Examens

Examens Terminés

Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes


Date de publication :

Sommaire

Le présent examen s’est penché sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC), notamment, sur la façon dont les recherches axées sur les technologies de l’information (TI) ont été menées pour appuyer les enquêtes de contre-ingérence (CI). L’examen a permis d’établir si les recherches axées sur les TI et la collecte d’information ayant pour objet d’appuyer les enquêtes de CI avaient porté atteinte à l’attente raisonnable qu’une personne peut avoir en matière de respect de la vie privée.

En cours d’examen, l’OSSNR a reconnu trois (3) aspects qui semblent préoccupants s’agissant des demandes et des activités de recherche de renseignements de CI axées sur les réseaux informatiques. En l’occurrence, ces demandes et ces activités se divisent en trois catégories : 1) les recherches de l’UNCIFC visant les courriels d’un sujet ainsi que les activités de celui-ci dans Internet ou sur des supports amovibles; 2) la liste de vérification que l’UNCIFC emploie pour reconnaître, mais aussi pour restreindre les paramètres de recherche ainsi que pour établir la façon dont les intervenants concernés définissent lesdits paramètres de recherche; et 3) la façon dont l’acquisition d’information est exploitée pour étendre la portée de recherches ultérieures.

Les employés du MDN ainsi que les militaires des FAC peuvent raisonnablement s’attendre à ce que leur vie privée soit protégée lorsqu’ils se servent des ressources informatiques à des fins personnelles. [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]. De fait, l’OSSNR conclut que l’UNCIFC pourrait tenir erronément pour acquis que les politiques du MDN/FAC autorisent légalement les mesures contraires à l’attente raisonnable qu’un sujet peut avoir en matière de protection de la vie privée.

L’OSSNR a noté que la liste de vérification introduisait le risque de capter des renseignements personnels, voire intimes qui sont constitutifs du coeur des renseignements biographiques d’un sujet. En l’occurrence, l’OSSNR estime que l’application de la liste de vérification pose un risque de captation de renseignements censés être protégés au titre de l’article 8 de la Charte canadienne des droits et libertés (la Charte). L’OSSNR est également d’avis que le MDN/FAC s’appuie sur une définition de la notion de métadonnées qui englobe les renseignements par rapport auxquels on serait pourtant en droit d’avoir des attentes raisonnables en matière de respect de la vie privée.

L’OSSNR a également noté que l’UNCIFC effectuait ses recherches axées sur les TI en fonction de paramètres suffisamment généraux pour correspondre à des informations qui pourraient n’avoir aucun lien avec l’enquête à mener. En outre, ces paramètres étaient appliqués suivant des approbations générales ne faisant état d’aucun contrôle interne particulier ni d’aucun suivi sur le plan des opérations ou au niveau des opérateurs. Compte tenu, entre autres, des limites caractérisant les outils de vérification des TI et de la sélection de paramètres de recherche généraux, force est de constater que les techniques de collecte finissent par ratisser trop large. D’ailleurs, l’OSSNR conclut que les pratiques d’enquête exercées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**] que lesdites pratiques ne sont pas assujetties à un encadrement qui permette de garantir le plus faible niveau d’intrusion possible.

En conséquence de ces conclusions, l’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête visant les systèmes de TI dans le contexte d’enquête de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi. De plus, une fois qu’un fondement juridique aura été posé, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde auxdites conclusions.

Dans la foulée de son Rapport annuel 2020 de l’OSSNR – lequel mettait l’accent sur l’adoption d’une approche visant à « faire confiance, mais [aussi à] vérifier » lorsqu’il s’agit d’évaluer l’information fournie dans le cadre d’un examen –, l’OSSNR a travaillé avec le MDN/FAC pour concevoir une démarche favorisant les « accès par la voie d’un intermédiaire » (proxy access), c’est-à-dire une approche faisant intervenir un intermédiaire issu du ministère, qui accéderait aux dépôts d’information en présence d’un membre du personnel de l’OSSNR et qui pourrait examiner les informations pertinentes qui se trouvent dans le système. Le MDN/FAC s’est dit d’accord, en principe, avec ce type d’accès. Toutefois, compte tenu de la disparité des nombreuses bases de données pouvant se prêter aux recherches de CI, il y avait lieu de conclure que cette initiative ne pourrait pas être mise en oeuvre pendant le déroulement du présent examen. Néanmoins, l’information fournie par le MDN/FAC a été vérifiée en toute indépendance par l’OSSNR, par le biais d’une analyse documentaire et de réunions avec les experts du MDN/FAC. Des travaux collaboratifs sont toujours en cours afin de poursuivre l’élaboration d’un modèle d’accès devant s’appliquer à la vérification indépendante de divers type d’information.

Pouvoirs

Le présent examen a été réalisé au titre des dispositions visées à l’alinéa 8(1)b) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR).

Mise en contexte de l’examen

En juillet 2019, est entrée en vigueur la Loi sur l’OSSNR qui prévoyait la création de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR). En outre, le mandat organisationnel chargeait l’OSSNR d’examiner un vaste éventail d’activités réalisées dans l’ensemble du gouvernement du Canada, plus particulièrement dans la sphère de la sécurité nationale ou du renseignement, ce qui comprend les activités menées par le ministère de la Défense nationale et par les Forces armées canadiennes (MDN/FAC).

C’est en 2020 que l’OSSNR a réalisé son premier examen visant le MDN/FAC, examen qui s’est concentré sur les activités de l’Unité nationale de contre-ingérence des Forces canadiennes (UNCIFC). Pendant cet examen, on a relevé deux (2) problèmes de conformité possibles, ce qui a incité les membres de l’OSSNR à approuver la tenue d’un nouvel examen en 2021.

Les problèmes devant faire l’objet d’un examen ultérieur étaient les suivants :

  • une pratique de l’UNCIFC, du sous-ministre adjoint, Gestion de l’information (SMA-GI) et du MDN/FAC consistant à demander de l’information devant être collectée grâce à des recherches effectuées dans les systèmes de technologie de l’information du MDN/FAC, et ce, en guise d’appui à des enquêtes de contre-ingérence (CI);
  • une entrevue réalisée avec un sujet en 2014 [**contient de l’information opérationnelle du MDN/FAC**]

Recherches visant les systèmes de TI

Le présent examen a évalué, en termes juridiques et techniques, la façon dont les recherches axées sur les TI étaient utilisées dans le cadre d’enquêtes de CI. L’examen s’est également penché sur les structures de reddition de comptes qui orientent l’acquisition d’information et de données.

Pendant le présent examen, l’OSSNR a analysé toutes les ressources dont il disposait : les documents matériels et électroniques, les dossiers d’enquête, la correspondance, les bases de données informatisées et les autres fonds d’information ayant trait aux opérations et aux enquêtes, de même que les politiques, les procédures et les conseils juridiques applicables. En outre, cette analyse a permis de vérifier le degré de conformité des activités aux exigences juridiques, ministérielles et stratégiques. Par ailleurs, on a échangé avec des gestionnaires et des officiers, mais aussi avec d’autres membres du personnel du MDN/FAC à l’occasion de présentations, d’entrevues et de réunions.

Pendant l’analyse d’un certain nombre de dossiers d’enquête choisis, l’examen a eu pour objet d’établir si les recherches axées sur les TI et les mesures de collecte d’information menées aux fins d’enquêtes de CI avaient enfreint, en l’occurrence, le principe d’attente raisonnable en matière de respect de la vie privée. De fait, suivant un examen rigoureux, l’OSSNR a tenté de savoir si les recherches menées à des fins d’enquêtes de contre-ingérence (CI) posaient le risque de capter des renseignements personnels qui soient révélateurs, voire intimes et qui pourraient être constitutifs du coeur de la biographie d’un utilisateur. Au Canada, la Constitution accorde à chaque personne le droit de s’attendre à ce que l’État respecte sa vie privée lorsque cet État est appelé à traiter des renseignements personnels qui s’avèrent significatifs, intimes et qui ont trait à l’ensemble des renseignements biographiques, ce qui inclut les renseignements personnels d’un utilisateur qui sont enregistrés dans le matériel informatique du lieu de travail.

L’OSSNR a sélectionné un échantillon de demandes de recherches axées sur les systèmes de TI, qui ont été soumises à l’UNCIFC. À partir de cet échantillon, l’OSSNR devait établir si l’UNCIFC, dans le cadre desdites recherches, s’était conformée aux lois et aux directives du ministre ainsi qu’aux directives, politiques et procédures établies en interne, et si elle avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

L’examen a porté sur un éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier d’actualité [**expurgé**] dont le niveau était élevé (niveau 3). En l’occurrence, il s’agissait d’illustrer les pratiques de l’UNCIFC et du SMA (GI) lorsque des recherches étaient menées dans les systèmes de TI (prière de consulter l’appendice 1 pour en connaître davantage sur ce dossier d’enquête). À travers le prisme de [**expurgé**] , l’OSSNR a tenté d’établir si l’UNCIFC et le SMA (GI) avaient agi contrairement à l’attente raisonnable de personnes en matière de respect de la vie privée pendant le déroulement des enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction des Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Entrevue avec un sujet

L’OSSNR a également réalisé un examen approfondi de l’entrevue que l’UNCIFC a réalisée avec un sujet en 2014. En l’occurrence, il s’agissait de comprendre ce qui avait mené à ladite entrevue, ce qui avait eu lieu en cours d’entrevue, les conséquences possibles de l’entrevue ainsi que la réaction du MDN/FAC après l’incident. L’OSSNR a examiné le dossier d’enquête de l’UNCIFC et en a vérifié le degré de conformité aux lois, aux directives ministérielles et aux politiques applicables. L’OSSNR s’est également penché sur les conseils juridiques formulés par le Cabinet du Juge-avocat général (Cabinet du JAG) et le Conseiller juridique des Forces canadiennes (CJFC).

L’examen de l’OSSNR a eu directement pour effet d’amener le Commandement du renseignement des Forces canadiennes (COMRENSFC) à émettre, le 9 septembre 2021, une directive [**contient de l’information opérationnelle du MDN/FAC**].

De l’avis de l’OSSNR, ces mesures ont répondu aux préoccupations initiales découlant de l’entrevue (avec un sujet) de 2014, dont il a été question précédemment. En conséquence, l’OSSNR a suspendu toute nouvelle enquête dans ce dossier. Or, l’OSSNR pourrait très bien décider de réexaminer cette pratique d’enquête à l’occasion d’examens à venir, une fois que la directive fonctionnelle aura été mise à jour par le COMRENSFC.

Contexte historique de l’UNCIFC

Depuis 1997, les fonctions de contre-ingérence et de sécurité exercées au sein du MDN/FAC ont subi de multiples transformations visant à réaliser des gains d’efficacité et à éliminer les conflits pouvant surgir avec les autres intervenants de la sphère de la sécurité, du renseignement et de l’application de la loi. Depuis son instauration, l’UNCIFC a fait l’objet de 10 études internes, chacune ayant reconnu qu’elle souffrait, entre autres, d’un manque de ressources et de contraintes sur le plan des politiques, ce qui l’a empêchée d’exercer pleinement son mandat. Un faible nombre des recommandations formulées dans ces rapports ont été mises en oeuvre. Lorsqu’on lui a demandé de faire état des raisons pour lesquelles un si grand nombre de recommandations étaient restées lettre morte, l’Unité a évoqué un manque à gagner sur le plan des ressources.

En 1997, le service de sécurité et d’enquêtes criminelles qui oeuvrait eu sein de l’Unité des enquêtes spéciales (UES) a été scindé en deux unités distinctes, à savoir l’UNCIFC et le Service national des enquêtes des Forces canadiennes (SNEFC). Cette démarche faisait suite au dépôt du rapport du Groupe consultatif spécial sur la justice militaire et les services d’enquête ainsi que de l’examen externe de l’Unité des enquêtes spéciales des Forces canadiennes.

La scission faisait écho à la séparation qui s’était produite au milieu des années 1980 entre la Gendarmerie royale du Canada (GRC) et le Service canadien du renseignement de sécurité (SCRS). Pour la première fois, des mandats distincts avaient été créés au sein du MDN/FAC pour les fonctions d’application de la loi, de sécurité et contre-ingérence, et d’enquête de sécurité.

L’UNCIFC nouvellement créée était appelée à exercer les fonctions de sécurité et contre-ingérence au sein du MDN/FAC. Pour sa part, le SNEFC ne se concentre que sur les enquêtes criminelles. Enfin, la fonction d’enquête de sécurité a été établie et elle est désormais désignée comme étant celle du Directeur général – Sécurité de la défense, le Directeur – Sécurité du personnel et gestion de l’identité (DGSD/DSPGI).

La création de l’UNCIFC a été autorisée par le ministre de la Défense nationale (MinDN) au titre d’un arrêté ministériel d’organisation. Ensuite, en vertu d’une Ordonnance d’organisation des Forces canadiennes, le Chef d’état-major de la défense (CEMD) a instauré l’UNCIFC en tant qu’unité de la Force régulière relevant du Groupe du renseignement des Forces canadiennes (GP RENS FC).

Émise en mars 2003 avec l’autorisation du Sous-chef d’état-major de la défense, la série 8002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique pour les activités de CI de défense et réitérait, notamment, les responsabilités du MinDN, du SMA et du CEMD en matière de protection des ressources du MDN/FAC. [**contient de l’information protégée par le secret professionnel de l’avocat**] seraient équivalents à ceux qui sont exercés par les agents de sécurité du ministère qui se trouvent dans les divers ministères du gouvernement fédéral.

There are no provisions of the National Defence Act (NDA) that authorize the conduct of defence intelligence activities. CFNCIU investigations are the only area of defence intelligence that is squarely focused on Canadian citizens (DND employees/CAF members). [**contains information protected by solicitor-client privilege**]

Aucune des dispositions de la Loi sur la défense nationale (LDN) n’autorise la conduite d’activités de renseignement de défense. Les enquêtes de l’UNCIFC constituent le seul aspect du renseignement de défense qui soit expressément axé sur les citoyens canadiens (employés du MDN et militaires des FAC). [**contient de l’information protégée par le secret professionnel de l’avocat**]

Émise en juillet 2012 avec l’autorisation du sous-ministre adjoint (Gestion de l’information) et du dirigeant principal de l’information, la série 6002 des Directives et ordonnances administratives de la défense (DOAD) établissait le principal cadre stratégique régissant les pouvoirs sur le plan des opérations, des techniques et de la sécurité pour ce qui concerne les systèmes de communication et d’information du MDN/FAC.

La DOAD 6002-2, Utilisation acceptable d’Internet, de l’intranet de la défense, d’ordinateurs et d’autres systèmes d’information fournit aux utilisateurs des instructions relatives aux utilisations officielles, autorisées, non autorisées et interdites des systèmes de TI. C’est d’ailleurs cette politique qui définit les utilisations autorisées et qui fait état de l’attente raisonnable des utilisateurs en matière de respect de la vie privée.

La DOAD 6002-2 indique aux utilisateurs que les utilisations autorisées comprennent les communications avec la famille, les amis et d’autres personnes; les transactions bancaires personnelles; ainsi que l’achat d’articles pour soi ou pour la famille. En l’occurrence, ces utilisations figureraient dans la catégorie des fins autres que les utilisations officielles. Les utilisateurs sont également informés que les attentes en matière de respect de la vie privée s’avèrent réduites en raison de la responsabilité qui incombe au ministère sur le plan de la surveillance des systèmes de TI à des fins d’administration, de maintenance et de sécurité, mais aussi sur le plan du maintien de la conformité aux politiques, aux instructions, aux directives et aux normes du Conseil du Trésor et du MDN/FAC.

Processus d'enquête

L’information que l’UNCIFC reçoit relativement aux menaces a plusieurs sources. De fait, cette information peut provenir de divers détachements, mais aussi de divers partenaires externes. Dès la réception l’information relative à une menace liée à un employé du MDN/FAC ou à un incident, les détachements régionaux (DR) préparent un compte rendu de renseignement (INTREP pour Intelligence Report) destiné au Quartier général (QG), où est centralisée la gestion de toutes les enquêtes.

À la suite de la reconnaissance de l’enjeu de sécurité, on note deux facteurs déterminants pour le déclenchement d’une enquête :

  • il doit avoir un soupçon selon lequel une activité ou un individu constituerait une menace (c.-à-d. le terrorisme, l’extrémisme, la subversion, le sabotage ou le crime organisé que l’on désigne également par le sigle TESSCO) ;
  • la menace soupçonnée doit avoir un lien manifeste avec l’information, l’effectif ou les biens du MDN/FAC.

Lorsque les activités se déroulent dans les limites de ce cadre, le lien doit être établi pour chacune des enquêtes. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Si les soupçons TESSCO et le lien sont suffisamment étayés, les détachements régionaux soumettent une demande faisant état du niveau d’enquête proposé.

Le cadre d’enquête de l’UNCIFC est unique dans la mesure où il aborde des questions de renseignement de sécurité qui sont semblables à celles du SCRS (c.-à-d. TESSCO en plus du crime organisé), alors que la potée de ses enquêtes doit se limiter à l’information, à l’effectif et aux biens du MDN/FAC (c.-à-d. le lien). Contrairement à ce que l’on peut voir au SCRS, la collecte de l’UNCIFC visant les menaces n’est pas expansive compte tenu de la nécessité d’établir un lien; et contrairement à un agent de sécurité du Ministère, l’UNCIFC ne mène des enquêtes ni sur la conformité à la politique ni sur les questions de sécurité découlant de comportements inappropriés – de la part d’employés – qui n’impliqueraient aucun des éléments TESSCO21. De plus, l’UNCIFC n’est responsable ni du filtrage de sécurité (qui est plutôt la responsabilité du DGSD/DSPGI) ni des enquêtes criminelles, qui sont plutôt la responsabilité du Service national des enquêtes des Forces canadiennes (SNEFC).

En définitive, il faut comprendre que le cadre d’enquête de l’UNCIFC occupe un espace étroit au-dessus des sphères portant sur la discipline et le filtrage de sécurité, mais en dessous des affaires de nature criminelle. Avant d’autoriser d’une enquête ou une opération de contre-ingérence, le MDN/FAC doit établir si :

  1. l’enquête est conforme aux lois en vigueur;
  2. les méthodes d’enquête correspondent au type de menace en cause et à la probabilité que celle-ci se concrétise;
  3. l’utilisation des techniques d’enquête intrusives est évaluée dans l’optique d’une éventuelle atteinte aux droits et libertés protégés par la Constitution;
  4. les méthodes de collecte d’information les moins intrusives sont utilisées, en tenant compte des circonstances particulières.

Le graphique ci-dessous fait synthétiquement état des divers niveaux d’enquête et des activités qui sont autorisées par la politique ministérielle pour chacun des cadres d’enquête :

CFNCIU - Graphique 1 caviardé  : Processus d'enquête

Bien que les niveaux d’enquête s’inscrivent dans une chronologie, l’examen a permis de constater que la majorité des enquêtes étaient de niveau relativement faible (c.-à-d. EP et N1). Or, cette réalité n’est pas causée par l’absence de menaces TESSCO sérieuses. Elle est plutôt attribuable, en partie, [**expurgé**] l’UNCIFC [**expurgé**] des bases juridiques [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]

Lorsque l’UNCIFC a été créée en 1997, le contexte juridique entourant la Charte était bien différent de celui que l’on observe aujourd’hui. De plus, les technologies se sont développées à un tel point que les systèmes et dispositifs informatiques sont devenus des outils omniprésents. De plus, les capacités et les techniques de surveillance ont évolué. La loi s’est donc adaptée de sorte à protéger les droits garantis par la Charte en exigeant, notamment, que l’État obtienne des autorisations judiciaires (les mandats) lorsqu’il y a lieu de tenir compte d’une attente raisonnable en matière de respect de la vie privée.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

  1. [**expurgé**]
  2. [**expurgé**]
  3. [**expurgé**]
  4. [**expurgé**]
  5. [**expurgé**]
  6. [**expurgé**]
  7. [**expurgé**]
  8. [**expurgé**]
  9. [**expurgé**]
  10. [**expurgé**]

[**contient de l’information protégée par le secret professionnel de l’avocat**] Or, les recherches sans mandat qui vont à l’encontre de l’attente raisonnable en matière de respect de la vie privée sont présomptivement excessives, à moins qu’elles satisfassent aux critères énoncés dans l’arrêt Collins. L’UNCIFC n’a été en mesure de relever clairement aucune autorisation légale qui permette d’effectuer des recherches sans mandat aux fins visées à l’article 8 pendant les enquêtes de CI. Il est clair, dans le présent contexte juridique, que les pouvoirs de l’UNCIFC n’ont pas évolué au même rythme que le mandat tel qu’il est formulé. L’Unité – et dans une large mesure le COMRENSFC – a d’ailleurs reconnu que la politique était désuète sur le plan tant de la terminologie que du contenu. Toutefois, l’OSSNR note que l’actualisation des politiques internes ne fournirait pas forcément les pouvoirs nécessaires pour mener des activités pouvant donner lieu à une atteinte légitime aux droits garantis par la Charte. Les modifications qui permettraient à l’UNCIFC de mener la plupart des activités prévues pour les enquêtes de niveau 2 et de niveau 3 exigeraient que l’on modifie la loi. Du reste, ce constat a été établi dans de nombreux rapports internes qui avaient relevé d’importantes lacunes dans la politique.

Cela explique pourquoi l’Unité mise sur les politiques et les bases juridiques s’appliquant à des organismes d’enquête externes lorsqu’il s’agit d’exercer certaines fonctions, notamment, celles qui exigent un mandat. À titre d’exemple, l’UNCIFC ne peut [**contient de l’information concernant les capacités opérationnelles du MDN/FAC**]; ces techniques d’enquête sont toutes rendues possibles suivant le recours à des organismes d’enquête, au titre du mandat que ceux-ci exercent (c.-à-d. le SNEFC, le SCRS, etc.).

Le présent rapport, celui de l’examen de l’OSSNR no 2021-10, devrait être vu comme la continuation de l’examen que l’OSSNR a réalisé en 2019 « Examen visant l’Unité nationale de contre-ingérence des Forces canadiennes (2019-01) ». Or, en conséquence des difficultés posées par la pandémie de COVID-19, notamment, l’accès à l’infrastructure de GI/TI du MDN/FAC, l’OSSNR a décidé de scinder l’examen. Cette séparation a permis de formuler des conclusions et des recommandations à l’intention du ministre de la Défense nationale en février 2021. Le MDN/FAC avait alors accepté toutes les conclusions et recommandations de l’examen de 2019, mais l’OSSNR reconnaît que même si le présent examen suit le précédent de peu, les changements pourraient être déjà en cours de mise en oeuvre. Il va de soi que l’objectif du présent examen n’est pas de réitérer les conclusions et les recommandations formulées précédemment, mais plutôt de fournir de nouvelles observations, cette fois, suivant un contexte opérationnel.

Le présent examen a été l’occasion d’analyser un large éventail de dossiers d’enquête de l’UNCIFC, mais s’est concentré sur un dossier de niveau élevé (niveau 3), à savoir le [**expurgé**] , de sorte à illustrer les pratiques de l’UNCIFC et du SMA-GI lorsqu’ils exécutent des recherches axées sur les systèmes de TI (voir l’appendice 1 pour en connaître davantage sur ce dossier).

À travers le prisme de [**expurgé**] l’OSSNR a tenté d’établir si l’UNCIFC ou le SMA-GI avaient porté atteinte à l’attente raisonnable de certaines personnes en matière de respect de la vie privée pendant le déroulement d’enquêtes de CI. L’OSSNR a examiné de près les recherches menées par la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI) et le Centre d’opérations des réseaux des Forces canadiennes (CORFC) au nom de l’UNCIFC à des fins de CI.

L’OSSNR a sélectionné un échantillon de recherches de l’UNCIFC axées sur les systèmes de TI dans le but d’établir si, pendant le déroulement de ses activités, l’UNCIFC avait agi en conformité avec la loi, les directives ministérielles et internes ainsi que les politiques et procédures, et si l’Unité avait exercé ses pouvoirs de façon adéquate, raisonnable et nécessaire.

Conclusions et recommendations

Le présent examen se concentre sur les recherches que l’UNCIFC a effectuées dans le Réseau étendu de la Défense (RED). En l’occurrence, la politique interne autorise le personnel du MDN/FAC à utiliser ce réseau non classifié à des fins personnelles. L’UNCIFC soumet des demandes à trois unités qui disposent de capacités permettant de lancer des requêtes visant les activités qui se produisent dans le RED et de produire des rapports concernant certains utilisateurs ou certains sujets visés par une enquête. Les trois unités internes visées par l’examen étaient la Direction, Services à l’utilisateur final – Gestion de l’information (DSUFGI), la Direction, Ingénierie et intégration – Gestion de l’information (DIIGI), et le Centre d’opérations des réseaux des Forces canadiennes (CORFC).

Pendant l’examen, l’OSSNR a relevé trois (3) sources de préoccupation concernant les demandes et l’exécution de recherches effectuées dans les réseaux de TI aux fins de CI. Ces sources de préoccupation s’énoncent comme suit :

  1. recherche dans le RED : les recherches de l’UNCIFC [**contient de l’information opérationnelle du MDN/FAC**]
  2. liste de vérification en plusieurs points : la liste de vérification que l’UNCIFC emploie pour relever et limiter les paramètres de recherche, mais aussi la façon dont les intervenants concernés définissent les paramètres de recherche;
  3. recherche élargie : la façon dont l’acquisition d’information peut servir à l’élargissement de recherches ultérieures.

Recherches visant le réseau étendu de la défense

L’UNCIFC demande que des recherches avancées visant les systèmes de TI soient exécutées en guise d’outils pour les enquêtes de CI. Ces recherches peuvent viser [**expurgé**] réseaux [**expurgé**] affichant une multiplicité de niveaux de classification (voir l’annexe F – APERÇU DES SYSTÈMES DE TI). Dans le contexte de ces enquêtes, les recherches sont, en quelque sorte, un assemblage hétérogène d’informations provenant des trois groupes internes : DIIGI, CORFC et DSUFGI.

Lorsqu’elle mène une enquête de CI, l’UNCIFC doit faire intervenir ces groupes séparément moyennant des demandes distinctes. Chaque groupe dispose de son propre processus pour ce qui a trait aux recherches, à la collecte et à la production de rapports d’information. La DIIGI, la DSUFGI et le CORFC peuvent, en toute légalité, effectuer des recherches et faire de la surveillance dans les systèmes de TI, lorsqu’il s’agit de [Translation] « gérer ou de protéger les systèmes informatiques ». À ce titre, ils peuvent également prendre les mesures qui s’imposent raisonnablement, ce qui comprend l’interception de communications privées. Toutefois, les accès qu’ont la DIIGI, la DSUFGI et le CORFC aux systèmes de TI du MDN/FAC dans le cadre des activités de sécurité réseau ne leur confèrent aucun pouvoir lorsqu’il s’agit d’accéder aux systèmes de TI dans le but [**expurgé**].

La démarche décrite par l’UNCIFC lorsqu’il s’agit de faire des recherches dans les systèmes de TI est illustrée par le diagramme ci-dessous :

[**figure expurgée**]

Généralement, la DIIGI, la DSUFGI et le CORFC ont recours à des processus semblables pour ce qui est de fournir la « matière demandée » (remits) – c.-à-d. les produits collectés – à l’UNCIFC à partir des divers systèmes de TI37. Aux étapes de la collecte et du filtrage, c’est l’analyste TI (DIIGI, DSUFGI et CORFC) qui détermine quelle information doit faire partie de la matière demandée. Les analystes récupèrent les données depuis les répertoires liés au sujet en fonction de sélecteurs préalablement définis figurant dans une liste en plusieurs points (élément abordé plus loin); la pertinence à l’égard de la demande est déterminée en dernier lieu suivant l’examen que l’analyste réalise après la collecte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

Dès lors que l’UNCIFC soumet sa demande, le CORFC mobilise son conseiller juridique, mais celui-ci ne semble être ni consulté ni impliqué en cours d’enquête [**contient de l’information protégée par le secret professionnel de l’avocat**]. La DSUFGI et la DIIGI ne disposent d’aucun mécanisme d’examen ou d’encadrement juridique et misent sur la liste de vérification pour appuyer leurs activités de collecte et de filtrage. Le MDN/FAC note que le CORFC sollicite des conseils juridiques (y compris des conseils prodigués verbalement) et qu’il en irait de même pour la DSUFGI et la DIIGI [**contient de l’information protégée par le secret professionnel de l’avocat**]. Toutefois, l’OSSNR n’est pas en mesure de vérifier cette affirmation.

Utilisation des systèmes de TI et attente raisonnable en matière de respect de la vie privée

Il importe de noter que les recherches que l’UNCIFC demande d’exécuter dans les systèmes de TI ne portent possiblement pas atteinte aux droits garantis par la Charte. Or, comme il a été souligné précédemment, le présent examen tente d’établir si les recherches exécutées dans le réseau RED non classifié à des fins de CI comportaient un risque d’atteinte à l’attente raisonnable d’une personne en matière de respect de la vie privée s’agissant des contenus informationnels, y compris ceux qui se trouvent dans les systèmes et dispositifs informatiques en milieu de travail. La jurisprudence reconnaît que l’utilisation des ordinateurs en milieu de travail à des fins personnelles pourrait susciter une attente, bien que relative, en matière de respect de la vie privée conformément aux dispositions de l’article 8 de la Charte. Une attente raisonnable en matière de respect de la vie privée est intimement liée aux faits et dépend de l’ensemble des « facteurs circonstanciels ».

Il est probable que les utilisateurs des systèmes de TI non classifiés du MDN/FAC nourrissent des attentes raisonnables en matière de respect de la vie privée lorsqu’ils se servent desdits systèmes à des fins personnelles. La politique du MDN/FAC qui encadre l’utilisation des systèmes et dispositifs informatiques autorise l’utilisation limitée du matériel informatique lorsqu’il s’agit d’activités de nature personnelle qui n’ont rien à voir avec les fonctions et tâches professionnelles ayant pour objet de favoriser la réalisation des objectifs du MDN et des FC. On peut notamment penser aux communications avec les membres de la famille, les amis ou d’autres personnes à propos de sujet non professionnels; aux achats que l’on fait en ligne pour soi ou pour la famille; ou à la consultation des sources électroniques d’actualités ou d’informations44. Ces activités autorisées (c.-à-d. celles dont les fins sont personnelles) peuvent véhiculer des informations personnelles révélatrices de ce que l’on peut appeler les renseignements biographiques essentiels, lesquels sont protégés en vertu de l’article 8 de la Charte45. Ainsi, un sujet visé par une enquête de l’UNCIFC serait en mesure d’établir un intérêt direct et de nourrir des attentes raisonnables en matière de respect de la vie privée s’agissant de tout contenu informationnel lié à une utilisation personnelle des réseaux du MDN/FAC.

Les employés et les militaires du MDN ont une attente raisonnable en matière de respect de la vie privée lorsqu’ils utilisent les ordinateurs pour des usages personnels. De fait, la politique du MDN/FAC reconnaît que :

« [l]es attentes en matière de vie privée sont limitées pendant l’utilisation des systèmes de TI, car ceux-ci font l’objet d’une surveillance aux fins d’administration, de maintenance et de sécurité des systèmes, et aux fins de conformité aux politiques, instructions, directives et normes du Conseil du Trésor, du MDN et des FAC. »

Une attente sur le plan du respect de la vie privée, fut-elle limitée ou réduite, est néanmoins une attente raisonnable en matière de respect de la vie privée au titre de l’article 8 de la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**].

L’OSSNR reconnaît que le MDN/FAC a un intérêt légitime quant à la protection des ressources du MDN et des FAC. Toutefois, les « subtilités » relatives au droit d’un employeur censé surveiller l’utilisation des dispositifs mis à la disposition des employés ont été mises en veilleuse par la Cour suprême. Les lois s’appliquant aux recherches visant les ordinateurs d’employés continuent d’évoluer. Or, l’attente raisonnable en matière de respect de la vie privée ne peut être assujettie à une intrusion de la part de l’État que dans la mesure où elle est autorisée par une loi appliquée raisonnablement.

Une recherche ou une fouille effectuée sans mandat est présumée abusive et contraire aux dispositions de l’article 8 de la Charte. À défaut d’un mandat, la Couronne doit prouver, selon la prépondérance des probabilités 1) que la recherche était autorisée par la loi; 2) que la loi l’autorisant n’avait elle-même rien d’abusif; et 3) que le pouvoir d’effectuer la recherche n’a pas été exercé d’une manière abusive. L’OSSNR est soucieux du fait que l’UNCIFC n’a pas adéquatement pris en compte sa base juridique pour établir si elle disposait du pouvoir légitime de mener des recherches sans mandat à des fins de CI.

[**expurgé**] à l’UNCIFC [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ainsi, les activités de CI ne donneraient lieu à aucune recherche dite abusive au sens de l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

L’UNCIFC [**expurgé**] pour les activités de CI et n’est pas expressément autorisée à se porter à l’encontre de l’attente raisonnable d’un sujet en matière de respect de la vie privée. Or, l’OSSNR note que l’objectif de la politique du Conseil du Trésor est d’assurer la sécurité du gouvernement, un objectif qui se distingue des activités de collecte de renseignement. Qui plus est, l’OSSNR insiste sur le fait que les politiques internes – même celles qui « reflètent et exemplifient les grandes lignes de la Politique sur la sécurité du gouvernement du Conseil du Trésor » – ne constituent vraisemblablement pas les autorités nécessaires pour permettre l’exercice d’activités de CI risquant de porter atteinte aux droits garantis par la Charte. [**contient de l’information protégée par le secret professionnel de l’avocat**]. Bien que les recherches de l’UNCIFC ne s’intéressent aucunement aux affaires criminelles, l’exigence expresse de signaler tout méfait aux autorités compétentes peut vraisemblablement imposer plus fermement les normes de protection visées à l’article 8 de la Charte.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Recherches [**expurgé**]

En [**expurgé**], le Comité de surveillance de la contre‑ingérence (CSCI) a autorisé une enquête de CI de niveau 3 dont le nom de code était [**contient de l’information concernant des enquêtes liées à la sécurité nationale**].

[**contient de l’information opérationnelle du MDN/FAC**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Liste de vérification en plusieurs points

La liste de vérification en plusieurs points fait office d’instructions permanentes d’opération. En effet, elle permet d’établir les paramètres à employer pour accepter les demandes de recherches axées sur les TI soumises par l’UNCIFC, et ce, en faisant correspondre les capacités de recherche technique avec les outils de cyberdéfense dont dispose le MDN/FAC.

La liste de vérification comporte une série de questions ayant trait aux enquêtes axées sur les TI, auxquelles il faut répondre à l’occasion des rapports d’analyse sur les sujets visés par des enquêtes. En outre, la liste de vérification en plusieurs points est considérée comme une série de demandes de soutien TI préalablement approuvées et de critères de recherches connexes qui ont déjà été examinés [**expurgé**]. La liste de vérification constitue la base des demandes que l’UNCIFC soumet à la DIIGI et à la DSUFGI dans la mesure où elle établit une correspondance entre la demande d’information et les critères de recherche autorisés tout en s’inscrivant dans le mandat et les autorisations légales de l’UNCIFC. L’UNCIFC a indiqué [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]

[**expurgé**] Or, la DSUFGI et la DIIGI ne comptent aucun conseiller juridique au sein de leur personnel et doivent miser sur les conseils juridiques du Directeur juridique/Renseignement et opérations d’information (DJ/R et OI) ou sur les conseillers juridiques du quartier général relevant du SMA (GI) par l’entremise de l’UNCIFC.

L’UNCIFC indique que les métadonnées se distinguent des contenus dans la mesure où elles ne constituent que [Traduction] « les attributs d’un contenu et ne révèlent rien de celui-ci. » Ce point de vue repose sur l’argument voulant que les métadonnées ne contiennent aucun élément de contenu, ce qui les rendrait moins sensibles, selon l’UNCIFC. Les métadonnées, [**expurgé**] sont acheminées à l’UNCIFC et proviennent des courriels envoyés ou reçus par le sujet. Ces métadonnées contiennent les attributs des courriels, notamment, l’envoyeur et le destinataire, mais aussi le contenu du champ Objet et le nom des fichiers joints.

L’OSSNR fait remarquer que selon le contexte, les métadonnées peuvent révéler des renseignements biographiques essentiels sur le sujet tout autant que les contenus. D’ailleurs, les informations qui paraissent parallèlement aux renseignements biographiques relatifs à un sujet peuvent s’avérer révélatrices, voire indiscrètes lorsqu’elles sont associées à d’autres informations. Lorsque l’on se penche sur l’information collectée en vertu de la liste de vérification, il peut arriver que des informations personnelles, voire intimes concernant le sujet visé par une enquête y soient révélées contrairement à ce qui était initialement envisagé ou autorisé. De plus, le contenu du champ Objet des courriels a généralement plus en commun avec le contenu qu’avec les métadonnées. En effet, en annonçant le contenu à communiquer, ce champ Objet peut dévoiler le contenu d’un courriel, faisant en sorte que son degré de sensibilité s’apparente à celui du contenu même dudit courriel. Ainsi, il serait inexact de prétendre que le contenu du champ Objet des courriels ne serait qu’une simple métadonnée.

Il importe de noter que pendant le processus de filtrage, les analystes de la DSUFGI évaluent le degré de pertinence en fonction des métadonnées des courriels du sujet [**expurgé**]. La DIIGI procède sensiblement de la même façon. Les retours sont filtrés de sorte à inclure les métadonnées relatives au sujet. Au demeurant, la DSUFGI et la DIIGI, comme il a été dit plus tôt, ne disposent pas d’un soutien juridique qui soit intégré87. L’OSSNR note que les pratiques voulant que les analystes de la DSUFGI et de la DIIGI filtrent l’information afin d’en établir le degré de pertinence – et, dans certains cas, pour veiller à ce que les résultats ne révèlent pas le contenu – constituent des méthodes inappropriées lorsqu’il s’agit d’exécuter des recherches axées sur les TI, dans la mesure où elles contreviennent probablement aux intérêts du sujet en matière de respect de la vie privée (question abordée plus loin).

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En définitive, la politique actuelle [**expurgé**] de l’UNCIFC en matière de TI, laquelle régit les recherches axées sur les TI, [**contient de l’information protégée par le secret professionnel de l’avocat**]. De plus, les recherches axées sur les TI qui s’appuient sur les points de la liste de vérification ne font pas l’objet d’une consultation ou d’un encadrement juridiques (au-delà de la création du modèle de la liste de vérification) [**expurgé**]. Cette situation pose problème puisqu’en raison de leur libellé, les points de la liste de vérification peuvent faire en sorte que des informations relatives au mode de vie et aux choix personnels du sujet soient captées, informations qui sont normalement protégées par les dispositions de l’article 8 de la Charte.

Par exemple, le point 8 de la liste de vérification est [**contient de l’information protégée par le secret professionnel de l’avocat**]. Ce type d’approche risque tout de même de dévoiler des informations par rapport auxquelles le sujet pourrait avoir une attente raisonnable en matière de respect de la vie privée, [**contient de l’information protégée par le secret professionnel de l’avocat**].

Il importe de noter que pendant l’enquête [**expurgé**] l’UNCIFC a présenté au CORFC une demande comportant [**contient de l’information opérationnelle du MDN/FAC**] Le CORFC a rappelé à l’UNCIFC que l’attente raisonnable en matière de respect de la vie privée s’appliquait et que [Traduction] « les enquêtes exploratoires [fishing expeditions] étaient interdites ». On a donc procédé au retrait de la demande [**expurgé**] au CORFC. En revanche, l’UNCIFC a demandé des informations semblables à la DIIGI, qui a acquiescé et a fourni [**expurgé**]. Certes, ces deux demandes n’ont pas été soumises en même temps, mais elles montrent clairement que deux requêtes très semblables peuvent mener à des résultats complètement différents.

À la différence de la DSUFGI et de la DIIGI, le CORFC dispose de ses propres politiques, directives et instructions permanentes d’opération, et doit répondre à des exigences particulières avant qu’une demande de l’UNCIFC puisse être mise à exécution. À titre d’exemple, contrairement à ceux de la DSUFGI et de la DIIGI, les processus du CORFC prévoient qu’un examen juridique sera réalisé par le JAG du GOIFC [**expurgé**].

[**contient de l’information protégée par le secret professionnel de l’avocat**]. L’OSSNR note que l’approche adoptée par le CORFC lorsqu’il s’agit de recevoir le résultat des examens juridiques que le JAG du GOIFC a initialement menés aux fins d’une enquête est préférable à celle de la DSUFGI et de la DIIGI consistant [**expurgé**].

Compte tenu du fait que les points de la liste de vérification et les sélecteurs proposés posent le risque que des informations biographiques, voire intimes concernant le sujet soient captées, l’utilisation de la liste de vérification devient problématique dès lors qu’elle diffère des paramètres convenus et qu’elle n’est ni orientée ni approuvée sur le plan juridique.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Pendant le déroulement du [**expurgé**] l’UNCIFC a pris des mesures visant à restreindre ses paramètres de recherche. Auparavant (c.-à-d. avant l’instauration de la liste de vérification en plusieurs points), les demandes d’information (DI) reposaient sur des paramètres généraux dont la portée était vaste. En effet, à partir de 2014 et jusqu’à l’instauration de la liste de vérification, les DI [**contient de l’information opérationnelle du MDN/FAC**] également partie des DI. En outre, [**expurgé**].

En [**expurgé**] un mois avant l’autorisation de l’enquête [**expurgé**] les enquêteurs de l’UNCIFC ont discuté des contenus abordés par les DI et se sont dits favorables [**contient de l’information opérationnelle du MDN/FAC**]

Le MDN/FAC a bien tenté de restreindre les paramètres de recherche suivant la mise en oeuvre de la liste de vérification en plusieurs points. Toutefois, même avec la liste de vérification, les requêtes axées sur les TI de l’UNCIFC qui ont été présentées dans le cadre de l’enquête [**expurgé**] se fondaient sur des paramètres de recherche si généraux que l’on risquait d’obtenir des informations qui n’avaient rien à voir avec ladite enquête.

[**contient de l’information protégée par le secret professionnel de l’avocat**]

Le fait de filtrer les données – pour ne retenir que celles qui s’avèrent pertinentes – après que la collecte et la recherche aient initialement eu lieu pose un risque juridique dans la mesure où toute possibilité d’atteinte à l’attente raisonnable du sujet en matière de respect de la vie privée se serait déjà matérialisée sous l’effet des mesures prises par l’État. Même si l’analyste des TI exécute un filtrage avant d’acheminer les informations à l’UNCIFC, il n’en demeure pas moins que la recherche et la captation qu’il a réalisées en amont constituent respectivement une « fouille » et une « saisie » au sens de l’article 8 de la Charte, dès lors que ladite recherche porte atteinte à une attente raisonnable en matière de respect de la vie privée.

De fait, ces paramètres constituent des facteurs d’approbation globale sans comporter de mesures internes de contrôle ou de surveillance, et ce, sur le plan des opérations, mais aussi au niveau des opérateurs. Compte tenu de la [**expurgé**] les techniques de collecte finissent par ratisser passablement large. C’est donc à l’analyste ou à l’enquêteur qu’il revient de déterminer ce qui est pertinent, donc de filtrer les résultats une fois que les informations/les données ont été collectées.

L’OSSNR a remarqué six occurrences d’élargissement des critères de recherche, ou bien en dehors des critères énoncés dans la liste de vérification ou bien en marge de la demande initiale soumise au CORFC, comme il est illustré en appendice II « Élargissement de la portée d’une recherche – [**expurgé**] exemples particuliers ». En l’occurrence, aucune consultation juridique additionnelle n’a eu lieu, mais il a été clairement indiqué qu’il y avait un risque de contrevenir aux intérêts garantis par la Charte. Comme il a déjà été dit, l’application de paramètres de recherche généraux suivie d’un filtrage des informations « pertinentes » ne constitue pas une technique d’enquête appropriée. De plus, cette approche ne suit pas la politique du MDN/FAC sur le programme de CI, qui vise à faire en sorte qu’avant les enquêtes ou les opérations, la possible utilisation de techniques intrusives soit évaluée en tenant compte d’une possible atteinte aux droits garantis par la Constitution, d’une part, et d’autre part, que les techniques de collecte les moins intrusives soient utilisées tout en tenant compte des circonstances particulières.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexes

Appendix I: [**expurgé**]

Le [**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

[**contient de l’information concernant des enquêtes liées à la sécurité nationale**]

En [**expurgé**] le CSCI a autorisé une enquête de niveau 3 portant le nom de code [**contient de l’information opérationnelle du MDN/FAC**].

Par l’intermédiaire de son Secrétariat de la coordination de l’examen et de la surveillance de la sécurité nationale et du renseignement (SCESSNR), le MDN/FAC a fourni une importante quantité de documents en réponse à notre demande d’information. Il importe cependant de souligner que l’information fournie n’a pas été vérifiée en toute indépendance par l’OSSNR.

[**diagramme et tableau expurgés contenant des informations relatives aux opérations du MDN/CAF**].

APPENDICE II : [**expurgé**] - Exemples spécifiques

[**contient de l’information protégée par le secret professionnel de l’avocat**]

En [**expurgé**] la DIIGI 3-5 a fourni [**expurgé**]. Au moment de communiquer l’information, la DIIGI 3-5 a ajouté que le rapport avait été généré à partir de [**contient de l’information opérationnelle du MDN/FAC**]

Entre [**expurgé**] le CORFC a fourni de l’information à l’UNCIFC en réponse à une demande de recherche axée sur les TI. Cette information énumérait [**contient de l’information opérationnelle du MDN/FAC**].

Le [**expurgé**] l’UNCIFC a demandé au CORFC [Traduction] « un tableau principal énumérant tous les courriels transmis à ce jour avec leurs en-têtes112 ». Cette demande ne comprenait pas les critères de recherche initialement convenus. Le CORFC a accepté cette modification et a fourni un autre rapport contenant [**expurgé**]. Cette modification a eu des répercussions sur les rapports relatifs aux [**expurgé**] qui ont été ultérieurement produits par le CORFC et fournis périodiquement à l’UNCIFC.

En [**expurgé**] l’UNCIFC a demandé au CORFC de lui faire part de [**contient de l’information opérationnelle du MDN/FAC**]. L’UNCIFC a également demandé [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a remis un rapport à l’UNCIFC contenant [**expurgé**]. Parmi les critères de recherche employés, il y avait bien plus que [**expurgé**]. On y retrouvait [**expurgé**] précédemment par l’UNCIFC. La DIIGI 3-5 précise également que [Traduction] « S’il y a [**contient de l’information opérationnelle du MDN/FAC**].

[**expurgé**] Activités

En [**expurgé**] l’UNCIFC a demandé au CORFC d’effectuer une recherche [**expurgé**]. Le CORFC a exécuté la recherche et en a fourni les résultats, lesquels comprenaient [**expurgé**] Il semble que cette demande additionnelle ait fait en sorte d’élargir les critères de recherches pour tous les rapports ultérieurs devant porter que [**expurgé**]. En effet, le nouveau critère de recherche incluait désormais les activités de tout utilisateur s’étant servi de l’un des supports amovibles déjà utilisés par le sujet de l’enquête.

[**expurgé**]

En [**expurgé**] , l’UNCIFC a demandé à la Gestion des événements et de l’information de sécurité (GEIS) de la DIIGI 3-5 de fournir les données [**contient de l’information opérationnelle du MDN/FAC**]. Les données du GEIS comprennent [**expurgé**]. La DIIGI 3-5 a ultérieurement confirmé [**expurgé**].

Le [**expurgé**] l’UNCIFC a demandé à la DSUFGI des recherches axées sur les TI concernant [**contient de l’information opérationnelle du MDN/FAC**] de même que tous [**expurgé**]. Quelques jours plus tard, la DSUFGI a indiqué à l’UNCIFC qu’elle [Traduction] « voyait [**expurgé**].

En [**expurgé**] la DIIGI 3-5 a discuté en interne d’une requête en suspens de l’UNCIFC demandant [Traduction] « d’identifier [**expurgé**] ». Elle a de plus indiqué que c’était possible si [**expurgé**]. Pour l’heure, on ne sait trop pourquoi la portée de l’enquête [**expurgé**]. Dans une correspondance ultérieure, la DIIGI 3-5 a défini les critères de recherche exacts employés en réponse aux 20 questions sur les « requêtes axées sur les TI » (“IT Inquiry”). Ces critères comprenaient [**expurgé**] reconnus par l’UNCIFC comme ayant été [**expurgé**].

En [**expurgé**] l’UNCIFC a fourni au CORFC la liste [**contient de l’information opérationnelle du MDN/FAC**]. La liste avait été fournie accompagnée d’une demande à l’intention du CORFC[**expurgé**].

En [**expurgé**] l’UNCIFC a demandé à la DSUFGI d’effectuer une recherche [**contient de l’information opérationnelle du MDN/FAC**]. Un mois plus tard, la DSUFGI a répondu en produisant un rapport contenant [**expurgé**] . Parmi les [**expurgé**].

Annexe A : Conclusions et Recommandations

Conclusion no 1 : L’OSSNR estime que l’UNCIFC se fonde à tort sur les politiques du MDN/FAC en les considérant comme des fondements juridiques suffisants pour porter atteinte à l’attente raisonnable d’un sujet en matière de respect de la vie privée.

Conclusion no 2 : L’OSSNR estime que la liste de vérification du MDN/FAC sur laquelle repose la procédure d’enquête engendre le risque de capter de l’information protégée par l’article 8 de la Charte.

Conclusion no 3 : L’OSSNR estime que le MDN/FAC définit la notion de « métadonnée » de telle sorte que des informations pouvant susciter une attente raisonnable en matière de respect de la vie privée pourraient être captées.

Conclusion no 4 : L’OSSNR estime que l’UNCIFC risque de porter atteinte aux intérêts privés du fait qu’elle ne dispose pas d’une orientation politique clairement définie qui se fonde sur les autorisations légales en vigueur relativement aux recherches axées sur les TI; et du fait qu’elle tend à élargir la portée des recherches axées sur les TI au-delà du cadre défini par les paramètres de recherche approuvés.

Conclusion no 5 : L’OSSNR estime que les pratiques d’enquête visant les systèmes de TI qui ont été observées dans le contexte des enquêtes de CI de l’UNCIFC vont à l’encontre des conseils juridiques formulés par le Cabinet du JAG et le ministère de la Justice, [**contient de l’information protégée par le secret professionnel de l’avocat**]

Recommandation no 1 : L’OSSNR recommande que le MDN/FAC suspende ses pratiques d’enquête axées sur les systèmes de TI dans le contexte des enquêtes de CI de l’UNCIFC, et ce, jusqu’à ce qu’un fondement juridique en bonne et due forme ait été établi.

Recommandation no 2 : Une fois qu’un fondement juridique aura été établi, le MDN/FAC devrait créer un nouveau cadre stratégique qui réponde aux conclusions formulées en lien avec la liste de vérification en plusieurs points, la catégorisation des métadonnées, l’élargissement des recherches axées sur les TI et le principe selon lequel ces recherches devraient être aussi peu intrusives que possible.

Annexe B : Sigles et acronymes

  ADM(IM)  Assistant Deputy Minister Information Management
  CDS  Chief of the Defence Staff
  CF INT GP  Canadian Forces Intelligence Group
  CFINTCOM  Canadian Forces Intelligence Command
  CFIOG  Canadian Forces Information Operations Group
  CFIOG JAG  Canadian Forces Information Operations Group Judge Advocate General
  DND/CF Legal Advisor  Office of the Department of National Defence and Canadian Forces Legal Advisor
  CFNCIU  Canadian Forces National Counter-Intelligence Unit
  CFNIS  Canadian Forces National Investigation Service
  CFNOC  Canadian Forces Network Operations Center
  AVE  Counter-intelligence
  CIOC  Counter-Intelligence Oversight Committee
  DAOD  Defence Incidents administratifs Orders et la Directives
  DGDS/ DPSIM  Director General Defence Security, the Director Personal Security and Identification Management
  DIMEI  Directorate of Information Management Engineering and Integration
  DIMEUS  Department of Information Management End-User Services
  Cabinet du JAG  Cabinet du Juge-avocat général
  CEMD  Chef d’état-major de la défense
  AVE  contre-ingérence
  CJ du MDN/FAC  Bureau du Conseiller juridique du ministère de la Défense et des Forces canadiennes
  COMRENSFC  Commandement du renseignement des Forces canadiennes
  CONS JUR  Bureau du conseiller juridique auprès du ministère de la Défense nationale et des Forces canadiennes
  CORFC  Centre d’opérations des réseaux des Forces canadiennes
  CSCI  Comité de surveillance de la contre‑ingérence
  DGSD/DSPGI  directeur général – Sécurité de la défense, Directeur – Sécurité du personnel et gestion de l’identité
  DIIGI  Direction – Ingénierie et intégration (Gestion de l’information)
  DJ/R et OI  directeur juridique/Renseignement et opérations d’information
  DOAD  Directives et ordonnances administratives de la défense
  DSUFGI  Direction – Services à l’utilisateur final (Gestion de l’information)
  GOIFC  Groupe des opérations d’information des Forces canadiennes
  GP RENS FC  Groupe du renseignement des Forces canadiennes
  INTREP  compte rendu de renseignement (Intelligence Report)

Annexe C : Directives du COMRENSFC

[**lettre expurgée**]

Annexe D : Liste de vérification en 20 points

[**liste de contrôle expurgée**]

Annexe E : [**expurgé**]

Annexe F : Aperçu des systèmes de TI

Le tableau ci-dessous met en évidence les réseaux faisant partie de l’infrastructure de GI/TI du MDN/FAC ainsi que les zones de responsabilité correspondant à chacun des groupes décrits précédemment.

[**tableau expurgé**]


Date de modification :