Sélection de la langue

Gouvernement du Canada / Gouvernement du Canada

Recherche


Examen de la diffusion du renseignement ayant trait à l’ingérence politique étrangère exercée par la République populaire de Chine de 2018 à 2023

Examens Terminés

Examen de la diffusion du renseignement ayant trait à l’ingérence politique étrangère exercée par la République populaire de Chine de 2018 à 2023


Date de publication :

Lettre au Premier ministre

April 26, 2024

Le très honorable Justin Trudeau, P.C., député
Premier ministre du Canada
80, rue Wellington
Ottawa (Ontario) K1A 0A2

Monsieur le Premier ministre,

Au nom de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), je suis heureuse de vous soumettre notre rapport spécial faisant suite à l’Examen de la diffusion du renseignement ayant trait à l’ingérence politique étrangère exercée par la République populaire de Chine de 2018 à 2023.

Rappelons que cet examen a été réalisé en application des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

L’examen nous a permis d’analyser la façon dont l’information a circulé au sein du gouvernement relativement aux activités d’ingérence étrangère exercée par la République populaire de Chine de 2018 à 2023, période durant laquelle ont eu lieu deux élections générales fédérales. Conformément à ses attributions et à son mandat, l’OSSNR a notamment examiné ce qui suit : les pratiques du Service canadien du renseignement de sécurité en matière de diffusion de l’information; le fonctionnement d’entités clés établies par le gouvernement dans le but de protéger l’intégrité des élections du Canada; ainsi que le rôle tenu par de hauts fonctionnaires, notamment par le conseiller à la sécurité nationale et au renseignement auprès du Premier Ministre, pour ce qui concerne la diffusion du renseignement. Vous avez reçu une version classifiée du présent rapport en date du 5 mars 2024.

Dès le début du processus d’examen, l’OSSNR a mené ses travaux indépendamment de ceux du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR), mais a tout de même fait en sorte qu’il n’y ait aucune duplication inutile entre les deux organes de surveillance. Le 5 mars 2024, l’OSSNR a avisé le CPSNR ainsi que les responsables de l’enquête publique sur l’ingérence étrangère dans les processus électoraux fédéraux et les institutions démocratiques que la version finale du rapport classifié de l’OSSNR vous avait été remise.

À ce moment, l’OSSNR vous a également indiqué qu’à son avis, il était dans l’intérêt public de faire rapport sur ce problème. Ainsi, en application de l’article 40 de la Loi sur l’OSSNR, nous vous remettons un rapport spécial pour dépôt au Parlement. Pendant une période s’échelonnant sur six semaines, l’OSSNR a tenu, conformément à l’alinéa 52(1)b) de la Loi sur l’OSSNR, des consultations auprès des administrateurs généraux des ministères et organismes concernés pour veiller à ce que le rapport spécial ne contienne aucun renseignement dont la divulgation pourrait s’avérer préjudiciable pour la sécurité nationale, la défense nationale ou les relations internationales, ni aucune information qui serait protégée par le privilège lié au litige, le privilège du secret professionnel de l’avocat ou le secret professionnel de l’avocat et du notaire.

Reconnaissant l’importance que revêt ce sujet pour les Canadiens, l’OSSNR a fait le nécessaire pour que le rapport soit rédigé en vue d’une diffusion à grande échelle. En outre, l’OSSNR a obtenu des explications quant aux expurgations qui ont été appliquées et estime que la présente version du rapport comporte toute l’information qu’il est possible de divulguer. Par ailleurs, les conclusions et les recommandations formulées dans le rapport classifié de l’OSSNR ne contenaient aucune information préjudiciable ou protégée. Ainsi, les conclusions et les recommandations qui accompagnent le rapport spécial sont exactement les mêmes que celles figurant dans le rapport classifié. 

Conformément aux obligations énoncées dans la Loi sur l’OSSNR, le présent rapport doit être déposé devant chaque chambre du Parlement dans les quinze premiers jours de séance de celle-ci. En guise de respect du privilège parlementaire, l’OSSNR s’abstiendra de commenter le contenu de son rapport tant que le rapport spécial n’aura pas été déposé au Parlement.

Le présent rapport contient huit recommandations. Nous demandons au gouvernement d’indiquer à l’OSSNR s’il est d’accord avec lesdites recommandations et, dans l’affirmative, de préciser comment il entend les mettre en œuvre. Une attention minutieuse et opportune devra être accordée aux recommandations de l’OSSNR si l’on souhaite que les efforts investis par l’OSSNR sur le plan de la responsabilisation des institutions gouvernementales donnent des résultats probants. De plus, l’OSSNR pourrait publier dans son site Web, si elles sont disponibles, les réponses du gouvernement aux recommandations formulées. Ces réponses pourraient alors accompagner la version du présent rapport et pourraient, le cas échéant, figurer dans un rapport annuel.

Je vous prie d’agréer, Monsieur le Premier Ministre, l’expression de ma très haute considération.

L’honorable Marie Deschamps, C.C.

Présidente // Office de surveillance des activités en matière de sécurité nationale et de renseignement

Modifications

En vertu de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), l’Office de surveillance peut remettre au ministre concerné un rapport spécial portant sur tout enjeu relevant du mandat de l’OSSNR. Le ministre doit alors déposer le rapport spécial devant le Parlement dans les 15 jours de séance suivants.

Préalablement à la soumission d’un tel rapport, l’alinéa 52(1)(b) de la Loi sur l’OSSNR exige que l’Office de surveillance consulte les administrateurs généraux concernés pour veiller à ce que le rapport spécial ne contienne aucun renseignement dont la divulgation pourrait s’avérer préjudiciable pour la sécurité nationale, la défense nationale ou les relations internationales, ni aucune information qui soit protégée par le privilège lié au litige, le privilège du secret professionnel de l’avocat ou le secret professionnel de l’avocat et du notaire.

Le présent document est un rapport spécial que l’OSSNR a produit en application de l’article 40. Il s’agit d’une version révisée classifié qui a été remis au premier ministre le 5 mars 2024. En l’occurrence, les révisions apportées ont permis de retirer les informations pouvant s’avérer préjudiciables. Là où l’information pouvait simplement être retirée sans nuire à la lisibilité du document, l’OSSNR a remplacé le texte supprimé par une série de trois astérisques (***). Or, lorsqu’il a été nécessaire de contextualiser une suppression, l’OSSNR a modifié le texte en reformulant brièvement l’information qui avait été supprimée. Ces interventions sont signalées par l’ajout d’une série de trois astérisques au début et à la fin de la reformulation, et celle-ci est précédée et suivie de crochets (voir l’exemple ci-dessous).

EXEMPLE : [**Les parties révisées affichent des séries de trois astérisques qui précèdent et suivent la phrase, et la reformulation est entourée de crochets.**]

Liste des acronymes

Abbreviation Expansion
CEIPP Critical Election Incident Public Protocol
CTSN Canadian Top Secret Network
CST Centre de la sécurité des télécommunications
SCRS Service canadien du renseignement de sécurité
MDN Ministère de la Défense nationale
DM Deputy Minister
FI Foreign Interference
AMC Affaires mondiales Canada
HUMINT Human Intelligence
IAS Intelligence Assessment Secretariat
ISR Independent Special Rapporteur
MP Member of Parliament
NHQ National Headquarters
NSIA National Security and Intelligence Advisor
NSICOP National Security and Intelligence Committee of Parliamentarians
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
BCP Bureau du Conseil privé
PRC People’s Republic of China
PMO Prime Minister’s Office
PSB Protective Security Briefing
SP Sécurité publique Canada
GRC Gendarmerie royale du Canada
RRM Rapid Response Mechanism
SIGINT Signals Intelligence
SITE TF Security and Intelligence Threats to Elections Task Force
TRM Threat Reduction Measure
UFWD United Front Work Department
Abréviation Développement
AC Administration centrale
AMC Affaires mondiales Canada
BCP Bureau du Conseil privé
CPM Cabinet du premier ministre
CPSNR Comité des parlementaires sur la sécurité nationale et le renseignement
CSNR Conseiller à la sécurité nationale et au renseignement
CST Centre de la sécurité des télécommunications
DER Direction de l’évaluation du renseignement
DTFU Département du travail du Front uni
GRC Gendarmerie royale du Canada
GT MSRE Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections
HUMINT Renseignement humain (Human Intelligence)
IE Ingérence étrangère
MDN Ministère de la Défense nationale
MRM Mesure de réduction de la menace
MRR Mécanisme de réponse rapide
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
PPIEM Protocole public en cas d’incident électoral majeur
RCTS Réseau canadien Très secret
RPC République populaire de Chine
RSI Rapporteur spécial indépendant
SCRS Service canadien du renseignement de sécurité
SIGINT Renseignement électromagnétique (Signals Intelligence)
SISP Séance d’information sur la sécurité préventive
SM Sous ministre
SP Sécurité publique Canada

Sommaire

La collectivité de la sécurité et du renseignement admet unanimement que l’ingérence politique étrangère est une menace considérable pour le Canada et que la République populaire de Chine (RPC) constitue l’un des principaux auteurs de ce type de menace qui pèse sur tous les ordres de gouvernement. Pourtant, le présent examen – lequel porte sur la façon dont le renseignement ayant trait à l’ingérence politique étrangère exercée par la RPC a été diffusé entre 2018 et 2023 (période qui englobe les deux dernières élections fédérales) – indique que les éléments constitutifs de cette collectivité manifestent, en interne et entre eux, d’importants désaccords quant à savoir si, quand et comment il convient de diffuser les renseignements dont chacun dispose.

En outre, ces désaccords et ces disparités se fondent sur un enjeu qui concerne l’ensemble de la collectivité de la sécurité et du renseignement : comment doit on aborder cette « zone grise » où les activités d’ingérence politique étrangère en viennent à ressembler aux activités courantes des sphères politique et diplomatique? En l’occurrence, l’OSSNR a relevé un certain nombre d’éléments indicateurs de cet enjeu pendant le déroulement de l’examen, notamment dans les décisions visant à établir s’il y avait lieu de diffuser l’information et comment il convenait de caractériser ce qui devait être diffusé. Le risque de qualifier de menace des manifestations politiques ou diplomatiques qui seraient pourtant légitimes a amené certains membres de la collectivité du renseignement à éviter de considérer certaines activités comme des activités de menace. 

Intelligence is by its nature provisory. It does not constitute proof that the described activities took place, or took place in the manner suggested by the source(s) of the information. At the same time, the fact that it is ne contenait pas proof does not mean it should be withheld – by this standard, very little (if any) intelligence would ever be shared. What is required – between collection and dissemination – is an evaluation of the intelligence and a decision as to whether it should, or should not, be communicated in some way.

Pour ce qui a trait à la diffusion du renseignement concernant l’ingérence étrangère dans les élections, le Service canadien du renseignement de sécurité (SCRS) a fait face à un dilemme. D’une part, l’information relative à l’ingérence étrangère dans les élections constituait une priorité pour le gouvernement, et le SCRS avait déployé son dispositif de collecte de sorte à mener son enquête sur le plan de l’ingérence politique étrangère. D’autre part, le SCRS reconnaissait la possibilité que la collecte et la diffusion de renseignement concernant les élections puissent également être interprétées comme des formes d’ingérence dans le processus électoral. Ainsi, une tension de fond demeure : toute mesure – notamment la diffusion de renseignement – prise par le SCRS avant ou pendant l’élection ne doit, ni en fait ni en apparence, influer sur celle ci. 

Au sein du SCRS, cette dynamique était bien connue, mais elle n’est formellement abordée ni dans la politique ni dans les lignes directrices. Comme il était difficile de savoir, surtout pour les responsables de la collecte de renseignement, quels étaient les motifs généraux ou les politiques appelés à orienter les mesures de diffusion du renseignement sur l’ingérence politique étrangère, il devenait tout aussi difficile de savoir comment ces motifs et ces politiques devaient orienter chacune des décisions. Globalement au sein du SCRS, on avait de plus en plus l’impression que les règles et les décisions étaient établies, voire modifiées, malgré l’absence d’une stratégie ou d’orientations qui soient cohérentes.

L’OSSNR recommande que le SCRS conçoive une politique et une stratégie complètes s’appliquant à tous les aspects de la façon dont le SCRS se mobilise – à savoir lorsqu’il enquête, produit des rapports et réagit aux menaces – contre l’ingérence politique étrangère. En outre, ces outils rehausseraient le niveau de cohérence au sein de l’organisation. Ils indiqueraient aux intervenants du gouvernement du Canada que le SCRS a attentivement pris en compte tous les aspects de l’ingérence politique étrangère, particulièrement les difficultés qu’elle pose, mais aussi qu’il établit des rapports et prodigue des conseils suivant des normes et des seuils rationnellement établis. 

Le SCRS est membre du Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (MSRE) en compagnie du Centre de la sécurité des télécommunications (CST), de la Gendarmerie royale du Canada (GRC) et d’Affaires mondiales Canada (AMC). L’une des principales fonctions du Groupe de travail est de remettre des rapports de renseignement coordonnés à un groupe de hauts fonctionnaires, à savoir le groupe responsable du Protocole public en cas d’incident électoral majeur (PPIEM), pendant la période de l’élection. Ces deux organes ont pour objet de recevoir et d’analyser le renseignement provenant de la collectivité du renseignement relativement à l’ingérence politique étrangère dans les élections fédérales, mais aussi de réagir audit renseignement.

Les visées du Groupe de travail MSRE et du groupe responsable du PPIEM ont été définies dans le but de remédier au problème global et systématique d’une ingérence qui est principalement exercée en ligne (à l’instar de ce que nous avons pu observer durant l’élection présidentielle américaine de 2016). Or, ces organes n’ont pas été en mesure s’attaquer adéquatement aux sources traditionnelles et humaines de l’ingérence exercée dans les circonscriptions. Ainsi, l’OSSNR recommande que le Groupe de travail MSRE et le groupe responsable du PPIEM fassent l’objet de mesures d’adaptation visant à leur permettre désormais de veiller à ce que les menaces liées à l’ingérence étrangère soient intégralement et adéquatement prises en charge.

En contexte non électoral, la collectivité du renseignement collecte régulièrement du renseignement sur l’ingérence politique étrangère de la RPC. Ce renseignement est échangé horizontalement, au sein de la collectivité, ainsi que verticalement, avec les principaux décideurs, notamment les représentants élus.

Au cours de la période visée par l’examen, le SCRS n’a pas été en mesure de savoir exactement qui avait reçu et lu ses documents de renseignement. Cette absence de certitude est en partie attribuable à la multiplicité des systèmes de suivi interne qui sont employés par les ministères destinataires et qui n’ont possiblement pas été en mesure d’enregistrer ce type de données. Mais en définitive, c’est au destinateur de cette information sensible, en l’occurrence le SCRS, qu’il incombe de contrôler et de documenter les accès.

Le défaut de savoir ce qui a été reçu – et par qui – a eu des répercussions en donnant lieu, notamment, à la controverse autour du renseignement selon lequel la RPC ciblait un député en exercice.

Les médias et les propos du public concernant ce renseignement traitaient principalement de deux produits du SCRS : l’un émis en mai 2021, l’autre en juillet 2021. De fait, aucun des produits ne constituait le mécanisme par lequel le ministre et le sous ministre de la Sécurité publique devaient initialement être mis au courant des activités de menace que la RPC dirigeait contre ledit député et sa famille. Ce sont plutôt [**des renseignements du SCRS**] qui, [**avant mai 2021**], [**avaient**] trait au ciblage que la RPC exerçait à l’endroit du député en question. Le SCRS a envoyé [**ces renseignements**] des listes de destinataires, qui incluaient le sous ministre et le ministre de la Sécurité publique.

Sécurité publique a confirmé qu’au moins un [**expurgé**] avait été remis au Ministre [**avant mai**] 2021, probablement inséré dans une trousse de lecture produite hebdomadairement. Toutefois, le ministère n’a pas été en mesure de savoir ce qu’il était advenu [**expurgé**]. Or, cette situation est inadmissible. Ainsi, l’OSSNR recommande que soit mis en place un mécanisme élémentaire de responsabilisation par lequel le SCRS et Sécurité publique enregistreraient rigoureusement les données permettant de savoir qui a reçu les produits de renseignement et, le cas échéant, qui les a lus. 

Dans le même temps, le suivi des produits de renseignement jusqu’à leurs destinataires n’est pas une panacée. Les utilisateurs devraient avoir un intérêt réel pour le renseignement qu’ils reçoivent et comprendre dans quelle mesure ce renseignement peut leur permettre de s’acquitter de leurs responsabilités respectives.

En 2021, des analystes du Bureau du Conseil privé et du SCRS ont produit des rapports qui devaient présenter une synthèse des activités d’ingérence étrangère de la RPC, mais que la conseillère à la sécurité nationale et au renseignement (CSNR) auprès du premier ministre a vus comme de simples comptes rendus d’activités diplomatiques courantes. Ce désaccord a joué un rôle dans le fait que certains des produits de renseignement ne se sont pas rendus à l’exécutif politique, notamment le premier ministre.

L’écart entre le point de vue du SCRS et celui du CSNR est important dans la mesure où cette question s’avère fondamentale. Or, le SCRS a produit des rapports suivant la collecte et l’analyse de renseignement concernant des activités dont il estimait qu’elles constituaient une menace envers la sécurité nationale. L’un des principaux utilisateurs de ces rapports (qui s’avère être l’intermédiaire par lequel le renseignement parvient au premier ministre) était en désaccord avec cette appréciation. En théorie, les engagements en matière d’intervention en cas d’ingérence politique étrangère sont relativement simples à comprendre. Mais en pratique, ils risquent de s’embrouiller si les divergences élémentaires quant à la nature de la menace deviennent monnaie courante au sein de la collectivité.

L’OSSNR recommande que les utilisateurs habituels du renseignement adoptent des mesures permettant d’accroître le niveau de compétence en matière d’exploitation du renseignement au sein de leurs ministères respectifs; il recommande également que la collectivité de la sécurité et du renseignement acquière une seule et même compréhension fonctionnelle de ce qui constitue de l’ingérence politique étrangère. Certes, le CSNR tient un rôle de coordonnateur au sein de la collectivité de la sécurité et du renseignement, mais les attributions de ce rôle ne sont toujours pas définies. Ainsi, la portée de son influence dans les décisions concernant la distribution des produits de renseignement du SCRS n’est pas clairement établie. Par conséquent, l’OSSNR recommande que le rôle du CSNR, pour ce qui a trait notamment aux décisions en matière de diffusion du renseignement, soit décrit dans un instrument juridique.

Introduction

Fondements législatifs

Le présent examen a été réalisé en application des autorisations visées aux alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Portée de l’examen

La portée de l’examen s’étend à tout le renseignement portant sur l’ingérence exercée par la République populaire de Chine sur les institutions et les processus démocratiques fédéraux, de 2018 à 2023. L’accent a été mis expressément sur le cheminement que ce renseignement a suivi au sein du gouvernement, c’est à dire depuis le travail de ceux qui ont collecté le renseignement jusqu’aux utilisateurs dudit renseignement (les « clients »), à savoir certains cadres supérieurs de la fonction publique ainsi que des représentants élus.

Le présent examen traite, notamment, des ministères et organismes suivants :

  • le Service canadien du renseignement de sécurité (SCRS);
  • le Centre de la sécurité des télécommunications (CST);
  • la Gendarmerie royale du Canada (GRC);
  • Affaires mondiales Canada (AMC);
  • Sécurité publique Canada (Sécurité publique, SP)
  • le Bureau du Conseil privé (BCP).

Il s’agit là des membres principaux de la collectivité de la sécurité et du renseignement qui exercent un mandat se rapportant à l’ingérence étrangère dans les institutions et les processus démocratiques du Canada. L’examen a également tiré parti d’informations qu’Élections Canada (EC) a fournies au sujet de ses relations avec les ministères et organismes énumérés plus haut, mais il a aussi tiré parti de renseignements qu’EC a reçus de ces ministères et organismes.

Méthodologie

L’OSSNR a recueilli de l’information suivant diverses modalités, que voici :

  • examen de documents (environ 17 000 documents);
  • neuf (9) séances d’information;
  • quatorze (14) entrevues;
  • vingt et une (21) demandes d’information,
    • notamment, des demandes de documents ainsi que des demandes de réponses écrites à diverses questions;
  • accès direct à la base de données opérationnelle et au répertoire organisationnel du SCRS;
  • accès direct à la base de données du CST contenant les rapports sur l’ingérence étrangère.

La Loi sur l’OSSNR autorise l’Office de surveillance à accéder à toute l’information, sauf aux documents confidentiels du Cabinet, dont dispose ou que contrôle l’entité visée par l’examen (ou l’entité examinée). De plus, cette loi autorise l’Office de surveillance à recevoir, de la part de l’entité examinée, tout document et toute explication qu’il juge nécessaire.

Au départ, l’OSSNR n’a pas demandé de recevoir les documents confidentiels du Cabinet dans la mesure où la portée de l’examen ne s’étendait pas aux réponses stratégiques du gouvernement en matière d’ingérence étrangère, se concentrant plutôt sur le cheminement de l’information au sein de l’appareil gouvernemental. Toutefois, dans son premier rapport public, le rapporteur spécial indépendant (RSI) sur l’ingérence étrangère, le très honorable David Johnston, a recommandé que l’OSSNR ait accès aux documents confidentiels du Cabinet qui lui avaient été remis aux fins de l’examen qu’il était chargé de réaliser. Dans la foulée de cette recommandation, l’OSSNR a écrit au premier ministre le 7 juin 2023 pour demander que tous les documents confidentiels du Cabinet se rapportant au sujet de son examen lui soient remis, et non seulement ceux reçus par le RSI. 

Le 13 juin 2023, un arrêté en conseil autorisait la remise, à l’OSSNR, des documents confidentiels du Cabinet examinés par le RSI. Or, il convient de rappeler que la portée et l’objet de l’examen de l’OSSNR diffèrent de ceux du rapport déposé le 23 mai 2023 par le RSI. Le rapport du RSI se concentrait sur le renseignement qui avait trait à l’ingérence étrangère exercée pendant les 43e et 44e élections générales fédérales et qui avait été rapporté dans les médias. Souhaitant préserver l’intégrité de ses examens et garantir son indépendance, l’OSSNR ne pouvait pas se pencher sur une partie des documents confidentiels du Cabinet (ceux remis au RSI) sans examiner tous les autres documents confidentiels du Cabinet s’avérant pertinents, compte tenu précisément de la portée et de l’objet de son examen. La demande concernant la totalité des documents pertinents est restée sans réponse de la part du premier ministre. Par conséquent, l’OSSNR a refusé de se pencher sur le sous-ensemble de documents confidentiels du Cabinet qui lui avait été fourni. En considération de la portée du présent examen, l’OSSNR estime néanmoins avoir reçu toute l’information nécessaire pour étayer solidement son analyse, ses conclusions et ses recommandations. 8. Conformément aux obligations qui lui incombent en vertu de l’article 13 de la Loi sur l’OSSNR, l’Office de surveillance a coopéré avec le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) de sorte à éviter le double emploi s’agissant des travaux que les deux organismes réalisent dans le cadre de leurs examens respectifs sur l’ingérence étrangère.

Déclarations concernant l’examen

Le SCRS, le CST, la GRC, AMC et Sécurité publique ont répondu aux attentes de l’OSSNR sur le plan de la réactivité pendant le déroulement du présent examen. Quant au BCP, il n’a répondu aux attentes que partiellement en raison des retards qu’il a affichés lorsqu’il s’est agi de répondre aux demandes d’information de l’OSSNR.

L’OSSNR a été en mesure de vérifier l’information relative au présent examen conformément aux attentes.

Renseignements généraux

À partir de l’automne de 2022, une série de reportages du journal The Globe and Mail et de Global News ont fait référence à des documents classifiés du SCRS portant sur l’ingérence étrangère de la RPC dans les institutions et les processus démocratiques du Canada, dans le cadre, en l’occurrence, des 43e et 44e élections fédérales. Ces reportages ont suscité des inquiétudes à l’égard de la réaction du gouvernement face à la menace que constitue l’ingérence étrangère, mais aussi quant à l’intégrité des institutions et processus démocratiques du Canada.

Le 9 mars 2023, l’OSSNR a annoncé qu’il amorcerait le présent examen portant sur la production et la diffusion du renseignement sur l’ingérence étrangère commise à l’occasion des 43e et 44e élections fédérales. L’examen devait se concentrer principalement sur le cheminement de cette information au sein du gouvernement, pour ensuite permettre de répondre à la question fondamentale : la collectivité de la sécurité et du renseignement a t elle adéquatement relayé l’information aux responsables de la protection des institutions et processus démocratiques du Canada contre les menaces d’ingérence étrangère? La granularité de cette question – laquelle requiert la comparaison entre les données brutes collectées et le renseignement ultérieurement diffusé dans les produits finis – se prêtait au mandat de l’OSSNR ainsi qu’aux accès que ce mandat procure, notamment l’accès direct aux systèmes du SCRS et la possibilité de discuter avec les agents de renseignement sur le terrain. On a jugé que certaines considérations générales d’ordre politique (par exemple, ce que les décideurs politiques ont fait ou décidé de ne pas faire de l’information qu’ils ont reçue) ne faisaient pas partie de la portée des travaux, mais qu’elles devraient être prises en compte par d’autres organismes chargés d’examiner les activités du présent domaine, notamment le CPSNR et la commission d’enquête dirigée par l’honorable Marie Josée Hogue. La question que pose l’OSSNR est fondamentale en cela qu’une réponse opérante nécessite une information qui soit adéquate.

Ingérence politique étrangère

L’ingérence étrangère comprend les activités secrètes, clandestines ou trompeuses que des acteurs étrangers mènent dans le but de promouvoir leurs intérêts, que ceux ci soient de nature stratégique, géopolitique ou économique, ou qu’ils relèvent de la sécurité. L’ingérence étrangère peut être exercée dans toutes les sphères de la société, notamment le secteur privé, le monde universitaire, les médias et le système politique. L’ingérence exercée dans cette dernière sphère, l’ingérence politique étrangère est un sous ensemble de ce que l’on conçoit plus généralement comme de l’ingérence étrangère.

Un exemple probant d’ingérence politique étrangère est la propagation, voire l’amplification de la désinformation dans les plateformes de médias sociaux, comme l’a fait la Russie pendant l’élection présidentielle américaine de 2016. Tout aussi répandues sont les formes « traditionnelles » (par des humains) d’ingérence qui comportent divers aspects, notamment : l’entretien de relations avec les personnalités politiques aux fins d’ingérence; le recrutement et la coercition de personnes travaillant dans le domaine politique (notamment le personnel ministériel); les dons en espèce versés illicitement, illégalement ou clandestinement à des politiciens ou à des partis politiques; et l’exercice de pressions sur les diasporas au moyen de menaces et de mesure d’intimidation.

Selon les propos tenus au sein de la collectivité de la sécurité et du renseignement, le plus important auteur d’ingérence étrangère (politique ou autre) au Canada est la RPC. En effet, la RPC mène systématiquement de vastes opérations d’ingérence dans tous les ordres de gouvernement. Ces activités sont généralement l’œuvre du Département du travail du Front uni (DTFU), dont la mission est, notamment, de façonner et d’influencer, à l’échelle mondiale, les perceptions à l’égard de la RPC ainsi que les politiques la concernant. Cette influence peut prendre une diversité de moyens selon des approches ouvertes ou secrètes. Le DTFU existe depuis des décennies, mais l’on reconnaît généralement que ses activités se sont intensifiées depuis l’accession de Xi Jinping à la direction permanente de la RPC, intensification qui coïncide avec l’accroissement des tensions entre la RPC et les États occidentaux, notamment le Canada.

Le SCRS produit des rapports sur l’ingérence étrangère depuis qu’il a été créé, en 1984. À l’article 2 de la Loi sur le SCRS, on trouve une définition des termes « menaces envers la sécurité du Canada » et « activités influencées par l’étranger », qui constituent des « activités qui sont préjudiciables [aux intérêts du Canada], et qui sont de nature clandestine ou trompeuse ou comportent des menaces envers quiconque ».

Par le passé, les rapports du SCRS sur l’ingérence étrangère de la RPC ont déjà suscité la controverse au sein du public. Ce fut le cas en 2010, lorsque Richard Fadden, alors directeur du SCRS, a fait des déclarations publiques concernant l’ingérence politique de la RPC au Canada, selon lesquelles le SCRS enquêtait sur bon nombre de politiciens dont on croyait qu’ils étaient [traduction] « sous l’influence d’un gouvernement étranger ». Ces commentaires ont suscité de nombreuses critiques exprimées publiquement, notamment celle venant du Comité permanent de la sécurité publique et nationale qui concluait que « [l]es allégations du directeur du SCRS ont nui à l’image de la classe politique et à celle de la communauté chinoise canadienne » .  

Puis en, [**expurgé**], le SCRS a créé un bureau spécial appelé à enquêter sur l’ingérence étrangère de la RPC, [**Une phrase a été modifiée et une autre supprimée pour éliminer l’information préjudiciable. Ces phrases décrivaient l’organisation des enquête du SCRS.**]. Le SCRS a indiqué à l’OSSNR que le volume des activités d’ingérence étrangère était considérable, [**expurgé**].

Au cours des années suivantes, les enquêtes n’ont cessé d’évoluer sans compter que le niveau de sensibilité des enquêtes et des rapports concernant l’ingérence politique étrangère (comme le démontre la controverse entourant la déclaration de M. Fadden) demeure élevé. Cette tension – entre une tendance favorisant la progression des enquêtes en matière d’ingérence étrangère et une approche plutôt prudente tenant compte de la sensibilité des enjeux – est manifeste dans toutes les activités abordées dans le présent rapport. De par sa nature, le renseignement est transitoire. Il ne constitue pas en soi une preuve que les activités décrites ont eu lieu ou qu’elles ont eu lieu de la façon qui est décrite par les sources de l’information. Or, ce n’est pas parce qu’il a été collecté que le renseignement doit nécessairement être diffusé auprès des clients du gouvernement. En revanche, le fait qu’il ne constitue pas une preuve ne signifie pas pour autant qu’il devrait être ignoré – sinon, une infime partie du renseignement, voire aucun renseignement ne serait mis en commun. En définitive, il faudrait qu’entre la collecte et la diffusion, une évaluation du renseignement soit réalisée, permettant ainsi de prendre une décision éclairée quant à la diffusion ou à la non diffusion dudit renseignement et aux moyens de le diffuser, le cas échéant. Ce procédé de même que ce processus décisionnel s’avèrent essentiels aux fonctions de la collectivité de la sécurité et du renseignement. Ils sont au cœur du présent rapport d’examen.

Conclusions, analyse et recommandations

La présente section fait état des conclusions de l’examen, de l’analyse qui en a suivi et des recommandations de l’OSSNR :

  • La partie 1 s’attarde à la diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des 43e et 44e élections fédérales. En l’occurrence, le principal objectif était d’évaluer le cheminement du renseignement. L’OSSNR a choisi de procéder à une analyse approfondie de trois cas précis. Les détails de ces cas et d’autres informations complémentaires ont été examinés par l’OSSNR, ce qui a permis de formuler des conclusions générales ayant trait à la diffusion du renseignement concernant l’ingérence politique étrangère de la RPC, puis d’émettre des recommandations générales à l’intention du SCRS concernant la gouvernance que le Service exerce dans ce domaine. 
  • Quant à la partie 2, elle aborde le rôle du Groupe de travail sur les menaces en matière de sécurité et de renseignement visant les élections (MSRE) et celui du groupe responsable du Protocole public en cas d’incident électoral majeur (PPIEM). Ces deux organes ont été créés pour recevoir et analyser le renseignement provenant de la collectivité du renseignement en vue d’intervenir. L’analyse met en évidence les lacunes et donne lieu à des recommandations visant à permettre à ces organes de se positionner avantageusement et de réagir adéquatement à la menace que constitue l’ingérence politique étrangère.
  • Enfin, la partie 3 s’écarte du contexte des élections pour s’attarder plutôt au cheminement global qu’a suivi, de 2018 à 2023, le renseignement sur l’ingérence politique étrangère de la RPC au sein de la collectivité de la sécurité et du renseignement, ce qui comprend les fonctionnaires et les représentants élus. Une attention particulière est accordée aux méthodes de diffusion du SCRS ainsi qu’au rôle du conseiller à la sécurité nationale et au renseignement (CSNR) auprès du premier ministre. Cette analyse fait brièvement état de la diffusion du renseignement relatif aux activités de ciblage que la RPC a exercées à l’égard d’un député, et propose une évaluation de la diffusion de deux produits d’analyse approfondie du renseignement sur l’ingérence politique étrangère.

Une fois combinés, ces éléments apportent des éclaircissements sur les difficultés globales liées à la façon dont le renseignement sur l’ingérence politique étrangère de la RPC a cheminé au sein du gouvernement du Canada, pendant la période visée par l’examen.

Partie 1 : Collecte et diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des élections fédérales de 2019 et de 2021

L’OSSNR a examiné le renseignement produit par le SCRS, le CST, AMC, le BCP et la GRC relativement à l’ingérence étrangère exercée pendant la 43e et la 44e élections fédérales. Dans trois cas – un en 2019 et deux en 2021 –, l’OSSNR a examiné la façon dont le SCRS diffusait le renseignement aux entités concernées du gouvernement du Canada, ce qui comprend le Groupe de travail MSRE et le groupe responsable du PPIEM.

Étude de cas 1 (élection de 2019)

L’étude de cas 1 concerne le renseignement qui a été collecté, en appui à un candidat à l’élection fédérale, sur les activités d’ingérence étrangère que la RPC a exercées.

Le renseignement lié à ce cas a été largement diffusé, notamment au Groupe de travail MSRE, au parti du candidat, à Élections Canada, au Bureau du commissaire aux élections fédérales, à de hauts fonctionnaires (notamment le groupe responsable du PPIEM), au ministre de la Sécurité publique et au premier ministre. Toutefois, dans certains cas, la diffusion de renseignement affichait des lacunes quant à la clarté et au caractère opportun.

Par exemple, le SCRS a diffusé, puis rappelé un produit d’analyse de renseignement clé concernant le cas avant l’élection. Le 1er octobre 2019, le SCRS a diffusé un document d’information en matière de sécurité nationale concernant les activités d’ingérence étrangères de la RPC se rapportant au cas en question. Le document d’information a été envoyé à une liste de destinataires comprenant de hauts fonctionnaires et des représentants du Groupe de travail MSRE. Dix jours plus tard, soit le 10 octobre, le SCRS a rappelé le produit et a demandé que tous les destinataires en détruisent les copies qui leur avaient été fournies. Cette décision a été prise par le directeur du SCRS à la suite d’une discussion avec le CSNR. Lorsque l’OSSNR lui a demandé d’expliquer les motifs pour lesquels le produit avait été rappelé, le SCRS a indiqué que ni le directeur ni le bureau du directeur ne pouvaient se souvenir des détails de la décision, si ce n’est que celle ci faisait suite à une demande du CSNR.

Dans le même temps, l’analyse ainsi que l’évaluation connexe incluses dans le produit ont été fournies (pas forcément avec le même détail ) dans des séances d’information verbales. Le 28 septembre, le SCRS (en sa qualité de membre du Groupe de travail MSRE et lors d’une réunion dirigée par le BCP) a informé les membres du parti du candidat concerné qui disposaient d’une cote de sécurité au niveau « Secret » au sujet du renseignement mettant au jour l’ingérence étrangère exercée par la RPC. Au bout de deux jours, soit le 30 septembre, le directeur du SCRS a fait part de ce renseignement et de l’évaluation réalisée par le SCRS au groupe responsable du PPIEM.

S’agissant du renseignement relatif à l’ingérence étrangère de la RPC associée au cas, le premier ministre n’en a pas été directement informé par le SCRS avant le mois de février 2021, soit seize mois après l’élection. Néanmoins, le premier ministre pourrait avoir été indirectement mis au courant du renseignement pertinent dont le SCRS disposait. Le BCP a indiqué qu’une séance d’information du BCP présentée au cabinet du premier ministre (CPM) et portant sur [traduction] « les enjeux liés à [l’étude de cas 1] avait probablement eu lieu à la fin de septembre ou au début d’octobre 2019 », sans pouvoir fournir à l’OSSNR quelque document que ce soit à ce sujet. De plus, certains éléments semblent indiquer que le 29 septembre, le premier ministre aurait été informé du contenu de la séance d’information offerte le 28 septembre par le SCRS.

En décembre 2019, le secrétaire adjoint à la Sécurité et au renseignement du BCP a préparé un mémoire au CSNR recommandant que celui ci informe le chef de cabinet du premier ministre concernant l’évaluation réalisée par le SCRS [**expurgé**]. Le dossier d’information aurait également fait part de vulnérabilités potentielles décelées dans le processus de nomination du candidat. Le BCP a indiqué qu’il n’y avait aucun document qui puisse confirmer que le mémoire avait été remis au CSNR (quoique le BCP était [traduction] « certain que [le CSNR] avait été mis au courant de l’information qu’il contenait »), ni aucun document indiquant que le CPM avait été informé conformément aux recommandations dudit mémoire. En qualité de membres du groupe responsable du PPIEM, le CSNR et le greffier du Conseil privé ont assisté à la séance d’information du 30 septembre 2019. En janvier 2020, le SCRS les a informés de nouveau sur le même sujet. Ensuite, en mars 2020, le SCRS a informé le ministre de la Sécurité publique relativement au cas.

Figure 1. Diffusion du renseignement relatif à l’étude de cas 1 : les dates clés

Figure 1. Diffusion du renseignement relatif à l’étude de cas 1 : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Les premiers rapports de renseignement sur les activités d’ingérence étrangère ayant trait au cas en question n’établissaient pas suffisamment de distinction entre les activités politiques courantes et l’ingérence étrangère constituant une menace. Certes, cette distinction était principalement implicite, mais en l’absence d’une compréhension claire de ce qui incitait le SCRS à croire que telle ou telle activité constituait de l’ingérence étrangère, il se pourrait que les utilisateurs du renseignement – particulièrement ceux qui étaient au fait des tactiques employées pendant les campagnes politiques – n’aient pas été en mesure d’apprécier l’apport du renseignement fourni.

Étude de cas 2 (élection de 2021)

L’étude de cas 2 concerne le renseignement collecté [**expurgé**] au sujet des activités d’ingérence étrangère réalisées par la RPC.

Le renseignement associé à l’étude de cas 2 a été acheminé [**expurgé**] au Groupe de travail MSRE, au groupe responsable du PPIEM et, peu après l’élection, au premier ministre.  

Cette diffusion tombait à point nommé, mais le SCRS a dérogé à ses pratiques de diffusion habituelles en limitant le nombre des rapports de renseignement. On ne sait trop si une décision d’application générale a été explicitement prise quant à la suspension de toute production de rapports de renseignement concernant l’étude de cas 2 pendant la période d’élection, ou si le faible nombre des rapports produits a été la conséquence logique de facteurs ponctuels propres à chacun des cas.

Le SCRS a envisagé plusieurs options permettant d’aborder et d’atténuer l’ingérence étrangère dans ce cas. [**expurgé**]. Le SCRS a réfléchi en vue de savoir si [**expurgé**] devrait avoir lieu avant ou après l’élection. En définitive, on a établi qu’il serait très imprudent [**expurgé**]. Notamment, le SCRS a indiqué que si ses efforts devaient être connus du public, le Service risquait d’être accusé d’ingérence dans le processus démocratique [**expurgé**].

[**Deux phrases ont été supprimées pour éliminer l’information préjudiciable. Ces phrases décrivaient le processus de communication du renseignement ayant trait aux activités d’ingérence étrangères de la RPC.**].

Figure 2. Diffusion du renseignement relatif à l’étude de cas 2 : les dates clés

Figure 2. Diffusion du renseignement relatif à l’étude de cas 2 : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Comme pour l’étude de cas 1, on note certaines difficultés sur le plan de la compréhension qu’ont les utilisateurs quant à l’importance prévue du renseignement fourni. Par exemple, un membre du groupe responsable du PPIEM a demandé des éclaircissements sur le côté « trompeur et clandestin » (éléments clés de la définition que le SCRS donne de la notion d’ingérence étrangère) des activités [**expurgé**]. Le SCRS a également indiqué que [**expurgé**] la RPC [**expurgé**] faisant ainsi fi de l’avis général qu’AMC avait transmis à toutes les missions diplomatiques au Canada et selon lequel [**tout apport**] direct ou indirect [**expurgé**] à l’élection était inapproprié.

Le renseignement collecté par le SCRS a été soumis aux entités concernées – notamment au groupe responsable du PPIEM [**expurgé**] – avant l’élection. En effet, selon ceux qui connaissent les travaux du groupe responsable, [**expurgé**] a été considéré comme un « succès » retentissant pour ce qui a trait à l’élection de 2021. Cette perception est généralement partagée par le SCRS [**expurgé**] informant les hauts fonctionnaires [**expurgé**].  

Néanmoins, le SCRS a dérogé à son processus habituel de diffusion en conséquence – en partie du moins – du sujet en question (ingérence politique étrangère). De plus, le fait que le SCRS n’a pas été en mesure de dire clairement si la décision d’éluder les produits de renseignement présentés par écrit avait été explicitement prise témoigne, en soi, d’un manque de clarté quant à la façon dont le renseignement sur l’ingérence politique étrangère devrait être traité, particulièrement pendant les élections.

Globalement, l’étude de cas 2 s’avère plus révélatrice, non pas en tant qu’exemple de diffusion lacunaire ou inadéquate du renseignement, mais plutôt comme une illustration des enjeux liés particulièrement à la diffusion du renseignement sur l’ingérence politique étrangère qui, lorsqu’on l’associe à d’autres exemples et d’autres cas, révèle des difficultés globales et systémiques dans la façon dont le SCRS communique l’information qu’il collecte au sujet des processus politiques.

Étude de cas 3 (élection de 2021)

L’étude de cas 3 concerne le renseignement collecté au sujet de l’ingérence étrangère que la RPC a exercée dans plusieurs circonscriptions d’une région géographique particulière, mais aussi au sujet de campagnes plus globales qui avaient un lien avec cette région, ciblant l’élection de façon plus générale. On compte plusieurs éléments de renseignement : ayant trait à diverses activités; collectés à divers moments auprès de diverses sources; faisant l’objet de mises en garde et de considérations diverses; diffusées (ou non) à divers moments, dans divers formats et à divers destinataires. 

Les décisions prises quant au moment et à la façon de diffuser ce renseignement ont donné lieu à des désaccords, à de l’incertitude et à un manque de communication au sein du SCRS. Cette rupture survenait principalement entre les agents appelés à collecter le renseignement dans les régions et ceux responsables de la diffusion dudit renseignement depuis l’Administration centrale (AC) (l’AC englobe [**l’unité spécialisée qui, à l’AC, combine les capacités opérationnelles et analytiques (ci après désignée par le terme « unité spécialisée de l’AC »)**] et la haute direction du SCRS). Pour simplifier, les agents de renseignement ne comprenaient pas pourquoi une part du renseignement qu’ils collectaient n’était pas du tout diffusée ou diffusée après ce qu’ils percevaient comme des retards anormaux. En revanche, il est souvent arrivé que l’AC décide de ne pas diffuser (ou de retarder la diffusion) du renseignement pour des raisons – généralement liées au caractère unique de l’ingérence politique étrangère – qui n’ont pas été communiquées ou qui, en l’absence de critères ou de motifs standards, pouvaient sembler arbitraires.

Le renseignement portant sur l’ingérence étrangère de la RPC dans une circonscription particulière constitue un exemple typique. [**Une phrase supprimée pour éliminer l’information préjudiciable. Cette phrase traitait de la date/des dates de collecte et des activités de menace décrites par le renseignement.**] Au bureau responsable de la collecte et de l’analyse de ce renseignement, on a cru bon d’inclure celui ci dans un rapport de renseignement destiné à la diffusion, d’autant plus qu’il avait trait directement à l’élection. À [**l’automne de 2021**], bon nombre de courriels ont été envoyés depuis la région vers [**l’unité spécialisée de l’AC**], dans lesquels on demandait d’expliquer pourquoi l’information n’avait pas été diffusée. Par la suite, le renseignement a été placé dans un rapport de renseignement ([**expurgé**]), puis il a été diffusé le [**expurgé**] 2021. Pour les responsables du bureau, ce retard ([**expurgé**]) a considérablement affaibli l’impact de l’information.  

D’autres renseignements concernant des occurrences ou des exemples distincts d’ingérence étrangère de la part de la RPC [**expurgé**] n’ont jamais été diffusés. En [**expurgé**] 2021, un analyste régional a rédigé un produit d’analyse incorporant ce renseignement, de sorte à produire [**expurgé**] d’ingérence étrangère de la RPC. Toutefois, un analyste principal [**de l’unité spécialisée de l’AC**] a estimé que la version préliminaire du produit ne contextualisait suffisamment [**expurgé**] l’ingérence étrangère de la RPC. Bien qu’au bureau régional, on ait reconnu [**expurgé**] on a néanmoins cru que les mises en garde d’usage (qui sont souvent incluses dans les rapports du SCRS [**expurgé**]) auraient suffisamment contextualisé l’information.  

[**À l’unité spécialisée de l’AC**], en revanche, on croyait plutôt [**expurgé**] rendait le renseignement problématique au point où, pour en faire rapport, il serait nécessaire de [traduction] « contextualiser [**expurgé**]. L’inquiétude vient du fait que l’information [**expurgé**] advenant qu’elle soit diffusée sans contexte ni caractérisation. Pour l’équipe régionale, cette apparente réticence à faire valoir l’information collectée semblait indiquer que des normes distinctes étaient appliquées au renseignement relatif à l’ingérence politique étrangère.

Il y a également eu des difficultés et des désaccords relativement au renseignement portant sur l’ensemble des campagnes d’ingérence. Après l’élection, un parti politique a envoyé au BCP une lettre dans laquelle on faisait état de ce que l’on croyait être de l’ingérence étrangère ciblant ses candidats dans 13 circonscriptions fédérales. L’une des principales préoccupations du parti était une campagne de désinformation dirigée contre lui.

Le Groupe de travail MSRE, plus précisément le SCRS et le mécanisme de réponse rapide (MRR) d’AMC, a consacré une importante analyse à cette campagne. En définitive, ni le SCRS ni le MRR n’ont été en mesure d’établir un lien direct avec la RPC. En décembre 2021, le Groupe de travail MSRE a achevé son rapport après action (RAA) sur l’élection de 2021, dans lequel il concluait que [**Une phrase a été modifiée pour en éliminer l’information préjudiciable. La phrase résumait la conclusion du Groupe de travail MSRE selon laquelle celui ci n’avait pas été en mesure d’établir un lien entre les propos tenus en ligne contre le parti politique et un acteur étatique étranger.**].

Toutefois, avant la publication de ce rapport, en [**expurgé**] 2021, le SCRS a collecté du renseignement [**expurgé**] la campagne de désinformation en ligne contre le parti politique.

Au sein du SCRS, on ne pouvait se mettre d’accord ni sur la façon de caractériser [**expurgé**] la campagne menée en ligne ni sur la question à savoir si [**expurgé**] devraient ou non être diffusés en tant que renseignement signalant une interférence étrangère exercée par la RPC. [**Deux phrases ont été supprimées pour éliminer l’information préjudiciable. Ces phrases abordaient la question des perspectives concurrentes adoptées par la région et une unité spécialisée de l’AC au sujet de la façon de caractériser le renseignement relatif aux activités d’ingérence étrangère potentielles.**]

L’élément crucial de ces perspectives contradictoires était la divergence sur le plan des orientations et de l’appréciation à l’égard des questions délicates associées aux rapports portant sur l’ingérence politique étrangère, divergence qui s’est cristallisée dans les diverses attitudes quant au seuil à partir duquel il convient de faire rapport. [**Deux phrases ont été supprimées pour éliminer l’information préjudiciable. Ces phrases décrivaient les interprétations concurrentes au sein du SCRS quant à certains renseignements sur les activités d’ingérence étrangères possibles, de même que les différences d’opinions qui en découlent relativement à la diffusion desdits renseignements.**] Ainsi, on assurerait aux utilisateurs du renseignement que le SCRS ne fait pas simplement rapport sur les activités normales [**expurgé**] régulièrement part au processus politique, mais plutôt sur des activités posant une menace envers la sécurité nationale du Canada.  

L’ébauche d’un rapport de renseignement faisant état [**expurgé**] dans l’ingérence étrangère pendant l’élection de 2021 n’a pas été diffusée. Ce renseignement a plutôt été réinvesti dans un produit plus général portant sur l’ensemble des activités d’ingérence étrangère [**expurgé**]. En juillet 2022, [**l’unité spécialisée de l’AC**] a indiqué à la région qu’il avait reporté la publication de la version longue du produit de renseignement jusqu’à ce qu’on puisse obtenir [**expurgé**] lorsqu’il s’agit d’inclure du renseignement électromagnétique (SIGINT) [**expurgé**] dans une analyse. Au bureau régional, par contre, on avait le sentiment que le produit, tel qu’il était rédigé, faisait suffisamment état des activités de menace [**expurgé**] et devait, par conséquent, être diffusé immédiatement. Étant donné que le SCRS pouvait voir le renseignement électromagnétique [**expurgé**], le report de la diffusion et l’inclusion de cette information dans le produit semblent indiquer que le SCRS sentait le besoin de convaincre les utilisateurs de la pertinence de l’évaluation que le Service avait faite [**expurgé**] plutôt que de simplement fournir cette évaluation en sa qualité de service de renseignement de sécurité du Canada. [**L’unité spécialisée de l’AC**] a d’ailleurs indiqué que la direction du SCRS planifiait de discuter du produit avec de hauts dirigeants de l’extérieur du SCRS (notamment le CSNR et le greffier du Conseil privé) avant d’en produire la version définitive.

Figure 3. : Diffusion du renseignement *** dans l’élection de 2021 : les dates clés

Figure 3. : Diffusion du renseignement [**expurgé**] dans l’élection de 2021 : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Les discussions au sujet du produit se sont poursuivies au cours de l’hiver et du printemps de 2023, et ont abouti à la décision de publier ledit produit en juillet 2023 pour diffusion à l’intérieur du SCRS seulement. Au mois de novembre 2023, le renseignement du SCRS concernant la possible implication [**expurgé**] dans des activités d’ingérence étrangère ciblant le processus électoral de 2021 n’a toujours pas été diffusé (dans un produit de renseignement écrit) à l’extérieur du SCRS, et ce, [**expurgé**] années après avoir été collecté.

Évaluation de la diffusion du renseignement par le SCRS

Conclusion 1 : L’OSSNR a conclu que la diffusion, par le SCRS, du renseignement concernant l’ingérence politique étrangère pendant la 43e et la 44e élections fédérales était incohérente. Plus précisément, il s’avère qu’en diverses occasions :

  • la justification des décisions à savoir si et comment il convenait de diffuser le renseignement n’était pas claire, ce qui a eu une incidence directe sur l’acheminement de l’information;
  • la menace posée par les activités d’ingérence politique étrangère n’a pas été clairement communiquée par le SCRS.

Conclusion 2 : L’OSSNR a conclu que la diffusion et l’utilisation, par le SCRS, du renseignement sur l’ingérence politique étrangère avaient été marquées par le souci selon lequel ce type d’action pourrait constituer ou sembler constituer une forme d’ingérence dans le processus démocratique.

Conclusion 3 : L’OSSNR a conclu que le SCRS avait fréquemment choisi de présenter des exposés verbaux plutôt que des produits écrits lorsqu’il s’agissait de diffuser du renseignement sur l’ingérence politique étrangère pendant les élections.

Conclusion 4 : L’OSSNR a conclu qu’au sein du SCRS, il y avait une rupture entre une région et l’Administration centrale quant à savoir si les rapports sur l’ingérence politique étrangère devaient être assujettis à un seuil élevé de confiance, de corroboration et de contextualisation avant la diffusion.

Au sein du SCRS, l’ingérence politique étrangère est considérée comme un sous ensemble de la sphère globale de l’ingérence étrangère, alors que les enquêtes portant sur les institutions et les processus démocratiques font partie de procédures générales qui régissent le traitement que le SCRS réserve aux institutions fondamentales canadiennes . Toutefois, le renseignement sur l’ingérence politique étrangère présente bon nombre de difficultés qui ne sont portant abordées ni dans la politique ni dans les lignes directrices.

Le SCRS a fait face à un dilemme fondamental. D’une part, l’information relative à l’ingérence étrangère dans les élections constituait une priorité pour le gouvernement, et le SCRS avait déployé son dispositif de collecte de sorte à enquêter sur l’ingérence politique étrangère. D’autre part, le SCRS reconnaissait la possibilité que la collecte et la diffusion de renseignement concernant les élections puissent également être interprétées comme des formes d’ingérence dans le processus électoral. Ainsi, une tension de fond demeure : toute mesure – notamment la diffusion de renseignement – prise par le SCRS avant ou pendant l’élection ne doit, ni en fait ni en apparence, influer sur celle ci. 

Cette dynamique est bel et bien reconnue au sein du SCRS, mais n’est exprimée ni dans la politique ni dans les lignes directrices. Or, il importe d’abord de souligner, en outre, que les considérations ou les critères spécifiques suivant lesquels le SCRS pourrait établir un juste équilibre entre ces deux impératifs concurrents sont difficiles à saisir. Lorsqu’elles ne sont pas clairement formulées, les décisions paraissent arbitraires. Comme il était difficile de savoir, surtout pour les responsables de la collecte de renseignement, quels étaient les motifs généraux ou les politiques appelés à orienter les mesures de diffusion du renseignement sur l’ingérence politique étrangère, il devenait tout aussi difficile de savoir comment ces motifs et ces politiques devaient orienter chacune des décisions. Il convient d’ailleurs de souligner que les lacunes sur le plan de la clarté ont été génératrices de frustration (comme l’illustre l’énoncé d’un courriel : [traduction] « à quoi sert la collecte si l’information que nous recueillons n’est ni traitée ni diffusée? »).

De plus, comme ils ne savaient trop sur quels motifs se fonder pour décider des mesures à prendre (ou pour relayer l’information à l’externe), les décideurs ont fini par développer une aversion naturelle au risque. Il va sans dire que cette situation a engendré de la frustration chez ceux qui doivent conseiller les décideurs. Enfin, comme les motifs demeuraient flous, il devenait impossible, au sein du SCRS, de tenir des discussions rationnelles et de débattre sur l’établissement d’un juste équilibre entre les impératifs concurrents (informer sans influencer), ou d’afficher quelque cohérence dans la façon de mettre en œuvre cet équilibre.

On a relevé plusieurs cas où le renseignement n’a pas été intégré dans les brefs rapports de renseignement brut, mais a plutôt été retenu pour intégration dans des produits analytiques plus élaborés. Cette dynamique particulière qui se manifeste lorsqu’il s’agit d’ingérence politique étrangère semble indiquer qu’en général, les produits d’analyse constituent les meilleurs vecteurs de communication de l’information collectée. D’après ce que l’on observe, les décisions semblent avoir été prises au cas par cas et pourraient laisser entendre qu’il y avait une certaine réticence à placer l’information dans les rapports de renseignement, ce qui contrevient pourtant aux pratiques habituelles du SCRS en matière de diffusion.

Ainsi, la préférence pour les exposés verbaux comme mode de diffusion pendant les élections constituait une dérogation aux pratiques de diffusion que le SCRS adopte généralement. Qu’elle soit justifiée ou non, cette dérogation porte à croire qu’il convient d’adopter des pratiques spéciales dans le cas de l’ingérence politique étrangère, et ce, même s’il n’y a aucune politique ni aucune procédure qui permettent de définir clairement ce que ces pratiques spéciales sont censées être. Mais en plus, cette dérogation, crée des difficultés lorsqu’il s’agit d’encadrer et de documenter la communication de l’information.

Cette nébulosité qui caractérise les processus se répercute également sur l’approbation des activités de lutte contre l’ingérence politique étrangère. Bien que le pouvoir formel d’approbation d’une activité particulière puisse être exercé à un certain niveau (par exemple, celui du directeur général régional), on reconnaissait tout de même que le niveau informel d’approbation pour ce qui a trait aux activités liées à l’ingérence politique étrangère revenait à la haute direction, notamment au sous-directeur des Opérations, voire au directeur. Bien que la politique ne prévoie rien à cet égard, il est devenu normal de « sensibiliser » ou d’informer les représentants du BCP avant que le SCRS puisse entreprendre certaines activités de lutte contre l’ingérence étrangère.

Par exemple, avant l’élection de 2021, le SCRS a offert des séances d’information sur la sécurité préventive (SISP) ayant pour objet de sensibiliser les députés au sujet de la menace posée par l’ingérence étrangère. Un bureau régional a planifié une série de SISP à l’intention d’un nombre limité de députés que l’on estimait à risque d’être ciblés par des activités d’ingérence politique étrangère. Cependant, l’AC a exigé l’arrêt des SISP, le temps que [**l’unité spécialisée de l’AC**] prépare une stratégie nationale portant sur les SISP, laquelle visait les mêmes objectifs tout en misant sur les enseignements tirés d’une campagne semblable ayant eu lieu avant l’élection de 2019.

La campagne nationale a été conçue [**Une phrase a été modifiée et une autre supprimée pour éliminer l’information préjudiciable. Ces phrases décrivaient des méthodes et des tactiques employées par le SCRS.**] Advenant qu’elle soit dévoilée, cette intention pouvait être perçue comme une intervention inappropriée du SCRS dans le processus démocratique.

Probablement en raison de cet élément sensible, la campagne nationale a fait face à des complications causées par le vaste processus d’approbation, mais aussi par la décision de sensibiliser également les responsables du BCP et de Sécurité publique avant le procéder aux séances en tant que telles. En définitive, la complexité et les retards liés à la campagne nationale ont fait en sorte que celle ci n’a pu se dérouler comme prévu. Ainsi, la région a décidé de rencontrer le plus grand nombre possible des députés initialement visés par les SISP, et ce, avant le début de la période électorale. Tout contact avec les députés pendant la période électorale était jugé inapproprié.

Des éléments sensibles liés aux activités de lutte contre l’ingérence politique étrangère ont également influé [**Une phrase a été modifiée et trois autres supprimées pour éliminer l’information préjudiciable. Ces phrases décrivaient les objectifs et la mise en œuvre d’une activité opérationnelle du SCRS.**]. Il s’agissait là [traduction] « d’un choix conscient […] en raison d’éléments sensibles sur le plan politique » qui, selon le SCRS, pourraient avoir atténué l’effet stratégique attendu de [**l’activité opérationnelle du SCRS**].  

Enfin, ces éléments sensibles ont également influé sur la diffusion de produits de renseignement particuliers. Principalement, comme il en a été question plus tôt, le renseignement collecté en [**expurgé**] 2021 a finalement été publié en juillet 2023, dans un produit de renseignement pour diffusion réservée au SCRS. Après une vaste consultation, une révision approfondie et de longs retards, un haut dirigeant du SCRS a décidé de ne pas diffuser le produit à l’extérieur du SCRS (voir l’étude de cas 3). 

Au cœur des questions abordées plus tôt, on retrouve le manque de clarté et la communication lacunaire qui caractérisent les enquêtes du SCRS sur l’ingérence politique étrangère. Globalement au sein du SCRS, on avait de plus en plus l’impression que les règles et les décisions étaient établies, voire modifiées, malgré l’absence d’une stratégie ou d’orientations qui soient cohérentes.

En soi, le renseignement ne constitue pas une preuve, mais il n’est pas non plus le fruit de spéculations, de conjectures ou de rumeurs. En théorie, le seuil ou la norme permettant de déterminer quel renseignement doit être diffusé devraient être uniformes pour l’ensemble des activités liées aux menaces. En pratique, toutefois, les cas examinés montrent qu’il y avait, à tout le moins, la perception selon laquelle des normes plus rigoureuses s’appliqueraient au renseignement ayant trait à l’ingérence politique étrangère. Certes, un haut dirigeant du SCRS a indiqué à l’OSSNR que les normes s’appliquant au renseignement sur l’ingérence politique étrangère n’étaient pas différentes lorsqu’on les comparait au reste de l’information sur les menaces, mais il a également affirmé qu’il convenait de tenir compte de certains éléments sensibles lorsqu’il était question de diffuser du renseignement au sujet d’une personne évoluant dans la sphère politique. Par exemple, ce type d’information pourrait avoir une incidence sur la carrière de cette personne, notamment sur sa capacité à prendre part aux processus démocratiques.

Par ailleurs, des agents régionaux responsables de la collecte et de l’analyse croyaient que l’AC du SCRS ([**l’unité spécialisée de l’AC**] et la haute direction) cherchait trop à obtenir des preuves irréfutables lorsqu’il s’agissait d’établir des liens entre les activités et les acteurs étatiques.

La maximisation des éléments corroboratifs constitue une part essentielle du travail effectué dans la sphère du renseignement. Par définition, les normes doivent être uniformes et s’appliquer uniformément en toute circonstance. Or, la position voulant que la maximisation des éléments corroboratifs ou les normes de diffusion s’appliquent de la même façon à l’ingérence politique étrangère et aux autres types de rapports s’avère insoutenable, si l’on n’arrive pas à mettre clairement en évidence la façon dont les décisions sont concrètement prises. Tout refus de tenir compte du caractère distinct de l’ingérence politique étrangère mène à la confusion et à la consternation.

L’ingérence politique étrangère se produit souvent dans une « zone grise » se trouvant à la limite qui sépare les activités politiques et diplomatiques légitimes et ouvertes des activités d’ingérence secrète et clandestine. Bon nombre des utilisateurs du renseignement sur l’ingérence politique étrangère connaissent bien les activités des sphères politique (par exemple, les ministres, les députés et les partis politiques) et diplomatique (par exemple, les responsables d’AMC). Ce facteur engendre des difficultés pour le SCRS lorsqu’il s’agit d’exprimer clairement aux utilisateurs du renseignement les raisons pour lesquelles les rapports sont importants et liés à des menaces.

En résumé, le SCRS fait rapport sur des activités qui ont lieu dans le domaine de spécialité des clients qu’ils servent. Concrètement, cette situation fait en sorte que tout renseignement diffusé doit résulter d’une compréhension suffisante de ce qui distingue les activités légitimes des activités illicites. La limite est difficile à tracer, particulièrement lorsque l’on comprend que l’ingérence étrangère de la RPC se concrétise par une accumulation progressive d’activités et de pressions qui, en soi et sans contextualisation, pourraient paraître anodines, mais qui, une fois réunies, finissent par constituer une campagne visant à s’ingérer dans la démocratie du Canada. L’ingérence étrangère de la RPC s’apparente davantage à un grondement continu qu’à un retentissant coup de canon.

On compte de nombreuses lacunes déterminantes lorsqu’on se penche sur les mesures du SCRS en matière de diffusion et d’utilisation du renseignement ayant trait à l’ingérence politique étrangère. Premièrement, le SCRS n’a pas clairement défini sa tolérance au risque à l’égard des activités de lutte contre l’ingérence politique étrangère. Une définition claire de la tolérance au risque permet à ceux qui approuvent les mesures de bien saisir les limites à l’intérieur desquelles le SCRS est en mesure de bien fonctionner.

Deuxièmement et dans le même ordre d’idées, le processus d’approbation relatif aux activités de lutte contre l’ingérence politique étrangère ne reflète pas toujours ce qui se passe en pratique. À titre d’exemple, il y a peu de directives et d’attentes qui soient clairement exprimées dans la politique du SCRS concernant les occasions et les raisons qui justifient la consultation d’entités externes – comme Sécurité publique et le BCP – avant l’exécution de mesures ou d’activités, et il n’y a aucune directive ni aucune attente qui fasse état de la dynamique particulière qui s’applique aux activités de lutte contre l’ingérence politique étrangère citées plus haut. Il convient de noter qu’en mai 2023, le ministre de la Sécurité publique a émis, pour le SCRS, les « Directives ministérielles sur les menaces à la sécurité du Canada dirigées contre le Parlement et les parlementaires », lesquelles font état des principes régissant les consultations dans ce contexte particulier. Toutefois, les DM n’abordent pas la question de l’ingérence politique étrangère dirigée contre les autres institutions démocratiques.

Troisièmement, le SCRS n’a pas explicitement proposé de seuil relativement aux mesures de production et de diffusion du renseignement en matière d’ingérence politique étrangère. C’est-à-dire, le niveau de confiance et de corroboration requis pour que l’information collectée soit incluse dans un produit de renseignement en plus du niveau de contextualisation, qui font en sorte que le produit pourra être diffusé auprès des clients du gouvernement du Canada. Les éléments sensibles associés à ce type de renseignement ainsi que les exigences correspondantes appelées à optimiser la confiance et la corroboration, par comparaison à d’autres types de renseignement de sécurité, devraient être reconnus. Par exemple, le SCRS pourrait envisager d’évaluer si [**expurgé**] critères [**expurgé**] s’appliquant à la production de rapports de renseignement sont adaptés aux particularités du renseignement sur l’ingérence politique étrangère .   

Ce qu’il faut, en définitive, c’est une politique et une stratégie détaillées portant sur tous les aspects de la façon dont le SCRS aborde (réalisation d’enquêtes, production de rapports et mise en œuvre de mesures) la menace que constitue l’ingérence politique. Ces outils rehausseraient le degré de cohérence entre les régions et l’AC, et amélioreraient, de façon plus générale, la compréhension et la communication entre les divers échelons de l’organisation, depuis les agents de renseignement et les analystes jusqu’aux membres de la haute direction. Par la même occasion, ces outils signifieraient aux intervenants du gouvernement du Canada, en particulier aux décideurs principaux, que le SCRS a attentivement pris en compte tous les aspects de l’ingérence politique étrangère, y compris les éléments sensibles qui la caractérisent, en plus de faire rapport et de formuler des conseils au sujet de cette menace en se fondant sur des normes et des seuils rigoureusement établis. 

Le Canada n’est pas le seul pays à faire face à l’ingérence politique étrangère. Au cours des dernières années, tous ses partenaires de la Collectivité des cinq (Australie, Nouvelle Zélande, États Unis et Royaume-Uni) ont publiquement reconnu la menace posée par l’ingérence étrangère que la RPC exerce à l’égard de leurs processus démocratiques respectifs. En l’occurrence, il conviendra profiter de l’occasion pour tirer parti de ces expériences communes et pour établir les pratiques exemplaires qui s’imposeront.

Recommandation no 1 : L’OSSNR recommande que le SCRS élabore, suivant des consultations auprès des parties intéressées du gouvernement, une politique complète appelée à encadrer ses interventions face à la menace que pose l’ingérence politique étrangère. Cette politique devrait :

  • indiquer précisément les seuils et les pratiques à respecter pour la communication et la diffusion du renseignement concernant l’ingérence politique étrangère. Notamment, il faudrait indiquer les niveaux appropriés de confiance, de corroboration, de contextualisation et de caractérisation qui détermineront si le renseignement doit faire l’objet d’un rapport;
  • faire clairement état de la tolérance au risque que le SCRS peut appliquer lorsqu’il s’agit de prendre des mesures contre la menace que pose l’ingérence politique étrangère;
  • mettre en place des processus clairs d’approbation et de notification (ce qui inclut les consultations externes) pour toutes les activités ayant trait à la lutte contre l’ingérence politique étrangère;
  • faire clairement état de toute exigence ou procédure particulières pouvant s’appliquer, s’il y a lieu, pendant la période d’élection, ce qui comprend notamment les procédures permettant de diffuser en temps voulu le renseignement sur l’ingérence politique étrangère;
  • analyser les pratiques exemplaires des partenaires internationaux (particulièrement ceux de la Collectivité des cinq) en matière d’enquête et d’établissement de rapports concernant l’ingérence politique étrangère.

Partie 2 : Le Groupe de travail MSRE et le groupe responsable du PPIEM

À la suite de l’ingérence étrangère russe dont il a été démontré qu’elle avait bel et bien eu lieu lors de l’élection présidentielle de 2016, aux États Unis, le gouvernement du Canada a instauré une série de mesure visant à protéger l’intégrité des élections fédérales. Trois de ces mesures s’avèrent pertinentes dans le cadre du présent examen :

  • Le groupe responsable du Protocole public en cas d’incident électoral majeur (PPIEM). Établi suivant une Directive du Cabinet, le PPIEM s’utilise pendant la période électorale et est administré par un groupe de hauts fonctionnaires . Le groupe évalue l’information sur la sécurité et le renseignement dans le but d’établir s’il y a lieu d’annoncer publiquement [traduction] « qu’un incident ou une série d’incidents ont eu lieu et risquent de compromettre la capacité du Canada à tenir des élections qui soient libres et justes ». Or, le protocole n’a pas été utilisé – c. à d. qu’aucune annonce publique n’a été faite – lors des élections de 2019 ou de 2021.
  • Le Groupe de travail sur les menaces en matière de sécurité et de renseignements visant les élections (MSRE). Le Groupe de travail MSRE se compose de représentants issus du SCRS, du CST, de la GRC et d’AMC. Le principal objectif du Groupe de travail est de fournir au groupe responsable du PPIEM des rapports de renseignement coordonnés concernant les menaces qui pèsent sur les élections.
  • Le mécanisme de réponse rapide (MRR) du G7. Créé à l’occasion de la réunion du G7 tenue à Charlevoix en 2018, le MRR du Canada relève d’AMC et s’attaque aux menaces étrangères qui planent sur les processus démocratiques, en procédant à l’analyse des menaces puis à la rédaction de rapports sur les activités de manipulation d’information menées en lignes par les acteurs étatiques étrangers. L’équipe du MRR tient lieu de représentant d’AMC au sein du Groupe de travail MSRE.

Ces entités ont tenu un rôle important pour ce qui concerne l’acheminement du renseignement sur l’ingérence étrangère de la RPC pendant les élections de 2019 et de 2021. Pour l’essentiel, le Groupe de travail MSRE a servi – ou était censé servir – de courroie de transmission pour le renseignement sur les menaces, alors que le groupe responsable du PPIEM devait recevoir cette information tout en étant investi d’un mandat particulier, celui de communiquer (ou décider de ne pas communiquer) au public canadien l’information qui lui avait été soumise.

Conclusion 5 : L’OSSNR a conclu que le Groupe de travail MSRE et le groupe responsable du PPIEM n’avaient pas été conçus pour s’attaquer convenablement à l’ingérence étrangère traditionnelle d’origine humaine. Plus précisément :

  • Le Groupe de travail MSRE se concentre sur les activités de menace pendant la période électorale, mais il faut également savoir que l’ingérence étrangère a aussi lieu entre ces périodes.
  • La représentation d’Affaires mondiales Canada au sein du Groupe de travail MSRE se concentrait sur les activités d’ingérence étrangères menées en ligne.
  • Le seuil particulièrement élevé que le groupe responsable du PPIEM respecte pour ce qui concerne les annonces publiques risque très peu d’être atteint dans le cas de l’ingérence étrangère traditionnelle, puisque celle ci consiste surtout à cibler certaines circonscriptions.

La structure et l’orientation du Groupe de travail MSRE et du groupe responsable du PPIEM ont été façonnées par la nécessité de protéger les élections contre une ingérence étrangère généralisée et coordonnée qui sévit jusqu’au jour de l’élection inclusivement. En l’occurrence, il s’agit de protéger les élections canadiennes contre le type d’ingérence étrangère (principalement de la désinformation en ligne) dont on a été témoin aux États Unis et ailleurs dans le monde.

Par la même occasion, la collectivité de la sécurité et du renseignement a reconnu que l’ingérence d’origine humaine, que l’on dit « traditionnelle », avait été et continue d’être la plus importante menace envers les processus et les institutions démocratiques du Canada. Par exemple, dans l’aperçu qu’il a donné de la menace en 2021, le Groupe de travail MSRE a indiqué que les auteurs d’ingérence étrangère avaient principalement recours à des tactiques axées sur les interventions humaines [traduction] « en réaction, avant tout, à la façon dont le Canada organise ses élections […], mais aussi en raison du fait que les opérations d’influence HUMINT s’avèrent plus efficaces que les activités en ligne, compte tenu de la structure du système électoral canadien ». De fait, la prédominance de l’ingérence étrangère traditionnelle était connue avant 2019, et les expériences subséquentes n’ont fait que renforcer cette perception.

Malgré cette reconnaissance, les paramètres selon lesquels le Groupe de travail MSRE et le groupe responsable du PPIEM fonctionnent ne correspondent pas à la nature de la menace qui émane de l’ingérence étrangère traditionnelle.

À l’occasion d’un bilan postélectoral, un membre du groupe responsable du PPIEM a indiqué qu’aucune campagne d’ingérence d’envergure fructueuse n’avait eu lieu, et que l’élection avait été exempte de menace, si l’on fait exception de quelques éléments mineurs. Selon l’un des membres du groupe responsable du PPIEM, l’ingérence étrangère qui a eu lieu dans une circonscription particulière [**expurgé**] [traduction] « était sans importance pour l’élection » et, par conséquent, ne faisait pas partie du mandat du groupe. Pendant la même réunion, le directeur du SCRS a fait valoir que le [traduction] « plus important cas » d’ingérence étrangère par la RPC pendant l’élection se résumait aux événements survenus dans cette circonscription. Le directeur a également déploré que [traduction] « la machine » (le Groupe de travail MSRE et le groupe responsable du PPIEM) n’ait pas été conçue pour faire face à l’ingérence étrangère en dehors des périodes d’élections.

Contrairement aux opérations ponctuelles ou aux campagnes de grande envergure (notamment la désinformation en ligne menée à grande échelle), le renseignement sur l’ingérence étrangère traditionnelle dans les élections se veut plutôt granulaire et spécifique, et s’intéresse davantage aux activités que des particuliers mènent dans certaines circonscriptions. L’évaluation de l’incidence de ces activités au niveau des circonscriptions nécessite de recevoir et d’analyser continuellement tout le renseignement pertinent, ce qui est particulièrement difficile compte tenu de la brève période durant laquelle une élection se déroule.

De même, l’un des éléments centraux de l’ingérence étrangère traditionnelle est que celle ci se déroule sur le long terme et ne cantonne pas forcément aux périodes électorales. Bien que les activités du Groupe de travail MSRE se poursuivent l’année durant, sa capacité et son rythme de fonctionnement n’en sont pas moins réduits en dehors des périodes électorales. De plus, son principal centre d’intérêt demeure la période électorale ainsi que le résultat et l’intégrité du vote au jour du scrutin. En quelque sorte, la concentration sur ces aspects mine la capacité du Groupe de travail à s’attaquer à toutes les facettes d’une ingérence étrangère traditionnelle qui, pour sa part, ne se limite pas aux périodes électorales et menace les institutions démocratiques dans leur ensemble. 

Il convient également de prendre en compte la présence de l’équipe du MRR qui représente AMC au sein du Groupe de travail. Le MRR est conçu spécialement pour fonctionner en ligne dans le but de surveiller les médias sociaux et de détecter les activités pouvant constituer de l’ingérence étrangère, notamment la propagation et l’amplification de la désinformation. Par contre, la capacité d’AMC à analyser le renseignement ayant trait à l’ingérence étrangère traditionnelle et de concevoir des mesures d’intervention contre cette ingérence n’est pas suffisamment représentée au sein du Groupe de travail. L’ingérence étrangère traditionnelle s’exerce souvent par l’intermédiaire [**expurgé**]. AMC pourrait être appelé à tenir un rôle important sur le plan de l’intervention (par exemple, l’émission de protestations officielles ou l’expulsion de diplomates) et de l’interprétation (par exemple, pour ce qui concerne la distinction entre « ingérence étrangère » et « activité diplomatique légitime »), rôle qui s’étend au-delà des limites du mandat exercé actuellement par l’équipe du MRR.

Enfin, le seuil que le groupe responsable du PPIEM respecte relativement aux annonces publiques portant sur l’intégrité d’une élection est fonction de l’ingérence étrangère générale et systématique, à savoir celle qui est exercée dans le cadre de campagnes de désinformation en ligne ou d’autres types de cyberactivités. Concrètement, cela signifie que le public pourrait ne recevoir aucune communication de la part du groupe responsable du PPIEM, même si de l’ingérence étrangère d’une certaine ampleur devait avoir lieu, pour peu que ladite ingérence demeure en deçà de ce qui est pourtant reconnu comme un seuil étonnement élevé.

Le manque de communication publique – de transparence – risque d’engendrer de nombreuses difficultés et peut être interprété de multiples façons. Lorsque l’information concernant des tentatives particulières d’ingérence étrangère fait surface après l’élection, aucune communication transmise pendant l’élection ne peut être interprétée comme étant, de la part du gouvernement, une lacune sur le plan des mesures ou un manque de volonté à prendre des mesures. Lorsqu’aucune de ces informations ne fait surface et que l’on estime que l’intégrité de l’élection n’a aucunement été menacée par l’ingérence étrangère, on risque de se donner une fausse impression quant à l’ampleur de l’ingérence étrangère qui a eu lieu.

Recommandation no 2 : L’OSSNR recommande que le Groupe de travail MSRE définisse ses priorités en fonction des menaces réelles, notamment celles qui se concrétisent en dehors de la période électorale en tant que telle.

Recommandation no 3 : L’OSSNR recommande qu’Affaires mondiales Canada (AMC) et le Bureau du Conseil privé (BCP) veillent à ce que la représentation d’AMC au sein du Groupe de travail MSRE tire parti de la capacité du ministère à analyser et à traiter l’ingérence étrangère traditionnelle d’origine humaine, et ce, à titre de complément au mandat de l’équipe du mécanisme de réponse rapide.

Recommandation no 4 : L’OSSNR recommande que le Bureau du Conseil privé charge le groupe responsable du PPIEM d’élaborer de nouvelles stratégies permettant de réagir à l’intégralité des menaces qui se posent pendant les périodes électorales, notamment lorsque lesdites menaces se concrétisent dans des circonscriptions particulières.

Partie 3 : L’acheminement du renseignement sur l’ingérence étrangère de la RPC

La troisième et dernière section du présent rapport s’éloigne quelque peu du contexte électoral à proprement parler pour se pencher plutôt sur la question plus générale de l’acheminement du renseignement concernant l’ingérence étrangère de la RPC entre 2018 et 2023. Comme il a été dit, l’ingérence politique étrangère est chronique et omniprésente. La collectivité du renseignement recueille continuellement du renseignement sur l’ingérence politique étrangère de la RPC. Ce renseignement est échangé horizontalement, au sein de la collectivité, ainsi que verticalement, avec les principaux décideurs, notamment les représentants élus.

Les échanges de renseignement effectués de façon responsable entre les organisations constituent une caractéristique importante de toute collectivité de la sécurité et du renseignement digne de ce nom. Certes, les éléments sensibles, notamment les sources et les méthodes de travail, rendent nécessaire la classification du matériel sans oublier que le principe du besoin de connaître restreint le nombre des personnes autorisées à voir certaines informations. Or, les échanges réciproques de renseignement entre les organisations renforcent la capacité de chacune à informer ses décideurs dans la mesure où ces échanges permettent à chaque entité de présenter son point de vue en fonction de son expertise et de son mandat.

Conclusion no 6 : L’OSSNR a conclu que la diffusion restreinte de certains renseignements du SCRS et du CST auprès des hauts responsables exclusivement avait réduit la capacité de la Gendarmerie royale du Canada, d’Affaires mondiales Canada et du Bureau du Conseil privé à tenir compte desdits renseignements au moment de procéder à leur analyse.

En ce qui a trait au renseignement sur l’ingérence étrangère de la RPC, les rapports provenant des principaux « collecteurs » (le SCRS et le CST) ont alimenté les analyses de renseignement faites par les autres organisations de la collectivité de la sécurité et du renseignement concernées par le présent examen (AMC, la GRC et le BCP).

Toutefois, ces échanges entre organisations n’ont pas eu que de bons côtés. Par exemple, une évaluation d’AMC datant de la fin d’août 2021 met en avant du renseignement du SCRS où il est question de l’ingérence politique de la RPC, mais omet de faire état d’autres renseignements du SCRS, qui sont pourtant pertinents pour l’évaluation d’AMC. Compte tenu de la sensibilité du renseignement, toutefois, le rapport de renseignement du SCRS qui était pertinent pour l’analyse d’AMC – mais qui n’avait pas été fourni – a été envoyé à un certain nombre de « destinataires désignés seulement », ce qui a fait que les hauts responsables d’AMC y ont eu accès, alors que les analystes de la Direction générale du renseignement d’AMC n’y ont pas eu accès. Cette dynamique caractérise bon nombre des rapports de renseignement qui ont été produits et diffusés au sujet de l’ingérence politique étrangère de la RPC, ce qui a parfois causé des difficultés aux organisations destinataires lorsqu’il s’agissait d’incorporer ledit renseignement dans leurs propres évaluations analytiques. 

Par exemple, [**expurgé**] dans le cas de l’expulsion de Zhao Wei, diplomate de la RPC, en mai 2023 , [**expurgé**]. (Dans le même temps, des désaccords ont persisté entre le SCRS et AMC s’agissant de savoir ce qui constitue ou non une « activité diplomatique légitime ».)

Une dynamique semblable caractérisait le renseignement électromagnétique (SIGINT) du CST sur l’ingérence étrangère de la RPC. En effet, plusieurs rapports produits finis – produits de renseignement standards du CST – étaient bel et bien incorporés aux analyses d’AMC, du BCP et de la GRC. Or, une partie du renseignement le plus pertinent était classifiée à un niveau tel que sa diffusion s’en trouvait considérablement restreinte, un facteur attribuable au niveau de sensibilité de la méthode de collecte. Ainsi, ce renseignement était réservé à un nombre limité de personnes (parmi les hauts responsables) qui, au sein du gouvernement, détenaient l’endoctrinement requis.

Il convient de trouver un juste équilibre entre, d’une part, la protection de l’information sensible par l’imposition de contrainte à la diffusion et, d’autre part, le fait de veiller à ce que toute information pertinente soit échangée en vue d’alimenter l’analyse du renseignement et d’apporter des éclaircissements quant aux mesures que le gouvernement devrait prendre. L’OSSNR n’a pas tenté de savoir si certains produits de renseignement étaient ou non « surclassifiés », mais a tout de même remarqué que les décisions en matière de classification avaient une incidence directe sur la diffusion.

Conclusion no 7 : L’OSSNR a conclu que le SCRS et Sécurité publique ne disposaient d’aucun registre permettant de savoir qui reçoit et qui lit certains produits de renseignement, une carence qui crée des lacunes sur le plan de la responsabilisation.

Au sein du gouvernement du Canada, le renseignement est échangé de diverses façons. Quant au renseignement du SCRS, il peut être échangé directement par l’envoi de courriels sécurisés ou par le téléversement des produits dans des systèmes comme le Réseau canadien Très secret (RCTS) ou le répertoire SLINGSHOT du CST . Des copies papier de produits peuvent être diffusées par l’intermédiaire du programme des agents des relations avec la clientèle (ARC) du CST, c’est à dire auprès d’agents intégrés au sein de divers ministères et organismes. Certains ministères, notamment AMC et Sécurité publique, disposent de leurs propres agents de diffusion du renseignement. Les courriels sécurisés auxquels sont joints des produits de renseignement contiennent des consignes indiquant, au destinataire, à qui (au sein du ministère) ledit produit doit parvenir (par exemple, aux sous ministres et aux ministres).

Pendant la période visée par l’examen, le SCRS n’avait pas les moyens de faire un suivi rigoureux permettant de savoir qui avait reçu le renseignement et qui en avait pris acte. Cette lacune était en partie attribuable aux systèmes de suivi interne des divers ministères destinataires, lesquels pourraient ne pas avoir intégralement saisi ces données. Or, à titre d’auteur de l’information sensible, le SCRS constitue l’entité à laquelle il incombe de contrôler et de documenter les accès.

Le renseignement concernant l’ingérence exercée par la RPC sur un député

Le fait de ne pas savoir qui a lu les documents a eu des conséquences qui se sont manifestées dans la controverse entourant le renseignement ayant trait au ciblage exercé par la RPC à l’endroit d’un député en exercice.

En mai 2023, des reportages médiatiques ont révélé que le gouvernement du Canada disposait de renseignement indiquant qu’un député et les membres de sa famille avaient fait « l’objet » de sanctions de la part de la RPC.

Le propos des médias et du public tournait autour de deux produits du SCRS. D’abord, une évaluation de renseignement du SCRS remontant à juillet 2021, [**Une phrase a été modifiée pour éliminer l’information préjudiciable. La phrase décrivait le contenu de l’évaluation de renseignement dans lequel il y avait du renseignement sur les activités d’ingérence étrangère de la RPC.**]. Le second intitulé [traduction] « Note de gestion des enjeux » (Issues Management Note) a été envoyé par le SCRS aux hauts responsables pour les aviser que le Service informerait deux députés (notamment le député en question) concernant les activités de menace exercées à leur endroit par la RPC.

Or, on a eu tort de mettre l’accent sur ces deux produits. Ni l’un ni l’autre ne constituait le mécanisme par lequel le ministre et le sous ministre de la Sécurité publique étaient censés être tenus au courant des menaces proférées par la RPC à l’endroit du député et des membres de sa famille.

Il convient plutôt de retourner [**avant mai 2021**] où on a vu [**du renseignement du SCRS**] sur l’incident où la RPC avait ciblé le député. [**Ce renseignement du SCRS a**] été envoyé à une liste de destinataires désignés, dans laquelle figuraient le sous ministre et le ministre de la Sécurité publique. [**Le renseignement du SCRS**] a été envoyé par courriel sécurisé directement aux destinataires et aux personnes ressources des divers ministères. Ces personnes ressources des divers ministères ont eu pour consigne de fournir l’information à certains hauts responsables désignés, notamment au ministre de la Sécurité publique, puisque ces hauts responsables n’auraient pas d’accès direct aux courriels sécurisés. Au nombre des autres destinataires désignés [**du renseignement du SCRS**], il faut compter le CSNR, le greffier du Conseil privé, le sous ministre de la Défense nationale, le conseiller en matière de politique étrangère et de défense, le chef du CST ainsi que d’autres hauts responsables provenant d’AMC, du BCP, du MDN, du CST et de Sécurité publique.

Le SCRS a diffusé [**expurgé**] 2021. [**Une phrase a été supprimée pour éliminer l’information préjudiciable. Cette phrase résumait le renseignement du SCRS.**] Sécurité publique a indiqué à l’OSSNR que [**le renseignement du SCRS**] avait été diffusé en interne pendant la semaine [**expurgé**] 2021 et que [traduction] « la seule indication est qu’il a été envoyé à la haute direction ».  

Puis,[**expurgé**] 2021, le SCRS a diffusé [**expurgé**] contenant des renseignements selon lesquels [**Une phrase a été supprimée pour éliminer l’information préjudiciable. Cette phrase résumait le renseignement du SCRS.**] Sécurité publique a indiqué à l’OSSNR que [**le renseignement du SCRS**] avait été diffusé en interne pendant la semaine [**expurgé**] 2021, et que [traduction] « la seule indication est qu’il a été envoyé au ministre ».

Enfin, le [**expurgé**] 2021, le SCRS a diffusé [**Une phrase a été modifiée pour éliminer l’information préjudiciable. Cette phrase résumait le renseignement du SCRS.**] L’information était requise urgemment, car [**expurgé**]. Sécurité publique a indiqué qu’il ne disposait d’aucune preuve de réception de ce [**renseignement du SCRS**].

Figure 4. Diffusion du renseignement sur le ciblage d’un député fédéral : les dates clés

Figure 4. Key dates, dissemination of intelligence on targeting of a federal MP

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Comme il a été dit déjà, Sécurité publique a indiqué qu’au moins un [**segment de renseignement du SCRS**] avait été remis au ministre de la Sécurité publique, probablement inséré dans une trousse de lecture hebdomadaire produite vers la fin de mars 2021. Cet envoi aurait précédé de quelques mois la note de gestion des enjeux de mai 2021 et l’évaluation de renseignement de juillet 2021. Il n’y a aucune trace qui puisse indiquer que [**expurgé**] a été transmis au ministre, et ce, même si celui ci figurait dans la liste des destinataires désignés.

Or, le principal problème demeure le fait que Sécurité publique n’a pas été en mesure de retrouver [**expurgé**]. À la suite de la controverse publique de 2023, le SCRS et Sécurité publique ont établi la chronologie des événements marquants. Selon Sécurité publique, il se pourrait qu’une « erreur humaine » ait été à l’origine de cette absence dans les dossiers et que les fichiers correspondants aient été accidentellement supprimés. De plus, le directeur du SCRS et le CSNR ont demandé que la chronologie du SCRS et de SP rappelle que [traduction] « la distribution d’un document n’indique pas forcément que celui ci a été reçu ou lu par le destinataire ». Cette notion – voulant qu’un « trou noir » s’interpose entre l’envoi d’un produit crucial et sa réception par le destinataire – est la preuve évidente d’une situation inadmissible.

Il convient donc de conclure que c’est au SCRS qu’il incombe d’instaurer un système qui enregistre dans le détail les étapes de transmission et de réception de son propre renseignement, notamment – comme ce devrait être le cas pour certains renseignements prioritaires – le nom des personnes qui ont lu les produits en question. Le renseignement prioritaire pourrait comprendre le renseignement hautement sensible et particulièrement urgent ayant trait, par exemple, à la menace d’ingérence étrangère à l’endroit des élections ou encore des institutions et processus démocratiques essentiels.

Recommandation no 5 : L’OSSNR recommande que le SCRS et Sécurité publique se dotent d’un mécanisme élémentaire de responsabilisation permettant de suivre et de documenter rigoureusement la réception des produits de renseignement. Dans le cas du renseignement hautement sensible et particulièrement urgent, il conviendrait d’enregistrer également toute occurrence de lecture des produits de renseignement.

Dans le même temps, le suivi des produits de renseignement jusqu’à leurs destinataires n’est pas une panacée. Les consommateurs devraient avoir un intérêt réel pour le renseignement qu’ils reçoivent et comprendre dans quelle mesure ce renseignement peut leur permettre de s’acquitter de leurs responsabilités respectives.

Conclusion no 8 : L’OSSNR a conclu que la diffusion du renseignement sur l’ingérence politique étrangère de 2018 à 2023 avait été plombée par un certain nombre de difficultés. Plus précisément :

  • les utilisateurs ne comprenaient pas toujours la portée du renseignement qu’ils recevaient ou la façon d’intégrer ce renseignement dans leurs analyses stratégiques et leurs processus décisionnels;
  • on a relevé des désaccords entre les sous sections du renseignement et les hauts fonctionnaires quant à savoir si les activités décrites dans certains produits de renseignement constituaient de l’ingérence étrangère ou si elles ne représentaient que des activités diplomatiques légitimes.

Conclusion no 9 : L’OSSNR a conclu qu’il y avait des désaccords entre les hauts fonctionnaires et le CSNR quant à savoir si les évaluations de renseignement devraient être mises à la disposition de l’exécutif politique. En définitive, les interventions du CSNR se sont soldées par le fait que deux produits ne se sont pas rendus à l’exécutif politique, notamment le premier ministre.

Conclusion no 10 : L’OSSNR a conclu que le rôle du CSNR quant aux décisions relatives à la diffusion des produits de renseignement du SCRS n’était pas clairement défini.

Dans plusieurs séances d’information et entrevues tenues dans l’ensemble de la collectivité, l’OSSNR a entendu parler de la difficulté à faire comprendre ce qu’il conviendrait de faire (so-what) de l’analyse de renseignement. Cette difficulté tient en partie à ce que d’aucuns appellent « l’écart sur le plan de la littératie », que l’on semble observer entre les collectivités du renseignement et des politiques. En d’autres mots, les analystes du renseignement auraient un faible niveau de littératie en matière de politique, alors que les analystes des politiques ou les décideurs politiques auraient un faible niveau de littératie en matière de renseignement. Tout compte fait, cet écart peut engendrer de la confusion lorsqu’il s’agit d’établir ce à quoi le renseignement doit servir et ce qu’il convient de faire au sujet des menaces décrites dans ce renseignement.

Il suffit de penser à l’accent mis sur le renseignement « exploitable » ou sur les « recommandations » de mesures que les utilisateurs souhaitent obtenir de la part de la collectivité du renseignement. Le renseignement ne vient pas toujours avec ce type de caractéristique. En effet, il est généralement fourni à des fins d’information et de sensibilisation seulement (notamment pour mettre en évidence les tendances majeures et les principales menaces). Les analystes du renseignement ont fait valoir qu’en définitive, c’est aux utilisateurs du renseignement que revient la responsabilité de prendre des mesures (notamment d’orienter les politiques stratégiques), alors que le rôle des analystes se cantonne à fournir une information permettant de choisir et appliquer les mesures qui s’imposent.

La fonction principale du processus s’appliquant au renseignement est de fournir des analyses de renseignement aux responsables des politiques. Les analyses approfondies – c. à d. le fait d’assembler des données disparates pour en faire un tout cohérent s’accompagnant d’appréciations et d’évaluations sur l’incidence de l’information présentée – constituent le principal élément du mandat exercé par certaines unités spécialisées au sein des organismes de sécurité et de renseignement, notamment la Direction de l’évaluation du renseignement (DER) du SCRS et le Secrétariat de l’évaluation du renseignement (SER) du BCP. C’est donc aux analystes qu’il revient de contextualiser, à l’intention des principaux utilisateurs, le renseignement collecté.

La diffusion de renseignement auprès de l’exécutif politique peut être faite verbalement, à l’occasion de séances d’information formelles ou informelles, par de hauts fonctionnaires, notamment les sous ministres ou, dans le cas du premier ministre, par le CSNR. Dans le même temps, les produits d’analyse écrits peuvent fournir à l’exécutif politique des analyses essentielles ainsi que les points prioritaires à retenir au sujet des menaces envers la sécurité du Canada.

« Rapport spécial » du BCP

À l’automne de 2021, le CSNR intérimaire a reçu une série de fiches d’information de la part du SER du BCP concernant l’ingérence étrangère de la RPC. Pour mieux comprendre l’enjeu, le CSNR intérimaire a commandé un « rapport spécial » qui allierait le renseignement étranger (le mandat traditionnellement exercé par le SER) et le renseignement de sécurité intérieure (le domaine du SCRS).

De façon générale, le rapport spécial avait pour objet de fournir [traduction] « une évaluation sommaire des activités d’ingérence étrangère (IE) exercées par la Chine, tant au Canada que dans le reste du monde ». Le rapport se fondait sur plus de [**expurgé**] rapports du SCRS, sur des rapports [**expurgé**] et sur des analyses de sources ouvertes. Les principales estimations indiquaient que [traduction] « la collectivité du renseignement du Canada s’entend sur le fait que la Chine pose la principale menace envers le Canada sur le plan de l’ingérence étrangère (IE) », que [traduction] « le Canada demeure [**expurgé**] aux efforts d’IE déployés par la Chine », mais aussi que [traduction] « les moyens investis par la Chine en matière d’IE sont sophistiqués, persistants et multidimensionnels. Or, l’ingérence dans les élections ne représente que l’un des nombreux moyens employés par la Chine en matière d’IE ».  

À la fin de novembre 2021, le SER a mis l’ébauche d’un rapport à la disposition du SCRS pour commentaires et rétroaction. Un haut responsable du SCRS a réagi favorablement au produit, a suggéré d’apporter quelques améliorations et a provisoirement approuvé la liste de diffusion proposée par le BCP en attendant que le directeur du SCRS ait également examiné le rapport. La liste comprend la « haute direction du CPM » ainsi que les sous ministres (ou leurs équivalents) des ministères concernés (Justice, AMC, MDN, Sécurité publique, SCRS et CST). En même temps, le SER du BCP a demandé à son équipe de production de fournir une copie du rapport au greffier du Conseil privé, au sous greffier et au CPM (tout en indiquant que le CSNR intérimaire en avait déjà reçu une copie).

Cette demande n’a eu aucune suite. Peu après que celle ci eut été acheminée par courriel, un employé responsable du SER a personnellement communiqué avec l’équipe de production pour lui demander de refuser de se plier à ladite demande de diffusion, car le SER avait [traduction] « établi que de la rétroaction et une discussion d’orientation devaient avoir lieu avec le CSNR intérimaire avant de mettre la dernière main au rapport et de le diffuser à plus grande échelle ». À la mi décembre, le CSNR intérimaire a formulé de nouveaux commentaires concernant le document, lesquels ont été ajoutés à une deuxième ébauche. Cette rétroaction portait sur le ton du document et apportait des éclaircissements quant à savoir si certains des éléments décrits dans ce document constituaient des activités diplomatiques normales.

En janvier 2022, un nouveau CSNR a été nommé. Le SER a avisé ce nouveau CSNR au sujet du rapport spécial et lui en a remis, ainsi qu’à d’autres hauts responsables de la Direction du CSNR, une copie papier assortie d’une note d’accompagnement. La note d’accompagnement a été envoyée par le secrétaire adjoint du SER (l’échelon le plus élevé du SER) et adressée au CSNR. Elle décrivait brièvement le contenu du rapport spécial et recommandait expressément que celui ci soit approuvé et [traduction] « remis aux sous ministres et membres du Cabinet désignés ».

En février 2022, aucune réunion bilatérale n’a été tenue entre le secrétaire adjoint du SER et le CSNR, et aucune nouvelle discussion n’a eu lieu concernant le rapport spécial. Le BCP a expliqué à l’OSSNR que pendant cette période, le convoi de la liberté (Ottawa) et l’invasion de l’Ukraine par la Russie constituaient les priorités absolues du gouvernement en matière de sécurité. Au début de mars 2022, des éléments du rapport spécial ont été ajoutés aux points de discussion préparés pour le CSNR avant la séance d’information. L’OSSNR n’a pas obtenu les documents permettant de savoir qui avait été informé par le CSNR à ce moment là, puisqu’ils avaient été retenus par le BCP en tant que documents confidentiels du Cabinet. En avril 2022, une version électronique du rapport spécial a été mise à la disposition du CSNR [**expurgé**], mais n’avait pas encore été consultée au moment [**expurgé**]. Le BCP n’a disposé d’aucun autre compte rendu de discussions pouvant avoir eu lieu concernant le rapport spécial, et ce, jusqu’à ce que certaines parties du rapport aient été publiées dans les médias au début de 2023, ce qui n’a pas manqué de raviver l’intérêt pour la question.

Figure 5. Le « rapport spécial » du BCP : les dates clés

Figure 5. Le « rapport spécial » du BCP : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

En définitive, le rapport spécial est demeuré à l’état d’ébauche et n’a donc été ni approuvé, ni finalisé, ni diffusé. Bon nombre de hauts fonctionnaires du SCRS et du BCP ont eu l’occasion de lire les versions provisoires du produit , mais celui ci ne s’est jamais rendu aux membres du Cabinet ou au CPM.

Le BCP a indiqué à l’OSSNR un certain nombre de raisons expliquant pourquoi le rapport spécial n’a jamais été diffusé. La partie suivante de sa réponse fournit l’essentiel de son argumentaire :

[Traduction] Le rapport n’a pas été diffusé pour diverses raisons. D’abord, il avait pour objet d’informer le CSNR intérimaire […] au sujet de l’ingérence étrangère, ce qui a été fait. [L]e CSNR intérimaire, le nouveau CSNR [à partir de janvier 2022] ainsi que d’autres hauts responsables du BCP ont largement tiré parti de l’analyse, dans la mesure où celle ci a été utile pour la préparation de conseils stratégiques en vue de pourparlers avec les homologues. De plus, le document a été rédigé tout juste avant l’avènement du « convoi de la liberté » et le début de la guerre entre la Russie et l’Ukraine. Le gouvernement, le CSNR et, dans une certaine mesure, le SER devaient consacrer la majeure partie de leur temps à ces priorités urgentes. De plus, la partie analyse intérieure de l’évaluation se fondait largement sur du matériel du SCRS qui avait déjà été publié et diffusé. Même s’il décrivait une situation plutôt alarmante, le rapport ne faisait d’aucune façon allusion à des enjeux particuliers qui auraient nécessité une décision ou une intervention tactique immédiate de la part du gouvernement. Ainsi, étant donné que le document avait atteint son objectif, que d’autres priorités urgentes avaient fait surface et que le CSNR avait encore quelques questions à poser ainsi que des commentaires à formuler concernant ledit document [le CSNR] n’a pas demandé [au secrétaire adjoint du SER] de le publier et [le secrétaire adjoint du SER] n’a pas cru bon de publier le produit ». Cette analyse de « cas type » – laquelle misait sur le renseignement intérieur et le renseignement étranger – a néanmoins été utile et a montré le potentiel que ce type d’évaluation pourrait avoir dorénavant.

Le BCP n’a pas indiqué à l’OSSNR en quoi consistaient les [traduction] « quelques questions à poser ainsi que [les] commentaires à formuler concernant ledit document », ni précisé de quelle façon ceux ci auraient pu influer sur la décision de ne pas achever le rapport et de ne pas l’acheminer à l’échelon politique. Le CSNR n’a pas non plus indiqué en vertu de quelle autorisation le secrétaire adjoint du SER serait habilité à diffuser le produit en contradiction avec une décision du CSNR. De plus, l’objet manifeste du rapport était de fournir un aperçu général de l’ingérence étrangère de la RPC, et non de fournir de l’information devant mener à [traduction] « une décision ou une intervention tactique immédiate de la part du gouvernement ». Autrement dit, il s’agissait précisément de décrire [traduction] « une situation alarmante » en vue de mettre les décideurs au courant.

En effet, les raisons (voir ci dessus) invoquées par le BCP prennent le contrepied de l’impression exprimée dans la correspondance interne du BCP, où les analystes et les gestionnaires discutent de l’importance du rapport spécial ainsi que du soutien et de l’approbation à l’égard de l’analyse de rapport qu’un dirigeant du SCRS et un analyste principal du renseignement du SCRS ont produite. Au sein du SER, on avait l’impression que le rapport s’avérerait particulièrement utile, compte tenu de l’aperçu complet qu’il donnait des activités d’ingérence étrangère de la RPC. Pendant ce temps, un dirigeant du SCRS indiquait que le produit était préparé [traduction] « pour être remis aux décideurs, afin que ceux ci puissent saisir la gravité de la situation ». Cette impression est exprimée dans la recommandation de janvier 2022 citée précédemment, voulant que le rapport spécial soit mis à la disposition des membres du Cabinet.

Document du SCRS sur « le ciblage »

Au début de 2021, un analyste du SCRS a produit un rapport à partir de renseignement SIGINT [**Une phrase a été modifiée et une autre supprimée pour éliminer l’information préjudiciable. Ces phrases traitaient des méthodes de collecte et des systèmes techniques.**]. Le rapport faisait part d’une analyse des activités d’ingérence étrangère que la RPC avait dirigées contre des acteurs de la politique fédérale canadienne [**expurgé**]. En l’occurrence, il s’agissait de donner, aux responsables des politiques, un aperçu de la stratégie et des tactiques employées par la RPC pour « cibler » (à des fins d’influence ou d’ingérence) [**expurgé**]. Le SCRS a caractérisé le rapport comme étant [traduction] « l’analyse la plus complète et la plus détaillée réalisée à ce jour sur l’ingérence étrangère que la RPC exerce envers des acteurs politiques ».

Une dernière version du rapport – connue sous l’appellation de « document sur le ciblage » (Targeting Paper) – a été achevée en juin 2021. Selon le SCRS, le rapport était déjà parvenu à un nombre restreint de hauts responsables (bien que l’OSSNR ne puisse pas confirmer cette assertion, puisque rien ne l’atteste dans les registres de suivi du CST). Néanmoins, le produit est demeuré non publié et n’a pas été officiellement diffusé. 

Le SCRS a invoqué plusieurs raisons justifiant le fait que le rapport n’était allé nulle part à ce moment là, notamment les difficultés logistiques liées à la classification du matériel (ce qui rendait difficile la distribution), l’incidence de la COVID 19, le roulement des gestionnaires, les questions juridiques [**expurgé**] et l’aspect délicat de l’ensemble du contenu (ce qui nécessitait nombre de consultations concernant la distribution auprès des hauts responsables). Selon un haut responsable du SCRS, il n’a jamais été question d’empêcher la publication du rapport, puisqu’il s’agissait d’un produit considéré comme important. 

En octobre 2022, l’auteur du rapport a pris contact avec la gestion du SCRS afin de promouvoir la publication du produit, compte tenu de l’intérêt considérable que les fuites médiatiques avaient généré pour la question de l’ingérence étrangère. En novembre 2022, le SCRS a entrepris de coordonner [**expurgé**] la publication du rapport. Il a été envisagé de publier le rapport en tant que produit du SCRS, mais dans le répertoire SLINGSHOT du CST. Au cours des deux mois suivants, les discussions ont surtout porté sur la liste de diffusion et sur le « lancement » du rapport. Le SCRS a décidé de s’adresser d’abord aux hauts fonctionnaires et, peu après, à « l’échelon politique » (c. à d. les ministres concernés). Au début de février, la distribution à une poignée de hauts fonctionnaires a eu lieu. Le rapport a ensuite été publié dans SLINGSHOT, le 13 février 2023.

Neuf jours plus tard, le 22 février, le rapport est devenu inaccessible. Or, les registres système indiquent que le produit avait été vu par environ 40 fonctionnaires, notamment le CSNR, le greffier du Conseil privé et le directeur du SCRS, durant la période où il était encore accessible.

La décision de rendre le rapport inaccessible a été prise par le directeur du SCRS à la demande du CSNR. Lorsque l’OSSNR l’a questionné au sujet de sa décision, le directeur du SCRS a répondu [traduction] « si je me souviens bien, il a été décidé de [mettre le rapport sur la glace], car l’information était extrêmement sensible et qu’il était nécessaire de tenir de plus amples discussions concernant sa diffusion. La demande n’avait pas pour objet de limiter ou de censurer le rapport, mais bien de veiller à ce que le lectorat soit adéquatement choisi ». Plus spécifiquement, selon le directeur, le CSNR craignait que [traduction] « la liste de distribution soit trop exhaustive compte tenu du contenu du rapport ». En novembre 2023, aucune liste révisée n’a été approuvée, et le rapport est demeuré inaccessible.

Le BCP a confirmé que la demande du CSNR visant à mettre un frein au produit tenait au fait que le CSNR estimait que la liste de distribution initiale était trop large. Quoique [traduction] « le CSNR avait posé des questions au SCRS concernant les mesures qu’il conviendrait de prendre concernant le renseignement que le rapport contenait ». Pour sa part, le SCRS n’a fait aucune mention d’une telle demande dans ses réponses à l’OSSNR concernant le produit en question. Le plus étonnant, c’est que le BCP a expliqué que [traduction] « le CSNR était d’avis que les activités dont il était question dans le rapport ne correspondaient pas à ce que l’on conçoit normalement comme de l’ingérence étrangère, et qu’il s’agissait plutôt de pratiques diplomatiques courantes ». Le BCP avance également que cette position était soutenue par des sous-ministres dont l’identité n’a pas été révélée. Voilà qui contraste nettement avec la caractérisation que le SCRS a faite du rapport en disant qu’il contenait la plus complète et la plus détaillée des analyses portant sur l’ingérence étrangère dirigée contre les acteurs politiques canadiens par la RPC.

Le 24 février, une réunion s’est tenue au BCP pour discuter du produit. Participaient à la réunion le directeur du SCRS, le CSNR, le chef du CST, le greffier du Conseil privé, le SM de la Sécurité publique, le SM d’AMC et l’auteur du rapport (un analyste principal du SCRS). Selon le SCRS, au terme de cette réunion, le CSNR a demandé que soit produite une version abrégée et « expurgée » (c. à d. les noms [**expurgé**] ont été anonymisés) du rapport spécifiquement pour le premier ministre.

L’analyste du SCRS a achevé une version du rapport destinée au premier ministre le 9 mars 2023. Or, en novembre 2023, le premier ministre n’avait toujours pas accédé au produit; il ne l’avait donc ni vu ni lu. Le directeur du SCRS n’était pas au courant de ce fait. Pour ce qui est de la diffusion, l’analyste du SCRS (l’auteur du rapport) a indiqué qu’il devait recevoir une liste de distribution approuvée – liste que seuls le directeur et le CSNR pouvaient fournir – et qu’il n’était pas autorisé à disposer du rapport de sa propre initiative. Le SCRS a d’ailleurs ajouté que [traduction] « le personnel du bureau du directeur était au courant […] que rien ne pourrait advenir de la version destinée au premier ministre sans avoir reçu une nouvelle liste de distribution de la part [du directeur] et du CSNR », mais que [traduction] « en raison de priorités concurrentes qui se sont concrétisées au printemps et à l’été, le bureau du directeur n’a pas cru bon de soulever la question auprès du directeur ». Étant donné que [traduction] « ni le CSNR ni le bureau du CSNR n’ont fait de suivi auprès du directeur quant à l’état de la demande de préparation d’une version destinée au premier ministre », le directeur a eu l’impression [traduction] « que le premier ministre l’avait déjà vue ».

Figure 6. Document du SCRS sur le « ciblage » : les dates clés

Figure 6. Document du SCRS sur le « ciblage » : les dates clés

[**La figure a été modifiée pour éliminer l’information préjudiciable.**]

Le SCRS a clairement signifié que cette version du rapport avait été préparée spécialement pour le premier ministre, mais le directeur a aussi ajouté que la décision visant à savoir si elle devait être remise ou non au premier ministre relevait du BCP. Toutefois, selon le BCP [traduction] « le rapport en question n’était pas spécifiquement destiné à n’être utilisé que par le premier ministre ». Or, cette déclaration illustre le contraste frappant qu’il y a entre la vision du SCRS et celle du BCP. Au SCRS, on semble convaincu que le résultat de la réunion du 24 février fut la formulation d’une directive voulant que le CSNR crée une version particulière du rapport sur les « cibles » destinée au premier ministre, ce qui est difficile à concilier avec la position de ce même CSNR, selon laquelle le même produit n’était pas spécifiquement destiné au premier ministre. De plus, d’après les dossiers de suivi du CST, aucun autre haut représentant – nommément le BCP et le CPM – n’a vu la version abrégée du produit. D’après le SCRS, [traduction] « cette version n’a été traitée d’aucune façon ».

Certes, le CSNR tient un rôle de coordonnateur au sein de la collectivité de la sécurité et du renseignement, mais ce rôle n’est pas clairement circonscrit. Par ailleurs, comme il est proche du premier ministre, le CSNR doit composer avec le fait que sa position à l’égard de certaines mesures ou de certaines décisions peut avoir un poids considérable en sein de la collectivité. Ainsi, il demeure difficile de connaître la portée exacte de son influence sur les décisions s’appliquant à la diffusion des produits de renseignement du SCRS. Apparemment, la décision de « stopper » (22 février) la version initiale du document sur « le ciblage » aurait été prise par le directeur. Or, dans les faits, la décision semble plutôt avoir été prise par le CSNR (pensons, à titre de cas semblable, la demande suivant laquelle le CSNR a procédé au rappel d’un produit de renseignement du SCRS portant sur l’ingérence étrangère exercée pendant l’élection de 2019; à ce sujet, voir le paragraphe 27, plus haut).

Il convient de souligner que le rapport spécial du BCP et le document du SCRS sur « le ciblage » affichent certaines similitudes. En effet, les deux produits devaient être l’occasion de synthétiser les aperçus du renseignement disponible sur l’ingérence politique étrangère de la RPC. Au bout du compte, ni l’un ni l’autre des documents n’a été diffusé auprès de l’exécutif politique pour des motifs semblables. Ces rapports auraient pu être fournis aux responsables des politiques à des fins de planification stratégique, mais le CSNR les a plutôt traités en fonction de mesures à appliquer ou d’une marche à suivre à la lumière du renseignement fourni, et ne les a donc pas diffusés. 

Il a également été question de savoir si, de fait, les rapports décrivaient l’ingérence étrangère ou faisaient tout simplement état d’activités diplomatiques courantes, ce qui a donné lieu à un désaccord catégorique pour ce qui concerne le document sur les cibles. Lorsqu’il s’agit d’évaluer le renseignement, les désaccords et les débats sont importants et utiles. Pourtant, l’écart que l’on constate, en l’occurrence, entre le point de vue du SCRS et celui du CSNR est considérable, d’autant plus que la question est fondamentale. Le SCRS a collecté et analysé du renseignement et a fait rapport sur des activités considérées comme constituant d’importantes menaces envers la sécurité nationale. Or, l’un des principaux utilisateurs de ce type de rapport (et principal rapporteur du renseignement auprès du premier ministre) était manifestement en désaccord avec cette évaluation. En théorie, les engagements en matière de lutte contre l’ingérence politique étrangère sont simples à comprendre, mais ils seront difficiles à concrétiser si, au sein de la collectivité, on doit se buter constamment à des désaccords quant à la nature des menaces.

Recommandation no 6 : L’OSSNR recommande que Sécurité publique Canada, Affaires mondiales Canada, le Bureau du Conseil privé et les autres utilisateurs du renseignement accroissent le niveau de littératie en matière de renseignement au sein de leurs ministères respectifs.

Recommandation no 7 : L’OSSNR recommande que les membres de la collectivité de la sécurité et du renseignement acquièrent une compréhension et des pratiques communes à l’égard de l’ingérence politique étrangère.

Recommendation 8: L’OSSNR recommande que le rôle du conseiller à la sécurité nationale et au renseignement auprès du premier ministre – notamment en ce qui a trait aux décisions concernant la diffusion du renseignement – soit défini dans un instrument juridique.

Conclusion

La collectivité de la sécurité et du renseignement admet unanimement que l’ingérence politique étrangère est une menace considérable pour le Canada et que la République populaire de Chine (RPC) constitue l’un des principaux auteurs de ce type de menace qui pèse sur tous les ordres de gouvernement. Pourtant, le présent examen – lequel porte sur la façon dont le renseignement ayant trait à l’ingérence politique étrangère exercée par la RPC a été diffusé entre 2018 et 2023 (période qui englobe les deux dernières élections fédérales) – indique que les éléments constitutifs de cette collectivité manifestent, en interne et entre eux, d’importants désaccords quant à savoir si, quand et comment il convient de diffuser les renseignements dont chacun dispose.

De fait, on a constaté trois schismes fondamentaux. Premièrement, au sein du SCRS : le Service a eu du mal à concilier les exigences concurrentes (faire rapport sans causer d’ingérence) en raison des éléments sensibles liés à l’ingérence politique étrangère, particulièrement à l’approche des élections, pendant les élections et peu après les élections. En l’occurrence, on a observé une dérogation aux pratiques normales de diffusion, ce qui a engendré une forme de consternation de la part de certains responsables de la collecte et de l’analyse du renseignement.

Deuxièmement, dans l’appareil de la sécurité des élections : le Groupe de travail MSRE et le groupe responsable du PPIEM s’étaient préparés à des activités d’ingérence systématique et vaste, et ne s’étaient donc pas adaptés à l’ingérence dite traditionnelle, celle là même qui a lieu à l’échelle des circonscriptions, et ce, malgré que l’on ait reconnu que ce type de menace était le plus répandu au Canada. Compte tenu du seuil appliqué par le groupe responsable du PPIEM, celui ci n’a rien communiqué au public canadien concernant l’ingérence étrangère qui avait été observée pendant les élections fédérales de 2019 et de 2021.

Troisièmement, entre les analystes du renseignement et les hauts fonctionnaires : les analystes du BCP et du SCRS ont produit des aperçus de ce qu’ils considéraient comme des activités d’ingérence étrangère de la part de la RPC (et, par conséquent, des menaces envers la sécurité nationale), alors que le CSNR considérait plutôt que ces activités étaient typiques du travail diplomatique standard. Cette divergence fondamentale a mené, du moins en partie, au fait que ces produits de renseignement ne sont pas parvenus à l’exécutif politique, notamment au premier ministre.

Ces désaccords et ces décalages sont le reflet d’une difficulté de fond, à savoir cette « zone grise » où l’ingérence politique étrangère peut étrangement ressembler à des activités politiques ou diplomatiques courantes. Cette difficulté était omniprésente dans les activités examinées. Elle a influé sur les décisions relatives à la diffusion ou à la non diffusion des produits et sur la façon de caractériser ce qui était communiqué. Elle a également mis en évidence les éléments sensibles liés à la production de rapports sur les activités qui meublent la sphère du politique et de la diplomatie. Le risque de caractériser les comportements politiques ou diplomatiques légitimes comme étant des menaces a incité des membres de la collectivité du renseignement à s’abstenir de considérer certaines activités comme des menaces. 

La collectivité de la sécurité et du renseignement a été aux prises avec ces difficultés pendant une période d’importants changements sur le plan géopolitique. La relation que le Canada entretient avec la RPC s’est détériorée depuis 2018. Ce n’est pas par hasard que l’on a observé, pendant la période visée par l’examen, une tendance vers une reconnaissance accrue, voir un consensus quant à l’ampleur de la menace posée par l’ingérence étrangère de la RPC. Toutefois, même si la collectivité évolue vers une meilleure coordination, il n’en demeure pas moins un certain nombre d’obstacles au cheminement de l’information concernant cette menace. D’ailleurs, les recommandations ici formulées visent à surmonter ces obstacles. Dans l’absolu, ces recommandations ont pour but de veiller à ce que ceux qui reçoivent le renseignement – les décideurs et les responsables des politiques appelés à veiller sur la sécurité du pays – soient en mesure de prendre les mesures qui s’imposent en toute circonstance.

Annexe A. Conclusions et recommandations

L’OSSNR a formulé les conclusions et les recommandations suivantes dans le cadre de son examen.

Partie 1 : Collecte et diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des élections fédérales de 2019 et de 2021

Conclusion no1 : L’OSSNR a conclu que la diffusion, par le SCRS, du renseignement concernant l’ingérence politique étrangère pendant la 43e et la 44e élections fédérales était incohérente. Plus précisément, il s’avère qu’en diverses occasions :

  • la justification des décisions à savoir si et comment il convenait de diffuser le renseignement n’était pas claire, ce qui a eu une incidence directe sur l’acheminement de l’information
  • la menace posée par les activités d’ingérence politique étrangère n’a pas été clairement communiquée par le SCRS

Conclusion no2 : L’OSSNR a conclu que la diffusion et l’utilisation, par le SCRS, du renseignement sur l’ingérence politique étrangère avaient été marquées par le souci selon lequel ce type d’action pourrait constituer ou sembler constituer une forme d’ingérence dans le processus démocratique.

Conclusion no3 : L’OSSNR a conclu que le SCRS avait fréquemment choisi de présenter des exposés verbaux plutôt que des produits écrits lorsqu’il s’agissait de diffuser du renseignement sur l’ingérence politique étrangère pendant les élections.

Conclusion no4 : L’OSSNR a conclu qu’au sein du SCRS, il y avait une rupture entre une région et l’Administration centrale quant à savoir si les rapports sur l’ingérence politique étrangère devaient être assujettis à un seuil élevé de confiance, de corroboration et de contextualisation avant la diffusion.

Partie 2 : Le Groupe de travail MSRE et le groupe responsable du PPIEM

Conclusion no 5 : L’OSSNR a conclu que le Groupe de travail MSRE et le groupe responsable du PPIEM n’avaient pas été conçus pour s’attaquer convenablement à l’ingérence étrangère traditionnelle d’origine humaine. Plus précisément :

  • Le Groupe de travail MSRE se concentre sur les activités de menace pendant la période électorale, mais il faut également savoir que l’ingérence étrangère a aussi lieu entre ces périodes.
  • La représentation d’Affaires mondiales Canada au sein du Groupe de travail MSRE se concentrait sur les activités d’ingérence étrangères menées en ligne.
  • Le seuil particulièrement élevé que le groupe responsable du PPIEM respecte pour ce qui concerne les annonces publiques risque très peu d’être atteint dans le cas de l’ingérence étrangère traditionnelle, puisque celle ci consiste surtout à cibler certaines circonscriptions.

Partie 3 : L’acheminement du renseignement sur l’ingérence étrangère de la RPC

Conclusion no 6 : L’OSSNR a conclu que la diffusion restreinte de certains renseignements du SCRS et du CST auprès des hauts responsables exclusivement avait réduit la capacité de la Gendarmerie royale du Canada, d’Affaires mondiales Canada et du Bureau du Conseil privé à tenir compte desdits renseignements au moment de procéder à leur analyse.

Conclusion no 7 : L’OSSNR a conclu que le SCRS et Sécurité publique ne disposaient d’aucun registre permettant de savoir qui reçoit et qui lit certains produits de renseignement, une carence qui crée des lacunes sur le plan de la responsabilisation.

Conclusion no 8 : L’OSSNR a conclu que la diffusion du renseignement sur l’ingérence politique étrangère de 2018 à 2023 avait été plombée par un certain nombre de difficultés. Plus précisément :

  • les utilisateurs ne comprenaient pas toujours la portée du renseignement qu’ils recevaient ou la façon d’intégrer ce renseignement dans leurs analyses stratégiques et leurs processus décisionnels;
  • on a relevé des désaccords entre les sous sections du renseignement et les hauts fonctionnaires quant à savoir si les activités décrites dans certains produits de renseignement constituaient de l’ingérence étrangère ou si elles ne représentaient que des activités diplomatiques légitimes.

Conclusion no 9 : L’OSSNR a conclu qu’il y avait des désaccords entre les hauts fonctionnaires et le CSNR quant à savoir si les évaluations de renseignement devraient être mises à la disposition de l’exécutif politique. En définitive, les interventions du CSNR se sont soldées par le fait que deux produits ne se sont pas rendus à l’exécutif politique, notamment le premier ministre.

Conclusion no 10 : L’OSSNR a conclu que le rôle du CSNR quant aux décisions relatives à la diffusion des produits de renseignement du SCRS n’était pas clairement défini.

Partie 1 : Collecte et diffusion, par le SCRS, du renseignement sur l’ingérence étrangère de la RPC lors des élections fédérales de 2019 et de 2021

Recommandation no 1 : L’OSSNR recommande que le SCRS élabore, suivant des consultations auprès des parties intéressées du gouvernement, une politique complète appelée à encadrer ses interventions face à la menace que pose l’ingérence politique étrangère. Cette politique devrait :

  • indiquer précisément les seuils et les pratiques à respecter pour la communication et la diffusion du renseignement concernant l’ingérence politique étrangère. Notamment, il faudrait indiquer les niveaux appropriés de confiance, de corroboration, de contextualisation et de caractérisation qui détermineront si le renseignement doit faire l’objet d’un rapport;
  • faire clairement état de la tolérance au risque que le SCRS peut appliquer lorsqu’il s’agit de prendre des mesures contre la menace que pose l’ingérence politique étrangère;
  • mettre en place des processus clairs d’approbation et de notification (ce qui inclut les consultations externes) pour toutes les activités ayant trait à la lutte contre l’ingérence politique étrangère;
  • faire clairement état de toute exigence ou procédure particulières pouvant s’appliquer, s’il y a lieu, pendant la période d’élection, ce qui comprend notamment les procédures permettant de diffuser en temps voulu le renseignement sur l’ingérence politique étrangère;
  • analyser les pratiques exemplaires des partenaires internationaux (particulièrement ceux de la Collectivité des cinq) en matière d’enquête et d’établissement de rapports concernant l’ingérence politique étrangère.

Partie 2 : Le Groupe de travail MSRE et le groupe responsable du PPIEM

Recommandation no 2 : L’OSSNR recommande que le Groupe de travail MSRE définisse ses priorités en fonction des menaces réelles, notamment celles qui se concrétisent en dehors de la période électorale en tant que telle.

Recommandation no 3 : L’OSSNR recommande qu’Affaires mondiales Canada (AMC) et le Bureau du Conseil privé (BCP) veillent à ce que la représentation d’AMC au sein du Groupe de travail MSRE tire parti de la capacité du ministère à analyser et à traiter l’ingérence étrangère traditionnelle d’origine humaine, et ce, à titre de complément au mandat de l’équipe du mécanisme de réponse rapide.

Recommandation no 4 : L’OSSNR recommande que le Bureau du Conseil privé charge le groupe responsable du PPIEM d’élaborer de nouvelles stratégies permettant de réagir à l’intégralité des menaces qui se posent pendant les périodes électorales, notamment lorsque lesdites menaces se concrétisent dans des circonscriptions particulières.

Partie 3 : L’acheminement du renseignement sur l’ingérence étrangère de la RPC

Recommandation no 5 : L’OSSNR recommande que le SCRS et Sécurité publique se dotent d’un mécanisme élémentaire de responsabilisation permettant de suivre et de documenter rigoureusement la réception des produits de renseignement. Dans le cas du renseignement hautement sensible et particulièrement urgent, il conviendrait d’enregistrer également toute occurrence de lecture des produits de renseignement.

Recommandation no 6 : L’OSSNR recommande que Sécurité publique Canada, Affaires mondiales Canada, le Bureau du Conseil privé et les autres utilisateurs du renseignement accroissent le niveau de littératie en matière de renseignement au sein de leurs ministères respectifs.

Recommandation no 7 : L’OSSNR recommande que les membres de la collectivité de la sécurité et du renseignement acquièrent une compréhension et des pratiques communes à l’égard de l’ingérence politique étrangère.

Recommendation 8: L’OSSNR recommande que le rôle du conseiller à la sécurité nationale et au renseignement auprès du premier ministre – notamment en ce qui a trait aux décisions concernant la diffusion du renseignement – soit défini dans un instrument juridique.

Share this page
Date de modification :

Gouvernance du CST s’appliquant aux cyberopérations actives et défensives

Date de publication :

Sommaire

La Loi sur le CST confère au Centre de la sécurité des télécommunications (CST) le pouvoir de mener des cyberopérations actives et des cyberopérations défensives (COA/COD). Tel qu’il est stipulé dans la Loi, une COD a pour but de stopper ou de gêner les cybermenaces étrangères qui pourraient peser sur les réseaux ou les systèmes du gouvernement fédéral désignés comme étant importants pour le Canada par le ministre de la Défense nationale (MinDN). Pour leur part, les COA ont pour vocation de restreindre la capacité des adversaires à porter atteinte aux relations internationales, à la défense ou à la sécurité du Canada. Les COA/COD sont autorisées par voie d’autorisations ministérielles (AM) et, en raison de leurs répercussions potentielles sur la politique étrangère, les COA nécessitent l’approbation du ministre des Affaires étrangères (MAE), alors que les COD ne requièrent que l’avis du MAE.

Pendant le présent examen, l’OSSNR s’est fixé pour objectif d’évaluer le cadre de gouvernance qui oriente la conduite des COA/COD. L’OSSNR a également cherché à savoir si le CST prenait suffisamment en compte ses obligations légales, mais aussi les répercussions de ses opérations sur la politique étrangère de l’État canadien. En outre, l’OSSNR a analysé les documents portant sur les politiques et les procédures, sur la gouvernance et sur les opérations, de même que la correspondance entre le CST et AMC. L’examen a débuté par l’analyse des tout premiers documents portant sur les COA/COD et s’est conclu à l’échéance de la période de validité des premières autorisations ministérielles visant des COA/COD.

Dans le présent examen, l’OSSNR a tenu compte de l’apport d’Affaires mondiales Canada (AMC) en considération du rôle important que ce ministère tient dans la structure de gouvernance des COA/COD conçue conformément aux exigences établies par la loi relativement au rôle du MAE à l’égard des AM. Par conséquent, l’OSSNR a été en mesure d’acquérir les éléments de connaissance lui permettant de bien comprendre les structures de gouvernance et de reddition de compte qui ont été mises en place pour ces activités, et ce, en étant exposé à des témoignages uniques de la part de représentants des deux ministères, qui ont fait état de leurs rôles et de leurs responsabilités respectifs.

La nouveauté de ces pouvoirs a contraint le CST à élaborer de nouveaux mécanismes et processus tout en tenant compte des pouvoirs et contraintes nouvellement établis par la Loi. L’OSSNR a d’ailleurs constaté l’important travail effectué par le CST et par AMC pour l’édification de la structure de gouvernance s’appliquant aux COA/COD. Dans le présent contexte, l’OSSNR a remarqué que certains aspects de la gouvernance pouvaient être améliorés en les rendant plus transparents et en les énonçant plus clairement.

En outre, l’OSSNR a noté que le CST pourrait donner une information plus détaillée aux intervenants prenant part au processus décisionnel et à la gouvernance des COA/COD, particulièrement dans les documents comme les AM qui autorisent ces opérations et dans les plans opérationnels établis pour la direction desdites opérations. De plus, l’OSSNR a trouvé que le CST et AMC n’avaient suffisamment pris en compte ni les nombreuses lacunes, qui ont été recensées dans le cadre du présent examen, ni les recommandations visant les éléments suivants :

  • la nécessité de mobiliser d’autres ministères pour s’assurer que les opérations suivent les priorités globales du gouvernement du Canada;
  • l’absence d’un seuil de démarcation entre une COA et une COD préventive;
  • la nécessité d’évaluer la conformité au droit international de chacune des opérations;
  • la nécessité de communiquer bilatéralement les informations nouvellement acquises qui renseignent sur le niveau de risque d’une opération.

Les lacunes observées par l’OSSNR sont de celles qui seraient porteuses de risques si elles ne devaient pas être résolues. Par exemple, en raison de leur nature vaste et générale, les catégories d’activités, de techniques et de cibles faisant partie des COA/COD [**expurgé**] pourraient donner lieu à l’interception non intentionnelle d’éléments concernant des activités et des cibles [**expurgé**]. Au reste, étant donné que l’apport d’AMC n’est pas le même pour les COA et les COD, le fait de classifier par erreur une COA en tant que COD préventive pourrait donner lieu à un accroissement du risque pour les relations internationales du Canada, dans la mesure où l’on pourrait ne pas avoir suffisamment consulté AMC.

Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs observations concernant l’information contenue dans les documents qui ont été produits à ce jour en matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement mises en oeuvre.

L’information fournie par le CST n’a pas été vérifiée de façon indépendante par l’OSSNR. Or, des travaux sont en cours pour établir des politiques opérantes et des pratiques exemplaires favorisant la vérification indépendante d’une multiplicité d’informations, en accord avec l’engagement de l’OSSNR à appliquer une approche qui soit axée sur la confiance, mais renforcée par des mesures de vérification.

Pouvoirs

Le présent examen est effectué en vertu des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

Contexte de l’examen et méthodologie

Depuis l’entrée en vigueur de la Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST), le 1er août 2019, le CST est désormais autorisé à mener en toute autonomie des cyberopérations actives (COA) et des cyberopérations défensives (COD). Au cours des premières séances d’information tenues à l’automne de 2019, l’OSSNR a appris [**expurgé**]. Or, des représentants du CST ont ensuite apporté des précisions en indiquant [**expurgé**]. Dans ce contexte, l’OSSNR évaluera les COA et les COD suivant une approche progressive. En premier lieu, le présent examen a pour objet de mieux saisir la façon dont s’est développée la structure de gouvernance du CST pour ce qui concerne les COA et les COD. L’OSSNR enchaînera avec un nouvel examen portant, cette fois, sur les opérations. Cet examen ultérieur est en cours et devrait se terminer en 2022.

À l’occasion de ce premier examen, nous avons porté une attention particulière aux structures dont la vocation est de gouverner la conduite des COA et des COD. En l’occurrence, la gouvernance pourrait correspondre à l’établissement de processus servant à guider et à gérer la planification, les engagements interministériels, la conformité, la formation et la surveillance, mais aussi d’autres questions globales qui influent sur la conduite des COA et des COD. L’OSSNR reconnaît que ces structures sont appelées à évoluer en fonction des enseignements tirés de l’expérience acquise en cours d’opérations. En outre, les alliés du Canada, qui disposent de pouvoirs semblables en matière de cyberopérations depuis déjà un certain temps, [**expurgé**]. Dans le présent contexte, l’OSSNR s’est donné pour objectif de déterminer si, pendant ces premières étapes d’élaboration d’une structure de gouvernance applicable aux COA et aux COD, le CST avait raisonnablement pris en compte et défini ses obligations juridiques de même que les aspects des COA et des COD qui pourraient influer sur la politique étrangère.

Dans le cadre du présent examen, l’OSSNR a évalué les documents faisant état des politiques, des procédures, du système de gouvernance et de la planification des opérations, mais aussi les évaluations des risques ainsi que la correspondance entre le CST et Affaires mondiales Canada (AMC) (dont le rôle déterminant est décrit plus loin). L’OSSNR a examiné les tout premiers documents portant sur l’élaboration de la structure de gouvernance s’appliquant aux COA et aux COD. En l’occurrence, la fin de la période d’examen a coïncidé avec l’échéance des premières autorisations ministérielles visant des COA et des COD, soit le 24 août 2020. Ainsi, les conclusions et les recommandations formulées dans le présent rapport concernent la structure de gouvernance en vigueur pendant la période d’examen.

Que sont les cyberopérations actives et défensives?

Tel qu’il est énoncé dans la Loi sur le CST, les cyberopérations défensives (COD) ont pour vocation de stopper ou de contenir les cybermenaces étrangères avant qu’elles n’atteignent les systèmes et les réseaux du gouvernement ou les systèmes désignés par le ministre de la Défense nationale (MinDN) comme étant importants pour le pays, notamment les infrastructures essentielles du Canada et les partis politiques canadiens inscrits. Quant aux cyberopérations actives, elles permettent au gouvernement de recourir aux capacités en ligne du CST pour mener, dans le cyberespace, un vaste éventail d’activités dont l’objet est d’affaiblir furtivement la capacité d’un adversaire à nuire aux activités du Canada en matière, notamment, de relations internationales, de défense ou de sécurité. À titre d’exemple, les COA peuvent comprendre des activités visant à désactiver les dispositifs de communication dont les membres d’un réseau de terroristes étrangers se servent pour communiquer ou pour planifier leurs attaques. Les répercussions des COA et des COD [**concerne des opérations du CST**] d’une COA ou d’une COD.

Pour mener des COA ou des COD, le CST mise sur ses accès à l’infrastructure mondiale d’information (IMI), sur une expertise en matière de renseignement étranger, et sur les partenariats nationaux et internationaux pour acquérir du renseignement apte à favoriser le déroulement des COA et des COD. Les activités menées dans le cadre du volet « renseignement étranger » et du volet « cybersécurité » du mandat du CST permettent au Centre de collecter des informations ayant pour objet de renseigner sur les intentions, les plans et les activités d’auteurs malveillants qui cherchent à nuire aux intérêts du Canada. Selon le CST, la collecte préliminaire de renseignement, le développement des capacités [**expurgé**] constituent la majeure partie du travail nécessaire à la tenue des COA et des COD, alors que les activités qui ont lieu dans le cyberespace ne constituent approximativement que [**expurgé**] de la charge de travail.

Fondements juridiques des cyberopérations

La Loi sur le CST fait état des pouvoirs légaux dont jouit le CST pour mener des COA/COD. D’ailleurs, la figure 1 présente des extraits de la Loi qui décrivent ces deux volets. En outre, le régime des autorisations ministérielles dont il est question dans la Loi sur le CST confère au Centre les pouvoirs nécessaires à l’exercice des activités ou des catégories d’activités qui sont énumérées à l’article 31 de la Loi sur le CST et qui concernent les COA/COD.

Cyberopérations défensives (COD)

  • Article 18 de la Loi sur le CST
  • En ce qui a trait au volet de son mandat touchant les cyberopérations défensives, le Centre mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin d'aider à protéger :
    • (a) l'information électronique et les infrastructures de l'information des institutions fédérales;
    • (b) l'information électronique et les infrastructures de l'information d'importance pour le gouvernement fédéral désignées comme telle [...].

Cyberopérations actives (COA)

  • Article 19 de la Loi sur le CST
  • En ce qui a trait au volet de son mandat touchant les cyberopérations actives, le Centre mène des activités dans l'infrastructure mondiale de l'information ou par l'entremise de celle-ci afin de réduire, d'interrompre, d'influencer ou de contrecarrer, selon le cas, les capacités, les intentions ou les activités de tout étranger ou État, organisme ou groupe terroriste étrangers, dans la mesure où ces capacités, ces intentions ou ces activités se rapportent aux affaires internationales, à la défense ou à la sécurité, ou afin d'intervenir dans le déroulement de telles intentions ou activités.

Il importe de souligner que la Loi impose des contraintes sur les COA/COD. En l’occurrence, il leur est interdit de cibler des Canadiens ou quiconque se trouve sur le territoire du Canada; elles doivent respecter les termes de la Charte canadienne des droits et libertés; et il leur est interdit de cibler l’IMI au Canada.

Les COA/COD doivent être menées au titre d’une autorisation ministérielle (AM) délivrée par le MinDN conformément aux dispositions du paragraphe 29(1) (COD) ou à celles du paragraphe 30(1) de la Loi sur le CST. Les AM autorisant les COA/COD habilitent le CST à mener des activités de COA/COD malgré toute autre loi fédérale ou loi d’un État étranger. Pour délivrer une AM, le MinDN doit conclure qu’il y a des motifs raisonnables de croire que l’activité en cause est raisonnable et proportionnelle, et doit également conclure que l’objectif de la cyberopération ne pourrait pas être raisonnablement atteint par d’autres moyens10. De plus, le MinDN doit consulter le ministre des Affaires étrangères (MAE) avant de délivrer une AM pour les COD, mais doit obtenir le consentement du MAE avant de délivrer une AM pour les COA. Toute activité de COA/COD autorisée ne peut causer, intentionnellement ou par négligence criminelle, des lésions corporelles à une personne physique ou la mort de celle-ci; ne peut tenter intentionnellement de quelque manière d’entraver, de détourner ou de contrecarrer le cours de la justice ou de la démocratie. Il importe d’ajouter que, contrairement aux AM délivrées pour le volet renseignement étranger de même que pour le volet cybersécurité et assurance de l’information du mandat du CST, les AM visant les COA et les COD ne sont pas assujetties à l’approbation du commissaire au renseignement.

En plus des volets COA/COD prévus par son mandat, le CST peut également fournir une assistance technique et opérationnelle à d’autres ministères du gouvernement du Canada (GC). Le CST peut assister les organismes fédéraux chargés de l’application de la loi et de la sécurité (OALS) aux fins de prévention de la criminalité, d’atténuation des menaces pour la sécurité du Canada et de soutien à des missions militaires autorisées par le GC. Lorsqu’il prête son assistance, le CST agit en vertu des autorisations légales – et des restrictions afférentes – conférées aux organismes ou aux ministères faisant appel à ladite assistance. De même, les personnes agissant au nom du CST jouissent des mêmes mesures d’exemption, de protection et d’immunité que celles qui agissent au nom des OALS demandeurs. Les activités menées aux fins de ce type d’assistance seront analysées dans le cadre d’examens ultérieurs de l’OSSNR.

Outre la Loi sur le CST, le droit international est pris en compte dans le cadre juridique s’appliquant aux activités de COA/COD. Les activités du CST sont liées par le droit international coutumier dans la mesure où le droit canadien adopte ipso facto le droit international coutumier par l’intermédiaire de la common law, sauf en cas d’incompatibilité entre les lois.

L’OSSNR note que le droit international en matière de cyberespace est un domaine en développement. Dans cette sphère du droit, la pratique des États est limitée, les opinions de droit (postulats selon lesquels les États estiment que ce type de pratique correspond à une obligation juridique) sont rares et le droit des traités (précisions sur les modalités d’application du droit international au cyberespace) n’en est qu’à ses balbutiements. De plus, bien qu’il ait fait valoir que le droit international s’appliquait au cyberespace, le Canada n’a pas encore défini sa propre vision quant à l’application du droit international aux activités du cyberespace16. Or, le Canada s’est engagé à promouvoir l’établissement d’une vision commune à tous les États pour ce qui a trait à des normes volontaires et non contraignantes favorisant le comportement responsable des États dans le cyberespace. Ainsi, l’OSSNR suivra de près le développement de cette sphère du droit international, notamment, les pratiques observées par les États à l’égard des activités de COA/COD du CST. Dans le cadre du prochain examen visant les activités de COA/COD, l’OSSNR se penchera, cette fois, sur la façon dont le CST et AMC tiennent compte du droit international en vigueur.

Cadre politique s’appliquant aux cyberopérations

Préparation d’un cadre de consultation entre AMC et le CST

Il est possible que les COA/COD accroissent le niveau de risque pour la politique étrangère et les relations internationales du Canada. Bien que le volet renseignement étranger du CST ne vise qu’à collecter des informations, les COA/COD [**expurgé**], [**expurgé**]. Comme AMC est le ministère responsable des affaires internationales et de la politique étrangère du Canada, le MAE est appelé, en vertu de la loi, à tenir un rôle lorsqu’il s’agit de consentir à ce que le MinDN délivre une autorisation ministérielle pour des COA.

Conformément aux directives du MAE, le CST et AMC ont uni leurs efforts pour créer un cadre de collaboration sur les questions ayant trait aux COA/COD. Le CST et AMC se sont mobilisés sur ces questions avant l’entrée en vigueur de la Loi sur le CST, de sorte à recenser les exigences énoncées dans la Loi en matière de consultation et de consentement. Ensemble, le CST et AMC ont mis sur pied divers organes interministériels appelés à se pencher sur les COA/COD dans le but de faciliter le processus de consultation aux divers niveaux, notamment, les groupes de travail constitués au niveau des directeurs généraux et du sous-ministre adjoint.

Structure de gouvernance du CST

L’Ensemble des politiques relatives à la mission (EPM) du CST décrit en détail les pouvoirs permettant d’orienter les COA/COD, les activités interdites en cours de COA/COD – de même que les consignes permettant d’interpréter ces interdictions – et le cadre de gouvernance suivant lequel il convient de surveiller le déroulement et la conduite des COA/COD, cadre désigné par l’appellation Cadre de pouvoirs et de planification commun (CPPC). La structure générale du cadre de gouvernance et des processus connexes a été conçue pour être employée dans toutes les COA/COD, tous niveaux de risque confondus. Toutefois, c’est en fonction du niveau de risque que ledit cadre établit les divers niveaux d’approbation.

Pendant la période consacrée à l’examen, le CPPC comportait plusieurs des éléments nécessaires à la planification, à l’approbation et à la conduite des opérations. Le principal instrument de planification était [**expurgé**] lequel décrit les [**expurgé**] de même que [**expurgé**] tout en mettant en évidence les risques et les mesures d’atténuation correspondantes. [**expurgé**] sert à déterminer et à énoncer l’éventail des risques associés à toute nouvelle activité. Durant la période d’examen, le CST a élaboré [**expurgé**]. L’OSSNR a également reçu des documents semblables [**expurgé**] ne coïncidant pas avec la période d’examen, mais contenant des informations pertinentes sur la structure de gouvernance et le niveau opérationnel.

Deux principaux groupes de travail ont pour objet d’évaluer et, le cas échéant, d’approuver, les plans internes visant les COA/COD. Le Groupe pour les cyberopérations (GCO) est un organe d’approbation au niveau des directeurs; il regroupe les principaux intervenants et est présidé par le directeur du secteur opérationnel ayant initié ou parrainé la demande de cyberopérations. Le rôle du GCO est d’examiner le plan opérationnel et d’en jauger les risques ainsi que les avantages. Le GCO peut approuver [**expurgé**] il peut également faire approuver ces éléments par le Groupe de gestion des cyberopérations (GGCO), s’il y a lieu. Le GGCO est un organe d’approbation qui se situe au niveau des directeurs généraux (DG) et qui est mis sur pied [**expurgé**] a été examiné et recommandé par le GCO.

Ensuite, le CST prépare [**concerne des opérations du CST**] est examinée en interne pour s’assurer qu’elle correspond à la teneur [**expurgé**] elle est ensuite approuvée au niveau des directeurs, bien que le CST ait indiqué que l’approbation pourrait être déléguée à un gestionnaire.

Constatations et recommandations

Clarté des autorisations ministérielles

L’OSSNR avait entrepris de déterminer si les exigences au titre de la Loi sur le CST relativement aux COA/COD se traduisent convenablement dans les AM du MinDN autorisant la tenue d’activités de COA/COD et si le CST a bien consulté le MAE et obtenu son consentement, comme l’exige la Loi.

L’OSSNR s’est penché sur deux AM portant respectivement sur des COA et des COD et valides du [**expurgé**]. Notamment, les deux AM n’approuvaient que des CAO/COD [**expurgé**]. De plus, l’OSSNR a examiné des documents en appui des AM, y compris les demandes présentées par le chef au MinDN et les lettres de confirmation connexes du MAE, ainsi que les documents de travail et la correspondance fournis par le CST et Affaires mondiales Canada (AMC).

Les AM examinées par l’OSSNR énonçaient les nouveaux pouvoirs conférés au titre de la Loi sur le CST et définissaient les conditions s’appliquant à la tenue des COA/COD, ainsi que les interdictions indiquées dans la Loi. De plus, les AM demandaient que les activités de COA/COD soient harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du gouvernement du Canada en matière de sécurité nationale, de politique étrangère et de défense.

Informations recueillies au titre d’autorisations précédentes en appui des cyberopérations

Le CST a reçu l’autorisation de mener des COA/COD à l’époque où la collecte de renseignements électromagnétiques (SIGINT) étrangers était autorisée par des AM délivrées en application de la Loi sur la défense nationale. [**expurgé**]. Le CST a confirmé à l’OSSNR que les COA/COD [**expurgé**] reposaient uniquement sur des informations recueillies au titre des AM délivrées en application de la Loi sur le CST. [**expurgé**] le CST a fait valoir que [**expurgé**]. L’OSSNR le confirmera dans le cadre de son examen ultérieur de COA/COD précises.

Consultation du ministre des Affaires étrangères par le CST

Le CST a fourni à AMC les dossiers complets de demande d’AM pour les COA/COD en place durant la période à l’examen. De plus, les représentants d’AMC et du CST ont noué le dialogue à différents niveaux avant l’entrée en vigueur de la Loi sur le CST et pendant l’élaboration des AM, particulièrement pour ce qui est de l’évaluation des catégories d’activités qui y sont autorisées. Dans sa réponse au dossier de demande d’AM du CST, le MAE a fourni des lettres confirmant qu’il avait été consulté et qu’il consentait aux AM de COA et de COD respectivement. L’OSSNR est ravi de constater cette collaboration rapide et rigoureuse de la part des deux organisations, étant donné le lien entre leurs mandats respectifs dans le contexte des COA/COD.

Les deux lettres du MAE soulignent l’utilité des COA/COD [**expurgé**] du gouvernement du Canada, expliquant l’importance de faire preuve de prudence concernant ce moyen dans les premières étapes. Notamment, le MAE attire l’attention sur les catégories d’activités « soigneusement définies » dans l’AM de COA pour garantir que les activités autorisées au titre de l’AM présentaient [**expurgé**]. Enfin, le MAE a chargé ses représentants de travailler avec le CST pour mettre en place un cadre de collaboration entourant les [**expurgé**]. Cette directive du MAE concorde avec le point de vue d’AMC sur l’importance d’assurer la cohérence des activités du CST avec la politique étrangère du Canada et le fait que l’AM ou un autre mécanisme devrait le garantir.

Portée et étendue des autorisations ministérielles

L’AM de COA [**concerne la politique opérationnelle du CST**] délivrée en vertu de l’article 31 de la Loi sur le CST a autorisé des catégories d’activités, y compris :

  • [**expurgé**] se mêler des [**expurgé**] d’une cible ou des éléments de l’infrastructure mondiale de l’information;
  • [**expurgé**]
  • [**expurgé**]
  • perturber la capacité d’un auteur de menace d’utiliser certaines infrastructures.

L’AM pour la COD [**concerne des opérations du CST**] autorisait les mêmes activités, à l’exception de la dernière catégorie, [**expurgé**].

Les AM pour les COA/COD stipulaient que le CST devait mener les COA/COD [**d’une certaine façon**]. Selon l’AM de COA, ce sont ces conditions qui, si elles sont respectées, font en sorte que les COA/COD menées au titre de ces AM comportent [**expurgé**]. Bien qu’AMC évalue les risques en matière de politique étrangère plutôt sur le plan opérationnel, les AM élaborées pendant la période à l’examen n’imposaient que deux conditions à respecter lors de la tenue des COA/COD. De plus, c’est au CST qu’il revient de déterminer les critères permettant de respecter ces conditions générales; l’AM demande seulement au CST d’en faire rapport. L’OSSNR ajoute que ces conditions ne comprennent aucune variable sur le plan de la politique étrangère, [**expurgé**]. Pour que soit confirmé le risque [**expurgé**] d’une opération pour la politique étrangère, l’OSSNR est d’avis qu’il est important que les AM établissent le calcul des facteurs de risque en matière de politique étrangère.

[**expurgé**] indiquant :

[**expurgé**]

Le CST semble avoir répondu [**concerne des opérations du CST**]. En outre, la capacité du ministre à évaluer les activités autorisées aux termes de la Loi sur le CST pourrait également être touchée. Pour cette évaluation, la demande d’AM doit contenir suffisamment de détails pour que le ministre soit convaincu que les exigences sont remplies.

Les catégories des activités de COA/COD, dont certaines sont exposées au paragraphe 27, sont grandement généralisées. Par exemple, presque toutes les activités menées dans le cyberespace peuvent être raisonnablement placées dans la catégorie [**expurgé**] ou se mêler [**expurgé**] des éléments de l’infrastructure mondiale de l’information ». [**expurgé**]

Effectivement, les discussions préliminaires entre le CST et AMC ont attiré l’attention sur le fait que [**expurgé**] et de contenu [traduction] « soulevaient des questions complexes », bien que l’OSSNR précise que de telles activités sont néanmoins autorisées dans l’AM définitive de COA dans la catégorie d’activités [traduction] [**expurgé**]. Autrement dit, l’autorisation d’une catégorie d’activités [**expurgé**] a été intégrée dans une catégorie encore plus vaste d’activités, sans [**expurgé**] évidente [**expurgé**] qui y étaient liés. Ce type de catégorisation ne permet pas une communication suffisante de l’information pour que le ministre saisisse les activités [**expurgé**] qui pourraient être menées au titre de l’AM.

En revanche, les techniques et exemples connexes énoncés dans les demandes sont les seuls moyens qui permettent de préciser les types d’activités pouvant avoir lieu dans le cadre d’une COA/COD. Ces exemples servent de fondement au MinDN pour évaluer les catégories d’activités dont il est question dans la demande d’AM. Dans les échanges préliminaires entre le CST et AMC, les catégories d’activités étaient décrites et analysées conjointement avec les techniques employées dans leur exécution. Par exemple, il a été noté que [**expurgé**], ce qui a fourni plus d’information à l’OSSNR en ce qui a trait aux actions qui se trouvaient exactement dans la catégorie d’activités. L’OSSNR ajoute que même ces techniques et exemples sont décrits dans les demandes comme faisant partie d’une liste non exhaustive, ce qui pourrait permettre au CST de mener des activités qui ne sont pas précisément définies dans les demandes.

De même, la cible des activités de COA/COD est habituellement désignée comme un « acteur étranger », ce qui pourrait englober un large éventail de [**expurgé**] . Dans les débuts de l’élaboration de l’AM, le CST et AMC avaient abordé [**expurgé**] directement dans les AM, mais AMC a précisé que [**expurgé**] visaient principalement [**expurgé**] étant donné [**expurgé**] . AMC a précisé que l’AM de COA [traduction] « définirait [mieux] [**expurgé**] dans une certaine mesure ». Ni l’une ni l’autre de ces considérations ne figurait dans les AM définitives [**expurgé**] qui, d’après les explications du CST, ne se limitent pas aux activités [**expurgé**] , c’est-à-dire que [**expurgé**] . L’OSSNR estime que les AM devraient définir clairement les cibles des activités de COA/COD, [**expurgé**] les COA/COD [**expurgé**] à des ensembles précis de cibles [**expurgé**] afin que les activités permises par l’AM traduisent le [**expurgé**].

L’OSSNR souligne que seules les AM, et non les demandes connexes, donnent au CST l’autorisation de mener ses activités. Par conséquent, l’exclusion de cette information des AM signifie que seules les grandes catégories d’activités, telles qu’elles sont décrites dans les AM, guident les mesures que peut prendre le CST dans le cadre de COA et non pas les techniques et exemples énoncés dans les demandes qui servent de fondement à la norme sur laquelle s’appuie le risque des activités. Selon l’OSSNR, les catégories décrites dans les AM ne restreignent pas suffisamment les activités du CST [**concerne des opérations du CST**]. Même si, aux dires d’AMC, les processus de consultation interministérielle entre les deux organisations peuvent servir de mécanisme limitant les activités du CST, ces processus n’ont pas été nettement consignés dans les AM les autorisant. L’OSSNR est d’avis que des AM pour les COA/COD plus précises réduiraient la possibilité de confusion relativement aux activités précisément autorisées.

La méthode visant à préciser les catégories d’activités concorde avec la façon de faire habituelle du CST liée à l’obtention d’autorisations larges de la part de hauts dirigeants comme le ministre, accompagnées de mesures de contrôle plus précises qui guident les opérations à exécuter en fonction des limites de l’activité autorisée. AMC note la tendance à s’appuyer sur des autorisations plus précises selon [**expurgé**] visée par la demande d’autorisation. Le CST a expliqué que son approche lui permettait d’obtenir l’autorisation de mener des activités de façon à [traduction] « apporter une souplesse maximisant les occasions, mais également des réserves suffisantes pour assurer l’atténuation appropriée des risques. »

Bien que l’OSSNR reconnaisse que les AM doivent donner au CST suffisamment de jeu pour qu’il mène des COA/COD [**expurgé**] s’il le faut, il est important que le CST ne mène pas d’activités qui n’étaient pas envisagées ni autorisées par le MinDN ou le MAE lors de la délivrance des AM applicables. Toujours selon l’OSSNR, dans le contexte des COA/COD [**expurgé**] , le CST peut adopter une approche plus transparente qui préciserait les catégories d’activités qu’il demande au ministre d’autoriser. C’est tout particulièrement important étant donné que le CST utilise ces nouvelles autorisations depuis peu. L’autorisation de catégories d’activités, de techniques connexes et d’ensembles de cibles plus précis diminuerait la possibilité que les COA/COD [**expurgé**] dans les AM.

Le CST a indiqué que [traduction] « des objectifs clairs permettent fondamentalement de montrer le caractère raisonnable et la proportionnalité. » L’OSSNR partage le même avis et croit que les catégories d’activités et les objectifs décrits dans les AM et les demandes connexes devraient être plus explicites afin que le MinDN puisse confirmer le caractère raisonnable et la proportionnalité des COA/COD, d’autant plus que les AM étudiées dans le cadre du présent examen ne se rapportaient pas précisément à une opération. Dans le cadre de l’autorisation, le ministre exige également que le CST lui fournisse un rapport trimestriel sur les activités qui ont été menées. De plus, pour délivrer une autorisation, le MinDN doit être convaincu que les activités sont raisonnables et proportionnelles, et qu’il y a des motifs raisonnables de croire que l’objectif de la cyberopération ne peut raisonnablement être atteint d’une autre manière. Cette exigence met davantage l’accent sur la nécessité que le MinDN comprenne, dans une certaine précision, les types d’activités et les objectifs exécutés en application de l’autorisation.

Dans le cas des deux AM examinées, le ministre a conclu que les exigences énoncées au paragraphe 34(4) de la Loi sur le CST étaient satisfaites57. De plus, les AM énoncent les objectifs à atteindre par les COA/COD. Toutefois, la justification selon laquelle les objectifs ne pourraient être raisonnablement atteints d’une autre manière dans les limites de l’AM de COA est très vague et se concentre sur les stratégies d’atténuation générales des activités de cybermenace. Étant donné la rareté des détails fournis au ministre dans le présent cadre, il pourrait être difficile pour le MinDN de satisfaire à cette exigence législative. En ce qui a trait au seuil établi par le paragraphe 34(4) de la Loi sur le CST, le Centre a indiqué que [traduction] « la demande d’autorisation doit énoncer les faits qui expliquent comment chacune des activités décrites dans l’autorisation fait partie d’un plus grand ensemble d’activités individuelles ou d’une catégorie d’activités qui atteint un objectif ne pouvant pas être raisonnablement atteint d’une autre manière58. » Dans son prochain examen des COA/COD, l’OSSNR tentera de déterminer si les COA/COD concordent avec les objectifs établis dans l’AM et se penchera sur la détermination, par le CST, qu’ils n’auraient pas pu être raisonnablement atteints d’une autre manière.

Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même, l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.

Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux conditions des autorisations ministérielles pour les cyberopérations actives et défensives repose trop sur la détermination technique des risques au détriment des éléments qui caractérisent la politique étrangère du gouvernement du Canada.

Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces activités.

Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la politique étrangère découlant des cyberopérations actives et défensives.

Élaboration des demandes d’AM [**expurgé**]

Au cours de la période à l’examen, le CST a préparé des demandes d’AM pour ce qu’il considérait comme étant des COA/COD [**expurgé**] dont l’élaboration a été prioritaire [**concerne des opérations du CST****] . Alors que se développent les moyens dont le CST dispose pour mener des COA/COD et que le Centre commence à [**expurgé**]. L’OSSNR a constaté que le CST et AMC envisageaient les COA représentant un [**expurgé**], lesquelles, si elles sont exécutées, [**expurgé**] selon la méthodologie d’AMC.

Bien que les AM que l’OSSNR a obtenues à ce jour, lesquelles ne se rapportent pas précisément à une opération, permettent au CST de mener , l’OSSNR estime que leur nature générale ne se transfère pas [**AM potentielles de nature différentes**]. Par exemple, [** d’une inquiétude de l’OSSNR concernant l’habilité du Ministre à analyser pleinement certains facteurs des description cyberopérations dans un contexte particulier**] Dans le cadre de l’élaboration de la demande d’AM de COA de 2019-2020, AMC a indiqué que [traduction] « d’autres fins demanderaient d’autres AM. Elles ne seront pas complètement générales; elles seront précises pour un contexte donné. »

En outre, dans le régime législatif actuel, les demandes d’AM représentent un mécanisme clé donnant au MAE l’occasion d’évaluer les activités de COA/COD. En raison des [**expurgé**] COA/COD [**expurgé**] pour la politique étrangère et les relations internationales du Canada, l’OSSNR estime que le MAE devrait participer plus directement à l’élaboration et à l’exécution à l’échelle ministérielle, en plus de l’engagement sur le terrain des opérations entre le CST et AMC. Les deux ministres peuvent assurer plus efficacement leur responsabilisation relative à de telles opérations au moyen d’AM individuelles qui donnent des détails précis sur l’opération et sa justification, et sur les activités, outils et techniques employés. Par conséquent, lorsque le CST se penche sur des COA [**expurgé**] l’OSSNR l’encourage à élaborer des demandes d’AM propres à ces opérations et à veiller à ce que ces documents contiennent tous les détails opérationnels pertinents permettant à chaque ministre d’évaluer pleinement les répercussions et les risques liés à chaque cyberopération et d’en prendre la responsabilité.

Orientation stratégique des cyberopérations

L’article 19 de la Loi sur le CST régit les pouvoirs du CST quant à la conduite de COA qui se rapportent aux affaires internationales, à la défense ou à la sécurité, donc à des domaines qui peuvent faire appel à la responsabilité d’autres ministères et organismes. Qui plus est, les AM examinées par l’OSSNR exigent que les COA soient [traduction] « harmonisées aux priorités du Canada en matière de politique étrangère et tiennent compte des priorités stratégiques du gouvernement du Canada liées à la sécurité nationale, à la politique étrangère et à la défense ». L’établissement de ces priorités fait intervenir plusieurs ministères fédéraux du Canada, comme le Bureau du Conseil privé (BCP), le MDN et Sécurité publique Canada (SP), qui sont responsables de la coordination et de la surveillance de différentes parties de l’établissement des priorités dans le présent contexte. Tout au long du présent examen de la gouvernance, on a noté que le CST atteste la conformité à ces exigences par un énoncé indiquant que l’AM répond aux grandes priorités du gouvernement du Canada, sans élaborer sur la façon dont ces priorités sont satisfaites.

Les processus interministériels du gouvernement du Canada relativement à la coordination d’activités et d’opérations de sécurité nationale ne datent pas d’hier. Par exemple, lorsque le MAE requiert une collecte de renseignements étrangers au Canada, il présente une demande au ministre de la Sécurité publique afin que le Service canadien du renseignement de sécurité (SCRS) facilite la collecte conformément à l’article 16 de la Loi sur le SCRS. Un comité composé de représentants [**expurgé**]. se penche ensuite sur le type de demande. Le comité examine ensuite les questions au niveau du sous-ministre adjoint, [**concerne les processus décisionnaire du GC**] . De même, un processus interministériel peut également confirmer la conformité d’une COA aux priorités plus larges et l’impossibilité d’atteindre raisonnablement les objectifs d’une autre manière. Autrement dit, les consultations interministérielles sont une façon d’évaluer les objectifs des COA et leur conformité aux priorités plus larges du gouvernement du Canada, et de déterminer s’il existe une autre manière d’atteindre les objectifs fixés, comme l’exige la Loi sur le CST.

L’établissement de priorités plus larges pour le gouvernement du Canada est ressorti comme élément clé de la structure de gouvernance de ce nouveau pouvoir dans les premières discussions entre le CST et AMC. Au cours de la période à l’examen, le CST a monté des COA avec AMC, qui a participé à certains aspects du processus de planification. AMC a encouragé le MAE à demander l’élaboration d’un mécanisme de gouvernance en vue d’atténuer le risque que [traduction] « le CST décide, par lui-même, de lancer [**expurgé**] et a ajouté que [**expurgé**] . »

Des évaluations internes préliminaires d’AMC se démarquent du mandat touchant le renseignement étranger du CST, qui répond aux priorités en matière de renseignement approuvées par le Cabinet, et rendent bien l’essence de cet écart par l’énoncé suivant :

[**citation d’AMC concernant une discussion sur les objectifs et priorités stratégiques des cyberopérations**]

Dans un autre cas, AMC a décrit l’établissement de telles priorités comme étant [traduction] « une question importante qui n’a pas encore été réglée avec le CST » et a expliqué qu’à ce moment un organisme dont le mandat touchait notamment la cyberopération devrait décider s’il s’agit du bon outil pour atteindre un objectif en particulier. AMC a expliqué que ses représentants avaient ultimement accepté d’aller de l’avant sans se consacrer davantage à ce sujet pour autant qu’un mécanisme de gouvernance était mis en place avec le CST.

Dans ce contexte, le paragraphe 34(4) de la Loi sur le CST exige que les objectifs d’une cyberopération ne puissent pas être raisonnablement atteints d’une autre manière et que les cyberopérations répondent aux priorités dans divers domaines. Étant donné ces exigences, l’OSSNR indique que les ministères fédéraux, et non seulement le CST et AMC, peuvent fournir des indications pertinentes sur d’autres possibilités ou des activités en cours qui pourraient atteindre les objectifs en question.

De plus, AMC a souligné le fait que le Cabinet établissait les besoins permanents en matière de renseignement (BPR) qui limitent et dirigent plus précisément les activités de collecte de renseignements étrangers du CST. À ce sujet, le CST a répondu que [traduction] « ces discussions ont conduit le CST et AMC à accepter de commencer par une autorisation ministérielle comportant [**expurgé**] appuyée par une structure de consultation et un cadre de gouvernance entourant les COA/COD du CST et d’AMC. »

Selon l’OSSNR, la Loi sur le CST et l’AM de COA établissent directement un lien entre les COA et les grands objectifs et priorités du gouvernement du Canada qui touchent directement les mandats de ministères comme le MDN, le BCP, le SCRS et SP, en plus de ceux du CST et d’AMC. Il ne suffit pas au CST de déclarer qu’une AM et ses activités connexes concordent avec ces priorités sans élaborer ou consulter d’autres parties, étant donné que le MDN, le BCP et SP sont responsables des priorités stratégiques du Canada en matière de sécurité nationale et de défense ou en assurent la coordination. Ces ministères et organismes seraient les mieux placés pour offrir des commentaires et une confirmation concernant l’alignement d’une COA sur les objectifs du Canada afin d’atténuer les risques que peuvent poser ces opérations et de contribuer à la responsabilisation globale de ces opérations.

[**concerne des sujets du GC liés à la sécurité nationale**]. Par conséquent, le processus de gouvernance appelle l’inclusion, ou à tout le moins leur consultation, d’autres ministères dont les mandats sont de chapeauter les grands objectifs stratégiques du Canada. Ainsi, les grands intérêts du Canada et les risques possibles seraient suffisamment examinés et transparaîtraient dans l’élaboration des COA.

Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du Canada prenant part à la gestion des objectifs généraux du Canada.

Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au renseignement auprès du premier ministre et les autres ministères concernés, dont les mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent aux grandes priorités stratégiques du gouvernement du Canada et que les exigences énoncées dans la Loi sur le CST soient respectées.

Seuil pour la conduite de COD préventives

Le CST établit une différence entre les COD menées en réponse à une cybermenace et les COD préventives visant à empêcher la concrétisation d’une cybermenace. De plus, le CST et AMC ont discuté de la nature de ces opérations, notamment qu’elles se trouvaient dans le spectre des opérations en aval et en amont. Notamment, dans le cas des COD, [**concerne des opérations du CST**].

Le CST a expliqué que le lancement d’une COD [traduction] « exige une preuve que la menace représente une source potentielle de dommage à une institution fédérale ou à une infrastructure de l’information ou de l’information électronique précise ». Selon le CST, il n’est pas nécessaire qu’une infrastructure soit compromise avant que soit lancée une COD. Il faut simplement pouvoir établir la preuve d’un lien entre une menace de compromission et l’infrastructure.

En même temps, le CST ne dispose pas encore des moyens de faire la distinction entre ce type de COD et une COA, étant donné que des discussions entre AMC et le CST indiquaient qu’une COD pouvait ressembler à une COA si la première est menée en amont. Contrairement aux COA, qui demandent le consentement du MAE et la participation exhaustive d’AMC tout au long du processus de planification, les COD ne requièrent qu’une consultation auprès du MAE. Sans l’établissement d’un seuil clair pour une COD menée en amont, il est possible que la participation d’AMC à une opération qui s’apparente (ou corresponde) à une COA soit insuffisante, [**expurgé**].

Dans notre examen ultérieur, nous porterons une attention particulière à la nature des COD préventives planifiées ou exécutées afin de déterminer si elles constituent ou non des COA.

Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit considérée à tort comme étant défensive.

Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil qui permette de distinguer une cyberopération active d’une cyberopération défensive préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les autorisations ministérielles applicables.

Collecte de renseignement dans le cadre d’une cyberopération

Aux termes du paragraphe 34(4) de la Loi sur le CST, le MinDN ne peut délivrer l’autorisation que s’il conclut qu’aucune information ne sera acquise au titre de l’autorisation, sauf conformément à une autorisation délivrée en vertu des paragraphes 26(1), 27(1) ou (2), ou 40(1). Les AM pour les COA/COD délivrées pendant la période à l’examen témoignent de cette restriction. Ces AM et leurs demandes correspondantes mentionnent seulement que les AM entourant les renseignements étrangers serviront à acquérir de l’information en appui des activités de COA/COD. Elles énoncent aussi clairement qu’aucune information ne sera acquise dans le cadre des activités de COA/COD autorisées par l’AM de COA.

Cependant, les AM et les demandes à l’appui ne décrivent pas l’intégralité des activités de collecte d’information découlant des COA/COD. D’après les politiques du CST, le Centre peut encore recueillir de l’information [**expurgé**] tant que l’activité est menée au titre d’une autre AM. Le CST a expliqué que les AM pour les COA/COD ne peuvent servir de fondement à la collecte de renseignements, mais que [**concerne des opérations du CST**] . Par exemple, [**expurgé**] tout en s’appuyant sur l’autorisation liée aux renseignements étrangers pour [**expurgé**] conformément aux priorités en matière de renseignement du gouvernement du Canada.

Même si la Loi sur le CST autorise le CST à acquérir de l’information au titre d’AM de collecte, l’OSSNR est d’avis que la politique du CST permettant la tenue d’activités de collecte au titre d’AM distinctes pendant la tenue de cyberopérations n’est pas énoncée clairement dans les AM pour les COA/COD. Plutôt, la collecte d’information fait partie des interdictions dans l’AM de COA, donnant l’impression que la collecte ne peut avoir lieu peu importe les circonstances. Par conséquent, l’OSSNR souligne que le libellé de l’AM de COA ne traduit pas en toute transparence les politiques internes du CST.

Le CST a expliqué que [**expurgé**] durant une COA/COD. En outre, l’OSSNR a appris d’un expert du CST qu’un [**expurgé**] précis qui énonce en détail les activités à réaliser dans le cadre de l’opération oriente chaque COA/COD. [**concerne des opérations du CST**].

Étant donné la politique du CST permettant la tenue simultanée de la collecte et de cyberopérations [**expurgé**] l’OSSNR examinera minutieusement les rôles et responsabilités [**expurgé**] participant aux COA/COD, ainsi que les aspects techniques de l’utilisation des systèmes du CST à l’appui des COA/COD lors de son examen ultérieur des opérations qu’a menées le CST jusqu’à présent.

Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations ministérielles pour les cyberopérations actives et défensives.

Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que, dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent au titre d’autorisations distinctes.

Gouvernance interne du CST

L’OSSNR a décidé d’évaluer dans quelle mesure les processus de gouvernance interne prenaient suffisamment en compte les éléments essentiels à la planification et à l’exécution des opérations, et de savoir si les intervenants appelés à prendre part aux COA/COD (c.-à-d. AMC et [**expurgé**]) étaient précisément au fait des paramètres et des contraintes s’appliquant aux cyberopérations.

Pendant le déroulement de l’examen, le CST donné suite aux exigences applicables en vertu de la Loi sur le CST et des AM en mettant en place divers mécanismes internes de planification et de gouvernance. Ces mécanismes visaient les documents et les mesures stratégiques de haut niveau, mais aussi chacune des [**expurgé**] opérationnelles, [**documents/méchanismes**] de chacune des COA/COD.

Gouvernance des opérations

Comme il a été décrit plus tôt, lorsqu’il s’agit d’approuver chacune des COA/COD, le CST s’appuie sur divers documents de planification et de gouvernance, notamment, les [**expurgé**]. Dans un premier temps, le CST élabore le [**expurgé**] une COA/COD donnée. Par la suite, le CST crée un [**expurgé**] dans lequel on fait état des risques dont il faut tenir compte pendant le déroulement de la COA/COD. De plus, le [**expurgé**] et le [**expurgé**] comprennent des champs portant sur les interdictions énoncées dans la Loi sur le CST. Dès lors qu'une cible a été choisie, la [**expurgé**] tient lieu de document de gouvernance définitif, jusqu'à l'établissement des [**expurgé**] des COA/COD.

Semblablement aux AM pour les COA/COD et en guise de plan initial, le [**expurgé**] consiste généralement en une approbation préalable de l’ensemble des activités et de [**expurgé**]. Il est ensuite perfectionné et développé dans le cadre du processus de [**expurgé**]. Du point de vue de l’OSSNR, [**concerne des opérations du CST**].

Specifically, the [**relates to CSE operations**] and other operational details that, in NSIRA’s view, surpass simply [**redacted**] and contain key components of operational planning. [**redacted**] details the specific [**redacted**]. Nonetheless, despite the [**redacted**] the [**redacted**] it may have a lower approval threshold than that of the [**redacted**].

Overall, NSIRA welcomes that CSE has developed procedures and documented its operational planning associated with ACO/DCO activities, in accordance with its requirements in the MPS. Nonetheless, the numerous governance documents that comprise the governance of ACO/DCOs exist to serve different audiences and purposes, and result in pertinent information dispersed across them, rather than being available in a unified structure for all implicated stakeholders and decision- makers to assess. NSIRA believes the many separate components of governance may be redundant and result in unnecessary ambiguity within the same operational plans that are meant to guide ACO/DCOs. Thus, NSIRA will assess the efficacy of this governance structure as it is applied to operations as part of our subsequent review.

Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les documents de planification ont été approuvés, contient des informations pertinentes pour les plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que cette présentation soit approuvée à un niveau de gestion inférieur.

Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans tout document soumis à l’attention d’AMC.

Formation sur le nouveau cadre pour les cyberopérations

Les autorisations ministérielles visant les COA et les COD permettent aux catégories de personnes suivantes de mener des activités COA/COD : [**concerne la politique opérationnelle du CST**] Les AM exigent également que ces [traduction] « personnes ou catégories de personnes appuient les opérations du CST et favorisent les intérêts du Canada en matière de renseignement; elles exigent également que ces personnes ou catégories de personnes aient démontré une compréhension approfondie des exigences juridiques et stratégiques applicables. »

Soucieux de la formation et de l’orientation de son personnel opérationnel au sujet des nouvelles exigences juridiques et stratégiques, le CST a déclaré – relativement à une opération particulière – que :

« Les activités opérationnelles entreprises [**expurgé**] lesquels sont tenus de suivre des formations complètes et continues sur les fonctions et les tâches qu’ils sont appelés à exercer, mais aussi sur les politiques et les exigences en matière de conformité qui s’appliquent à leurs rôles respectifs. De plus, [**expurgé**] ont été formés, sont tenus responsables des activités qu’ils réalisent et respectent les exigences en matière de production de rapports sur la conformité. En outre, [**expurgé**] qui participent aux activités [**expurgé**] ont préalablement reçu le matériel opérationnel permettant de veiller à ce que les conditions d’opération énoncées dans la présente soient comprises et strictement observées. »

Enfin, le CST a indiqué à l’OSSNR [traduction] « qu’avant l’adoption de la nouvelle loi, le CST fournissait, virtuellement et en présentiel, des séances d’information sur les nouveaux pouvoirs du CST à tous les membres de l’effectif du Centre. Des séances d’information personnalisées étaient également fournies aux équipes opérationnelles ». Au nombre de ces séances, on a pu compter des conférences, des séances de question avec le chef-adjoint, Politiques et Communication, ainsi que d’autres types de présentations préparées par les équipes des politiques du CST96. Toutefois, l’OSSNR note que ces séances de formation, qui comportent nombre d’informations générales, ne sont pas axées sur les opérations et ne mettent pas à l’épreuve les connaissances que les employés ont nouvellement acquises concernant le nouveau cadre juridique régissant les opérations.

Compte tenu des exigences et des assurances énoncées plus haut, l’OSSNR s’attendait à constater que les employés du CST qui fournissent du soutien aux COA/COD disposent d’une formation effective qui soit suffisante pour acquérir une compréhension approfondie des responsabilités qui leur incombent en considération des nouveaux pouvoirs, mais aussi des nouvelles contraintes que la loi leur impose; et pour mettre cette compréhension en pratique pendant le déroulement des COA/COD.

Dans ce contexte, le CST a mené des exercices pratiques ayant pour objet, entre autres, de présenter [**certains employés**] les premières étapes du processus de préparation des AM, de leur donner l’occasion de rédiger des AM et de tester la viabilité fonctionnelle du cadre des AM. Durant les exercices, [**l'employé susmentionné**] n’avaient pas le droit de demander conseil auprès des responsables des affaires juridiques ou stratégiques, permettant ainsi aux gestionnaires d’observer les résultats appelés à se manifester naturellement. Or, l’OSSNR remarque un point essentiel au sujet de cet exercice :

«[**expurgé**] se sont montrés réticents à l’égard du besoin de recourir à plusieurs AM pour soutenir les objectifs de mission. Des directives et de la formation en matière de politiques seront nécessaires pour rendre [**expurgé**] aptes à connaître les autorisations qui régissent leurs interventions dès lors qu’ils prennent part aux opérations réalisées dans le cadre de diverses missions et selon les termes des AM connexes. Ces directives et cette formation doivent également tenir compte du fait que les informations collectées en vertu de diverses AM pourraient être assujetties à certaines exigences en matière de gestion des données. »

Le CST a indiqué que [**certains employés**] recevaient les éléments de connaissance concernant les autorités juridiques, les exigences et les interdictions s’appliquant aux COA et aux COD pendant des réunions de planification et à la lecture de documents opérationnels. Or, à l’occasion d’une entrevue avec un expert du CST [**expurgé**] l’OSSNR a appris que la formation offerte sur les autorités juridiques, les exigences et les interdictions [**expurgé**]. L’expert en question a également dit que les intervenants qui auraient des questions concernant la gouvernance devraient [**concerne des opérations du CST**]

À l’OSSNR, on ne sait trop s’il existe des exigences suivant lesquelles [**expurgé**] sont tenus de posséder une profonde compréhension des paramètres définis pour une COA/COD dans un [**expurgé**]. De fait, [**expurgé**]. Par exemple, lorsqu’on l’a questionné au sujet de son degré d’aisance à exécuter ses fonctions en vertu de diverses AM, [**expurgé**] énoncés dans le [**expurgé**]. Le CST ajoute que [**expurgé**] sont élaborés à partir du [**expurgé**]. Or, comme l’indique [**expurgé**] Par conséquent, l’OSSNR estime que s’ils ne se concentrent que sur le contenu du [**certain document/méchanisme**] risquent de ne pas avoir une compréhension suffisante des paramètres et des restrictions s’appliquant à l’ensemble de l’opération.

Les AM qui autorisent l’exécution des COA/COD imposent une condition aux employés du CST impliqués dans l’exécution desdites COA/COD : celle de posséder une compréhension approfondie des exigences juridiques et stratégiques régissant leurs interventions. Les AM et les documents de planification opérationnelle contiennent des informations essentielles concernant les paramètres qui déterminent les pouvoirs s’appliquant, de façon générale, à la conduite des COA/COD, mais aussi des opérations particulières. Ainsi, l’OSSNR affirme qu’il est de prime importance que les employés travaillant sur un aspect de l’exécution des COA/COD reçoivent des séances de formation leur permettant de bien connaître les exigences et les limites s’appliquant à leurs interventions respectives, lesquelles sont énoncées dans le [**expurgé**] et la [**expurgé**]. Enfin, pourraient subir des tests visant à mesurer leur degré de compréhension des AM et des contraintes imposées à certaines opérations.

Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des paramètres régissant l’application de ces pouvoirs.

Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de formation structuré aux employés prenant part à l’exécution des cyberopérations actives et défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées dans les autorisations ministérielles.

Cadre de mobilisation entre le CST et AMC

Étant donné l’exigence législative selon laquelle le MAE doit donner son approbation ou être consulté en ce qui a trait aux COA/COD, l’OSSNR a cherché à déterminer si le CST avait élaboré un cadre propice à la mobilisation et à la consultation des représentants d’AMC pour les aspects communs de leurs mandats respectifs.

Évaluation des risques liés à la politique étrangère par AMC

Lors de l’élaboration du cadre de consultation, AMC et le CST ont mis au point un mécanisme selon lequel AMC est appelé à donner son avis, voire son approbation avant le lancement d’une opération, et à évaluer les risques que celle-ci peut comporter en matière de politique étrangère. En réponse à une demande de consultation présentée par le CST, AMC est tenu de fournir, dans un délai de cinq jours ouvrables, une évaluation des risques liés à la politique étrangère (ERPE) visant à établir si [**expurgé**]. Il convient de souligner que l’ERPE ne constitue pas une approbation de l’opération; il ne s’agit que d’un mécanisme de consultation. Pour orienter l’ERPE, le CST prépare un [**document/méchanisme**] à l’intention d’AMC résumant les divers aspects de l’opération. Par ailleurs, c’est dans le cadre d’un examen subséquent que l’OSSNR vérifiera si l’échéancier fourni par le CST relativement à certaines opérations aura permis à AMD de mener des ERPE adéquates.

Pour déterminer si une COA/COD [**expurgé**] AMC doit considérer bon nombre de facteurs. Il faut notamment vérifier si la COA/COD est conforme à la position d’AMC par rapport aux normes internationales régissant le cyberespace et si elle contribue aux intérêts du Canada. AMC doit aussi tenir compte de [**concerne des sujets du GC liés à la sécurité nationale**]. Ces considérations sont présentées dans les mandats du Groupe de travail du CST-AMC, lesquels requièrent qu’AMC évalue :

  • [**expurgé**]
  • la conformité au droit international et aux cybernormes;
  • la cohérence sur le plan de la politique étrangère, notamment la conformité de l’opération aux priorités en matière de politique étrangère, de sécurité nationale et de défense (au-delà des [besoins permanents en matière de renseignement]);
  • [**expurgé**]

Dans le contexte des exigences d’évaluation susmentionnées, AMC a expliqué à l’OSSNR que ses évaluations des risques posés par les opérations sur le plan de la politique étrangère n’étaient pas forcément exhaustives, étant donné qu’il évaluait déjà en détail les catégories d’activités autorisées par l’AM. Cette approche en matière d’évaluation est perceptible dans [**expurgé**] ERPE reçues par l’OSSNR, lesquelles concluaient que [**expurgé**] ces opérations [**expurgé**] sans toutefois fournir de précisions sur les facteurs susmentionnés. Étant donné qu’elles fournissent l’assurance qu’une opération [**expurgé**] et qu’elles sont requises aux termes de l’AM relative aux COA, les ERPE feront l’objet d’un examen détaillé dans le cadre du prochain examen de l’OSSNR, lequel portera sur les opérations.

Conformité au droit international et aux cybernormes

[**expurgé**]

Le Parlement peut autoriser des violations du droit international, s’il le fait expressément. Par exemple, à la suite de la décision dans X (Re) 2014 CAF 249, le Parlement a modifié la Loi sur le SCRS en adoptant le projet de loi C-44 en 2015. Les nouvelles dispositions énonçaient clairement que le SCRS pouvait s’acquitter de ses fonctions au pays et à l’étranger, et qu’en vertu de nouvelles dispositions de la Loi sur le CST, un juge pouvait autoriser des activités à l’étranger afin de permettre au Service d’enquêter sur une menace pour la sécurité du Canada « sans égard à toute autre règle de droit ». Conformément au libellé de la Loi sur le CST, les AM relatives aux COA/COD peuvent uniquement autoriser le CST à mener des activités « malgré toute autre loi fédérale ou loi d’un État étranger ». Tel qu’énoncé dans la jurisprudence, ce libellé pourrait ne pas être suffisamment clair pour permettre au ministre d’autoriser la violation de règles coutumières du droit international.

[**expurgé**] les AM examinées par l’OSSNR énonçaient que les activités devaient être [traduction] « conformes aux obligations du Canada en matière de droit international »115, et chaque AM exigeait que les activités du CST ne contreviennent pas aux obligations du Canada en la matière116. Ainsi, cela porte à croire que toutes les activités menées aux termes de l’AM sont conformes au droit international. Or, les documents de gouvernance rédigés par le CST et AMC, notamment le cadre de consultation, n’établissent pas les paramètres permettant d’évaluer la conformité des COA/COD avec les obligations du Canada en matière de droit international. Qui plus est, on ne précise pas les obligations légales internationales en fonction desquelles la conformité des COA/COD doit être évaluée. Dans son prochain examen, l’OSSNR évaluera dans quelle mesure les COA/COD menées par le CST et AMC se conforment au droit international.

Dans le cadre de ses échanges avec l’OSSNR, AMC a fait mention de ses consultations interministérielles et internationales remontant à 2016 concernant le Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (Tallinn Manual 2.0), lequel a contribué à orienter les AM [**expurgé**]. À la suite de ces consultations, AMC a créé un manuel qui traite de l’évaluation préliminaire du Canada visant des règles clés du droit international relatif au cyberespace, selon le Tallinn Manual 2.0. Bien qu’il ne s’agisse que d’une ébauche ne représentant pas la position définitive du Canada, l’analyse [traduction] « sert de fondement à des considérations juridiques approfondies ». L’OSSNR n’a reçu aucun autre document décrivant la manière dont le Canada interprète le droit international relativement aux COA/COD.

Par ailleurs, dans des documents fournis par AMC et le CST, on fait état de la nécessité d’examiner la légalité de chaque COA/COD envisagée. AMC a notamment relevé qu’il faudrait analyser les termes [traduction] « reconnus comme étant nuisibles » et « posant un risque pour la paix internationale et à la sécurité », et ce, dans le contexte de chaque COA/COD. [**expurgé**].

AMC a expliqué avoir examiné chaque activité s’inscrivant dans les catégories autorisées afin de vérifier la conformité au droit international au stade d’élaboration de l’AM. Ainsi, il n’a mené qu’un examen sommaire de la conformité au droit international au stade de l’ERPE pour chaque opération. AMC a mentionné que le manuel qu’il a créé ainsi que le Tallinn Manual 2.0 ont été consultés à cet effet. D’après la teneur [**expurgé**] ERPE examinées par l’OSSNR jusqu’à présent, on ne saurait dire dans quelle mesure le manuel ou l’analyse des normes volontaires de 2015 du Groupe d’experts gouvernementaux des Nations Unies (GEG de l’ONU) a orienté l’examen du niveau de risque de chaque opération, ou encore, si les conclusions d’AMC étaient conformes au droit international. Or, AMC conclut que les activités sont conformes au droit international sans toutefois fournir de justification.

NSIRA notes that international law in cyberspace is a developing area, and recognizes that Canada and other States are continuing to develop and refine their legal analysis in this field. ACO/DCO activities conducted without a thorough and documented assessment of an operation’s compliance with international law would create significant legal risks for Canada if an operation violates international law. Ultimately, a better documented analysis of Canada’s legal obligations when conducting ACO/DCOs is necessary in order for GAC and CSE to assess an operation’s compliance with international law. NSIRA will further examine the lawfulness of ACO/DCO activities in our subsequent review.

Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté et d’objectivité.

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Communication bilatérale de l’information pertinente

AMC et le CST ont tous deux adopté des méthodes qui leur permettent d’évaluer les risques en fonction de certains facteurs. Cependant, ces types de risques ne sont pas absolus; ils dépendent d’une vaste gamme de facteurs qui évoluent au fil du temps et à mesure qu’émergent des renseignements nouveaux. Pour sa part, AMC compose avec des facteurs comme [**concerne des sujets du GC liés à la sécurité nationale**]

À l’heure actuelle, le CST et AMC ont adopté une méthode selon laquelle le CST compte sur l’information que lui transmet AMC pour demeurer au courant de tout changement lié aux risques sur le plan de la politique étrangère du Canada. Toutefois, selon la méthode d’AMC susmentionnée, les risques d’une opération peuvent s’accroître à mesure qu’on obtient des renseignements sur ou sur les répercussions possibles de l’opération au-delà d’un [**expurgé**]. Pour sa part, le CST semble surtout se concentrer sur les changements touchant les risques opérationnels, [**qui sont découverts à un certain moment et d’une certaine manière**]. Il s’agit d’un mécanisme à sens unique qui ne tient pas compte d’autres facteurs [**expurgé**].

Dans ce contexte, le CST a expliqué qu’une COA/COD consistait en [**expurgé**], et que par conséquent, [**expurgé**]. Le CST a également mentionné que [**expurgé**] et que les activités subséquentes peuvent être modifiées au besoin, en fonction de l’information obtenue pendant l’opération en cours. [**expurgé**].

Dans ce contexte, l’OSSNR a examiné des opérations devant se dérouler sur une période donnée, dont une COD où le CST devait entreprendre des [**expurgé**]. Dans le cadre d’une autre COA, le CST [**expurgé**]. Dans sa description de l’opération à AMC, le CST a mentionné que de telles activités s’étendraient sur un certain laps de temps [**expurgé**].

[**concerne des opérations du CST**] tire parti de [**expurgé**] des COA/COD [**expurgé**] l’OSSNR estime qu’il faudrait mettre en place un mécanisme de notification bidirectionnel permettant de réévaluer les risques liés à une COA/COD, que ces risques soient découverts avant la mise en oeuvre de l’opération ou pendant son exécution.

Enfin, en ce qui a trait au processus de gouvernance interne du CST, AMC a un rôle à jouer dans [**expurgé**]. D’ailleurs, AMC a indiqué que les objectifs, [**expurgé**] associés aux opérations constituaient des renseignements qu’il incombe au CST de fournir aux fins de l’évaluation des risques pour la politique étrangère. L’OSSNR a constaté que le [**expurgé**] . L’OSSNR note qu’AMC devrait avoir accès à ces détails, car ils servent de contexte important à son examen, d’autant plus qu’AMC indique dans ses conclusions que les activités étaient conformes à [**expurgé**].

Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.

Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade de la planification qu’à celui de l’exécution.

Conclusion

Le présent rapport fait suite au premier examen de l’OSSNR portant sur les nouveaux pouvoirs conférés au CST pour la conduite de COA/COD et illustre l’évolution de la structure de gouvernance du CST et d’AMC s’appliquant auxdites COA/COD. Le CST est autorisé à mener ce type d’opération depuis 2019, bien que l’examen ait permis de constater que les deux organismes avaient commencé à conceptualiser le régime de gouvernance avant l’entrée en vigueur de la Loi sur le CST. L’OSSNR reconnaît qu’à ce jour, le CST a élaboré une structure de gouvernance complète et salue son implication dans l’élaboration d’un cadre de consultation avec AMC, cadre dans lequel sont définis les rôles et les responsabilités de chacune des organisations.

Toutefois, le CST pourrait apporter des améliorations dans l’ensemble de la structure de gouvernance sur le plan de la transparence et de la clarté, pour ce qui a trait à la planification des COA/COD – particulièrement lors des premières étapes – en établissant, dans les AM concernées, des paramètres clairs s’appliquant aux catégories d’activités et aux groupes de cibles qui pourraient être concernés par des COA/COD. De plus, l’OSSNR estime que la préparation des cyberopérations pourrait tirer parti de consultations auprès d’autres ministères responsables des priorités et objectifs stratégiques du Canada en matière de sécurité nationale et de défense. Enfin, le CST et AMC devraient définir en quoi consiste une COD et établir un seuil applicable à la conduite des COD préventives, ce qui garantirait une participation appropriée d’AMC dans le cadre des opérations.

Sur le plan opérationnel, le CST et AMC devraient veiller à ce que le degré de conformité au droit international de chacune des opérations soit évalué et documenté. Pour ce qui concerne le CST, celui-ci devrait s’assurer que l’information essentielle à l’évaluation des risques posés par la conduite d’une opération soit normalisée et incluse dans tous les documents sur la gouvernance, et qu’elle soit mise à la disposition des intervenants appelés à prendre part à l’élaboration et à l’approbation des COA/COD – y compris AMC. En dernière analyse, le CST devrait s’assurer que son personnel opérationnel ait une excellente connaissance du nouveau cadre légal et de ses modalités d’application aux diverses opérations.

Certes, le présent examen s’est concentré sur les structures de gouvernance en vigueur pour ce qui concerne les COA/COD, mais il faut savoir qu’il sera encore plus important de voir comment ces structures sont appliquées et observées dans la pratique. Nous avons déjà formulé plusieurs observations concernant l’information contenue dans les documents qui ont été produits à ce jour en matière de gouvernance mais, à l’occasion d’un prochain examen portant sur les COA/COD, nous nous pencherons plutôt sur la façon dont les dispositions énoncées dans ces documents sont concrètement mises en oeuvre.

ANNEXE A : Types de COA/COD

Figure 1 : Divers type de cyberopérations. Source : documents d’information du CST

[**figure expurgée**]

Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST

Figure 2 : Distinctions entre les COA et les COD. Source : documents d’information du CST
DEFENSIVE CYBER OPERATIONS ACTIVE CYBER OPERATIONS
Activités autorisées
  • Obtenir l'accès à une part de l'infrastructure mondiale d'information.
  • Installer, maintenir, copier, distribuer, recherche, modifier, interrompre, supprimer ou intercepter quoi de ce soit dans l'infrastructure mondiale de l'information ou par son entremise pour atteindre un objectif qui ne pourrait pas être raisonnablement atteint par d'autres moyens.
  • Prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l'activité.
  • Mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l'exécution des activités ou des catégories d'activités visées par l'autorisation ministérielle.
Approbation ministérielle Approbation du MinDN et consultation auprès du MAE. Approbation du MinDN et consentement ou demande du MAE.
Finalité Appliquer des mesures en ligne contribuant à la protection de l'information électronique et des infrastructures de l'information d'importance pour le gouvernement du Canada. Endommager, perturber, influencer ou contrer les capacités de tout personne, organisation ou État étrangers.
Contexte Initiated in response to a cyber threat, or proactively to prevent a cyber threat Initiated in accordance with Ministerial direction as it relates to international affairs defence or security.
Auteur de menaces / Ensemble de cibless Dirigées contre des menaces pour les systèmes du gouvernement ou les systèmes d'importance, quelque soit l'auteur de mance.
**Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Dirigées contre des cibles particullières conformément aux termes d'une autorisation ministérielle.
**Une fois qu'il est certain que l'entité visée n'est pas un Canadien, une personne se trouvant au Canada ou l'IMI sur le territoire canadien.
Résultat Conçues dans le but de stopper ou de prévenir les menaces dirigées contre les infrastructures fédérales ou désignées comme étant d'importance, suivant des moyens jugés justes et adaptés en fonction desdites menaces. Réalisées dans le but d'atteindre un objectif en matière d'affaires internationales, de défense ou de sécurité suivant des moyens jugés justes et adaptés aux circonstances.

ANNEXE B : COA et COD (2019-2020)

[**expurgé**]

ANNEXE C : Cadre de travail pour le CST et AMC

Groupe interministériel Équipe de la haute direction (EHD) du CST-AMC Groupe de travail des DG du CST-AMC sur les COA/COD Niveau des SMA
Coprésidents Coprésidents de l’EHD : CST, DG, [**expurgé**]AMC, DG, Direction générale du Renseignement Coprésidents : CST, DG [**expurgé**] AMC, DG Direction générale du Renseignement Composé, notamment, de membres (niveau des DG) de l’EHD et de membres de leurs équipes de soutien respectives. Coprésidents: CST, chef adjoint, SIGINT AMC, SMA (directeur politique) Sécurité internationale
Rôles et responsabilités

Échange de renseignements sur les priorités et plans de chacun des ministères ainsi que sur les sphères de collaboration.
Relevant de l’EHD, cette entité a été établie pour exercer un mandat de collaboration visant les questions relatives aux COA/COD.
Mise en oeuvre du cadre de gouvernance associé aux AM visant les opérations – en cours ou planifiées [**expurgé**]Relevant de l’EHD, cette entité a été établie pour exercer un mandat de collaboration visant les questions relatives aux COA/COD. Mise en oeuvre du cadre de gouvernance associé aux AM visant les opérations – en cours ou planifiées [**expurgé**]. Coordination du partage de renseignement ayant trait à la planification opérationnelle et à l’exécution des COA/COD, mais aussi aux risques connexes et à la prise en compte de la politique étrangère du Canada. Collaboration relative au renouvellement, à l’évolution et au développement des AM en vigueur ou à venir.
Résoudre les problèmes relevant de la compétence du GT, mais non résolu au niveau des DG.

ANNEXE D : Conclusions et recommandations

Constatations

Conclusion no 1 : Les demandes d’autorisation ministérielle pour les cyberopérations actives et défensives n’offrent pas suffisamment de détails pour que les ministres concernés comprennent l’étendue des catégories d’activités demandées dans l’autorisation. De même, l’autorisation ministérielle ne définit pas suffisamment les catégories d’activités, les techniques connexes et les ensembles de cibles à utiliser dans l’exécution des opérations.

Conclusion no 2 : L’évaluation des risques pour la politique étrangère exigée suivant deux conditions des autorisations ministérielles pour les cyberopérations actives et défensives repose trop sur la détermination technique des risques au détriment des éléments qui caractérisent la politique étrangère du gouvernement du Canada.

Conclusion no 3 : Le cadre de gouvernance actuel ne comprend pas de mécanisme permettant de confirmer la conformité d’une cyberopération active (COA) aux grandes priorités stratégiques du gouvernement du Canada, comme le demandent la Loi sur le CST et l’autorisation ministérielle. Bien que les objectifs et priorités ne relèvent pas uniquement du CST et d’AMC, ceux-ci dictent les COA sans l’apport de la communauté globale du gouvernement du Canada prenant part à la gestion des objectifs généraux du Canada.

Conclusion no 4 : Le CST et AMC n’ont pas mis en place de seuil permettant de définir et de distinguer les cyberopérations actives et les cyberopérations défensives, une lacune qui pourrait mener à une participation insuffisante de la part d’AMC advenant qu’une opération soit considérée à tort comme étant défensive.

Conclusion no 5 : Les politiques internes du CST qui portent sur la collecte d’information dans le cadre de cyberopérations ne sont pas décrites avec exactitude dans les autorisations ministérielles pour les cyberopérations actives et défensives.

Conclusion no 6 : Le processus de [**expurgé**] lequel a lieu une fois que les documents de planification ont été approuvés, contient des informations pertinentes pour les plans opérationnels généraux du CST. Or, il est arrivé que la [**expurgé**] contienne des informations essentielles qui n’apparaissaient pas dans ces autres documents, bien que cette présentation soit approuvée à un niveau de gestion inférieur.

Conclusion no 7 : Le CST a prodigué à ses employés des formations générales leur permettant d’acquérir une connaissance des nouveaux pouvoirs autorisant la conduite de cyberopérations actives et défensives (COA/COD). Toutefois, il y a lieu de croire que les employés directement impliqués dans les COA/COD n’auraient une compréhension suffisante ni des éléments ayant trait aux pouvoirs légaux nouvellement acquis par le CST ni des paramètres régissant l’application de ces pouvoirs.

Conclusion no 8 : En ce qui concerne les cyberopérations actives et défensives, le cadre élaboré par le CST et AMC pour évaluer les obligations du Canada en matière de droit international manque de clarté et d’objectivité.

Conclusion no 9 : Le CST s’attend à ce qu’AMC l’avise de tout changement à la politique étrangère, mais n’accorde pas assez d’importance à la nécessité de faire part à AMC des autres risques pouvant survenir au cours d’une opération. En outre, des informations essentielles à l’évaluation d’AMC visant les risques pour la politique étrangère ne figurent pas dans la documentation que le CST utilise pour mobiliser AMC aux fins d’une opération. Ainsi, il se peut que le cadre de consultation actuel n’incite pas le CST à communiquer suffisamment d’information pour permettre à AMC d’évaluer les risques pour la politique étrangère et de gérer les risques qui se présentent au cours d’une cyberopération.

Recommandations

Recommandation no 1 : L’OSSNR recommande que le CST définisse plus précisément les catégories d’activités, les techniques connexes et les ensembles de cibles employés dans le cadre des cyberopérations actives et défensives, ainsi que les motifs et objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles pour ces activités.

Recommandation no 2 : L’OSSNR recommande qu’AMC inclue, dans les autorisations ministérielles, un mécanisme d’évaluation de tous les paramètres des risques pour la politique étrangère découlant des cyberopérations actives et défensives.

Recommandation no 3 : L’OSSNR recommande que le CST et AMC établissent un cadre de consultation des intervenants clés, notamment, le conseiller à la sécurité nationale et au renseignement auprès du premier ministre et les autres ministères concernés, dont les mandats touchent les cyberopérations actives proposées afin que celles-ci s’harmonisent aux grandes priorités stratégiques du gouvernement du Canada et que les exigences énoncées dans la Loi sur le CST soient respectées.

Recommandation no 4 : L’OSSNR recommande que le CST et AMC instaurent un seuil qui permette de distinguer une cyberopération active d’une cyberopération défensive préventive, et que ce seuil soit fourni au ministre de la Défense nationale dans les autorisations ministérielles applicables.

Recommandation no 5 : L’OSSNR recommande que le CST, dans ses demandes présentées au ministre de la Défense nationale, décrive avec exactitude la possibilité que, dans le cadre de cyberopérations actives et défensives, des activités de collecte se déroulent au titre d’autorisations distinctes.

Recommandation no 6 : L’OSSNR recommande que le CST inscrive toutes les informations pertinentes – y compris les informations sur le ciblage et le contexte – dans tous les plans opérationnels qui sont produits dans le cas d’une cyberopération ainsi que dans tout document soumis à l’attention d’AMC.

Recommandation no 7 : L’OSSNR recommande que le CST offre un programme de formation structuré aux employés prenant part à l’exécution des cyberopérations actives et défensives (COA/COD). Ce faisant, le CST s’assurerait que lesdits employés possèdent une connaissance adéquate des pouvoirs légaux, des exigences et des interdictions stipulées dans les autorisations ministérielles.

Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.

Recommandation no 9 : L’OSSNR recommande que le CST et AMC s’échangent toute l’information pertinente et se tiennent au courant de tous les nouveaux développements ayant une incidence sur l’évaluation des risques associés aux cyberopérations, et ce, tant au stade de la planification qu’à celui de l’exécution.

Share this page
Date de modification :

Examen de l’OSSNR portant sur le régime applicable aux ensembles de données

Date de publication :

Liste des acronymes

Sigle/acronyme Expression complète
SCRS Service canadien du renseignement de sécurité
ADG Acquisition de données et gouvernance
SDO Sous-directeur Opérations
DMEX Gestion et exploitation des données
ERC External Review and Compliance
CF Cour fédérale
CR Commissaire au renseignement
AJ Autorisation judiciaire
LSN Loi de 2017 sur la sécurité nationale
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
CADO Centre d'analyse des données opérationnelles
EDAP Ensemble de données accessibles au public
BCP Bureau du Conseil privé
SP Sécurité publique Canada
CSARS Comité de surveillance des activités de renseignement de sécurité

Glossaire

Catégorie approuvée d’ensembles de données canadiens. Catégorie d’ensembles de données canadiens approuvée par le Ministre et autorisée par le commissaire au renseignement. Le Service canadien du renseignement de sécurité ne peut collecter et conserver un ensemble de données canadien que s’il fait partie d’une catégorie approuvée.

Ensemble de données canadien. Ensemble de données ayant principalement trait à des Canadiens ou à des personnes se trouvant au Canada.

Ensemble de données. Ensemble d’informations qui sont sauvegardées sous la forme d’un fichier numérique et qui portent sur un même sujet.

Employé désigné. Employé désigné par le Ministre. Cet employé est en mesure d’exercer une ou plusieurs des activités décrites aux articles 11.07 et 11.22, notamment l’évaluation, l’interrogation et l’exploitation des ensembles de données visés à l’article 11.05.

Régime applicable aux ensembles de données. Articles 11.01 à 11.25 et 27.1 de la Loi sur le Service canadien du renseignement de sécurité, qui régissent les ensembles de données.

Évaluation. Période durant laquelle les employés désignés vont – dans la mesure du possible, mais dans les 90 jours suivant le moment de la collecte – évaluer l’ensemble de données et établir si celui-ci :

  • était accessible au public au moment de sa collecte;
  • comportait principalement des données liées à des Canadiens ou à d’autres individus se trouvant au Canada;
  • comportait principalement des informations liées à un individu qui n’est pas un Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’était ni constituée ni prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouvait à l’extérieur du Canada.

Situation d’urgence. Situation posant un danger pour la vie ou la sécurité d’un individu, ou une situation nécessitant l’acquisition de renseignement d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service canadien du renseignement de sécurité s’en tient aux processus d’autorisation prévus à l’article 11.13 ou aux articles 11.17 et 11.18.

Exploitation. Analyse informatique d’un ou de plusieurs ensembles de données ayant pour but d’obtenir des renseignements qui ne seraient pas autrement apparents.

Ensemble de données étranger. Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada.

Autorisation judiciaire. Procédure suivant laquelle un juge de la Cour fédérale autorise la conservation d’un ensemble de données canadien.

Ministre. Dans le présent rapport, le terme « Ministre » désigne le ministre de la Sécurité publique.

Ensemble de données accessible au public. Ensemble de données accessible au public au moment de sa collecte.

Interrogation. Recherche ciblée dans un ou plusieurs ensembles de données, au sujet d’une personne ou d’une entité, ayant pour but d’obtenir des renseignements.

Enquête au titre de l’article 12. Enquête menée par le Service canadien du renseignement de sécurité, qui porte sur des menaces envers la sécurité du Canada.

Menace envers la sécurité du Canada. Activités qui touchent le Canada ou s’y déroulent, notamment les suivantes :

  • l’espionnage ou le sabotage;
  • les activités influencées par l’étranger;
  • l’usage de la violence ou de menaces contre des personnes ou des biens dans le but d’atteindre un objectif politique, religieux ou idéologique;
  • les activités qui, par des actions cachées et illicites, visent à saper le régime de gouvernement constitutionnellement établi au Canada ou dont le but immédiat ou ultime est sa destruction ou son renversement, par la violence.

Sommaire

Le gouvernement du Canada a instauré le régime applicable aux ensembles de données (régime des ensembles de données) suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS ou, ci-après, la Loi). Visé aux articles 11.01 à 11.25 de la Loi sur le SCRS, ce régime habilite le Service canadien du renseignement de sécurité (SCRS, ou le Service) à collecter et à conserver des ensembles de données contenant des renseignements personnels qui ne sont liés ni directement ni immédiatement à des activités qui constituent une menace envers la sécurité du Canada, mais qui sont susceptibles de favoriser la progression d’enquêtes sur la sécurité nationale.

Le présent rapport se divise en quatre sections. La première porte sur la gouvernance et décrit les aspects suivants : les modalités de mise en oeuvre du régime, la première autorisation judiciaire du SCRS relative à un ensemble de données, les vides juridiques relevés dans la Loi et les politiques internes du ministère auxquelles le régime est assujetti. Quant à la deuxième section du présent rapport, elle porte sur les pratiques observées par le SCRS en matière de gestion et de conservation de l’information. Ensuite, la troisième section traite des modalités suivant lesquelles le SCRS forme ses employés à l’exercice des fonctions prévues par le régime des ensembles de données, et aborde quelques difficultés en matière d’affectation des ressources. Enfin, la quatrième et dernière section présente une étude de cas qui aborde les difficultés et les obstacles qui se posent aux éléments traités dans les trois premières sections.

Pour ce qui concerne la gouvernance et la mise en oeuvre, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a conclu que le régime des ensembles de données établi par le SCRS n’était pas conforme au cadre législatif en vigueur. L’approche que le SCRS applique actuellement sur le plan de la collecte des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir les critères minimaux tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

En 2021, le SCRS a demandé une autorisation judiciaire pour la conservation du premier ensemble de données canadien, mais d’une façon qui incite l’OSSNR à douter que la Cour fédérale ait été pleinement informée des divergences exprimées en interne concernant l’utilisation des ensembles de données avant la mise en application du régime des ensembles de données. De plus, en attendant l’autorisation judiciaire, le SCRS a procédé à des interrogations au titre des dispositions concernant les situations d’urgence et a conservé des noms qui ne correspondaient que partiellement aux valeurs recherchées. L’OSSNR a conclu que les résultats conservés en l’occurrence ne respectaient pas le critère minimal s’appliquant obligatoirement à la conservation de cette information au titre de l’article 12 de la Loi. L’OSSNR recommande que le SCRS détruise immédiatement tout fichier contenant les noms retenus dans le cadre d’interrogations liées à des situations d’urgence, dans la mesure où ces fichiers ne répondent pas au critère minimal de la « stricte nécessité ».

Le présent examen a permis de relever, dans le texte de la Loi sur le SCRS un vide juridique qui pose problème sur le plan de la gouvernance s’appliquant aux ensembles de données étrangers. En effet, l’OSSNR note que dans sa forme actuelle, la Loi n’impose, au Ministre ou à la personne désignée, aucune limite de temps pour l’autorisation de conservation d’un ensemble de données étranger. Avant l’instauration du régime des ensembles de données, le SCRS collectait des volumes massifs de données qui ne répondraient plus aux prescriptions du nouveau régime. Après l’adoption du régime des ensembles de données, le SCRS a soumis, le 11 octobre 2019, plusieurs ensembles de données étrangers au directeur, qui faisait office de personne désignée à la place du Ministre. Le commissaire au renseignement (CR) a approuvé le premier ensemble de données étranger tiré de cet important volume de données le 16 décembre 2020. Or, au mois de décembre 2022, le SCRS n’avait soumis au CR que deux autres demandes d’approbation, pour un total de trois approbations en trois ans. L’OSSNR note qu’en conséquence du vide juridique, une demande d’autorisation peut, pendant des années, demeurer sans suite de la part du directeur. D’ailleurs, l’OSSNR remet en cause la façon dont le SCRS est censé respecter le critère minimal de la « probabilité d’aider » ainsi que l’utilité de ces ensembles de données. L’OSSNR recommande que l’on impose une limite de temps pour l’autorisation, par le Ministre ou la personne désignée, d’un ensemble de données étranger.

Le dernier élément de la section ayant trait à la gouvernance met l’accent sur les politiques que le SCRS a adoptées pour encadrer le régime des ensembles de données. En outre, l’OSSNR a conclu que les politiques du SCRS s’appliquant aux ensembles de données accessibles au public ne contenaient aucune disposition exigeant que l’information collectée soit assujettie à une analyse portant sur l’attente raisonnable en matière de protection de la vie privée. Cette question est particulièrement pertinente lorsque l’on prend en compte la demande toujours croissante pour les données achetées auprès de courtiers ainsi que les risques associés à l’achat d’informations disponibles dans le commerce, lesquelles auraient pu être collectées de façon illicite. Ainsi, l’OSSNR recommande que le SCRS procède à l’analyse approfondie et à la documentation de toutes les attentes raisonnables en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. L’OSSNR a également conclu que le SCRS ne disposait d’aucune politique realtive aux informations transitoires et que la directive interne en vigueur ne fournissait aux employés que des consignes insuffisantes pouvant faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.

La deuxième section du présent rapport d’examen a trait à la gestion et à la conservation de l’information des ensembles de données visés à l’article 11. Dès 2018-2019, le SCRS a passé en revue ses fonds d’information pour y relever les informations qui seraient assujetties au régime des ensembles de données une fois que celui-ci serait entré en vigueur. Au début de 2022, le SCRS a constaté plusieurs occurrences où des données, des rapports opérationnels et des informations liées à des Canadiens ou à d’autres individus se trouvant au Canada (informations canadiennes) extraits d’ensembles de données étrangers auraient dû être détruits. Une fois que les éléments de non-conformité ont été relevés, le SCRS a commencé à mettre en place des mesures correctives visant à garantir que les données de ce type seraient repérées et détruites. En octobre 2022, l’OSSNR a effectué une recherche dans le système organisationnel du SCRS et a trouvé des fichiers contenant des dizaines de milliers d’occurrences d’informations personnelles sur des Canadiens tirées d’ensembles de données étrangers, de même que des informations équivalant à des ensembles de données étrangers. L’OSSNR n’est pas satisfait des raisons qu’on lui a données pour justifier la conservation de ces informations dans les systèmes organisationnels du SCRS ni des critères suivant lesquels le SCRS explique que ces informations se distinguent de celles qui avaient été précédemment établies comme étant non conformes. L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.

Qui plus est, l’OSSNR a effectué une autre recherche dans le registre opérationnel du SCRS et y a découvert des informations assimilables à un ensemble de données canadien. Le SCRS n’avait pas retiré le rapport opérationnel, ce qui l’a rendu accessible à quiconque pouvait utiliser le système, ce qui contrevient aux obligations s’appliquant au régime des ensembles de données sur le plan de la conservation. L’OSSNR a avisé le SCRS au sujet de ce rapport et a appris que cette situation serait traitée comme un incident de conformité. L’OSSNR a ensuite effectué une autre recherche et a découvert un autre rapport contenant de l’information qui, par ailleurs, serait assimilable à un ensemble de données canadien. L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. L’OSSNR recommande que le SCRS détruise immédiatement l’information sur des Canadiens et l’information étrangère qui se trouvent dans ses registres organisationnels et opérationnels, et qu’il n’est pas strictement nécessaire de conserver. Cette information non conforme ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel et procède à un balayage complet de ses registres organisationnels et opérationnels dans le but de repérer les informations non conformes.

La troisième section du présent rapport d’examen porte sur la formation de même que sur l’affectation des ressources. Avant l’entrée en vigueur du régime s’appliquant aux ensembles de données, le SCRS avait élaboré et mis en place une formation en guise de préparation à la désignation des employés aux fins du régime des ensembles de données ainsi qu’une formation obligatoire pour tous les employés opérationnels. L’OSSNR conclut que la formation requise pour devenir un employé désigné appelé à évaluer, à interroger et à exploiter les ensembles de données visés à l’article 11 fournit de l’information claire sur les exigences s’appliquant à la collecte et à la conservation. Or, l’OSSNR conclut que le personnel opérationnel du SCRS, y compris les membres qui font principalement la collecte des données de masse, n’a pas reçu une formation suffisante pour être en mesure de reconnaître les situations où l’information collectée pourrait être visée par le régime des ensembles de données. La formation n’est suivie qu’une seule fois par les employés opérationnels, ce qui contrevient aux règles que le SCRS est censé suivre quant à l’application du régime. L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios en guise de formations sur l’application du régime des ensembles de données. Ces ateliers seraient destinés au personnel opérationnel et permettraient de faire appel aux experts, le cas échéant.

Pour englober tous les enjeux cités précédemment, l’OSSNR a choisi une étude de cas qui met en évidence les difficultés que le SCRS rencontre au chapitre de la mise en place du régime des ensembles de données. Le cas en question concernait un ensemble de données contenant des informations sur des milliers de Canadiens. En l’occurrence, l’OSSNR conclut que le SCRS a collecté de l’information qui concernait des activités ne pouvant pas être raisonnablement soupçonnées d’avoir posé une menace envers la sécurité du Canada et dont la collecte, l’analyse et la conservation n’étaient pas strictement nécessaires. Le ministère de la Justice et la gestion du SCRS n’ont pas soumis, à la direction du SCRS, l’intégralité de l’information ayant trait à l’ensemble de données au point de collecte. De plus, l’information a été collectée sans qu’une analyse ait été réalisée à la lumière des dispositions de la Charte et des éléments relatifs à la protection de la vie privée. L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12. L’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

À la suite du présent examen, il convient de conclure que le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. De fait, le SCRS n’a pas cherché à résoudre les éléments juridiques ambigus [**expurgé**] des modalités d’application du régime à l’appréciation de la Cour. En effet, le SCRS a plutôt adopté diverses positions quant à l’application du régime des ensembles de données, et il risque désormais de cantonner ce qui se veut un régime d’encadrement de la collecte et de la conservation à un simple mécanisme de conservation. Sur le plan interne, le SCRS a fourni des ressources et de la formation qui se sont avérées insuffisantes pour garantir la conformité des activités aux dispositions du régime. En l’absence d’un engagement à opérationnaliser les ressources et à soutenir la mise en oeuvre d’un nouveau régime juridique, il y a lieu de conclure que ce type de régime sera destiné à échouer quoi qu’on en pense.

Introduction

Fondements législatifs

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé le présent examen en application de l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Portée de l’examen

L’OSSNR s’est penché, entre janvier 2019 et le 30 juin 2022, sur la mise en oeuvre, par le Service canadien du renseignement de sécurité (SCRS, ou le Service), du régime s’appliquant aux ensembles de données. Or, pendant le déroulement de l’examen, l’OSSNR a jugé nécessaire de consulter des éléments d’information pertinents ne coïncidant pas avec la période susmentionnée.

Méthodologie

L’OSSNR a examiné des documents, réalisé des entrevues et assisté à des séances d’information. L’OSSNR a également assisté à des démonstrations que des experts du SCRS ont données sur le fonctionnement des systèmes concernés. Le SCRS a également donné, aux représentants de l’OSSNR, un accès direct auxdits systèmes.

Énoncés généraux

L’OSSNR a été en mesure de vérifier, conformément à ses propres attentes et exigences, l’information reçue en cours d’examen. De plus, l’OSSNR a eu un accès direct aux systèmes et registres du SCRS, ce qui lui a permis de corroborer cette information.

Pour ce qui concerne la réactivité, on a relevé quelques occurrences mineures où le SCRS n’a pas fourni l’intégralité de l’information demandée par l’OSSNR, mais en règle générale, le Service a répondu aux attentes de l’OSSNR sur ce plan.

Renseignements généraux

En 2015, le Comité de surveillance des activités de renseignement de sécurité (CSARS), le prédécesseur de l’OSSNR, a examiné les modalités de collecte et de conservation de l’information dans le cadre du Programme d’acquisition de données du SCRS. Les examinateurs se sont penchés sur le régime du SCRS s’appliquant aux ensembles de données massifs et ont noté ce qui suit : « le CSARS n’a constaté aucun élément de preuve donnant à penser que le SCRS avait systématiquement tenu compte du seuil de la mesure “strictement nécessaire” tel qu’il est imposé en vertu de l’article 12 de la Loi sur le SCRS; le SCRS ne dispose pas de processus, de cadre de gouvernance et de conseils juridiques relatifs à l’acquisition et à la gestion d’ensembles de données de masse, ce qui va à l’encontre des pratiques de nos proches alliés. »

Après la publication du rapport annuel du CSARS, la Cour fédérale (ci-après désignée comme étant « la Cour ») s’est penchée sur les questions liées à la conservation des données dans la décision qu’elle a rendue en 2016 relativement aux « données connexes ». La Cour a établi que le SCRS avait outrepassé les limites du mandat qui lui était prescrit par la loi en conservant des informations contrevenant à la mesure « strictement nécessaire » prescrite au paragraphe 12(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS). En vertu de cette exigence légale de la mesure « strictement nécessaire » s’appliquant aux faits ayant donné lieu à cette décision, le SCRS ne peut pas conserver de l’information qui n’est pas directement liée à une menace envers la sécurité du Canada, à moins que cette information soit liée à un sujet visé par un mandat. La Cour a conclu que le SCRS avait agi de manière illicite lorsqu’il a conservé des informations non liées à une menace au titre de la mesure « strictement nécessaire », et ce, au-delà de la limite de temps prescrite.

Le gouvernement du Canada a instauré le régime applicable aux ensembles de données suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification la Loi sur le SCRS. Ce régime permet au SCRS de collecter des ensembles de données qui soient susceptibles de l’assister dans l’exercice de ses fonctions, en l’occurrence, des ensembles de données qui ne répondent pas au critère du « strictement nécessaire » par ailleurs exigé à l’article 12.

Le présent examen de l’OSSNR est le premier qui soit réalisé relativement aux ensembles de données depuis l’adoption la LSN. En outre, cet examen décortique et analyse les modalités de gouvernance et d’opérationnalisation du régime. Pendant qu’il considérait la mise en oeuvre du régime, l’OSSNR a également examiné les systèmes et les processus en place aux fins d’ingestion, d’évaluation, d’interrogation et d’exploitation des ensembles de données, processus dont une description détaillée est fournie en annexe A du présent rapport.

Aperçu du régime applicable aux ensembles de données au vu de la législation

Les dispositions de la Loi sur le SCRS (ci-après désignée comme étant « la Loi ») qui gouvernent le régime se trouvent aux articles 11.01 à 11.25, 21, 27 et 27.1 de la Loi (lesquels établissent ce que l’on appelle ci-après le « régime des ensembles de données »). La Loi définit le terme « ensemble de données » comme suit : « [e]nsemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun. » La clause d’application de l’article 11.02 énonce ce qui suit : « Les articles 11.01 à 11.25 s’appliquent aux ensembles de données qui contiennent des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels qui, dans l’immédiat, ne sont pas directement liés à des activités exercées en lien avec une menace pour le Canada. »

Le niveau des autorisations et des approbations des activités de collecte et de conservation d’un ensemble de données est proportionnel au niveau d’atteinte à la vie privée. Pour toutes les catégories d’ensembles de données, à savoir accessibles au public, canadiens et étrangers, le SCRS peut : « recueillir un ensemble de données s’il est convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. » Il existe un autre seuil, plus élevé celui-là, pour la conservation des ensembles de données étrangers et canadiens, à l’égard desquels le SCRS doit établir si l’ensemble de données collecté est « susceptible de l’aider » dans l’exercice de ses fonctions

Le tableau ci-dessous présente synthétiquement le cadre juridique s’appliquant aux ensembles de données accessibles au public (EDAP), aux ensembles de données étrangers et aux ensembles de données canadiens :

                                                                                                   
  Accessible au public Étranger Canadien
Définition Un ensemble de données qui était accessible au public au moment de la collecte. . Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada. A dataset that predominately relates to individuals within Canada or Canadians.
Collection Threshold: Relevant to the performance of duties and functions under s. 12 to s.16
    Must belong to an approved class authorized by the Minister and approved by the Intelligence Commissioner (IC)
Évaluation Dans les 90 jours suivant le moment de la collecte (excluant toute interrogation ou exploitation) : L’employé désigné doit supprimer tout renseignement personnel qui n’est pas pertinent dans le cadre de l’exercice des fonctions du SCRS. L’employé désigné peut supprimer les contenus superflus, erronés ou de moindre qualité; il peut effectuer la traduction ou le décryptage des contenus ou utiliser des techniques de révision liées à la protection de la vie privée; il peut exercer toute activité relative à l’organisation de l’ensemble de données.
  L’employé désigné doit supprimer toute information qui porte sur la santé physique ou mentale d’un individu et pour laquelle il existe une attente raisonnable en matière de protection de la vie privée
  L’employé désigné doit retirer toute information liée à un Canadien ou à une personne se trouvant au Canada. L’employé désigné doit supprimer toute information protégée par le secret professionnel de l’avocat.
Conservation Conservation permise pour les fins visées aux articles 12 à 16. Critère minimal : susceptible d’aider le Service à exercer ses fonctions.
Le ministre ou la personne désignée donne son autorisation, puis le CR donne son approbation. Le ministre donne son approbation, laquelle est suivie d’une autorisation judiciaire.
Période de conservationAucune limite (politique interne régissant la conservation) Maximum de 5 années (renouvelable suivant une nouvelle demande)Maximum de 2 années (renouvelable suivant une nouvelle demande)
Interrogation/exploitationPossibilité d’interroger, d’exploiter et de conserver les résultats pour les fins visées aux articles 12 à 16.L’employé désigné peut interroger ou exploiter (et conserver les résultats) pour peu que ce soit strictement nécessaire au titre des articles 12 et 12.1, et comme le stipule l’article 16.
Peut interroger et exploiter (et conserver les résultats) pour les fins visées à l’article 15.
Tenue de dossiersDossiers : - justification de la collecte; - détails relatifs à chaque exploitation; - détails de l’autorisation légale au titre de laquelle l’information interrogée ou exploitée est conservée. Réalisation de vérifications aléatoires ou routinières.
Obligations : - stocker et gérer séparément des autres informations; - réserver l’accès aux employés désignés pour veiller à ce que les informations acquises ne puissent être communiquées qu’aux fins de l’exercice de fonctions sous le régime de la présente loi.
Situations d’urgenceLe directeur peut autoriser (sous réserve de l’approbation du CR) l’interrogation d’un ensemble de données qui n’a pas déjà été autorisé s’il s’agit d’une situation d’urgence et que l’interrogation de l’ensemble de données est nécessaire afin de préserver la vie ou la sécurité d’un individu ou d’acquérir des renseignements d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service s’en tient aux processus d’autorisation.
RapportsTransmission à l’OSSNR : - de toute vérification effectuée telle qu’il est prescrit par les dispositions s’appliquant à la tenue des dossiers; - de tout retrait d’information concernant un Canadien ou une personne se trouvant au Canada et provenant d’un ensemble de données étranger; d’une copie de l’autorisation du directeur visant l’interrogation pour motif de situation urgence, les résultats de l’interrogation et les mesures prises après l’obtention des résultats de l’interrogation. *L’OSSNR peut faire rapport auprès du directeur lorsqu’à son avis, l’interrogation ou l’exploitation de l’ensemble de données concerné n’est pas conforme aux stipulations de la loi. En l’occurrence, le directeur envoie un rapport accompagné d’informations additionnelles à la Cour fédérale. Dès lors, la Cour fédérale peut émettre une directive ou un ordre ou encore prendre toute autre mesure jugée appropriée.

Gouvernance

Interprétation et application, par le SCRS, du régime applicable aux ensembles de données

Conclusion no 1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif.

Conclusion no 2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

Le régime des ensembles de données avait pour objet de créer une méthode qui permette de collecter et de conserver certaines informations, des activités qui ne seraient pas permises selon les dispositions formulées à l’article 12 de la Loi sur le SCRS. Le SCRS a pris une part active dans la promotion de ce régime détaillé et a noté, pendant les audiences du comité sénatorial, qu’il s’agissait (articles 11.01 à 11.24) d’une « mesure législative assez complexe » qui a nécessité que l’on travaille étroitement avec le ministère de la Justice (ci-après désigné comme étant « le MJ ») pour « étudier les divers processus que nous pouvions utiliser » pour veiller à ce que le régime soit en entière « conformité à la Charte ». Après avoir grandement contribué à la rédaction du document faisant état du régime, le SCRS était bien placé pour élaborer les politiques et les procédures devant s’appliquer à la collecte, à l’interrogation, à l’exploitation et à la vérification des ensembles de données.

[**expurgé**] le SCRS a modifié sa position de sorte à considérer le régime des ensembles de données comme étant, en réalité, assujetti aux autorisations de collecte visées aux articles 12, 15 ou 16 de la Loi sur le SCRS. De fait, le SCRS s’appuie sur le régime des ensembles de données dès lors qu’il a établi que l’information n’est pas visée par ces autorisations en matière de collecte (ce qui est désigné ci-après comme étant la position actuelle du SCRS). Cette position témoigne d’un changement sur le plan de la compréhension que l’on peut avoir quant à la portée du régime des ensembles de données.

Telle qu’elle était présentée dans les politiques et les présentations du Service ainsi que dans le matériel employé pendant la formation NSA 2017, l’application du régime des ensembles de données était davantage conforme à la position initiale du Service. Toutefois, au mois d’avril 2022, le SCRS avait adopté sa position actuelle quant à l’application du régime des ensembles de données, en concluant que la Cour était d’accord avec cette interprétation. Le SCRS considère désormais que le régime permet la collecte et l’utilisation (recherches) des ensembles de données au titre de l’article 12, puis leur conservation au titre du régime des ensembles de données. Le SCRS a continué de modifier sa position actuelle de sorte à permettre une collecte et une conservation élargies en vertu de l’article 12.

Il convient de noter que l’article 12 énonce des conditions s’appliquant à la collecte (et à la conservation) qui sont plus exigeantes que le critère minimal s’appliquant à la collecte et à la rétention dans le cadre du régime des ensembles de données. En vertu de l’article 12, une enquête s’appuiera sur un motif raisonnable de soupçonner une menace envers la sécurité du Canada, et la collecte ainsi que la conservation de l’information n’auront lieu que dans la mesure « strictement nécessaire ». Pour sa part, le régime des ensembles de données permet la collecte pour peu que le SCRS soit « convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. ». La conservation des ensembles de données étrangers et canadiens est permise s’il est « probable » que cette conservation « aide le Service » à exercer ses fonctions. L’article 12 et le régime des ensembles de données diffèrent l’un de l’autre en tant que régimes de contrôle. En vertu de l’article 12, le SCRS peut procéder à la conservation sans l’intervention d’une entité externe. Or, la conservation des ensembles de données canadiens au titre du régime des ensembles de données exige une autorisation de la Cour, alors que la conservation des ensembles de données étrangers nécessite l’approbation du CR.

Le régime des ensembles de données a été créé dans le but d’élargir les conditions rigoureusement réglementées s’appliquant à la collecte et à la conservation, lorsque le critère minimal de la mesure « strictement nécessaire » visé à l’article 12 ne pouvait pas être respecté. Toutefois, selon l’OSSNR, depuis que le SCRS a modifié sa position, comme nous l’avons évoqué précédemment, la façon dont le Service opérationnalise le régime des ensembles de données et en comprend l’application semble avoir considérablement augmenté l’étendue de l’information captée en vertu des pouvoirs qui lui sont conférés au titre de l’article 12. Cette évolution est abordée dans le cadre de l’étude de cas qui est présentée à la fin du présent rapport.

La [**expurgé**] anciennement Gestion et exploitation des données ou DMEX) est une entité dont la fonction première est la gouvernance du régime des ensembles de données. Au mois de juin 2023, le SCRS a avisé l’OSSNR que, désormais, [**expurgé**] prioriserait la collecte au titre de l’article 12 par rapport à la collecte au titre du régime des ensembles de données. Comme le cadre législatif s’appliquant aux ensembles de données s’avère plutôt restrictif, le Service a indiqué qu’il ne collecterait les ensembles de données qu’en prévision de leur exploitation10. Le SCRS a ensuite présenté à l’OSSNR l’exemple éclairant d’un ensemble de données au sens entendu par le régime des ensembles de données et a indiqué que, dans la mesure où il était possible que des acteurs hostiles figurent dans la liste, cet ensemble pouvait être collecté au titre de l’article 11.05 s’appliquant au régime des ensembles de données ou encore de l’article 12. On pouvait également y effectuer des recherches au titre de l’article 12, conserver, au titre du même article, les résultats de recherche portant sur la menace, puis détruire le reste de la liste.

L’approche évolutive que le SCRS a adoptée à l’égard des ensembles de données soulève deux sources de préoccupation. En premier lieu, l’ingestion des ensembles de données au titre de l’article 12 peut désormais, du moins en pratique, correspondre à une interprétation élargie des critères minimaux de « motif raisonnable de soupçonner » et de mesure « strictement nécessaire » visés à l’article 12. Les normes maintenant invoquées pour justifier la collecte et la conservation de certains ensembles de données censément au titre de l’article 12 sont plus près des critères minimaux « convaincu » et « probabilité d’aider » s’appliquant au régime des ensembles de données. L’OSSNR reconnaît que certaines informations répondant à la définition d’un ensemble de données – c.-à-d. la collecte d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun – pourraient être visées par les stipulations de l’article 12 en matière de collecte et d’utilisation, par exemple, une liste des voyageurs extrémistes canadiens. Toutefois, l’OSSNR a des réserves lorsque les pouvoirs énoncés à l’article 12 sont interprétés de telle façon qu’ils permettent la collecte et l’utilisation de renseignements personnels qui ne sont pas directement liés aux activités posant une menace envers la sécurité du Canada. Cette approche sort du cadre législatif et risque de donner lieu à la création d’un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.

En second lieu, une procédure de vérification en plusieurs étapes découle d’une interprétation de la Loi sur le SCRS, selon laquelle le régime des ensembles de données s’applique uniquement lorsque les ensembles de données (répondant à la définition de la section 11.02) ne peuvent être ni collectés ni conservés au titre des mandats visés aux articles 12, 15 ou 16. Qui plus est, il y aura une phase préliminaire durant laquelle le SCRS devra décider quelle autorisation doit s’appliquer, et établir si (puisqu’il ne reste plus aucune autre autorisation de collecte ou de conservation) l’ensemble de données doit être traité dans le cadre du régime des ensembles de données. L’absence de conseils judicieux donne lieu à un important risque de confusion quant à ce qui peut être fait à partir de l’ensemble de données pendant cet exercice de vérification et de tri, surtout que cette procédure de vérification n’est pas expressément prévue par la Loi. On ne saurait trop dire si la Loi peut s’assortir d’une procédure parallèle et distincte dans le cadre de laquelle un ensemble de données serait collecté au titre de l’article 12, interrogé à des fins de renseignement et, seulement alors, être transféré en vue d’être conservé au titre du régime des ensembles de données. En l’occurrence, on pourrait estimer que cette approche rendrait superflue l’autorisation d’interrogation de recherche en cas d’urgence au titre de l’article 11.22. Bien que l’OSSNR n’ait pas été en mesure de confirmer l’intégralité de la séquence d’événements, l’étude de cas portant sur l’autorisation judiciaire visant les ensembles de données canadiens (voir la section suivante) illustre le risque de confusion.

Autorisation judiciaire concernant les ensembles de données canadiens

Conclusion no 3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.

Conclusion no 4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12.

[**expurgé**], le SCRS a collecté, [**expurgé**]. Les [**expurgé**] contenaient les renseignements personnels d’individus [**expurgé**] Les ensembles de données ont été acheminés au SCRS en provenance de plusieurs ministères [**expurgé**]. Comme ces ensembles de données ont été reçus par le [**expurgé**] on a jugé qu’ils avaient été collectés au titre de l’article 12. Cependant, le SCRS a ensuite tenté de conserver [**expurgé**] en vertu du régime des ensembles de données, ce qui nécessite une autorisation de la Cour fédérale (CF). En l’occurrence, on a assisté à la première décision concernant une autorisation judiciaire aux fins du régime des ensembles de données. Or, on note deux sources de préoccupation concernant la gestion de cet ensemble de données.

Examen initial de l’ensemble de données au titre de l’article 12

Considérant les éléments qui ont mené à cette autorisation, il serait plutôt difficile de savoir comment cet ensemble de données pourrait être utilisé. Tout indique que [**expurgé**] a reçu les [**expurgé**] en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada. [**expurgé**] considère comme de l’information visée à l’article 12 toute information communiquée et collectée par leur direction. Au moment de recevoir l’ensemble de données, [**expurgé**] n’était pas au courant des discussions qui avaient lieu au sein d’autres directions concernant la possibilité de demander à la Cour d’autoriser la conservation [**expurgé**] au moyen d’une autorisation judiciaire. [**expurgé**] a traité l’information comme elle le ferait pour toute autre information visée à l’article 12 et a effectué des recherches pour au moins deux des noms [**expurgé**] dans la base de données opérationnelle du SCRS, à savoir [**expurgé**]. Des résultats ont été obtenus pour l’un de ces deux noms.

L’OSSNR a d’abord été informé que ces recherches ne constituaient pas des interrogations dans la mesure où elles n’avaient pas été menées dans les [**expurgé**] et qu’elles constituaient plutôt des recherches, depuis [**expurgé**] de noms tirés [**expurgé**]. L’OSSNR a également appris que les recherches ne constituaient pas des interrogations, car elles n’avaient pas [traduction] « pour objet d’obtenir du renseignement » tel que le définit la Loi, puisque le résultat des recherches n’est pas consigné [**expurgé**]. Lors de ses discussions avec le SCRS, l’OSSNR a reçu des informations contradictoires qui montrent les incohérences et la confusion qui règnent en interne à ce sujet.

Dans la lettre de présentation qui accompagnait l’affidavit de l’autorisation judiciaire demandée à la Cour en lien avec un ensemble de données canadien, l’avocat indique que [traduction] « la collecte initiale et l’utilisation que le Service fait de cette information, tel qu’il est décrit dans l’affidavit, s’inscrit dans la portée [**expurgé**] du Service au titre [**expurgé**] ». Dans l’affidavit, le SCRS indique que [traduction « […] [**expurgé**] a vérifié si cette collecte d’information figurait déjà dans le fonds du Service et a estimé la valeur qu’elle pourrait avoir aux fins de ses enquêtes. Aucune recherche n’a été menée à des fins de renseignement […] ». Dans une ébauche antérieure de l’affidavit, le chef de la DMEX avait exprimé son souci à l’égard de ce libellé de la version préliminaire de l’affidavit.

Ce à quoi il ajoute que [traduction] « Nous avons déjà clairement indiqué que les ensembles de données étaient initialement collectés au titre des autorisations visées aux [**expurgé**]. Nous pouvons également affirmer que les vérifications ont été effectuées conformément à ces autorisations, jusqu’à ce que l’on ordonne immédiatement l’arrêt des vérifications une fois l’article 11 invoqué (tout est arrivé rapidement) ». L’OSSNR n’a pas été en mesure d’établir si la recherche des noms tirés de la liste a été effectuée dans le système opérationnel du SCRS dans le but de « vérifier » si [traduction] « la collecte d’information figurait déjà dans le fonds du Service ». Pendant que l’on examinait cette question, il devenait manifeste qu’il y avait une multiplicité d’opinions et nombre de propos contradictoires au sujet des mesures qui avaient été prises au moment de recevoir l’ensemble de données, mais aussi de ce qui semblait permissible aux yeux du SCRS, une fois que l’information d’un ensemble de données est collectée au titre de l’article 12.

Dans la décision qu’elle a rendue concernant l’autorisation, la Cour fédérale a conclu qu’il était raisonnable de collecter l’ensemble de données au titre de l’article 12 compte tenu des circonstances. Or, la Cour note que [traduction] « la décision d’invoquer le régime des ensembles de données et de demander l’approbation d’interroger l’information a été prise au titre des dispositions concernant les situations d’urgence énoncées à l’article 11.22 de la Loi ». On ne sait trop si la Cour était parfaitement au courant des incertitudes qui planaient quant à ce qui pouvait être fait de l’ensemble de données entre la collecte au titre de l’article 12 et le début du processus de conservation au titre du régime des ensembles de données. Le SCRS aurait dû informer pleinement la Cour de cette incertitude (y compris les propos contradictoires concernant la façon dont les données étaient ou pourrait être utilisées) pour que celle-ci puisse fournir des éclaircissements sur sa position quant aux conduites qui sont expressément permissibles avant l’invocation du régime des ensembles de données.

C’est particulièrement le cas depuis que la Cour, dans la décision qu’elle a rendue et les audiences de l’autorisation judiciaire, a fait part de ses préoccupations voulant que les catégories autorisées par le Ministre et approuvées par le CR aient été trop larges. En outre, la Cour a ajouté que [traduction] « l’une de ces catégories est si large que rien ne pourrait en être exclu ». Pourtant, le SCRS a assuré la Cour à quelques reprises que l’information avait été collectée au titre de l’article 11.05 et était protégée par les dispositions du régime; que cette information était défendue par des contrôles d’accès accrus; et que cette information ne pouvait être ni interrogée ni exploitée. Par conséquent, la Cour a été informée qu’en dépit de la vastité des catégories, le régime fournissait les limites nécessaires à la protection de la vie privée des Canadiens. Cette réponse minimise la mesure dans laquelle l’information de l’ensemble de données pourrait être utilisée pendant la période de tri. Encore une fois, cette discussion fournissait au SCRS l’occasion d’éprouver sur le plan juridique et devant la Cour la mise en oeuvre de son interprétation du régime des ensembles de données. Le SCRS aurait pu informer la Cour que ces mesures de protection ne seraient pas forcément en place au moment de collecter de l’information au titre de l’article 12, avant de se tourner vers le régime des ensembles de données pour en légitimer la conservation. Tout semble indiquer que le SCRS a choisi d’assumer cette incertitude sur le plan légal plutôt que de risquer que la Cour interprète le régime de façon contraignante.

Interrogation et conservation en situation d’urgence

Il convient de noter qu’une fois que le SCRS a enclenché le processus lié au régime des ensembles de données, l’ensemble de données pour lequel une autorisation judiciaire était demandée était visé par une autorisation et une approbation au titre de l’article 11.22 sur les situations urgentes. Le SCRS a demandé et reçu l’autorisation du directeur ainsi que l’approbation du CR pour l’interrogation des ensembles de données. Conformément aux exigences énoncées au paragraphe 11.13(2) de la Loi, le SCRS a inclus, dans sa demande d’autorisation judiciaire, le contenu de l’autorisation pour situation urgente, le résultat de l’interrogation autorisée et la description des mesures prises après l’obtention de ces résultats. Cette information a également été fournie à l’OSSNR comme le prescrit l’alinéa 11.25c) de la Loi.

L’interrogation du SCRS portait sur le nom [**expurgé**] Le SCRS a retenu [**expurgé**] correspondances partielles et les a signalées dans son système opérationnel au titre de l’article 12. En examinant les interrogations menées, l’OSSNR a trouvé que les recherches initiales ratissaient extrêmement large dans la mesure où de nombreuses [**expurgé**] de noms ont été recherchées suivant l’utilisation fréquente [**expurgé**] de et l’établissement d’un large éventail de date de naissances [**expurgé**].

Ces vastes recherches ont donné lieu à bon nombre de résultats correspondant aux éléments de la liste. Par exemple, [**expurgé**] étaient tous considérés par l’analyste du SCRS comme des résultats convenables pour une recherche faite à partir du [**expurgé**]. Ces noms ont ensuite fait l’objet de recherches dans [**expurgé**]. L’information provenant d’une interrogation en situation urgente peut être conservée si l’interrogation [traduction] « a été menée au titre de l’article 12 » suivant l’imposition du critère minimal de la mesure « strictement nécessaire » énoncé dans ce même article. Même s’il n’y a, dans [**expurgé**], aucun résultat correspondant intégralement à l’un des noms [**expurgé**] le SCRS a établi que cette absence dans le système opérationnel signifiait que lesdits noms ne pouvaient pas être éliminés en tant que [traduction] « candidats potentiels d’identification » et que [traduction] « en définitive, ces correspondances potentielles qui ne peuvent pas être exclues seront signalées au bureau et conservées au titre de l’article 12 aux fins d’enquête ». De même, s’il advenait que le nom [**expurgé**] soit trop commun pour l’éliminer d’emblée, le SCRS conservait ce nom en le considérant comme étant strictement nécessaire.

Les résultats d’interrogations inutilement larges n’ont pas répondu au critère minimal de la mesure strictement nécessaire aux fins de conservation. [**expurgé**]. En mars 2022, le SCRS a indiqué que [traduction] « [**expurgé**] a établi qu’il cesserait la démarche liée aux résultats (rapporté dans [**expurgé**]) sans de nouvelles informations » et que les [**expurgé**] résultats conservés avaient été [traduction] « intégralement copiés aux fins de rétention, au cas où l’ensemble de données serait détruit ». Or, les interrogations en situation d’urgence ne peuvent être utilisées ni pour contourner les obligations en matière de conservation qui s’appliquent au titre de l’article 12 ni en tant que moyen de conserver l’information en attente du résultat de la demande d’autorisation judiciaire.

Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.

Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.

Vide juridique dans le texte de loi

Conclusion no 5: L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS).

Le régime des ensembles de données a entraîné l’ajout de bon nombre de dispositions détaillées au texte de la Loi sur le SCRS. Or, malgré la complexité du régime, l’OSSNR y a remarqué des lacunes. Les dispositions de la Loi qui gouvernent les autorisations de conservation des ensembles de donnes étrangers ne prescrivent aucun délai que le ministre ou la personne désignée serait tenu de respecter s’agissant d’autoriser la conservation d’un ensemble de données étranger. Avant l’entrée en vigueur du régime des ensembles de données, le SCRS avait accumulé des volumes massifs de données qui n’étaient plus conformes aux stipulations du nouveau régime. Conséquemment, en vertu des dispositions transitoires du projet de loi C-59, on a reconnu la présence de cette information dont on a estimé qu’elle avait été collectée le 13 juillet 2019, conformément à l’arrêté en conseil. Le SCRS disposait ensuite de 90 jours pour évaluer les ensembles de données étrangers qu’il souhaitait conserver et pour établir s’il voulait évaluer les volumes massifs d’information canadienne aux fins d’une éventuelle demande d’autorisation judiciaire.

Le 11 octobre 2019, le SCRS a présenté au directeur dix demandes d’autorisation pour la conservation d’ensembles de données étrangers. La première autorisation visant un ensemble de données a été approuvée par le CR le 16 décembre 2020. Dans sa décision datant du 16 décembre 2020, le CR a formulé des recommandations concernant le contenu des autorisations. L’une de ces recommandations portait sur la mesure dans laquelle les ensembles de données collectés en [**expurgé**] pouvaient encore être en mesure d’aider le SCRS à exercer ses fonctions. Les [**expurgé**] autres ensembles de données qui avaient été soumis au directeur pour autorisation ont alors été modifiés de sorte à comporter l’information demandée par le CR. Ces modifications ont été ajoutées aux demandes, en annexe. En dépit du fait que ces modifications comprenaient de l’information déterminante concernant la façon dont les ensembles de données étaient toujours appelés à aider le SCRS dans l’exercice de ses fonctions, on n’a pas jugé bon de considérer les demandes modifiées comme de nouvelles demandes soumises au directeur. Au mois de décembre 2022, le SCRS n’avait soumis que deux autres demandes d’approbation au CR, pour un total de trois approbations en trois ans.

Le SCRS a affirmé qu’aucune échéance prévue par la loi n’empêchait le directeur d’avoir ces demandes pendant des années et qu’en raison de contraintes sur le plan des ressources, les modifications auraient pris encore plus de temps. Ce vide juridique a donné lieu à la création d’un mécanisme parallèle pour la conservation qui, normalement, est régie selon des règles strictes. Ainsi, le SCRS ne peut ni ingérer, ni interroger, ni exploiter les données tant que le CR n’a pas donné son approbation, mais le vide juridique aura permis au Service d’interroger lesdites données dans des situations urgentes conformément aux dispositions de l’article 11.22 de la Loi sur le SCRS.

De plus, le vide juridique faisant en sorte que la demande d’autorisation reste lettre morte devant le directeur pendant des années remet en question la façon dont le SCRS respectera le critère minimum de la « probabilité d’aider » qui est lié à l’utilité de ces ensembles de données. Or, il convient de noter qu’au mois d’avril 2023, l’ensemble de données approuvé en 2020 n’avait pas encore été interrogé, alors que celui qui a été approuvé en 2021 n’avait été interrogé qu’une [**expurgé**]. Le vide juridique a également été soulevé par le CR qui affirmait ce qui suit : [traduction] « Je ne suis pas convaincu que l’intention du législateur était de faire en sorte qu’il y ait de longs délais entre la soumission d’une demande du SCRS et la décision du directeur, lorsque celui-ci est appelé à autoriser la conservation d’un ensemble de données étranger ».

Recommendation 3: NSIRA recommends that Parliament legislates a time limitation for the authorization of a foreign dataset by the Minister or Minister’s designate.

Politiques du SCRS s’appliquant aux ensembles de données

Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée.

Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données.

Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la consigne provisoire [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.

Pendant le processus d’adoption du projet de loi C-59, le SCRS a exprimé, dans sa politique, son engagement à ne pas collecter des ensembles de données piratés ou volés. En outre, il a reconnu qu’il y aurait [traduction] « une attente beaucoup plus importante en matière de protection de la vie privée à l’égard de ces ensembles de données » et a ajouté que même si des adversaires avaient accès à cette information, le SCRS préférerait se soumettre à « des normes plus élevées ». Toutefois, le SCRS en est arrivé à éprouver des difficultés lorsqu’il s’est agi de mettre en oeuvre les dispositions de la Loi et d’harmoniser ses politiques et ses procédures avec cette même Loi.

L’OSSNR soulève quatre sources de préoccupations. En premier lieu, le centre stratégique pour les ensembles de données est la Direction de la gestion et de l’exploitation des données (DMEX), laquelle a été récemment restructurée et renommée [**expurgé**]. L’ensemble des politiques sur les ensembles de données [**expurgé**] comprend un certain nombre de politiques ayant trait à la reconnaissance, à la collecte et à la conservation des ensembles de données visés à l’article 11.01. Bien que l’engagement à ne pas collecter les ensembles de données volés, piratés ou fuités soit codifié dans [**expurgé**], il n’existe aucune exigence correspondante qui puisse garantir que l’information contenue dans les ensembles de données accessibles au public (EDAP) ne contient aucune information pouvant susciter une attente raisonnable en matière de protection de la vie privée. D’ailleurs, cette exigence est particulièrement pertinente lorsque l’on prend en compte non seulement le marché en forte expansion des données acquises par l’intermédiaire de courtiers en données, mais aussi les risques associés à l’achat d’information disponible dans le commerce, laquelle pourrait avoir été collectée illicitement par lesdits courtiers.

En deuxième lieu, comme il en a été question plus haut, le changement de position du SCRS quant à la relation entre les ensembles de données et quant à ses pouvoirs courants de collecte a donné lieu à des écarts entre l’information qui correspond à des ensembles de données au sens de l’article 11.01 et l’information qui peut être collectée au titre de l’article 12. L’interprétation que le SCRS fait de l’applicabilité du régime des ensembles de données a été revue en 2021, soit deux ans après que les politiques régissant les ensembles de données ont été créées. De fait, l’ensemble de politiques existant correspond davantage à la position que le SCRS avait initialement. Conséquemment, l’ensemble des politiques ne s’harmonise plus avec la position actuelle du SCRS quant à l’application du régime des ensembles de données (question abordée plus haut) ni avec la structure actuelle de la Direction de [**expurgé**].

En troisième lieu, la politique [**expurgé**] avait pour objet d’orienter et d’informer les employés sur le régime des ensembles de données. Elle a également attribué la responsabilité aux [traduction] « employés qui collectent l’ensemble de données » de sorte à établir correctement l’autorisation de collecte. Cela met en évidence l’importance de la formation reçue par les employés, comme en témoignent les propos ci-dessous.

En quatrième lieu, le SCRS a élaboré une consigne provisoire visant à soutenir sa collecte d’ensembles de données au titre de l’article 12. La mise en place de cette consigne coïncide avec la volte-face sur le plan de l’interprétation et de l’opérationnalisation du régime des ensembles de données, dont il a été question plus haut, à la section 4. La consigne permet la collecte d’information électronique dont on a estimé qu’elle avait trait à une menace, mais où les informations liées à la menace et celles qui n’ont aucun lien avec cette menace sont inextricablement amalgamées. Or, la consigne ne fournit aucune information quant à ce qui constitue des informations inextricablement amalgamées, mais en permet la conservation en vase clos jusqu’à [**expurgé**], avec possibilité de prolongation. L’information n’ayant aucun lien avec la menace aurait été assujettie au régime des ensembles de données, alors que la consigne ne donne aucune indication quant aux exigences du régime des ensembles de données concernant, notamment, la collecte et la relation avec la période d’évaluation de 90 jours stipulée par le régime. Concrètement, le SCRS ne dispose d’aucun registre central pour l’information temporaire, faisant ainsi en sorte que celle-ci est enregistrée dans les lecteurs réseau partagés de l’unité sans mesures centralisées de surveillance, de contrôle des accès ou d’audit. Dans ce cas, et compte tenu de l’important roulement de personnel, des lacunes en formation sur la consigne, de l’absence de centres de responsabilités clairement définis dans la politique et de la limite [**expurgé**] qui dépasse largement le délai des 90 jours énoncé dans le régime des ensembles de données, on assiste à la création d’une situation où le SCRS risque de conserver des dépôts d’information qui, par ailleurs, seraient assujettis au régime des ensembles de données.

Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.

Recommandation no 5 : L’OSSNR recommande que le SCRS produise :

  1. des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] , qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
  2. une politique régissant le traitement de l’information éphémère.

Gestion et conservation de l’information

Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service.

Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.

Conclusion no 11 : L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN, en juillet 2019.

Conclusion no 12 : L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur.

De 2018 à 2019, le SCRS a procédé à l’inventaire de ses fonds d’information de sorte à recenser l’information assujettie aux dispositions du régime des ensembles de données – donc à la supprimer – une fois que ce régime entrerait en vigueur. Le SCRS a reconnu plusieurs catégories de rapports opérationnels contenant de l’information collectée canadienne et étrangère, et a créé des mises en garde devant être insérées dans ces rapports pour indiquer que de l’information en avait été retirée.

Concernant les ensembles de données étrangers, la haute direction du SCRS a établi quels ensembles de données étrangers seraient soumis pour autorisation. Des analystes techniques ont mené un certain nombre d’exercices sur des ensembles de données étrangers pour mettre à l’épreuve leur aptitude à reconnaître et à extraire l’information canadienne, comme l’exige le régime des ensembles de données. Ces exercices ont donné lieu à la création de plusieurs [**expurgé**] contenant les données canadiennes extraites. Ces [**expurgé**] ont ensuite été [**expurgé**] lesquels ont été stockés dans le dépôt organisationnel du SCRS. Ce faisant, le SCRS a ainsi conservé des copies de données qui auraient dû être supprimées.

D’après le Service, cette reproduction est une exigence de la politique du SCRS s’appliquant à la gestion de l’information (voir l’annexe A). Par exemple, lorsque l’interrogation d’un ensemble de données a lieu, la politique du SCRS en matière de gestion de l’information exige que l’analyste joigne les résultats de cette interrogation à un rapport qui est ensuite enregistré dans le système opérationnel. Les analystes sont également tenus d’enregistrer une copie de ce rapport et des fichiers joints dans [**expurgé**], le dépôt organisationnel du SCRS. Il s’agit là d’éléments qui sont à l’origine des problèmes de conformité. De plus, ces problèmes rendent encore plus difficile la suppression de l’information lorsque des incidents de conformité ont lieu ou lorsque le SCRS a conservé de l’information qui n’est pas strictement nécessaire. Des exemples additionnels de duplication des données sont fournis en annexe A.

Le 5 septembre 2019, le SCRS a assuré le Ministre qu’il [traduction] « avait engagé d’importantes mesures pour garantir la conformité au cadre régissant les ensembles de données, lequel découlait du projet de loi C-59 et devait bientôt entrer en vigueur », et que [traduction] « en conséquence de cet exercice, nombre d’ensembles de données canadiens et étrangers ont été jugés comme ne respectant pas le critère permettant la conservation au titre de l’article 12 ou celui permettant la conservation suivant le critère minimal de la "probabilité d’aider" au titre du nouveau cadre des ensembles de données. Ces ensembles de données ont donc été détruits avant l’entrée en vigueur ». En septembre 2021, le SCRS a affirmé à l’OSSNR que tous les ensembles de données étrangers qui n’avaient pas été soumis au directeur pour autorisation avaient été détruits ».

En [**expurgé**], un ex-employé de la DMEX a découvert [**expurgé**] contenant un ensemble de données étranger qui avait été collecté avant l’entrée en vigueur du régime des ensembles de données et avait ensuite fait l’objet d’une demande d’autorisation ministérielle. [**expurgé**] contenait l’intégralité de l’ensemble de données dans son état d’avant l’évaluation, y compris de l’information canadienne. En [**expurgé**] un autre employé de la DMEX a découvert, dans un [**expurgé**] dont l’accès était réservé aux employés désignés, de l’information canadienne ayant été extraite d’ensembles de données étrangers. Ces documents contenaient de l’information canadienne et des échantillons d’information étrangère tirés de [**expurgé**] ensembles de données étrangers, dont [**expurgé**] étaient en attente d’une autorisation ministérielle, [**expurgé**] avait déjà été approuvé par le CR et ont été intégralement détruits avant l’entrée en vigueur du régime. Le SCRS a détruit cette information puisqu’elle était conservée illicitement.

Ces incidents ont incité la DMEX à réaliser un examen de dossiers [traduction] « afin d’établir les étapes qu’il conviendra de suivre en prévision de l’entrée en vigueur de la LSN ainsi que les correctifs qui pourraient s’imposer. Bien que des employés aient été chargés de supprimer les ensembles de données pour lesquels aucune autorisation de conservation ne serait demandée en vue de l’entrée en vigueur de la LSN en juillet 2019, aucune démarche n’a été engagée pour demander aux employés de repérer et détruire les autres copies d’ensembles de données et de retirer tout document canadien ou autre de ces ensembles de données avant l’entrée en vigueur de la LSN ou pendant la période d’évaluation de 90 jours qui devait suivre53 ». La DMEX a ensuite demandé aux employés de [traduction] « procéder à une recherche approfondie dans [**expurgé**] ». À la suite de ces recherches, on a trouvé une quantité importante d’information canadienne et étrangère, notamment, de l’information ayant trait à l’ensemble de données sur les [**expurgé**], dont il est question plus loin. La DMEX a signalé ces incidents de conformité à la Direction des examens et de la conformité du SCRS en lui soumettant un rapport d’enquête avec des documents à l’appui. Les observations finales du rapport indiquent qu’un effort « digne d’éloges » a été réalisé pour repérer les données résiduelles, bien qu’en [**expurgé**] ».

En octobre 2022, l’OSSNR a mené des recherches dans les registres organisationnels du SCRS et a trouvé [**expurgé**] dossiers contenant des dizaines de milliers d’entrées comportant des renseignements personnels canadiens tirés de [**expurgé**] ensembles de données étrangers, notamment, de l’information extraite d’ensembles de données qui ont été détruits, approuvés par le CR et en attente d’une autorisation. Les dossiers contenaient également de l’information étrangère. L’information canadienne avait été extraite dans le cadre de l’exercice visant à préparer l’entrée en vigueur de la Loi et aurait dû être détruite.

L’OSSNR a cherché à savoir pourquoi ces dossiers contenant de l’information canadienne principalement extraite à partir d’ensembles de données étrangers détruits se trouvaient toujours dans le registre organisationnel du SCRS et dans quelle mesure l’autorisation légale justifiant leur conservation était valide. Le SCRS n’a pas fourni d’explication valable pour expliquer la non-conformité à la loi. En l’occurrence, le Service a simplement indiqué que l’information faisait partie d’un projet en vue de l’entrée en vigueur du régime des ensembles de données et que :

[Traduction] « ces documents canadiens continuent d’exister dans le dossier enregistré [PA pour PutAway] même si les ensembles de données [**expurgé**] originaux ont tous été détruits ou isolés en attente d’une autorisation ministérielle. À cette époque, bien que contraires aux obligations actuelles (depuis juin 2019) au titre de l’article 11, ce travail et cette conservation auraient été exécutés en vertu (implicitement) des autorisations visées à l’article 12. Comme ce cas est antérieur à l’entrée en vigueur du cadre régissant les ensembles de données, nous ne savons pas précisément s’il pose un risque juridique ou un risque de conformité. [**expurgé**]

Le SCRS a indiqué que les documents avaient été conservés [traduction] « de façon appropriée, en cette période antérieure à C-59, au titre des autorisations implicites visées à l’article 1259 ». On ignore comment le SCRS établit la distinction entre l’information trouvée par l’OSSNR et celle – comme l’indique le paragraphe 55 plus haut – que la DMEX a découverte en [**expurgé**]. Au mois d’août 2023, l’information découverte par l’OSSNR en octobre 2022, laquelle contenait des données canadiennes et étrangères, était conservée par le SCRS en contravention aux obligations qui incombent au Service en vertu des dispositions de la Loi sur le SCRS pour ce qui touche les ensembles de données.

L’OSSNR a également cherché des rapports opérationnels qui, avant l’entrée en vigueur du régime des ensembles de données, avaient été reconnus comme comportant des informations s’assimilant à des ensembles de données canadiens. L’OSSNR a trouvé nombre de rapports dont l’information avait été supprimée et auxquels on avait ajouté une mise en garde. Toutefois, l’OSSNR a découvert [**expurgé**] rapport ayant trait à l’ensemble de données sur [**expurgé**], lequel contenait le [**expurgé**]. Il convient de noter que le rapport opérationnel en question n’a pas été mis à l’écart; il était plutôt accessible à tous les utilisateurs du système et a même été cité en référence dans un rapport produit récemment, soit en août 2022. En l’occurrence, il s’agit là de l’interrogation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.

L’OSSNR a demandé au SCRS de faire état des autorisations en vertu desquelles il conservait cette information. Le SCRS a d’abord répondu qu’il n’était pas en mesure de trouver le rapport, puisqu’il avait été détruit63. Peu après, le SCRS a indiqué qu’il avait trouvé ledit rapport et qu’il traitait le dossier en tant qu’incident de conformité64. En cherchant de nouveau dans le système opérationnel, l’OSSNR a découvert un autre rapport contenant [**expurgé**]. Les deux rapports découverts par l’OSSNR contenaient de l’information qui, par ailleurs, s’assimilerait à un ensemble de données canadien, [**expurgé**]. En conservant cette information canadienne, le SCRS contrevenait aux obligations légales qui lui incombaient en vertu des dispositions de la Loi sur le SCRS s’appliquant au régime des ensembles de données.

L’information non conforme trouvée par l’OSSNR (information canadienne et étrangère provenant d’ensembles de données étrangers; information canadienne figurant dans des rapports opérationnels) a été découverte après le balayage initial effectué antérieurement à C-59 par le SCRS sur les fonds d’information et signalé au Ministre, mais après la [traduction] « recherche approfondie dans tous les fonds d’information personnelle et partagée » effectuée en raison de l’incident de conformité de 2022. Le SCRS n’a pas balayé en profondeur tous ses systèmes pour relever l’information assujettie au régime des ensembles de données, de sorte que cette information soit traitée conformément aux dispositions en vigueur.

Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.

Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

Recommandation no 8 : L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.

Affectation des ressources et formation

Formation

Conclusion no 13 : L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation.

Conclusion no 14 : L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.

Avant l’entrée en vigueur de la LSN et, notamment, du régime des ensembles de données, le SCRS avait élaboré et mis en place une formation spécialisée pour les employés appelés à être désignés au titre du paragraphe 11.06(1) de la Loi sur le SCRS, ainsi qu’une formation obligatoire destinée à tous les employés de la sphère opérationnelle concernant le projet de loi C-59. Le SCRS avait également élaboré et offert un certain nombre de présentations aux directeurs adjoints, aux gestionnaires, au personnel des directions concernées, aux employés d’autres ministères fédéraux et au personnel juridique de la Cour fédérale. Cette série de formations et de présentations correspond à la position initiale du SCRS, dont nous avons discuté précédemment, concernant l’applicabilité du régime des ensembles de données.

Le SCRS offre actuellement deux formations obligatoires pour la désignation des employés. Ces formations mettent l’accent sur la distinction entre l’information « strictement nécessaire » au titre de l’article 12 et ce qui peut être collecté en respectant le critère minimal de la « probabilité d’aider » stipulée par le régime des ensembles de données. Les formations incitent l’employé à approfondir sa connaissance des procédures opérationnelles normalisées et des exigences liées au régime. La formation en ligne ne constitue possiblement pas la formule idéale, mais il faut savoir que les contenus de formation ainsi que la combinaison de questions axées sur les normes et sur les scénarios ont donné aux employés des instructions claires quant au régime et à ses exigences.

Comme il a été dit plus haut, le SCRS a aussi mis en place une formation obligatoire pour tout le personnel opérationnel. Le SCRS a conçu la majeure partie de la formation sur le régime des ensembles de données avant et immédiatement après l’entrée en vigueur de la LSN. Comme nous l’avons dit à la section 4 du présent rapport, on a noté un changement dans la façon dont le SCRS comprend ses obligations légales au titre du régime et dans la manière dont il perçoit et applique ces obligations. Par conséquent, la formation que le personnel opérationnel n’a été tenu de suivre qu’une seule fois en 2019 ne correspond plus et pourrait même s’avérer contraire à la façon dont le SCRS opérationnalise et applique désormais le régime.

De plus, le peu de formation qui est reçue par le personnel opérationnel ne permet pas aux responsables de la collecte d’établir quelles informations constituent un ensemble de données, bien qu’on les tienne responsables d’établir cette distinction. Conséquemment, les personnes qui travaillent à la collecte de volumes massifs d’information n’ont ni la formation ni la connaissance requises pour exercer leurs fonctions adéquatement.

Quant aux agents de renseignement, le SCRS a préparé une présentation sur le régime des ensembles de données devant faire partie du [**expurgé**] cette formation obligatoire offerte aux agents de renseignement au cours des premières années de carrière [**expurgé**] . À l’origine, lorsque le SCRS a instauré le programme de formation, les employés devaient travailler en groupes dans le cadre d’une série d’ateliers au cours desquels ils étaient appelés à reconnaître les caractéristiques des ensembles de données au sens de l’article 11.01, à savoir en quoi ceux-ci se distinguent des ensembles de données au sens de l’article 12 et à établir la correspondance entre les ensembles de données canadiens et ceux qui font partie des catégories approuvées. Cette formation a été offerte sous forme de cours dirigé par un instructeur jusqu’au mois de mars 2020, après quoi le SCRS a retiré la partie atelier à l’occasion d’une mise à jour du programme de formation, ce qui a éliminé de facto tous les sujets et les exercices axés sur des scénarios. Bien que le SCRS ait indiqué à l’OSSNR qu’il était en train de mettre le programme à jour, la formation actuellement offerte ne donne que peu d’éléments qui permettent aux responsables de la collecte d’établir la distinction entre les ensembles de données au sens de l’article 11.01 et l’information visée à l’article 12.

L’OSSNR conclut que l’approche selon laquelle le personnel concerné ne suit qu’une seule fois la formation sur les ensembles de données a fait en sorte que les employés disposent d’une connaissance et d’une compréhension lacunaires du régime des ensembles. Le SCRS devrait intensifier ses efforts ayant pour but de sensibiliser les responsables de la collecte aux exigences et aux particularités du régime des ensembles de données et encourager ces responsables à prendre contact avec la direction responsable de l’exploitation des données en cas de doute.

Recommandation no 9 : L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.

Affectation des ressources

Conclusion no 15 : L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.

Conclusion no 16 : L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données.

Lors d’examens réalisés antérieurement par l’OSSNR, on a constaté que les questions liées à la formation et à l’affectation des ressources se manifestaient fréquemment en même temps et avaient un lien avec l’engagement d’une organisation à l’égard d’un programme ou d’une direction en particulier. En avril et en novembre 2022, le SCRS a informé l’OSSNR que le Centre d’analyse des données opérationnelles (CADO) – qui faisait partie de la DMEX et était responsable de la mise en oeuvre technique du régime des ensembles de données, notamment de l’ingestion, de l’interrogation et de l’exploitation des ensembles de données – affichait des taux de vacance de [**expurgé**] respectivement.

En 2020, aucun employé n’a été désigné pour l’interrogation ou l’exploitation des ensembles de données malgré l’autorisation et l’approbation du premier ensemble de données étranger. L’approche que le SCRS préconise pour veiller à disposer de personnes qui ont été désignées et juridiquement aptes à interroger et exploiter l’information était principalement réactive. Dans un rapport de vérification de 2020 remis à l’OSSNR, le SCRS indiquait que le premier ensemble de données étranger avait été autorisé par le directeur et approuvé par le CR, quoique [traduction] « il n’y avait aucun employé qui ait été désigné pour les interrogations d’exploitation des ensembles de données canadiens ou étrangers au titre de l’article 11.

Conséquemment, aucune interrogation ni aucune exploitation » de l’ensemble de données n’a eu lieu. Le fait que le SCRS a envoyé sa première autorisation au CR sans avoir affecté de ressources à sa sous-section spécialisée et sans avoir permis à celle-ci de mener les interrogations et les exploitations potentiellement requises sur les ensembles de données est assez révélateur [**expurgé**] ans se sont écoulés avant que le SCRS soit en mesure de désigner un employé pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens. Hormis les interrogations menées en vertu de situations urgentes, aucune autre interrogation n’a été effectuée en 2021.

En novembre 2022, le SCRS a fait part de ses préoccupations voulant que la période d’évaluation de 90 jours stipulée dans la Loi soit trop contraignante et qu’elle ait souvent fait manquer des occasions de procéder à des collectes d’information. [**expurgé**]. Au fil de la discussion, l’OSSNR a appris [**expurgé**]. De même, en 2023, l’OSSNR a de nouveau appris que le SCRS n’avait pas été en mesure de composer en fonction des paramètres stipulés par la loi en vigueur. En l’occurrence, le SCRS pouvait compter sur un surcroît de ressources qu’il a pourtant choisi d’affecter à la collecte au titre de [**expurgé**] plutôt qu’à l’application du régime des ensembles de données.

Or, il faut savoir qu’aux difficultés liées à l’affectation des ressources s’ajoutent celles qui ont trait à l’actuel écosystème technique du SCRS. Le cycle de vie d’un ensemble de données fait intervenir une diversité d’outils et de systèmes numériques, [**expurgé**]. De plus, ces outils et systèmes ne peuvent être personnalisés et entretenus que par du personnel spécialisé dans un domaine technique. L’accumulation de ces facteurs a donné lieu à une situation où les employés de la DMEX ne disposent que d’un nombre limité d’options lorsqu’il s’agit d’exploiter les données, ce qui a une incidence sur l’utilité des trois catégories d’ensemble de données. D’après les séances d’information et les démonstrations fournies par des d’experts techniques, il apparaît évident que les systèmes actuels ne sont pas conçus pour que les volumes massifs de données soient traités conformément aux prescriptions.

Recommandation no 10 : L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.

Recommandation no 11 : L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.

Étude de cas : [**expurgé**]

Conclusion no 17 : L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires.

Renseignements généraux

[**expurgé**]

[**expurgé**]

Le [**expurgé**], le SCRS a envoyé un mémoire au Bureau du Conseil privé et à Sécurité publique faisant état de l’information contenue dans [**expurgé**]

CSIS [**redacted**]. The brief discusses the possibility of collecting the dataset under section 11, utilizing the 90-day evaluation period to assess whether it is a publicly available or Canadian dataset, and “if retaining and using the dataset for analysis will help ensure the security of Canada.”

The following day, [**redacted**].

[**expurgé**] le directeur général de la Direction de la gestion et de l’exploitation des données ainsi que le directeur général [**expurgé**] ont corédigé un mémoire présenté à la sous-directrice des Opérations (SDO) pour demander l’autorisation de collecter [**expurgé**] au titre de l’article 12 de la Loi sur le SCRS. Le mémoire contient un résumé de [**expurgé**] Le mémoire fait état des préoccupations exprimées par [**expurgé**] concernant [**expurgé**]

Certes, le mémoire fait part du contenu de l’ensemble de données tel qu’il est décrit [**expurgé**] mais en revanche, il omet de mentionner que [**expurgé**] permis de conclure que la base de données [**expurgé**] probablement été volées.

À la réception du mémoire, la SDO a demandé [**expurgé**] ». Dans sa réponse, la SDO exprime ses réserves en expliquant que [**expurgé**] trouvé aucun indice montrant que [**expurgé**]. En outre, la SDO a indiqué qu’elle admettrait volontiers que l’information [traduction] « pourrait en effet faciliter » le déroulement de l’enquête du SCRS, mais aussi que même si aucun indice ne prouve qu’il y aurait [**expurgé**] [traduction] « il est plus probable qu’improbable » qu’il s’agit là du type d’information qui [traduction] « susciterait [**expurgé**] intérêt ». C’est [**expurgé**] que la SDO a approuvé la collecte au titre de l’article 12. C’est ensuite, [**expurgé**] que le SCRS a reçu [**expurgé**] puis ingéré [**expurgé**] canadienne [**expurgé**]. .

[**expurgé**] On ne sait trop comment cette évaluation a été réalisée. En l’occurrence, elle ne correspond pas à l’analyse que le SCRS a faite de [**expurgé**], laquelle avait servi à préparer un rapport de cas que le SCRS a communiqué à des partenaires gouvernementaux. En outre, le rapport stipule que [traduction] « la part de l’ensemble de données qui a trait à des Canadiens semble [**expurgé**] ». D’ailleurs, le mémoire indique que [traduction] [**expurgé**] ». Or, il convient de noter qu’après la communication du mémoire d’analyse de cas, le SCRS n’a réalisé aucune autre analyse de renseignement ni aucun rapport concernant l’ensemble de données.

Analyse

Lorsque le SCRS a appris l’existence [**expurgé**], les discussions se sont initialement concentrées sur la collecte potentielle d’information au titre du régime des ensembles de données et sur la période d’évaluation de 90 jours en vue d’établir la portée de l’ensemble de données et de savoir s’il s’agissait d’un ensemble de données canadien, étranger ou accessible au public. Or, l’OSSNR ne sait toujours rien du pourquoi ni du comment la discussion a fini par se concentrer plutôt sur la collecte au titre de l’article 12.

Au moment de la collecte, le SCRS ne disposait que d’une information limitée qui, de surcroît, comportait des éléments contradictoires. [**expurgé**] Malheureusement, cette information n’a pas été présentée dans son intégralité à la SDO, lorsqu’il s’est agi de demander une approbation pour la collecte au titre de l’article 12.

L’article 12 de la Loi sur le SCRS stipule que « [l]e Service recueille, au moyen d’enquêtes ou autrement, dans la mesure strictement nécessaire, et analyse et conserve les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu’elles constituent des menaces envers la sécurité du Canada ». Le critère minimal à respecter est le motif raisonnable de soupçonner. Or, la Cour suprême du Canada a défini la norme des « soupçons raisonnables » comme étant « plus que de simples soupçons, mais ils ne correspondent pas à une croyance fondée sur des motifs raisonnables et probables. » Il s’agit « d’une norme solide, qui appelle la prise en compte de l’ensemble des circonstances, en fonction de faits objectivement vérifiables ».

En appliquant au présent cas la jurisprudence de la Cour suprême du Canada qui s’appuie sur la norme des soupçons raisonnables, le SCRS n’a fourni ni preuve ni renseignement pouvant montrer que l’information [**expurgé**] . Dans son outil d’analyse, [**expurgé**]. Or, l’OSSNR n’a trouvé aucune preuve étayant cette affirmation au moment de la collecte, et le SCRS n’a pas été en mesure d’exposer le raisonnement qui l’a conduit à cette conclusion. C’est donc dire qu’il n’y avait aucun signe évident pour soutenir la thèse selon laquelle l’ensemble de données était effectivement lié à une menace envers la sécurité du Canada. En effet, les explications fournies par le SCRS à l’OSSNR ainsi que les documents écrits mettent plutôt l’accent sur l’utilité potentielle de l’information [**expurgé**].

Pour sa part, le SCRS n’a réalisé aucune évaluation préliminaire de l’ensemble de données, puisqu’il n’y avait pas accès. [**expurgé**] disait [**expurgé**] probablement été « volées ». Or, aucune analyse ne s’est penchée ni sur l’incidence de la collecte sur la vie privée ni sur la question à savoir si la collecte de l’ensemble de données au titre de l’article 12 aurait pu nécessiter la délivrance d’un mandat.

Au moment de collecter l’information, le SCRS a analysé l’ensemble de données. Or, il convient de rappeler que cette intervention se résume à une exploitation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.

[**expurgé**] la Direction de la gestion et de l’exploitation des données a fait appel [**expurgé**] pour en savoir davantage quant à la conservation de l’ensemble de données par rapport aux exigences de la politique.

[**expurgé**] ». Or, cette déclaration prend le contrepied de l’évaluation que le SCRS avait lui-même faite de l’ensemble de données, laquelle indiquait que [traduction] [**expurgé**] ». Ensuite, il justifie la conservation en notant que [traduction] [**expurgé**].

Il suffit de consulter un dictionnaire pour constater que les mots « strictement nécessaire » énoncés à l’article 12 de la Loi sur le SCRS disent que l’information doit être « absolument » « indispensable ». Toutefois, dans sa justification, le SCRS n’a pas montré de quelle façon l’information contenue dans l’ensemble de données s’avérait indispensable à son enquête. On offre plutôt un argument du type « au cas où » qui signifie qu’il est important de conserver l’information dans la mesure où elle pourrait éventuellement servir à effectuer des analyses de tendance en matière de ciblage. En définitive, cette justification peut très bien répondre à un critère de type « pourrait probablement aider », mais ne répond absolument pas au critère de la mesure strictement nécessaire.

Le SCRS a avisé l’OSSNR que [**expurgé**] aucune décision n’avait été prise concernant la conservation de l’ensemble de données. L’OSSNR a également appris que s’il advenait qu’un autre ensemble de données pertinent ou de l’information connexe devaient se présenter, [**expurgé**]. L’ensemble de données est actuellement enregistré dans un lecteur réseau partagé dont l’accès est contrôlé. Toutefois, aucune mesure n’a été mise en place pour empêcher qu’il soit copié ou déplacé vers un autre emplacement.

Recommandation no 12 : L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.

Conclusion

Dans la version classifiée de son Rapport annuel destiné au Ministre, le SCRS a indiqué ce qui suit : « Les obstacles relatifs tant aux demandes habituelles qu’aux demandes présentées en situation d’urgence mènent à une conclusion claire : le régime sous sa forme actuelle ne permet pas de gérer, dans toute sa diversité, la quantité de données nécessaires à l’établissement d’un programme d’analyse rigoureux et durable dans le respect des mesures de contrôle et de surveillance prévues par le législateur. »

Ayant pris une part considérable dans l’élaboration du régime, le SCRS était bien placé pour élaborer les politiques et les procédures appelées à régir la collecte, l’évaluation, l’interrogation, l’exploitation et la vérification des ensembles de données. Or, l’OSSNR s’attendait à trouver une application du régime des ensembles de données qui soit mieux établie et plus conforme.

Tel qu’il a été indiqué dans le présent rapport, le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. Certes, le régime est complexe, mais le SCRS n’a pas cherché à apporter des éclaircissements quant aux ambiguïtés juridiques [**expurgé**] de l’application du régime à la Cour lorsqu’il en a eu l’occasion. En l’occurrence, le SCRS a adopté divers points de vue quant à l’application du régime des ensembles de données, risquant ainsi de réduire à un simple mécanisme de conservation ce qui en réalité constitue un régime de collecte et de conservation. En interne, le SCRS n’a pas consacré suffisamment de ressources pour garantir la conformité aux dispositions du régime. Ce constat est en outre des incidents de conformité signalés dans le présent rapport et prend en compte les lacunes sur le plan des systèmes et le manque d’experts consacrés au traitement et à l’exploitation des volumes massifs de données. Le SCRS n’a pas non plus été en mesure d’affecter des ressources adéquates aux formations destinées à ses employés pour les sensibiliser aux exigences découlant du régime. Sans une formation appropriée et en l’absence d’un engagement interne à fournir les ressources et le soutien nécessaires, l’instauration d’un nouveau régime, y compris celui qui nous concerne ici, sera vouée à l’échec même si d’aucuns l’estiment parfaitement adapté aux circonstances.

Recommandation no 13 : L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.

ANNEXE A : Considérations d’ordre technique liées au cycle de vie des ensembles de données canadiens et étrangers

La présente annexe décrit les processus techniques et les systèmes investis dans l’identification, la collecte, l’évaluation, la conservation, l’interrogation, l’exploitation, l’ingestion et la destruction des ensembles de données au titre de l’article 11.01. De fait, le SCRS a recours à des processus et à des systèmes semblables pour tous les ensembles de données canadiens et étrangers. La description des processus techniques et systèmes que nous présentons ci-après et qui a trait au cycle de vie des ensembles de données au titre de l’article 11.01 s’inspire des séances d’information offertes par le SCRS le 12 mai 2022 et le 3 octobre 2022116, d’une démonstration technique présentée le 1er novembre 2022 ainsi que de l’ensemble des politiques régissant la collecte, l’évaluation et la conservation des ensembles de données au titre de l’article 11.01. En outre, la présente annexe a pour objet de présenter les processus et les systèmes qui ont été employés jusqu’à la fin de la période visée par le présent examen.

Comme la notion d’ensemble de données est définie à l’article 2 de la Loi sur le SCRS comme étant un « ensemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun », on ne peut que conclure que la portée et l’étendue de ce qui constitue un « ensemble de données » sont considérables. Certains des défis techniques que le SCRS a rencontrés relativement aux ensembles de données tiennent à la diversité des types de données [**expurgé**] et des volumes de fichiers [**expurgé**] qui composent un « ensemble de données ».

Le SCRS reconnaît que [traduction] « même s’ils sont complets, ces systèmes complexes posent certains risques résiduels. En outre, ils sont exploités manuellement, ils sont exigeants en termes de ressources et ils peuvent produire des erreurs. Par conséquent, ils reflètent la complexité du régime des ensembles de données et offrent peu sur le plan de la résilience et de l’adaptabilité ».

Reconnaissance et collecte

Les ensembles de données au titre de l’article 11.01 peuvent être reconnus et recueillis de diverses façons. Par exemple, les employés du Service peuvent recevoir des ensembles de données de la part de partenaires nationaux et internationaux ou d’informateurs dans des courriels, dans des clés USB, dans des disques durs externes ou dans d’autres supports de stockage de données. Les employés du SCRS peuvent [**expurgé**] tomber sur un ensemble de données pendant qu’ils font des recherches dans l’Internet [**expurgé**]. Ces divers processus impliquent une multiplicité de processus techniques et de systèmes dépendamment des moyens ayant permis la reconnaissance et la collecte des ensembles de données, de l’emplacement de ces ensembles, et des personnes dont les renseignements figurent dans les ensembles en question.

Évaluation

La DMEX a centralisé le processus d’évaluation des ensembles de données au titre de l’article 11.01. En outre, l’un des employés désignés de la DMEX doit évaluer l’ensemble de données dans les 90 jours de la collecte initiale. Pendant ces 90 jours, un employé désigné doit établir si l’ensemble de données répond aux critères de conservation s’appliquant aux ensembles de données canadiens ou aux ensembles de données étrangers. Les processus techniques et les systèmes impliqués dans la phase d’évaluation peuvent varier en fonction du format, de la taille et de l’emplacement de l’ensemble de données.[**expurgé**] Chaque ensemble de données doit être évalué au moyen de techniques et d’outils adaptés à ces caractéristiques. Lorsque le SCRS collecte plusieurs versions d’un même ensemble de données, la DMEX doit veiller à ce que toutes les autres copies de l’ensemble de données aient été supprimées des systèmes du Service.

Lorsque le résultat d’évaluation incite la DMEX à tenter de conserver un ensemble de données canadien ou étranger, le SCRS doit soumettre une demande d’approbation et une demande d’autorisation123. Les systèmes et les programmes employés pour préparer le matériel qu’il faut soumettre aux fins d’approbation et d’autorisation donnent souvent lieu à la création d’une documentation substantielle (p. ex. mémoires, notes d’information et affidavits préparés à l’aide des logiciels Word ou Excel de Microsoft) qui sert à décrire les ensembles de données. Dans certains cas, les copies ou les sous-ensembles d’information issus des ensembles de données sont inclus dans le matériel soumis pour approbation et pour autorisation.

Pour gérer et suivre le processus d’évaluation d’un ensemble de données, [**expurgé**], un système d’enregistrement et de suivi des demandes (tickets). Pour chacun des ensembles de données évalués, la DMEX [**expurgé**].

Conservation et ingestion

Une fois que la conservation d’un ensemble de données canadien ou étranger a été approuvée, cet ensemble est ingéré dans le [**expurgé**], le dont le SCRS [**expurgé**]. au SCRS de stocker et combiner ses informations opérationnelles et ses ensembles de données, d’appliquer des contrôles de l’accès à ces informations et d’exécuter toutes les tâches de journalisation de sécurité requises.

L’accès à l’information ingérée [**expurgé**] est contrôlé au moyen d’attributs qui établissent des liens entre ladite information et [**expurgé**] du SCRS. [**expurgé**] pour les employés désignés qui évaluent un ensemble de données et [**expurgé**] pour les employés désignés appelés à interroger et à exploiter les ensembles de données conservés. Nul autre employé ne peut accéder aux ensembles de données.

Lorsque des employés accèdent aux ensembles de données, le SCRS emploie [**expurgé**] pour collecter et indexer de l’information sur les tâches qu’ils exécutent. Le SCRS [**expurgé**].

Interrogation et exploitation

[**figure expurgée**]

Figure 1: Logique des [**expurgé**] pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens

Seuls les employés désignés peuvent interroger et exploiter les ensembles de données canadiens ou étrangers, et la DMEX a centralisé ces processus. Lorsqu’il souhaite interroger un ensemble de données au titre de l’article 11.01 en guise d’appui à une enquête, l’employé du Service doit soumettre à la DMEX [**expurgé**]. Parallèlement à cette demande, [**expurgé**]. L’information fournie dans chacun des [**expurgé**] sert notamment à choisir la justification qui s’impose lorsqu’un analyste désigné de la DMEX applique les mesures d’interrogation ou d’exploitation par l’intermédiaire [**expurgé**].

Lorsque l’analyste de la DMEX trouve des résultats à la suite des interrogations ou des exploitations, il enregistre [**expurgé**]. Il doit ensuite prendre contact, [**expurgé**]. Cette série de procédures manuelles crée plusieurs copies de données brutes provenant des ensembles de données, lesquelles copies peuvent être conservées accidentellement sur le poste de travail d’un employé du Service ou dans l’un de ses courriels envoyés ou reçus.

Les données sont cloisonnées (art. 12, art. 15, art. 16, art. 17) selon [**expurgé**] de l’enquête et conservées conformément aux règles correspondantes du [**expurgé**].

[**expurgé**], le registre organisationnel du SCRS. Cette démarche mène de nouveau à la duplication, dans l’écosystème du SCRS, de données brutes provenant d’ensembles de données au titre de l’article 11.01.

Destruction

Lorsqu’ils sont initialement ingérés dans [**expurgé**] les ensembles de données sont assujettis à une période de conservation établie selon que ces ensembles de données sont canadiens ou étrangers. Une fois que la période de conservation est échue, [**expurgé**].

ANNEXE B : Séances d’information et entrevues

Date Sujet
Séance d’information
17 février 2021 Ensembles de données accessibles au public.
9 septembre 2021 Ensembles de données étrangers.
22 avril 2022 Régime des ensembles de données du SCRS.
12 mai 2022 [**expurgé**] l’évaluation, l’interrogation, l’exploitation et la conservation des ensembles de données canadiens et étrangers ainsi qu’à la production de rapports connexes.
3 octobre 2022 [**expurgé**]
1er novembre 2022 Démonstration technique sur les systèmes liés aux ensembles de données.
[**expurgé**] Séance d’information sur une étude de cas.
6 juin 2023 [**expurgé**]
Entrevue
18 août 2022 Ensemble de données canadien.
6 septembre 2022 Ensemble de données canadien.
14 octobre 2022 Ensemble de données canadien.
21 octobre 2022 Ensemble de données canadien.

ANNEXE C : Conclusions et recommandations

Conclusion no1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif. Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.
Conclusion no2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
Conclusion no3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.
Conclusion no4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12. Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.
Conclusion no 5 : L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS). Recommandation no 3 : L’OSSNR recommande que le législateur légifère sur un délai prescrit pour l’autorisation d’un ensemble de données étranger par le Ministre ou la personne désignée.
Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée. Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.
Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données. Recommandation no 5 : L’OSSNR recommande que le SCRS élabore :
  • des lignes directrices concernant la mise en application de la section 6 de la consigne provisoire [**expurgé**] qui feront état de la façon dont ladite consigne sera conciliée avec la période d’évaluation de 90 jours prévue par le régime des ensembles de données;
  • une politique régissant le traitement de l’information éphémère.
Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service. Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.
Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données. Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Finding 11: L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN (2017), en juillet 2019.
Finding 12: L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur. Recommendation 8: L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.
Finding 13: L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation. Recommendation 9: L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.
Finding 14: L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.
Finding 15: L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. Recommendation 10: L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Finding 16: L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données. Recommendation 11: L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.
Finding 17: L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires. Recommendation 12: L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Recommendation 13: L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.

Share this page
Date de modification :

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes

Examens Terminés

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes


Date de publication :

Sommaire

Le présent examen s’est penché sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC), notamment, sur la façon dont les recherches axées sur les technologies de l’information (TI) ont été menées pour appuyer les enquêtes de contre-ingérence (CI). L’examen a permis d’établir si les recherches axées sur les TI et la collecte d’information ayant pour objet d’appuyer les enquêtes de CI avaient porté atteinte à l’attente raisonnable qu’une personne peut avoir en matière de respect de la vie privée.

En cours d’examen, l’OSSNR a reconnu trois (3) aspects qui semblent préoccupants s’agissant des demandes et des activités de recherche de renseignements de CI axées sur les réseaux informatiques. En l’occurrence, ces demandes et ces activités se divisent en trois catégories : 1) les recherches de l’UNCIFC visant les courriels d’un sujet ainsi que les activités de celui-ci dans Internet ou sur des supports amovibles; 2) la liste de vérification que l’UNCIFC emploie pour reconnaître, mais aussi pour restreindre les paramètres de recherche ainsi que pour établir la façon dont les intervenants concernés définissent lesdits paramètres de recherche; et 3) la façon dont l’acquisition d’information est exploitée pour étendre la portée de recherches ultérieures.

Les employés du MDN ainsi que les militaires des FAC peuvent raisonnablement s’attendre à ce que leur vie privée soit protégée lorsqu’ils se servent des ressources informatiques à des fins personnelles. [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]. De fait, l’OSSNR conclut que l’UNCIFC pourrait tenir erronément pour acquis que les politiques du MDN/FAC autorisent légalement les mesures contraires à l’attente raisonnable qu’un sujet peut avoir en matière de protection de la vie privée.

L’OSSNR a noté que la liste de vérification introduisait le risque de capter des renseignements personnels, voire intimes qui sont constitutifs du coeur des renseignements biographiques d’un sujet. En l’occurrence, l’OSSNR estime que l’application de la liste de vérification pose un risque de captation de renseignements censés être protégés au titre de l’article 8 de la Charte canadienne des droits et libertés (la Charte). L’OSSNR est également d’avis que le MDN/FAC s’appuie sur une définition de la notion de métadonnées qui englobe les renseignements par rapport auxquels on serait pourtant en droit d’avoir des attentes raisonnables en matière de respect de la vie privée.

L’OSSNR a également noté que l’UNCIFC effectuait ses recherches axées sur les TI en fonction de paramètres suffisamment généraux pour correspondre à des informations qui pourraient n’avoir aucun lien avec l’enquête à mener. En outre, ces paramètres étaient appliqués suivant des approbations générales ne faisant état d’aucun contrôle interne particulier ni d’aucun suivi sur le plan des opérations ou au niveau des opérateurs. Compte tenu, entre autres, des limites caractérisant les outils de vérification des TI et de la sélection de paramètres de recherche généraux, force est de constater que les techniques de collecte finissent par ratisser trop large. D’ailleurs, l’OSSNR conclut que les pratiques d’enquête exercées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**] que lesdites pratiques ne sont pas assujetties à un encadrement qui permette de garantir le plus faible niveau d’intrusion possible.

En conséquence de ces conclusions, l’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête visant les systèmes de TI dans le contexte d’enquête de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi. De plus, une fois qu’un fondement juridique aura été posé, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde auxdites conclusions.

Dans la foulée de son Rapport annuel 2020 de l’OSSNR – lequel mettait l’accent sur l’adoption d’une approche visant à « faire confiance, mais [aussi à] vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR a travaillé avec le MDN/FAC pour concevoir une démarche favorisant les « accès par la voie d’un intermédiaire » (proxy access), c’est-à-dire une approche faisant intervenir un intermédiaire issu du ministère, qui accéderait aux dépôts d’information en présence d’un membre du personnel de l’OSSNR et qui pourrait examiner les informations pertinentes qui se trouvent dans le système. Le MDN/FAC s’est dit d’accord, en principe, avec ce type d’accès. Toutefois, compte tenu de la disparité des nombreuses bases de données pouvant se prêter aux recherches de CI, il y avait lieu de conclure que cette initiative ne pourrait pas être mise en oeuvre pendant le déroulement du présent examen. Néanmoins, l’information fournie par le MDN/FAC a été vérifiée en toute indépendance par l’OSSNR, par le biais d’une analyse documentaire et de réunions avec les experts du MDN/FAC. Des travaux collaboratifs sont toujours en cours afin de poursuivre l’élaboration d’un modèle d’accès devant s’appliquer à la vérification indépendante de divers type d’information.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées à l’alinéa 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Mise en contexte de l’examen

En juillet 2019, est entrée en vigueur la Loi sur l’OSSNR qui prévoyait la création de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR). En outre, le mandat organisationnel chargeait l’OSSNR d’examiner un vaste éventail d’activités réalisées dans l’ensemble du gouvernement du Canada, plus particulièrement dans la sphère de la sécurité nationale ou du renseignement, ce qui comprend les activités menées par le ministère de la Défense nationale et par les Forces armées canadiennes (MDN/FAC).

C’est en 2020 que l’OSSNR a réalisé son premier examen visant le MDN/FAC, examen qui s’est concentré sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC). Pendant cet examen, on a relevé deux (2) problèmes de conformité possibles, ce qui a incité les membres de l’OSSNR à approuver la tenue d’un nouvel examen en 2021.

Les problèmes devant faire l’objet d’un examen ultérieur étaient les suivants :

  • une pratique de l’UNCIFC, du sous-ministre adjoint, Gestion de l’information (SMA-GI) et du MDN/FAC consistant à demander de l’information devant être collectée grâce à des recherches effectuées dans les systèmes de technologie de l’information du MDN/FAC, et ce, en guise d’appui à des enquêtes de contre-ingérence (CI);
  • une entrevue réalisée avec un sujet en 2014 [**contient de l’information opérationnelle du MDN/FAC**]

Recherches visant les systèmes de TI

Le présent examen a évalué, en termes juridiques et techniques, la façon dont les recherches axées sur les TI étaient utilisées dans le cadre d’enquêtes de CI. L’examen s’est également penché sur les structures de reddition de comptes qui orientent l’acquisition d’information et de données.

Pendant le présent examen, l’OSSNR a analysé toutes les ressources dont il disposait : les documents matériels et électroniques, les dossiers d’enquête, la correspondance, les bases de données informatisées et les autres fonds d’information ayant trait aux opérations et aux enquêtes, de même que les politiques, les procédures et les conseils juridiques applicables. En outre, cette analyse a permis de vérifier le degré de conformité des activités aux exigences juridiques, ministérielles et stratégiques. Par ailleurs, on a échangé avec des gestionnaires et des officiers, mais aussi avec d’autres membres du personnel du MDN/FAC à l’occasion de présentations, d’entrevues et de réunions.

Pendant l’analyse d’un certain nombre de dossiers d’enquête choisis, l’examen a eu pour objet d’établir si les recherches axées sur les TI et les mesures de collecte d’information menées aux fins d’enquêtes de CI avaient enfreint, en l’occurrence, le principe d’attente raisonnable en matière de respect de la vie privée. De fait, suivant un examen rigoureux, l’OSSNR a tenté de savoir si les recherches menées à des fins d’enquêtes de contre-ingérence (CI) posaient le risque de capter des renseignements personnels qui soient révélateurs, voire intimes et qui pourraient être constitutifs du coeur de la biographie d’un utilisateur. Au Canada, la Constitution accorde à chaque personne le droit de s’attendre à ce que l’État respecte sa vie privée lorsque cet État est appelé à traiter des renseignements personnels qui s’avèrent significatifs, intimes et qui ont trait à l’ensemble des renseignements biographiques, ce qui inclut les renseignements personnels d’un utilisateur qui sont enregistrés dans le matériel informatique du lieu de travail.

L’OSSNR a sélectionné un échantillon de demandes de recherches axées sur les systèmes de TI, qui ont été soumises à l’UNCIFC. À partir de cet échantillon, l’OSSNR devait établir si l’UNCIFC, dans le cadre desdites recherches, s’était conformée aux lois et aux directives du ministre ainsi qu’aux directives, politiques et procédures établies en interne, et si elle avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

L’examen a porté sur un éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier d’actualité [**expurgé**] dont le niveau était élevé (niveau 3). En l’occurrence, il s’agissait d’illustrer les pratiques de l’UNCIFC et du SMA (GI) lorsque des recherches étaient menées dans les systèmes de TI (prière de consulter l’appendice 1 pour en connaître davantage sur ce dossier d’enquête). À travers le prisme de [**expurgé**] , l’OSSNR a tenté d’établir si l’UNCIFC et le SMA (GI) avaient agi contrairement à l’attente raisonnable de personnes en matière de respect de la vie privée pendant le déroulement des enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction des Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Entrevue avec un sujet

L’OSSNR a également réalisé un examen approfondi de l’entrevue que l’UNCIFC a réalisée avec un sujet en 2014. En l’occurrence, il s’agissait de comprendre ce qui avait mené à ladite entrevue, ce qui avait eu lieu en cours d’entrevue, les conséquences possibles de l’entrevue ainsi que la réaction du MDN/FAC après l’incident. L’OSSNR a examiné le dossier d’enquête de l’UNCIFC et en a vérifié le degré de conformité aux lois, aux directives ministérielles et aux politiques applicables. L’OSSNR s’est également penché sur les conseils juridiques formulés par le Cabinet du Juge-avocat général (Cabinet du JAG) et le Conseiller juridique des Forces canadiennes (CJFC).

L’examen de l’OSSNR a eu directement pour effet d’amener le Commandement du renseignement des Forces canadiennes (COMRENSFC) à émettre, le 9 septembre 2021, une directive [**contient de l’information opérationnelle du MDN/FAC**].

De l’avis de l’OSSNR, ces mesures ont répondu aux préoccupations initiales découlant de l’entrevue (avec un sujet) de 2014, dont il a été question précédemment. En conséquence, l’OSSNR a suspendu toute nouvelle enquête dans ce dossier. Or, l’OSSNR pourrait très bien décider de réexaminer cette pratique d’enquête à l’occasion d’examens à venir, une fois que la directive fonctionnelle aura été mise à jour par le COMRENSFC.

Contexte historique de l’UNCIFC

Depuis 1997, les fonctions de contre-ingérence et de sécurité exercées au sein du MDN/FAC ont subi de multiples transformations visant à réaliser des gains d’efficacité et à éliminer les conflits pouvant surgir avec les autres intervenants de la sphère de la sécurité, du renseignement et de l’application de la loi. Depuis son instauration, l’UNCIFC a fait l’objet de 10 études internes, chacune ayant reconnu qu’elle souffrait, entre autres, d’un manque de ressources et de contraintes sur le plan des politiques, ce qui l’a empêchée d’exercer pleinement son mandat. Un faible nombre des recommandations formulées dans ces rapports ont été mises en oeuvre. Lorsqu’on lui a demandé de faire état des raisons pour lesquelles un si grand nombre de recommandations étaient restées lettre morte, l’Unité a évoqué un manque à gagner sur le plan des ressources.

En 1997, le service de sécurité et d’enquêtes criminelles qui oeuvrait eu sein de l’Unité des enquêtes spéciales (UES) a été scindé en deux unités distinctes, à savoir l’UNCIFC et le Service national des enquêtes des Forces canadiennes (SNEFC). Cette démarche faisait suite au dépôt du rapport du Groupe consultatif spécial sur la justice militaire et les services d’enquête ainsi que de l’examen externe de l’Unité des enquêtes spéciales des Forces canadiennes.

La scission faisait écho à la séparation qui s’était produite au milieu des années 1980 entre la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignement de sécurité (SCRS). Pour la première fois, des mandats distincts avaient été créés au sein du MDN/FAC pour les fonctions d’application de la loi, de sécurité et contre-ingérence, et d’enquête de sécurité.

L’UNCIFC nouvellement créée était appelée à exercer les fonctions de sécurité et contre-ingérence au sein du MDN/FAC. Pour sa part, le SNEFC ne se concentre que sur les enquêtes criminelles. Enfin, la fonction d’enquête de sécurité a été établie et elle est désormais désignée comme étant celle du Directeur général – Sécurité de la défense, le Directeur – Sécurité du personnel et gestion de l’identité (DGSD/DSPGI).

La création de l’UNCIFC a été autorisée par le ministre de la Défense nationale (MinDN) au titre d’un arrêté ministériel d’organisation. Ensuite, en vertu d’une Ordonnance d’organisation des Forces canadiennes, le Chef d’état-major de la défense (CEMD) a instauré l’UNCIFC en tant qu’unité de la Force régulière relevant du Groupe du renseignement des Forces canadiennes (GP RENS FC).

Émise en mars 2003 avec l’autorisation du Sous-chef d’état-major de la défense, la série 8002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique pour les activités de CI de défense et réitérait, notamment, les responsabilités du MinDN, du SMA et du CEMD en matière de protection des ressources du MDN/FAC. [**contient de l’information protégée par le secret professionnel de l’avocat**] seraient équivalents à ceux qui sont exercés par les agents de sécurité du ministère qui se trouvent dans les divers ministères du gouvernement fédéral.

There are no provisions of the National Defence Act (NDA) that authorize the conduct of defence intelligence activities. CFNCIU investigations are the only area of defence intelligence that is squarely focused on Canadian citizens (DND employees/CAF members). [**contains information protected by solicitor-client privilege**]

Aucune des dispositions de la Loi sur la défense nationale (LDN) n’autorise la conduite d’activités de renseignement de défense. Les enquêtes de l’UNCIFC constituent le seul aspect du renseignement de défense qui soit expressément axé sur les citoyens canadiens (employés du MDN et militaires des FAC). [**contient de l’information protégée par le secret professionnel de l’avocat**]

Émise en juillet 2012 avec l’autorisation du sous-ministre adjoint (Gestion de l’information) et du dirigeant principal de l’information, la série 6002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique régissant les pouvoirs sur le plan des opérations, des techniques et de la sécurité pour ce qui concerne les systèmes de communication et d’information du MDN/FAC.

La DOAD 6002-2, Utilisation acceptable d’Internet, de l’intranet de la défense, d’ordinateurs et d’autres systèmes d’information fournit aux utilisateurs des instructions relatives aux utilisations officielles, autorisées, non autorisées et interdites des systèmes de TI. C’est d’ailleurs cette politique qui définit les utilisations autorisées et qui fait état de l’attente raisonnable des utilisateurs en matière de respect de la vie privée.

La DOAD 6002-2 indique aux utilisateurs que les utilisations autorisées comprennent les communications avec la famille, les amis et d’autres personnes; les transactions bancaires personnelles; ainsi que l’achat d’articles pour soi ou pour la famille. En l’occurrence, ces utilisations figureraient dans la catégorie des fins autres que les utilisations officielles. Les utilisateurs sont également informés que les attentes en matière de respect de la vie privée s’avèrent réduites en raison de la responsabilité qui incombe au ministère sur le plan de la surveillance des systèmes de TI à des fins d’administration, de maintenance et de sécurité, mais aussi sur le plan du maintien de la conformité aux politiques, aux instructions, aux directives et aux normes du Conseil du Trésor et du MDN/FAC.

Processus d'enquête

L’information que l’UNCIFC reçoit relativement aux menaces a plusieurs sources. De fait, cette information peut provenir de divers détachements, mais aussi de divers partenaires externes. Dès la réception l’information relative à une menace liée à un employé du MDN/FAC ou à un incident, les détachements régionaux (DR) préparent un compte rendu de renseignement (INTREP pour Intelligence Report) destiné au Quartier général (QG), où est centralisée la gestion de toutes les enquêtes.

À la suite de la reconnaissance de l’enjeu de sécurité, on note deux facteurs déterminants pour le déclenchement d’une enquête :

  • il doit avoir un soupçon selon lequel une activité ou un individu constituerait une menace (c.-à-d. le terrorisme, l’extrémisme, la subversion, le sabotage ou le crime organisé que l’on désigne également par le sigle TESSCO) ;
  • la menace soupçonnée doit avoir un lien manifeste avec l’information, l’effectif ou les biens du MDN/FAC.

Lorsque les activités se déroulent dans les limites de ce cadre, le lien doit être établi pour chacune des enquêtes. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Si les soupçons TESSCO et le lien sont suffisamment étayés, les détachements régionaux soumettent une demande faisant état du niveau d’enquête proposé.

Le cadre d’enquête de l’UNCIFC est unique dans la mesure où il aborde des questions de renseignement de sécurité qui sont semblables à celles du SCRS (c.-à-d. TESSCO en plus du crime organisé), alors que la potée de ses enquêtes doit se limiter à l’information, à l’effectif et aux biens du MDN/FAC (c.-à-d. le lien). Contrairement à ce que l’on peut voir au SCRS, la collecte de l’UNCIFC visant les menaces n’est pas expansive compte tenu de la nécessité d’établir un lien; et contrairement à un agent de sécurité du Ministère, l’UNCIFC ne mène des enquêtes ni sur la conformité à la politique ni sur les questions de sécurité découlant de comportements inappropriés – de la part d’employés – qui n’impliqueraient aucun des éléments TESSCO21. De plus, l’UNCIFC n’est responsable ni du filtrage de sécurité (qui est plutôt la responsabilité du DGSD/DSPGI) ni des enquêtes criminelles, qui sont plutôt la responsabilité du Service national des enquêtes des Forces canadiennes (SNEFC).

En définitive, il faut comprendre que le cadre d’enquête de l’UNCIFC occupe un espace étroit au-dessus des sphères portant sur la discipline et le filtrage de sécurité, mais en dessous des affaires de nature criminelle. Avant d’autoriser d’une enquête ou une opération de contre-ingérence, le MDN/FAC doit établir si :

  1. l’enquête est conforme aux lois en vigueur;
  2. les méthodes d’enquête correspondent au type de menace en cause et à la probabilité que celle-ci se concrétise;
  3. l’utilisation des techniques d’enquête intrusives est évaluée dans l’optique d’une éventuelle atteinte aux droits et libertés protégés par la Constitution;
  4. les méthodes de collecte d’information les moins intrusives sont utilisées, en tenant compte des circonstances particulières.

Le graphique ci-dessous fait synthétiquement état des divers niveaux d’enquête et des activités qui sont autorisées par la politique ministérielle pour chacun des cadres d’enquête :

CFNCIU - Graphique 1 caviardé  : Processus d'enquête

Bien que les niveaux d’enquête s’inscrivent dans une chronologie, l’examen a permis de constater que la majorité des enquêtes étaient de niveau relativement faible (c.-à-d. EP et N1). Or, cette réalité n’est pas causée par l’absence de menaces TESSCO sérieuses. Elle est plutôt attribuable, en partie, [**expurgé**] l’UNCIFC [**expurgé**] des bases juridiques [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]

Lorsque l’UNCIFC a été créée en 1997, le contexte juridique entourant la Charte était bien différent de celui que l’on observe aujourd’hui. De plus, les technologies se sont développées à un tel point que les systèmes et dispositifs informatiques sont devenus des outils omniprésents. De plus, les capacités et les techniques de surveillance ont évolué. La loi s’est donc adaptée de sorte à protéger les droits garantis par la Charte en exigeant, notamment, que l’État obtienne des autorisations judiciaires (les mandats) lorsqu’il y a lieu de tenir compte d’une attente raisonnable en matière de respect de la vie privée.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

  1. [**expurgé**]
  2. [**expurgé**]
  3. [**expurgé**]
  4. [**expurgé**]
  5. [**expurgé**]
  6. [**expurgé**]
  7. [**expurgé**]
  8. [**expurgé**]
  9. [**expurgé**]
  10. [**expurgé**]

[**contient de l’information protégée par le secret professionnel de l’avocat**] Or, les recherches sans mandat qui vont à l’encontre de l’attente raisonnable en matière de respect de la vie privée sont présomptivement excessives, à moins qu’elles satisfassent aux critères énoncés dans l’arrêt Collins. L’UNCIFC n’a été en mesure de relever clairement aucune autorisation légale qui permette d’effectuer des recherches sans mandat aux fins visées à l’article 8 pendant les enquêtes de CI. Il est clair, dans le présent contexte juridique, que les pouvoirs de l’UNCIFC n’ont pas évolué au même rythme que le mandat tel qu’il est formulé. L’Unité – et dans une large mesure le COMRENSFC – a d’ailleurs reconnu que la politique était désuète sur le plan tant de la terminologie que du contenu. Toutefois, l’OSSNR note que l’actualisation des politiques internes ne fournirait pas forcément les pouvoirs nécessaires pour mener des activités pouvant donner lieu à une atteinte légitime aux droits garantis par la Charte. Les modifications qui permettraient à l’UNCIFC de mener la plupart des activités prévues pour les enquêtes de niveau 2 et de niveau 3 exigeraient que l’on modifie la loi. Du reste, ce constat a été établi dans de nombreux rapports internes qui avaient relevé d’importantes lacunes dans la politique.

Cela explique pourquoi l’Unité mise sur les politiques et les bases juridiques s’appliquant à des organismes d’enquête externes lorsqu’il s’agit d’exercer certaines fonctions, notamment, celles qui exigent un mandat. À titre d’exemple, l’UNCIFC ne peut [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]; ces techniques d’enquête sont toutes rendues possibles suivant le recours à des organismes d’enquête, au titre du mandat que ceux-ci exercent (c.-à-d. le SNEFC, le SCRS, etc.).

Le présent rapport, celui de l’examen de l’OSSNR no 2021-10, devrait être vu comme la continuation de l’examen que l’OSSNR a réalisé en 2019 « Examen visant l’Unité nationale de contre-ingérence des Forces canadiennes (2019-01) ». Or, en conséquence des difficultés posées par la pandémie de COVID-19, notamment, l’accès à l’infrastructure de GI/TI du MDN/FAC, l’OSSNR a décidé de scinder l’examen. Cette séparation a permis de formuler des conclusions et des recommandations à l’intention du ministre de la Défense nationale en février 2021. Le MDN/FAC avait alors accepté toutes les conclusions et recommandations de l’examen de 2019, mais l’OSSNR reconnaît que même si le présent examen suit le précédent de peu, les changements pourraient être déjà en cours de mise en oeuvre. Il va de soi que l’objectif du présent examen n’est pas de réitérer les conclusions et les recommandations formulées précédemment, mais plutôt de fournir de nouvelles observations, cette fois, suivant un contexte opérationnel.

Le présent examen a été l’occasion d’analyser un large éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier de niveau élevé (niveau 3), à savoir le [**expurgé**] , de sorte à illustrer les pratiques de l’UNCIFC et du SMA-GI lorsqu’ils exécutent des recherches axées sur les systèmes de TI (voir l’appendice 1 pour en connaître davantage sur ce dossier).

À travers le prisme de [**expurgé**] l’OSSNR a tenté d’établir si l’UNCIFC ou le SMA-GI avaient porté atteinte à l’attente raisonnable de certaines personnes en matière de respect de la vie privée pendant le déroulement d’enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC) au nom de l’UNCIFC à des fins de CI.

L’OSSNR a sélectionné un échantillon de recherches de l’UNCIFC axées sur les systèmes de TI dans le but d’établir si, pendant le déroulement de ses activités, l’UNCIFC avait agi en conformité avec la loi, les directives ministérielles et internes ainsi que les politiques et procédures, et si l’Unité avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

Conclusions et recommendations

Le présent examen se concentre sur les recherches que l’UNCIFC a effectuées dans le Réseau étendu de la Défense (RED). En l’occurrence, la politique interne autorise le personnel du MDN/FAC à utiliser ce réseau non classifié à des fins personnelles. L’UNCIFC soumet des demandes à trois unités qui disposent de capacités permettant de lancer des requêtes visant les activités qui se produisent dans le RED et de produire des rapports concernant certains utilisateurs ou certains sujets visés par une enquête. Les trois unités internes visées par l’examen étaient la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI), et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Pendant l’examen, l’OSSNR a relevé trois (3) sources de préoccupation concernant les demandes et l’exécution de recherches effectuées dans les réseaux de TI aux fins de CI. Ces sources de préoccupation s’énoncent comme suit :

  1. recherche dans le RED : les recherches de l’UNCIFC [**contient de l’information opérationnelle du MDN/FAC**]
  2. liste de vérification en plusieurs points : la liste de vérification que l’UNCIFC emploie pour relever et limiter les paramètres de recherche, mais aussi la façon dont les intervenants concernés définissent les paramètres de recherche;
  3. recherche élargie : la façon dont l’acquisition d’information peut servir à l’élargissement de recherches ultérieures.

Recherches visant le réseau étendu de la défense

L’UNCIFC demande que des recherches avancées visant les systèmes de TI soient exécutées en guise d’outils pour les enquêtes de CI. Ces recherches peuvent viser [**expurgé**] réseaux [**expurgé**] affichant une multiplicité de niveaux de classification (voir l’annexe F – APERÇU DES SYSTÈMES DE TI). Dans le contexte de ces enquêtes, les recherches sont, en quelque sorte, un assemblage hétérogène d’informations provenant des trois groupes internes : DIIGI, CORFC et DSUFGI.

Lorsqu’elle mène une enquête de CI, l’UNCIFC doit faire intervenir ces groupes séparément moyennant des demandes distinctes. Chaque groupe dispose de son propre processus pour ce qui a trait aux recherches, à la collecte et à la production de rapports d’information. La DIIGI, la DSUFGI et le CORFC peuvent, en toute légalité, effectuer des recherches et faire de la surveillance dans les systèmes de TI, lorsqu’il s’agit de [Translation] « gérer ou de protéger les systèmes informatiques ». À ce titre, ils peuvent également prendre les mesures qui s’imposent raisonnablement, ce qui comprend l’interception de communications privées. Toutefois, les accès qu’ont la DIIGI, la DSUFGI et le CORFC aux systèmes de TI du MDN/FAC dans le cadre des activités de sécurité réseau ne leur confèrent aucun pouvoir lorsqu’il s’agit d’accéder aux systèmes de TI dans le but [**expurgé**].

La démarche décrite par l’UNCIFC lorsqu’il s’agit de faire des recherches dans les systèmes de TI est illustrée par le diagramme ci-dessous :

[**figure expurgée**]

Généralement, la DIIGI, la DSUFGI et le CORFC ont recours à des processus semblables pour ce qui est de fournir la « matière demandée » (remits) – c.-à-d. les produits collectés – à l’UNCIFC à partir des divers systèmes de TI37. Aux étapes de la collecte et du filtrage, c’est l’analyste TI (DIIGI, DSUFGI et CORFC) qui détermine quelle information doit faire partie de la matière demandée. Les analystes récupèrent les données depuis les répertoires liés au sujet en fonction de sélecteurs préalablement définis figurant dans une liste en plusieurs points (élément abordé plus loin); la pertinence à l’égard de la demande est déterminée en dernier lieu suivant l’examen que l’analyste réalise après la collecte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

Dès lors que l’UNCIFC soumet sa demande, le CORFC mobilise son conseiller juridique, mais celui-ci ne semble être ni consulté ni impliqué en cours d’enquête [**contient de l’information protégée par le secret professionnel de l’avocat**]. La DSUFGI et la DIIGI ne disposent d’aucun mécanisme d’examen ou d’encadrement juridique et misent sur la liste de vérification pour appuyer leurs activités de collecte et de filtrage. Le MDN/FAC note que le CORFC sollicite des conseils juridiques (y compris des conseils prodigués verbalement) et qu’il en irait de même pour la DSUFGI et la DIIGI [**contient de l’information protégée par le secret professionnel de l’avocat**]. Toutefois, l’OSSNR n’est pas en mesure de vérifier cette affirmation.

Utilisation des systèmes de TI et attente raisonnable en matière de respect de la vie privée

Il importe de noter que les recherches que l’UNCIFC demande d’exécuter dans les systèmes de TI ne portent possiblement pas atteinte aux droits garantis par la Charte. Or, comme il a été souligné précédemment, le présent examen tente d’établir si les recherches exécutées dans le réseau RED non classifié à des fins de CI comportaient un risque d’atteinte à l’attente raisonnable d’une personne en matière de respect de la vie privée s’agissant des contenus informationnels, y compris ceux qui se trouvent dans les systèmes et dispositifs informatiques en milieu de travail. La jurisprudence reconnaît que l’utilisation des ordinateurs en milieu de travail à des fins personnelles pourrait susciter une attente, bien que relative, en matière de respect de la vie privée conformément aux dispositions de l’article 8 de la Charte. Une attente raisonnable en matière de respect de la vie privée est intimement liée aux faits et dépend de l’ensemble des « facteurs circonstanciels ».

Il est probable que les utilisateurs des systèmes de TI non classifiés du MDN/FAC nourrissent des attentes raisonnables en matière de respect de la vie privée lorsqu’ils se servent desdits systèmes à des fins personnelles. La politique du MDN/FAC qui encadre l’utilisation des systèmes et dispositifs informatiques autorise l’utilisation limitée du matériel informatique lorsqu’il s’agit d’activités de nature personnelle qui n’ont rien à voir avec les fonctions et tâches professionnelles ayant pour objet de favoriser la réalisation des objectifs du MDN et des FC. On peut notamment penser aux communications avec les membres de la famille, les amis ou d’autres personnes à propos de sujet non professionnels; aux achats que l’on fait en ligne pour soi ou pour la famille; ou à la consultation des sources électroniques d’actualités ou d’informations44. Ces activités autorisées (c.-à-d. celles dont les fins sont personnelles) peuvent véhiculer des informations personnelles révélatrices de ce que l’on peut appeler les renseignements biographiques essentiels, lesquels sont protégés en vertu de l’article 8 de la Charte45. Ainsi, un sujet visé par une enquête de l’UNCIFC serait en mesure d’établir un intérêt direct et de nourrir des attentes raisonnables en matière de respect de la vie privée s’agissant de tout contenu informationnel lié à une utilisation personnelle des réseaux du MDN/FAC.

Les employés et les militaires du MDN ont une attente raisonnable en matière de respect de la vie privée lorsqu’ils utilisent les ordinateurs pour des usages personnels. De fait, la politique du MDN/FAC reconnaît que :

« [l]es attentes en matière de vie privée sont limitées pendant l’utilisation des systèmes de TI, car ceux-ci font l’objet d’une surveillance aux fins d’administration, de maintenance et de sécurité des systèmes, et aux fins de conformité aux politiques, instructions, directives et normes du Conseil du Trésor, du MDN et des FAC. »

Une attente sur le plan du respect de la vie privée, fut-elle limitée ou réduite, est néanmoins une attente raisonnable en matière de respect de la vie privée au titre de l’article 8 de la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

L’OSSNR reconnaît que le MDN/FAC a un intérêt légitime quant à la protection des ressources du MDN et des FAC. Toutefois, les « subtilités » relatives au droit d’un employeur censé surveiller l’utilisation des dispositifs mis à la disposition des employés ont été mises en veilleuse par la Cour suprême. Les lois s’appliquant aux recherches visant les ordinateurs d’employés continuent d’évoluer. Or, l’attente raisonnable en matière de respect de la vie privée ne peut être assujettie à une intrusion de la part de l’État que dans la mesure où elle est autorisée par une loi appliquée raisonnablement.

Une recherche ou une fouille effectuée sans mandat est présumée abusive et contraire aux dispositions de l’article 8 de la Charte. À défaut d’un mandat, la Couronne doit prouver, selon la prépondérance des probabilités 1) que la recherche était autorisée par la loi; 2) que la loi l’autorisant n’avait elle-même rien d’abusif; et 3) que le pouvoir d’effectuer la recherche n’a pas été exercé d’une manière abusive. L’OSSNR est soucieux du fait que l’UNCIFC n’a pas adéquatement pris en compte sa base juridique pour établir si elle disposait du pouvoir légitime de mener des recherches sans mandat à des fins de CI.

[**expurgé**] à l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ainsi, les activités de CI ne donneraient lieu à aucune recherche dite abusive au sens de l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

L’UNCIFC [**expurgé**] pour les activités de CI et n’est pas expressément autorisée à se porter à l’encontre de l’attente raisonnable d’un sujet en matière de respect de la vie privée. Or, l’OSSNR note que l’objectif de la politique du Conseil du Trésor est d’assurer la sécurité du gouvernement, un objectif qui se distingue des activités de collecte de renseignement. Qui plus est, l’OSSNR insiste sur le fait que les politiques internes – même celles qui « reflètent et exemplifient les grandes lignes de la Politique sur la sécurité du gouvernement du Conseil du Trésor » – ne constituent vraisemblablement pas les autorités nécessaires pour permettre l’exercice d’activités de CI risquant de porter atteinte aux droits garantis par la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Bien que les recherches de l’UNCIFC ne s’intéressent aucunement aux affaires criminelles, l’exigence expresse de signaler tout méfait aux autorités compétentes peut vraisemblablement imposer plus fermement les normes de protection visées à l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Recherches [**expurgé**]

En [**expurgé**], le Comité de surveillance de la contre‑ingérence (CSCI) a autorisé une enquête de CI de niveau 3 dont le nom de code était [**contient de l’information concernant des enquêtes liées à la sécurité nationale**].

[**contient de l’information opérationnelle du MDN/FAC**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Liste de vérification en plusieurs points

La liste de vérification en plusieurs points fait office d’instructions permanentes d’opération. En effet, elle permet d’établir les paramètres à employer pour accepter les demandes de recherches axées sur les TI soumises par l’UNCIFC, et ce, en faisant correspondre les capacités de recherche technique avec les outils de cyberdéfense dont dispose le MDN/FAC.

La liste de vérification comporte une série de questions ayant trait aux enquêtes axées sur les TI, auxquelles il faut répondre à l’occasion des rapports d’analyse sur les sujets visés par des enquêtes. En outre, la liste de vérification en plusieurs points est considérée comme une série de demandes de soutien TI préalablement approuvées et de critères de recherches connexes qui ont déjà été examinés [**expurgé**]. La liste de vérification constitue la base des demandes que l’UNCIFC soumet à la DIIGI et à la DSUFGI dans la mesure où elle établit une correspondance entre la demande d’information et les critères de recherche autorisés tout en s’inscrivant dans le mandat et les autorisations légales de l’UNCIFC. L’UNCIFC a indiqué [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**expurgé**] Or, la DSUFGI et la DIIGI ne comptent aucun conseiller juridique au sein de leur personnel et doivent miser sur les conseils juridiques du Directeur juridique/Renseignement et opérations d’information (DJ/R et OI) ou sur les conseillers juridiques du quartier général relevant du SMA (GI) par l’entremise de l’UNCIFC.

L’UNCIFC indique que les métadonnées se distinguent des contenus dans la mesure où elles ne constituent que [Traduction] « les attributs d’un contenu et ne révèlent rien de celui-ci. » Ce point de vue repose sur l’argument voulant que les métadonnées ne contiennent aucun élément de contenu, ce qui les rendrait moins sensibles, selon l’UNCIFC. Les métadonnées, [**expurgé**] sont acheminées à l’UNCIFC et proviennent des courriels envoyés ou reçus par le sujet. Ces métadonnées contiennent les attributs des courriels, notamment, l’envoyeur et le destinataire, mais aussi le contenu du champ Objet et le nom des fichiers joints.

L’OSSNR fait remarquer que selon le contexte, les métadonnées peuvent révéler des renseignements biographiques essentiels sur le sujet tout autant que les contenus. D’ailleurs, les informations qui paraissent parallèlement aux renseignements biographiques relatifs à un sujet peuvent s’avérer révélatrices, voire indiscrètes lorsqu’elles sont associées à d’autres informations. Lorsque l’on se penche sur l’information collectée en vertu de la liste de vérification, il peut arriver que des informations personnelles, voire intimes concernant le sujet visé par une enquête y soient révélées contrairement à ce qui était initialement envisagé ou autorisé. De plus, le contenu du champ Objet des courriels a généralement plus en commun avec le contenu qu’avec les métadonnées. En effet, en annonçant le contenu à communiquer, ce champ Objet peut dévoiler le contenu d’un courriel, faisant en sorte que son degré de sensibilité s’apparente à celui du contenu même dudit courriel. Ainsi, il serait inexact de prétendre que le contenu du champ Objet des courriels ne serait qu’une simple métadonnée.

Il importe de noter que pendant le processus de filtrage, les analystes de la DSUFGI évaluent le degré de pertinence en fonction des métadonnées des courriels du sujet [**expurgé**]. La DIIGI procède sensiblement de la même façon. Les retours sont filtrés de sorte à inclure les métadonnées relatives au sujet. Au demeurant, la DSUFGI et la DIIGI, comme il a été dit plus tôt, ne disposent pas d’un soutien juridique qui soit intégré87. L’OSSNR note que les pratiques voulant que les analystes de la DSUFGI et de la DIIGI filtrent l’information afin d’en établir le degré de pertinence – et, dans certains cas, pour veiller à ce que les résultats ne révèlent pas le contenu – constituent des méthodes inappropriées lorsqu’il s’agit d’exécuter des recherches axées sur les TI, dans la mesure où elles contreviennent probablement aux intérêts du sujet en matière de respect de la vie privée (question abordée plus loin).

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En définitive, la politique actuelle [**expurgé**] de l’UNCIFC en matière de TI, laquelle régit les recherches axées sur les TI, [**contient de l’information protégée par le secret professionnel de l’avocat**]. De plus, les recherches axées sur les TI qui s’appuient sur les points de la liste de vérification ne font pas l’objet d’une consultation ou d’un encadrement juridiques (au-delà de la création du modèle de la liste de vérification) [**expurgé**]. Cette situation pose problème puisqu’en raison de leur libellé, les points de la liste de vérification peuvent faire en sorte que des informations relatives au mode de vie et aux choix personnels du sujet soient captées, informations qui sont normalement protégées par les dispositions de l’article 8 de la Charte.

Par exemple, le point 8 de la liste de vérification est [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ce type d’approche risque tout de même de dévoiler des informations par rapport auxquelles le sujet pourrait avoir une attente raisonnable en matière de respect de la vie privée, [**contient de l’information protégée par le secret professionnel de l’avocat**].

Il importe de noter que pendant l’enquête [**expurgé**] l’UNCIFC a présenté au CORFC une demande comportant [**contient de l’information opérationnelle du MDN/FAC**] Le CORFC a rappelé à l’UNCIFC que l’attente raisonnable en matière de respect de la vie privée s’appliquait et que [Traduction] « les enquêtes exploratoires [fishing expeditions] étaient interdites ». On a donc procédé au retrait de la demande [**expurgé**] au CORFC. En revanche, l’UNCIFC a demandé des informations semblables à la DIIGI, qui a acquiescé et a fourni [**expurgé**]. Certes, ces deux demandes n’ont pas été soumises en même temps, mais elles montrent clairement que deux requêtes très semblables peuvent mener à des résultats complètement différents.

À la différence de la DSUFGI et de la DIIGI, le CORFC dispose de ses propres politiques, directives et instructions permanentes d’opération, et doit répondre à des exigences particulières avant qu’une demande de l’UNCIFC puisse être mise à exécution. À titre d’exemple, contrairement à ceux de la DSUFGI et de la DIIGI, les processus du CORFC prévoient qu’un examen juridique sera réalisé par le JAG du GOIFC [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]. L’OSSNR note que l’approche adoptée par le CORFC lorsqu’il s’agit de recevoir le résultat des examens juridiques que le JAG du GOIFC a initialement menés aux fins d’une enquête est préférable à celle de la DSUFGI et de la DIIGI consistant [**expurgé**].

Compte tenu du fait que les points de la liste de vérification et les sélecteurs proposés posent le risque que des informations biographiques, voire intimes concernant le sujet soient captées, l’utilisation de la liste de vérification devient problématique dès lors qu’elle diffère des paramètres convenus et qu’elle n’est ni orientée ni approuvée sur le plan juridique.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Pendant le déroulement du [**expurgé**] l’UNCIFC a pris des mesures visant à restreindre ses paramètres de recherche. Auparavant (c.-à-d. avant l’instauration de la liste de vérification en plusieurs points), les demandes d’information (DI) reposaient sur des paramètres généraux dont la portée était vaste. En effet, à partir de 2014 et jusqu’à l’instauration de la liste de vérification, les DI [**contient de l’information opérationnelle du MDN/FAC**] également partie des DI. En outre, [**expurgé**].

En [**expurgé**] un mois avant l’autorisation de l’enquête [**expurgé**] les enquêteurs de l’UNCIFC ont discuté des contenus abordés par les DI et se sont dits favorables [**contient de l’information opérationnelle du MDN/FAC**]

Le MDN/FAC a bien tenté de restreindre les paramètres de recherche suivant la mise en oeuvre de la liste de vérification en plusieurs points. Toutefois, même avec la liste de vérification, les requêtes axées sur les TI de l’UNCIFC qui ont été présentées dans le cadre de l’enquête [**expurgé**] se fondaient sur des paramètres de recherche si généraux que l’on risquait d’obtenir des informations qui n’avaient rien à voir avec ladite enquête.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Le fait de filtrer les données – pour ne retenir que celles qui s’avèrent pertinentes – après que la collecte et la recherche aient initialement eu lieu pose un risque juridique dans la mesure où toute possibilité d’atteinte à l’attente raisonnable du sujet en matière de respect de la vie privée se serait déjà matérialisée sous l’effet des mesures prises par l’État. Même si l’analyste des TI exécute un filtrage avant d’acheminer les informations à l’UNCIFC, il n’en demeure pas moins que la recherche et la captation qu’il a réalisées en amont constituent respectivement une « fouille » et une « saisie » au sens de l’article 8 de la Charte, dès lors que ladite recherche porte atteinte à une attente raisonnable en matière de respect de la vie privée.

De fait, ces paramètres constituent des facteurs d’approbation globale sans comporter de mesures internes de contrôle ou de surveillance, et ce, sur le plan des opérations, mais aussi au niveau des opérateurs. Compte tenu de la [**expurgé**] les techniques de collecte finissent par ratisser passablement large. C’est donc à l’analyste ou à l’enquêteur qu’il revient de déterminer ce qui est pertinent, donc de filtrer les résultats une fois que les informations/les données ont été collectées.

L’OSSNR a remarqué six occurrences d’élargissement des critères de recherche, ou bien en dehors des critères énoncés dans la liste de vérification ou bien en marge de la demande initiale soumise au CORFC, comme il est illustré en appendice II « Élargissement de la portée d’une recherche – [**expurgé**] exemples particuliers ». En l’occurrence, aucune consultation juridique additionnelle n’a eu lieu, mais il a été clairement indiqué qu’il y avait un risque de contrevenir aux intérêts garantis par la Charte. Comme il a déjà été dit, l’application de paramètres de recherche généraux suivie d’un filtrage des informations « pertinentes » ne constitue pas une technique d’enquête appropriée. De plus, cette approche ne suit pas la politique du MDN/FAC sur le programme de CI, qui vise à faire en sorte qu’avant les enquêtes ou les opérations, la possible utilisation de techniques intrusives soit évaluée en tenant compte d’une possible atteinte aux droits garantis par la Constitution, d’une part, et d’autre part, que les techniques de collecte les moins intrusives soient utilisées tout en tenant compte des circonstances particulières.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexes

Appendix I: [**expurgé**]

Le [**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

[**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

En [**expurgé**] le CSCI a autorisé une enquête de niveau 3 portant le nom de code [**contient de l’information opérationnelle du MDN/FAC**].

Par l’intermédiaire de son Secrétariat de la coordination de l’examen et de la surveillance de la sécurité nationale et du renseignement (SCESSNR), le MDN/FAC a fourni une importante quantité de documents en réponse à notre demande d’information. Il importe cependant de souligner que l’information fournie n’a pas été vérifiée en toute indépendance par l’OSSNR.

[**diagramme et tableau expurgés contenant des informations relatives aux opérations du MDN/CAF**].

APPENDICE II : [**expurgé**] - Exemples spécifiques

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En [**expurgé**] la DIIGI 3-5 a fourni [**expurgé**]. Au moment de communiquer l’information, la DIIGI 3-5 a ajouté que le rapport avait été généré à partir de [**contient de l’information opérationnelle du MDN/FAC**]

Entre [**expurgé**] le CORFC a fourni de l’information à l’UNCIFC en réponse à une demande de recherche axée sur les TI. Cette information énumérait [**contient de l’information opérationnelle du MDN/FAC**].

Le [**expurgé**] l’UNCIFC a demandé au CORFC [Traduction] « un tableau principal énumérant tous les courriels transmis à ce jour avec leurs en-têtes112 ». Cette demande ne comprenait pas les critères de recherche initialement convenus. Le CORFC a accepté cette modification et a fourni un autre rapport contenant [**expurgé**]. Cette modification a eu des répercussions sur les rapports relatifs aux [**expurgé**] qui ont été ultérieurement produits par le CORFC et fournis périodiquement à l’UNCIFC.

En [**expurgé**] l’UNCIFC a demandé au CORFC de lui faire part de [**contient de l’information opérationnelle du MDN/FAC**]. L’UNCIFC a également demandé [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a remis un rapport à l’UNCIFC contenant [**expurgé**]. Parmi les critères de recherche employés, il y avait bien plus que [**expurgé**]. On y retrouvait [**expurgé**] précédemment par l’UNCIFC. La DIIGI 3-5 précise également que [Traduction] « S’il y a [**contient de l’information opérationnelle du MDN/FAC**].

[**expurgé**] Activités

En [**expurgé**] l’UNCIFC a demandé au CORFC d’effectuer une recherche [**expurgé**]. Le CORFC a exécuté la recherche et en a fourni les résultats, lesquels comprenaient [**expurgé**] Il semble que cette demande additionnelle ait fait en sorte d’élargir les critères de recherches pour tous les rapports ultérieurs devant porter que [**expurgé**]. En effet, le nouveau critère de recherche incluait désormais les activités de tout utilisateur s’étant servi de l’un des supports amovibles déjà utilisés par le sujet de l’enquête.

[**expurgé**]

En [**expurgé**] , l’UNCIFC a demandé à la Gestion des événements et de l’information de sécurité (GEIS) de la DIIGI 3-5 de fournir les données [**contient de l’information opérationnelle du MDN/FAC**]. Les données du GEIS comprennent [**expurgé**]. La DIIGI 3-5 a ultérieurement confirmé [**expurgé**].

Le [**expurgé**] l’UNCIFC a demandé à la DSUFGI des recherches axées sur les TI concernant [**contient de l’information opérationnelle du MDN/FAC**] de même que tous [**expurgé**]. Quelques jours plus tard, la DSUFGI a indiqué à l’UNCIFC qu’elle [Traduction] « voyait [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a discuté en interne d’une requête en suspens de l’UNCIFC demandant [Traduction] « d’identifier [**expurgé**] ». Elle a de plus indiqué que c’était possible si [**expurgé**]. Pour l’heure, on ne sait trop pourquoi la portée de l’enquête [**expurgé**]. Dans une correspondance ultérieure, la DIIGI 3-5 a défini les critères de recherche exacts employés en réponse aux 20 questions sur les « requêtes axées sur les TI » (“IT Inquiry”). Ces critères comprenaient [**expurgé**] reconnus par l’UNCIFC comme ayant été [**expurgé**].

En [**expurgé**] l’UNCIFC a fourni au CORFC la liste [**contient de l’information opérationnelle du MDN/FAC**]. La liste avait été fournie accompagnée d’une demande à l’intention du CORFC[**expurgé**].

En [**expurgé**] l’UNCIFC a demandé à la DSUFGI d’effectuer une recherche [**contient de l’information opérationnelle du MDN/FAC**]. Un mois plus tard, la DSUFGI a répondu en produisant un rapport contenant [**expurgé**] . Parmi les [**expurgé**].

Annexe A : Conclusions et Recommandations

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexe B : Sigles et acronymes

  ADM(IM)  Assistant Deputy Minister Information Management
  CDS  Chief of the Defence Staff
  CF INT GP  Canadian Forces Intelligence Group
  CFINTCOM  Canadian Forces Intelligence Command
  CFIOG  Canadian Forces Information Operations Group
  CFIOG JAG  Canadian Forces Information Operations Group Judge Advocate General
  DND/CF Legal Advisor  Office of the Department of National Defence and Canadian Forces Legal Advisor
  CFNCIU  Canadian Forces National Counter-Intelligence Unit
  CFNIS  Canadian Forces National Investigation Service
  CFNOC  Canadian Forces Network Operations Center
  AVE  Counter-intelligence
  CIOC  Counter-Intelligence Oversight Committee
  DAOD  Defence Incidents administratifs Orders et la Directives
  DGDS/ DPSIM  Director General Defence Security, the Director Personal Security and Identification Management
  DIMEI  Directorate of Information Management Engineering and Integration
  DIMEUS  Department of Information Management End-User Services
  Cabinet du JAG  Cabinet du Juge-avocat général
  CEMD  Chef d’état-major de la défense
  AVE  contre-ingérence
  CJ du MDN/FAC  Bureau du Conseiller juridique du ministère de la Défense et des Forces canadiennes
  COMRENSFC  Commandement du renseignement des Forces canadiennes
  CONS JUR  Bureau du conseiller juridique auprès du ministère de la Défense nationale et des Forces canadiennes
  CORFC  Centre d’opérations des réseaux des Forces canadiennes
  CSCI  Comité de surveillance de la contre‑ingérence
  DGSD/DSPGI  directeur général – Sécurité de la défense, Directeur – Sécurité du personnel et gestion de l’identité
  DIIGI  Direction – Ingénierie et intégration (Gestion de l’information)
  DJ/R et OI  directeur juridique/Renseignement et opérations d’information
  DOAD  Directives et ordonnances administratives de la défense
  DSUFGI  Direction – Services à l’utilisateur final (Gestion de l’information)
  GOIFC  Groupe des opérations d’information des Forces canadiennes
  GP RENS FC  Groupe du renseignement des Forces canadiennes
  INTREP  compte rendu de renseignement (Intelligence Report)

Annexe C : Directives du COMRENSFC

[**lettre expurgée**]

Annexe D : Liste de vérification en 20 points

[**liste de contrôle expurgée**]

Annexe E : [**expurgé**]

Annexe F : Aperçu des systèmes de TI

Le tableau ci-dessous met en évidence les réseaux faisant partie de l’infrastructure de GI/TI du MDN/FAC ainsi que les zones de responsabilité correspondant à chacun des groupes décrits précédemment.

[**tableau expurgé**]


Share this page
Date de modification :

Examen des pratiques d’échange d’informations entre divers volets du mandat du CST

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Le présent rapport présente une légère modification par rapport à la version finale qui a été soumise au Ministre. En effet, une erreur de formulation s’était glissée dans l’énoncé de la conclusion no 4, donnant lieu à deux libellés différents dans le rapport et dans le sommaire. Une correction a donc été apportée aux fins de publication. Précisions que le libellé exact a toujours été présent dans le corps du rapport final et qu’en définitive, le libellé erroné a été remplacé par le bon libellé aux fins de publication.

Sommaire

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité).

(NC) L’OSSNR a vérifié si les échanges internes d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC) effectués par le CST étaient conformes aux dispositions de la Loi sur la protection des renseignements personnels, qui impose aux institutions fédérales des restrictions sur l’utilisation des renseignements personnels obtenus par voie de collecte, mais aussi de la Loi sur le CST, qui encadre les ICPC collectées de manière incidente et leur utilisation par le CST. Considérant les descriptions que les articles 16 et 17 de la Loi sur le CST fournissent concernant les volets, l’OSSNR constate qu’il peut arriver que des informations collectées par l’un des volets soient utilisées par un autre volet pour des fins semblables ou autrement justifiables. En l’occurrence, il semble bien que les exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne soient respectées. Toutefois, il convient de garder une certaine réserve dans la mesure où les volets énoncés dans la Loi sur le CST diffèrent les uns des autres. En effet, le CST est tenu de procéder, dans chacun des cas, à une analyse de la conformité visant à étudier l’objet de la collecte et des échanges envisagés.

(NC) L’OSSNR estime qu’il est nécessaire que toute demande d’autorisation ministérielle présentée par le chef du CST informe le ministre concernant la façon dont les ICPC pourraient être utilisées par le CST – ce qui comprend l’éventualité d’une communication des ICPC à un autre volet – et les objectifs visés. Hormis une seule exception, les demandes présentées par le chef pendant la période d’examen informaient adéquatement le ministre de la Défense nationale concernant la façon dont les ICPC pourraient être utilisées en guise d’appui à un autre volet. Qui plus est, les demandes en matière de renseignement étranger fournissaient au ministre les informations appropriées quant à la façon dont le CST avait évalué le caractère essentiel (ou l’essentialité) servant à justifier la collecte d’ICPC dans le cadre du volet RE.

(NC) La politique du CST indique qu’une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets est requise avant que des informations puissent être retransmises entre lesdits volets. En outre, la politique du CST fournit des définitions ainsi que des critères d’évaluation et d’application des balises s’appliquant aux informations. Au reste, l’OSSNR est d’avis que le cadre stratégique du CST régissant la communication interne d’informations entre les volets cybersécurité et renseignement étranger du mandat est conforme aux dispositions de la Loi sur le CST.

(NC) Les informations fournies par le CST n’ont pas été l’objet d’une vérification indépendante de la part de l’OSSNR. Or, des travaux sont en cours dans le but de préparer des politiques opérantes et des pratiques exemplaires devant s’appliquer aux vérifications indépendantes de divers types d’informations selon une approche axée sur la confiance, mais aussi sur la prudence, qui répond à l’engagement de l’OSSNR.

Pouvoirs

(NC) Le présent examen a été réalisé conformément aux dispositions énoncées à l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité). De plus, le présent examen avait pour objectif de recenser les activités ayant trait à la communication en interne d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada, plus particulièrement entre les volets « cybersécurité » et « renseignement étranger ». En l’occurrence, cette démarche avait pour objet d’alimenter les examens que l’OSSNR serait ultérieurement appelé à réaliser.

(TS) Le Bureau du commissaire du Centre de la sécurité des télécommunications (BCCST) avait déjà étudié les modalités d’échange et d’accès s’appliquant aux informations sur les cybermenaces échangées entre la Direction du SIGINT et la Direction de la Sécurité des TI du CST. L’examen du BCCST avait alors conclu que les activités d’échange d’informations sur les cybermenaces qui avaient eu lieu entre le SIGINT et la Sécurité des TI du CST avaient été conformes aux exigences énoncées dans la Loi sur la défense nationale et dans la Loi sur la protection des renseignements personnels. L’examen a également indiqué que les informations échangées entre les deux directions n’avaient posé qu’un risque faible pour la vie privée des Canadiens.

(NC) Avec l’entrée en vigueur de la Loi sur le CST, le 1er août 2019, les fondements juridiques sur lesquels s’appuient les activités du CST ont subi des modifications dans la foulée de l’examen du BCCST. En considération des modifications apportées à ces fondements juridiques, l’OSSNR a amorcé une nouvelle évaluation visant à établir si les activités internes d’échange d’informations entre les volets cybersécurité et renseignement étranger du CST étaient toujours conformes aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels.

(NC) D’emblée, l’OSSNR s’attend à ce que les échanges internes d’ICPC effectués au sein du CST répondent aux exigences de la Loi sur le CST et de la Loi sur la protection des renseignements personnels. Le présent examen a donc mis l’accent sur l’analyse des fondements juridiques permettant au CST de procéder à des échanges d’ICPC entre les volets cybersécurité et renseignement étranger.

(NC) La Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) divise le mandat du CST en cinq volets distincts. En l’occurrence, la Loi sur le CST établit des distinctions entre les volets, notamment, sur le plan des objectifs et des activités. Voici donc un aperçu de ces distinctions :

  • Renseignement étranger (RE) (article 16) : acquérir de l’information à partir de l’infrastructure mondiale de l’information (IMI) et utiliser, analyser et diffuser l’information dans le but de fournir des renseignements étrangers.
  • Cybersécurité et assurance de l’information (cybersécurité) (article 17) : fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou celles désignées par le paragraphe 21(1) de la Loi sur le CST, mais aussi acquérir, utiliser et analyser l’information de sorte à renforcer la protection de cette information électronique et de ces infrastructures.
  • Cyberopérations défensives (article 18) : mener, dans l’infrastructure mondiale de l’information, des activités ayant pour but de protéger l’information électronique de même que les infrastructures de l’information des institutions fédérales ou celles désignées au paragraphe 21(1) de la Loi sur le CST.
  • Cyberopérations actives (article 19) : mener des activités dans l’infrastructure mondiale de l’information visant à réduire, à interrompre, à influencer ou à contrecarrer, selon le cas, les capacités, les intentions ou les activités d’entités étrangères.
  • Assistance technique et opérationnelle (article 20) : fournir une assistance technique et opérationnelle aux organismes chargés de l’application de la loi et de la sécurité, aux Forces canadiennes et au ministère de la Défense nationale.

(NC) De plus, la Loi sur le CST établit des distinctions entre les volets en exigeant aussi l’obtention d’autorisations ministérielles (AM) pour les diverses activités du CST, sauf dans les contextes où celui-ci prête son assistance (art 20)6. En outre, exception faite des activités d’assistance, la Loi sur le CST stipule que les activités du CST ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne peuvent porter atteinte à la Charte canadienne des droits et libertés7. Les activités menées par le CST dans la réalisation du volet touchant au RE et à la cybersécurité ne doivent pas contrevenir aux autres lois fédérales ni viser l’acquisition d’information à partir de l’infrastructure mondiale de l’information ou par l’entremise de celui-ci qui puisse porter atteinte à une attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada, à moins d’être menées au titre d’une autorisation ministérielle.

(NC) Le ministre de la Défense nationale peut délivrer une AM permettant au CST de mener des activités ou des catégories d’activités pouvant contrevenir à une loi fédérale et, dans le cas du RE et de la cybersécurité, de viser l’acquisition d’informations qui porteraient atteinte à l’attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada. Les AM de RE et de cybersécurité doivent être approuvées par le commissaire au renseignement (CR), qui est tenu d’examiner si les conclusions que le ministre a rendues avant de délivrer l’autorisation sont raisonnables.

(NC) Ainsi, le CST est autorisé à acquérir incidemment des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada au cours d’activités menées au titre d’une autorisation délivrée en vertu d’une AM de RE [art 26(1)], d’une AM de cybersécurité [art 27(1) ou 27(2)] ou encore d’une AM en cas d’urgence (art 40). Le CST désigne ces informations comme étant des informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC). Avant de délivrer une autorisation, le ministre doit être convaincu que le CST n’utilisera, n’analysera ou ne conservera les ICPC que si la situation répond aux conditions d’essentialité visées à l’article 34 de la Loi sur le CST, conditions qui sont différentes dans le cas des volets RE et cybersécurité. Pour ce qui touche le RE, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est essentielle aux affaires internationales, à la défense ou à la sécurité. Pour ce qui a trait à la cybersécurité, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est nécessaire pour découvrir, isoler, prévenir ou atténuer des dommages (i) aux informations électroniques ou infrastructures de l’information des institutions fédérales ou encore (ii) aux informations électroniques ou infrastructures de l’information visées au paragraphe 21(1) de la Loi sur le CST.

(NC) Étant donné que la Loi sur le CST établit des distinctions entre les volets et leurs AM respectives, l’OSSNR a examiné les fondements juridiques encadrant les activités du CST en matière d’échange d’ICPC entre les volets RE et cybersécurité.

(NC) En raison de difficultés opérationnelles et de problèmes liés aux accès, notamment en contexte de pandémie de COVID-19, le présent examen n’a donné lieu ni à une évaluation ni à une vérification indépendantes de la conformité du CST aux lois ou aux contraintes et pouvoirs en vigueur dans les cas d’échanges d’informations en interne, entre divers volets. Au reste, l’OSSNR n’a pas été en mesure de procéder en toute indépendance à des observations, à des enquêtes ou à des validations visant les systèmes employés aux fins des échanges de données entre divers volets (prière de consulter l’Annexe F pour trouver une description des méthodes et des processus suivis par le CST pour échanger des informations entre deux volets). Or, ces systèmes d’échange de données pourraient ultérieurement être l’objet d’un examen de la part de l’OSSNR.

12. (NC) L’OSSNR avait également l’intention d’examiner les échanges internes d’informations du côté des volets cyberopérations actives (COA) et cyberopérations défensives (COD) du mandat du CST, ce qui comprend également les exigences visées au paragraphe 34(4) de la Loi sur le CST concernant l’acquisition d’informations pendant les cyberopérations de type COA ou COD. Entre autres, ce paragraphe stipule qu’aucune information ne sera acquise au titre d’une autorisation de COA ou de COD, sauf conformément à une autorisation de RE [Loi sur le CST, paragraphe 26(1)], à une autorisation de cybersécurité [Loi sur le CST, paragraphes 27(1) et 27(2)] ou à une autorisation en cas d’urgence [Loi sur le CST, paragraphe 40(1)]. Cet aspect de l’examen a plutôt été réalisé à l’occasion d’un autre examen de l’OSSNR intitulé Cyberopérations actives et cyberopérations défensives du CST – Gouvernance et sera examiné plus avant à l’occasion d’un prochain examen de l’OSSNR devant se dérouler en 2021.

(NC) Il importe d’indiquer que le présent examen ne s’est pas penché sur la communication d’informations nominatives sur un Canadien (INC) à l’extérieur du CST.

Renseignements généraux

Que sont les ICPC?

(NC) Même si elle est mentionnée à plusieurs reprises dans la Loi sur le CST, la notion « information se rapportant à un Canadien ou à une personne se trouvant au Canada » (ICPC) n’y est pas précisément définie. De fait, les ICPC sont des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada et qui pourraient être incidemment collectées par le CST durant des activités de RE ou de cybersécurité menées au titre d’une AM. Selon la politique du CST, s’entend d’une ICPC toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, que cette information puisse ou non servir à identifier ledit Canadien ou ladite personne se trouvant au Canada.

(NC) Il faut donc savoir que les ICPC diffèrent de ce que l’on appelle les informations nominatives sur un Canadien (INC). En outre, la Loi sur le CST emploie fréquemment les deux termes, ICPC et INC, pour désigner certains types d’informations. De fait, les ICPC comprennent toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, tandis que les INC comprennent toute information qui permet d’identifier un Canadien ou une personne se trouvant au Canada et qui a été utilisée, analysée ou conservée au titre d’une autorisation de RE ou de situation d’urgence. Pour le CST, les INC sont un sous-ensemble des ICPC. Par ailleurs, l’article 43 de la Loi sur le CST indique que les INC peuvent être communiquées par le CST à des personnes désignées en vertu de l’article 45 de cette même Loi.

Échanges internes d’ICPC au CST

(TS) Dans certains cas, la politique du CST permet que les ICPC collectées dans le cadre des activités d’un volet soient communiquées aux fins d’utilisation par un autre volet (voir l’Annexe D pour une description des autres types d’informations pouvant être échangées entre les volets RE et cybersécurité). Le CST permet que le RE soit utilisé en interne pour répondre à des besoins liés à la cybersécurité. Les informations conservées au sein du volet cybersécurité peuvent être utilisées par le personnel du CST travaillant au sein du volet RE, à moins que les informations soient assujetties à des conditions particulières imposées par des clients externes ou des entités divulgatrices. Selon le CST, les échanges d’information entre les divers volets du mandat permettent au Centre d’exercer ses fonctions de soutien aux priorités du gouvernement du Canada.

(TS) Dans le contexte de la cybersécurité, le CST a indiqué que les ICPC échangées en interne dans le but d'appuyer le volet RE [description des opérations du CST expurgé]

(TS//SI) À titre d’exemple, le CST a abordé [description des opérations du CST expurgé]. Le fait de communiquer cette information entre divers volets du mandat a permis au CST de renforcer la protection de l’information électronique et des structures de l’information du GC, mais aussi des systèmes et réseaux d’importance (SRI) en permettant de reconnaître, d’isoler et d’atténuer la menace en question. Cette communication a également fourni aux décideurs du GC un portrait complet des menaces qui ciblent le Canada.

(TS) Après avoir examiné une série de rapports choisis au hasard, reçu des informations de la part du CST et interrogé des analystes expérimentés à la fois en RE et en cybersécurité29, l’OSSNR a appris que les ICPC échangées30 entre les volets RE et cybersécurité comprenaient généralement [liste des données opérationnelles utilisées dans le système expurgé]

(NC) Le CST estime que même lorsque des ICPC sont échangées entre les divers volets, les activités ne ciblent aucunement des Canadiens ou des personnes se trouvant au Canada. Comme il a été dit précédemment, les activités du CST ne doivent viser ni les Canadiens ni les personnes se trouvant au Canada..

Conclusions et recommendations

Conformité aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels

Quelles sont les lois s’appliquant aux échanges d’informations en interne?

(S) Les lois s’appliquant au CST en matière d’échange d’informations en interne sont les lois habilitantes du CST, à savoir la Loi sur le CST et la Loi sur la protection des renseignements personnels. La Loi sur le CST ne contient pas à proprement parler d’autorisation permettant les échanges d’ICPC entre les divers volets. De même, les dispositions de la Loi sur le CST en matière de divulgation des INC, lesquelles sont énoncées aux articles 43 à 45, n’abordent pas directement la question des échanges d’ICPC en interne. De fait, pour que des informations soient divulguées en vertu de ces dispositions, le ministre doit d’abord autoriser le CST à collecter les INC et à les communiquer en interne. De plus, le CST ne constitue pas une entité désignée en vertu de l’article 45 de la Loi sur le CST pour ce qui a trait à la réception d’informations divulguées au titre des articles 43 et 44.

(NC) Les ICPC pourraient constituer des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels, à savoir des informations se rapportant à une personne identifiable, qui sont enregistrées sous une forme ou une autre. Par exemple, les adresses IP canadiennes pourraient constituer à la fois des ICPC au sens de la Loi sur le CST, mais aussi des renseignements personnels au sens de la Loi sur la protection des renseignements personnels. En vertu de l’article 4 de la Loi sur la protection des renseignements personnels, la collecte de renseignements personnels doit être directement liée à une activité ou un programme d’exploitation de l’organisme, ce qui englobe les activités relevant du mandat du CST en vertu de la Loi sur le CST.

(NC) La Loi sur la protection des renseignements personnels exige également que les renseignements personnels soient utilisés ou divulgués conformément aux dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels. En l’occurrence, l’article 7 énonce ce qui suit :

À défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci :

  • qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins;
  • qu’aux fins auxquelles ils peuvent lui être communiqués en vertu de du paragraphe 8(2).

(NC) L’OSSNR a vérifié si les échanges d’ICPC effectués par le CST en interne répondaient aux exigences de la Loi sur la protection des renseignements personnels, laquelle impose des contraintes sur la façon dont les renseignements personnels collectés peuvent être utilisés par les institutions fédérales. L’OSSNR a conclu que dans certaines circonstances, comme il est décrit plus loin dans le présent rapport, les échanges d’ICPC constituant des renseignements personnels entre les volets RE et cybersécurité pourraient répondre aux exigences de la Loi sur la protection des renseignements personnels. Or, cette évaluation de la conformité nécessite l’analyse de chacun des cas.

(Protégé B//Secret professionnel de l’avocat) L’OSSNR s’est penché sur l’analyse juridique de la DSJ du CST, laquelle a été réalisée par les avocats du ministère de la Justice (MJ), [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

Conformité à la Loi sur la protection des renseignements personnels

(NC) Suivant son évaluation de la conformité à l’article 7 de la Loi sur la protection des renseignements personnels, l’OSSNR note que le CST met davantage l’accent sur la conformité aux dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST, lorsqu’il s’agit de soutenir les échanges internes de renseignements personnels entre divers volets du mandat.

(NC) Comme il a été indiqué, l’article 7 de la Loi sur la protection des renseignements personnels déclare qu’à défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci : 1) qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins; ou 2) qu’aux fins auxquelles ils peuvent lui être communiqués en vertu du paragraphe 8(2) de la Loi. Il importe de souligner que les fins de l’utilisation des informations ne doivent pas forcément être identiques à celles auxquelles les informations ont été obtenues; il suffit que cette utilisation soit compatible avec les fins.

(NC) Le fait de s’appuyer sur l’article 34 de la Loi sur le CST pose une difficulté sur le plan de la conformité à la Loi sur la protection des renseignements personnels, car l’article 34 ne cite pas à proprement parler les fins de la collecte incidente d’ICPC ni n’énonce d’autorisation visant les échanges en interne. Il établit plutôt les préalables qu’il faut respecter avant que le ministre exerce son pouvoir de délivrer une AM. Les alinéas 34(2)c) et 34(3)d) de la Loi sur le CST précisent que le ministre doit être convaincu que les mesures de protection de la vie privée visées à l’article 24 de la Loi garantiront que les ICPC seront utilisées, analysées, et conservées uniquement si ces ICPC sont conformes aux exigences en matière d’essentialité qui s’appliquent, selon le cas, au RE ou à la cybersécurité. En outre, ces conditions établissent un seuil obligatoire s’appliquant à l’utilisation, à l’analyse et à la conservation des ICPC collectées en vertu d’une AM, et non une autorisation visant les échanges d’ICPC en interne.

(NC) Tout dépend des circonstances de fait suivant lesquelles les ICPC sont échangées. En effet, tout échange d’ICPC contenant des renseignements personnels entre les volets RE et cybersécurité du CST pourrait être permis en vertu de la Loi sur le CST et de la Loi sur la protection des renseignements personnels, pour peu que les informations soient échangées pour les mêmes motifs que ceux pour lesquels elles avaient été obtenues ou pour une utilisation qui soit compatible avec ces motifs. En l’occurrence, il conviendrait de procéder à une évaluation de chacun des cas pour s’assurer que les ICPC sont de facto échangées en interne pour les mêmes motifs que ceux invoqués pour justifier la collecte, pour des motifs compatibles avec ceux ayant justifié la collecte ou encore pour les motifs visés à l’alinéa 7b) en vertu desquels les échanges sont permis à condition de répondre à l’un des critères énoncés par le Parlement au paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Tel qu’il a été dit précédemment, le CST ne considère pas les échanges internes comme étant des divulgations d’informations. Or, l’OSSNR note que la question de savoir si les échanges internes constituent à proprement parler une « utilisation » ou une « divulgation » au titre de la Loi sur la protection des renseignements personnels demeure nébuleuse. Néanmoins, l’OSSNR souligne qu’en se basant uniquement sur le critère « d’essentialité » visé à l’article 34, le CST ne se permet pas de conclure indubitablement qu’il dispose des pouvoirs requis pour procéder auxdits échanges en interne.

(NC) Une justification au titre de l’alinéa 7a) ou de l’alinéa 8(2)a) de la Loi sur la protection des renseignements personnels exige que le CST révèle l’objet de la collecte incidente et de l’échange en interne, qui est énoncé dans le volet correspondant du mandat du CST. Les motifs de collecte – de même que l’autorisation de procéder à la collecte – de renseignements personnels sont énoncés dans la Loi sur le CST. Les articles 16 et 17 de la Loi décrivent le RE et la cybersécurité comme étant les programmes et les activités opérationnelles de l’organisme, et les autorisent à collecter des informations dans l’exercice de leurs mandats respectifs. Rappelons que les AM doivent autoriser la collecte dès lors que les activités pourraient contrevenir aux dispositions d’une loi du Parlement ou prévoir l’acquisition – à partir de/par l’entremise de l’IMI – d’informations qui pourraient porter atteinte à une attente raisonnable en matière de protection de la vie privée d’un Canadien ou d’une personne se trouvant au Canada. Suivant la description des volets aux articles 16 et 17 de la Loi sur le CST, il peut y avoir des cas où les informations acquises en vertu de l’un des volets puissent être utilisées pour les mêmes motifs ou pour des motifs compatibles avec ceux d’un autre volet, ce qui répond aux exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne des informations. Toutefois, on ne peut pas tenir ce principe pour acquis dans la mesure où les objectifs des divers volets sont décrits différemment dans la Loi.

(NC) L’article 16 de la Loi sur le CST autorise le Centre à acquérir des informations à partir/par l’entremise de l’IMI et d’utiliser, d’analyser et de communiquer ces informations aux fins de production de renseignement étranger conformément aux priorités du gouvernement du Canada (GC)45. Or, l’article 17 de la Loi sur le CST autorise le Centre à fournir des avis, des conseils et des services dans le but d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales, mais aussi les systèmes désignés comme étant importants pour le gouvernement fédéral, ainsi qu’à acquérir, à utiliser et à analyser les informations issues de l’IMI ou d’autres sources afin de fournir lesdits avis, conseils et services.

(TS//SI) Lorsqu’il s’agit d’échanger des ICPC acquises par le volet RE dans le but d’appuyer le volet cybersécurité du mandat du CST, il y a tout lieu de croire que les motifs demeurent les mêmes si la cybersécurité fait partie des motifs pour lesquels le RE a été obtenu, utilisé, analysé ou communiqué. Or, il convient de mentionner que pendant la période couverte par le présent examen, [lié aux priorités du GC expurgé]. Les échanges d’informations qui visent à répondre aux objectifs du CST consistant, selon l’article 17, à fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou désignées pourraient être considérés comme constituant des usages semblables (sinon compatibles) à l’usage pour lequel les ICPC ont initialement été obtenues. Dès lors que du RE est utilisé dans le cadre du volet prévu à l’article 17 afin de protéger l’information électronique et les infrastructures de l’information fédérales ou désignées, les motifs de la collecte et l’utilisation corollaire des informations collectées pourraient demeurer les mêmes.

(NC) Pour ce qui concerne les ICPC acquises par le volet cybersécurité, les communications d’informations vers le volet RE pourraient être autorisées pour peu que l’usage du RE repose sur des motifs semblables (sinon compatibles) à ceux qui justifient l’acquisition initiale des informations, c.-à-d. de fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique ou les infrastructures de l’information fédérales ou désignées. Ainsi, la communication d’ICPC obtenues par le volet cybersécurité vers le volet RE serait permissible en vertu de la Loi sur la protection des renseignements personnels pour peu que les échanges internes servent l’objectif consistant à aider à protéger l’information électronique et les infrastructures de l’information fédérales ou désignées.

(NC) Somme toute, si le CST acquiert des renseignements personnels afin d’alimenter les activités des volets RE ou cybersécurité ou de servir des usages compatibles avec ces activités, ses échanges internes d’ICPC peuvent être conformes aux dispositions de l’alinéa 7a) ou du paragraphe 8(2) de la Loi sur la protection des renseignements personnels, pour peu que les fins poursuivies par les activités de collecte et d’échange soient énoncées et justifiées. De plus, le CST doit toujours répondre aux conditions stipulées dans la Loi sur le CST et ayant trait aux AM relativement à la collecte et à l’utilisation des ICPC. Pour justifier les échanges internes de renseignements personnels entre divers volets, il faut réaliser une analyse approfondie axée sur les circonstances de fait de chacun des cas.

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  1. établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  2. établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Autorisations ministérielles

(NC) La Loi sur le CST ne permet pas au ministre d’autoriser les échanges d’ICPC en interne. En effet, seules les AM peuvent accorder une autorisation visant, dans le cas du RE, les activités ou catégories d’activités énumérées au paragraphe 26(2) ou encore, dans le cas de la cybersécurité, les activités d’accès ou d’acquisition visant les informations visées aux paragraphes 27(1) et 27(2). Tout échange interne d’ICPC contenant des renseignements personnels doit être réalisé en conformité aux dispositions de la Loi sur la protection des renseignements personnels.

(NC) Comme il a été dit précédemment, l’article 24 de la Loi sur le CST exige que le Centre mette en place des mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada en ce qui a trait à l’utilisation, à l’analyse, à la conservation et à la divulgation d’ICPC. Ainsi, lorsqu’il délivre une AM, le ministre doit avoir conclu que ces mesures garantiront que les ICPC acquises ne seront utilisées, analysées ou conservées que si elles répondent aux critères d’essentialité énoncés aux alinéas 34(2)c) ou 34(3)d). Le ministre peut délivrer les autorisations s’il conclut que les activités en cause sont « raisonnables et proportionnelles compte tenu de la nature de l’objectif à atteindre et des activités. » Alors que le ministre soupèse le caractère raisonnable des activités proposées aux fins du RE ou de la cybersécurité, on peut imaginer que certaines activités puissent être raisonnables et proportionnelles dans un contexte, mais pas dans l’autre. Certes, les activités autorisées au titre du paragraphe 26(2) peuvent acquérir un éventail d’informations plus large que celui qui est visé aux paragraphes 27(1) et 27(2). Or, les communications d’informations allant du RE à la cybersécurité pourraient permettre au CST d’utiliser, aux fins de la cybersécurité, plus d’informations que ce qui est permis par les autorisations de cybersécurité en soi et pourraient nécessiter de nouvelles mesures de protection de la vie privée lorsque lesdites informations sont utilisées.

(NC) Pour délivrer une AM, le chef du CST doit, dans une demande, faire état des faits de telle sorte que le ministre puisse conclure qu’il y a des motifs raisonnables de croire que l’autorisation est nécessaire et que les critères justifiant la délivrance sont respectés. L’OSSNR estime nécessaire que la demande présentée par le chef donne au ministre toutes les informations requises sur la façon dont les ICPC pourraient être utilisées et analysées par le CST, ce qui comprend les modalités d’échange des ICPC avec d’autres volets ainsi que les fins poursuivies. Ces informations devraient également permettre au ministre de déterminer, en application de l’article 35, si d’autres critères, conditions ou contraintes pourraient être recommandés afin de protéger la vie privée des Canadiens dès lors qu’il est question de délivrer une autorisation de RE ou de cybersécurité.

(TS//SI) Pour ce qui concerne les autorisations délivrées en 2020, la plupart des demandes présentées par le chef du CST indiquaient que les informations collectées et conservées pourraient possiblement être utilisées par d’autres volets, alors que le texte de la plupart des AM correspondantes ne faisait aucune mention de possibles utilisations par d’autres volets. Dans un cas particulier, c’est la situation inverse qui s’est produite : [exemple d’opérations du CST expurgé].

(TS//SI) De plus, en 2020, les demandes et les autorisations de RE indiquent que pour répondre au critère d’essentialité s’appliquant à la conservation des ICPC au titre de l’alinéa 34(2)c) de la Loi sur le CST, les ICPC seront conservées pour peu qu’elles soient jugées essentielles pour la cybersécurité. En l’occurrence, la cybersécurité fait partie de ces éléments qui sont « essentiels pour la sécurité », ce qui donne au ministre des éléments contextuels additionnels sur la façon dont les conditions de l’essentialité sont évaluées, mais aussi respectées par le CST. L’OSSNR estime que ces informations sont nécessaires dans la mesure où elles permettent au ministre d’établir si les conditions énumérées à l’article 34 de la Loi sur le CST ont été respectées préalablement à la délivrance de l’AM.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Évaluation de l’essentialité, de la nécessité et de la pertinence

(NC) En vertu de la politique du CST, il faut procéder à une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets avant d’être en mesure d’établir s’il convient d’échanger les informations entre divers volets (voir l’Annexe G pour connaître les balises et les définitions employées pour l’évaluation des ICPC que l’on envisage de communiquer entre divers volets). Ces termes sont tirés de la Loi sur le CST, mais n’y sont pas définis. La politique du CST fournit des définitions et des critères sur lesquels reposent l’évaluation et l’application de ces balises aux informations. Or, l’OSSNR n’a évalué ni le caractère licite de ces balises stratégiques ni la façon dont les exigences sont respectées par le CST lorsque ce dernier procède à des échanges d’ICPC en interne. Ces aspects pourraient être examinés à l’occasion d’examens ultérieurs.

(TS) La politique du CST établit également les critères suivant lesquels il convient d’autoriser les échanges d’ICPC entre divers volets (voir l’Annexe E pour connaître les processus d’approbation que le CST applique aux échanges d’informations). Avant que les ICPC puissent être échangées entre divers volets, leur caractère essentiel doit être évalué en fonction du volet qui en a fait l’acquisition. Dès lors qu’elles ne respectent pas les balises permettant d’établir leur caractère essentiel, les informations doivent être supprimées.

(Protégé B//Secret professionnel de l’avocat) Selon le CST, [avis ou conseil juridique expurgé]

(NC) L’OSSNR admet que la Loi sur le CST n’exige pas que les ICPC échangées en interne entre les volets RE et cybersécurité respectent les deux conditions de l’essentialité visées aux alinéas 34(2)c) et 34(3)d) de la Loi. Or, les paragraphes 22(3) et 22(4) de la Loi sur le CST exigent la délivrance d’une AM de RE ou de cybersécurité, lorsque les activités à mener en soutien à l’un ou l’autre de ces volets impliquent l’acquisition, à partir de l’IMI, d’informations pouvant porter atteinte à une attente raisonnable de protection de la vie privée ou lorsque les activités pourraient contrevenir à une loi fédérale. Les AM ne peuvent autoriser que les activités ou catégories d’activités énumérées au paragraphe 26(2) pour le RE, ou pour accéder aux infrastructures de l’information et acquérir les informations énoncées aux paragraphes 27(1) et 27(2). Comme il a été dit précédemment, les balises s’appliquant à « l’essentialité » (cf. l’article 34) établissent l’autorité du ministre en matière d’approbation d’une AM en fonction des préalables énoncés au paragraphe 24 concernant la protection de la vie privée. On pourrait donc comprendre que cette exigence s’applique à l’utilisation, à l’analyse et à la conservation des ICPC collectées par le CST en vertu d’une AM, et ce, dans un seul volet. Par conséquent, la Loi sur le CST n’exige d’aucune façon que le CST respecte les balises encadrant la notion d’essentialité dans le cas d’un volet dont les ICPC font l’objet d’un échange en interne. Les ICPC doivent uniquement respecter les conditions initiales d’essentialité énoncées à l’alinéa 34(2)c) ou à l’alinéa 34(3)d) lorsque des ICPC sont acquises conformément à l’AM qui autorise la collecte incidente desdites ICPC.

Constatation no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

Conclusion

(NC) Comme la Loi sur le CST établit des distinctions entre les divers volets et les AM correspondantes, l’OSSNR a décidé d’examiner les fondements juridiques régissant les échanges d’ICPC entre le volet RE et le volet cybersécurité du mandat du CST. L’OSSNR a conclu que dans certaines circonstances, les échanges en interne pourraient être compatibles avec les dispositions de la Loi sur la protection des renseignements personnels. Toutefois, le CST doit accorder une attention accrue aux motifs de la collecte d’ICPC lorsqu’il s’agit de justifier les échanges d’ICPC en interne.

(NC) Le présent examen a également permis d’acquérir une connaissance de base des processus, des systèmes et des mesures de conformité en vigueur au CST relativement aux échanges d’ICPC entre divers volets du mandat. Même s’il n’a pas été en mesure de vérifier ces informations en toute indépendance, l’OSSNR envisage de s’en inspirer pour réaliser les examens ultérieurs.

Annexes

ANNEXE A : Objectifs, portée et méthodologie

(NC) Initialement, l’OSSNR se proposait d’examiner les échanges internes d’ICPC entre divers volets du mandat du CST suivant une approche thématique devant se concentrer sur plusieurs secteurs opérationnels et plusieurs volets. En outre, l’examen prévoyait d’examiner les échanges d’informations ayant eu lieu entre divers volets, du 1er août 2019 au 1er août 2020, de sorte à évaluer en toute indépendance :

  • la conformité aux exigences juridiques, ministérielles et stratégiques, notamment la gestion adéquate des risques liés à la conformité pendant la conduite d’activités d’échange d’informations entre divers volets du mandat du CST;
  • les politiques, les procédures et les pratiques du CST s’appliquant aux échanges internes d’informations entre divers volets du mandat du CST.

(NC) Compte tenu de la conjoncture défavorable au déroulement des opérations, pensons notamment aux perturbations et aux difficultés d’accès liées à la pandémie de COVID-19, il a fallu réviser à la baisse les objectifs, la portée et la méthodologie qui avaient été fixés pour le mandat du présent examen (envoyé au CST le 28 août 2020). Par conséquent, l’examen n’a porté que sur les fondements juridiques sur lesquels s’appuient les échanges d’informations entre le volet RE et le volet cybersécurité.

(NC) L’OSSNR a donc examiné des documents et des dossiers ayant trait aux échanges d’informations entre divers volets du mandat du CST, et ce, pour la période s’étendant du 1er août 2019, date d’entrée en vigueur de la Loi sur le CST, au 1er août 2020.

(NC) Deux entrevues ont été réalisées avec des employés du CST ayant pris part à des échanges d’informations entre divers volets du mandat du CST. De plus, une entrevue a été réalisée avec un avocat du ministère de la Justice qui connaît bien le cadre juridique qui régit ce type d’activités.

(NC) L’OSSNR a également produit une description élémentaire de certains des processus, des systèmes et des mesures de conformité s’appliquant aux échanges d’informations dans le but d’établir une base de connaissances sur laquelle les examens ultérieurs pourront s’appuyer.

ANNEXE B : Réunions et séances d’information

Séance d’information, Information Sharing: Sharing information for use across aspects of the CSE Mandate, OSSNR, 7 février 2020.

OSSNR, réunion avec l’avocat du ministère de la Justice à la DSJ du CST, 13 octobre 2020.

OSSNR, réunion avec des analystes du CST, 20 octobre 2020.

ANNEXE C : Conclusions et recommandations

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  • établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  • établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Conclusion no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

ANNEXE D : Les informations sur les partenaires et les clients ainsi que les informations publiquement accessibles faisant l’objet d’échanges entre les volets renseignement étranger et cybersécurité

(Protégé B) Dans le cadre du volet cybersécurité, les clients du fédéral, mais aussi d’autres clients peuvent divulguer des informations sur les cybermenaces au CST, qui est l’organisme responsable de la cybersécurité au Canada. Ces clients peuvent également faire appel aux services du CST aux fins d’analyse et d’atténuation de cyberincidents avérés ou soupçonnés. Les informations communiquées peuvent être utilisées à des fins liées au RE, pour peu que cette communication serve à identifier, à isoler, à prévenir ou à atténuer les dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC.

(Protégé B) Les documents de gouvernance qui encadrent les ententes conclues entre le CST, d’une part, et le GC et les clients non fédéraux, d’autre part, précisent que les informations qui ont été obtenues par le CST par l’intermédiaire du réseau ou du système d’un client et qui se rapportent au volet cybersécurité peuvent être communiquées aux partenaires [informations opérationnelles du CST expurgé] ou aux partenaires internes dans le cas des clients du GC) qui œuvrent dans le domaine de la cybersécurité aux fins de découverte, d’isolement, de prévention ou d’atténuation des dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC56. Toutefois, ces documents n’indiquent pas explicitement que les informations provenant des clients pourraient être utilisées à des fins liées au RE. Pour permettre aux entités divulgatrices de donner un consentement qui soit éclairé, l’OSSNR estime qu’il serait approprié que le CST soit parfaitement transparent concernant la façon dont les informations provenant des clients pourraient être utilisées par le CST.

(Protégé B) Lorsqu’elles sont communiquées à des partenaires [informations opérationnelles du CST expurgé] les informations venant de clients sont anonymisées, et les renseignements permettant d’identifier une personne sont exclus. Tout produit de cybersécurité diffusable qui a été créé à partir d’informations venant d’un client ne doit contenir que l’information nécessaire à l’atténuation d’une cybercompromission. De plus, les entités divulgatrices peuvent également imposer certaines restrictions sur l’utilisation et la communication de leurs données au moment de la divulgation.

(TS) En vertu du paragraphe 21(1) de la Loi sur le CST, le Centre est autorisé à acquérir et à utiliser les informations publiquement accessibles sans avoir à demander une AM. Actuellement, [lié à un avis ou conseil juridique expurgé].

ANNEXE E : Processus d’approbation et approbation des échanges d’informations

Processus d’approbation des échanges d’ICPC

(TS//SI) Le pouvoir officiel d’autorisation des échanges d’informations est énoncé dans la politique interne du CST et est tributaire de la nature des informations à échanger. La politique du CST exige l’approbation de la gestion (ce qu’on appelle également « autorité de diffusion ») avant tout échange d’ICPC non supprimées entre divers volets. Cependant, la politique ne donne aucune précision quant au processus d’approbation en vigueur. On s’en remet plutôt au secteur opérationnel concerné et aux pratiques opérationnelles qui y sont observées. D’après l’ensemble des politiques relatives à la mission (EPM), toutes les décisions de gestion doivent être enregistrées et conservées dans un dépôt central aux fins de transparence et de reddition de comptes. En outre, ces enregistrements doivent être accessibles aux responsables des examens. Toutefois, dans le cadre du présent examen, l’OSSNR n’a pas été en mesure de vérifier ni d’évaluer en toute indépendance le processus d’approbation visant les échanges d’ICPC en interne.

(TS) En règle générale, le CST exige des approbations de gestion dans le cas des échanges d’informations – contenues dans un rapport – aux fins d’utilisation par divers volets du mandat du CST. Lorsque les informations contiennent des ICPC, le CST élève l’autorité de diffusion au niveau hiérarchique approprié. L’autorité de diffusion appropriée et les conditions de diffusion sont décrites dans la politique (dont il est question plus bas). L’autorité de diffusion est responsable des échanges d’informations et doit être avisée de tout changement apporté aux données et donnant lieu à une modification des informations se rapportant à la vie privée que l’on envisage de communiquer.

(TS) Les techniques d’échange automatisé [lié aux priorités du GC expurgé]

Communication d’ICPC du volet cybersécurité au volet renseignement étranger

(NC) Les ICPC conservées aux fins du volet cybersécurité peuvent être communiquées au volet RE à titre de produits de cybersécurité communicables (PCC) dès lors que ces produits répondent aux exigences énumérées plus bas. Or, l’autorité de diffusion est établie en fonction de l’impact que la communication des informations peut avoir sur la vie privée d’un individu ou d’une entité, et cet impact est déterminé en fonction du niveau de sensibilité et de la nature des ICPC. Selon le niveau de sensibilité des ICPC, les gestionnaires ou superviseurs des opérations du Centre canadien pour la cybersécurité (CCC) doivent approuver les PCC contenant des ICPC.

(NC) D’après le CST, les exigences s’appliquant aux PCC sont les suivantes :

Exigence Quand et comment l’exigence est appliquée
L’objectif est de fournir des conseils, des avis et des services Au moment de l’échange. – Pourquoi cette information doit-elle faire l’objet d’un échange?
Le produit ne contient que les informations conservées La décision d’utiliser ou de conserver les informations est prise au moment où les données brutes sont évaluées dans le but d’en établir la pertinence et la nécessité (et l’essentialité dans le cas des ICPC) pour le volet cybersécurité du mandat.
Protection de la vie privée

Au moment de l’échange, s’il y a lieu (p. ex. restitution au propriétaire de système/à l’administrateur qui a déjà accès aux informations depuis ses propres systèmes ou diffusion à un auditoire élargi moyennant de rigoureuses restrictions visant l’utilisation des informations).

Aucune suppression n’est requise lorsque les ICPC sont échangées pour utilisation dans le cadre du volet RE du mandat, pour peu que l’échange vise à soutenir les activités consacrées à la protection des informations électroniques et des infrastructures de l’information du GC ou à la protection des systèmes et réseaux d’importance pour le GC.

Classification et contraintes s’appliquant à l’utilisation et au traitement

S’appliquent à l’utilisation et à la diffusion des informations par le volet RE au moment de l’échange ou à une étape ultérieure. Peuvent comprendre des utilisations subséquentes préapprouvées et, s’il y a lieu, des restrictions imposées par le propriétaire des données/des systèmes.

Peuvent être appliquées aux rapports produits finis (RPF) par une plateforme de préparation de rapports (PPR); imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.

Vérifiable Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.
À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine (p. ex. AM vs non-AM; le client divulgateur, s’il y a lieu, etc.); les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement.
Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 25.2 du chapitre consacré à la cybersécurité, dans l’EPM.

Communication d’ICPC du volet renseignement étranger au volet cybersécurité

(TS) Les ICPC obtenues aux fins du volet RE peuvent être communiquées au CCC en tant que produits SIGINT communicables (PSC). Or, avant d’être communiqués, les PSC contenant des informations présentant un intérêt reconnu sur le plan de la vie privée de Canadiens ou se rapportant à du matériel présentant un intérêt sur le plan de la vie privée de Canadiens nécessitent l’approbation du CA SIGINT, quoique ce pouvoir d’approbation puisse être délégué à un autre intervenant.

(TS) Le tableau suivant présente succinctement les façons dont les critères énoncés dans la politique peuvent être respectés lorsqu’il s’agit de créer un PSC aux fins d’échange d’informations pour utilisation par le volet cybersécurité.

Exigence Quand et comment l’exigence est appliquée
Les informations se rapportent au contexte du RE Au moment de l’évaluation. Ce critère doit être respecté préalablement à toute utilisation.
Protection de la vie privée (p. ex. suppression des ICPC)

Au moment de l’échange, s’il y a lieu.

La suppression est obligatoire pour ce qui a trait aux ICPC contenues dans un RPF communiqué à l’extérieur du CST. Les clients du CCC qui reçoivent ces RPF peuvent demander ces INC en faisant appel au processus lié aux mesures consécutives.

Autrement, aucune suppression n’est requise lorsque les ICPC doivent servir à des fins de cybersécurité, mais il convient alors d’appliquer d’autres mesures de protection de la vie privée, par exemple, des restrictions quant aux destinataires des informations.

Expurgation S’applique au moment de l’échange ou lorsque l’utilisation par la cybersécurité nécessite que les informations soient nettoyées dans le but de protéger les intérêts du CST.
Sérialisation

Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.

À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine [exemple d’opérations du CST expurgé] les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement

Restrictions de diffusion

S’appliquent à l’utilisation et à la diffusion des informations par le volet cybersécurité au moment de l’échange ou à une étape ultérieure. Peuvent comprendre l’application de mesures préapprouvées.

Peuvent être appliquées aux RPF par une plateforme de préparation de rapports; imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.

Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 27.8 du chapitre consacré au RE, dans l’EPM.

Examens internes portant sur les échanges d’informations

(TS) Les échanges d’informations en interne entre divers volets sont assujettis à des examens que le CST réalise en interne sur les échanges automatisés, mais aussi sur les interrogations de données. Le groupe Conformité du SIGINT, l’équipe responsable de la conformité interne des activités relevant du volet RE, a examiné les interrogations provenant du CST pour les années 2019 et 2020, et a confirmé la conformité des activités d’interrogation. Le Programme organisationnel de conformité des activités (POCA) n’a pas été en mesure de prioriser les examens de surveillance de la conformité au cours des deux derniers exercices, ce qui l’a empêché de surveiller d’autres activités pouvant poser un risque élevé en matière de conformité.

(TS) Les techniques d’échange automatisé sont également assujetties à des examens. En effet, tous les 12 mois, l’équipe Conformité du SIGINT est tenue de revalider toutes les occurrences d’échanges automatisés survenues entre le volet RE et le volet cybersécurité. Le plus récent examen portant sur la période allant de juillet 2019 à septembre 2020 a permis de confirmer que les [nombre expurgé] d’échange automatisé étaient conformes aux exigences de la politique, à l’exception [nombre expurgé] que le CST n’a pas été en mesure d’évaluer.

ANNEXE F : Méthodes et processus d’échange

(TS) Dans la présente section sont décrits les processus et les méthodes employés par le CST pour échanger des informations entre le volet RE et le volet cybersécurité. De fait, le Centre dispose d’une multitude de systèmes, de méthodes et de processus qui facilitent les échanges d’informations, que celles-ci soient nettoyées ou non, entre ces volets. Or, il faut savoir que les processus décrits plus bas ne sont pas statiques. En effet, les systèmes, les méthodes et les processus du CST peuvent évoluer.

(TS) En général, l’accès aux informations de chacun de ces volets est contrôlé [lié à un avis ou conseil juridique expurgé]

(TS//SI) Par exemple, au Centre pour la cybersécurité [description des opérations du CST expurgé]

(NC) Tel qu’il est stipulé à l’article 24 de la Loi sur le CST, le Centre doit avoir mis en place des mesures visant à protéger la vie privée des Canadiens et des personnes se trouvant au Canada lorsqu’il utilise des informations se rapportant à ces personnes pour atteindre des objectifs fixés pour le volet RE ou le volet cybersécurité du mandat.

(TS) La suppression ou la restriction des ICPC ne sont pas requises par la politique du CST lorsqu’il s’agit d’échanger des informations en interne. En effet, il est de pratique courante d’échanger des ICPC sans suppression entre le volet RE et le volet cybersécurité. Au CST, bien que la politique ne l’exige aucunement, on invite les analystes à anonymiser ou à supprimer les renseignements personnels lorsque ceux-ci ne sont pas essentiels à la compréhension du contexte ou de la nature d’un enjeu. Le CST reconnaît que la suppression et la restriction constituent des pratiques exemplaires, mais qu’elles sont non obligatoires. Par conséquent, le CST estime que le fait de n’avoir ni supprimé, ni restreint, ni anonymisé les informations échangées entre divers volets ne constitue pas en soi une infraction à la loi.

Accès intervolets aux données brutes du SIGINT et du Centre pour la cybersécurité

(TS) Lorsqu’ils accèdent aux données d’un autre volet qui ne figurent pas dans un rapport (c.-à-d. les PSC ou les PCC), les analystes sont tenus de respecter les exigences de la politique qui s’appliquent aux données qu’ils sont appelés à consulter.

(TS//SI) Pour ce qui a trait au volet RE, [description des opérations du CST expurgé]

(TS//SI) Par exemple, [description des opérations du CST expurgé]

(TS//SI) Lorsqu’ils analysent des données de RE brutes, les membres du personnel du Centre pour la cybersécurité doivent se conformer aux autorisations et aux exigences s’appliquant au renseignement étranger. L’utilisation, le traitement et la conservation de ces informations sont également assujettis aux restrictions s’appliquant aux données du renseignement étranger.

(TS//SI) [expurgé] le personnel du SIGINT peut consulter et utiliser les systèmes du Centre pour la cybersécurité à condition de répondre aux critères énoncés à la section 26.1 de l’EPM, Cybersécurité. L’accès aux systèmes du Centre pour la cybersécurité et aux données de cybersécurité brutes est semblablement réservé [expurgé] aux individus qui ont démontré un besoin de connaître, qui ont suivi les formations prescrites et qui ont réussi aux épreuves de connaissances [expurgé].

Rapports – PCC et PSC

(NC) Les informations conservées sont échangées en interne suivant des processus officiels de rapports donnant lieu, notamment, à des PSC (ce qui comprend les RPF) ou à des PCC.

(TS//SI) Les membres du personnel du Centre pour la cybersécurité qui sont assujettis aux exigences en matière de cybersécurité peuvent également être des clients internes n’ayant aucun accès aux données RE brutes84. Des informations du renseignement étranger sont échangées en tant que PSC avec des membres du personnel de la cybersécurité, ce qui signifie que les informations sont conformes aux exigences de la politique du CST en matière de diffusion, lesquelles prévoient la suppression et une approbation, et qu’elles ont été assujetties aux restrictions imposées aux données de renseignement. Pendant la période visée par le présent examen, [nombre expurgé] PSC ont reçu une autorisation de diffusion par le volet RE et ont été mis à la disposition de membres du personnel œuvrant au sein du volet cybersécurité.

(TS//SI) Des informations de la cybersécurité peuvent être incluses dans des rapports et être diffusées auprès des membres du personnel SIGINT, pour être ultérieurement utilisées en tant que PCC dans le cadre d’activités du volet RE. Les informations diffusées par l’intermédiaire de PCC doivent répondre aux exigences de la politique du CST en matière de diffusion. Or, leur utilisation ultérieure doit être compatible avec les usages en vigueur au volet cybersécurité du mandat du CST et doit servir à la promotion des priorités du GC. Pendant la période visée par le présent examen,[nombre expurgé] PCC ont été diffusés auprès de destinataires autorisés du SIGINT.

Réception des identifiants ayant été éliminés des rapports

(TS) Les ICPC qui ont été supprimées des RPF diffusées dans SLINGSHOT88 peuvent être fournies aux clients internes du CST moyennant une demande soumise par l’intermédiaire du processus de divulgation externe des INC. Il s’agit là du seul mécanisme par lequel les renseignements personnels supprimés peuvent être obtenus et diffusés. En l’occurrence, les ICPC supprimées peuvent être obtenues en soumettant une demande à l’équipe du Bureau d’intervention du groupe Communication d’informations (D2A). En outre, le demandeur doit faire état des fondements juridiques et des motifs opérationnels qui justifient sa demande avant de recevoir les informations non supprimées. Entre le 1er août 2019 et le 1er août 2020, [description des opérations du CST expurgé]

(TS) Même s’il est essentiellement le même que celui qui est employé aux fins du processus de comunication externe, le mécanisme par lequel est diffusée cette information est plutôt considéré comme donnant lieu à une utilisation interne des informations et non à une divulgation en tant que telle. Il n’est donc pas nécessaire que les exigences s’appliquant au régime de divulgation visé aux articles 43 à 46 de la Loi sur le CST soient respectées pour que les informations supprimées soient divulguées auprès de clients internes du CST.

Rapports conjoints

(TS//SI) Les informations peuvent également être échangées entre le volet renseignement étranger et le volet cybersécurité aux fins de diffusion de renseignement étranger consécutivement aux autorités en matière de cybersécurité. Or, ces informations du renseignement étranger doivent être d’abord utilisées à des fins relevant de la sphère du renseignement étranger. Dès lors, elles peuvent être mises à la disposition du personnel du CCC dans le cadre du volet cybersécurité. Ce n’est que dans un troisième temps que ces informations peuvent être diffusées en vertu desdites autorités.

(TS//SI) Pour chacun des volets, l’approbation des échanges visant les informations du renseignement étranger aux fins du volet cybersécurité du mandat doit se soumettre aux autorités d’approbation compétentes en matière de diffusion. [description des opérations du CST expurgé]

Échanges automatisés (types de PSC ou de PCC)

(TS) La politique du CST définit les échanges automatisés comme suit : [Traduction] « utilisation de techniques ou de processus automatisés pour faciliter la diffusion de [rapports communicables expurgé] ».

(TS//SI) Le CST a recours à une pluralité de mécanismes automatisés pour échanger desi informations entre divers volets. [description des opérations du CST expurgé].

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

Autres modalités d’échange

(TS) Il se peut que les échanges d’informations entre deux volets soient réalisés suivant des méthodes plutôt informelles. En intensifiant la collaboration, les analystes se donnent accès à un bassin de connaissances plus important et particulièrement utile pour les deux volets du mandat. En l’occurrence, les analystes peuvent procéder à des échanges de connaissances générales sans avoir à les signaler. En outre, la politique du CST prévoit des échanges d’analyses à l’occasion desquelles les analystes peuvent s’adresser à des partenaires œuvrant au sein d’un volet différent à des fins de collaboration sur des objectifs communs propices aux échanges d’informations. Cependant, tout échange de données doit être conforme aux exigences s’appliquant à la diffusion de PCC ou de PSC, bien que les données ne soient pas tenues d’être diffusées par l’intermédiaire des systèmes officiels de diffusion des produits.

ANNEXE G : Politique et balises à respecter dans le cas des échanges internes

(NC) La politique du CST indique que les ICPC peuvent être échangées en interne pour peu que les échanges respectent les balises énoncées ci-dessous. Or, rappelons que l’OSSNR n’a pas été en mesure de vérifier si ces balises ou les définitions connexes étaient conformes au droit, mais il n’est pas exclu que ce type de vérification ait lieu au cours des prochains examens. Au reste, l’OSSNR n’a pas non plus été en mesure de voir si les exigences de la politique avaient été respectées.

Du volet renseignement étranger au volet cybersécurité

(TS) Pour ce qui a trait au volet RE, les ICPC doivent avoir été jugées essentielles et pertinentes pour les activités de ce volet RE avant que les échanges aient lieu, conformément aux dispositions de l’alinéa 34(2)c) de la Loi sur le CST. D’après la politique du CST, les informations doivent avoir été considérées comme étant essentielles pour les affaires internationales, la défense ou la sécurité, ce qui comprend la cybersécurité. Or, l’adjectif « essentiel » n’est pas défini dans la politique du CST, quoique celle-ci énonce les critères suivant lesquels il convient d’évaluer les ICPC dans un contexte de protection de la vie et de la sûreté des individus ou de défense contre les activités criminelles qui menacent la sécurité du Canada.

(TS) Pour qu’elles soient échangées aux fins des activités du volet cybersécurité du mandat, les ICPC de RE doivent être pertinentes pour le volet cybersécurité. Or, ces ICPC doivent être évaluées plus avant sur le plan de la nécessité dans le contexte du volet cybersécurité, ce qui permet de savoir si les informations sont nécessaires à la protection des systèmes du GC ou des systèmes désignés comme étant importants. Or, c’est en vertu de la politique qu’il y a lieu de décider d’appliquer les balises délimitant la sphère de nécessité visée au paragraphe 44(1) de la Loi sur le CST.

(TS) La politique du CST exige le respect du principe de nécessité, [description des opérations du CST expurgé]. Ces informations sont nécessaires à l’exercice du mandat de cybersécurité dans la mesure où elles contribuent à la protection des systèmes du GC, mais aussi des systèmes et réseaux d’importance (notamment le blocage de certains types de trafic). Toutefois, les individus et les entités identifiables ne sont pas les points de mire de l’activité. Or, dans le contexte de la cybersécurité, le CST estime que le risque de préjudice à l’attente raisonnable en matière de protection de la vie privée de l’individu est relativement faible et que, par conséquent, le seuil de nécessité justifie la communication d’ICPC acquises par le RE vers le volet cybersécurité.

Du volet cybersécurité au volet renseignement étranger

(TS//SI) Dans le contexte du volet cybersécurité, les ICPC acquises en vertu d’une AM doivent avoir été jugées pertinentes, mais aussi essentielles avant tout échange, conformément au critère d’essentialité énoncé à l’alinéa 34(3)d) de la Loi sur le CST. Or, d’après la politique du CST, les ICPC sont considérées comme étant essentielles lorsque, sans elles, le CST ne serait en mesure de protéger ni les systèmes des institutions fédérales, ni les réseaux et systèmes d’importance, ni les informations électroniques que ces systèmes et réseaux contiennent. Toutefois, les ICPC qui ne sont pas acquises en vertu d’une AM, notamment les renseignements sur les clients, ne doivent répondre qu’au critère de nécessité.

(TS) Les ICPC échangées sont également évaluées sur le plan de l’essentialité pour le volet RE (c.-à-d. essentiel pour les affaires internationales, la défense ou la sécurité), qu’une AM de cybersécurité ait été délivrée ou non. La décision d’évaluer plus avant les ICPC acquises par la cybersécurité sur le plan de l’essentialité et selon les critères du RE relève de la politique, [description des opérations du CST expurgé].

(TS//SI) Comme l’a expliqué le CST, les ICPC acquises par la cybersécurité et échangées en interne en guise de soutien au volet RE ont pour objet de protéger les institutions fédérales ou les réseaux et systèmes d’importance, mais aussi les informations électroniques qui y sont conservées. Ces ICPC servent à identifier les menaces étrangères qui pèsent sur les systèmes canadiens, un objectif qui cadre parfaitement avec les

ANNEXE H : Échanges internes des ICPC au CST

Figure : Diagramme du processus de partage interne de l'IRTC au CST

Share this page
Date de modification :

Examen de Programme d'établissement de rapports sur la sécurité mondiale d'Affaires mondiales Canada

Document d’information

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC.

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Sommaire

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Plus important, l’examen conclut que même si le PERSM est assujetti à la Convention de Vienne sur les relations diplomatiques (CVRD), il fonctionne sans recourir à des conseils juridiques qui permettraient d’évaluer les activités exercées dans le cadre du Programme. De même, les agents du PERSM ne reçoivent pas de formation adéquate relativement à leurs obligations juridiques. En l’occurrence, les activités menées à l’étranger par certains agents du PERS suscitent des préoccupations voulant que certaines d’entre elles ne soient pas exercées selon les fonctions et obligations établies en vertu de la CVRD.

Même si les agents du PERSM se servent de la CVRD comme d’un bouclier destiné pour leurs actions, certains d’entre eux n’ont semblé ni apprécier les limites de cette immunité ni comprendre la portée réelle de leurs fonctions et obligations. De plus, il n’était pas certain que tous les agents comprennent qu’une fois déchus de leur immunité diplomatique, ils s’exposaient à des mesures de rétorsion de la part des États accréditaires. L’examen a relevé l’absence d’évaluations de risques, de protocoles de sécurité et de conseils juridiques à l’égard des contrôles accrus que les agents du PERSM peuvent susciter de par la nature de leurs priorités en matière de rapports.

En tant que partenaires gouvernementaux à l’étranger, le SCRS et le PERSM interagissent fréquemment entre eux, dans la mesure où leurs mandats respectifs se recoupent. On observe que la coordination entre les missions et les administrations centrales du SCRS et d’AMC sont lacunaires, ce qui donne lieu à une gouvernance incohérente lorsqu’il s’agit [caviardé].

L’examen a également permis de constater que le Programme ne s’était pas doté de mesures de protection apte à garantir la sûreté des contacts à l’étranger. Or, bien que la plupart des interactions entre les agents et les contacts soient sans graves conséquences, le Programme ne semble pas en mesure d’apprécier les risques liés à certaines de ces interactions. Significativement, l’examen a relevé quelques sources de préoccupation potentielles concernant la façon dont les renseignements identificateurs canadiens sont gérés. En conséquence, il est recommandé qu’AMC soumette le Programme à une évaluation des facteurs relatifs à la vie privée.

La création d’une entité de renseignement étranger au sein d’AMC, ou encore le consentement à un changement d’orientation de la mission du PERSM permettant de collecter secrètement de l’information, contreviennent aux principes de la CVRD. Par conséquent, l’OSSNR croit qu’il est important que le gouvernement réfléchisse aux questions soulevées par le présent examen et en vienne à prendre une décision quant aux moyens à privilégier pour la collecte de ce type d’information. L’OSSNR reconnaît que le présent enjeu ne relève pas de son champ de compétence et qu’il pourrait plutôt nécessiter l’attention du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR). Nous avons l’intention de mettre le présent rapport à la disposition de nos homologues en matière d’examen de sorte à amorcer la démarche de réflexion.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées aux alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Introduction

Le Programme d’établissement de rapports sur la sécurité mondiale (PERSM) d’Affaires mondiales Canada (AMC) collecte et dissémine de l’information en soutien aux priorités du Canada en matière de renseignement. Au fil de ses quelque vingt années d’existence, le Programme a considérablement évolué, et les produits du PERSM en sont venus à retenir l’attention non seulement des ministères et organismes du gouvernement du Canada (GC), mais aussi des États alliés.

Le présent examen était le premier que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) réalisait de façon autonome relativement à des activités exercées par AMC. D’ailleurs, pendant qu’il examinait les activités du programme unique et complexe que représente le PERSM, l’OSSNR a eu l’occasion de mieux connaître le mandat, les politiques et les autorisations juridiques d’AMC.

L’OSSNR s’est donné pour objectif d’établir si les activités du PERSM étaient menées conformément aux dispositions de la loi et des politiques ainsi qu’aux procédures en vigueur, et de déterminer si les activités étaient justes et nécessaires. De plus, l’examen de l’OSSNR avait également pour objet d’établir si les politiques et procédures du Programme étaient suffisamment élaborées pour soutenir des activités à l’étranger.

La période d’activité visée par la présente étude s’étend du 1er janvier 2017 au 31 décembre 2019, quoique l’OSSNR s’est également penché sur de l’information concernant des éléments antérieurs ou postérieurs à cette période. L’OSSNR a aussi examiné un échantillon significatif des missions du PERSM, lequel a offert une diversité de perspectives quant à la nature et la portée des activités du Programme.

Compte tenu des circonstances particulières attribuables à la création récente de l’OSSNR et aux difficultés connexes sur le plan de la logistique et des procédures associées à cette transition, il convient de rappeler que le présent examen n’a été rendu possible que grâce au soutien du personnel d’AMC, plus particulièrement celui des membres de l’Unité de liaison avec les organismes de surveillance externe. De plus, l’OSSNR tient à remercier le SCRS et son équipe Examen externe et Conformité pour avoir facilité le déroulement de l’examen. En outre, le présent rapport devait être achevé au cours de l’été de 2020, mais l’échéance a été reportée en raison de la pandémie de COVID-19, laquelle a débuté au moment où l’OSSNR en était au stade initial d’établissement de la portée de l’examen.

Historique du PERSM

Pendant la Guerre froide, l’établissement des rapports de sécurité était intégré à la production des rapports politiques effectués par les diplomates Canadiens en poste à l’étranger,. Pour combler ses besoins en matière d’information en matière de sécurité, la collectivité de la sécurité et du renseignement (S et R) du Canada misait principalement sur ces rapports. Une fois la Guerre froide terminée, l’établissement des rapports de sécurité n’était plus régulièrement incorporé à la production des rapports politiques par les diplomates affectés à l’étranger. En outre, ce changement témoigne de ce qui suit :

« un ordre mondial en évolution et ponctué de défis de sécurité inédits; des priorités nouvelles et évolutives au niveau national et ministériel; une perte d’expertise se manifestant à mesure que les diplomates et les gestionnaires quittaient leurs postes ou partaient à la retraite; et d’importantes réductions de personnel dans la fonction publique conjuguées aux restrictions budgétaires strictes des années 1990 sont autant de facteurs qui ont eu une incidence sur les activités et les priorités d’AMC. »

Le PERSM a été créé peu après les événements du 11 septembre 2001. Dans sa forme actuelle, le Programme compte un personnel d’une trentaine de diplomates appelées à se consacrer ouvertement aux rapports fondés sur une seule source – à partir d’un réseau principalement constitué de contacts « non traditionnels » – portant sur des enjeux d’intérêt pour la collectivité canadienne de la sécurité, du renseignement, de la défense et des politiques étrangères. Les agents du PERSM (ou les agents) exercent leurs fonctions à l’intérieur, mais aussi à l’extérieur des capitales des États hôtes, et se déplacent régulièrement vers les zones moins fréquentées par les diplomates. Depuis 2009, ces rapports (qui alimentent les décideurs canadiens et alliés) sont en phase avec les priorités du GC en matière de renseignement.

Les agents du PERSM se rapportent à la Direction d’analyses et de rapports de renseignement (INA), laquelle relève de la Direction générale du renseignement dont le responsable est le SMA, Sécurité nationale et affaires politiques. Le PERSM s’est doté d’une structure de gestion matricielle : au niveau de la mission, les agents relèvent du gestionnaire, Service de la politique étrangère et de la diplomatie (SPED) ou du chef de mission (CDM), alors que l’Administration centrale (AC) du PERSM détermine principalement les priorités s’appliquant aux agents en matière de collecte. De plus, l’AC du PERSM établit les attentes à l’égard du Programme.

Conclusions et recommendations

Utilité du PERSM

Le PERSM est le seul programme diplomatique canadien qui soit financé dans le but de collecter de l’information de sécurité officielle. Le PERSM fonctionne comme une ressource réservée dans la mesure où la majeure partie du temps (dans une proportion de 90 %), un agent se consacre à la production de rapports à une seule source. Aucun autre programme d’AMC ne consacre autant de ressources à la « collecte pure ».

Les clients du PERSM ont maintes fois indiqué que les rapports fournissaient de l’information pertinente qui répond aux besoins de leurs ministères ou organismes respectifs en matière de collecte. De fait, les rapports du PERSM offrent des perspectives « pragmatiques » produites par un groupe diversifié, ce qui est unique lorsqu’on compare ces rapports à ceux des autres modalités de collecte du GC. Les destinataires ont indiqué que les rapports fournissaient de l’information utile concernant les menaces et les tendances générales dans les nouveaux secteurs d’intérêt.

Des clients ont souligné que l’un des principaux atouts du PERSM était la priorité accordée à la formation linguistique, laquelle prévoit, dans certains cas, plus d’une année de formation comprenant des périodes d’immersion dans le pays en question. Les clients du PERSM ont remarqué que la maîtrise des langues était une valeur sûre pour le Programme.

De plus, les clients ont salué la capacité du Programme à affecter rapidement des agents à la couverture de questions, de secteurs ou d’événements particuliers qui sont d’une grande valeur pour le GC. Or, malgré ces avantages, un examen des documents du PERSM révèle le besoin d’améliorer les mécanismes de rétroaction sur les produits, ce qui permettrait d’établir dans quelle mesure les rapports répondent aux besoins des clients.

Fonctions et obligations en vertu de la Convention de Vienne sur les relations diplomatiques

Les fonctions que les missions diplomatiques sont légalement tenues d’exercer ainsi que les obligations incombant aux diplomates qui jouissent de privilèges et d’une immunité dans un État accréditaire sont établies en vertu de la Convention de Vienne sur les relations diplomatiques (CVRD). En vertu du droit international coutumier, la CVRD est généralement acceptée en tant que codification du droit, des règlements et des pratiques en matière de diplomatie. Selon AMC, les fonctions du PERSM correspondent à celles qui sont exercées par les missions diplomatiques et qui sont décrites à l’article 3 de la CVRD. Conformément à l’énoncé de l’alinéa 3(1)d)17, il exerce une partie des fonctions de la mission diplomatique en s’informant par tous les moyens licites des conditions et de l’évolution des événements dans l’État accréditaire et en faisant rapport à ce sujet au gouvernement de l’État accréditant. L’alinéa 3(1)d) exige précisément que les rapports diplomatiques soient produits « par des moyens licites ».

D’après le paragraphe 41(1) de la CVRD, les diplomates qui exercent les fonctions énumérées à l’article 3 et qui bénéficient des privilèges et immunités dans l’État accréditaire ont le devoir « de respecter les lois et règlements de l’État accréditaire » et de « ne pas s’immiscer dans les affaires intérieures de cet État ». Tout manquement à ces obligations constitue un abus de privilège ou d’immunité (ce que l’on appelle également abus des fonctions diplomatiques).

Recours applicables en cas d’abus de l’immunité diplomatique et des privilèges connexes

Tel qu’il est indiqué dans la CVRD, les recours en cas d’abus de privilège ou d’immunité comprennent les suivantes : informer l’État accréditant que le diplomate en question est persona non grata (article 9 de la CVRD) et, dans quelques cas extrêmes, rompre les relations diplomatiques, lesquelles sont établies par consentement mutuel, comme l’explique l’article 2 de la CVRD.

Il importe de noter qu’en pareil cas, l’État accréditeur n’est pas tenu de justifier le recours qu’il exerce. Ainsi, la perception d’abus peut constituer un motif d’expulsion d’un diplomate ou de rupture des relations diplomatiques tout autant que l’abus avéré. Dans l’affaire des otages détenus à Téhéran, la Cour internationale de justice a expliqué la discrétion qui est ancrée dans ce régime de la façon suivante :

L’article 9 […] de la convention […] tien[t] compte de la difficulté qu’il peut y avoir en pratique à prouver de tels abus dans chaque cas ou même à déterminer exactement quand l’exercice de la fonction diplomatique […] peut être considéré comme se traduisant par des actes d’« espionnage », ou d’« ingérence dans les affaires intérieures ». Le paragraphe 1 de l’article 9 prend en compte ce type de difficulté en déclarant expressément, dès la phrase initiale que « [l’]État accréditaire peut, à tout moment et sans avoir à motiver sa décision », informer l’État accréditant que tout membre du personnel diplomatique de la mission est « persona non grata » ou n’est « pas acceptable. »En plus de ce moyen de remédier aux abus de la fonction diplomatique que peuvent commettre les membres d’une mission à titre individuel, l’État accréditaire dispose d’un remède plus radical si les abus prennent de graves proportions. C’est le pouvoir discrétionnairequ’a tout État accréditaire de rompre les relations diplomatiques avec un État accréditant et de demander la fermeture immédiate de la mission coupable. (Soulignement ajouté par l’OSSNR)

L’immunité dont jouissent individuellement les diplomates cesse « au moment où [ils] quittent le pays ou à l’expiration d’un délai raisonnable qui [leur] aura été accordé à cette fin […] ». En certaines circonstances, l’État accréditaire peut intenter une poursuite contre un diplomate en cas d’infraction à son droit interne, une fois que l’immunité personnelle du diplomate en question a cessé.

Les actes accomplis par un diplomate « dans l’exercice de ses fonctions comme membre de la mission » continuent de bénéficier de l’immunité même lorsque l’immunité personnelle du diplomate a cessé. Toutefois, les actes qui ne font pas partie des fonctions légitimes d’un diplomate ne continueront pas de bénéficier de l’immunité. En l’occurrence, le diplomate peut être passible de poursuites pour les infractions qu’il aurait commises en cours de mission s’il devait retourner dans le pays accréditaire sans avoir préalablement obtenu la protection de l’immunité diplomatique ou s’il omet de quitter le pays accréditaire avant l’expiration du délai raisonnable qui aurait été fixé.

Bien entendu, il y a d’autres moyens plus modérés dont dispose l’État accréditaire pour réagir aux abus de fonctions d’un diplomate, et ce, sur le plan tant juridique que politique. Hormis les risques plus improbables d’expulsion ou de rupture des relations diplomatiques, il existe plusieurs types de dommages à la réputation qui peuvent résulter des atteintes aux dispositions de la CVRD. L’OSSNR insiste sur le fait que les agents du PERSM devraient se montrer hésitants avant de placer un État accréditaire à exercer un recours.

Lorsque les activités du PERSM s’écartent du cadre juridique s’appliquant aux fonctions diplomatiques régies par le droit international, il conviendrait aussi de savoir si ces activités respectent le droit canadien. Les relations diplomatiques se poursuivent en vertu de la prérogative de la Couronne sur la conduite des relations internationales, laquelle est assujettie au droit international. L’on considère que les règles prohibitives du droit international coutumier, lesquelles englobent les règles prohibitives du droit diplomatique, sont intégrées dans la common law canadienne, à moins qu’une loi stipule le contraire. De même, la prérogative de la Couronne est partie intégrante de notre common law. Il faut donc prendre en compte la façon dont l’exercice de la prérogative de la Couronne se concilie avec ces règles prohibitives.

Perceptions

Fonctions diplomatiques vs fonctions du renseignement

Au sein de la Direction générale du renseignement d’AMC, les directives en matière d’établissement de rapports du PERSM découlent des priorités du Canada en matière de renseignement. Néanmoins, AMC présente le Programme à l’OSSNR comme une entité répondant aux normes habituelles en matière de production de rapports diplomatiques. En fait, l’OSSNR perçoit le Programme comme une entité naviguant en zone grise, pris entre deux éléments d’une même dichotomie.

Les agents du PERSM sont postés dans divers pays pour y collecter de l’information répondant aux priorités du GC en matière de renseignement. Ces pays se distinguent souvent par leurs piètres bilans en matière de droits de la personne; un haut degré de méfiance de la part des étrangers; ils se montrent généralement implacables en matière de sécurité interne; et ils tendent à recourir à des mécanismes de surveillance de masse à l’endroit des étrangers et citoyens. Voilà pourquoi la perception que les États accréditaires ont des activités du PERSM constitue un facteur que le Programme doit prendre en compte.

Lorsque l’OSSNR a demandé de quelle manière le Programme expliquait les écarts entre ce qui constitue des activités permises et les lois de l’État accréditaire, les agents du PERSM ont fait valoir qu’ils exerçaient leurs fonctions en vertu de la CVRD27. Même s’ils reconnaissaient avoir le droit d’exercer leurs fonctions au titre du droit diplomatique, les agents savaient très bien que l’État accréditaire pouvait percevoir leur rôle autrement. Certains agents ont indiqué qu’ils atténuaient ce risque en évitant de faire rapport sur des sujets sensibles.

Certes, le PERSM établit ses rapports en fonction des priorités en matière de renseignement et obtient de l’information de la part de contacts humains, mais les agents croient qu’ils se distinguent des praticiens du renseignement dans la mesure où ils agissent ouvertement à titre de membres accrédités d’une mission diplomatique et qu’ils ne rémunèrent ou ne préposent pas leurs contacts. En dépit de ces affirmations, la question de savoir si les actions d’un agent du PERSM sont « ouvertes » ou « secrètes » et si les agents rémunèrent les contacts ou les affectent à des tâches ou non est sans effet, lorsqu’il s’agit d’évaluer des allégations d’abus de privilège et d’immunité au titre de la CVRD. En fait, dans bon nombre de cas, les activités d’ingérence qui ont attiré l’attention des États accréditaires avaient manifestement été menées ouvertement.

Le risque

Les agents du PERSM doivent se montrer vigilants à l’égard de toute activité pouvant être perçue, par les États accréditaires, comme exclue des fonctions officielles d’une mission diplomatique. La présente partie de rapport fait brièvement état de certains des risques liés à ce facteur.

Risques encourus par le gouvernement du Canada et ses alliés

L’OSSNR s’attendait à découvrir un cadre de gouvernance du PERSM qui soit en mesure de faire clairement état des politiques internes et de fournir aux agents des directives sur la façon d’exercer leurs fonctions d’établissement des rapports diplomatiques. Or, le PERSM ne dispose pas d’un tel cadre.

Lorsqu’on l’a questionné au sujet de l’absence d’un cadre de gouvernance, le PERSM a indiqué qu’un ensemble de politiques n’était pas nécessaire puisque les agents [traduction] « font ce que les diplomates ont toujours fait ». Bien que la gestion du PERSM ait signifié que son personnel œuvrait à professionnaliser le Programme, la politique est actuellement :

established by the Head of the GSRP, exercising their judgement and discretion, and drawing on specialized expertise, including support from legal, human resources and finance divisions, and seeking formal or informal approval from senior executives as required and when appropriate.

Les orientations politiques fournies par le chef du PERSM sont communiquées aux agents par courriels. Il n’existe aucun registre central qui permette de gérer cette information. Outre l’insuffisance des structures de gestion de l’information, on note des lacunes sur le plan de la gestion de l’information dans d’autres secteurs. Entre autres, on a relevé des incompatibilités entre divers systèmes, sans compter les disparités qui persistent entre les missions sur le plan des accréditations de sécurité. Au reste, une partie de l’information est conservée à la mission exclusivement, ce qui limite la visibilité de l’AC et la capacité de celle-ci à suivre de près les activités des missions.

En conséquence de l’absence d’une structure de gouvernance adéquate, aux difficultés liées à la gestion de l’information et aux contraintes qui limitent la surveillance des activités des missions, le Programme n’a pas toujours été en mesure de gérer convenablement les risques.

À titre d’exemple, les responsables de l’examen ont relevé des cas où des alliés du Canada avaient mépris des agents du PERSM pour des représentants des services de renseignement canadiens.

Même si l’OSSNR n’a observé aucun cas où les agents du PERSM auraient intentionnellement induit les États accréditaires en erreur, il faut tout de même rappeler que dans un cas, le manque de compréhension concernant le mandat du Programme [caviardé].

Certains des destinataires des rapports du PERSM ont également indiqué que d’autres destinataires (particulièrement ceux dont les antécédents en matière de sécurité et de renseignement sont plutôt limités) n’ont pas vraiment compris que ces produits provenaient d’une seule source et qu’ils n’avaient été ni validés ni corroborés. En l’occurrence, cet élément est particulièrement pertinent, puisque par le passé, des agents du PERSM ont involontairement relayé de l’information dont on a ensuite conclu qu’il s’agissait de la mésinformation et de la désinformation40. Il convient de noter que le PERSM a produit un peu plus de cinq mille rapports pendant la période visée par le présent examen, parmi lesquels on a compté deux occurrences de désinformation avérée pour dix rapports. De plus, les destinataires ont maintes fois souligné la mésinformation se trouvant dans les rapports du PERSM, mais l’OSSNR n’a pas été en mesure de vérifier tous les rapports du programme pendant le déroulement de l’examen.

Comme il a été noté précédemment, l’une des difficultés qui se posent au Programme est l’absence d’une surveillance qui soit suffisante. À l’AC, quatre employés à temps complet sont responsables de la gestion d’environ trente agents, de la vérification d’approximativement deux mille rapports chaque année, de la communication informelle d’orientations en matière de politique et de l’exercice de mesures de liaison avec les intervenants concernés43. Cette charge de travail prive l’AC de la capacité d’appliquer des contrôles de qualité adéquats sur les activités des agents.

Constatation no 1 : L’OSSNR conclut que les structures de gouvernance et de responsabilisation du PERSM ne sont pas suffisamment élaborées.

Constatation no 2 : L’OSSNR conclut que les activités du PERSM comportent le potentiel de risque inutile d’atteinte à la réputation et de préjudice politique pour le gouvernement du Canada.

Constatation no 3 : L’OSSNR conclut que le PERSM ne maintient pas adéquatement des registres centraux ou applique les des pratiques exemplaires en matière de gestion de l’information

Recommandation no 1 : L’OSSNR recommande que le PERSM se dote prioritairement d’un cadre de gouvernance.

Recommandation no 2 : L’OSSNR recommande qu’AMC applique, sur le plan de la conservation des données et de la gestion de l’information, les pratiques qui sont déjà énoncées dans les politiques du GC.

Partenariat opérationnel entre AMC et le SCRS

Le SCRS dispose d’un cadre qui énonce les attentes de l’État accréditaire sur le plan tant politique qu’opérationnel44. La Loi sur le SCRS fait état, à l’article 17, de la façon dont des ententes doivent être régies. De plus, il y a des Instructions ministérielles qui orientent la conduite du SCRS à l’étranger. Ce cadre de gouvernance structure les opérations du SCRS de sorte qu’elles respectent les lois nationales et internationales. Dans la plupart des cas, le SCRS préfère être le principal interlocuteur des partenaires étrangers de la sécurité et du renseignement, au même titre qu’AMC préfère être le principal allocutaire des représentants diplomatiques.

Dans au moins un cas, le PERSM – et non le SCRS – a constitué le principal point de contact auprès des services de renseignement de l’étranger. En l’occurrence, AMC a refusé d’approuver une relation au titre de l’article 17 entre le SCRS et [caviardé] en raison d’un dossier diplomatique sensible qui était toujours en cours. Toutefois, l’OSSNR n’a rien relevé qui puisse indiquer que d’autres relations concernant, entre autres, la GRC ou le PERSM aient été interdites de la sorte. Quoi qu’il en soit, bien qu’il arrive que le SCRS se voie refuser l’autorisation d’établir un lien avec un organe étranger en raison des termes d’une entente avec une entité étrangère, AMC n’impose pas ce genre de restriction.

En outre, il convient de rappeler que les obligations juridiques du SCRS et d’AMC au titre de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (LECCMTIEE) sont exactement les mêmes, mais qu’elles risquent d’être appliquées différemment. À titre d’exemple, tandis que le SCRS peut exercer un contrôle sur ceux avec qui il peut ou ne peut pas assurer la liaison uniquement dans la mesure où les Instructions du ministre le permettent (c.-à-d. art. 17, Loi sur le SCRS), AMC n’est pas assujetti à de telles restrictions. AMC mise plutôt sur des processus d’atténuation interne lorsqu’il échange de l’information avec des entités étrangères, ce qui, pour le SCRS, n’est pertinent que si le ministre permet déjà au Service d’entrer en contact avec ladite entité.

Certes, la gestion du PERSM a affirmé qu’il ne revenait pas aux agents d’assurer la liaison avec les services étrangers de sécurité et de renseignement, mais il faut savoir que les agents du PERSM n’ont pas toujours exposé ce facteur à l’OSSNR. Par exemple, certains agents ont interagi avec des membres des services de renseignement locaux, pendant que d’autres considéraient que ces interactions ne faisaient pas partie de leurs fonctions.

En plusieurs occasions, des États accréditaires ont demandé au SCRS de fournir des éclaircissements concernant ce qu’il percevait comme étant des activités inappropriées de la part d’agents du PERSM. Dans ces cas de figure, le SCRS a tenté de rassurer ces partenaires en faisant valoir que le PERSM n’était pas un programme secret de collecte. L’OSSNR a également relevé certaines difficultés dans les régions où les activités du SCRS et celles du PERSM se chevauchent (p. ex. les répertoires de contacts).

L’OSSNR a entendu bon nombre d’agents du PERSM dire qu’ils trouvaient que les partenaires de mission issus du SCRS étaient généralement ouverts et enclins à prodiguer des conseils en matière de sécurité. Dans un autre cas, l’agent du PERSM a signalé une relation hostile avec son homologue du SCRS.

L’OSSNR a aussi remarqué plusieurs cas où rien ne semblait indiquer que les agents du PERSM avaient établi de relations suffisamment productives avec le SCRS au sein de la mission. En l’occurrence, même si les personnes se montraient cordiales les unes envers les autres, on s’en tenait à très peu d’interactions, et les agents du SCRS se montraient plutôt réservés. Certes, l’OSSNR comprend bien les protections juridiques s’appliquant aux échanges d’information auxquels le SCRS participe, mais tout indique qu’il y aurait des lacunes sur le plan de la coordination et des interactions entre le PERSM et le SCRS sur le terrain.

Lorsque l’OSSNR a soulevé la question de la coordination à l’étranger, la direction du PERSM a soutenu que sur ce plan, aucun mécanisme ne serait nécessaire dans la mesure où le SCRS était un client du Programme et non un partenaire. En effet, c’est bien en tant que client que le SCRS reçoit les rapports du PERSM, mais ce qui est dit plus haut indique clairement qu’à l’étranger, le PERSM et le SCRS exercent leurs fonctions en grande proximité, ce qui nécessite de gérer les facteurs qui complexifient la coexistence.

Le SCRS et AMC font partie d’une même équipe de cogestion (EC) dont les membres travaillent au niveau des directeurs généraux et des sous-ministre. Or, l’OSSNR constate que même si l’EC peut très bien servir d’organe de coordination, rien n’indique que les leçons tirées à ce jour auraient été mises à profit sur le plan de la collaboration entre le PERSM et le SCRS. De plus, l’EC ne se réunit que rarement, ce qui réduit considérablement l’influence qu’il peut avoir.

Constatation no 4 : L’OSSNR conclut que les mesures de coordination entre le SCRS et le PERSM sont insuffisantes, ce qui donne lieu à des incohérences sur le plan de la gouvernance lorsqu’il s’agit de traiter avec des entités étrangères.

Recommandation no 3 : L’OSSNR recommande l’élaboration de lignes directrices claires en matière de coordination entre le SCRS et le PERSM. Il recommande également que le SCRS et le PERSM s’entendent sur l’approche à adopter lorsqu’il s’agit d’interagir avec des entités étrangères à l’extérieur du Canada.

Risques encourus par les agents

AMC a indiqué qu’il ne disposait d’aucune opinion juridique quant au cadre juridique s’appliquant au PERSM. L’OSSNR remarque qu’on n’a suffisamment établi ni la portée des fonctions exercées au titre de l’alinéa 3(1)d) au sein des missions diplomatiques ou au titre du paragraphe 41(1) de la CVRD ni les types d’activités suivant lesquels les agents du PERSM risquent d’être déclarés persona non grata par l’État accréditaire. Au nombre des éléments particulièrement ambigus, il faut compter la notion plutôt large d’ingérence diplomatique telle qu’elle figure au paragraphe 41(1), laquelle notion n’est pas clairement définie dans le contexte du droit diplomatique et mériterait qu’on s’y attarde plus avant. Plus le comportement d’un agent du PERSM est sensible, plus l’État accréditaire aura tendance à percevoir ce comportement comme de l’ingérence. D’autre part, le seuil de ce qui constitue de l’ingérence ne sera pas le même d’un État à un autre.

De même, lorsque leurs activités revêtent certains des aspects que l’on interprète généralement à l’espionnage, les agents du PERSM risquent d’outrepasser leur mandat, de violer les lois intérieures de l’État accréditaire et d’outrepasser les fonctions diplomatiques qu’ils sont légalement appelés à exercer en tant qu’agents du PERSM. L’équipe responsable des questions juridiques et stratégiques à AMC devra analyser ces risques en profondeur, comme l’expliquent les paragraphes qui suivent.

Les risques de ne pas créer des cadres juridique et stratégique pourrait porter atteinte à la réputation du Canada et de préjudice aux relations diplomatiques, sans compter les risques encourus par les agents du PERSM concernés. L’OSSNR a remarqué que plusieurs agents du PERSM se servaient régulièrement de la CVRD comme d’un bouclier protecteur de leurs actions. En effet, les agents n’ont pas eu l’air d’apprécier qu’un manquement aux obligations leur incombant au titre de la CVRD en vienne à constituer un abus de leur immunité et de leurs privilèges diplomatiques. L’alinéa 3(1)d) de la CVRD reconnaît les rapports fondés sur l’information obtenue par des moyens licites. Par conséquent, tout écart par rapport à cette exigence pose le risque que l’agent du PERSM ne jouisse plus d’aucune immunité dès lors que son affectation au poste diplomatique prend fin.

Le Code de conduite à l’étranger d’AMC reconnaît explicitement que les normes locales de l’État accréditaire doivent être respectées par les représentants du Canada et que les perceptions à l’égard de ces représentants peuvent avoir une incidence négative sur la réputation du Canada. En outre, les activités des agents du PERSM sont également régies par d’autres protocoles, lesquels portent notamment, sur les risques de catastrophes naturelles, les problèmes locaux en matière de santé, la criminalité et la sécurité matérielle de la mission.

Pour collecter de l’information pertinente, les agents du PERSM sont souvent appelés à se déplacer vers des régions dangereuses qui ne sont que rarement fréquentées par les autres diplomates. De plus, les agents du PERSM traitent également avec des contacts susceptibles de défendre des positions considérées comme étant délicates par les États accréditaires. À l’évidence, ces contacts n’auraient que peu de valeur pour le Programme si l’information qu’ils possèdent ou les points de vues qu’ils adoptent pouvaient être recueillis ailleurs. Certes, les diplomates sont d’emblée susceptibles d’attirer l’attention des autorités locales, mais il faut rappeler qu’en raison de la nature du mandat du PERSM, les agents du Programme courent un risque accru d’être surveillés par les États accréditaires.

Il semble y avoir une divergence entre l’AC du PERSM et la gestion de la mission. En effet, il semble n’y avoir aucune structure de responsabilisation qui soit partagée. Par conséquent, la prépondérance de l’un ou l’autre des groupes de gestion s’en trouve affaiblie. Par exemple, l’OSSNR a remarqué plusieurs cas où la structure hiérarchique n’était claire ni pour les partenaires du Programme ni pour la direction d’AMC. À titre d’exemple, le laps de temps qui s’est écoulé avant la réception de directives essentielles a placé un agent dans une situation où la poursuite des activités comportait désormais le risque d’être perçue comme une entorse aux dispositions de la CVRD.

Les formations ou les séances d’information que les agents du PERSM reçoivent concernant les paramètres qui déterminent les privilèges et les immunités diplomatiques ne sont pas adéquates. Ce manque de connaissance peut avoir des répercussions considérables sur l’aptitude des agents du PERSM à se conduire dans le respect du cadre de leurs fonctions diplomatiques. De plus, à partir du moment où l’immunité diplomatique d’un agent du PERSM prend fin, un État accréditaire pourrait vouloir imposer des mesures de représailles.

Étude de cas : acceptation et rapport concernant de l’information classifiée

À plusieurs reprises pendant le déroulement de l’examen, l’OSSNR a entendu les agents du PERSM dire qu’ils possédaient une bonne compréhension des balises juridiques qui régissent leurs actions. Cependant, un certain cas qui a eu lieu a mis en évidence la nécessité de veiller à ce les agents du PERSM soient suffisamment au fait de leurs obligations juridiques. En l’occurrence, un agent du PERSM a reçu, de la part de l’un de ses contacts, ce qui semblait être [caviardé] classifié [caviardé].

À l’instar du Canada, [caviardé] dispose de lois interdisant la divulgation d’information classifiée. Dès lors, les actions des agents du PERSM doivent être conformes à [caviardé]. De plus, l’article 41 de la CVRD stipule clairement que les diplomates sont tenus de respecter les lois et règlements de l’État accréditaire. Or, l’OSSNR n’a rien remarqué qui puisse indiquer que des consultations auprès d’un conseiller juridique auraient eu lieu en rapport avec ce cas particulier.

Dans un autre cas, un agent du PERSM à [caviardé] a demandé et reçu ce qui était probablement de l’information classifiée de la part d’un contact. L’information reçue comprenait des [caviardé].

Dans les deux cas examinés plus haut, les deux agents du PERSM semblaient croire que leurs actions se distinguaient des activités des agents de renseignement au motif qu’ils n’offraient aucune rémunération en échange de l’information. Comme il a été dit précédemment, ce motif n’est pas pertinent lorsqu’il s’agit de conformité aux dispositions de la CVRD. Qui plus est, les cas précités soulèvent des préoccupations quant aux abus de privilèges diplomatiques.

Les agents du PERSM ne disposent pas de lignes directrices claires sur la façon de procéder lorsqu’ils sont exposés à de l’information qui se trouve au-delà des limites qui circonscrivent la collecte diplomatique. L’OSSNR a relevé une occurrence où un agent du PERSM aurait reçu de l’information dont on soupçonnait qu’elle fût classifiée et l’aurait retournée à la source, comme il se devait. Toutefois, tout indique que le résultat était une conséquence du bon jugement affiché par l’agent plutôt que l’effet d’une directive explicite.

Constatation no 5 : L’OSSNR constate l’absence d’évaluation des risques et de protocoles portant précisément sur la surveillance accrue dont les agents du PERSM pourraient faire l’objet en raison de leurs priorités en matière d’établissement de rapports.

Constatation no 6 : L’OSSNR conclut que même s’il exerce ses fonctions en vertu de la CVRD, le PERSM agit sans tirer parti de conseils juridiques, lesquels lui permettraient d’évaluer les activités du Programme.

Constation no 7 : L’OSSNR conclut que les agents du PERSM ne reçoivent pas une formation adéquate sur leurs obligations juridiques.

Recommandation no 4 : L’OSSNR recommande que le PERSM élabore des protocoles sur les risques ainsi que des lignes directrices en matière de sécurité qui soient adaptés au PERSM

Recommandation 5 : L’OSSNR recommande qu’AMC réalise une évaluation juridique approfondie des activités du PERSM. Par la suite, les agents du PERSM devraient recevoir une formation consécutive aux résultats de ladite évaluation.

Risques encourus par les contacts

Comme il a été expliqué précédemment, plus les agents du PERSM agissent de façon sensible, plus leur conduite risque d’être perçue comme de l’ingérence par l’État accréditaire. C’est particulièrement vrai dans le cas des interactions entre les agents et les contacts. Il importe de souligner que les protections diplomatiques censément offertes par la CVRD aux agents du PERSM ne s’appliquent pas aux contacts. Ainsi, tout dépend a) de la mesure dans laquelle un contact est réellement libre de communiquer de l’information à un État étranger et b) de la mesure dans laquelle les activités d’un agent PERSM pourraient éveiller des soupçons importuns à propos de cette interaction.

Les agents du PERSM ont signalé diverses expériences vécues avec leurs contacts dans leurs environnements opérationnels respectifs, sur le plan du risque et de la sécurité. Compte tenu de la nature ouverte de la collecte, la plupart des agents du PERSM, tous environnements confondus, croyaient qu’il n’y avait pas vraiment lieu de se faire du souci pour les contacts. Dans les cas où ils reconnaissaient que certaines régions et/ou certaines circonstances posaient un risque élevé pour les contacts, les agents ont répondu que ces situations étaient fréquemment atténuées en suivant la piste proposée par le contact. En d’autres termes, comme le contact était celui qui connaissait le mieux l’environnement, l’agent du PERSM se rendait particulièrement attentif à ces aspects délicats.

Dans certains cas, des agents du PERSM ont exprimé leurs préoccupations quant à la sécurité de leurs contacts en raison de risques qu’il serait difficile d’atténuer. L’un des agents du PERSM a souligné, en cours d’entrevue, que son contact l’avait informé que leurs interactions attireraient une attention non voulue de la part des autorités locales. De même, un autre contact du PERSM a été mis en détention par les autorités locales et questionné concernant son interaction avec un agent du PERSM. En d’autres occurrences, des agents du PERSM ont évoqué un soulèvement politique ou un renforcement des mesures de sécurité pour expliquer pourquoi leurs contacts avaient abruptement cessé de leur parler.

Pendant le déroulement du présent examen, l’effet des distinctions entre contacts ouverts et sources clandestines a été omniprésent. À plusieurs égards, le désaccord de la gestion du PERSM sur le fait qu’un contact ne peut être perçu de la même façon qu’une source de renseignement est fondé. Certes, la plupart des interactions que les agents du PERSM peuvent avoir avec les contacts sont sans danger. Toutefois, compte tenu de la nature des exigences en matière de rapports dans le contexte du Programme, il y a eu des cas où les interactions entre le contact et l’agent ont comporté des risques considérables. À titre d’exemple, citons un cas où le PERSM [caviardé] s’est entretenu avec diverses personnes [caviardé].

Ces questions et ces régions ne sont pas reconnues comme étant hautement sensibles pour les États accréditaires, mais en revanche, elles correspondent largement aux enjeux par rapport auxquels on peut demander à une source secrète de collecter de l’information.

Le problème avec lequel le Programme doit composer sur le plan de la « gestion des contacts » est que tout ce qui, à première vue, s’apparente à ce qui relève d’un programme de « gestion des sources » prête le flanc aux critiques d’usage selon lesquelles les activités visées seraient associées de trop près aux rapports non diplomatiques. Par exemple, le Programme aurait certainement intérêt à s’inspirer des pratiques exemplaires s’appliquant à la gestion du HUMINT. Il n’en demeure pas moins que la possibilité de reconnaître les aspects qui comporteraient les plus grands avantages, spécialement dans le contexte d’un programme diplomatique, n’est pas évidente.

En l’absence d’une structure de gouvernance devant s’appliquer à la « gestion des contacts », les agents sont contraints de miser uniquement sur leur bon jugement pour savoir ce que ces interactions finiront par donner. Entre autres, l’agent doit déterminer qui il rencontrera, où la rencontre aura lieu et quels seront les protocoles de sécurité qu’il conviendra d’appliquer compte tenu des circonstances.

Il est arrivé que l’agent tente par ses propres moyens de renforcer la sécurité du contact, notamment, en décidant à la dernière minute de l’endroit de la rencontre, ce qui permet de réduire les risques qu’une tierce partie sache où la rencontre doit avoir lieu. Dans un autre exemple, l’agent a tenté de bloquer la localisation des dispositifs mobiles au moyen d’un sac Faraday.

Même si les mesures ont été prises dans l’intérêt des contacts rencontrés, les services de renseignement qui observent ces mesures pourraient avoir une tout autre perception quant à l’intention desdites mesures. Plus particulièrement, ce type de situation pose le risque que les contacts du PERSM soient perçus, par les États accréditaires, comme les éléments d’un service de renseignement hostile.

Quel que soit l’environnement ou le degré d’aisance avec le contact, on a remarqué des incohérences dans la façon dont les agents du PERSM donnaient des garanties à leurs contacts. Par exemple, certains agents garantissent à leurs contacts que les rapports du PERSM sont anonymisés ou confidentiels, alors que d’autres agents n’offrent aucune garantie de la sorte. Rien n’indiquait que les agents pouvaient montrer une compréhension commune quant aux garanties pouvant être offertes aux contacts ou que les contacts avaient une compréhension suffisante de ce qui pouvait advenir de l’information qu’ils fournissaient.

Les destinataires des rapports du PERSM ont maintes fois évoqué l’aisance avec laquelle ils étaient en mesure de reconnaître les contacts à partir des descriptions contenues dans les rapports. Fait à noter, la majorité des agents ont affirmé qu’ils produisaient des rapports à la suite de leurs rencontres avec des contacts canadiens. L’anonymisation de l’information sur les Canadiens est particulièrement importante lorsqu’il s’agit de veiller à ce qu’AMC remplisse ses obligations au titre de la Loi sur la protection des renseignements personnels ou d’autres dispositions législatives applicables. L’OSSNR envisage de se pencher sur la question à savoir si le PERSM remplit ses obligations en matière d’échange d’information relativement aux contacts canadiens.

Constatation no 8 : L’OSSNR conclut que le PERSM ne dispose pas de mesures qui permettent de protéger adéquatement les interactions avec les contacts à l’étranger.

Recommandation 6 : L’OSSNR recommande que le PERSM élabore, suivant une consultation auprès des conseillers juridiques d’AMC, un ensemble de pratiques exemplaires qu’il pourra appliquer aux interactions avec les contacts.

Recommandation 7 : L’OSSNR recommande qu’AMC soumette le PERSM à une évaluation des facteurs relatifs à la vie privée.

Conclusion

Le PERSM évolue dans une zone clairement grise; la vision du PERSM, quant au Programme, prévoit [traduction] « une intégration accrue, au sein du PERSM, des normes et des pratiques exemplaires en vigueur au sein de la collectivité du renseignement, tout en continuant d’incarner les valeurs cardinales de la diplomatie ». Le défi qu’il conviendra de relever dans l’immédiat sera de concilier ces valeurs et ces principes, et de produire les modalités permettant de les appliquer efficacement sur le terrain.

Le principe de réciprocité est un élément important de la diplomatie. Or, les activités de certains agents du PERSM à l’étranger soulèvent des préoccupations quant au fait que des diplomates du Canada ne se comportent pas conformément au cadre de leurs fonctions et obligations au titre de la CVRD, ce qui peut, au passage, avoir une incidence sur la façon dont ces États étrangers exercent leurs activités au Canada.

Le renseignement étranger collecté par les Canadiens est très recherché. Or, les universitaires et les hauts responsables de divers ministères ont clairement indiqué que les alliés du Canada souhaitent vivement que le Canada s’implique davantage.

La création d’une entité de renseignement étranger au sein d’AMC, ou le fait de permettre au PERSM de modifier l’orientation de la mission vers cette sphère de collecte, irait à l’encontre des principes de la CVRD. Ainsi, il serait important que le GC prenne en compte les enjeux soulevés par le présent examen et en vienne à établir les moyens les plus appropriés de collecter ce type d’information. L’OSSNR estime que les enjeux soulevés en cours d’examen devront susciter une réflexion approfondie sur la pertinence d’un service canadien consacré exclusivement au renseignement étranger. Or, ne relevant pas du mandat de l’OSSNR, cet enjeu pourrait nécessiter l’attention du CPSNR.

Annexe A: Constatations et recommandations

Constatation no 1 : L’OSSNR conclut que les structures de gouvernance et de responsabilisation du PERSM ne sont pas suffisamment élaborées.

Constatation no 2 : L’OSSNR conclut que les activités du PERSM comportent le potentiel de risque inutile d’atteinte à la réputation et de préjudice politique pour le gouvernement du Canada.

Constatation no 3 : L’OSSNR conclut que le PERSM ne maintient pas adéquatement des registres centraux ou applique les des pratiques exemplaires en matière de gestion de l’information

Constatation no 4 : L’OSSNR conclut que les mesures de coordination entre le SCRS et le PERSM sont insuffisantes, ce qui donne lieu à des incohérences sur le plan de la gouvernance lorsqu’il s’agit de traiter avec des entités étrangères.

Constatation no 5 : L’OSSNR constate l’absence d’évaluation des risques et de protocoles portant précisément sur la surveillance accrue dont les agents du PERSM pourraient faire l’objet en raison de leurs priorités en matière d’établissement de rapports.

Constatation no 6 : L’OSSNR conclut que même s’il exerce ses fonctions en vertu de la CVRD, le PERSM agit sans tirer parti de conseils juridiques, lesquels lui permettraient d’évaluer les activités du Programme.

Constation no 7 : L’OSSNR conclut que les agents du PERSM ne reçoivent pas une formation adéquate sur leurs obligations juridiques.

Conclusion no 8 : L’OSSNR conclut que le PERSM ne dispose pas de mesures qui permettent de protéger adéquatement les interactions avec les contacts à l’étranger.

Recommandation no 1 : L’OSSNR recommande que le PERSM se dote prioritairement d’un cadre de gouvernance.

Recommandation no 2 : L’OSSNR recommande qu’AMC applique, sur le plan de la conservation des données et de la gestion de l’information, les pratiques qui sont déjà énoncées dans les politiques du GC.

Recommandation no 3 : L’OSSNR recommande l’élaboration de lignes directrices claires en matière de coordination entre le SCRS et le PERSM. Il recommande également que le SCRS et le PERSM s’entendent sur l’approche à adopter lorsqu’il s’agit d’interagir avec des entités étrangères à l’extérieur du Canada.

Recommandation no 4 : L’OSSNR recommande que le PERSM élabore des protocoles sur les risques ainsi que des lignes directrices en matière de sécurité qui soient adaptés au PERSM

Recommandation 5 : L’OSSNR recommande qu’AMC réalise une évaluation juridique approfondie des activités du PERSM. Par la suite, les agents du PERSM devraient recevoir une formation consécutive aux résultats de ladite évaluation.

Recommandation 6 : L’OSSNR recommande que le PERSM élabore, suivant une consultation auprès des conseillers juridiques d’AMC, un ensemble de pratiques exemplaires qu’il pourra appliquer aux interactions avec les contacts.

Recommandation 7 : L’OSSNR recommande qu’AMC soumette le PERSM à une évaluation des facteurs relatifs à la vie privée.

Share this page
Date de modification :

Examen du ciblage des passagers aériens par l’Agence des services frontaliers du Canada (ASFC)

Date de publication :

Sommaire

Le programme de ciblage des passagers aériens de l’Agence des services frontaliers du Canada (ASFC) effectue des évaluations des risques sur les passagers entrants pendant qu’ils sont en route vers le Canada. Son objectif est de repérer les passagers susceptibles de présenter un risque plus élevé d’inadmissibilité au Canada ou de contrevenir à la législation frontalière de l’ASFC. Pour ce faire, il utilise les renseignements fournis par les transporteurs aériens commerciaux, appelés « information préalable sur les voyageurs » (IPV), et les données des dossiers passagers (DP), dans des processus à plusieurs étapes qui comprennent des méthodes de tri manuelles et automatisées. Ces processus s’appellent le « ciblage en fonction de la liste de vols » (CLV) et « ciblage fondé sur des scénarios » (CFS).

L’IPV ou les données des DP utilisées pour effectuer ces évaluations préalables à l’arrivée comprennent des renseignements personnels sur les passagers qui sont liés à des motifs de distinction illicite (âge, sexe, origine nationale ou ethnique) en vertu de la Loi canadienne sur les droits de la personne (LCDP) et de la Charte canadienne des droits et libertés (la Charte). L’ASFC exploite des renseignements d’une variété de sources pour déterminer lesquels de ces éléments de données montrent un risque dans les caractéristiques ou les habitudes de voyage des passagers, dans le contexte d’enjeux d’application de la loi bien précis, notamment les risques pour la sécurité nationale. Étant donnée l’importance potentielle de ces renseignements pour la sécurité nationale du Canada et les obligations opposées de l’ASFC d’éviter la discrimination, il est justifié de se pencher sur la validité des inférences sur lesquelles l’ASFC se fonde pour utiliser certains indicateurs qu’elle crée à partir de ces données sur les passagers pour effectuer ces évaluations des risques. Ces considérations ont aussi des implications pour les engagements internationaux du Canada à l’égard de la lutte contre le terrorisme et les crimes transnationaux graves ainsi que du respect de la vie privée et des droits de la personne dans le traitement des renseignements sur les passagers.

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé une évaluation approfondie du caractère licite des activités de l’ASFC dans la première étape de l’évaluation des risques préalable à l’arrivée, pendant laquelle les passagers entrants font l’objet d’un tri au moyen des données sur les passagers fournies par les transporteurs aériens commerciaux. L’examen a vérifié si l’ASFC se conforme aux restrictions établies dans les lois et les règlements relativement à l’utilisation de l’IPV et des données des DP et si elle respecte ses obligations concernant la non- discrimination.

L’OSSNR a conclu que l’ASFC utilise l’IPV et les données des DP conformément à la Loi sur les douanes, mais qu’elle ne documente pas ses activités de tri d’une manière qui permet la vérification efficace de la conformité aux restrictions réglementaires établies en vertu du Règlement sur la protection des renseignements relatifs aux passagers. Cette lacune était plus apparente dans la méthode de tri manuelle de l’ASFC, le ciblage en fonction de la liste des vols, que dans sa méthode automatisée, le ciblage fondé sur des scénarios.

En outre, l’ASFC était incapable de démontrer de manière cohérente qu’il était pleinement justifié d’utiliser certains indicateurs qu’elle crée à partir de l’IPV et des données des DP pour trier les passagers. C’est important, car l’utilisation par l’ASFC de certains indicateurs entraîne la différenciation des voyageurs en fonction de motifs de distinction illicite. Cette différenciation peut avoir une incidence négative sur l’emploi du temps, la vie privée et l’égalité du traitement des passagers, ce qui est susceptible de renforcer, de perpétuer ou d’accentuer un désavantage. Une justification adéquate d’une telle différenciation est requise pour démontrer que cette dernière n’est pas discriminatoire et représente une limite raisonnable au droit à l’égalité des voyageurs.

La tenue de dossiers est importante pour vérifier efficacement si les activités de tri du ciblage des passagers aériens sont conformes à la loi et respectent les droits de la personne, et l’OSSNR a relevé des manquements importants dans ce domaine. Ces manquements dans la tenue de dossiers résultent en partie du fait que les politiques, les procédures et la formation de l’ASFC ne sont pas suffisamment détaillés pour bien outiller le personnel de l’ASFC afin qu’il soit en mesure de reconnaître les risques de discrimination et de non-conformité et d’agir de manière appropriée dans ses fonctions. Les structures et les pratiques de surveillance ne sont pas assez rigoureuses pour cerner et atténuer ces risques. Ce problème est aggravé par une collecte et une évaluation insuffisantes de données pertinentes.

L’OSSNR recommande d’améliorer les pratiques de documentation du tri en vue de démontrer la conformité aux restrictions légales et réglementaires et de démontrer qu’il est justifié que l’ASFC compte sur les indicateurs qu’elle crée à partir de l’IPV et des données des DP. Cette documentation est essentielle à la surveillance interne efficace et à l’examen externe. L’OSSNR recommande également d’améliorer la formation et d’accroître la surveillance pour assurer que les pratiques de tri ne sont pas discriminatoires. Il pourrait s’agir d’actualiser les politiques et de recueillir et d’analyser les données nécessaires pour repérer, analyser et atténuer les risques de discrimination.

Pages préliminaires

Liste des sigles et acronymes

IPV Information préalable sur les voyageurs
CPA Ciblage des passagers aériens
ASFC Agence des services frontaliers du Canada
UE Loi canadienne sur les droits de la personneNovel Coronavirus/Coronavirus Disease of 2019European Union
CLV Ciblage en fonction de la liste des vols
IATA Association du transport aérien international
SIED Système intégré d’exécution des douanes
LIPR Loi sur l’immigration et la protection des réfugiés
RIPR Règlement sur l’immigration et la protection des réfugiés
PE Protocole d’entente
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
BVG Bureau du vérificateur général du Canada
CPVP Commissariat à la protection de la vie privée
SIPAX Système d’information sur les passagers
LRPCFAC Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
RRPD Règlement sur les renseignements relatifs aux passagers (douanes)
DP Dossier passager
RPRP Règlement sur la protection des renseignements relatifs aux passagers
DR Demande de renseignements
CFS Ciblage fondé sur des scénarios
PON Procédures opérationnelles normalisées
CSNU Conseil de sécurité des Nations Unies
É.-U. États-Unis

Liste des figures

Figure 1. IPV et données des DP

Figure 2. Étapes du processus de ciblage des passagers aériens

Figure 3. Processus pour élaborer des scénarios pour le CFS

Figure 4. Qu’est-ce qu’un vol ou un passager à risque élevé?

Figure 5. Cas où le lien avec un crime transnational grave ou une infraction de terrorisme n’était pas clair

Figure 6. Cas où la contravention potentielle n’était pas claire dans les avis de désignation de cibles

Figure 7. Critères légaux de la LCDP et de la Charte

Figure 8. IPV et données des DP liées à des motifs protégés

Figure 9. Cas où les indicateurs comportementaux correspondaient à des motifs protégés ou ne restreignaient pas la portée

Figure 10. Effets du tri initial sur les voyageurs

Figure 11. Résumé de l’évaluation de l’OSSNR des documents à l’appui des scénarios

Figure 12. Exemples de lacunes dans les documents à l’appui des scénarios

Figure 13. Exemple de scénario bien justifié

Figure 14. Importance de la justification des indicateurs utilisés dans le ciblage

Pouvoirs

L’OSSNR a réalisé cet examen en vertu de l’alinéa 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Introduction

Le programme de ciblage des passagers aériens de l’ASFC est l’un des multiples programmes qui aident l’Agence à s’acquitter de son mandat de « fournir des services frontaliers intégrés à l’appui des priorités [du Canada] liées à la sécurité nationale et à la sécurité publique et de faciliter la libre circulation des personnes et des marchandises [admissibles] ». Le ciblage des passagers aériens consiste à utiliser les données fournies par les transporteurs aériens commerciaux, appelés « information préalable sur les voyageurs » (IPV), et les données des DP pour effectuer des évaluations des risques préalables à l’arrivée. Ces évaluations ont pour objectifs de repérer les personnes susceptibles de présenter un risque plus élevé d’inadmissibilité au Canada ou de contrevenir à la législation frontalière de l’ASFC. En 2019-2020, l’ASFC a reçu cette information pour évaluer les risques que présentaient 33,9 millions de voyageurs internationaux à destination du Canada.

Le ciblage des passagers aériens est devenu un outil de plus en plus important pour le contrôle des passagers. L’installation des bornes libre-service de l’ASFC pour traiter les voyageurs arrivant dans les aéroports canadiens a réduit la capacité des agents des services frontaliers d’évaluer les voyageurs par des observations ou des interactions en personne, avec comme résultat que l’ASFC compte davantage sur les évaluations des risques préalables à l’arrivée, comme le ciblage des passagers aériens, pour repérer et interdire les personnes et les marchandises inadmissibles.

La situation frontalière canadienne laisse beaucoup de marge à l’ASFC pour déterminer comment mener ses activités. Les gens ont de plus faibles attentes raisonnables en matière de respect de la vie privée à la frontière. De brèves suspensions de la liberté de mouvement des passagers sont raisonnables, étant l’intérêt légitime de l’État à contrôler les voyageurs et à réglementer leur entrée. Cependant, les activités de l’ASFC ne doivent pas être discriminatoires. Par conséquent, tout traitement différentiel négatif fondé sur des motifs de distinction illicite, par exemple l’origine nationale ou ethnique, l’âge et le sexe, doit être justifié. La LCDP et la Charte créent des obligations distinctes à cet égard. L’IPV et les données des DP que l’ASFC utilise pour effectuer ces évaluations des risques préalables à l’arrivée comprennent des renseignements personnels au sujet des passagers qui correspondent ou s’apparentent étroitement à des motifs de distinction illicite, ce qui justifie d’examiner de plus près la conformité de l’ASFC à ces obligations. Comme le ciblage des passagers aériens comprend un contrôle des passagers visant à repérer les risques pour la sécurité nationale, l’examen de la validité des inférences sur lesquelles l’ASFC se fonde pour interpréter les renseignements sur les passagers a aussi des implications pour la sécurité nationale.

Le ciblage des passages aériens a aussi des implications pour les engagements internationaux du Canada à l’égard de la lutte contre le terrorisme et les crimes transnationaux graves ainsi que du respect de la vie privée et des droits de la personne dans le traitement des renseignements sur les passagers. Ce dernier engagement a eu une importance particulière pour l’Union européenne dans le contexte des négociations continues sur une entente actualisée pour l’échange de renseignements sur les passagers.

À propos de l’examen

Dans son examen, l’OSSNR s’est penché sur deux principaux aspects du caractère licite des activités de tri des passagers de l’ASFC dans le ciblage des passagers aériens et de leurs effets sur les voyageurs. Il a cherché à déterminer si les activités de tri de l’ASFC respectent les restrictions établies dans les lois et les règlements sur l’utilisation de l’IPV et des données des DP, et si les activités de tri des passagers respectent les obligations de l’ASFC concernant la non-discrimination en vertu de la LCDP et de la Charte. L’OSSNR s’attendait à constater que les activités de tri de l’ASFC sont menées avec l’autorisation légale appropriée et respectent les restrictions sur l’utilisation des données sur les passagers et les obligations concernant la non-discrimination, c’est-à-dire que toute différenciation entre les voyageurs fondée sur des motifs protégés est étayée par une justification adéquate.

L’examen s’est concentré sur les activités de tri pertinentes de l’ASFC dans le ciblage des passagers aériens pour cerner les risques potentiels pour la sécurité nationale et les infractions. Toutefois, il a aussi étudié le programme dans son ensemble dans les trois principales catégories de ciblage de l’ASFC (sécurité nationale, migration illicite et contrebande) pour bien évaluer sa gouvernance et ses opérations, puisqu’il recourt à l’analyse du renseignement. Le programme de ciblage des passagers aériens a été examiné tel qu’il était appliqué par l’ASFC entre novembre 2020 et septembre 2021.

L’examen s’est reporté aux sources d’information suivantes :

  • les documents du programme et les avis juridiques;
  • les renseignements fournis en réponse aux demandes de renseignements (réponses écrites et exposés);
  • [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait le nombre de scénarios qui étaient actifs le 26 mai 2021.***]
  • les documents à l’appui d’un échantillon de 12 scénarios qui étaient actifs le 26 mai 2021;
  • un échantillon de 83 cibles désignées entre janvier et mars 2021 (59 cibles désignées par CLV et 24 cibles désignées par CFS);
  • une démonstration en direct au Centre national de ciblage, qui est chargé du ciblage des passagers aériens;
  • des sources ouvertes, dont des articles de presse, des articles universitaires et des examens effectués par d’autres organismes;
  • des données sur le rendement antérieur et les développements stratégiques pertinents.

Déclaration de confiance

Pour tous les examens, l’OSSNR tente de vérifier de façon indépendante l’information qu’il reçoit. L’accès aux renseignements s’est fait par des demandes de renseignements et des exposés de l’ASFC. Pendant cet examen, l’OSSNR a corroboré l’information reçue dans des exposés verbaux en obtenant des copies des dossiers du programme et une démonstration en direct du ciblage des passagers aériens. L’OSSNR a confiance dans les conclusions et les recommandations du rapport.

Orientation du rapport d’examen

Après la présentation de renseignements contextuels essentiels sur les étapes et les activités comprises dans le ciblage des passagers aériens et la contribution de celui-ci à la réalisation du mandat de l’ASFC à la section 5, les conclusions et les recommandations de l’examen sont présentées à la section 6.

Dans la section 6.1, l’OSSNR a évalué la conformité de l’ASFC aux restrictions légales et réglementaires sur son utilisation de l’IPV et des données des DP. Des lacunes dans les méthodes de documentation des activités du programme de ciblage des passagers aériens de l’ASFC ont empêché l’OSSNR de vérifier si toutes les activités de tri respectent ces restrictions. Ces lacunes entravent aussi la propre capacité de l’ASFC d’assurer une surveillance interne efficace.

Dans la section 6.2, l’OSSNR a évalué le respect par l’ASFC de ses obligations concernant la non- discrimination en vertu de la LCDP et de la Charte. Des lacunes similaires dans la documentation et la tenue de dossiers ont empêché l’ASFC de démontrer, dans plusieurs cas, qu’il est justifié de recourir aux indicateurs qu’elle crée à partie de l’IPV et des données des DP pour procéder au tri des voyageurs entrants. Il est important de s’assurer que les pratiques de tri du programme de ciblage des passagers aériens sont étayées par des renseignements pertinents, fiables et documentés, pour démontrer que les droits à l’égalité des voyageurs sont respectés, parce que certains des indicateurs auxquels l’ASFC recourt pour trier les passagers sont liés à des motifs protégés et que le tri des passagers peut avoir des effets négatifs sur les voyageurs. L’OSSNR recommande un certain nombre de mesures pour améliorer la tenue de dossiers et pour cerner et atténuer les risques de discrimination.

Situation et contexte

Cible des passagers aériens et mandat de l’ASFC

Le programme de cible des passagers est administré au Centre national de ciblage10 et est actuellement soutenu par 92 équivalents temps plein11. Le ciblage des passagers aériens est l’un des multiples programmes de l’ASFC, et les évaluations des risques préalables à l’arrivée sont aussi effectuées sur le fret et pour d’autres moyens de transport, par exemple le transport maritime ou ferroviaire. À l’heure actuelle, ces évaluations sont effectuées uniquement sur les membres d’équipage et les passagers dans le cas des voyages aériens ou maritimes commerciaux. Le contrôle et les examens secondaires des voyageurs qui entrent au Canada par d’autres moyens de transport, par exemple par la route ou le train, sont effectués à la frontière.

Les évaluations des risques préalables à l’arrivée du programme de ciblage des passagers aériens visent à aider les agents des services frontaliers de première ligne à repérer les voyageurs et les marchandises susceptibles de présenter un risque plus élevé d’inadmissibilité au Canada ou de contrevenir à la législation frontalière de l’ASFC, et à les renvoyer pour un examen supplémentaire à leur arrivée à un point d’entrée canadien.

Les évaluations des risques préalables à l’arrivée sont effectuées en lien avec de multiples enjeux d’application de la loi, lesquels sont tous associés aux habitudes de voyage en constante évolution et aux caractéristiques des voyages qui peuvent varier d’une région du monde à l’autre. Le personnel du Centre national de ciblage reçoit de la formation, acquiert de l’expérience en milieu de travail et a accès à un grand volume de renseignements pour s’acquitter de ses fonctions.

Fonctionnement du ciblage des passagers aériens

Renseignements importants sur lesquels est fondé le ciblage des passagers aériens

Le ciblage des passagers aériens exploite deux ensembles de renseignements afin de trier les passagers pour les évaluations des risques. Le premier ensemble est constitué de renseignements au sujet des passagers que les transporteurs aériens commerciaux soumettent à l’ASFC en vertu de l’alinéa 148(1)d) de la Loi sur l’immigration et la protection des réfugiés (LIPR) et de l’article 107.1 de la Loi sur les douanes. Ces renseignements sont l’OPV et les DP. L’IPV comprend des renseignements sur un voyageur et sur son vol à destination du Canada. Les données des DP ne sont pas standardisées et sont constituées de renseignements sur les renseignements que les transporteurs aériens conservent dans leur système de réservation. Ces éléments de données sont des renseignements réglementaires au sens de l’article 5 du Règlement sur les renseignements relatifs aux passagers (douanes) et du paragraphe 269(1) du Règlement sur l’immigration et la protection des réfugiés.

Par souci de simplicité, l’OSSNR désigne l’IPV et les données des DP collectivement comme les « renseignements sur les passagers » dans cet examen, sauf indication contraire. La Figure 1 donne un aperçu des éléments de données de l’IPV et des données des DP. Après que l’ASFC les a reçus, les renseignements sur les passagers sont chargés dans son SIPAX, le principal système utilisé pour le ciblage des passagers aériens.

Figure 1 – IPV et données des DP IPV DP
Figure 1 : Graphique des informations préalables sur les passagers et des éléments du dossier passager

Le deuxième ensemble est composé de renseignements provenant d’une variété d’autres sources qui sont utilisés pour aider l’ASFC à déterminer quels éléments de données de l’IPV et des données des DP peuvent montrer des risques dans les caractéristiques ou les habitudes de voyage des passagers, dans le contexte d’enjeux d’application de la loi bien précis, et donc fournir des indicateurs pour le tri des passagers. Voici les principales sources :

  • les interdictions récentes majeures qui sont comparées avec les renseignements historiques relatifs à l’application de la loi, ainsi qu’avec l’IPV et les données des DP concernant les interdits;
  • les saisies aux points d’entrée;
  • les renseignements fournis par les agents de liaison à l’étranger;
  • les bulletins de renseignement internationaux;
  • les produits de renseignement diffusés par les partenaires nationaux et internationaux concernant les indicateurs et les tendances utiles communiqués par les organismes partenaires en fonction de leur champ d’expertise;
  • les sources ouvertes, dont les articles de presse, les articles d’opinion, les articles universitaires et les médias sociaux;
  • les produits de renseignements de l’ASFC tirés d’une ou de plusieurs des sources ci-dessus, par exemple les bulletins de renseignement, les instantanés et les tableaux de bord du ciblage, les évaluations des menaces nationales, les exposés de renseignement et les comptes rendus des nouvelles quotidiennes18.

La qualité des renseignements étayant les inférences de l’ASFC quant aux voyageurs susceptibles de présenter un risque élevé est importante pour garantir que le tri est raisonnable et non discriminatoire (voir la section 6.2).

Processus étape par étape du ciblage des passagers aériens

Le ciblage des passagers aériens, qui compte trois étapes principales, est illustré à la figure 2. Premièrement, les agents de l’ASFC trient les passagers en fonction de l’IPV et des données des DP à l’aide de méthodes manuelles ou automatisées. Deuxièmement, ils réalisent une évaluation des risques sur les passagers sélectionnés au moyen de différentes sources de renseignements. Troisièmement, les agents de ciblage décident s’ils doivent désigner une cible19 d’après les résultats de cette évaluation.

Figure 2 – Étapes du processus de ciblage des passagers aériens
Figure 2 : Diagramme horizontal des étapes du processus de ciblage des passagers aériens

Étape 1 : Tri des passagers

L’ASFC emploie deux méthodes distinctes pour trier les passagers à l’aide de l’IPV et des données des DP : le ciblage en fonction de la liste de vols et le ciblage fondé sur des scénarios.

Le ciblage en fonction de la liste de vols est une méthode de tri manuel qui compte deux étapes principales. Les agents doivent utiliser leur jugement pour faire des choix (voir la figure 4 pour en savoir plus).

  • Les agents de ciblage sélectionnent un vol parmi les vols qui doivent arriver au Canada ce jour-là et qu’ils estiment présenter un risque plus élevé de transporter des passagers susceptibles de contrevenir à la législation frontalière de l’ASFC.
  • Les agents de ciblage sélectionnent ensuite des passagers de ce vol pour une évaluation plus approfondie, d’après les renseignements les concernant dans la liste des passagers.

Le CFS est une méthode de tri automatisée qui se fonde sur des « scénarios » ou sur un ensemble préétabli d’indicateurs créés à partir des éléments de données de l’IPV et des données des DP que l’ASFC considère comme des facteurs de risque pour un enjeu d’application de la loi en particulier. Les données concernant les passagers de tous les vols entrants sont automatiquement comparées aux paramètres de chaque scénario. Tous les passagers dont les données correspondent aux paramètres d’un ou de plusieurs scénarios sont automatiquement sélectionnés pour qu’un agent de ciblage les évalue plus en détail.

[***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit les étapes de l’élaboration des scénarios. ***]

Figure 3 – Processus pour élaborer des scénarios pour le CFS

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit les étapes de l’élaboration des scénarios. ***]

Ces deux méthodes de tri sont toutes deux guidées par une analyse des renseignements, mais de façon légèrement différente. Dans le CFS, l’unité du renseignement de ciblage du Centre national de ciblage procède à une analyse pour repérer les combinaisons d’élément de données de l’IPV et des données des DP associées à des passagers et à des habitudes de voyages à risque élevé pour élaborer des scénarios, comme il est illustré à l’étape 1 de la Figure 3 ci-dessus. Dans le CLV, les agents de ciblage analysent les renseignements pour créer un « modèle mental » personnel de ce qui constitue des vols ou des passagers à risque élevé dans le contexte d’un enjeu d’application de la loi bien précis. Des exemples sont fournis à la Figure 4.

Figure 4 – Qu’est-ce qu’un vol ou un passager à risque élevé?

D’après les renseignements sur les tendances antérieures et les voyages futurs, les agents de l’ASFC repèrent certains vols ou aéroports comptant plus de voyageurs subséquemment trouvés en contravention de la législation frontalière de l’ASFC. L’ASFC évalue les vols partant de ces aéroports comme des vols à risque élevé.[***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donne des exemples de renseignements sur les vols que l’ASFC a indiqués comme étant associés à des contraventions passées.***]

En se fondant sur une analyse similaire, les agents de l’ASFC ont déterminé que certaines combinaisons de caractéristiques des voyageurs et d’habitudes de voyage sont ou peuvent être associées à des contraventions à la législation frontalière de l’ASFC. Les voyageurs qui présentent ces caractéristiques sont considérés comme des voyageurs à risque élevé. [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donne des exemples de renseignements sur les vols que l’ASFC a indiqués comme étant associés à des contraventions passées.***]

Étapes 2 et 3 : Évaluations des risques associés aux passagers et désignation de cibles

Le tri initial des passagers peut donner lieu à deux étapes supplémentaires pour ceux qui ont été sélectionnés pour un examen plus approfondi : une évaluation approfondie des risques associés aux passagers et la décision de désigner une cible si les risques déterminés initialement persistent.

Le processus d’évaluation des risques associés aux passagers comprend de demander et d’analyser les renseignements suivants pour déterminer si les risques initialement cernés dans l’IPV et les données des DP ne sont pas une préoccupation (« négation »), s’ils sont toujours préoccupants ou s’ils ont augmenté :

  • demandes de renseignements obligatoires et discrétionnaires dans les bases de données de l’ASFC et d’autres bases de données du gouvernement;
  • recherches dans les sources ouvertes (y compris les médias sociaux);
  • demandes de renseignements d’autres ministères du gouvernement du Canada et de la United States Customs and Border Protection (obligatoires pour toutes les contraventions potentielles relatives à la sécurité nationale, mais facultatives pour d’autres enjeux d’application de la loi).

Une cible est désignée lorsque l’évaluation des risques ne peut pas invalider les risques initialement inférés au sujet du passager. La désignation d’une cible consiste à envoyer un avis aux agents des services frontaliers à un point d’entrée du Canada (dans ce cas-ci, les aéroports) pour que le passager en question soit soumis à un examen secondaire. Cela ne signifie pas que le passager a contrevenu à la législation frontalière de l’ASFC. Un avis de désignation de cible comprend des renseignements sur le passager et les risques déterminés en relation avec la contravention potentielle.

Pendant les examens secondaires, les agents des services frontaliers posent une série progressive de questions. L’interrogatoire est guidé par les renseignements contenus dans l’avis de désignation de cible et par tous les autres renseignements accessibles aux agents, notamment ceux qui sont fournis par les voyageurs et les observations recueillies pendant l’examen. En se basant sur ces renseignements, les agents peuvent raisonnablement soupçonner le passager d’avoir contrevenu à des exigences relatives à la douane, à l’immigration ou autres qui sont appliquées par l’ASFC, et poser plus de questions ou approfondir l’examen. Cet examen peut comprendre une fouille des bagages ou une exploration des appareils numériques, si c’est nécessaire, avec l’approbation de la gestion. L’issue de cet examen détermine les prochaines étapes pour le voyageur.

Constatations et recommandations

Conformité de l’ASFC aux restrictions établies dans la législation et la réglementation

Restrictions applicables au ciblage des passagers aériens, et leur importance

Bien que le ciblage des passagers aériens ne soit pas explicitement discuté dans la législation, la Loi sur les douanes et la LIPR confèrent à l’ASFC le pouvoir législatif de recueillir l’IPV et les données des DP et de s’en servir dans le ciblage des passagers aériens. Cette utilisation est également appuyée par l’alinéa 4(1)b) du Règlement sur la protection des renseignements relatifs aux passagers, qui prévoit expressément l’utilisation des renseignements sur le DP pour effectuer des analyses des tendances ou élaborer des indicateurs de risque pour l’identification de certaines personnes à risque élevé31.

L’OSSNR est convaincu que ces dispositions législatives autorisent également l’ASFC à recueillir et à analyser les renseignements nécessaires pour soutenir le ciblage des passagers aériens. Ces renseignements sont nécessaires pour contextualiser son interprétation de l’IPV et des données des DP et déterminer quels éléments de données caractérisent les passagers et les habitudes de voyage à risque élevé dans le contexte des divers enjeux d’application de la loi. Cependant, l’examen n’a pas cherché à déterminer si tous les renseignements recueillis par l’ASFC étaient nécessaires pour mener ses opérations (dans le ciblage des passagers aériens ou ailleurs). Ce sujet connexe pourrait faire l’objet d’un prochain examen.

Ces dispositions d’habilitation restreignent l’utilisation par l’ASFC de l’IPV et des données des DP. Deux couches de restrictions sur l’utilisation s’appliquent : une est établie de la Loi sur les douanes ou de la LIPR comme lois d’habilitation, l’autre est établie par l’article 4 du Règlement sur la protection des renseignements relatifs aux passagers.

Dans son examen de la conformité au premier ensemble de restrictions, l’OSSNR s’est reporté au paragraphe 107(3) de la Loi sur les douanes, qui confère le plus vaste des deux pouvoirs. Le paragraphe 107(3) autorise l’ASFC à utiliser l’IPV et les données des DP :

  • pour l’application ou l’exécution de la Loi sur les douanes, du Tarif des douanes ou des lois connexes;
  • pour l’exercice des attributions conférées à l’ASFC sous le régime de la LIPR, notamment en matière d’identification de personnes et de détermination de leur admissibilité;
  • pour l’application de sa législation frontalière.

L’OSSNR a aussi examiné la conformité avec les restrictions sur l’utilisation établies à l’article 4 du Règlement sur la protection des renseignements relatifs aux passagers. Le Règlement limite l’utilisation par l’ASFC des données des DP à l’identification de personnes « qui ont commis ou pourraient avoir commis » une infraction de terrorisme ou un crime transnational grave. Les données peuvent être utilisées pour identifier de telles personnes directement ou pour effectuer des analyses des tendances ou élaborer des indicateurs de risque pour la même fin.

Le Règlement sur la protection des renseignements relatifs aux passagers a été promulgué pour remplir l’engagement du Canada à l’égard de son utilisation des données des DP dans le cadre d’un accord signé avec l’Union européenne. L’accord stipule que « les données des DP doivent être utilisées dans le but unique de prévenir et de combattre le terrorisme et les crimes liés au terrorisme, d’autres délits graves, y compris la criminalité organisée qui, par nature, revêtent un caractère transnational ». Bien que l’accord de 2006 soit expiré, les efforts continus déployés pour négocier un nouvel accord soulignent l’importance persistante de veiller à ce que l’ASFC demeure capable de démontrer qu’elle se conforme aux utilisations licites des données des DP. En outre, les restrictions établies dans le Règlement reflètent les décisions du ministre à l’égard de ce qui constitue une utilisation raisonnable et proportionnelle des données des DP par l’ASFC.

Sur le plan de la législation, les restrictions du Règlement sur la protection des renseignements relatifs aux passagers ne s’appliquent pas aux données des DP fournies à l’ASFC sous le régime de la LIPR. Toutefois, l’IPV et les données des DP sont intégrées dans ses systèmes. L’ASFC utilise aussi les données des DP pour désigner des cibles aux fins de la Loi sur les douanes et de la LIPR simultanément. Étant donné l’engagement de l’ASFC à l’égard de l’Union européenne en vertu de l’accord susmentionné et de ces autres considérations, l’ASFC respecte ces restrictions réglementaires dans son programme de ciblage des passagers aériens en application de la politique.

Pour évaluer la conformité au Règlement sur la protection des renseignements relatifs aux passagers, l’OSSNR a dû déterminer si l’enjeu d’application de la loi en cause dans la décision de tri correspondait aux définitions du Règlement d’une infraction de terrorisme ou d’un crime transnational grave.

Constatations de l’OSSNR

L’OSSNR a constaté que dans sa méthode de tri automatisée qu’est le CFS, l’utilisation par l’ASFC de l’IPV et des données des DP pour repérer les menaces potentielles et les contraventions à la législation frontalière était conforme aux restrictions légales. Pour sa méthode de tri manuelle, le CLV, l’OSSNR n’a pas pu évaluer les motifs de la sélection par l’ASFC de voyageurs individuels et n’a donc pas été en mesure de vérifier la conformité au paragraphe 107(3) de la Loi sur les douanes. Pour les deux méthodes, l’OSSNR n’a pas pu vérifier non plus si toutes les activités de tri étaient conformes aux restrictions réglementaires imposées par le Règlement sur la protection des renseignements relatifs aux passagers sur l’utilisation par l’ASFC des données des DP, à savoir que leur utilisation visait à déceler la participation potentielle à des infractions de terrorisme ou à des crimes transnationaux graves. Cela s’expliquait par le manque de précision des documents du programme de CFS et le manque de documents au sujet des motifs des décisions concernant le tri du CLV.

Les pratiques de CFS sont-elles conformes aux restrictions légales et réglementaires?

Dans le CFS, tous les scénarios étaient conformes aux restrictions législatives sur l’utilisation de l’IPV et des données des DP, car tous les scénarios ont été élaborés pour l’application ou l’exécution de la législation frontalière de l’ASFC. Cependant, dans plusieurs cas, les documents sur les scénarios n’indiquaient pas précisément pourquoi l’ASFC avait estimé qu’un enjeu d’application de la loi en particulier était lié à une infraction de terrorisme ou à un crime transnational grave. En raison de ce manque de précision, il n’a pas été possible de déterminer si les scénarios respectaient le Règlement sur la protection des renseignements relatifs aux passagers.

L’OSSNR a examiné les renseignements contenus dans les modèles de scénario, pour [***Phrase caviardée pour retirer ’information privilégiée ou préjudiciable. Elle indique le nombre de scénarios qui étaient actifs le 26 mai 2021.***]Les modèles exigent des renseignements sur les dispositions législatives spécifiques à la contravention potentielle que le scénario vise à déceler. De plus, ils exigent une description générale des renseignements associés au scénario, y compris la contravention potentielle.

L’utilisation par l’ASFC de l’IPV et des données des DP dans le CFS était conforme à la première couche de restrictions légales, car tous les scénarios visaient à repérer les contraventions à la LIPR, à la Loi sur les douanes, au Tarif des douanes et à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, ce qui est une utilisation autorisée par le paragraphe 107(3) de la Loi sur les douanes. Dans beaucoup de cas, le but du scénario était aussi conforme aux restrictions complémentaires en vertu de la LIPR.

En ce qui concerne la deuxième couche de restrictions imposée par le Règlement sur la protection des renseignements relatifs aux passagers, la plupart des scénarios invoquaient des dispositions relatives à des contraventions potentielles qui étaient raisonnablement considérées comme étant liées au terrorisme ou à des crimes transnationaux graves. Dans plusieurs cas, toutefois, le lien avec le terrorisme ou un crime transnational grave n’était pas clair, pour l’une ou l’autre de ces deux raisons :

  • Les scénarios n’indiquaient pas comment la contravention potentielle invoquée pour expliquer le but du scénario était liée à une infraction punissable par une peine d’au moins quatre ans d’emprisonnement, ce qui est l’un des critères dans la définition d’un crime transnational grave. Le lien entre l’enjeu d’application de la loi en cause et un crime transnational grave n’était donc pas clair (cela a été observé dans au moins 28 scénarios). L’inclusion de plus de renseignements sur le lien entre la contravention potentielle et un crime transnational grave ou une infraction de terrorisme clarifierait ce lien.
  • Les scénarios invoquaient trois motifs graves distincts d’interdiction de territoire ou plus, par exemple les articles 34, 35, 36 ou 37 de la LIPR, sans fournir plus de détails pour expliquer pourquoi tous les motifs étaient pertinents pour l’enjeu dans le scénario (cela a été observé dans au moins 20 scénarios). À cause de cela, on ne pouvait pas savoir exactement pourquoi les motifs étaient liés à l’enjeu ou pourquoi le scénario avait trait à une infraction de terrorisme ou à un crime transnational grave. À cet égard, il serait souhaitable d’inclure des renseignements plus précis sur la pertinence des motifs d’interdiction de territoire pour l’enjeu en cause dans un scénario.

This obscured how the grounds related meaningfully to the conduct at issue and why the conduct related to a terrorism offence or serious transnational crime. Including more precise details on how each ground of inadmissibility included in a scenario is relevant to the conduct at issue would help in this regard.

Des exemples illustratifs sont fournis à la Figure 5, et de plus amples renseignements sur l’évaluation de l’OSSNR de la conformité à la Loi sur les douanes et du Règlement sur la protection des renseignements relatifs aux passagers sont fournis à l’annexe 8.3.

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donnait deux exemples où le lien avec un crime transnational grave ou des infractions terroristes n’était pas clair dans les scénarios.***]

Les pratiques de CLV sont-elles conformes aux restrictions légales et réglementaires?

Le manque de documents sur les raisons pour lesquelles les agents ont sélectionné certains vols ou passagers a empêché l’OSSNR de vérifier si les pratiques de tri du CLV étaient conformes aux restrictions sur l’utilisation de la Loi sur les douanes et du Règlement sur la protection des renseignements relatifs aux passagers. Ce manque de documents a aussi empêché l’ASFC de vérifier en interne si le tri du CLV respectait les restrictions sur l’utilisation.

Comme les agents de ciblage comptent sur leur jugement pour trier les passagers avec la méthode de CLV, la tenue de dossiers au sujet des décisions de tri est importante pour être en mesure de vérifier si le tri est conforme aux lois et aux règlements pertinents et adopter des mesures correctives, s’il y a lieu. Bien que le Centre national de ciblage ait une politique sur les carnets de notes qui exige que les agents consignent toute l’information sur leurs activités, la politique nationale sur le ciblage et les PON sur le ciblage des passagers aériens ne précisent pas quelles étapes du ciblage des passagers aériens doivent être documentées ou quels renseignements doivent être consignés à chaque étape. De plus, les PON sur le ciblage des passagers aériens, les Lignes directrices sur l'exposé narratif sur la cible et le format des avis de désignation de cible dans les systèmes de l’ASFC n’exigent pas que les agents incluent des renseignements précis sur la contravention potentielle qui a motivé leur décision de désigner une cible.

L’OSSNR a seulement pu déduire pourquoi un passager a été sélectionné pour une évaluation approfondie lors du CFS d’après les renseignements sur les cibles, malgré la valeur explicative limitée de l’analyse des cibles pour comprendre le tri initial. Des cibles ne sont pas désignées pour tous les passagers initialement sélectionnés : seulement 15 pour cent des passagers qui ont été sélectionnés pour une évaluation complète des risques ont été désignés comme des cibles en 2019-2020.

De plus, l’enjeu d’application de la loi indiqué dans les avis de désignation de cible peut avoir changé dans les étapes ultérieures du processus de ciblage des passagers aériens et ne reflète plus nécessairement l’enjeu qui a motivé la décision de tri initiale.

L’OSSNR a constaté que toutes les cibles d’un échantillon de 59 cibles désignées à la suite du CFV respectaient la première couche de restrictions sur l’utilisation selon le paragraphe 107(3) de la Loi sur les douanes, car cette dernière ou la LIPR était mentionnée dans les détails de la cible. Toutefois, les avis de désignation de cible ne précisaient pas toujours une contravention à ces lois, ce qui rendait difficile de déterminer le lien entre l’intérêt des agents pour les passagers et une infraction de terrorisme ou un crime transnational grave. D’après les autres renseignements descriptifs concernant les comportements ou les facteurs de risque contenus dans les avis de désignation de cible, il était seulement possible de supposer l’enjeu d’application de la loi et de déterminer qu’il s’agissait d’une infraction de terrorisme ou d’un crime transnational grave dans environ la moitié des cas (29 sur 59). Des exemples illustratifs sont fournis à la Figure 6.

Figure 6 – Cas où la contravention potentielle n’était pas claire dans les avis de désignation de cibles

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait deux exemples de cibles pour lesquelles la contravention potentielle n’était pas claire d’après les détails de l’avis de désignation.***]

Pourquoi la précision est-elle importante dans la tenue de dossiers?

Elle est importante pour garantir que la contravention potentielle soit claire dans les modèles de scénario et les avis de désignation de cible et que la tenue de dossiers sur les raisons qui motivent le tri du CLV soit effectuée correctement pour que l’on puisse vérifier efficacement si toutes les activités de tri sont conformes aux restrictions législatives et réglementaires.

Les fonctions de surveillance actuelles de l’ASFC consistent à examiner les nouveaux scénarios préalablement et parallèlement à leur activation et à examiner les cibles après leur désignation aux fins de contrôle de la qualité et de mesure du rendement. Toutefois, les lacunes dans les documents mentionnées ci-dessus empêchent l’ASFC de veiller à ce que toutes ses activités de tri respectent les restrictions législatives et réglementaires. Les mécanismes de surveillance de l’ASFC devraient vérifier si les scénarios et les pratiques de tri du CLV sont justifiés par des questions pertinentes pour l’application ou l’exécution de la législation frontalière de l’ASFC. Lorsque les données des DP sont utilisées, il faudrait aussi vérifier si l’enjeu d’application de la loi constitue ou indique une infraction de terrorisme ou un crime transnational grave. Il serait pratique, à cet égard, que les raisons justifiant les décisions de tri des passagers dans le CFS et le CLV soient consignées avec plus de précision et d’uniformité.

De plus, les lignes directrices sur les implications des restrictions législatives et réglementaires pour les activités de ciblage n’étaient pas clairement indiquées dans les politiques, les PON et le matériel de formation du Centre national de ciblage. Ces lignes directrices devraient comprendre des renseignements plus précis sur ce qui suit :

  • Quels enjeux concernant l’entrée et le séjour dans la LIPR ou autres contraventions à la législation frontalière de l’ASFC correspondent ou sont liés à un crime transnational grave ou à une infraction de terrorisme, et pourquoi?
  • Comment documenter les décisions de tri de manière cohérente pour pouvoir vérifier en interne et à l’externe si les activités de ciblage sont conformes à ces restrictions législatives et réglementaires?

Par exemple, le Cadre de gouvernance de ciblage basé sur des scénarios comprenait des exemples utiles de catégories de risques qui indiquaient les dispositions législatives connexes. Bien que les exemples concordent avec les définitions de crime transnational grave et d’infraction de terrorisme du Règlement sur la protection des renseignements relatifs aux passagers, aucune explication ne lie les exemples au Règlement. Il n’existe pas de lignes directrices équivalentes pour le CLV.

Il est aussi important d’indiquer clairement l’enjeu d’application de la loi potentiel pour vérifier les indicateurs créés à partir de l’IPV et des données des DP qui servent au tri des passagers se rapportent à l’enjeu et en sont prédictifs de manière fiable. Cela est important pour démontrer que les pratiques de tri sont raisonnables et non discriminatoires (voir la section 6.3).

Conclusion 1 : L’utilisation par l’ASFC de l’IPV et des données des DP dans le CFS était conforme au paragraphe 107(3) de la Loi sur les douanes.

Conclusion 2 : L’ASFC ne documente pas ses pratiques de triage d’une manière qui permette de vérifier efficacement si toutes les décisions de triage sont conformes aux restrictions légales et réglementaires.

Recommandation 1 : L’OSSNR recommande à l’ASFC de documenter ses pratiques de triage d’une manière qui permette de vérifier efficacement si toutes les décisions de triage sont conformes aux restrictions légales et réglementaires.

Conformité de l’ASFC aux obligations concernant la non-discrimination

Obligations de l’ASFC concernant la non-discrimination, et leur importance

La LCDP et la Charte établissent toutes deux des obligations concernant la non-discrimination. Les critères pour déterminer s’il y a eu discrimination sont similaires en soi, mais on trouve des différences dans leur approche et leur terminologie, comme il est illustré à la figure 7. L’analyse, avec les deux instruments, commence par une recherche de faits pour déterminer si les voyageurs sont différenciés en fonction de motifs de distinction illicite. Si c’est le cas, on détermine ensuite si cela a une incidence négative sur un voyageur ou renforce, perpétue ou accentue un désavantage. Dans l’affirmative, l’analyse effectuée aux termes de la LCDP examine s’il existe une justification de bonne foi pour la différenciation négative. L’analyse correspondante réalisée en vertu de la Charte examine si la limitation des droits à l’égalité des voyageurs est manifestement justifiée dans une société libre et démocratique.

Figure 7 : Tests juridiques dans le cadre de la loi sur les droits de l'homme et du diagramme de la Charte

Constatations de l’OSSNR

Le tri, dans le ciblage des passagers aériens, repose sur de multiples indicateurs qui sont créés à partir de l’IPV et des données des DP et dont certains sont des motifs protégés ou y sont étroitement liés. Les résultats du ciblage des passagers aériens, à savoir l’incidence sur les voyageurs, peuvent être jugés négatifs et peuvent renforcer, perpétuer ou accentuer des désavantages. Cela occasionne à première vue une discrimination54. Bien que ces limites sur les droits à l’égalité des voyageurs puissent être justifiables, des lacunes dans les documents du programme de l’ASFC ont empêché celle-ci de démontrer, dans plusieurs cas, que la différenciation négative était justifiée. Le personnel de l’ASFC a accès à un grand volume de renseignements, mais ils ne sont pas compilés et consignés d’une manière qui montre invariablement pourquoi certains indicateurs utilisés pour trier les passagers sont liés à une menace ou à une contravention potentielle, et ils ne montraient pas toujours que ces indicateurs étaient actuels et fiables. Ce manque de précision et de justification dans les documents s’apparente à celui souligné précédemment au sujet de la conformité de l’ASFC aux restrictions législatives et réglementaires.

De plus amples renseignements sur la nature de la différenciation dans les pratiques de tri du ciblage des passagers aériens et leur incidence sur les personnes seraient requis pour déterminer de façon concluante si les pratiques de tri sont discriminatoires. Toutefois, les risques de discrimination sont apparemment suffisants pour justifier que l’on s’y attarde de près. Dans cet examen, l’OSSNR recommandera des mesures qui pourraient aider l’ASFC à évaluer et à atténuer ces risques.

L’ASFC fait-elle une différenciation sur la base de motifs protégés?

Certains des indicateurs utilisés pour trier les passagers correspondent ou s’apparentent de près à des motifs protégés. L’OSSNR a observé des cas où des passagers semblent avoir été différenciés en fonction de motifs protégés.

L’OSSNR a examiné tous les scénarios qui étaient actifs le 26 mai 2021 et un échantillon de cibles pour déterminer si les pratiques de tri de l’ASFC sont fondées sur des motifs de distinction illicite comme l’âge, le sexe ou l’origine nationale ou ethnique. Dans le rapport, il appelle ces motifs des « motifs protégés ». L’évaluation a examiné :

  • le lien entre les indicateurs utilisés pour trier les passagers et les motifs protégés;
  • l’importance des indicateurs dans le tri et la façon dont les indicateurs individuels sont pondérés les uns par rapport aux autres;
  • si des indicateurs ont créé des distinctions entre des personnes ou des catégories de personnes, sur la base de motifs protégés, en tant que tels ou par leurs effets cumulatifs.

L’OSSNR a constaté que l’ASFC trie les passagers en fonction d’une combinaison d’indicateurs qui sont créés à partir de l’IPV et des données des DP. Ce tri recourt souvent à des indicateurs qui correspondent ou s’apparentent de près à des motifs protégés. Des exemples de ces indicateurs sont fournis à la figure 8, et de plus amples renseignements sur la façon dont l’ASFC utilise ces indicateurs sont fournis à l’annexe 8.4.

Figure 8 – IPV et données des DP liées à des motifs protégés
Figure 8 : Diagramme/tableau des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers concernant les zones protégées

Même si l’ASFC a pris certaines mesures pour limiter la possibilité que des décisions de tri soient basées principalement sur des motifs protégés, l’OSSNR a observé que ces mesures n’atténuaient pas toujours adéquatement ce risque. Plus particulièrement :

  • [***Note caviardée pour retirer l’information privilégiée ou préjudiciable. Elle énumère des exemples de scénarios qui utilisaient des éléments uniques.***] a observé des cas où les scénarios reposaient encore sur des indicateurs étroitement liés à des motifs protégés. Il en était ainsi parce que les indicateurs comportementaux étaient souvent utilisés d’une façon qui les rendait semblables à un motif protégé (principalement l’origine nationale) ou parce que les paramètres des indicateurs comportementaux étaient très généraux (p.ex. des passeports comme document de voyage) et ne restreignaient pas l’éventail de passagers englobés dans le scénario.Des exemples sont fournis à la Figure 9.
  • Dans le CFS, le tri visant à repérer les contraventions potentielles relatives à la sécurité nationale était centré de manière disproportionnée sur un certain profil de passagers : [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait une combinaison de caractéristiques des voyageurs associées à des motifs protégés.***] Malgré le fait que les scénarios individuels examinaient une variété d’autres indicateurs qui étaient différents d’un scénario à l’autre et qui semblaient spécifiques à un ensemble unique de caractéristiques personnelles et de tendances comportementales pour chaque risque pour la sécurité nationale, l’effet global des scénarios a créé une différenciation principalement axée sur ce profil particulier.
Figure 9 – Cas où les indicateurs comportementaux correspondaient à des motifs protégés ou ne restreignaient pas la portée

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit deux exemples de scénarios dans lesquels les indicateurs comportementaux ont été utilisés d’une manière qui s’apparente étroitement à un motif protégé, ou les paramètres des indicateurs comportementaux étaient très vastes et ne limitaient pas significativement l’étendue des passagers ciblés par le scénario.***]

Puisque les pratiques de tri de l’ASFC sont fondées sur des motifs protégés et, dans certains cas, ont entraîné une différenciation fondée sur des motifs protégés, l’OSSNR a examiné les effets que cette différenciation peut produire.

La différenciation a-t-elle des effets négatifs capables de renforcer, de perpétuer ou d’accentuer un désavantage?

La différenciation dans le tri des passagers entraîne plusieurs types d’effets potentiels pour les passagers qui sont sélectionnés pour une évaluation approfondie. Ces effets sont négatifs et susceptibles de renforcer, de perpétuer ou d’accentuer des désavantages.

L’OSSNR a examiné les genres d’effets que le ciblage des passagers aériens a sur les passagers qui sont sélectionnés pour une évaluation approfondie au tri initial. Ces effets sont illustrés à la Figure 10. La sélection pour une évaluation approfondie peut avoir des effets importants sur l’emploi du temps, la vie privée et l’égalité du traitement des passagers, surtout que ces effets s’accumulent durant le processus de contrôle ou lorsque les mêmes voyageurs les subissent à répétition.

Figure 10 – Effets du tri initial sur les voyageurs
Figure 10. Incidences du diagramme de triage initial sur les voyageurs

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable.Elle décrivait le nombre de passagers ciblés par année.***]

Ces effets peuvent être négatifs et raisonnablement réputés pouvoir renforcer, perpétuer ou accentuer un désavantage, particulièrement de possibles désavantages systémiques ou historiques. Cependant, les données désagrégées sur l’identité ethnoculturelle, l’identité de genre ou autre identité de groupe des passagers touchés et leur place dans la société canadienne exigeraient un examen complet des effets du ciblage des passagers aériens sur les groupes touchés.

Un risque de discrimination à première vue est établi lorsque ces effets négatifs touchent des personnes sur la base de motifs protégés. Ces effets négatifs sur des groupes protégés ne constituent pas une discrimination en vertu de la LCDP si l’ASFC peut démontrer que la différenciation est justifiée de bonne foi, et seront permis en vertu de la Charte si l’ASFC peut établir que la différenciation correspond à une limitation raisonnable des droits à l’égalité des voyageurs.

L’ASFC a-t-elle une justification adéquate pour la différenciation qui produit des effets négatifs?

Bien que le personnel de l’ASFC ait accès à un grand volume de renseignements pour ses activités de tri, les lacunes dans la tenue de dossiers, dans la synthèse cohérente de ces renseignements et dans la collecte de données ont empêché l’ASFC, dans plusieurs cas de démontrer que son utilisation des indicateurs qu’elle crée à partir de l’IPV et des données des DP est adéquatement justifiée..

L’OSSNR a examiné comment l’ASFC a utilisé les renseignements en soutien à ses activités de tri en étudiant un échantillon de 12 scénarios et de 59 cibles désignées à la suite du tri manuel dans le CLV. Il a aussi examiné les données sur le rendement des scénarios sélectionnés. Dans l’examen des documents justificatifs fournis pour chaque scénario et démontrant une justification adéquate pour les indicateurs créés à partir de l’IPV et des données des DP, l’OSSNR a tenu compte de plusieurs facteurs :

  • si les renseignements étaient objectifs et empiriques;
  • si les renseignements étaient crédibles et fiables, du point de vue de leur source et leur valeur justificative;
  • si les renseignements étaient actuels;
  • si les renseignements montraient un lien clair entre les indicateurs et l’enjeu d’application de la loi;
  • si les indicateurs étaient spécifiquement liés à l’enjeu d’application de la loi ou étaient généraux;
  • si les indicateurs étaient fondés sur un échantillon d’une taille représentative;
  • si le recours aux indicateurs en particulier pour trier les passagers a été efficace dans le passé pour repérer des contraventions potentielles (c.-à-d. si les résultats empiriques appuyaient le recours aux indicateurs).

Dans le CFS, 11 des 12 scénarios de l’échantillon examiné ne fournissaient pas une justification adéquate des indicateurs de tri, en partie à cause des lacunes dans les documents à l’appui des scénarios.

Un résumé de l’évaluation de l’OSSNR en fonction de chaque critère d’évaluation est présenté à la Figure 11 , et des exemples sont donnés ci-dessous.

Figure 11 – Résumé de l’évaluation de l’OSSNR des documents à l’appui des scénarios
Figure 11 : Graphique/tableau du résumé de l'évaluation de la documentation de soutien du scénario par le NSIRA

La plupart des documents à l’appui de l’échantillon de scénarios étaient basés sur des renseignements empiriques concernant les mesures d’application de la loi ou sur d’autres produits de renseignement élaborés par l’ASFC ou ses partenaires et tirés de sources empiriques clairement identifiées. L’OSSNR a déterminé que ces produits étaient des sources objectives et fiables. Toutefois, l’OSSNR a relevé trois cas où la base des renseignements n’était pas claire, et donc leur objectivité et leur crédibilité difficiles à déterminer.

En raison d’un manque de cohérence dans la tenue des documents à l’appui des scénarios, il a été encore plus difficile de vérifier si les scénarios étaient fondés sur des renseignements fiables et actuels, car quatre des scénarios examinés reposaient sur des renseignements qui dataient de plus de cinq ans, et l’ASFC n’a pas pu localiser au moins un des documents désignés comme des documents à l’appui pour neuf des scénarios. Il est approprié de supprimer les vieux renseignements s’ils sont remplacés par de plus récents, mais s’ils ne sont pas remplacés, l’ASFC risque d’avoir de la difficulté à justifier la base des scénarios.

Dans 3 des 12 scénarios examinés, on ne voyait pas clairement le lien entre les documents à l’appui et la contravention potentielle indiquée dans le scénario, ce qui empêchait de procéder à une analyse plus poussée pour établir le lien entre les indicateurs créés à partir de l’IPV et des données des DP et l’enjeu d’application de la loi. Dans 11 des 12 scénarios, comme les documents à l’appui ne mentionnaient pas un ou plusieurs des indicateurs dans le scénario, les motifs du recours à ces indicateurs n’étaient pas clairs. Un certain nombre des indicateurs non justifiés dans ces scénarios étaient associés de près à des motifs protégés. Deux exemples sont fournis à la Figure 12.

Figure 12 – Exemples de lacunes dans les documents à l’appui des scénarios

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit les problèmes observés dans les documents à l’appui des scénarios, comme exemples. Ces problèmes avaient trait à la fiabilité des affirmations spéculatives faites dans un article d’opinion utilisé comme document à l’appui pour un scénario et qui ne constituait pas une base claire pour recourir aux indicateurs dans le scénario, et à un manque de renseignements concernant un ou plusieurs des indicateurs dans l’autre scénario.***]

Dans 11 des 12 scénarios, les documents à l’appui ne contenaient pas assez de renseignements pour déterminer si les indicateurs dans les scénarios étaient basés sur un échantillon représentatif de passagers. À cause de cela, il a été impossible de vérifier si les indicateurs dans le scénario reflétaient un schème ou une tendance dans les caractéristiques des voyageurs plutôt qu’un cas unique ou quelques cas. L’obtention d’indicateurs à partir d’un trop petit échantillon crée aussi un risque que les indicateurs ne soient pas fiablement associés à une contravention potentielle, mais simplement à des personnes désignées qui ont déjà fait l’objet de mesures d’application de la loi dans le passé. Un trop petit échantillon peut aussi occasionner des préjugés et un biais de confirmation à l’égard de stéréotypes concernant le comportement ou les caractéristiques personnelles des voyageurs.

Le manque de renseignements, dans 11 des 12 scénarios, sur la probabilité et l’incidence du risque posé par l’enjeu d’application de la loi a aussi empêché de déterminer dans quelle mesure les indicateurs et les paramètres étaient, individuellement ou collectivement, uniques à l’enjeu d’application de la loi. De plus, dans 4 des 12 scénarios, les documents à l’appui ne comprenaient pas de renseignements pour confirmer que les indicateurs et les paramètres du scénario avaient été associés à une contravention confirmée à la législation frontalière de l’ASFC ou si l’association entre les indicateurs et l’enjeu d’application de la loi était simplement hypothétique. Alors que les renseignements fiables peuvent aussi fournir une base empirique pour le tri des passagers afin d’orienter l’élaboration des scénarios, les renseignements indiquant si les scénarios ont permis de confirmer des contraventions à la législation frontalière de l’ASFC peuvent être intégrés dans les documents à l’appui des scénarios au fil du temps. Cette question est examinée plus en détail en relation avec les données sur le rendement ci-dessous.

Seulement 1 des 12 scénarios dans l’échantillon contenait suffisamment de renseignements pour se faire une idée de l’enjeu d’application de la loi, pour comprendre pourquoi les indicateurs particuliers ont été utilisés dans le scénario en relation avec l’enjeu d’application de la loi, et pour établir que les indicateurs étaient fondés sur un schème clair d’association avec un grand nombre de contraventions confirmées et reflétaient une portée appropriée. Les détails de ce scénario et les raisons expliquant en quoi les documents à l’appui corroboraient le scénario sont fournis à la Figure 13.

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle explique en quoi les documents à l’appui fournis pour le scénario L reposaient sur des renseignements empiriques crédibles qui ont aidé à établir l’enjeu d ’application de la loi, ont donné une idée de la prévalence de l’enjeu et de l’ampleur du problème et de la pertinence de le régler relativement au mandat de l’ASFC, ont établi une corrélation entre les indicateurs spécifiques dans le scénario et les contraventions confirmées en fonction d’un échantillon d’une taille appréciable et ont démontré que les paramètres de chaque indicateur étaient bien définis.***]

Le personnel de l’ASFC a accès à un grand volume de renseignements pour orienter ses activités de tri, mais dans tous les scénarios sauf un, les renseignements et les autres connaissances analytiques n’ont pas été regroupés de manière cohérente pour démontrer que la base du tri était justifiée dans ces cas en particulier. L’ASFC a fait savoir qu’elle a l’intention de préparer des produits de renseignement normalisés qui regrouperaient de manière cohérente ces renseignements pour soutenir l’élaboration de nouveaux scénarios82. La création de produits de ce genre pour tous les scénarios actifs contribuerait à garantir que toute différenciation résultant des décisions de tri dans le ciblage des passagers aériens est dûment justifiée. Cette question est examinée plus en détail en relation avec les pratiques de surveillance ci-dessous.

Dans le CLV, les documents étaient insuffisants pour expliquer pourquoi certains indicateurs étaient considérés comme des facteurs de risque valides dans le contexte d’un enjeu d’application de la loi en particulier.

Les agents de ciblage ont accès à un grand volume de renseignements au moment de trier les passagers dans le CLV, mais ces sources ne sont pas nécessairement documentées dans le processus de prise de décisions relatives au tri. Les stratégies de CLV ne sont pas codifiées, et les décisions de tri ne sont pas uniformément documentées. Cela signifie que les sources et les considérations qui ont éclairé les décisions de tri individuelles n’étaient pas toujours apparentes dans les documents du programme que l’OSSNR a examinés.

Outre la valeur limitée de l’analyse des cibles pour comprendre les décisions de tri initiales84, la rareté des renseignements contenus dans l’échantillon de 59 avis de désignation de cible émis à la suite du CLV a encore plus limité l’évaluation de l’OSSNR. La plupart des avis comprenaient des renseignements spécifiques à chaque passager obtenus au moyen d’une évaluation des risques associés aux passagers, ce qui justifiait raisonnablement la désignation de la cible. Toutefois, ces renseignements auraient été obtenus après les décisions de tri initiales. Les avis de désignation de cible expliquaient brièvement pourquoi certains éléments de l’IPV et des données des DP étaient considérés comme des facteurs de risque, donnant à entendre que la décision de tri de l’agent de ciblage avait possiblement été fondée sur des renseignements85. Cependant, on ne voyait souvent pas clairement pourquoi les données sur les passagers désignées comme des facteurs de risque dans l’avis de désignation de cible indiquaient une menace ou une contravention potentielle à la législation frontalière de l’ASFC. L’évaluation du lien entre les données sur les passagers désignées comme des facteurs de risque dans un avis de désignation de cible et la contravention potentielle était encore plus compliquée quand l’enjeu d’application de la loi était aussi flou. Les exemples donnés à la Figure 14 illustrent cette difficulté.

Figure 14 – Importance de la justification des indicateurs utilisés dans le ciblage

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle revient aux exemples de cibles discutées dans la figure 6, où l’ambiguïté entourant l’enjeu d’application de la loi compliquait l’évaluation du lien entre les données sur les passagers invoquées comme facteurs de risque dans l’avis de désignation de cible et l’enjeu d’application de la loi.***]

Les données sur le rendement de l’échantillon de scénarios montrent que les indicateurs créés à partir de l’IPV et des données des DP pour le tri des passagers ne sont pas toujours corrélés avec l’enjeu d’application de la loi en question.

L’ASFC devrait être en mesure de démontrer dès le départ que les renseignements justifient l’utilisation des indicateurs créés à partir de l’IPV et des données des DP pour procéder au tri des passagers en fonction de contraventions potentielles, surtout lorsque ces indicateurs sont associés à des motifs protégés. Cependant, les résultats des examens secondaires des cibles précédemment désignées peuvent fournir de tels renseignements. Ces résultats donnent aussi des renseignements importants sur l’étroitesse du lien entre certains indicateurs et les contraventions potentielles, et indiquent dans quels domaines les inférences devraient être revues et révisées.

L’analyse des données sur le rendement réalisée par l’OSSNR pour l’échantillon de 12 scénarios a révélé que les indicateurs ne peuvent pas nécessairement être liés de près aux enjeux d’application de la loi dans les scénarios ou prédire les contraventions potentielles à la législation frontalière de l’ASFC avec une grande exactitude.

  • Dans bon nombre des scénarios, moins de 5 pour cent des passagers qui concordaient avec le scénario (d’après l’IPV et les données des DP) ont fait l’objet d’une mesure d’application de la loi ou ont produit des renseignements pertinents à la fin de l’examen secondaire89, que l’ASFC appelle une cible « qui donne des résultats ». Cela s’explique en partie par le fait que pour la vaste majorité des passagers pour lesquels une évaluation des risques est réalisée, on ne décide pas de désigner une cible. De plus, certains enjeux d’application de la loi sont peu susceptibles de se concrétiser, mais si cela se produit, les conséquences sont considérables. En revanche, le fait que la plupart des passagers qui concordent avec un scénario ne soient pas préoccupants soulève des questions quant à l’exactitude des éléments de l’IPV et des données des DP en tant qu’indicateurs et à la proportionnalité des pratiques de ciblage.
  • En moyenne, un quart des cibles désignées (à la suite du CFS ou du CLV) ont mené à un examen secondaire qui a donné des résultats, mais la proportion variait considérablement pour les scénarios dans l’échantillon, soit d’aussi peu que 4,8 pour cent à aussi élevé que 72,7 pour cent.
  • Seulement 9 des 12 scénarios ont donné lieu à au moins une mesure d’application de la loi ou ont produit des renseignements utiles entre 2019-2020 et 2020-2021. Encore une fois, ce n’est pas nécessairement un problème si un enjeu d’application de la loi a de faibles chances de se concrétiser, mais des conséquences considérables. Cependant, cela soulève des questions quant à la base empirique du scénario.
  • Pour bon nombre des scénarios, l’examen secondaire a donné des résultats liés à des enjeux autres que ceux qui avaient justifié le ciblage initial92. Cela donne à conclure que les indicateurs ne sont pas toujours très précis et soulève des questions quant aux hypothèses ou aux inférences sous-jacentes.

L’OSSNR a aussi observé qu’une année, les données sur le rendement des scénarios indiquaient une proportion beaucoup plus élevée de voyageurs et de cibles ayant donné des résultats, et que l’année suivante, les résultats étaient beaucoup plus faibles, ce qui montre à quelle vitesse les habitudes de voyage peuvent changer. L’ASFC a signalé que la COVID-19 a provoqué des changements majeurs dans les habitudes de voyages et les schèmes commerciaux, et qu’en raison de cela elle a eu de la difficulté à comprendre comment les indicateurs ont évolué relativement à une variété d’enjeux d’application de la loi et à adapter ses stratégies de ciblage. Cela souligne l’importance de veiller à ce que les scénarios et les activités de CLV soient appuyés par des renseignements à jour, de même que l’importance d’analyser rigoureusement les données sur le rendement pour évaluer, parfaire ou désactiver les scénarios en vue de rester cohérent par rapport à l’environnement de risques en évolution.

Cependant, les renseignements qui peuvent être obtenus avec les données sur le rendement sont limités, parce que l’ASFC ne consigne pas les résultats des examens secondaires qui découlent de renvois aléatoires ou les cas où des passagers qui n’avaient pas été ciblés ont par la suite été trouvés en contravention à la législation frontalière de l’ASFC par d’autres moyens. Cela empêche de contextualiser le rendement du ciblage des passagers aériens par rapport à une base de référence (c.- à-d. si le ciblage des passagers aériens est plus, aussi ou moins efficace pour prédire une contravention potentielle à la législation frontalière de l’ASFC qu’un renvoi aléatoire). Outre leur pertinence pour mesurer le rendement, les données de référence aider à protéger l’ASFC des biais de confirmation lorsque les résultats de l’application de la loi, dans quelques cas isolés, peuvent renforcer les stéréotypes même s’ils ne représentent pas une tendance significative. De plus, un examen secondaire qui donne des résultats, selon la définition du Centre national de ciblage, n’indique pas nécessairement un cas confirmé de non-conformité. À cause de cela, il est difficile d’analyser les données sur le rendement comme une source de renseignements empiriques afin de justifier l’utilisation par l’ASFC de certains indicateurs pour trier les passagers, parce qu’une fouille donnant des résultats ne signifie pas toujours qu’il existe une corrélation entre les indicateurs et la contravention potentielle.

En somme, l’ASFC n’a pas été capable de démontrer une justification suffisante pour utiliser certains indicateurs dans les scénarios et les avis de désignation de cible examinés par l’OSSNR. Cela crée le risque que les activités de tri soient discriminatoires. Afin d’éviter la discrimination, le lien entre les indicateurs utilisés pour trier les passagers et les menaces ou les contraventions potentielles qu’ils doivent prétendument servir à repérer doit être bien étayé par des renseignements récents, fiables et documentés ou des renseignements empiriques qui démontrent que les indicateurs sont raisonnablement prédictifs d’un préjudice potentiel à la sécurité nationale et à la sécurité publique du Canada. L’ASFC a pu documenter une justification adéquate pour le tri des passagers dans un scénario. La compilation de renseignements pertinents pour ses autres activités de tri aiderait à démontrer qu’elles sont aussi non discriminatoires.

De plus amples renseignements seraient requis pour déterminer si les distinctions résultant du ciblage des passagers aériens qui sont capables de renforcer, de perpétuer ou d’accentuer un désavantage constituent des limites raisonnables aux droits à l’égalité des voyageurs.

L’analyse ci-dessus a aussi établi que le ciblage des passagers aériens peut enfreindre les droits à l’égalité des voyageurs en vertu de la Charte. Il faut cependant mentionner que tous les droits prévus par la Charte sont assujettis à des limites raisonnables. Afin d’établir si une limite est raisonnable, l’État doit démontrer qu’elle est rationnellement liée à un objectif urgent et concret, qu’elle limite le droit de façon minimale et que les effets bénéfiques et les effets néfastes sont proportionnels. Ces limites doivent également être prescrites par la loi.

L’analyse visant à déterminer si les actions de l’État sont des limites raisonnables aux droits prévus dans la Charte repose essentiellement sur les faits. Afin d’examiner cette question, d’autres données seraient requises sur :

  • le nombre précis des divers indicateurs liés à des motifs protégés;
  • l’efficacité des facteurs pour protéger la sécurité nationale et la sécurité publique;
  • la disponibilité raisonnable d’autres moyens pour assurer des résultats similaires en matière de sécurité à la frontière;
  • les effets du ciblage des passagers aériens sur les passagers touchés;
  • l’importance de la contribution du ciblage des passagers aériens pour la sécurité nationale et d’autres objectifs du gouvernement.

L’OSSNR fait remarquer qu’en raison de ces lacunes dans les données, l’ASFC peut avoir de la difficulté à démontrer que toute discrimination résultant du ciblage de passagers aériens est justifiée en vertu de l’article 1 de la Charte. La documentation de la contribution du ciblage des passagers aériens à la sécurité nationale et à la sécurité publique, de l’étendue et de la nature de ses effets et de son efficacité par rapport à d’autres moyens moins intrusifs d’atteindre les objectifs de l’ASFC aiderait celle-ci à démontrer que le programme est raisonnable et justifié dans la société canadienne.

L’ASFC s’est-elle conformée à ses obligations concernant la non-discrimination?

Les pratiques de tri du ciblage des passagers aériens créent un risque de discrimination à première vue. Cela s’explique par deux principales caractéristiques. Premièrement, le ciblage des passagers aériens compte, en partie, sur des indicateurs créés à partir de l’IPV et des données des DP qui correspondent ou s’apparentent étroitement à des motifs protégés. C’était surtout le cas d’indicateurs associés à l’âge, au sexe et à l’origine nationale ou ethnique des passagers. Les passagers ont été différenciés en fonction de ces motifs, puisqu’ils ont été sélectionnés pour une évaluation approfondie en partie sur la base de ces caractéristiques. L’OSSNR a aussi observé que le tri a attiré une attention disproportionnée sur certaines nationalités et sur le sexe, lorsque l’effet cumulatif des scénarios était pris en compte.

Deuxièmement, cette différenciation a eu des effets négatifs sur les voyageurs. Le ciblage des passagers aériens a une incidence sur la vie privée des gens, en raison des évaluations des risques subséquentes et des renvois obligatoires à un examen secondaire. Un examen aussi minutieux peut aussi donner l’impression aux gens qu’ils ne bénéficient pas d’une protection égale de la loi, surtout lorsque ces effets sont subis à répétition par les mêmes voyageurs ou sont perçus comme étant imputables à des biais raciaux, religieux, ethniques ou autres. En outre, ces effets peuvent renforcer, perpétuer ou accentuer un désavantage, surtout un désavantage systémique ou historique.

Afin de remplir ses obligations en vertu de la LCDP, l’ASFC doit pouvoir démontrer qu’il existe une justification de bonne foi à cette différenciation négative. Or, elle n’a pas été capable de démontrer que son choix d’indicateurs était toujours fondé sur des renseignements récents, fiables et documentés ou empiriques. Cette faiblesse du lien entre les indicateurs et les menaces ou contraventions potentielles qu’ils visent à repérer crée un risque de discrimination.

Afin de remplir ses obligations aux termes de la Charte, l’ASFC doit aussi pouvoir démontrer que toute discrimination résultante constitue une limite raisonnable aux droits à l’égalité des voyageurs. Les mêmes lacunes que l’OSSNR a observé dans la justification de l’ASFC du lien entre certains indicateurs et les menaces ou les contraventions potentielles qu’ils visaient à repérer compromettent aussi sa capacité à démontrer le lien rationnel entre ses indicateurs de tri et les contraventions potentielles à sa législation frontalière. De plus amples renseignements sur la contribution du ciblage des passagers aériens à la sécurité nationale et sur sa valeur relative comparée à d’autres moyens de contrôle seraient aussi nécessaires pour déterminer si le ciblage des passagers aériens peut être justifié comme une limite raisonnable en vertu de la Charte.

Les lacunes que l’OSSNR a constatées découlent partiellement du manque de précision des documents du programme de l’ASFC et d’autres problèmes dans la tenue de dossier. Ils sont examinés dans la prochaine section.

Conclusion 3 : L’ASFC n’a pas toujours démontré qu’il existait une justification adéquate pour ses pratiques de triage aux fins de ciblage des passagers aériens. La faiblesse du lien entre les indicateurs utilisés pour trier les passagers et les menaces ou infractions potentielles que l’ASFC cherche à déceler engendre un risque que les pratiques de triage aux fins de ciblage des passagers aériens soient discriminatoires.

Recommandation 2 : L’OSSNR recommande que l’ASFC s’assure, de manière continue, que ses pratiques de tri sont basées sur des renseignements qui justifient l’utilisation de chaque indicateur. Cette justification devrait être bien documentée pour permettre de vérifier efficacement en interne et à l’externe si les pratiques de tri de l’ASFC sont conformes à ses obligations concernant la non- discrimination.

Recommandation 3 : L’OSSNR recommande que l’ASFC veille à ce que toutes les distinctions relatives au ciblage des passagers aériens qui sont basées sur des motifs protégés capables de renforcer, de perpétuer ou d’accentuer un désavantage constituent une limitation raisonnable des droits à l’égalité des voyageurs en vertu de la Charte.

Quelles mesures sont en place pour atténuer le risque de discrimination?

Les politiques, les procédures et le matériel de formation examinés n’outillaient pas adéquatement le personnel de l’ASFC pour reconnaître la discrimination potentielle ou atténuer les risques s’y rattachant dans l’exercice de ses fonctions.

Les politiques sur le ciblage des passagers aériens de l’ASFC établissaient une responsabilité à l’égard de la vie privée, des droits de la personne et de libertés civiles. Cependant, les politiques, les procédures et le matériel de formation n’étaient pas suffisamment détaillés afin d’outiller le personnel pour qu’il reconnaisse la discrimination potentielle ou atténue les risques s’y rattachant dans l’exercice de ses fonctions.

  • Les agents de ciblage n’ont pas reçu de formation spécifique aux droits de la personne.
  • Les politiques, les procédures et les autres lignes directrices de programme de l’ASFC n’étaient pas assez précises quant aux exigences ou aux procédures pour outiller le personnel de sorte qu’il atténue les risques liés à la discrimination. Tout particulièrement, l’information n’était pas suffisamment détaillée sur la façon d’associer des documents à l’appui à un scénario ou à une
  • Aucune politique, procédure ou ligne directrice n’a été élaborée pour le CLV outre les PON relatives au ciblage des passagers aériens, en particulier celles qui concernent la tenue de dossiers.

Les structures et les pratiques de surveillance qui ont été examinées n’étaient pas assez rigoureuses pour cerner et atténuer les risques de discrimination potentiels, et il n’y avait pas de données pertinentes pour cette tâche.

Bien que l’ASFC ait des structures et des pratiques de surveillance pour le ciblage des passagers aériens, la façon d’exécuter ces pratiques de surveillance n’était pas claire. L’OSSNR a observé plusieurs domaines où ces pratiques n’étaient peut-être pas assez rigoureuses pour bien cerner et atténuer les risques de discrimination potentiels.

  • Les scénarios ont été examinés du point de vue des implications quant aux politiques, à la législation, à la vie privée, aux droits de la personne et aux libertés civiles, au moment de leur activation et sur une base continue. Cependant, il n’est pas clair que ces fonctions de surveillance sont guidées par une bonne compréhension de ce qui constitue de la discrimination ou que tous les aspects pertinents des scénarios sont examinés.
  • Les scénarios sont régulièrement révisés individuellement. Toutefois, il n’est pas clair que les effets collectifs des activités de ciblage de l’ASFC aient aussi été évalués régulièrement.
  • On ne sait pas avec certitude si les fonctions de surveillance relatives à la non-discrimination sont exécutées dans le CLV.

De plus, l’ASFC ne recueille pas de données pertinentes pour bien vérifier si le ciblage des passagers aériens occasionne de la discrimination ou pour atténuer ses effets.

  • L’ASFC ne recueille pas de donnes démographiques désagrégées au sujet des passagers touchés à chaque étape du programme de ciblage des passagers aériens. Ces données seraient pertinentes pour déterminer si le programme peut entraîner des distinctions basées sur des motifs protégés ou s’il a des effets disproportionnés sur les membres des groupes protégés.
  • L’ASFC ne compare pas l’information sur ses pratiques de tri avec l’information pertinente pour comprendre leurs effets potentiels sur les voyageurs et si ces effets indiquent un problème dans ses pratiques de ciblage. Cela comprend de l’information indiquant si les plaintes au sujet d’une discrimination présumée à la frontière sont liées à des personnes désignées par ciblage des passagers aériens et si la nature des examens secondaires résultant du ciblage des passagers aériens peut être différente de celle des examens secondaires occasionnés par des renvois aléatoires ou autres.
  • L’ASFC ne recueille ni n’évalue des données sur le rendement ou des données sur ses effets par rapport à un groupe de référence pour contextualiser son analyse de cette information.

Conclusion 4 : Les politiques, les procédures et la formation de l’ASFC ne sont pas assez détaillées pour outiller adéquatement le personnel de l’ASFC afin qu’il reconnaisse les risques de discrimination et prenne les mesures appropriées pour les atténuer dans l’exercice de ses fonctions.

Conclusion 5 : Les structures et pratiques de contrôle de l’ASFC ne sont pas suffisamment rigoureuses pour cerner et atténuer, le cas échéant, les risques potentiels de discrimination. Cette situation est aggravée par l’absence de collecte et d’évaluation de données pertinentes.

L’apport d’un certain nombre de modifications aux politiques, aux procédures, à la formation et aux autres pratiques de surveillance actuelles relatives au programme de ciblage des passagers aériens aidera l’ASFC à réduire les risques de discrimination en veillant à ce que les distinctions découlant du tri initial des passagers soient basées sur des justifications adéquates appuyées par de l’information ou des renseignements empiriques. Un traitement plus détaillé de la discrimination dans la formation, les politiques, les lignes directrices et la surveillance du programme de ciblage des passagers aériens pourrait fournir au personnel, aux unités et aux comités de l’ASFC qui exécutent des fonctions de surveillance interne l’information dont ils peuvent avoir besoin pour les exercer correctement. On devrait porter une attention particulière aux points suivants :

  • comprendre les obligations de l’ASFC en matière de droits de la personne et comment les risques de discrimination doivent être reconnus et évalués;
  • déterminer dans quels cas les indicateurs de tri peuvent être liés à des motifs protégés;
  • veiller à ce toute différenciation négative soit basée sur un lien bien démontré entre les indicateurs et la menace ou la contravention potentielle;
  • s’assurer que le tri des voyageurs est guidé par des renseignements récents et fiables, avec de la formation sur la façon de déterminer si les documents à l’appui remplissent ces exigences;
  • déterminer et atténuer les effets des pratiques de tri des passagers pour qu’ils soient réduits au minimum et proportionnels à l’avantage acquis sur le plan de la sécurité publique ou de la sécurité nationale;
  • prendre des moyens pour que les effets du ciblage des passagers aériens ne renforcent, perpétuent ou accentuent indûment un désavantage;
  • créer les outils pour détecter et atténuer les biais potentiels en amassant et en évaluant des données pertinentes sur les pratiques de ciblage, leur rendement et leurs effets.

À cet égard, les obligations établies par le United Kingdom Public Sector Equality Duty peuvent être instructives. La fonction est procédurale et exige que les organismes publics (dont les autorités des douanes et de l’immigration) envisagent des façons d’éliminer la discrimination dans l’exercice de leurs fonctions. Les ministères doivent tenir compte de l’incidence potentielle de leurs décisions, politiques ou programmes et de la manière dont ceux-ci peuvent varier en fonction des motifs protégés, par exemple l’âge, le sexe, le genre, la race, l’origine ethnique ou nationale, la couleur ou la nationalité. En outre, cela crée l’obligation d’acquérir les renseignements pertinents, s’ils ne sont pas déjà disponibles, pour éviter la discrimination directe ou indirecte.

Il est important de préciser que toute collecte et analyse de données visant à reconnaître et à éviter la discrimination potentielle devrait être effectuée par une unité distincte, et non par le Centre national de ciblage. Les agents de ciblage ne devraient pas avoir accès aux données démographiques désagrégées lorsqu’ils effectuent le tri des passagers, car cela pourrait augmenter les risques de discrimination. L’ASFC le reconnaît dans son engagement à retirer les « données sensibles » au sujet de la santé ou de la vie sexuelle d’une personne de l’IPIV et des données du DP qu’elle importe dans ses systèmes de tri113. Cette précaution ne devrait pas empêcher les autres unités de l’ASFC de recueillir et d’examiner des données démographiques désagrégées et dépersonnalisées, y compris de réaliser une ACS+ qui pourrait réduire le risque de discrimination ou atténuer ses effets potentiels.

Recommandation 4 : L’OSSNR recommande que l’ASFC développe une surveillance plus robuste et plus régulière pour le ciblage des passagers aériens afin de garantir que ses pratiques ne sont pas discriminatoires. Cela devrait comprendre la mise à jour des politiques, des procédures, de la formation et d’autres lignes directrices de l’ASFC, s’il y a lieu.L’OSSNR recommande à l’ASFC d’exercer une surveillance plus rigoureuse et régulière du ciblage des passagers aériens afin de s’assurer que ses pratiques ne sont pas discriminatoires. Cela devrait aussi comprendre la mise à jour des politiques, des procédures, de la formation et des autres directives de l’ASFC, le cas échéant.

Recommandation 5 : L’OSSNR recommande que l’ASFC commence à recueillir et à analyser les données nécessaires pour reconnaître, évaluer et atténuer les risques de discrimination. Cela comprend des données démographiques désagrégées, des données sur les effets du ciblage des passagers aériens sur les examens secondaires qui peuvent ressortir des plaintes relatives aux droits de la personne, et des données sur un groupe de référence.

Conclusion

Les évaluations du risque préalable à l’arrivée réalisées dans le cadre du programme de ciblage des passagers aériens de l’ASFC renforcent la capacité de l’ASFC de contrôler les voyageurs entrants par rapport à une diversité d’enjeux d’application de la loi. Cependant, certains renseignements utilisés pour trier les passagers sont associés à des motifs protégés. Cela crée un risque que les passagers soient différenciés sur la base de motifs de distinction illicite. Le tri peut avoir une incidence négative sur l’emploi du temps, la vie privée et l’égalité du traitement des passagers, ce qui est susceptible de renforcer, de perpétuer ou d’accentuer un désavantage.

Afin de vérifier si l’ASFC respecte ses obligations en matière de non-discrimination, il est nécessaire de porter une attention particulière à la fiabilité des renseignements sur lesquels est fondé le choix des indicateurs utilisés pour trier leurs passagers et à leur lien avec les menaces et les contraventions potentielles qu’ils visent à repérer. Cela a des implications pour la sécurité nationale du Canada et aussi pour ses engagements internationaux concernant la lutte contre le terrorisme et le crime transnational grave ainsi que la vie privée et les droits de la personne.

L’OSSNR est convaincu que l’ASFC a le pouvoir légal de procéder au ciblage des passagers aériens. Cependant, l’OSSNR a observé des lacunes dans la documentation des activités de programme de l’ASFC à cause desquelles il a été difficile de vérifier si toutes les décisions de tri étaient conformes aux restrictions légales et réglementaires. À ces égards, il est essentiel d’améliorer la documentation pour réduire les futurs risques en matière de conformité, en veillant à ce que l’ASFC soit en mesure de vérifier si toutes les décisions de tri sont conformes à la Loi sur les douanes et au Règlement sur la protection des renseignements relatifs aux passagers.

L’OSSNR est convaincu que l’ASFC a le pouvoir légal de procéder au ciblage des passagers aériens. Cependant, l’OSSNR a observé des lacunes dans la documentation des activités de programme de l’ASFC à cause desquelles il a été difficile de vérifier si toutes les décisions de tri étaient conformes aux restrictions légales et réglementaires. À ces égards, il est essentiel d’améliorer la documentation pour réduire les futurs risques en matière de conformité, en veillant à ce que l’ASFC soit en mesure de vérifier si toutes les décisions de tri sont conformes à la Loi sur les douanes et au Règlement sur la protection des renseignements relatifs aux passagers.

Annexes

Constatations et recommandations

Constatations Recommandations
Conclusion 1 – L’utilisation par l’ASFC de l’IPV et des données des DP dans le CFS était conforme au paragraphe 107(3) de la Loi sur les douanes. Recommandation 1 – L’OSSNR recommande que l’ASFC documente ses pratiques de tri d’une manière qui permet de vérifier efficacement si toutes les décisions de tri respectent les restrictions législatives et réglementaires.
Conclusion 2 – L’ASFC ne documente pas ses pratiques de tri d’une manière qui permet de vérifier efficacement si toutes les décisions de tri respectent les restrictions législatives et réglementaires. Recommandation 2 – L’OSSNR recommande que l’ASFC s’assure, de manière continue, que ses pratiques de tri sont basées sur des renseignements qui justifient l’utilisation de chaque indicateur. Cette justification devrait être bien documentée pour permettre de vérifier efficacement en interne et à l’externe si les pratiques de tri de l’ASFC sont conformes à ses obligations concernant la non-discrimination.
Conclusion 3 – L’ASFC n’a pas toujours démontré qu’il existe une justification adéquate pour ses pratiques de tri du ciblage des passagers aériens. La faiblesse du lien entre les indicateurs utilisés pour trier les passagers et les menaces ou contraventions potentielles qu’ils visent à repérer crée le risque que les pratiques de tri du ciblage des passagers aériens soient discriminatoires. Recommandation 3 – L’OSSNR recommande que l’ASFC veille à ce que toutes les distinctions relatives au ciblage des passagers aériens qui sont basées sur des motifs protégés capables de renforcer, de perpétuer ou d’accentuer un désavantage constituent une limitation raisonnable des droits à l’égalité des voyageurs en vertu de la Charte.
Conclusion 4 – Les politiques, les procédures et la formation de l’ASFC ne sont pas assez détaillées pour outiller adéquatement le personnel de l’ASFC afin qu’il reconnaisse les risques de discrimination et prenne les mesures appropriées pour les atténuer dans l’exercice de ses fonctions. Recommandation 4 – L’OSSNR recommande que l’ASFC développe une surveillance plus robuste et plus régulière pour le ciblage des passagers aériens afin de garantir que ses pratiques ne sont pas discriminatoires. Cela devrait comprendre la mise à jour des politiques, des procédures, de la formation et d’autres lignes directrices de l’ASFC, s’il y a lieu.
Conclusion 5 – Les structures et les pratiques de surveillance de l’ASFC ne sont pas assez rigoureuses pour cerner et atténuer les risques de discrimination potentiels. Ce problème est aggravé par une collecte et une évaluation insuffisantes de données pertinentes. Recommandation 5 – L’OSSNR recommande que l’ASFC commence à recueillir et à analyser les données nécessaires pour reconnaître, évaluer et atténuer les risques de discrimination. Cela comprend des données démographiques désagrégées, des données sur les effets du ciblage des passagers aériens sur les examens secondaires qui peuvent ressortir des plaintes relatives aux droits de la personne, et des données sur un groupe de référence.

Pouvoirs de l’ASFC de recueillir et d’utiliser l’IPV et les données des DP dans le ciblage des passagers aériens

Pouvoir de recueillir les données
Loi sur les douanes, article 107.1, et LIPR, alinéa 148(1)d) Les transporteurs aériens sont tenus de fournir des « renseignements réglementaires » sur toute personne qui est ou devrait être à bord d’un vol arrivant au Canada.
Règlement sur les renseignements relatifs aux passagers (douanes), article 5, et Règlement sur l’immigration et la protection des réfugiés, paragraphe 269(1) Prescrivent les renseignements requis, lesquels constituent l’IPV et les données des DP.
Pouvoir d’utiliser les données
Loi sur les douanes, paragraphe 107(3)Un « renseignement douanier » (y compris l’IPV et les données des DP)115 peut être utilisé à trois fins :
• pour l’application ou l’exécution de la Loi sur les douanes, du Tarif des douanes ou des lois connexes;
• pour l’exercice des attributions conférées au ministre de la Sécurité publique sous le régime de la LIPR, notamment en matière d’identification de personnes et de détermination de leur admissibilité;
• pour l’application d’autres lois frontalières que le ministre de la Sécurité publique ou l’ASFC est autorisé à appliquer.
Loi sur l’immigration et la protection des réfugiés, alinéa 149a)L’IPV et les données des DP peuvent être utilisées à trois fins :
• pour l’application de la LIPR;
• pour l’application de la Loi sur le ministère de la Citoyenneté et de l’Immigration;
• en vue d’identifier l’individu sous le coup d’un mandat d’arrestation délivré au Canada.
Règlement sur la protection des renseignements relatifs aux passagers, article 4 L’IPV et les données des DP fournies à l’ASFC en vertu de la Loi sur l’immigration et la protection des réfugiés peuvent être utilisées à deux fins :
• identifier les personnes qui ont commis ou pourraient avoir commis une infraction de terrorisme ou un crime transnational grave;
• effectuer des analyses des tendances ou élaborer des indicateurs de risque pour cette fin.

Dispositions fréquemment invoquées dans les modèles de scénarios

Le tableau ci-dessous résume les principales dispositions invoquées en lien avec les contraventions potentielles dans les modèles de scénario. [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait le nombre de scénarios qui étaient actifs le 26 mai 2021.***]Cinq des dispositions qui ont été mentionnées dans les contraventions potentielles n’établissaient pas de lien clair entre un crime transnational grave ou une infraction de terrorisme selon le Règlement sur la protection des renseignements relatifs aux passagers. Elles sont marquées en orange et décrites plus bas.

Disposition Expression complète Selon la Loi sur les douanes Selon le RPRP
LIPR, art. 20 Présentation de visa ou d’autres documents Oui Oui*
LIPR, art. 34 Interdiction de territoire pour des raisons de sécurité nationale Oui Oui
LIPR, art. 35 Interdiction de territoire pour violation des droits de l’homme Oui Oui
LIPR, art. 36 Interdiction de territoire pour criminalité grave Oui Oui
LIPR, art. 37 Interdiction de territoire pour criminalité organisée Oui Oui
LIPR, art. 40 Inadmissible, misrepresentation Oui Oui*
LIPR, art. 41 Interdiction de territoire pour manquement à la LIPR Oui Oui*
LIPR, art. 117 Passage de clandestins Oui Oui
LIPR, art. 118 Traite des personnes Oui Oui
Loi sur les douanes, art. 159 Contrebande de marchandises Oui Oui
Loi sur les douanes, art. 12 Déclaration de marchandises Oui Oui*
Loi sur les douanes, art. 13 Réponses véridiques aux questions et présentation des marchandises Oui Oui*
Tarif des douanes, 9899.00.00 Propagande haineuse ou terroriste, matériel de nature à fomenter la sédition Oui Oui
LRPCFAT, art. 12 Déclaration d’espèces Oui Oui
LRPCFAT, art. 14 Infractions générales Oui Oui

L’article 20 de la LIPR concerne l’exigence pour les ressortissants étrangers d’avoir en leur possession les bons documents pour entrer au Canada ou y séjourner. Puisque les contraventions à la LIPR, lorsqu’une pénalité n’est pas précisée (p. ex. l’article 20), sont punissables par une peine d’emprisonnement d’une durée maximale de deux ans, en vertu des articles 124 et 125 de la LIPR, cette contravention ne répond pas à la définition de crime transnational grave.

L’article 40 de la LIPR indique qu’un ressortissant étranger est interdit de territoire au Canada s’il fait de fausses déclarations. Le lien avec un crime transnational grave serait plus clair en invoquant les dispositions qui établissent les fausses déclarations comme une infraction en vertu des articles 127 et 128 de la LIPR.

L’article 41 de la LIPR indique qu’un ressortissant étranger est interdit de territoire s’il manque à la LIPR. Le manquement à LIPR n’est pas en soi une infraction de terrorisme ou un crime transnational grave. De plus amples détails sur l’enjeu d’application de la loi sont nécessaires pour établir un tel lien.

Les articles 12 et 13 de la Loi sur les douanes concernent l’obligation des voyageurs de déclarer les marchandises et de répondre véridiquement aux questions. La référence à la disposition relative aux peines à l’alinéa 160(1)b) indique qu’il s’agit d’une infraction grave. L’invocation de ces articles pour justifier l’utilisation des données des DP peut poser problème, mais ces articles ont trait à une conduite future, alors que l’article 4 du Règlement sur la protection des renseignements relatifs aux passagers met l’accent sur la conduite passée (« ont commis ou pourraient avoir commis » de tels gestes). Les craintes concernant les marchandises interdites ou la possible contrebande de marchandises peuvent aussi mentionner de façon plus appropriée l’article 159 de la Loi sur les douanes et le Tarif des douanes, élément 9899.00.00.

Exemples d’utilisation par l’ASFC d’indicateurs liés aux motifs protégés

Le tableau ci-dessous présente des exemples associés au CFS et au CLV des façons dont l’ASFC utilise les indicateurs créés à partir de l’IPV et des données des DP qui correspondent ou s’apparentent de près aux motifs que sont l’origine nationale ou ethnique, l’âge et le sexe, lesquels sont des motifs de distinction illicite en vertu de la Loi canadienne sur les droits de la personne et de la Charte. L’ASFC compte souvent sur plus d’un indicateur de ce genre (voir la section 6.2.2.1). On traite du fondement de l’utilisation de tels indicateurs par l’ASFC à la section 6.2.2.3.

[***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donne des statistiques sur le nombre de scénarios qui utilisent des indicateurs associés à des motifs protégés pour l’origine nationale ou ethnique, l’âge et le sexe.***]

Share this page
Date de modification :

Examen de 2020 portant sur la mise en oeuvre par les ministères de la loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères

Examens Terminés

Examen de 2020 portant sur la mise en oeuvre par les ministères de la loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères


Document d’information

La Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi) et les instructions connexes visent à empêcher que de mauvais traitements soient infligés à un individu à la suite d’un échange de renseignements entre un ministère du gouvernement du Canada et une entité étrangère. Les instructions reposent en grande partie sur la question consistant à savoir s’il existe un risque sérieux et, le cas échéant, si ce risque peut être atténué. Pour ce faire, une série d’exigences à respecter et à mettre en oeuvre lors de la manipulation de renseignements sont énoncées dans la Loi et les instructions. Le présent examen couvre la période de mise en oeuvre des instructions envoyées à douze ministères et organismes, soit du 1er janvier 2020, date d’entrée en vigueur des instructions, au 31 décembre 2020, date de fin de l’année civile. L’examen a été réalisé en application du paragraphe 8(2.2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi de L’OSSNR), selon lequel l’OSSNR doit examiner, chaque année civile, la mise en oeuvre des instructions énoncées dans la Loi.

La présente fait état du premier examen en lien avec la Loi portant sur une année civile complète. Bon nombre des ministères faisant l’objet de l’examen ont indiqué que la pandémie avait eu une incidence sur leurs activités d’échange de renseignements, donc sur le nombre de dossiers nécessitant un examen approfondi au titre de la Loi. Par conséquent, l’OSSNR a constaté qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier relatif à la Loi n’a été acheminé à l’administrateur général d’un ministère.

Dans le cadre de l’examen, l’OSSNR a examiné les processus de tri des dossiers pour les douze ministères. L’OSSNR a constaté que, certes, les ministères avaient recours à des méthodes et à des sources d’information semblables pour déterminer si le dossier d’un pays à risque devait être acheminé ou non à un échelon supérieur. Toutefois, l’OSSNR a également constaté que pour un même pays à risque, les évaluations faites par chacun des ministères pouvaient mener des conclusions et à des niveaux d’approbation divergents.

Conformément à son Rapport annuel de 2020 – qui mettait l’accent sur l’adoption d’une approche selon laquelle il convient de « faire confiance, mais aussi de vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR continue d’élaborer diverses stratégies de vérification en collaboration avec l’appareil canadien du renseignement. Toutefois, compte tenu des contraintes liées à la pandémie de COVID-19, la mise en oeuvre de processus de vérification n’a pas été possible au sein des douze ministères visés par la Loi. Cependant, l’information fournie par les ministères a été vérifiée de manière indépendante par l’OSSNR par le biais d’analyses de documents et, le cas échéant, de réunions avec des experts ministériels. D’autres travaux sont en cours afin de poursuivre l’élaboration d’un modèle d’accès pour la vérification indépendante des informations assujetties aux termes la Loi.

Date de publication :

Sommaire

La Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi) et les instructions connexes visent à empêcher que de mauvais traitements soient infligés à un individu à la suite d’un échange de renseignements entre un ministère du gouvernement du Canada et une entité étrangère. Les instructions reposent en grande partie sur la question consistant à savoir s’il existe un risque sérieux et, le cas échéant, si ce risque peut être atténué. Pour ce faire, une série d’exigences à respecter et à mettre en oeuvre lors de la manipulation de renseignements sont énoncées dans la Loi et les instructions. Le présent examen couvre la période de mise en oeuvre des instructions envoyées à douze ministères et organismes, soit du 1er janvier 2020, date d’entrée en vigueur des instructions, au 31 décembre 2020, date de fin de l’année civile. L’examen a été réalisé en application du paragraphe 8(2.2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi de L’OSSNR), selon lequel l’OSSNR doit examiner, chaque année civile, la mise en oeuvre des instructions énoncées dans la Loi.

La présente fait état du premier examen en lien avec la Loi portant sur une année civile complète. Bon nombre des ministères faisant l’objet de l’examen ont indiqué que la pandémie avait eu une incidence sur leurs activités d’échange de renseignements, donc sur le nombre de dossiers nécessitant un examen approfondi au titre de la Loi. Par conséquent, l’OSSNR a constaté qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier relatif à la Loi n’a été acheminé à l’administrateur général d’un ministère.

L’OSSNR était satisfait des mesures prises par bon nombre des nouveaux ministères visés par la Loi pour établir leurs cadres. Toutefois, l’Agence des services frontaliers du Canada (ASFC) et Sécurité publique Canada (SP) n’ont pas achevé leurs cadres de politique à l’appui des instructions données au titre de la Loi pour la période visée par l’examen.

Dans le cadre de l’examen, l’OSSNR a examiné les processus de tri des dossiers pour les douze ministères. L’OSSNR a constaté que, certes, les ministères avaient recours à des méthodes et à des sources d’information semblables pour déterminer si le dossier d’un pays à risque devait être acheminé ou non à un échelon supérieur. Toutefois, l’OSSNR a également constaté que pour un même pays à risque, les évaluations faites par chacun des ministères pouvaient mener des conclusions et à des niveaux d’approbation divergents.

L’OSSNR a examiné le dossier d’une demande envoyée à AMC et au SCRS pour en déterminer les répercussions en considération de la Loi. Même si, au bout du compte, les renseignements n’ont pas été communiqués à l’entité étrangère requérante, l’OSSNR a tout de même estimé que le risque de mauvais traitements était sérieux et que la décision aurait dû être renvoyée au sous-ministre des Affaires étrangères, qui était la personne compétente dans le cas de cette demande.

Les mesures d’atténuation auxquelles les ministères ont eu recours ont également été examinées dans le cadre du présent examen, puisqu’elles font partie intégrante du processus d’échange de renseignements des ministères. L’OSSNR a constaté qu’il existait des lacunes quant à la capacité des ministères de vérifier si un pays ou une entité a respecté les réserves ou les garanties, puisqu’il était difficile d’assurer le suivi du respect des mesures d’atténuation.

L’OSSNR estime maintenant être en mesure de mener des études de cas approfondies sur le respect de la Loi et des instructions par chaque ministère, peu importe si un ministère a renvoyé des dossiers à son administrateur général. Enfin, d’autres examens suivront sur la mise en oeuvre des recommandations antérieures de l’OSSNR.

Conformément à son Rapport annuel de 2020 – qui mettait l’accent sur l’adoption d’une approche selon laquelle il convient de « faire confiance, mais aussi de vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR continue d’élaborer diverses stratégies de vérification en collaboration avec l’appareil canadien du renseignement. Toutefois, compte tenu des contraintes liées à la pandémie de COVID-19, la mise en oeuvre de processus de vérification n’a pas été possible au sein des douze ministères visés par la Loi. Cependant, l’information fournie par les ministères a été vérifiée de manière indépendante par l’OSSNR par le biais d’analyses de documents et, le cas échéant, de réunions avec des experts ministériels. D’autres travaux sont en cours afin de poursuivre l’élaboration d’un modèle d’accès pour la vérification indépendante des informations assujetties aux termes la Loi.

Pouvoirs

Le présent examen a été réalisé en application du paragraphe 8(2.2) de la Loi sur l’OSSNR, selon lequel l’OSSNR doit examiner, chaque année civile, la mise en oeuvre des instructions données en vertu de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi).

Introduction

Mise en contexte de l’examen

Des ministères et des organismes du gouvernement du Canada échangent couramment de l’information avec diverses entités étrangères. Toutefois, de telles pratiques peuvent parfois entraîner un risque de mauvais traitements infligés, entre autres, à des personnes faisant l’objet de ces échanges. Par conséquent, il incombe au gouvernement du Canada d’évaluer et d’atténuer les risques que cet échange comporte.

En 2011, le gouvernement du Canada a mis en oeuvre un cadre général pour gérer les risques de mauvais traitements lors de l’échange de renseignements avec des entités étrangères. Ce cadre visait à établir une approche cohérente et uniforme à l’échelle du gouvernement, lorqu’il sagit de transmettre ou de recevoir des renseignements dans le cadre d’échanges avec des entités étrangères. Une directive ministérielle a ensuite été publiée en 2011, à l’intention des ministères concernés (Échange de renseignements avec des entités étrangères), puis a été suivie d’une autre en 2017 (Éviter la complicité dans les cas de mauvais traitements par des entités étrangères).

Le 13 juillet 2019, la Loi est entrée en vigueur. Le préambule de la Loi reconnaît les engagements du Canada à l’égard de la Charte canadienne des droits et libertés, ainsi que les obligations juridiques internationales du pays pour ce qui est de prévenir les actes de torture et autres traitements cruels et inhumains. La Loi reconnaît également la nécessité d’échanger des renseignements pour permettre au gouvernement de s’acquitter de sa responsabilité fondamentale de protéger la sécurité nationale et la sécurité des Canadiens et des Canadiennes.

Le 4 septembre 2019, conformément à l’article 3 de la Loi, le gouverneur en conseil a donné des instructions écrites (décrets ou instructions) aux administrateurs généraux de douze ministères et organismes, dont six nouvelles entités canadiennes qui se sont ajoutées à celles qui avaient déjà reçu les directives de 2011 et de 2017.

Le présent rapport constitue le premier rapport de l’OSSNR pour une année complète sur la mise en oeuvre des instructions délivrées en vertu de la Loi en 2020. L’examen se fonde sur deux examens antérieurs ayant porté sur la complicité dans les cas de mauvais traitements. Le premier visait les directives ministérielles de 2017 et l’autre, les instructions transmises en vertu de la Loi, mais seulement sur une période de quatre mois, de la date d’entrée en vigueur des instructions à la fin de l’année 2019.

La Loi et les instructions

La Loi et les instructions connexes visent à éviter que de mauvais traitements soient infligés à un individu à la suite d’un échange de renseignements entre un ministère ou un organisme du gouvernement du Canada et une entité étrangère. La Loi et les instructions visent également à limiter l’utilisation de renseignements vraisemblablement obtenus à la suite de mauvais traitements infligés à un individu par une entité étrangère.

Conformément au paragraphe 3(1) de la Loi, les instructions données aux douze ministères et organismes sont formulées de la même façon et portent sur les trois aspects de la manipulation des renseignements dans le cadre des interactions avec une entité étrangère : la transmission de renseignements, la demande de renseignements et l’utilisation des renseignements reçus.

En ce qui concerne la transmission de renseignements, les instructions données prévoient ce qui suit :

[L’administrateur général] veille, à l’égard de tout renseignement dont la communication à une entité étrangère entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, à ce que les fonctionnaires [du ministère] ne communiquent le renseignement que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.

En ce qui concerne les demandes de renseignements, les instructions données prévoient ce qui suit :

[L’administrateur général] veille à ce que les fonctionnaires [du ministère] ne fassent de demande de renseignements, à une entité étrangère, qui entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.

[L’administrateur général] veille à ce que les fonctionnaires [du ministère] ne fassent de demande de renseignements, à une entité étrangère, qui entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.

[L’administrateur général] veille à ce que les renseignements vraisemblablement obtenus par suite de mauvais traitements infligés à un individu par une entité étrangère ne soient utilisés par [le ministère] :
a) ni de façon à engendrer un risque sérieux de mauvais traitements additionnels;
b) ni comme éléments de preuve dans des procédures judiciaires, administratives ou autres;
(c) ni de façon à priver une personne de ses droits ou libertés, sauf si [l’administrateur général] ou, dans des circonstances exceptionnelles, un haut fonctionnaire [du ministère] qu’il désigne juge cette utilisation nécessaire pour éviter des pertes de vie ou des lésions corporelles et l’autorise à cette fin.

Le paragraphe 3(1) de la Loi et les instructions reposent en grande partie sur la question consistant à savoir s’il existe un risque sérieux. Pour décider s’il transmet ou demande des renseignements, un ministère doit établir s’il existe un risque sérieux et, le cas échéant, si le risque peut être atténué. Comme indiqué dans les examens antérieurs sur l’échange de renseignements, il n’y a aucune définition de « risque sérieux » dans la Loi. Lorsqu’ils effectuent des évaluations en vertu de la Loi, les ministères doivent prendre comme point de départ une définition énoncée dans les instructions de 2017. En l’occurrence, celles-ci définissent le terme « risque sérieux » comme suit :

qu’une personne court un risque personnel, actuel et prévisible de subir de mauvais traitements. Pour pouvoir être qualifié de « sérieux », un risque doit être réel et ne pas être uniquement théorique ou spéculatif. Dans la plupart des cas, l’existence d’un risque sérieux est établie s’il est plus probable qu’improbable que de mauvais traitements soient infligés à une personne. Cependant, dans certains cas, en particulier lorsqu’une personne risque de subir un préjudice grave, l’existence du « risque sérieux » peut être établie à un niveau de probabilité inférieure.

Suivant le résultat des analyses, on peut décider d’approuver ou de rejeter un dossier ou encore de le porter à l’attention de l’administrateur général aux fins d’examen. Il importe également de déterminer s’il existe un risque sérieux lors de l’utilisation de renseignements obtenus d’une entité étrangère. Si l’on estime que les renseignements auraient vraisemblablement été obtenus à la suite de mauvais traitements infligés à un individu, le ministère est tenu de s’abstenir d’utiliser lesdits renseignements dans la mesure où ceux-ci poseraient le risque sérieux que d’autres mauvais traitements soient infligés.

Conformément aux instructions, on doit vérifier l’exactitude et la fiabilité de tous les renseignements traités, ainsi que les limites se rattachant à leur utilisation, et ce, tout au long du processus visant à déterminer si les renseignements seront communiqués ou utilisés.

En outre, les exigences en matière de rapports figurent aux articles 7 et 8 de la Loi, de même que dans les instructions. Elles prévoient, notamment, que le ministre compétent soit tenu, dès que possible, de fournir une copie du rapport sur la mise en oeuvre des instructions au cours de l’année civile précédente à l’OSSNR, au Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et, le cas échéant, à la Commission civile d’examen et de traitement des plaintes relatives à la Gendarmerie royale du Canada. Selon les exigences énoncées dans les instructions, les décisions prises en considération par l’administrateur général pour ce qui a trait à la communication ou à la demande de renseignements qui priveraient une personne de ses droits et libertés ou à l’autorisation de l’utilisation de tels renseignements doivent être signalées dès que possible au ministre compétent, à l’OSSNR et au CPSNR.

Objectifs et méthodologie de l’examen

L’examen portait sur la période du 1er janvier au 31 décembre 2020. L’examen avait pour objectif :

  • d’assurer un suivi de la mise en oeuvre par les ministères des instructions reçues en vertu de la Loi;
  • d’évaluer l’opérationnalisation par les ministères des cadres et des processus leur permettant de s’acquitter des obligations énoncées dans la Loi et les instructions;
  • d’évaluer la coordination et l’uniformité de la mise en oeuvre au sein des ministères concernés.

En outre, l’OSSNR a évalué les cadres de « tri des dossiers » des douze ministères visés par la Loi (c.-à-d. une combinaison de critères d’évaluation stratégiques et d’un processus de renvoi pour les dossiers qui doivent être approuvés à des échelons supérieurs de la direction). Voir les annexes B à M pour obtenir de plus amples renseignements concernant le processus de tri des dossiers de chaque ministère. Enfin, l’OSSNR a examiné l’utilisation de mesures d’atténuation par les ministères et les politiques à cet égard.

CONCLUSIONS

Le point sur les rapports et les cadres

Conformément à la Loi, les douze ministères se sont acquittés de leur obligation de faire rapport à leurs ministres respectifs et à l’OSSNR sur les progrès réalisés quant à l’opérationnalisation des cadres et à la détermination des dossiers acheminés au niveau de l’administrateur général.

Les neuf ministères qui, l’année précédente, avaient avisé l’OSSNR de l’achèvement de leurs cadres respectifs ont continué de perfectionner leurs protocoles d’évaluation au cours de la période visée par l’examen de 2020. Selon l’information fournie à l’OSSNR, Transports Canada (TC) a élaboré une politique générale pour mettre en évidence les exigences du ministère liées à la Loi11. Toutefois, l’Agence des services frontaliers du Canada (ASFC) et Sécurité publique Canada (SP) n’ont pas encore achevé leur politique relative à la Loi. Par conséquent, il se peut que les employés n’aient pas accès à des lignes directrices appropriées et actualisées concernant la façon de prendre des décisions qui soient conformes à la Loi.

Conclusion no 1 : L’OSSNR constate qu’au cours de la période visée par l’examen, l’ASFC et SP n’ont pas achevé leurs cadres de politique respectifs, contrairement aux instructions reçues au titre de la Loi.

Renvois à l’administrateur général

Il est indiqué dans les instructions que lorsque des représentants du ministère ne sont pas en mesure de déterminer si le risque de mauvais traitements découlant de la transmission ou de l’obtention de renseignements peut être atténué, le cas doit être renvoyé à l’administrateur général. Toujours selon les instructions, l’administrateur général (AG) ou le haut fonctionnaire que l’AG désigne en situations exceptionnelle doit déterminer si l’utilisation de renseignements vraisemblablement obtenus à la suite de mauvais traitements infligés à un individu par une entité étrangère priverait une personne de ses droits ou libertés, et si cette utilisation est nécessaire pour éviter des pertes de vie ou des lésions corporelles. En 2020, aucun cas n’a été acheminé à l’échelon de l’administrateur général. L’OSSNR a demandé des précisions sur l’absence de revois, et les ministères ont pour la plupart expliqué, d’une part, que la situation était attribuable au fait que les risques associés aux dossiers avaient été atténués avant que l’intervention de l’administrateur général ne soit requise et, d’autre part, que le nombre d’échanges de renseignements avec des entités étrangères avait diminué de manière générale en raison de la pandémie.

Conclusion no 2 : L’OSSNR constate qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier visé par la Loi n’a été renvoyé aux administrateurs généraux des ministères.

Tri des dossiers

Généralement, lorsque les ministères prennent des décisions relatives au champ d’application de la Loi, ils utilisent divers processus de tri des dossiers (c.-à-d. une combinaison de critères d’évaluation stratégiques et d’un processus prédéterminé d’acheminement aux échelons supérieurs pour les dossiers qui doivent être évalués à des échelons supérieurs de la direction). L’OSSNR a évalué soigneusement les cadres de tri des dossiers des douze ministères visés par la Loi (voir les annexes B à M). Dans le cadre de ces travaux, l’OSSNR a constaté certains problèmes dans la mise en oeuvre des systèmes de tri; par exemple, il est arrivé qu’il n’y ait pas de système de tri en place ou que l’information ne soit pas à jour.

L’OSSNR a constaté qu’il existait deux principaux types de processus de tri initial des dossiers : le tri selon les cas, suivant lequel il appartient à un fonctionnaire du niveau opérationnel de rendre la première décision en s’appuyant sur les outils d’évaluation de la politique, la formation pertinente et l’expérience individuelle; et la cote d’évaluation des pays, selon laquelle on se fie initialement au niveau de risque attribué à un pays pour déterminer si un dossier doit être renvoyé à un échelon supérieur. La cote d’évaluation d’un pays représente le risque évalué de mauvais traitements associé à ce pays, déterminé en fonction d’un certain nombre de critères et souvent selon différentes sources.

Première catégorie du tri initial des dossiers : le cas par cas

Tous les ministères ont recours aux fonctionnaires du niveau opérationnel pour déterminer s’il existe un risque de mauvais traitements. Lorsque l’évaluation d’un fonctionnaire du niveau opérationnel ne permet pas de déterminer s’il existe un risque sérieux de mauvais traitements, la décision est renvoyée à un échelon supérieur de la direction. L’OSSNR a créé la Figure 1 pour représenter ce type de processus de tri suivant lequel le fonctionnaire du niveau opérationnel consulte les outils d’évaluation à sa disposition pour déterminer s’il existe un risque sérieux de mauvais traitements.

Figure 1: Case by Case Triage Diagram

Deuxième catégorie du tri initial des dossiers : selon la cote d’évaluation du pays

Le SCRS, le CST, le CANAFE et la GRC exigent que les employés de niveau opérationnel se servent de la cote d’évaluation du pays pour déterminer si le dossier doit être renvoyé à un échelon supérieur. L’OSSNR a créé la Figure 2 pour représenter ce type de processus de tri, selon lequel les cotes d’évaluation des pays peuvent nécessiter que le dossier soit renvoyé à un échelon supérieur.

Acheminement du dossier à un échelon supérieur

En plus des deux catégories de cadres de tri des dossiers susmentionnés, tous les ministères, sauf le CANAFE, SP, le CST et TC, disposent de groupes de consultation et de comités de la haute direction chargés de la prise de décisions en interne, qui interviennent lorsqu’il est établi que des dossiers doivent faire l’objet de consultations ou être acheminés à un échelon supérieur (p. ex. des groupes de travail et des secrétariats de comités de la haute direction). Les divers groupes de Page 13 de 53 consultation des ministères qui peuvent prendre des décisions relatives à la Loi sont présentés dans le tableau ci-dessous.

L’objectif général des groupes de consultation est de servir de point de contact pour les employés qui ont besoin d’aide pour évaluer les activités d’échange de renseignements avec des entités étrangères ou pour interpréter les politiques et les procédures. Les comités de la haute direction chargés de la prise de décision prennent des décisions sur l’échange de renseignements. Ils détiennent le pouvoir décisionnel final avant l’acheminement à l’administrateur général. L’OSSNR a constaté que le fait de tirer parti de l’expertise globale de ces groupes peut aider les fonctionnaires à appliquer les critères d’évaluation de manière uniforme et accroître la surveillance des échanges de renseignements avec des entités étrangères.

Mise en oeuvre uniforme dans l’ensemble des ministères

Depuis l’entrée en vigueur des directives ministérielles de 2017 visant à éviter la complicité dans les cas de mauvais traitements par des entités étrangères, les ministères doivent tenir à jour des politiques et des procédures sur l’évaluation des risques liés aux relations d’échange de renseignements avec des entités étrangères. Les ministères continuent d’évaluer les entités et les pays, une pratique encouragée par l’OSSNR, même s’il ne s’agit pas d’une exigence précisée dans la Loi ou dans les instructions. L’OSSNR a déjà soulevé des préoccupations concernant l’absence d’une approche normalisée et unifiée pour les évaluations des pays réalisées par les ministères. À cet égard, il était indiqué dans la réponse collective aux recommandations de l’année dernière dirigée par le Bureau du Conseil privé (BCP) que :

[Traduction] Les activités d’échange de renseignements de ces organisations servent à des fins administratives, d’exécution de la loi ou de renseignement, et ont toutes des profils de risque, des préoccupations liées à la protection des renseignements personnels et des pouvoirs juridiques différents. Chaque ministère et organisme doit établir des critères ou des déclencheurs précis dans son cadre d’échange de renseignements qui correspondent à son contexte opérationnel. Le gouvernement du Canada est d’avis qu’il n’est pas nécessairement pratique ou essentiel que toutes les organisations appliquent les mêmes critères pour déclencher, évaluer et acheminer les dossiers dans le but de s’assurer que les ministères et les organismes mènent leurs activités conformément à la Loi.

In order to engage in the questions to which the divergence of thresholds gives rise, NSIRA asked departments to rank bi-lateral information exchanges with foreign partners in terms of volume, excluding exchanges with [***example of foreign entity information sharing***]. Nine of the twelve departments identified ███████ as a foreign exchange entity, a country which is widely recognized as having human rights concerns.

NSIRA then selected only those departments that initially utilize country assessment ratings as a triage method (i.e. FINTRAC, RCMP, CSIS and CSE). [***description of how departments determined foreign entity example***]. Nonetheless, in carrying out this analysis, NSIRA observed that all four departments relied on a combination of open source human rights reports and consultations with other departments. Additionally, RCMP, CSIS and CSE utilize classified intelligence sources.

However, although these departments utilize a similar approach when assessing a country, the assigned rating for ████ was not consistent. CSIS assigned █████████████; FINTRAC and RCMP assigned a [***description of department’s specific ratings***] ; and finally, CSE assigned a ██████ rating.

L’OSSNR a évalué dans quelle mesure les cotes de pays avaient une incidence sur le niveau d’approbation requis pour un échange de renseignements. Puisque le CST a attribué la cote ██████ lorsqu’il reçoit une demande ███████ un représentant du CST pourrait devoir obtenir [***description des facteurs utilisés pour déterminer le niveau d’approbation approprié***] Le CST a reconnu que ses [traduction] « études d’impact sur les droits de la personne ne correspondent pas nécessairement au niveau de risque attribué à un échange » et qu’elles ne [traduction] « correspondent pas nécessairement aux niveaux d’approbation ou aux restrictions en matière d’échange. [***description des facteurs utilisés pour déterminer le niveau d’approbation approprié***]

À l’inverse, selon le cadre et la méthodologie de la GRC, un échange avec l’une des autorités █████ figurant sur la liste d’évaluation des entités et des pays de la GRC pourrait donner lieu à [***description des notes spécifiques attribuées par les ministères***] puisque ███████ s’est fait attribuer la cote d’évaluation de pays █████ Si une entité a une cote jaune, l’employé doit déterminer s’il existe un risque de mauvais traitements en se fondant sur une liste de critères. Si l’un ou plusieurs des critères sont présents, l’employé doit renvoyer le cas à un comité de la haute direction. L’OSSNR a constaté que dans les situations où la GRC avait attribué la cote rouge à un pays, l’employé du niveau opérationnel devait acheminer le dossier à un comité de la haute direction. Par conséquent, contrairement au CST et au SCRS, les cotes de pays attribuées par la GRC ont une incidence directe sur les niveaux d’approbation requis.

Dans son rapport précédent sur la Loi 37, l’OSSNR a recommandé aux ministères de trouver le moyen de mettre en place des outils harmonisés et normalisés d’évaluation des risques que présentent les pays et les entités afin de soutenir l’adoption d’une approche uniforme par les ministères lorsqu’ils interagissent avec des entités étrangères qui suscitent présentent des risques. Même si le BCP n’est pas d’accord avec cette recommandation, l’OSSNR persiste à croire qu’il y a lieu de se préoccuper des divergences sur le plan des évaluations du risque et des pays.

Conclusion no 3 : L’OSSNR constate que même si les ministères se fondent sur des sources d’information et des méthodes similaires pour déterminer si un dossier concernant le même pays suscitant des préoccupations doit être acheminé à un échelon supérieur, il existe d’importantes différences dans l’évaluation du risque et le niveau d’approbation requis qui en découlent.

À la suite du présent examen, l’OSSNR a l’intention d’examiner plus en profondeur les processus utilisés par AMC et la GRC pour ce qui concerne la prise de décision et le tri en considération de la Loi.

L’étude de cas présentée dans l’Encadré 1 démontre l’incompatibilité entre les évaluations de risques dans une situation où deux ministères envisageaient de répondre à la même demande présentée par une entité étrangère.

Encart 1 : Processus décisionnels divergents

[***description of the case study***] The foreign entity provided this information to GAC and CSIS and requested confirmation [***description of the information sharing request***]

Pour déterminer s’il allait répondre à la demande, AMC a établi que les antécédents en matière de droits de la personne du pays en question de manière générale, et de l’entité étrangère précisément, faisaient en sorte que la demande était préoccupante. Le Comité de la haute direction sur l’évaluation des risques d’AMC a travaillé en fonction du principe voulant que la personne fût détenue à ce moment, et a tenté de déterminer si la communication de cette information [traduction] « n’augmenterait pas considérablement le risque que de mauvais traitements soient infligés à la personne détenue. » Le Comité de la haute direction sur l’évaluation des risques a déterminé qu’il était permis de confirmer si la personne avait déjà travaillé au sein d’AMC, selon la décision du SCRS.

En définitive, la décision du SCRS a été prise au niveau de directeur général et, puisque l’entité étrangère était considérée comme étant un partenaire faisant l’objet de restrictions, les renseignements n’ont pas été communiqués.

The assessment by GAC’s senior decision-making committee is of concern. The Act and the Directions impose that departments consider whether disclosing or requesting information “would result in a substantial risk of mistreatment.” [***legal advice to department***]

L’OSSNR est d’accord avec cette interprétation de la Loi, mais n’est pas d’accord avec son application par AMC dans cette situation. AMC a déterminé que le fait de répondre à la demande [traduction] « n’aggraverait pas » le risque de mauvais traitements41. À l’inverse, l’OSSNR estime que, peu importe les renseignements demandés, les antécédents en matière de droits de la personne de l’entité étrangère et du pays étaient préoccupants, et AMC présumait que la personne pourrait déjà avoir subi de mauvais traitements. Même si les mauvais traitements qui auraient pu être infligés plus tôt n’avaient pas été attribuables à la communication de renseignements par AMC, le fait de répondre à la demande, compte tenu des faits du dossier, aurait entraîné un risque sérieux de mauvais traitements. Par conséquent, le dossier aurait dû être renvoyé au sous-ministre des Affaires étrangères aux fins d’examen.

L’OSSNR a également constaté que ce dossier a été renvoyé à des niveaux différents par AMC et par le SCRS. Dans le cadre du processus de tri d’AMC, la décision selon laquelle la communication était permise a été prise par un comité de la haute direction chargé de la prise de décision. En comparaison, le processus de prise de décision du SCRS était achevé avant d’atteindre le comité de direction et a donné lieu au résultat opposé. Les différents niveaux de prise de décision et les différents résultats démontrent une incohérence problématique dans la façon dont les organisations tiennent compte des mêmes renseignements à communiquer à la même entité étrangère. En outre, même si un ministère responsable des renseignements peut consulter d’autres ministères pour déterminer si la communication des renseignements est permise, celui-ci ne peut déléguer la responsabilité et la décision à prendre à un autre ministère.

Conclusion no 4 : L’OSSNR relève une lacune importante sur le plan des procédures, notamment, lors de l’analyse d’une demande de divulgation de renseignements. En l’occurrence, aucun renseignement n’a finalement été divulgué, mais il s’avère que le risque de mauvais traitements était sérieux et que le cas aurait dû être renvoyé au sous-ministre compétent, en l’occurrence, le sous-ministre des Affaires étrangères.

Mesures d’atténuation

Prise de mesures d’atténuation

Pour diminuer le risque de mauvais traitements, les ministères ont recours à des mesures d’atténuation (réserves, garanties, expurgation et caviardage). Les mesures d’atténuation les plus fréquemment utilisées sont les réserves et les garanties. Les réserves prennent la forme de conditions précises jointes aux renseignements dans le but de limiter ou d’interdire certaines utilisations des renseignements, sauf autorisation contraire par le ministère émetteur. Par exemple, de nombreux ministères ont recours à des réserves de tierces parties qui limitent la diffusion des renseignements à d’autres ministères (canadiens et étrangers), à moins de consulter le ministère d’origine au sujet de la demande de communication.

Les garanties ne sont pas propres à un seul échange de renseignements. Il s’agit plutôt d’ententes établies avec les entités étrangères (officielles ou non) 45 visant à s’assurer qu’une certaine entité étrangère comprenne la position du Canada à l’égard des droits de la personne et que l’entité, à son tour, accepte d’adopter le comportement attendu. Par exemple, au moment d’élaborer une stratégie d’atténuation du risque relativement à un échange de renseignements, les ministères doivent tenir compte des garanties verbales ou écrites et de la personne ayant fourni la garantie (c.-à-d. un employé du niveau opérationnel ou un dirigeant de l’organisme), et déterminer si la garantie est considérée comme étant crédible et fiable.

En outre, le SCRS, le CST et AMC ont soulevé un certain nombre de différences entre les types de garanties demandés, notamment des méthodes officielles et informelles. Par exemple, des employés de divers niveaux peuvent demander des garanties verbales, des garanties officielles prévues et des garanties écrites ponctuelles.

In a related issue, NSIRA observed that there are [***description and an example of a Department’s ability to track compliance***] CSIS, GAC, and CSE indicated that there is ████████████████████████████████████████████████████████████ is not specific to the ACA but is nonetheless key ████████████ when exchanging information with the Government of Canada.

Puisqu’aucun dossier n’a été acheminé au niveau de l’administrateur général, le recours aux stratégies d’atténuation à un niveau inférieur au sein des ministères joue un rôle important dans la prise de décisions. Dans le cadre d’un prochain examen, l’OSSNR a l’intention d’examiner plus en profondeur les politiques sur l’utilisation et le suivi des mesures d’atténuation.

CONCLUSION

Puisqu’aucun dossier n’a été acheminé au niveau de l’administrateur général, le recours aux stratégies d’atténuation à un niveau inférieur au sein des ministères joue un rôle important dans la prise de décisions. Dans le cadre d’un prochain examen, l’OSSNR a l’intention d’examiner plus en profondeur les politiques sur l’utilisation et le suivi des mesures d’atténuation.

Le premier examen de l’OSSNR sur la mise en oeuvre par les ministères de la Loi et des instructions visait seulement une période de quatre mois (de septembre à décembre 2019). Par conséquent, le présent examen est le premier examen de la Loi réalisé sur une période complète d’un an. L’OSSNR estime maintenant être en mesure de mener des études de cas approfondies sur le respect de la Loi et des instructions par chaque ministère, peu importe si un ministère a renvoyé des dossiers à son administrateur général. En outre, d’autres examens suivront sur la mise en oeuvre des recommandations antérieures de l’OSSNR.

Annexe A : Conclusions

Conclusion no 1 : L’OSSNR constate qu’au cours de la période visée par l’examen, l’ASFC et SP n’ont pas achevé leurs cadres de politique respectifs, contrairement aux instructions reçues au titre de la Loi.

Conclusion no 2 : L’OSSNR constate qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier visé par la Loi n’a été renvoyé aux administrateurs généraux des ministères.

NSIRA Finding #3: NSIRA found that even when departments employ similar methodologies and sources of information to inform their determination of whether or not a case involving the same country of concern should be escalated, significant divergences in the evaluation of risk and the required level of approval emerge.

Conclusion no 4 : L’OSSNR relève une lacune importante sur le plan des procédures, notamment, lors de l’analyse d’une demande de divulgation de renseignements. En l’occurrence, aucun renseignement n’a finalement été divulgué, mais il s’avère que le risque de mauvais traitements était sérieux et que le cas aurait dû être renvoyé au sous-ministre compétent, en l’occurrence, le sous-ministre des Affaires étrangères.

Annexe B : Agence des services frontaliers du Canada

Annex B: Canada Border Services Agency Framework

Modifications apportées au cadre : En 2018, l’Agence des services frontaliers du Canada (ASFC) a publié un document de politique de haut niveau en réaction à la DM de 2017. Depuis lors, l’ASFC a amorcé la mise à jour de ses politiques et procédures. Cette mise à jour est toujours en cours.

Groupe de travail : Groupe de travail visant à éviter la complicité dans les cas de mauvais traitements (GTECMT) de l’ASFC.

Comité de la haute direction : Comité de la haute direction sur l’évaluation des risques (CHDER). Ce comité se réunit ponctuellement pour évaluer les cas pouvant poser un risque de mauvais traitements.

[***description du processus décisionnel de l’ASFC***]

Évaluation des pays : L’élaboration d’un modèle interne d’attribution des cotes de risque est toujours en cours.

Mesures d’atténuation : L’ASFC est en train de travailler au renforcement de son cadre officiel et des procédures connexes permettant d’établir si le risque sérieux de mauvais traitements posé par une demande donnée peut être atténué.

Annexe C : Agence du revenu du Canada

Annex C: Canada Revenue Agency Framework

Modifications apportées au cadre : L’Agence du revenu du Canada (ARC) a indiqué qu’aucune modification n’avait été apportée à son cadre depuis la réponse de l’année précédente. Le ministère continue de perfectionner ses processus et a élaboré les procédures d’échange d’information de l’Agence du revenu du Canada en considération de la Loi.

[***documents confidentiels du Cabinet***]

Groupe de travail : L’ARC a mis sur pied un Groupe de travail sur l’évaluation des risques (GTER) qui a élaboré une méthode visant à évaluer les antécédents en matière de respect des droits de la personne de ses partenaires d’échange de renseignements, de sorte que la haute direction puisse procéder une évaluation rigoureuse des risques de mauvais traitements.

Le Canada dispose d’un vaste réseau de partenaires internationaux ayant conclu 94 conventions fiscales et 24 accords d’échange de renseignements fiscaux. Le Canada est également l’un des 144 signataires de la Convention concernant l’assistance administrative mutuelle en matière fiscale. En outre, ces accords juridiques internationaux permettent à l’ARC d’échanger des renseignements sur demande et spontanément, voire automatiquement. Chacun des accords juridiques comprend des dispositions relatives au secret (restrictions de diffusion) qui régissent les modalités d’utilisation et de divulgation. De plus, les membres du Forum mondial sur la transparence et l’échange de renseignements à des fins fiscales sont cycliquement soumis à des examens par les pairs, notamment, en matière de confidentialité et de protection des données.

Comité de la haute direction : Comité de la haute direction : Pendant la période d’examen, aucun comité de la haute direction n’était en place. Toutefois, il existait un processus formel de transmission aux échelons supérieurs allant du directeur, au directeur général (DG), puis au sous-commissaire, Direction générale des programmes d’observation (DGPO), qui est responsable de l’administration de la Loi.

Par ailleurs, en juillet 2021, l’ARC a adopté un cadre de gouvernance relatif à la Loi. Ce cadre s’appuie sur un comité d’experts, un comité consultatif de la haute direction appelé à soutenir les évaluations de risques et des mécanismes de rapports de même que sur l’énonciation de recommandations et de priorités. Le comité d’experts se compose actuellement des DG et des directeurs issus de la DGPO et de la Direction générale des politiques législatives et des affaires réglementaires. Également en juillet 2021, l’ARC a mis sur pied un comité de la haute direction appelé à analyser et à formuler des recommandations relatives aux engagements à l’égard des divers cas ainsi qu’à reconnaître les difficultés, pour ensuite formuler les directives appropriées. Le comité est formé de directeurs provenant de plusieurs directions de l’ARC, qui gèrent les programmes directement touchés par les échanges de renseignements avec d’autres entités compétentes.

Tri : L’évaluation initiale est réalisée par un employé du niveau opérationnel et nécessite l’approbation d’un directeur ou d’une personne de niveau hiérarchique supérieur. Le cas peut être renvoyé à un DG, puis au commissaire adjoint et ainsi de suite dès lors qu’un doute est soulevé quant à l’atténuation des risques.

Dans certains cas où le risque avait été cerné, mais où des difficultés avaient été rencontrées pendant la réalisation d’évaluations complètes visant à établir si les risques étaient sérieux, l’ARC a choisi de reporter la divulgation des renseignements jusqu’à ce que l’évaluation soit terminée. Cette situation était en grande partie attribuable aux contraintes liées à la COVID-19. Ainsi, les dossiers qui auraient normalement été renvoyés à un autre palier ont été temporairement mis de côté, et aucune mesure n’a été prise pendant la période d’examen.

L’ARC a avisé l’OSSNR que le financement annoncé dans l’Énoncé économique de l’automne de novembre 2020 avait été affecté à la création d’une équipe spécialisée dans les évaluations de risques. Il est prévu que la préparation et la tenue à jour des évaluations à l’échelle nationale ainsi que la préparation des évaluations des risques à chacun des niveaux relèveront de cette nouvelle équipe spécialisée faisant partie de la DGPO, et ce, dès l’été de 2021.

L’équipe sera également responsable de ce qui suit :

  • créer et officialiser le cadre régissant les consultations avec la haute direction de l’ARC et avec d’autres ministères et organismes du gouvernement;
  • aviser les responsables de l’ARC qui recourent aux échanges de renseignements (ER);
  • reconnaître les mesures d’atténuation et les autres facteurs qui s’appliquent aux types de renseignements que l’ARC est appelée à échanger et qui pourraient avoir des répercussions sur l’évaluation des risques;
  • préparer le rapport annuel ainsi que les autres rapports exigés par la Loi et par les instructions reçues;
  • offrir des séances de sensibilisation et de formation;
  • favoriser la constante amélioration de la documentation, des politiques, des orientations et de procédures.

Évaluation des pays et des entités : En janvier 2020, l’ARC a réalisé sa propre série d’évaluations des risques de mauvais traitements pour chacun des échanges potentiels de renseignements – ce qui concerne également l’utilisation des renseignements que l’ARC peut recevoir de la part de ses partenaires d’échange de renseignements – en consultation avec d’autres partenaires du gouvernement du Canada.

L’ARC a recours à un code couleur pour désigner les niveaux de risque associés aux pays : vert, jaune et rouge. Toutefois, dans le cas de certains échanges spontanés de renseignements, l’ARC procède, en guise de complément à l’évaluation portant sur un pays particulier, à une analyse s’appuyant sur les particularités du dossier en question.

Mesures d’atténuation : Les mesures d’atténuation, y compris les mises en garde (les mesures de protection des données et les dispositions en matière de confidentialité) sont intégrées dans tous les instruments juridiques qui régissent et autorisent les échanges d’information de l’ARC, alors que les examens réalisés par les pairs relativement au cadre juridique s’appliquant aux diverses compétences et aux pratiques administratives permettent de s’assurer que les partenaires d’échange se conforment aux normes internationales lorsqu’il s’agit de communiquer des renseignements fiscaux. Selon l’ARC, tous les renseignements qui ont été échangés pendant la période d’examen ont été assujettis à ces mesures d’atténuation. Or, en raison de la pandémie de COVID-19, l’ARC a suspendu, pendant la durée de l’examen, tous les échanges dont on a estimé qu’ils pourraient entraîner des risques résiduels, et possiblement importants, de mauvais traitement, et ce, jusqu’à ce qu’un processus et des mesures d’atténuation aient été mis en place, notamment, le caviardage de l’information. Toutefois, pour ce qui est des échanges qui ont eu lieu pendant cette période et suivant l’application de mesures d’atténuation des risques, l’ARC a régulièrement procédé au caviardage des renseignements personnels dans la mesure où ce type de contrôle ne devait avoir aucune répercussion sur l’essentiel de l’information échangée.

Annexe D : Centre de la sécurité des télécommunications

Annex D: Communications Security Establishment Framework

Modifications apportées au cadre : Aucune modification n’a été apportée au cadre en 2020. Les procédures sont demeurées inchangées par rapport à l’année précédente.

Groupe de travail : Selon la DI, aucun groupe de travail n’est affecté à l’évaluation des risques de mauvais traitements. En l’occurrence, le processus d’évaluation des risques de mauvais traitements suit une procédure qui a été régulièrement perfectionnée depuis sa création en 2012. Plus le niveau de risque est élevé (faible, modéré, élevé ou sérieux), plus le niveau d’approbation exigé pour l’échange ou l’utilisation des renseignements est élevé.

Comité de la haute direction : Il n’y a aucun comité de la haute direction. Tel qu’il a été exposé plus précédemment, le CST mise sur une échelle de pouvoir d’autorisation conçue en fonction du niveau de risque (de faible à sérieux). Les cadres supérieurs prennent part au processus lorsque le niveau de risque des cas est modéré ou élevé. En l’occurrence, il faut obtenir l’approbation d’un directeur (modéré) ou d’un directeur général/d’un chef adjoint (élevé).

Tri : Un responsable du CST réalise une première analyse en consultant l’évaluation des risques de mauvais traitements (ERMT) – qui prend en compte les questions relatives à l’équité; à la géolocalisation et aux renseignements sur l’identité; à la protection des droits de la personne; au risque de détention –, mais aussi en prenant acte du profil des destinataires faisant état de leurs pratiques en matière de protection des droits de la personne.

Faible (États à risque faible)

Lorsque l’ERMT indique un niveau de risque faible, le responsable doit obtenir l’approbation d’un superviseur [***nom d'une unité spécifique***], pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Faible (États qui ne sont pas à risque faible)

Lorsque l’ERMT indique un niveau de risque faible, le responsable doit obtenir l’approbation d’un gestionnaire [***nom d'une unité spécifique***], pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Modéré

Lorsque l’ERMT indique un niveau de risque modéré, le responsable doit obtenir l’approbation du directeur, Divulgation et échange de renseignements pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Élevé

Lorsque l’ERMT indique un niveau de risque élevé, le responsable doit obtenir l’approbation du directeur général, Divulgation, politiques et examen ou du chef adjoint (CA), PolCom pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Substantiel

If the MRA indicates a substantial level of risk, the official may not proceed with the information exchange or use.

Évaluation des pays : Le CST réalise ses propres évaluations des pays (que le CST désigne comme étant les études d’impact sur les droits de la personne [EIDP]) en utilisant des renseignements provenant d’autres ministères fédéraux, de ses propres rapports et de sources ouvertes. Les ententes avec les entités étrangères sont révisées tous les ans. Ces EIDP font partie des ERMT du CST.

Il existe deux types d’ERMT : les annuelles et les ponctuelles. Les ERMT annuelles concernent les entités étrangères avec lesquelles le CST échange des renseignements régulièrement, [***description des entités étrangères avec lesquelles le CST échange de l’information***] Quant aux ERMT ponctuelles, elles sont réalisées en réponse à une demande particulière. Les ERMT ponctuelles concernent souvent des individus et des activités d’échange de renseignements. Il existe aussi des ERMT abrégées, qui forment une sous-catégorie des ERMT ponctuelles et sont menées dans le cas des États à risque limité. Ces États sont considérés, par l