Fiche d'information
L’OSSNR a réalisé son deuxième Examen des cyberopérations actives (COA) et des cyberopérations défensives (COD) du Centre de la sécurité des communications. Alors que le premier examen portait sur les processus de planification, d’approbation et de gouvernance, le présent examen se concentre plutôt sur les opérations en soi, et plus précisément sur la manière dont les cadres juridiques et de gouvernance ont été concrètement appliqués.
L’OSSNR a constaté que les COA et les COD examinées avaient été menées conformément à la loi. Toutefois, l’OSSNR a relevé certains aspects qui pourraient être améliorés de façon à atténuer les risques opérationnels.
Les COA et les COD sont des outils récents de la politique étrangère et de la politique de sécurité du Canada. Les COA visent à perturber ou à entraver les activités d’acteurs étrangers afin de limiter les menaces pouvant peser sur les relations internationales, la défense ou la sécurité du Canada. Pour leur part, les COD sont conçues pour protéger l’information et les systèmes électroniques des institutions fédérales et d’autres entités désignées. Les deux types d’opérations relèvent du mandat du CST, sont définis dans la Loi sur le Centre de la sécurité des télécommunications (la Loi) et ne peuvent être menés qu’en vertu d’une autorisation ministérielle.
Il importe de souligner que la Loi interdit que les COA et les COD visent des Canadiens ou des personnes se trouvant au Canada, ou qu’elles contreviennent aux dispositions de la Charte canadienne des droits et libertés.
Des conditions juridiques spécifiques doivent être remplies avant que le ministre puisse délivrer une autorisation pour les COA ou les COD. En outre, contrairement à d’autres types d’autorisations prévues par la loi qui impliquent la collecte d’information, les autorisations ministérielles concernant les COA ou les COD ne nécessitent pas l’approbation du commissaire au renseignement. L’importance d’un contrôle ministériel étroit s’en trouve accrue. L’OSSNR a toutefois constaté que les demandes d’autorisation présentées par le CST ne contenaient pas certains renseignements essentiels dont le ministre aurait eu besoin pour prendre une décision éclairée. Par exemple, les demandes n’expliquaient pas clairement comment les cyberopérations pouvaient conduire à la collecte d’informations en vertu d’une autorisation distincte, omettant ainsi un contexte important pour l’évaluation des implications juridiques et opérationnelles.
Bien que cet examen ait porté principalement sur le CST, l’OSSNR a également évalué les rôles d’Affaires mondiales Canada, du Service canadien du renseignement de sécurité, de la Gendarmerie royale du Canada et du ministère de la Défense nationale/Forces armées canadiennes, qui sont tous impliqués à des degrés divers dans la coordination, avec le CST, des COA et des COD. Bien qu’il existe une collaboration entre les organismes, l’OSSNR a constaté qu’il serait possible d’améliorer les mesures de consultation et de coordination.
L’OSSNR a noté que le CST avait fait des progrès dans sa planification et son exécution des COA et des COD en intégrant les enseignements tirés de l’examen précédent de l’OSSNR. L’examen actuel comprenait quatre études de cas approfondies qui ont contribué à la formulation de constatations précises et de recommandations globales.