Le 10 février 2021, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a déposé devant le ministre de la Sécurité publique et de la Protection civile un rapport classifié faisant état de la relation entre le SCRS et la GRC dans une région du Canada du point de vue d’une enquête en cours
Suivant l’examen de l’OSSNR, on a relevé que dans la région concernée, les organismes avaient établi une relation étroite qui a concrètement permis d’harmoniser les activités opérationnelles. Néanmoins, les contraintes technologiques rendent fastidieux et chronophage le processus d’harmonisation entre le SCRS et la GRC. Qui plus est, l’OSSNR a relevé une réticence généralisée de la part des deux organismes, lorsqu’il s’agit de relier les renseignements du SCRS à une enquête de la GRC.
L’OSSNR a trouvé que le cadre qui guide actuellement les relations entre le SCRS et la GRC établissait les principes et les lignes directrices devant régir la gestion des risques liés aux interactions et aux échanges de renseignements entre les deux organismes. En revanche, il ne permet toujours pas de résoudre certaines questions fondamentales liées au problème de « conciliation du renseignement et de la preuve ».
Dans l’ensemble, l’OSSNR estime que le SCRS et la GRC ont fait peu de progrès relativement au traitement de la menace faisant l’objet d’une enquête. De plus, le SCRS et la GRC ne partagent pas la même vision ni ne disposent de stratégies complémentaires permettant de s’attaquer à la menace.
La publication du présent résumé s’harmonise avec les efforts de l’OSSNR visant à accroître la transparence et à être plus accessible aux Canadiens grâce à son travail. À l’avenir, l’OSSNR examinera la mise en œuvre, par le SCRS et la GRC, des résultats de l’Examen de l’amélioration de l’efficacité opérationnelle (EAEO), lequel énonce d’ambitieuses recommandations visant à améliorer la façon dont le SCRS et la GRC gèrent conjointement les menaces.
Le 14 août 2019, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a présenté au ministre de la Sécurité publique et de la Protection civile un rapport classifié sur son examen de la Direction de la sécurité interne du Service canadien du renseignement de sécurité (SCRS). Cet examen fait suite à l’étude menée en 2013 par le prédécesseur de l’OSSNR, le Comité de surveillance des activités de renseignement de sécurité (CSARS), de la Direction de la sécurité interne (SI) du SCRS. Le CSARS a relevé un certain nombre de lacunes graves quant à la manipulation de dossiers sensibles et de listes d’accès, ainsi qu’aux pratiques en matière d’enquêtes internes et à la gestion de ces dernières par le SCRS.
Le dernier examen de l’OSSNR a révélé que, bien que des améliorations importantes aient été apportées à la sécurité interne du SCRS depuis l’examen de 2013 (La menace interne et son incidence sur la gestion de l’information – Rapport en vertu de l’article 54 [TRÈS SECRET] [PDF de l’examen]CSARS 2013-06), d’autres améliorations aux politiques de sécurité interne pourraient renforcer l’uniformité du processus décisionnel concernant les dossiers de sécurité du personnel et les enquêtes. Cela pourrait aussi améliorer l’équité procédurale de ces processus en général.
L’examen de l’OSSNR a également examiné l’utilisation du polygraphe et cherché comment on en justifiait l’utilisation tout en évaluant à quel point de telles utilisations sont raisonnables et nécessaires. Plusieurs observations clés ont été tirées de cette analyse. Elle a aussi soulevé une question beaucoup plus vaste, à savoir la mesure dans laquelle le document de politique global du gouvernement, la Norme sur le filtrage de sécurité, fournit une orientation adéquate aux ministères et organismes lorsqu’ils mettent en œuvre cette mesure de protection.
À l’avenir, l’OSSNR continuera d'examiner l’utilisation du polygraphe comme outil de filtrage de sécurité.
Le 23 août 2019, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a présenté au Ministre de la Sécurité publique et de la Protection civile un rapport classifié sur son examen de l’utilisation des renseignements de géolocalisation par le SCRS.
Selon ce rapport, l’OSSNR a conclu que l’utilisation de ces données de géolocalisation par le SCRS sans mandat risquait de contrevenir à l’article 8 de la Charte canadienne des droits et libertés (la Charte), qui protège contre les fouilles, les perquisitions et les saisies abusives. Le 16 mars 2020, l’OSSNR a présenté un rapport en vertu de l’article 35 de la Loi sur l’OSSNR au ministre de la Sécurité publique et de la Protection civile au sujet de l’activité illégale possible.
Cet examen a soulevé des questions pressantes au sujet de l’utilisation des données accessibles au public, mais qui met néanmoins en cause l’attente raisonnable d’une personne en matière de vie privée. L’examen de l’OSSNR a examiné le processus décisionnel qui a amené le SCRS à utiliser ces données sans mandat, et a conclu que le SCRS n’avait ni les politiques, ni les procédures nécessaires pour s’assurer qu’avant d’utiliser les données, il demanderait un avis juridique pour éviter leur utilisation illégale.
Par ailleurs, l’examen a également permis de souligner de façon plus générale que, dans ce contexte, un soutien juridique continu aux activités d’exploitation de données par le SCRS est essentiel pour que l’organisme puisse fonctionner à un niveau de risque acceptable. Il a également souligné que le SCRS et le ministère de la Justice devaient faire preuve de leadership institutionnel à cet égard.
À l’avenir, l’OSSNR accordera la priorité à l’examen de l’utilisation de la technologie par le SCRS, en particulier les technologies nouvelles ou émergentes qui posent les plus grands risques.
Le Comité de surveillance des activités de renseignement de sécurité (CSARS) a commencé le présent examen conformément aux dispositions du paragraphe 38(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS), qui conférait au CSARS la fonction de surveiller la façon dont le Service canadien du renseignement de sécurité (SCRS) exerce ses fonctions.
Pendant qu’il effectuait cet examen, le projet de loi C-59 – Loi concernant des questions de sécurité nationale – a reçu la sanction royale le 21 juin 2019. La partie 1 du projet de loi C-59 édictait la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), qui est entrée en vigueur par décret de la gouverneure en conseil le 12 juillet 2019. La Loi sur l’OSSNR a abrogé les dispositions de la Loi sur le SCRS qui constituaient et régissaient le CSARS et l’a remplacé par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR ou Office). La Loi sur l’OSSNR prévoit la composition, le mandat et les pouvoirs de l’OSSNR et modifie la Loi sur le SCRS, et d’autres lois, en vue du transfert de certaines attributions au nouvel office.
La présente étude a été poursuivie conformément aux dispositions de l’alinéa 8(1)a) et du paragraphe 8(3) de la Loi sur l’OSSNR qui confèrent à l’OSSNR le mandat d’examiner toute activité exercée par le SCRS et de formuler les conclusions et recommandations qu’il estime indiquées.
2. Introduction
Dans l’exercice de sa fonction d’examen, l’OSSNR s’attend à ce que les activités du SCRS soient légales et conformes aux directives ministérielles. Le présent examen est axé sur la collecte de données de géolocalisation sans mandat par le SCRS et s’inscrit dans le cadre de l’intérêt constant que l’OSSNR porte aux activités de collecte et d’exploitation de données
menées par le SCRS avec et sans mandat. Des examens antérieurs ont porté sur les activités de collecte et de conservation de métadonnées menées par le SCRS en vertu de mandats et sur les activités de collecte et d’exploitation d’ensembles de données personnelles menées par le SCRS sans mandat. La présente étude est la première que l’OSSNR consacre à la collecte de données de géolocalisation par le SCRS.
Le présent examen a été effectué dans le contexte de décisions de la Cour fédérale, plus particulièrement de la décision sur les numéros d’identité internationale de l’abonné mobile (IMSI) rendue le 27 septembre 2017, qui ont des répercussions sur la collecte, l’utilisation et la conservation de données par le SCRS, y compris des données géolocalisation. Dans la décision qu’elle a rendue sur les IMSI, la Cour fédérale a conclu que l’article 12 autorise effectivement le SCRS à obtenir des données de géolocalisation lorsque les attentes en matière de vie privée sont faibles, mais qu’il aurait besoin d’un mandat pour passer à des activités plus envahissantes, comme géolocaliser un individu.
Il convient de signaler que la portée de l’étude était plus large au départ et qu’elle visait à inclure un examen plus exhaustif de la collecte de différents types de données de géolocalisation, avec ou sans mandat. L’OSSNR tiendra compte de la portée réduite de cet examen dans de futures études.
3. Objectifs
La présente étude vise à déterminer si la collecte sans mandat de données de géolocalisation que le SCRS utilise à l’appui de ses opérations est conforme aux sources de droit applicables, dont la Charte canadienne des droits et libertés (Charte) et la Loi sur le SCRS, ainsi qu’aux directives ministérielles et aux politiques opérationnelles. Elle vise également à déterminer si le SCRS a mis en place suffisamment de garanties, sous la forme de politiques et de procédures officielles, pour être en mesure de respecter ses obligations juridiques dans une période où la technologie et le contexte juridique évoluent rapidement.
4. Portée et méthode
La portée et l’orientation de l’étude ont été définies à la suite d’un examen préliminaire des documents disponibles et d’une séance d’information avec la ████████████████████████████████████████████████████████ De plus, l'OSSNR a demandé au SCRS de recenser toutes les activités menées par la █████ susceptibles d’avoir entraîné la collecte desdonnées géographiquesdecibles qui ne sont pas visées par un mandat au cours de la périodeà l’étude.Ces informations ont servi de fondement pour demander certains documents au SCRS.
L’OSSNR a examiné tous les documents fournis par le SCRS et a demandé, extrait et examiné des documents provenant de divers systèmes informatiques et des courriels du SCRS afin de s’assurer de disposer d’un bilan clair des activités. Parmi les documents examinés figuraient des demandes envoyées par les régions à la image ██████████████ , les réponses données à ces demandes, des notes d’information, des documents de planification, des évaluations juridiques et des documents de correspondance interne.
Pour évaluer la conformité avec la loi de l’utilisation que le SCRS fait des données de géolocalisation, l’OSSNR a décidé d’effectuer une étude de cas approfondie de ██████████████████████████████████████████ de géolocalisation. L’Office a examiné toutes les fois où le SCRS a utilisé ██████████ pendant la période à l’étude.
Comme le présent examen repose sur une seule étude de cas, l’OSSNR est conscient qu’il étend
ses constatations et ses conclusions à d’autres types de données de géolocalisation
L’examen visait essentiellement la période du 1er janvier 2017 au 30 juin 2018, mais l’OSSNR a
également tenu compte d’informations hors de cette période pour assurer l’exhaustivité de son
évaluation.
5. Critères
Exigences légales et ministérielles
L’OSSNR s’attend à ce que le SCRS mène ses activités conformément aux sources de droit
pertinentes, dont la Loi sur le SCRS, la Charte, la Loi sur la protection des renseignements
personnels et la jurisprudence. Il s’attend aussi à ce qu’il le fasse conformément aux directives
ministérielles. Étant donné le thème de cet examen, l’analyse de la Charte, dont l’article 8 établit que chacun a
droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, était
particulièrement importante. Cette analyse visait à déterminer si l’utilisation de ███████ pour
recueillir les données de géolocalisation d’une personne constitue une fouille aux fins de
l’article 8, ce qui nécessiterait un mandat.
Politiques et procédures
L’OSSNR s’attendait à ce que le SCRS se soit doté de politiques et de procédures pour orienter
la collecte, l’utilisation et la conservation des données de ███████ , malgré leur caractère
unique, et à ce que ces politiques et procédures soient conformes aux obligations légales du
SCRS, notamment en vertu de la Charte, ainsi qu’à ses obligations découlant des instructions du
ministre.
À titre de référence, les politiques pertinentes en ce qui a trait à la collecte d’informations ███████
███████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ En principe,
cela autorise la collecte d’informations de cette nature sur un très vaste échantillon de
personnes;
les politiques sur les activités de collecte du █████████ , dont la note de service du SDO de 2015 faisant du █████████ le
centre de décision national pour la █████████De
plus, les procédures sur la █████████ permettent au █████ de mener █████████ une telle activité, définie comme un outil ou une technique ne nécessitant
pas l’obtention d’un mandat et pouvant être utilisée contre ██████████████████████████████████████████████████████████████.
6. Contexte
La technique d’enquête – █████████
████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ d'utilisateurs du monde entier.
█████████ garde ses données pendant trois mois. Les informations ne sont pas disponibles en
temps réel. Cependant, il faut compter seulement de 24 à 48 heures entre le moment où ████ est recueilli et celui où il est disponible dans ████████.
La █████ a abondé dans le sens du █████ et s’est demandé elle aussi si l’utilisation de
risquait de soulever des problèmes de nature juridique qui devraient être réglés avant la période
d’essai. La █████ a demandé à connaître les règles afin de pouvoir planifier en conséquence et
tirer le maximum de l’évaluation. Elle a ajouté que les données semblaient formidables, mais
qu’elles devaient être assujetties à des règles de gouvernance ou de nature juridique lorsqu’elles
se retrouvent entre les mains d’un organisme fédéral. Ces questions ont été soulevées dans un
courriel envoyé au █████ et au ███████████.
███████████████████████████████████████████████████████████████████████████████████████████████████████████████████ Néanmoins, en septembre 2017, la █████
se préparait à évaluer █████ , c’est-à-dire à █████ ce service pour une période
d’essai de deux mois.
La █████ a réuni en octobre le █████████████████████████████████████████████████████████████████████████████████████████████████████████
Cette réunion avait pour objectif de préparer une
évaluation de █████ et, à cette fin, de prendre des décisions sur quelques détails visant à
assurer la conformité aux lois et aux politiques.
Les questions inscrites à l’ordre du jour étaient les suivantes :
1 ) La politique actuelle du █████ s’applique-t-elle à l’utilisation de █████ ou doit-elle
être adaptée?
2) Existe-t-il une attente raisonnable en matière de respect de la vie privée à l’égard des
données de ███████.
3) Y a-t-il autre chose dont le SCRS doit tenir compte avant de pouvoir utiliser █████
Par exemple, des procédures ou des essais additionnels de █████ ?
Selon le compte rendu écrit des discussions que la █████ a diffusé à la suite de la rencontre, il a
été convenu que █████ était conforme aux activités de collecte menées par le CRTI en
vertu d’une autorisation générale, permettant « la recherche et l’utilisation d’informations de
sources ouvertes » à l’appui d’enquêtes. Il a également été décidé que l’utilisation de █████
cadrait avec les politiques du █████ puisqu’il s’agirait de questions liées à des
menaces par l’utilisation ██████████████ qui ne serait utilisé qu’avec les
autorisations ██████████████ . Enfin, il a été évalué que les données de ██████████████ qui
seraient intégrées dans les fichiers respecteraient le critère de la stricte nécessité applicable à la
collecte et à la conservation énoncé dans la Loi sur le SCRS parce qu’elles seraient liées à une
menace précise.
Après la réunion, le chef adjoint des ██████ a approuvé l’utilisation à l’essai de ██████
Dans le document d’approbation, qui est en fait un courriel adressé à la ███ et au ████
, le chef adjoint précise que, ██████████████████████████████████████████████████████████████████.
b. La période d’essai au SCRS – de mars à juillet 2018
Le SCRS a amorcé son projet pilote ████ le 14 janvier 2018. Ce projet devait durer deux
mois initialement, mais comme le SCRS s’est heurté dès le départ à des problèmes techniques
qui ont retardé son utilisation complète et ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Pendant cette période, ████████ a été utilisé environ ███ fois au total, ce qui a donné lieu à ███
messages opérationnels. Comme il a déjà été signalé, la ███ a fait des efforts pour s’assurer
que ████ de ████████ était conforme aux politiques du SCRS sur la collecte et ████████
en vertu d’autorisations d’enquête ainsi qu’au critère de la stricte nécessité
applicable à la collecte et à la conservation énoncé dans la Loi sur le SCRS.
La ████ a terminé son évaluation de ████████ à la fin d’avril 2018. ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████.
La première version d’une note d’information visant à obtenir l’autorisation ████████████
a été rédigée conjointement par le ████ en avril 2018. Il y était
indiqué que le projet pilote d’utilisation de ████ avait été mené en vertu des autorisations
accordées au ████ et, qu’après évaluation, il avait été estimé que ████ était conforme aux
politiques opérationnelles actuelles. ████████████████████ étaient
également mentionnés dans la note d’information : dans le premier cas, seule une quantité
limitée d’informations serait recueillie, ce qui serait conforme au critère de stricte nécessité; dans
le deuxième cas, ████████████████████
, qui serait alors ████████████████████.
Le ████████████ ont rédigé une autre version de la note d’information. Cette
dernière était datée du 15 mai 2018 et a été envoyée au directeur général (DG) de la ████.
Contrairement à la première version, cette note d’information avait le double objectif d’obtenir
un avis juridique et ████████████. Dans
cette version qui a finalement été envoyée au DG de la █████ , il était également indiqué que ██████
avait été jugé conforme aux autorisations accordées au ██████ , à la suite de
discussions avec la Direction de l’examen externe et de la conformité (EEC) du SCRS et ██████
de la ██████ ainsi que d’une rencontre informelle avec un représentant des Services juridiques (SJ). Il était précisé que l’██████████████████ était
conforme aux directives et aux autorisations existantes et que, bien que l’ ██████ ait estimé que le ████████████████
, aucun avis juridique officiel n’avait encore
été reçu et que la note d’information pourrait être le mécanisme permettant d’en obtenir un.
L’OSSNR s’est informé sur la teneur des discussions tenues avec l’EEC et les SJ ainsi que sur
les documents disponibles sur ces réunions. Il a appris que l’agente de conformité de l’EEC
intégrée dans la ████ connaissait ████, parce qu’il avait été présenté au cours d’une
assemblée générale, mais qu’elle n’avait participé à aucune discussion à ce sujet. L’OSSNR a
demandé à voir les documents à l’appui des discussions avec les SJ, mais n’a rien reçu.
c. Avis juridique : de juillet 2018 à février 2019
Après avoir reçu la note d’information de mai, le 20 juillet, le DG ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Le 31 juillet, un avis juridique préliminaire a été reçu.
Un avis juridique officiel a été fourni le 7 décembre 2018 qui remettait en question l’utilisation
de ████████sans mandat par le SCRS, sauf dans des cas très rares, par exemple, ████████████████████████████████████████████████████████████████████.
Le SCRS a demandé un nouvel avis juridique afin de savoir si████████████████████████████████████████
Dans l’avis juridique fourni en réponse à cette question,
daté du 19 février 2019, les SJ ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████.
En se fondant en partie sur l’avis juridique de février 2019, le SCRS a par la suite décidé de ████████████████████████████████████████████████████████████████████████████████████████████████████████
. L’OSSNR croit comprendre qu’à l’heure actuelle ████████████
n’est utilisé que dans des circonstances très précises et conformément aux lignes
directrices énoncées dans les avis juridiques.
7. Constatations
Constatation no 1 – Respect de la Loi sur le SCRS et de la Charte
L’OSSNR constate qu’il y avait un risque que le SCRS contrevienne à l’article 8 de la
Charte pendant la période d’essai au cours de laquelle il a utilisé █████ sans mandat.
Le SCRS a demandé aux SJ de lui fournir un avis juridique sur cette technique d’enquête, plus
particulièrement de se pencher sur la question du risque juridique associé à l’utilisation de
██████████au sujet (i) de Canadiens ou de personnes se trouvant au Canada;
(ii) de sources humaines ou d’employés, avec leur consentement éclairé. Dans une note de
service datée du 7 décembre 2018, les SJ ont fourni l’avis juridique suivant au SCRS.
L’examen du dossier effectué par l’OSSNR, dans le but de disposer d’un avis juridique
indépendant, appuie l’opinion des SJ à cet égard. Plus particulièrement, l’Office croit que
l’utilisation de ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████constitue une fouille au sens de l’article 8 de la Charte. Pour arriver à cette conclusion, l’OSSNR
constate qu’il est très peu probable qu’un tribunal conclue que l’article 12 de la Loi sur le SCRS
constitue une autorisation légale suffisante pour que l’utilisation de ██████ sans mandat ne
soit pas « abusive » aux fins de l’article 8 de la Charte. Le SCRS serait donc tenu d’obtenir un
mandat conformément à l’article 21 de la Loi sur le SCRS pour effectuer une telle fouille. Il
convient de signaler que l’Office a fondé son analyse juridique sur le même ensemble de faits
que les SJ pour fournir leur avis juridique.
Pour parvenir à cette conclusion, l’OSSNR interprète l’article 12 de la Loi sur le SCRS comme
autorisant uniquement les activités de collecte dont le niveau d’intrusion est minimal. À cet
égard, il est d’accord avec l’avis des SJ selon lequel, ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Au moment de la rédaction du présent rapport, le SCRS évalue diverses façons d’utiliser █████████
dans le futur après avoir obtenu un mandat.
███████
Constatation no 2 – Gouvernance du projet pilote d’utilisation de █████████
L’OSSNR constate qu’aucun centre de décision n’était clairement responsable de
l’utilisation des données de ████████.
L’OSSNR a demandé sur quelles politiques et procédures avait reposé la décision d’autoriser la
période d’essai et quelle sous-section de la ████ avait été chargée d’évaluer et d’autoriser
l’utilisation de ████ . Comme il a déjà été mentionné, le dossier donne à penser que trois
sous-sections distinctes ont participé à ██████████
pour la période d’essai.
█████████████ avait été chargée En tant que centre de
décision en ce qui a trait à a pour rôle et pour mandat de coordonner, ██████████████████
À ce titre, elle aurait été chargée
d’évaluer les répercussions sur la vie privée de l’utilisation de ███████████, entre autres, si ████████
avait été considérée comme un █████ Toutefois, ███████
n’était pas ███████ , mais plutôt comme un █████████████████
n’a donc pas évalué si l’utilisation de ███████ sur les
Ceci dit, il était clairement indiqué dans la note d’information du
15 mai 2018 ███████ que estimait que l’utilisation de ███████ était conforme
aux directives et autorisations actuelles. Faute de dossier officiel, l’OSSNR n’a pas été en
mesure d’évaluer la teneur, ou le fondement, de cette évaluation.
Le ██████ est la sous-section chargée d’assurer un soutien opérationnel à la ████████████████████████
en utilisant des ████████████████████████
L’équipe du ██████ utilise d’autres produits de ████████████ et est
celle qui a assisté à la première démonstration de ██████. Il a finalement été déterminé que
ce serait en vertu des autorisations du que serait utilisé. Toutefois, le ██████
n’était pas le principal utilisateur de ██████ . Il n’a pas participé non plus à l’évaluation
officielle des données de ██████
Il incombait donc à la ██████ de trouver un moyen d’évaluer officiellement ██████ étant
donné son expertise en données de géolocalisation. Toutefois, la ██████ ne recueille généralement
pas de données, mais se contente plutôt d’utiliser celles qui lui sont fournies. Elle n’a donc pas
effectué une évaluation préliminaire approfondie, et ne s’est pas fait demander de le faire, afin de
déterminer si l’utilisation de ██████ soulevait des problèmes, de nature juridique ou autres,
qu’il faudrait régler, même à l’étape du projet pilote. La ██████ a néanmoins préparé, de son
propre chef, un document officiel afin de guider son évaluation de ██████ pendant la
période d’essai. L’OSSNR constate également que la ██████ s’est conformée à la politique actuelle
de n’utiliser ██████ que lorsqu’il existait une autorisation d’enquête valide.
L’OSSNR n’a reçu aucun document officiel sur la décision d’autoriser le projet pilote. L’avis de
décision d’utiliser ██████ dans le cadre d’un projet pilote était un courriel, qui contenait le
paragraphe suivant.
[Traduction] Je ne vois aucune raison de ne pas entreprendre une évaluation – ██████████████████
De plus, ██████████████████, ██████████████████████
par exemple, ne sont pas fournis tant que nous n’avons pas
déterminé qu’ils sont « strictement nécessaires » et qu’ils présentent un intérêt dans le cadre de l’enquête – il ne s’agit donc que jusqu’à ce que nous
trouvions quelque chose de pertinent.
Ultimately, NSIRA was unable to identify which of the three policy areas within ██████ should have had, according to existing policies and procedures, responsibility for the assessment of ████████████████████████████████████████████████████████████████████████████████████.
Constatation no 3 – Avis de décision
L’OSSNR constate que le document d’approbation du projet pilote d’utilisation de ██████
était un courriel, et que ce courriel n’a pas été « classé » dans le dossier
officiel, comme il aurait dû l’être
Comme il a déjà été mentionné, ce qui se rapproche le plus d’un avis de décision d’utiliser ██████
dans le cadre d’un projet pilote était un courriel d’un chef adjoint de la ██████ dont
le texte intégral est cité ci-dessus.
L’OSSNR constate que ce courriel n’a pas été « classé » comme il aurait dû l’être étant donné
qu’il représente, de facto, l’autorisation d’acquérir ██████ afin de l’évaluer et qu’il est
nécessaire à des fins de gestion des dossiers et de reddition de comptes. Il a plutôt été enregistré
sur un lecteur « personnel » et n’a été présenté que dans le cadre du processus d’examen.
Constatations nos 4 et 5 – Évaluation du risque dans le dossier de ██████
L’OSSNR constate qu’étant donné que le SCRS ne dispose d’aucune politique ou
procédure sur l’évaluation et la manipulation des technologies de collecte nouvelles ou
émergentes, une évaluation officielle des risques juridiques associés à l’utilisation de
██████ aurait été nécessaire
L’OSSNR constate que le SCRS n’a pas tenu compte de multiples indices que l’utilisation
de ██████ pourrait soulever des problèmes juridiques
Selon les directives ministérielles, le SCRS doit évaluer quatre catégories de risques liés aux
activités opérationnelles (opérationnel, politique, juridique et lié à la politique étrangère). Plus
particulièrement, il est indiqué dans les directives que le SCRS doit « examiner son propre
niveau d’expérience ainsi que le caractère innovateur de l’activité opérationnelle».
L’OSSNR s’est fait dire qu’il n’existe aucun processus officiel d’évaluation des risques dans des
dossiers comme celui de ████████████ , parce que ce logiciel était considéré comme ████████████████████████ Cette position est conforme à la lecture que fait l’Office des politiques pertinentes,
citées un peu plus haut, c’est-à-dire ████████████████████████████████
, aucune de ces politiques n’exigeant
une évaluation des risques juridiques avant ████████████ soit utilisé à des fins de collecte.
Il a été donné à entendre à l’OSSNR qu’il n’aurait pas été possible d’effectuer une évaluation
approfondie de ████████ avant le projet pilote, le raisonnement étant qu’une évaluation des
risques n’est possible que lorsque les ████████. L’OSSNR accepte en
principe qu’il existe des situations dans lesquelles il serait difficile de se rendre compte des
risques juridiques tant que ████████ et ne les a pas pleinement
évaluées. Cependant, il incombe au SCRS d’atténuer ces risques le plus possible malgré les
difficultés.
De plus, dans ce cas, l’OSSNR constate qu’il y avait des indices de la nécessité de faire preuve
de prudence face aux ████████ avant même le début de l’essai, notamment la
décision sur les IMSI de la Cour fédérale, qui a conclu qu’il fallait un mandat pour géolocaliser
une personne.
À l’interne, de multiples indices démontraient qu’il pourrait y avoir des raisons de faire
particulièrement attention, dont :
deux courriels envoyés avant le début du projet pilote, l’un par le █████ le 28 juin 2017,
l’autre par la █████ le 27 septembre 2017, contenant tous les deux des questions de nature
juridique ou liées à la gouvernance;
la réunion organisée par la █████ afin de déterminer si les données de █████ étaient
associées à une attente raisonnable en matière de respect de la vie privée;
les exemples fournis par ███████████████████████████████████████████████████████████████████████████████████████████████ et l’évaluation de █████ en avril 2018, selon laquelle cet outil soulevait des
préoccupations sur le plan de la protection de la vie privée parce qu’il était possible de
générer █████████ et █████████.
Il y a eu d’autres indices de la nécessité d’être prudent. ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Malgré ces signes, aucune mesure officielle n’a été prise pour évaluer la question des risques
juridiques avant la note d’information de mai 2018 qui demandait un avis juridique officiel.
L’OSSNR recommande qu’une politique soit élaborée ou modifiée selon le cas exigeant
une évaluation documentée des risques, juridiques notamment, dans des situations
comme celle de ██████████ c’est-à-dire lorsque les informations recueillies au moyen
de technologies nouvelles ou émergentes sont susceptibles de contenir des données à
l’égard desquelles il peut y avoir une attente raisonnable en matière de respect de la vie
privée. De plus, l’OSSNR recommande qu’un centre de décision soit clairement désigné
pour ce type de collecte ██████████ , si ce n’est pas le ██████████.
Conclusion
D’entrée de jeu, █████ a été qualifié d’outil utilisant des █████
Cette affirmation figure clairement dans le courriel d’approbation. █████████████████████████████
envisagerait, il n’est pas clair que, comme il est affirmé, les données exploitées au moyen █████ de
sont vraiment des ███████████████ du moins au sens où on l’entend
couramment.
La façon dont █████ a été évalué n’a pas été sans conséquence, en ce sens qu’elle semble
avoir justifié l’absence d’une évaluation juridique plus approfondie. Cette hypothèse s’est
révélée problématique : elle a eu pour conséquence d’exposer le SCRS à un risque de contrevenir
à la Charte.
L’OSSNR est conscient que des discussions ont été tenues au sein de la █████ sur la nécessité
de bénéficier d’un soutien juridique constant. Plus précisément, le █████ a demandé qu’une
enveloppe budgétaire sur les politiques et les dispositions législatives soit créée afin que les
questions juridiques et de politique liées à l’exploitation des données soient adéquatement
traitées. Il demandait notamment qu’une ressource des SJ soit affectée à ces questions à plein
temps ou même un jour par semaine afin de pouvoir compter sur un soutien juridique35.
L’OSSNR comprend que cette demande a été faite en partie à cause de la difficulté à obtenir un
avis juridique lorsque le besoin s’en fait sentir. Il a été informé qu’aucune réponse n’a encore été
donnée à la demande du █████ de bénéficier d’un soutien juridique hebdomadaire
La combinaison d’un élargissement de la portée du type, de la quantité et des sources de données
recueillies par le SCRS et d’un contexte juridique en évolution constante expose ce secteur à un
risque juridique élevé en permanence. Le SCRS a déclaré publiquement que le concept de l’attente raisonnable en matière de respect de la vie privée évolue au fil du temps et s’est assuré à
voir à ce que ses méthodes de détermination de l’attente raisonnable en matière de respect de la
vie privée demeurent cohérentes.
L’OSSNR est d’avis que, dans ce contexte, il est essentiel que la █████ puisse bénéficier d’un
soutien juridique pour que le niveau de risque des activités menées par le Service soit acceptable.
L’OSSNR s’attend à ce que le SCRS et le ministère de la Justice fassent preuve d’un leadership
institutionnel qui permettrait la prise de décisions responsables dans un contexte d’incertitude en
mettant à la disposition de la █████ le soutien juridique dont elle a besoin en priorité.
Réponse de la direction du CST à l’examen de l’Office de surveillance des activités en matière
de sécurité nationale et de renseignement (OSSNR) portant sur la divulgation d’informations
nominatives sur des Canadiens en 2018-2019
L’OSSNR a présenté son examen classifié au ministre de la Défense nationale en
novembre 2020.
Tout au long de l’examen de son processus de divulgation, le CST a répondu aux demandes de
l’OSSNR dans les meilleurs délais. Il a aussi offert de préciser le contexte et de présenter aux
membres des séances d’information portant sur ses processus.
Importance des examens indépendants externes
Le CST reconnaît l’importance des examens indépendants externes visant ses activités et reste
déterminé à poursuivre un dialogue positif avec l’OSSNR et les autres organes d’examen et de
surveillance.
Ce cadre d’examen et de surveillance permet au CST de remplir son importante mission en
matière de renseignement étranger, de cybersécurité et de cyberopérations étrangères tout en
démontrant qu’il prend ses responsabilités, ce qui renforce la confiance des Canadiens.
Le CST mène ses activités de manière à cultiver une tradition de conformité enracinée dans sa
compréhension de son régime juridique et politique et mise en évidence par sa pratique
rigoureuse d’autosignalement des incidents et des erreurs, et la rigueur avec laquelle il s’assure
d’y remédier.
Nous apprécions les efforts déployés par l’OSSNR pour offrir aux Canadiens une meilleure
compréhension de l’important travail que le CST accomplit chaque jour pour assurer la sécurité
des Canadiens.
Nous acceptons les recommandations visant à améliorer nos processus, mais craignons que les
conclusions globales ne soulignent pas pleinement la mesure dans laquelle notre organisme
s’engage à protéger la vie privée.
Information nominative sur un Canadien et engagement du CST en matière de respect de la
vie privée
Le CST est l’organisme national responsable du renseignement électromagnétique étranger et
des cyberopérations. Il assume également le rôle d’expert technique en matière de
cybersécurité. De même, le CST fournit au gouvernement du Canada (GC) du renseignement
étranger et des services de cyberdéfense essentiels. La protection de l’information canadienne
et le respect de la vie privée des Canadiens sont au coeur même de notre mission.
Le CST ne dirige pas ses activités de renseignement électromagnétique étranger contre des
Canadiens ou quiconque se trouvant au Canada. La Loi sur le CST reconnaît toutefois que
l’organisme peut acquérir incidemment des communications canadiennes ou de l’information
qui se rapporte à un Canadien même s’il cible uniquement des entités étrangères à l’extérieur
du Canada. Le CST accorde une grande importance à son mandat qui consiste à protéger la vie
privée des Canadiens si de l’information est acquise de manière fortuite.
Dans le cas où de l’information sur des Canadiens serait acquise incidemment lors de la collecte
de renseignement électromagnétique étranger, le CST ajoutera des références
dépersonnalisées concernant les organisations et les citoyens canadiens dans les rapports de
renseignement dans la mesure où de telles références sont essentielles à la compréhension du
renseignement étranger.
La dépersonnalisation de l’information nominative sur un Canadien (INC) dans les rapports est
l’une des nombreuses mesures progressives que le CST a mises en place dans son processus de
renseignement de bout en bout pour protéger la vie privée. Parmi ces mesures, on retrouve
notamment la formation sur l’application des lois et des politiques, le soutien sur site offert aux
analystes du renseignement, des évaluations annuelles obligatoires sur la protection de la vie
privée pour l’accès aux systèmes opérationnels, l’étiquetage et la suppression automatique de
données, un respect rigoureux des périodes de conservation, des directives précises sur le
traitement des données, l’approbation ascendante de rapports contenant de l’INC, des
vérifications spontanées de la conformité, des processus d’approbation distincts pour la
divulgation d’information obscurcie et la prise de mesure à l’égard des rapports de
renseignement.
En vertu de la Loi sur la protection des renseignements personnels, les clients du gouvernement
qui reçoivent du renseignement étranger de la part du CST peuvent demander à ce que l’INC
dépersonnalisée leur soit fournie si l’information en question concerne directement les activités
ou le programme opérationnel de leur ministère. Toute INC divulguée est fournie dans le seul
but de mieux comprendre le renseignement étranger présenté dans le rapport. Les
représentants du gouvernement ne doivent pas communiquer ou utiliser l’INC qui leur est
fournie dans le cadre du processus de divulgation, ou encore prendre des mesures en fonction
de celle-ci.
Le CST peaufine constamment son processus de divulgation de l’INC. Pour aider à appuyer le
processus de vérification et d’examen, par exemple, le CST a mis en place une exigence afin que
les clients du gouvernement fournissent une justification opérationnelle dans leurs demandes
de divulgation d’INC. Il importe toutefois de souligner qu’il s’agit d’une question de politique
interne, puisque la Loi sur la protection des renseignements personnels n’exige pas que l’on
documente les pouvoirs juridiques avant que l’information soit acquise et divulguée.
Recommandations découlant de l’examen
Le CST est résolu à toujours s’améliorer. Il sait que les recommandations découlant d’examens
indépendants jouent un rôle important dans l’amélioration de ses processus. Fort de 25 ans
d’expérience auprès du Bureau du commissaire du CST, le CST collabore maintenant avec
l’OSSNR dans le but d’améliorer ses processus. Nous remercions ces organes d’examen pour les
efforts qu’ils déploient pour renforcer la confiance des Canadiens.
Le CST continue de peaufiner ses mesures de protection de la vie privée, y compris celles qui
touchent le processus de divulgation. Les améliorations apportées au cours des dix dernières
années ont tenu compte des recommandations formulées par le commissaire du CST dans le
cadre des examens annuels qu’il a menés sur la divulgation d’INC par le CST. Avant que l’OSSNR
prenne en charge les fonctions d’examen, le CST avait accepté et mis en oeuvre 95 % des
recommandations présentées par le commissaire du CST. Les autres n’ont pas été adoptées
parce qu’elles avaient été formulées en double ou parce que des événements les avaient
rendues désuètes. Dans son dernier examen en 2018-2019, le commissaire a confirmé que les
divulgations d’INC par le CST étaient conformes à la loi et aux directives ministérielles.
En ce qui concerne le présent examen de l’OSSNR, comme pour les examens antérieurs du
commissaire du CST, nous accueillons et acceptons les recommandations visant à améliorer nos
politiques et pratiques internes.
Comme les périodes d’examen des deux organes se sont chevauchées, certaines
recommandations de l’OSSNR reprennent celles formulées dans les examens du commissaire
du CST. Par conséquent, nous sommes heureux de préciser qu’un grand nombre d’entre elles
ont déjà été mises en oeuvre et que les autres recommandations de l’OSSNR le seront
prochainement.
Conclusions de l’examen
Tout au long de l’examen des divulgations d’INC, le CST a fourni à l’OSSNR des informations
complètes et du contexte, et s’est efforcé de clarifier les critères d’évaluation utilisés pour
déterminer la validité de dossiers en particulier, critères que l’OSSNR a d’ailleurs jugés adéquats
pour la plupart. Si on omet d’expliquer les méthodes employées pour appuyer les
constatations, le CST craint que des généralisations fondées sur des aspects propres à certains
dossiers associés à une seule mesure de protection de la vie privée puissent donner au lecteur
une fausse impression quant à l’engagement du CST en matière de protection de la vie privée
des Canadiens.
Le processus au cas par cas mis en place par le CST pour ce qui est de divulguer l’INC aux
destinataires autorisés du CST fait partie de mesures internes rigoureuses et exhaustives visant
à protéger la vie privée des Canadiens. Le CST établit un équilibre entre l’échange du
renseignement qu’il recueille, ainsi que la vie privée et la sécurité des Canadiens. Les analystes
du CST qui sont responsables de la divulgation reçoivent de la formation et s’appuient sur des politiques, des lignes directrices et des procédures normales d’exploitation pour orienter la
prise de décisions.
Bien qu’il s’engage à mettre en oeuvre les améliorations recommandées dans le rapport en ce
qui concerne ses processus, le CST demeure préoccupé par les conclusions globales formulées
par l’OSSNR, ainsi que par sa caractérisation du processus de divulgation et de son rôle dans le
cadre élargi de protection de la vie privée, une préoccupation dont il a d’ailleurs fait part à
l’OSSNR.
Renvoi au procureur général du Canada
En janvier 2021, le ministre de la Défense nationale a soumis le rapport classifié de l’OSSNR au
procureur général du Canada. Ce rapport était accompagné d’une analyse approfondie pour
chaque dossier recensé dans l’examen de l’OSSNR.
L’analyse démontre que nos activités, y compris la mise en oeuvre des mesures de protection de
la vie privée des Canadiens, ont été menées dans le cadre d’un système robuste de reddition de
comptes, notamment en ce qui concerne la conformité à la Loi sur la protection des
renseignements personnels.
Information additionnelle
Les clients du GC détenant l’habilitation de sécurité TRÈS SECRET et ayant pris part à
l’endoctrinement pour l’accès au renseignement spécial ont reçu des milliers de rapports de
renseignement étranger dans le cadre du mandat conféré au CST en vertu de la Loi sur le CST.
Ces rapports répondaient aux priorités approuvées par le Cabinet en matière de renseignement
et ont été fournis aux clients du gouvernement ayant l’autorité nécessaire pour les recevoir et
ayant besoin d’en connaître le contenu.
Ces rapports reflètent une foule d’exigences en matière de renseignement, notamment le
soutien aux opérations militaires canadiennes, l’espionnage, le terrorisme, les kidnappings, les
enjeux géostratégiques, les cybermenaces, l’interférence étrangère et les crises mondiales. Bien
qu’un très faible pourcentage de ces rapports contiennent de l’INC dépersonnalisée,
l’information canadienne sous-jacente est souvent essentielle pour que les cadres supérieurs
du GC comprennent le contexte de la menace et sa dimension canadienne.
Le 25 novembre 2020, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a présenté au ministre de la Défense nationale et au ministre de la Sécurité publique un rapport de conformité classifié sur son examen des divulgations de données d’identification canadiennes (DIC) par le Centre de la sécurité des télécommunications (CST). Dans le cadre de cet examen, l’OSSNR a constaté que le régime de divulgation de DIC manquait de rigueur et que sa mise en œuvre n’était peut-être pas conforme à la Loi sur la protection des renseignements personnels. De plus, l’OSSNR a conclu que la Cour fédérale n’avait peut-être pas été adéquatement informée des éléments clés des divulgations de DIC par le CST, recueillis en vertu de mandats délivrés aux termes de l’article 16 de la Loi sur le Service canadien du renseignement de sécurité (SCRS). Compte tenu des conclusions de l’examen, l’OSSNR a publié son résumé non classifié du rapport de conformité.
Dans le cadre de son mandat relatif au renseignement étranger, le CST peut, de façon fortuite, acquérir des informations sur des Canadiens ou des personnes se trouvant au Canada. Les DIC sont des informations qui pourraient être utilisées pour identifier une personne et qui normalement ne sont pas déclarées à moins que le gouvernement du Canada ou des clients étrangers ne demandent ces informations et soient en mesure de démontrer qu’ils ont une justification opérationnelle et une autorisation légale pour les recevoir.
À la suite d’un examen approfondi des divulgations de DIC par le CST, qui supposait également des échanges directs avec d’autres ministères du gouvernement du Canada qui demandaient ces renseignements, l’OSSNR a formulé 6 conclusions et 11 recommandations. Ce résumé non classifié donne un aperçu du régime de divulgation de DIC et des observations de l’OSSNR concernant les politiques, les procédures, la formation et les pouvoirs juridiques qui le régissent.
La publication de ce résumé s’harmonise avec les efforts de l’OSSNR visant à accroître la transparence et à être plus accessible aux Canadiens grâce à son travail. À l’avenir, les examens du régime de divulgation de DIC effectués par l’OSSNR viseront à s’assurer que ses recommandations sont mises en œuvre de manière à améliorer le programme de divulgation de DIC et que ce programme est conforme au cadre juridique applicable.
Conformément à l’alinéa 8(1)a) de la Loi sur l’OSSNR, l’examen indépendant des activités du CST est une obligation légale de l’OSSNR. Par conséquent, l’OSSNR continuera d’examiner les activités du CST et de faire rapport sur les problèmes de conformité le cas échéant.
Pour en apprendre davantage sur les consultations publiques, cliquez ici
À la suite de la collecte de renseignements électromagnétiques étrangers par le Centre de la sécurité des télécommunications (CST), toute information identifiant un Canadien recueillie fortuitement est supprimée dans les rapports du CST afin de protéger la vie privée des Canadiens et des personnes au Canada. Toutefois, le gouvernement du Canada et les clients étrangers de ces rapports peuvent demander les détails de ces renseignements s’ils ont une autorité légale et une justification opérationnelle.
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a effectué un examen des divulgations d’informations identifiant un Canadien (IIC) par le CST à des clients du gouvernement du Canada. En examinant les divulgations contenant 2 351 informations identifiant un Canadien sur une période de cinq ans, l’OSSNR a constaté que 28 % des demandes des tous clients étaient insuffisamment justifiées pour justifier la communication de l’IIC. Néanmoins, au cours de la période considérée, le CST a approuvé 99 % des demandes de divulgation d’IIC de ses clients nationaux. Compte tenu de ces constatations et d’autres qui ont trait aux pratiques internes du CST, l’OSSNR a conclu que la mise en œuvre par le CST de son régime de divulgation d’IIC pourrait ne pas être conforme à la Loi sur la protection des renseignements personnels.
De plus, l’OSSNR a conclu que le CST a communiqué des IIC à des clients du gouvernement du Canada dans le cadre de son aide technique et opérationnelle au Service canadien du renseignement de sécurité (SCRS), conformément à l’article 16 de la Loi sur le SCRS, d’une manière qui n’a probablement pas été communiquée à la Cour fédérale par le SCRS.
Le présent rapport est un résumé du rapport plus détaillé et classifié présenté au ministre de la Défense nationale le 25 novembre 2020.
Introduction
Le Centre de la sécurité des télécommunications (CST) peut acquérir incidemment des renseignements sur les Canadiens ou des personnes au Canada dans le cadre de sa collecte de renseignements électromagnétiques étrangers (SIGINT). L’information identifiant un Canadien (IIC) fait référence à toute information permettant d’identifier une personne, notamment les noms, les adresses électroniques ou encore les adresses IP. L’IIC est supprimée dans les rapports de renseignements afin de protéger la vie privée des Canadiens et des personnes au Canada. Le gouvernement du Canada (GC) et les clients étrangers peuvent par la suite demander les détails de cette information s’ils ont l’autorité légale et la justification opérationnelle de recueillir cette information. Ce régime d’échange d’information est en place depuis l’adoption, en 2001, des pouvoirs du CST en vertu de la Loi sur la défense nationale, et était examiné précédemment par le Bureau du commissaire du Centre de la sécurité des télécommunications.
À la suite d’un examen des divulgations d’IIC par le CST, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a conclu que la mise en œuvre de son régime de divulgation par le CST pourrait ne pas être conforme à la Loi sur la protection des renseignements personnels. Par conséquent, en vertu du paragraphe 35(1) de la Loi sur l’OSSNR, l’OSSNR a présenté un rapport de conformité au ministre de la Défense nationale le 25 novembre 2020.
Le régime de divulgation du CST, en place depuis près de deux décennies, est l’une des plus importantes structures d’échange d’information sur la sécurité nationale au sein du gouvernement fédéral, dépassant le volume de divulgations traitées par le mécanisme d’échange d’information en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC). Contrairement au régime de divulgation du CST, les processus d’échange d’information de la LCISC ont récemment fait l’objet d’un examen approfondi et d’un débat par le public et au Parlement dans le cadre des délibérations du Projet de loi C-59.
Le travail du CST entraîne des responsabilités spéciales en matière de protection de la vie privée des Canadiens. Dans ce contexte, l’OSSNR a évalué les structures opérationnelles, les politiques et les processus du CST afin de déterminer la rigueur du régime de divulgation de l’IIC. L’OSSNR a constaté de graves problèmes liés à plusieurs aspects de la gouvernance et de la mise en œuvre du régime de divulgation de l’IIC du CST. L’OSSNR a également conclu que le CST divulguait l’information recueillie en vertu des mandats émis par la Cour fédérale dans le cadre de son aide au SCRS. L’OSSNR croit que, même si la Cour fédérale est au courant de la divulgation par le SCRS de l’IIC, la Cour n’a peut-être pas été pleinement informée du processus de divulgation parallèle qui a lieu au CST. En janvier 2021, le SCRS a fourni une copie du rapport complet à la Cour fédérale, sans des informations protégées par le secret professionnel de l’avocat ou du notaire ou par le privilège relatif au litige.
Méthodologie
Dans le cadre de son examen, l’OSSNR a examiné un échantillon sélectionné de divulgations d’IIC et de rapports de renseignements connexes – initialement du 1er juillet 2018 au 31 juillet 2019, bien que la période d’examen ait été élargie pour couvrir la période du 1er juillet 2015 au 31 juillet 2019 pour certains types de divulgations. Au cours de cette période, le CST a reçu des demandes de divulgation de 3 708 renseignements d’identification. L’OSSNR a reçu des renseignements sur le résultat de toutes ces demandes. En outre, l’OSSNR a pu examiner de près les demandes relatives à 2 351 renseignements d’identification.
Dans l’ensemble, l’OSSNR a examiné les dossiers électroniques, la correspondance, les rapports de renseignement, les avis juridiques, les politiques, les procédures, les documents relatifs aux procédures judiciaires, les autorisations ministérielles et les directives ministérielles pertinentes au régime de divulgation de l’IIC du CST. Le CST a également répondu aux questions de l’OSSNR tout au long de l’examen.
Bien que cet examen ait porté initialement sur le CST uniquement, il est devenu évident que l’OSSNR devait aussi collaborer avec les clients au sein du gouvernement du Canada ayant reçu l’IIC du CST. Conformément à l’esprit de sa législation, l’OSSNR a suivi le fil conducteur en s’engageant auprès d’un éventail de ministères fédéraux, allant des clients récurrents de l’IIC, comme le Service canadien du renseignement de sécurité (SCRS) et la Gendarmerie royale du Canada (GRC), à des clients moins fréquents, comme Innovation, Sciences et Développement économique Canada (ISDE). Grâce à cette collaboration, l’OSSNR a pu comprendre le cycle de vie des divulgations d’IIC, de leur origine dans les rapports de renseignement à leur utilisation éventuelle par les clients du gouvernement du Canada.
L’OSSNR a également évalué les divulgations par le CST de l’IIC découlant de son aide au SCRS en vertu de l’article 16 de la Loi sur le SCRS. Lorsque le CST aide le SCRS dans ce contexte, il est lié par les conditions des mandats de la Cour fédérale. Bien que les divulgations du SCRS n’aient pas fait l’objet de cet examen, elles ont aidé à mettre en contexte le respect des divulgations d’IIC du CST au terme de l’article 16 avec les conditions et les principes en vertu desquels la Cour émet les mandats pertinents.
L’OSSNR a également examiné les affidavits du SCRS à la Cour fédérale concernant les renseignements canadiens obtenus au moyen de mandats en vertu de l’article 16, qui ont servi de base à une décision récente de la Cour sur ce programme (2020 CF 697). Compte tenu de cet aperçu sur les pratiques et les exigences des politiques parallèles du SCRS, l’OSSNR a eu l’occasion de contextualiser les divulgations d’IIC par le CST découlant de la collecte effectuée en vertu de l’article 16 d’une manière sans précédent pour un organisme externe d’examen.
D’après les documents fournis par le CST, le SCRS et d’autres entités du gouvernement fédéral, l’OSSNR a formulé plusieurs conclusions et recommandations visant à améliorer la gouvernance du régime de divulgation d’IIC du CST et à porter à l’attention de la Cour fédérale des aspects importants des divulgations d’informations du CST acquises en vertu de l’article 16 de la Loi sur le SCRS Loi sur le SCRS.
Cadre juridique
Pour que le CST divulgue des renseignements personnels de Canadiens sans leur consentement, le CST et le destinataire de l’IIC doivent se conformer aux lois pertinentes, qui, pendant la période visée par l’examen, comprenaient la Loi sur la protection des renseignements personnels et la Loi sur la défense nationale : Loi sur la protection des renseignements personnels et de la National Defence Act:
Pour évaluer les divulgations du CST, l’OSSNR a appliqué un critère en deux volets conformément aux exigences de la Loi sur la protection des renseignements personnels : l’institution qui détient les renseignements personnels doit avoir un pouvoir de divulgation pour les communiquer à une autre institution, et l’institution destinataire doit avoir un pouvoir de collecte. Ces seuils découlent de la jurisprudence existante de la Loi sur la protection des renseignements personnels. En d’autres termes:
Les clients de l’IIC du CST sont tenus de respecter les exigences de collecte de l’article 4 de la Loi sur la protection des renseignements personnels en établissant un lien direct et immédiat (sans intermédiaire) entre l’information à recueillir par l’entremise d’une demande de divulgation d’IIC et leurs programmes ou activités opérationnels.
Du côté du CST, ses divulgations d’IIC devaient se conformer à l’article 8 de la Loi sur la protection des renseignements personnels et à la Loi sur la défense nationale, qui était la loi régissant le CST pendant la période de l’examen.
Étant donné que le pouvoir de divulgation prévu par la Loi sur la défense nationale exigeait du CST qu’il protège la vie privée des Canadiens, l’OSSNR a examiné la question de savoir si le CST évaluait rigoureusement chaque demande de divulgation en fonction de son bien-fondé, y compris la justification opérationnelle fournie par les clients, afin de déterminer si les demandes étaient raisonnables et si la divulgation était appropriée en vertu du régime de la Loi sur la protection des renseignements personnels.
Pratiques internes du CST
L’OSSNR a évalué les mesures de protection de la vie privée du CST afin de s’assurer qu’il respecte ses responsabilités légales et les directives ministérielles. L’OSSNR a examiné si les divulgations d’IIC par le CST étaient assujetties à un processus d’évaluation et d’approbation complet et bien documenté qui démontre que chaque divulgation est conforme aux exigences légales et opérationnelles. Plus précisément, l’OSSNR a examiné si les clients du CST démontraient leur légalité juridique de recueillir l’IIC et s’ils l’avaient fait conformément à l’article 4 de la Loi sur la protection des renseignements personnels en démontrant un lien direct et immédiat entre les activités de leur mandat et l’IIC demandée.
Au cours de la période examinée, le CST a reçu des demandes de divulgation de 3 708 renseignements identificateurs présentées par 15 ministères nationaux et en a divulgué 3 671, ce qui représente un taux de divulgation de 99 %. Ce taux de divulgation a également été observé dans l’échantillon final des divulgations sélectionnées pour l’examen détaillé par l’OSSNR. L’OSSNR s’attendait à ce que les demandes de divulgation d’une qualité constante et élevée soient proportionnelles à leur approbation quasi absolue par le CST. Néanmoins, les constatations ci-dessous indiquent plusieurs domaines dans lesquels l’OSSNR a constaté des lacunes.
Exigences en matière de formation et de documentation des employés.
Les employés du CST décident généralement s’il y a lieu de communiquer ou non une IIC. L’OSSNR n’a pas trouvé de traces de directives écrites ou de formation pour guider l’évaluation par les employés du contenu des demandes de divulgation; en revanche, les documents de formation et les procédures que les employés reçoivent se concentrent principalement sur les processus logistiques de la divulgation de l’IIC.
Lorsqu’ils évaluent des demandes d’IIC, les employés du CST peuvent prendre une série de mesures, notamment effectuer des recherches plus poussées sur un ministère requérant et son mandat ou communiquer avec le demandeur pour obtenir des éclaircissements. L’OSSNR a conclu que ces mesures ne sont généralement pas documentées pour les demandes des clients nationaux, et que les divulgations approuvées ne contiennent que l’IIC demandée sans les motifs justifiant l’approbation de la demande. L’OSSNR n’a pas pu confirmer que les employés du CST prenaient des mesures pour communiquer avec un demandeur afin de clarifier les demandes de divulgation incomplètes ou manquant de clarté.
Bien que cette exigence ne figure pas dans les politiques du CST concernant les demandes nationales, l’OSSNR a observé des justifications détaillées fournies par le personnel responsable pour l’approbation et le refus des demandes d’IIC provenant de clients étrangers d’IIC. L’OSSNR croit que le CST devrait exiger des employés qu’ils documentent leur évaluation des demandes présentées par les clients des entités nationales, y compris les raisons de leur approbation.
En résumé, l’OSSNR a conclu que les employés du CST ne reçoivent pas une formation et des conseils écrits suffisants pour évaluer le contenu des demandes de divulgation et ne sont pas tenus de documenter les mesures et évaluations obligatoires qu’ils font lorsqu’ils divulguent des IIC. L’OSSNR a recommandé que le CST exige, en établissant des procédures et des politiques, que les employés documentent leur processus décisionnel et leurs justifications et les forment à évaluer le contenu des demandes de divulgation à la lumière des obligations juridiques applicables.
Surveillance de la gestion
Certains types de divulgations sont transmises pour examen et approbation à un niveau supérieur au sein de l’organisation. Il s’agit d’un autre processus pour lequel une documentation appropriée faisait défaut. D’après les données compilées par l’OSSNR, toutes les demandes d’IIC examinées à ce niveau ont été approuvées, sans qu’il y ait de documentation sur les motifs de la décision d’approuver le reste.
Une vérification interne mensuelle de la conformité est effectuée pour confirmer que les rejets de demandes de divulgation d’IIC sont suffisamment justifiés, que seule l’IIC demandée est divulguée et pour déterminer si des erreurs de procédure se sont produites. Les vérifications de la conformité examinées par l’OSSNR ne contenaient aucune analyse des demandes de divulgation. Bien que le CST ait expliqué que les employés sont encadrés de façon informelle si les divulgations ne satisfont pas aux exigences, ce processus n’est pas documenté dans les vérifications de la conformité, qui fournissent seulement des résumés statistiques des divulgations d’IIC.
L’OSSNR a conclu que le personnel chargé d’approuver certaines divulgations d’IIC et d’effectuer des vérifications périodiques de la conformité n’a pas documenté sa prise de décision et son évaluation des demandes. L’OSSNR a recommandé que, comme les employés, le personnel de la direction du CST documente sa prise de décision et ses justifications
Évaluation par le CST des demandes de divulgation d’IIC
Le formulaire de demande de divulgation d’IIC du CST exige que le demandeur déclare une autorité juridique applicable pour la collecte des renseignements. L’OSSNR a observé des demandes où ces renseignements n’avaient pas été fournis. Dans ce contexte, l’OSSNR s’attendait à ce que le CST fasse un suivi auprès des demandeurs ou s’assure, par sa propre évaluation, que le demandeur avait l’autorité juridique appropriée pour recueillir l’IIC. L’OSSNR n’a trouvé aucune preuve que ce processus avait lieu.
L’OSSNR a utilisé sa capacité de suivre le fil d’une divulgation et a consulté certains des clients d’IIC du CST concernant leur autorisation légale de recueillir des renseignements personnels de Canadiens. Lorsque ces ministères n’avaient pas indiqué d’autorité légale pour recevoir l’IIC, l’OSSNR leur a demandé directement de lui communiquer leurs autorités juridiques, recevant des évaluations juridiques détaillées préparées en réponse aux questions de l’OSSNR. L’OSSNR n’a trouvé aucune preuve documentée que le CST s’était également assuré que les clients avaient des autorités juridiques au moment de la divulgation.
En tant que dépositaire de l’IIC recueillie incidemment, le CST a la responsabilité de s’assurer et de documenter qu’il existe à la fois un pouvoir de collecte et de divulgation avant de la divulguer à des tiers clients.
En plus d’une autorisation légale, le deuxième élément clé d’une demande de divulgation est la justification opérationnelle donnée par le destinataire pour la collecte de l’IIC. Un lien opérationnel démontrable est nécessaire pour justifier la collecte d’IIC par un demandeur conformément au régime de la Loi sur la protection des renseignements personnels.
L’OSSNR a conclu que le SCRS, la GRC et l’Agence des services frontaliers du Canada (ASFC) avaient généralement établi un lien clair entre la communication de renseignements et de l’IIC connexe et les activités de leur mandat, à quelques exceptions près. Ce constat a été fait en raison des solides justifications opérationnelles fournies de façon proactive par ces clients et n’indique pas un processus plus rigoureux de la part du CST. Les divulgations à ces ministères représentaient environ la moitié de l’échantillon de l’OSSNR.
Le CST a accepté les justifications opérationnelles fournies par ces et d’autres clients que l’OSSNR a en revanche jugées inadéquates. Dans ces cas particuliers, les justifications des clients concernaient une IIC qui n’était pas manifestement liée à leur mandat ou à leurs opérations
Pour l’échantillon total examiné par l’OSSNR,69 % des demandes étaient justifiées,28 % étaient insuffisamment justifiées pour justifier la communication de l’IIC, 2 % ne pouvaient pas être évaluées et 1 % des demandes ont été refusées par le CST. Néanmoins, dans cet échantillon, le CST avait approuvé les demandes de divulgation à un taux de 99 %.
Le CST a également communiqué des renseignements personnels supplémentaires aux clients au-delà de ce qui avait été demandé et a expliqué que cela était une pratique courante. Par exemple, l’OSSNR a observé des cas où le CST divulguait des noms et d’autres renseignements personnels de Canadiens même si le destinataire n’avait demandé au CST que l’identité d’une entreprise. L’OSSNR a observé d’autres types de scénarios où le CST avait divulgué plus de renseignements identificateurs que ce qui avait été demandé.
En résumé, l’OSSNR a conclu que le CST n’avait pas suffisamment évalué les pouvoirs juridiques invoqués par ses clients d’IIC et a recommandé que le CST et ces clients obtiennent des conseils juridiques du ministère de la Justice Canada afin de déterminer l’étendue de leur pouvoir juridique de recueillir de l’IIC. L’OSSNR a en outre conclu que la mise en œuvre par le CST de son régime de divulgation d’IIC n’était peut-être pas conforme au cadre de la Loi sur la protection des renseignements personnels et il a recommandé au CST de cesser la communication d’IIC à des clients autres que le SCRS, la GRC et l’ASFC jusqu’à ce qu’il réponde aux conclusions et aux recommandations contenues dans l’examen de l’OSSNR.
Gouvernance du régime de divulgation du CST
Bon nombre des questions systémiques présentées dans l’examen de l’OSSNR découlent de la gouvernance du régime de divulgation de l’IIC du CST. Le CST élabore ses politiques, procédures et évaluations juridiques internes dont ses clients de la divulgation ne sont généralement pas au courant. Les ententes actuelles du CST avec ses clients régissent des questions opérationnelles telles que les normes de sécurité, le traitement des renseignements et l’accès au système. Toutefois, au niveau institutionnel, l’OSSNR n’a pas observé de compréhension cohérente des exigences juridiques sous-jacentes à cette pratique chez les clients d’IIC du CST.
Une structure de gouvernance plus transparente permettrait à toutes les parties de comprendre et de reconnaître formellement, au niveau institutionnel, les exigences juridiques et opérationnelles qui sous-tendent la divulgation et la collecte d’IIC. Le fait que le CST gère le régime sans mettre au courant les clients des politiques, des procédures et des exigences juridiques qui le sous-tendent n’est pas satisfaisant.
L’OSSNR a conclu que la gouvernance par le CST du régime de divulgation de l’IIC ne favorise pas un environnement où ses clients peuvent assumer une responsabilité égale à l’égard des divulgations d’IIC. L’OSSNR a recommandé que le CST collabore avec le ministère de la Justice Canada et le Secrétariat du Conseil du Trésor du Canada pour établir des ententes d’échange de renseignements avec ses clients nationaux réguliers d’IIC
Divulgation d’IIC par le CST dans le cadre de son aide au SCRS
Tout au long de l’examen, l’OSSNR a observé des rapports et des communications connexes concernant les activités de personnes étrangères au Canada. Étant donné qu’il est interdit au CST de diriger ses activités auprès de ces personnes, l’OSSNR a soumis une série de questions et a reçu des renseignements à ce sujet. L’OSSNR a appris que le CST divulgue de l’IIC recueillie dans le cadre de son aide au SCRS en vertu de l’article 16 de la Loi sur le SCRS.
En vertu de l’article 16 de la Loi sur le SCRS, le SCRS peut aider le ministre des Affaires étrangères ou le ministre de la Défense nationale en recueillant des renseignements étrangers au Canada concernant la défense ou les affaires internationales du Canada. À son tour, le SCRS peut demander à la Cour fédérale un mandat, en vertu de l’article 21 de la Loi sur le SCRS, pour obtenir l’autorisation judiciaire à l’égard de pouvoirs intrusifs de collecte à l’appui de l’enquête menée en vertu de l’article 16. Par la suite, le SCRS peut demander l’aide du CST s’il n’a pas les outils ou la capacité nécessaires pour effectuer cette collecte. L’aide du CST se traduit par l’élaboration d’outils et de techniques, l’interception des communications cibles, du déchiffrement, la rédaction de rapports et des services de traduction.
Dans le cadre de son aide au SCRS, le CST doit respecter les pouvoirs juridiques et les restrictions imposées au SCRS par la loi et les mandats de la Cour fédérale. Dans ses demandes documentées d’aide au CST, le SCRS ne demande pas explicitement que le CST divulgue l’IIC recueillie en vertu d’un mandat. De telles divulgations sont également absentes des plans internes du CST qui énoncent les paramètres de soutien du CST. Toutefois, les deux organismes insistent sur le fait que le CST peut divulguer de telles informations à l’aide de ses politiques et procédures de divulgation régulières.
La pratique consistant à traiter les IIC collectés accidentellement en vertu de mandats liés à l’article 16 a fait l’objet d’un traitement continu par la Cour fédérale. Le SCRS a décrit ses propres pratiques à la Cour, y compris des résumés détaillés de la façon dont l’information visée à l’article 16 est recueillie, son traitement aux fins de la communication de renseignements et le régime de divulgation rigoureux associé à ces rapports. Le SCRS a également noté, de façon moins détaillée et avec des omissions, certains aspects de la divulgation parallèle par le CST de l’IIC recueillie dans le cadre de son aide au SCRS en vertu de ces mandats.
Dans l’ensemble, les pratiques rigoureuses décrites par le SCRS à la Cour ne brossent pas un tableau complet. Par exemple, la diffusion limitée par le SCRS des rapports de renseignement en vertu de l’article 16 et de l’IIC connexe n’est pas prise en compte dans la divulgation plus large de ces renseignements par le CST. De plus, les niveaux d’approbation des cadres supérieurs que le SCRS a mis en place pour communiquer des renseignements sur les fonctionnaires canadiens ne sont pas non plus pris en compte dans les pratiques du CST. En fait, le CST n’a pas de politique sur la façon de traiter l’information des fonctionnaires canadiens dans le cadre de son mandat d’aide et publie généralement cette information au niveau de fonctionnement. De plus, les employés du CST ne sont généralement pas conscients que les renseignements qu’ils divulguent proviennent de la collecte en vertu de l’article 16 et des mandats et conditions de la Cour fédérale qui s’y rattachent. En outre, le SCRS a indiqué à la Cour que sa propre pratique de divulgation comprenait une évaluation d’une demande de divulgation par la direction opérationnelle responsable du mandat, tandis que le CST divulgue cette information indépendamment des directions opérationnelles du SCRS.
Lors d’un récent témoignage devant le Parlement, on a demandé au CST comment il met en œuvre son mandat d’aide. Dans sa réponse, le CST a déclaré que les renseignements recueillis dans le cadre de son mandat d’aide sont isolés, retournés au SCRS et appartiennent au SCRS, insistant sur le fait que le CST agit effectivement comme agent du SCRS pour appuyer les activités visées à l’article 16 . L’OSSNR estime qu’il ne s’agit pas d’une représentation complète du cycle de vie de l’information recueillie par le CST dans le cadre de sa mission d’aide. En approuvant les rapports du CST sur le renseignement en vertu de l’article 16, le SCRS transfère effectivement au CST la propriété de ces renseignements, ce qui n’a pas été transmis à la Cour fédérale par le SCRS dans ses affidavits détaillant les rapports et l’utilisation des renseignements en vertu de l’article 16.
Le traitement et la diffusion de cette information par le CST diffèrent des normes rigoureuses que le SCRS a communiquées à la Cour, particulièrement lorsqu’il s’agit de fonctionnaires canadiens et d’autres groupes sensibles. L’OSSNR estime qu’il est nécessaire de décrire en détail le processus de divulgation de l’IIC au cours des demandes de mandat pour appuyer le processus d’imposition de modalités et de conditions qui sont souhaitables dans l’intérêt public, tel que prévu à l’alinéa 21(4)f) de la Loi sur le SCRS.
Compte tenu des conclusions de l’examen, l’OSSNR a recommandé que la Cour fédérale soit pleinement informée des pratiques de divulgation du CST et que, dans l’intervalle, le CST cesse de divulguer l’IIC recueillie fortuitement aux termes de mandats de la Cour fédérale relatifs aux enquêtes menées en vertu de l’article 16.
Conclusion
Les constatations et les observations de l’OSSNR au cours de cet examen indiquent que la mise en œuvre par le CST de son régime de divulgation pourrait ne pas être conforme à ses obligations en vertu de la Loi sur la protection des renseignements personnels. Tout au long de cet examen, le CST a défendu des pratiques qui, selon l’OSSNR, ne tiennent pas compte d’un engagement à l’égard d’une mise en œuvre rigoureuse de la Loi sur la protection des renseignements personnels. Enfin, le CST a divulgué des IIC dans le cadre de son aide au SCRS, d’une manière qui va à l’encontre des procédures communiquées à la Cour fédérale.
Par conséquent, l’OSSNR a fait des recommandations tel qu’expliqué avant, afin d’améliorer la gouvernance du régime de divulgation d’IIC de CST, et porter à l’attention de la Cour fédérale des aspects important des divulgations d’IIC par le CST qui étaient acquis en relation de l’article 16 de la Loi sur le SCRS
Examen de la mise en œuvre par les ministères de la loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères en 2019
Examens Terminés
Examen de la mise en œuvre par les ministères de la loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères en 2019
En 2011, le gouvernement du Canada a mis en œuvre un cadre général pour gérer les risques de mauvais traitements lors de l’échange de renseignements avec des entités étrangères. Ce cadre visait à établir une approche cohérente et uniforme, à l’échelle du gouvernement, pour obtenir des renseignements d’entités étrangères et leur en communiquer. Une directive ministérielle a ensuite été publiée, en 2011, à l’intention des ministères concernés relativement à l’échange de renseignements avec des entités étrangères, suivie d’une autre en 2017, intitulée « Éviter la complicité dans les cas de mauvais traitements par des entités étrangères ».
Le 13 juillet 2019, la Loi visant à éviter la complicité est entrée en vigueur. Cette loi codifie et garantit les engagements du Canada à l’égard de la Charte canadienne des droits et libertés, ainsi que les obligations juridiques internationales du pays pour ce qui est de prévenir les actes de torture et autres traitements cruels et inhumains.
Le 4 septembre 2019, conformément à l’article 3 de la Loi, le gouverneur en conseil a donné des instructions écrites aux administrateurs généraux des 12 ministères et organismes suivants : ASFC, ARC, SCRS, CST, MPO, MDN/FAC, CANAFE, AMC, IRCC, SP, GRC et TC.
Le gouverneur en conseil a donné des instructions portant principalement sur trois aspects de la gestion de l’information dans les rapports entretenus avec une entité étrangère : la communication de renseignements, la demande de renseignements et l’utilisation de tout renseignement obtenu.
En vertu de l’article 7 de la Loi, tout administrateur général à qui des instructions ont été données doit, avant le 1er mars de chaque année, soumettre au ministre compétent un rapport sur la mise en œuvre de celles-ci au cours de l’année civile précédente. Par la suite, chaque administrateur général est tenu de mettre à la disposition du public une version de ce rapport, dès que possible après l’avoir soumis.
La Loi visant à éviter la complicité dans les cas de mauvais traitements infligés par des entités étrangères (la Loi ou Loi visant à éviter la complicité) et les instructions connexes visent à empêcher que quiconque subisse de mauvais traitements suivant l’échange de renseignements entre un ministère du gouvernement du Canada et une entité étrangère. Les instructions données reposent avant tout sur la question de savoir s’il existe un risque sérieux et si ce risque, le cas échéant, peut être atténué ou non. Pour ce faire, la Loi et les instructions établissent une série d’exigences qui doivent être respectées ou appliquées lorsque des renseignements sont traités. Le présent examen porte sur la mise en œuvre des instructions données à 12 ministères et organismes[1], depuis la date où celles-ci leur ont été communiquées (le 4 septembre 2019) jusqu’à la fin de l’année civile précédant l’examen (le 31 décembre 2019). Cet examen a été réalisé en vertu du paragraphe 8(2.2) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (la Loi sur l’OSSNR), qui exige que l’Office examine, chaque année civile, la mise en œuvre de toutes les instructions données en vertu de la Loi visant à éviter la complicité.
Le présent examen, bien qu’il s’agisse du premier examen annuel effectué en vertu de la Loi sur l’OSSNR, s’appuie sur les travaux réalisés précédemment dans ce domaine par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (l’OSSNR) et son prédécesseur, à savoir le Comité de surveillance des activités de renseignement de sécurité (CSARS). L’examen de l’OSSNR portant sur la directive ministérielle de 2017 concernant l’échange d’information avec des entités étrangères en est un exemple. Les résultats de ce précédent examen ont été communiqués aux ministères concernés en juillet 2020. L’OSSNR fait fond sur ce précédent examen, appuyant fortement les conclusions et les recommandations qui y sont énoncées. Lors de la publication du présent rapport, les réponses des ministères n’avaient toujours pas été reçues en ce qui concerne les recommandations formulées dans cet examen de la directive ministérielle conclu par l’OSSNR en juillet 2020.
Il était essentiel de veiller à ce que l’OSSNR et les ministères visés par l’examen respectent leurs obligations en vertu de la Loi visant à éviter la complicité et de la Loi sur l’OSSNR. L’approche utilisée pour recueillir des renseignements dans le contexte de la pandémie mondiale a été conçue, à dessein, pour cette première période d’examen particulière.
Afin de dresser un portrait complet de la mise en œuvre effectuée par les ministères, l’OSSNR leur a demandé des renseignements se rapportant directement aux obligations particulières de chacun, en vertu de la Loi et des instructions données. Les réponses et renseignements connexes recueillis ont permis de prendre connaissance des activités en rapport avec la Loi que les ministères ont réalisées au cours de la période d’examen, ainsi que des procédures, des politiques, des outils, etc. (cadres) qui ont été utilisés pour soutenir ces activités. L’OSSNR estime que l’établissement d’un cadre solide est un élément essentiel à la mise en œuvre efficace des instructions données aux ministères.
Outre les exigences particulières liées à la mise en œuvre, les renseignements fournis par les ministères ont également aidé à cerner les lacunes et à relever les pratiques exemplaires et les travaux entrepris par les ministères depuis la période d’examen en vue d’élaborer et d’officialiser leurs cadres respectifs. Les connaissances et les renseignements ainsi obtenus aideront à jeter les bases des examens ultérieurs et contribueront aux efforts déployés en vue d’assurer une mise en œuvre uniforme dans l’ensemble des ministères. Bien que bon nombre des questions abordées dans le présent rapport débordent du cadre des exigences particulières des instructions données, il est essentiel de les examiner afin de contribuer à l’amélioration globale du processus de mise en œuvre et de la façon dont, au bout du compte, les ministères soutiennent la Loi. Aucune étude de cas n’a été entreprise pour cet examen. Toutefois, les renseignements recueillis ont permis d’établir une base de référence quant aux enjeux très importants auxquels tous les ministères concernés sont confrontés. À partir de là, il sera possible, dans le cadre des examens ultérieurs, de commencer à examiner les questions et les difficultés particulières liées au cadre d’échange d’information et d’étudier de près des cas précis, ainsi que les avis juridiques ministériels, en vue d’orienter les conclusions de l’examen.
Bien que l’OSSNR fût satisfait des efforts considérables déployés par de nombreux ministères qui n’étaient pas familiers avec la Loi visant à éviter la complicité en vue d’élaborer leurs cadres de soutien, il a clairement pu constater, au cours du présent examen, que les ministères utilisent des approches très différentes pour orienter leurs activités en ce qui concerne le traitement des renseignements. Les réponses reçues démontrent diverses incohérences entre eux. L’adoption d’une approche uniforme et coordonnée pour répondre aux préoccupations liées à la Loi n’est pas une exigence à respecter pour la mise en œuvre; toutefois, l’OSSNR estime qu’une telle approche serait d’une grande utilité. En outre, bien que les ministères doivent invariablement intégrer des aspects particuliers dans leurs cadres d’échange d’information pour tenir compte des caractéristiques particulières de leurs mandats et de leurs activités, il est essentiel de déterminer et de communiquer les pratiques exemplaires en vue d’améliorer le processus de mise en œuvre, un objectif que partagent vraisemblablement toutes les parties concernées.
Par exemple, il serait bon de déterminer les meilleurs moyens d’adopter une approche harmonisée au moment de collaborer avec des entités étrangères qui suscitent certaines inquiétudes ou de veiller à ce que tout échange d’information fasse invariablement l’objet d’une évaluation des risques par tous les ministères. Les recommandations formulées à cet égard dans le cadre du présent examen rendent compte de ce que l’OSSNR estime être des préoccupations et des considérations importantes en vue de soutenir et d’améliorer la mise en œuvre par les ministères.
En outre, comme les directives communiquées en vertu de la Loi ne décrivent pas les façons précises pour les ministères de les « mettre en œuvre », il incombe à l’ensemble des ministères concernés de s’assurer que tous disposent de cadres et de programmes suffisamment solides pour se dire pleinement aptes à assurer la mise en œuvre. Par conséquent, les renseignements recueillis au cours du présent examen ne se limitent pas à la stricte évaluation de la mise en œuvre; les aspects à prendre en compte pour mieux soutenir cette mise en œuvre ont également été examinés. Dans l’avenir, cette approche aidera à établir le fondement des examens subséquents. En s’appuyant sur les constatations faites et les préoccupations soulevées dans le présent rapport, l’OSSNR continuera d’examiner les aspects qui, en définitive, amélioreront les cadres sous-jacents, favorisant ainsi une meilleure mise en œuvre de la Loi dans l’ensemble des ministères concernés.
Pouvoirs
Le présent examen a été réalisé en vertu du paragraphe 8(2.2) de la Loi sur l’OSSNR, qui exige que l’Office examine, chaque année civile, la mise en œuvre de toutes les instructions données en vertu de la Loi visant à éviter la complicité.
Introduction
Objet de la Loi
Dans le même esprit que la directive ministérielle qui les a précédées, la Loi visant à éviter la complicité et les instructions connexes visent à empêcher que quiconque subisse de mauvais traitements suivant l’échange de renseignements entre un ministère du gouvernement du Canada et une entité étrangère. La Loi vise également à limiter l’utilisation de renseignements reçus d’une entité étrangère qui peuvent avoir été obtenus à la suite de mauvais traitements infligés à une personne. Bien que la directive ministérielle précédente ait orienté les activités ayant mené au choix des ministères responsables de la sécurité et du renseignement au Canada, la Loi a élargi la portée de cette orientation afin d’inclure tous les ministères dont les rapports avec des entités étrangères prévoient un échange de renseignements pouvant susciter de telles préoccupations.
La Loi a pour objet de veiller à ce que les ministères prennent les mesures nécessaires, au cours de leurs activités d’échange de renseignements, afin d’éviter de contribuer de quelque façon que ce soit à toute forme de mauvais traitements envers une personne. Pour ce faire, la Loi et les instructions établissent une série d’exigences qui doivent être respectées ou appliquées lorsque des renseignements sont traités. Il est attendu que chaque ministère réponde à ces exigences en mettant à profit les mécanismes et les procédures établis à l’échelle de leur organisation ou les cadres qui permettront à chacun de démontrer avec assurance comment leur organisation s’est acquittée de ses responsabilités, en vertu de la Loi.
Au cours de la première année suivant l’entrée en vigueur de la Loi, des instructions écrites reprenant pratiquement le même libellé ont été communiquées aux administrateurs généraux de 12 ministères. En ce qui concerne la communication de renseignements, les instructions données prévoient ce qui suit:
[L’administrateur général] veille, à l’égard de tout renseignement dont la communication à une entité étrangère entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, à ce que les fonctionnaires [du ministère] ne communiquent le renseignement que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.
En ce qui concerne la demande de renseignements, les instructions précisent ce qui suit:
[L’administrateur général] veille à ce que les fonctionnaires [du ministère] ne fassent de demande de renseignements, à une entité étrangère, qui entraînerait un risque sérieux que de mauvais traitements soient infligés à un individu, que s’ils concluent que le risque peut être atténué, notamment par la formulation de réserves ou l’obtention de garanties, et que si les mesures d’atténuation indiquées sont prises.
[L’administrateur général] veille à ce que les renseignements vraisemblablement obtenus par suite de mauvais traitements infligés à un individu par une entité étrangère ne soient utilisés par [le ministère] :
a) ni de façon à engendrer un risque sérieux de mauvais traitements additionnels;
b) ni comme éléments de preuve dans des procédures judiciaires, administratives ou autres; c) ni de façon à priver une personne de ses droits ou libertés, sauf si [l’administrateur général] ou, dans des circonstances exceptionnelles, un haut fonctionnaire [du ministère] qu’il désigne juge cette utilisation nécessaire pour éviter des pertes de vie ou des lésions corporelles et l’autorise à cette fin.
Les instructions données reposent avant tout sur la question de savoir s’il existe un risque sérieux et si ce risque, le cas échéant, peut être atténué ou non. Cette décision est prise en fonction de chaque cas, et il incombe à chaque ministère de la prendre dans le cadre de ses activités. Une fois qu’un ministère a pris une décision concernant ces questions importantes, les cas peuvent être approuvés ou rejetés ou encore portés à l’attention de l’administrateur général aux fins d’examen. Dans ce dernier cas, l’administrateur général se retrouve alors avec des exigences supplémentaires à respecter en matière de rapports. Tout au long de ce processus, il est également nécessaire de vérifier l’exactitude et la fiabilité de tous les renseignements traités, ainsi que les limites se rattachant à leur utilisation.
Objectifs de l’examen
Les instructions écrites du gouverneur en conseil ont été communiquées à chaque ministère concerné en septembre 2019, suivant l’entrée en vigueur de la Loi visant à éviter la complicité en juillet 2019. La période visée par l’examen de cette année s’étend du 4 septembre au 31 décembre 2019. Vu que la période à l’étude est courte (environ quatre mois), les ministères sont évalués, en grande partie, en fonction de ce qu’ils avaient déjà mis en place pour gérer les risques de mauvais traitements associés à l’échange de renseignements ou de ce qu’ils ont réussi à mettre en œuvre au cours de ce délai de quatre mois. L’OSSNR est conscient que dans le cas des ministères qui n’étaient pas visés auparavant par la directive ministérielle de 2017, « Éviter la complicité dans les cas de mauvais traitements par des entités étrangères », le délai alloué pour mettre en œuvre les instructions écrites était quelque peu limité, ce qui fait qu’il aurait été difficile pour eux de créer et d’opérationnaliser de nouvelles procédures de manière à ce que celles-ci se reflètent dans leurs activités au cours de la période visée par l’examen.
Bien qu’il fût essentiel de s’assurer que l’OSSNR et les ministères visés par l’examen avaient respecté leurs obligations, les difficultés décrites ont été prises en compte lors de l’évaluation des objectifs de ce premier examen. Compte tenu de tous ces facteurs, l’examen de cette année visait à déterminer were to determine whether:
si les ministères avaient pleinement mis en œuvre les instructions reçues en vertu de la Loi, conformément aux obligations qui y sont énoncées;
si les ministères avaient établi et opérationnalisé des cadres leur permettant de s’acquitter de manière satisfaisante des obligations énoncées dans la Loi et les instructions données;
si la mise en œuvre était uniforme au sein des ministères concernés.
Méthodologie et objectif de l’évaluation
Pour obtenir une vue d’ensemble de la mise en œuvre de la Loi par les ministères, l’OSSNR a élaboré une série de questions se rapportant directement aux obligations de chaque ministère, en vertu de la Loi et des instructions données. Les réponses et les renseignements connexes obtenus ont permis de déterminer les activités particulières qui ont été réalisées au cours de la période d’examen, ainsi que les cadres ministériels qui ont été mis à profit pour soutenir convenablement ces activités.
Les renseignements fournis par les ministères ont également aidé à cerner les lacunes et à relever les pratiques exemplaires et les travaux entrepris par les ministères afin d’élaborer et d’officialiser leurs cadres en vue de respecter les obligations qui leur incombent en vertu de la Loi et des instructions reçues. Les renseignements communiqués et les connaissances acquises aideront à jeter les bases des examens ultérieurs et à assurer une mise en œuvre uniforme dans l’ensemble des ministères.
La méthode utilisée pour recueillir des renseignements dans le contexte de la pandémie mondiale a été conçue pour cette première période d’examen particulière. Grâce à cette méthode, nous croyons que les ministères ont pu indiquer rapidement et efficacement si les instructions ont été appliquées et quels cadres, processus et politiques ont été instaurés ou mis à profit.
Bon nombre des questions de la demande de renseignements exigeaient simplement une réponse par oui ou par non. Souvent, les réponses dépendaient des activités liées au traitement de renseignements que le ministère avait menées auprès d’entités étrangères au cours de la période d’examen. Par conséquent, il était possible que la mention « ne s’applique pas » soit indiquée en réponse à un certain nombre de questions, ce qui était acceptable. Bon nombre des questions portaient sur des exigences précises et facilement définies en vertu de la Loi et des instructions connexes, p. ex. « Un rapport a-t-il été soumis au ministre? » ou « Le sous-ministre a-t-il informé les organismes concernés de toute décision prise en vertu de la Loi? »
D’autres questions ont été conçues de manière à saisir les détails des processus sous-jacents qui ont permis de soutenir la mise en œuvre effectuée par le ministère; autrement dit, un ministère peut indiquer qu’il s’est assuré que ses activités en matière d’échange de renseignements ne présentaient aucun risque sérieux de mauvais traitements, mais sur quoi appuie-t-il cette allégation? De même, dans le cas où un ministère affirme avoir atténué un risque sérieux de mauvais traitements, qu’a-t-il mis en place pour en venir à formuler cette affirmation? Par conséquent, cette série de questions nécessitait des réponses suffisamment détaillées pour comprendre pleinement ce qu’un ministère avait mis en place pour en venir à affirmer avec certitude qu’il s’était acquitté de ses obligations en ce qui concerne la mise en œuvre, en vertu de la Loi et des instructions reçues.
Enfin, une partie des questions visait à rendre compte du degré d’uniformité de la mise en œuvre au sein des ministères. Cette portion portait, entre autres, sur les évaluations des pays et des entités, les méthodes de tri et la tenue des dossiers. En outre, une grande partie de ces renseignements aideront à formuler des recommandations pour les années à venir. Cette approche à multiples facettes a donné lieu à l’analyse de trois principaux éléments en vue d’évaluer la mise en œuvre au cours de la période visée par le présent examen et a aidé à jeter les bases pour les examens ultérieurs.
Les ministères disposent de politiques, de lignes directrices et de cadres clairs et exhaustifs qui leur permettent de démontrer ce qu’ils ont fait pour appliquer pleinement les instructions prévues par la Loi.
Toutes les exigences en matière de rapports associées à la Loi et aux instructions connexes applicables ont été respectées.
Des différences ou des lacunes ont été observées en ce qui concerne divers éléments, tels que les évaluations des pays et des entités, la tenue des dossiers, le tri des cas, etc., de sorte qu’il serait difficile d’assurer une mise en œuvre uniforme dans l’ensemble des ministères.
Résumé du tableau des résultats
Le tableau présenté à l’annexe A fournit un résumé des réponses des ministères aux questions concernant la mise en œuvre, ainsi que de l’évaluation faite de ces réponses par l’OSSNR. Cette évaluation reposait sur les détails connexes communiqués par les ministères, en fonction des renseignements particuliers demandés. Comme il a été expliqué ci-dessus, en réponse à bon nombre des questions posées, les ministères ont indiqué que celles-ci ne s’appliquaient pas (s.o.). Étant donné que de nombreuses exigences entourant la mise en œuvre sont liées à des activités particulières, l’absence de telles activités signifierait que l’exigence ne s’applique pas. Le meilleur exemple de cette situation dans le cadre de l’examen actuel est l’absence de toute décision à l’échelon des sous-ministres. Les 12 ministères ont indiqué qu’aucun cas n’avait été soumis au sous-ministre en vue d’une décision. Comme toutes les exigences supplémentaires en matière de rapports associées à ce niveau de décision ne s’appliquaient pas, celles-ci ont été considérées comme satisfaites.
Toute exigence particulière qui n’avait pas été remplie a été signalée. Les rares cas où cela s’est produit étaient liés au non-respect par le ministère de certaines obligations en matière de rapports prévues par la Loi. Dans tous les cas, le ministère en cause avait préalablement constaté que ces exigences n’avaient pas été remplies et avait indiqué que des efforts étaient déployés en vue de s’y conformer.
Les préoccupations et les constatations présentées dans le tableau (ainsi que d’autres d’entre elles) sont examinées plus loin. Une préoccupation a été signalée dans deux situations : lorsqu’il y avait une incertitude quant à la capacité du ministère de soutenir les exigences à respecter en ce qui concerne la mise en œuvre et lorsque des questions intersectorielles liées aux aspects généraux de tous les cadres décrits étaient soulevées; les deux ont mené à l’élaboration des constatations et des recommandations proposées.
Constatations et recommandations
Réalité entourant la mise en œuvre en 2019
Une difficulté rencontrée par les ministères, lors de ce premier examen, avait trait à l’un des éléments d’évaluation indiqués ci-dessus, c.-à-d. s’ils avaient établi des cadres pour démontrer comment ils ont assuré la mise en œuvre des instructions qu’ils ont reçues.
Comme la Loi visant à éviter la complicité est entrée en vigueur en juillet 2019, il n’était pas possible que les ministères créent et mettent en place de nouveaux cadres d’échange d’information à temps pour la période visée par l’examen. Bien que la Loi désigne plusieurs des administrateurs généraux auxquels les instructions doivent être communiquées, elle ne nomme que ceux qui ont reçu la directive ministérielle précédente de 2017. Les autres ministères nouvellement ajoutés ont reçu leurs instructions en septembre 2019. Indépendamment de cette différence de deux mois, chaque ministère se devait de s’appuyer, dans une certaine mesure, sur les procédures existantes pour gérer l’échange de renseignements avec des entités étrangères au cours de la période d’examen.
Les ministères qui avaient auparavant officialisé des politiques et des processus ont ainsi bénéficié d’un avantage lors de la mise en œuvre des instructions. Dans le cas des ministères qui n’étaient pas visés par la directive ministérielle précédente de 2017 sur l’échange d’information, l’OSSNR a examiné la façon dont ils ont adapté ce qui était déjà en place et en ont tiré parti pour s’acquitter de leurs nouvelles responsabilités en vertu de la Loi. Ce que nous nous attendions ensuite à voir, pour tous les ministères, était les mesures subséquentes qu’ils ont prises, pendant la période d’examen et après celle-ci, pour créer des cadres ou adapter ceux existants en vue de mieux répondre aux exigences de mise en œuvre dans l’avenir. L’OSSNR a constaté qu’en réponse aux questions sur les cadres utilisés pour gérer l’information et atténuer les risques, plusieurs des ministères qui n’étaient pas au fait auparavant des visées de la Loi ont décrit de façon très détaillée les efforts et les progrès qu’ils ont faits en vue d’élaborer leurs cadres à l’appui des instructions. Plusieurs ont indiqué que ces cadres devraient être officialisés au cours de l’année suivante, ce qui était également encourageant.
Constatation no 1 : L’OSSNR a constaté que plusieurs ministères qui n’étaient pas au fait auparavant des visées de la Loi ont décrit les progrès considérables qu’ils ont faits, pendant la période d’examen et après celle-ci, en vue d’élaborer des cadres officiels pour soutenir la mise en œuvre.
Importance d’établir des cadres opérationnels
Tel qu’il a été expliqué précédemment, les ministères qui n’avaient pas auparavant de processus à l’appui de leurs activités n’auraient peut-être pas été en mesure de mettre en place des cadres opérationnels parfaitement établis pour la période visée par le présent examen. Toutefois, ils n’en étaient pas moins tenus de se conformer aux exigences de mise en œuvre. Chaque ministère se devait, malgré tout, de tirer parti de ce qu’il avait déjà en place pour répondre adéquatement aux préoccupations liées à la Loi visant à éviter la complicité. De plus, la suite logique attendue était que les ministères prennent par la suite des mesures, au besoin, afin d’élaborer des cadres officiels leur permettant de combler les lacunes perçues en vue de soutenir la mise en œuvre de la Loi dans l’avenir.
Après avoir examiné les réponses recueillies, l’OSSNR s’inquiète du fait que les ministères qui effectuent peu d’échanges de renseignements dans le cadre de leurs activités doivent malgré tout répondre à la nécessité de mettre en place un cadre solide, quelle que soit la fréquence à laquelle ils exploiteront ce cadre. Par exemple, bien que SP et TC soient appelés à agir principalement à titre de facilitateurs ou de coordonnateurs lors de l’échange de renseignements dans le cadre de programmes particuliers, ils doivent malgré tout interagir avec des entités étrangères et sont donc tenus d’évaluer pleinement les interactions qu’ils entretiennent à cet égard.
Si un ministère qui ne possède pas de cadre officiel estime rencontrer peu de cas visés par la Loi, voire aucun, il peut être enclin à penser qu’il est en mesure de répondre adéquatement à toute préoccupation soulevée, le cas échéant, en ce qui concerne l’échange de renseignements, ce qui n’est cependant pas le cas. Même s’il ne s’agit là que de cas isolés, dès lors où des renseignements doivent être échangés et que cet échange risque de soulever des préoccupations au regard de la Loi, un cadre doit être établi afin de soutenir adéquatement ce processus. Dans bien des cas, ce sera le cadre lui-même qui permettra de déterminer comme il se doit si un échange de renseignements soulève des préoccupations aux termes de la Loi. En l’absence d’un processus officiel, cette procédure risque de s’avérer problématique. Il ne suffit pas de dire simplement qu’il n’y a aucun cas ou activité en lien avec la Loi. Cette décision ne peut être prise qu’après avoir soigneusement examiné tout échange de renseignements au moyen d’un cadre solide. À partir de maintenant, tous les ministères qui reçoivent des instructions devront prouver qu’ils possèdent un cadre officiel leur permettant de s’assurer que tous les échanges de renseignements sont évalués comme il se doit au regard des considérations soulevées dans la Loi.
Constatation no 2 : L’OSSNR a constaté que les ministères qui effectuent peu d’échanges de renseignements avec des entités étrangères n’ont pas encore pleinement reconnu l’importance de mettre en place un cadre d’échange d’information officiel.
Recommandation no 1 : L’OSSNR recommande que tous les ministères qui reçoivent des instructions en vertu de la Loi disposent d’un cadre officiel garantissant qu’ils peuvent pleinement soutenir la mise en œuvre de ces dernières.
Coordination collective et pratiques exemplaires
Bien que la coordination entre les ministères et l’échange de pratiques exemplaires ne soient pas une exigence de la Loi visant à éviter la complicité ou des instructions connexes, l’OSSNR a examiné l’utilité d’une telle approche. Il est clairement apparu, au cours de ce premier examen, que chaque ministère utilise un cadre très différent pour orienter ses échanges de renseignements avec des entités étrangères, ce qui était prévisible, dans une certaine mesure, étant donné que les mandats, les exigences en matière d’échange d’information et les secteurs d’intervention privilégiés de chaque ministère sont différents. Toutefois, ces différences reflètent également le processus d’élaboration interne indépendant qui a été effectué à l’égard des différents cadres utilisés. Bien que les ministères qui reçoivent des instructions en vertu de la Loi interagissent à cet égard dans une certaine mesure, il appert, d’après les réponses fournies, que jusqu’à présent, la majorité du travail accompli par les ministères en vue d’élaborer des cadres visant à les aider à s’acquitter des responsabilités qui leur incombent en vertu de la Loi ait été effectué de façon indépendante. Peu de chevauchements, voire aucun, ont été observés dans la façon dont les ministères décrivent les divers aspects de leurs cadres, et ce, même parmi ceux visés par la directive ministérielle publiée précédemment à cet égard.
Il serait utile que les ministères définissent collectivement les aspects essentiels présents ou nécessaires lors de tous les échanges de renseignements avec des entités étrangères, puis qu’ils travaillent ensemble à l’établissement de pratiques exemplaires, sans tenir compte de ce qu’ils ont déjà mis en place. Ce processus devrait s’appuyer sur toutes les ressources dont ils disposent afin d’arriver à dresser ce constat. Chaque ministère pourra ensuite examiner ses cadres existants en vue de déterminer comment il peut les adapter afin de les rendre conformes à cet idéal convenu par tous les ministères concernés. Cela ne veut pas dire que les éléments qu’un ministère a déjà mis en place dans son cadre ne seront pas considérés, au bout du compte, comme une pratique exemplaire. Plusieurs ministères disposent déjà de cadres d’échange d’information solides qui faciliteront grandement cet exercice. Toutefois, le fait d’en être arrivé à ce constat de façon indépendante augmentera le niveau de confiance.
Les difficultés propres à chaque ministère ne peuvent évidemment pas être ignorées. En fait, ces dernières compteront pour beaucoup lors de cette discussion. Comme les raisons pour lesquelles les ministères échangent des renseignements dans le cadre de leur mandat varient, il est possible que certains aspects du cadre d’échange d’information soient impossibles à coordonner. Toutefois, cela doit être évalué. Il est important que ce qui existe déjà ou ce qui représente un changement difficile n’influe pas indûment sur ce qui pourrait se révéler être la meilleure solution. Cette approche permettra d’assurer l’uniformité (dans la mesure du possible) dans l’ensemble des ministères concernés et fournira un point de départ qui permettra à chaque ministère d’évaluer ses processus existants en fonction des « incontournables » établis.
Le GCER de SP a été créé dans le but de soutenir les ministères lors de l’échange de renseignements. Ce groupe se trouve donc dans une position idéale pour aider à atténuer les problèmes découlant du manque de coordination. La gestion des efforts requis doit s’appuyer sur le travail déjà accompli par ce groupe. Lors de récentes discussions avec l’OSSNR, le GCER a indiqué que le suivi des leçons retenues et l’échange de pratiques exemplaires n’étaient pas encore de pratique courante. Dans l’avenir, il serait utile de mieux coordonner les efforts lorsque les ministères mettent à jour ou modifient leur cadre. Cette coordination ne pourra être assurée sans l’appui et le leadership des hauts fonctionnaires. Cela facilitera la mise en commun des pratiques exemplaires, une fois celles-ci établies, ainsi que l’établissement d’approches plus uniformes dans l’ensemble des ministères.
Constatation no 3 : L’OSSNR a constaté que la variabilité des cadres ministériels et les différences observées entre ces derniers témoignent du manque de coordination jusqu’à présent entre tous les ministères concernés et démontrent la nécessité de définir les pratiques exemplaires.
Recommandation no 2 : L’OSSNR recommande que les ministères coordonnent leurs activités afin de déterminer les pratiques exemplaires liées à toutes les composantes essentielles des cadres d’échange d’information et que le GCER soit mobilisé pour s’assurer que ces pratiques sont communiquées, dans la mesure du possible, à l’ensemble des ministères concernés de manière à soutenir la mise en œuvre de la Loi.
Manque d’uniformité dans l’application du cadre
Une série de questions posées dans le cadre du présent examen portait sur différents aspects liés à l’uniformité dans la façon dont les ministères appliquent leurs cadres . À partir de cette série de questions, une comparaison a été effectuée entre le nombre de fois où un événement nécessitant l’échange ou l’utilisation de renseignements a donné lieu à une évaluation de quelque nature que ce soit en rapport avec les considérations prévues dans la Loi visant à éviter la complicité, et le nombre de ces cas qui, une fois triés, ont été transférés ou renvoyés à l’échelon supérieur aux fins de décision. Les résultats ont permis d’évaluer deux aspects importants d’un cadre, à savoir le seuil minimal requis, dans un premier temps, c.-à-d. la fréquence à laquelle un échange de renseignements donne lieu à une évaluation de quelque nature que ce soit, et le pouvoir de décision accordé aux exploitants qui gèrent initialement ces échanges, dans un deuxième temps.
Les réponses et les commentaires recueillis démontrent un manque d’uniformité possible au sein des ministères en ce qui concerne ces deux aspects. Par exemple, plusieurs ministères ont indiqué qu’au cours de la période d’examen, aucun cas n’avait été trié ou évalué au regard des préoccupations abordées dans la Loi, alors qu’ils ont affirmé participer régulièrement à l’échange de renseignements ou n’avoir obtenu aucun renseignement d’entités étrangères recueilli à la suite de mauvais traitements. Ces réponses semblent contradictoires puisqu’il serait hasardeux de participer à l’échange de renseignements ou d’en venir à de telles décisions en ce qui concerne les mauvais traitements sans que l’activité soit évaluée, dans une certaine mesure.
D’autres ministères ont fait mention d’un nombre plus élevé de cas ayant été initialement triés ou évalués, mais ils ont également précisé qu’aucun de ceux-ci n’avait été acheminé au palier supérieur de leur processus décisionnel en vue d’une décision. Cela semble indiquer que toutes les décisions ont été prises au niveau opérationnel. Au vu de ce résultat, il appert que l’exploitant a un rôle très important à jouer, s’il prend toutes les décisions de façon indépendante, et il en va de même pour les outils d’évaluation initiaux qu’il utilise. Cela renforce l’importance d’un cadre solide pour aider à prendre ces décisions, tel qu’il a été indiqué précédemment dans la constatation no 2. Compte tenu des différences observées, il est possible que des difficultés surviennent au moment d’évaluer avec exactitude le volume de cas traités par les ministères et d’assurer le suivi de ces cas, soit ceux qui présentent un risque sérieux, ceux où le risque peut être atténué, ceux où le risque n’a pas été jugé sérieux et ceux qui ne comportent aucun risque.
Ces réponses peuvent découler de la façon dont chaque ministère définit un « cas », ou de la manière dont chacun consigne les cas, ou peuvent être le résultat des différences dans la façon dont le processus décisionnel d’un ministère est utilisé. L’OSSNR craint que ces différences dénotent un manque d’uniformité dans les seuils qui régissent l’application des cadres au sein des différents ministères. Par conséquent, les résultats suivants ont été considérés comme un problème potentiel, d’après les réponses recueillies:
un ministère a participé à des échanges de renseignements avec une entité étrangère au cours de la période d’examen, mais n’a pas indiqué que des cas avaient été officiellement triés ou évalués;
un nombre élevé de cas ont été triés, mais aucun n’a été acheminé à un palier supérieur en vue d’une décision.
De tels résultats ne révèlent pas forcément un problème, dans la mesure où certains éléments d’un cadre peuvent les justifier, mais il est important d’examiner plus avant comment le cadre d’un ministère a conduit à ces résultats et pourquoi. Les examens ultérieurs permettront d’étudier de plus près la question. Des étapes initiales uniformes lors des échanges de renseignements, y compris les seuils de tri et d’évaluation et la documentation connexe, sont essentielles à l’application efficace d’un cadre et, au bout du compte, à l’établissement des pratiques exemplaires.
Constatation no 4 : L’OSSNR a constaté un manque d’uniformité entre les ministères en ce qui a trait à l’application des cadres d’échange d’information existants, plus particulièrement en ce qui concerne les seuils d’évaluation de l’information et le renvoi des cas au palier supérieur aux fins de décision par les cadres supérieurs.
Recommandation no 3 : L’OSSNR recommande aux ministères d’établir des seuils uniformes pour déclencher l’application de leurs cadres d’échange d’information, notamment en ce qui concerne les évaluations initiales au regard des préoccupations soulevées dans la Loi, l’acheminement des cas au palier suivant du processus décisionnel et la façon dont tout ceci est documenté.
Évaluations des pays et des entités
Lors de son examen précédent sur l’échange d’information l’OSSNR a formulé une recommandation clé concernant les évaluations des pays et des entités faites par les ministères pour orienter leur processus décisionnel lorsqu’ils échangent des renseignements avec une entité étrangère ou utilisent de tels renseignements. Bien que la mise en œuvre des instructions données en vertu de la Loi n’exige pas le recours à une telle évaluation, l’OSSNR continue de considérer cet outil comme un élément important de tout cadre d’échange d’information. Lors de son examen précédent, l’OSSNR a conclu qu’il était essentiel de bien saisir la situation des droits de la personne, ainsi que toute autre information pertinente en lien avec un pays ou une entité, pour prendre une décision éclairée au moment de déterminer si le traitement des renseignements échangés avec ce pays ou cette entité soulève des préoccupations, si des réserves doivent être formulées ou s’il convient d’établir des limites. De plus, il est essentiel de consigner ces informations pour s’assurer que tous les ministères traitent avec ces pays et ces entités de la même façon. Lors de l’examen précédent, la recommandation suivante a été formulée. Les ministères devraient élaborer:
un ensemble harmonisé d’évaluations de la situation des droits de la personne dans les pays étrangers, qui inclut pour chaque pays le niveau de classification normalisé des « risques de mauvais traitements
dans la mesure où de multiples ministères traitent avec les mêmes entités étrangères dans un pays donné, utiliser des évaluations uniformisées du risque de mauvais traitements associé à l’échange d’information avec des entités étrangères.
Il est important de souligner que lors de la publication du présent rapport, les ministères n’avaient pas encore répondu officiellement à cette recommandation. En outre, dans le cadre de ce rapport, deux ministères ont continué de soulever des préoccupations, pendant le processus de consultation, en ce qui concerne la position de l’OSSNR sur cette question. Bien que l’OSSNR continue d’appuyer cette recommandation, il pourrait être bon, tel qu’il est expliqué ci-dessous, de tenir d’autres discussions avec les ministères quant à la manière d’aborder cette question et d’examiner, notamment, la distinction entre la façon dont cette recommandation peut s’appliquer à une entité ou à un pays étranger par opposition à un partenaire étranger particulier avec lequel un ministère est appelé à traiter.
D’après les réponses recueillies à ce sujet au cours de la période visée par le présent examen, un manque d’uniformité continue de se faire sentir dans ce domaine. Bien que presque tous les ministères aient indiqué que les évaluations des pays et des entités font partie intégrante de leur cadre, les réponses recueillies font également ressortir des différences quant aux évaluations utilisées, à la façon dont celles-ci sont mises à profit et à qui revient la responsabilité de les mettre à jour. Par exemple, plusieurs ministères s’appuient sur leurs propres évaluations internes, alors que d’autres mettent à profit celles élaborées par AMC et d’autres entités. Bien que les ministères qui ont dit utiliser de tels outils d’évaluation dans le cadre de leur processus aient également indiqué que ces évaluations tiennent compte des préoccupations relatives aux droits de la personne, cette question doit encore faire l’objet d’une évaluation indépendante. L’OSSNR craint que ces différences n’amènent les ministères à adopter des approches ou des positions différentes lorsqu’ils traitent avec une même entité étrangère. Les outils d’évaluation des pays et des entités, à proprement parler, ne sont pas forcément en cause, le problème venant plutôt du fait que ce n’est pas la totalité des ministères qui a accès à tous les renseignements utiles ou applicables ou qui en tire parti.
L’OSSNR demeure convaincu qu’il est important d’adopter une position uniforme à l’égard de tous les pays et entités au moment d’appliquer les dispositions de la Loi. Les questions se rapportant, entre autres, aux mauvais traitements et aux droits de la personne, ne devraient pas être tranchées à l’échelle des ministères, mais plutôt à l’échelle pangouvernementale. Sans faire fi des niveaux de classification, il est essentiel que tous les ministères aient accès aux mêmes renseignements pertinents relatifs à une entité ou à un pays étranger pour être en mesure de prendre des décisions éclairées. Vu la nature de leur travail, les ministères peuvent avoir accès à des renseignements particuliers au sujet d’un pays ou d’une entité qu’ils peuvent communiquer aux autres, en totalité ou en partie. Cela permettrait à chacun de réaliser des évaluations en toute connaissance de cause, tout en favorisant l’adoption d’une approche uniforme dans les rapports entretenus avec un pays ou une entité donné. L’OSSNR continue de considérer comme essentiel l’établissement d’évaluations des pays et des entités normalisées, auxquelles tous les ministères ont accès et peuvent contribuer, afin d’en venir à assurer une mise en œuvre plus uniforme et plus efficace de la Loi dans l’ensemble des ministères concernés, ce qui aiderait également à réduire le dédoublement des efforts déployés par ces derniers dans ce domaine.
Constatation no 5 : L’OSSNR a constaté un manque d’harmonisation et de normalisation en ce qui a trait aux évaluations des pays et des entités utilisées par les ministères, ce qui entraîne un manque d’uniformité dans l’approche ou la position adoptée par tous les ministères concernés lorsqu’ils interagissent avec des entités étrangères qui suscitent des préoccupations au regard de la Loi.
Recommandation no 4 : L’OSSNR recommande aux ministères de trouver un moyen d’établir des outils harmonisés et normalisés d’évaluation des risques que présentent les pays et les entités afin de soutenir l’adoption d’une approche uniforme par les ministères lorsqu’ils interagissent avec des entités étrangères qui suscitent des préoccupations au regard de la Loi.
Conclusion
Bien que certains aspects de la mise en œuvre puissent être facilement quantifiés et évalués, p. ex. les exigences en matière de présentation de rapports à un ministre, d’autres éléments à l’appui de la mise en œuvre se révèlent plus difficiles à jauger, par exemple:
À quoi ressemble un cadre suffisamment solide pour évaluer et atténuer le risque entourant l’échange de renseignements avec une entité étrangère?
Cela dépend-il des exigences et des activités particulières du ministère concerné?
Y a-t-il des étapes qui devraient toujours être suivies lors de l’examen approfondi d’une entité étrangère au regard des considérations soulevées dans la Loi?
Il s’avère difficile d’évaluer et de jauger les réponses à ces questions, dans la mesure où celles-ci sont plus nuancées et ne peuvent être quantifiées aussi facilement. Il convient malgré tout de les examiner et d’y trouver réponse. En s’appuyant sur les considérations et les préoccupations soulevées dans le cadre du présent examen, les ministères pourront se poser des questions qui les aideront à améliorer leurs cadres sous-jacents, en gardant en tête les objectifs suivants:
déterminer les éléments clés ou essentiels qui doivent faire partie de tout cadre pour qu’il réponde de manière adéquate aux préoccupations soulevées au regard de la Loi visant à éviter la complicité;
faire en sorte que toutes les pratiques exemplaires établies soient mises en œuvre de la façon la plus uniforme possible dans l’ensemble des ministères.
Les examens ultérieurs mettront l’accent sur ces objectifs en cherchant réponse aux questions ci-dessus. Des études de cas particulières seront examinées de plus près, de même que les avis juridiques ministériels, les éléments incohérents et les cadres ministériels qui constituent déjà des pratiques exemplaires dont les autres pourraient également profiter. En définitive, les résultats de ces efforts contribueront à améliorer la mise en œuvre de la Loi dans l’ensemble des ministères concernés.
Ce site web utilise des cookies afin de vous offrir la meilleure expérience utilisateur possible. Les informations contenues dans les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site web et aider notre équipe à comprendre quelles sont les sections du site web que vous trouvez les plus intéressantes et les plus utiles.
Cookies strictement nécessaires
Strictement nécessaire Le cookie doit être activé à tout moment afin que nous puissions enregistrer vos préférences en matière de paramètres de cookies.
Si vous désactivez ce cookie, nous ne pourrons pas enregistrer vos préférences. Cela signifie qu'à chaque fois que vous visiterez ce site web, vous devrez à nouveau activer ou désactiver les cookies.
Cookies tiers
Ce site web utilise Google Analytics pour collecter des informations anonymes telles que le nombre de visiteurs du site et les pages les plus populaires.
L'activation de ce cookie nous aide à améliorer notre site web.
Veuillez d'abord activer les cookies strictement nécessaires afin que nous puissions enregistrer vos préférences !
