’IE ».  

À la fin de novembre 2021, le SER a mis l’ébauche d’un rapport à la disposition du SCRS pour commentaires et rétroaction. Un haut responsable du SCRS a réagi favorablement au produit, a suggéré d’apporter quelques améliorations et a provisoirement approuvé la liste de diffusion proposée par le BCP en attendant que le directeur du SCRS ait également examiné le rapport. La liste comprend la « haute direction du CPM » ainsi que les sous ministres (ou leurs équivalents) des ministères concernés (Justice, AMC, MDN, Sécurité publique, SCRS et CST). En même temps, le SER du BCP a demandé à son équipe de production de fournir une copie du rapport au greffier du Conseil privé, au sous greffier et au CPM (tout en indiquant que le CSNR intérimaire en avait déjà reçu une copie).

Cette demande n’a eu aucune suite. Peu après que celle ci eut été acheminée par courriel, un employé responsable du SER a personnellement communiqué avec l’équipe de production pour lui demander de refuser de se plier à ladite demande de diffusion, car le SER avait [traduction] « établi que de la rétroaction et une discussion d’orientation devaient avoir lieu avec le CSNR intérimaire avant de mettre la dernière main au rapport et de le diffuser à plus grande échelle ». À la mi décembre, le CSNR intérimaire a formulé de nouveaux commentaires concernant le document, lesquels ont été ajoutés à une deuxième ébauche. Cette rétroaction portait sur le ton du document et apportait des éclaircissements quant à savoir si certains des éléments décrits dans ce document constituaient des activités diplomatiques normales.

En janvier 2022, un nouveau CSNR a été nommé. Le SER a avisé ce nouveau CSNR au sujet du rapport spécial et lui en a remis, ainsi qu’à d’autres hauts responsables de la Direction du CSNR, une copie papier assortie d’une note d’accompagnement. La note d’accompagnement a été envoyée par le secrétaire adjoint du SER (l’échelon le plus élevé du SER) et adressée au CSNR. Elle décrivait brièvement le contenu du rapport spécial et recommandait expressément que celui ci soit approuvé et [traduction] « remis aux sous ministres et membres du Cabinet désignés ».

En février 2022, aucune réunion bilatérale n’a été tenue entre le secrétaire adjoint du SER et le CSNR, et aucune nouvelle discussion n’a eu lieu concernant le rapport spécial. Le BCP a expliqué à l’OSSNR que pendant cette période, le convoi de la liberté (Ottawa) et l’invasion de l’Ukraine par la Russie constituaient les priorités absolues du gouvernement en matière de sécurité. Au début de mars 2022, des éléments du rapport spécial ont été ajoutés aux points de discussion préparés pour le CSNR avant la séance d’information. L’OSSNR n’a pas obtenu les documents permettant de savoir qui avait été informé par le CSNR à ce moment là, puisqu’ils avaient été retenus par le BCP en tant que documents confidentiels du Cabinet. En avril 2022, une version électronique du rapport spécial a été mise à la disposition du CSNR [**expurgé**], mais n’avait pas encore été consultée au moment [**expurgé**]. Le BCP n’a disposé d’aucun autre compte rendu de discussions pouvant avoir eu lieu concernant le rapport spécial, et ce, jusqu’à ce que certaines parties du rapport aient été publiées dans les médias au début de 2023, ce qui n’a pas manqué de raviver l’intérêt pour la question.

Figure 5. Le « rapport spécial » du BCP : les dates clés

Figure 5. Le « rapport spécial » du BCP : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

En définitive, le rapport spécial est demeuré à l’état d’ébauche et n’a donc été ni approuvé, ni finalisé, ni diffusé. Bon nombre de hauts fonctionnaires du SCRS et du BCP ont eu l’occasion de lire les versions provisoires du produit , mais celui ci ne s’est jamais rendu aux membres du Cabinet ou au CPM.

Le BCP a indiqué à l’OSSNR un certain nombre de raisons expliquant pourquoi le rapport spécial n’a jamais été diffusé. La partie suivante de sa réponse fournit l’essentiel de son argumentaire :

[Traduction] Le rapport n’a pas été diffusé pour diverses raisons. D’abord, il avait pour objet d’informer le CSNR intérimaire […] au sujet de l’ingérence étrangère, ce qui a été fait. [L]e CSNR intérimaire, le nouveau CSNR [à partir de janvier 2022] ainsi que d’autres hauts responsables du BCP ont largement tiré parti de l’analyse, dans la mesure où celle ci a été utile pour la préparation de conseils stratégiques en vue de pourparlers avec les homologues. De plus, le document a été rédigé tout juste avant l’avènement du « convoi de la liberté » et le début de la guerre entre la Russie et l’Ukraine. Le gouvernement, le CSNR et, dans une certaine mesure, le SER devaient consacrer la majeure partie de leur temps à ces priorités urgentes. De plus, la partie analyse intérieure de l’évaluation se fondait largement sur du matériel du SCRS qui avait déjà été publié et diffusé. Même s’il décrivait une situation plutôt alarmante, le rapport ne faisait d’aucune façon allusion à des enjeux particuliers qui auraient nécessité une décision ou une intervention tactique immédiate de la part du gouvernement. Ainsi, étant donné que le document avait atteint son objectif, que d’autres priorités urgentes avaient fait surface et que le CSNR avait encore quelques questions à poser ainsi que des commentaires à formuler concernant ledit document [le CSNR] n’a pas demandé [au secrétaire adjoint du SER] de le publier et [le secrétaire adjoint du SER] n’a pas cru bon de publier le produit ». Cette analyse de « cas type » – laquelle misait sur le renseignement intérieur et le renseignement étranger – a néanmoins été utile et a montré le potentiel que ce type d’évaluation pourrait avoir dorénavant.

Le BCP n’a pas indiqué à l’OSSNR en quoi consistaient les [traduction] « quelques questions à poser ainsi que [les] commentaires à formuler concernant ledit document », ni précisé de quelle façon ceux ci auraient pu influer sur la décision de ne pas achever le rapport et de ne pas l’acheminer à l’échelon politique. Le CSNR n’a pas non plus indiqué en vertu de quelle autorisation le secrétaire adjoint du SER serait habilité à diffuser le produit en contradiction avec une décision du CSNR. De plus, l’objet manifeste du rapport était de fournir un aperçu général de l’ingérence étrangère de la RPC, et non de fournir de l’information devant mener à [traduction] « une décision ou une intervention tactique immédiate de la part du gouvernement ». Autrement dit, il s’agissait précisément de décrire [traduction] « une situation alarmante » en vue de mettre les décideurs au courant.

En effet, les raisons (voir ci dessus) invoquées par le BCP prennent le contrepied de l’impression exprimée dans la correspondance interne du BCP, où les analystes et les gestionnaires discutent de l’importance du rapport spécial ainsi que du soutien et de l’approbation à l’égard de l’analyse de rapport qu’un dirigeant du SCRS et un analyste principal du renseignement du SCRS ont produite. Au sein du SER, on avait l’impression que le rapport s’avérerait particulièrement utile, compte tenu de l’aperçu complet qu’il donnait des activités d’ingérence étrangère de la RPC. Pendant ce temps, un dirigeant du SCRS indiquait que le produit était préparé [traduction] « pour être remis aux décideurs, afin que ceux ci puissent saisir la gravité de la situation ». Cette impression est exprimée dans la recommandation de janvier 2022 citée précédemment, voulant que le rapport spécial soit mis à la disposition des membres du Cabinet.

Document du SCRS sur « le ciblage »

Au début de 2021, un analyste du SCRS a produit un rapport à partir de renseignement SIGINT [**Une phrase a été modifiée et une autre supprimée pour éliminer l’information préjudiciable. Ces phrases traitaient des méthodes de collecte et des systèmes techniques.**]. Le rapport faisait part d’une analyse des activités d’ingérence étrangère que la RPC avait dirigées contre des acteurs de la politique fédérale canadienne [**expurgé**]. En l’occurrence, il s’agissait de donner, aux responsables des politiques, un aperçu de la stratégie et des tactiques employées par la RPC pour « cibler » (à des fins d’influence ou d’ingérence) [**expurgé**]. Le SCRS a caractérisé le rapport comme étant [traduction] « l’analyse la plus complète et la plus détaillée réalisée à ce jour sur l’ingérence étrangère que la RPC exerce envers des acteurs politiques ».

Une dernière version du rapport – connue sous l’appellation de « document sur le ciblage » (Targeting Paper) – a été achevée en juin 2021. Selon le SCRS, le rapport était déjà parvenu à un nombre restreint de hauts responsables (bien que l’OSSNR ne puisse pas confirmer cette assertion, puisque rien ne l’atteste dans les registres de suivi du CST). Néanmoins, le produit est demeuré non publié et n’a pas été officiellement diffusé. 

Le SCRS a invoqué plusieurs raisons justifiant le fait que le rapport n’était allé nulle part à ce moment là, notamment les difficultés logistiques liées à la classification du matériel (ce qui rendait difficile la distribution), l’incidence de la COVID 19, le roulement des gestionnaires, les questions juridiques [**expurgé**] et l’aspect délicat de l’ensemble du contenu (ce qui nécessitait nombre de consultations concernant la distribution auprès des hauts responsables). Selon un haut responsable du SCRS, il n’a jamais été question d’empêcher la publication du rapport, puisqu’il s’agissait d’un produit considéré comme important. 

En octobre 2022, l’auteur du rapport a pris contact avec la gestion du SCRS afin de promouvoir la publication du produit, compte tenu de l’intérêt considérable que les fuites médiatiques avaient généré pour la question de l’ingérence étrangère. En novembre 2022, le SCRS a entrepris de coordonner [**expurgé**] la publication du rapport. Il a été envisagé de publier le rapport en tant que produit du SCRS, mais dans le répertoire SLINGSHOT du CST. Au cours des deux mois suivants, les discussions ont surtout porté sur la liste de diffusion et sur le « lancement » du rapport. Le SCRS a décidé de s’adresser d’abord aux hauts fonctionnaires et, peu après, à « l’échelon politique » (c. à d. les ministres concernés). Au début de février, la distribution à une poignée de hauts fonctionnaires a eu lieu. Le rapport a ensuite été publié dans SLINGSHOT, le 13 février 2023.

Neuf jours plus tard, le 22 février, le rapport est devenu inaccessible. Or, les registres système indiquent que le produit avait été vu par environ 40 fonctionnaires, notamment le CSNR, le greffier du Conseil privé et le directeur du SCRS, durant la période où il était encore accessible.

La décision de rendre le rapport inaccessible a été prise par le directeur du SCRS à la demande du CSNR. Lorsque l’OSSNR l’a questionné au sujet de sa décision, le directeur du SCRS a répondu [traduction] « si je me souviens bien, il a été décidé de [mettre le rapport sur la glace], car l’information était extrêmement sensible et qu’il était nécessaire de tenir de plus amples discussions concernant sa diffusion. La demande n’avait pas pour objet de limiter ou de censurer le rapport, mais bien de veiller à ce que le lectorat soit adéquatement choisi ». Plus spécifiquement, selon le directeur, le CSNR craignait que [traduction] « la liste de distribution soit trop exhaustive compte tenu du contenu du rapport ». En novembre 2023, aucune liste révisée n’a été approuvée, et le rapport est demeuré inaccessible.

Le BCP a confirmé que la demande du CSNR visant à mettre un frein au produit tenait au fait que le CSNR estimait que la liste de distribution initiale était trop large. Quoique [traduction] « le CSNR avait posé des questions au SCRS concernant les mesures qu’il conviendrait de prendre concernant le renseignement que le rapport contenait ». Pour sa part, le SCRS n’a fait aucune mention d’une telle demande dans ses réponses à l’OSSNR concernant le produit en question. Le plus étonnant, c’est que le BCP a expliqué que [traduction] « le CSNR était d’avis que les activités dont il était question dans le rapport ne correspondaient pas à ce que l’on conçoit normalement comme de l’ingérence étrangère, et qu’il s’agissait plutôt de pratiques diplomatiques courantes ». Le BCP avance également que cette position était soutenue par des sous-ministres dont l’identité n’a pas été révélée. Voilà qui contraste nettement avec la caractérisation que le SCRS a faite du rapport en disant qu’il contenait la plus complète et la plus détaillée des analyses portant sur l’ingérence étrangère dirigée contre les acteurs politiques canadiens par la RPC.

Le 24 février, une réunion s’est tenue au BCP pour discuter du produit. Participaient à la réunion le directeur du SCRS, le CSNR, le chef du CST, le greffier du Conseil privé, le SM de la Sécurité publique, le SM d’AMC et l’auteur du rapport (un analyste principal du SCRS). Selon le SCRS, au terme de cette réunion, le CSNR a demandé que soit produite une version abrégée et « expurgée » (c. à d. les noms [**expurgé**] ont été anonymisés) du rapport spécifiquement pour le premier ministre.

L’analyste du SCRS a achevé une version du rapport destinée au premier ministre le 9 mars 2023. Or, en novembre 2023, le premier ministre n’avait toujours pas accédé au produit; il ne l’avait donc ni vu ni lu. Le directeur du SCRS n’était pas au courant de ce fait. Pour ce qui est de la diffusion, l’analyste du SCRS (l’auteur du rapport) a indiqué qu’il devait recevoir une liste de distribution approuvée – liste que seuls le directeur et le CSNR pouvaient fournir – et qu’il n’était pas autorisé à disposer du rapport de sa propre initiative. Le SCRS a d’ailleurs ajouté que [traduction] « le personnel du bureau du directeur était au courant […] que rien ne pourrait advenir de la version destinée au premier ministre sans avoir reçu une nouvelle liste de distribution de la part [du directeur] et du CSNR », mais que [traduction] « en raison de priorités concurrentes qui se sont concrétisées au printemps et à l’été, le bureau du directeur n’a pas cru bon de soulever la question auprès du directeur ». Étant donné que [traduction] « ni le CSNR ni le bureau du CSNR n’ont fait de suivi auprès du directeur quant à l’état de la demande de préparation d’une version destinée au premier ministre », le directeur a eu l’impression [traduction] « que le premier ministre l’avait déjà vue ».

Figure 6. Document du SCRS sur le « ciblage » : les dates clés

Figure 6. Document du SCRS sur le « ciblage » : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Le SCRS a clairement signifié que cette version du rapport avait été préparée spécialement pour le premier ministre, mais le directeur a aussi ajouté que la décision visant à savoir si elle devait être remise ou non au premier ministre relevait du BCP. Toutefois, selon le BCP [traduction] « le rapport en question n’était pas spécifiquement destiné à n’être utilisé que par le premier ministre ». Or, cette déclaration illustre le contraste frappant qu’il y a entre la vision du SCRS et celle du BCP. Au SCRS, on semble convaincu que le résultat de la réunion du 24 février fut la formulation d’une directive voulant que le CSNR crée une version particulière du rapport sur les « cibles » destinée au premier ministre, ce qui est difficile à concilier avec la position de ce même CSNR, selon laquelle le même produit n’était pas spécifiquement destiné au premier ministre. De plus, d’après les dossiers de suivi du CST, aucun autre haut représentant – nommément le BCP et le CPM – n’a vu la version abrégée du produit. D’après le SCRS, [traduction] « cette version n’a été traitée d’aucune façon ».

Certes, le CSNR tient un rôle de coordonnateur au sein de la collectivité de la sécurité et du renseignement, mais ce rôle n’est pas clairement circonscrit. Par ailleurs, comme il est proche du premier ministre, le CSNR doit composer avec le fait que sa position à l’égard de certaines mesures ou de certaines décisions peut avoir un poids considérable en sein de la collectivité. Ainsi, il demeure difficile de connaître la portée exacte de son influence sur les décisions s’appliquant à la diffusion des produits de renseignement du SCRS. Apparemment, la décision de « stopper » (22 février) la version initiale du document sur « le ciblage » aurait été prise par le directeur. Or, dans les faits, la décision semble plutôt avoir été prise par le CSNR (pensons, à titre de cas semblable, la demande suivant laquelle le CSNR a procédé au rappel d’un produit de renseignement du SCRS portant sur l’ingérence étrangère exercée pendant l’élection de 2019; à ce sujet, voir le paragraphe 27, plus haut).

Il convient de souligner que le rapport spécial du BCP et le document du SCRS sur « le ciblage » affichent certaines similitudes. En effet, les deux produits devaient être l’occasion de synthétiser les aperçus du renseignement disponible sur l’ingérence politique étrangère de la RPC. Au bout du compte, ni l’un ni l’autre des documents n’a été diffusé auprès de l’exécutif politique pour des motifs semblables. Ces rapports auraient pu être fournis aux responsables des politiques à des fins de planification stratégique, mais le CSNR les a plutôt traités en fonction de mesures à appliquer ou d’une marche à suivre à la lumière du renseignement fourni, et ne les a donc pas diffusés. 

Il a également été question de savoir si, de fait, les rapports décrivaient l’ingérence étrangère ou faisaient tout simplement état d’activités diplomatiques courantes, ce qui a donné lieu à un désaccord catégorique pour ce qui concerne le document sur les cibles. Lorsqu’il s’agit d’évaluer le renseignement, les désaccords et les débats sont importants et utiles. Pourtant, l’écart que l’on constate, en l’occurrence, entre le point de vue du SCRS et celui du CSNR est considérable, d’autant plus que la question est fondamentale. Le SCRS a collecté et analysé du renseignement et a fait rapport sur des activités considérées comme constituant d’importantes menaces envers la sécurité nationale. Or, l’un des principaux utilisateurs de ce type de rapport (et principal rapporteur du renseignement auprès du premier ministre) était manifestement en désaccord avec cette évaluation. En théorie, les engagements en matière de lutte contre l’ingérence politique étrangère sont simples à comprendre, mais ils seront difficiles à concrétiser si, au sein de la collectivité, on doit se buter constamment à des désaccords quant à la nature des menaces.

Recommandation no 6 : L’OSSNR recommande que Sécurité publique Canada, Affaires mondiales Canada, le Bureau du Conseil privé et les autres utilisateurs du renseignement accroissent le niveau de littératie en matière de renseignement au sein de leurs ministères respectifs.

Recommandation no 7 : L’OSSNR recommande que les membres de la collectivité de la sécurité et du renseignement acquièrent une compréhension et des pratiques communes à l’égard de l’ingérence politique étrangère.

Recommendation 8: L’OSSNR recommande que le rôle du conseiller à la sécurité nationale et au renseignement auprès du premier ministre – notamment en ce qui a trait aux décisions concernant la diffusion du renseignement – soit défini dans un instrument juridique.

Conclusion

La collectivité de la sécurité et du renseignement admet unanimement que l’ingérence politique étrangère est une menace considérable pour le Canada et que la République populaire de Chine (RPC) constitue l’un des principaux auteurs de ce type de menace qui pèse sur tous les ordres de gouvernement. Pourtant, le présent examen – lequel porte sur la façon dont le renseignement ayant trait à l’ingérence politique étrangère exercée par la RPC a été diffusé entre 2018 et 2023 (période qui englobe les deux dernières élections fédérales) – indique que les éléments constitutifs de cette collectivité manifestent, en interne et entre eux, d’importants désaccords quant à savoir si, quand et comment il convient de diffuser les renseignements dont chacun dispose.

De fait, on a constaté trois schismes fondamentaux. Premièrement, au sein du SCRS : le Service a eu du mal à concilier les exigences concurrentes (faire rapport sans causer d’ingérence) en raison des éléments sensibles liés à l’ingérence politique étrangère, particulièrement à l’approche des élections, pendant les élections et peu après les élections. En l’occurrence, on a observé une dérogation aux pratiques normales de diffusion, ce qui a engendré une forme de consternation de la part de certains responsables de la collecte et de l’analyse du renseignement.

Deuxièmement, dans l’appareil de la sécurité des élections : le Groupe de travail MSRE et le groupe responsable du PPIEM s’étaient préparés à des activités d’ingérence systématique et vaste, et ne s’étaient donc pas adaptés à l’ingérence dite traditionnelle, celle là même qui a lieu à l’échelle des circonscriptions, et ce, malgré que l’on ait reconnu que ce type de menace était le plus répandu au Canada. Compte tenu du seuil appliqué par le groupe responsable du PPIEM, celui ci n’a rien communiqué au public canadien concernant l’ingérence étrangère qui avait été observée pendant les élections fédérales de 2019 et de 2021.

Troisièmement, entre les analystes du renseignement et les hauts fonctionnaires : les analystes du BCP et du SCRS ont produit des aperçus de ce qu’ils considéraient comme des activités d’ingérence étrangère de la part de la RPC (et, par conséquent, des menaces envers la sécurité nationale), alors que le CSNR considérait plutôt que ces activités étaient typiques du travail diplomatique standard. Cette divergence fondamentale a mené, du moins en partie, au fait que ces produits de renseignement ne sont pas parvenus à l’exécutif politique, notamment au premier ministre.

Ces désaccords et ces décalages sont le reflet d’une difficulté de fond, à savoir cette « zone grise » où l’ingérence politique étrangère peut étrangement ressembler à des activités politiques ou diplomatiques courantes. Cette difficulté était omniprésente dans les activités examinées. Elle a influé sur les décisions relatives à la diffusion ou à la non diffusion des produits et sur la façon de caractériser ce qui était communiqué. Elle a également mis en évidence les éléments sensibles liés à la production de rapports sur les activités qui meublent la sphère du politique et de la diplomatie. Le risque de caractériser les comportements politiques ou diplomatiques légitimes comme étant des menaces a incité des membres de la collectivité du renseignement à s’abstenir de considérer certaines activités comme des menaces. 

La collectivité de la sécurité et du renseignement a été aux prises avec ces difficultés pendant une période d’importants changements sur le plan géopolitique. La relation que le Canada entretient avec la RPC s’est détériorée depuis 2018. Ce n’est pas par hasard que l’on a observé, pendant la période visée par l’examen, une tendance vers une reconnaissance accrue, voir un consensus quant à l’ampleur de la menace posée par l’ingérence étrangère de la RPC. Toutefois, même si la collectivité évolue vers une meilleure coordination, il n’en demeure pas moins un certain nombre d’obstacles au cheminement de l’information concernant cette menace. D’ailleurs, les recommandations ici formulées visent à surmonter ces obstacles. Dans l’absolu, ces recommandations ont pour but de veiller à ce que ceux qui reçoivent le renseignement – les décideurs et les responsables des politiques appelés à veiller sur la sécurité du pays – soient en mesure de prendre les mesures qui s’imposent en toute circonstance.

Annexe A. Conclusions et recommandations

L’OSSNR a formulé les conclusions et les recommandations suivantes dans le cadre de son examen.

Partie 1 : Collecte et diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des élections fédérales de 2019 et de 2021

Conclusion no1 : L’OSSNR a conclu que la diffusion, par le SCRS, du renseignement concernant l’ingérence politique étrangère pendant la 43e et la 44e élections fédérales était incohérente. Plus précisément, il s’avère qu’en diverses occasions :

  • la justification des décisions à savoir si et comment il convenait de diffuser le renseignement n’était pas claire, ce qui a eu une incidence directe sur l’acheminement de l’information
  • la menace posée par les activités d’ingérence politique étrangère n’a pas été clairement communiquée par le SCRS

Conclusion no2 : L’OSSNR a conclu que la diffusion et l’utilisation, par le SCRS, du renseignement sur l’ingérence politique étrangère avaient été marquées par le souci selon lequel ce type d’action pourrait constituer ou sembler constituer une forme d’ingérence dans le processus démocratique.

Conclusion no3 : L’OSSNR a conclu que le SCRS avait fréquemment choisi de présenter des exposés verbaux plutôt que des produits écrits lorsqu’il s’agissait de diffuser du renseignement sur l’ingérence politique étrangère pendant les élections.

Conclusion no4 : L’OSSNR a conclu qu’au sein du SCRS, il y avait une rupture entre une région et l’Administration centrale quant à savoir si les rapports sur l’ingérence politique étrangère devaient être assujettis à un seuil élevé de confiance, de corroboration et de contextualisation avant la diffusion.

Partie 2 : Le Groupe de travail MSRE et le groupe responsable du PPIEM

Conclusion no 5 : L’OSSNR a conclu que le Groupe de travail MSRE et le groupe responsable du PPIEM n’avaient pas été conçus pour s’attaquer convenablement à l’ingérence étrangère traditionnelle d’origine humaine. Plus précisément :

  • Le Groupe de travail MSRE se concentre sur les activités de menace pendant la période électorale, mais il faut également savoir que l’ingérence étrangère a aussi lieu entre ces périodes.
  • La représentation d’Affaires mondiales Canada au sein du Groupe de travail MSRE se concentrait sur les activités d’ingérence étrangères menées en ligne.
  • Le seuil particulièrement élevé que le groupe responsable du PPIEM respecte pour ce qui concerne les annonces publiques risque très peu d’être atteint dans le cas de l’ingérence étrangère traditionnelle, puisque celle ci consiste surtout à cibler certaines circonscriptions.

Partie 3 : L’acheminement du renseignement sur l’ingérence étrangère de la RPC

Conclusion no 6 : L’OSSNR a conclu que la diffusion restreinte de certains renseignements du SCRS et du CST auprès des hauts responsables exclusivement avait réduit la capacité de la Gendarmerie royale du Canada, d’Affaires mondiales Canada et du Bureau du Conseil privé à tenir compte desdits renseignements au moment de procéder à leur analyse.

Conclusion no 7 : L’OSSNR a conclu que le SCRS et Sécurité publique ne disposaient d’aucun registre permettant de savoir qui reçoit et qui lit certains produits de renseignement, une carence qui crée des lacunes sur le plan de la responsabilisation.

Conclusion no 8 : L’OSSNR a conclu que la diffusion du renseignement sur l’ingérence politique étrangère de 2018 à 2023 avait été plombée par un certain nombre de difficultés. Plus précisément :

  • les utilisateurs ne comprenaient pas toujours la portée du renseignement qu’ils recevaient ou la façon d’intégrer ce renseignement dans leurs analyses stratégiques et leurs processus décisionnels;
  • on a relevé des désaccords entre les sous sections du renseignement et les hauts fonctionnaires quant à savoir si les activités décrites dans certains produits de renseignement constituaient de l’ingérence étrangère ou si elles ne représentaient que des activités diplomatiques légitimes.

Conclusion no 9 : L’OSSNR a conclu qu’il y avait des désaccords entre les hauts fonctionnaires et le CSNR quant à savoir si les évaluations de renseignement devraient être mises à la disposition de l’exécutif politique. En définitive, les interventions du CSNR se sont soldées par le fait que deux produits ne se sont pas rendus à l’exécutif politique, notamment le premier ministre.

Conclusion no 10 : L’OSSNR a conclu que le rôle du CSNR quant aux décisions relatives à la diffusion des produits de renseignement du SCRS n’était pas clairement défini.

Partie 1 : Collecte et diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des élections fédérales de 2019 et de 2021

Recommandation no 1 : L’OSSNR recommande que le SCRS élabore, suivant des consultations auprès des parties intéressées du gouvernement, une politique complète appelée à encadrer ses interventions face à la menace que pose l’ingérence politique étrangère. Cette politique devrait :

  • indiquer précisément les seuils et les pratiques à respecter pour la communication et la diffusion du renseignement concernant l’ingérence politique étrangère. Notamment, il faudrait indiquer les niveaux appropriés de confiance, de corroboration, de contextualisation et de caractérisation qui détermineront si le renseignement doit faire l’objet d’un rapport;
  • faire clairement état de la tolérance au risque que le SCRS peut appliquer lorsqu’il s’agit de prendre des mesures contre la menace que pose l’ingérence politique étrangère;
  • mettre en place des processus clairs d’approbation et de notification (ce qui inclut les consultations externes) pour toutes les activités ayant trait à la lutte contre l’ingérence politique étrangère;
  • faire clairement état de toute exigence ou procédure particulières pouvant s’appliquer, s’il y a lieu, pendant la période d’élection, ce qui comprend notamment les procédures permettant de diffuser en temps voulu le renseignement sur l’ingérence politique étrangère;
  • analyser les pratiques exemplaires des partenaires internationaux (particulièrement ceux de la Collectivité des cinq) en matière d’enquête et d’établissement de rapports concernant l’ingérence politique étrangère.

Partie 2 : Le Groupe de travail MSRE et le groupe responsable du PPIEM

Recommandation no 2 : L’OSSNR recommande que le Groupe de travail MSRE définisse ses priorités en fonction des menaces réelles, notamment celles qui se concrétisent en dehors de la période électorale en tant que telle.

Recommandation no 3 : L’OSSNR recommande qu’Affaires mondiales Canada (AMC) et le Bureau du Conseil privé (BCP) veillent à ce que la représentation d’AMC au sein du Groupe de travail MSRE tire parti de la capacité du ministère à analyser et à traiter l’ingérence étrangère traditionnelle d’origine humaine, et ce, à titre de complément au mandat de l’équipe du mécanisme de réponse rapide.

Recommandation no 4 : L’OSSNR recommande que le Bureau du Conseil privé charge le groupe responsable du PPIEM d’élaborer de nouvelles stratégies permettant de réagir à l’intégralité des menaces qui se posent pendant les périodes électorales, notamment lorsque lesdites menaces se concrétisent dans des circonscriptions particulières.

Partie 3 : L’acheminement du renseignement sur l’ingérence étrangère de la RPC

Recommandation no 5 : L’OSSNR recommande que le SCRS et Sécurité publique se dotent d’un mécanisme élémentaire de responsabilisation permettant de suivre et de documenter rigoureusement la réception des produits de renseignement. Dans le cas du renseignement hautement sensible et particulièrement urgent, il conviendrait d’enregistrer également toute occurrence de lecture des produits de renseignement.

Recommandation no 6 : L’OSSNR recommande que Sécurité publique Canada, Affaires mondiales Canada, le Bureau du Conseil privé et les autres utilisateurs du renseignement accroissent le niveau de littératie en matière de renseignement au sein de leurs ministères respectifs.

Recommandation no 7 : L’OSSNR recommande que les membres de la collectivité de la sécurité et du renseignement acquièrent une compréhension et des pratiques communes à l’égard de l’ingérence politique étrangère.

Recommendation 8: L’OSSNR recommande que le rôle du conseiller à la sécurité nationale et au renseignement auprès du premier ministre – notamment en ce qui a trait aux décisions concernant la diffusion du renseignement – soit défini dans un instrument juridique.

Share this page
Date de modification :

Gouvernance du CST s’appliquant aux cyberopérations actives et défensives

Date de publication :

Sommaire

La Loi sur le CST confère au Centre de la sécurité des télécommunications (CST) le pouvoir de mener des cyberopérations actives et des cyberopérations défensives (COA/COD). Tel qu’il est stipulé dans la Loi, une COD a pour but de stopper ou de gêner les cybermenaces étrangères qui pourraient peser sur les réseaux ou les systèmes du gouvernement fédéral désignés comme étant importants pour le Canada par le ministre de la Défense nationale (MinDN). Pour leur part, les COA ont pour vocation de restreindre la capacité des adversaires à porter atteinte aux relations internationales, à la défense ou à la sécurité du Canada. Les COA/COD sont autorisées par voie d’autorisations ministérielles (AM) et, en raison de leurs répercussions potentielles sur la politique étrangère, les COA nécessitent l’approbation du ministre des Affaires étrangères (MAE), alors que les COD ne requièrent que l’avis du MAE.

Pendant le présent examen, l’OSSNR s’est fixé pour objectif d’évaluer le cadre de gouvernance qui oriente la conduite des COA/COD. L’OSSNR a également cherché à savoir si le CST prenait suffisamment en compte ses obligations légales, mais aussi les répercussions de ses opérations sur la politique étrangère de l’État canadien. En outre, l’OSSNR a analysé les documents portant sur les politiques et les procédures, sur la gouvernance et sur les opérations, de même que la correspondance entre le CST et AMC. L’examen a débuté par l’analyse des tout premiers documents portant sur les COA/COD et s’est conclu à l’échéance de la période de validité des premières autorisations ministérielles visant des COA/COD.

Dans le présent examen, l’OSSNR a tenu compte de l’apport d’Affaires mondiales Canada (AMC) en considération du rôle important que ce ministère tient dans la structure de gouvernance des COA/COD conçue conformément aux exigences établies par la loi relativement au rôle du MAE à l’égard des AM. Par conséquent, l’OSSNR a été en mesure d’acquérir les éléments de connaissance lui permettant de bien comprendre les structures de gouvernance et de reddition de compte qui ont été mises en place pour ces activités, et ce, en étant exposé à des témoignages uniques de la part de représentants des deux ministères, qui ont fait état de leurs rôles et de leurs responsabilités respectifs.

La nouveauté de ces pouvoirs a contraint le CST à élaborer de nouveaux mécanismes et processus tout en tenant compte des pouvoirs et contraintes nouvellement établis par la Loi. L’OSSNR a d’ailleurs constaté l’important travail effectué par le CST et par AMC pour l’édification de la structure de gouvernance s’appliquant aux COA/COD. Dans le présent contexte, l’OSSNR a remarqué que certains aspects de la gouvernance pouvaient être améliorés en les rendant plus transparents et en les énonçant plus clairement.

En outre, l’OSSNR a noté que le CST pourrait donner une information plus détaillée aux intervenants prenant part au processus décisionnel et à la gouvernance des COA/COD, particulièrement dans les documents comme les AM qui autorisent ces opérations et dans les plans opérationnels établis pour la direction desdites opérations. De plus, l’OSSNR a trouvé que le CST et AMC n’avaient suffisamment pris en compte ni les nombreuses lacunes, qui ont été recensées dans le cadre du présent examen, ni les recommandations visant les éléments suivants :

  • la nécessité de mobiliser d’autres ministères pour s’assurer que les opérations suivent les priorités globales du gouvernement du Canada;
  • l’absence d’un seuil de démarcation entre une COA et une COD préventive;
  • la nécessité d’évaluer la conformité au droit international de chacune des opérations;
  • la nécessité de communiquer bilatéralement les informations nouvellement acquises qui renseignent sur le niveau de risque d’une opération.

Les lacunes observées par l’OSSNR sont de celles qui seraient porteuses de risques si elles ne devaient pas être résolues. Par exemple, en raison de leur nature vaste et générale, les catégories d’activités, de techniques et de cibles faisant partie des COA/COD [**expurgé**] pourraient donner lieu à l’interception non intentionnelle d’éléments concernant des activités et des cibles [**expurgé**]. Au reste, étant donné que l’apport d’AMC n’est pas le même pour les COA et les COD, le fait de classifier par erreur une COA en tant que COD préventive pourrait donner lieu à un accroissement du risque pour les relations internationales du Canada, dans la mesure où l’on pourrait ne pas avoir suffisamment consulté AMC.

Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs observations concernant l’information contenue dans les documents qui ont été produits à ce jour en matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement mises en oeuvre.

L’information fournie par le CST n’a pas été vérifiée de façon indépendante par l’OSSNR. Or, des travaux sont en cours pour établir des politiques opérantes et des pratiques exemplaires favorisant la vérification indépendante d’une multiplicité d’informations, en accord avec l’engagement de l’OSSNR à appliquer une approche qui soit axée sur la confiance, mais renforcée par des mesures de vérification.

Pouvoirs

Le présent examen est effectué en vertu des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

Contexte de l’examen et méthodologie

Depuis l’entrée en vigueur de la Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST), le 1er août 2019, le CST est désormais autorisé à mener en toute autonomie des cyberopérations actives (COA) et des cyberopérations défensives (COD). Au cours des premières séances d’information tenues à l’automne de 2019, l’OSSNR a appris [**expurgé**]. Or, des représentants du CST ont ensuite apporté des précisions en indiquant [**expurgé**]. Dans ce contexte, l’OSSNR évaluera les COA et les COD suivant une approche progressive. En premier lieu, le présent examen a pour objet de mieux saisir la façon dont s’est développée la structure de gouvernance du CST pour ce qui concerne les COA et les COD. L’OSSNR enchaînera avec un nouvel examen portant, cette fois, sur les opérations. Cet examen ultérieur est en cours et devrait se terminer en 2022.

À l’occasion de ce premier examen, nous avons porté une attention particulière aux structures dont la vocation est de gouverner la conduite des COA et des COD. En l’occurrence, la gouvernance pourrait correspondre à l’établissement de processus servant à guider et à gérer la planification, les engagements interministériels, la conformité, la formation et la surveillance, mais aussi d’autres questions globales qui influent sur la conduite des COA et des COD. L’OSSNR reconnaît que ces structures sont appelées à évoluer en fonction des enseignements tirés de l’expérience acquise en cours d’opérations. En outre, les alliés du Canada, qui disposent de pouvoirs semblables en matière de cyberopérations depuis déjà un certain temps, [**expurgé**]. Dans le présent contexte, l’OSSNR s’est donné pour objectif de déterminer si, pendant ces premières étapes d’élaboration d’une structure de gouvernance applicable aux COA et aux COD, le CST avait raisonnablement pris en compte et défini ses obligations juridiques de même que les aspects des COA et des COD qui pourraient influer sur la politique étrangère.

Dans le cadre du présent examen, l’OSSNR a évalué les documents faisant état des politiques, des procédures, du système de gouvernance et de la planification des opérations, mais aussi les évaluations des risques ainsi que la correspondance entre le CST et Affaires mondiales Canada (AMC) (dont le rôle déterminant est décrit plus loin). L’OSSNR a examiné les tout premiers documents portant sur l’élaboration de la structure de gouvernance s’appliquant aux COA et aux COD. En l’occurrence, la fin de la période d’examen a coïncidé avec l’échéance des premières autorisations ministérielles visant des COA et des COD, soit le 24 août 2020. Ainsi, les conclusions et les recommandations formulées dans le présent rapport concernent la structure de gouvernance en vigueur pendant la période d’examen.

Que sont les cyberopérations actives et défensives?

Tel qu’il est énoncé dans la Loi sur le CST, les cyberopérations défensives (COD) ont pour vocation de stopper ou de contenir les cybermenaces étrangères avant qu’elles n’atteignent les systèmes et les réseaux du gouvernement ou les systèmes désignés par le ministre de la Défense nationale (MinDN) comme étant importants pour le pays, notamment les infrastructures essentielles du Canada et les partis politiques canadiens inscrits. Quant aux cyberopérations actives, elles permettent au gouvernement de recourir aux capacités en ligne du CST pour mener, dans le cyberespace, un vaste éventail d’activités dont l’objet est d’affaiblir furtivement la capacité d’un adversaire à nuire aux activités du Canada en matière, notamment, de relations internationales, de défense ou de sécurité. À titre d’exemple, les COA peuvent comprendre des activités visant à désactiver les dispositifs de communication dont les membres d’un réseau de terroristes étrangers se servent pour communiquer ou pour planifier leurs attaques. Les répercussions des COA et des COD [**concerne des opérations du CST**] d’une COA ou d’une COD.

Pour mener des COA ou des COD, le CST mise sur ses accès à l’infrastructure mondiale d’information (IMI), sur une expertise en matière de renseignement étranger, et sur les partenariats nationaux et internationaux pour acquérir du renseignement apte à favoriser le déroulement des COA et des COD. Les activités menées dans le cadre du volet « renseignement étranger » et du volet « cybersécurité » du mandat du CST permettent au Centre de collecter des informations ayant pour objet de renseigner sur les intentions, les plans et les activités d’auteurs malveillants qui cherchent à nuire aux intérêts du Canada. Selon le CST, la collecte préliminaire de renseignement, le développement des capacités [**expurgé**] constituent la majeure partie du travail nécessaire à la tenue des COA et des COD, alors que les activités qui ont lieu dans le cyberespace ne constituent approximativement que [**expurgé**] de la charge de travail.

Fondements juridiques des cyberopérations

La Loi sur le CST fait état des pouvoirs légaux dont jouit le CST pour mener des COA/COD. D’ailleurs, la figure 1 présente des extraits de la Loi qui décrivent ces deux volets. En outre, le régime des autorisations ministérielles dont il est question dans la Loi sur le CST confère au Centre les pouvoirs nécessaires à l’exercice des activités ou des catégories d’activités qui sont énumérées à l’article 31 de la Loi sur le CST et qui concernent les COA/COD.

Cyberopérations défensives (COD)

  • Article 18 de la Loi sur le CST
  • En ce qui a trait au volet de son mandat touchant les cyberopérations défensives, le Centre mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin d'aider à protéger :
    • (a) l'information électronique et les infrastructures de l'information des institutions fédérales;
    • (b) l'information électronique et les infrastructures de l'information d'importance pour le gouvernement fédéral désignées comme telle [...].

Cyberopérations actives (COA)

  • Article 19 de la Loi sur le CST
  • En ce qui a trait au volet de son mandat touchant les cyberopérations actives, le Centre mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin de réduire, d'interrompre, d'influencer ou de contrecarrer, selon le cas, les capacités, les intentions ou les activités de tout étranger ou État, organisme ou groupe terroriste étrangers, dans la mesure où ces capacités, ces intentions ou ces activités se rapportent aux affaires internationales, à la défense ou à la sécurité, ou afin d'intervenir dans le déroulement de telles intentions ou activités.

Il importe de souligner que la Loi impose des contraintes sur les COA/COD. En l’occurrence, il leur est interdit de cibler des Canadiens ou quiconque se trouve sur le territoire du Canada; elles doivent respecter les termes de la Charte canadienne des droits et libertés; et il leur est interdit de cibler l’IMI au Canada.

Les COA/COD doivent être menées au titre d’une autorisation ministérielle (AM) délivrée par le MinDN conformément aux dispositions du paragraphe 29(1) (COD) ou à celles du paragraphe 30(1) de la Loi sur le CST. Les AM autorisant les COA/COD habilitent le CST à mener des activités de COA/COD malgré toute autre loi fédérale ou loi d’un État étranger. Pour délivrer une AM, le MinDN doit conclure qu’il y a des motifs raisonnables de croire que l’activité en cause est raisonnable et proportionnelle, et doit également conclure que l’objectif de la cyberopération ne pourrait pas être raisonnablement atteint par d’autres moyens10. De plus, le MinDN doit consulter le ministre des Affaires étrangères (MAE) avant de délivrer une AM pour les COD, mais doit obtenir le consentement du MAE avant de délivrer une AM pour les COA. Toute activité de COA/COD autorisée ne peut causer, intentionnellement ou par négligence criminelle, des lésions corporelles à une personne physique ou la mort de celle-ci; ne peut tenter intentionnellement de quelque manière d’entraver, de détourner ou de contrecarrer le cours de la justice ou de la démocratie. Il importe d’ajouter que, contrairement aux AM délivrées pour le volet renseignement étranger de même que pour le volet cybersécurité et assurance de l’information du mandat du CST, les AM visant les COA et les COD ne sont pas assujetties à l’approbation du commissaire au renseignement.

En plus des volets COA/COD prévus par son mandat, le CST peut également fournir une assistance technique et opérationnelle à d’autres ministères du gouvernement du Canada (GC). Le CST peut assister les organismes fédéraux chargés de l’application de la loi et de la sécurité (OALS) aux fins de prévention de la criminalité, d’atténuation des menaces pour la sécurité du Canada et de soutien à des missions militaires autorisées par le GC. Lorsqu’il prête son assistance, le CST agit en vertu des autorisations légales – et des restrictions afférentes – conférées aux organismes ou aux ministères faisant appel à ladite assistance. De même, les personnes agissant au nom du CST jouissent des mêmes mesures d’exemption, de protection et d’immunité que celles qui agissent au nom des OALS demandeurs. Les activités menées aux fins de ce type d’assistance seront analysées dans le cadre d’examens ultérieurs de l’OSSNR.

Outre la Loi sur le CST, le droit international est pris en compte dans le cadre juridique s’appliquant aux activités de COA/COD. Les activités du CST sont liées par le droit international coutumier dans la mesure où le droit canadien adopte ipso facto le droit international coutumier par l’intermédiaire de la common law, sauf en cas d’incompatibilité entre les lois.

L’OSSNR note que le droit international en matière de cyberespace est un domaine en développement. Dans cette sphère du droit, la pratique des États est limitée, les opinions de droit (postulats selon lesquels les États estiment que ce type de pratique correspond à une obligation juridique) sont rares et le droit des traités (précisions sur les modalités d’application du droit international au cyberespace) n’en est qu’à ses balbutiements. De plus, bien qu’il ait fait valoir que le droit international s’appliquait au cyberespace, le Canada n’a pas encore défini sa propre vision quant à l’application du droit international aux activités du cyberespace16. Or, le Canada s’est engagé à promouvoir l’établissement d’une vision commune à tous les États pour ce qui a trait à des normes volontaires et non contraignantes favorisant le comportement responsable des États dans le cyberespace. Ainsi, l’OSSNR suivra de près le développement de cette sphère du droit international, notamment, les pratiques observées par les États à l’égard des activités de COA/COD du CST. Dans le cadre du prochain examen visant les activités de COA/COD, l’OSSNR se penchera, cette fois, sur la façon dont le CST et AMC tiennent compte du droit international en vigueur.

Cadre politique s’appliquant aux cyberopérations

Préparation d’un cadre de consultation entre AMC et le CST

Il est possible que les COA/COD accroissent le niveau de risque pour la politique étrangère et les relations internationales du Canada. Bien que le volet renseignement étranger du CST ne vise qu’à collecter des informations, les COA/COD [**expurgé**], [**expurgé**]. Comme AMC est le ministère responsable des affaires internationales et de la politique étrangère du Canada, le MAE est appelé, en vertu de la loi, à tenir un rôle lorsqu’il s’agit de consentir à ce que le MinDN délivre une autorisation ministérielle pour des COA.

Conformément aux directives du MAE, le CST et AMC ont uni leurs efforts pour créer un cadre de collaboration sur les questions ayant trait aux COA/COD. Le CST et AMC se sont mobilisés sur ces questions avant l’entrée en vigueur de la Loi sur le CST, de sorte à recenser les exigences énoncées dans la Loi en matière de consultation et de consentement. Ensemble, le CST et AMC ont mis sur pied divers organes interministériels appelés à se pencher sur les COA/COD dans le but de faciliter le processus de consultation aux divers niveaux, notamment, les groupes de travail constitués au niveau des directeurs généraux et du sous-ministre adjoint.

Structure de gouvernance du CST

L’Ensemble des politiques relatives à la mission (EPM) du CST décrit en détail les pouvoirs permettant d’orienter les COA/COD, les activités interdites en cours de COA/COD – de même que les consignes permettant d’interpréter ces interdictions – et le cadre de gouvernance suivant lequel il convient de surveiller le déroulement et la conduite des COA/COD, cadre désigné par l’appellation Cadre de pouvoirs et de planification commun (CPPC). La structure générale du cadre de gouvernance et des processus connexes a été conçue pour être employée dans toutes les COA/COD, tous niveaux de risque confondus. Toutefois, c’est en fonction du niveau de risque que ledit cadre établit les divers niveaux d’approbation.

Pendant la période consacrée à l’examen, le CPPC comportait plusieurs des éléments nécessaires à la planification, à l’approbation et à la conduite des opérations. Le principal instrument de planification était [**expurgé**] lequel décrit les [**expurgé**] de même que [**expurgé**] tout en mettant en évidence les risques et les mesures d’atténuation correspondantes. [**expurgé**] sert à déterminer et à énoncer l’éventail des risques associés à toute nouvelle activité. Durant la période d’examen, le CST a élaboré [**expurgé**]. L’OSSNR a également reçu des documents semblables [**expurgé**] ne coïncidant pas avec la période d’examen, mais contenant des informations pertinentes sur la structure de gouvernance et le niveau opérationnel.

Deux principaux groupes de travail ont pour objet d’évaluer et, le cas échéant, d’approuver, les plans internes visant les COA/COD. Le Groupe pour les cyberopérations (GCO) est un organe d’approbation au niveau des directeurs; il regroupe les principaux intervenants et est présidé par le directeur du secteur opérationnel ayant initié ou parrainé la demande de cyberopérations. Le rôle du GCO est d’examiner le plan opérationnel et d’en jauger les risques ainsi que les avantages. Le GCO peut approuver [**expurgé**] il peut également faire approuver ces éléments par le Groupe de gestion des cyberopérations (GGCO), s’il y a lieu. Le GGCO est un organe d’approbation qui se situe au niveau des directeurs généraux (DG) et qui est mis sur pied [**expurgé**] a été examiné et recommandé par le GCO.

Ensuite, le CST prépare [**concerne des opérations du CST**] est examinée en interne pour s’assurer qu’elle correspond à la teneur [**expurgé**] elle est ensuite approuvée au niveau des directeurs, bien que le CST ait indiqué que l’approbation pourrait être déléguée à un gestionnaire.

Constatations et recommandations

Clarté des autorisations ministérielles

L’OSSNR avait entrepris de déterminer si les exigences au titre de la Loi sur le CST relativement aux COA/COD se traduisent convenablement dans les AM du MinDN autorisant la tenue d’activités de COA/COD et si le CST a bien consulté le MAE et obtenu son consentement, comme l’exige la Loi.

L’OSSNR s’est penché sur deux AM portant respectivement sur des COA et des COD et valides du [**expurgé**]. Notamment, les deux AM n’approuvaient que des CAO/COD [**expurgé**]. De plus, l’OSSNR a examiné des documents en appui des AM, y compris les demandes présentées par le chef au MinDN et les lettres de confirmation connexes du MAE, ainsi que les documents de travail et la correspondance fournis par le CST et Affaires mondiales Canada (AMC).

Les AM examinées par l’OSSNR énonçaient les nouveaux pouvoirs conférés au titre de la Loi sur le CST et définissaient les conditions s’appliquant à la tenue des COA/COD, ainsi que les interdictions indiquées dans la Loi. De plus, les AM demandaient que les activités de COA/COD soient harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du gouvernement du Canada en matière de sécurité nationale, de politique étrangère et de défense.

Informations recueillies au titre d’autorisations précédentes en appui des cyberopérations

Le CST a reçu l’autorisation de mener des COA/COD à l’époque où la collecte de renseignements électromagnétiques (SIGINT) étrangers était autorisée par des AM délivrées en application de la Loi sur la défense nationale. [**expurgé**]. Le CST a confirmé à l’OSSNR que les COA/COD [**expurgé**] reposaient uniquement sur des informations recueillies au titre des AM délivrées en application de la Loi sur le CST. [**expurgé**] le CST a fait valoir que [**expurgé**]. L’OSSNR le confirmera dans le cadre de son examen ultérieur de COA/COD précises.

Consultation du ministre des Affaires étrangères par le CST

Le CST a fourni à AMC les dossiers complets de demande d’AM pour les COA/COD en place durant la période à l’examen. De plus, les représentants d’AMC et du CST ont noué le dialogue à différents niveaux avant l’entrée en vigueur de la Loi sur le CST et pendant l’élaboration des AM, particulièrement pour ce qui est de l’évaluation des catégories d’activités qui y sont autorisées. Dans sa réponse au dossier de demande d’AM du CST, le MAE a fourni des lettres confirmant qu’il avait été consulté et qu’il consentait aux AM de COA et de COD respectivement. L’OSSNR est ravi de constater cette collaboration rapide et rigoureuse de la part des deux organisations, étant donné le lien entre leurs mandats respectifs dans le contexte des COA/COD.

Les deux lettres du MAE soulignent l’utilité des COA/COD [**expurgé**] du gouvernement du Canada, expliquant l’importance de faire preuve de prudence concernant ce moyen dans les premières étapes. Notamment, le MAE attire l’attention sur les catégories d’activités « soigneusement définies » dans l’AM de COA pour garantir que les activités autorisées au titre de l’AM présentaient [**expurgé**]. Enfin, le MAE a chargé ses représentants de travailler avec le CST pour mettre en place un cadre de collaboration entourant les [**expurgé**]. Cette directive du MAE concorde avec le point de vue d’AMC sur l’importance d’assurer la cohérence des activités du CST avec la politique étrangère du Canada et le fait que l’AM ou un autre mécanisme devrait le garantir.

Portée et étendue des autorisations ministérielles

L’AM de COA [**concerne la politique opérationnelle du CST**] délivrée en vertu de l’article 31 de la Loi sur le CST a autorisé des catégories d’activités, y compris :

  • [**expurgé**] se mêler des [**expurgé**] d’une cible ou des éléments de l’infrastructure mondiale de l’information;
  • [**expurgé**]
  • [**expurgé**]
  • perturber la capacité d’un auteur de menace d’utiliser certaines infrastructures.

L’AM pour la COD [**concerne des opérations du CST**] autorisait les mêmes activités, à l’exception de la dernière catégorie, [**expurgé**].

Les AM pour les COA/COD stipulaient que le CST devait mener les COA/COD [**d’une certaine façon**]. Selon l’AM de COA, ce sont ces conditions qui, si elles sont respectées, font en sorte que les COA/COD menées au titre de ces AM comportent [**expurgé**]. Bien qu’AMC évalue les risques en matière de politique étrangère plutôt sur le plan opérationnel, les AM élaborées pendant la période à l’examen n’imposaient que deux conditions à respecter lors de la tenue des COA/COD. De plus, c’est au CST qu’il revient de déterminer les critères permettant de respecter ces conditions générales; l’AM demande seulement au CST d’en faire rapport. L’OSSNR ajoute que ces conditions ne comprennent aucune variable sur le plan de la politique étrangère, [**expurgé**]. Pour que soit confirmé le risque [**expurgé**] d’une opération pour la politique étrangère, l’OSSNR est d’avis qu’il est important que les AM établissent le calcul des facteurs de risque en matière de politique étrangère.

[**expurgé**] indiquant :

[**expurgé**]

Le CST semble avoir répondu [**concerne des opérations du CST**]. En outre, la capacité du ministre à évaluer les activités autorisées aux termes de la Loi sur le CST pourrait également être touchée. Pour cette évaluation, la demande d’AM doit contenir suffisamment de détails pour que le ministre soit convaincu que les exigences sont remplies.

Les catégories des activités de COA/COD, dont certaines sont exposées au paragraphe 27, sont grandement généralisées. Par exemple, presque toutes les activités menées dans le cyberespace peuvent être raisonnablement placées dans la catégorie [**expurgé**] ou se mêler [**expurgé**] des éléments de l’infrastructure mondiale de l’information ». [**expurgé**]

Effectivement, les discussions préliminaires entre le CST et AMC ont attiré l’attention sur le fait que [**expurgé**] et de contenu [traduction] « soulevaient des questions complexes », bien que l’OSSNR précise que de telles activités sont néanmoins autorisées dans l’AM définitive de COA dans la catégorie d’activités [traduction] [**expurgé**]. Autrement dit, l’autorisation d’une catégorie d’activités [**expurgé**] a été intégrée dans une catégorie encore plus vaste d’activités, sans [**expurgé**] évidente [**expurgé**] qui y étaient liés. Ce type de catégorisation ne permet pas une communication suffisante de l’information pour que le ministre saisisse les activités [**expurgé**] qui pourraient être menées au titre de l’AM.

En revanche, les techniques et exemples connexes énoncés dans les demandes sont les seuls moyens qui permettent de préciser les types d’activités pouvant avoir lieu dans le cadre d’une COA/COD. Ces exemples servent de fondement au MinDN pour évaluer les catégories d’activités dont il est question dans la demande d’AM. Dans les échanges préliminaires entre le CST et AMC, les catégories d’activités étaient décrites et analysées conjointement avec les techniques employées dans leur exécution. Par exemple, il a été noté que [**expurgé**], ce qui a fourni plus d’information à l’OSSNR en ce qui a trait aux actions qui se trouvaient exactement dans la catégorie d’activités. L’OSSNR ajoute que même ces techniques et exemples sont décrits dans les demandes comme faisant partie d’une liste non exhaustive, ce qui pourrait permettre au CST de mener des activités qui ne sont pas précisément définies dans les demandes.

De même, la cible des activités de COA/COD est habituellement désignée comme un « acteur étranger », ce qui pourrait englober un large éventail de [**expurgé**] . Dans les débuts de l’élaboration de l’AM, le CST et AMC avaient abordé [**expurgé**] directement dans les AM, mais AMC a précisé que [**expurgé**] visaient principalement [**expurgé**] étant donné [**expurgé**] . AMC a précisé que l’AM de COA [traduction] « définirait [mieux] [**expurgé**] dans une certaine mesure ». Ni l’une ni l’autre de ces considérations ne figurait dans les AM définitives [**expurgé**] qui, d’après les explications du CST, ne se limitent pas aux activités [**expurgé**] , c’est-à-dire que [**expurgé**] . L’OSSNR estime que les AM devraient définir clairement les cibles des activités de COA/COD, [**expurgé**] les COA/COD [**expurgé**] à des ensembles précis de cibles [**expurgé**] afin que les activités permises par l’AM traduisent le [**expurgé**].

L’OSSNR souligne que seules les AM, et non les demandes connexes, donnent au CST l’autorisation de mener ses activités. Par conséquent, l’exclusion de cette information des AM signifie que seules les grandes catégories d’activités, telles qu’elles sont décrites dans les AM, guident les mesures que peut prendre le CST dans le cadre de COA et non pas les techniques et exemples énoncés dans les demandes qui servent de fondement à la norme sur laquelle s’appuie le risque des activités. Selon l’OSSNR, les catégories décrites dans les AM ne restreignent pas suffisamment les activités du CST [**concerne des opérations du CST**]. Même si, aux dires d’AMC, les processus de consultation interministérielle entre les deux organisations peuvent servir de mécanisme limitant les activités du CST, ces processus n’ont pas été nettement consignés dans les AM les autorisant. L’OSSNR est d’avis que des AM pour les COA/COD plus précises réduiraient la possibilité de confusion relativement aux activités précisément autorisées.

La méthode visant à préciser les catégories d’activités concorde avec la façon de faire habituelle du CST liée à l’obtention d’autorisations larges de la part de hauts dirigeants comme le ministre, accompagnées de mesures de contrôle plus précises qui guident les opérations à exécuter en fonction des limites de l’activité autorisée. AMC note la tendance à s’appuyer sur des autorisations plus précises selon [**expurgé**] visée par la demande d’autorisation. Le CST a expliqué que son approche lui permettait d’obtenir l’autorisation de mener des activités de façon à [traduction] « apporter une souplesse maximisant les occasions, mais également des réserves suffisantes pour assurer l’atténuation appropriée des risques. »

Bien que l’OSSNR reconnaisse que les AM doivent donner au CST suffisamment de jeu pour qu’il mène des COA/COD [**expurgé**] s’il le faut, il est important que le CST ne mène pas d’activités qui n’étaient pas envisagées ni autorisées par le MinDN ou le MAE lors de la délivrance des AM applicables. Toujours selon l’OSSNR, dans le contexte des COA/COD [**expurgé**] , le CST peut adopter une approche plus transparente qui préciserait les catégories d’activités qu’il demande au ministre d’autoriser. C’est tout particulièrement important étant donné que le CST utilise ces nouvelles autorisations depuis peu. L’autorisation de catégories d’activités, de techniques connexes et d’ensembles de cibles plus précis diminuerait la possibilité que les COA/COD [**expurgé**] dans les AM.

Le CST a indiqué que [traduction] « des objectifs clairs permettent fondamentalement de montrer le caractère raisonnable et la proportionnalité. » L’OSSNR partage le même avis et croit que les catégories d’activités et les objectifs décrits dans les AM et les demandes connexes devraient être plus explicites afin que le MinDN puisse confirmer le caractère raisonnable et la proportionnalité des COA/COD, d’autant plus que les AM étudiées dans le cadre du présent examen ne se rapportaient pas précisément à une opération. Dans le cadre de l’autorisation, le ministre exige également que le CST lui fournisse un rapport trimestriel sur les activités qui ont été menées. De plus, pour délivrer une autorisation, le MinDN doit être convaincu que les activités sont raisonnables et proportionnelles, et qu’il y a des motifs raisonnables de croire que l’objectif de la cyberopération ne peut raisonnablement être atteint d’une autre manière. Cette exigence met davantage l’accent sur la nécessité que le MinDN comprenne, dans une certaine précision, les types d’activités et les objectifs exécutés en application de l’autorisation.

Dans le cas des deux AM examinées, le ministre a conclu que les exigences énoncées au paragraphe 34(4) de la Loi sur le CST étaient satisfaites57. De plus, les AM énoncent les objectifs à atteindre par les COA/COD. Toutefois, la justification selon laquelle les objectifs ne pourraient être raisonnablement atteints d’une autre manière dans les limites de l’AM de COA est très vague et se concentre sur les stratégies d’atténuation générales des activités de cybermenace. Étant donné la rareté des détails fournis au ministre dans le présent cadre, il pourrait être difficile pour le MinDN de satisfaire à cette exigence législative. En ce qui a trait au seuil établi par le paragraphe 34(4) de la Loi sur le CST, le Centre a indiqué que [traduction] « la demande d’autorisation doit énoncer les faits qui expliquent comment chacune des activités décrites dans l’autorisation fait partie d’un plus grand ensemble d’activités individuelles ou d’une catégorie d’activités qui atteint un objectif ne pouvant pas être raisonnablement atteint d’une autre manière58. » Dans son prochain examen des COA/COD, l’OSSNR tentera de déterminer si les COA/COD concordent avec les objectifs établis dans l’AM et se penchera sur la détermination, par le CST, qu’ils n’auraient pas pu être raisonnablement atteints d’une autre manière.

Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même, l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.

Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux conditions des autorisations ministérielles pour les cyberopérations actives et défensives repose trop sur la détermination technique des risques au détriment des éléments qui caractérisent la politique étrangère du gouvernement du Canada.

Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces activités.

Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la politique étrangère découlant des cyberopérations actives et défensives.

Élaboration des demandes d’AM [**expurgé**]

Au cours de la période à l’examen, le CST a préparé des demandes d’AM pour ce qu’il considérait comme étant des COA/COD [**expurgé**] dont l’élaboration a été prioritaire [**concerne des opérations du CST****] . Alors que se développent les moyens dont le CST dispose pour mener des COA/COD et que le Centre commence à [**expurgé**]. L’OSSNR a constaté que le CST et AMC envisageaient les COA représentant un [**expurgé**], lesquelles, si elles sont exécutées, [**expurgé**] selon la méthodologie d’AMC.

Bien que les AM que l’OSSNR a obtenues à ce jour, lesquelles ne se rapportent pas précisément à une opération, permettent au CST de mener , l’OSSNR estime que leur nature générale ne se transfère pas [**AM potentielles de nature différentes**]. Par exemple, [** d’une inquiétude de l’OSSNR concernant l’habilité du Ministre à analyser pleinement certains facteurs des description cyberopérations dans un contexte particulier**] Dans le cadre de l’élaboration de la demande d’AM de COA de 2019-2020, AMC a indiqué que [traduction] « d’autres fins demanderaient d’autres AM. Elles ne seront pas complètement générales; elles seront précises pour un contexte donné. »

En outre, dans le régime législatif actuel, les demandes d’AM représentent un mécanisme clé donnant au MAE l’occasion d’évaluer les activités de COA/COD. En raison des [**expurgé**] COA/COD [**expurgé**] pour la politique étrangère et les relations internationales du Canada, l’OSSNR estime que le MAE devrait participer plus directement à l’élaboration et à l’exécution à l’échelle ministérielle, en plus de l’engagement sur le terrain des opérations entre le CST et AMC. Les deux ministres peuvent assurer plus efficacement leur responsabilisation relative à de telles opérations au moyen d’AM individuelles qui donnent des détails précis sur l’opération et sa justification, et sur les activités, outils et techniques employés. Par conséquent, lorsque le CST se penche sur des COA [**expurgé**] l’OSSNR l’encourage à élaborer des demandes d’AM propres à ces opérations et à veiller à ce que ces documents contiennent tous les détails opérationnels pertinents permettant à chaque ministre d’évaluer pleinement les répercussions et les risques liés à chaque cyberopération et d’en prendre la responsabilité.

Orientation stratégique des cyberopérations

L’article 19 de la Loi sur le CST régit les pouvoirs du CST quant à la conduite de COA qui se rapportent aux affaires internationales, à la défense ou à la sécurité, donc à des domaines qui peuvent faire appel à la responsabilité d’autres ministères et organismes. Qui plus est, les AM examinées par l’OSSNR exigent que les COA soient [traduction] « harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du gouvernement du Canada liées à la sécurité nationale, à la politique étrangère et à la défense ». L’établissement de ces priorités fait intervenir plusieurs ministères fédéraux du Canada, comme le Bureau du Conseil privé (BCP), le MDN et Sécurité publique Canada (SP), qui sont responsables de la coordination et de la surveillance de différentes parties de l’établissement des priorités dans le présent contexte. Tout au long du présent examen de la gouvernance, on a noté que le CST atteste la conformité à ces exigences par un énoncé indiquant que l’AM répond aux grandes priorités du gouvernement du Canada, sans élaborer sur la façon dont ces priorités sont satisfaites.

Les processus interministériels du gouvernement du Canada relativement à la coordination d’activités et d’opérations de sécurité nationale ne datent pas d’hier. Par exemple, lorsque le MAE requiert une collecte de renseignements étrangers au Canada, il présente une demande au ministre de la Sécurité publique afin que le Service canadien du renseignement de sécurité (SCRS) facilite la collecte conformément à l’article 16 de la Loi sur le SCRS. Un comité composé de représentants [**expurgé**]. se penche ensuite sur le type de demande. Le comité examine ensuite les questions au niveau du sous-ministre adjoint, [**concerne les processus décisionnaire du GC**] . De même, un processus interministériel peut également confirmer la conformité d’une COA aux priorités plus larges et l’impossibilité d’atteindre raisonnablement les objectifs d’une autre manière. Autrement dit, les consultations interministérielles sont une façon d’évaluer les objectifs des COA et leur conformité aux priorités plus larges du gouvernement du Canada, et de déterminer s’il existe une autre manière d’atteindre les objectifs fixés, comme l’exige la Loi sur le CST.

L’établissement de priorités plus larges pour le gouvernement du Canada est ressorti comme élément clé de la structure de gouvernance de ce nouveau pouvoir dans les premières discussions entre le CST et AMC. Au cours de la période à l’examen, le CST a monté des COA avec AMC, qui a participé à certains aspects du processus de planification. AMC a encouragé le MAE à demander l’élaboration d’un mécanisme de gouvernance en vue d’atténuer le risque que [traduction] « le CST décide, par lui-même, de lancer [**expurgé**] et a ajouté que [**expurgé**] . »

Des évaluations internes préliminaires d’AMC se démarquent du mandat touchant le renseignement étranger du CST, qui répond aux priorités en matière de renseignement approuvées par le Cabinet, et rendent bien l’essence de cet écart par l’énoncé suivant :

[**citation d’AMC concernant une discussion sur les objectifs et priorités stratégiques des cyberopérations**]

Dans un autre cas, AMC a décrit l’établissement de telles priorités comme étant [traduction] « une question importante qui n’a pas encore été réglée avec le CST » et a expliqué qu’à ce moment un organisme dont le mandat touchait notamment la cyberopération devrait décider s’il s’agit du bon outil pour atteindre un objectif en particulier. AMC a expliqué que ses représentants avaient ultimement accepté d’aller de l’avant sans se consacrer davantage à ce sujet pour autant qu’un mécanisme de gouvernance était mis en place avec le CST.

Dans ce contexte, le paragraphe 34(4) de la Loi sur le CST exige que les objectifs d’une cyberopération ne puissent pas être raisonnablement atteints d’une autre manière et que les cyberopérations répondent aux priorités dans divers domaines. Étant donné ces exigences, l’OSSNR indique que les ministères fédéraux, et non seulement le CST et AMC, peuvent fournir des indications pertinentes sur d’autres possibilités ou des activités en cours qui pourraient atteindre les objectifs en question.

De plus, AMC a souligné le fait que le Cabinet établissait les besoins permanents en matière de renseignement (BPR) qui limitent et dirigent plus précisément les activités de collecte de renseignements étrangers du CST. À ce sujet, le CST a répondu que [traduction] « ces discussions ont conduit le CST et AMC à accepter de commencer par une autorisation ministérielle comportant [**expurgé**] appuyée par une structure de consultation et un cadre de gouvernance entourant les COA/COD du CST et d’AMC. »

Selon l’OSSNR, la Loi sur le CST et l’AM de COA établissent directement un lien entre les COA et les grands objectifs et priorités du gouvernement du Canada qui touchent directement les mandats de ministères comme le MDN, le BCP, le SCRS et SP, en plus de ceux du CST et d’AMC. Il ne suffit pas au CST de déclarer qu’une AM et ses activités connexes concordent avec ces priorités sans élaborer ou consulter d’autres parties, étant donné que le MDN, le BCP et SP sont responsables des priorités stratégiques du Canada en matière de sécurité nationale et de défense ou en assurent la coordination. Ces ministères et organismes seraient les mieux placés pour offrir des commentaires et une confirmation concernant l’alignement d’une COA sur les objectifs du Canada afin d’atténuer les risques que peuvent poser ces opérations et de contribuer à la responsabilisation globale de ces opérations.

[**concerne des sujets du GC liés à la sécurité nationale**]. Par conséquent, le processus de gouvernance appelle l’inclusion, ou à tout le moins leur consultation, d’autres ministères dont les mandats sont de chapeauter les grands objectifs stratégiques du Canada. Ainsi, les grands intérêts du Canada et les risques possibles seraient suffisamment examinés et transparaîtraient dans l’élaboration des COA.

Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du Canada prenant part à la gestion des objectifs généraux du Canada.

Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au renseignement auprès du premier ministre et les autres ministères concernés, dont les mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent aux grandes priorités stratégiques du gouvernement du Canada et que les exigences énoncées dans la Loi sur le CST soient respectées.

Seuil pour la conduite de COD préventives

Le CST établit une différence entre les COD menées en réponse à une cybermenace et les COD préventives visant à empêcher la concrétisation d’une cybermenace. De plus, le CST et AMC ont discuté de la nature de ces opérations, notamment qu’elles se trouvaient dans le spectre des opérations en aval et en amont. Notamment, dans le cas des COD, [**concerne des opérations du CST**].

Le CST a expliqué que le lancement d’une COD [traduction] « exige une preuve que la menace représente une source potentielle de dommage à une institution fédérale ou à une infrastructure de l’information ou de l’information électronique précise ». Selon le CST, il n’est pas nécessaire qu’une infrastructure soit compromise avant que soit lancée une COD. Il faut simplement pouvoir établir la preuve d’un lien entre une menace de compromission et l’infrastructure.

En même temps, le CST ne dispose pas encore des moyens de faire la distinction entre ce type de COD et une COA, étant donné que des discussions entre AMC et le CST indiquaient qu’une COD pouvait ressembler à une COA si la première est menée en amont. Contrairement aux COA, qui demandent le consentement du MAE et la participation exhaustive d’AMC tout au long du processus de planification, les COD ne requièrent qu’une consultation auprès du MAE. Sans l’établissement d’un seuil clair pour une COD menée en amont, il est possible que la participation d’AMC à une opération qui s’apparente (ou corresponde) à une COA soit insuffisante, [**expurgé**].

Dans notre examen ultérieur, nous porterons une attention particulière à la nature des COD préventives planifiées ou exécutées afin de déterminer si elles constituent ou non des COA.

Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit considérée à tort comme étant défensive.

Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil qui permette de distinguer une cyberopération active d’une cyberopération défensive préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les autorisations ministérielles applicables.

Collecte de renseignement dans le cadre d’une cyberopération

Aux termes du paragraphe 34(4) de la Loi sur le CST, le MinDN ne peut délivrer l’autorisation que s’il conclut qu’aucune information ne sera acquise au titre de l’autorisation, sauf conformément à une autorisation délivrée en vertu des paragraphes 26(1), 27(1) ou (2), ou 40(1). Les AM pour les COA/COD délivrées pendant la période à l’examen témoignent de cette restriction. Ces AM et leurs demandes correspondantes mentionnent seulement que les AM entourant les renseignements étrangers serviront à acquérir de l’information en appui des activités de COA/COD. Elles énoncent aussi clairement qu’aucune information ne sera acquise dans le cadre des activités de COA/COD autorisées par l’AM de COA.

Cependant, les AM et les demandes à l’appui ne décrivent pas l’intégralité des activités de collecte d’information découlant des COA/COD. D’après les politiques du CST, le Centre peut encore recueillir de l’information [**expurgé**] tant que l’activité est menée au titre d’une autre AM. Le CST a expliqué que les AM pour les COA/COD ne peuvent servir de fondement à la collecte de renseignements, mais que [**concerne des opérations du CST**] . Par exemple, [**expurgé**] tout en s’appuyant sur l’autorisation liée aux renseignements étrangers pour [**expurgé**] conformément aux priorités en matière de renseignement du gouvernement du Canada.

Même si la Loi sur le CST autorise le CST à acquérir de l’information au titre d’AM de collecte, l’OSSNR est d’avis que la politique du CST permettant la tenue d’activités de collecte au titre d’AM distinctes pendant la tenue de cyberopérations n’est pas énoncée clairement dans les AM pour les COA/COD. Plutôt, la collecte d’information fait partie des interdictions dans l’AM de COA, donnant l’impression que la collecte ne peut avoir lieu peu importe les circonstances. Par conséquent, l’OSSNR souligne que le libellé de l’AM de COA ne traduit pas en toute transparence les politiques internes du CST.

Le CST a expliqué que [**expurgé**] durant une COA/COD. En outre, l’OSSNR a appris d’un expert du CST qu’un [**expurgé**] précis qui énonce en détail les activités à réaliser dans le cadre de l’opération oriente chaque COA/COD. [**concerne des opérations du CST**].

Étant donné la politique du CST permettant la tenue simultanée de la collecte et de cyberopérations [**expurgé**] l’OSSNR examinera minutieusement les rôles et responsabilités [**expurgé**] participant aux COA/COD, ainsi que les aspects techniques de l’utilisation des systèmes du CST à l’appui des COA/COD lors de son examen ultérieur des opérations qu’a menées le CST jusqu’à présent.

Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations ministérielles pour les cyberopérations actives et défensives.

Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que, dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent au titre d’autorisations distinctes.

Gouvernance interne du CST

L’OSSNR a décidé d’évaluer dans quelle mesure les processus de gouvernance interne prenaient suffisamment en compte les éléments essentiels à la planification et à l’exécution des opérations, et de savoir si les intervenants appelés à prendre part aux COA/COD (c.-à-d. AMC et [**expurgé**]) étaient précisément au fait des paramètres et des contraintes s’appliquant aux cyberopérations.

Pendant le déroulement de l’examen, le CST donné suite aux exigences applicables en vertu de la Loi sur le CST et des AM en mettant en place divers mécanismes internes de planification et de gouvernance. Ces mécanismes visaient les documents et les mesures stratégiques de haut niveau, mais aussi chacune des [**expurgé**] opérationnelles, [**documents/méchanismes**] de chacune des COA/COD.

Gouvernance des opérations

Comme il a été décrit plus tôt, lorsqu’il s’agit d’approuver chacune des COA/COD, le CST s’appuie sur divers documents de planification et de gouvernance, notamment, les [**expurgé**]. Dans un premier temps, le CST élabore le [**expurgé**] une COA/COD donnée. Par la suite, le CST crée un [**expurgé**] dans lequel on fait état des risques dont il faut tenir compte pendant le déroulement de la COA/COD. De plus, le [**expurgé**] et le [**expurgé**] comprennent des champs portant sur les interdictions énoncées dans la Loi sur le CST. Dès lors qu'une cible a été choisie, la [**expurgé**] tient lieu de document de gouvernance définitif, jusqu'à l'établissement des [**expurgé**] des COA/COD.

Semblablement aux AM pour les COA/COD et en guise de plan initial, le [**expurgé**] consiste généralement en une approbation préalable de l’ensemble des activités et de [**expurgé**]. Il est ensuite perfectionné et développé dans le cadre du processus de [**expurgé**]. Du point de vue de l’OSSNR, [**concerne des opérations du CST**].

Specifically, the [**relates to CSE operations**] and other operational details that, in NSIRA’s view, surpass simply [**redacted**] and contain key components of operational planning. [**redacted**] details the specific [**redacted**]. Nonetheless, despite the [**redacted**] the [**redacted**] it may have a lower approval threshold than that of the [**redacted**].

Overall, NSIRA welcomes that CSE has developed procedures and documented its operational planning associated with ACO/DCO activities, in accordance with its requirements in the MPS. Nonetheless, the numerous governance documents that comprise the governance of ACO/DCOs exist to serve different audiences and purposes, and result in pertinent information dispersed across them, rather than being available in a unified structure for all implicated stakeholders and decision- makers to assess. NSIRA believes the many separate components of governance may be redundant and result in unnecessary ambiguity within the same operational plans that are meant to guide ACO/DCOs. Thus, NSIRA will assess the efficacy of this governance structure as it is applied to operations as part of our subsequent review.

Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les documents de planification ont été approuvés, contient des informations pertinentes pour les plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que cette présentation soit approuvée à un niveau de gestion inférieur.

Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans tout document soumis à l’attention d’AMC.

Formation sur le nouveau cadre pour les cyberopérations

Les autorisations ministérielles visant les COA et les COD permettent aux catégories de personnes suivantes de mener des activités COA/COD : [**concerne la politique opérationnelle du CST**] Les AM exigent également que ces [traduction] « personnes ou catégories de personnes appuient les opérations du CST et favorisent les intérêts du Canada en matière de renseignement; elles exigent également que ces personnes ou catégories de personnes aient démontré une compréhension approfondie des exigences juridiques et stratégiques applicables. »

Soucieux de la formation et de l’orientation de son personnel opérationnel au sujet des nouvelles exigences juridiques et stratégiques, le CST a déclaré – relativement à une opération particulière – que :

« Les activités opérationnelles entreprises [**expurgé**] lesquels sont tenus de suivre des formations complètes et continues sur les fonctions et les tâches qu’ils sont appelés à exercer, mais aussi sur les politiques et les exigences en matière de conformité qui s’appliquent à leurs rôles respectifs. De plus, [**expurgé**] ont été formés, sont tenus responsables des activités qu’ils réalisent et respectent les exigences en matière de production de rapports sur la conformité. En outre, [**expurgé**] qui participent aux activités [**expurgé**] ont préalablement reçu le matériel opérationnel permettant de veiller à ce que les conditions d’opération énoncées dans la présente soient comprises et strictement observées. »

Enfin, le CST a indiqué à l’OSSNR [traduction] « qu’avant l’adoption de la nouvelle loi, le CST fournissait, virtuellement et en présentiel, des séances d’information sur les nouveaux pouvoirs du CST à tous les membres de l’effectif du Centre. Des séances d’information personnalisées étaient également fournies aux équipes opérationnelles ». Au nombre de ces séances, on a pu compter des conférences, des séances de question avec le chef-adjoint, Politiques et Communication, ainsi que d’autres types de présentations préparées par les équipes des politiques du CST96. Toutefois, l’OSSNR note que ces séances de formation, qui comportent nombre d’informations générales, ne sont pas axées sur les opérations et ne mettent pas à l’épreuve les connaissances que les employés ont nouvellement acquises concernant le nouveau cadre juridique régissant les opérations.

Compte tenu des exigences et des assurances énoncées plus haut, l’OSSNR s’attendait à constater que les employés du CST qui fournissent du soutien aux COA/COD disposent d’une formation effective qui soit suffisante pour acquérir une compréhension approfondie des responsabilités qui leur incombent en considération des nouveaux pouvoirs, mais aussi des nouvelles contraintes que la loi leur impose; et pour mettre cette compréhension en pratique pendant le déroulement des COA/COD.

Dans ce contexte, le CST a mené des exercices pratiques ayant pour objet, entre autres, de présenter [**certains employés**] les premières étapes du processus de préparation des AM, de leur donner l’occasion de rédiger des AM et de tester la viabilité fonctionnelle du cadre des AM. Durant les exercices, [**l'employé susmentionné**] n’avaient pas le droit de demander conseil auprès des responsables des affaires juridiques ou stratégiques, permettant ainsi aux gestionnaires d’observer les résultats appelés à se manifester naturellement. Or, l’OSSNR remarque un point essentiel au sujet de cet exercice :

«[**expurgé**] se sont montrés réticents à l’égard du besoin de recourir à plusieurs AM pour soutenir les objectifs de mission. Des directives et de la formation en matière de politiques seront nécessaires pour rendre [**expurgé**] aptes à connaître les autorisations qui régissent leurs interventions dès lors qu’ils prennent part aux opérations réalisées dans le cadre de diverses missions et selon les termes des AM connexes. Ces directives et cette formation doivent également tenir compte du fait que les informations collectées en vertu de diverses AM pourraient être assujetties à certaines exigences en matière de gestion des données. »

Le CST a indiqué que [**certains employés**] recevaient les éléments de connaissance concernant les autorités juridiques, les exigences et les interdictions s’appliquant aux COA et aux COD pendant des réunions de planification et à la lecture de documents opérationnels. Or, à l’occasion d’une entrevue avec un expert du CST [**expurgé**] l’OSSNR a appris que la formation offerte sur les autorités juridiques, les exigences et les interdictions [**expurgé**]. L’expert en question a également dit que les intervenants qui auraient des questions concernant la gouvernance devraient [**concerne des opérations du CST**]

À l’OSSNR, on ne sait trop s’il existe des exigences suivant lesquelles [**expurgé**] sont tenus de posséder une profonde compréhension des paramètres définis pour une COA/COD dans un [**expurgé**]. De fait, [**expurgé**]. Par exemple, lorsqu’on l’a questionné au sujet de son degré d’aisance à exécuter ses fonctions en vertu de diverses AM, [**expurgé**] énoncés dans le [**expurgé**]. Le CST ajoute que [**expurgé**] sont élaborés à partir du [**expurgé**]. Or, comme l’indique [**expurgé**] Par conséquent, l’OSSNR estime que s’ils ne se concentrent que sur le contenu du [**certain document/méchanisme**] risquent de ne pas avoir une compréhension suffisante des paramètres et des restrictions s’appliquant à l’ensemble de l’opération.

Les AM qui autorisent l’exécution des COA/COD imposent une condition aux employés du CST impliqués dans l’exécution desdites COA/COD : celle de posséder une compréhension approfondie des exigences juridiques et stratégiques régissant leurs interventions. Les AM et les documents de planification opérationnelle contiennent des informations essentielles concernant les paramètres qui déterminent les pouvoirs s’appliquant, de façon générale, à la conduite des COA/COD, mais aussi des opérations particulières. Ainsi, l’OSSNR affirme qu’il est de prime importance que les employés travaillant sur un aspect de l’exécution des COA/COD reçoivent des séances de formation leur permettant de bien connaître les exigences et les limites s’appliquant à leurs interventions respectives, lesquelles sont énoncées dans le [**expurgé**] et la [**expurgé**]. Enfin, pourraient subir des tests visant à mesurer leur degré de compréhension des AM et des contraintes imposées à certaines opérations.

Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des paramètres régissant l’application de ces pouvoirs.

Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de formation structuré aux employés prenant part à l’exécution des cyberopérations actives et défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées dans les autorisations ministérielles.

Cadre de mobilisation entre le CST et AMC

Étant donné l’exigence législative selon laquelle le MAE doit donner son approbation ou être consulté en ce qui a trait aux COA/COD, l’OSSNR a cherché à déterminer si le CST avait élaboré un cadre propice à la mobilisation et à la consultation des représentants d’AMC pour les aspects communs de leurs mandats respectifs.

Évaluation des risques liés à la politique étrangère par AMC

Lors de l’élaboration du cadre de consultation, AMC et le CST ont mis au point un mécanisme selon lequel AMC est appelé à donner son avis, voire son approbation avant le lancement d’une opération, et à évaluer les risques que celle-ci peut comporter en matière de politique étrangère. En réponse à une demande de consultation présentée par le CST, AMC est tenu de fournir, dans un délai de cinq jours ouvrables, une évaluation des risques liés à la politique étrangère (ERPE) visant à établir si [**expurgé**]. Il convient de souligner que l’ERPE ne constitue pas une approbation de l’opération; il ne s’agit que d’un mécanisme de consultation. Pour orienter l’ERPE, le CST prépare un [**document/méchanisme**] à l’intention d’AMC résumant les divers aspects de l’opération. Par ailleurs, c’est dans le cadre d’un examen subséquent que l’OSSNR vérifiera si l’échéancier fourni par le CST relativement à certaines opérations aura permis à AMD de mener des ERPE adéquates.

Pour déterminer si une COA/COD [**expurgé**] AMC doit considérer bon nombre de facteurs. Il faut notamment vérifier si la COA/COD est conforme à la position d’AMC par rapport aux normes internationales régissant le cyberespace et si elle contribue aux intérêts du Canada. AMC doit aussi tenir compte de [**concerne des sujets du GC liés à la sécurité nationale**]. Ces considérations sont présentées dans les mandats du Groupe de travail du CST-AMC, lesquels requièrent qu’AMC évalue :

  • [**expurgé**]
  • la conformité au droit international et aux cybernormes;
  • la cohérence sur le plan de la politique étrangère, notamment la conformité de l’opération aux priorités en matière de politique étrangère, de sécurité nationale et de défense (au-delà des [besoins permanents en matière de renseignement]);
  • [**expurgé**]

Dans le contexte des exigences d’évaluation susmentionnées, AMC a expliqué à l’OSSNR que ses évaluations des risques posés par les opérations sur le plan de la politique étrangère n’étaient pas forcément exhaustives, étant donné qu’il évaluait déjà en détail les catégories d’activités autorisées par l’AM. Cette approche en matière d’évaluation est perceptible dans [**expurgé**] ERPE reçues par l’OSSNR, lesquelles concluaient que [**expurgé**] ces opérations [**expurgé**] sans toutefois fournir de précisions sur les facteurs susmentionnés. Étant donné qu’elles fournissent l’assurance qu’une opération [**expurgé**] et qu’elles sont requises aux termes de l’AM relative aux COA, les ERPE feront l’objet d’un examen détaillé dans le cadre du prochain examen de l’OSSNR, lequel portera sur les opérations.

Conformité au droit international et aux cybernormes

[**expurgé**]

Le Parlement peut autoriser des violations du droit international, s’il le fait expressément. Par exemple, à la suite de la décision dans X (Re) 2014 CAF 249, le Parlement a modifié la Loi sur le SCRS en adoptant le projet de loi C-44 en 2015. Les nouvelles dispositions énonçaient clairement que le SCRS pouvait s’acquitter de ses fonctions au pays et à l’étranger, et qu’en vertu de nouvelles dispositions de la Loi sur le CST, un juge pouvait autoriser des activités à l’étranger afin de permettre au Service d’enquêter sur une menace pour la sécurité du Canada « sans égard à toute autre règle de droit ». Conformément au libellé de la Loi sur le CST, les AM relatives aux COA/COD peuvent uniquement autoriser le CST à mener des activités « malgré toute autre loi fédérale ou loi d’un État étranger ». Tel qu’énoncé dans la jurisprudence, ce libellé pourrait ne pas être suffisamment clair pour permettre au ministre d’autoriser la violation de règles coutumières du droit international.

[**expurgé**] les AM examinées par l’OSSNR énonçaient que les activités devaient être [traduction] « conformes aux obligations du Canada en matière de droit international »115, et chaque AM exigeait que les activités du CST ne contreviennent pas aux obligations du Canada en la matière116. Ainsi, cela porte à croire que toutes les activités menées aux termes de l’AM sont conformes au droit international. Or, les documents de gouvernance rédigés par le CST et AMC, notamment le cadre de consultation, n’établissent pas les paramètres permettant d’évaluer la conformité des COA/COD avec les obligations du Canada en matière de droit international. Qui plus est, on ne précise pas les obligations légales internationales en fonction desquelles la conformité des COA/COD doit être évaluée. Dans son prochain examen, l’OSSNR évaluera dans quelle mesure les COA/COD menées par le CST et AMC se conforment au droit international.

Dans le cadre de ses échanges avec l’OSSNR, AMC a fait mention de ses consultations interministérielles et internationales remontant à 2016 concernant le Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (Tallinn Manual 2.0), lequel a contribué à orienter les AM [**expurgé**]. À la suite de ces consultations, AMC a créé un manuel qui traite de l’évaluation préliminaire du Canada visant des règles clés du droit international relatif au cyberespace, selon le Tallinn Manual 2.0. Bien qu’il ne s’agisse que d’une ébauche ne représentant pas la position définitive du Canada, l’analyse [traduction] « sert de fondement à des considérations juridiques approfondies ». L’OSSNR n’a reçu aucun autre document décrivant la manière dont le Canada interprète le droit international relativement aux COA/COD.

Par ailleurs, dans des documents fournis par AMC et le CST, on fait état de la nécessité d’examiner la légalité de chaque COA/COD envisagée. AMC a notamment relevé qu’il faudrait analyser les termes [traduction] « reconnus comme étant nuisibles » et « posant un risque pour la paix internationale et à la sécurité », et ce, dans le contexte de chaque COA/COD. [**expurgé**].

AMC a expliqué avoir examiné chaque activité s’inscrivant dans les catégories autorisées afin de vérifier la conformité au droit international au stade d’élaboration de l’AM. Ainsi, il n’a mené qu’un examen sommaire de la conformité au droit international au stade de l’ERPE pour chaque opération. AMC a mentionné que le manuel qu’il a créé ainsi que le Tallinn Manual 2.0 ont été consultés à cet effet. D’après la teneur [**expurgé**] ERPE examinées par l’OSSNR jusqu’à présent, on ne saurait dire dans quelle mesure le manuel ou l’analyse des normes volontaires de 2015 du Groupe d’experts gouvernementaux des Nations Unies (GEG de l’ONU) a orienté l’examen du niveau de risque de chaque opération, ou encore, si les conclusions d’AMC étaient conformes au droit international. Or, AMC conclut que les activités sont conformes au droit international sans toutefois fournir de justification.

NSIRA notes that international law in cyberspace is a developing area, and recognizes that Canada and other States are continuing to develop and refine their legal analysis in this field. ACO/DCO activities conducted without a thorough and documented assessment of an operation’s compliance with international law would create significant legal risks for Canada if an operation violates international law. Ultimately, a better documented analysis of Canada’s legal obligations when conducting ACO/DCOs is necessary in order for GAC and CSE to assess an operation’s compliance with international law. NSIRA will further examine the lawfulness of ACO/DCO activities in our subsequent review.

Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté et d’objectivité.

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Communication bilatérale de l’information pertinente

AMC et le CST ont tous deux adopté des méthodes qui leur permettent d’évaluer les risques en fonction de certains facteurs. Cependant, ces types de risques ne sont pas absolus; ils dépendent d’une vaste gamme de facteurs qui évoluent au fil du temps et à mesure qu’émergent des renseignements nouveaux. Pour sa part, AMC compose avec des facteurs comme [**concerne des sujets du GC liés à la sécurité nationale**]

À l’heure actuelle, le CST et AMC ont adopté une méthode selon laquelle le CST compte sur l’information que lui transmet AMC pour demeurer au courant de tout changement lié aux risques sur le plan de la politique étrangère du Canada. Toutefois, selon la méthode d’AMC susmentionnée, les risques d’une opération peuvent s’accroître à mesure qu’on obtient des renseignements sur ou sur les répercussions possibles de l’opération au-delà d’un [**expurgé**]. Pour sa part, le CST semble surtout se concentrer sur les changements touchant les risques opérationnels, [**qui sont découverts à un certain moment et d’une certaine manière**]. Il s’agit d’un mécanisme à sens unique qui ne tient pas compte d’autres facteurs [**expurgé**].

Dans ce contexte, le CST a expliqué qu’une COA/COD consistait en [**expurgé**], et que par conséquent, [**expurgé**]. Le CST a également mentionné que [**expurgé**] et que les activités subséquentes peuvent être modifiées au besoin, en fonction de l’information obtenue pendant l’opération en cours. [**expurgé**].

Dans ce contexte, l’OSSNR a examiné des opérations devant se dérouler sur une période donnée, dont une COD où le CST devait entreprendre des [**expurgé**]. Dans le cadre d’une autre COA, le CST [**expurgé**]. Dans sa description de l’opération à AMC, le CST a mentionné que de telles activités s’étendraient sur un certain laps de temps [**expurgé**].

[**concerne des opérations du CST**] tire parti de [**expurgé**] des COA/COD [**expurgé**] l’OSSNR estime qu’il faudrait mettre en place un mécanisme de notification bidirectionnel permettant de réévaluer les risques liés à une COA/COD, que ces risques soient découverts avant la mise en oeuvre de l’opération ou pendant son exécution.

Enfin, en ce qui a trait au processus de gouvernance interne du CST, AMC a un rôle à jouer dans [**expurgé**]. D’ailleurs, AMC a indiqué que les objectifs, [**expurgé**] associés aux opérations constituaient des renseignements qu’il incombe au CST de fournir aux fins de l’évaluation des risques pour la politique étrangère. L’OSSNR a constaté que le [**expurgé**] . L’OSSNR note qu’AMC devrait avoir accès à ces détails, car ils servent de contexte important à son examen, d’autant plus qu’AMC indique dans ses conclusions que les activités étaient conformes à [**expurgé**].

Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.

Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade de la planification qu’à celui de l’exécution.

Conclusion

Le présent rapport fait suite au premier examen de l’OSSNR portant sur les nouveaux pouvoirs conférés au CST pour la conduite de COA/COD et illustre l’évolution de la structure de gouvernance du CST et d’AMC s’appliquant auxdites COA/COD. Le CST est autorisé à mener ce type d’opération depuis 2019, bien que l’examen ait permis de constater que les deux organismes avaient commencé à conceptualiser le régime de gouvernance avant l’entrée en vigueur de la Loi sur le CST. L’OSSNR reconnaît qu’à ce jour, le CST a élaboré une structure de gouvernance complète et salue son implication dans l’élaboration d’un cadre de consultation avec AMC, cadre dans lequel sont définis les rôles et les responsabilités de chacune des organisations.

Toutefois, le CST pourrait apporter des améliorations dans l’ensemble de la structure de gouvernance sur le plan de la transparence et de la clarté, pour ce qui a trait à la planification des COA/COD – particulièrement lors des premières étapes – en établissant, dans les AM concernées, des paramètres clairs s’appliquant aux catégories d’activités et aux groupes de cibles qui pourraient être concernés par des COA/COD. De plus, l’OSSNR estime que la préparation des cyberopérations pourrait tirer parti de consultations auprès d’autres ministères responsables des priorités et objectifs stratégiques du Canada en matière de sécurité nationale et de défense. Enfin, le CST et AMC devraient définir en quoi consiste une COD et établir un seuil applicable à la conduite des COD préventives, ce qui garantirait une participation appropriée d’AMC dans le cadre des opérations.

Sur le plan opérationnel, le CST et AMC devraient veiller à ce que le degré de conformité au droit international de chacune des opérations soit évalué et documenté. Pour ce qui concerne le CST, celui-ci devrait s’assurer que l’information essentielle à l’évaluation des risques posés par la conduite d’une opération soit normalisée et incluse dans tous les documents sur la gouvernance, et qu’elle soit mise à la disposition des intervenants appelés à prendre part à l’élaboration et à l’approbation des COA/COD – y compris AMC. En dernière analyse, le CST devrait s’assurer que son personnel opérationnel ait une excellente connaissance du nouveau cadre légal et de ses modalités d’application aux diverses opérations.

Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs observations concernant l’information contenue dans les documents qui ont été produits à ce jour en matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement mises en oeuvre.

ANNEXE A : Types de COA/COD

Figure 1 : Divers type de cyberopérations. Source : documents d’information du CST

[**figure expurgée**]

Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST

Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST
DEFENSIVE CYBER OPERATIONS ACTIVE CYBER OPERATIONS
Activités autorisées
  • Obtenir l'accès à une part de l'infrastructure mondiale d'information.
  • Installer, maintenir, copier, distribuer, recherche, modifier, interrompre, supprimer ou intercepter quoi de ce soit dans l'infrastructure mondiale de l'information ou par son entremise pour atteindre un objectif qui ne pourrait pas être raisonnablement atteint par d'autres moyens.
  • Prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l'activité.
  • Mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l'exécution des activités ou des catégories d'activités visées par l'autorisation ministérielle.
Approbation ministérielle Approbation du MinDN et consultation auprès du MAE. Approbation du MinDN et consentement ou demande du MAE.
Finalité Appliquer des mesures en ligne contribuant à la protection de l'information électronique et des infrastructures de l'information d'importance pour le gouvernement du Canada. Endommager, perturber, influencer ou contrer les capacités de tout personne, organisation ou État étrangers.
Contexte Initiated in response to a cyber threat, or proactively to prevent a cyber threat Initiated in accordance with Ministerial direction as it relates to international affairs defence or security.
Auteur de menaces / Ensemble de cibless Dirigées contre des menaces pour les systèmes du gouvernement ou les systèmes d'importance, quelque soit l'auteur de mance.
**Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Dirigées contre des cibles particullières conformément aux termes d'une autorisation ministérielle.
**Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Résultat Conçues dans le but de stopper ou de prévenir les menaces dirigées contre les infrastructures fédérales ou désignées comme étant d'importance, suivant des moyens jugés justes et adaptés en fonction desdites menaces. Réalisées dans le but d'atteindre un objectif en matière d'affaires internationales, de défense ou de sécurité suivant des moyens jugés justes et adaptés aux circonstances.

ANNEXE B : COA et COD (2019-2020)

[**expurgé**]

ANNEXE C : Cadre de travail pour le CST et AMC

Groupe interministériel Équipe de la haute direction (EHD) du CST-AMC Groupe de travail des DG du CST-AMC sur les COA/COD Niveau des SMA
Coprésidents Coprésidents de l’EHD : CST, DG, [**expurgé**]AMC, DG, Direction générale du Renseignement Coprésidents : CST, DG [**expurgé**] AMC, DG Direction générale du Renseignement Composé, notamment, de membres (niveau des DG) de l’EHD et de membres de leurs équipes de soutien respectives. Coprésidents: CST, chef adjoint, SIGINT AMC, SMA (directeur politique) Sécurité internationale
Rôles et responsabilités

Échange de renseignements sur les priorités et plans de chacun des ministères ainsi que sur les sphères de collaboration.
Relevant de l’EHD, cette entité a été établie pour exercer un mandat de collaboration visant les questions relatives aux COA/COD.
Mise en oeuvre du cadre de gouvernance associé aux AM visant les opérations – en cours ou planifiées [**expurgé**]Relevant de l’EHD, cette entité a été établie pour exercer un mandat de collaboration visant les questions relatives aux COA/COD. Mise en oeuvre du cadre de gouvernance associé aux AM visant les opérations – en cours ou planifiées [**expurgé**]. Coordination du partage de renseignement ayant trait à la planification opérationnelle et à l’exécution des COA/COD, mais aussi aux risques connexes et à la prise en compte de la politique étrangère du Canada. Collaboration relative au renouvellement, à l’évolution et au développement des AM en vigueur ou à venir.
Résoudre les problèmes relevant de la compétence du GT, mais non résolu au niveau des DG.

ANNEXE D : Conclusions et recommandations

Constatations

Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même, l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.

Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux conditions des autorisations ministérielles pour les cyberopérations actives et défensives repose trop sur la détermination technique des risques au détriment des éléments qui caractérisent la politique étrangère du gouvernement du Canada.

Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du Canada prenant part à la gestion des objectifs généraux du Canada.

Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit considérée à tort comme étant défensive.

Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations ministérielles pour les cyberopérations actives et défensives.

Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les documents de planification ont été approuvés, contient des informations pertinentes pour les plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que cette présentation soit approuvée à un niveau de gestion inférieur.

Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des paramètres régissant l’application de ces pouvoirs.

Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté et d’objectivité.

Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.

Recommandations

Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces activités.

Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la politique étrangère découlant des cyberopérations actives et défensives.

Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au renseignement auprès du premier ministre et les autres ministères concernés, dont les mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent aux grandes priorités stratégiques du gouvernement du Canada et que les exigences énoncées dans la Loi sur le CST soient respectées.

Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil qui permette de distinguer une cyberopération active d’une cyberopération défensive préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les autorisations ministérielles applicables.

Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que, dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent au titre d’autorisations distinctes.

Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans tout document soumis à l’attention d’AMC.

Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de formation structuré aux employés prenant part à l’exécution des cyberopérations actives et défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées dans les autorisations ministérielles.

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade de la planification qu’à celui de l’exécution.

Share this page
Date de modification :

Gouvernance du CST s’appliquant aux cyberopérations actives et défensives – Réponses du Gouvernement

Date de publication :

Sommaire

Il s’agissait du premier examen de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) sur la gouvernance des cyberopérations actives et défensives (COA/COD) du CST. L’examen portait sur le cadre de gouvernance qui guide la conduite des COA/COD et sur la prise en compte adéquate du CST de ses obligations juridiques et des répercussions de ses opérations sur la politique étrangère.

Le CST a obtenu le pouvoir de mener des COA/COD en 2019 à la suite de l’adoption de la Loi sur le Centre de la sécurité des télécommunications. Ce pouvoir, qui n’existait pas avant l’entrée en vigueur de la loi, confère au gouvernement du Canada de nouvelles capacités considérables. Le contexte mondial actuel est en train de justifier la pertinence de ces capacités et de ce pouvoir pour le Canada. 

 Comme le CST est résolu à respecter la loi, il a travaillé assidûment et méthodiquement pour opérationnaliser le nouveau pouvoir. Et comme il continue de mettre au point cette capacité, il procède avec prudence pour faire en sorte que toutes les activités respectent la Loi sur le CST et cadrent avec les obligations internationales du Canada, particulièrement celles mises en lumière dans la récente déclaration du Canada sur l’application du droit international dans le cyberespace.

Le CST reconnaît l’importance des organismes d’examen dans la collectivité de la sécurité et du renseignement et accueille favorablement les examens réalisés par ces organismes ainsi que les recommandations qui en découlent. Les recommandations présentées par l’OSSNR dans le cadre de son examen sur le cadre de gouvernance des COA/COD du CST contribueront à orienter l’amélioration des capacités du CST de sorte que ce dernier puisse continuer de mener ses activités dans le respect de la loi et de façon prompte, efficace et efficiente.

Comme Affaires mondiales Canada (AMC) est un partenaire crucial du cadre de gouvernance des COA/COD, l’OSSNR l’a mobilisé pour l’examen et a présenté ses recommandations à AMC et au CST. Le CST et AMC sont heureux de présenter la réponse suivante aux recommandations de l’OSSNR.


Recommandation 1 :

Le CST devrait définir plus précisément les catégories d’activités, les techniques connexes et les cibles visées pour ses COA et COD ainsi que le justificatif et les objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles visant ces activités.

Réponse du CST :

Le CST est d’accord avec cette recommandation.

Même s’il acquiesce à la recommandation, le CST fait remarquer qu’il fournit toujours à la ministre l’information et les détails nécessaires pour qu’elle puisse évaluer la demande et délivrer une autorisation.

Le CST est d’accord avec le fait que, lorsque cela est possible sur le plan des opérations, l’intégration de l’information contenue dans les breffages et les présentations aux demandes et autorisations écrites permettra de produire des rapports écrits plus complets. Le CST a commencé à inclure de l’information plus détaillée dans les demandes et les autorisations liées aux COA/COD.


Recommandation 2 :

AMC devrait ajouter un mécanisme d’évaluation de tous les paramètres de risque pertinents en matière de politique étrangère des COA/COD dans les autorisations ministérielles connexes.

Réponse d’AMC :

AMC est d’accord avec cette recommandation.

AMC tient déjà compte d’une grande variété de facteurs dans son évaluation des risques en matière de politique étrangère, tel que l’indique le modèle d’évaluation des risques en matière de politique étrangère.

Par le passé, le CST a déjà fourni des évaluations des risques opérationnels/techniques distinctes dans ses plans de mission. Ces évaluations contenaient de l’information supplémentaire sur les cibles et leurs activités dans l’infrastructure mondiale de l’information (IMI), les technologies qu’elles utilisent ou les systèmes techniques complexes élaborés et déployés par le CST pour mener ses opérations.


Recommandation 3 :

Le CST et AMC devraient établir un cadre pour la consultation des principaux intervenants, comme la conseillère à la sécurité nationale et au renseignement auprès du premier ministre et d’autres organismes fédéraux dont le mandat recoupe les COA proposées, afin de veiller à ce que ces opérations cadrent avec les priorités stratégiques générales du gouvernement du Canada et répondent aux exigences énoncées dans la Loi sur le CST.

Réponse conjointe du CST et d’AMC :

En principe, le CST et AMC sont d’accord avec cette recommandation.

Le CST et AMC consultent tous les intervenants pertinents du gouvernement du Canada dont le mandat pourrait recouper les COA prévues. Nous sommes d’accord avec le fait qu’il est important d’aligner les opérations avec les priorités stratégiques générales du gouvernement du Canada et croyons qu’il existe déjà plusieurs mesures qui permettent, au besoin, d’informer et de consulter la collectivité élargie de la sécurité et du renseignement. À titre d’exemples, citons le système de comités de sous ministres adjoints et de sous-ministres sur la sécurité et le renseignement (p. ex., le Comité des sous-ministres adjoints sur les opérations de sécurité nationale [CSMAOSN] et le Comité des sous-ministres sur les opérations) ainsi que le système des comités sur des régions géographiques précises. De plus, il existe un processus sur les priorités en matière de renseignement pour l’ensemble de la collectivité qui fournit un cadre et un guide pour les activités liées au renseignement, comme les cyberopérations.

Nous savons que les types de COA envisagées et entreprises se diversifient et que pour cette raison, il pourrait être nécessaire de moderniser le modèle actuel de consultation des organismes fédéraux. Le CST et AMC travailleront ensemble pour établir, au fil du temps et au besoin, un cadre de consultation adéquat.


Recommendation 4 :

Le CST et AMC devraient fixer un seuil pour différencier une cyberopération active d’une cyberopération défensive préventive et décrire ce seuil à la ministre de la Défense nationale dans les autorisations ministérielles applicables.

Réponse conjointe du CST et d’AMC :

Le CST et AMC sont en désaccord avec cette recommandation.

Le CST et AMC ne peuvent pas être d’accord avec cette recommandation, car elle porte sur une activité (cyberopération défensive préventive) qui n’est pas visée par la Loi sur le CST et que le CST ne mène pas.

Au titre de l’article 18 de la Loi sur le CST, qui décrit le volet du mandat du CST touchant les cyberopérations défensives, le CST est autorisé à mener des activités dans l’infrastructure mondiale de l’information ou par l’entremise de celle-ci afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ainsi que l’information électronique et les infrastructures de l’information d’importance pour le gouvernement fédéral désignées comme telles dans la Loi sur le CST (infrastructures pertinentes). Pour qu’une COD soit lancée, il n’est pas nécessaire que la menace ait compromis l’information ou l’infrastructure, mais elle doit constituer une menace crédible pour les infrastructures de l’information désignées comme importantes.

Si l’OSSNR est d’avis que le CST et AMC doivent définir plus clairement le seuil qui différencie une COA d’une COD, alors le CST et AMC sont également en désaccord avec la recommandation étant donné que la Loi sur le CST définit clairement les conditions que le CST doit satisfaire pour entreprendre des activités de cybersécurité, que ce soit des COD ou des COA. Il n’y a donc pas lieu de créer un autre seuil.


Recommandation 5 :

Dans ses demandes présentées à la ministre de la Défense nationale, le CST devrait décrire précisément la possibilité de mener des activités de collecte au titre d’autorisations distinctes lors la réalisation de COA et de COD.

Réponse du CST :

Le CST est d’accord avec cette recommandation.

CSE already accurately describes the potential for collection activities, and the authority for such activities, in its applications to the Minister of National Defence.  CSE has taken steps to ensure that applications for and authorizations of ACOs and DCOs clearly reference the authorizations under which any acquisition of information required to achieve the intended outcome of the ACO or DCO is conducted.

Il est important de souligner que le CST n’est pas autorisé à obtenir de l’information au titre d’une autorisation de COA ou de COD. L’acquisition d’information servant à mener les activités de COA ou de COD est visée par une autorisation de renseignement étranger, une autorisation de cybersécurité ou une autorisation d’urgence. L’utilisation de cette information pour soutenir les COA et les COD est décrite dans les autorisations de renseignement étranger et de cybersécurité du CST. Ces autorisations font l’objet d’un examen du commissaire au renseignement qui évalue le caractère raisonnable et la proportionnalité de l’acquisition ainsi que l’utilisation de l’information à des fins liées aux COA et aux COD.


Recommandation 6 :

Le CST devrait inclure toute l’information pertinente, dont de l’information contextuelle et sur le ciblage, dans tous les plans opérationnels établis pour une cyberopération ainsi que dans le matériel présenté à AMC.

Réponse du CST :

Le CST est en désaccord avec cette recommandation.

GAC requires sufficient and pertinent information upon which to base its analysis related to foreign risk and international law. CSE has worked with GAC to share the appropriate level of operational detail that GAC has requested to conduct their work.  This need is reflected in the CSE-GAC Governance Framework whereby GAC is provided with an operation-specific Mission Plan to inform its Foreign Policy Risk Assessment. GAC is satisfied with the information provided by CSE. When GAC has required additional information to conduct its Foreign Policy Risk Assessment or international law assessment, CSE has provided the supplemental information requested.


Recommandation 7 :

Le CST devrait offrir un programme de formation structurée à ses employées et employés qui participent à l’exécution de COA/COD pour que ceux-ci aient les connaissances nécessaires sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, comme l’exigent les autorisations ministérielles connexes.

Réponse du CST :

Le CST est d’accord avec cette recommandation.

Pour compléter la formation et l’examen annuels obligatoires portant sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, le CST songera à créer un programme de formation sur mesure pour les employées et employés qui prennent part à la planification et à l’exécution des COA et des COD.


Recommandation 8 :

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Réponse conjointe du CST et d’AMC :

Le CST et AMC sont partiellement d’accord avec cette recommandation.

Depuis la parution de l’examen, AMC et le CST ont continué de perfectionner le processus d’évaluation des répercussions juridiques internationales des cyberopérations du CST. La Direction générale des affaires juridiques (DGAJ) d’AMC procède à une évaluation juridique approfondie de la conformité de chaque opération au droit international.

Sur le plan de la procédure, le CST soumet à AMC un plan de mission et lui demande de procéder à une évaluation des risques en matière de politique étrangère. Une fois qu’elle a reçu cette demande, la DGAJ d’AMC mène une consultation avec les avocats du ministère de la Justice en poste dans les Services juridiques du CST et d’AMC et, dans certains cas, avec l’avocat du ministère de la Justice au sein de la Section du droit constitutionnel, administratif et international (SDCAI). L’objectif est de discuter des répercussions, sur le plan du droit international, de l’opération prévue, telle que décrite dans le plan de mission. Un résumé de ces discussions est versé dans une évaluation juridique écrite consignée dans l’évaluation des risques en matière de politique étrangère. Ces discussions reposent sur l’analyse du droit international qui est approfondi depuis de nombreuses années par la DGAJ d’AMC, notamment dans les commentaires du gouvernement du Canada dans le projet de chapitre du Tallinn Manual 2.0 en 2016, dans l’élaboration de l’ébauche de manuel coordonnée par la DGAJ d’AMC et produit en août 2019 et dans l’analyse juridique approfondie réalisée en amont des autorisations ministérielles originales visant les COA et les COD.

AMC fait remarquer qu’il serait inhabituel de produire une évaluation juridique approfondie du droit applicable en lien avec une foule d’opérations possibles ou hypothétiques qui pourraient être menées par le Canada, ses alliés et ses adversaires dans tous les secteurs, y compris dans le cyberespace. AMC, comme tout État généralement, a plutôt pour pratique de procéder à des évaluations juridiques sur des activités ou des opérations précises proposées, des affaires judiciaires et de possibles litiges.

AMC a fait une synthèse de son analyse du droit international dans une déclaration publique sur le droit international applicable dans le cyberespace. La déclaration publique a été élaborée et réalisée à la suite de vastes consultations interministérielles ayant fait appel à des spécialistes du droit et des politiques ainsi que d’analyse d’autres déclarations de pays et de publications et processus de premier plan, dont le Tallinn Manual 2.0, le dialogue d’experts sur le droit international et le cyberespace (dirigé par la Suisse), le processus de La Haye (dirigé par les Pays-Bas), les consultations informelles sur le droit international humanitaire et les cyberopérations (dirigées par la Suisse), le processus d’Oxford et la conférence annuelle sur le droit du US Cyber Command. Le Canada s’est joint à des nations de même sensibilité et à d’autres nations pour produire une déclaration publique, entre autres pour faire avancer des processus multilatéraux en cours aux Nations Unies et ailleurs ainsi que pour approfondir la compréhension commune de l’application du droit international dans le cyberespace et parvenir à un consensus général sur la question.


Recommandation no 9 :

Le CST et AMC devraient communiquer entre eux toute information et nouveauté pertinentes à l’évaluation des risques liées à une cyberopération, tant lors de la planification que de l’exécution.

Réponse conjointe du CST et d’AMC :

Le CST et AMC sont d’accord avec cette recommandation.

Depuis la parution de l’examen, le CST et AMC ont augmenté la fréquence des échanges au niveau de travail. Conformément au cadre de gouvernance d’AMC et du CST sur les cyberopérations étrangères, les deux organismes vont solidifier leurs points de contact et élaborer une procédure opérationnelle normalisée pour qu’ils puissent se transmettre mutuellement toute nouvelle information et toute nouveauté liées à une cyberopération.

Share this page
Date de modification :

Déclaration de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement concernant la soumission au premier ministre de son Rapport spécial sur l’ingérence politique étrangère

Examens en Cours

Déclaration de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement concernant la soumission au premier ministre de son Rapport spécial sur l’ingérence politique étrangère


Date de publication :

Le 26 avril, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR, Office de surveillance) a remis au premier ministre son Rapport spécial portant sur la production et la diffusion, au sein du gouvernement du Canada, du renseignement concernant l’ingérence étrangère exercée pendant les 43e et 44e élections fédérales canadiennes.

Ce Rapport spécial est une version expurgée du rapport classifié qui a été envoyé le 5 mars, au premier ministre ainsi qu’aux ministres de la Sécurité publique, de la Défense nationale et des Affaires étrangères.

Comme l’exigent les dispositions de l’alinéa 52(1)b) de la Loi sur l’OSSNR, l’Office de surveillance a tenu, des consultations auprès des administrateurs généraux des ministères et organismes concernés pour veiller à ce que le Rapport spécial ne contienne aucune information préjudiciable ou confidentielle. 

Dès le début du processus d’examen, l’OSSNR a mené ses travaux indépendamment de ceux du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR), mais a tout de même fait en sorte qu’il n’y ait aucune duplication inutile entre les deux organes de surveillance

Conformément aux obligations énoncées dans la Loi sur l’OSSNR, le Rapport spécial doit être déposé devant chaque chambre du Parlement dans les quinze premiers jours de séance de celle-ci.

En guise de respect du privilège parlementaire, l’OSSNR s’abstiendra de commenter le contenu de son rapport tant que le Rapport spécial n’aura pas été déposé au Parlement.

Reconnaissant l’importance que revêt ce sujet pour les Canadiens, l’OSSNR a fait le nécessaire pour que le rapport soit rédigé en vue d’une diffusion à grande échelle. Ainsi, par souci de transparence et pour sensibiliser le public, l’OSSNR publiera le Rapport spécial sur son site Web, une fois que celui ci aura été déposé au Parlement.

Share this page
Date de modification :

Examen de l’OSSNR portant sur le régime applicable aux ensembles de données

Date de publication :

Liste des acronymes

Sigle/acronyme Expression complète
SCRS Service canadien du renseignement de sécurité
ADG Acquisition de données et gouvernance
SDO Sous-directeur Opérations
DMEX Gestion et exploitation des données
ERC External Review and Compliance
CF Cour fédérale
CR Commissaire au renseignement
AJ Autorisation judiciaire
LSN Loi de 2017 sur la sécurité nationale
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
CADO Centre d'analyse des données opérationnelles
EDAP Ensemble de données accessibles au public
BCP Bureau du Conseil privé
SP Sécurité publique Canada
CSARS Comité de surveillance des activités de renseignement de sécurité

Glossaire

Catégorie approuvée d’ensembles de données canadiens. Catégorie d’ensembles de données canadiens approuvée par le Ministre et autorisée par le commissaire au renseignement. Le Service canadien du renseignement de sécurité ne peut collecter et conserver un ensemble de données canadien que s’il fait partie d’une catégorie approuvée.

Ensemble de données canadien. Ensemble de données ayant principalement trait à des Canadiens ou à des personnes se trouvant au Canada.

Ensemble de données. Ensemble d’informations qui sont sauvegardées sous la forme d’un fichier numérique et qui portent sur un même sujet.

Employé désigné. Employé désigné par le Ministre. Cet employé est en mesure d’exercer une ou plusieurs des activités décrites aux articles 11.07 et 11.22, notamment l’évaluation, l’interrogation et l’exploitation des ensembles de données visés à l’article 11.05.

Régime applicable aux ensembles de données. Articles 11.01 à 11.25 et 27.1 de la Loi sur le Service canadien du renseignement de sécurité, qui régissent les ensembles de données.

Évaluation. Période durant laquelle les employés désignés vont – dans la mesure du possible, mais dans les 90 jours suivant le moment de la collecte – évaluer l’ensemble de données et établir si celui-ci :

  • était accessible au public au moment de sa collecte;
  • comportait principalement des données liées à des Canadiens ou à d’autres individus se trouvant au Canada;
  • comportait principalement des informations liées à un individu qui n’est pas un Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’était ni constituée ni prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouvait à l’extérieur du Canada.

Situation d’urgence. Situation posant un danger pour la vie ou la sécurité d’un individu, ou une situation nécessitant l’acquisition de renseignement d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service canadien du renseignement de sécurité s’en tient aux processus d’autorisation prévus à l’article 11.13 ou aux articles 11.17 et 11.18.

Exploitation. Analyse informatique d’un ou de plusieurs ensembles de données ayant pour but d’obtenir des renseignements qui ne seraient pas autrement apparents.

Ensemble de données étranger. Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada.

Autorisation judiciaire. Procédure suivant laquelle un juge de la Cour fédérale autorise la conservation d’un ensemble de données canadien.

Ministre. Dans le présent rapport, le terme « Ministre » désigne le ministre de la Sécurité publique.

Ensemble de données accessible au public. Ensemble de données accessible au public au moment de sa collecte.

Interrogation. Recherche ciblée dans un ou plusieurs ensembles de données, au sujet d’une personne ou d’une entité, ayant pour but d’obtenir des renseignements.

Enquête au titre de l’article 12. Enquête menée par le Service canadien du renseignement de sécurité, qui porte sur des menaces envers la sécurité du Canada.

Menace envers la sécurité du Canada. Activités qui touchent le Canada ou s’y déroulent, notamment les suivantes :

  • l’espionnage ou le sabotage;
  • les activités influencées par l’étranger;
  • l’usage de la violence ou de menaces contre des personnes ou des biens dans le but d’atteindre un objectif politique, religieux ou idéologique;
  • les activités qui, par des actions cachées et illicites, visent à saper le régime de gouvernement constitutionnellement établi au Canada ou dont le but immédiat ou ultime est sa destruction ou son renversement, par la violence.

Sommaire

Le gouvernement du Canada a instauré le régime applicable aux ensembles de données (régime des ensembles de données) suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS ou, ci-après, la Loi). Visé aux articles 11.01 à 11.25 de la Loi sur le SCRS, ce régime habilite le Service canadien du renseignement de sécurité (SCRS, ou le Service) à collecter et à conserver des ensembles de données contenant des renseignements personnels qui ne sont liés ni directement ni immédiatement à des activités qui constituent une menace envers la sécurité du Canada, mais qui sont susceptibles de favoriser la progression d’enquêtes sur la sécurité nationale.

Le présent rapport se divise en quatre sections. La première porte sur la gouvernance et décrit les aspects suivants : les modalités de mise en oeuvre du régime, la première autorisation judiciaire du SCRS relative à un ensemble de données, les vides juridiques relevés dans la Loi et les politiques internes du ministère auxquelles le régime est assujetti. Quant à la deuxième section du présent rapport, elle porte sur les pratiques observées par le SCRS en matière de gestion et de conservation de l’information. Ensuite, la troisième section traite des modalités suivant lesquelles le SCRS forme ses employés à l’exercice des fonctions prévues par le régime des ensembles de données, et aborde quelques difficultés en matière d’affectation des ressources. Enfin, la quatrième et dernière section présente une étude de cas qui aborde les difficultés et les obstacles qui se posent aux éléments traités dans les trois premières sections.

Pour ce qui concerne la gouvernance et la mise en oeuvre, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a conclu que le régime des ensembles de données établi par le SCRS n’était pas conforme au cadre législatif en vigueur. L’approche que le SCRS applique actuellement sur le plan de la collecte des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir les critères minimaux tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

En 2021, le SCRS a demandé une autorisation judiciaire pour la conservation du premier ensemble de données canadien, mais d’une façon qui incite l’OSSNR à douter que la Cour fédérale ait été pleinement informée des divergences exprimées en interne concernant l’utilisation des ensembles de données avant la mise en application du régime des ensembles de données. De plus, en attendant l’autorisation judiciaire, le SCRS a procédé à des interrogations au titre des dispositions concernant les situations d’urgence et a conservé des noms qui ne correspondaient que partiellement aux valeurs recherchées. L’OSSNR a conclu que les résultats conservés en l’occurrence ne respectaient pas le critère minimal s’appliquant obligatoirement à la conservation de cette information au titre de l’article 12 de la Loi. L’OSSNR recommande que le SCRS détruise immédiatement tout fichier contenant les noms retenus dans le cadre d’interrogations liées à des situations d’urgence, dans la mesure où ces fichiers ne répondent pas au critère minimal de la « stricte nécessité ».

Le présent examen a permis de relever, dans le texte de la Loi sur le SCRS un vide juridique qui pose problème sur le plan de la gouvernance s’appliquant aux ensembles de données étrangers. En effet, l’OSSNR note que dans sa forme actuelle, la Loi n’impose, au Ministre ou à la personne désignée, aucune limite de temps pour l’autorisation de conservation d’un ensemble de données étranger. Avant l’instauration du régime des ensembles de données, le SCRS collectait des volumes massifs de données qui ne répondraient plus aux prescriptions du nouveau régime. Après l’adoption du régime des ensembles de données, le SCRS a soumis, le 11 octobre 2019, plusieurs ensembles de données étrangers au directeur, qui faisait office de personne désignée à la place du Ministre. Le commissaire au renseignement (CR) a approuvé le premier ensemble de données étranger tiré de cet important volume de données le 16 décembre 2020. Or, au mois de décembre 2022, le SCRS n’avait soumis au CR que deux autres demandes d’approbation, pour un total de trois approbations en trois ans. L’OSSNR note qu’en conséquence du vide juridique, une demande d’autorisation peut, pendant des années, demeurer sans suite de la part du directeur. D’ailleurs, l’OSSNR remet en cause la façon dont le SCRS est censé respecter le critère minimal de la « probabilité d’aider » ainsi que l’utilité de ces ensembles de données. L’OSSNR recommande que l’on impose une limite de temps pour l’autorisation, par le Ministre ou la personne désignée, d’un ensemble de données étranger.

Le dernier élément de la section ayant trait à la gouvernance met l’accent sur les politiques que le SCRS a adoptées pour encadrer le régime des ensembles de données. En outre, l’OSSNR a conclu que les politiques du SCRS s’appliquant aux ensembles de données accessibles au public ne contenaient aucune disposition exigeant que l’information collectée soit assujettie à une analyse portant sur l’attente raisonnable en matière de protection de la vie privée. Cette question est particulièrement pertinente lorsque l’on prend en compte la demande toujours croissante pour les données achetées auprès de courtiers ainsi que les risques associés à l’achat d’informations disponibles dans le commerce, lesquelles auraient pu être collectées de façon illicite. Ainsi, l’OSSNR recommande que le SCRS procède à l’analyse approfondie et à la documentation de toutes les attentes raisonnables en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. L’OSSNR a également conclu que le SCRS ne disposait d’aucune politique realtive aux informations transitoires et que la directive interne en vigueur ne fournissait aux employés que des consignes insuffisantes pouvant faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.

La deuxième section du présent rapport d’examen a trait à la gestion et à la conservation de l’information des ensembles de données visés à l’article 11. Dès 2018-2019, le SCRS a passé en revue ses fonds d’information pour y relever les informations qui seraient assujetties au régime des ensembles de données une fois que celui-ci serait entré en vigueur. Au début de 2022, le SCRS a constaté plusieurs occurrences où des données, des rapports opérationnels et des informations liées à des Canadiens ou à d’autres individus se trouvant au Canada (informations canadiennes) extraits d’ensembles de données étrangers auraient dû être détruits. Une fois que les éléments de non-conformité ont été relevés, le SCRS a commencé à mettre en place des mesures correctives visant à garantir que les données de ce type seraient repérées et détruites. En octobre 2022, l’OSSNR a effectué une recherche dans le système organisationnel du SCRS et a trouvé des fichiers contenant des dizaines de milliers d’occurrences d’informations personnelles sur des Canadiens tirées d’ensembles de données étrangers, de même que des informations équivalant à des ensembles de données étrangers. L’OSSNR n’est pas satisfait des raisons qu’on lui a données pour justifier la conservation de ces informations dans les systèmes organisationnels du SCRS ni des critères suivant lesquels le SCRS explique que ces informations se distinguent de celles qui avaient été précédemment établies comme étant non conformes. L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.

Qui plus est, l’OSSNR a effectué une autre recherche dans le registre opérationnel du SCRS et y a découvert des informations assimilables à un ensemble de données canadien. Le SCRS n’avait pas retiré le rapport opérationnel, ce qui l’a rendu accessible à quiconque pouvait utiliser le système, ce qui contrevient aux obligations s’appliquant au régime des ensembles de données sur le plan de la conservation. L’OSSNR a avisé le SCRS au sujet de ce rapport et a appris que cette situation serait traitée comme un incident de conformité. L’OSSNR a ensuite effectué une autre recherche et a découvert un autre rapport contenant de l’information qui, par ailleurs, serait assimilable à un ensemble de données canadien. L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. L’OSSNR recommande que le SCRS détruise immédiatement l’information sur des Canadiens et l’information étrangère qui se trouvent dans ses registres organisationnels et opérationnels, et qu’il n’est pas strictement nécessaire de conserver. Cette information non conforme ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel et procède à un balayage complet de ses registres organisationnels et opérationnels dans le but de repérer les informations non conformes.

La troisième section du présent rapport d’examen porte sur la formation de même que sur l’affectation des ressources. Avant l’entrée en vigueur du régime s’appliquant aux ensembles de données, le SCRS avait élaboré et mis en place une formation en guise de préparation à la désignation des employés aux fins du régime des ensembles de données ainsi qu’une formation obligatoire pour tous les employés opérationnels. L’OSSNR conclut que la formation requise pour devenir un employé désigné appelé à évaluer, à interroger et à exploiter les ensembles de données visés à l’article 11 fournit de l’information claire sur les exigences s’appliquant à la collecte et à la conservation. Or, l’OSSNR conclut que le personnel opérationnel du SCRS, y compris les membres qui font principalement la collecte des données de masse, n’a pas reçu une formation suffisante pour être en mesure de reconnaître les situations où l’information collectée pourrait être visée par le régime des ensembles de données. La formation n’est suivie qu’une seule fois par les employés opérationnels, ce qui contrevient aux règles que le SCRS est censé suivre quant à l’application du régime. L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios en guise de formations sur l’application du régime des ensembles de données. Ces ateliers seraient destinés au personnel opérationnel et permettraient de faire appel aux experts, le cas échéant.

Pour englober tous les enjeux cités précédemment, l’OSSNR a choisi une étude de cas qui met en évidence les difficultés que le SCRS rencontre au chapitre de la mise en place du régime des ensembles de données. Le cas en question concernait un ensemble de données contenant des informations sur des milliers de Canadiens. En l’occurrence, l’OSSNR conclut que le SCRS a collecté de l’information qui concernait des activités ne pouvant pas être raisonnablement soupçonnées d’avoir posé une menace envers la sécurité du Canada et dont la collecte, l’analyse et la conservation n’étaient pas strictement nécessaires. Le ministère de la Justice et la gestion du SCRS n’ont pas soumis, à la direction du SCRS, l’intégralité de l’information ayant trait à l’ensemble de données au point de collecte. De plus, l’information a été collectée sans qu’une analyse ait été réalisée à la lumière des dispositions de la Charte et des éléments relatifs à la protection de la vie privée. L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12. L’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

À la suite du présent examen, il convient de conclure que le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. De fait, le SCRS n’a pas cherché à résoudre les éléments juridiques ambigus [**expurgé**] des modalités d’application du régime à l’appréciation de la Cour. En effet, le SCRS a plutôt adopté diverses positions quant à l’application du régime des ensembles de données, et il risque désormais de cantonner ce qui se veut un régime d’encadrement de la collecte et de la conservation à un simple mécanisme de conservation. Sur le plan interne, le SCRS a fourni des ressources et de la formation qui se sont avérées insuffisantes pour garantir la conformité des activités aux dispositions du régime. En l’absence d’un engagement à opérationnaliser les ressources et à soutenir la mise en oeuvre d’un nouveau régime juridique, il y a lieu de conclure que ce type de régime sera destiné à échouer quoi qu’on en pense.

Introduction

Fondements législatifs

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé le présent examen en application de l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Portée de l’examen

L’OSSNR s’est penché, entre janvier 2019 et le 30 juin 2022, sur la mise en oeuvre, par le Service canadien du renseignement de sécurité (SCRS, ou le Service), du régime s’appliquant aux ensembles de données. Or, pendant le déroulement de l’examen, l’OSSNR a jugé nécessaire de consulter des éléments d’information pertinents ne coïncidant pas avec la période susmentionnée.

Méthodologie

L’OSSNR a examiné des documents, réalisé des entrevues et assisté à des séances d’information. L’OSSNR a également assisté à des démonstrations que des experts du SCRS ont données sur le fonctionnement des systèmes concernés. Le SCRS a également donné, aux représentants de l’OSSNR, un accès direct auxdits systèmes.

Énoncés généraux

L’OSSNR a été en mesure de vérifier, conformément à ses propres attentes et exigences, l’information reçue en cours d’examen. De plus, l’OSSNR a eu un accès direct aux systèmes et registres du SCRS, ce qui lui a permis de corroborer cette information.

Pour ce qui concerne la réactivité, on a relevé quelques occurrences mineures où le SCRS n’a pas fourni l’intégralité de l’information demandée par l’OSSNR, mais en règle générale, le Service a répondu aux attentes de l’OSSNR sur ce plan.

Renseignements généraux

En 2015, le Comité de surveillance des activités de renseignement de sécurité (CSARS), le prédécesseur de l’OSSNR, a examiné les modalités de collecte et de conservation de l’information dans le cadre du Programme d’acquisition de données du SCRS. Les examinateurs se sont penchés sur le régime du SCRS s’appliquant aux ensembles de données massifs et ont noté ce qui suit : « le CSARS n’a constaté aucun élément de preuve donnant à penser que le SCRS avait systématiquement tenu compte du seuil de la mesure “strictement nécessaire” tel qu’il est imposé en vertu de l’article 12 de la Loi sur le SCRS; le SCRS ne dispose pas de processus, de cadre de gouvernance et de conseils juridiques relatifs à l’acquisition et à la gestion d’ensembles de données de masse, ce qui va à l’encontre des pratiques de nos proches alliés. »

Après la publication du rapport annuel du CSARS, la Cour fédérale (ci-après désignée comme étant « la Cour ») s’est penchée sur les questions liées à la conservation des données dans la décision qu’elle a rendue en 2016 relativement aux « données connexes ». La Cour a établi que le SCRS avait outrepassé les limites du mandat qui lui était prescrit par la loi en conservant des informations contrevenant à la mesure « strictement nécessaire » prescrite au paragraphe 12(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS). En vertu de cette exigence légale de la mesure « strictement nécessaire » s’appliquant aux faits ayant donné lieu à cette décision, le SCRS ne peut pas conserver de l’information qui n’est pas directement liée à une menace envers la sécurité du Canada, à moins que cette information soit liée à un sujet visé par un mandat. La Cour a conclu que le SCRS avait agi de manière illicite lorsqu’il a conservé des informations non liées à une menace au titre de la mesure « strictement nécessaire », et ce, au-delà de la limite de temps prescrite.

Le gouvernement du Canada a instauré le régime applicable aux ensembles de données suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification la Loi sur le SCRS. Ce régime permet au SCRS de collecter des ensembles de données qui soient susceptibles de l’assister dans l’exercice de ses fonctions, en l’occurrence, des ensembles de données qui ne répondent pas au critère du « strictement nécessaire » par ailleurs exigé à l’article 12.

Le présent examen de l’OSSNR est le premier qui soit réalisé relativement aux ensembles de données depuis l’adoption la LSN. En outre, cet examen décortique et analyse les modalités de gouvernance et d’opérationnalisation du régime. Pendant qu’il considérait la mise en oeuvre du régime, l’OSSNR a également examiné les systèmes et les processus en place aux fins d’ingestion, d’évaluation, d’interrogation et d’exploitation des ensembles de données, processus dont une description détaillée est fournie en annexe A du présent rapport.

Aperçu du régime applicable aux ensembles de données au vu de la législation

Les dispositions de la Loi sur le SCRS (ci-après désignée comme étant « la Loi ») qui gouvernent le régime se trouvent aux articles 11.01 à 11.25, 21, 27 et 27.1 de la Loi (lesquels établissent ce que l’on appelle ci-après le « régime des ensembles de données »). La Loi définit le terme « ensemble de données » comme suit : « [e]nsemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun. » La clause d’application de l’article 11.02 énonce ce qui suit : « Les articles 11.01 à 11.25 s’appliquent aux ensembles de données qui contiennent des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels qui, dans l’immédiat, ne sont pas directement liés à des activités exercées en lien avec une menace pour le Canada. »

Le niveau des autorisations et des approbations des activités de collecte et de conservation d’un ensemble de données est proportionnel au niveau d’atteinte à la vie privée. Pour toutes les catégories d’ensembles de données, à savoir accessibles au public, canadiens et étrangers, le SCRS peut : « recueillir un ensemble de données s’il est convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. » Il existe un autre seuil, plus élevé celui-là, pour la conservation des ensembles de données étrangers et canadiens, à l’égard desquels le SCRS doit établir si l’ensemble de données collecté est « susceptible de l’aider » dans l’exercice de ses fonctions

Le tableau ci-dessous présente synthétiquement le cadre juridique s’appliquant aux ensembles de données accessibles au public (EDAP), aux ensembles de données étrangers et aux ensembles de données canadiens :

                                                                                                   
  Accessible au public Étranger Canadien
Définition Un ensemble de données qui était accessible au public au moment de la collecte. . Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada. A dataset that predominately relates to individuals within Canada or Canadians.
Collection Threshold: Relevant to the performance of duties and functions under s. 12 to s.16
    Must belong to an approved class authorized by the Minister and approved by the Intelligence Commissioner (IC)
Évaluation Dans les 90 jours suivant le moment de la collecte (excluant toute interrogation ou exploitation) : L’employé désigné doit supprimer tout renseignement personnel qui n’est pas pertinent dans le cadre de l’exercice des fonctions du SCRS. L’employé désigné peut supprimer les contenus superflus, erronés ou de moindre qualité; il peut effectuer la traduction ou le décryptage des contenus ou utiliser des techniques de révision liées à la protection de la vie privée; il peut exercer toute activité relative à l’organisation de l’ensemble de données.
  L’employé désigné doit supprimer toute information qui porte sur la santé physique ou mentale d’un individu et pour laquelle il existe une attente raisonnable en matière de protection de la vie privée
  L’employé désigné doit retirer toute information liée à un Canadien ou à une personne se trouvant au Canada. L’employé désigné doit supprimer toute information protégée par le secret professionnel de l’avocat.
Conservation Conservation permise pour les fins visées aux articles 12 à 16. Critère minimal : susceptible d’aider le Service à exercer ses fonctions.
Le ministre ou la personne désignée donne son autorisation, puis le CR donne son approbation. Le ministre donne son approbation, laquelle est suivie d’une autorisation judiciaire.
Période de conservationAucune limite (politique interne régissant la conservation) Maximum de 5 années (renouvelable suivant une nouvelle demande)Maximum de 2 années (renouvelable suivant une nouvelle demande)
Interrogation/exploitationPossibilité d’interroger, d’exploiter et de conserver les résultats pour les fins visées aux articles 12 à 16.L’employé désigné peut interroger ou exploiter (et conserver les résultats) pour peu que ce soit strictement nécessaire au titre des articles 12 et 12.1, et comme le stipule l’article 16.
Peut interroger et exploiter (et conserver les résultats) pour les fins visées à l’article 15.
Tenue de dossiersDossiers : - justification de la collecte; - détails relatifs à chaque exploitation; - détails de l’autorisation légale au titre de laquelle l’information interrogée ou exploitée est conservée. Réalisation de vérifications aléatoires ou routinières.
Obligations : - stocker et gérer séparément des autres informations; - réserver l’accès aux employés désignés pour veiller à ce que les informations acquises ne puissent être communiquées qu’aux fins de l’exercice de fonctions sous le régime de la présente loi.
Situations d’urgenceLe directeur peut autoriser (sous réserve de l’approbation du CR) l’interrogation d’un ensemble de données qui n’a pas déjà été autorisé s’il s’agit d’une situation d’urgence et que l’interrogation de l’ensemble de données est nécessaire afin de préserver la vie ou la sécurité d’un individu ou d’acquérir des renseignements d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service s’en tient aux processus d’autorisation.
RapportsTransmission à l’OSSNR : - de toute vérification effectuée telle qu’il est prescrit par les dispositions s’appliquant à la tenue des dossiers; - de tout retrait d’information concernant un Canadien ou une personne se trouvant au Canada et provenant d’un ensemble de données étranger; d’une copie de l’autorisation du directeur visant l’interrogation pour motif de situation urgence, les résultats de l’interrogation et les mesures prises après l’obtention des résultats de l’interrogation. *L’OSSNR peut faire rapport auprès du directeur lorsqu’à son avis, l’interrogation ou l’exploitation de l’ensemble de données concerné n’est pas conforme aux stipulations de la loi. En l’occurrence, le directeur envoie un rapport accompagné d’informations additionnelles à la Cour fédérale. Dès lors, la Cour fédérale peut émettre une directive ou un ordre ou encore prendre toute autre mesure jugée appropriée.

Gouvernance

Interprétation et application, par le SCRS, du régime applicable aux ensembles de données

Conclusion no 1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif.

Conclusion no 2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

Le régime des ensembles de données avait pour objet de créer une méthode qui permette de collecter et de conserver certaines informations, des activités qui ne seraient pas permises selon les dispositions formulées à l’article 12 de la Loi sur le SCRS. Le SCRS a pris une part active dans la promotion de ce régime détaillé et a noté, pendant les audiences du comité sénatorial, qu’il s’agissait (articles 11.01 à 11.24) d’une « mesure législative assez complexe » qui a nécessité que l’on travaille étroitement avec le ministère de la Justice (ci-après désigné comme étant « le MJ ») pour « étudier les divers processus que nous pouvions utiliser » pour veiller à ce que le régime soit en entière « conformité à la Charte ». Après avoir grandement contribué à la rédaction du document faisant état du régime, le SCRS était bien placé pour élaborer les politiques et les procédures devant s’appliquer à la collecte, à l’interrogation, à l’exploitation et à la vérification des ensembles de données.

[**expurgé**] le SCRS a modifié sa position de sorte à considérer le régime des ensembles de données comme étant, en réalité, assujetti aux autorisations de collecte visées aux articles 12, 15 ou 16 de la Loi sur le SCRS. De fait, le SCRS s’appuie sur le régime des ensembles de données dès lors qu’il a établi que l’information n’est pas visée par ces autorisations en matière de collecte (ce qui est désigné ci-après comme étant la position actuelle du SCRS). Cette position témoigne d’un changement sur le plan de la compréhension que l’on peut avoir quant à la portée du régime des ensembles de données.

Telle qu’elle était présentée dans les politiques et les présentations du Service ainsi que dans le matériel employé pendant la formation NSA 2017, l’application du régime des ensembles de données était davantage conforme à la position initiale du Service. Toutefois, au mois d’avril 2022, le SCRS avait adopté sa position actuelle quant à l’application du régime des ensembles de données, en concluant que la Cour était d’accord avec cette interprétation. Le SCRS considère désormais que le régime permet la collecte et l’utilisation (recherches) des ensembles de données au titre de l’article 12, puis leur conservation au titre du régime des ensembles de données. Le SCRS a continué de modifier sa position actuelle de sorte à permettre une collecte et une conservation élargies en vertu de l’article 12.

Il convient de noter que l’article 12 énonce des conditions s’appliquant à la collecte (et à la conservation) qui sont plus exigeantes que le critère minimal s’appliquant à la collecte et à la rétention dans le cadre du régime des ensembles de données. En vertu de l’article 12, une enquête s’appuiera sur un motif raisonnable de soupçonner une menace envers la sécurité du Canada, et la collecte ainsi que la conservation de l’information n’auront lieu que dans la mesure « strictement nécessaire ». Pour sa part, le régime des ensembles de données permet la collecte pour peu que le SCRS soit « convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. ». La conservation des ensembles de données étrangers et canadiens est permise s’il est « probable » que cette conservation « aide le Service » à exercer ses fonctions. L’article 12 et le régime des ensembles de données diffèrent l’un de l’autre en tant que régimes de contrôle. En vertu de l’article 12, le SCRS peut procéder à la conservation sans l’intervention d’une entité externe. Or, la conservation des ensembles de données canadiens au titre du régime des ensembles de données exige une autorisation de la Cour, alors que la conservation des ensembles de données étrangers nécessite l’approbation du CR.

Le régime des ensembles de données a été créé dans le but d’élargir les conditions rigoureusement réglementées s’appliquant à la collecte et à la conservation, lorsque le critère minimal de la mesure « strictement nécessaire » visé à l’article 12 ne pouvait pas être respecté. Toutefois, selon l’OSSNR, depuis que le SCRS a modifié sa position, comme nous l’avons évoqué précédemment, la façon dont le Service opérationnalise le régime des ensembles de données et en comprend l’application semble avoir considérablement augmenté l’étendue de l’information captée en vertu des pouvoirs qui lui sont conférés au titre de l’article 12. Cette évolution est abordée dans le cadre de l’étude de cas qui est présentée à la fin du présent rapport.

La [**expurgé**] anciennement Gestion et exploitation des données ou DMEX) est une entité dont la fonction première est la gouvernance du régime des ensembles de données. Au mois de juin 2023, le SCRS a avisé l’OSSNR que, désormais, [**expurgé**] prioriserait la collecte au titre de l’article 12 par rapport à la collecte au titre du régime des ensembles de données. Comme le cadre législatif s’appliquant aux ensembles de données s’avère plutôt restrictif, le Service a indiqué qu’il ne collecterait les ensembles de données qu’en prévision de leur exploitation10. Le SCRS a ensuite présenté à l’OSSNR l’exemple éclairant d’un ensemble de données au sens entendu par le régime des ensembles de données et a indiqué que, dans la mesure où il était possible que des acteurs hostiles figurent dans la liste, cet ensemble pouvait être collecté au titre de l’article 11.05 s’appliquant au régime des ensembles de données ou encore de l’article 12. On pouvait également y effectuer des recherches au titre de l’article 12, conserver, au titre du même article, les résultats de recherche portant sur la menace, puis détruire le reste de la liste.

L’approche évolutive que le SCRS a adoptée à l’égard des ensembles de données soulève deux sources de préoccupation. En premier lieu, l’ingestion des ensembles de données au titre de l’article 12 peut désormais, du moins en pratique, correspondre à une interprétation élargie des critères minimaux de « motif raisonnable de soupçonner » et de mesure « strictement nécessaire » visés à l’article 12. Les normes maintenant invoquées pour justifier la collecte et la conservation de certains ensembles de données censément au titre de l’article 12 sont plus près des critères minimaux « convaincu » et « probabilité d’aider » s’appliquant au régime des ensembles de données. L’OSSNR reconnaît que certaines informations répondant à la définition d’un ensemble de données – c.-à-d. la collecte d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun – pourraient être visées par les stipulations de l’article 12 en matière de collecte et d’utilisation, par exemple, une liste des voyageurs extrémistes canadiens. Toutefois, l’OSSNR a des réserves lorsque les pouvoirs énoncés à l’article 12 sont interprétés de telle façon qu’ils permettent la collecte et l’utilisation de renseignements personnels qui ne sont pas directement liés aux activités posant une menace envers la sécurité du Canada. Cette approche sort du cadre législatif et risque de donner lieu à la création d’un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

En second lieu, une procédure de vérification en plusieurs étapes découle d’une interprétation de la Loi sur le SCRS, selon laquelle le régime des ensembles de données s’applique uniquement lorsque les ensembles de données (répondant à la définition de la section 11.02) ne peuvent être ni collectés ni conservés au titre des mandats visés aux articles 12, 15 ou 16. Qui plus est, il y aura une phase préliminaire durant laquelle le SCRS devra décider quelle autorisation doit s’appliquer, et établir si (puisqu’il ne reste plus aucune autre autorisation de collecte ou de conservation) l’ensemble de données doit être traité dans le cadre du régime des ensembles de données. L’absence de conseils judicieux donne lieu à un important risque de confusion quant à ce qui peut être fait à partir de l’ensemble de données pendant cet exercice de vérification et de tri, surtout que cette procédure de vérification n’est pas expressément prévue par la Loi. On ne saurait trop dire si la Loi peut s’assortir d’une procédure parallèle et distincte dans le cadre de laquelle un ensemble de données serait collecté au titre de l’article 12, interrogé à des fins de renseignement et, seulement alors, être transféré en vue d’être conservé au titre du régime des ensembles de données. En l’occurrence, on pourrait estimer que cette approche rendrait superflue l’autorisation d’interrogation de recherche en cas d’urgence au titre de l’article 11.22. Bien que l’OSSNR n’ait pas été en mesure de confirmer l’intégralité de la séquence d’événements, l’étude de cas portant sur l’autorisation judiciaire visant les ensembles de données canadiens (voir la section suivante) illustre le risque de confusion.

Autorisation judiciaire concernant les ensembles de données canadiens

Conclusion no 3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.

Conclusion no 4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12.

[**expurgé**], le SCRS a collecté, [**expurgé**]. Les [**expurgé**] contenaient les renseignements personnels d’individus [**expurgé**] Les ensembles de données ont été acheminés au SCRS en provenance de plusieurs ministères [**expurgé**]. Comme ces ensembles de données ont été reçus par le [**expurgé**] on a jugé qu’ils avaient été collectés au titre de l’article 12. Cependant, le SCRS a ensuite tenté de conserver [**expurgé**] en vertu du régime des ensembles de données, ce qui nécessite une autorisation de la Cour fédérale (CF). En l’occurrence, on a assisté à la première décision concernant une autorisation judiciaire aux fins du régime des ensembles de données. Or, on note deux sources de préoccupation concernant la gestion de cet ensemble de données.

Examen initial de l’ensemble de données au titre de l’article 12

Considérant les éléments qui ont mené à cette autorisation, il serait plutôt difficile de savoir comment cet ensemble de données pourrait être utilisé. Tout indique que [**expurgé**] a reçu les [**expurgé**] en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada. [**expurgé**] considère comme de l’information visée à l’article 12 toute information communiquée et collectée par leur direction. Au moment de recevoir l’ensemble de données, [**expurgé**] n’était pas au courant des discussions qui avaient lieu au sein d’autres directions concernant la possibilité de demander à la Cour d’autoriser la conservation [**expurgé**] au moyen d’une autorisation judiciaire. [**expurgé**] a traité l’information comme elle le ferait pour toute autre information visée à l’article 12 et a effectué des recherches pour au moins deux des noms [**expurgé**] dans la base de données opérationnelle du SCRS, à savoir [**expurgé**]. Des résultats ont été obtenus pour l’un de ces deux noms.

L’OSSNR a d’abord été informé que ces recherches ne constituaient pas des interrogations dans la mesure où elles n’avaient pas été menées dans les [**expurgé**] et qu’elles constituaient plutôt des recherches, depuis [**expurgé**] de noms tirés [**expurgé**]. L’OSSNR a également appris que les recherches ne constituaient pas des interrogations, car elles n’avaient pas [traduction] « pour objet d’obtenir du renseignement » tel que le définit la Loi, puisque le résultat des recherches n’est pas consigné [**expurgé**]. Lors de ses discussions avec le SCRS, l’OSSNR a reçu des informations contradictoires qui montrent les incohérences et la confusion qui règnent en interne à ce sujet.

Dans la lettre de présentation qui accompagnait l’affidavit de l’autorisation judiciaire demandée à la Cour en lien avec un ensemble de données canadien, l’avocat indique que [traduction] « la collecte initiale et l’utilisation que le Service fait de cette information, tel qu’il est décrit dans l’affidavit, s’inscrit dans la portée [**expurgé**] du Service au titre [**expurgé**] ». Dans l’affidavit, le SCRS indique que [traduction « […] [**expurgé**] a vérifié si cette collecte d’information figurait déjà dans le fonds du Service et a estimé la valeur qu’elle pourrait avoir aux fins de ses enquêtes. Aucune recherche n’a été menée à des fins de renseignement […] ». Dans une ébauche antérieure de l’affidavit, le chef de la DMEX avait exprimé son souci à l’égard de ce libellé de la version préliminaire de l’affidavit.

Ce à quoi il ajoute que [traduction] « Nous avons déjà clairement indiqué que les ensembles de données étaient initialement collectés au titre des autorisations visées aux [**expurgé**]. Nous pouvons également affirmer que les vérifications ont été effectuées conformément à ces autorisations, jusqu’à ce que l’on ordonne immédiatement l’arrêt des vérifications une fois l’article 11 invoqué (tout est arrivé rapidement) ». L’OSSNR n’a pas été en mesure d’établir si la recherche des noms tirés de la liste a été effectuée dans le système opérationnel du SCRS dans le but de « vérifier » si [traduction] « la collecte d’information figurait déjà dans le fonds du Service ». Pendant que l’on examinait cette question, il devenait manifeste qu’il y avait une multiplicité d’opinions et nombre de propos contradictoires au sujet des mesures qui avaient été prises au moment de recevoir l’ensemble de données, mais aussi de ce qui semblait permissible aux yeux du SCRS, une fois que l’information d’un ensemble de données est collectée au titre de l’article 12.

Dans la décision qu’elle a rendue concernant l’autorisation, la Cour fédérale a conclu qu’il était raisonnable de collecter l’ensemble de données au titre de l’article 12 compte tenu des circonstances. Or, la Cour note que [traduction] « la décision d’invoquer le régime des ensembles de données et de demander l’approbation d’interroger l’information a été prise au titre des dispositions concernant les situations d’urgence énoncées à l’article 11.22 de la Loi ». On ne sait trop si la Cour était parfaitement au courant des incertitudes qui planaient quant à ce qui pouvait être fait de l’ensemble de données entre la collecte au titre de l’article 12 et le début du processus de conservation au titre du régime des ensembles de données. Le SCRS aurait dû informer pleinement la Cour de cette incertitude (y compris les propos contradictoires concernant la façon dont les données étaient ou pourrait être utilisées) pour que celle-ci puisse fournir des éclaircissements sur sa position quant aux conduites qui sont expressément permissibles avant l’invocation du régime des ensembles de données.

C’est particulièrement le cas depuis que la Cour, dans la décision qu’elle a rendue et les audiences de l’autorisation judiciaire, a fait part de ses préoccupations voulant que les catégories autorisées par le Ministre et approuvées par le CR aient été trop larges. En outre, la Cour a ajouté que [traduction] « l’une de ces catégories est si large que rien ne pourrait en être exclu ». Pourtant, le SCRS a assuré la Cour à quelques reprises que l’information avait été collectée au titre de l’article 11.05 et était protégée par les dispositions du régime; que cette information était défendue par des contrôles d’accès accrus; et que cette information ne pouvait être ni interrogée ni exploitée. Par conséquent, la Cour a été informée qu’en dépit de la vastité des catégories, le régime fournissait les limites nécessaires à la protection de la vie privée des Canadiens. Cette réponse minimise la mesure dans laquelle l’information de l’ensemble de données pourrait être utilisée pendant la période de tri. Encore une fois, cette discussion fournissait au SCRS l’occasion d’éprouver sur le plan juridique et devant la Cour la mise en oeuvre de son interprétation du régime des ensembles de données. Le SCRS aurait pu informer la Cour que ces mesures de protection ne seraient pas forcément en place au moment de collecter de l’information au titre de l’article 12, avant de se tourner vers le régime des ensembles de données pour en légitimer la conservation. Tout semble indiquer que le SCRS a choisi d’assumer cette incertitude sur le plan légal plutôt que de risquer que la Cour interprète le régime de façon contraignante.

Interrogation et conservation en situation d’urgence

Il convient de noter qu’une fois que le SCRS a enclenché le processus lié au régime des ensembles de données, l’ensemble de données pour lequel une autorisation judiciaire était demandée était visé par une autorisation et une approbation au titre de l’article 11.22 sur les situations urgentes. Le SCRS a demandé et reçu l’autorisation du directeur ainsi que l’approbation du CR pour l’interrogation des ensembles de données. Conformément aux exigences énoncées au paragraphe 11.13(2) de la Loi, le SCRS a inclus, dans sa demande d’autorisation judiciaire, le contenu de l’autorisation pour situation urgente, le résultat de l’interrogation autorisée et la description des mesures prises après l’obtention de ces résultats. Cette information a également été fournie à l’OSSNR comme le prescrit l’alinéa 11.25c) de la Loi.

L’interrogation du SCRS portait sur le nom [**expurgé**] Le SCRS a retenu [**expurgé**] correspondances partielles et les a signalées dans son système opérationnel au titre de l’article 12. En examinant les interrogations menées, l’OSSNR a trouvé que les recherches initiales ratissaient extrêmement large dans la mesure où de nombreuses [**expurgé**] de noms ont été recherchées suivant l’utilisation fréquente [**expurgé**] de et l’établissement d’un large éventail de date de naissances [**expurgé**].

Ces vastes recherches ont donné lieu à bon nombre de résultats correspondant aux éléments de la liste. Par exemple, [**expurgé**] étaient tous considérés par l’analyste du SCRS comme des résultats convenables pour une recherche faite à partir du [**expurgé**]. Ces noms ont ensuite fait l’objet de recherches dans [**expurgé**]. L’information provenant d’une interrogation en situation urgente peut être conservée si l’interrogation [traduction] « a été menée au titre de l’article 12 » suivant l’imposition du critère minimal de la mesure « strictement nécessaire » énoncé dans ce même article. Même s’il n’y a, dans [**expurgé**], aucun résultat correspondant intégralement à l’un des noms [**expurgé**] le SCRS a établi que cette absence dans le système opérationnel signifiait que lesdits noms ne pouvaient pas être éliminés en tant que [traduction] « candidats potentiels d’identification » et que [traduction] « en définitive, ces correspondances potentielles qui ne peuvent pas être exclues seront signalées au bureau et conservées au titre de l’article 12 aux fins d’enquête ». De même, s’il advenait que le nom [**expurgé**] soit trop commun pour l’éliminer d’emblée, le SCRS conservait ce nom en le considérant comme étant strictement nécessaire.

Les résultats d’interrogations inutilement larges n’ont pas répondu au critère minimal de la mesure strictement nécessaire aux fins de conservation. [**expurgé**]. En mars 2022, le SCRS a indiqué que [traduction] « [**expurgé**] a établi qu’il cesserait la démarche liée aux résultats (rapporté dans [**expurgé**]) sans de nouvelles informations » et que les [**expurgé**] résultats conservés avaient été [traduction] « intégralement copiés aux fins de rétention, au cas où l’ensemble de données serait détruit ». Or, les interrogations en situation d’urgence ne peuvent être utilisées ni pour contourner les obligations en matière de conservation qui s’appliquent au titre de l’article 12 ni en tant que moyen de conserver l’information en attente du résultat de la demande d’autorisation judiciaire.

Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.

Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.

Vide juridique dans le texte de loi

Conclusion no 5: L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS).

Le régime des ensembles de données a entraîné l’ajout de bon nombre de dispositions détaillées au texte de la Loi sur le SCRS. Or, malgré la complexité du régime, l’OSSNR y a remarqué des lacunes. Les dispositions de la Loi qui gouvernent les autorisations de conservation des ensembles de donnes étrangers ne prescrivent aucun délai que le ministre ou la personne désignée serait tenu de respecter s’agissant d’autoriser la conservation d’un ensemble de données étranger. Avant l’entrée en vigueur du régime des ensembles de données, le SCRS avait accumulé des volumes massifs de données qui n’étaient plus conformes aux stipulations du nouveau régime. Conséquemment, en vertu des dispositions transitoires du projet de loi C-59, on a reconnu la présence de cette information dont on a estimé qu’elle avait été collectée le 13 juillet 2019, conformément à l’arrêté en conseil. Le SCRS disposait ensuite de 90 jours pour évaluer les ensembles de données étrangers qu’il souhaitait conserver et pour établir s’il voulait évaluer les volumes massifs d’information canadienne aux fins d’une éventuelle demande d’autorisation judiciaire.

Le 11 octobre 2019, le SCRS a présenté au directeur dix demandes d’autorisation pour la conservation d’ensembles de données étrangers. La première autorisation visant un ensemble de données a été approuvée par le CR le 16 décembre 2020. Dans sa décision datant du 16 décembre 2020, le CR a formulé des recommandations concernant le contenu des autorisations. L’une de ces recommandations portait sur la mesure dans laquelle les ensembles de données collectés en [**expurgé**] pouvaient encore être en mesure d’aider le SCRS à exercer ses fonctions. Les [**expurgé**] autres ensembles de données qui avaient été soumis au directeur pour autorisation ont alors été modifiés de sorte à comporter l’information demandée par le CR. Ces modifications ont été ajoutées aux demandes, en annexe. En dépit du fait que ces modifications comprenaient de l’information déterminante concernant la façon dont les ensembles de données étaient toujours appelés à aider le SCRS dans l’exercice de ses fonctions, on n’a pas jugé bon de considérer les demandes modifiées comme de nouvelles demandes soumises au directeur. Au mois de décembre 2022, le SCRS n’avait soumis que deux autres demandes d’approbation au CR, pour un total de trois approbations en trois ans.

Le SCRS a affirmé qu’aucune échéance prévue par la loi n’empêchait le directeur d’avoir ces demandes pendant des années et qu’en raison de contraintes sur le plan des ressources, les modifications auraient pris encore plus de temps. Ce vide juridique a donné lieu à la création d’un mécanisme parallèle pour la conservation qui, normalement, est régie selon des règles strictes. Ainsi, le SCRS ne peut ni ingérer, ni interroger, ni exploiter les données tant que le CR n’a pas donné son approbation, mais le vide juridique aura permis au Service d’interroger lesdites données dans des situations urgentes conformément aux dispositions de l’article 11.22 de la Loi sur le SCRS.

De plus, le vide juridique faisant en sorte que la demande d’autorisation reste lettre morte devant le directeur pendant des années remet en question la façon dont le SCRS respectera le critère minimum de la « probabilité d’aider » qui est lié à l’utilité de ces ensembles de données. Or, il convient de noter qu’au mois d’avril 2023, l’ensemble de données approuvé en 2020 n’avait pas encore été interrogé, alors que celui qui a été approuvé en 2021 n’avait été interrogé qu’une [**expurgé**]. Le vide juridique a également été soulevé par le CR qui affirmait ce qui suit : [traduction] « Je ne suis pas convaincu que l’intention du législateur était de faire en sorte qu’il y ait de longs délais entre la soumission d’une demande du SCRS et la décision du directeur, lorsque celui-ci est appelé à autoriser la conservation d’un ensemble de données étranger ».

Recommendation 3: NSIRA recommends that Parliament legislates a time limitation for the authorization of a foreign dataset by the Minister or Minister’s designate.

Politiques du SCRS s’appliquant aux ensembles de données

Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée.

Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données.

Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la consigne provisoire [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.

Pendant le processus d’adoption du projet de loi C-59, le SCRS a exprimé, dans sa politique, son engagement à ne pas collecter des ensembles de données piratés ou volés. En outre, il a reconnu qu’il y aurait [traduction] « une attente beaucoup plus importante en matière de protection de la vie privée à l’égard de ces ensembles de données » et a ajouté que même si des adversaires avaient accès à cette information, le SCRS préférerait se soumettre à « des normes plus élevées ». Toutefois, le SCRS en est arrivé à éprouver des difficultés lorsqu’il s’est agi de mettre en oeuvre les dispositions de la Loi et d’harmoniser ses politiques et ses procédures avec cette même Loi.

L’OSSNR soulève quatre sources de préoccupations. En premier lieu, le centre stratégique pour les ensembles de données est la Direction de la gestion et de l’exploitation des données (DMEX), laquelle a été récemment restructurée et renommée [**expurgé**]. L’ensemble des politiques sur les ensembles de données [**expurgé**] comprend un certain nombre de politiques ayant trait à la reconnaissance, à la collecte et à la conservation des ensembles de données visés à l’article 11.01. Bien que l’engagement à ne pas collecter les ensembles de données volés, piratés ou fuités soit codifié dans [**expurgé**], il n’existe aucune exigence correspondante qui puisse garantir que l’information contenue dans les ensembles de données accessibles au public (EDAP) ne contient aucune information pouvant susciter une attente raisonnable en matière de protection de la vie privée. D’ailleurs, cette exigence est particulièrement pertinente lorsque l’on prend en compte non seulement le marché en forte expansion des données acquises par l’intermédiaire de courtiers en données, mais aussi les risques associés à l’achat d’information disponible dans le commerce, laquelle pourrait avoir été collectée illicitement par lesdits courtiers.

En deuxième lieu, comme il en a été question plus haut, le changement de position du SCRS quant à la relation entre les ensembles de données et quant à ses pouvoirs courants de collecte a donné lieu à des écarts entre l’information qui correspond à des ensembles de données au sens de l’article 11.01 et l’information qui peut être collectée au titre de l’article 12. L’interprétation que le SCRS fait de l’applicabilité du régime des ensembles de données a été revue en 2021, soit deux ans après que les politiques régissant les ensembles de données ont été créées. De fait, l’ensemble de politiques existant correspond davantage à la position que le SCRS avait initialement. Conséquemment, l’ensemble des politiques ne s’harmonise plus avec la position actuelle du SCRS quant à l’application du régime des ensembles de données (question abordée plus haut) ni avec la structure actuelle de la Direction de [**expurgé**].

En troisième lieu, la politique [**expurgé**] avait pour objet d’orienter et d’informer les employés sur le régime des ensembles de données. Elle a également attribué la responsabilité aux [traduction] « employés qui collectent l’ensemble de données » de sorte à établir correctement l’autorisation de collecte. Cela met en évidence l’importance de la formation reçue par les employés, comme en témoignent les propos ci-dessous.

En quatrième lieu, le SCRS a élaboré une consigne provisoire visant à soutenir sa collecte d’ensembles de données au titre de l’article 12. La mise en place de cette consigne coïncide avec la volte-face sur le plan de l’interprétation et de l’opérationnalisation du régime des ensembles de données, dont il a été question plus haut, à la section 4. La consigne permet la collecte d’information électronique dont on a estimé qu’elle avait trait à une menace, mais où les informations liées à la menace et celles qui n’ont aucun lien avec cette menace sont inextricablement amalgamées. Or, la consigne ne fournit aucune information quant à ce qui constitue des informations inextricablement amalgamées, mais en permet la conservation en vase clos jusqu’à [**expurgé**], avec possibilité de prolongation. L’information n’ayant aucun lien avec la menace aurait été assujettie au régime des ensembles de données, alors que la consigne ne donne aucune indication quant aux exigences du régime des ensembles de données concernant, notamment, la collecte et la relation avec la période d’évaluation de 90 jours stipulée par le régime. Concrètement, le SCRS ne dispose d’aucun registre central pour l’information temporaire, faisant ainsi en sorte que celle-ci est enregistrée dans les lecteurs réseau partagés de l’unité sans mesures centralisées de surveillance, de contrôle des accès ou d’audit. Dans ce cas, et compte tenu de l’important roulement de personnel, des lacunes en formation sur la consigne, de l’absence de centres de responsabilités clairement définis dans la politique et de la limite [**expurgé**] qui dépasse largement le délai des 90 jours énoncé dans le régime des ensembles de données, on assiste à la création d’une situation où le SCRS risque de conserver des dépôts d’information qui, par ailleurs, seraient assujettis au régime des ensembles de données.

Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.

Recommandation no 5 : L’OSSNR recommande que le SCRS produise :

  1. des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] , qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
  2. une politique régissant le traitement de l’information éphémère.

Gestion et conservation de l’information

Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service.

Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.

Conclusion no 11 : L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN, en juillet 2019.

Conclusion no 12 : L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur.

De 2018 à 2019, le SCRS a procédé à l’inventaire de ses fonds d’information de sorte à recenser l’information assujettie aux dispositions du régime des ensembles de données – donc à la supprimer – une fois que ce régime entrerait en vigueur. Le SCRS a reconnu plusieurs catégories de rapports opérationnels contenant de l’information collectée canadienne et étrangère, et a créé des mises en garde devant être insérées dans ces rapports pour indiquer que de l’information en avait été retirée.

Concernant les ensembles de données étrangers, la haute direction du SCRS a établi quels ensembles de données étrangers seraient soumis pour autorisation. Des analystes techniques ont mené un certain nombre d’exercices sur des ensembles de données étrangers pour mettre à l’épreuve leur aptitude à reconnaître et à extraire l’information canadienne, comme l’exige le régime des ensembles de données. Ces exercices ont donné lieu à la création de plusieurs [**expurgé**] contenant les données canadiennes extraites. Ces [**expurgé**] ont ensuite été [**expurgé**] lesquels ont été stockés dans le dépôt organisationnel du SCRS. Ce faisant, le SCRS a ainsi conservé des copies de données qui auraient dû être supprimées.

D’après le Service, cette reproduction est une exigence de la politique du SCRS s’appliquant à la gestion de l’information (voir l’annexe A). Par exemple, lorsque l’interrogation d’un ensemble de données a lieu, la politique du SCRS en matière de gestion de l’information exige que l’analyste joigne les résultats de cette interrogation à un rapport qui est ensuite enregistré dans le système opérationnel. Les analystes sont également tenus d’enregistrer une copie de ce rapport et des fichiers joints dans [**expurgé**], le dépôt organisationnel du SCRS. Il s’agit là d’éléments qui sont à l’origine des problèmes de conformité. De plus, ces problèmes rendent encore plus difficile la suppression de l’information lorsque des incidents de conformité ont lieu ou lorsque le SCRS a conservé de l’information qui n’est pas strictement nécessaire. Des exemples additionnels de duplication des données sont fournis en annexe A.

Le 5 septembre 2019, le SCRS a assuré le Ministre qu’il [traduction] « avait engagé d’importantes mesures pour garantir la conformité au cadre régissant les ensembles de données, lequel découlait du projet de loi C-59 et devait bientôt entrer en vigueur », et que [traduction] « en conséquence de cet exercice, nombre d’ensembles de données canadiens et étrangers ont été jugés comme ne respectant pas le critère permettant la conservation au titre de l’article 12 ou celui permettant la conservation suivant le critère minimal de la "probabilité d’aider" au titre du nouveau cadre des ensembles de données. Ces ensembles de données ont donc été détruits avant l’entrée en vigueur ». En septembre 2021, le SCRS a affirmé à l’OSSNR que tous les ensembles de données étrangers qui n’avaient pas été soumis au directeur pour autorisation avaient été détruits ».

En [**expurgé**], un ex-employé de la DMEX a découvert [**expurgé**] contenant un ensemble de données étranger qui avait été collecté avant l’entrée en vigueur du régime des ensembles de données et avait ensuite fait l’objet d’une demande d’autorisation ministérielle. [**expurgé**] contenait l’intégralité de l’ensemble de données dans son état d’avant l’évaluation, y compris de l’information canadienne. En [**expurgé**] un autre employé de la DMEX a découvert, dans un [**expurgé**] dont l’accès était réservé aux employés désignés, de l’information canadienne ayant été extraite d’ensembles de données étrangers. Ces documents contenaient de l’information canadienne et des échantillons d’information étrangère tirés de [**expurgé**] ensembles de données étrangers, dont [**expurgé**] étaient en attente d’une autorisation ministérielle, [**expurgé**] avait déjà été approuvé par le CR et ont été intégralement détruits avant l’entrée en vigueur du régime. Le SCRS a détruit cette information puisqu’elle était conservée illicitement.

Ces incidents ont incité la DMEX à réaliser un examen de dossiers [traduction] « afin d’établir les étapes qu’il conviendra de suivre en prévision de l’entrée en vigueur de la LSN ainsi que les correctifs qui pourraient s’imposer. Bien que des employés aient été chargés de supprimer les ensembles de données pour lesquels aucune autorisation de conservation ne serait demandée en vue de l’entrée en vigueur de la LSN en juillet 2019, aucune démarche n’a été engagée pour demander aux employés de repérer et détruire les autres copies d’ensembles de données et de retirer tout document canadien ou autre de ces ensembles de données avant l’entrée en vigueur de la LSN ou pendant la période d’évaluation de 90 jours qui devait suivre53 ». La DMEX a ensuite demandé aux employés de [traduction] « procéder à une recherche approfondie dans [**expurgé**] ». À la suite de ces recherches, on a trouvé une quantité importante d’information canadienne et étrangère, notamment, de l’information ayant trait à l’ensemble de données sur les [**expurgé**], dont il est question plus loin. La DMEX a signalé ces incidents de conformité à la Direction des examens et de la conformité du SCRS en lui soumettant un rapport d’enquête avec des documents à l’appui. Les observations finales du rapport indiquent qu’un effort « digne d’éloges » a été réalisé pour repérer les données résiduelles, bien qu’en [**expurgé**] ».

En octobre 2022, l’OSSNR a mené des recherches dans les registres organisationnels du SCRS et a trouvé [**expurgé**] dossiers contenant des dizaines de milliers d’entrées comportant des renseignements personnels canadiens tirés de [**expurgé**] ensembles de données étrangers, notamment, de l’information extraite d’ensembles de données qui ont été détruits, approuvés par le CR et en attente d’une autorisation. Les dossiers contenaient également de l’information étrangère. L’information canadienne avait été extraite dans le cadre de l’exercice visant à préparer l’entrée en vigueur de la Loi et aurait dû être détruite.

L’OSSNR a cherché à savoir pourquoi ces dossiers contenant de l’information canadienne principalement extraite à partir d’ensembles de données étrangers détruits se trouvaient toujours dans le registre organisationnel du SCRS et dans quelle mesure l’autorisation légale justifiant leur conservation était valide. Le SCRS n’a pas fourni d’explication valable pour expliquer la non-conformité à la loi. En l’occurrence, le Service a simplement indiqué que l’information faisait partie d’un projet en vue de l’entrée en vigueur du régime des ensembles de données et que :

[Traduction] « ces documents canadiens continuent d’exister dans le dossier enregistré [PA pour PutAway] même si les ensembles de données [**expurgé**] originaux ont tous été détruits ou isolés en attente d’une autorisation ministérielle. À cette époque, bien que contraires aux obligations actuelles (depuis juin 2019) au titre de l’article 11, ce travail et cette conservation auraient été exécutés en vertu (implicitement) des autorisations visées à l’article 12. Comme ce cas est antérieur à l’entrée en vigueur du cadre régissant les ensembles de données, nous ne savons pas précisément s’il pose un risque juridique ou un risque de conformité. [**expurgé**]

Le SCRS a indiqué que les documents avaient été conservés [traduction] « de façon appropriée, en cette période antérieure à C-59, au titre des autorisations implicites visées à l’article 1259 ». On ignore comment le SCRS établit la distinction entre l’information trouvée par l’OSSNR et celle – comme l’indique le paragraphe 55 plus haut – que la DMEX a découverte en [**expurgé**]. Au mois d’août 2023, l’information découverte par l’OSSNR en octobre 2022, laquelle contenait des données canadiennes et étrangères, était conservée par le SCRS en contravention aux obligations qui incombent au Service en vertu des dispositions de la Loi sur le SCRS pour ce qui touche les ensembles de données.

L’OSSNR a également cherché des rapports opérationnels qui, avant l’entrée en vigueur du régime des ensembles de données, avaient été reconnus comme comportant des informations s’assimilant à des ensembles de données canadiens. L’OSSNR a trouvé nombre de rapports dont l’information avait été supprimée et auxquels on avait ajouté une mise en garde. Toutefois, l’OSSNR a découvert [**expurgé**] rapport ayant trait à l’ensemble de données sur [**expurgé**], lequel contenait le [**expurgé**]. Il convient de noter que le rapport opérationnel en question n’a pas été mis à l’écart; il était plutôt accessible à tous les utilisateurs du système et a même été cité en référence dans un rapport produit récemment, soit en août 2022. En l’occurrence, il s’agit là de l’interrogation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.

L’OSSNR a demandé au SCRS de faire état des autorisations en vertu desquelles il conservait cette information. Le SCRS a d’abord répondu qu’il n’était pas en mesure de trouver le rapport, puisqu’il avait été détruit63. Peu après, le SCRS a indiqué qu’il avait trouvé ledit rapport et qu’il traitait le dossier en tant qu’incident de conformité64. En cherchant de nouveau dans le système opérationnel, l’OSSNR a découvert un autre rapport contenant [**expurgé**]. Les deux rapports découverts par l’OSSNR contenaient de l’information qui, par ailleurs, s’assimilerait à un ensemble de données canadien, [**expurgé**]. En conservant cette information canadienne, le SCRS contrevenait aux obligations légales qui lui incombaient en vertu des dispositions de la Loi sur le SCRS s’appliquant au régime des ensembles de données.

L’information non conforme trouvée par l’OSSNR (information canadienne et étrangère provenant d’ensembles de données étrangers; information canadienne figurant dans des rapports opérationnels) a été découverte après le balayage initial effectué antérieurement à C-59 par le SCRS sur les fonds d’information et signalé au Ministre, mais après la [traduction] « recherche approfondie dans tous les fonds d’information personnelle et partagée » effectuée en raison de l’incident de conformité de 2022. Le SCRS n’a pas balayé en profondeur tous ses systèmes pour relever l’information assujettie au régime des ensembles de données, de sorte que cette information soit traitée conformément aux dispositions en vigueur.

Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.

Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

Recommandation no 8 : L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.

Affectation des ressources et formation

Formation

Conclusion no 13 : L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation.

Conclusion no 14 : L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.

Avant l’entrée en vigueur de la LSN et, notamment, du régime des ensembles de données, le SCRS avait élaboré et mis en place une formation spécialisée pour les employés appelés à être désignés au titre du paragraphe 11.06(1) de la Loi sur le SCRS, ainsi qu’une formation obligatoire destinée à tous les employés de la sphère opérationnelle concernant le projet de loi C-59. Le SCRS avait également élaboré et offert un certain nombre de présentations aux directeurs adjoints, aux gestionnaires, au personnel des directions concernées, aux employés d’autres ministères fédéraux et au personnel juridique de la Cour fédérale. Cette série de formations et de présentations correspond à la position initiale du SCRS, dont nous avons discuté précédemment, concernant l’applicabilité du régime des ensembles de données.

Le SCRS offre actuellement deux formations obligatoires pour la désignation des employés. Ces formations mettent l’accent sur la distinction entre l’information « strictement nécessaire » au titre de l’article 12 et ce qui peut être collecté en respectant le critère minimal de la « probabilité d’aider » stipulée par le régime des ensembles de données. Les formations incitent l’employé à approfondir sa connaissance des procédures opérationnelles normalisées et des exigences liées au régime. La formation en ligne ne constitue possiblement pas la formule idéale, mais il faut savoir que les contenus de formation ainsi que la combinaison de questions axées sur les normes et sur les scénarios ont donné aux employés des instructions claires quant au régime et à ses exigences.

Comme il a été dit plus haut, le SCRS a aussi mis en place une formation obligatoire pour tout le personnel opérationnel. Le SCRS a conçu la majeure partie de la formation sur le régime des ensembles de données avant et immédiatement après l’entrée en vigueur de la LSN. Comme nous l’avons dit à la section 4 du présent rapport, on a noté un changement dans la façon dont le SCRS comprend ses obligations légales au titre du régime et dans la manière dont il perçoit et applique ces obligations. Par conséquent, la formation que le personnel opérationnel n’a été tenu de suivre qu’une seule fois en 2019 ne correspond plus et pourrait même s’avérer contraire à la façon dont le SCRS opérationnalise et applique désormais le régime.

De plus, le peu de formation qui est reçue par le personnel opérationnel ne permet pas aux responsables de la collecte d’établir quelles informations constituent un ensemble de données, bien qu’on les tienne responsables d’établir cette distinction. Conséquemment, les personnes qui travaillent à la collecte de volumes massifs d’information n’ont ni la formation ni la connaissance requises pour exercer leurs fonctions adéquatement.

Quant aux agents de renseignement, le SCRS a préparé une présentation sur le régime des ensembles de données devant faire partie du [**expurgé**] cette formation obligatoire offerte aux agents de renseignement au cours des premières années de carrière [**expurgé**] . À l’origine, lorsque le SCRS a instauré le programme de formation, les employés devaient travailler en groupes dans le cadre d’une série d’ateliers au cours desquels ils étaient appelés à reconnaître les caractéristiques des ensembles de données au sens de l’article 11.01, à savoir en quoi ceux-ci se distinguent des ensembles de données au sens de l’article 12 et à établir la correspondance entre les ensembles de données canadiens et ceux qui font partie des catégories approuvées. Cette formation a été offerte sous forme de cours dirigé par un instructeur jusqu’au mois de mars 2020, après quoi le SCRS a retiré la partie atelier à l’occasion d’une mise à jour du programme de formation, ce qui a éliminé de facto tous les sujets et les exercices axés sur des scénarios. Bien que le SCRS ait indiqué à l’OSSNR qu’il était en train de mettre le programme à jour, la formation actuellement offerte ne donne que peu d’éléments qui permettent aux responsables de la collecte d’établir la distinction entre les ensembles de données au sens de l’article 11.01 et l’information visée à l’article 12.

L’OSSNR conclut que l’approche selon laquelle le personnel concerné ne suit qu’une seule fois la formation sur les ensembles de données a fait en sorte que les employés disposent d’une connaissance et d’une compréhension lacunaires du régime des ensembles. Le SCRS devrait intensifier ses efforts ayant pour but de sensibiliser les responsables de la collecte aux exigences et aux particularités du régime des ensembles de données et encourager ces responsables à prendre contact avec la direction responsable de l’exploitation des données en cas de doute.

Recommandation no 9 : L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.

Affectation des ressources

Conclusion no 15 : L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.

Conclusion no 16 : L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données.

Lors d’examens réalisés antérieurement par l’OSSNR, on a constaté que les questions liées à la formation et à l’affectation des ressources se manifestaient fréquemment en même temps et avaient un lien avec l’engagement d’une organisation à l’égard d’un programme ou d’une direction en particulier. En avril et en novembre 2022, le SCRS a informé l’OSSNR que le Centre d’analyse des données opérationnelles (CADO) – qui faisait partie de la DMEX et était responsable de la mise en oeuvre technique du régime des ensembles de données, notamment de l’ingestion, de l’interrogation et de l’exploitation des ensembles de données – affichait des taux de vacance de [**expurgé**] respectivement.

En 2020, aucun employé n’a été désigné pour l’interrogation ou l’exploitation des ensembles de données malgré l’autorisation et l’approbation du premier ensemble de données étranger. L’approche que le SCRS préconise pour veiller à disposer de personnes qui ont été désignées et juridiquement aptes à interroger et exploiter l’information était principalement réactive. Dans un rapport de vérification de 2020 remis à l’OSSNR, le SCRS indiquait que le premier ensemble de données étranger avait été autorisé par le directeur et approuvé par le CR, quoique [traduction] « il n’y avait aucun employé qui ait été désigné pour les interrogations d’exploitation des ensembles de données canadiens ou étrangers au titre de l’article 11.

Conséquemment, aucune interrogation ni aucune exploitation » de l’ensemble de données n’a eu lieu. Le fait que le SCRS a envoyé sa première autorisation au CR sans avoir affecté de ressources à sa sous-section spécialisée et sans avoir permis à celle-ci de mener les interrogations et les exploitations potentiellement requises sur les ensembles de données est assez révélateur [**expurgé**] ans se sont écoulés avant que le SCRS soit en mesure de désigner un employé pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens. Hormis les interrogations menées en vertu de situations urgentes, aucune autre interrogation n’a été effectuée en 2021.

En novembre 2022, le SCRS a fait part de ses préoccupations voulant que la période d’évaluation de 90 jours stipulée dans la Loi soit trop contraignante et qu’elle ait souvent fait manquer des occasions de procéder à des collectes d’information. [**expurgé**]. Au fil de la discussion, l’OSSNR a appris [**expurgé**]. De même, en 2023, l’OSSNR a de nouveau appris que le SCRS n’avait pas été en mesure de composer en fonction des paramètres stipulés par la loi en vigueur. En l’occurrence, le SCRS pouvait compter sur un surcroît de ressources qu’il a pourtant choisi d’affecter à la collecte au titre de [**expurgé**] plutôt qu’à l’application du régime des ensembles de données.

Or, il faut savoir qu’aux difficultés liées à l’affectation des ressources s’ajoutent celles qui ont trait à l’actuel écosystème technique du SCRS. Le cycle de vie d’un ensemble de données fait intervenir une diversité d’outils et de systèmes numériques, [**expurgé**]. De plus, ces outils et systèmes ne peuvent être personnalisés et entretenus que par du personnel spécialisé dans un domaine technique. L’accumulation de ces facteurs a donné lieu à une situation où les employés de la DMEX ne disposent que d’un nombre limité d’options lorsqu’il s’agit d’exploiter les données, ce qui a une incidence sur l’utilité des trois catégories d’ensemble de données. D’après les séances d’information et les démonstrations fournies par des d’experts techniques, il apparaît évident que les systèmes actuels ne sont pas conçus pour que les volumes massifs de données soient traités conformément aux prescriptions.

Recommandation no 10 : L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.

Recommandation no 11 : L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.

Étude de cas : [**expurgé**]

Conclusion no 17 : L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires.

Renseignements généraux

[**expurgé**]

[**expurgé**]

Le [**expurgé**], le SCRS a envoyé un mémoire au Bureau du Conseil privé et à Sécurité publique faisant état de l’information contenue dans [**expurgé**]

CSIS [**redacted**]. The brief discusses the possibility of collecting the dataset under section 11, utilizing the 90-day evaluation period to assess whether it is a publicly available or Canadian dataset, and “if retaining and using the dataset for analysis will help ensure the security of Canada.”

The following day, [**redacted**].

[**expurgé**] le directeur général de la Direction de la gestion et de l’exploitation des données ainsi que le directeur général [**expurgé**] ont corédigé un mémoire présenté à la sous-directrice des Opérations (SDO) pour demander l’autorisation de collecter [**expurgé**] au titre de l’article 12 de la Loi sur le SCRS. Le mémoire contient un résumé de [**expurgé**] Le mémoire fait état des préoccupations exprimées par [**expurgé**] concernant [**expurgé**]

Certes, le mémoire fait part du contenu de l’ensemble de données tel qu’il est décrit [**expurgé**] mais en revanche, il omet de mentionner que [**expurgé**] permis de conclure que la base de données [**expurgé**] probablement été volées.

À la réception du mémoire, la SDO a demandé [**expurgé**] ». Dans sa réponse, la SDO exprime ses réserves en expliquant que [**expurgé**] trouvé aucun indice montrant que [**expurgé**]. En outre, la SDO a indiqué qu’elle admettrait volontiers que l’information [traduction] « pourrait en effet faciliter » le déroulement de l’enquête du SCRS, mais aussi que même si aucun indice ne prouve qu’il y aurait [**expurgé**] [traduction] « il est plus probable qu’improbable » qu’il s’agit là du type d’information qui [traduction] « susciterait [**expurgé**] intérêt ». C’est [**expurgé**] que la SDO a approuvé la collecte au titre de l’article 12. C’est ensuite, [**expurgé**] que le SCRS a reçu [**expurgé**] puis ingéré [**expurgé**] canadienne [**expurgé**]. .

[**expurgé**] On ne sait trop comment cette évaluation a été réalisée. En l’occurrence, elle ne correspond pas à l’analyse que le SCRS a faite de [**expurgé**], laquelle avait servi à préparer un rapport de cas que le SCRS a communiqué à des partenaires gouvernementaux. En outre, le rapport stipule que [traduction] « la part de l’ensemble de données qui a trait à des Canadiens semble [**expurgé**] ». D’ailleurs, le mémoire indique que [traduction] [**expurgé**] ». Or, il convient de noter qu’après la communication du mémoire d’analyse de cas, le SCRS n’a réalisé aucune autre analyse de renseignement ni aucun rapport concernant l’ensemble de données.

Analyse

Lorsque le SCRS a appris l’existence [**expurgé**], les discussions se sont initialement concentrées sur la collecte potentielle d’information au titre du régime des ensembles de données et sur la période d’évaluation de 90 jours en vue d’établir la portée de l’ensemble de données et de savoir s’il s’agissait d’un ensemble de données canadien, étranger ou accessible au public. Or, l’OSSNR ne sait toujours rien du pourquoi ni du comment la discussion a fini par se concentrer plutôt sur la collecte au titre de l’article 12.

Au moment de la collecte, le SCRS ne disposait que d’une information limitée qui, de surcroît, comportait des éléments contradictoires. [**expurgé**] Malheureusement, cette information n’a pas été présentée dans son intégralité à la SDO, lorsqu’il s’est agi de demander une approbation pour la collecte au titre de l’article 12.

L’article 12 de la Loi sur le SCRS stipule que « [l]e Service recueille, au moyen d’enquêtes ou autrement, dans la mesure strictement nécessaire, et analyse et conserve les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu’elles constituent des menaces envers la sécurité du Canada ». Le critère minimal à respecter est le motif raisonnable de soupçonner. Or, la Cour suprême du Canada a défini la norme des « soupçons raisonnables » comme étant « plus que de simples soupçons, mais ils ne correspondent pas à une croyance fondée sur des motifs raisonnables et probables. » Il s’agit « d’une norme solide, qui appelle la prise en compte de l’ensemble des circonstances, en fonction de faits objectivement vérifiables ».

En appliquant au présent cas la jurisprudence de la Cour suprême du Canada qui s’appuie sur la norme des soupçons raisonnables, le SCRS n’a fourni ni preuve ni renseignement pouvant montrer que l’information [**expurgé**] . Dans son outil d’analyse, [**expurgé**]. Or, l’OSSNR n’a trouvé aucune preuve étayant cette affirmation au moment de la collecte, et le SCRS n’a pas été en mesure d’exposer le raisonnement qui l’a conduit à cette conclusion. C’est donc dire qu’il n’y avait aucun signe évident pour soutenir la thèse selon laquelle l’ensemble de données était effectivement lié à une menace envers la sécurité du Canada. En effet, les explications fournies par le SCRS à l’OSSNR ainsi que les documents écrits mettent plutôt l’accent sur l’utilité potentielle de l’information [**expurgé**].

Pour sa part, le SCRS n’a réalisé aucune évaluation préliminaire de l’ensemble de données, puisqu’il n’y avait pas accès. [**expurgé**] disait [**expurgé**] probablement été « volées ». Or, aucune analyse ne s’est penchée ni sur l’incidence de la collecte sur la vie privée ni sur la question à savoir si la collecte de l’ensemble de données au titre de l’article 12 aurait pu nécessiter la délivrance d’un mandat.

Au moment de collecter l’information, le SCRS a analysé l’ensemble de données. Or, il convient de rappeler que cette intervention se résume à une exploitation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.

[**expurgé**] la Direction de la gestion et de l’exploitation des données a fait appel [**expurgé**] pour en savoir davantage quant à la conservation de l’ensemble de données par rapport aux exigences de la politique.

[**expurgé**] ». Or, cette déclaration prend le contrepied de l’évaluation que le SCRS avait lui-même faite de l’ensemble de données, laquelle indiquait que [traduction] [**expurgé**] ». Ensuite, il justifie la conservation en notant que [traduction] [**expurgé**].

Il suffit de consulter un dictionnaire pour constater que les mots « strictement nécessaire » énoncés à l’article 12 de la Loi sur le SCRS disent que l’information doit être « absolument » « indispensable ». Toutefois, dans sa justification, le SCRS n’a pas montré de quelle façon l’information contenue dans l’ensemble de données s’avérait indispensable à son enquête. On offre plutôt un argument du type « au cas où » qui signifie qu’il est important de conserver l’information dans la mesure où elle pourrait éventuellement servir à effectuer des analyses de tendance en matière de ciblage. En définitive, cette justification peut très bien répondre à un critère de type « pourrait probablement aider », mais ne répond absolument pas au critère de la mesure strictement nécessaire.

Le SCRS a avisé l’OSSNR que [**expurgé**] aucune décision n’avait été prise concernant la conservation de l’ensemble de données. L’OSSNR a également appris que s’il advenait qu’un autre ensemble de données pertinent ou de l’information connexe devaient se présenter, [**expurgé**]. L’ensemble de données est actuellement enregistré dans un lecteur réseau partagé dont l’accès est contrôlé. Toutefois, aucune mesure n’a été mise en place pour empêcher qu’il soit copié ou déplacé vers un autre emplacement.

Recommandation no 12 : L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

Conclusion

Dans la version classifiée de son Rapport annuel destiné au Ministre, le SCRS a indiqué ce qui suit : « Les obstacles relatifs tant aux demandes habituelles qu’aux demandes présentées en situation d’urgence mènent à une conclusion claire : le régime sous sa forme actuelle ne permet pas de gérer, dans toute sa diversité, la quantité de données nécessaires à l’établissement d’un programme d’analyse rigoureux et durable dans le respect des mesures de contrôle et de surveillance prévues par le législateur. »

Ayant pris une part considérable dans l’élaboration du régime, le SCRS était bien placé pour élaborer les politiques et les procédures appelées à régir la collecte, l’évaluation, l’interrogation, l’exploitation et la vérification des ensembles de données. Or, l’OSSNR s’attendait à trouver une application du régime des ensembles de données qui soit mieux établie et plus conforme.

Tel qu’il a été indiqué dans le présent rapport, le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. Certes, le régime est complexe, mais le SCRS n’a pas cherché à apporter des éclaircissements quant aux ambiguïtés juridiques [**expurgé**] de l’application du régime à la Cour lorsqu’il en a eu l’occasion. En l’occurrence, le SCRS a adopté divers points de vue quant à l’application du régime des ensembles de données, risquant ainsi de réduire à un simple mécanisme de conservation ce qui en réalité constitue un régime de collecte et de conservation. En interne, le SCRS n’a pas consacré suffisamment de ressources pour garantir la conformité aux dispositions du régime. Ce constat est en outre des incidents de conformité signalés dans le présent rapport et prend en compte les lacunes sur le plan des systèmes et le manque d’experts consacrés au traitement et à l’exploitation des volumes massifs de données. Le SCRS n’a pas non plus été en mesure d’affecter des ressources adéquates aux formations destinées à ses employés pour les sensibiliser aux exigences découlant du régime. Sans une formation appropriée et en l’absence d’un engagement interne à fournir les ressources et le soutien nécessaires, l’instauration d’un nouveau régime, y compris celui qui nous concerne ici, sera vouée à l’échec même si d’aucuns l’estiment parfaitement adapté aux circonstances.

Recommandation no 13 : L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.

ANNEXE A : Considérations d’ordre technique liées au cycle de vie des ensembles de données canadiens et étrangers

La présente annexe décrit les processus techniques et les systèmes investis dans l’identification, la collecte, l’évaluation, la conservation, l’interrogation, l’exploitation, l’ingestion et la destruction des ensembles de données au titre de l’article 11.01. De fait, le SCRS a recours à des processus et à des systèmes semblables pour tous les ensembles de données canadiens et étrangers. La description des processus techniques et systèmes que nous présentons ci-après et qui a trait au cycle de vie des ensembles de données au titre de l’article 11.01 s’inspire des séances d’information offertes par le SCRS le 12 mai 2022 et le 3 octobre 2022116, d’une démonstration technique présentée le 1er novembre 2022 ainsi que de l’ensemble des politiques régissant la collecte, l’évaluation et la conservation des ensembles de données au titre de l’article 11.01. En outre, la présente annexe a pour objet de présenter les processus et les systèmes qui ont été employés jusqu’à la fin de la période visée par le présent examen.

Comme la notion d’ensemble de données est définie à l’article 2 de la Loi sur le SCRS comme étant un « ensemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun », on ne peut que conclure que la portée et l’étendue de ce qui constitue un « ensemble de données » sont considérables. Certains des défis techniques que le SCRS a rencontrés relativement aux ensembles de données tiennent à la diversité des types de données [**expurgé**] et des volumes de fichiers [**expurgé**] qui composent un « ensemble de données ».

Le SCRS reconnaît que [traduction] « même s’ils sont complets, ces systèmes complexes posent certains risques résiduels. En outre, ils sont exploités manuellement, ils sont exigeants en termes de ressources et ils peuvent produire des erreurs. Par conséquent, ils reflètent la complexité du régime des ensembles de données et offrent peu sur le plan de la résilience et de l’adaptabilité ».

Reconnaissance et collecte

Les ensembles de données au titre de l’article 11.01 peuvent être reconnus et recueillis de diverses façons. Par exemple, les employés du Service peuvent recevoir des ensembles de données de la part de partenaires nationaux et internationaux ou d’informateurs dans des courriels, dans des clés USB, dans des disques durs externes ou dans d’autres supports de stockage de données. Les employés du SCRS peuvent [**expurgé**] tomber sur un ensemble de données pendant qu’ils font des recherches dans l’Internet [**expurgé**]. Ces divers processus impliquent une multiplicité de processus techniques et de systèmes dépendamment des moyens ayant permis la reconnaissance et la collecte des ensembles de données, de l’emplacement de ces ensembles, et des personnes dont les renseignements figurent dans les ensembles en question.

Évaluation

La DMEX a centralisé le processus d’évaluation des ensembles de données au titre de l’article 11.01. En outre, l’un des employés désignés de la DMEX doit évaluer l’ensemble de données dans les 90 jours de la collecte initiale. Pendant ces 90 jours, un employé désigné doit établir si l’ensemble de données répond aux critères de conservation s’appliquant aux ensembles de données canadiens ou aux ensembles de données étrangers. Les processus techniques et les systèmes impliqués dans la phase d’évaluation peuvent varier en fonction du format, de la taille et de l’emplacement de l’ensemble de données.[**expurgé**] Chaque ensemble de données doit être évalué au moyen de techniques et d’outils adaptés à ces caractéristiques. Lorsque le SCRS collecte plusieurs versions d’un même ensemble de données, la DMEX doit veiller à ce que toutes les autres copies de l’ensemble de données aient été supprimées des systèmes du Service.

Lorsque le résultat d’évaluation incite la DMEX à tenter de conserver un ensemble de données canadien ou étranger, le SCRS doit soumettre une demande d’approbation et une demande d’autorisation123. Les systèmes et les programmes employés pour préparer le matériel qu’il faut soumettre aux fins d’approbation et d’autorisation donnent souvent lieu à la création d’une documentation substantielle (p. ex. mémoires, notes d’information et affidavits préparés à l’aide des logiciels Word ou Excel de Microsoft) qui sert à décrire les ensembles de données. Dans certains cas, les copies ou les sous-ensembles d’information issus des ensembles de données sont inclus dans le matériel soumis pour approbation et pour autorisation.

Pour gérer et suivre le processus d’évaluation d’un ensemble de données, [**expurgé**], un système d’enregistrement et de suivi des demandes (tickets). Pour chacun des ensembles de données évalués, la DMEX [**expurgé**].

Conservation et ingestion

Une fois que la conservation d’un ensemble de données canadien ou étranger a été approuvée, cet ensemble est ingéré dans le [**expurgé**], le dont le SCRS [**expurgé**]. au SCRS de stocker et combiner ses informations opérationnelles et ses ensembles de données, d’appliquer des contrôles de l’accès à ces informations et d’exécuter toutes les tâches de journalisation de sécurité requises.

L’accès à l’information ingérée [**expurgé**] est contrôlé au moyen d’attributs qui établissent des liens entre ladite information et [**expurgé**] du SCRS. [**expurgé**] pour les employés désignés qui évaluent un ensemble de données et [**expurgé**] pour les employés désignés appelés à interroger et à exploiter les ensembles de données conservés. Nul autre employé ne peut accéder aux ensembles de données.

Lorsque des employés accèdent aux ensembles de données, le SCRS emploie [**expurgé**] pour collecter et indexer de l’information sur les tâches qu’ils exécutent. Le SCRS [**expurgé**].

Interrogation et exploitation

[**figure expurgée**]

Figure 1: Logique des [**expurgé**] pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens

Seuls les employés désignés peuvent interroger et exploiter les ensembles de données canadiens ou étrangers, et la DMEX a centralisé ces processus. Lorsqu’il souhaite interroger un ensemble de données au titre de l’article 11.01 en guise d’appui à une enquête, l’employé du Service doit soumettre à la DMEX [**expurgé**]. Parallèlement à cette demande, [**expurgé**]. L’information fournie dans chacun des [**expurgé**] sert notamment à choisir la justification qui s’impose lorsqu’un analyste désigné de la DMEX applique les mesures d’interrogation ou d’exploitation par l’intermédiaire [**expurgé**].

Lorsque l’analyste de la DMEX trouve des résultats à la suite des interrogations ou des exploitations, il enregistre [**expurgé**]. Il doit ensuite prendre contact, [**expurgé**]. Cette série de procédures manuelles crée plusieurs copies de données brutes provenant des ensembles de données, lesquelles copies peuvent être conservées accidentellement sur le poste de travail d’un employé du Service ou dans l’un de ses courriels envoyés ou reçus.

Les données sont cloisonnées (art. 12, art. 15, art. 16, art. 17) selon [**expurgé**] de l’enquête et conservées conformément aux règles correspondantes du [**expurgé**].

[**expurgé**], le registre organisationnel du SCRS. Cette démarche mène de nouveau à la duplication, dans l’écosystème du SCRS, de données brutes provenant d’ensembles de données au titre de l’article 11.01.

Destruction

Lorsqu’ils sont initialement ingérés dans [**expurgé**] les ensembles de données sont assujettis à une période de conservation établie selon que ces ensembles de données sont canadiens ou étrangers. Une fois que la période de conservation est échue, [**expurgé**].

ANNEXE B : Séances d’information et entrevues

Date Sujet
Séance d’information
17 février 2021 Ensembles de données accessibles au public.
9 septembre 2021 Ensembles de données étrangers.
22 avril 2022 Régime des ensembles de données du SCRS.
12 mai 2022 [**expurgé**] l’évaluation, l’interrogation, l’exploitation et la conservation des ensembles de données canadiens et étrangers ainsi qu’à la production de rapports connexes.
3 octobre 2022 [**expurgé**]
1er novembre 2022 Démonstration technique sur les systèmes liés aux ensembles de données.
[**expurgé**] Séance d’information sur une étude de cas.
6 juin 2023 [**expurgé**]
Entrevue
18 août 2022 Ensemble de données canadien.
6 septembre 2022 Ensemble de données canadien.
14 octobre 2022 Ensemble de données canadien.
21 octobre 2022 Ensemble de données canadien.

ANNEXE C : Conclusions et recommandations

Conclusion no1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif. Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.
Conclusion no2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
Conclusion no3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.
Conclusion no4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12. Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.
Conclusion no 5 : L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS). Recommandation no 3 : L’OSSNR recommande que le législateur légifère sur un délai prescrit pour l’autorisation d’un ensemble de données étranger par le Ministre ou la personne désignée.
Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée. Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.
Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données. Recommandation no 5 : L’OSSNR recommande que le SCRS élabore :
  • des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
  • une politique régissant le traitement de l’information éphémère.
Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service. Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.
Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données. Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Finding 11: L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN (2017), en juillet 2019.
Finding 12: L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur. Recommendation 8: L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.
Finding 13: L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation. Recommendation 9: L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.
Finding 14: L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.
Finding 15: L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. Recommendation 10: L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Finding 16: L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données. Recommendation 11: L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.
Finding 17: L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires. Recommendation 12: L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Recommendation 13: L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.

Share this page
Date de modification :

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes

Examens Terminés

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes


Date de publication :

Sommaire

Le présent examen s’est penché sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC), notamment, sur la façon dont les recherches axées sur les technologies de l’information (TI) ont été menées pour appuyer les enquêtes de contre-ingérence (CI). L’examen a permis d’établir si les recherches axées sur les TI et la collecte d’information ayant pour objet d’appuyer les enquêtes de CI avaient porté atteinte à l’attente raisonnable qu’une personne peut avoir en matière de respect de la vie privée.

En cours d’examen, l’OSSNR a reconnu trois (3) aspects qui semblent préoccupants s’agissant des demandes et des activités de recherche de renseignements de CI axées sur les réseaux informatiques. En l’occurrence, ces demandes et ces activités se divisent en trois catégories : 1) les recherches de l’UNCIFC visant les courriels d’un sujet ainsi que les activités de celui-ci dans Internet ou sur des supports amovibles; 2) la liste de vérification que l’UNCIFC emploie pour reconnaître, mais aussi pour restreindre les paramètres de recherche ainsi que pour établir la façon dont les intervenants concernés définissent lesdits paramètres de recherche; et 3) la façon dont l’acquisition d’information est exploitée pour étendre la portée de recherches ultérieures.

Les employés du MDN ainsi que les militaires des FAC peuvent raisonnablement s’attendre à ce que leur vie privée soit protégée lorsqu’ils se servent des ressources informatiques à des fins personnelles. [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]. De fait, l’OSSNR conclut que l’UNCIFC pourrait tenir erronément pour acquis que les politiques du MDN/FAC autorisent légalement les mesures contraires à l’attente raisonnable qu’un sujet peut avoir en matière de protection de la vie privée.

L’OSSNR a noté que la liste de vérification introduisait le risque de capter des renseignements personnels, voire intimes qui sont constitutifs du coeur des renseignements biographiques d’un sujet. En l’occurrence, l’OSSNR estime que l’application de la liste de vérification pose un risque de captation de renseignements censés être protégés au titre de l’article 8 de la Charte canadienne des droits et libertés (la Charte). L’OSSNR est également d’avis que le MDN/FAC s’appuie sur une définition de la notion de métadonnées qui englobe les renseignements par rapport auxquels on serait pourtant en droit d’avoir des attentes raisonnables en matière de respect de la vie privée.

L’OSSNR a également noté que l’UNCIFC effectuait ses recherches axées sur les TI en fonction de paramètres suffisamment généraux pour correspondre à des informations qui pourraient n’avoir aucun lien avec l’enquête à mener. En outre, ces paramètres étaient appliqués suivant des approbations générales ne faisant état d’aucun contrôle interne particulier ni d’aucun suivi sur le plan des opérations ou au niveau des opérateurs. Compte tenu, entre autres, des limites caractérisant les outils de vérification des TI et de la sélection de paramètres de recherche généraux, force est de constater que les techniques de collecte finissent par ratisser trop large. D’ailleurs, l’OSSNR conclut que les pratiques d’enquête exercées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**] que lesdites pratiques ne sont pas assujetties à un encadrement qui permette de garantir le plus faible niveau d’intrusion possible.

En conséquence de ces conclusions, l’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête visant les systèmes de TI dans le contexte d’enquête de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi. De plus, une fois qu’un fondement juridique aura été posé, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde auxdites conclusions.

Dans la foulée de son Rapport annuel 2020 de l’OSSNR – lequel mettait l’accent sur l’adoption d’une approche visant à « faire confiance, mais [aussi à] vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR a travaillé avec le MDN/FAC pour concevoir une démarche favorisant les « accès par la voie d’un intermédiaire » (proxy access), c’est-à-dire une approche faisant intervenir un intermédiaire issu du ministère, qui accéderait aux dépôts d’information en présence d’un membre du personnel de l’OSSNR et qui pourrait examiner les informations pertinentes qui se trouvent dans le système. Le MDN/FAC s’est dit d’accord, en principe, avec ce type d’accès. Toutefois, compte tenu de la disparité des nombreuses bases de données pouvant se prêter aux recherches de CI, il y avait lieu de conclure que cette initiative ne pourrait pas être mise en oeuvre pendant le déroulement du présent examen. Néanmoins, l’information fournie par le MDN/FAC a été vérifiée en toute indépendance par l’OSSNR, par le biais d’une analyse documentaire et de réunions avec les experts du MDN/FAC. Des travaux collaboratifs sont toujours en cours afin de poursuivre l’élaboration d’un modèle d’accès devant s’appliquer à la vérification indépendante de divers type d’information.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées à l’alinéa 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Mise en contexte de l’examen

En juillet 2019, est entrée en vigueur la Loi sur l’OSSNR qui prévoyait la création de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR). En outre, le mandat organisationnel chargeait l’OSSNR d’examiner un vaste éventail d’activités réalisées dans l’ensemble du gouvernement du Canada, plus particulièrement dans la sphère de la sécurité nationale ou du renseignement, ce qui comprend les activités menées par le ministère de la Défense nationale et par les Forces armées canadiennes (MDN/FAC).

C’est en 2020 que l’OSSNR a réalisé son premier examen visant le MDN/FAC, examen qui s’est concentré sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC). Pendant cet examen, on a relevé deux (2) problèmes de conformité possibles, ce qui a incité les membres de l’OSSNR à approuver la tenue d’un nouvel examen en 2021.

Les problèmes devant faire l’objet d’un examen ultérieur étaient les suivants :

  • une pratique de l’UNCIFC, du sous-ministre adjoint, Gestion de l’information (SMA-GI) et du MDN/FAC consistant à demander de l’information devant être collectée grâce à des recherches effectuées dans les systèmes de technologie de l’information du MDN/FAC, et ce, en guise d’appui à des enquêtes de contre-ingérence (CI);
  • une entrevue réalisée avec un sujet en 2014 [**contient de l’information opérationnelle du MDN/FAC**]

Recherches visant les systèmes de TI

Le présent examen a évalué, en termes juridiques et techniques, la façon dont les recherches axées sur les TI étaient utilisées dans le cadre d’enquêtes de CI. L’examen s’est également penché sur les structures de reddition de comptes qui orientent l’acquisition d’information et de données.

Pendant le présent examen, l’OSSNR a analysé toutes les ressources dont il disposait : les documents matériels et électroniques, les dossiers d’enquête, la correspondance, les bases de données informatisées et les autres fonds d’information ayant trait aux opérations et aux enquêtes, de même que les politiques, les procédures et les conseils juridiques applicables. En outre, cette analyse a permis de vérifier le degré de conformité des activités aux exigences juridiques, ministérielles et stratégiques. Par ailleurs, on a échangé avec des gestionnaires et des officiers, mais aussi avec d’autres membres du personnel du MDN/FAC à l’occasion de présentations, d’entrevues et de réunions.

Pendant l’analyse d’un certain nombre de dossiers d’enquête choisis, l’examen a eu pour objet d’établir si les recherches axées sur les TI et les mesures de collecte d’information menées aux fins d’enquêtes de CI avaient enfreint, en l’occurrence, le principe d’attente raisonnable en matière de respect de la vie privée. De fait, suivant un examen rigoureux, l’OSSNR a tenté de savoir si les recherches menées à des fins d’enquêtes de contre-ingérence (CI) posaient le risque de capter des renseignements personnels qui soient révélateurs, voire intimes et qui pourraient être constitutifs du coeur de la biographie d’un utilisateur. Au Canada, la Constitution accorde à chaque personne le droit de s’attendre à ce que l’État respecte sa vie privée lorsque cet État est appelé à traiter des renseignements personnels qui s’avèrent significatifs, intimes et qui ont trait à l’ensemble des renseignements biographiques, ce qui inclut les renseignements personnels d’un utilisateur qui sont enregistrés dans le matériel informatique du lieu de travail.

L’OSSNR a sélectionné un échantillon de demandes de recherches axées sur les systèmes de TI, qui ont été soumises à l’UNCIFC. À partir de cet échantillon, l’OSSNR devait établir si l’UNCIFC, dans le cadre desdites recherches, s’était conformée aux lois et aux directives du ministre ainsi qu’aux directives, politiques et procédures établies en interne, et si elle avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

L’examen a porté sur un éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier d’actualité [**expurgé**] dont le niveau était élevé (niveau 3). En l’occurrence, il s’agissait d’illustrer les pratiques de l’UNCIFC et du SMA (GI) lorsque des recherches étaient menées dans les systèmes de TI (prière de consulter l’appendice 1 pour en connaître davantage sur ce dossier d’enquête). À travers le prisme de [**expurgé**] , l’OSSNR a tenté d’établir si l’UNCIFC et le SMA (GI) avaient agi contrairement à l’attente raisonnable de personnes en matière de respect de la vie privée pendant le déroulement des enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction des Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Entrevue avec un sujet

L’OSSNR a également réalisé un examen approfondi de l’entrevue que l’UNCIFC a réalisée avec un sujet en 2014. En l’occurrence, il s’agissait de comprendre ce qui avait mené à ladite entrevue, ce qui avait eu lieu en cours d’entrevue, les conséquences possibles de l’entrevue ainsi que la réaction du MDN/FAC après l’incident. L’OSSNR a examiné le dossier d’enquête de l’UNCIFC et en a vérifié le degré de conformité aux lois, aux directives ministérielles et aux politiques applicables. L’OSSNR s’est également penché sur les conseils juridiques formulés par le Cabinet du Juge-avocat général (Cabinet du JAG) et le Conseiller juridique des Forces canadiennes (CJFC).

L’examen de l’OSSNR a eu directement pour effet d’amener le Commandement du renseignement des Forces canadiennes (COMRENSFC) à émettre, le 9 septembre 2021, une directive [**contient de l’information opérationnelle du MDN/FAC**].

De l’avis de l’OSSNR, ces mesures ont répondu aux préoccupations initiales découlant de l’entrevue (avec un sujet) de 2014, dont il a été question précédemment. En conséquence, l’OSSNR a suspendu toute nouvelle enquête dans ce dossier. Or, l’OSSNR pourrait très bien décider de réexaminer cette pratique d’enquête à l’occasion d’examens à venir, une fois que la directive fonctionnelle aura été mise à jour par le COMRENSFC.

Contexte historique de l’UNCIFC

Depuis 1997, les fonctions de contre-ingérence et de sécurité exercées au sein du MDN/FAC ont subi de multiples transformations visant à réaliser des gains d’efficacité et à éliminer les conflits pouvant surgir avec les autres intervenants de la sphère de la sécurité, du renseignement et de l’application de la loi. Depuis son instauration, l’UNCIFC a fait l’objet de 10 études internes, chacune ayant reconnu qu’elle souffrait, entre autres, d’un manque de ressources et de contraintes sur le plan des politiques, ce qui l’a empêchée d’exercer pleinement son mandat. Un faible nombre des recommandations formulées dans ces rapports ont été mises en oeuvre. Lorsqu’on lui a demandé de faire état des raisons pour lesquelles un si grand nombre de recommandations étaient restées lettre morte, l’Unité a évoqué un manque à gagner sur le plan des ressources.

En 1997, le service de sécurité et d’enquêtes criminelles qui oeuvrait eu sein de l’Unité des enquêtes spéciales (UES) a été scindé en deux unités distinctes, à savoir l’UNCIFC et le Service national des enquêtes des Forces canadiennes (SNEFC). Cette démarche faisait suite au dépôt du rapport du Groupe consultatif spécial sur la justice militaire et les services d’enquête ainsi que de l’examen externe de l’Unité des enquêtes spéciales des Forces canadiennes.

La scission faisait écho à la séparation qui s’était produite au milieu des années 1980 entre la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignement de sécurité (SCRS). Pour la première fois, des mandats distincts avaient été créés au sein du MDN/FAC pour les fonctions d’application de la loi, de sécurité et contre-ingérence, et d’enquête de sécurité.

L’UNCIFC nouvellement créée était appelée à exercer les fonctions de sécurité et contre-ingérence au sein du MDN/FAC. Pour sa part, le SNEFC ne se concentre que sur les enquêtes criminelles. Enfin, la fonction d’enquête de sécurité a été établie et elle est désormais désignée comme étant celle du Directeur général – Sécurité de la défense, le Directeur – Sécurité du personnel et gestion de l’identité (DGSD/DSPGI).

La création de l’UNCIFC a été autorisée par le ministre de la Défense nationale (MinDN) au titre d’un arrêté ministériel d’organisation. Ensuite, en vertu d’une Ordonnance d’organisation des Forces canadiennes, le Chef d’état-major de la défense (CEMD) a instauré l’UNCIFC en tant qu’unité de la Force régulière relevant du Groupe du renseignement des Forces canadiennes (GP RENS FC).

Émise en mars 2003 avec l’autorisation du Sous-chef d’état-major de la défense, la série 8002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique pour les activités de CI de défense et réitérait, notamment, les responsabilités du MinDN, du SMA et du CEMD en matière de protection des ressources du MDN/FAC. [**contient de l’information protégée par le secret professionnel de l’avocat**] seraient équivalents à ceux qui sont exercés par les agents de sécurité du ministère qui se trouvent dans les divers ministères du gouvernement fédéral.

There are no provisions of the National Defence Act (NDA) that authorize the conduct of defence intelligence activities. CFNCIU investigations are the only area of defence intelligence that is squarely focused on Canadian citizens (DND employees/CAF members). [**contains information protected by solicitor-client privilege**]

Aucune des dispositions de la Loi sur la défense nationale (LDN) n’autorise la conduite d’activités de renseignement de défense. Les enquêtes de l’UNCIFC constituent le seul aspect du renseignement de défense qui soit expressément axé sur les citoyens canadiens (employés du MDN et militaires des FAC). [**contient de l’information protégée par le secret professionnel de l’avocat**]

Émise en juillet 2012 avec l’autorisation du sous-ministre adjoint (Gestion de l’information) et du dirigeant principal de l’information, la série 6002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique régissant les pouvoirs sur le plan des opérations, des techniques et de la sécurité pour ce qui concerne les systèmes de communication et d’information du MDN/FAC.

La DOAD 6002-2, Utilisation acceptable d’Internet, de l’intranet de la défense, d’ordinateurs et d’autres systèmes d’information fournit aux utilisateurs des instructions relatives aux utilisations officielles, autorisées, non autorisées et interdites des systèmes de TI. C’est d’ailleurs cette politique qui définit les utilisations autorisées et qui fait état de l’attente raisonnable des utilisateurs en matière de respect de la vie privée.

La DOAD 6002-2 indique aux utilisateurs que les utilisations autorisées comprennent les communications avec la famille, les amis et d’autres personnes; les transactions bancaires personnelles; ainsi que l’achat d’articles pour soi ou pour la famille. En l’occurrence, ces utilisations figureraient dans la catégorie des fins autres que les utilisations officielles. Les utilisateurs sont également informés que les attentes en matière de respect de la vie privée s’avèrent réduites en raison de la responsabilité qui incombe au ministère sur le plan de la surveillance des systèmes de TI à des fins d’administration, de maintenance et de sécurité, mais aussi sur le plan du maintien de la conformité aux politiques, aux instructions, aux directives et aux normes du Conseil du Trésor et du MDN/FAC.

Processus d'enquête

L’information que l’UNCIFC reçoit relativement aux menaces a plusieurs sources. De fait, cette information peut provenir de divers détachements, mais aussi de divers partenaires externes. Dès la réception l’information relative à une menace liée à un employé du MDN/FAC ou à un incident, les détachements régionaux (DR) préparent un compte rendu de renseignement (INTREP pour Intelligence Report) destiné au Quartier général (QG), où est centralisée la gestion de toutes les enquêtes.

À la suite de la reconnaissance de l’enjeu de sécurité, on note deux facteurs déterminants pour le déclenchement d’une enquête :

  • il doit avoir un soupçon selon lequel une activité ou un individu constituerait une menace (c.-à-d. le terrorisme, l’extrémisme, la subversion, le sabotage ou le crime organisé que l’on désigne également par le sigle TESSCO) ;
  • la menace soupçonnée doit avoir un lien manifeste avec l’information, l’effectif ou les biens du MDN/FAC.

Lorsque les activités se déroulent dans les limites de ce cadre, le lien doit être établi pour chacune des enquêtes. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Si les soupçons TESSCO et le lien sont suffisamment étayés, les détachements régionaux soumettent une demande faisant état du niveau d’enquête proposé.

Le cadre d’enquête de l’UNCIFC est unique dans la mesure où il aborde des questions de renseignement de sécurité qui sont semblables à celles du SCRS (c.-à-d. TESSCO en plus du crime organisé), alors que la potée de ses enquêtes doit se limiter à l’information, à l’effectif et aux biens du MDN/FAC (c.-à-d. le lien). Contrairement à ce que l’on peut voir au SCRS, la collecte de l’UNCIFC visant les menaces n’est pas expansive compte tenu de la nécessité d’établir un lien; et contrairement à un agent de sécurité du Ministère, l’UNCIFC ne mène des enquêtes ni sur la conformité à la politique ni sur les questions de sécurité découlant de comportements inappropriés – de la part d’employés – qui n’impliqueraient aucun des éléments TESSCO21. De plus, l’UNCIFC n’est responsable ni du filtrage de sécurité (qui est plutôt la responsabilité du DGSD/DSPGI) ni des enquêtes criminelles, qui sont plutôt la responsabilité du Service national des enquêtes des Forces canadiennes (SNEFC).

En définitive, il faut comprendre que le cadre d’enquête de l’UNCIFC occupe un espace étroit au-dessus des sphères portant sur la discipline et le filtrage de sécurité, mais en dessous des affaires de nature criminelle. Avant d’autoriser d’une enquête ou une opération de contre-ingérence, le MDN/FAC doit établir si :

  1. l’enquête est conforme aux lois en vigueur;
  2. les méthodes d’enquête correspondent au type de menace en cause et à la probabilité que celle-ci se concrétise;
  3. l’utilisation des techniques d’enquête intrusives est évaluée dans l’optique d’une éventuelle atteinte aux droits et libertés protégés par la Constitution;
  4. les méthodes de collecte d’information les moins intrusives sont utilisées, en tenant compte des circonstances particulières.

Le graphique ci-dessous fait synthétiquement état des divers niveaux d’enquête et des activités qui sont autorisées par la politique ministérielle pour chacun des cadres d’enquête :

CFNCIU - Graphique 1 caviardé  : Processus d'enquête

Bien que les niveaux d’enquête s’inscrivent dans une chronologie, l’examen a permis de constater que la majorité des enquêtes étaient de niveau relativement faible (c.-à-d. EP et N1). Or, cette réalité n’est pas causée par l’absence de menaces TESSCO sérieuses. Elle est plutôt attribuable, en partie, [**expurgé**] l’UNCIFC [**expurgé**] des bases juridiques [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]

Lorsque l’UNCIFC a été créée en 1997, le contexte juridique entourant la Charte était bien différent de celui que l’on observe aujourd’hui. De plus, les technologies se sont développées à un tel point que les systèmes et dispositifs informatiques sont devenus des outils omniprésents. De plus, les capacités et les techniques de surveillance ont évolué. La loi s’est donc adaptée de sorte à protéger les droits garantis par la Charte en exigeant, notamment, que l’État obtienne des autorisations judiciaires (les mandats) lorsqu’il y a lieu de tenir compte d’une attente raisonnable en matière de respect de la vie privée.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

  1. [**expurgé**]
  2. [**expurgé**]
  3. [**expurgé**]
  4. [**expurgé**]
  5. [**expurgé**]
  6. [**expurgé**]
  7. [**expurgé**]
  8. [**expurgé**]
  9. [**expurgé**]
  10. [**expurgé**]

[**contient de l’information protégée par le secret professionnel de l’avocat**] Or, les recherches sans mandat qui vont à l’encontre de l’attente raisonnable en matière de respect de la vie privée sont présomptivement excessives, à moins qu’elles satisfassent aux critères énoncés dans l’arrêt Collins. L’UNCIFC n’a été en mesure de relever clairement aucune autorisation légale qui permette d’effectuer des recherches sans mandat aux fins visées à l’article 8 pendant les enquêtes de CI. Il est clair, dans le présent contexte juridique, que les pouvoirs de l’UNCIFC n’ont pas évolué au même rythme que le mandat tel qu’il est formulé. L’Unité – et dans une large mesure le COMRENSFC – a d’ailleurs reconnu que la politique était désuète sur le plan tant de la terminologie que du contenu. Toutefois, l’OSSNR note que l’actualisation des politiques internes ne fournirait pas forcément les pouvoirs nécessaires pour mener des activités pouvant donner lieu à une atteinte légitime aux droits garantis par la Charte. Les modifications qui permettraient à l’UNCIFC de mener la plupart des activités prévues pour les enquêtes de niveau 2 et de niveau 3 exigeraient que l’on modifie la loi. Du reste, ce constat a été établi dans de nombreux rapports internes qui avaient relevé d’importantes lacunes dans la politique.

Cela explique pourquoi l’Unité mise sur les politiques et les bases juridiques s’appliquant à des organismes d’enquête externes lorsqu’il s’agit d’exercer certaines fonctions, notamment, celles qui exigent un mandat. À titre d’exemple, l’UNCIFC ne peut [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]; ces techniques d’enquête sont toutes rendues possibles suivant le recours à des organismes d’enquête, au titre du mandat que ceux-ci exercent (c.-à-d. le SNEFC, le SCRS, etc.).

Le présent rapport, celui de l’examen de l’OSSNR no 2021-10, devrait être vu comme la continuation de l’examen que l’OSSNR a réalisé en 2019 « Examen visant l’Unité nationale de contre-ingérence des Forces canadiennes (2019-01) ». Or, en conséquence des difficultés posées par la pandémie de COVID-19, notamment, l’accès à l’infrastructure de GI/TI du MDN/FAC, l’OSSNR a décidé de scinder l’examen. Cette séparation a permis de formuler des conclusions et des recommandations à l’intention du ministre de la Défense nationale en février 2021. Le MDN/FAC avait alors accepté toutes les conclusions et recommandations de l’examen de 2019, mais l’OSSNR reconnaît que même si le présent examen suit le précédent de peu, les changements pourraient être déjà en cours de mise en oeuvre. Il va de soi que l’objectif du présent examen n’est pas de réitérer les conclusions et les recommandations formulées précédemment, mais plutôt de fournir de nouvelles observations, cette fois, suivant un contexte opérationnel.

Le présent examen a été l’occasion d’analyser un large éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier de niveau élevé (niveau 3), à savoir le [**expurgé**] , de sorte à illustrer les pratiques de l’UNCIFC et du SMA-GI lorsqu’ils exécutent des recherches axées sur les systèmes de TI (voir l’appendice 1 pour en connaître davantage sur ce dossier).

À travers le prisme de [**expurgé**] l’OSSNR a tenté d’établir si l’UNCIFC ou le SMA-GI avaient porté atteinte à l’attente raisonnable de certaines personnes en matière de respect de la vie privée pendant le déroulement d’enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC) au nom de l’UNCIFC à des fins de CI.

L’OSSNR a sélectionné un échantillon de recherches de l’UNCIFC axées sur les systèmes de TI dans le but d’établir si, pendant le déroulement de ses activités, l’UNCIFC avait agi en conformité avec la loi, les directives ministérielles et internes ainsi que les politiques et procédures, et si l’Unité avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

Conclusions et recommendations

Le présent examen se concentre sur les recherches que l’UNCIFC a effectuées dans le Réseau étendu de la Défense (RED). En l’occurrence, la politique interne autorise le personnel du MDN/FAC à utiliser ce réseau non classifié à des fins personnelles. L’UNCIFC soumet des demandes à trois unités qui disposent de capacités permettant de lancer des requêtes visant les activités qui se produisent dans le RED et de produire des rapports concernant certains utilisateurs ou certains sujets visés par une enquête. Les trois unités internes visées par l’examen étaient la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI), et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Pendant l’examen, l’OSSNR a relevé trois (3) sources de préoccupation concernant les demandes et l’exécution de recherches effectuées dans les réseaux de TI aux fins de CI. Ces sources de préoccupation s’énoncent comme suit :

  1. recherche dans le RED : les recherches de l’UNCIFC [**contient de l’information opérationnelle du MDN/FAC**]
  2. liste de vérification en plusieurs points : la liste de vérification que l’UNCIFC emploie pour relever et limiter les paramètres de recherche, mais aussi la façon dont les intervenants concernés définissent les paramètres de recherche;
  3. recherche élargie : la façon dont l’acquisition d’information peut servir à l’élargissement de recherches ultérieures.

Recherches visant le réseau étendu de la défense

L’UNCIFC demande que des recherches avancées visant les systèmes de TI soient exécutées en guise d’outils pour les enquêtes de CI. Ces recherches peuvent viser [**expurgé**] réseaux [**expurgé**] affichant une multiplicité de niveaux de classification (voir l’annexe F – APERÇU DES SYSTÈMES DE TI). Dans le contexte de ces enquêtes, les recherches sont, en quelque sorte, un assemblage hétérogène d’informations provenant des trois groupes internes : DIIGI, CORFC et DSUFGI.

Lorsqu’elle mène une enquête de CI, l’UNCIFC doit faire intervenir ces groupes séparément moyennant des demandes distinctes. Chaque groupe dispose de son propre processus pour ce qui a trait aux recherches, à la collecte et à la production de rapports d’information. La DIIGI, la DSUFGI et le CORFC peuvent, en toute légalité, effectuer des recherches et faire de la surveillance dans les systèmes de TI, lorsqu’il s’agit de [Translation] « gérer ou de protéger les systèmes informatiques ». À ce titre, ils peuvent également prendre les mesures qui s’imposent raisonnablement, ce qui comprend l’interception de communications privées. Toutefois, les accès qu’ont la DIIGI, la DSUFGI et le CORFC aux systèmes de TI du MDN/FAC dans le cadre des activités de sécurité réseau ne leur confèrent aucun pouvoir lorsqu’il s’agit d’accéder aux systèmes de TI dans le but [**expurgé**].

La démarche décrite par l’UNCIFC lorsqu’il s’agit de faire des recherches dans les systèmes de TI est illustrée par le diagramme ci-dessous :

[**figure expurgée**]

Généralement, la DIIGI, la DSUFGI et le CORFC ont recours à des processus semblables pour ce qui est de fournir la « matière demandée » (remits) – c.-à-d. les produits collectés – à l’UNCIFC à partir des divers systèmes de TI37. Aux étapes de la collecte et du filtrage, c’est l’analyste TI (DIIGI, DSUFGI et CORFC) qui détermine quelle information doit faire partie de la matière demandée. Les analystes récupèrent les données depuis les répertoires liés au sujet en fonction de sélecteurs préalablement définis figurant dans une liste en plusieurs points (élément abordé plus loin); la pertinence à l’égard de la demande est déterminée en dernier lieu suivant l’examen que l’analyste réalise après la collecte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

Dès lors que l’UNCIFC soumet sa demande, le CORFC mobilise son conseiller juridique, mais celui-ci ne semble être ni consulté ni impliqué en cours d’enquête [**contient de l’information protégée par le secret professionnel de l’avocat**]. La DSUFGI et la DIIGI ne disposent d’aucun mécanisme d’examen ou d’encadrement juridique et misent sur la liste de vérification pour appuyer leurs activités de collecte et de filtrage. Le MDN/FAC note que le CORFC sollicite des conseils juridiques (y compris des conseils prodigués verbalement) et qu’il en irait de même pour la DSUFGI et la DIIGI [**contient de l’information protégée par le secret professionnel de l’avocat**]. Toutefois, l’OSSNR n’est pas en mesure de vérifier cette affirmation.

Utilisation des systèmes de TI et attente raisonnable en matière de respect de la vie privée

Il importe de noter que les recherches que l’UNCIFC demande d’exécuter dans les systèmes de TI ne portent possiblement pas atteinte aux droits garantis par la Charte. Or, comme il a été souligné précédemment, le présent examen tente d’établir si les recherches exécutées dans le réseau RED non classifié à des fins de CI comportaient un risque d’atteinte à l’attente raisonnable d’une personne en matière de respect de la vie privée s’agissant des contenus informationnels, y compris ceux qui se trouvent dans les systèmes et dispositifs informatiques en milieu de travail. La jurisprudence reconnaît que l’utilisation des ordinateurs en milieu de travail à des fins personnelles pourrait susciter une attente, bien que relative, en matière de respect de la vie privée conformément aux dispositions de l’article 8 de la Charte. Une attente raisonnable en matière de respect de la vie privée est intimement liée aux faits et dépend de l’ensemble des « facteurs circonstanciels ».

Il est probable que les utilisateurs des systèmes de TI non classifiés du MDN/FAC nourrissent des attentes raisonnables en matière de respect de la vie privée lorsqu’ils se servent desdits systèmes à des fins personnelles. La politique du MDN/FAC qui encadre l’utilisation des systèmes et dispositifs informatiques autorise l’utilisation limitée du matériel informatique lorsqu’il s’agit d’activités de nature personnelle qui n’ont rien à voir avec les fonctions et tâches professionnelles ayant pour objet de favoriser la réalisation des objectifs du MDN et des FC. On peut notamment penser aux communications avec les membres de la famille, les amis ou d’autres personnes à propos de sujet non professionnels; aux achats que l’on fait en ligne pour soi ou pour la famille; ou à la consultation des sources électroniques d’actualités ou d’informations44. Ces activités autorisées (c.-à-d. celles dont les fins sont personnelles) peuvent véhiculer des informations personnelles révélatrices de ce que l’on peut appeler les renseignements biographiques essentiels, lesquels sont protégés en vertu de l’article 8 de la Charte45. Ainsi, un sujet visé par une enquête de l’UNCIFC serait en mesure d’établir un intérêt direct et de nourrir des attentes raisonnables en matière de respect de la vie privée s’agissant de tout contenu informationnel lié à une utilisation personnelle des réseaux du MDN/FAC.

Les employés et les militaires du MDN ont une attente raisonnable en matière de respect de la vie privée lorsqu’ils utilisent les ordinateurs pour des usages personnels. De fait, la politique du MDN/FAC reconnaît que :

« [l]es attentes en matière de vie privée sont limitées pendant l’utilisation des systèmes de TI, car ceux-ci font l’objet d’une surveillance aux fins d’administration, de maintenance et de sécurité des systèmes, et aux fins de conformité aux politiques, instructions, directives et normes du Conseil du Trésor, du MDN et des FAC. »

Une attente sur le plan du respect de la vie privée, fut-elle limitée ou réduite, est néanmoins une attente raisonnable en matière de respect de la vie privée au titre de l’article 8 de la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

L’OSSNR reconnaît que le MDN/FAC a un intérêt légitime quant à la protection des ressources du MDN et des FAC. Toutefois, les « subtilités » relatives au droit d’un employeur censé surveiller l’utilisation des dispositifs mis à la disposition des employés ont été mises en veilleuse par la Cour suprême. Les lois s’appliquant aux recherches visant les ordinateurs d’employés continuent d’évoluer. Or, l’attente raisonnable en matière de respect de la vie privée ne peut être assujettie à une intrusion de la part de l’État que dans la mesure où elle est autorisée par une loi appliquée raisonnablement.

Une recherche ou une fouille effectuée sans mandat est présumée abusive et contraire aux dispositions de l’article 8 de la Charte. À défaut d’un mandat, la Couronne doit prouver, selon la prépondérance des probabilités 1) que la recherche était autorisée par la loi; 2) que la loi l’autorisant n’avait elle-même rien d’abusif; et 3) que le pouvoir d’effectuer la recherche n’a pas été exercé d’une manière abusive. L’OSSNR est soucieux du fait que l’UNCIFC n’a pas adéquatement pris en compte sa base juridique pour établir si elle disposait du pouvoir légitime de mener des recherches sans mandat à des fins de CI.

[**expurgé**] à l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ainsi, les activités de CI ne donneraient lieu à aucune recherche dite abusive au sens de l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

L’UNCIFC [**expurgé**] pour les activités de CI et n’est pas expressément autorisée à se porter à l’encontre de l’attente raisonnable d’un sujet en matière de respect de la vie privée. Or, l’OSSNR note que l’objectif de la politique du Conseil du Trésor est d’assurer la sécurité du gouvernement, un objectif qui se distingue des activités de collecte de renseignement. Qui plus est, l’OSSNR insiste sur le fait que les politiques internes – même celles qui « reflètent et exemplifient les grandes lignes de la Politique sur la sécurité du gouvernement du Conseil du Trésor » – ne constituent vraisemblablement pas les autorités nécessaires pour permettre l’exercice d’activités de CI risquant de porter atteinte aux droits garantis par la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Bien que les recherches de l’UNCIFC ne s’intéressent aucunement aux affaires criminelles, l’exigence expresse de signaler tout méfait aux autorités compétentes peut vraisemblablement imposer plus fermement les normes de protection visées à l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Recherches [**expurgé**]

En [**expurgé**], le Comité de surveillance de la contre‑ingérence (CSCI) a autorisé une enquête de CI de niveau 3 dont le nom de code était [**contient de l’information concernant des enquêtes liées à la sécurité nationale**].

[**contient de l’information opérationnelle du MDN/FAC**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Liste de vérification en plusieurs points

La liste de vérification en plusieurs points fait office d’instructions permanentes d’opération. En effet, elle permet d’établir les paramètres à employer pour accepter les demandes de recherches axées sur les TI soumises par l’UNCIFC, et ce, en faisant correspondre les capacités de recherche technique avec les outils de cyberdéfense dont dispose le MDN/FAC.

La liste de vérification comporte une série de questions ayant trait aux enquêtes axées sur les TI, auxquelles il faut répondre à l’occasion des rapports d’analyse sur les sujets visés par des enquêtes. En outre, la liste de vérification en plusieurs points est considérée comme une série de demandes de soutien TI préalablement approuvées et de critères de recherches connexes qui ont déjà été examinés [**expurgé**]. La liste de vérification constitue la base des demandes que l’UNCIFC soumet à la DIIGI et à la DSUFGI dans la mesure où elle établit une correspondance entre la demande d’information et les critères de recherche autorisés tout en s’inscrivant dans le mandat et les autorisations légales de l’UNCIFC. L’UNCIFC a indiqué [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**expurgé**] Or, la DSUFGI et la DIIGI ne comptent aucun conseiller juridique au sein de leur personnel et doivent miser sur les conseils juridiques du Directeur juridique/Renseignement et opérations d’information (DJ/R et OI) ou sur les conseillers juridiques du quartier général relevant du SMA (GI) par l’entremise de l’UNCIFC.

L’UNCIFC indique que les métadonnées se distinguent des contenus dans la mesure où elles ne constituent que [Traduction] « les attributs d’un contenu et ne révèlent rien de celui-ci. » Ce point de vue repose sur l’argument voulant que les métadonnées ne contiennent aucun élément de contenu, ce qui les rendrait moins sensibles, selon l’UNCIFC. Les métadonnées, [**expurgé**] sont acheminées à l’UNCIFC et proviennent des courriels envoyés ou reçus par le sujet. Ces métadonnées contiennent les attributs des courriels, notamment, l’envoyeur et le destinataire, mais aussi le contenu du champ Objet et le nom des fichiers joints.

L’OSSNR fait remarquer que selon le contexte, les métadonnées peuvent révéler des renseignements biographiques essentiels sur le sujet tout autant que les contenus. D’ailleurs, les informations qui paraissent parallèlement aux renseignements biographiques relatifs à un sujet peuvent s’avérer révélatrices, voire indiscrètes lorsqu’elles sont associées à d’autres informations. Lorsque l’on se penche sur l’information collectée en vertu de la liste de vérification, il peut arriver que des informations personnelles, voire intimes concernant le sujet visé par une enquête y soient révélées contrairement à ce qui était initialement envisagé ou autorisé. De plus, le contenu du champ Objet des courriels a généralement plus en commun avec le contenu qu’avec les métadonnées. En effet, en annonçant le contenu à communiquer, ce champ Objet peut dévoiler le contenu d’un courriel, faisant en sorte que son degré de sensibilité s’apparente à celui du contenu même dudit courriel. Ainsi, il serait inexact de prétendre que le contenu du champ Objet des courriels ne serait qu’une simple métadonnée.

Il importe de noter que pendant le processus de filtrage, les analystes de la DSUFGI évaluent le degré de pertinence en fonction des métadonnées des courriels du sujet [**expurgé**]. La DIIGI procède sensiblement de la même façon. Les retours sont filtrés de sorte à inclure les métadonnées relatives au sujet. Au demeurant, la DSUFGI et la DIIGI, comme il a été dit plus tôt, ne disposent pas d’un soutien juridique qui soit intégré87. L’OSSNR note que les pratiques voulant que les analystes de la DSUFGI et de la DIIGI filtrent l’information afin d’en établir le degré de pertinence – et, dans certains cas, pour veiller à ce que les résultats ne révèlent pas le contenu – constituent des méthodes inappropriées lorsqu’il s’agit d’exécuter des recherches axées sur les TI, dans la mesure où elles contreviennent probablement aux intérêts du sujet en matière de respect de la vie privée (question abordée plus loin).

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En définitive, la politique actuelle [**expurgé**] de l’UNCIFC en matière de TI, laquelle régit les recherches axées sur les TI, [**contient de l’information protégée par le secret professionnel de l’avocat**]. De plus, les recherches axées sur les TI qui s’appuient sur les points de la liste de vérification ne font pas l’objet d’une consultation ou d’un encadrement juridiques (au-delà de la création du modèle de la liste de vérification) [**expurgé**]. Cette situation pose problème puisqu’en raison de leur libellé, les points de la liste de vérification peuvent faire en sorte que des informations relatives au mode de vie et aux choix personnels du sujet soient captées, informations qui sont normalement protégées par les dispositions de l’article 8 de la Charte.

Par exemple, le point 8 de la liste de vérification est [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ce type d’approche risque tout de même de dévoiler des informations par rapport auxquelles le sujet pourrait avoir une attente raisonnable en matière de respect de la vie privée, [**contient de l’information protégée par le secret professionnel de l’avocat**].

Il importe de noter que pendant l’enquête [**expurgé**] l’UNCIFC a présenté au CORFC une demande comportant [**contient de l’information opérationnelle du MDN/FAC**] Le CORFC a rappelé à l’UNCIFC que l’attente raisonnable en matière de respect de la vie privée s’appliquait et que [Traduction] « les enquêtes exploratoires [fishing expeditions] étaient interdites ». On a donc procédé au retrait de la demande [**expurgé**] au CORFC. En revanche, l’UNCIFC a demandé des informations semblables à la DIIGI, qui a acquiescé et a fourni [**expurgé**]. Certes, ces deux demandes n’ont pas été soumises en même temps, mais elles montrent clairement que deux requêtes très semblables peuvent mener à des résultats complètement différents.

À la différence de la DSUFGI et de la DIIGI, le CORFC dispose de ses propres politiques, directives et instructions permanentes d’opération, et doit répondre à des exigences particulières avant qu’une demande de l’UNCIFC puisse être mise à exécution. À titre d’exemple, contrairement à ceux de la DSUFGI et de la DIIGI, les processus du CORFC prévoient qu’un examen juridique sera réalisé par le JAG du GOIFC [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]. L’OSSNR note que l’approche adoptée par le CORFC lorsqu’il s’agit de recevoir le résultat des examens juridiques que le JAG du GOIFC a initialement menés aux fins d’une enquête est préférable à celle de la DSUFGI et de la DIIGI consistant [**expurgé**].

Compte tenu du fait que les points de la liste de vérification et les sélecteurs proposés posent le risque que des informations biographiques, voire intimes concernant le sujet soient captées, l’utilisation de la liste de vérification devient problématique dès lors qu’elle diffère des paramètres convenus et qu’elle n’est ni orientée ni approuvée sur le plan juridique.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Pendant le déroulement du [**expurgé**] l’UNCIFC a pris des mesures visant à restreindre ses paramètres de recherche. Auparavant (c.-à-d. avant l’instauration de la liste de vérification en plusieurs points), les demandes d’information (DI) reposaient sur des paramètres généraux dont la portée était vaste. En effet, à partir de 2014 et jusqu’à l’instauration de la liste de vérification, les DI [**contient de l’information opérationnelle du MDN/FAC**] également partie des DI. En outre, [**expurgé**].

En [**expurgé**] un mois avant l’autorisation de l’enquête [**expurgé**] les enquêteurs de l’UNCIFC ont discuté des contenus abordés par les DI et se sont dits favorables [**contient de l’information opérationnelle du MDN/FAC**]

Le MDN/FAC a bien tenté de restreindre les paramètres de recherche suivant la mise en oeuvre de la liste de vérification en plusieurs points. Toutefois, même avec la liste de vérification, les requêtes axées sur les TI de l’UNCIFC qui ont été présentées dans le cadre de l’enquête [**expurgé**] se fondaient sur des paramètres de recherche si généraux que l’on risquait d’obtenir des informations qui n’avaient rien à voir avec ladite enquête.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Le fait de filtrer les données – pour ne retenir que celles qui s’avèrent pertinentes – après que la collecte et la recherche aient initialement eu lieu pose un risque juridique dans la mesure où toute possibilité d’atteinte à l’attente raisonnable du sujet en matière de respect de la vie privée se serait déjà matérialisée sous l’effet des mesures prises par l’État. Même si l’analyste des TI exécute un filtrage avant d’acheminer les informations à l’UNCIFC, il n’en demeure pas moins que la recherche et la captation qu’il a réalisées en amont constituent respectivement une « fouille » et une « saisie » au sens de l’article 8 de la Charte, dès lors que ladite recherche porte atteinte à une attente raisonnable en matière de respect de la vie privée.

De fait, ces paramètres constituent des facteurs d’approbation globale sans comporter de mesures internes de contrôle ou de surveillance, et ce, sur le plan des opérations, mais aussi au niveau des opérateurs. Compte tenu de la [**expurgé**] les techniques de collecte finissent par ratisser passablement large. C’est donc à l’analyste ou à l’enquêteur qu’il revient de déterminer ce qui est pertinent, donc de filtrer les résultats une fois que les informations/les données ont été collectées.

L’OSSNR a remarqué six occurrences d’élargissement des critères de recherche, ou bien en dehors des critères énoncés dans la liste de vérification ou bien en marge de la demande initiale soumise au CORFC, comme il est illustré en appendice II « Élargissement de la portée d’une recherche – [**expurgé**] exemples particuliers ». En l’occurrence, aucune consultation juridique additionnelle n’a eu lieu, mais il a été clairement indiqué qu’il y avait un risque de contrevenir aux intérêts garantis par la Charte. Comme il a déjà été dit, l’application de paramètres de recherche généraux suivie d’un filtrage des informations « pertinentes » ne constitue pas une technique d’enquête appropriée. De plus, cette approche ne suit pas la politique du MDN/FAC sur le programme de CI, qui vise à faire en sorte qu’avant les enquêtes ou les opérations, la possible utilisation de techniques intrusives soit évaluée en tenant compte d’une possible atteinte aux droits garantis par la Constitution, d’une part, et d’autre part, que les techniques de collecte les moins intrusives soient utilisées tout en tenant compte des circonstances particulières.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexes

Appendix I: [**expurgé**]

Le [**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

[**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

En [**expurgé**] le CSCI a autorisé une enquête de niveau 3 portant le nom de code [**contient de l’information opérationnelle du MDN/FAC**].

Par l’intermédiaire de son Secrétariat de la coordination de l’examen et de la surveillance de la sécurité nationale et du renseignement (SCESSNR), le MDN/FAC a fourni une importante quantité de documents en réponse à notre demande d’information. Il importe cependant de souligner que l’information fournie n’a pas été vérifiée en toute indépendance par l’OSSNR.

[**diagramme et tableau expurgés contenant des informations relatives aux opérations du MDN/CAF**].

APPENDICE II : [**expurgé**] - Exemples spécifiques

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En [**expurgé**] la DIIGI 3-5 a fourni [**expurgé**]. Au moment de communiquer l’information, la DIIGI 3-5 a ajouté que le rapport avait été généré à partir de [**contient de l’information opérationnelle du MDN/FAC**]

Entre [**expurgé**] le CORFC a fourni de l’information à l’UNCIFC en réponse à une demande de recherche axée sur les TI. Cette information énumérait [**contient de l’information opérationnelle du MDN/FAC**].

Le [**expurgé**] l’UNCIFC a demandé au CORFC [Traduction] « un tableau principal énumérant tous les courriels transmis à ce jour avec leurs en-têtes112 ». Cette demande ne comprenait pas les critères de recherche initialement convenus. Le CORFC a accepté cette modification et a fourni un autre rapport contenant [**expurgé**]. Cette modification a eu des répercussions sur les rapports relatifs aux [**expurgé**] qui ont été ultérieurement produits par le CORFC et fournis périodiquement à l’UNCIFC.

En [**expurgé**] l’UNCIFC a demandé au CORFC de lui faire part de [**contient de l’information opérationnelle du MDN/FAC**]. L’UNCIFC a également demandé [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a remis un rapport à l’UNCIFC contenant [**expurgé**]. Parmi les critères de recherche employés, il y avait bien plus que [**expurgé**]. On y retrouvait [**expurgé**] précédemment par l’UNCIFC. La DIIGI 3-5 précise également que [Traduction] « S’il y a [**contient de l’information opérationnelle du MDN/FAC**].

[**expurgé**] Activités

En [**expurgé**] l’UNCIFC a demandé au CORFC d’effectuer une recherche [**expurgé**]. Le CORFC a exécuté la recherche et en a fourni les résultats, lesquels comprenaient [**expurgé**] Il semble que cette demande additionnelle ait fait en sorte d’élargir les critères de recherches pour tous les rapports ultérieurs devant porter que [**expurgé**]. En effet, le nouveau critère de recherche incluait désormais les activités de tout utilisateur s’étant servi de l’un des supports amovibles déjà utilisés par le sujet de l’enquête.

[**expurgé**]

En [**expurgé**] , l’UNCIFC a demandé à la Gestion des événements et de l’information de sécurité (GEIS) de la DIIGI 3-5 de fournir les données [**contient de l’information opérationnelle du MDN/FAC**]. Les données du GEIS comprennent [**expurgé**]. La DIIGI 3-5 a ultérieurement confirmé [**expurgé**].

Le [**expurgé**] l’UNCIFC a demandé à la DSUFGI des recherches axées sur les TI concernant [**contient de l’information opérationnelle du MDN/FAC**] de même que tous [**expurgé**]. Quelques jours plus tard, la DSUFGI a indiqué à l’UNCIFC qu’elle [Traduction] « voyait [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a discuté en interne d’une requête en suspens de l’UNCIFC demandant [Traduction] « d’identifier [**expurgé**] ». Elle a de plus indiqué que c’était possible si [**expurgé**]. Pour l’heure, on ne sait trop pourquoi la portée de l’enquête [**expurgé**]. Dans une correspondance ultérieure, la DIIGI 3-5 a défini les critères de recherche exacts employés en réponse aux 20 questions sur les « requêtes axées sur les TI » (“IT Inquiry”). Ces critères comprenaient [**expurgé**] reconnus par l’UNCIFC comme ayant été [**expurgé**].

En [**expurgé**] l’UNCIFC a fourni au CORFC la liste [**contient de l’information opérationnelle du MDN/FAC**]. La liste avait été fournie accompagnée d’une demande à l’intention du CORFC[**expurgé**].

En [**expurgé**] l’UNCIFC a demandé à la DSUFGI d’effectuer une recherche [**contient de l’information opérationnelle du MDN/FAC**]. Un mois plus tard, la DSUFGI a répondu en produisant un rapport contenant [**expurgé**] . Parmi les [**expurgé**].

Annexe A : Conclusions et Recommandations

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexe B : Sigles et acronymes

  ADM(IM)  Assistant Deputy Minister Information Management
  CDS  Chief of the Defence Staff
  CF INT GP  Canadian Forces Intelligence Group
  CFINTCOM  Canadian Forces Intelligence Command
  CFIOG  Canadian Forces Information Operations Group
  CFIOG JAG  Canadian Forces Information Operations Group Judge Advocate General
  DND/CF Legal Advisor  Office of the Department of National Defence and Canadian Forces Legal Advisor
  CFNCIU  Canadian Forces National Counter-Intelligence Unit
  CFNIS  Canadian Forces National Investigation Service
  CFNOC  Canadian Forces Network Operations Center
  AVE  Counter-intelligence
  CIOC  Counter-Intelligence Oversight Committee
  DAOD  Defence Incidents administratifs Orders et la Directives
  DGDS/ DPSIM  Director General Defence Security, the Director Personal Security and Identification Management
  DIMEI  Directorate of Information Management Engineering and Integration
  DIMEUS  Department of Information Management End-User Services
  Cabinet du JAG  Cabinet du Juge-avocat général
  CEMD  Chef d’état-major de la défense
  AVE  contre-ingérence
  CJ du MDN/FAC  Bureau du Conseiller juridique du ministère de la Défense et des Forces canadiennes
  COMRENSFC  Commandement du renseignement des Forces canadiennes
  CONS JUR  Bureau du conseiller juridique auprès du ministère de la Défense nationale et des Forces canadiennes
  CORFC  Centre d’opérations des réseaux des Forces canadiennes
  CSCI  Comité de surveillance de la contre‑ingérence
  DGSD/DSPGI  directeur général – Sécurité de la défense, Directeur – Sécurité du personnel et gestion de l’identité
  DIIGI  Direction – Ingénierie et intégration (Gestion de l’information)
  DJ/R et OI  directeur juridique/Renseignement et opérations d’information
  DOAD  Directives et ordonnances administratives de la défense
  DSUFGI  Direction – Services à l’utilisateur final (Gestion de l’information)
  GOIFC  Groupe des opérations d’information des Forces canadiennes
  GP RENS FC  Groupe du renseignement des Forces canadiennes
  INTREP  compte rendu de renseignement (Intelligence Report)

Annexe C : Directives du COMRENSFC

[**lettre expurgée**]

Annexe D : Liste de vérification en 20 points

[**liste de contrôle expurgée**]

Annexe E : [**expurgé**]

Annexe F : Aperçu des systèmes de TI

Le tableau ci-dessous met en évidence les réseaux faisant partie de l’infrastructure de GI/TI du MDN/FAC ainsi que les zones de responsabilité correspondant à chacun des groupes décrits précédemment.

[**tableau expurgé**]


Share this page
Date de modification :

Examen des pratiques d’échange d’informations entre divers volets du mandat du CST

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Le présent rapport présente une légère modification par rapport à la version finale qui a été soumise au Ministre. En effet, une erreur de formulation s’était glissée dans l’énoncé de la conclusion no 4, donnant lieu à deux libellés différents dans le rapport et dans le sommaire. Une correction a donc été apportée aux fins de publication. Précisions que le libellé exact a toujours été présent dans le corps du rapport final et qu’en définitive, le libellé erroné a été remplacé par le bon libellé aux fins de publication.

Sommaire

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité).

(NC) L’OSSNR a vérifié si les échanges internes d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC) effectués par le CST étaient conformes aux dispositions de la Loi sur la protection des renseignements personnels, qui impose aux institutions fédérales des restrictions sur l’utilisation des renseignements personnels obtenus par voie de collecte, mais aussi de la Loi sur le CST, qui encadre les ICPC collectées de manière incidente et leur utilisation par le CST. Considérant les descriptions que les articles 16 et 17 de la Loi sur le CST fournissent concernant les volets, l’OSSNR constate qu’il peut arriver que des informations collectées par l’un des volets soient utilisées par un autre volet pour des fins semblables ou autrement justifiables. En l’occurrence, il semble bien que les exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne soient respectées. Toutefois, il convient de garder une certaine réserve dans la mesure où les volets énoncés dans la Loi sur le CST diffèrent les uns des autres. En effet, le CST est tenu de procéder, dans chacun des cas, à une analyse de la conformité visant à étudier l’objet de la collecte et des échanges envisagés.

(NC) L’OSSNR estime qu’il est nécessaire que toute demande d’autorisation ministérielle présentée par le chef du CST informe le ministre concernant la façon dont les ICPC pourraient être utilisées par le CST – ce qui comprend l’éventualité d’une communication des ICPC à un autre volet – et les objectifs visés. Hormis une seule exception, les demandes présentées par le chef pendant la période d’examen informaient adéquatement le ministre de la Défense nationale concernant la façon dont les ICPC pourraient être utilisées en guise d’appui à un autre volet. Qui plus est, les demandes en matière de renseignement étranger fournissaient au ministre les informations appropriées quant à la façon dont le CST avait évalué le caractère essentiel (ou l’essentialité) servant à justifier la collecte d’ICPC dans le cadre du volet RE.

(NC) La politique du CST indique qu’une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets est requise avant que des informations puissent être retransmises entre lesdits volets. En outre, la politique du CST fournit des définitions ainsi que des critères d’évaluation et d’application des balises s’appliquant aux informations. Au reste, l’OSSNR est d’avis que le cadre stratégique du CST régissant la communication interne d’informations entre les volets cybersécurité et renseignement étranger du mandat est conforme aux dispositions de la Loi sur le CST.

(NC) Les informations fournies par le CST n’ont pas été l’objet d’une vérification indépendante de la part de l’OSSNR. Or, des travaux sont en cours dans le but de préparer des politiques opérantes et des pratiques exemplaires devant s’appliquer aux vérifications indépendantes de divers types d’informations selon une approche axée sur la confiance, mais aussi sur la prudence, qui répond à l’engagement de l’OSSNR.

Pouvoirs

(NC) Le présent examen a été réalisé conformément aux dispositions énoncées à l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité). De plus, le présent examen avait pour objectif de recenser les activités ayant trait à la communication en interne d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada, plus particulièrement entre les volets « cybersécurité » et « renseignement étranger ». En l’occurrence, cette démarche avait pour objet d’alimenter les examens que l’OSSNR serait ultérieurement appelé à réaliser.

(TS) Le Bureau du commissaire du Centre de la sécurité des télécommunications (BCCST) avait déjà étudié les modalités d’échange et d’accès s’appliquant aux informations sur les cybermenaces échangées entre la Direction du SIGINT et la Direction de la Sécurité des TI du CST. L’examen du BCCST avait alors conclu que les activités d’échange d’informations sur les cybermenaces qui avaient eu lieu entre le SIGINT et la Sécurité des TI du CST avaient été conformes aux exigences énoncées dans la Loi sur la défense nationale et dans la Loi sur la protection des renseignements personnels. L’examen a également indiqué que les informations échangées entre les deux directions n’avaient posé qu’un risque faible pour la vie privée des Canadiens.

(NC) Avec l’entrée en vigueur de la Loi sur le CST, le 1er août 2019, les fondements juridiques sur lesquels s’appuient les activités du CST ont subi des modifications dans la foulée de l’examen du BCCST. En considération des modifications apportées à ces fondements juridiques, l’OSSNR a amorcé une nouvelle évaluation visant à établir si les activités internes d’échange d’informations entre les volets cybersécurité et renseignement étranger du CST étaient toujours conformes aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels.

(NC) D’emblée, l’OSSNR s’attend à ce que les échanges internes d’ICPC effectués au sein du CST répondent aux exigences de la Loi sur le CST et de la Loi sur la protection des renseignements personnels. Le présent examen a donc mis l’accent sur l’analyse des fondements juridiques permettant au CST de procéder à des échanges d’ICPC entre les volets cybersécurité et renseignement étranger.

(NC) La Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) divise le mandat du CST en cinq volets distincts. En l’occurrence, la Loi sur le CST établit des distinctions entre les volets, notamment, sur le plan des objectifs et des activités. Voici donc un aperçu de ces distinctions :

  • Renseignement étranger (RE) (article 16) : acquérir de l’information à partir de l’infrastructure mondiale de l’information (IMI) et utiliser, analyser et diffuser l’information dans le but de fournir des renseignements étrangers.
  • Cybersécurité et assurance de l’information (cybersécurité) (article 17) : fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou celles désignées par le paragraphe 21(1) de la Loi sur le CST, mais aussi acquérir, utiliser et analyser l’information de sorte à renforcer la protection de cette information électronique et de ces infrastructures.
  • Cyberopérations défensives (article 18) : mener, dans l’infrastructure mondiale de l’information, des activités ayant pour but de protéger l’information électronique de même que les infrastructures de l’information des institutions fédérales ou celles désignées au paragraphe 21(1) de la Loi sur le CST.
  • Cyberopérations actives (article 19) : mener des activités dans l’infrastructure mondiale de l’information visant à réduire, à interrompre, à influencer ou à contrecarrer, selon le cas, les capacités, les intentions ou les activités d’entités étrangères.
  • Assistance technique et opérationnelle (article 20) : fournir une assistance technique et opérationnelle aux organismes chargés de l’application de la loi et de la sécurité, aux Forces canadiennes et au ministère de la Défense nationale.

(NC) De plus, la Loi sur le CST établit des distinctions entre les volets en exigeant aussi l’obtention d’autorisations ministérielles (AM) pour les diverses activités du CST, sauf dans les contextes où celui-ci prête son assistance (art 20)6. En outre, exception faite des activités d’assistance, la Loi sur le CST stipule que les activités du CST ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne peuvent porter atteinte à la Charte canadienne des droits et libertés7. Les activités menées par le CST dans la réalisation du volet touchant au RE et à la cybersécurité ne doivent pas contrevenir aux autres lois fédérales ni viser l’acquisition d’information à partir de l’infrastructure mondiale de l’information ou par l’entremise de celui-ci qui puisse porter atteinte à une attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada, à moins d’être menées au titre d’une autorisation ministérielle.

(NC) Le ministre de la Défense nationale peut délivrer une AM permettant au CST de mener des activités ou des catégories d’activités pouvant contrevenir à une loi fédérale et, dans le cas du RE et de la cybersécurité, de viser l’acquisition d’informations qui porteraient atteinte à l’attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada. Les AM de RE et de cybersécurité doivent être approuvées par le commissaire au renseignement (CR), qui est tenu d’examiner si les conclusions que le ministre a rendues avant de délivrer l’autorisation sont raisonnables.

(NC) Ainsi, le CST est autorisé à acquérir incidemment des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada au cours d’activités menées au titre d’une autorisation délivrée en vertu d’une AM de RE [art 26(1)], d’une AM de cybersécurité [art 27(1) ou 27(2)] ou encore d’une AM en cas d’urgence (art 40). Le CST désigne ces informations comme étant des informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC). Avant de délivrer une autorisation, le ministre doit être convaincu que le CST n’utilisera, n’analysera ou ne conservera les ICPC que si la situation répond aux conditions d’essentialité visées à l’article 34 de la Loi sur le CST, conditions qui sont différentes dans le cas des volets RE et cybersécurité. Pour ce qui touche le RE, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est essentielle aux affaires internationales, à la défense ou à la sécurité. Pour ce qui a trait à la cybersécurité, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est nécessaire pour découvrir, isoler, prévenir ou atténuer des dommages (i) aux informations électroniques ou infrastructures de l’information des institutions fédérales ou encore (ii) aux informations électroniques ou infrastructures de l’information visées au paragraphe 21(1) de la Loi sur le CST.

(NC) Étant donné que la Loi sur le CST établit des distinctions entre les volets et leurs AM respectives, l’OSSNR a examiné les fondements juridiques encadrant les activités du CST en matière d’échange d’ICPC entre les volets RE et cybersécurité.

(NC) En raison de difficultés opérationnelles et de problèmes liés aux accès, notamment en contexte de pandémie de COVID-19, le présent examen n’a donné lieu ni à une évaluation ni à une vérification indépendantes de la conformité du CST aux lois ou aux contraintes et pouvoirs en vigueur dans les cas d’échanges d’informations en interne, entre divers volets. Au reste, l’OSSNR n’a pas été en mesure de procéder en toute indépendance à des observations, à des enquêtes ou à des validations visant les systèmes employés aux fins des échanges de données entre divers volets (prière de consulter l’Annexe F pour trouver une description des méthodes et des processus suivis par le CST pour échanger des informations entre deux volets). Or, ces systèmes d’échange de données pourraient ultérieurement être l’objet d’un examen de la part de l’OSSNR.

12. (NC) L’OSSNR avait également l’intention d’examiner les échanges internes d’informations du côté des volets cyberopérations actives (COA) et cyberopérations défensives (COD) du mandat du CST, ce qui comprend également les exigences visées au paragraphe 34(4) de la Loi sur le CST concernant l’acquisition d’informations pendant les cyberopérations de type COA ou COD. Entre autres, ce paragraphe stipule qu’aucune information ne sera acquise au titre d’une autorisation de COA ou de COD, sauf conformément à une autorisation de RE [Loi sur le CST, paragraphe 26(1)], à une autorisation de cybersécurité [Loi sur le CST, paragraphes 27(1) et 27(2)] ou à une autorisation en cas d’urgence [Loi sur le CST, paragraphe 40(1)]. Cet aspect de l’examen a plutôt été réalisé à l’occasion d’un autre examen de l’OSSNR intitulé Cyberopérations actives et cyberopérations défensives du CST – Gouvernance et sera examiné plus avant à l’occasion d’un prochain examen de l’OSSNR devant se dérouler en 2021.

(NC) Il importe d’indiquer que le présent examen ne s’est pas penché sur la communication d’informations nominatives sur un Canadien (INC) à l’extérieur du CST.

Renseignements généraux

Que sont les ICPC?

(NC) Même si elle est mentionnée à plusieurs reprises dans la Loi sur le CST, la notion « information se rapportant à un Canadien ou à une personne se trouvant au Canada » (ICPC) n’y est pas précisément définie. De fait, les ICPC sont des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada et qui pourraient être incidemment collectées par le CST durant des activités de RE ou de cybersécurité menées au titre d’une AM. Selon la politique du CST, s’entend d’une ICPC toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, que cette information puisse ou non servir à identifier ledit Canadien ou ladite personne se trouvant au Canada.

(NC) Il faut donc savoir que les ICPC diffèrent de ce que l’on appelle les informations nominatives sur un Canadien (INC). En outre, la Loi sur le CST emploie fréquemment les deux termes, ICPC et INC, pour désigner certains types d’informations. De fait, les ICPC comprennent toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, tandis que les INC comprennent toute information qui permet d’identifier un Canadien ou une personne se trouvant au Canada et qui a été utilisée, analysée ou conservée au titre d’une autorisation de RE ou de situation d’urgence. Pour le CST, les INC sont un sous-ensemble des ICPC. Par ailleurs, l’article 43 de la Loi sur le CST indique que les INC peuvent être communiquées par le CST à des personnes désignées en vertu de l’article 45 de cette même Loi.

Échanges internes d’ICPC au CST

(TS) Dans certains cas, la politique du CST permet que les ICPC collectées dans le cadre des activités d’un volet soient communiquées aux fins d’utilisation par un autre volet (voir l’Annexe D pour une description des autres types d’informations pouvant être échangées entre les volets RE et cybersécurité). Le CST permet que le RE soit utilisé en interne pour répondre à des besoins liés à la cybersécurité. Les informations conservées au sein du volet cybersécurité peuvent être utilisées par le personnel du CST travaillant au sein du volet RE, à moins que les informations soient assujetties à des conditions particulières imposées par des clients externes ou des entités divulgatrices. Selon le CST, les échanges d’information entre les divers volets du mandat permettent au Centre d’exercer ses fonctions de soutien aux priorités du gouvernement du Canada.

(TS) Dans le contexte de la cybersécurité, le CST a indiqué que les ICPC échangées en interne dans le but d'appuyer le volet RE [description des opérations du CST expurgé]

(TS//SI) À titre d’exemple, le CST a abordé [description des opérations du CST expurgé]. Le fait de communiquer cette information entre divers volets du mandat a permis au CST de renforcer la protection de l’information électronique et des structures de l’information du GC, mais aussi des systèmes et réseaux d’importance (SRI) en permettant de reconnaître, d’isoler et d’atténuer la menace en question. Cette communication a également fourni aux décideurs du GC un portrait complet des menaces qui ciblent le Canada.

(TS) Après avoir examiné une série de rapports choisis au hasard, reçu des informations de la part du CST et interrogé des analystes expérimentés à la fois en RE et en cybersécurité29, l’OSSNR a appris que les ICPC échangées30 entre les volets RE et cybersécurité comprenaient généralement [liste des données opérationnelles utilisées dans le système expurgé]

(NC) Le CST estime que même lorsque des ICPC sont échangées entre les divers volets, les activités ne ciblent aucunement des Canadiens ou des personnes se trouvant au Canada. Comme il a été dit précédemment, les activités du CST ne doivent viser ni les Canadiens ni les personnes se trouvant au Canada..

Conclusions et recommendations

Conformité aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels

Quelles sont les lois s’appliquant aux échanges d’informations en interne?

(S) Les lois s’appliquant au CST en matière d’échange d’informations en interne sont les lois habilitantes du CST, à savoir la Loi sur le CST et la Loi sur la protection des renseignements personnels. La Loi sur le CST ne contient pas à proprement parler d’autorisation permettant les échanges d’ICPC entre les divers volets. De même, les dispositions de la Loi sur le CST en matière de divulgation des INC, lesquelles sont énoncées aux articles 43 à 45, n’abordent pas directement la question des échanges d’ICPC en interne. De fait, pour que des informations soient divulguées en vertu de ces dispositions, le ministre doit d’abord autoriser le CST à collecter les INC et à les communiquer en interne. De plus, le CST ne constitue pas une entité désignée en vertu de l’article 45 de la Loi sur le CST pour ce qui a trait à la réception d’informations divulguées au titre des articles 43 et 44.

(NC) Les ICPC pourraient constituer des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels, à savoir des informations se rapportant à une personne identifiable, qui sont enregistrées sous une forme ou une autre. Par exemple, les adresses IP canadiennes pourraient constituer à la fois des ICPC au sens de la Loi sur le CST, mais aussi des renseignements personnels au sens de la Loi sur la protection des renseignements personnels. En vertu de l’article 4 de la Loi sur la protection des renseignements personnels, la collecte de renseignements personnels doit être directement liée à une activité ou un programme d’exploitation de l’organisme, ce qui englobe les activités relevant du mandat du CST en vertu de la Loi sur le CST.

(NC) La Loi sur la protection des renseignements personnels exige également que les renseignements personnels soient utilisés ou divulgués conformément aux dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels. En l’occurrence, l’article 7 énonce ce qui suit :

À défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci :

  • qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins;
  • qu’aux fins auxquelles ils peuvent lui être communiqués en vertu de du paragraphe 8(2).

(NC) L’OSSNR a vérifié si les échanges d’ICPC effectués par le CST en interne répondaient aux exigences de la Loi sur la protection des renseignements personnels, laquelle impose des contraintes sur la façon dont les renseignements personnels collectés peuvent être utilisés par les institutions fédérales. L’OSSNR a conclu que dans certaines circonstances, comme il est décrit plus loin dans le présent rapport, les échanges d’ICPC constituant des renseignements personnels entre les volets RE et cybersécurité pourraient répondre aux exigences de la Loi sur la protection des renseignements personnels. Or, cette évaluation de la conformité nécessite l’analyse de chacun des cas.

(Protégé B//Secret professionnel de l’avocat) L’OSSNR s’est penché sur l’analyse juridique de la DSJ du CST, laquelle a été réalisée par les avocats du ministère de la Justice (MJ), [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

Conformité à la Loi sur la protection des renseignements personnels

(NC) Suivant son évaluation de la conformité à l’article 7 de la Loi sur la protection des renseignements personnels, l’OSSNR note que le CST met davantage l’accent sur la conformité aux dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST, lorsqu’il s’agit de soutenir les échanges internes de renseignements personnels entre divers volets du mandat.

(NC) Comme il a été indiqué, l’article 7 de la Loi sur la protection des renseignements personnels déclare qu’à défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci : 1) qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins; ou 2) qu’aux fins auxquelles ils peuvent lui être communiqués en vertu du paragraphe 8(2) de la Loi. Il importe de souligner que les fins de l’utilisation des informations ne doivent pas forcément être identiques à celles auxquelles les informations ont été obtenues; il suffit que cette utilisation soit compatible avec les fins.

(NC) Le fait de s’appuyer sur l’article 34 de la Loi sur le CST pose une difficulté sur le plan de la conformité à la Loi sur la protection des renseignements personnels, car l’article 34 ne cite pas à proprement parler les fins de la collecte incidente d’ICPC ni n’énonce d’autorisation visant les échanges en interne. Il établit plutôt les préalables qu’il faut respecter avant que le ministre exerce son pouvoir de délivrer une AM. Les alinéas 34(2)c) et 34(3)d) de la Loi sur le CST précisent que le ministre doit être convaincu que les mesures de protection de la vie privée visées à l’article 24 de la Loi garantiront que les ICPC seront utilisées, analysées, et conservées uniquement si ces ICPC sont conformes aux exigences en matière d’essentialité qui s’appliquent, selon le cas, au RE ou à la cybersécurité. En outre, ces conditions établissent un seuil obligatoire s’appliquant à l’utilisation, à l’analyse et à la conservation des ICPC collectées en vertu d’une AM, et non une autorisation visant les échanges d’ICPC en interne.

(NC) Tout dépend des circonstances de fait suivant lesquelles les ICPC sont échangées. En effet, tout échange d’ICPC contenant des renseignements personnels entre les volets RE et cybersécurité du CST pourrait être permis en vertu de la Loi sur le CST et de la Loi sur la protection des renseignements personnels, pour peu que les informations soient échangées pour les mêmes motifs que ceux pour lesquels elles avaient été obtenues ou pour une utilisation qui soit compatible avec ces motifs. En l’occurrence, il conviendrait de procéder à une évaluation de chacun des cas pour s’assurer que les ICPC sont de facto échangées en interne pour les mêmes motifs que ceux invoqués pour justifier la collecte, pour des motifs compatibles avec ceux ayant justifié la collecte ou encore pour les motifs visés à l’alinéa 7b) en vertu desquels les échanges sont permis à condition de répondre à l’un des critères énoncés par le Parlement au paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Tel qu’il a été dit précédemment, le CST ne considère pas les échanges internes comme étant des divulgations d’informations. Or, l’OSSNR note que la question de savoir si les échanges internes constituent à proprement parler une « utilisation » ou une « divulgation » au titre de la Loi sur la protection des renseignements personnels demeure nébuleuse. Néanmoins, l’OSSNR souligne qu’en se basant uniquement sur le critère « d’essentialité » visé à l’article 34, le CST ne se permet pas de conclure indubitablement qu’il dispose des pouvoirs requis pour procéder auxdits échanges en interne.

(NC) Une justification au titre de l’alinéa 7a) ou de l’alinéa 8(2)a) de la Loi sur la protection des renseignements personnels exige que le CST révèle l’objet de la collecte incidente et de l’échange en interne, qui est énoncé dans le volet correspondant du mandat du CST. Les motifs de collecte – de même que l’autorisation de procéder à la collecte – de renseignements personnels sont énoncés dans la Loi sur le CST. Les articles 16 et 17 de la Loi décrivent le RE et la cybersécurité comme étant les programmes et les activités opérationnelles de l’organisme, et les autorisent à collecter des informations dans l’exercice de leurs mandats respectifs. Rappelons que les AM doivent autoriser la collecte dès lors que les activités pourraient contrevenir aux dispositions d’une loi du Parlement ou prévoir l’acquisition – à partir de/par l’entremise de l’IMI – d’informations qui pourraient porter atteinte à une attente raisonnable en matière de protection de la vie privée d’un Canadien ou d’une personne se trouvant au Canada. Suivant la description des volets aux articles 16 et 17 de la Loi sur le CST, il peut y avoir des cas où les informations acquises en vertu de l’un des volets puissent être utilisées pour les mêmes motifs ou pour des motifs compatibles avec ceux d’un autre volet, ce qui répond aux exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne des informations. Toutefois, on ne peut pas tenir ce principe pour acquis dans la mesure où les objectifs des divers volets sont décrits différemment dans la Loi.

(NC) L’article 16 de la Loi sur le CST autorise le Centre à acquérir des informations à partir/par l’entremise de l’IMI et d’utiliser, d’analyser et de communiquer ces informations aux fins de production de renseignement étranger conformément aux priorités du gouvernement du Canada (GC)45. Or, l’article 17 de la Loi sur le CST autorise le Centre à fournir des avis, des conseils et des services dans le but d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales, mais aussi les systèmes désignés comme étant importants pour le gouvernement fédéral, ainsi qu’à acquérir, à utiliser et à analyser les informations issues de l’IMI ou d’autres sources afin de fournir lesdits avis, conseils et services.

(TS//SI) Lorsqu’il s’agit d’échanger des ICPC acquises par le volet RE dans le but d’appuyer le volet cybersécurité du mandat du CST, il y a tout lieu de croire que les motifs demeurent les mêmes si la cybersécurité fait partie des motifs pour lesquels le RE a été obtenu, utilisé, analysé ou communiqué. Or, il convient de mentionner que pendant la période couverte par le présent examen, [lié aux priorités du GC expurgé]. Les échanges d’informations qui visent à répondre aux objectifs du CST consistant, selon l’article 17, à fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou désignées pourraient être considérés comme constituant des usages semblables (sinon compatibles) à l’usage pour lequel les ICPC ont initialement été obtenues. Dès lors que du RE est utilisé dans le cadre du volet prévu à l’article 17 afin de protéger l’information électronique et les infrastructures de l’information fédérales ou désignées, les motifs de la collecte et l’utilisation corollaire des informations collectées pourraient demeurer les mêmes.

(NC) Pour ce qui concerne les ICPC acquises par le volet cybersécurité, les communications d’informations vers le volet RE pourraient être autorisées pour peu que l’usage du RE repose sur des motifs semblables (sinon compatibles) à ceux qui justifient l’acquisition initiale des informations, c.-à-d. de fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique ou les infrastructures de l’information fédérales ou désignées. Ainsi, la communication d’ICPC obtenues par le volet cybersécurité vers le volet RE serait permissible en vertu de la Loi sur la protection des renseignements personnels pour peu que les échanges internes servent l’objectif consistant à aider à protéger l’information électronique et les infrastructures de l’information fédérales ou désignées.

(NC) Somme toute, si le CST acquiert des renseignements personnels afin d’alimenter les activités des volets RE ou cybersécurité ou de servir des usages compatibles avec ces activités, ses échanges internes d’ICPC peuvent être conformes aux dispositions de l’alinéa 7a) ou du paragraphe 8(2) de la Loi sur la protection des renseignements personnels, pour peu que les fins poursuivies par les activités de collecte et d’échange soient énoncées et justifiées. De plus, le CST doit toujours répondre aux conditions stipulées dans la Loi sur le CST et ayant trait aux AM relativement à la collecte et à l’utilisation des ICPC. Pour justifier les échanges internes de renseignements personnels entre divers volets, il faut réaliser une analyse approfondie axée sur les circonstances de fait de chacun des cas.

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  1. établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  2. établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Autorisations ministérielles

(NC) La Loi sur le CST ne permet pas au ministre d’autoriser les échanges d’ICPC en interne. En effet, seules les AM peuvent accorder une autorisation visant, dans le cas du RE, les activités ou catégories d’activités énumérées au paragraphe 26(2) ou encore, dans le cas de la cybersécurité, les activités d’accès ou d’acquisition visant les informations visées aux paragraphes 27(1) et 27(2). Tout échange interne d’ICPC contenant des renseignements personnels doit être réalisé en conformité aux dispositions de la Loi sur la protection des renseignements personnels.

(NC) Comme il a été dit précédemment, l’article 24 de la Loi sur le CST exige que le Centre mette en place des mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada en ce qui a trait à l’utilisation, à l’analyse, à la conservation et à la divulgation d’ICPC. Ainsi, lorsqu’il délivre une AM, le ministre doit avoir conclu que ces mesures garantiront que les ICPC acquises ne seront utilisées, analysées ou conservées que si elles répondent aux critères d’essentialité énoncés aux alinéas 34(2)c) ou 34(3)d). Le ministre peut délivrer les autorisations s’il conclut que les activités en cause sont « raisonnables et proportionnelles compte tenu de la nature de l’objectif à atteindre et des activités. » Alors que le ministre soupèse le caractère raisonnable des activités proposées aux fins du RE ou de la cybersécurité, on peut imaginer que certaines activités puissent être raisonnables et proportionnelles dans un contexte, mais pas dans l’autre. Certes, les activités autorisées au titre du paragraphe 26(2) peuvent acquérir un éventail d’informations plus large que celui qui est visé aux paragraphes 27(1) et 27(2). Or, les communications d’informations allant du RE à la cybersécurité pourraient permettre au CST d’utiliser, aux fins de la cybersécurité, plus d’informations que ce qui est permis par les autorisations de cybersécurité en soi et pourraient nécessiter de nouvelles mesures de protection de la vie privée lorsque lesdites informations sont utilisées.

(NC) Pour délivrer une AM, le chef du CST doit, dans une demande, faire état des faits de telle sorte que le ministre puisse conclure qu’il y a des motifs raisonnables de croire que l’autorisation est nécessaire et que les critères justifiant la délivrance sont respectés. L’OSSNR estime nécessaire que la demande présentée par le chef donne au ministre toutes les informations requises sur la façon dont les ICPC pourraient être utilisées et analysées par le CST, ce qui comprend les modalités d’échange des ICPC avec d’autres volets ainsi que les fins poursuivies. Ces informations devraient également permettre au ministre de déterminer, en application de l’article 35, si d’autres critères, conditions ou contraintes pourraient être recommandés afin de protéger la vie privée des Canadiens dès lors qu’il est question de délivrer une autorisation de RE ou de cybersécurité.

(TS//SI) Pour ce qui concerne les autorisations délivrées en 2020, la plupart des demandes présentées par le chef du CST indiquaient que les informations collectées et conservées pourraient possiblement être utilisées par d’autres volets, alors que le texte de la plupart des AM correspondantes ne faisait aucune mention de possibles utilisations par d’autres volets. Dans un cas particulier, c’est la situation inverse qui s’est produite : [exemple d’opérations du CST expurgé].

(TS//SI) De plus, en 2020, les demandes et les autorisations de RE indiquent que pour répondre au critère d’essentialité s’appliquant à la conservation des ICPC au titre de l’alinéa 34(2)c) de la Loi sur le CST, les ICPC seront conservées pour peu qu’elles soient jugées essentielles pour la cybersécurité. En l’occurrence, la cybersécurité fait partie de ces éléments qui sont « essentiels pour la sécurité », ce qui donne au ministre des éléments contextuels additionnels sur la façon dont les conditions de l’essentialité sont évaluées, mais aussi respectées par le CST. L’OSSNR estime que ces informations sont nécessaires dans la mesure où elles permettent au ministre d’établir si les conditions énumérées à l’article 34 de la Loi sur le CST ont été respectées préalablement à la délivrance de l’AM.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Évaluation de l’essentialité, de la nécessité et de la pertinence

(NC) En vertu de la politique du CST, il faut procéder à une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets avant d’être en mesure d’établir s’il convient d’échanger les informations entre divers volets (voir l’Annexe G pour connaître les balises et les définitions employées pour l’évaluation des ICPC que l’on envisage de communiquer entre divers volets). Ces termes sont tirés de la Loi sur le CST, mais n’y sont pas définis. La politique du CST fournit des définitions et des critères sur lesquels reposent l’évaluation et l’application de ces balises aux informations. Or, l’OSSNR n’a évalué ni le caractère licite de ces balises stratégiques ni la façon dont les exigences sont respectées par le CST lorsque ce dernier procède à des échanges d’ICPC en interne. Ces aspects pourraient être examinés à l’occasion d’examens ultérieurs.

(TS) La politique du CST établit également les critères suivant lesquels il convient d’autoriser les échanges d’ICPC entre divers volets (voir l’Annexe E pour connaître les processus d’approbation que le CST applique aux échanges d’informations). Avant que les ICPC puissent être échangées entre divers volets, leur caractère essentiel doit être évalué en fonction du volet qui en a fait l’acquisition. Dès lors qu’elles ne respectent pas les balises permettant d’établir leur caractère essentiel, les informations doivent être supprimées.

(Protégé B//Secret professionnel de l’avocat) Selon le CST, [avis ou conseil juridique expurgé]

(NC) L’OSSNR admet que la Loi sur le CST n’exige pas que les ICPC échangées en interne entre les volets RE et cybersécurité respectent les deux conditions de l’essentialité visées aux alinéas 34(2)c) et 34(3)d) de la Loi. Or, les paragraphes 22(3) et 22(4) de la Loi sur le CST exigent la délivrance d’une AM de RE ou de cybersécurité, lorsque les activités à mener en soutien à l’un ou l’autre de ces volets impliquent l’acquisition, à partir de l’IMI, d’informations pouvant porter atteinte à une attente raisonnable de protection de la vie privée ou lorsque les activités pourraient contrevenir à une loi fédérale. Les AM ne peuvent autoriser que les activités ou catégories d’activités énumérées au paragraphe 26(2) pour le RE, ou pour accéder aux infrastructures de l’information et acquérir les informations énoncées aux paragraphes 27(1) et 27(2). Comme il a été dit précédemment, les balises s’appliquant à « l’essentialité » (cf. l’article 34) établissent l’autorité du ministre en matière d’approbation d’une AM en fonction des préalables énoncés au paragraphe 24 concernant la protection de la vie privée. On pourrait donc comprendre que cette exigence s’applique à l’utilisation, à l’analyse et à la conservation des ICPC collectées par le CST en vertu d’une AM, et ce, dans un seul volet. Par conséquent, la Loi sur le CST n’exige d’aucune façon que le CST respecte les balises encadrant la notion d’essentialité dans le cas d’un volet dont les ICPC font l’objet d’un échange en interne. Les ICPC doivent uniquement respecter les conditions initiales d’essentialité énoncées à l’alinéa 34(2)c) ou à l’alinéa 34(3)d) lorsque des ICPC sont acquises conformément à l’AM qui autorise la collecte incidente desdites ICPC.

Constatation no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

Conclusion

(NC) Comme la Loi sur le CST établit des distinctions entre les divers volets et les AM correspondantes, l’OSSNR a décidé d’examiner les fondements juridiques régissant les échanges d’ICPC entre le volet RE et le volet cybersécurité du mandat du CST. L’OSSNR a conclu que dans certaines circonstances, les échanges en interne pourraient être compatibles avec les dispositions de la Loi sur la protection des renseignements personnels. Toutefois, le CST doit accorder une attention accrue aux motifs de la collecte d’ICPC lorsqu’il s’agit de justifier les échanges d’ICPC en interne.

(NC) Le présent examen a également permis d’acquérir une connaissance de base des processus, des systèmes et des mesures de conformité en vigueur au CST relativement aux échanges d’ICPC entre divers volets du mandat. Même s’il n’a pas été en mesure de vérifier ces informations en toute indépendance, l’OSSNR envisage de s’en inspirer pour réaliser les examens ultérieurs.

Annexes

ANNEXE A : Objectifs, portée et méthodologie

(NC) Initialement, l’OSSNR se proposait d’examiner les échanges internes d’ICPC entre divers volets du mandat du CST suivant une approche thématique devant se concentrer sur plusieurs secteurs opérationnels et plusieurs volets. En outre, l’examen prévoyait d’examiner les échanges d’informations ayant eu lieu entre divers volets, du 1er août 2019 au 1er août 2020, de sorte à évaluer en toute indépendance :

  • la conformité aux exigences juridiques, ministérielles et stratégiques, notamment la gestion adéquate des risques liés à la conformité pendant la conduite d’activités d’échange d’informations entre divers volets du mandat du CST;
  • les politiques, les procédures et les pratiques du CST s’appliquant aux échanges internes d’informations entre divers volets du mandat du CST.

(NC) Compte tenu de la conjoncture défavorable au déroulement des opérations, pensons notamment aux perturbations et aux difficultés d’accès liées à la pandémie de COVID-19, il a fallu réviser à la baisse les objectifs, la portée et la méthodologie qui avaient été fixés pour le mandat du présent examen (envoyé au CST le 28 août 2020). Par conséquent, l’examen n’a porté que sur les fondements juridiques sur lesquels s’appuient les échanges d’informations entre le volet RE et le volet cybersécurité.

(NC) L’OSSNR a donc examiné des documents et des dossiers ayant trait aux échanges d’informations entre divers volets du mandat du CST, et ce, pour la période s’étendant du 1er août 2019, date d’entrée en vigueur de la Loi sur le CST, au 1er août 2020.

(NC) Deux entrevues ont été réalisées avec des employés du CST ayant pris part à des échanges d’informations entre divers volets du mandat du CST. De plus, une entrevue a été réalisée avec un avocat du ministère de la Justice qui connaît bien le cadre juridique qui régit ce type d’activités.

(NC) L’OSSNR a également produit une description élémentaire de certains des processus, des systèmes et des mesures de conformité s’appliquant aux échanges d’informations dans le but d’établir une base de connaissances sur laquelle les examens ultérieurs pourront s’appuyer.

ANNEXE B : Réunions et séances d’information

Séance d’information, Information Sharing: Sharing information for use across aspects of the CSE Mandate, OSSNR, 7 février 2020.

OSSNR, réunion avec l’avocat du ministère de la Justice à la DSJ du CST, 13 octobre 2020.

OSSNR, réunion avec des analystes du CST, 20 octobre 2020.

ANNEXE C : Conclusions et recommandations

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  • établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  • établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Conclusion no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

ANNEXE D : Les informations sur les partenaires et les clients ainsi que les informations publiquement accessibles faisant l’objet d’échanges entre les volets renseignement étranger et cybersécurité

(Protégé B) Dans le cadre du volet cybersécurité, les clients du fédéral, mais aussi d’autres clients peuvent divulguer des informations sur les cybermenaces au CST, qui est l’organisme responsable de la cybersécurité au Canada. Ces clients peuvent également faire appel aux services du CST aux fins d’analyse et d’atténuation de cyberincidents avérés ou soupçonnés. Les informations communiquées peuvent être utilisées à des fins liées au RE, pour peu que cette communication serve à identifier, à isoler, à prévenir ou à atténuer les dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC.

(Protégé B) Les documents de gouvernance qui encadrent les ententes conclues entre le CST, d’une part, et le GC et les clients non fédéraux, d’autre part, précisent que les informations qui ont été obtenues par le CST par l’intermédiaire du réseau ou du système d’un client et qui se rapportent au volet cybersécurité peuvent être communiquées aux partenaires [informations opérationnelles du CST expurgé] ou aux partenaires internes dans le cas des clients du GC) qui œuvrent dans le domaine de la cybersécurité aux fins de découverte, d’isolement, de prévention ou d’atténuation des dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC56. Toutefois, ces documents n’indiquent pas explicitement que les informations provenant des clients pourraient être utilisées à des fins liées au RE. Pour permettre aux entités divulgatrices de donner un consentement qui soit éclairé, l’OSSNR estime qu’il serait approprié que le CST soit parfaitement transparent concernant la façon dont les informations provenant des clients pourraient être utilisées par le CST.

(Protégé B) Lorsqu’elles sont communiquées à des partenaires [informations opérationnelles du CST expurgé] les informations venant de clients sont anonymisées, et les renseignements permettant d’identifier une personne sont exclus. Tout produit de cybersécurité diffusable qui a été créé à partir d’informations venant d’un client ne doit contenir que l’information nécessaire à l’atténuation d’une cybercompromission. De plus, les entités divulgatrices peuvent également imposer certaines restrictions sur l’utilisation et la communication de leurs données au moment de la divulgation.

(TS) En vertu du paragraphe 21(1) de la Loi sur le CST, le Centre est autorisé à acquérir et à utiliser les informations publiquement accessibles sans avoir à demander une AM. Actuellement, [lié à un avis ou conseil juridique expurgé].

ANNEXE E : Processus d’approbation et approbation des échanges d’informations

Processus d’approbation des échanges d’ICPC

(TS//SI) Le pouvoir officiel d’autorisation des échanges d’informations est énoncé dans la politique interne du CST et est tributaire de la nature des informations à échanger. La politique du CST exige l’approbation de la gestion (ce qu’on appelle également « autorité de diffusion ») avant tout échange d’ICPC non supprimées entre divers volets. Cependant, la politique ne donne aucune précision quant au processus d’approbation en vigueur. On s’en remet plutôt au secteur opérationnel concerné et aux pratiques opérationnelles qui y sont observées. D’après l’ensemble des politiques relatives à la mission (EPM), toutes les décisions de gestion doivent être enregistrées et conservées dans un dépôt central aux fins de transparence et de reddition de comptes. En outre, ces enregistrements doivent être accessibles aux responsables des examens. Toutefois, dans le cadre du présent examen, l’OSSNR n’a pas été en mesure de vérifier ni d’évaluer en toute indépendance le processus d’approbation visant les échanges d’ICPC en interne.

(TS) En règle générale, le CST exige des approbations de gestion dans le cas des échanges d’informations – contenues dans un rapport – aux fins d’utilisation par divers volets du mandat du CST. Lorsque les informations contiennent des ICPC, le CST élève l’autorité de diffusion au niveau hiérarchique approprié. L’autorité de diffusion appropriée et les conditions de diffusion sont décrites dans la politique (dont il est question plus bas). L’autorité de diffusion est responsable des échanges d’informations et doit être avisée de tout changement apporté aux données et donnant lieu à une modification des informations se rapportant à la vie privée que l’on envisage de communiquer.

(TS) Les techniques d’échange automatisé [lié aux priorités du GC expurgé]

Communication d’ICPC du volet cybersécurité au volet renseignement étranger

(NC) Les ICPC conservées aux fins du volet cybersécurité peuvent être communiquées au volet RE à titre de produits de cybersécurité communicables (PCC) dès lors que ces produits répondent aux exigences énumérées plus bas. Or, l’autorité de diffusion est établie en fonction de l’impact que la communication des informations peut avoir sur la vie privée d’un individu ou d’une entité, et cet impact est déterminé en fonction du niveau de sensibilité et de la nature des ICPC. Selon le niveau de sensibilité des ICPC, les gestionnaires ou superviseurs des opérations du Centre canadien pour la cybersécurité (CCC) doivent approuver les PCC contenant des ICPC.

(NC) D’après le CST, les exigences s’appliquant aux PCC sont les suivantes :

Exigence Quand et comment l’exigence est appliquée
L’objectif est de fournir des conseils, des avis et des services Au moment de l’échange. – Pourquoi cette information doit-elle faire l’objet d’un échange?
Le produit ne contient que les informations conservées La décision d’utiliser ou de conserver les informations est prise au moment où les données brutes sont évaluées dans le but d’en établir la pertinence et la nécessité (et l’essentialité dans le cas des ICPC) pour le volet cybersécurité du mandat.
Protection de la vie privée

Au moment de l’échange, s’il y a lieu (p. ex. restitution au propriétaire de système/à l’administrateur qui a déjà accès aux informations depuis ses propres systèmes ou diffusion à un auditoire élargi moyennant de rigoureuses restrictions visant l’utilisation des informations).

Aucune suppression n’est requise lorsque les ICPC sont échangées pour utilisation dans le cadre du volet RE du mandat, pour peu que l’échange vise à soutenir les activités consacrées à la protection des informations électroniques et des infrastructures de l’information du GC ou à la protection des systèmes et réseaux d’importance pour le GC.

Classification et contraintes s’appliquant à l’utilisation et au traitement

S’appliquent à l’utilisation et à la diffusion des informations par le volet RE au moment de l’échange ou à une étape ultérieure. Peuvent comprendre des utilisations subséquentes préapprouvées et, s’il y a lieu, des restrictions imposées par le propriétaire des données/des systèmes.

Peuvent être appliquées aux rapports produits finis (RPF) par une plateforme de préparation de rapports (PPR); imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.

Vérifiable Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.
À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine (p. ex. AM vs non-AM; le client divulgateur, s’il y a lieu, etc.); les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement.
Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 25.2 du chapitre consacré à la cybersécurité, dans l’EPM.

Communication d’ICPC du volet renseignement étranger au volet cybersécurité

(TS) Les ICPC obtenues aux fins du volet RE peuvent être communiquées au CCC en tant que produits SIGINT communicables (PSC). Or, avant d’être communiqués, les PSC contenant des informations présentant un intérêt reconnu sur le plan de la vie privée de Canadiens ou se rapportant à du matériel présentant un intérêt sur le plan de la vie privée de Canadiens nécessitent l’approbation du CA SIGINT, quoique ce pouvoir d’approbation puisse être délégué à un autre intervenant.

(TS) Le tableau suivant présente succinctement les façons dont les critères énoncés dans la politique peuvent être respectés lorsqu’il s’agit de créer un PSC aux fins d’échange d’informations pour utilisation par le volet cybersécurité.

Exigence Quand et comment l’exigence est appliquée
Les informations se rapportent au contexte du RE Au moment de l’évaluation. Ce critère doit être respecté préalablement à toute utilisation.
Protection de la vie privée (p. ex. suppression des ICPC)

Au moment de l’échange, s’il y a lieu.

La suppression est obligatoire pour ce qui a trait aux ICPC contenues dans un RPF communiqué à l’extérieur du CST. Les clients du CCC qui reçoivent ces RPF peuvent demander ces INC en faisant appel au processus lié aux mesures consécutives.

Autrement, aucune suppression n’est requise lorsque les ICPC doivent servir à des fins de cybersécurité, mais il convient alors d’appliquer d’autres mesures de protection de la vie privée, par exemple, des restrictions quant aux destinataires des informations.

Expurgation S’applique au moment de l’échange ou lorsque l’utilisation par la cybersécurité nécessite que les informations soient nettoyées dans le but de protéger les intérêts du CST.
Sérialisation

Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.

À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine [exemple d’opérations du CST expurgé] les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement

Restrictions de diffusion

S’appliquent à l’utilisation et à la diffusion des informations par le volet cybersécurité au moment de l’échange ou à une étape ultérieure. Peuvent comprendre l’application de mesures préapprouvées.

Peuvent être appliquées aux RPF par une plateforme de préparation de rapports; imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.

Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 27.8 du chapitre consacré au RE, dans l’EPM.

Examens internes portant sur les échanges d’informations

(TS) Les échanges d’informations en interne entre divers volets sont assujettis à des examens que le CST réalise en interne sur les échanges automatisés, mais aussi sur les interrogations de données. Le groupe Conformité du SIGINT, l’équipe responsable de la conformité interne des activités relevant du volet RE, a examiné les interrogations provenant du CST pour les années 2019 et 2020, et a confirmé la conformité des activités d’interrogation. Le Programme organisationnel de conformité des activités (POCA) n’a pas été en mesure de prioriser les examens de surveillance de la conformité au cours des deux derniers exercices, ce qui l’a empêché de surveiller d’autres activités pouvant poser un risque élevé en matière de conformité.

(TS) Les techniques d’échange automatisé sont également assujetties à des examens. En effet, tous les 12 mois, l’équipe Conformité du SIGINT est tenue de revalider toutes les occurrences d’échanges automatisés survenues entre le volet RE et le volet cybersécurité. Le plus récent examen portant sur la période allant de juillet 2019 à septembre 2020 a permis de confirmer que les [nombre expurgé] d’échange automatisé étaient conformes aux exigences de la politique, à l’exception [nombre expurgé] que le CST n’a pas été en mesure d’évaluer.

ANNEXE F : Méthodes et processus d’échange

(TS) Dans la présente section sont décrits les processus et les méthodes employés par le CST pour échanger des informations entre le volet RE et le volet cybersécurité. De fait, le Centre dispose d’une multitude de systèmes, de méthodes et de processus qui facilitent les échanges d’informations, que celles-ci soient nettoyées ou non, entre ces volets. Or, il faut savoir que les processus décrits plus bas ne sont pas statiques. En effet, les systèmes, les méthodes et les processus du CST peuvent évoluer.

(TS) En général, l’accès aux informations de chacun de ces volets est contrôlé [lié à un avis ou conseil juridique expurgé]

(TS//SI) Par exemple, au Centre pour la cybersécurité [description des opérations du CST expurgé]

(NC) Tel qu’il est stipulé à l’article 24 de la Loi sur le CST, le Centre doit avoir mis en place des mesures visant à protéger la vie privée des Canadiens et des personnes se trouvant au Canada lorsqu’il utilise des informations se rapportant à ces personnes pour atteindre des objectifs fixés pour le volet RE ou le volet cybersécurité du mandat.

(TS) La suppression ou la restriction des ICPC ne sont pas requises par la politique du CST lorsqu’il s’agit d’échanger des informations en interne. En effet, il est de pratique courante d’échanger des ICPC sans suppression entre le volet RE et le volet cybersécurité. Au CST, bien que la politique ne l’exige aucunement, on invite les analystes à anonymiser ou à supprimer les renseignements personnels lorsque ceux-ci ne sont pas essentiels à la compréhension du contexte ou de la nature d’un enjeu. Le CST reconnaît que la suppression et la restriction constituent des pratiques exemplaires, mais qu’elles sont non obligatoires. Par conséquent, le CST estime que le fait de n’avoir ni supprimé, ni restreint, ni anonymisé les informations échangées entre divers volets ne constitue pas en soi une infraction à la loi.

Accès intervolets aux données brutes du SIGINT et du Centre pour la cybersécurité

(TS) Lorsqu’ils accèdent aux données d’un autre volet qui ne figurent pas dans un rapport (c.-à-d. les PSC ou les PCC), les analystes sont tenus de respecter les exigences de la politique qui s’appliquent aux données qu’ils sont appelés à consulter.

(TS//SI) Pour ce qui a trait au volet RE, [description des opérations du CST expurgé]

(TS//SI) Par exemple, [description des opérations du CST expurgé]

(TS//SI) Lorsqu’ils analysent des données de RE brutes, les membres du personnel du Centre pour la cybersécurité doivent se conformer aux autorisations et aux exigences s’appliquant au renseignement étranger. L’utilisation, le traitement et la conservation de ces informations sont également assujettis aux restrictions s’appliquant aux données du renseignement étranger.

(TS//SI) [expurgé] le personnel du SIGINT peut consulter et utiliser les systèmes du Centre pour la cybersécurité à condition de répondre aux critères énoncés à la section 26.1 de l’EPM, Cybersécurité. L’accès aux systèmes du Centre pour la cybersécurité et aux données de cybersécurité brutes est semblablement réservé [expurgé] aux individus qui ont démontré un besoin de connaître, qui ont suivi les formations prescrites et qui ont réussi aux épreuves de connaissances [expurgé].

Rapports – PCC et PSC

(NC) Les informations conservées sont échangées en interne suivant des processus officiels de rapports donnant lieu, notamment, à des PSC (ce qui comprend les RPF) ou à des PCC.

(TS//SI) Les membres du personnel du Centre pour la cybersécurité qui sont assujettis aux exigences en matière de cybersécurité peuvent également être des clients internes n’ayant aucun accès aux données RE brutes84. Des informations du renseignement étranger sont échangées en tant que PSC avec des membres du personnel de la cybersécurité, ce qui signifie que les informations sont conformes aux exigences de la politique du CST en matière de diffusion, lesquelles prévoient la suppression et une approbation, et qu’elles ont été assujetties aux restrictions imposées aux données de renseignement. Pendant la période visée par le présent examen, [nombre expurgé] PSC ont reçu une autorisation de diffusion par le volet RE et ont été mis à la disposition de membres du personnel œuvrant au sein du volet cybersécurité.

(TS//SI) Des informations de la cybersécurité peuvent être incluses dans des rapports et être diffusées auprès des membres du personnel SIGINT, pour être ultérieurement utilisées en tant que PCC dans le cadre d’activités du volet RE. Les informations diffusées par l’intermédiaire de PCC doivent répondre aux exigences de la politique du CST en matière de diffusion. Or, leur utilisation ultérieure doit être compatible avec les usages en vigueur au volet cybersécurité du mandat du CST et doit servir à la promotion des priorités du GC. Pendant la période visée par le présent examen,[nombre expurgé] PCC ont été diffusés auprès de destinataires autorisés du SIGINT.

Réception des identifiants ayant été éliminés des rapports

(TS) Les ICPC qui ont été supprimées des RPF diffusées dans SLINGSHOT88 peuvent être fournies aux clients internes du CST moyennant une demande soumise par l’intermédiaire du processus de divulgation externe des INC. Il s’agit là du seul mécanisme par lequel les renseignements personnels supprimés peuvent être obtenus et diffusés. En l’occurrence, les ICPC supprimées peuvent être obtenues en soumettant une demande à l’équipe du Bureau d’intervention du groupe Communication d’informations (D2A). En outre, le demandeur doit faire état des fondements juridiques et des motifs opérationnels qui justifient sa demande avant de recevoir les informations non supprimées. Entre le 1er août 2019 et le 1er août 2020, [description des opérations du CST expurgé]

(TS) Même s’il est essentiellement le même que celui qui est employé aux fins du processus de comunication externe, le mécanisme par lequel est diffusée cette information est plutôt considéré comme donnant lieu à une utilisation interne des informations et non à une divulgation en tant que telle. Il n’est donc pas nécessaire que les exigences s’appliquant au régime de divulgation visé aux articles 43 à 46 de la Loi sur le CST soient respectées pour que les informations supprimées soient divulguées auprès de clients internes du CST.

Rapports conjoints

(TS//SI) Les informations peuvent également être échangées entre le volet renseignement étranger et le volet cybersécurité aux fins de diffusion de renseignement étranger consécutivement aux autorités en matière de cybersécurité. Or, ces informations du renseignement étranger doivent être d’abord utilisées à des fins relevant de la sphère du renseignement étranger. Dès lors, elles peuvent être mises à la disposition du personnel du CCC dans le cadre du volet cybersécurité. Ce n’est que dans un troisième temps que ces informations peuvent être diffusées en vertu desdites autorités.

(TS//SI) Pour chacun des volets, l’approbation des échanges visant les informations du renseignement étranger aux fins du volet cybersécurité du mandat doit se soumettre aux autorités d’approbation compétentes en matière de diffusion. [description des opérations du CST expurgé]

Échanges automatisés (types de PSC ou de PCC)

(TS) La politique du CST définit les échanges automatisés comme suit : [Traduction] « utilisation de techniques ou de processus automatisés pour faciliter la diffusion de [rapports communicables expurgé] ».

(TS//SI) Le CST a recours à une pluralité de mécanismes automatisés pour échanger desi informations entre divers volets. [description des opérations du CST expurgé].

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

Autres modalités d’échange

(TS) Il se peut que les échanges d’informations entre deux volets soient réalisés suivant des méthodes plutôt informelles. En intensifiant la collaboration, les analystes se donnent accès à un bassin de connaissances plus important et particulièrement utile pour les deux volets du mandat. En l’occurrence, les analystes peuvent procéder à des échanges de connaissances générales sans avoir à les signaler. En outre, la politique du CST prévoit des échanges d’analyses à l’occasion desquelles les analystes peuvent s’adresser à des partenaires œuvrant au sein d’un volet différent à des fins de collaboration sur des objectifs communs propices aux échanges d’informations. Cependant, tout échange de données doit être conforme aux exigences s’appliquant à la diffusion de PCC ou de PSC, bien que les données ne soient pas tenues d’être diffusées par l’intermédiaire des systèmes officiels de diffusion des produits.

ANNEXE G : Politique et balises à respecter dans le cas des échanges internes

(NC) La politique du CST indique que les ICPC peuvent être échangées en interne pour peu que les échanges respectent les balises énoncées ci-dessous. Or, rappelons que l’OSSNR n’a pas été en mesure de vérifier si ces balises ou les définitions connexes étaient conformes au droit, mais il n’est pas exclu que ce type de vérification ait lieu au cours des prochains examens. Au reste, l’OSSNR n’a pas non plus été en mesure de voir si les exigences de la politique avaient été respectées.

Du volet renseignement étranger au volet cybersécurité

(TS) Pour ce qui a trait au volet RE, les ICPC doivent avoir été jugées essentielles et pertinentes pour les activités de ce volet RE avant que les échanges aient lieu, conformément aux dispositions de l’alinéa 34(2)c) de la Loi sur le CST. D’après la politique du CST, les informations doivent avoir été considérées comme étant essentielles pour les affaires internationales, la défense ou la sécurité, ce qui comprend la cybersécurité. Or, l’adjectif « essentiel » n’est pas défini dans la politique du CST, quoique celle-ci énonce les critères suivant lesquels il convient d’évaluer les ICPC dans un contexte de protection de la vie et de la sûreté des individus ou de défense contre les activités criminelles qui menacent la sécurité du Canada.

(TS) Pour qu’elles soient échangées aux fins des activités du volet cybersécurité du mandat, les ICPC de RE doivent être pertinentes pour le volet cybersécurité. Or, ces ICPC doivent être évaluées plus avant sur le plan de la nécessité dans le contexte du volet cybersécurité, ce qui permet de savoir si les informations sont nécessaires à la protection des systèmes du GC ou des systèmes désignés comme étant importants. Or, c’est en vertu de la politique qu’il y a lieu de décider d’appliquer les balises délimitant la sphère de nécessité visée au paragraphe 44(1) de la Loi sur le CST.

(TS) La politique du CST exige le respect du principe de nécessité, [description des opérations du CST expurgé]. Ces informations sont nécessaires à l’exercice du mandat de cybersécurité dans la mesure où elles contribuent à la protection des systèmes du GC, mais aussi des systèmes et réseaux d’importance (notamment le blocage de certains types de trafic). Toutefois, les individus et les entités identifiables ne sont pas les points de mire de l’activité. Or, dans le contexte de la cybersécurité, le CST estime que le risque de préjudice à l’attente raisonnable en matière de protection de la vie privée de l’individu est relativement faible et que, par conséquent, le seuil de nécessité justifie la communication d’ICPC acquises par le RE vers le volet cybersécurité.

Du volet cybersécurité au volet renseignement étranger

(TS//SI) Dans le contexte du volet cybersécurité, les ICPC acquises en vertu d’une AM doivent avoir été jugées pertinentes, mais aussi essentielles avant tout échange, conformément au critère d’essentialité énoncé à l’alinéa 34(3)d) de la Loi sur le CST. Or, d’après la politique du CST, les ICPC sont considérées comme étant essentielles lorsque, sans elles, le CST ne serait en mesure de protéger ni les systèmes des institutions fédérales, ni les réseaux et systèmes d’importance, ni les informations électroniques que ces systèmes et réseaux contiennent. Toutefois, les ICPC qui ne sont pas acquises en vertu d’une AM, notamment les renseignements sur les clients, ne doivent répondre qu’au critère de nécessité.

(TS) Les ICPC échangées sont également évaluées sur le plan de l’essentialité pour le volet RE (c.-à-d. essentiel pour les affaires internationales, la défense ou la sécurité), qu’une AM de cybersécurité ait été délivrée ou non. La décision d’évaluer plus avant les ICPC acquises par la cybersécurité sur le plan de l’essentialité et selon les critères du RE relève de la politique, [description des opérations du CST expurgé].

(TS//SI) Comme l’a expliqué le CST, les ICPC acquises par la cybersécurité et échangées en interne en guise de soutien au volet RE ont pour objet de protéger les institutions fédérales ou les réseaux et systèmes d’importance, mais aussi les informations électroniques qui y sont conservées. Ces ICPC servent à identifier les menaces étrangères qui pèsent sur les systèmes canadiens, un objectif qui cadre parfaitement avec les

ANNEXE H : Échanges internes des ICPC au CST

Figure : Diagramme du processus de partage interne de l'IRTC au CST

Share this page
Date de modification :

Examen des pratiques d’échange d’informations entre divers volets du mandat du CST - Réponses du CST

Recommandation Réponse du CST

Recommandation 1 de l'OSSNR : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  • Si le pa rtage interne de renseignements entre les aspects du re nseignement &ranger et de la cybersecurite du mandat constitue une utilisation ou une communication de renseignements aux fins de la Loi sur la protection des renseignements personnels:
  • établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.
Réponse du CST : Le CST refuse la recommendation no 1. Le CST a déjà recu des conseils juridiques exhaustifs et clairsa ce sujet de la part du ministere de la Justice et se tie aces consei Is dans le cadre de ses activites (dont l'OSSNR a conclu qu'elles se deroulentdans le respect de la loi).
Recommandation 2 de l'OSSNR : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct. Réponse du CST :Le CST a déjà m is en ceuvre cette recommendation. L'organisme informe déjà la ministre. et continuera de le faire. au sujet de ['utilisation des informations dans le cadre des autres aspects de son mandat. Les applications pour toutes les a utorisations ministerielles !ides au renseignement etre nger eta la cybersecurite en 2021-2022 comprenaient un libelle expliquant clairement comment les informations recueilies en vertu de run des aspects du mandat du CST pourraient etre utilisees pour appuyer d'autres aspects du mandat.

Share this page
Date de modification :

Examen de Programme d'établissement de rapports sur la sécurité mondiale d'Affaires mondiales Canada

Document d’information

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC.

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Sommaire

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Plus important, l’examen conclut que même si le PERSM est assujetti à la Convention de Vienne sur les relations diplomatiques (CVRD), il fonctionne sans recourir à des conseils juridiques qui permettraient d’évaluer les activités exercées dans le cadre du Programme. De même, les agents du PERSM ne reçoivent pas de formation adéquate relativement à leurs obligations juridiques. En l’occurrence, les activités menées à l’étranger par certains agents du PERS suscitent des préoccupations voulant que certaines d’entre elles ne soient pas exercées selon les fonctions et obligations établies en vertu de la CVRD.

Même si les agents du PERSM se servent de la CVRD comme d’un bouclier destiné pour leurs actions, certains d’entre eux n’ont semblé ni apprécier les limites de cette immunité ni comprendre la portée réelle de leurs fonctions et obligations. De plus, il n’était pas certain que tous les agents comprennent qu’une fois déchus de leur immunité diplomatique, ils s’exposaient à des mesures de rétorsion de la part des États accréditaires. L’examen a relevé l’absence d’évaluations de risques, de protocoles de sécurité et de conseils juridiques à l’égard des contrôles accrus que les agents du PERSM peuvent susciter de par la nature de leurs priorités en matière de rapports.

En tant que partenaires gouvernementaux à l’étranger, le SCRS et le PERSM interagissent fréquemment entre eux, dans la mesure où leurs mandats respectifs se recoupent. On observe que la coordination entre les missions et les administrations centrales du SCRS et d’AMC sont lacunaires, ce qui donne lieu à une gouvernance incohérente lorsqu’il s’agit [caviardé].

L’examen a également permis de constater que le Programme ne s’était pas doté de mesures de protection apte à garantir la sûreté des contacts à l’étranger. Or, bien que la plupart des interactions entre les agents et les contacts soient sans graves conséquences, le Programme ne semble pas en mesure d’apprécier les risques liés à certaines de ces interactions. Significativement, l’examen a relevé quelques sources de préoccupation potentielles concernant la façon dont les renseignements identificateurs canadiens sont gérés. En conséquence, il est recommandé qu’AMC soumette le Programme à une évaluation des facteurs relatifs à la vie privée.

La création d’une entité de renseignement étranger au sein d’AMC, ou encore le consentement à un changement d’orientation de la mission du PERSM permettant de collecter secrètement de l’information, contreviennent aux principes de la CVRD. Par conséquent, l’OSSNR croit qu’il est important que le gouvernement réfléchisse aux questions soulevées par le présent examen et en vienne à prendre une décision quant aux moyens à privilégier pour la collecte de ce type d’information. L’OSSNR reconnaît que le présent enjeu ne relève pas de son champ de compétence et qu’il pourrait plutôt nécessiter l’attention du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR). Nous avons l’intention de mettre le présent rapport à la disposition de nos homologues en matière d’examen de sorte à amorcer la démarche de réflexion.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées aux alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Introduction

Le Programme d’établissement de rapports sur la sécurité mondiale (PERSM) d’Affaires mondiales Canada (AMC) collecte et dissémine de l’information en soutien aux priorités du Canada en matière de renseignement. Au fil de ses quelque vingt années d’existence, le Programme a considérablement évolué, et les produits du PERSM en sont venus à retenir l’attention non seulement des ministères et organismes du gouvernement du Canada (GC), mais aussi des États alliés.

Le présent examen était le premier que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) réalisait de façon autonome relativement à des activités exercées par AMC. D’ailleurs, pendant qu’il examinait les activités du programme unique et complexe que représente le PERSM, l’OSSNR a eu l’occasion de mieux connaître le mandat, les politiques et les autorisations juridiques d’AMC.

L’OSSNR s’est donné pour objectif d’établir si les activités du PERSM étaient menées conformément aux dispositions de la loi et des politiques ainsi qu’aux procédures en vigueur, et de déterminer si les activités étaient justes et nécessaires. De plus, l’examen de l’OSSNR avait également pour objet d’établir si les politiques et procédures du Programme étaient suffisamment élaborées pour soutenir des activités à l’étranger.

La période d’activité visée par la présente étude s’étend du 1er janvier 2017 au 31 décembre 2019, quoique l’OSSNR s’est également penché sur de l’information concernant des éléments antérieurs ou postérieurs à cette période. L’OSSNR a aussi examiné un échantillon significatif des missions du PERSM, lequel a offert une diversité de perspectives quant à la nature et la portée des activités du Programme.

Compte tenu des circonstances particulières attribuables à la création récente de l’OSSNR et aux difficultés connexes sur le plan de la logistique et des procédures associées à cette transition, il convient de rappeler que le présent examen n’a été rendu possible que grâce au soutien du personnel d’AMC, plus particulièrement celui des membres de l’Unité de liaison avec les organismes de surveillance externe. De plus, l’OSSNR tient à remercier le SCRS et son équipe Examen externe et Conformité pour avoir facilité le déroulement de l’examen. En outre, le présent rapport devait être achevé au cours de l’été de 2020, mais l’échéance a été reportée en raison de la pandémie de COVID-19, laquelle a débuté au moment où l’OSSNR en était au stade initial d’établissement de la portée de l’examen.

Historique du PERSM

Pendant la Guerre froide, l’établissement des rapports de sécurité était intégré à la production des rapports politiques effectués par les diplomates Canadiens en poste à l’étranger,. Pour combler ses besoins en matière d’information en matière de sécurité, la collectivité de la sécurité et du renseignement (S et R) du Canada misait principalement sur ces rapports. Une fois la Guerre froide terminée, l’établissement des rapports de sécurité n’était plus régulièrement incorporé à la production des rapports politiques par les diplomates affectés à l’étranger. En outre, ce changement témoigne de ce qui suit :

« un ordre mondial en évolution et ponctué de défis de sécurité inédits; des priorités nouvelles et évolutives au niveau national et ministériel; une perte d’expertise se manifestant à mesure que les diplomates et les gestionnaires quittaient leurs postes ou partaient à la retraite; et d’importantes réductions de personnel dans la fonction publique conjuguées aux restrictions budgétaires strictes des années 1990 sont autant de facteurs qui ont eu une incidence sur les activités et les priorités d’AMC. »

Le PERSM a été créé peu après les événements du 11 septembre 2001. Dans sa forme actuelle, le Programme compte un personnel d’une trentaine de diplomates appelées à se consacrer ouvertement aux rapports fondés sur une seule source – à partir d’un réseau principalement constitué de contacts « non traditionnels » – portant sur des enjeux d’intérêt pour la collectivité canadienne de la sécurité, du renseignement, de la défense et des politiques étrangères. Les agents du PERSM (ou les agents) exercent leurs fonctions à l’intérieur, mais aussi à l’extérieur des capitales des États hôtes, et se déplacent régulièrement vers les zones moins fréquentées par les diplomates. Depuis 2009, ces rapports (qui alimentent les décideurs canadiens et alliés) sont en phase avec les priorités du GC en matière de renseignement.

Les agents du PERSM se rapportent à la Direction d’analyses et de rapports de renseignement (INA), laquelle relève de la Direction générale du renseignement dont le responsable est le SMA, Sécurité nationale et affaires politiques. Le PERSM s’est doté d’une structure de gestion matricielle : au niveau de la mission, les agents relèvent du gestionnaire, Service de la politique étrangère et de la diplomatie (SPED) ou du chef de mission (CDM), alors que l’Administration centrale (AC) du PERSM détermine principalement les priorités s’appliquant aux agents en matière de collecte. De plus, l’AC du PERSM établit les attentes à l’égard du Programme.

Conclusions et recommendations

Utilité du PERSM

Le PERSM est le seul programme diplomatique canadien qui soit financé dans le but de collecter de l’information de sécurité officielle. Le PERSM fonctionne comme une ressource réservée dans la mesure où la majeure partie du temps (dans une proportion de 90 %), un agent se consacre à la production de rapports à une seule source. Aucun autre programme d’AMC ne consacre autant de ressources à la « collecte pure ».

Les clients du PERSM ont maintes fois indiqué que les rapports fournissaient de l’information pertinente qui répond aux besoins de leurs ministères ou organismes respectifs en matière de collecte. De fait, les rapports du PERSM offrent des perspectives « pragmatiques » produites par un groupe diversifié, ce qui est unique lorsqu’on compare ces rapports à ceux des autres modalités de collecte du GC. Les destinataires ont indiqué que les rapports fournissaient de l’information utile concernant les menaces et les tendances générales dans les nouveaux secteurs d’intérêt.

Des clients ont souligné que l’un des principaux atouts du PERSM était la priorité accordée à la formation linguistique, laquelle prévoit, dans certains cas, plus d’une année de formation comprenant des périodes d’immersion dans le pays en question. Les clients du PERSM ont remarqué que la maîtrise des langues était une valeur sûre pour le Programme.

De plus, les clients ont salué la capacité du Programme à affecter rapidement des agents à la couverture de questions, de secteurs ou d’événements particuliers qui sont d’une grande valeur pour le GC. Or, malgré ces avantages, un examen des documents du PERSM révèle le besoin d’améliorer les mécanismes de rétroaction sur les produits, ce qui permettrait d’établir dans quelle mesure les rapports répondent aux besoins des clients.

Fonctions et obligations en vertu de la Convention de Vienne sur les relations diplomatiques

Les fonctions que les missions diplomatiques sont légalement tenues d’exercer ainsi que les obligations incombant aux diplomates qui jouissent de privilèges et d’une immunité dans un État accréditaire sont établies en vertu de la Convention de Vienne sur les relations diplomatiques (CVRD). En vertu du droit international coutumier, la CVRD est généralement acceptée en tant que codification du droit, des règlements et des pratiques en matière de diplomatie. Selon AMC, les fonctions du PERSM correspondent à celles qui sont exercées par les missions diplomatiques et qui sont décrites à l’article 3 de la CVRD. Conformément à l’énoncé de l’alinéa 3(1)d)17, il exerce une partie des fonctions de la mission diplomatique en s’informant par tous les moyens licites des conditions et de l’évolution des événements dans l’État accréditaire et en faisant rapport à ce sujet au gouvernement de l’État accréditant. L’alinéa 3(1)d) exige précisément que les rapports diplomatiques soient produits « par des moyens licites ».

D’après le paragraphe 41(1) de la CVRD, les diplomates qui exercent les fonctions énumérées à l’article 3 et qui bénéficient des privilèges et immunités dans l’État accréditaire ont le devoir « de respecter les lois et règlements de l’État accréditaire » et de « ne pas s’immiscer dans les affaires intérieures de cet État ». Tout manquement à ces obligations constitue un abus de privilège ou d’immunité (ce que l’on appelle également abus des fonctions diplomatiques).

Recours applicables en cas d’abus de l’immunité diplomatique et des privilèges connexes

Tel qu’il est indiqué dans la CVRD, les recours en cas d’abus de privilège ou d’immunité comprennent les suivantes : informer l’État accréditant que le diplomate en question est persona non grata (article 9 de la CVRD) et, dans quelques cas extrêmes, rompre les relations diplomatiques, lesquelles sont établies par consentement mutuel, comme l’explique l’article 2 de la CVRD.

Il importe de noter qu’en pareil cas, l’État accréditeur n’est pas tenu de justifier le recours qu’il exerce. Ainsi, la perception d’abus peut constituer un motif d’expulsion d’un diplomate ou de rupture des relations diplomatiques tout autant que l’abus avéré. Dans l’affaire des otages détenus à Téhéran, la Cour internationale de justice a expliqué la discrétion qui est ancrée dans ce régime de la façon suivante :

L’article 9 […] de la convention […] tien[t] compte de la difficulté qu’il peut y avoir en pratique à prouver de tels abus dans chaque cas ou même à déterminer exactement quand l’exercice de la fonction diplomatique […] peut être considéré comme se traduisant par des actes d’« espionnage », ou d’« ingérence dans les affaires intérieures ». Le paragraphe 1 de l’article 9 prend en compte ce type de difficulté en déclarant expressément, dès la phrase initiale que « [l’]État accréditaire peut, à tout moment et sans avoir à motiver sa décision », informer l’État accréditant que tout membre du personnel diplomatique de la mission est « persona non grata » ou n’est « pas acceptable. »En plus de ce moyen de remédier aux abus de la fonction diplomatique que peuvent commettre les membres d’une mission à titre individuel, l’État accréditaire dispose d’un remède plus radical si les abus prennent de graves proportions. C’est le pouvoir discrétionnairequ’a tout État accréditaire de rompre les relations diplomatiques avec un État accréditant et de demander la fermeture immédiate de la mission coupable.