Sélection de la langue

Gouvernement du Canada / Gouvernement du Canada

Recherche


Examen des pratiques d’échange d’informations entre divers volets du mandat du CST

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Le présent rapport présente une légère modification par rapport à la version finale qui a été soumise au Ministre. En effet, une erreur de formulation s’était glissée dans l’énoncé de la conclusion no 4, donnant lieu à deux libellés différents dans le rapport et dans le sommaire. Une correction a donc été apportée aux fins de publication. Précisions que le libellé exact a toujours été présent dans le corps du rapport final et qu’en définitive, le libellé erroné a été remplacé par le bon libellé aux fins de publication.

Sommaire

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité).

(NC) L’OSSNR a vérifié si les échanges internes d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC) effectués par le CST étaient conformes aux dispositions de la Loi sur la protection des renseignements personnels, qui impose aux institutions fédérales des restrictions sur l’utilisation des renseignements personnels obtenus par voie de collecte, mais aussi de la Loi sur le CST, qui encadre les ICPC collectées de manière incidente et leur utilisation par le CST. Considérant les descriptions que les articles 16 et 17 de la Loi sur le CST fournissent concernant les volets, l’OSSNR constate qu’il peut arriver que des informations collectées par l’un des volets soient utilisées par un autre volet pour des fins semblables ou autrement justifiables. En l’occurrence, il semble bien que les exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne soient respectées. Toutefois, il convient de garder une certaine réserve dans la mesure où les volets énoncés dans la Loi sur le CST diffèrent les uns des autres. En effet, le CST est tenu de procéder, dans chacun des cas, à une analyse de la conformité visant à étudier l’objet de la collecte et des échanges envisagés.

(NC) L’OSSNR estime qu’il est nécessaire que toute demande d’autorisation ministérielle présentée par le chef du CST informe le ministre concernant la façon dont les ICPC pourraient être utilisées par le CST – ce qui comprend l’éventualité d’une communication des ICPC à un autre volet – et les objectifs visés. Hormis une seule exception, les demandes présentées par le chef pendant la période d’examen informaient adéquatement le ministre de la Défense nationale concernant la façon dont les ICPC pourraient être utilisées en guise d’appui à un autre volet. Qui plus est, les demandes en matière de renseignement étranger fournissaient au ministre les informations appropriées quant à la façon dont le CST avait évalué le caractère essentiel (ou l’essentialité) servant à justifier la collecte d’ICPC dans le cadre du volet RE.

(NC) La politique du CST indique qu’une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets est requise avant que des informations puissent être retransmises entre lesdits volets. En outre, la politique du CST fournit des définitions ainsi que des critères d’évaluation et d’application des balises s’appliquant aux informations. Au reste, l’OSSNR est d’avis que le cadre stratégique du CST régissant la communication interne d’informations entre les volets cybersécurité et renseignement étranger du mandat est conforme aux dispositions de la Loi sur le CST.

(NC) Les informations fournies par le CST n’ont pas été l’objet d’une vérification indépendante de la part de l’OSSNR. Or, des travaux sont en cours dans le but de préparer des politiques opérantes et des pratiques exemplaires devant s’appliquer aux vérifications indépendantes de divers types d’informations selon une approche axée sur la confiance, mais aussi sur la prudence, qui répond à l’engagement de l’OSSNR.

Pouvoirs

(NC) Le présent examen a été réalisé conformément aux dispositions énoncées à l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Introduction

(NC) Le présent examen avait pour objet d’analyser les fondements juridiques suivant lesquels le Centre de la sécurité des télécommunications (CST) est en mesure de communiquer des informations obtenues par l’un des volets de son mandat à un autre des volets du même mandat. L’examen s’est donc concentré sur les pratiques d’échange d’informations à l’intérieur du CST, plus précisément entre, d’une part, le volet axé sur le renseignement étranger (RE) et, d’autre part, le volet axé sur la cybersécurité et l’assurance de l’information (cybersécurité). De plus, le présent examen avait pour objectif de recenser les activités ayant trait à la communication en interne d’informations se rapportant à un Canadien ou à une personne se trouvant au Canada, plus particulièrement entre les volets « cybersécurité » et « renseignement étranger ». En l’occurrence, cette démarche avait pour objet d’alimenter les examens que l’OSSNR serait ultérieurement appelé à réaliser.

(TS) Le Bureau du commissaire du Centre de la sécurité des télécommunications (BCCST) avait déjà étudié les modalités d’échange et d’accès s’appliquant aux informations sur les cybermenaces échangées entre la Direction du SIGINT et la Direction de la Sécurité des TI du CST. L’examen du BCCST avait alors conclu que les activités d’échange d’informations sur les cybermenaces qui avaient eu lieu entre le SIGINT et la Sécurité des TI du CST avaient été conformes aux exigences énoncées dans la Loi sur la défense nationale et dans la Loi sur la protection des renseignements personnels. L’examen a également indiqué que les informations échangées entre les deux directions n’avaient posé qu’un risque faible pour la vie privée des Canadiens.

(NC) Avec l’entrée en vigueur de la Loi sur le CST, le 1er août 2019, les fondements juridiques sur lesquels s’appuient les activités du CST ont subi des modifications dans la foulée de l’examen du BCCST. En considération des modifications apportées à ces fondements juridiques, l’OSSNR a amorcé une nouvelle évaluation visant à établir si les activités internes d’échange d’informations entre les volets cybersécurité et renseignement étranger du CST étaient toujours conformes aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels.

(NC) D’emblée, l’OSSNR s’attend à ce que les échanges internes d’ICPC effectués au sein du CST répondent aux exigences de la Loi sur le CST et de la Loi sur la protection des renseignements personnels. Le présent examen a donc mis l’accent sur l’analyse des fondements juridiques permettant au CST de procéder à des échanges d’ICPC entre les volets cybersécurité et renseignement étranger.

(NC) La Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) divise le mandat du CST en cinq volets distincts. En l’occurrence, la Loi sur le CST établit des distinctions entre les volets, notamment, sur le plan des objectifs et des activités. Voici donc un aperçu de ces distinctions :

  • Renseignement étranger (RE) (article 16) : acquérir de l’information à partir de l’infrastructure mondiale de l’information (IMI) et utiliser, analyser et diffuser l’information dans le but de fournir des renseignements étrangers.
  • Cybersécurité et assurance de l’information (cybersécurité) (article 17) : fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou celles désignées par le paragraphe 21(1) de la Loi sur le CST, mais aussi acquérir, utiliser et analyser l’information de sorte à renforcer la protection de cette information électronique et de ces infrastructures.
  • Cyberopérations défensives (article 18) : mener, dans l’infrastructure mondiale de l’information, des activités ayant pour but de protéger l’information électronique de même que les infrastructures de l’information des institutions fédérales ou celles désignées au paragraphe 21(1) de la Loi sur le CST.
  • Cyberopérations actives (article 19) : mener des activités dans l’infrastructure mondiale de l’information visant à réduire, à interrompre, à influencer ou à contrecarrer, selon le cas, les capacités, les intentions ou les activités d’entités étrangères.
  • Assistance technique et opérationnelle (article 20) : fournir une assistance technique et opérationnelle aux organismes chargés de l’application de la loi et de la sécurité, aux Forces canadiennes et au ministère de la Défense nationale.

(NC) De plus, la Loi sur le CST établit des distinctions entre les volets en exigeant aussi l’obtention d’autorisations ministérielles (AM) pour les diverses activités du CST, sauf dans les contextes où celui-ci prête son assistance (art 20)6. En outre, exception faite des activités d’assistance, la Loi sur le CST stipule que les activités du CST ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne peuvent porter atteinte à la Charte canadienne des droits et libertés7. Les activités menées par le CST dans la réalisation du volet touchant au RE et à la cybersécurité ne doivent pas contrevenir aux autres lois fédérales ni viser l’acquisition d’information à partir de l’infrastructure mondiale de l’information ou par l’entremise de celui-ci qui puisse porter atteinte à une attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada, à moins d’être menées au titre d’une autorisation ministérielle.

(NC) Le ministre de la Défense nationale peut délivrer une AM permettant au CST de mener des activités ou des catégories d’activités pouvant contrevenir à une loi fédérale et, dans le cas du RE et de la cybersécurité, de viser l’acquisition d’informations qui porteraient atteinte à l’attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada. Les AM de RE et de cybersécurité doivent être approuvées par le commissaire au renseignement (CR), qui est tenu d’examiner si les conclusions que le ministre a rendues avant de délivrer l’autorisation sont raisonnables.

(NC) Ainsi, le CST est autorisé à acquérir incidemment des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada au cours d’activités menées au titre d’une autorisation délivrée en vertu d’une AM de RE [art 26(1)], d’une AM de cybersécurité [art 27(1) ou 27(2)] ou encore d’une AM en cas d’urgence (art 40). Le CST désigne ces informations comme étant des informations se rapportant à un Canadien ou à une personne se trouvant au Canada (ICPC). Avant de délivrer une autorisation, le ministre doit être convaincu que le CST n’utilisera, n’analysera ou ne conservera les ICPC que si la situation répond aux conditions d’essentialité visées à l’article 34 de la Loi sur le CST, conditions qui sont différentes dans le cas des volets RE et cybersécurité. Pour ce qui touche le RE, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est essentielle aux affaires internationales, à la défense ou à la sécurité. Pour ce qui a trait à la cybersécurité, l’essentialité est établie suivant une évaluation visant à déterminer si l’information est nécessaire pour découvrir, isoler, prévenir ou atténuer des dommages (i) aux informations électroniques ou infrastructures de l’information des institutions fédérales ou encore (ii) aux informations électroniques ou infrastructures de l’information visées au paragraphe 21(1) de la Loi sur le CST.

(NC) Étant donné que la Loi sur le CST établit des distinctions entre les volets et leurs AM respectives, l’OSSNR a examiné les fondements juridiques encadrant les activités du CST en matière d’échange d’ICPC entre les volets RE et cybersécurité.

(NC) En raison de difficultés opérationnelles et de problèmes liés aux accès, notamment en contexte de pandémie de COVID-19, le présent examen n’a donné lieu ni à une évaluation ni à une vérification indépendantes de la conformité du CST aux lois ou aux contraintes et pouvoirs en vigueur dans les cas d’échanges d’informations en interne, entre divers volets. Au reste, l’OSSNR n’a pas été en mesure de procéder en toute indépendance à des observations, à des enquêtes ou à des validations visant les systèmes employés aux fins des échanges de données entre divers volets (prière de consulter l’Annexe F pour trouver une description des méthodes et des processus suivis par le CST pour échanger des informations entre deux volets). Or, ces systèmes d’échange de données pourraient ultérieurement être l’objet d’un examen de la part de l’OSSNR.

12. (NC) L’OSSNR avait également l’intention d’examiner les échanges internes d’informations du côté des volets cyberopérations actives (COA) et cyberopérations défensives (COD) du mandat du CST, ce qui comprend également les exigences visées au paragraphe 34(4) de la Loi sur le CST concernant l’acquisition d’informations pendant les cyberopérations de type COA ou COD. Entre autres, ce paragraphe stipule qu’aucune information ne sera acquise au titre d’une autorisation de COA ou de COD, sauf conformément à une autorisation de RE [Loi sur le CST, paragraphe 26(1)], à une autorisation de cybersécurité [Loi sur le CST, paragraphes 27(1) et 27(2)] ou à une autorisation en cas d’urgence [Loi sur le CST, paragraphe 40(1)]. Cet aspect de l’examen a plutôt été réalisé à l’occasion d’un autre examen de l’OSSNR intitulé Cyberopérations actives et cyberopérations défensives du CST – Gouvernance et sera examiné plus avant à l’occasion d’un prochain examen de l’OSSNR devant se dérouler en 2021.

(NC) Il importe d’indiquer que le présent examen ne s’est pas penché sur la communication d’informations nominatives sur un Canadien (INC) à l’extérieur du CST.

Renseignements généraux

Que sont les ICPC?

(NC) Même si elle est mentionnée à plusieurs reprises dans la Loi sur le CST, la notion « information se rapportant à un Canadien ou à une personne se trouvant au Canada » (ICPC) n’y est pas précisément définie. De fait, les ICPC sont des informations qui se rapportent à un Canadien ou à une personne se trouvant au Canada et qui pourraient être incidemment collectées par le CST durant des activités de RE ou de cybersécurité menées au titre d’une AM. Selon la politique du CST, s’entend d’une ICPC toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, que cette information puisse ou non servir à identifier ledit Canadien ou ladite personne se trouvant au Canada.

(NC) Il faut donc savoir que les ICPC diffèrent de ce que l’on appelle les informations nominatives sur un Canadien (INC). En outre, la Loi sur le CST emploie fréquemment les deux termes, ICPC et INC, pour désigner certains types d’informations. De fait, les ICPC comprennent toute information reconnue comme se rapportant à un Canadien ou à une personne se trouvant au Canada, tandis que les INC comprennent toute information qui permet d’identifier un Canadien ou une personne se trouvant au Canada et qui a été utilisée, analysée ou conservée au titre d’une autorisation de RE ou de situation d’urgence. Pour le CST, les INC sont un sous-ensemble des ICPC. Par ailleurs, l’article 43 de la Loi sur le CST indique que les INC peuvent être communiquées par le CST à des personnes désignées en vertu de l’article 45 de cette même Loi.

Échanges internes d’ICPC au CST

(TS) Dans certains cas, la politique du CST permet que les ICPC collectées dans le cadre des activités d’un volet soient communiquées aux fins d’utilisation par un autre volet (voir l’Annexe D pour une description des autres types d’informations pouvant être échangées entre les volets RE et cybersécurité). Le CST permet que le RE soit utilisé en interne pour répondre à des besoins liés à la cybersécurité. Les informations conservées au sein du volet cybersécurité peuvent être utilisées par le personnel du CST travaillant au sein du volet RE, à moins que les informations soient assujetties à des conditions particulières imposées par des clients externes ou des entités divulgatrices. Selon le CST, les échanges d’information entre les divers volets du mandat permettent au Centre d’exercer ses fonctions de soutien aux priorités du gouvernement du Canada.

(TS) Dans le contexte de la cybersécurité, le CST a indiqué que les ICPC échangées en interne dans le but d'appuyer le volet RE [description des opérations du CST expurgé]

(TS//SI) À titre d’exemple, le CST a abordé [description des opérations du CST expurgé]. Le fait de communiquer cette information entre divers volets du mandat a permis au CST de renforcer la protection de l’information électronique et des structures de l’information du GC, mais aussi des systèmes et réseaux d’importance (SRI) en permettant de reconnaître, d’isoler et d’atténuer la menace en question. Cette communication a également fourni aux décideurs du GC un portrait complet des menaces qui ciblent le Canada.

(TS) Après avoir examiné une série de rapports choisis au hasard, reçu des informations de la part du CST et interrogé des analystes expérimentés à la fois en RE et en cybersécurité29, l’OSSNR a appris que les ICPC échangées30 entre les volets RE et cybersécurité comprenaient généralement [liste des données opérationnelles utilisées dans le système expurgé]

(NC) Le CST estime que même lorsque des ICPC sont échangées entre les divers volets, les activités ne ciblent aucunement des Canadiens ou des personnes se trouvant au Canada. Comme il a été dit précédemment, les activités du CST ne doivent viser ni les Canadiens ni les personnes se trouvant au Canada..

Conclusions et recommendations

Conformité aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels

Quelles sont les lois s’appliquant aux échanges d’informations en interne?

(S) Les lois s’appliquant au CST en matière d’échange d’informations en interne sont les lois habilitantes du CST, à savoir la Loi sur le CST et la Loi sur la protection des renseignements personnels. La Loi sur le CST ne contient pas à proprement parler d’autorisation permettant les échanges d’ICPC entre les divers volets. De même, les dispositions de la Loi sur le CST en matière de divulgation des INC, lesquelles sont énoncées aux articles 43 à 45, n’abordent pas directement la question des échanges d’ICPC en interne. De fait, pour que des informations soient divulguées en vertu de ces dispositions, le ministre doit d’abord autoriser le CST à collecter les INC et à les communiquer en interne. De plus, le CST ne constitue pas une entité désignée en vertu de l’article 45 de la Loi sur le CST pour ce qui a trait à la réception d’informations divulguées au titre des articles 43 et 44.

(NC) Les ICPC pourraient constituer des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels, à savoir des informations se rapportant à une personne identifiable, qui sont enregistrées sous une forme ou une autre. Par exemple, les adresses IP canadiennes pourraient constituer à la fois des ICPC au sens de la Loi sur le CST, mais aussi des renseignements personnels au sens de la Loi sur la protection des renseignements personnels. En vertu de l’article 4 de la Loi sur la protection des renseignements personnels, la collecte de renseignements personnels doit être directement liée à une activité ou un programme d’exploitation de l’organisme, ce qui englobe les activités relevant du mandat du CST en vertu de la Loi sur le CST.

(NC) La Loi sur la protection des renseignements personnels exige également que les renseignements personnels soient utilisés ou divulgués conformément aux dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels. En l’occurrence, l’article 7 énonce ce qui suit :

À défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci :

  • qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins;
  • qu’aux fins auxquelles ils peuvent lui être communiqués en vertu de du paragraphe 8(2).

(NC) L’OSSNR a vérifié si les échanges d’ICPC effectués par le CST en interne répondaient aux exigences de la Loi sur la protection des renseignements personnels, laquelle impose des contraintes sur la façon dont les renseignements personnels collectés peuvent être utilisés par les institutions fédérales. L’OSSNR a conclu que dans certaines circonstances, comme il est décrit plus loin dans le présent rapport, les échanges d’ICPC constituant des renseignements personnels entre les volets RE et cybersécurité pourraient répondre aux exigences de la Loi sur la protection des renseignements personnels. Or, cette évaluation de la conformité nécessite l’analyse de chacun des cas.

(Protégé B//Secret professionnel de l’avocat) L’OSSNR s’est penché sur l’analyse juridique de la DSJ du CST, laquelle a été réalisée par les avocats du ministère de la Justice (MJ), [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

(Protégé B//Secret professionnel de l’avocat) Selon le MJ, [avis ou conseil juridique expurgé]

Conformité à la Loi sur la protection des renseignements personnels

(NC) Suivant son évaluation de la conformité à l’article 7 de la Loi sur la protection des renseignements personnels, l’OSSNR note que le CST met davantage l’accent sur la conformité aux dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST, lorsqu’il s’agit de soutenir les échanges internes de renseignements personnels entre divers volets du mandat.

(NC) Comme il a été indiqué, l’article 7 de la Loi sur la protection des renseignements personnels déclare qu’à défaut du consentement de l’individu concerné, les renseignements personnels relevant d’une institution fédérale ne peuvent servir à celle-ci : 1) qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins; ou 2) qu’aux fins auxquelles ils peuvent lui être communiqués en vertu du paragraphe 8(2) de la Loi. Il importe de souligner que les fins de l’utilisation des informations ne doivent pas forcément être identiques à celles auxquelles les informations ont été obtenues; il suffit que cette utilisation soit compatible avec les fins.

(NC) Le fait de s’appuyer sur l’article 34 de la Loi sur le CST pose une difficulté sur le plan de la conformité à la Loi sur la protection des renseignements personnels, car l’article 34 ne cite pas à proprement parler les fins de la collecte incidente d’ICPC ni n’énonce d’autorisation visant les échanges en interne. Il établit plutôt les préalables qu’il faut respecter avant que le ministre exerce son pouvoir de délivrer une AM. Les alinéas 34(2)c) et 34(3)d) de la Loi sur le CST précisent que le ministre doit être convaincu que les mesures de protection de la vie privée visées à l’article 24 de la Loi garantiront que les ICPC seront utilisées, analysées, et conservées uniquement si ces ICPC sont conformes aux exigences en matière d’essentialité qui s’appliquent, selon le cas, au RE ou à la cybersécurité. En outre, ces conditions établissent un seuil obligatoire s’appliquant à l’utilisation, à l’analyse et à la conservation des ICPC collectées en vertu d’une AM, et non une autorisation visant les échanges d’ICPC en interne.

(NC) Tout dépend des circonstances de fait suivant lesquelles les ICPC sont échangées. En effet, tout échange d’ICPC contenant des renseignements personnels entre les volets RE et cybersécurité du CST pourrait être permis en vertu de la Loi sur le CST et de la Loi sur la protection des renseignements personnels, pour peu que les informations soient échangées pour les mêmes motifs que ceux pour lesquels elles avaient été obtenues ou pour une utilisation qui soit compatible avec ces motifs. En l’occurrence, il conviendrait de procéder à une évaluation de chacun des cas pour s’assurer que les ICPC sont de facto échangées en interne pour les mêmes motifs que ceux invoqués pour justifier la collecte, pour des motifs compatibles avec ceux ayant justifié la collecte ou encore pour les motifs visés à l’alinéa 7b) en vertu desquels les échanges sont permis à condition de répondre à l’un des critères énoncés par le Parlement au paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Tel qu’il a été dit précédemment, le CST ne considère pas les échanges internes comme étant des divulgations d’informations. Or, l’OSSNR note que la question de savoir si les échanges internes constituent à proprement parler une « utilisation » ou une « divulgation » au titre de la Loi sur la protection des renseignements personnels demeure nébuleuse. Néanmoins, l’OSSNR souligne qu’en se basant uniquement sur le critère « d’essentialité » visé à l’article 34, le CST ne se permet pas de conclure indubitablement qu’il dispose des pouvoirs requis pour procéder auxdits échanges en interne.

(NC) Une justification au titre de l’alinéa 7a) ou de l’alinéa 8(2)a) de la Loi sur la protection des renseignements personnels exige que le CST révèle l’objet de la collecte incidente et de l’échange en interne, qui est énoncé dans le volet correspondant du mandat du CST. Les motifs de collecte – de même que l’autorisation de procéder à la collecte – de renseignements personnels sont énoncés dans la Loi sur le CST. Les articles 16 et 17 de la Loi décrivent le RE et la cybersécurité comme étant les programmes et les activités opérationnelles de l’organisme, et les autorisent à collecter des informations dans l’exercice de leurs mandats respectifs. Rappelons que les AM doivent autoriser la collecte dès lors que les activités pourraient contrevenir aux dispositions d’une loi du Parlement ou prévoir l’acquisition – à partir de/par l’entremise de l’IMI – d’informations qui pourraient porter atteinte à une attente raisonnable en matière de protection de la vie privée d’un Canadien ou d’une personne se trouvant au Canada. Suivant la description des volets aux articles 16 et 17 de la Loi sur le CST, il peut y avoir des cas où les informations acquises en vertu de l’un des volets puissent être utilisées pour les mêmes motifs ou pour des motifs compatibles avec ceux d’un autre volet, ce qui répond aux exigences de la Loi sur la protection des renseignements personnels en matière d’échange interne des informations. Toutefois, on ne peut pas tenir ce principe pour acquis dans la mesure où les objectifs des divers volets sont décrits différemment dans la Loi.

(NC) L’article 16 de la Loi sur le CST autorise le Centre à acquérir des informations à partir/par l’entremise de l’IMI et d’utiliser, d’analyser et de communiquer ces informations aux fins de production de renseignement étranger conformément aux priorités du gouvernement du Canada (GC)45. Or, l’article 17 de la Loi sur le CST autorise le Centre à fournir des avis, des conseils et des services dans le but d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales, mais aussi les systèmes désignés comme étant importants pour le gouvernement fédéral, ainsi qu’à acquérir, à utiliser et à analyser les informations issues de l’IMI ou d’autres sources afin de fournir lesdits avis, conseils et services.

(TS//SI) Lorsqu’il s’agit d’échanger des ICPC acquises par le volet RE dans le but d’appuyer le volet cybersécurité du mandat du CST, il y a tout lieu de croire que les motifs demeurent les mêmes si la cybersécurité fait partie des motifs pour lesquels le RE a été obtenu, utilisé, analysé ou communiqué. Or, il convient de mentionner que pendant la période couverte par le présent examen, [lié aux priorités du GC expurgé]. Les échanges d’informations qui visent à répondre aux objectifs du CST consistant, selon l’article 17, à fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ou désignées pourraient être considérés comme constituant des usages semblables (sinon compatibles) à l’usage pour lequel les ICPC ont initialement été obtenues. Dès lors que du RE est utilisé dans le cadre du volet prévu à l’article 17 afin de protéger l’information électronique et les infrastructures de l’information fédérales ou désignées, les motifs de la collecte et l’utilisation corollaire des informations collectées pourraient demeurer les mêmes.

(NC) Pour ce qui concerne les ICPC acquises par le volet cybersécurité, les communications d’informations vers le volet RE pourraient être autorisées pour peu que l’usage du RE repose sur des motifs semblables (sinon compatibles) à ceux qui justifient l’acquisition initiale des informations, c.-à-d. de fournir des avis, des conseils et des services afin d’aider à protéger l’information électronique ou les infrastructures de l’information fédérales ou désignées. Ainsi, la communication d’ICPC obtenues par le volet cybersécurité vers le volet RE serait permissible en vertu de la Loi sur la protection des renseignements personnels pour peu que les échanges internes servent l’objectif consistant à aider à protéger l’information électronique et les infrastructures de l’information fédérales ou désignées.

(NC) Somme toute, si le CST acquiert des renseignements personnels afin d’alimenter les activités des volets RE ou cybersécurité ou de servir des usages compatibles avec ces activités, ses échanges internes d’ICPC peuvent être conformes aux dispositions de l’alinéa 7a) ou du paragraphe 8(2) de la Loi sur la protection des renseignements personnels, pour peu que les fins poursuivies par les activités de collecte et d’échange soient énoncées et justifiées. De plus, le CST doit toujours répondre aux conditions stipulées dans la Loi sur le CST et ayant trait aux AM relativement à la collecte et à l’utilisation des ICPC. Pour justifier les échanges internes de renseignements personnels entre divers volets, il faut réaliser une analyse approfondie axée sur les circonstances de fait de chacun des cas.

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  1. établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  2. établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Autorisations ministérielles

(NC) La Loi sur le CST ne permet pas au ministre d’autoriser les échanges d’ICPC en interne. En effet, seules les AM peuvent accorder une autorisation visant, dans le cas du RE, les activités ou catégories d’activités énumérées au paragraphe 26(2) ou encore, dans le cas de la cybersécurité, les activités d’accès ou d’acquisition visant les informations visées aux paragraphes 27(1) et 27(2). Tout échange interne d’ICPC contenant des renseignements personnels doit être réalisé en conformité aux dispositions de la Loi sur la protection des renseignements personnels.

(NC) Comme il a été dit précédemment, l’article 24 de la Loi sur le CST exige que le Centre mette en place des mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada en ce qui a trait à l’utilisation, à l’analyse, à la conservation et à la divulgation d’ICPC. Ainsi, lorsqu’il délivre une AM, le ministre doit avoir conclu que ces mesures garantiront que les ICPC acquises ne seront utilisées, analysées ou conservées que si elles répondent aux critères d’essentialité énoncés aux alinéas 34(2)c) ou 34(3)d). Le ministre peut délivrer les autorisations s’il conclut que les activités en cause sont « raisonnables et proportionnelles compte tenu de la nature de l’objectif à atteindre et des activités. » Alors que le ministre soupèse le caractère raisonnable des activités proposées aux fins du RE ou de la cybersécurité, on peut imaginer que certaines activités puissent être raisonnables et proportionnelles dans un contexte, mais pas dans l’autre. Certes, les activités autorisées au titre du paragraphe 26(2) peuvent acquérir un éventail d’informations plus large que celui qui est visé aux paragraphes 27(1) et 27(2). Or, les communications d’informations allant du RE à la cybersécurité pourraient permettre au CST d’utiliser, aux fins de la cybersécurité, plus d’informations que ce qui est permis par les autorisations de cybersécurité en soi et pourraient nécessiter de nouvelles mesures de protection de la vie privée lorsque lesdites informations sont utilisées.

(NC) Pour délivrer une AM, le chef du CST doit, dans une demande, faire état des faits de telle sorte que le ministre puisse conclure qu’il y a des motifs raisonnables de croire que l’autorisation est nécessaire et que les critères justifiant la délivrance sont respectés. L’OSSNR estime nécessaire que la demande présentée par le chef donne au ministre toutes les informations requises sur la façon dont les ICPC pourraient être utilisées et analysées par le CST, ce qui comprend les modalités d’échange des ICPC avec d’autres volets ainsi que les fins poursuivies. Ces informations devraient également permettre au ministre de déterminer, en application de l’article 35, si d’autres critères, conditions ou contraintes pourraient être recommandés afin de protéger la vie privée des Canadiens dès lors qu’il est question de délivrer une autorisation de RE ou de cybersécurité.

(TS//SI) Pour ce qui concerne les autorisations délivrées en 2020, la plupart des demandes présentées par le chef du CST indiquaient que les informations collectées et conservées pourraient possiblement être utilisées par d’autres volets, alors que le texte de la plupart des AM correspondantes ne faisait aucune mention de possibles utilisations par d’autres volets. Dans un cas particulier, c’est la situation inverse qui s’est produite : [exemple d’opérations du CST expurgé].

(TS//SI) De plus, en 2020, les demandes et les autorisations de RE indiquent que pour répondre au critère d’essentialité s’appliquant à la conservation des ICPC au titre de l’alinéa 34(2)c) de la Loi sur le CST, les ICPC seront conservées pour peu qu’elles soient jugées essentielles pour la cybersécurité. En l’occurrence, la cybersécurité fait partie de ces éléments qui sont « essentiels pour la sécurité », ce qui donne au ministre des éléments contextuels additionnels sur la façon dont les conditions de l’essentialité sont évaluées, mais aussi respectées par le CST. L’OSSNR estime que ces informations sont nécessaires dans la mesure où elles permettent au ministre d’établir si les conditions énumérées à l’article 34 de la Loi sur le CST ont été respectées préalablement à la délivrance de l’AM.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Évaluation de l’essentialité, de la nécessité et de la pertinence

(NC) En vertu de la politique du CST, il faut procéder à une évaluation de la pertinence, de l’essentialité ou de la nécessité des ICPC pour chacun des volets avant d’être en mesure d’établir s’il convient d’échanger les informations entre divers volets (voir l’Annexe G pour connaître les balises et les définitions employées pour l’évaluation des ICPC que l’on envisage de communiquer entre divers volets). Ces termes sont tirés de la Loi sur le CST, mais n’y sont pas définis. La politique du CST fournit des définitions et des critères sur lesquels reposent l’évaluation et l’application de ces balises aux informations. Or, l’OSSNR n’a évalué ni le caractère licite de ces balises stratégiques ni la façon dont les exigences sont respectées par le CST lorsque ce dernier procède à des échanges d’ICPC en interne. Ces aspects pourraient être examinés à l’occasion d’examens ultérieurs.

(TS) La politique du CST établit également les critères suivant lesquels il convient d’autoriser les échanges d’ICPC entre divers volets (voir l’Annexe E pour connaître les processus d’approbation que le CST applique aux échanges d’informations). Avant que les ICPC puissent être échangées entre divers volets, leur caractère essentiel doit être évalué en fonction du volet qui en a fait l’acquisition. Dès lors qu’elles ne respectent pas les balises permettant d’établir leur caractère essentiel, les informations doivent être supprimées.

(Protégé B//Secret professionnel de l’avocat) Selon le CST, [avis ou conseil juridique expurgé]

(NC) L’OSSNR admet que la Loi sur le CST n’exige pas que les ICPC échangées en interne entre les volets RE et cybersécurité respectent les deux conditions de l’essentialité visées aux alinéas 34(2)c) et 34(3)d) de la Loi. Or, les paragraphes 22(3) et 22(4) de la Loi sur le CST exigent la délivrance d’une AM de RE ou de cybersécurité, lorsque les activités à mener en soutien à l’un ou l’autre de ces volets impliquent l’acquisition, à partir de l’IMI, d’informations pouvant porter atteinte à une attente raisonnable de protection de la vie privée ou lorsque les activités pourraient contrevenir à une loi fédérale. Les AM ne peuvent autoriser que les activités ou catégories d’activités énumérées au paragraphe 26(2) pour le RE, ou pour accéder aux infrastructures de l’information et acquérir les informations énoncées aux paragraphes 27(1) et 27(2). Comme il a été dit précédemment, les balises s’appliquant à « l’essentialité » (cf. l’article 34) établissent l’autorité du ministre en matière d’approbation d’une AM en fonction des préalables énoncés au paragraphe 24 concernant la protection de la vie privée. On pourrait donc comprendre que cette exigence s’applique à l’utilisation, à l’analyse et à la conservation des ICPC collectées par le CST en vertu d’une AM, et ce, dans un seul volet. Par conséquent, la Loi sur le CST n’exige d’aucune façon que le CST respecte les balises encadrant la notion d’essentialité dans le cas d’un volet dont les ICPC font l’objet d’un échange en interne. Les ICPC doivent uniquement respecter les conditions initiales d’essentialité énoncées à l’alinéa 34(2)c) ou à l’alinéa 34(3)d) lorsque des ICPC sont acquises conformément à l’AM qui autorise la collecte incidente desdites ICPC.

Constatation no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

Conclusion

(NC) Comme la Loi sur le CST établit des distinctions entre les divers volets et les AM correspondantes, l’OSSNR a décidé d’examiner les fondements juridiques régissant les échanges d’ICPC entre le volet RE et le volet cybersécurité du mandat du CST. L’OSSNR a conclu que dans certaines circonstances, les échanges en interne pourraient être compatibles avec les dispositions de la Loi sur la protection des renseignements personnels. Toutefois, le CST doit accorder une attention accrue aux motifs de la collecte d’ICPC lorsqu’il s’agit de justifier les échanges d’ICPC en interne.

(NC) Le présent examen a également permis d’acquérir une connaissance de base des processus, des systèmes et des mesures de conformité en vigueur au CST relativement aux échanges d’ICPC entre divers volets du mandat. Même s’il n’a pas été en mesure de vérifier ces informations en toute indépendance, l’OSSNR envisage de s’en inspirer pour réaliser les examens ultérieurs.

Annexes

ANNEXE A : Objectifs, portée et méthodologie

(NC) Initialement, l’OSSNR se proposait d’examiner les échanges internes d’ICPC entre divers volets du mandat du CST suivant une approche thématique devant se concentrer sur plusieurs secteurs opérationnels et plusieurs volets. En outre, l’examen prévoyait d’examiner les échanges d’informations ayant eu lieu entre divers volets, du 1er août 2019 au 1er août 2020, de sorte à évaluer en toute indépendance :

  • la conformité aux exigences juridiques, ministérielles et stratégiques, notamment la gestion adéquate des risques liés à la conformité pendant la conduite d’activités d’échange d’informations entre divers volets du mandat du CST;
  • les politiques, les procédures et les pratiques du CST s’appliquant aux échanges internes d’informations entre divers volets du mandat du CST.

(NC) Compte tenu de la conjoncture défavorable au déroulement des opérations, pensons notamment aux perturbations et aux difficultés d’accès liées à la pandémie de COVID-19, il a fallu réviser à la baisse les objectifs, la portée et la méthodologie qui avaient été fixés pour le mandat du présent examen (envoyé au CST le 28 août 2020). Par conséquent, l’examen n’a porté que sur les fondements juridiques sur lesquels s’appuient les échanges d’informations entre le volet RE et le volet cybersécurité.

(NC) L’OSSNR a donc examiné des documents et des dossiers ayant trait aux échanges d’informations entre divers volets du mandat du CST, et ce, pour la période s’étendant du 1er août 2019, date d’entrée en vigueur de la Loi sur le CST, au 1er août 2020.

(NC) Deux entrevues ont été réalisées avec des employés du CST ayant pris part à des échanges d’informations entre divers volets du mandat du CST. De plus, une entrevue a été réalisée avec un avocat du ministère de la Justice qui connaît bien le cadre juridique qui régit ce type d’activités.

(NC) L’OSSNR a également produit une description élémentaire de certains des processus, des systèmes et des mesures de conformité s’appliquant aux échanges d’informations dans le but d’établir une base de connaissances sur laquelle les examens ultérieurs pourront s’appuyer.

ANNEXE B : Réunions et séances d’information

Séance d’information, Information Sharing: Sharing information for use across aspects of the CSE Mandate, OSSNR, 7 février 2020.

OSSNR, réunion avec l’avocat du ministère de la Justice à la DSJ du CST, 13 octobre 2020.

OSSNR, réunion avec des analystes du CST, 20 octobre 2020.

ANNEXE C : Conclusions et recommandations

Conclusion no 1 : Les échanges internes d’informations entre les volets RE et cybersécurité du mandat du CST n’ont pas été suffisamment examinés quant à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels.

Recommandation no 1 : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  • établir si les échanges internes d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat constituent des utilisations ou des divulgations d’informations au titre de la Loi sur la protection des renseignements personnels;
  • établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.

Constatation no 2 : À l’exception d’une seule, les demandes d’autorisations ministérielles présentées par le chef du CST en 2020 informaient adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Constatation no 3 : Les demandes d’autorisation de renseignement étranger que le chef du CST a présentées pendant la période visée par le présent examen informaient adéquatement le ministre de la Défense nationale de la façon dont les conditions visées à l’alinéa 34(2)c) avaient été respectées pour ce qui concerne les ICPC collectées en vertu du volet RE du mandat du CST.

Recommandation no 2 : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct.

Conclusion no 4 : La position du CST voulant que le Centre ne soit pas tenu d’évaluer « l’essentialité » en deux occasions lorsque des informations sont échangées entre le volet renseignement étranger et le volet cybersécurité de son mandat est compatible avec les dispositions des alinéas 34(2)c) et 34(3)d) de la Loi sur le CST.

ANNEXE D : Les informations sur les partenaires et les clients ainsi que les informations publiquement accessibles faisant l’objet d’échanges entre les volets renseignement étranger et cybersécurité

(Protégé B) Dans le cadre du volet cybersécurité, les clients du fédéral, mais aussi d’autres clients peuvent divulguer des informations sur les cybermenaces au CST, qui est l’organisme responsable de la cybersécurité au Canada. Ces clients peuvent également faire appel aux services du CST aux fins d’analyse et d’atténuation de cyberincidents avérés ou soupçonnés. Les informations communiquées peuvent être utilisées à des fins liées au RE, pour peu que cette communication serve à identifier, à isoler, à prévenir ou à atténuer les dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC.

(Protégé B) Les documents de gouvernance qui encadrent les ententes conclues entre le CST, d’une part, et le GC et les clients non fédéraux, d’autre part, précisent que les informations qui ont été obtenues par le CST par l’intermédiaire du réseau ou du système d’un client et qui se rapportent au volet cybersécurité peuvent être communiquées aux partenaires [informations opérationnelles du CST expurgé] ou aux partenaires internes dans le cas des clients du GC) qui œuvrent dans le domaine de la cybersécurité aux fins de découverte, d’isolement, de prévention ou d’atténuation des dommages aux systèmes des institutions fédérales ou aux systèmes d’importance pour le GC56. Toutefois, ces documents n’indiquent pas explicitement que les informations provenant des clients pourraient être utilisées à des fins liées au RE. Pour permettre aux entités divulgatrices de donner un consentement qui soit éclairé, l’OSSNR estime qu’il serait approprié que le CST soit parfaitement transparent concernant la façon dont les informations provenant des clients pourraient être utilisées par le CST.

(Protégé B) Lorsqu’elles sont communiquées à des partenaires [informations opérationnelles du CST expurgé] les informations venant de clients sont anonymisées, et les renseignements permettant d’identifier une personne sont exclus. Tout produit de cybersécurité diffusable qui a été créé à partir d’informations venant d’un client ne doit contenir que l’information nécessaire à l’atténuation d’une cybercompromission. De plus, les entités divulgatrices peuvent également imposer certaines restrictions sur l’utilisation et la communication de leurs données au moment de la divulgation.

(TS) En vertu du paragraphe 21(1) de la Loi sur le CST, le Centre est autorisé à acquérir et à utiliser les informations publiquement accessibles sans avoir à demander une AM. Actuellement, [lié à un avis ou conseil juridique expurgé].

ANNEXE E : Processus d’approbation et approbation des échanges d’informations

Processus d’approbation des échanges d’ICPC

(TS//SI) Le pouvoir officiel d’autorisation des échanges d’informations est énoncé dans la politique interne du CST et est tributaire de la nature des informations à échanger. La politique du CST exige l’approbation de la gestion (ce qu’on appelle également « autorité de diffusion ») avant tout échange d’ICPC non supprimées entre divers volets. Cependant, la politique ne donne aucune précision quant au processus d’approbation en vigueur. On s’en remet plutôt au secteur opérationnel concerné et aux pratiques opérationnelles qui y sont observées. D’après l’ensemble des politiques relatives à la mission (EPM), toutes les décisions de gestion doivent être enregistrées et conservées dans un dépôt central aux fins de transparence et de reddition de comptes. En outre, ces enregistrements doivent être accessibles aux responsables des examens. Toutefois, dans le cadre du présent examen, l’OSSNR n’a pas été en mesure de vérifier ni d’évaluer en toute indépendance le processus d’approbation visant les échanges d’ICPC en interne.

(TS) En règle générale, le CST exige des approbations de gestion dans le cas des échanges d’informations – contenues dans un rapport – aux fins d’utilisation par divers volets du mandat du CST. Lorsque les informations contiennent des ICPC, le CST élève l’autorité de diffusion au niveau hiérarchique approprié. L’autorité de diffusion appropriée et les conditions de diffusion sont décrites dans la politique (dont il est question plus bas). L’autorité de diffusion est responsable des échanges d’informations et doit être avisée de tout changement apporté aux données et donnant lieu à une modification des informations se rapportant à la vie privée que l’on envisage de communiquer.

(TS) Les techniques d’échange automatisé [lié aux priorités du GC expurgé]

Communication d’ICPC du volet cybersécurité au volet renseignement étranger

(NC) Les ICPC conservées aux fins du volet cybersécurité peuvent être communiquées au volet RE à titre de produits de cybersécurité communicables (PCC) dès lors que ces produits répondent aux exigences énumérées plus bas. Or, l’autorité de diffusion est établie en fonction de l’impact que la communication des informations peut avoir sur la vie privée d’un individu ou d’une entité, et cet impact est déterminé en fonction du niveau de sensibilité et de la nature des ICPC. Selon le niveau de sensibilité des ICPC, les gestionnaires ou superviseurs des opérations du Centre canadien pour la cybersécurité (CCC) doivent approuver les PCC contenant des ICPC.

(NC) D’après le CST, les exigences s’appliquant aux PCC sont les suivantes :

Exigence Quand et comment l’exigence est appliquée
L’objectif est de fournir des conseils, des avis et des services Au moment de l’échange. – Pourquoi cette information doit-elle faire l’objet d’un échange?
Le produit ne contient que les informations conservées La décision d’utiliser ou de conserver les informations est prise au moment où les données brutes sont évaluées dans le but d’en établir la pertinence et la nécessité (et l’essentialité dans le cas des ICPC) pour le volet cybersécurité du mandat.
Protection de la vie privée

Au moment de l’échange, s’il y a lieu (p. ex. restitution au propriétaire de système/à l’administrateur qui a déjà accès aux informations depuis ses propres systèmes ou diffusion à un auditoire élargi moyennant de rigoureuses restrictions visant l’utilisation des informations).

Aucune suppression n’est requise lorsque les ICPC sont échangées pour utilisation dans le cadre du volet RE du mandat, pour peu que l’échange vise à soutenir les activités consacrées à la protection des informations électroniques et des infrastructures de l’information du GC ou à la protection des systèmes et réseaux d’importance pour le GC.

Classification et contraintes s’appliquant à l’utilisation et au traitement

S’appliquent à l’utilisation et à la diffusion des informations par le volet RE au moment de l’échange ou à une étape ultérieure. Peuvent comprendre des utilisations subséquentes préapprouvées et, s’il y a lieu, des restrictions imposées par le propriétaire des données/des systèmes.

Peuvent être appliquées aux rapports produits finis (RPF) par une plateforme de préparation de rapports (PPR); imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.

Vérifiable Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.
À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine (p. ex. AM vs non-AM; le client divulgateur, s’il y a lieu, etc.); les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement.
Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 25.2 du chapitre consacré à la cybersécurité, dans l’EPM.

Communication d’ICPC du volet renseignement étranger au volet cybersécurité

(TS) Les ICPC obtenues aux fins du volet RE peuvent être communiquées au CCC en tant que produits SIGINT communicables (PSC). Or, avant d’être communiqués, les PSC contenant des informations présentant un intérêt reconnu sur le plan de la vie privée de Canadiens ou se rapportant à du matériel présentant un intérêt sur le plan de la vie privée de Canadiens nécessitent l’approbation du CA SIGINT, quoique ce pouvoir d’approbation puisse être délégué à un autre intervenant.

(TS) Le tableau suivant présente succinctement les façons dont les critères énoncés dans la politique peuvent être respectés lorsqu’il s’agit de créer un PSC aux fins d’échange d’informations pour utilisation par le volet cybersécurité.

Exigence Quand et comment l’exigence est appliquée
Les informations se rapportent au contexte du RE Au moment de l’évaluation. Ce critère doit être respecté préalablement à toute utilisation.
Protection de la vie privée (p. ex. suppression des ICPC)

Au moment de l’échange, s’il y a lieu.

La suppression est obligatoire pour ce qui a trait aux ICPC contenues dans un RPF communiqué à l’extérieur du CST. Les clients du CCC qui reçoivent ces RPF peuvent demander ces INC en faisant appel au processus lié aux mesures consécutives.

Autrement, aucune suppression n’est requise lorsque les ICPC doivent servir à des fins de cybersécurité, mais il convient alors d’appliquer d’autres mesures de protection de la vie privée, par exemple, des restrictions quant aux destinataires des informations.

Expurgation S’applique au moment de l’échange ou lorsque l’utilisation par la cybersécurité nécessite que les informations soient nettoyées dans le but de protéger les intérêts du CST.
Sérialisation

Au moment de l’acquisition; appliqué automatiquement par les systèmes du CST.

À toutes les données reçues par le CST, on attribue automatiquement un identifiant unique ainsi que des informations concernant leur origine [exemple d’opérations du CST expurgé] les contrôles d’accès, s’il y a lieu; le volet du mandat en vertu duquel les données ont été acquises; la date et l’heure de l’acquisition; et les exigences en matière d’utilisation et de traitement

Restrictions de diffusion

S’appliquent à l’utilisation et à la diffusion des informations par le volet cybersécurité au moment de l’échange ou à une étape ultérieure. Peuvent comprendre l’application de mesures préapprouvées.

Peuvent être appliquées aux RPF par une plateforme de préparation de rapports; imposent des restrictions sur les modalités d’utilisation et de diffusion des informations du CST.

Diffusion approuvée

Au moment de l’échange.

Le niveau de l’autorité de diffusion dépend de la nature des informations. Voir le tableau de la section 27.8 du chapitre consacré au RE, dans l’EPM.

Examens internes portant sur les échanges d’informations

(TS) Les échanges d’informations en interne entre divers volets sont assujettis à des examens que le CST réalise en interne sur les échanges automatisés, mais aussi sur les interrogations de données. Le groupe Conformité du SIGINT, l’équipe responsable de la conformité interne des activités relevant du volet RE, a examiné les interrogations provenant du CST pour les années 2019 et 2020, et a confirmé la conformité des activités d’interrogation. Le Programme organisationnel de conformité des activités (POCA) n’a pas été en mesure de prioriser les examens de surveillance de la conformité au cours des deux derniers exercices, ce qui l’a empêché de surveiller d’autres activités pouvant poser un risque élevé en matière de conformité.

(TS) Les techniques d’échange automatisé sont également assujetties à des examens. En effet, tous les 12 mois, l’équipe Conformité du SIGINT est tenue de revalider toutes les occurrences d’échanges automatisés survenues entre le volet RE et le volet cybersécurité. Le plus récent examen portant sur la période allant de juillet 2019 à septembre 2020 a permis de confirmer que les [nombre expurgé] d’échange automatisé étaient conformes aux exigences de la politique, à l’exception [nombre expurgé] que le CST n’a pas été en mesure d’évaluer.

ANNEXE F : Méthodes et processus d’échange

(TS) Dans la présente section sont décrits les processus et les méthodes employés par le CST pour échanger des informations entre le volet RE et le volet cybersécurité. De fait, le Centre dispose d’une multitude de systèmes, de méthodes et de processus qui facilitent les échanges d’informations, que celles-ci soient nettoyées ou non, entre ces volets. Or, il faut savoir que les processus décrits plus bas ne sont pas statiques. En effet, les systèmes, les méthodes et les processus du CST peuvent évoluer.

(TS) En général, l’accès aux informations de chacun de ces volets est contrôlé [lié à un avis ou conseil juridique expurgé]

(TS//SI) Par exemple, au Centre pour la cybersécurité [description des opérations du CST expurgé]

(NC) Tel qu’il est stipulé à l’article 24 de la Loi sur le CST, le Centre doit avoir mis en place des mesures visant à protéger la vie privée des Canadiens et des personnes se trouvant au Canada lorsqu’il utilise des informations se rapportant à ces personnes pour atteindre des objectifs fixés pour le volet RE ou le volet cybersécurité du mandat.

(TS) La suppression ou la restriction des ICPC ne sont pas requises par la politique du CST lorsqu’il s’agit d’échanger des informations en interne. En effet, il est de pratique courante d’échanger des ICPC sans suppression entre le volet RE et le volet cybersécurité. Au CST, bien que la politique ne l’exige aucunement, on invite les analystes à anonymiser ou à supprimer les renseignements personnels lorsque ceux-ci ne sont pas essentiels à la compréhension du contexte ou de la nature d’un enjeu. Le CST reconnaît que la suppression et la restriction constituent des pratiques exemplaires, mais qu’elles sont non obligatoires. Par conséquent, le CST estime que le fait de n’avoir ni supprimé, ni restreint, ni anonymisé les informations échangées entre divers volets ne constitue pas en soi une infraction à la loi.

Accès intervolets aux données brutes du SIGINT et du Centre pour la cybersécurité

(TS) Lorsqu’ils accèdent aux données d’un autre volet qui ne figurent pas dans un rapport (c.-à-d. les PSC ou les PCC), les analystes sont tenus de respecter les exigences de la politique qui s’appliquent aux données qu’ils sont appelés à consulter.

(TS//SI) Pour ce qui a trait au volet RE, [description des opérations du CST expurgé]

(TS//SI) Par exemple, [description des opérations du CST expurgé]

(TS//SI) Lorsqu’ils analysent des données de RE brutes, les membres du personnel du Centre pour la cybersécurité doivent se conformer aux autorisations et aux exigences s’appliquant au renseignement étranger. L’utilisation, le traitement et la conservation de ces informations sont également assujettis aux restrictions s’appliquant aux données du renseignement étranger.

(TS//SI) [expurgé] le personnel du SIGINT peut consulter et utiliser les systèmes du Centre pour la cybersécurité à condition de répondre aux critères énoncés à la section 26.1 de l’EPM, Cybersécurité. L’accès aux systèmes du Centre pour la cybersécurité et aux données de cybersécurité brutes est semblablement réservé [expurgé] aux individus qui ont démontré un besoin de connaître, qui ont suivi les formations prescrites et qui ont réussi aux épreuves de connaissances [expurgé].

Rapports – PCC et PSC

(NC) Les informations conservées sont échangées en interne suivant des processus officiels de rapports donnant lieu, notamment, à des PSC (ce qui comprend les RPF) ou à des PCC.

(TS//SI) Les membres du personnel du Centre pour la cybersécurité qui sont assujettis aux exigences en matière de cybersécurité peuvent également être des clients internes n’ayant aucun accès aux données RE brutes84. Des informations du renseignement étranger sont échangées en tant que PSC avec des membres du personnel de la cybersécurité, ce qui signifie que les informations sont conformes aux exigences de la politique du CST en matière de diffusion, lesquelles prévoient la suppression et une approbation, et qu’elles ont été assujetties aux restrictions imposées aux données de renseignement. Pendant la période visée par le présent examen, [nombre expurgé] PSC ont reçu une autorisation de diffusion par le volet RE et ont été mis à la disposition de membres du personnel œuvrant au sein du volet cybersécurité.

(TS//SI) Des informations de la cybersécurité peuvent être incluses dans des rapports et être diffusées auprès des membres du personnel SIGINT, pour être ultérieurement utilisées en tant que PCC dans le cadre d’activités du volet RE. Les informations diffusées par l’intermédiaire de PCC doivent répondre aux exigences de la politique du CST en matière de diffusion. Or, leur utilisation ultérieure doit être compatible avec les usages en vigueur au volet cybersécurité du mandat du CST et doit servir à la promotion des priorités du GC. Pendant la période visée par le présent examen,[nombre expurgé] PCC ont été diffusés auprès de destinataires autorisés du SIGINT.

Réception des identifiants ayant été éliminés des rapports

(TS) Les ICPC qui ont été supprimées des RPF diffusées dans SLINGSHOT88 peuvent être fournies aux clients internes du CST moyennant une demande soumise par l’intermédiaire du processus de divulgation externe des INC. Il s’agit là du seul mécanisme par lequel les renseignements personnels supprimés peuvent être obtenus et diffusés. En l’occurrence, les ICPC supprimées peuvent être obtenues en soumettant une demande à l’équipe du Bureau d’intervention du groupe Communication d’informations (D2A). En outre, le demandeur doit faire état des fondements juridiques et des motifs opérationnels qui justifient sa demande avant de recevoir les informations non supprimées. Entre le 1er août 2019 et le 1er août 2020, [description des opérations du CST expurgé]

(TS) Même s’il est essentiellement le même que celui qui est employé aux fins du processus de comunication externe, le mécanisme par lequel est diffusée cette information est plutôt considéré comme donnant lieu à une utilisation interne des informations et non à une divulgation en tant que telle. Il n’est donc pas nécessaire que les exigences s’appliquant au régime de divulgation visé aux articles 43 à 46 de la Loi sur le CST soient respectées pour que les informations supprimées soient divulguées auprès de clients internes du CST.

Rapports conjoints

(TS//SI) Les informations peuvent également être échangées entre le volet renseignement étranger et le volet cybersécurité aux fins de diffusion de renseignement étranger consécutivement aux autorités en matière de cybersécurité. Or, ces informations du renseignement étranger doivent être d’abord utilisées à des fins relevant de la sphère du renseignement étranger. Dès lors, elles peuvent être mises à la disposition du personnel du CCC dans le cadre du volet cybersécurité. Ce n’est que dans un troisième temps que ces informations peuvent être diffusées en vertu desdites autorités.

(TS//SI) Pour chacun des volets, l’approbation des échanges visant les informations du renseignement étranger aux fins du volet cybersécurité du mandat doit se soumettre aux autorités d’approbation compétentes en matière de diffusion. [description des opérations du CST expurgé]

Échanges automatisés (types de PSC ou de PCC)

(TS) La politique du CST définit les échanges automatisés comme suit : [Traduction] « utilisation de techniques ou de processus automatisés pour faciliter la diffusion de [rapports communicables expurgé] ».

(TS//SI) Le CST a recours à une pluralité de mécanismes automatisés pour échanger desi informations entre divers volets. [description des opérations du CST expurgé].

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

(TS//SI) [description des opérations et des systèmes du CST expurgé]

Autres modalités d’échange

(TS) Il se peut que les échanges d’informations entre deux volets soient réalisés suivant des méthodes plutôt informelles. En intensifiant la collaboration, les analystes se donnent accès à un bassin de connaissances plus important et particulièrement utile pour les deux volets du mandat. En l’occurrence, les analystes peuvent procéder à des échanges de connaissances générales sans avoir à les signaler. En outre, la politique du CST prévoit des échanges d’analyses à l’occasion desquelles les analystes peuvent s’adresser à des partenaires œuvrant au sein d’un volet différent à des fins de collaboration sur des objectifs communs propices aux échanges d’informations. Cependant, tout échange de données doit être conforme aux exigences s’appliquant à la diffusion de PCC ou de PSC, bien que les données ne soient pas tenues d’être diffusées par l’intermédiaire des systèmes officiels de diffusion des produits.

ANNEXE G : Politique et balises à respecter dans le cas des échanges internes

(NC) La politique du CST indique que les ICPC peuvent être échangées en interne pour peu que les échanges respectent les balises énoncées ci-dessous. Or, rappelons que l’OSSNR n’a pas été en mesure de vérifier si ces balises ou les définitions connexes étaient conformes au droit, mais il n’est pas exclu que ce type de vérification ait lieu au cours des prochains examens. Au reste, l’OSSNR n’a pas non plus été en mesure de voir si les exigences de la politique avaient été respectées.

Du volet renseignement étranger au volet cybersécurité

(TS) Pour ce qui a trait au volet RE, les ICPC doivent avoir été jugées essentielles et pertinentes pour les activités de ce volet RE avant que les échanges aient lieu, conformément aux dispositions de l’alinéa 34(2)c) de la Loi sur le CST. D’après la politique du CST, les informations doivent avoir été considérées comme étant essentielles pour les affaires internationales, la défense ou la sécurité, ce qui comprend la cybersécurité. Or, l’adjectif « essentiel » n’est pas défini dans la politique du CST, quoique celle-ci énonce les critères suivant lesquels il convient d’évaluer les ICPC dans un contexte de protection de la vie et de la sûreté des individus ou de défense contre les activités criminelles qui menacent la sécurité du Canada.

(TS) Pour qu’elles soient échangées aux fins des activités du volet cybersécurité du mandat, les ICPC de RE doivent être pertinentes pour le volet cybersécurité. Or, ces ICPC doivent être évaluées plus avant sur le plan de la nécessité dans le contexte du volet cybersécurité, ce qui permet de savoir si les informations sont nécessaires à la protection des systèmes du GC ou des systèmes désignés comme étant importants. Or, c’est en vertu de la politique qu’il y a lieu de décider d’appliquer les balises délimitant la sphère de nécessité visée au paragraphe 44(1) de la Loi sur le CST.

(TS) La politique du CST exige le respect du principe de nécessité, [description des opérations du CST expurgé]. Ces informations sont nécessaires à l’exercice du mandat de cybersécurité dans la mesure où elles contribuent à la protection des systèmes du GC, mais aussi des systèmes et réseaux d’importance (notamment le blocage de certains types de trafic). Toutefois, les individus et les entités identifiables ne sont pas les points de mire de l’activité. Or, dans le contexte de la cybersécurité, le CST estime que le risque de préjudice à l’attente raisonnable en matière de protection de la vie privée de l’individu est relativement faible et que, par conséquent, le seuil de nécessité justifie la communication d’ICPC acquises par le RE vers le volet cybersécurité.

Du volet cybersécurité au volet renseignement étranger

(TS//SI) Dans le contexte du volet cybersécurité, les ICPC acquises en vertu d’une AM doivent avoir été jugées pertinentes, mais aussi essentielles avant tout échange, conformément au critère d’essentialité énoncé à l’alinéa 34(3)d) de la Loi sur le CST. Or, d’après la politique du CST, les ICPC sont considérées comme étant essentielles lorsque, sans elles, le CST ne serait en mesure de protéger ni les systèmes des institutions fédérales, ni les réseaux et systèmes d’importance, ni les informations électroniques que ces systèmes et réseaux contiennent. Toutefois, les ICPC qui ne sont pas acquises en vertu d’une AM, notamment les renseignements sur les clients, ne doivent répondre qu’au critère de nécessité.

(TS) Les ICPC échangées sont également évaluées sur le plan de l’essentialité pour le volet RE (c.-à-d. essentiel pour les affaires internationales, la défense ou la sécurité), qu’une AM de cybersécurité ait été délivrée ou non. La décision d’évaluer plus avant les ICPC acquises par la cybersécurité sur le plan de l’essentialité et selon les critères du RE relève de la politique, [description des opérations du CST expurgé].

(TS//SI) Comme l’a expliqué le CST, les ICPC acquises par la cybersécurité et échangées en interne en guise de soutien au volet RE ont pour objet de protéger les institutions fédérales ou les réseaux et systèmes d’importance, mais aussi les informations électroniques qui y sont conservées. Ces ICPC servent à identifier les menaces étrangères qui pèsent sur les systèmes canadiens, un objectif qui cadre parfaitement avec les

ANNEXE H : Échanges internes des ICPC au CST

Figure : Diagramme du processus de partage interne de l'IRTC au CST

Share this page
Date de modification :

Examen des pratiques d’échange d’informations entre divers volets du mandat du CST - Réponses du CST

Recommandation Réponse du CST

Recommandation 1 de l'OSSNR : L’OSSNR recommande que le CST obtienne de plus amples conseils juridiques concernant ses échanges d’informations entre les volets touchant la cybersécurité et le renseignement étranger de son mandat, plus précisément pour ce qui a trait à leur conformité aux dispositions de la Loi sur la protection des renseignements personnels, lesquelles traitent en profondeur des deux questions suivantes :

  • Si le pa rtage interne de renseignements entre les aspects du re nseignement &ranger et de la cybersecurite du mandat constitue une utilisation ou une communication de renseignements aux fins de la Loi sur la protection des renseignements personnels:
  • établir si les utilisations et les divulgations sont réalisées en conformité avec les dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels.
Réponse du CST : Le CST refuse la recommendation no 1. Le CST a déjà recu des conseils juridiques exhaustifs et clairsa ce sujet de la part du ministere de la Justice et se tie aces consei Is dans le cadre de ses activites (dont l'OSSNR a conclu qu'elles se deroulentdans le respect de la loi).
Recommandation 2 de l'OSSNR : Toutes les demandes touchant le renseignement étranger et la cybersécurité présentées par le chef du CST devraient informer adéquatement le ministre de la Défense nationale que des informations conservées pourraient être utilisées en soutien à un volet distinct. Réponse du CST :Le CST a déjà m is en ceuvre cette recommendation. L'organisme informe déjà la ministre. et continuera de le faire. au sujet de ['utilisation des informations dans le cadre des autres aspects de son mandat. Les applications pour toutes les a utorisations ministerielles !ides au renseignement etre nger eta la cybersecurite en 2021-2022 comprenaient un libelle expliquant clairement comment les informations recueilies en vertu de run des aspects du mandat du CST pourraient etre utilisees pour appuyer d'autres aspects du mandat.

Share this page
Date de modification :

Examen de Programme d'établissement de rapports sur la sécurité mondiale d'Affaires mondiales Canada

Fiche d’information

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC.

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Date de publication :

La lettre du ministre d'AMC à l’OSSNR à suivre

Sommaire

Cet examen porte sur le Programme d’établissement de rapports sur la sécurité mondiale (PERSM ou le Programme) d’Affaires mondiales Canada (AMC). L’examen a été réalisé compte tenu du fait que le PERSM représente une composante importante de la présence d’AMC à l’étranger en matière de sécurité et de renseignement. En effet, une trentaine d’agents sont affectés à des postes répartis à travers le monde et financés dans le but de collecter de l’information ouvertement liée à la sécurité. Les clients du PERSM ont rapporté que le Programme était à la fois unique et utile pour le gouvernement du Canada. Le présent examen est le premier consacré au PERSM, mais aussi le premier que l’OSSNR consacre à AMC

Bon nombre des États accréditaires où les agents du PERSM sont appelés à travailler ont un piètre bilan en matière de droits de la personne et/ou constituent des environnements où la surveillance des étrangers et des citoyens est monnaie courante. Ainsi, la façon dont ces États accréditaires perçoivent les activités du PERSM a une incidence directe sur les risques d’atteinte à la réputation du Canada et de ses alliés, à celle des ministères et organismes canadiens (notamment le Service canadien du renseignement de sécurité [SCRS]), à celle des agents du PERSM et, enfin, à celle des contacts locaux qui aident à la collecte d’information du Programme.

L’examen montre que certains aspects du Programme pourraient être améliorés, notamment, par le renforcement des structures de gouvernance et de responsabilisation, l’élargissement des moyens de contrôle et une sensibilisation accrue aux pratiques exemplaires en matière de gestion de l’information.

Plus important, l’examen conclut que même si le PERSM est assujetti à la Convention de Vienne sur les relations diplomatiques (CVRD), il fonctionne sans recourir à des conseils juridiques qui permettraient d’évaluer les activités exercées dans le cadre du Programme. De même, les agents du PERSM ne reçoivent pas de formation adéquate relativement à leurs obligations juridiques. En l’occurrence, les activités menées à l’étranger par certains agents du PERS suscitent des préoccupations voulant que certaines d’entre elles ne soient pas exercées selon les fonctions et obligations établies en vertu de la CVRD.

Même si les agents du PERSM se servent de la CVRD comme d’un bouclier destiné pour leurs actions, certains d’entre eux n’ont semblé ni apprécier les limites de cette immunité ni comprendre la portée réelle de leurs fonctions et obligations. De plus, il n’était pas certain que tous les agents comprennent qu’une fois déchus de leur immunité diplomatique, ils s’exposaient à des mesures de rétorsion de la part des États accréditaires. L’examen a relevé l’absence d’évaluations de risques, de protocoles de sécurité et de conseils juridiques à l’égard des contrôles accrus que les agents du PERSM peuvent susciter de par la nature de leurs priorités en matière de rapports.

En tant que partenaires gouvernementaux à l’étranger, le SCRS et le PERSM interagissent fréquemment entre eux, dans la mesure où leurs mandats respectifs se recoupent. On observe que la coordination entre les missions et les administrations centrales du SCRS et d’AMC sont lacunaires, ce qui donne lieu à une gouvernance incohérente lorsqu’il s’agit [caviardé].

L’examen a également permis de constater que le Programme ne s’était pas doté de mesures de protection apte à garantir la sûreté des contacts à l’étranger. Or, bien que la plupart des interactions entre les agents et les contacts soient sans graves conséquences, le Programme ne semble pas en mesure d’apprécier les risques liés à certaines de ces interactions. Significativement, l’examen a relevé quelques sources de préoccupation potentielles concernant la façon dont les renseignements identificateurs canadiens sont gérés. En conséquence, il est recommandé qu’AMC soumette le Programme à une évaluation des facteurs relatifs à la vie privée.

La création d’une entité de renseignement étranger au sein d’AMC, ou encore le consentement à un changement d’orientation de la mission du PERSM permettant de collecter secrètement de l’information, contreviennent aux principes de la CVRD. Par conséquent, l’OSSNR croit qu’il est important que le gouvernement réfléchisse aux questions soulevées par le présent examen et en vienne à prendre une décision quant aux moyens à privilégier pour la collecte de ce type d’information. L’OSSNR reconnaît que le présent enjeu ne relève pas de son champ de compétence et qu’il pourrait plutôt nécessiter l’attention du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR). Nous avons l’intention de mettre le présent rapport à la disposition de nos homologues en matière d’examen de sorte à amorcer la démarche de réflexion.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées aux alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Introduction

Le Programme d’établissement de rapports sur la sécurité mondiale (PERSM) d’Affaires mondiales Canada (AMC) collecte et dissémine de l’information en soutien aux priorités du Canada en matière de renseignement. Au fil de ses quelque vingt années d’existence, le Programme a considérablement évolué, et les produits du PERSM en sont venus à retenir l’attention non seulement des ministères et organismes du gouvernement du Canada (GC), mais aussi des États alliés.

Le présent examen était le premier que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) réalisait de façon autonome relativement à des activités exercées par AMC. D’ailleurs, pendant qu’il examinait les activités du programme unique et complexe que représente le PERSM, l’OSSNR a eu l’occasion de mieux connaître le mandat, les politiques et les autorisations juridiques d’AMC.

L’OSSNR s’est donné pour objectif d’établir si les activités du PERSM étaient menées conformément aux dispositions de la loi et des politiques ainsi qu’aux procédures en vigueur, et de déterminer si les activités étaient justes et nécessaires. De plus, l’examen de l’OSSNR avait également pour objet d’établir si les politiques et procédures du Programme étaient suffisamment élaborées pour soutenir des activités à l’étranger.

La période d’activité visée par la présente étude s’étend du 1er janvier 2017 au 31 décembre 2019, quoique l’OSSNR s’est également penché sur de l’information concernant des éléments antérieurs ou postérieurs à cette période. L’OSSNR a aussi examiné un échantillon significatif des missions du PERSM, lequel a offert une diversité de perspectives quant à la nature et la portée des activités du Programme.

Compte tenu des circonstances particulières attribuables à la création récente de l’OSSNR et aux difficultés connexes sur le plan de la logistique et des procédures associées à cette transition, il convient de rappeler que le présent examen n’a été rendu possible que grâce au soutien du personnel d’AMC, plus particulièrement celui des membres de l’Unité de liaison avec les organismes de surveillance externe. De plus, l’OSSNR tient à remercier le SCRS et son équipe Examen externe et Conformité pour avoir facilité le déroulement de l’examen. En outre, le présent rapport devait être achevé au cours de l’été de 2020, mais l’échéance a été reportée en raison de la pandémie de COVID-19, laquelle a débuté au moment où l’OSSNR en était au stade initial d’établissement de la portée de l’examen.

Historique du PERSM

Pendant la Guerre froide, l’établissement des rapports de sécurité était intégré à la production des rapports politiques effectués par les diplomates Canadiens en poste à l’étranger,. Pour combler ses besoins en matière d’information en matière de sécurité, la collectivité de la sécurité et du renseignement (S et R) du Canada misait principalement sur ces rapports. Une fois la Guerre froide terminée, l’établissement des rapports de sécurité n’était plus régulièrement incorporé à la production des rapports politiques par les diplomates affectés à l’étranger. En outre, ce changement témoigne de ce qui suit :

« un ordre mondial en évolution et ponctué de défis de sécurité inédits; des priorités nouvelles et évolutives au niveau national et ministériel; une perte d’expertise se manifestant à mesure que les diplomates et les gestionnaires quittaient leurs postes ou partaient à la retraite; et d’importantes réductions de personnel dans la fonction publique conjuguées aux restrictions budgétaires strictes des années 1990 sont autant de facteurs qui ont eu une incidence sur les activités et les priorités d’AMC. »

Le PERSM a été créé peu après les événements du 11 septembre 2001. Dans sa forme actuelle, le Programme compte un personnel d’une trentaine de diplomates appelées à se consacrer ouvertement aux rapports fondés sur une seule source – à partir d’un réseau principalement constitué de contacts « non traditionnels » – portant sur des enjeux d’intérêt pour la collectivité canadienne de la sécurité, du renseignement, de la défense et des politiques étrangères. Les agents du PERSM (ou les agents) exercent leurs fonctions à l’intérieur, mais aussi à l’extérieur des capitales des États hôtes, et se déplacent régulièrement vers les zones moins fréquentées par les diplomates. Depuis 2009, ces rapports (qui alimentent les décideurs canadiens et alliés) sont en phase avec les priorités du GC en matière de renseignement.

Les agents du PERSM se rapportent à la Direction d’analyses et de rapports de renseignement (INA), laquelle relève de la Direction générale du renseignement dont le responsable est le SMA, Sécurité nationale et affaires politiques. Le PERSM s’est doté d’une structure de gestion matricielle : au niveau de la mission, les agents relèvent du gestionnaire, Service de la politique étrangère et de la diplomatie (SPED) ou du chef de mission (CDM), alors que l’Administration centrale (AC) du PERSM détermine principalement les priorités s’appliquant aux agents en matière de collecte. De plus, l’AC du PERSM établit les attentes à l’égard du Programme.

Conclusions et recommendations

Utilité du PERSM

Le PERSM est le seul programme diplomatique canadien qui soit financé dans le but de collecter de l’information de sécurité officielle. Le PERSM fonctionne comme une ressource réservée dans la mesure où la majeure partie du temps (dans une proportion de 90 %), un agent se consacre à la production de rapports à une seule source. Aucun autre programme d’AMC ne consacre autant de ressources à la « collecte pure ».

Les clients du PERSM ont maintes fois indiqué que les rapports fournissaient de l’information pertinente qui répond aux besoins de leurs ministères ou organismes respectifs en matière de collecte. De fait, les rapports du PERSM offrent des perspectives « pragmatiques » produites par un groupe diversifié, ce qui est unique lorsqu’on compare ces rapports à ceux des autres modalités de collecte du GC. Les destinataires ont indiqué que les rapports fournissaient de l’information utile concernant les menaces et les tendances générales dans les nouveaux secteurs d’intérêt.

Des clients ont souligné que l’un des principaux atouts du PERSM était la priorité accordée à la formation linguistique, laquelle prévoit, dans certains cas, plus d’une année de formation comprenant des périodes d’immersion dans le pays en question. Les clients du PERSM ont remarqué que la maîtrise des langues était une valeur sûre pour le Programme.

De plus, les clients ont salué la capacité du Programme à affecter rapidement des agents à la couverture de questions, de secteurs ou d’événements particuliers qui sont d’une grande valeur pour le GC. Or, malgré ces avantages, un examen des documents du PERSM révèle le besoin d’améliorer les mécanismes de rétroaction sur les produits, ce qui permettrait d’établir dans quelle mesure les rapports répondent aux besoins des clients.

Fonctions et obligations en vertu de la Convention de Vienne sur les relations diplomatiques

Les fonctions que les missions diplomatiques sont légalement tenues d’exercer ainsi que les obligations incombant aux diplomates qui jouissent de privilèges et d’une immunité dans un État accréditaire sont établies en vertu de la Convention de Vienne sur les relations diplomatiques (CVRD). En vertu du droit international coutumier, la CVRD est généralement acceptée en tant que codification du droit, des règlements et des pratiques en matière de diplomatie. Selon AMC, les fonctions du PERSM correspondent à celles qui sont exercées par les missions diplomatiques et qui sont décrites à l’article 3 de la CVRD. Conformément à l’énoncé de l’alinéa 3(1)d)17, il exerce une partie des fonctions de la mission diplomatique en s’informant par tous les moyens licites des conditions et de l’évolution des événements dans l’État accréditaire et en faisant rapport à ce sujet au gouvernement de l’État accréditant. L’alinéa 3(1)d) exige précisément que les rapports diplomatiques soient produits « par des moyens licites ».

D’après le paragraphe 41(1) de la CVRD, les diplomates qui exercent les fonctions énumérées à l’article 3 et qui bénéficient des privilèges et immunités dans l’État accréditaire ont le devoir « de respecter les lois et règlements de l’État accréditaire » et de « ne pas s’immiscer dans les affaires intérieures de cet État ». Tout manquement à ces obligations constitue un abus de privilège ou d’immunité (ce que l’on appelle également abus des fonctions diplomatiques).

Recours applicables en cas d’abus de l’immunité diplomatique et des privilèges connexes

Tel qu’il est indiqué dans la CVRD, les recours en cas d’abus de privilège ou d’immunité comprennent les suivantes : informer l’État accréditant que le diplomate en question est persona non grata (article 9 de la CVRD) et, dans quelques cas extrêmes, rompre les relations diplomatiques, lesquelles sont établies par consentement mutuel, comme l’explique l’article 2 de la CVRD.

Il importe de noter qu’en pareil cas, l’État accréditeur n’est pas tenu de justifier le recours qu’il exerce. Ainsi, la perception d’abus peut constituer un motif d’expulsion d’un diplomate ou de rupture des relations diplomatiques tout autant que l’abus avéré. Dans l’affaire des otages détenus à Téhéran, la Cour internationale de justice a expliqué la discrétion qui est ancrée dans ce régime de la façon suivante :

L’article 9 […] de la convention […] tien[t] compte de la difficulté qu’il peut y avoir en pratique à prouver de tels abus dans chaque cas ou même à déterminer exactement quand l’exercice de la fonction diplomatique […] peut être considéré comme se traduisant par des actes d’« espionnage », ou d’« ingérence dans les affaires intérieures ». Le paragraphe 1 de l’article 9 prend en compte ce type de difficulté en déclarant expressément, dès la phrase initiale que « [l’]État accréditaire peut, à tout moment et sans avoir à motiver sa décision », informer l’État accréditant que tout membre du personnel diplomatique de la mission est « persona non grata » ou n’est « pas acceptable. »En plus de ce moyen de remédier aux abus de la fonction diplomatique que peuvent commettre les membres d’une mission à titre individuel, l’État accréditaire dispose d’un remède plus radical si les abus prennent de graves proportions. C’est le pouvoir discrétionnairequ’a tout État accréditaire de rompre les relations diplomatiques avec un État accréditant et de demander la fermeture immédiate de la mission coupable. (Soulignement ajouté par l’OSSNR)

L’immunité dont jouissent individuellement les diplomates cesse « au moment où [ils] quittent le pays ou à l’expiration d’un délai raisonnable qui [leur] aura été accordé à cette fin […] ». En certaines circonstances, l’État accréditaire peut intenter une poursuite contre un diplomate en cas d’infraction à son droit interne, une fois que l’immunité personnelle du diplomate en question a cessé.

Les actes accomplis par un diplomate « dans l’exercice de ses fonctions comme membre de la mission » continuent de bénéficier de l’immunité même lorsque l’immunité personnelle du diplomate a cessé. Toutefois, les actes qui ne font pas partie des fonctions légitimes d’un diplomate ne continueront pas de bénéficier de l’immunité. En l’occurrence, le diplomate peut être passible de poursuites pour les infractions qu’il aurait commises en cours de mission s’il devait retourner dans le pays accréditaire sans avoir préalablement obtenu la protection de l’immunité diplomatique ou s’il omet de quitter le pays accréditaire avant l’expiration du délai raisonnable qui aurait été fixé.

Bien entendu, il y a d’autres moyens plus modérés dont dispose l’État accréditaire pour réagir aux abus de fonctions d’un diplomate, et ce, sur le plan tant juridique que politique. Hormis les risques plus improbables d’expulsion ou de rupture des relations diplomatiques, il existe plusieurs types de dommages à la réputation qui peuvent résulter des atteintes aux dispositions de la CVRD. L’OSSNR insiste sur le fait que les agents du PERSM devraient se montrer hésitants avant de placer un État accréditaire à exercer un recours.

Lorsque les activités du PERSM s’écartent du cadre juridique s’appliquant aux fonctions diplomatiques régies par le droit international, il conviendrait aussi de savoir si ces activités respectent le droit canadien. Les relations diplomatiques se poursuivent en vertu de la prérogative de la Couronne sur la conduite des relations internationales, laquelle est assujettie au droit international. L’on considère que les règles prohibitives du droit international coutumier, lesquelles englobent les règles prohibitives du droit diplomatique, sont intégrées dans la common law canadienne, à moins qu’une loi stipule le contraire. De même, la prérogative de la Couronne est partie intégrante de notre common law. Il faut donc prendre en compte la façon dont l’exercice de la prérogative de la Couronne se concilie avec ces règles prohibitives.

Perceptions

Fonctions diplomatiques vs fonctions du renseignement

Au sein de la Direction générale du renseignement d’AMC, les directives en matière d’établissement de rapports du PERSM découlent des priorités du Canada en matière de renseignement. Néanmoins, AMC présente le Programme à l’OSSNR comme une entité répondant aux normes habituelles en matière de production de rapports diplomatiques. En fait, l’OSSNR perçoit le Programme comme une entité naviguant en zone grise, pris entre deux éléments d’une même dichotomie.

Les agents du PERSM sont postés dans divers pays pour y collecter de l’information répondant aux priorités du GC en matière de renseignement. Ces pays se distinguent souvent par leurs piètres bilans en matière de droits de la personne; un haut degré de méfiance de la part des étrangers; ils se montrent généralement implacables en matière de sécurité interne; et ils tendent à recourir à des mécanismes de surveillance de masse à l’endroit des étrangers et citoyens. Voilà pourquoi la perception que les États accréditaires ont des activités du PERSM constitue un facteur que le Programme doit prendre en compte.

Lorsque l’OSSNR a demandé de quelle manière le Programme expliquait les écarts entre ce qui constitue des activités permises et les lois de l’État accréditaire, les agents du PERSM ont fait valoir qu’ils exerçaient leurs fonctions en vertu de la CVRD27. Même s’ils reconnaissaient avoir le droit d’exercer leurs fonctions au titre du droit diplomatique, les agents savaient très bien que l’État accréditaire pouvait percevoir leur rôle autrement. Certains agents ont indiqué qu’ils atténuaient ce risque en évitant de faire rapport sur des sujets sensibles.

Certes, le PERSM établit ses rapports en fonction des priorités en matière de renseignement et obtient de l’information de la part de contacts humains, mais les agents croient qu’ils se distinguent des praticiens du renseignement dans la mesure où ils agissent ouvertement à titre de membres accrédités d’une mission diplomatique et qu’ils ne rémunèrent ou ne préposent pas leurs contacts. En dépit de ces affirmations, la question de savoir si les actions d’un agent du PERSM sont « ouvertes » ou « secrètes » et si les agents rémunèrent les contacts ou les affectent à des tâches ou non est sans effet, lorsqu’il s’agit d’évaluer des allégations d’abus de privilège et d’immunité au titre de la CVRD. En fait, dans bon nombre de cas, les activités d’ingérence qui ont attiré l’attention des États accréditaires avaient manifestement été menées ouvertement.

Le risque

Les agents du PERSM doivent se montrer vigilants à l’égard de toute activité pouvant être perçue, par les États accréditaires, comme exclue des fonctions officielles d’une mission diplomatique. La présente partie de rapport fait brièvement état de certains des risques liés à ce facteur.

Risques encourus par le gouvernement du Canada et ses alliés

L’OSSNR s’attendait à découvrir un cadre de gouvernance du PERSM qui soit en mesure de faire clairement état des politiques internes et de fournir aux agents des directives sur la façon d’exercer leurs fonctions d’établissement des rapports diplomatiques. Or, le PERSM ne dispose pas d’un tel cadre.

Lorsqu’on l’a questionné au sujet de l’absence d’un cadre de gouvernance, le PERSM a indiqué qu’un ensemble de politiques n’était pas nécessaire puisque les agents [traduction] « font ce que les diplomates ont toujours fait ». Bien que la gestion du PERSM ait signifié que son personnel œuvrait à professionnaliser le Programme, la politique est actuellement :

established by the Head of the GSRP, exercising their judgement and discretion, and drawing on specialized expertise, including support from legal, human resources and finance divisions, and seeking formal or informal approval from senior executives as required and when appropriate.

Les orientations politiques fournies par le chef du PERSM sont communiquées aux agents par courriels. Il n’existe aucun registre central qui permette de gérer cette information. Outre l’insuffisance des structures de gestion de l’information, on note des lacunes sur le plan de la gestion de l’information dans d’autres secteurs. Entre autres, on a relevé des incompatibilités entre divers systèmes, sans compter les disparités qui persistent entre les missions sur le plan des accréditations de sécurité. Au reste, une partie de l’information est conservée à la mission exclusivement, ce qui limite la visibilité de l’AC et la capacité de celle-ci à suivre de près les activités des missions.

En conséquence de l’absence d’une structure de gouvernance adéquate, aux difficultés liées à la gestion de l’information et aux contraintes qui limitent la surveillance des activités des missions, le Programme n’a pas toujours été en mesure de gérer convenablement les risques.

À titre d’exemple, les responsables de l’examen ont relevé des cas où des alliés du Canada avaient mépris des agents du PERSM pour des représentants des services de renseignement canadiens.

Même si l’OSSNR n’a observé aucun cas où les agents du PERSM auraient intentionnellement induit les États accréditaires en erreur, il faut tout de même rappeler que dans un cas, le manque de compréhension concernant le mandat du Programme [caviardé].

Certains des destinataires des rapports du PERSM ont également indiqué que d’autres destinataires (particulièrement ceux dont les antécédents en matière de sécurité et de renseignement sont plutôt limités) n’ont pas vraiment compris que ces produits provenaient d’une seule source et qu’ils n’avaient été ni validés ni corroborés. En l’occurrence, cet élément est particulièrement pertinent, puisque par le passé, des agents du PERSM ont involontairement relayé de l’information dont on a ensuite conclu qu’il s’agissait de la mésinformation et de la désinformation40. Il convient de noter que le PERSM a produit un peu plus de cinq mille rapports pendant la période visée par le présent examen, parmi lesquels on a compté deux occurrences de désinformation avérée pour dix rapports. De plus, les destinataires ont maintes fois souligné la mésinformation se trouvant dans les rapports du PERSM, mais l’OSSNR n’a pas été en mesure de vérifier tous les rapports du programme pendant le déroulement de l’examen.

Comme il a été noté précédemment, l’une des difficultés qui se posent au Programme est l’absence d’une surveillance qui soit suffisante. À l’AC, quatre employés à temps complet sont responsables de la gestion d’environ trente agents, de la vérification d’approximativement deux mille rapports chaque année, de la communication informelle d’orientations en matière de politique et de l’exercice de mesures de liaison avec les intervenants concernés43. Cette charge de travail prive l’AC de la capacité d’appliquer des contrôles de qualité adéquats sur les activités des agents.

Constatation no 1 : L’OSSNR conclut que les structures de gouvernance et de responsabilisation du PERSM ne sont pas suffisamment élaborées.

Constatation no 2 : L’OSSNR conclut que les activités du PERSM comportent le potentiel de risque inutile d’atteinte à la réputation et de préjudice politique pour le gouvernement du Canada.

Constatation no 3 : L’OSSNR conclut que le PERSM ne maintient pas adéquatement des registres centraux ou applique les des pratiques exemplaires en matière de gestion de l’information

Recommandation no 1 : L’OSSNR recommande que le PERSM se dote prioritairement d’un cadre de gouvernance.

Recommandation no 2 : L’OSSNR recommande qu’AMC applique, sur le plan de la conservation des données et de la gestion de l’information, les pratiques qui sont déjà énoncées dans les politiques du GC.

Partenariat opérationnel entre AMC et le SCRS

Le SCRS dispose d’un cadre qui énonce les attentes de l’État accréditaire sur le plan tant politique qu’opérationnel44. La Loi sur le SCRS fait état, à l’article 17, de la façon dont des ententes doivent être régies. De plus, il y a des Instructions ministérielles qui orientent la conduite du SCRS à l’étranger. Ce cadre de gouvernance structure les opérations du SCRS de sorte qu’elles respectent les lois nationales et internationales. Dans la plupart des cas, le SCRS préfère être le principal interlocuteur des partenaires étrangers de la sécurité et du renseignement, au même titre qu’AMC préfère être le principal allocutaire des représentants diplomatiques.

Dans au moins un cas, le PERSM – et non le SCRS – a constitué le principal point de contact auprès des services de renseignement de l’étranger. En l’occurrence, AMC a refusé d’approuver une relation au titre de l’article 17 entre le SCRS et [caviardé] en raison d’un dossier diplomatique sensible qui était toujours en cours. Toutefois, l’OSSNR n’a rien relevé qui puisse indiquer que d’autres relations concernant, entre autres, la GRC ou le PERSM aient été interdites de la sorte. Quoi qu’il en soit, bien qu’il arrive que le SCRS se voie refuser l’autorisation d’établir un lien avec un organe étranger en raison des termes d’une entente avec une entité étrangère, AMC n’impose pas ce genre de restriction.

En outre, il convient de rappeler que les obligations juridiques du SCRS et d’AMC au titre de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (LECCMTIEE) sont exactement les mêmes, mais qu’elles risquent d’être appliquées différemment. À titre d’exemple, tandis que le SCRS peut exercer un contrôle sur ceux avec qui il peut ou ne peut pas assurer la liaison uniquement dans la mesure où les Instructions du ministre le permettent (c.-à-d. art. 17, Loi sur le SCRS), AMC n’est pas assujetti à de telles restrictions. AMC mise plutôt sur des processus d’atténuation interne lorsqu’il échange de l’information avec des entités étrangères, ce qui, pour le SCRS, n’est pertinent que si le ministre permet déjà au Service d’entrer en contact avec ladite entité.

Certes, la gestion du PERSM a affirmé qu’il ne revenait pas aux agents d’assurer la liaison avec les services étrangers de sécurité et de renseignement, mais il faut savoir que les agents du PERSM n’ont pas toujours exposé ce facteur à l’OSSNR. Par exemple, certains agents ont interagi avec des membres des services de renseignement locaux, pendant que d’autres considéraient que ces interactions ne faisaient pas partie de leurs fonctions.

En plusieurs occasions, des États accréditaires ont demandé au SCRS de fournir des éclaircissements concernant ce qu’il percevait comme étant des activités inappropriées de la part d’agents du PERSM. Dans ces cas de figure, le SCRS a tenté de rassurer ces partenaires en faisant valoir que le PERSM n’était pas un programme secret de collecte. L’OSSNR a également relevé certaines difficultés dans les régions où les activités du SCRS et celles du PERSM se chevauchent (p. ex. les répertoires de contacts).

L’OSSNR a entendu bon nombre d’agents du PERSM dire qu’ils trouvaient que les partenaires de mission issus du SCRS étaient généralement ouverts et enclins à prodiguer des conseils en matière de sécurité. Dans un autre cas, l’agent du PERSM a signalé une relation hostile avec son homologue du SCRS.

L’OSSNR a aussi remarqué plusieurs cas où rien ne semblait indiquer que les agents du PERSM avaient établi de relations suffisamment productives avec le SCRS au sein de la mission. En l’occurrence, même si les personnes se montraient cordiales les unes envers les autres, on s’en tenait à très peu d’interactions, et les agents du SCRS se montraient plutôt réservés. Certes, l’OSSNR comprend bien les protections juridiques s’appliquant aux échanges d’information auxquels le SCRS participe, mais tout indique qu’il y aurait des lacunes sur le plan de la coordination et des interactions entre le PERSM et le SCRS sur le terrain.

Lorsque l’OSSNR a soulevé la question de la coordination à l’étranger, la direction du PERSM a soutenu que sur ce plan, aucun mécanisme ne serait nécessaire dans la mesure où le SCRS était un client du Programme et non un partenaire. En effet, c’est bien en tant que client que le SCRS reçoit les rapports du PERSM, mais ce qui est dit plus haut indique clairement qu’à l’étranger, le PERSM et le SCRS exercent leurs fonctions en grande proximité, ce qui nécessite de gérer les facteurs qui complexifient la coexistence.

Le SCRS et AMC font partie d’une même équipe de cogestion (EC) dont les membres travaillent au niveau des directeurs généraux et des sous-ministre. Or, l’OSSNR constate que même si l’EC peut très bien servir d’organe de coordination, rien n’indique que les leçons tirées à ce jour auraient été mises à profit sur le plan de la collaboration entre le PERSM et le SCRS. De plus, l’EC ne se réunit que rarement, ce qui réduit considérablement l’influence qu’il peut avoir.

Constatation no 4 : L’OSSNR conclut que les mesures de coordination entre le SCRS et le PERSM sont insuffisantes, ce qui donne lieu à des incohérences sur le plan de la gouvernance lorsqu’il s’agit de traiter avec des entités étrangères.

Recommandation no 3 : L’OSSNR recommande l’élaboration de lignes directrices claires en matière de coordination entre le SCRS et le PERSM. Il recommande également que le SCRS et le PERSM s’entendent sur l’approche à adopter lorsqu’il s’agit d’interagir avec des entités étrangères à l’extérieur du Canada.

Risques encourus par les agents

AMC a indiqué qu’il ne disposait d’aucune opinion juridique quant au cadre juridique s’appliquant au PERSM. L’OSSNR remarque qu’on n’a suffisamment établi ni la portée des fonctions exercées au titre de l’alinéa 3(1)d) au sein des missions diplomatiques ou au titre du paragraphe 41(1) de la CVRD ni les types d’activités suivant lesquels les agents du PERSM risquent d’être déclarés persona non grata par l’État accréditaire. Au nombre des éléments particulièrement ambigus, il faut compter la notion plutôt large d’ingérence diplomatique telle qu’elle figure au paragraphe 41(1), laquelle notion n’est pas clairement définie dans le contexte du droit diplomatique et mériterait qu’on s’y attarde plus avant. Plus le comportement d’un agent du PERSM est sensible, plus l’État accréditaire aura tendance à percevoir ce comportement comme de l’ingérence. D’autre part, le seuil de ce qui constitue de l’ingérence ne sera pas le même d’un État à un autre.

De même, lorsque leurs activités revêtent certains des aspects que l’on interprète généralement à l’espionnage, les agents du PERSM risquent d’outrepasser leur mandat, de violer les lois intérieures de l’État accréditaire et d’outrepasser les fonctions diplomatiques qu’ils sont légalement appelés à exercer en tant qu’agents du PERSM. L’équipe responsable des questions juridiques et stratégiques à AMC devra analyser ces risques en profondeur, comme l’expliquent les paragraphes qui suivent.

Les risques de ne pas créer des cadres juridique et stratégique pourrait porter atteinte à la réputation du Canada et de préjudice aux relations diplomatiques, sans compter les risques encourus par les agents du PERSM concernés. L’OSSNR a remarqué que plusieurs agents du PERSM se servaient régulièrement de la CVRD comme d’un bouclier protecteur de leurs actions. En effet, les agents n’ont pas eu l’air d’apprécier qu’un manquement aux obligations leur incombant au titre de la CVRD en vienne à constituer un abus de leur immunité et de leurs privilèges diplomatiques. L’alinéa 3(1)d) de la CVRD reconnaît les rapports fondés sur l’information obtenue par des moyens licites. Par conséquent, tout écart par rapport à cette exigence pose le risque que l’agent du PERSM ne jouisse plus d’aucune immunité dès lors que son affectation au poste diplomatique prend fin.

Le Code de conduite à l’étranger d’AMC reconnaît explicitement que les normes locales de l’État accréditaire doivent être respectées par les représentants du Canada et que les perceptions à l’égard de ces représentants peuvent avoir une incidence négative sur la réputation du Canada. En outre, les activités des agents du PERSM sont également régies par d’autres protocoles, lesquels portent notamment, sur les risques de catastrophes naturelles, les problèmes locaux en matière de santé, la criminalité et la sécurité matérielle de la mission.

Pour collecter de l’information pertinente, les agents du PERSM sont souvent appelés à se déplacer vers des régions dangereuses qui ne sont que rarement fréquentées par les autres diplomates. De plus, les agents du PERSM traitent également avec des contacts susceptibles de défendre des positions considérées comme étant délicates par les États accréditaires. À l’évidence, ces contacts n’auraient que peu de valeur pour le Programme si l’information qu’ils possèdent ou les points de vues qu’ils adoptent pouvaient être recueillis ailleurs. Certes, les diplomates sont d’emblée susceptibles d’attirer l’attention des autorités locales, mais il faut rappeler qu’en raison de la nature du mandat du PERSM, les agents du Programme courent un risque accru d’être surveillés par les États accréditaires.

Il semble y avoir une divergence entre l’AC du PERSM et la gestion de la mission. En effet, il semble n’y avoir aucune structure de responsabilisation qui soit partagée. Par conséquent, la prépondérance de l’un ou l’autre des groupes de gestion s’en trouve affaiblie. Par exemple, l’OSSNR a remarqué plusieurs cas où la structure hiérarchique n’était claire ni pour les partenaires du Programme ni pour la direction d’AMC. À titre d’exemple, le laps de temps qui s’est écoulé avant la réception de directives essentielles a placé un agent dans une situation où la poursuite des activités comportait désormais le risque d’être perçue comme une entorse aux dispositions de la CVRD.

Les formations ou les séances d’information que les agents du PERSM reçoivent concernant les paramètres qui déterminent les privilèges et les immunités diplomatiques ne sont pas adéquates. Ce manque de connaissance peut avoir des répercussions considérables sur l’aptitude des agents du PERSM à se conduire dans le respect du cadre de leurs fonctions diplomatiques. De plus, à partir du moment où l’immunité diplomatique d’un agent du PERSM prend fin, un État accréditaire pourrait vouloir imposer des mesures de représailles.

Étude de cas : acceptation et rapport concernant de l’information classifiée

À plusieurs reprises pendant le déroulement de l’examen, l’OSSNR a entendu les agents du PERSM dire qu’ils possédaient une bonne compréhension des balises juridiques qui régissent leurs actions. Cependant, un certain cas qui a eu lieu a mis en évidence la nécessité de veiller à ce les agents du PERSM soient suffisamment au fait de leurs obligations juridiques. En l’occurrence, un agent du PERSM a reçu, de la part de l’un de ses contacts, ce qui semblait être [caviardé] classifié [caviardé].

À l’instar du Canada, [caviardé] dispose de lois interdisant la divulgation d’information classifiée. Dès lors, les actions des agents du PERSM doivent être conformes à [caviardé]. De plus, l’article 41 de la CVRD stipule clairement que les diplomates sont tenus de respecter les lois et règlements de l’État accréditaire. Or, l’OSSNR n’a rien remarqué qui puisse indiquer que des consultations auprès d’un conseiller juridique auraient eu lieu en rapport avec ce cas particulier.

Dans un autre cas, un agent du PERSM à [caviardé] a demandé et reçu ce qui était probablement de l’information classifiée de la part d’un contact. L’information reçue comprenait des [caviardé].

Dans les deux cas examinés plus haut, les deux agents du PERSM semblaient croire que leurs actions se distinguaient des activités des agents de renseignement au motif qu’ils n’offraient aucune rémunération en échange de l’information. Comme il a été dit précédemment, ce motif n’est pas pertinent lorsqu’il s’agit de conformité aux dispositions de la CVRD. Qui plus est, les cas précités soulèvent des préoccupations quant aux abus de privilèges diplomatiques.

Les agents du PERSM ne disposent pas de lignes directrices claires sur la façon de procéder lorsqu’ils sont exposés à de l’information qui se trouve au-delà des limites qui circonscrivent la collecte diplomatique. L’OSSNR a relevé une occurrence où un agent du PERSM aurait reçu de l’information dont on soupçonnait qu’elle fût classifiée et l’aurait retournée à la source, comme il se devait. Toutefois, tout indique que le résultat était une conséquence du bon jugement affiché par l’agent plutôt que l’effet d’une directive explicite.

Constatation no 5 : L’OSSNR constate l’absence d’évaluation des risques et de protocoles portant précisément sur la surveillance accrue dont les agents du PERSM pourraient faire l’objet en raison de leurs priorités en matière d’établissement de rapports.

Constatation no 6 : L’OSSNR conclut que même s’il exerce ses fonctions en vertu de la CVRD, le PERSM agit sans tirer parti de conseils juridiques, lesquels lui permettraient d’évaluer les activités du Programme.

Constation no 7 : L’OSSNR conclut que les agents du PERSM ne reçoivent pas une formation adéquate sur leurs obligations juridiques.

Recommandation no 4 : L’OSSNR recommande que le PERSM élabore des protocoles sur les risques ainsi que des lignes directrices en matière de sécurité qui soient adaptés au PERSM

Recommandation 5 : L’OSSNR recommande qu’AMC réalise une évaluation juridique approfondie des activités du PERSM. Par la suite, les agents du PERSM devraient recevoir une formation consécutive aux résultats de ladite évaluation.

Risques encourus par les contacts

Comme il a été expliqué précédemment, plus les agents du PERSM agissent de façon sensible, plus leur conduite risque d’être perçue comme de l’ingérence par l’État accréditaire. C’est particulièrement vrai dans le cas des interactions entre les agents et les contacts. Il importe de souligner que les protections diplomatiques censément offertes par la CVRD aux agents du PERSM ne s’appliquent pas aux contacts. Ainsi, tout dépend a) de la mesure dans laquelle un contact est réellement libre de communiquer de l’information à un État étranger et b) de la mesure dans laquelle les activités d’un agent PERSM pourraient éveiller des soupçons importuns à propos de cette interaction.

Les agents du PERSM ont signalé diverses expériences vécues avec leurs contacts dans leurs environnements opérationnels respectifs, sur le plan du risque et de la sécurité. Compte tenu de la nature ouverte de la collecte, la plupart des agents du PERSM, tous environnements confondus, croyaient qu’il n’y avait pas vraiment lieu de se faire du souci pour les contacts. Dans les cas où ils reconnaissaient que certaines régions et/ou certaines circonstances posaient un risque élevé pour les contacts, les agents ont répondu que ces situations étaient fréquemment atténuées en suivant la piste proposée par le contact. En d’autres termes, comme le contact était celui qui connaissait le mieux l’environnement, l’agent du PERSM se rendait particulièrement attentif à ces aspects délicats.

Dans certains cas, des agents du PERSM ont exprimé leurs préoccupations quant à la sécurité de leurs contacts en raison de risques qu’il serait difficile d’atténuer. L’un des agents du PERSM a souligné, en cours d’entrevue, que son contact l’avait informé que leurs interactions attireraient une attention non voulue de la part des autorités locales. De même, un autre contact du PERSM a été mis en détention par les autorités locales et questionné concernant son interaction avec un agent du PERSM. En d’autres occurrences, des agents du PERSM ont évoqué un soulèvement politique ou un renforcement des mesures de sécurité pour expliquer pourquoi leurs contacts avaient abruptement cessé de leur parler.

Pendant le déroulement du présent examen, l’effet des distinctions entre contacts ouverts et sources clandestines a été omniprésent. À plusieurs égards, le désaccord de la gestion du PERSM sur le fait qu’un contact ne peut être perçu de la même façon qu’une source de renseignement est fondé. Certes, la plupart des interactions que les agents du PERSM peuvent avoir avec les contacts sont sans danger. Toutefois, compte tenu de la nature des exigences en matière de rapports dans le contexte du Programme, il y a eu des cas où les interactions entre le contact et l’agent ont comporté des risques considérables. À titre d’exemple, citons un cas où le PERSM [caviardé] s’est entretenu avec diverses personnes [caviardé].

Ces questions et ces régions ne sont pas reconnues comme étant hautement sensibles pour les États accréditaires, mais en revanche, elles correspondent largement aux enjeux par rapport auxquels on peut demander à une source secrète de collecter de l’information.

Le problème avec lequel le Programme doit composer sur le plan de la « gestion des contacts » est que tout ce qui, à première vue, s’apparente à ce qui relève d’un programme de « gestion des sources » prête le flanc aux critiques d’usage selon lesquelles les activités visées seraient associées de trop près aux rapports non diplomatiques. Par exemple, le Programme aurait certainement intérêt à s’inspirer des pratiques exemplaires s’appliquant à la gestion du HUMINT. Il n’en demeure pas moins que la possibilité de reconnaître les aspects qui comporteraient les plus grands avantages, spécialement dans le contexte d’un programme diplomatique, n’est pas évidente.

En l’absence d’une structure de gouvernance devant s’appliquer à la « gestion des contacts », les agents sont contraints de miser uniquement sur leur bon jugement pour savoir ce que ces interactions finiront par donner. Entre autres, l’agent doit déterminer qui il rencontrera, où la rencontre aura lieu et quels seront les protocoles de sécurité qu’il conviendra d’appliquer compte tenu des circonstances.

Il est arrivé que l’agent tente par ses propres moyens de renforcer la sécurité du contact, notamment, en décidant à la dernière minute de l’endroit de la rencontre, ce qui permet de réduire les risques qu’une tierce partie sache où la rencontre doit avoir lieu. Dans un autre exemple, l’agent a tenté de bloquer la localisation des dispositifs mobiles au moyen d’un sac Faraday.

Même si les mesures ont été prises dans l’intérêt des contacts rencontrés, les services de renseignement qui observent ces mesures pourraient avoir une tout autre perception quant à l’intention desdites mesures. Plus particulièrement, ce type de situation pose le risque que les contacts du PERSM soient perçus, par les États accréditaires, comme les éléments d’un service de renseignement hostile.

Quel que soit l’environnement ou le degré d’aisance avec le contact, on a remarqué des incohérences dans la façon dont les agents du PERSM donnaient des garanties à leurs contacts. Par exemple, certains agents garantissent à leurs contacts que les rapports du PERSM sont anonymisés ou confidentiels, alors que d’autres agents n’offrent aucune garantie de la sorte. Rien n’indiquait que les agents pouvaient montrer une compréhension commune quant aux garanties pouvant être offertes aux contacts ou que les contacts avaient une compréhension suffisante de ce qui pouvait advenir de l’information qu’ils fournissaient.

Les destinataires des rapports du PERSM ont maintes fois évoqué l’aisance avec laquelle ils étaient en mesure de reconnaître les contacts à partir des descriptions contenues dans les rapports. Fait à noter, la majorité des agents ont affirmé qu’ils produisaient des rapports à la suite de leurs rencontres avec des contacts canadiens. L’anonymisation de l’information sur les Canadiens est particulièrement importante lorsqu’il s’agit de veiller à ce qu’AMC remplisse ses obligations au titre de la Loi sur la protection des renseignements personnels ou d’autres dispositions législatives applicables. L’OSSNR envisage de se pencher sur la question à savoir si le PERSM remplit ses obligations en matière d’échange d’information relativement aux contacts canadiens.

Constatation no 8 : L’OSSNR conclut que le PERSM ne dispose pas de mesures qui permettent de protéger adéquatement les interactions avec les contacts à l’étranger.

Recommandation 6 : L’OSSNR recommande que le PERSM élabore, suivant une consultation auprès des conseillers juridiques d’AMC, un ensemble de pratiques exemplaires qu’il pourra appliquer aux interactions avec les contacts.

Recommandation 7 : L’OSSNR recommande qu’AMC soumette le PERSM à une évaluation des facteurs relatifs à la vie privée.

Conclusion

Le PERSM évolue dans une zone clairement grise; la vision du PERSM, quant au Programme, prévoit [traduction] « une intégration accrue, au sein du PERSM, des normes et des pratiques exemplaires en vigueur au sein de la collectivité du renseignement, tout en continuant d’incarner les valeurs cardinales de la diplomatie ». Le défi qu’il conviendra de relever dans l’immédiat sera de concilier ces valeurs et ces principes, et de produire les modalités permettant de les appliquer efficacement sur le terrain.

Le principe de réciprocité est un élément important de la diplomatie. Or, les activités de certains agents du PERSM à l’étranger soulèvent des préoccupations quant au fait que des diplomates du Canada ne se comportent pas conformément au cadre de leurs fonctions et obligations au titre de la CVRD, ce qui peut, au passage, avoir une incidence sur la façon dont ces États étrangers exercent leurs activités au Canada.

Le renseignement étranger collecté par les Canadiens est très recherché. Or, les universitaires et les hauts responsables de divers ministères ont clairement indiqué que les alliés du Canada souhaitent vivement que le Canada s’implique davantage.

La création d’une entité de renseignement étranger au sein d’AMC, ou le fait de permettre au PERSM de modifier l’orientation de la mission vers cette sphère de collecte, irait à l’encontre des principes de la CVRD. Ainsi, il serait important que le GC prenne en compte les enjeux soulevés par le présent examen et en vienne à établir les moyens les plus appropriés de collecter ce type d’information. L’OSSNR estime que les enjeux soulevés en cours d’examen devront susciter une réflexion approfondie sur la pertinence d’un service canadien consacré exclusivement au renseignement étranger. Or, ne relevant pas du mandat de l’OSSNR, cet enjeu pourrait nécessiter l’attention du CPSNR.

Annexe A: Constatations et recommandations

Constatation no 1 : L’OSSNR conclut que les structures de gouvernance et de responsabilisation du PERSM ne sont pas suffisamment élaborées.

Constatation no 2 : L’OSSNR conclut que les activités du PERSM comportent le potentiel de risque inutile d’atteinte à la réputation et de préjudice politique pour le gouvernement du Canada.

Constatation no 3 : L’OSSNR conclut que le PERSM ne maintient pas adéquatement des registres centraux ou applique les des pratiques exemplaires en matière de gestion de l’information

Constatation no 4 : L’OSSNR conclut que les mesures de coordination entre le SCRS et le PERSM sont insuffisantes, ce qui donne lieu à des incohérences sur le plan de la gouvernance lorsqu’il s’agit de traiter avec des entités étrangères.

Constatation no 5 : L’OSSNR constate l’absence d’évaluation des risques et de protocoles portant précisément sur la surveillance accrue dont les agents du PERSM pourraient faire l’objet en raison de leurs priorités en matière d’établissement de rapports.

Constatation no 6 : L’OSSNR conclut que même s’il exerce ses fonctions en vertu de la CVRD, le PERSM agit sans tirer parti de conseils juridiques, lesquels lui permettraient d’évaluer les activités du Programme.

Constation no 7 : L’OSSNR conclut que les agents du PERSM ne reçoivent pas une formation adéquate sur leurs obligations juridiques.

Conclusion no 8 : L’OSSNR conclut que le PERSM ne dispose pas de mesures qui permettent de protéger adéquatement les interactions avec les contacts à l’étranger.

Recommandation no 1 : L’OSSNR recommande que le PERSM se dote prioritairement d’un cadre de gouvernance.

Recommandation no 2 : L’OSSNR recommande qu’AMC applique, sur le plan de la conservation des données et de la gestion de l’information, les pratiques qui sont déjà énoncées dans les politiques du GC.

Recommandation no 3 : L’OSSNR recommande l’élaboration de lignes directrices claires en matière de coordination entre le SCRS et le PERSM. Il recommande également que le SCRS et le PERSM s’entendent sur l’approche à adopter lorsqu’il s’agit d’interagir avec des entités étrangères à l’extérieur du Canada.

Recommandation no 4 : L’OSSNR recommande que le PERSM élabore des protocoles sur les risques ainsi que des lignes directrices en matière de sécurité qui soient adaptés au PERSM

Recommandation 5 : L’OSSNR recommande qu’AMC réalise une évaluation juridique approfondie des activités du PERSM. Par la suite, les agents du PERSM devraient recevoir une formation consécutive aux résultats de ladite évaluation.

Recommandation 6 : L’OSSNR recommande que le PERSM élabore, suivant une consultation auprès des conseillers juridiques d’AMC, un ensemble de pratiques exemplaires qu’il pourra appliquer aux interactions avec les contacts.

Recommandation 7 : L’OSSNR recommande qu’AMC soumette le PERSM à une évaluation des facteurs relatifs à la vie privée.

Share this page
Date de modification :

Examen du ciblage des passagers aériens par l’Agence des services frontaliers du Canada (ASFC)

Date de publication :

Sommaire

Le programme de ciblage des passagers aériens de l’Agence des services frontaliers du Canada (ASFC) effectue des évaluations des risques sur les passagers entrants pendant qu’ils sont en route vers le Canada. Son objectif est de repérer les passagers susceptibles de présenter un risque plus élevé d’inadmissibilité au Canada ou de contrevenir à la législation frontalière de l’ASFC. Pour ce faire, il utilise les renseignements fournis par les transporteurs aériens commerciaux, appelés « information préalable sur les voyageurs » (IPV), et les données des dossiers passagers (DP), dans des processus à plusieurs étapes qui comprennent des méthodes de tri manuelles et automatisées. Ces processus s’appellent le « ciblage en fonction de la liste de vols » (CLV) et « ciblage fondé sur des scénarios » (CFS).

L’IPV ou les données des DP utilisées pour effectuer ces évaluations préalables à l’arrivée comprennent des renseignements personnels sur les passagers qui sont liés à des motifs de distinction illicite (âge, sexe, origine nationale ou ethnique) en vertu de la Loi canadienne sur les droits de la personne (LCDP) et de la Charte canadienne des droits et libertés (la Charte). L’ASFC exploite des renseignements d’une variété de sources pour déterminer lesquels de ces éléments de données montrent un risque dans les caractéristiques ou les habitudes de voyage des passagers, dans le contexte d’enjeux d’application de la loi bien précis, notamment les risques pour la sécurité nationale. Étant donnée l’importance potentielle de ces renseignements pour la sécurité nationale du Canada et les obligations opposées de l’ASFC d’éviter la discrimination, il est justifié de se pencher sur la validité des inférences sur lesquelles l’ASFC se fonde pour utiliser certains indicateurs qu’elle crée à partir de ces données sur les passagers pour effectuer ces évaluations des risques. Ces considérations ont aussi des implications pour les engagements internationaux du Canada à l’égard de la lutte contre le terrorisme et les crimes transnationaux graves ainsi que du respect de la vie privée et des droits de la personne dans le traitement des renseignements sur les passagers.

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé une évaluation approfondie du caractère licite des activités de l’ASFC dans la première étape de l’évaluation des risques préalable à l’arrivée, pendant laquelle les passagers entrants font l’objet d’un tri au moyen des données sur les passagers fournies par les transporteurs aériens commerciaux. L’examen a vérifié si l’ASFC se conforme aux restrictions établies dans les lois et les règlements relativement à l’utilisation de l’IPV et des données des DP et si elle respecte ses obligations concernant la non- discrimination.

L’OSSNR a conclu que l’ASFC utilise l’IPV et les données des DP conformément à la Loi sur les douanes, mais qu’elle ne documente pas ses activités de tri d’une manière qui permet la vérification efficace de la conformité aux restrictions réglementaires établies en vertu du Règlement sur la protection des renseignements relatifs aux passagers. Cette lacune était plus apparente dans la méthode de tri manuelle de l’ASFC, le ciblage en fonction de la liste des vols, que dans sa méthode automatisée, le ciblage fondé sur des scénarios.

En outre, l’ASFC était incapable de démontrer de manière cohérente qu’il était pleinement justifié d’utiliser certains indicateurs qu’elle crée à partir de l’IPV et des données des DP pour trier les passagers. C’est important, car l’utilisation par l’ASFC de certains indicateurs entraîne la différenciation des voyageurs en fonction de motifs de distinction illicite. Cette différenciation peut avoir une incidence négative sur l’emploi du temps, la vie privée et l’égalité du traitement des passagers, ce qui est susceptible de renforcer, de perpétuer ou d’accentuer un désavantage. Une justification adéquate d’une telle différenciation est requise pour démontrer que cette dernière n’est pas discriminatoire et représente une limite raisonnable au droit à l’égalité des voyageurs.

La tenue de dossiers est importante pour vérifier efficacement si les activités de tri du ciblage des passagers aériens sont conformes à la loi et respectent les droits de la personne, et l’OSSNR a relevé des manquements importants dans ce domaine. Ces manquements dans la tenue de dossiers résultent en partie du fait que les politiques, les procédures et la formation de l’ASFC ne sont pas suffisamment détaillés pour bien outiller le personnel de l’ASFC afin qu’il soit en mesure de reconnaître les risques de discrimination et de non-conformité et d’agir de manière appropriée dans ses fonctions. Les structures et les pratiques de surveillance ne sont pas assez rigoureuses pour cerner et atténuer ces risques. Ce problème est aggravé par une collecte et une évaluation insuffisantes de données pertinentes.

L’OSSNR recommande d’améliorer les pratiques de documentation du tri en vue de démontrer la conformité aux restrictions légales et réglementaires et de démontrer qu’il est justifié que l’ASFC compte sur les indicateurs qu’elle crée à partir de l’IPV et des données des DP. Cette documentation est essentielle à la surveillance interne efficace et à l’examen externe. L’OSSNR recommande également d’améliorer la formation et d’accroître la surveillance pour assurer que les pratiques de tri ne sont pas discriminatoires. Il pourrait s’agir d’actualiser les politiques et de recueillir et d’analyser les données nécessaires pour repérer, analyser et atténuer les risques de discrimination.

Pages préliminaires

Liste des sigles et acronymes

IPV Information préalable sur les voyageurs
CPA Ciblage des passagers aériens
ASFC Agence des services frontaliers du Canada
UE Loi canadienne sur les droits de la personneNovel Coronavirus/Coronavirus Disease of 2019European Union
CLV Ciblage en fonction de la liste des vols
IATA Association du transport aérien international
SIED Système intégré d’exécution des douanes
LIPR Loi sur l’immigration et la protection des réfugiés
RIPR Règlement sur l’immigration et la protection des réfugiés
PE Protocole d’entente
OSSNR Office de surveillance des activités en matière de sécurité nationale et de renseignement
BVG Bureau du vérificateur général du Canada
CPVP Commissariat à la protection de la vie privée
SIPAX Système d’information sur les passagers
LRPCFAC Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
RRPD Règlement sur les renseignements relatifs aux passagers (douanes)
DP Dossier passager
RPRP Règlement sur la protection des renseignements relatifs aux passagers
DR Demande de renseignements
CFS Ciblage fondé sur des scénarios
PON Procédures opérationnelles normalisées
CSNU Conseil de sécurité des Nations Unies
É.-U. États-Unis

Liste des figures

Figure 1. IPV et données des DP

Figure 2. Étapes du processus de ciblage des passagers aériens

Figure 3. Processus pour élaborer des scénarios pour le CFS

Figure 4. Qu’est-ce qu’un vol ou un passager à risque élevé?

Figure 5. Cas où le lien avec un crime transnational grave ou une infraction de terrorisme n’était pas clair

Figure 6. Cas où la contravention potentielle n’était pas claire dans les avis de désignation de cibles

Figure 7. Critères légaux de la LCDP et de la Charte

Figure 8. IPV et données des DP liées à des motifs protégés

Figure 9. Cas où les indicateurs comportementaux correspondaient à des motifs protégés ou ne restreignaient pas la portée

Figure 10. Effets du tri initial sur les voyageurs

Figure 11. Résumé de l’évaluation de l’OSSNR des documents à l’appui des scénarios

Figure 12. Exemples de lacunes dans les documents à l’appui des scénarios

Figure 13. Exemple de scénario bien justifié

Figure 14. Importance de la justification des indicateurs utilisés dans le ciblage

Pouvoirs

L’OSSNR a réalisé cet examen en vertu de l’alinéa 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Introduction

Le programme de ciblage des passagers aériens de l’ASFC est l’un des multiples programmes qui aident l’Agence à s’acquitter de son mandat de « fournir des services frontaliers intégrés à l’appui des priorités [du Canada] liées à la sécurité nationale et à la sécurité publique et de faciliter la libre circulation des personnes et des marchandises [admissibles] ». Le ciblage des passagers aériens consiste à utiliser les données fournies par les transporteurs aériens commerciaux, appelés « information préalable sur les voyageurs » (IPV), et les données des DP pour effectuer des évaluations des risques préalables à l’arrivée. Ces évaluations ont pour objectifs de repérer les personnes susceptibles de présenter un risque plus élevé d’inadmissibilité au Canada ou de contrevenir à la législation frontalière de l’ASFC. En 2019-2020, l’ASFC a reçu cette information pour évaluer les risques que présentaient 33,9 millions de voyageurs internationaux à destination du Canada.

Le ciblage des passagers aériens est devenu un outil de plus en plus important pour le contrôle des passagers. L’installation des bornes libre-service de l’ASFC pour traiter les voyageurs arrivant dans les aéroports canadiens a réduit la capacité des agents des services frontaliers d’évaluer les voyageurs par des observations ou des interactions en personne, avec comme résultat que l’ASFC compte davantage sur les évaluations des risques préalables à l’arrivée, comme le ciblage des passagers aériens, pour repérer et interdire les personnes et les marchandises inadmissibles.

La situation frontalière canadienne laisse beaucoup de marge à l’ASFC pour déterminer comment mener ses activités. Les gens ont de plus faibles attentes raisonnables en matière de respect de la vie privée à la frontière. De brèves suspensions de la liberté de mouvement des passagers sont raisonnables, étant l’intérêt légitime de l’État à contrôler les voyageurs et à réglementer leur entrée. Cependant, les activités de l’ASFC ne doivent pas être discriminatoires. Par conséquent, tout traitement différentiel négatif fondé sur des motifs de distinction illicite, par exemple l’origine nationale ou ethnique, l’âge et le sexe, doit être justifié. La LCDP et la Charte créent des obligations distinctes à cet égard. L’IPV et les données des DP que l’ASFC utilise pour effectuer ces évaluations des risques préalables à l’arrivée comprennent des renseignements personnels au sujet des passagers qui correspondent ou s’apparentent étroitement à des motifs de distinction illicite, ce qui justifie d’examiner de plus près la conformité de l’ASFC à ces obligations. Comme le ciblage des passagers aériens comprend un contrôle des passagers visant à repérer les risques pour la sécurité nationale, l’examen de la validité des inférences sur lesquelles l’ASFC se fonde pour interpréter les renseignements sur les passagers a aussi des implications pour la sécurité nationale.

Le ciblage des passages aériens a aussi des implications pour les engagements internationaux du Canada à l’égard de la lutte contre le terrorisme et les crimes transnationaux graves ainsi que du respect de la vie privée et des droits de la personne dans le traitement des renseignements sur les passagers. Ce dernier engagement a eu une importance particulière pour l’Union européenne dans le contexte des négociations continues sur une entente actualisée pour l’échange de renseignements sur les passagers.

À propos de l’examen

Dans son examen, l’OSSNR s’est penché sur deux principaux aspects du caractère licite des activités de tri des passagers de l’ASFC dans le ciblage des passagers aériens et de leurs effets sur les voyageurs. Il a cherché à déterminer si les activités de tri de l’ASFC respectent les restrictions établies dans les lois et les règlements sur l’utilisation de l’IPV et des données des DP, et si les activités de tri des passagers respectent les obligations de l’ASFC concernant la non-discrimination en vertu de la LCDP et de la Charte. L’OSSNR s’attendait à constater que les activités de tri de l’ASFC sont menées avec l’autorisation légale appropriée et respectent les restrictions sur l’utilisation des données sur les passagers et les obligations concernant la non-discrimination, c’est-à-dire que toute différenciation entre les voyageurs fondée sur des motifs protégés est étayée par une justification adéquate.

L’examen s’est concentré sur les activités de tri pertinentes de l’ASFC dans le ciblage des passagers aériens pour cerner les risques potentiels pour la sécurité nationale et les infractions. Toutefois, il a aussi étudié le programme dans son ensemble dans les trois principales catégories de ciblage de l’ASFC (sécurité nationale, migration illicite et contrebande) pour bien évaluer sa gouvernance et ses opérations, puisqu’il recourt à l’analyse du renseignement. Le programme de ciblage des passagers aériens a été examiné tel qu’il était appliqué par l’ASFC entre novembre 2020 et septembre 2021.

L’examen s’est reporté aux sources d’information suivantes :

  • les documents du programme et les avis juridiques;
  • les renseignements fournis en réponse aux demandes de renseignements (réponses écrites et exposés);
  • [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait le nombre de scénarios qui étaient actifs le 26 mai 2021.***]
  • les documents à l’appui d’un échantillon de 12 scénarios qui étaient actifs le 26 mai 2021;
  • un échantillon de 83 cibles désignées entre janvier et mars 2021 (59 cibles désignées par CLV et 24 cibles désignées par CFS);
  • une démonstration en direct au Centre national de ciblage, qui est chargé du ciblage des passagers aériens;
  • des sources ouvertes, dont des articles de presse, des articles universitaires et des examens effectués par d’autres organismes;
  • des données sur le rendement antérieur et les développements stratégiques pertinents.

Déclaration de confiance

Pour tous les examens, l’OSSNR tente de vérifier de façon indépendante l’information qu’il reçoit. L’accès aux renseignements s’est fait par des demandes de renseignements et des exposés de l’ASFC. Pendant cet examen, l’OSSNR a corroboré l’information reçue dans des exposés verbaux en obtenant des copies des dossiers du programme et une démonstration en direct du ciblage des passagers aériens. L’OSSNR a confiance dans les conclusions et les recommandations du rapport.

Orientation du rapport d’examen

Après la présentation de renseignements contextuels essentiels sur les étapes et les activités comprises dans le ciblage des passagers aériens et la contribution de celui-ci à la réalisation du mandat de l’ASFC à la section 5, les conclusions et les recommandations de l’examen sont présentées à la section 6.

Dans la section 6.1, l’OSSNR a évalué la conformité de l’ASFC aux restrictions légales et réglementaires sur son utilisation de l’IPV et des données des DP. Des lacunes dans les méthodes de documentation des activités du programme de ciblage des passagers aériens de l’ASFC ont empêché l’OSSNR de vérifier si toutes les activités de tri respectent ces restrictions. Ces lacunes entravent aussi la propre capacité de l’ASFC d’assurer une surveillance interne efficace.

Dans la section 6.2, l’OSSNR a évalué le respect par l’ASFC de ses obligations concernant la non- discrimination en vertu de la LCDP et de la Charte. Des lacunes similaires dans la documentation et la tenue de dossiers ont empêché l’ASFC de démontrer, dans plusieurs cas, qu’il est justifié de recourir aux indicateurs qu’elle crée à partie de l’IPV et des données des DP pour procéder au tri des voyageurs entrants. Il est important de s’assurer que les pratiques de tri du programme de ciblage des passagers aériens sont étayées par des renseignements pertinents, fiables et documentés, pour démontrer que les droits à l’égalité des voyageurs sont respectés, parce que certains des indicateurs auxquels l’ASFC recourt pour trier les passagers sont liés à des motifs protégés et que le tri des passagers peut avoir des effets négatifs sur les voyageurs. L’OSSNR recommande un certain nombre de mesures pour améliorer la tenue de dossiers et pour cerner et atténuer les risques de discrimination.

Situation et contexte

Cible des passagers aériens et mandat de l’ASFC

Le programme de cible des passagers est administré au Centre national de ciblage10 et est actuellement soutenu par 92 équivalents temps plein11. Le ciblage des passagers aériens est l’un des multiples programmes de l’ASFC, et les évaluations des risques préalables à l’arrivée sont aussi effectuées sur le fret et pour d’autres moyens de transport, par exemple le transport maritime ou ferroviaire. À l’heure actuelle, ces évaluations sont effectuées uniquement sur les membres d’équipage et les passagers dans le cas des voyages aériens ou maritimes commerciaux. Le contrôle et les examens secondaires des voyageurs qui entrent au Canada par d’autres moyens de transport, par exemple par la route ou le train, sont effectués à la frontière.

Les évaluations des risques préalables à l’arrivée du programme de ciblage des passagers aériens visent à aider les agents des services frontaliers de première ligne à repérer les voyageurs et les marchandises susceptibles de présenter un risque plus élevé d’inadmissibilité au Canada ou de contrevenir à la législation frontalière de l’ASFC, et à les renvoyer pour un examen supplémentaire à leur arrivée à un point d’entrée canadien.

Les évaluations des risques préalables à l’arrivée sont effectuées en lien avec de multiples enjeux d’application de la loi, lesquels sont tous associés aux habitudes de voyage en constante évolution et aux caractéristiques des voyages qui peuvent varier d’une région du monde à l’autre. Le personnel du Centre national de ciblage reçoit de la formation, acquiert de l’expérience en milieu de travail et a accès à un grand volume de renseignements pour s’acquitter de ses fonctions.

Fonctionnement du ciblage des passagers aériens

Renseignements importants sur lesquels est fondé le ciblage des passagers aériens

Le ciblage des passagers aériens exploite deux ensembles de renseignements afin de trier les passagers pour les évaluations des risques. Le premier ensemble est constitué de renseignements au sujet des passagers que les transporteurs aériens commerciaux soumettent à l’ASFC en vertu de l’alinéa 148(1)d) de la Loi sur l’immigration et la protection des réfugiés (LIPR) et de l’article 107.1 de la Loi sur les douanes. Ces renseignements sont l’OPV et les DP. L’IPV comprend des renseignements sur un voyageur et sur son vol à destination du Canada. Les données des DP ne sont pas standardisées et sont constituées de renseignements sur les renseignements que les transporteurs aériens conservent dans leur système de réservation. Ces éléments de données sont des renseignements réglementaires au sens de l’article 5 du Règlement sur les renseignements relatifs aux passagers (douanes) et du paragraphe 269(1) du Règlement sur l’immigration et la protection des réfugiés.

Par souci de simplicité, l’OSSNR désigne l’IPV et les données des DP collectivement comme les « renseignements sur les passagers » dans cet examen, sauf indication contraire. La Figure 1 donne un aperçu des éléments de données de l’IPV et des données des DP. Après que l’ASFC les a reçus, les renseignements sur les passagers sont chargés dans son SIPAX, le principal système utilisé pour le ciblage des passagers aériens.

Figure 1 – IPV et données des DP IPV DP
Figure 1 : Graphique des informations préalables sur les passagers et des éléments du dossier passager

Le deuxième ensemble est composé de renseignements provenant d’une variété d’autres sources qui sont utilisés pour aider l’ASFC à déterminer quels éléments de données de l’IPV et des données des DP peuvent montrer des risques dans les caractéristiques ou les habitudes de voyage des passagers, dans le contexte d’enjeux d’application de la loi bien précis, et donc fournir des indicateurs pour le tri des passagers. Voici les principales sources :

  • les interdictions récentes majeures qui sont comparées avec les renseignements historiques relatifs à l’application de la loi, ainsi qu’avec l’IPV et les données des DP concernant les interdits;
  • les saisies aux points d’entrée;
  • les renseignements fournis par les agents de liaison à l’étranger;
  • les bulletins de renseignement internationaux;
  • les produits de renseignement diffusés par les partenaires nationaux et internationaux concernant les indicateurs et les tendances utiles communiqués par les organismes partenaires en fonction de leur champ d’expertise;
  • les sources ouvertes, dont les articles de presse, les articles d’opinion, les articles universitaires et les médias sociaux;
  • les produits de renseignements de l’ASFC tirés d’une ou de plusieurs des sources ci-dessus, par exemple les bulletins de renseignement, les instantanés et les tableaux de bord du ciblage, les évaluations des menaces nationales, les exposés de renseignement et les comptes rendus des nouvelles quotidiennes18.

La qualité des renseignements étayant les inférences de l’ASFC quant aux voyageurs susceptibles de présenter un risque élevé est importante pour garantir que le tri est raisonnable et non discriminatoire (voir la section 6.2).

Processus étape par étape du ciblage des passagers aériens

Le ciblage des passagers aériens, qui compte trois étapes principales, est illustré à la figure 2. Premièrement, les agents de l’ASFC trient les passagers en fonction de l’IPV et des données des DP à l’aide de méthodes manuelles ou automatisées. Deuxièmement, ils réalisent une évaluation des risques sur les passagers sélectionnés au moyen de différentes sources de renseignements. Troisièmement, les agents de ciblage décident s’ils doivent désigner une cible19 d’après les résultats de cette évaluation.

Figure 2 – Étapes du processus de ciblage des passagers aériens
Figure 2 : Diagramme horizontal des étapes du processus de ciblage des passagers aériens

Étape 1 : Tri des passagers

L’ASFC emploie deux méthodes distinctes pour trier les passagers à l’aide de l’IPV et des données des DP : le ciblage en fonction de la liste de vols et le ciblage fondé sur des scénarios.

Le ciblage en fonction de la liste de vols est une méthode de tri manuel qui compte deux étapes principales. Les agents doivent utiliser leur jugement pour faire des choix (voir la figure 4 pour en savoir plus).

  • Les agents de ciblage sélectionnent un vol parmi les vols qui doivent arriver au Canada ce jour-là et qu’ils estiment présenter un risque plus élevé de transporter des passagers susceptibles de contrevenir à la législation frontalière de l’ASFC.
  • Les agents de ciblage sélectionnent ensuite des passagers de ce vol pour une évaluation plus approfondie, d’après les renseignements les concernant dans la liste des passagers.

Le CFS est une méthode de tri automatisée qui se fonde sur des « scénarios » ou sur un ensemble préétabli d’indicateurs créés à partir des éléments de données de l’IPV et des données des DP que l’ASFC considère comme des facteurs de risque pour un enjeu d’application de la loi en particulier. Les données concernant les passagers de tous les vols entrants sont automatiquement comparées aux paramètres de chaque scénario. Tous les passagers dont les données correspondent aux paramètres d’un ou de plusieurs scénarios sont automatiquement sélectionnés pour qu’un agent de ciblage les évalue plus en détail.

[***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit les étapes de l’élaboration des scénarios. ***]

Figure 3 – Processus pour élaborer des scénarios pour le CFS

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit les étapes de l’élaboration des scénarios. ***]

Ces deux méthodes de tri sont toutes deux guidées par une analyse des renseignements, mais de façon légèrement différente. Dans le CFS, l’unité du renseignement de ciblage du Centre national de ciblage procède à une analyse pour repérer les combinaisons d’élément de données de l’IPV et des données des DP associées à des passagers et à des habitudes de voyages à risque élevé pour élaborer des scénarios, comme il est illustré à l’étape 1 de la Figure 3 ci-dessus. Dans le CLV, les agents de ciblage analysent les renseignements pour créer un « modèle mental » personnel de ce qui constitue des vols ou des passagers à risque élevé dans le contexte d’un enjeu d’application de la loi bien précis. Des exemples sont fournis à la Figure 4.

Figure 4 – Qu’est-ce qu’un vol ou un passager à risque élevé?

D’après les renseignements sur les tendances antérieures et les voyages futurs, les agents de l’ASFC repèrent certains vols ou aéroports comptant plus de voyageurs subséquemment trouvés en contravention de la législation frontalière de l’ASFC. L’ASFC évalue les vols partant de ces aéroports comme des vols à risque élevé.[***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donne des exemples de renseignements sur les vols que l’ASFC a indiqués comme étant associés à des contraventions passées.***]

En se fondant sur une analyse similaire, les agents de l’ASFC ont déterminé que certaines combinaisons de caractéristiques des voyageurs et d’habitudes de voyage sont ou peuvent être associées à des contraventions à la législation frontalière de l’ASFC. Les voyageurs qui présentent ces caractéristiques sont considérés comme des voyageurs à risque élevé. [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donne des exemples de renseignements sur les vols que l’ASFC a indiqués comme étant associés à des contraventions passées.***]

Étapes 2 et 3 : Évaluations des risques associés aux passagers et désignation de cibles

Le tri initial des passagers peut donner lieu à deux étapes supplémentaires pour ceux qui ont été sélectionnés pour un examen plus approfondi : une évaluation approfondie des risques associés aux passagers et la décision de désigner une cible si les risques déterminés initialement persistent.

Le processus d’évaluation des risques associés aux passagers comprend de demander et d’analyser les renseignements suivants pour déterminer si les risques initialement cernés dans l’IPV et les données des DP ne sont pas une préoccupation (« négation »), s’ils sont toujours préoccupants ou s’ils ont augmenté :

  • demandes de renseignements obligatoires et discrétionnaires dans les bases de données de l’ASFC et d’autres bases de données du gouvernement;
  • recherches dans les sources ouvertes (y compris les médias sociaux);
  • demandes de renseignements d’autres ministères du gouvernement du Canada et de la United States Customs and Border Protection (obligatoires pour toutes les contraventions potentielles relatives à la sécurité nationale, mais facultatives pour d’autres enjeux d’application de la loi).

Une cible est désignée lorsque l’évaluation des risques ne peut pas invalider les risques initialement inférés au sujet du passager. La désignation d’une cible consiste à envoyer un avis aux agents des services frontaliers à un point d’entrée du Canada (dans ce cas-ci, les aéroports) pour que le passager en question soit soumis à un examen secondaire. Cela ne signifie pas que le passager a contrevenu à la législation frontalière de l’ASFC. Un avis de désignation de cible comprend des renseignements sur le passager et les risques déterminés en relation avec la contravention potentielle.

Pendant les examens secondaires, les agents des services frontaliers posent une série progressive de questions. L’interrogatoire est guidé par les renseignements contenus dans l’avis de désignation de cible et par tous les autres renseignements accessibles aux agents, notamment ceux qui sont fournis par les voyageurs et les observations recueillies pendant l’examen. En se basant sur ces renseignements, les agents peuvent raisonnablement soupçonner le passager d’avoir contrevenu à des exigences relatives à la douane, à l’immigration ou autres qui sont appliquées par l’ASFC, et poser plus de questions ou approfondir l’examen. Cet examen peut comprendre une fouille des bagages ou une exploration des appareils numériques, si c’est nécessaire, avec l’approbation de la gestion. L’issue de cet examen détermine les prochaines étapes pour le voyageur.

Constatations et recommandations

Conformité de l’ASFC aux restrictions établies dans la législation et la réglementation

Restrictions applicables au ciblage des passagers aériens, et leur importance

Bien que le ciblage des passagers aériens ne soit pas explicitement discuté dans la législation, la Loi sur les douanes et la LIPR confèrent à l’ASFC le pouvoir législatif de recueillir l’IPV et les données des DP et de s’en servir dans le ciblage des passagers aériens. Cette utilisation est également appuyée par l’alinéa 4(1)b) du Règlement sur la protection des renseignements relatifs aux passagers, qui prévoit expressément l’utilisation des renseignements sur le DP pour effectuer des analyses des tendances ou élaborer des indicateurs de risque pour l’identification de certaines personnes à risque élevé31.

L’OSSNR est convaincu que ces dispositions législatives autorisent également l’ASFC à recueillir et à analyser les renseignements nécessaires pour soutenir le ciblage des passagers aériens. Ces renseignements sont nécessaires pour contextualiser son interprétation de l’IPV et des données des DP et déterminer quels éléments de données caractérisent les passagers et les habitudes de voyage à risque élevé dans le contexte des divers enjeux d’application de la loi. Cependant, l’examen n’a pas cherché à déterminer si tous les renseignements recueillis par l’ASFC étaient nécessaires pour mener ses opérations (dans le ciblage des passagers aériens ou ailleurs). Ce sujet connexe pourrait faire l’objet d’un prochain examen.

Ces dispositions d’habilitation restreignent l’utilisation par l’ASFC de l’IPV et des données des DP. Deux couches de restrictions sur l’utilisation s’appliquent : une est établie de la Loi sur les douanes ou de la LIPR comme lois d’habilitation, l’autre est établie par l’article 4 du Règlement sur la protection des renseignements relatifs aux passagers.

Dans son examen de la conformité au premier ensemble de restrictions, l’OSSNR s’est reporté au paragraphe 107(3) de la Loi sur les douanes, qui confère le plus vaste des deux pouvoirs. Le paragraphe 107(3) autorise l’ASFC à utiliser l’IPV et les données des DP :

  • pour l’application ou l’exécution de la Loi sur les douanes, du Tarif des douanes ou des lois connexes;
  • pour l’exercice des attributions conférées à l’ASFC sous le régime de la LIPR, notamment en matière d’identification de personnes et de détermination de leur admissibilité;
  • pour l’application de sa législation frontalière.

L’OSSNR a aussi examiné la conformité avec les restrictions sur l’utilisation établies à l’article 4 du Règlement sur la protection des renseignements relatifs aux passagers. Le Règlement limite l’utilisation par l’ASFC des données des DP à l’identification de personnes « qui ont commis ou pourraient avoir commis » une infraction de terrorisme ou un crime transnational grave. Les données peuvent être utilisées pour identifier de telles personnes directement ou pour effectuer des analyses des tendances ou élaborer des indicateurs de risque pour la même fin.

Le Règlement sur la protection des renseignements relatifs aux passagers a été promulgué pour remplir l’engagement du Canada à l’égard de son utilisation des données des DP dans le cadre d’un accord signé avec l’Union européenne. L’accord stipule que « les données des DP doivent être utilisées dans le but unique de prévenir et de combattre le terrorisme et les crimes liés au terrorisme, d’autres délits graves, y compris la criminalité organisée qui, par nature, revêtent un caractère transnational ». Bien que l’accord de 2006 soit expiré, les efforts continus déployés pour négocier un nouvel accord soulignent l’importance persistante de veiller à ce que l’ASFC demeure capable de démontrer qu’elle se conforme aux utilisations licites des données des DP. En outre, les restrictions établies dans le Règlement reflètent les décisions du ministre à l’égard de ce qui constitue une utilisation raisonnable et proportionnelle des données des DP par l’ASFC.

Sur le plan de la législation, les restrictions du Règlement sur la protection des renseignements relatifs aux passagers ne s’appliquent pas aux données des DP fournies à l’ASFC sous le régime de la LIPR. Toutefois, l’IPV et les données des DP sont intégrées dans ses systèmes. L’ASFC utilise aussi les données des DP pour désigner des cibles aux fins de la Loi sur les douanes et de la LIPR simultanément. Étant donné l’engagement de l’ASFC à l’égard de l’Union européenne en vertu de l’accord susmentionné et de ces autres considérations, l’ASFC respecte ces restrictions réglementaires dans son programme de ciblage des passagers aériens en application de la politique.

Pour évaluer la conformité au Règlement sur la protection des renseignements relatifs aux passagers, l’OSSNR a dû déterminer si l’enjeu d’application de la loi en cause dans la décision de tri correspondait aux définitions du Règlement d’une infraction de terrorisme ou d’un crime transnational grave.

Constatations de l’OSSNR

L’OSSNR a constaté que dans sa méthode de tri automatisée qu’est le CFS, l’utilisation par l’ASFC de l’IPV et des données des DP pour repérer les menaces potentielles et les contraventions à la législation frontalière était conforme aux restrictions légales. Pour sa méthode de tri manuelle, le CLV, l’OSSNR n’a pas pu évaluer les motifs de la sélection par l’ASFC de voyageurs individuels et n’a donc pas été en mesure de vérifier la conformité au paragraphe 107(3) de la Loi sur les douanes. Pour les deux méthodes, l’OSSNR n’a pas pu vérifier non plus si toutes les activités de tri étaient conformes aux restrictions réglementaires imposées par le Règlement sur la protection des renseignements relatifs aux passagers sur l’utilisation par l’ASFC des données des DP, à savoir que leur utilisation visait à déceler la participation potentielle à des infractions de terrorisme ou à des crimes transnationaux graves. Cela s’expliquait par le manque de précision des documents du programme de CFS et le manque de documents au sujet des motifs des décisions concernant le tri du CLV.

Les pratiques de CFS sont-elles conformes aux restrictions légales et réglementaires?

Dans le CFS, tous les scénarios étaient conformes aux restrictions législatives sur l’utilisation de l’IPV et des données des DP, car tous les scénarios ont été élaborés pour l’application ou l’exécution de la législation frontalière de l’ASFC. Cependant, dans plusieurs cas, les documents sur les scénarios n’indiquaient pas précisément pourquoi l’ASFC avait estimé qu’un enjeu d’application de la loi en particulier était lié à une infraction de terrorisme ou à un crime transnational grave. En raison de ce manque de précision, il n’a pas été possible de déterminer si les scénarios respectaient le Règlement sur la protection des renseignements relatifs aux passagers.

L’OSSNR a examiné les renseignements contenus dans les modèles de scénario, pour [***Phrase caviardée pour retirer ’information privilégiée ou préjudiciable. Elle indique le nombre de scénarios qui étaient actifs le 26 mai 2021.***]Les modèles exigent des renseignements sur les dispositions législatives spécifiques à la contravention potentielle que le scénario vise à déceler. De plus, ils exigent une description générale des renseignements associés au scénario, y compris la contravention potentielle.

L’utilisation par l’ASFC de l’IPV et des données des DP dans le CFS était conforme à la première couche de restrictions légales, car tous les scénarios visaient à repérer les contraventions à la LIPR, à la Loi sur les douanes, au Tarif des douanes et à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, ce qui est une utilisation autorisée par le paragraphe 107(3) de la Loi sur les douanes. Dans beaucoup de cas, le but du scénario était aussi conforme aux restrictions complémentaires en vertu de la LIPR.

En ce qui concerne la deuxième couche de restrictions imposée par le Règlement sur la protection des renseignements relatifs aux passagers, la plupart des scénarios invoquaient des dispositions relatives à des contraventions potentielles qui étaient raisonnablement considérées comme étant liées au terrorisme ou à des crimes transnationaux graves. Dans plusieurs cas, toutefois, le lien avec le terrorisme ou un crime transnational grave n’était pas clair, pour l’une ou l’autre de ces deux raisons :

  • Les scénarios n’indiquaient pas comment la contravention potentielle invoquée pour expliquer le but du scénario était liée à une infraction punissable par une peine d’au moins quatre ans d’emprisonnement, ce qui est l’un des critères dans la définition d’un crime transnational grave. Le lien entre l’enjeu d’application de la loi en cause et un crime transnational grave n’était donc pas clair (cela a été observé dans au moins 28 scénarios). L’inclusion de plus de renseignements sur le lien entre la contravention potentielle et un crime transnational grave ou une infraction de terrorisme clarifierait ce lien.
  • Les scénarios invoquaient trois motifs graves distincts d’interdiction de territoire ou plus, par exemple les articles 34, 35, 36 ou 37 de la LIPR, sans fournir plus de détails pour expliquer pourquoi tous les motifs étaient pertinents pour l’enjeu dans le scénario (cela a été observé dans au moins 20 scénarios). À cause de cela, on ne pouvait pas savoir exactement pourquoi les motifs étaient liés à l’enjeu ou pourquoi le scénario avait trait à une infraction de terrorisme ou à un crime transnational grave. À cet égard, il serait souhaitable d’inclure des renseignements plus précis sur la pertinence des motifs d’interdiction de territoire pour l’enjeu en cause dans un scénario.

This obscured how the grounds related meaningfully to the conduct at issue and why the conduct related to a terrorism offence or serious transnational crime. Including more precise details on how each ground of inadmissibility included in a scenario is relevant to the conduct at issue would help in this regard.

Des exemples illustratifs sont fournis à la Figure 5, et de plus amples renseignements sur l’évaluation de l’OSSNR de la conformité à la Loi sur les douanes et du Règlement sur la protection des renseignements relatifs aux passagers sont fournis à l’annexe 8.3.

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donnait deux exemples où le lien avec un crime transnational grave ou des infractions terroristes n’était pas clair dans les scénarios.***]

Les pratiques de CLV sont-elles conformes aux restrictions légales et réglementaires?

Le manque de documents sur les raisons pour lesquelles les agents ont sélectionné certains vols ou passagers a empêché l’OSSNR de vérifier si les pratiques de tri du CLV étaient conformes aux restrictions sur l’utilisation de la Loi sur les douanes et du Règlement sur la protection des renseignements relatifs aux passagers. Ce manque de documents a aussi empêché l’ASFC de vérifier en interne si le tri du CLV respectait les restrictions sur l’utilisation.

Comme les agents de ciblage comptent sur leur jugement pour trier les passagers avec la méthode de CLV, la tenue de dossiers au sujet des décisions de tri est importante pour être en mesure de vérifier si le tri est conforme aux lois et aux règlements pertinents et adopter des mesures correctives, s’il y a lieu. Bien que le Centre national de ciblage ait une politique sur les carnets de notes qui exige que les agents consignent toute l’information sur leurs activités, la politique nationale sur le ciblage et les PON sur le ciblage des passagers aériens ne précisent pas quelles étapes du ciblage des passagers aériens doivent être documentées ou quels renseignements doivent être consignés à chaque étape. De plus, les PON sur le ciblage des passagers aériens, les Lignes directrices sur l'exposé narratif sur la cible et le format des avis de désignation de cible dans les systèmes de l’ASFC n’exigent pas que les agents incluent des renseignements précis sur la contravention potentielle qui a motivé leur décision de désigner une cible.

L’OSSNR a seulement pu déduire pourquoi un passager a été sélectionné pour une évaluation approfondie lors du CFS d’après les renseignements sur les cibles, malgré la valeur explicative limitée de l’analyse des cibles pour comprendre le tri initial. Des cibles ne sont pas désignées pour tous les passagers initialement sélectionnés : seulement 15 pour cent des passagers qui ont été sélectionnés pour une évaluation complète des risques ont été désignés comme des cibles en 2019-2020.

De plus, l’enjeu d’application de la loi indiqué dans les avis de désignation de cible peut avoir changé dans les étapes ultérieures du processus de ciblage des passagers aériens et ne reflète plus nécessairement l’enjeu qui a motivé la décision de tri initiale.

L’OSSNR a constaté que toutes les cibles d’un échantillon de 59 cibles désignées à la suite du CFV respectaient la première couche de restrictions sur l’utilisation selon le paragraphe 107(3) de la Loi sur les douanes, car cette dernière ou la LIPR était mentionnée dans les détails de la cible. Toutefois, les avis de désignation de cible ne précisaient pas toujours une contravention à ces lois, ce qui rendait difficile de déterminer le lien entre l’intérêt des agents pour les passagers et une infraction de terrorisme ou un crime transnational grave. D’après les autres renseignements descriptifs concernant les comportements ou les facteurs de risque contenus dans les avis de désignation de cible, il était seulement possible de supposer l’enjeu d’application de la loi et de déterminer qu’il s’agissait d’une infraction de terrorisme ou d’un crime transnational grave dans environ la moitié des cas (29 sur 59). Des exemples illustratifs sont fournis à la Figure 6.

Figure 6 – Cas où la contravention potentielle n’était pas claire dans les avis de désignation de cibles

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait deux exemples de cibles pour lesquelles la contravention potentielle n’était pas claire d’après les détails de l’avis de désignation.***]

Pourquoi la précision est-elle importante dans la tenue de dossiers?

Elle est importante pour garantir que la contravention potentielle soit claire dans les modèles de scénario et les avis de désignation de cible et que la tenue de dossiers sur les raisons qui motivent le tri du CLV soit effectuée correctement pour que l’on puisse vérifier efficacement si toutes les activités de tri sont conformes aux restrictions législatives et réglementaires.

Les fonctions de surveillance actuelles de l’ASFC consistent à examiner les nouveaux scénarios préalablement et parallèlement à leur activation et à examiner les cibles après leur désignation aux fins de contrôle de la qualité et de mesure du rendement. Toutefois, les lacunes dans les documents mentionnées ci-dessus empêchent l’ASFC de veiller à ce que toutes ses activités de tri respectent les restrictions législatives et réglementaires. Les mécanismes de surveillance de l’ASFC devraient vérifier si les scénarios et les pratiques de tri du CLV sont justifiés par des questions pertinentes pour l’application ou l’exécution de la législation frontalière de l’ASFC. Lorsque les données des DP sont utilisées, il faudrait aussi vérifier si l’enjeu d’application de la loi constitue ou indique une infraction de terrorisme ou un crime transnational grave. Il serait pratique, à cet égard, que les raisons justifiant les décisions de tri des passagers dans le CFS et le CLV soient consignées avec plus de précision et d’uniformité.

De plus, les lignes directrices sur les implications des restrictions législatives et réglementaires pour les activités de ciblage n’étaient pas clairement indiquées dans les politiques, les PON et le matériel de formation du Centre national de ciblage. Ces lignes directrices devraient comprendre des renseignements plus précis sur ce qui suit :

  • Quels enjeux concernant l’entrée et le séjour dans la LIPR ou autres contraventions à la législation frontalière de l’ASFC correspondent ou sont liés à un crime transnational grave ou à une infraction de terrorisme, et pourquoi?
  • Comment documenter les décisions de tri de manière cohérente pour pouvoir vérifier en interne et à l’externe si les activités de ciblage sont conformes à ces restrictions législatives et réglementaires?

Par exemple, le Cadre de gouvernance de ciblage basé sur des scénarios comprenait des exemples utiles de catégories de risques qui indiquaient les dispositions législatives connexes. Bien que les exemples concordent avec les définitions de crime transnational grave et d’infraction de terrorisme du Règlement sur la protection des renseignements relatifs aux passagers, aucune explication ne lie les exemples au Règlement. Il n’existe pas de lignes directrices équivalentes pour le CLV.

Il est aussi important d’indiquer clairement l’enjeu d’application de la loi potentiel pour vérifier les indicateurs créés à partir de l’IPV et des données des DP qui servent au tri des passagers se rapportent à l’enjeu et en sont prédictifs de manière fiable. Cela est important pour démontrer que les pratiques de tri sont raisonnables et non discriminatoires (voir la section 6.3).

Conclusion 1 : L’utilisation par l’ASFC de l’IPV et des données des DP dans le CFS était conforme au paragraphe 107(3) de la Loi sur les douanes.

Conclusion 2 : L’ASFC ne documente pas ses pratiques de triage d’une manière qui permette de vérifier efficacement si toutes les décisions de triage sont conformes aux restrictions légales et réglementaires.

Recommandation 1 : L’OSSNR recommande à l’ASFC de documenter ses pratiques de triage d’une manière qui permette de vérifier efficacement si toutes les décisions de triage sont conformes aux restrictions légales et réglementaires.

Conformité de l’ASFC aux obligations concernant la non-discrimination

Obligations de l’ASFC concernant la non-discrimination, et leur importance

La LCDP et la Charte établissent toutes deux des obligations concernant la non-discrimination. Les critères pour déterminer s’il y a eu discrimination sont similaires en soi, mais on trouve des différences dans leur approche et leur terminologie, comme il est illustré à la figure 7. L’analyse, avec les deux instruments, commence par une recherche de faits pour déterminer si les voyageurs sont différenciés en fonction de motifs de distinction illicite. Si c’est le cas, on détermine ensuite si cela a une incidence négative sur un voyageur ou renforce, perpétue ou accentue un désavantage. Dans l’affirmative, l’analyse effectuée aux termes de la LCDP examine s’il existe une justification de bonne foi pour la différenciation négative. L’analyse correspondante réalisée en vertu de la Charte examine si la limitation des droits à l’égalité des voyageurs est manifestement justifiée dans une société libre et démocratique.

Figure 7 : Tests juridiques dans le cadre de la loi sur les droits de l'homme et du diagramme de la Charte

Constatations de l’OSSNR

Le tri, dans le ciblage des passagers aériens, repose sur de multiples indicateurs qui sont créés à partir de l’IPV et des données des DP et dont certains sont des motifs protégés ou y sont étroitement liés. Les résultats du ciblage des passagers aériens, à savoir l’incidence sur les voyageurs, peuvent être jugés négatifs et peuvent renforcer, perpétuer ou accentuer des désavantages. Cela occasionne à première vue une discrimination54. Bien que ces limites sur les droits à l’égalité des voyageurs puissent être justifiables, des lacunes dans les documents du programme de l’ASFC ont empêché celle-ci de démontrer, dans plusieurs cas, que la différenciation négative était justifiée. Le personnel de l’ASFC a accès à un grand volume de renseignements, mais ils ne sont pas compilés et consignés d’une manière qui montre invariablement pourquoi certains indicateurs utilisés pour trier les passagers sont liés à une menace ou à une contravention potentielle, et ils ne montraient pas toujours que ces indicateurs étaient actuels et fiables. Ce manque de précision et de justification dans les documents s’apparente à celui souligné précédemment au sujet de la conformité de l’ASFC aux restrictions législatives et réglementaires.

De plus amples renseignements sur la nature de la différenciation dans les pratiques de tri du ciblage des passagers aériens et leur incidence sur les personnes seraient requis pour déterminer de façon concluante si les pratiques de tri sont discriminatoires. Toutefois, les risques de discrimination sont apparemment suffisants pour justifier que l’on s’y attarde de près. Dans cet examen, l’OSSNR recommandera des mesures qui pourraient aider l’ASFC à évaluer et à atténuer ces risques.

L’ASFC fait-elle une différenciation sur la base de motifs protégés?

Certains des indicateurs utilisés pour trier les passagers correspondent ou s’apparentent de près à des motifs protégés. L’OSSNR a observé des cas où des passagers semblent avoir été différenciés en fonction de motifs protégés.

L’OSSNR a examiné tous les scénarios qui étaient actifs le 26 mai 2021 et un échantillon de cibles pour déterminer si les pratiques de tri de l’ASFC sont fondées sur des motifs de distinction illicite comme l’âge, le sexe ou l’origine nationale ou ethnique. Dans le rapport, il appelle ces motifs des « motifs protégés ». L’évaluation a examiné :

  • le lien entre les indicateurs utilisés pour trier les passagers et les motifs protégés;
  • l’importance des indicateurs dans le tri et la façon dont les indicateurs individuels sont pondérés les uns par rapport aux autres;
  • si des indicateurs ont créé des distinctions entre des personnes ou des catégories de personnes, sur la base de motifs protégés, en tant que tels ou par leurs effets cumulatifs.

L’OSSNR a constaté que l’ASFC trie les passagers en fonction d’une combinaison d’indicateurs qui sont créés à partir de l’IPV et des données des DP. Ce tri recourt souvent à des indicateurs qui correspondent ou s’apparentent de près à des motifs protégés. Des exemples de ces indicateurs sont fournis à la figure 8, et de plus amples renseignements sur la façon dont l’ASFC utilise ces indicateurs sont fournis à l’annexe 8.4.

Figure 8 – IPV et données des DP liées à des motifs protégés
Figure 8 : Diagramme/tableau des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers concernant les zones protégées

Même si l’ASFC a pris certaines mesures pour limiter la possibilité que des décisions de tri soient basées principalement sur des motifs protégés, l’OSSNR a observé que ces mesures n’atténuaient pas toujours adéquatement ce risque. Plus particulièrement :

  • [***Note caviardée pour retirer l’information privilégiée ou préjudiciable. Elle énumère des exemples de scénarios qui utilisaient des éléments uniques.***] a observé des cas où les scénarios reposaient encore sur des indicateurs étroitement liés à des motifs protégés. Il en était ainsi parce que les indicateurs comportementaux étaient souvent utilisés d’une façon qui les rendait semblables à un motif protégé (principalement l’origine nationale) ou parce que les paramètres des indicateurs comportementaux étaient très généraux (p.ex. des passeports comme document de voyage) et ne restreignaient pas l’éventail de passagers englobés dans le scénario.Des exemples sont fournis à la Figure 9.
  • Dans le CFS, le tri visant à repérer les contraventions potentielles relatives à la sécurité nationale était centré de manière disproportionnée sur un certain profil de passagers : [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait une combinaison de caractéristiques des voyageurs associées à des motifs protégés.***] Malgré le fait que les scénarios individuels examinaient une variété d’autres indicateurs qui étaient différents d’un scénario à l’autre et qui semblaient spécifiques à un ensemble unique de caractéristiques personnelles et de tendances comportementales pour chaque risque pour la sécurité nationale, l’effet global des scénarios a créé une différenciation principalement axée sur ce profil particulier.
Figure 9 – Cas où les indicateurs comportementaux correspondaient à des motifs protégés ou ne restreignaient pas la portée

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit deux exemples de scénarios dans lesquels les indicateurs comportementaux ont été utilisés d’une manière qui s’apparente étroitement à un motif protégé, ou les paramètres des indicateurs comportementaux étaient très vastes et ne limitaient pas significativement l’étendue des passagers ciblés par le scénario.***]

Puisque les pratiques de tri de l’ASFC sont fondées sur des motifs protégés et, dans certains cas, ont entraîné une différenciation fondée sur des motifs protégés, l’OSSNR a examiné les effets que cette différenciation peut produire.

La différenciation a-t-elle des effets négatifs capables de renforcer, de perpétuer ou d’accentuer un désavantage?

La différenciation dans le tri des passagers entraîne plusieurs types d’effets potentiels pour les passagers qui sont sélectionnés pour une évaluation approfondie. Ces effets sont négatifs et susceptibles de renforcer, de perpétuer ou d’accentuer des désavantages.

L’OSSNR a examiné les genres d’effets que le ciblage des passagers aériens a sur les passagers qui sont sélectionnés pour une évaluation approfondie au tri initial. Ces effets sont illustrés à la Figure 10. La sélection pour une évaluation approfondie peut avoir des effets importants sur l’emploi du temps, la vie privée et l’égalité du traitement des passagers, surtout que ces effets s’accumulent durant le processus de contrôle ou lorsque les mêmes voyageurs les subissent à répétition.

Figure 10 – Effets du tri initial sur les voyageurs
Figure 10. Incidences du diagramme de triage initial sur les voyageurs

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable.Elle décrivait le nombre de passagers ciblés par année.***]

Ces effets peuvent être négatifs et raisonnablement réputés pouvoir renforcer, perpétuer ou accentuer un désavantage, particulièrement de possibles désavantages systémiques ou historiques. Cependant, les données désagrégées sur l’identité ethnoculturelle, l’identité de genre ou autre identité de groupe des passagers touchés et leur place dans la société canadienne exigeraient un examen complet des effets du ciblage des passagers aériens sur les groupes touchés.

Un risque de discrimination à première vue est établi lorsque ces effets négatifs touchent des personnes sur la base de motifs protégés. Ces effets négatifs sur des groupes protégés ne constituent pas une discrimination en vertu de la LCDP si l’ASFC peut démontrer que la différenciation est justifiée de bonne foi, et seront permis en vertu de la Charte si l’ASFC peut établir que la différenciation correspond à une limitation raisonnable des droits à l’égalité des voyageurs.

L’ASFC a-t-elle une justification adéquate pour la différenciation qui produit des effets négatifs?

Bien que le personnel de l’ASFC ait accès à un grand volume de renseignements pour ses activités de tri, les lacunes dans la tenue de dossiers, dans la synthèse cohérente de ces renseignements et dans la collecte de données ont empêché l’ASFC, dans plusieurs cas de démontrer que son utilisation des indicateurs qu’elle crée à partir de l’IPV et des données des DP est adéquatement justifiée..

L’OSSNR a examiné comment l’ASFC a utilisé les renseignements en soutien à ses activités de tri en étudiant un échantillon de 12 scénarios et de 59 cibles désignées à la suite du tri manuel dans le CLV. Il a aussi examiné les données sur le rendement des scénarios sélectionnés. Dans l’examen des documents justificatifs fournis pour chaque scénario et démontrant une justification adéquate pour les indicateurs créés à partir de l’IPV et des données des DP, l’OSSNR a tenu compte de plusieurs facteurs :

  • si les renseignements étaient objectifs et empiriques;
  • si les renseignements étaient crédibles et fiables, du point de vue de leur source et leur valeur justificative;
  • si les renseignements étaient actuels;
  • si les renseignements montraient un lien clair entre les indicateurs et l’enjeu d’application de la loi;
  • si les indicateurs étaient spécifiquement liés à l’enjeu d’application de la loi ou étaient généraux;
  • si les indicateurs étaient fondés sur un échantillon d’une taille représentative;
  • si le recours aux indicateurs en particulier pour trier les passagers a été efficace dans le passé pour repérer des contraventions potentielles (c.-à-d. si les résultats empiriques appuyaient le recours aux indicateurs).

Dans le CFS, 11 des 12 scénarios de l’échantillon examiné ne fournissaient pas une justification adéquate des indicateurs de tri, en partie à cause des lacunes dans les documents à l’appui des scénarios.

Un résumé de l’évaluation de l’OSSNR en fonction de chaque critère d’évaluation est présenté à la Figure 11 , et des exemples sont donnés ci-dessous.

Figure 11 – Résumé de l’évaluation de l’OSSNR des documents à l’appui des scénarios
Figure 11 : Graphique/tableau du résumé de l'évaluation de la documentation de soutien du scénario par le NSIRA

La plupart des documents à l’appui de l’échantillon de scénarios étaient basés sur des renseignements empiriques concernant les mesures d’application de la loi ou sur d’autres produits de renseignement élaborés par l’ASFC ou ses partenaires et tirés de sources empiriques clairement identifiées. L’OSSNR a déterminé que ces produits étaient des sources objectives et fiables. Toutefois, l’OSSNR a relevé trois cas où la base des renseignements n’était pas claire, et donc leur objectivité et leur crédibilité difficiles à déterminer.

En raison d’un manque de cohérence dans la tenue des documents à l’appui des scénarios, il a été encore plus difficile de vérifier si les scénarios étaient fondés sur des renseignements fiables et actuels, car quatre des scénarios examinés reposaient sur des renseignements qui dataient de plus de cinq ans, et l’ASFC n’a pas pu localiser au moins un des documents désignés comme des documents à l’appui pour neuf des scénarios. Il est approprié de supprimer les vieux renseignements s’ils sont remplacés par de plus récents, mais s’ils ne sont pas remplacés, l’ASFC risque d’avoir de la difficulté à justifier la base des scénarios.

Dans 3 des 12 scénarios examinés, on ne voyait pas clairement le lien entre les documents à l’appui et la contravention potentielle indiquée dans le scénario, ce qui empêchait de procéder à une analyse plus poussée pour établir le lien entre les indicateurs créés à partir de l’IPV et des données des DP et l’enjeu d’application de la loi. Dans 11 des 12 scénarios, comme les documents à l’appui ne mentionnaient pas un ou plusieurs des indicateurs dans le scénario, les motifs du recours à ces indicateurs n’étaient pas clairs. Un certain nombre des indicateurs non justifiés dans ces scénarios étaient associés de près à des motifs protégés. Deux exemples sont fournis à la Figure 12.

Figure 12 – Exemples de lacunes dans les documents à l’appui des scénarios

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrit les problèmes observés dans les documents à l’appui des scénarios, comme exemples. Ces problèmes avaient trait à la fiabilité des affirmations spéculatives faites dans un article d’opinion utilisé comme document à l’appui pour un scénario et qui ne constituait pas une base claire pour recourir aux indicateurs dans le scénario, et à un manque de renseignements concernant un ou plusieurs des indicateurs dans l’autre scénario.***]

Dans 11 des 12 scénarios, les documents à l’appui ne contenaient pas assez de renseignements pour déterminer si les indicateurs dans les scénarios étaient basés sur un échantillon représentatif de passagers. À cause de cela, il a été impossible de vérifier si les indicateurs dans le scénario reflétaient un schème ou une tendance dans les caractéristiques des voyageurs plutôt qu’un cas unique ou quelques cas. L’obtention d’indicateurs à partir d’un trop petit échantillon crée aussi un risque que les indicateurs ne soient pas fiablement associés à une contravention potentielle, mais simplement à des personnes désignées qui ont déjà fait l’objet de mesures d’application de la loi dans le passé. Un trop petit échantillon peut aussi occasionner des préjugés et un biais de confirmation à l’égard de stéréotypes concernant le comportement ou les caractéristiques personnelles des voyageurs.

Le manque de renseignements, dans 11 des 12 scénarios, sur la probabilité et l’incidence du risque posé par l’enjeu d’application de la loi a aussi empêché de déterminer dans quelle mesure les indicateurs et les paramètres étaient, individuellement ou collectivement, uniques à l’enjeu d’application de la loi. De plus, dans 4 des 12 scénarios, les documents à l’appui ne comprenaient pas de renseignements pour confirmer que les indicateurs et les paramètres du scénario avaient été associés à une contravention confirmée à la législation frontalière de l’ASFC ou si l’association entre les indicateurs et l’enjeu d’application de la loi était simplement hypothétique. Alors que les renseignements fiables peuvent aussi fournir une base empirique pour le tri des passagers afin d’orienter l’élaboration des scénarios, les renseignements indiquant si les scénarios ont permis de confirmer des contraventions à la législation frontalière de l’ASFC peuvent être intégrés dans les documents à l’appui des scénarios au fil du temps. Cette question est examinée plus en détail en relation avec les données sur le rendement ci-dessous.

Seulement 1 des 12 scénarios dans l’échantillon contenait suffisamment de renseignements pour se faire une idée de l’enjeu d’application de la loi, pour comprendre pourquoi les indicateurs particuliers ont été utilisés dans le scénario en relation avec l’enjeu d’application de la loi, et pour établir que les indicateurs étaient fondés sur un schème clair d’association avec un grand nombre de contraventions confirmées et reflétaient une portée appropriée. Les détails de ce scénario et les raisons expliquant en quoi les documents à l’appui corroboraient le scénario sont fournis à la Figure 13.

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle explique en quoi les documents à l’appui fournis pour le scénario L reposaient sur des renseignements empiriques crédibles qui ont aidé à établir l’enjeu d ’application de la loi, ont donné une idée de la prévalence de l’enjeu et de l’ampleur du problème et de la pertinence de le régler relativement au mandat de l’ASFC, ont établi une corrélation entre les indicateurs spécifiques dans le scénario et les contraventions confirmées en fonction d’un échantillon d’une taille appréciable et ont démontré que les paramètres de chaque indicateur étaient bien définis.***]

Le personnel de l’ASFC a accès à un grand volume de renseignements pour orienter ses activités de tri, mais dans tous les scénarios sauf un, les renseignements et les autres connaissances analytiques n’ont pas été regroupés de manière cohérente pour démontrer que la base du tri était justifiée dans ces cas en particulier. L’ASFC a fait savoir qu’elle a l’intention de préparer des produits de renseignement normalisés qui regrouperaient de manière cohérente ces renseignements pour soutenir l’élaboration de nouveaux scénarios82. La création de produits de ce genre pour tous les scénarios actifs contribuerait à garantir que toute différenciation résultant des décisions de tri dans le ciblage des passagers aériens est dûment justifiée. Cette question est examinée plus en détail en relation avec les pratiques de surveillance ci-dessous.

Dans le CLV, les documents étaient insuffisants pour expliquer pourquoi certains indicateurs étaient considérés comme des facteurs de risque valides dans le contexte d’un enjeu d’application de la loi en particulier.

Les agents de ciblage ont accès à un grand volume de renseignements au moment de trier les passagers dans le CLV, mais ces sources ne sont pas nécessairement documentées dans le processus de prise de décisions relatives au tri. Les stratégies de CLV ne sont pas codifiées, et les décisions de tri ne sont pas uniformément documentées. Cela signifie que les sources et les considérations qui ont éclairé les décisions de tri individuelles n’étaient pas toujours apparentes dans les documents du programme que l’OSSNR a examinés.

Outre la valeur limitée de l’analyse des cibles pour comprendre les décisions de tri initiales84, la rareté des renseignements contenus dans l’échantillon de 59 avis de désignation de cible émis à la suite du CLV a encore plus limité l’évaluation de l’OSSNR. La plupart des avis comprenaient des renseignements spécifiques à chaque passager obtenus au moyen d’une évaluation des risques associés aux passagers, ce qui justifiait raisonnablement la désignation de la cible. Toutefois, ces renseignements auraient été obtenus après les décisions de tri initiales. Les avis de désignation de cible expliquaient brièvement pourquoi certains éléments de l’IPV et des données des DP étaient considérés comme des facteurs de risque, donnant à entendre que la décision de tri de l’agent de ciblage avait possiblement été fondée sur des renseignements85. Cependant, on ne voyait souvent pas clairement pourquoi les données sur les passagers désignées comme des facteurs de risque dans l’avis de désignation de cible indiquaient une menace ou une contravention potentielle à la législation frontalière de l’ASFC. L’évaluation du lien entre les données sur les passagers désignées comme des facteurs de risque dans un avis de désignation de cible et la contravention potentielle était encore plus compliquée quand l’enjeu d’application de la loi était aussi flou. Les exemples donnés à la Figure 14 illustrent cette difficulté.

Figure 14 – Importance de la justification des indicateurs utilisés dans le ciblage

[***Figure caviardée pour retirer l’information privilégiée ou préjudiciable. Elle revient aux exemples de cibles discutées dans la figure 6, où l’ambiguïté entourant l’enjeu d’application de la loi compliquait l’évaluation du lien entre les données sur les passagers invoquées comme facteurs de risque dans l’avis de désignation de cible et l’enjeu d’application de la loi.***]

Les données sur le rendement de l’échantillon de scénarios montrent que les indicateurs créés à partir de l’IPV et des données des DP pour le tri des passagers ne sont pas toujours corrélés avec l’enjeu d’application de la loi en question.

L’ASFC devrait être en mesure de démontrer dès le départ que les renseignements justifient l’utilisation des indicateurs créés à partir de l’IPV et des données des DP pour procéder au tri des passagers en fonction de contraventions potentielles, surtout lorsque ces indicateurs sont associés à des motifs protégés. Cependant, les résultats des examens secondaires des cibles précédemment désignées peuvent fournir de tels renseignements. Ces résultats donnent aussi des renseignements importants sur l’étroitesse du lien entre certains indicateurs et les contraventions potentielles, et indiquent dans quels domaines les inférences devraient être revues et révisées.

L’analyse des données sur le rendement réalisée par l’OSSNR pour l’échantillon de 12 scénarios a révélé que les indicateurs ne peuvent pas nécessairement être liés de près aux enjeux d’application de la loi dans les scénarios ou prédire les contraventions potentielles à la législation frontalière de l’ASFC avec une grande exactitude.

  • Dans bon nombre des scénarios, moins de 5 pour cent des passagers qui concordaient avec le scénario (d’après l’IPV et les données des DP) ont fait l’objet d’une mesure d’application de la loi ou ont produit des renseignements pertinents à la fin de l’examen secondaire89, que l’ASFC appelle une cible « qui donne des résultats ». Cela s’explique en partie par le fait que pour la vaste majorité des passagers pour lesquels une évaluation des risques est réalisée, on ne décide pas de désigner une cible. De plus, certains enjeux d’application de la loi sont peu susceptibles de se concrétiser, mais si cela se produit, les conséquences sont considérables. En revanche, le fait que la plupart des passagers qui concordent avec un scénario ne soient pas préoccupants soulève des questions quant à l’exactitude des éléments de l’IPV et des données des DP en tant qu’indicateurs et à la proportionnalité des pratiques de ciblage.
  • En moyenne, un quart des cibles désignées (à la suite du CFS ou du CLV) ont mené à un examen secondaire qui a donné des résultats, mais la proportion variait considérablement pour les scénarios dans l’échantillon, soit d’aussi peu que 4,8 pour cent à aussi élevé que 72,7 pour cent.
  • Seulement 9 des 12 scénarios ont donné lieu à au moins une mesure d’application de la loi ou ont produit des renseignements utiles entre 2019-2020 et 2020-2021. Encore une fois, ce n’est pas nécessairement un problème si un enjeu d’application de la loi a de faibles chances de se concrétiser, mais des conséquences considérables. Cependant, cela soulève des questions quant à la base empirique du scénario.
  • Pour bon nombre des scénarios, l’examen secondaire a donné des résultats liés à des enjeux autres que ceux qui avaient justifié le ciblage initial92. Cela donne à conclure que les indicateurs ne sont pas toujours très précis et soulève des questions quant aux hypothèses ou aux inférences sous-jacentes.

L’OSSNR a aussi observé qu’une année, les données sur le rendement des scénarios indiquaient une proportion beaucoup plus élevée de voyageurs et de cibles ayant donné des résultats, et que l’année suivante, les résultats étaient beaucoup plus faibles, ce qui montre à quelle vitesse les habitudes de voyage peuvent changer. L’ASFC a signalé que la COVID-19 a provoqué des changements majeurs dans les habitudes de voyages et les schèmes commerciaux, et qu’en raison de cela elle a eu de la difficulté à comprendre comment les indicateurs ont évolué relativement à une variété d’enjeux d’application de la loi et à adapter ses stratégies de ciblage. Cela souligne l’importance de veiller à ce que les scénarios et les activités de CLV soient appuyés par des renseignements à jour, de même que l’importance d’analyser rigoureusement les données sur le rendement pour évaluer, parfaire ou désactiver les scénarios en vue de rester cohérent par rapport à l’environnement de risques en évolution.

Cependant, les renseignements qui peuvent être obtenus avec les données sur le rendement sont limités, parce que l’ASFC ne consigne pas les résultats des examens secondaires qui découlent de renvois aléatoires ou les cas où des passagers qui n’avaient pas été ciblés ont par la suite été trouvés en contravention à la législation frontalière de l’ASFC par d’autres moyens. Cela empêche de contextualiser le rendement du ciblage des passagers aériens par rapport à une base de référence (c.- à-d. si le ciblage des passagers aériens est plus, aussi ou moins efficace pour prédire une contravention potentielle à la législation frontalière de l’ASFC qu’un renvoi aléatoire). Outre leur pertinence pour mesurer le rendement, les données de référence aider à protéger l’ASFC des biais de confirmation lorsque les résultats de l’application de la loi, dans quelques cas isolés, peuvent renforcer les stéréotypes même s’ils ne représentent pas une tendance significative. De plus, un examen secondaire qui donne des résultats, selon la définition du Centre national de ciblage, n’indique pas nécessairement un cas confirmé de non-conformité. À cause de cela, il est difficile d’analyser les données sur le rendement comme une source de renseignements empiriques afin de justifier l’utilisation par l’ASFC de certains indicateurs pour trier les passagers, parce qu’une fouille donnant des résultats ne signifie pas toujours qu’il existe une corrélation entre les indicateurs et la contravention potentielle.

En somme, l’ASFC n’a pas été capable de démontrer une justification suffisante pour utiliser certains indicateurs dans les scénarios et les avis de désignation de cible examinés par l’OSSNR. Cela crée le risque que les activités de tri soient discriminatoires. Afin d’éviter la discrimination, le lien entre les indicateurs utilisés pour trier les passagers et les menaces ou les contraventions potentielles qu’ils doivent prétendument servir à repérer doit être bien étayé par des renseignements récents, fiables et documentés ou des renseignements empiriques qui démontrent que les indicateurs sont raisonnablement prédictifs d’un préjudice potentiel à la sécurité nationale et à la sécurité publique du Canada. L’ASFC a pu documenter une justification adéquate pour le tri des passagers dans un scénario. La compilation de renseignements pertinents pour ses autres activités de tri aiderait à démontrer qu’elles sont aussi non discriminatoires.

De plus amples renseignements seraient requis pour déterminer si les distinctions résultant du ciblage des passagers aériens qui sont capables de renforcer, de perpétuer ou d’accentuer un désavantage constituent des limites raisonnables aux droits à l’égalité des voyageurs.

L’analyse ci-dessus a aussi établi que le ciblage des passagers aériens peut enfreindre les droits à l’égalité des voyageurs en vertu de la Charte. Il faut cependant mentionner que tous les droits prévus par la Charte sont assujettis à des limites raisonnables. Afin d’établir si une limite est raisonnable, l’État doit démontrer qu’elle est rationnellement liée à un objectif urgent et concret, qu’elle limite le droit de façon minimale et que les effets bénéfiques et les effets néfastes sont proportionnels. Ces limites doivent également être prescrites par la loi.

L’analyse visant à déterminer si les actions de l’État sont des limites raisonnables aux droits prévus dans la Charte repose essentiellement sur les faits. Afin d’examiner cette question, d’autres données seraient requises sur :

  • le nombre précis des divers indicateurs liés à des motifs protégés;
  • l’efficacité des facteurs pour protéger la sécurité nationale et la sécurité publique;
  • la disponibilité raisonnable d’autres moyens pour assurer des résultats similaires en matière de sécurité à la frontière;
  • les effets du ciblage des passagers aériens sur les passagers touchés;
  • l’importance de la contribution du ciblage des passagers aériens pour la sécurité nationale et d’autres objectifs du gouvernement.

L’OSSNR fait remarquer qu’en raison de ces lacunes dans les données, l’ASFC peut avoir de la difficulté à démontrer que toute discrimination résultant du ciblage de passagers aériens est justifiée en vertu de l’article 1 de la Charte. La documentation de la contribution du ciblage des passagers aériens à la sécurité nationale et à la sécurité publique, de l’étendue et de la nature de ses effets et de son efficacité par rapport à d’autres moyens moins intrusifs d’atteindre les objectifs de l’ASFC aiderait celle-ci à démontrer que le programme est raisonnable et justifié dans la société canadienne.

L’ASFC s’est-elle conformée à ses obligations concernant la non-discrimination?

Les pratiques de tri du ciblage des passagers aériens créent un risque de discrimination à première vue. Cela s’explique par deux principales caractéristiques. Premièrement, le ciblage des passagers aériens compte, en partie, sur des indicateurs créés à partir de l’IPV et des données des DP qui correspondent ou s’apparentent étroitement à des motifs protégés. C’était surtout le cas d’indicateurs associés à l’âge, au sexe et à l’origine nationale ou ethnique des passagers. Les passagers ont été différenciés en fonction de ces motifs, puisqu’ils ont été sélectionnés pour une évaluation approfondie en partie sur la base de ces caractéristiques. L’OSSNR a aussi observé que le tri a attiré une attention disproportionnée sur certaines nationalités et sur le sexe, lorsque l’effet cumulatif des scénarios était pris en compte.

Deuxièmement, cette différenciation a eu des effets négatifs sur les voyageurs. Le ciblage des passagers aériens a une incidence sur la vie privée des gens, en raison des évaluations des risques subséquentes et des renvois obligatoires à un examen secondaire. Un examen aussi minutieux peut aussi donner l’impression aux gens qu’ils ne bénéficient pas d’une protection égale de la loi, surtout lorsque ces effets sont subis à répétition par les mêmes voyageurs ou sont perçus comme étant imputables à des biais raciaux, religieux, ethniques ou autres. En outre, ces effets peuvent renforcer, perpétuer ou accentuer un désavantage, surtout un désavantage systémique ou historique.

Afin de remplir ses obligations en vertu de la LCDP, l’ASFC doit pouvoir démontrer qu’il existe une justification de bonne foi à cette différenciation négative. Or, elle n’a pas été capable de démontrer que son choix d’indicateurs était toujours fondé sur des renseignements récents, fiables et documentés ou empiriques. Cette faiblesse du lien entre les indicateurs et les menaces ou contraventions potentielles qu’ils visent à repérer crée un risque de discrimination.

Afin de remplir ses obligations aux termes de la Charte, l’ASFC doit aussi pouvoir démontrer que toute discrimination résultante constitue une limite raisonnable aux droits à l’égalité des voyageurs. Les mêmes lacunes que l’OSSNR a observé dans la justification de l’ASFC du lien entre certains indicateurs et les menaces ou les contraventions potentielles qu’ils visaient à repérer compromettent aussi sa capacité à démontrer le lien rationnel entre ses indicateurs de tri et les contraventions potentielles à sa législation frontalière. De plus amples renseignements sur la contribution du ciblage des passagers aériens à la sécurité nationale et sur sa valeur relative comparée à d’autres moyens de contrôle seraient aussi nécessaires pour déterminer si le ciblage des passagers aériens peut être justifié comme une limite raisonnable en vertu de la Charte.

Les lacunes que l’OSSNR a constatées découlent partiellement du manque de précision des documents du programme de l’ASFC et d’autres problèmes dans la tenue de dossier. Ils sont examinés dans la prochaine section.

Conclusion 3 : L’ASFC n’a pas toujours démontré qu’il existait une justification adéquate pour ses pratiques de triage aux fins de ciblage des passagers aériens. La faiblesse du lien entre les indicateurs utilisés pour trier les passagers et les menaces ou infractions potentielles que l’ASFC cherche à déceler engendre un risque que les pratiques de triage aux fins de ciblage des passagers aériens soient discriminatoires.

Recommandation 2 : L’OSSNR recommande que l’ASFC s’assure, de manière continue, que ses pratiques de tri sont basées sur des renseignements qui justifient l’utilisation de chaque indicateur. Cette justification devrait être bien documentée pour permettre de vérifier efficacement en interne et à l’externe si les pratiques de tri de l’ASFC sont conformes à ses obligations concernant la non- discrimination.

Recommandation 3 : L’OSSNR recommande que l’ASFC veille à ce que toutes les distinctions relatives au ciblage des passagers aériens qui sont basées sur des motifs protégés capables de renforcer, de perpétuer ou d’accentuer un désavantage constituent une limitation raisonnable des droits à l’égalité des voyageurs en vertu de la Charte.

Quelles mesures sont en place pour atténuer le risque de discrimination?

Les politiques, les procédures et le matériel de formation examinés n’outillaient pas adéquatement le personnel de l’ASFC pour reconnaître la discrimination potentielle ou atténuer les risques s’y rattachant dans l’exercice de ses fonctions.

Les politiques sur le ciblage des passagers aériens de l’ASFC établissaient une responsabilité à l’égard de la vie privée, des droits de la personne et de libertés civiles. Cependant, les politiques, les procédures et le matériel de formation n’étaient pas suffisamment détaillés afin d’outiller le personnel pour qu’il reconnaisse la discrimination potentielle ou atténue les risques s’y rattachant dans l’exercice de ses fonctions.

  • Les agents de ciblage n’ont pas reçu de formation spécifique aux droits de la personne.
  • Les politiques, les procédures et les autres lignes directrices de programme de l’ASFC n’étaient pas assez précises quant aux exigences ou aux procédures pour outiller le personnel de sorte qu’il atténue les risques liés à la discrimination. Tout particulièrement, l’information n’était pas suffisamment détaillée sur la façon d’associer des documents à l’appui à un scénario ou à une
  • Aucune politique, procédure ou ligne directrice n’a été élaborée pour le CLV outre les PON relatives au ciblage des passagers aériens, en particulier celles qui concernent la tenue de dossiers.

Les structures et les pratiques de surveillance qui ont été examinées n’étaient pas assez rigoureuses pour cerner et atténuer les risques de discrimination potentiels, et il n’y avait pas de données pertinentes pour cette tâche.

Bien que l’ASFC ait des structures et des pratiques de surveillance pour le ciblage des passagers aériens, la façon d’exécuter ces pratiques de surveillance n’était pas claire. L’OSSNR a observé plusieurs domaines où ces pratiques n’étaient peut-être pas assez rigoureuses pour bien cerner et atténuer les risques de discrimination potentiels.

  • Les scénarios ont été examinés du point de vue des implications quant aux politiques, à la législation, à la vie privée, aux droits de la personne et aux libertés civiles, au moment de leur activation et sur une base continue. Cependant, il n’est pas clair que ces fonctions de surveillance sont guidées par une bonne compréhension de ce qui constitue de la discrimination ou que tous les aspects pertinents des scénarios sont examinés.
  • Les scénarios sont régulièrement révisés individuellement. Toutefois, il n’est pas clair que les effets collectifs des activités de ciblage de l’ASFC aient aussi été évalués régulièrement.
  • On ne sait pas avec certitude si les fonctions de surveillance relatives à la non-discrimination sont exécutées dans le CLV.

De plus, l’ASFC ne recueille pas de données pertinentes pour bien vérifier si le ciblage des passagers aériens occasionne de la discrimination ou pour atténuer ses effets.

  • L’ASFC ne recueille pas de donnes démographiques désagrégées au sujet des passagers touchés à chaque étape du programme de ciblage des passagers aériens. Ces données seraient pertinentes pour déterminer si le programme peut entraîner des distinctions basées sur des motifs protégés ou s’il a des effets disproportionnés sur les membres des groupes protégés.
  • L’ASFC ne compare pas l’information sur ses pratiques de tri avec l’information pertinente pour comprendre leurs effets potentiels sur les voyageurs et si ces effets indiquent un problème dans ses pratiques de ciblage. Cela comprend de l’information indiquant si les plaintes au sujet d’une discrimination présumée à la frontière sont liées à des personnes désignées par ciblage des passagers aériens et si la nature des examens secondaires résultant du ciblage des passagers aériens peut être différente de celle des examens secondaires occasionnés par des renvois aléatoires ou autres.
  • L’ASFC ne recueille ni n’évalue des données sur le rendement ou des données sur ses effets par rapport à un groupe de référence pour contextualiser son analyse de cette information.

Conclusion 4 : Les politiques, les procédures et la formation de l’ASFC ne sont pas assez détaillées pour outiller adéquatement le personnel de l’ASFC afin qu’il reconnaisse les risques de discrimination et prenne les mesures appropriées pour les atténuer dans l’exercice de ses fonctions.

Conclusion 5 : Les structures et pratiques de contrôle de l’ASFC ne sont pas suffisamment rigoureuses pour cerner et atténuer, le cas échéant, les risques potentiels de discrimination. Cette situation est aggravée par l’absence de collecte et d’évaluation de données pertinentes.

L’apport d’un certain nombre de modifications aux politiques, aux procédures, à la formation et aux autres pratiques de surveillance actuelles relatives au programme de ciblage des passagers aériens aidera l’ASFC à réduire les risques de discrimination en veillant à ce que les distinctions découlant du tri initial des passagers soient basées sur des justifications adéquates appuyées par de l’information ou des renseignements empiriques. Un traitement plus détaillé de la discrimination dans la formation, les politiques, les lignes directrices et la surveillance du programme de ciblage des passagers aériens pourrait fournir au personnel, aux unités et aux comités de l’ASFC qui exécutent des fonctions de surveillance interne l’information dont ils peuvent avoir besoin pour les exercer correctement. On devrait porter une attention particulière aux points suivants :

  • comprendre les obligations de l’ASFC en matière de droits de la personne et comment les risques de discrimination doivent être reconnus et évalués;
  • déterminer dans quels cas les indicateurs de tri peuvent être liés à des motifs protégés;
  • veiller à ce toute différenciation négative soit basée sur un lien bien démontré entre les indicateurs et la menace ou la contravention potentielle;
  • s’assurer que le tri des voyageurs est guidé par des renseignements récents et fiables, avec de la formation sur la façon de déterminer si les documents à l’appui remplissent ces exigences;
  • déterminer et atténuer les effets des pratiques de tri des passagers pour qu’ils soient réduits au minimum et proportionnels à l’avantage acquis sur le plan de la sécurité publique ou de la sécurité nationale;
  • prendre des moyens pour que les effets du ciblage des passagers aériens ne renforcent, perpétuent ou accentuent indûment un désavantage;
  • créer les outils pour détecter et atténuer les biais potentiels en amassant et en évaluant des données pertinentes sur les pratiques de ciblage, leur rendement et leurs effets.

À cet égard, les obligations établies par le United Kingdom Public Sector Equality Duty peuvent être instructives. La fonction est procédurale et exige que les organismes publics (dont les autorités des douanes et de l’immigration) envisagent des façons d’éliminer la discrimination dans l’exercice de leurs fonctions. Les ministères doivent tenir compte de l’incidence potentielle de leurs décisions, politiques ou programmes et de la manière dont ceux-ci peuvent varier en fonction des motifs protégés, par exemple l’âge, le sexe, le genre, la race, l’origine ethnique ou nationale, la couleur ou la nationalité. En outre, cela crée l’obligation d’acquérir les renseignements pertinents, s’ils ne sont pas déjà disponibles, pour éviter la discrimination directe ou indirecte.

Il est important de préciser que toute collecte et analyse de données visant à reconnaître et à éviter la discrimination potentielle devrait être effectuée par une unité distincte, et non par le Centre national de ciblage. Les agents de ciblage ne devraient pas avoir accès aux données démographiques désagrégées lorsqu’ils effectuent le tri des passagers, car cela pourrait augmenter les risques de discrimination. L’ASFC le reconnaît dans son engagement à retirer les « données sensibles » au sujet de la santé ou de la vie sexuelle d’une personne de l’IPIV et des données du DP qu’elle importe dans ses systèmes de tri113. Cette précaution ne devrait pas empêcher les autres unités de l’ASFC de recueillir et d’examiner des données démographiques désagrégées et dépersonnalisées, y compris de réaliser une ACS+ qui pourrait réduire le risque de discrimination ou atténuer ses effets potentiels.

Recommandation 4 : L’OSSNR recommande que l’ASFC développe une surveillance plus robuste et plus régulière pour le ciblage des passagers aériens afin de garantir que ses pratiques ne sont pas discriminatoires. Cela devrait comprendre la mise à jour des politiques, des procédures, de la formation et d’autres lignes directrices de l’ASFC, s’il y a lieu.L’OSSNR recommande à l’ASFC d’exercer une surveillance plus rigoureuse et régulière du ciblage des passagers aériens afin de s’assurer que ses pratiques ne sont pas discriminatoires. Cela devrait aussi comprendre la mise à jour des politiques, des procédures, de la formation et des autres directives de l’ASFC, le cas échéant.

Recommandation 5 : L’OSSNR recommande que l’ASFC commence à recueillir et à analyser les données nécessaires pour reconnaître, évaluer et atténuer les risques de discrimination. Cela comprend des données démographiques désagrégées, des données sur les effets du ciblage des passagers aériens sur les examens secondaires qui peuvent ressortir des plaintes relatives aux droits de la personne, et des données sur un groupe de référence.

Conclusion

Les évaluations du risque préalable à l’arrivée réalisées dans le cadre du programme de ciblage des passagers aériens de l’ASFC renforcent la capacité de l’ASFC de contrôler les voyageurs entrants par rapport à une diversité d’enjeux d’application de la loi. Cependant, certains renseignements utilisés pour trier les passagers sont associés à des motifs protégés. Cela crée un risque que les passagers soient différenciés sur la base de motifs de distinction illicite. Le tri peut avoir une incidence négative sur l’emploi du temps, la vie privée et l’égalité du traitement des passagers, ce qui est susceptible de renforcer, de perpétuer ou d’accentuer un désavantage.

Afin de vérifier si l’ASFC respecte ses obligations en matière de non-discrimination, il est nécessaire de porter une attention particulière à la fiabilité des renseignements sur lesquels est fondé le choix des indicateurs utilisés pour trier leurs passagers et à leur lien avec les menaces et les contraventions potentielles qu’ils visent à repérer. Cela a des implications pour la sécurité nationale du Canada et aussi pour ses engagements internationaux concernant la lutte contre le terrorisme et le crime transnational grave ainsi que la vie privée et les droits de la personne.

L’OSSNR est convaincu que l’ASFC a le pouvoir légal de procéder au ciblage des passagers aériens. Cependant, l’OSSNR a observé des lacunes dans la documentation des activités de programme de l’ASFC à cause desquelles il a été difficile de vérifier si toutes les décisions de tri étaient conformes aux restrictions légales et réglementaires. À ces égards, il est essentiel d’améliorer la documentation pour réduire les futurs risques en matière de conformité, en veillant à ce que l’ASFC soit en mesure de vérifier si toutes les décisions de tri sont conformes à la Loi sur les douanes et au Règlement sur la protection des renseignements relatifs aux passagers.

L’OSSNR est convaincu que l’ASFC a le pouvoir légal de procéder au ciblage des passagers aériens. Cependant, l’OSSNR a observé des lacunes dans la documentation des activités de programme de l’ASFC à cause desquelles il a été difficile de vérifier si toutes les décisions de tri étaient conformes aux restrictions légales et réglementaires. À ces égards, il est essentiel d’améliorer la documentation pour réduire les futurs risques en matière de conformité, en veillant à ce que l’ASFC soit en mesure de vérifier si toutes les décisions de tri sont conformes à la Loi sur les douanes et au Règlement sur la protection des renseignements relatifs aux passagers.

Annexes

Constatations et recommandations

Constatations Recommandations
Conclusion 1 – L’utilisation par l’ASFC de l’IPV et des données des DP dans le CFS était conforme au paragraphe 107(3) de la Loi sur les douanes. Recommandation 1 – L’OSSNR recommande que l’ASFC documente ses pratiques de tri d’une manière qui permet de vérifier efficacement si toutes les décisions de tri respectent les restrictions législatives et réglementaires.
Conclusion 2 – L’ASFC ne documente pas ses pratiques de tri d’une manière qui permet de vérifier efficacement si toutes les décisions de tri respectent les restrictions législatives et réglementaires. Recommandation 2 – L’OSSNR recommande que l’ASFC s’assure, de manière continue, que ses pratiques de tri sont basées sur des renseignements qui justifient l’utilisation de chaque indicateur. Cette justification devrait être bien documentée pour permettre de vérifier efficacement en interne et à l’externe si les pratiques de tri de l’ASFC sont conformes à ses obligations concernant la non-discrimination.
Conclusion 3 – L’ASFC n’a pas toujours démontré qu’il existe une justification adéquate pour ses pratiques de tri du ciblage des passagers aériens. La faiblesse du lien entre les indicateurs utilisés pour trier les passagers et les menaces ou contraventions potentielles qu’ils visent à repérer crée le risque que les pratiques de tri du ciblage des passagers aériens soient discriminatoires. Recommandation 3 – L’OSSNR recommande que l’ASFC veille à ce que toutes les distinctions relatives au ciblage des passagers aériens qui sont basées sur des motifs protégés capables de renforcer, de perpétuer ou d’accentuer un désavantage constituent une limitation raisonnable des droits à l’égalité des voyageurs en vertu de la Charte.
Conclusion 4 – Les politiques, les procédures et la formation de l’ASFC ne sont pas assez détaillées pour outiller adéquatement le personnel de l’ASFC afin qu’il reconnaisse les risques de discrimination et prenne les mesures appropriées pour les atténuer dans l’exercice de ses fonctions. Recommandation 4 – L’OSSNR recommande que l’ASFC développe une surveillance plus robuste et plus régulière pour le ciblage des passagers aériens afin de garantir que ses pratiques ne sont pas discriminatoires. Cela devrait comprendre la mise à jour des politiques, des procédures, de la formation et d’autres lignes directrices de l’ASFC, s’il y a lieu.
Conclusion 5 – Les structures et les pratiques de surveillance de l’ASFC ne sont pas assez rigoureuses pour cerner et atténuer les risques de discrimination potentiels. Ce problème est aggravé par une collecte et une évaluation insuffisantes de données pertinentes. Recommandation 5 – L’OSSNR recommande que l’ASFC commence à recueillir et à analyser les données nécessaires pour reconnaître, évaluer et atténuer les risques de discrimination. Cela comprend des données démographiques désagrégées, des données sur les effets du ciblage des passagers aériens sur les examens secondaires qui peuvent ressortir des plaintes relatives aux droits de la personne, et des données sur un groupe de référence.

Pouvoirs de l’ASFC de recueillir et d’utiliser l’IPV et les données des DP dans le ciblage des passagers aériens

Pouvoir de recueillir les données
Loi sur les douanes, article 107.1, et LIPR, alinéa 148(1)d) Les transporteurs aériens sont tenus de fournir des « renseignements réglementaires » sur toute personne qui est ou devrait être à bord d’un vol arrivant au Canada.
Règlement sur les renseignements relatifs aux passagers (douanes), article 5, et Règlement sur l’immigration et la protection des réfugiés, paragraphe 269(1) Prescrivent les renseignements requis, lesquels constituent l’IPV et les données des DP.
Pouvoir d’utiliser les données
Loi sur les douanes, paragraphe 107(3)Un « renseignement douanier » (y compris l’IPV et les données des DP)115 peut être utilisé à trois fins :
• pour l’application ou l’exécution de la Loi sur les douanes, du Tarif des douanes ou des lois connexes;
• pour l’exercice des attributions conférées au ministre de la Sécurité publique sous le régime de la LIPR, notamment en matière d’identification de personnes et de détermination de leur admissibilité;
• pour l’application d’autres lois frontalières que le ministre de la Sécurité publique ou l’ASFC est autorisé à appliquer.
Loi sur l’immigration et la protection des réfugiés, alinéa 149a)L’IPV et les données des DP peuvent être utilisées à trois fins :
• pour l’application de la LIPR;
• pour l’application de la Loi sur le ministère de la Citoyenneté et de l’Immigration;
• en vue d’identifier l’individu sous le coup d’un mandat d’arrestation délivré au Canada.
Règlement sur la protection des renseignements relatifs aux passagers, article 4 L’IPV et les données des DP fournies à l’ASFC en vertu de la Loi sur l’immigration et la protection des réfugiés peuvent être utilisées à deux fins :
• identifier les personnes qui ont commis ou pourraient avoir commis une infraction de terrorisme ou un crime transnational grave;
• effectuer des analyses des tendances ou élaborer des indicateurs de risque pour cette fin.

Dispositions fréquemment invoquées dans les modèles de scénarios

Le tableau ci-dessous résume les principales dispositions invoquées en lien avec les contraventions potentielles dans les modèles de scénario. [***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle décrivait le nombre de scénarios qui étaient actifs le 26 mai 2021.***]Cinq des dispositions qui ont été mentionnées dans les contraventions potentielles n’établissaient pas de lien clair entre un crime transnational grave ou une infraction de terrorisme selon le Règlement sur la protection des renseignements relatifs aux passagers. Elles sont marquées en orange et décrites plus bas.

Disposition Description Selon la Loi sur les douanes Selon le RPRP
LIPR, art. 20 Présentation de visa ou d’autres documents Oui Oui*
LIPR, art. 34 Interdiction de territoire pour des raisons de sécurité nationale Oui Oui
LIPR, art. 35 Interdiction de territoire pour violation des droits de l’homme Oui Oui
LIPR, art. 36 Interdiction de territoire pour criminalité grave Oui Oui
LIPR, art. 37 Interdiction de territoire pour criminalité organisée Oui Oui
LIPR, art. 40 Inadmissible, misrepresentation Oui Oui*
LIPR, art. 41 Interdiction de territoire pour manquement à la LIPR Oui Oui*
LIPR, art. 117 Passage de clandestins Oui Oui
LIPR, art. 118 Traite des personnes Oui Oui
Loi sur les douanes, art. 159 Contrebande de marchandises Oui Oui
Loi sur les douanes, art. 12 Déclaration de marchandises Oui Oui*
Loi sur les douanes, art. 13 Réponses véridiques aux questions et présentation des marchandises Oui Oui*
Tarif des douanes, 9899.00.00 Propagande haineuse ou terroriste, matériel de nature à fomenter la sédition Oui Oui
LRPCFAT, art. 12 Déclaration d’espèces Oui Oui
LRPCFAT, art. 14 Infractions générales Oui Oui

L’article 20 de la LIPR concerne l’exigence pour les ressortissants étrangers d’avoir en leur possession les bons documents pour entrer au Canada ou y séjourner. Puisque les contraventions à la LIPR, lorsqu’une pénalité n’est pas précisée (p. ex. l’article 20), sont punissables par une peine d’emprisonnement d’une durée maximale de deux ans, en vertu des articles 124 et 125 de la LIPR, cette contravention ne répond pas à la définition de crime transnational grave.

L’article 40 de la LIPR indique qu’un ressortissant étranger est interdit de territoire au Canada s’il fait de fausses déclarations. Le lien avec un crime transnational grave serait plus clair en invoquant les dispositions qui établissent les fausses déclarations comme une infraction en vertu des articles 127 et 128 de la LIPR.

L’article 41 de la LIPR indique qu’un ressortissant étranger est interdit de territoire s’il manque à la LIPR. Le manquement à LIPR n’est pas en soi une infraction de terrorisme ou un crime transnational grave. De plus amples détails sur l’enjeu d’application de la loi sont nécessaires pour établir un tel lien.

Les articles 12 et 13 de la Loi sur les douanes concernent l’obligation des voyageurs de déclarer les marchandises et de répondre véridiquement aux questions. La référence à la disposition relative aux peines à l’alinéa 160(1)b) indique qu’il s’agit d’une infraction grave. L’invocation de ces articles pour justifier l’utilisation des données des DP peut poser problème, mais ces articles ont trait à une conduite future, alors que l’article 4 du Règlement sur la protection des renseignements relatifs aux passagers met l’accent sur la conduite passée (« ont commis ou pourraient avoir commis » de tels gestes). Les craintes concernant les marchandises interdites ou la possible contrebande de marchandises peuvent aussi mentionner de façon plus appropriée l’article 159 de la Loi sur les douanes et le Tarif des douanes, élément 9899.00.00.

Exemples d’utilisation par l’ASFC d’indicateurs liés aux motifs protégés

Le tableau ci-dessous présente des exemples associés au CFS et au CLV des façons dont l’ASFC utilise les indicateurs créés à partir de l’IPV et des données des DP qui correspondent ou s’apparentent de près aux motifs que sont l’origine nationale ou ethnique, l’âge et le sexe, lesquels sont des motifs de distinction illicite en vertu de la Loi canadienne sur les droits de la personne et de la Charte. L’ASFC compte souvent sur plus d’un indicateur de ce genre (voir la section 6.2.2.1). On traite du fondement de l’utilisation de tels indicateurs par l’ASFC à la section 6.2.2.3.

[***Phrase caviardée pour retirer l’information privilégiée ou préjudiciable. Elle donne des statistiques sur le nombre de scénarios qui utilisent des indicateurs associés à des motifs protégés pour l’origine nationale ou ethnique, l’âge et le sexe.***]

Share this page
Date de modification :

Examen du ciblage des passagers aériens par l’Agence des services frontaliers du Canada (ASFC) – Réponses du Gouvernement

Recommandation 1 de l'OSSNR : L’OSSNR recommande à l’ASFC de documenter ses pratiques de triage d’une manière qui permette de vérifier efficacement si toutes les décisions de triage sont conformes aux restrictions légales et réglementaires.

Réponse du GC : D’accord. L’ASFC procédera à un examen de ses pratiques de triage aux fins de ciblage des passagers aériens afin de s’assurer qu’elles permettent de vérifier efficacement le respect des restrictions légales et réglementaires.

Recommandation 2 de l'OSSNR : L’OSSNR recommande que l’ASFC s’assure, de manière continue, que ses pratiques de tri sont basées sur des renseignements qui justifient l’utilisation de chaque indicateur. Cette justification devrait être bien documentée pour permettre de vérifier efficacement en interne et à l’externe si les pratiques de tri de l’ASFC sont conformes à ses obligations concernant la non- discrimination.

Réponse du GC : D’accord. Bien que nous soyons convaincus que les pratiques de triage et de ciblage sont justifiées, l’ASFC reconnaît que de meilleures pratiques de documentation pourraient être mises en œuvre pour permettre une vérification interne et externe efficace de la conformité des pratiques de triage de l’ASFC à ses obligations en matière de non discrimination. Le cadre de gouvernance du ciblage fondé sur des scénarios de l’ASFC sera mis à jour pour inclure de l’information ou du renseignement qui justifie l’utilisation de chaque indicateur. Des examens annuels des scénarios continueront d’être effectués et documentés afin de confirmer que chaque scénario actif est étayé par du renseignement récent et fiable.

Recommandation 3 de l'OSSNR : L’OSSNR recommande à l’ASFC de s’assurer que toute distinction liée au ciblage des passagers aériens pour des motifs de distinction illicite, susceptible de renforcer, de perpétuer ou d’exacerber un désavantage, constitue une restriction raisonnable aux droits à l’égalité des voyageurs garantis par la Charte.

Réponse du GC : D’accord. L’ASFC examinera ses pratiques en matière de ciblage des passagers aériens afin de s’assurer que les distinctions fondées sur des motifs de distinction illicite sont raisonnables et peuvent être justifiées de manière démontrable dans le contexte de l’administration frontalière et de l’exécution de la loi.

Recommandation 4 de l'OSSNR : L’OSSNR recommande que l’ASFC développe une surveillance plus robuste et plus régulière pour le ciblage des passagers aériens afin de garantir que ses pratiques ne sont pas discriminatoires. Cela devrait comprendre la mise à jour des politiques, des procédures, de la formation et d’autres lignes directrices de l’ASFC, s’il y a lieu.L’OSSNR recommande à l’ASFC d’exercer une surveillance plus rigoureuse et régulière du ciblage des passagers aériens afin de s’assurer que ses pratiques ne sont pas discriminatoires. Cela devrait aussi comprendre la mise à jour des politiques, des procédures, de la formation et des autres directives de l’ASFC, le cas échéant.

Réponse du GC : D’accord. L’ASFC reconnaît que les politiques, les procédures, la formation et les autres directives, le cas échéant, peuvent être améliorées pour assurer une surveillance rigoureuse et régulière du ciblage des passagers aériens afin de garantir que ses pratiques ne sont pas discriminatoires. L’ASFC procédera à un examen de ses politiques, de ses procédures, de ses lignes directrices et de sa formation afin de s’assurer que les pratiques ne sont pas discriminatoires.

Recommandation 5 de l'OSSNR : L’OSSNR recommande que l’ASFC commence à recueillir et à analyser les données nécessaires pour reconnaître, évaluer et atténuer les risques de discrimination. Cela comprend des données démographiques désagrégées, des données sur les effets du ciblage des passagers aériens sur les examens secondaires qui peuvent ressortir des plaintes relatives aux droits de la personne, et des données sur un groupe de référence.

Réponse du GC : D’accord. À cette fin, l’ASFC prend des mesures délibérées pour renforcer sa capacité à recueillir et à analyser des données fiables et exactes de manière non intrusive. L’Agence s’emploie à élaborer des positions et des cadres normalisés et cohérents pour la collecte, l’utilisation, la gestion et la gouvernance des données ventilées, à mettre au point des paramètres et des indicateurs pour mesurer l’incidence des décisions et des politiques sur différents groupes, à utiliser des données pour élaborer des politiques et des stratégies plus inclusives et plus représentatives, et à repérer les cas possibles de discrimination et de préjugés.

Share this page
Date de modification :

Examen des communications d’information par les institutions fédérales au titre de la Loi sur la communication d’information ayant trait à la sécurité du Canada en 2022 – Réponses du Gouvernement

Réponses

Examen des communications d’information par les institutions fédérales au titre de la Loi sur la communication d’information ayant trait à la sécurité du Canada en 2022 – Réponses du Gouvernement


Réponse du gouvernement du Canada aux recommandations de l’examen de l’OSSNR des communications d’information par des institutions fédérales au titre de la Loi sur la communication d’information ayant trait à la sécurité du Canada (« LCISC ») en 2022

Recommandation de l’OSSNR Conclusion(s) connexe(s) Réponse du gouvernement Justification
1. L’OSSNR recommande que des ententes de communication d’information soient utilisées pour régir les communications régulières faites au titre de la LCISC entre AMC et le SCRS, entre IRCC et le SCRS et entre IRCC et le CST. Constatation no 1 : L’OSSNR a constaté que le CST, le SCRS, AMC et IRCC font régulièrement usage de la LCISC d’une manière qui justifie la conclusion d’ententes de communication d’information, comme l’encourage l’alinéa 4c) de la LCISC. D’accord Le gouvernement du Canada reconnaît la valeur des ententes d'échange de renseignements pour faciliter l'échange efficace et responsable de renseignements entre les institutions fédérales qui divulguent fréquemment des renseignements de nature similaire en vertu de la LCISC. En réponse à cette recommandation et en consultation avec les institutions bénéficiaires désignées dans le cadre de la LCISC, Sécurité publique Canada a élaboré un modèle d'entente d'échange de communication d’information.

Ce modèle a été examiné par le Commissariat à la protection de la vie privée du Canada et a été évalué spécifiquement contre LCISC, la Loi sur la Protection des Renseignements Personnels, les dix principes de l’Association canadienne de normalisation du Code Modèle de la protection des renseignements personnels, les politiques, normes, directives et lignes directrices applicables du Secrétariat du Conseil du Trésor du Canada et des pratiques exemplaires reconnues à l'échelle internationale.

Sécurité publique Canada a diffusé ce modèle aux institutions fédérales, y compris celles nommées dans les conclusions et recommandations de l'OSSNR, afin qu'elles puissent l'adapter à leur environnement opérationnel unique et aux types de renseignements qu'elles divulguent et reçoivent fréquemment, tout en continuant à respecter la Charte, la Loi sur la Protection des Renseignements Personnels, la LCISC, ainsi que d'autres politiques, lois et réglementations pertinentes.

En outre, plusieurs ministères et agences ont déjà conclu des accords de partage d'informations pour faciliter la communication d'informations dans le cadre de la LCISC. Par exemple, le SCRS et l'AMC ont conclu un accord de partage d'informations en 2016 dans le cadre de la 1ere itération de la LCISC (le précurseur de la LCISC). Cet accord décrit les types d'informations que l'AMC peut partager avec le SCRS. Bien qu'il soit toujours en vigueur, il fait actuellement l'objet d'un examen pour s'assurer que son champ d'application reste d'actualité. Le SCRS et l'IRCC mènent actuellement des discussions préliminaires en vue d'établir un accord de partage d'informations pour traiter des divulgations dans le cadre de la LCISC. IRCC et le CST ont également signé récemment un accord de partage d'informations, comme l'a recommandé le rapport annuel de 2020 de la LCISC.

2. L’OSSNR recommande à toutes les institutions fédérales de préparer un aperçu des documents afin de s’assurer de répondre aux exigences des paragraphes 9(1) et 9(2) de la LCISC et de le lui faire parvenir accompagné d’une copie de la communication proprement dite et, s’il y a lieu, d’une copie de la demande.
Constatation no 2 : L’OSSNR a constaté que l’ASFC, le MDN/FAC et IRCC ont contrevenu au paragraphe 9(3) de la LCISC, car ils ne lui ont pas fourni tous les documents produits en vertu des paragraphes 9(1) et 9(2) dans les délais prescrits par la Loi.

Constatation no 3 : L’OSSNR a constaté une amélioration des résultats en matière de conformité dans les cas où les ministères ont préparé des tableaux sommaires des communications présentant un aperçu des documents, conformément aux paragraphes 9(1) et 9(2) de la LCISC. Ces tableaux présentaient les caractéristiques suivantes :

  • une ligne pour chaque communication faite ou reçue;
  • des colonnes explicitement liées à chacun des alinéas de l’article 9;
  • des colonnes supplémentaires pour saisir des détails administratifs pertinents tels que le fait de savoir si la communication a été demandée ou faite de façon proactive, la date de la demande (le cas échéant) et tout numéro de référence de dossier applicable.
D’accord Le gouvernement du Canada reconnaît l'importance de conserver des dossiers sur les divulgations et les reçus de la LCISC, comme l'exige la Loi.

Sécurité publique Canada aide ses partenaires à adopter les meilleurs pratiques qui facilitent l'examen et améliorent la conformité. Les partenaires du gouvernement du Canada mettent en oeuvre les directives de Sécurité publique Canada d'une manière qui est conforme à la LCISC et qui correspond le mieux à leur mandat et à leurs procédures internes.

En mars 2023, le Guide étape par étape de LCISC 2022 (« Guide LCISC 2022 ») a été mis à jour et publié sur la page Web publique de Sécurité publique Canada. Le Guide sur la LCISC 2022 comprend des modèles qui aident les institutions fédérales à respecter leurs exigences en matière de conservation de documents. Sécurité publique Canada continuera d'examiner et de mettre à jour les ressources existantes de la LCISC, y compris les conseils relatifs à la tenue des dossiers. Sécurité publique Canada a également fait circuler un modèle d'aperçu des dossiers que le NSIRA a trouvé particulièrement efficace au cours de son examen 2022.

En outre, le SCRS a élaboré une politique claire et des lignes directrices ultérieures sur la manière de traiter et de documenter les divulgations d'informations conformément à la LCISC, y compris l'obligation de conserver une vue d'ensemble des dossiers avec un modèle associé. Ce modèle a été ajusté pour plus de clarté sur la base des commentaires de l'examen 2022 de l'OSSNR. L'ASFC et l’IRCC ont également examiné leurs pratiques opérationnelles et de déclaration actuelles en ce qui concerne la LCISC et procèdent aux ajustements fonctionnels nécessaires pour s'assurer qu'elles restent conformes lors des futures activités d'échange d'informations.

3. L’OSSNR recommande que les institutions qui communiquent de l’information tiennent compte explicitement des exigences des alinéas 5(1)a) et 5(1)b) dans les documents qu’elles préparent au titre de l’alinéa 9(1)e) de la LCISC.
Constatation no 5 : L’OSSNR a constaté que plus de la moitié des descriptions fournies par l’ASFC et IRCC au titre de l’alinéa 9(1)e) de la LCISC ne faisaient pas explicitement état de leur certitude que la communication avait été autorisée en vertu de l’alinéa 5(1)b), c’est à dire qu’elle satisfaisait au critère de proportionnalité.

Constatation no 6 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.

D’accord Le gouvernement du Canada reconnaît l'importance des critères de contribution et de proportionnalité de la LCISC aux articles 5(1)a) et 5(1)b), respectivement. De même, il reconnaît la nécessité pour les institutions divulgatrices de démontrer qu'elles satisfont à ces deux articles pour chaque divulgation en fournissant à l'OSSNR une description des renseignements sur lesquels elles se sont appuyées pour s'assurer que la divulgation était autorisée en vertu de la LCISC.

En publiant le Guide 2022 sur la LCISC et en organisant des séances de formation, Sécurité publique Canada a donné des conseils aux institutions fédérales pour s'assurer que les critères de contribution et de proportionnalité sont respectés lors de la divulgation d'informations en vertu de la LCISC.

Récemment, IRCC a ajouté une nouvelle section " Proportionnalité " à son modèle de la LCISC pour exiger que le fonctionnaire délégué documente sa satisfaction que la communication d’information est autorisée en vertu de l'article 5(1)(b) avant de divulguer des renseignements personnels à une institution destinataire.

En plus de devoir satisfaire aux critères de contribution et de proportionnalité, le SCRS évalue de manière indépendante son pouvoir de recueillir et de conserver la communication d’information en vertu de la Loi sur le SCRS en tant qu'institution destinataire. Cela inclut l'obligation pour le SCRS de s'assurer que la collecte et la conservation d'une divulgation sous la LCISC sont conformes à toutes les lois pertinentes, y compris la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères. La procédure de la LCISC publiée en 2022 comprend des instructions sur le traitement des divulgations qui n'atteignent pas le seuil de collecte du SCRS, en veillant à ce que la divulgation soit correctement documentée et détruite.

4. L’OSSNR recommande aux institutions fédérales qui envisagent d’avoir recours à des communications proactives en vertu de la LCISC de contacter l’institution destinataire avant de procéder afin d’éclairer leurs évaluations au titre du paragraphe 5(1). Constation no 7 : L’OSSNR a constaté qu’AMC s’était assuré du respect du critère de contribution de l’alinéa 5(1)a) de la LCISC sur la base d’une mauvaise compréhension du mandat de sécurité nationale du destinataire dans deux cas. D’accord Le gouvernement du Canada reconnaît la valeur des discussions générales informelles avant les divulgations dans le cadre de la LCISC.

Le Guide sur la LCISC 2022 souligne l'importance des consultations préliminaires de haut niveau entre les institutions divulgatrices et les institutions bénéficiaires avant une divulgation qui ne constitue pas en soi une divulgation. Le guide précise que la communication informelle ne doit inclure que suffisamment d'informations générales pour s'assurer que les seuils de contribution et de proportionnalité de la LCISC sont atteints avant de procéder à une divulgation.

L'annexe F du Guide sur la LCISC 2022 décrit les mandats de sécurité nationale des institutions bénéficiaires désignées dans le cadre de la LCISC. Sécurité publique Canada s'efforce de tenir les mandats à jour afin d'aider les institutions divulgatrices à effectuer l'évaluation requise en vertu du paragraphe 5(1).

5. L’OSSNR recommande à toutes les institutions qui communiquent de l’information d’inclure les déclarations concernant l’exactitude et la fiabilité dans le document où se trouve l’information communiquée.
Constatation no 8 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que l’ASFC et AMC (dans une et deux communications, respectivement) n’avaient pas respecté l’exigence prévue au paragraphe 5(2) de la LCISC, qui consiste à fournir une déclaration concernant l’exactitude et la fiabilité.

Constatation no 9 : L’OSSNR a constaté, en ce qui concerne les autres communications faisant partie de l’échantillon, qu’AMC, IRCC et la GRC incluaient leurs déclarations concernant l’exactitude et la fiabilité dans le corps des communications, tandis que l’ASFC fournissait ses déclarations dans les lettres d’accompagnement des communications.

D’accord Le gouvernement du Canada note que le fait de fournir des déclarations sur l'exactitude et la fiabilité de la manière dont l'information a été obtenue dans une lettre d'accompagnement ou dans la divulgation elle-même répond à l'exigence législative du paragraphe 5(2) selon laquelle les institutions divulgatrices doivent fournir une telle déclaration.

Le gouvernement du Canada reconnaît la valeur ajoutée de l'inclusion des déclarations dans la divulgation elle-même, en particulier dans le cas d'une divulgation ultérieure. Sécurité publique Canada mettra à jour ses directives pour refléter cette meilleure pratique.

6. L’OSSNR recommande aux institutions fédérales de revoir leurs processus administratifs pour l’envoi et la réception de communications d’information au titre de la LCISC, en plus de modifier leurs pratiques qui entraînent des retards.
Constatation no 10 : L’OSSNR a constaté que le MDN/FAC a détruit des renseignements personnels au titre du paragraphe 5.1(1) de la LCISC, mais n’a pas respecté l’exigence selon laquelle cela doit être fait « dès que possible après leur réception ».

Constatation no 11 : L’OSSNR a constaté des retards, en relation d’au moins 20 % des communications (n=34), entre le moment où une communication a été autorisée et le moment où la personne désignée par le responsable de l’institution destinataire l’a reçue.

D’accord Le gouvernement du Canada reconnaît la nécessité de détruire les informations inutiles dès que possible dans le cadre de la LCISC, ainsi que la valeur des divulgations opportunes.

Les institutions du gouvernement du Canada ont chacune leurs propres systèmes, normes et procédures pour l'envoi et la réception d'informations par voie physique ou électronique. Les ministères et les agences s'efforceront de revoir leurs propres processus afin de s'assurer que les informations sont traitées de manière efficace et appropriée, conformément à la LCISC et à d'autres lois.

Share this page
Date de modification :

Examen de 2020 portant sur la mise en oeuvre par les ministères de la loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères

Examens Terminés

Examen de 2020 portant sur la mise en oeuvre par les ministères de la loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères


Fiche d’information

La Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi) et les instructions connexes visent à empêcher que de mauvais traitements soient infligés à un individu à la suite d’un échange de renseignements entre un ministère du gouvernement du Canada et une entité étrangère. Les instructions reposent en grande partie sur la question consistant à savoir s’il existe un risque sérieux et, le cas échéant, si ce risque peut être atténué. Pour ce faire, une série d’exigences à respecter et à mettre en oeuvre lors de la manipulation de renseignements sont énoncées dans la Loi et les instructions. Le présent examen couvre la période de mise en oeuvre des instructions envoyées à douze ministères et organismes, soit du 1er janvier 2020, date d’entrée en vigueur des instructions, au 31 décembre 2020, date de fin de l’année civile. L’examen a été réalisé en application du paragraphe 8(2.2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi de L’OSSNR), selon lequel l’OSSNR doit examiner, chaque année civile, la mise en oeuvre des instructions énoncées dans la Loi.

La présente fait état du premier examen en lien avec la Loi portant sur une année civile complète. Bon nombre des ministères faisant l’objet de l’examen ont indiqué que la pandémie avait eu une incidence sur leurs activités d’échange de renseignements, donc sur le nombre de dossiers nécessitant un examen approfondi au titre de la Loi. Par conséquent, l’OSSNR a constaté qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier relatif à la Loi n’a été acheminé à l’administrateur général d’un ministère.

Dans le cadre de l’examen, l’OSSNR a examiné les processus de tri des dossiers pour les douze ministères. L’OSSNR a constaté que, certes, les ministères avaient recours à des méthodes et à des sources d’information semblables pour déterminer si le dossier d’un pays à risque devait être acheminé ou non à un échelon supérieur. Toutefois, l’OSSNR a également constaté que pour un même pays à risque, les évaluations faites par chacun des ministères pouvaient mener des conclusions et à des niveaux d’approbation divergents.

Conformément à son Rapport annuel de 2020 – qui mettait l’accent sur l’adoption d’une approche selon laquelle il convient de « faire confiance, mais aussi de vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR continue d’élaborer diverses stratégies de vérification en collaboration avec l’appareil canadien du renseignement. Toutefois, compte tenu des contraintes liées à la pandémie de COVID-19, la mise en oeuvre de processus de vérification n’a pas été possible au sein des douze ministères visés par la Loi. Cependant, l’information fournie par les ministères a été vérifiée de manière indépendante par l’OSSNR par le biais d’analyses de documents et, le cas échéant, de réunions avec des experts ministériels. D’autres travaux sont en cours afin de poursuivre l’élaboration d’un modèle d’accès pour la vérification indépendante des informations assujetties aux termes la Loi.

Date de publication :

Sommaire

La Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi) et les instructions connexes visent à empêcher que de mauvais traitements soient infligés à un individu à la suite d’un échange de renseignements entre un ministère du gouvernement du Canada et une entité étrangère. Les instructions reposent en grande partie sur la question consistant à savoir s’il existe un risque sérieux et, le cas échéant, si ce risque peut être atténué. Pour ce faire, une série d’exigences à respecter et à mettre en oeuvre lors de la manipulation de renseignements sont énoncées dans la Loi et les instructions. Le présent examen couvre la période de mise en oeuvre des instructions envoyées à douze ministères et organismes, soit du 1er janvier 2020, date d’entrée en vigueur des instructions, au 31 décembre 2020, date de fin de l’année civile. L’examen a été réalisé en application du paragraphe 8(2.2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi de L’OSSNR), selon lequel l’OSSNR doit examiner, chaque année civile, la mise en oeuvre des instructions énoncées dans la Loi.

La présente fait état du premier examen en lien avec la Loi portant sur une année civile complète. Bon nombre des ministères faisant l’objet de l’examen ont indiqué que la pandémie avait eu une incidence sur leurs activités d’échange de renseignements, donc sur le nombre de dossiers nécessitant un examen approfondi au titre de la Loi. Par conséquent, l’OSSNR a constaté qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier relatif à la Loi n’a été acheminé à l’administrateur général d’un ministère.

L’OSSNR était satisfait des mesures prises par bon nombre des nouveaux ministères visés par la Loi pour établir leurs cadres. Toutefois, l’Agence des services frontaliers du Canada (ASFC) et Sécurité publique Canada (SP) n’ont pas achevé leurs cadres de politique à l’appui des instructions données au titre de la Loi pour la période visée par l’examen.

Dans le cadre de l’examen, l’OSSNR a examiné les processus de tri des dossiers pour les douze ministères. L’OSSNR a constaté que, certes, les ministères avaient recours à des méthodes et à des sources d’information semblables pour déterminer si le dossier d’un pays à risque devait être acheminé ou non à un échelon supérieur. Toutefois, l’OSSNR a également constaté que pour un même pays à risque, les évaluations faites par chacun des ministères pouvaient mener des conclusions et à des niveaux d’approbation divergents.

L’OSSNR a examiné le dossier d’une demande envoyée à AMC et au SCRS pour en déterminer les répercussions en considération de la Loi. Même si, au bout du compte, les renseignements n’ont pas été communiqués à l’entité étrangère requérante, l’OSSNR a tout de même estimé que le risque de mauvais traitements était sérieux et que la décision aurait dû être renvoyée au sous-ministre des Affaires étrangères, qui était la personne compétente dans le cas de cette demande.

Les mesures d’atténuation auxquelles les ministères ont eu recours ont également été examinées dans le cadre du présent examen, puisqu’elles font partie intégrante du processus d’échange de renseignements des ministères. L’OSSNR a constaté qu’il existait des lacunes quant à la capacité des ministères de vérifier si un pays ou une entité a respecté les réserves ou les garanties, puisqu’il était difficile d’assurer le suivi du respect des mesures d’atténuation.

L’OSSNR estime maintenant être en mesure de mener des études de cas approfondies sur le respect de la Loi et des instructions par chaque ministère, peu importe si un ministère a renvoyé des dossiers à son administrateur général. Enfin, d’autres examens suivront sur la mise en oeuvre des recommandations antérieures de l’OSSNR.

Conformément à son Rapport annuel de 2020 – qui mettait l’accent sur l’adoption d’une approche selon laquelle il convient de « faire confiance, mais aussi de vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR continue d’élaborer diverses stratégies de vérification en collaboration avec l’appareil canadien du renseignement. Toutefois, compte tenu des contraintes liées à la pandémie de COVID-19, la mise en oeuvre de processus de vérification n’a pas été possible au sein des douze ministères visés par la Loi. Cependant, l’information fournie par les ministères a été vérifiée de manière indépendante par l’OSSNR par le biais d’analyses de documents et, le cas échéant, de réunions avec des experts ministériels. D’autres travaux sont en cours afin de poursuivre l’élaboration d’un modèle d’accès pour la vérification indépendante des informations assujetties aux termes la Loi.

Pouvoirs

Le présent examen a été réalisé en application du paragraphe 8(2.2) de la Loi sur l’OSSNR, selon lequel l’OSSNR doit examiner, chaque année civile, la mise en oeuvre des instructions données en vertu de la Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi).

Introduction

Mise en contexte de l’examen

Des ministères et des organismes du gouvernement du Canada échangent couramment de l’information avec diverses entités étrangères. Toutefois, de telles pratiques peuvent parfois entraîner un risque de mauvais traitements infligés, entre autres, à des personnes faisant l’objet de ces échanges. Par conséquent, il incombe au gouvernement du Canada d’évaluer et d’atténuer les risques que cet échange comporte.

En 2011, le gouvernement du Canada a mis en oeuvre un cadre général pour gérer les risques de mauvais traitements lors de l’échange de renseignements avec des entités étrangères. Ce cadre visait à établir une approche cohérente et uniforme à l’échelle du gouvernement, lorqu’il sagit de transmettre ou de recevoir des renseignements dans le cadre d’échanges avec des entités étrangères. Une directive ministérielle a ensuite été publiée en 2011, à l’intention des ministères concernés (Échange de renseignements avec des entités étrangères), puis a été suivie d’une autre en 2017 (Éviter la complicité dans les cas de mauvais traitements par des entités étrangères).

Le 13 juillet 2019, la Loi est entrée en vigueur. Le préambule de la Loi reconnaît les engagements du Canada à l’égard de la Charte canadienne des droits et libertés, ainsi que les obligations juridiques internationales du pays pour ce qui est de prévenir les actes de torture et autres traitements cruels et inhumains. La Loi reconnaît également la nécessité d’échanger des renseignements pour permettre au gouvernement de s’acquitter de sa responsabilité fondamentale de protéger la sécurité nationale et la sécurité des Canadiens et des Canadiennes.

Le 4 septembre 2019, conformément à l’article 3 de la Loi, le gouverneur en conseil a donné des instructions écrites (décrets ou instructions) aux administrateurs généraux de douze ministères et organismes, dont six nouvelles entités canadiennes qui se sont ajoutées à celles qui avaient déjà reçu les directives de 2011 et de 2017.

Le présent rapport constitue le premier rapport de l’OSSNR pour une année complète sur la mise en oeuvre des instructions délivrées en vertu de la Loi en 2020. L’examen se fonde sur deux examens antérieurs ayant porté sur la complicité dans les cas de mauvais traitements. Le premier visait les directives ministérielles de 2017 et l’autre, les instructions transmises en vertu de la Loi, mais seulement sur une période de quatre mois, de la date d’entrée en vigueur des instructions à la fin de l’année 2019.

La Loi et les instructions

La Loi et les instructions connexes visent à éviter que de mauvais traitements soient infligés à un individu à la suite d’un échange de renseignements entre un ministère ou un organisme du gouvernement du Canada et une entité étrangère. La Loi et les instructions visent également à limiter l’utilisation de renseignements vraisemblablement obtenus à la suite de mauvais traitements infligés à un individu par une entité étrangère.

Conformément au paragraphe 3(1) de la Loi, les instructions données aux douze ministères et organismes sont formulées de la même façon et portent sur les trois aspects de la manipulation des renseignements dans le cadre des interactions avec une entité étrangère : la transmission de renseignements, la demande de renseignements et l’utilisation des renseignements reçus.

En ce qui concerne la transmission de renseignements, les instructions données prévoient ce qui suit :

[L’administrateur général] veille, à l’égard de tout renseignement dont la communication à une entité étrangère entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, à ce que les fonctionnaires [du ministère] ne communiquent le renseignement que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.

En ce qui concerne les demandes de renseignements, les instructions données prévoient ce qui suit :

[L’administrateur général] veille à ce que les fonctionnaires [du ministère] ne fassent de demande de renseignements, à une entité étrangère, qui entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.

[L’administrateur général] veille à ce que les fonctionnaires [du ministère] ne fassent de demande de renseignements, à une entité étrangère, qui entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.

[L’administrateur général] veille à ce que les renseignements vraisemblablement obtenus par suite de mauvais traitements infligés à un individu par une entité étrangère ne soient utilisés par [le ministère] :
a) ni de façon à engendrer un risque sérieux de mauvais traitements additionnels;
b) ni comme éléments de preuve dans des procédures judiciaires, administratives ou autres;
(c) ni de façon à priver une personne de ses droits ou libertés, sauf si [l’administrateur général] ou, dans des circonstances exceptionnelles, un haut fonctionnaire [du ministère] qu’il désigne juge cette utilisation nécessaire pour éviter des pertes de vie ou des lésions corporelles et l’autorise à cette fin.

Le paragraphe 3(1) de la Loi et les instructions reposent en grande partie sur la question consistant à savoir s’il existe un risque sérieux. Pour décider s’il transmet ou demande des renseignements, un ministère doit établir s’il existe un risque sérieux et, le cas échéant, si le risque peut être atténué. Comme indiqué dans les examens antérieurs sur l’échange de renseignements, il n’y a aucune définition de « risque sérieux » dans la Loi. Lorsqu’ils effectuent des évaluations en vertu de la Loi, les ministères doivent prendre comme point de départ une définition énoncée dans les instructions de 2017. En l’occurrence, celles-ci définissent le terme « risque sérieux » comme suit :

qu’une personne court un risque personnel, actuel et prévisible de subir de mauvais traitements. Pour pouvoir être qualifié de « sérieux », un risque doit être réel et ne pas être uniquement théorique ou spéculatif. Dans la plupart des cas, l’existence d’un risque sérieux est établie s’il est plus probable qu’improbable que de mauvais traitements soient infligés à une personne. Cependant, dans certains cas, en particulier lorsqu’une personne risque de subir un préjudice grave, l’existence du « risque sérieux » peut être établie à un niveau de probabilité inférieure.

Suivant le résultat des analyses, on peut décider d’approuver ou de rejeter un dossier ou encore de le porter à l’attention de l’administrateur général aux fins d’examen. Il importe également de déterminer s’il existe un risque sérieux lors de l’utilisation de renseignements obtenus d’une entité étrangère. Si l’on estime que les renseignements auraient vraisemblablement été obtenus à la suite de mauvais traitements infligés à un individu, le ministère est tenu de s’abstenir d’utiliser lesdits renseignements dans la mesure où ceux-ci poseraient le risque sérieux que d’autres mauvais traitements soient infligés.

Conformément aux instructions, on doit vérifier l’exactitude et la fiabilité de tous les renseignements traités, ainsi que les limites se rattachant à leur utilisation, et ce, tout au long du processus visant à déterminer si les renseignements seront communiqués ou utilisés.

En outre, les exigences en matière de rapports figurent aux articles 7 et 8 de la Loi, de même que dans les instructions. Elles prévoient, notamment, que le ministre compétent soit tenu, dès que possible, de fournir une copie du rapport sur la mise en oeuvre des instructions au cours de l’année civile précédente à l’OSSNR, au Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et, le cas échéant, à la Commission civile d’examen et de traitement des plaintes relatives à la Gendarmerie royale du Canada. Selon les exigences énoncées dans les instructions, les décisions prises en considération par l’administrateur général pour ce qui a trait à la communication ou à la demande de renseignements qui priveraient une personne de ses droits et libertés ou à l’autorisation de l’utilisation de tels renseignements doivent être signalées dès que possible au ministre compétent, à l’OSSNR et au CPSNR.

Objectifs et méthodologie de l’examen

L’examen portait sur la période du 1er janvier au 31 décembre 2020. L’examen avait pour objectif :

  • d’assurer un suivi de la mise en oeuvre par les ministères des instructions reçues en vertu de la Loi;
  • d’évaluer l’opérationnalisation par les ministères des cadres et des processus leur permettant de s’acquitter des obligations énoncées dans la Loi et les instructions;
  • d’évaluer la coordination et l’uniformité de la mise en oeuvre au sein des ministères concernés.

En outre, l’OSSNR a évalué les cadres de « tri des dossiers » des douze ministères visés par la Loi (c.-à-d. une combinaison de critères d’évaluation stratégiques et d’un processus de renvoi pour les dossiers qui doivent être approuvés à des échelons supérieurs de la direction). Voir les annexes B à M pour obtenir de plus amples renseignements concernant le processus de tri des dossiers de chaque ministère. Enfin, l’OSSNR a examiné l’utilisation de mesures d’atténuation par les ministères et les politiques à cet égard.

CONCLUSIONS

Le point sur les rapports et les cadres

Conformément à la Loi, les douze ministères se sont acquittés de leur obligation de faire rapport à leurs ministres respectifs et à l’OSSNR sur les progrès réalisés quant à l’opérationnalisation des cadres et à la détermination des dossiers acheminés au niveau de l’administrateur général.

Les neuf ministères qui, l’année précédente, avaient avisé l’OSSNR de l’achèvement de leurs cadres respectifs ont continué de perfectionner leurs protocoles d’évaluation au cours de la période visée par l’examen de 2020. Selon l’information fournie à l’OSSNR, Transports Canada (TC) a élaboré une politique générale pour mettre en évidence les exigences du ministère liées à la Loi11. Toutefois, l’Agence des services frontaliers du Canada (ASFC) et Sécurité publique Canada (SP) n’ont pas encore achevé leur politique relative à la Loi. Par conséquent, il se peut que les employés n’aient pas accès à des lignes directrices appropriées et actualisées concernant la façon de prendre des décisions qui soient conformes à la Loi.

Conclusion no 1 : L’OSSNR constate qu’au cours de la période visée par l’examen, l’ASFC et SP n’ont pas achevé leurs cadres de politique respectifs, contrairement aux instructions reçues au titre de la Loi.

Renvois à l’administrateur général

Il est indiqué dans les instructions que lorsque des représentants du ministère ne sont pas en mesure de déterminer si le risque de mauvais traitements découlant de la transmission ou de l’obtention de renseignements peut être atténué, le cas doit être renvoyé à l’administrateur général. Toujours selon les instructions, l’administrateur général (AG) ou le haut fonctionnaire que l’AG désigne en situations exceptionnelle doit déterminer si l’utilisation de renseignements vraisemblablement obtenus à la suite de mauvais traitements infligés à un individu par une entité étrangère priverait une personne de ses droits ou libertés, et si cette utilisation est nécessaire pour éviter des pertes de vie ou des lésions corporelles. En 2020, aucun cas n’a été acheminé à l’échelon de l’administrateur général. L’OSSNR a demandé des précisions sur l’absence de revois, et les ministères ont pour la plupart expliqué, d’une part, que la situation était attribuable au fait que les risques associés aux dossiers avaient été atténués avant que l’intervention de l’administrateur général ne soit requise et, d’autre part, que le nombre d’échanges de renseignements avec des entités étrangères avait diminué de manière générale en raison de la pandémie.

Conclusion no 2 : L’OSSNR constate qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier visé par la Loi n’a été renvoyé aux administrateurs généraux des ministères.

Tri des dossiers

Généralement, lorsque les ministères prennent des décisions relatives au champ d’application de la Loi, ils utilisent divers processus de tri des dossiers (c.-à-d. une combinaison de critères d’évaluation stratégiques et d’un processus prédéterminé d’acheminement aux échelons supérieurs pour les dossiers qui doivent être évalués à des échelons supérieurs de la direction). L’OSSNR a évalué soigneusement les cadres de tri des dossiers des douze ministères visés par la Loi (voir les annexes B à M). Dans le cadre de ces travaux, l’OSSNR a constaté certains problèmes dans la mise en oeuvre des systèmes de tri; par exemple, il est arrivé qu’il n’y ait pas de système de tri en place ou que l’information ne soit pas à jour.

L’OSSNR a constaté qu’il existait deux principaux types de processus de tri initial des dossiers : le tri selon les cas, suivant lequel il appartient à un fonctionnaire du niveau opérationnel de rendre la première décision en s’appuyant sur les outils d’évaluation de la politique, la formation pertinente et l’expérience individuelle; et la cote d’évaluation des pays, selon laquelle on se fie initialement au niveau de risque attribué à un pays pour déterminer si un dossier doit être renvoyé à un échelon supérieur. La cote d’évaluation d’un pays représente le risque évalué de mauvais traitements associé à ce pays, déterminé en fonction d’un certain nombre de critères et souvent selon différentes sources.

Première catégorie du tri initial des dossiers : le cas par cas

Tous les ministères ont recours aux fonctionnaires du niveau opérationnel pour déterminer s’il existe un risque de mauvais traitements. Lorsque l’évaluation d’un fonctionnaire du niveau opérationnel ne permet pas de déterminer s’il existe un risque sérieux de mauvais traitements, la décision est renvoyée à un échelon supérieur de la direction. L’OSSNR a créé la Figure 1 pour représenter ce type de processus de tri suivant lequel le fonctionnaire du niveau opérationnel consulte les outils d’évaluation à sa disposition pour déterminer s’il existe un risque sérieux de mauvais traitements.

Figure 1: Case by Case Triage Diagram

Deuxième catégorie du tri initial des dossiers : selon la cote d’évaluation du pays

Le SCRS, le CST, le CANAFE et la GRC exigent que les employés de niveau opérationnel se servent de la cote d’évaluation du pays pour déterminer si le dossier doit être renvoyé à un échelon supérieur. L’OSSNR a créé la Figure 2 pour représenter ce type de processus de tri, selon lequel les cotes d’évaluation des pays peuvent nécessiter que le dossier soit renvoyé à un échelon supérieur.

Acheminement du dossier à un échelon supérieur

En plus des deux catégories de cadres de tri des dossiers susmentionnés, tous les ministères, sauf le CANAFE, SP, le CST et TC, disposent de groupes de consultation et de comités de la haute direction chargés de la prise de décisions en interne, qui interviennent lorsqu’il est établi que des dossiers doivent faire l’objet de consultations ou être acheminés à un échelon supérieur (p. ex. des groupes de travail et des secrétariats de comités de la haute direction). Les divers groupes de Page 13 de 53 consultation des ministères qui peuvent prendre des décisions relatives à la Loi sont présentés dans le tableau ci-dessous.

L’objectif général des groupes de consultation est de servir de point de contact pour les employés qui ont besoin d’aide pour évaluer les activités d’échange de renseignements avec des entités étrangères ou pour interpréter les politiques et les procédures. Les comités de la haute direction chargés de la prise de décision prennent des décisions sur l’échange de renseignements. Ils détiennent le pouvoir décisionnel final avant l’acheminement à l’administrateur général. L’OSSNR a constaté que le fait de tirer parti de l’expertise globale de ces groupes peut aider les fonctionnaires à appliquer les critères d’évaluation de manière uniforme et accroître la surveillance des échanges de renseignements avec des entités étrangères.

Mise en oeuvre uniforme dans l’ensemble des ministères

Depuis l’entrée en vigueur des directives ministérielles de 2017 visant à éviter la complicité dans les cas de mauvais traitements par des entités étrangères, les ministères doivent tenir à jour des politiques et des procédures sur l’évaluation des risques liés aux relations d’échange de renseignements avec des entités étrangères. Les ministères continuent d’évaluer les entités et les pays, une pratique encouragée par l’OSSNR, même s’il ne s’agit pas d’une exigence précisée dans la Loi ou dans les instructions. L’OSSNR a déjà soulevé des préoccupations concernant l’absence d’une approche normalisée et unifiée pour les évaluations des pays réalisées par les ministères. À cet égard, il était indiqué dans la réponse collective aux recommandations de l’année dernière dirigée par le Bureau du Conseil privé (BCP) que :

[Traduction] Les activités d’échange de renseignements de ces organisations servent à des fins administratives, d’exécution de la loi ou de renseignement, et ont toutes des profils de risque, des préoccupations liées à la protection des renseignements personnels et des pouvoirs juridiques différents. Chaque ministère et organisme doit établir des critères ou des déclencheurs précis dans son cadre d’échange de renseignements qui correspondent à son contexte opérationnel. Le gouvernement du Canada est d’avis qu’il n’est pas nécessairement pratique ou essentiel que toutes les organisations appliquent les mêmes critères pour déclencher, évaluer et acheminer les dossiers dans le but de s’assurer que les ministères et les organismes mènent leurs activités conformément à la Loi.

Pour traiter les questions soulevées par les divergences quant à l’application des critères, l’OSSNR a demandé aux ministères de classer les échanges de renseignements bilatéraux avec des partenaires étrangers selon le volume, excluant les échanges avec [***exemple d’un échange de renseignements avec une entité étrangère***]. Neuf des douze ministères ont désigné ████████ comme étant une entité étrangère d’échange de renseignements. Or, il est largement reconnu que ce pays pose une part de risque en matière de protection des droits de la personne.

NSIRA then selected only those departments that initially utilize country assessment ratings as a triage method (i.e. FINTRAC, RCMP, CSIS and CSE). [***description of how departments determined foreign entity example***]. Nonetheless, in carrying out this analysis, NSIRA observed that all four departments relied on a combination of open source human rights reports and consultations with other departments. Additionally, RCMP, CSIS and CSE utilize classified intelligence sources.

However, although these departments utilize a similar approach when assessing a country, the assigned rating for ████ was not consistent. CSIS assigned █████████████; FINTRAC and RCMP assigned a [***description of department’s specific ratings***] ; and finally, CSE assigned a ██████ rating.

L’OSSNR a évalué dans quelle mesure les cotes de pays avaient une incidence sur le niveau d’approbation requis pour un échange de renseignements. Puisque le CST a attribué la cote ██████ lorsqu’il reçoit une demande ███████ un représentant du CST pourrait devoir obtenir [***description des facteurs utilisés pour déterminer le niveau d’approbation approprié***] Le CST a reconnu que ses [traduction] « études d’impact sur les droits de la personne ne correspondent pas nécessairement au niveau de risque attribué à un échange » et qu’elles ne [traduction] « correspondent pas nécessairement aux niveaux d’approbation ou aux restrictions en matière d’échange. [***description des facteurs utilisés pour déterminer le niveau d’approbation approprié***]

À l’inverse, selon le cadre et la méthodologie de la GRC, un échange avec l’une des autorités █████ figurant sur la liste d’évaluation des entités et des pays de la GRC pourrait donner lieu à [***description des notes spécifiques attribuées par les ministères***] puisque ███████ s’est fait attribuer la cote d’évaluation de pays █████ Si une entité a une cote jaune, l’employé doit déterminer s’il existe un risque de mauvais traitements en se fondant sur une liste de critères. Si l’un ou plusieurs des critères sont présents, l’employé doit renvoyer le cas à un comité de la haute direction. L’OSSNR a constaté que dans les situations où la GRC avait attribué la cote rouge à un pays, l’employé du niveau opérationnel devait acheminer le dossier à un comité de la haute direction. Par conséquent, contrairement au CST et au SCRS, les cotes de pays attribuées par la GRC ont une incidence directe sur les niveaux d’approbation requis.

Dans son rapport précédent sur la Loi 37, l’OSSNR a recommandé aux ministères de trouver le moyen de mettre en place des outils harmonisés et normalisés d’évaluation des risques que présentent les pays et les entités afin de soutenir l’adoption d’une approche uniforme par les ministères lorsqu’ils interagissent avec des entités étrangères qui suscitent présentent des risques. Même si le BCP n’est pas d’accord avec cette recommandation, l’OSSNR persiste à croire qu’il y a lieu de se préoccuper des divergences sur le plan des évaluations du risque et des pays.

Conclusion no 3 : L’OSSNR constate que même si les ministères se fondent sur des sources d’information et des méthodes similaires pour déterminer si un dossier concernant le même pays suscitant des préoccupations doit être acheminé à un échelon supérieur, il existe d’importantes différences dans l’évaluation du risque et le niveau d’approbation requis qui en découlent.

À la suite du présent examen, l’OSSNR a l’intention d’examiner plus en profondeur les processus utilisés par AMC et la GRC pour ce qui concerne la prise de décision et le tri en considération de la Loi.

L’étude de cas présentée dans l’Encadré 1 démontre l’incompatibilité entre les évaluations de risques dans une situation où deux ministères envisageaient de répondre à la même demande présentée par une entité étrangère.

Encart 1 : Processus décisionnels divergents

[***description of the case study***] The foreign entity provided this information to GAC and CSIS and requested confirmation [***description of the information sharing request***]

Pour déterminer s’il allait répondre à la demande, AMC a établi que les antécédents en matière de droits de la personne du pays en question de manière générale, et de l’entité étrangère précisément, faisaient en sorte que la demande était préoccupante. Le Comité de la haute direction sur l’évaluation des risques d’AMC a travaillé en fonction du principe voulant que la personne fût détenue à ce moment, et a tenté de déterminer si la communication de cette information [traduction] « n’augmenterait pas considérablement le risque que de mauvais traitements soient infligés à la personne détenue. » Le Comité de la haute direction sur l’évaluation des risques a déterminé qu’il était permis de confirmer si la personne avait déjà travaillé au sein d’AMC, selon la décision du SCRS.

En définitive, la décision du SCRS a été prise au niveau de directeur général et, puisque l’entité étrangère était considérée comme étant un partenaire faisant l’objet de restrictions, les renseignements n’ont pas été communiqués.

The assessment by GAC’s senior decision-making committee is of concern. The Act and the Directions impose that departments consider whether disclosing or requesting information “would result in a substantial risk of mistreatment.” [***legal advice to department***]

L’OSSNR est d’accord avec cette interprétation de la Loi, mais n’est pas d’accord avec son application par AMC dans cette situation. AMC a déterminé que le fait de répondre à la demande [traduction] « n’aggraverait pas » le risque de mauvais traitements41. À l’inverse, l’OSSNR estime que, peu importe les renseignements demandés, les antécédents en matière de droits de la personne de l’entité étrangère et du pays étaient préoccupants, et AMC présumait que la personne pourrait déjà avoir subi de mauvais traitements. Même si les mauvais traitements qui auraient pu être infligés plus tôt n’avaient pas été attribuables à la communication de renseignements par AMC, le fait de répondre à la demande, compte tenu des faits du dossier, aurait entraîné un risque sérieux de mauvais traitements. Par conséquent, le dossier aurait dû être renvoyé au sous-ministre des Affaires étrangères aux fins d’examen.

L’OSSNR a également constaté que ce dossier a été renvoyé à des niveaux différents par AMC et par le SCRS. Dans le cadre du processus de tri d’AMC, la décision selon laquelle la communication était permise a été prise par un comité de la haute direction chargé de la prise de décision. En comparaison, le processus de prise de décision du SCRS était achevé avant d’atteindre le comité de direction et a donné lieu au résultat opposé. Les différents niveaux de prise de décision et les différents résultats démontrent une incohérence problématique dans la façon dont les organisations tiennent compte des mêmes renseignements à communiquer à la même entité étrangère. En outre, même si un ministère responsable des renseignements peut consulter d’autres ministères pour déterminer si la communication des renseignements est permise, celui-ci ne peut déléguer la responsabilité et la décision à prendre à un autre ministère.

Conclusion no 4 : L’OSSNR relève une lacune importante sur le plan des procédures, notamment, lors de l’analyse d’une demande de divulgation de renseignements. En l’occurrence, aucun renseignement n’a finalement été divulgué, mais il s’avère que le risque de mauvais traitements était sérieux et que le cas aurait dû être renvoyé au sous-ministre compétent, en l’occurrence, le sous-ministre des Affaires étrangères.

Mesures d’atténuation

Prise de mesures d’atténuation

Pour diminuer le risque de mauvais traitements, les ministères ont recours à des mesures d’atténuation (réserves, garanties, expurgation et caviardage). Les mesures d’atténuation les plus fréquemment utilisées sont les réserves et les garanties. Les réserves prennent la forme de conditions précises jointes aux renseignements dans le but de limiter ou d’interdire certaines utilisations des renseignements, sauf autorisation contraire par le ministère émetteur. Par exemple, de nombreux ministères ont recours à des réserves de tierces parties qui limitent la diffusion des renseignements à d’autres ministères (canadiens et étrangers), à moins de consulter le ministère d’origine au sujet de la demande de communication.

Les garanties ne sont pas propres à un seul échange de renseignements. Il s’agit plutôt d’ententes établies avec les entités étrangères (officielles ou non) 45 visant à s’assurer qu’une certaine entité étrangère comprenne la position du Canada à l’égard des droits de la personne et que l’entité, à son tour, accepte d’adopter le comportement attendu. Par exemple, au moment d’élaborer une stratégie d’atténuation du risque relativement à un échange de renseignements, les ministères doivent tenir compte des garanties verbales ou écrites et de la personne ayant fourni la garantie (c.-à-d. un employé du niveau opérationnel ou un dirigeant de l’organisme), et déterminer si la garantie est considérée comme étant crédible et fiable.

En outre, le SCRS, le CST et AMC ont soulevé un certain nombre de différences entre les types de garanties demandés, notamment des méthodes officielles et informelles. Par exemple, des employés de divers niveaux peuvent demander des garanties verbales, des garanties officielles prévues et des garanties écrites ponctuelles.

In a related issue, NSIRA observed that there are [***description and an example of a Department’s ability to track compliance***] CSIS, GAC, and CSE indicated that there is ████████████████████████████████████████████████████████████ is not specific to the ACA but is nonetheless key ████████████ when exchanging information with the Government of Canada.

Puisqu’aucun dossier n’a été acheminé au niveau de l’administrateur général, le recours aux stratégies d’atténuation à un niveau inférieur au sein des ministères joue un rôle important dans la prise de décisions. Dans le cadre d’un prochain examen, l’OSSNR a l’intention d’examiner plus en profondeur les politiques sur l’utilisation et le suivi des mesures d’atténuation.

CONCLUSION

Puisqu’aucun dossier n’a été acheminé au niveau de l’administrateur général, le recours aux stratégies d’atténuation à un niveau inférieur au sein des ministères joue un rôle important dans la prise de décisions. Dans le cadre d’un prochain examen, l’OSSNR a l’intention d’examiner plus en profondeur les politiques sur l’utilisation et le suivi des mesures d’atténuation.

Le premier examen de l’OSSNR sur la mise en oeuvre par les ministères de la Loi et des instructions visait seulement une période de quatre mois (de septembre à décembre 2019). Par conséquent, le présent examen est le premier examen de la Loi réalisé sur une période complète d’un an. L’OSSNR estime maintenant être en mesure de mener des études de cas approfondies sur le respect de la Loi et des instructions par chaque ministère, peu importe si un ministère a renvoyé des dossiers à son administrateur général. En outre, d’autres examens suivront sur la mise en oeuvre des recommandations antérieures de l’OSSNR.

Annexe A : Conclusions

Conclusion no 1 : L’OSSNR constate qu’au cours de la période visée par l’examen, l’ASFC et SP n’ont pas achevé leurs cadres de politique respectifs, contrairement aux instructions reçues au titre de la Loi.

Conclusion no 2 : L’OSSNR constate qu’entre le 1er janvier et le 31 décembre 2020, aucun dossier visé par la Loi n’a été renvoyé aux administrateurs généraux des ministères.

NSIRA Finding #3: NSIRA found that even when departments employ similar methodologies and sources of information to inform their determination of whether or not a case involving the same country of concern should be escalated, significant divergences in the evaluation of risk and the required level of approval emerge.

Conclusion no 4 : L’OSSNR relève une lacune importante sur le plan des procédures, notamment, lors de l’analyse d’une demande de divulgation de renseignements. En l’occurrence, aucun renseignement n’a finalement été divulgué, mais il s’avère que le risque de mauvais traitements était sérieux et que le cas aurait dû être renvoyé au sous-ministre compétent, en l’occurrence, le sous-ministre des Affaires étrangères.

Annexe B : Agence des services frontaliers du Canada

Annex B: Canada Border Services Agency Framework

Modifications apportées au cadre : En 2018, l’Agence des services frontaliers du Canada (ASFC) a publié un document de politique de haut niveau en réaction à la DM de 2017. Depuis lors, l’ASFC a amorcé la mise à jour de ses politiques et procédures. Cette mise à jour est toujours en cours.

Groupe de travail : Groupe de travail visant à éviter la complicité dans les cas de mauvais traitements (GTECMT) de l’ASFC.

Comité de la haute direction : Comité de la haute direction sur l’évaluation des risques (CHDER). Ce comité se réunit ponctuellement pour évaluer les cas pouvant poser un risque de mauvais traitements.

[***description du processus décisionnel de l’ASFC***]

Évaluation des pays : L’élaboration d’un modèle interne d’attribution des cotes de risque est toujours en cours.

Mesures d’atténuation : L’ASFC est en train de travailler au renforcement de son cadre officiel et des procédures connexes permettant d’établir si le risque sérieux de mauvais traitements posé par une demande donnée peut être atténué.

Annexe C : Agence du revenu du Canada

Annex C: Canada Revenue Agency Framework

Modifications apportées au cadre : L’Agence du revenu du Canada (ARC) a indiqué qu’aucune modification n’avait été apportée à son cadre depuis la réponse de l’année précédente. Le ministère continue de perfectionner ses processus et a élaboré les procédures d’échange d’information de l’Agence du revenu du Canada en considération de la Loi.

[***documents confidentiels du Cabinet***]

Groupe de travail : L’ARC a mis sur pied un Groupe de travail sur l’évaluation des risques (GTER) qui a élaboré une méthode visant à évaluer les antécédents en matière de respect des droits de la personne de ses partenaires d’échange de renseignements, de sorte que la haute direction puisse procéder une évaluation rigoureuse des risques de mauvais traitements.

Le Canada dispose d’un vaste réseau de partenaires internationaux ayant conclu 94 conventions fiscales et 24 accords d’échange de renseignements fiscaux. Le Canada est également l’un des 144 signataires de la Convention concernant l’assistance administrative mutuelle en matière fiscale. En outre, ces accords juridiques internationaux permettent à l’ARC d’échanger des renseignements sur demande et spontanément, voire automatiquement. Chacun des accords juridiques comprend des dispositions relatives au secret (restrictions de diffusion) qui régissent les modalités d’utilisation et de divulgation. De plus, les membres du Forum mondial sur la transparence et l’échange de renseignements à des fins fiscales sont cycliquement soumis à des examens par les pairs, notamment, en matière de confidentialité et de protection des données.

Comité de la haute direction : Comité de la haute direction : Pendant la période d’examen, aucun comité de la haute direction n’était en place. Toutefois, il existait un processus formel de transmission aux échelons supérieurs allant du directeur, au directeur général (DG), puis au sous-commissaire, Direction générale des programmes d’observation (DGPO), qui est responsable de l’administration de la Loi.

Par ailleurs, en juillet 2021, l’ARC a adopté un cadre de gouvernance relatif à la Loi. Ce cadre s’appuie sur un comité d’experts, un comité consultatif de la haute direction appelé à soutenir les évaluations de risques et des mécanismes de rapports de même que sur l’énonciation de recommandations et de priorités. Le comité d’experts se compose actuellement des DG et des directeurs issus de la DGPO et de la Direction générale des politiques législatives et des affaires réglementaires. Également en juillet 2021, l’ARC a mis sur pied un comité de la haute direction appelé à analyser et à formuler des recommandations relatives aux engagements à l’égard des divers cas ainsi qu’à reconnaître les difficultés, pour ensuite formuler les directives appropriées. Le comité est formé de directeurs provenant de plusieurs directions de l’ARC, qui gèrent les programmes directement touchés par les échanges de renseignements avec d’autres entités compétentes.

Tri : L’évaluation initiale est réalisée par un employé du niveau opérationnel et nécessite l’approbation d’un directeur ou d’une personne de niveau hiérarchique supérieur. Le cas peut être renvoyé à un DG, puis au commissaire adjoint et ainsi de suite dès lors qu’un doute est soulevé quant à l’atténuation des risques.

Dans certains cas où le risque avait été cerné, mais où des difficultés avaient été rencontrées pendant la réalisation d’évaluations complètes visant à établir si les risques étaient sérieux, l’ARC a choisi de reporter la divulgation des renseignements jusqu’à ce que l’évaluation soit terminée. Cette situation était en grande partie attribuable aux contraintes liées à la COVID-19. Ainsi, les dossiers qui auraient normalement été renvoyés à un autre palier ont été temporairement mis de côté, et aucune mesure n’a été prise pendant la période d’examen.

L’ARC a avisé l’OSSNR que le financement annoncé dans l’Énoncé économique de l’automne de novembre 2020 avait été affecté à la création d’une équipe spécialisée dans les évaluations de risques. Il est prévu que la préparation et la tenue à jour des évaluations à l’échelle nationale ainsi que la préparation des évaluations des risques à chacun des niveaux relèveront de cette nouvelle équipe spécialisée faisant partie de la DGPO, et ce, dès l’été de 2021.

L’équipe sera également responsable de ce qui suit :

  • créer et officialiser le cadre régissant les consultations avec la haute direction de l’ARC et avec d’autres ministères et organismes du gouvernement;
  • aviser les responsables de l’ARC qui recourent aux échanges de renseignements (ER);
  • reconnaître les mesures d’atténuation et les autres facteurs qui s’appliquent aux types de renseignements que l’ARC est appelée à échanger et qui pourraient avoir des répercussions sur l’évaluation des risques;
  • préparer le rapport annuel ainsi que les autres rapports exigés par la Loi et par les instructions reçues;
  • offrir des séances de sensibilisation et de formation;
  • favoriser la constante amélioration de la documentation, des politiques, des orientations et de procédures.

Évaluation des pays et des entités : En janvier 2020, l’ARC a réalisé sa propre série d’évaluations des risques de mauvais traitements pour chacun des échanges potentiels de renseignements – ce qui concerne également l’utilisation des renseignements que l’ARC peut recevoir de la part de ses partenaires d’échange de renseignements – en consultation avec d’autres partenaires du gouvernement du Canada.

L’ARC a recours à un code couleur pour désigner les niveaux de risque associés aux pays : vert, jaune et rouge. Toutefois, dans le cas de certains échanges spontanés de renseignements, l’ARC procède, en guise de complément à l’évaluation portant sur un pays particulier, à une analyse s’appuyant sur les particularités du dossier en question.

Mesures d’atténuation : Les mesures d’atténuation, y compris les mises en garde (les mesures de protection des données et les dispositions en matière de confidentialité) sont intégrées dans tous les instruments juridiques qui régissent et autorisent les échanges d’information de l’ARC, alors que les examens réalisés par les pairs relativement au cadre juridique s’appliquant aux diverses compétences et aux pratiques administratives permettent de s’assurer que les partenaires d’échange se conforment aux normes internationales lorsqu’il s’agit de communiquer des renseignements fiscaux. Selon l’ARC, tous les renseignements qui ont été échangés pendant la période d’examen ont été assujettis à ces mesures d’atténuation. Or, en raison de la pandémie de COVID-19, l’ARC a suspendu, pendant la durée de l’examen, tous les échanges dont on a estimé qu’ils pourraient entraîner des risques résiduels, et possiblement importants, de mauvais traitement, et ce, jusqu’à ce qu’un processus et des mesures d’atténuation aient été mis en place, notamment, le caviardage de l’information. Toutefois, pour ce qui est des échanges qui ont eu lieu pendant cette période et suivant l’application de mesures d’atténuation des risques, l’ARC a régulièrement procédé au caviardage des renseignements personnels dans la mesure où ce type de contrôle ne devait avoir aucune répercussion sur l’essentiel de l’information échangée.

Annexe D : Centre de la sécurité des télécommunications

Annex D: Communications Security Establishment Framework

Modifications apportées au cadre : Aucune modification n’a été apportée au cadre en 2020. Les procédures sont demeurées inchangées par rapport à l’année précédente.

Groupe de travail : Selon la DI, aucun groupe de travail n’est affecté à l’évaluation des risques de mauvais traitements. En l’occurrence, le processus d’évaluation des risques de mauvais traitements suit une procédure qui a été régulièrement perfectionnée depuis sa création en 2012. Plus le niveau de risque est élevé (faible, modéré, élevé ou sérieux), plus le niveau d’approbation exigé pour l’échange ou l’utilisation des renseignements est élevé.

Comité de la haute direction : Il n’y a aucun comité de la haute direction. Tel qu’il a été exposé plus précédemment, le CST mise sur une échelle de pouvoir d’autorisation conçue en fonction du niveau de risque (de faible à sérieux). Les cadres supérieurs prennent part au processus lorsque le niveau de risque des cas est modéré ou élevé. En l’occurrence, il faut obtenir l’approbation d’un directeur (modéré) ou d’un directeur général/d’un chef adjoint (élevé).

Tri : Un responsable du CST réalise une première analyse en consultant l’évaluation des risques de mauvais traitements (ERMT) – qui prend en compte les questions relatives à l’équité; à la géolocalisation et aux renseignements sur l’identité; à la protection des droits de la personne; au risque de détention –, mais aussi en prenant acte du profil des destinataires faisant état de leurs pratiques en matière de protection des droits de la personne.

Faible (États à risque faible)

Lorsque l’ERMT indique un niveau de risque faible, le responsable doit obtenir l’approbation d’un superviseur [***nom d'une unité spécifique***], pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Faible (États qui ne sont pas à risque faible)

Lorsque l’ERMT indique un niveau de risque faible, le responsable doit obtenir l’approbation d’un gestionnaire [***nom d'une unité spécifique***], pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Modéré

Lorsque l’ERMT indique un niveau de risque modéré, le responsable doit obtenir l’approbation du directeur, Divulgation et échange de renseignements pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Élevé

Lorsque l’ERMT indique un niveau de risque élevé, le responsable doit obtenir l’approbation du directeur général, Divulgation, politiques et examen ou du chef adjoint (CA), PolCom pour être en mesure de procéder à l’échange ou à l’utilisation des renseignements.

Substantiel

If the MRA indicates a substantial level of risk, the official may not proceed with the information exchange or use.

Évaluation des pays : Le CST réalise ses propres évaluations des pays (que le CST désigne comme étant les études d’impact sur les droits de la personne [EIDP]) en utilisant des renseignements provenant d’autres ministères fédéraux, de ses propres rapports et de sources ouvertes. Les ententes avec les entités étrangères sont révisées tous les ans. Ces EIDP font partie des ERMT du CST.

Il existe deux types d’ERMT : les annuelles et les ponctuelles. Les ERMT annuelles concernent les entités étrangères avec lesquelles le CST échange des renseignements régulièrement, [***description des entités étrangères avec lesquelles le CST échange de l’information***] Quant aux ERMT ponctuelles, elles sont réalisées en réponse à une demande particulière. Les ERMT ponctuelles concernent souvent des individus et des activités d’échange de renseignements. Il existe aussi des ERMT abrégées, qui forment une sous-catégorie des ERMT ponctuelles et sont menées dans le cas des États à risque limité. Ces États sont considérés, par le CST, comme étant à risque faible.

Aux fins des ERMT, le CST procède comme suit :

  • évaluer l’objet de l’échange de renseignements;
  • vérifier si des mesures de gestion des risques de mauvais traitements ont été prévues par les ententes conclues aux fins des échanges de renseignements;
  • examiner les dossiers internes du CST sur l’entité étrangère concernée;
  • consulter d’autres évaluations et rapports du gouvernement du Canada ayant trait à l’entité étrangère;
  • évaluer l’efficacité attendue des mesures d’atténuation des risques;
  • évaluer, en fonction des renseignements disponibles, le niveau de respect des garanties que l’entité a affiché par le passé.

Le CST consulte AMC, le MDN, le ministre des Affaires étrangères et le ministre de la Défense nationale dans le cas de certaines ERMT, généralement des ERMT ponctuelles. Le CST peut également consulter AMC pour obtenir, dans certains cas, des conseils en matière de respect des droits de la personne.

Mesures d’atténuation : Le CST analyse nombre de facteurs d’atténuation, notamment, le risque de détention, [***déclaration concernant les obligation des partenaires quant à l’échange d’information***] les réserves, les garanties formelles et les relations bilatérales. Or, la principale mesure d’atténuation employée par le CST est l’assurance par les organismes de deuxième part. [***déclaration concernant les obligation des partenaires quant à l’échange d’information***]

Données de reconnaissance et de sensibilisation : Le DG, Divulgation, politiques et examen ou le CA, PolCom examinent les cas où le niveau de risque est élevé. 303 demandes d’échange de renseignements ont été évaluées sous l’angle du risque de mauvais traitements : 10 d’entre elles (3 %) ont été renvoyées au directeur, Divulgation et échange de renseignements. Pour la période de l’examen 2020, le chef adjoint, PolCom était responsable de la reddition de comptes et de l’assurance de la qualité pour ce a trait à la Loi.

Annexe E : Service canadien du renseignement de sécurité

[***Infographie démontrant le processus d’évaluation du risque du SCRS***]

Modifications apportées au cadre : Aucune modification n’a été apportée pendant la période visée par l’examen 2020, mais le SCRS a néanmoins modifié ses procédures en janvier 2021. Parmi les changements importants, notons que les cas ne seront renvoyés au CEEI que lorsque le DG ne sera pas en mesure de déterminer si le risque sérieux peut être atténué. De plus, le SCRS [***déclaration concernant des procédures internes***] Le SCRS a actualisé ses procédures relatives aux garanties à l’égard des droits de la personne pour en faire une politique autonome. Cette politique exige que les postes du SCRS obtiennent des garanties [***déclaration concernant des procédures internes***] en matière de coordination relativement au CEEI ont été réattribuées à ███████████████ Ce faisant, le █████ est devenu président du CEEI.

Tri : Les responsables opérationnels du SCRS se chargent de l’évaluation initiale. Cette évaluation nécessite que ledit responsable établisse si un ou plusieurs des quatre critères de risque s’appliquent. Ces critères sont les suivants :

  • [Traduction] « Selon les informations dont on dispose concernant l’entité étrangère, si les renseignements sont divulgués ou demandés, y aura-t-il des probabilités que l’entité étrangère se livre à des actes de torture ou à d’autres formes de traitement cruel, inhumain ou dégradant sur des individus? »
  • [Traduction] « Si les renseignements sont divulgués ou demandés, y a-t-il des probabilités que l’entité étrangère retransmette lesdits renseignements à une tierce partie selon des moyens non autorisés, donnant ainsi lieu à la possibilité que la tierce partie se livre à des actes de torture ou à d’autres formes de traitement cruel, inhumain ou dégradant sur des individus? »
  • [Traduction] « Si les renseignements sont divulgués ou demandés, y a-t-il des probabilités que l’entité étrangère procède au transfert arbitraire d’individus, donnant ainsi lieu à la possibilité que lesdits individus soient torturés ou assujettis à des peines ou des traitements cruels, inhumains ou dégradants? »
  • [Traduction] « Si les renseignements sont divulgués ou demandés, y a-t-il des probabilités que l’entité étrangère ou d’autres entités de sécurité du pays procèdent à l’exécution extrajudiciaire d’individus? »

Quatre scénarios pourraient avoir lieu avant qu’un cas soit renvoyé devant le CEEI :

[***description de quatres scénarios possibles et des critères d’évaluation utilisés pour déterminer les mesures d’atténuation du risque et/ou d’escalade appropriés***]

Groupe de travail : Il y a un comité de la haute direction, mais il n’y a pas de groupe de travail du côté des opérations.

Comité de la haute direction : Le CEEI est le comité d’examen de la haute direction du SCRS qui s’intéresse aux activités d’échange de renseignements. Il se compose de membres de la haute direction du SCRS ainsi que de représentants du ministère de la Justice et d’AMC. Ce comité est chargé d’établir si un cas pose un risque sérieux et s’il peut être atténué. Lorsque le CEEI n’est pas en mesure d’établir si le risque sérieux peut être atténué, le cas est renvoyé au directeur. Il convient de noter qu’AMC et le ministère de la Justice ne sont plus des membres votants du CEEI, mais continuent d’exprimer leur point de vue et de formule des conseils.

Évaluation des pays : Le SCRS réalisé ses propres évaluations des pays. Chaque entente sur les échanges de renseignements avec une entité étrangère dispose d’un profil d’entente (PE). Les PE contiennent un résumé faisant brièvement état des droits de la personne.

Mesures d’atténuation : Le SCRS peut compter sur quelques mesures d’atténuation. D’abord, le SCRS a fréquemment recours à des « formulations », lesquelles comprennent les réserves. Ensuite, le SCRS a recours à des garanties (assurances) et mise sur des modèles normalisés, qui sont remis aux entités étrangères. Le SCRS peut également adapter les garanties en fonction d’enjeux particuliers, notamment les exécutions extrajudiciaires.

Données de reconnaissance et de sensibilisation : Au SCRS, c’est ███████ qui est responsable du cadre régissant les échanges de renseignements. Or, c’est [***nom d’une unité spécifique***] qui est officiellement responsable de la gestion de la politique. Les secteurs de programmes concernés sont tenus d’appliquer les politiques et procédures en vigueur pour ce qui a trait aux activités soumises à la Loi.

Annexe F : MPO

Annex F: DFO Framework

Modifications apportées au cadre : Pêches et Océans Canada (MPO) n’a apporté aucune modification à l’approche préconisée l’année précédente.

Tri : L’évaluation initiale est réalisée par la personne qui reçoit la demande d’échange de renseignements ou qui obtient en premier les renseignements reçus de la part d’une source étrangère. Le niveau de risque est établi au cas par cas.

L’analyste/l’agent du secteur concerné effectue l’évaluation initiale et s’appuie sur les évaluations d’autres ministères pour déterminer le niveau de risque. En outre, il établit le niveau de risque en fonction des particularités du cas en question. Quant au niveau hiérarchique apte à donner une approbation, il sera établi en fonction du fait qu’il existe, ou non, un risque sérieux. Lorsque l’analyste/l’agent estime qu’il n’existe aucun risque, le cas peut suivre son cours. Selon le schème de décision et les informations reçues, cette étape ne requiert aucune approbation de la part des gestionnaires ou de la haute direction.

Advenant que l’analyste/l’agent croie qu’il existe un risque sérieux ou qu’il soit simplement incertain quant à l’existence d’un tel risque, le Comité d’examen interne (CEI) de la haute direction doit obtenir l’approbation du SM.

Groupe de travail : Comité d’examen interne.

Comité de la haute direction : Le MPO fait appel à un schème décisionnel et au CEI tel qu’il est indiqué plus haut. On ignore si le MPO a élaboré des directives permettant aux responsables et aux gestionnaires d’établir précisément et uniformément les risques de mauvais traitements.

Évaluation des pays : Le MPO mise sur les évaluations des pays réalisées par AMC (de même que par les services juridiques du MPO, la GRC et le SCRS, s’il y a lieu) pour établir sa position sur le plan des mauvais traitements.

Mesures d’atténuation : Le MPO a indiqué qu’il avait recours à des réserves et à des garanties lorsque c’était nécessaire. En revanche, il n’a pas encore cherché à obtenir de garanties. Or, aucun mécanisme n’a été mis en place pour effectuer un suivi à cet égard. Par contre, le ministère est en mesure de déterminer rétroactivement quand, comment et pourquoi une décision a été prise, et ce, grâce à son système de conservation des dossiers. Un processus a été mis en place pour enregistrer le détail de chacun des cas et le processus d’évaluation ainsi que les mesures et les décisions qui en résultent.

Annexe G : Ministère de la Défense nationale/Forces armées canadiennes

Annex G: Department of National Defence/Canadian Armed Forces Framework

Modifications apportées au cadre : Le ministère de la Défense nationale (MDN) a indiqué qu’aucune modification n’avait été apportée à son cadre depuis la réponse de l’année précédente.

Tri : Le processus d’évaluation des risques est principalement le même pour les trois types d’échanges de renseignements. Ce processus comprend un examen des conditions des droits de la personne et des recherches auprès de certaines entités partenaires, notamment, tous les rapports ayant trait aux mauvais traitements. Les renseignements de nature défavorable à l’égard des partenaires étrangers sont examinés par le Groupe de travail sur l’échange de renseignements de la Défense (GTERD), et des recommandations sont formulées à l’intention des intervenants N1 concernés quant à la façon dont il convient de gérer les activités d’échange de renseignements (demande, divulgation, utilisation). Il n’y a aucune distinction qui soit faite entre les mesures d’atténuation employées dans l’un ou l’autre des types d’échanges de renseignements. Le principal document de gouvernance auquel doivent se soumettre les officiers de diffusion et de divulgation (ODD) et les autorités de diffusion et de divulgation (ADD) est la Directive fonctionnelle provisoire du chef du renseignement de la Défense sur l’échange de renseignements avec certains États étrangers et leurs entités.

Groupe de travail : Le Groupe de travail sur l’échange de renseignements de la Défense (GTERD) est un comité de niveau opérationnel qui est dirigé par le Bureau de coordination de la diffusion et de la divulgation (BCDD) – lequel relève du COMRENSFC – et qui sert d’organe consultatif auprès de commandants des opérations menées dans le cadre d’enjeux ayant trait à la Loi. Ce groupe de travail existe à titre de plateforme favorisant le dialogue ouvert sur les ententes et les transactions en matière d’échange de renseignements. Ce groupe se réunit mensuellement et, s’il y a lieu, ponctuellement.

Comité de la haute direction : Le Comité d’évaluation des échanges de renseignements de la Défense (CEERD) est présidé par le Chef du renseignement de la Défense (CRD) / Commandant COMRENSFC. La fonction première du CEERD est d’agir en tant que comité consultatif auprès du sous-ministre et du Chef d’état-major de la Défense lorsqu’il est question de prendre des décisions concernant les enjeux ayant trait à la Loi.

Évaluation des pays : En outre, le BCDD a dressé une liste des États à risque faible, que les intervenants N1 peuvent consulter. Les États étrangers inscrits à cette liste sont ceux avec lesquels le CRD peut échanger des renseignements en toute confiance et sans risque sérieux de mauvais traitements. De plus, le BCDD met à l’essai une nouvelle méthode de préparation des profils d’États en matière de droits de la personne. Cette méthode catégorise les États selon une échelle de risque (faible, modéré, élevé), mais jusqu’à présent, elle n’a servi à préparer ce type de profil que pour quelques États dont le niveau de risque était établi à modéré ou élevé. En outre, la méthode n’a pas encore été officiellement approuvée. Ces profils seront employés par les intervenants N1 pour préparer les évaluations d’entités partenaires et pour alimenter l’évaluation globale des risques liés à l’échange de renseignements avec des entités étrangères.

Gestion de l’information : Il n’existe aucun système ou dépôt commun qui soit utilisé par tous les ODD. En l’occurrence, les décisions informationnelles sont enregistrées par les ODD au sein de chacune des unités. Dans certains cas, les transactions sont consignées dans un chiffrier et devraient comprendre tous les détails ayant trait à la collecte, à la conservation, à la diffusion ou à la destruction des renseignements, mais les formats employés diffèrent les uns des autres. Le COMRENSFC est en voie de normaliser les journaux produits par les ODD dans l’ensemble du MDN/FAC. Sur le plan de la gestion de l’information, aucun changement n’a été apporté depuis le rapport de l’année précédente. Les comptes rendus de discussions de toutes les réunions du GTERD sont conservés dans un dépôt central au sein du BCDD/COMRENSFC, et il est possible de déterminer rétroactivement comment et pourquoi une décision ou une recommandation ont été formulées.

Mesures d’atténuation : Le MDN a recours à des mesures d’atténuation visant à réduire le risque de mauvais traitements. Par exemple, le MDN applique des mesures comme l’aseptisation de l’information, l’ajout de réserves ou les demandes de garanties, entre autres pour les cas à risque faible, par simple mesure de précaution.

Annexe H : CANAFE

Annex H: FINTRAC Framework

Modifications apportées au cadre : Le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) n’a apporté aucune modification à son cadre pendant l’examen portant sur 2020.

Tri : C’est le niveau de risque associé à l’État qui permet de choisir l’intervenant appelé réaliser l’évaluation initiale. Pour le niveau dont la couleur est le vert, c’est l’analyste du renseignement (AR) qui procède à l’évaluation. Quand c’est le jaune, l’évaluation est faite par le chef d’équipe de l’AR. Dans le cas du rouge, un responsable de niveau supérieur doit faire l’évaluation. Par ailleurs, les risques de toutes les catégories doivent être ultimement approuvés par un responsable de niveau supérieur.

Partenariats et groupes de travail : Le CANAFE a recours à des organisations externes, notamment le groupe Egmont, pour veiller à ce que les organisations membres observent les normes mondiales en matière de mauvais traitements. Lorsqu’il s’avère que l’un de ces groupes est exclu pour avoir enfreint son obligation de diligence, le CANAFE cesse d’échanger des renseignements jusqu’à ce que le problème ait été résolu. Le CANAFE établit des protocoles d’entente (PE) avec des États qui souhaitent échanger des renseignements. Pour ce faire, chaque État est évalué en fonction de critères visant à établir leur cote de risque et à savoir si un PE devrait être conclu.

Par ailleurs, le CANAFE participe régulièrement à des réunions du CGSI en compagnie d’autres ministères.

Comité de la haute direction : Contrairement à d’autres ministères, le CANAFE ne dispose d’aucun comité de la haute direction qui puisse établir les niveaux de risque. Le CANAFE mise plutôt sur la haute direction et sur le directeur pour prendre les décisions finales pour chacun des cas.

Évaluation des pays : Le CANAFE procède à ses propres évaluations des pays. Ce type d’évaluation implique de collecter des informations pertinentes sur la situation des droits de la personne dans un pays donné et de se servir d’indicateurs pour évaluer le niveau du risque de mauvais traitements pour chacun des pays. Pendant l’élaboration du processus d’évaluation des pays, le CANAFE a consulté d’autres ministères et organismes gouvernementaux touchés par la Loi.

Le responsable des relations internationales est chargé de surveiller et d’évaluer le profil en matière des droits de la personne des États avec lesquels le CANAFE a établi des PE.

Mesures d’atténuation : Les réserves et les garanties sont établies à la signature d’un PE et sont rappelées dès lors qu’il y a lieu d’échanger des renseignements avec une entité étrangère. Les échanges de renseignements ne sont pas permis tant qu’aucun PE n’a été signé.

Annexe I : Affaires mondiales Canada

Annex I: Global Affairs Canada Framework

Modifications apportées au cadre : Affaires mondiales Canada (AMC) a indiqué qu’aucune modification n’avait été apportée à son cadre pendant la période visée par le présent examen.

Tri : AMC ne compte pas sur un ensemble unique de processus permettant d’établir si l’information utilisée par le ministère pourrait avoir été obtenue à la suite de mauvais traitements infligés à une personne par une entité étrangère. Lorsqu’il juge qu’il est probable que l’information reçue a été obtenue à la suite de mauvais infligés à une personne par une entité étrangère, mais souhaite tout de même utiliser ladite information, le responsable est tenu, conformément à ce qu’il a appris lors de sa formation, de s’enquérir auprès d’un gestionnaire des programmes de l’Administration centrale. S’il n’est pas en mesure de prendre une décision quant à établir si l’utilisation respecte les dispositions de la Loi, ce gestionnaire doit consulter le groupe des politiques ministérielles concerné ainsi que les Services juridiques.

Groupe de travail : The Ministerial Direction Compliance Committee Secretariat

Senior Management Committees: Pendant ses réunions, le Comité de conformité à la directive ministérielle (CCDM) se penche sur les éléments suivants :

  • L’information que l’on envisage d’utiliser est-elle susceptible d’avoir été obtenue à la suite de mauvais traitements?
  • Quelles sont les mesures proposées pour atténuer les risques? Quelle est la probabilité que ces mesures atteignent leur objectif?
  • Il conviendra de prendre en compte les justificatifs et l’ampleur de toute éventuelle implication avec l’entité ou l’État étranger, qui pourrait donner lieu à un mauvais traitements.

Le Secrétariat du CCDM créera un compte rendu des décisions et le fera circuler afin de recueillir les commentaires des membres du CCDM. Lorsqu’elle sera prête, la version finale du document sera conservée au Secrétariat pour l’établissement de rapports ultérieurs. Le Secrétariat du CCDM effectue un suivi en demandant aux fonctionnaires demandeurs de faire le point sur les résultats de la situation. Il demande ensuite une mise à jour définitive de la part de ces fonctionnaires demandeurs une fois que la situation est revenue à la normale. Actuellement, le Secrétariat du CCDM ne compte qu’une seule personne.

Évaluation des pays : Chacun des rapports sur les droits de la personne produits par Affaires mondiales Canada se fonde sur des données probantes pour faire un état de la situation en matière de droits de la personne dans un pays donné. Cet aperçu rapporte les événements importants qui touchent la question des droits de la personne tout en décrivant les tendances et les faits nouveaux. De plus, il comprend une section portant sur la question des mauvais traitements. Au reste, aucun score n’est attribué aux pays, et c’est aux responsables qu’il revient d’évaluer les risques à partir de l’information contenue dans les rapports.

Mesures d’atténuation : L’Unité des services juridiques ou la Direction des politiques et des programmes liés au renseignement fournissent des orientations concernant les restrictions et les interdictions s’appliquant à l’utilisation des renseignements obtenus à la suite de mauvais traitements. Ils sont également en mesure de proposer d’éventuelles mesures d’atténuation, notamment l’aseptisation des renseignements, lorsque l’un des risques suivants se concrétise : infliction de mauvais traitements à un individu; atteinte aux droits et aux libertés d’un individu; utilisation de renseignements à titre de preuves dans toute forme de procédures judiciaires, administratives ou autres.

Annexe J : IRCC

Annex J: IRCC Framework

Modifications apportées au cadre : Immigration, Réfugiés et Citoyenneté Canada (IRCC) a indiqué qu’aucune modification n’avait été apportée à ses procédures s’appliquant à la divulgation de renseignements à des entités étrangères.

Tri : L’évaluation initiale est réalisée par l’employé/l’agent qui reçoit une demande de divulgation. Les agents disposent d’un outil d’évaluation des pays qui fournit une évaluation des risques par pays. Lorsqu’un pays est considéré comme posant un risque faible et que l’employé estime qu’il n’y a aucun risque de mauvais traitement, cet employé peut procéder à l’échange et en enregistrer les détails (c.-à-d. la teneur de l’information échangée, les pays ayant pris part à l’échange, etc.) dans le Système mondial de gestion des cas (SMGC). Lorsque le pays représente un risque élevé ou encore lorsque l’agent estime qu’il y a un risque de mauvais traitement et souhaite donner suite au cas, cet agent est tenu de renvoyer ce cas à GRI et Admissibilité pour que le risque posé par l’échange soit évalué.

Comité de la haute direction : IRCC peut compter sur le Comité d’évaluation visant à éviter la complicité. Ce comité est composé de cadres qui représentent les directions générales des politiques, des opérations, des services juridiques et de la protection des renseignements personnels au sein du ministère. L’objet du Comité est de réévaluer si les circonstances entourant le cas correspondent à ce que l’on conçoit comme un « risque sérieux » et d’établir si des mesures d’atténuation suffisamment efficaces pourraient être appliquées pour permettre l’échange. Lorsque le Comité n’est pas en mesure de déterminer unanimement si le risque peut être atténué et que subsiste le besoin de divulguer les renseignements à l’entité étrangère ayant soumis une demande, le cas est renvoyé au sous-ministre pour décision finale.

Évaluation des pays : Les agents d’IRCC ont pour consigne de s’en remettre à un outil d’évaluation initiale des États lorsqu’ils envisagent une divulgation ou encore une demande de renseignements provenant d’une entité étrangère. Cet outil produit une évaluation globale des risques liés à un État donné. Si l’État en question est considéré comme posant un risque élevé, l’agent est tenu de soumettre une demande de consultation avant de divulguer, de demander ou d’utiliser des renseignements. Lorsque l’État est reconnu comme présentant un risque modéré, on recommande que l’agent soumette une demande de consultation.

Mesures d’atténuation : Pour peu qu’elles existent, les mesures d’atténuation s’appliquant à un cas pour lequel un risque sérieux de mauvais traitements a été reconnu seraient énoncées dans l’évaluation de la demande de consultation et, s’il y a lieu, dans la recommandation du Comité d’évaluation visant à éviter la complicité. Dans un cas comme dans l’autre, les mesures d’atténuation sont enregistrées manuellement dans le dossier de cas, d’où elles peuvent être ultérieurement rappelées, puis inscrites au Rapport annuel.

Annexe K : Sécurité publique

Annex K: Public Safety Framework
Annex K: Public Safety Framework Image 2

Prière de noter que les organigrammes qui précèdent sont des versions préliminaires qui n’ont pas encore été approuvées.

Modifications apportées au cadre : Sécurité publique (SP) ne dispose pas encore d’un cadre décisionnel permettant d’établir si un échange d’information avec une entité étrangère pourrait donner lieu à un risque sérieux de mauvais traitements d’un individu. SP fait toutefois remarquer qu’une politique ministérielle a été rédigée pour appuyer la mise en place, au sein du ministère, de diverses directives qui, en revanche, n’ont pas encore été approuvées par la haute direction.

Tri : On s’attend à ce que les représentants de SP qui travaillent dans la sphère opérationnelle établissent si la divulgation de renseignements ou une demande de renseignements pourrait poser un risque sérieux de mauvais traitements à l’endroit d’un individu. Avant la divulgation ou la demande de renseignements impliquant une entité étrangère, les représentants de SP doivent, suivant la version préliminaire de la politique, procéder à ce qui suit :

  • examiner les évaluations de risques et les ententes/les accords d’échange de renseignements dans le but d’établir la nature et l’ampleur des risques;
  • faire état des mesures d’atténuation, s’il y a lieu;
  • obtenir l’approbation d’un DG relativement à la divulgation ou à la demande de renseignements, attendu que le DG est appelé établir si les risques peuvent ou non être atténués et si le cas devrait être renvoyé devant le SM pour analyse et décision.
  • C’est aux représentants de SP oeuvrant dans la sphère opérationnelle qu’il revient d’établir si des renseignements que l’on envisage d’utiliser auraient été obtenus à la suite du mauvais traitements d’individus. Selon la version provisoire de la politique, il est attendu que les représentants de SP s’acquittent de ce qui suit :
  • réaliser une évaluation visant à établir la probabilité que les renseignements aient été obtenus à la suite du mauvais traitements d’un individu – dans le cas où ladite évaluation n’aurait pas été effectuée par d’autres représentants de SP ou par un autre ministère – et lui accorder la cote appropriée en se fondant sur l’analyse faite au niveau de la DG;
  • évaluer et caractériser le niveau d’exactitude et de fiabilité des renseignements;
  • aviser leurs DG respectifs des circonstances, attendu que le DG est appelé à établir si les renseignements pourraient être utilisés en considération de l’article 3 des directives et renvoyer la décision au SM qui sera appelé à établir si l’utilisation des renseignements pourrait, de quelque façon, porter atteinte aux droits et libertés d’individus, ce qui est nécessaire pour empêcher toute perte de vie ou tout dommage corporel important.

Pour les autres secteurs de programme de SP où les responsabilités en matière de prestation de programmes sont réparties dans plusieurs ministères du gouvernement du Canada, les représentants de SP ont la possibilité d’utiliser des évaluations d’exactitude et de fiabilité que d’autres ministères du gouvernement du Canada ont expressément réalisées à l’égard de l’échange de renseignements en question. Dans de tels cas, dès lors que SP ne dispose pas de renseignements suffisants (notamment quant à la source de l’information) pour mener une évaluation, les ministères du gouvernement du Canada doivent attester avoir réalisé ladite évaluation. Le même principe s’applique aux évaluations des risques et aux évaluations visant à établir la probabilité que les renseignements aient été obtenus à la suite du mauvais traitement d’un individu.

Groupe de travail : Le Groupe de coordination d’échange de renseignements (GCER) est le principal forum interministériel appuyant la collaboration et l’échange de renseignements entre les ministères membres – à qui s’applique les dispositions de la Loi et les directives – dans la mesure où ceux-ci y sont régulièrement présents.

SP prend part au GCER de trois façons, à titre :

  1. de président, de coordonnateur et de responsable de l’élaboration des politiques de SP;
  2. de secteur responsable de la mise en oeuvre de la Loi;
  3. de représentant de l’État et de conseiller juridique.

SP a aussi réalisé des progrès suivant les conseils du GCER. Or, en raison des contraintes liées à la COVID-19, le GCER n’a pas été en mesure d’organiser les réunions jugées utiles.

Comité de la haute direction : SP a aussi réalisé des progrès suivant les conseils du GCER. Or, en raison des contraintes liées à la COVID-19, le GCER n’a pas été en mesure d’organiser les réunions jugées utiles.

Évaluation des pays : Pour l’heure, SP ne dispose d’aucune évaluation des pays et envisage d’utiliser les évaluations réalisées par d’autres ministères. Or, selon la version provisoire de sa politique, SP s’attend à inscrire les évaluations de pays et d’entités au nombre des mesures prévues par le processus annuel d’évaluation des risques. Le processus d’évaluation des risques permettra de veiller à ce qu’une entente soit conclue avec une entité étrangère avant tout échange de renseignements; d’évaluer les risques et les évaluations d’États réalisées par les organismes du portefeuille (p. ex. le SCRS) et d’autres ministères (p. ex. AMC); et de prendre en compte les rapports sur l’état des droits de la personne provenant d’organisations non gouvernementales.

L’unité de la PPER assurera annuellement la coordination des évaluations des risques. Pour ce faire, elle pourrait, par exemple, examiner les rapports sur l’état des droits de la personne produits par Affaires mondiales Canada (AMC), les évaluations des pays préparées par les organismes du portefeuille (p. ex. le SCRS), les rapports sur l’état des droits de la personne réalisés par les organisations non gouvernementales, de même que les documents portant sur des entités ou des États particuliers.

Mesures d’atténuation : SP a préparé la version provisoire d’une politique encadrant les mesures d’atténuation et les réserves. Cette version provisoire comptera des orientations destinées à faciliter la tâche des représentants qui seront appelés à évaluer les risques et à appliquer les mesures d’atténuation, mais elle énoncera les niveaux d’approbation et les responsabilités en matière d’évaluation des pays.

Dès lors qu’un risque de mauvais traitements a été relevé, le représentant de SP est tenu d’entreprendre une analyse des mesures d’atténuation avant de demander les renseignements. Les mécanismes approuvés pour l’atténuation des risques sont :

  • l’énonciation de réserves concernant les renseignements;
  • l’obtention de garanties (assurance);
  • la divulgation partielle des renseignements.

La politique énonce également les exigences s’appliquant à l’utilisation des mécanismes d’atténuation connexes, dont l’utilisation coordonnée parviendrait à réduire les risques en question.

Annexe L : Gendarmerie royale du Canada

Annex L: Royal Canadian Mounted Police Framework

Modifications apportées au cadre : Aucune modification n’a été apportée au cadre de la Gendarmerie royale du Canada (GRC) en 2020. La GRC a entrepris un certain nombre d’examens du cadre régissant ses échanges de renseignements et continue de perfectionner/d’optimiser les processus connexes.

Or, la GRC a également indiqué qu’elle était sur le point de mettre en ligne une formation conçue spécialement pour l’application des dispositions de la Loi.

Tri : Le processus associé au Comité consultatif sur les risques – Information de l’étranger (CCRIE) peut être enclenché lorsqu’un échange de renseignements implique un pays dont le niveau de risque est établi à modéré ou élevé. Un cas dont le niveau de risque est faible n’y serait assujetti que si le représentant croit qu’il existe une certaine probabilité que de mauvais traitements aient eu lieu.

Tous les membres du personnel de la GRC sont tenus de prendre en compte le risque de mauvais traitements avant de demander, de divulguer ou d’utiliser des renseignements. En outre, ils doivent faire appel au CCRIE lorsqu’ils ont relevé que l’État participant à l’échange pouvait poser un risque pour un ou plusieurs individus.

Un employé est presque toujours appelé à réaliser l’évaluation initiale des risques. Lorsqu’une entité a le code de couleur vert, l’employé peut échanger ou utiliser les renseignements sans avoir à consulter le CCRIE, à moins qu’il entretienne des doutes. Dans le cas d’une entité dont le code de couleur est jaune, l’employé doit établir s’il existe un risque sérieux de mauvais traitements en consultant la liste des critères applicables (semblablement au SCRS). Lorsqu’au moins l’un des critères s’applique, l’employé doit renvoyer le cas au CCRIE. Dans le cas d’une entité dont le code de couleur est rouge, l’employé doit renvoyer le cas au CCRIE pour l’évaluation initiale, sauf lorsqu’aucun renseignement personnel n’est échangé.

Groupe de travail : Groupe d’évaluation de l’application de la loi (GEAL). Une évaluation complète du GEAL comprend des renseignements classifiés issues d’autres ministères et organismes du gouvernement fédéral. Le portail du CCRIE a été préparé de sorte à permettre aux employés de la GRC d’accéder aux évaluations et de favoriser la conformité aux directives en vigueur.

Comité de la haute direction : Le CCRIE a été mis sur pied pour favoriser l’examen systématique et cohérent des dossiers de la GRC de sorte à veiller à ce que les renseignements à échanger n’aient pas été obtenus à la suite du mauvais traitement d’une ou plusieurs personnes.

C’est au CCRIE qu’il incombe de déterminer s’il existe des risques sérieux. Advenant que ces risques existent bel et bien, le CCRIE doit formuler des recommandations relativement aux mesures d’atténuation et à la possibilité que celles-ci parviennent de facto à atténuer les risques en question.

Suivant les conseils du Comité, les recommandations du CCRIE sont formulées par la présidence à l’intention du commissaire adjoint/du directeur exécutif responsable du secteur opérationnel qui envisage de divulguer, de demander ou d’utiliser des renseignements.

Le CCRIE détermine si le risque peut être atténué ou non. Dans l’affirmative, le cas est réacheminé au commissaire adjoint. Dans la négative, le CCRIE rejette la demande d’échange ou d’utilisation des renseignements.

Évaluation des pays : Un modèle d’évaluation des pays a été préparé en interne.

La liste énumère en ordre alphabétique les États de même qu’un certain nombre d’entités étrangères (c.-à-d. des services de police, des unités militaires, etc.) qui ont été évaluées. Chacun des éléments de la liste reçoit un code de couleur établissant son niveau de risque (rouge-élevé, jaune-modéré, vert-faible) et s’accompagne des types de crimes et des conditions qui le caractérisent.

Mesures d’atténuation : La GRC s’appuie sur les PE qui ont été établis avec certains partenaires dans le but d’atténuer, du moins partiellement, les risques sous-jacents, particulièrement lorsque des normes bilatérales sont en vigueur en matière de droits de la personne et lorsque les réserves sont généralement respectées. De la même façon, les représentants collaborent avec les agents de liaison de sorte à relever les garanties pertinentes ou encore les stratégies, les facteurs ou les conditions propices à la prévention des mauvais traitements liés aux échanges, aux demandes ou aux utilisations de renseignements.

Toutes les mesures d’atténuation appliquées peuvent être suivies par l’intermédiaire du CCRIE. En l’occurrence, il faut remplir le formulaire de demande du CCRIE. Rappelons que le processus exige de documenter les mesures d’atténuation et les réserves qui ont été employées.

Annexe M : Transport Canada

Hormis le Programme de protection des passagers (PPP), Transports Canada ne dispose d’aucun cadre ministériel régissant l’évaluation des éléments assujettis à la Loi.

Modifications : En septembre 2020, Transports Canada (TC) a préparé une politique ministérielle faisant état des besoins, des rôles et des responsabilités du ministère en lien avec la Loi. TC continue d’être un participant actif du cadre de SP.

Tri : TC se réfère au cadre de SP pour le Programme de protection des passagers.

En cas de problème concernant une demande de renseignements issue d’un partenaire étranger, TC consulte d’autres organismes comme le SCRS ou AMC.

Groupe de travail : TC est un membre votant du Groupe consultatif du PPP, mais ne porte aucune responsabilité pour ce qui a trait à la préparation des mémoires (de cas). À chacune des réunions du Groupe consultatif du PPP, TC a veillé à ce que tous les autres membres votants aient pris acte des responsabilités législatives qui lui incombent en vertu de la Loi sur la sûreté des déplacements aériens pour ce qui a trait, notamment, à la diffusion de la Liste auprès des transporteurs aériens nationaux ou étrangers, mais aussi des responsabilités connexes énoncées dans la Loi.

Comité de la haute direction : TC ne dispose d’aucun comité de la haute direction qui soit en mesure d’examiner plus avant les cas pouvant poser un risque de mauvais traitements.

Évaluation des pays : TC mise sur l’expertise d’autres ministères gouvernementaux. TC s’en remet aux évaluations produites par d’autres organismes gouvernementaux comme SP et AMC.

Mesures d’atténuation : Le cadre a été mis en place par Sécurité publique (SP) suivant des consultations auprès des partenaires du PPP (GRC, SCRS, ASFC). TC a travaillé avec SP pour l’intégration de mesures d’atténuation dans les procédures et protocoles opérationnels des partenaires du PPP.

Share this page
Date de modification :

Déclaration de l’OSSNR concernant son examen sur la production et la communication de renseignement sur l’ingérence étrangère par le gouvernement du Canada lors des 43e et 44e élections fédérales canadiennes

Examens en Cours

Déclaration de l’OSSNR concernant son examen sur la production et la communication de renseignement sur l’ingérence étrangère par le gouvernement du Canada lors des 43e et 44e élections fédérales canadiennes


Table des matières
Aucune balise d'en-tête trouvée

Date de publication :

L’OSSNR estime que la transparence et l’indépendance sont des valeurs fondamentales à la base de son mandat. Tout en protégeant l’information qui pourrait compromettre la sécurité nationale, l’OSSNR s’engage à faire preuve de transparence et à promouvoir la responsabilité démocratique par tous les moyens possibles dans le cadre de son travail. Par ses examens, l’OSSNR agit en tant que mandataire du public et contribue à renforcer la confiance envers les mécanismes de surveillance et d’examen du Canada. L’OSSNR a conçu, délimité et entrepris son examen sur l’ingérence étrangère lors des 43e et 44e élections fédérales canadiennes en faisant preuve d’indépendance. Dans une optique de transparence, l’OSSNR souligne que même si le sujet de son examen chevauche certaines des questions abordées dans l’examen en cours du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et celles dont traite le rapport du rapporteur spécial indépendant (RSI) du 23 mai 2023, la portée de l’examen de l’OSSNR diffère et suit ses propres méthodes, comme il ressort de son mandat publié. Bien que les observations ou les conclusions liées au travail du RSI sont susceptibles de faire l’objet de commentaires dans le rapport final de l’OSSNR, ce dernier vise à présenter les conclusions et les recommandations découlant de l’examen de l’OSSNR.

L’OSSNR note que le RSI a suggéré que « tous les documents qui [lui] ont été fournis doivent être transmis au CPSNR et à l’OSSNR pour qu’ils puissent les examiner en détail et déterminer s’ils tirent des conclusions différentes des [siennes]. » Par la suite, le gouvernement a fourni à l’OSSNR un nombre limité de documents qui, au départ, n’avaient pas été transmis, car il s’agissait de documents confidentiels du Cabinet. Dans tous ses examens, l’OSSNR demande aux personnes faisant l’objet d'examen de se conformer aux attentes de l’OSSNR en matière de réponse aux examens. Cette attente est liée à l’indépendance de l’OSSNR et à l’intégrité de ses examens. Par conséquent, si l’OSSNR doit examiner des documents confidentiels du Cabinet, il doit être en mesure d’examiner tous ceux pertinents pour son examen. La présidente de l’OSSNR a transmis une lettre au premier ministre pour demander que tous les documents confidentiels du Cabinet liés à l’examen de l’OSSNR soient transmis à l’OSSNR, et que tous les renseignements confidentiels du Cabinet dans les documents ne soient pas caviardés. Une traduction de la lettre est publiée sur le site Web de l’OSSNR, disponible en ligne ici.

Coordonnées

Pour obtenir de plus amples informations, prière d’utiliser les coordonnées ci-dessous :

Relations avec les médias
OSSNR
media-medias@nsira-ossnr.gc.ca

Share this page
Date de modification :

Accès aux documents confidentiels du Cabinet pour l’examen sur l’ingérence étrangère

Table des matières
Aucune balise d'en-tête trouvée

Date de publication :

Monsieur le Premier ministre,

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a entrepris un examen sur la production et la diffusion du renseignement sur l’ingérence étrangère dans le cadre des 43e et 44e élections fédérales canadiennes, notamment sur la façon dont le renseignement a été communiqué entre les organismes, les ministères et d’autres groupes du gouvernement du Canada.

Le très honorable David Johnston, en sa qualité de rapporteur spécial indépendant sur l’ingérence étrangère, a indiqué dans son rapport du 23 mai 2023 qu’il avait eu « accès à tous les documents du Cabinet qui concernent les questions d’ingérence étrangère » dans le cadre de son examen. De plus, il a recommandé que le gouvernement divulgue à l’OSSNR les documents confidentiels du Cabinet qui lui ont été fournis aux fins de son examen. Le gouvernement a accepté cette recommandation.

La portée de l’examen de l’OSSNR est différente de celle de l’examen du rapporteur spécial indépendant. Afin d’assurer l’intégrité de l’examen de l’OSSNR et de ne pas limiter ou influencer sa base de données probantes, l’OSSNR doit avoir accès à tous les documents contenus dans toute catégorie de documents fournis, plutôt qu’à un sous-ensemble de ces documents.

Par conséquent, l’OSSNR demande respectueusement que lui soient communiqués tous les documents confidentiels du Cabinet liés à son examen et que tous les documents fournis ne soient pas caviardés.

L’OSSNR reconnaît la nature exceptionnelle de cette demande et le sérieux de la communication des documents demandés. Il espère compter sur votre aide pour y accéder et réaliser les objectifs de son examen indépendant.

Je vous prie d’agréer, Monsieur le Premier Ministre, l’expression de ma très haute considération.

L’honorable Marie Deschamps, C.C.
Présidente, Office de surveillance des activités en matière de sécurité nationale et de renseignement

Share this page
Date de modification :

Examen de l’OSSNR de la production et de la diffusion de renseignement du gouvernement du Canada sur l’ingérence étrangère dans les 43e et 44e élections fédérales canadiennes

Examens en Cours

Examen de l’OSSNR de la production et de la diffusion de renseignement du gouvernement du Canada sur l’ingérence étrangère dans les 43e et 44e élections fédérales canadiennes


Contexte

Attributions, 23 mai 2023

Date de publication :

Introduction

L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a entamé un examen de la production et de la diffusion de renseignement sur l’ingérence étrangère dans les 43e et 44e élections fédérales canadiennes, notamment sur la façon dont les informations liées au renseignement ont circulé entres les organismes, ministères et autres groupes au sein du gouvernement du Canada.

L’examen inclura les organismes et les ministères responsables de la production et de la diffusion de renseignement sur l’ingérence étrangère au Canada; ces organismes informent les décideurs du gouvernement sur les menaces d’ingérence étrangère contre les institutions et les processus démocratiques canadiens.

Pouvoirs législatifs

Cet examen est effectué aux termes des alinéas 8(1)a) et 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Renseignements généraux

À partir de l’automne 2022, une série d’articles publiés par le Globe and Mail et Global News cite des documents classifiés du Service canadien du renseignement de sécurité sur l’ingérence étrangère de la République populaire de Chine (RPC) dans les institutions et processus démocratiques canadiens, notamment dans les 43e et 44e élections fédérales. Ces publications ont suscité des inquiétudes quant à la réaction du gouvernement à la menace d’ingérence étrangère et, par conséquent, à l’intégrité des institutions et processus démocratiques du Canada.

Le 9 mars 2023, l’OSSNR a annoncé qu’il entamerait un examen de la production et de la diffusion de renseignement sur l’ingérence étrangère en ce qui concerne les 43e et 44e élections fédérales. L’expertise et le mandat de l’OSSNR lui permettront d’examiner le flux d’informations cruciales au cours de la période visée, au sein et entre tous les organismes, ministères et organes gouvernementaux concernés. Ce flux - le processus par lequel la communauté de la sécurité et du renseignement a produit, diffusé et communiqué du renseignement - est fondamental pour la conversation plus large concernant l’ingérence étrangère dans les processus et les institutions démocratiques canadiens au cours des cinq dernières années. La capacité de l’OSSNR d’examiner l’ensemble de la communauté de la sécurité et du renseignement, et d’accéder aux informations très délicates détenues par chaque ministère et organisme, rendent le présent examen impératif.

Portée

L’examen se déroulera de septembre 2018 à mars 2023. Il concerne les ministères et organismes suivants :

• Service canadien du renseignement de sécurité
• Centre de la sécurité des télécommunications Canada
• Gendarmerie royale du Canada
• Affaires mondiales Canada
• Sécurité publique Canada
• Bureau du Conseil privé

L’examen inclura le renseignement sur l’ingérence étrangère dans les institutions et processus démocratiques fédéraux produit et diffusé au cours de la période d’examen.

S’il le juge nécessaire, l’OSSNR peut demander et examiner des informations en dehors des paramètres identifiés ci-dessus.

Objectif

L’examen vise à :

• Consigner et évaluer la production et la diffusion de renseignement sur l’ingérence étrangère, notamment la communication de renseignement au sein des organismes et des ministères du gouvernement du Canada et entre eux.

Méthodologie et besoins en information

Diverses méthodes seront utilisées pour recueillir et analyser les informations nécessaires à l’atteinte du but fixé pour le présent examen. Il peut s’agir, entre autres, de demandes de documents, d’exposés ou d’entretiens oraux, de visites sur place, d’accès à des bases de données et à des répertoires d’informations pertinents, et de demandes de réponses écrites à des questions ou d’éclaircissements.

L’OSSNR a publié sur son site internet ses attentes en matière de réponse aux examens, lesquelles comprennent les attentes en matière d’accès à l’information . Un exercice de vérification sera mené pour que l’OSSNR puisse tester l’exhaustivité ou l’exactitude des informations examinées. Le résultat de l’exercice de vérification servira de fondement à une « déclaration de réponse » qui sera jointe au rapport à l’issue de l’examen.

L’OSSNR diffusera le rapport d’examen achevé aux ministères et organismes concernés et en publiera une version expurgée sur son site Web.

Share this page
Date de modification :