Dernière mise à jour :
Statut :
Publié
Numéro de l'examen :
21-09
Examen des cyberopérations actives et des cyberopérations défensives du Centre de la sécurité des télécommunications Canada (CST)
- Date de modification :
Étiquette : 2021
L’examen du Cadre de justification du Service canadien du renseignement de sécurité par l’OSSNR
Dernière mise à jour :
Statut :
Annulé
Numéro de l'examen :
21-14
- Date de modification :
Canadian Security Intelligence Service’s Justification Framework: Cancellation Letter
Date de publication en ligne :
Date de soumission :
28 mars, 2024
Clôture du processus d’examen de l’OSSNR concernant le Cadre de justification du SCRS (21-14)
Monsieur,
Je vous écris au nom des membres de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) pour vous informer que l’examen du Cadre de justification du SCRS par l’OSSNR (21-14) a été clos.
Ainsi, l’OSSNR amorcera, en 2024, un nouvel examen autonome du Cadre de justification. D’ailleurs, le SCRS a déjà reçu la notification officielle de l’amorce de cet examen.
L’OSSNR prendra en compte les ressources que le SCRS a consacrées à l’examen précédent. Donc, les informations déjà fournies par le SCRS dans le cadre du rapport 21-14 ne seront pas demandées de nouveau et seront utilisées pour alimenter l’examen à venir. En outre, toute nouvelle information sera demandée suivant les voies et processus existants.
Je vous prie d’agréer, Monsieur le Ministre, l’expression de ma considération respectueuse.
Charles Fugere
A/Executive Director and Senior General Counsel
NSIRA Secretariat
- Date de modification :
Examen des communications d’information par des institutions fédérales au titre de la loi sur la communication d’information ayant trait à la sécurité du canada en 2020
Dernière mise à jour :
Statut :
Soumis
Numéro de l'examen :
21-13
- Date de modification :
Étude sur les capacités techniques du Service canadien du renseignement de sécurité
Dernière mise à jour :
Statut :
Soumis
Numéro de l'examen :
20-09
- Date de modification :
Canadian Security Intelligence Service’s Operational Support to Regional Investigations: Cancellation Letter
Date de publication en ligne :
Date de soumission :
7 juin, 2024
Fin de l’examen par l’OSSNR au sujet du soutien opérationnel aux enquêtes régionales du Service canadien du renseignement de sécurité
Monsieur le Directeur,
Le 7 mars 2024, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a entrepris l’examen de la gouvernance des unités régionales spécialisées de soutien opérationnel du Service canadien de renseignement de sécurité (SCRS) ainsi que de la pertinence et de l’accessibilité du processus interne de traitement des plaintes du SCRS. L’OSSNR a pris la décision de mettre fin à cet examen.
Alors que l’examen progressait dans la phase d’établissement de la portée, l’OSSNR a été informé de plusieurs litiges en cours sur les mêmes questions que l’OSSNR devait examiner. Le portrait des litiges comporte de multiples facettes et évolue. De plus, l’OSSNR ne dispose pas à l’heure actuelle de protections prévues par la loi explicites pour garantir que son travail ne sera pas divulgué et que son personnel et ses membres ne seront pas contraints de participer à des procédures connexes. Par conséquent, l’OSSNR a décidé de mettre fin à ses travaux dans le cadre de cet examen.
Cette décision n’a pas été prise à la légère, car l’OSSNR avait déjà cerné des questions préoccupantes et avait commencé à planifier la méthode d’examen. Un volet important du processus de collecte de renseignements de l’OSSNR comprenait la tenue d’entrevues avec des employés du SCRS. L’indépendance de l’OSSNR comprend le droit prévu par la loi de déterminer ses propres procédures dans l’exercice de ses pouvoirs ou de ses fonctions. Lorsque des entrevues confidentielles sont envisagées, l’OSSNR les mène de la façon qu’il juge appropriée pour les objectifs d’un examen.
Par ailleurs, l’OSSNR est conscient du contexte, plus précisément de l’intégrité des opérations de l’entité examinée et des questions parallèles. Dans le cas de ce dossier, le contexte actuel et futur des litiges a rendu cette partie de la méthode difficile à planifier et à exécuter, et a joué un rôle important dans la décision de mettre fin à l’examen.
Au nom de l’OSSNR, nous remercions vos employés d’avoir fourni des documents préliminaires et d’avoir tenu des séances d’information avec l’équipe d’examen de l’OSSNR.
As stated to your Minister in separate correspondence, NSIRA’s inability to proceed with this important review highlights the urgency and necessity of legislative reforms intended to be a part of the three-year review of the Loi de 2017 sur la sécurité nationale.
Je vous prie d’agréer, Monsieur le Ministre, l’expression de ma considération respectueuse.
Charles Fugère
Senior General Counsel and Acting Executive Director, National Security and
Intelligence Review Agency Secretariat
Fin de l’examen par l’OSSNR du soutien opérationnel aux enquêtes régionales du Service canadien du renseignement de sécurité (SCRS)
Monsieur le Ministre,
Le 7 mars 2024, l’OSSNR a entrepris l’examen de la gouvernance des unités régionales spécialisées de soutien opérationnel du SCRS ainsi que de la pertinence et de l’accessibilité du processus interne de traitement des plaintes du SCRS. L’OSSNR a pris la décision de mettre fin à cet examen.
Alors que l’examen progressait dans la phase d’établissement de la portée, l’OSSNR a été informé de plusieurs litiges en cours sur les questions mêmes que l’Office devait examiner. Le portrait des litiges comporte de multiples facettes et évolue. De plus, l’OSSNR ne dispose pas à l’heure actuelle de protections législatives explicites pour garantir que son travail ne sera pas divulgué et que son personnel et ses membres ne seront pas forcés de participer à des procédures judiciaires connexes. Cette lacune législative crée également de l’incertitude quant aux renseignements qui devaient être recueillis dans le cadre des entrevues confidentielles prévues. Par conséquent, l’OSSNR a décidé de ne pas procéder à l’examen et de mettre fin immédiatement à ses travaux sur cette question
The decision to terminate the review was not taken lightly as NSIRA had already identified issues of concern. NSIRA’s inability to proceed with this pertinent review highlights the urgency and necessity of legislative reforms intended to be a part three-year review of the Loi de 2017 sur la sécurité nationale.
NSIRA looks forward to taking part in the three-year review discussions of the Loi de 2017 sur la sécurité nationale, and proposing the amendments required.
Je vous prie d’agréer, Monsieur le Ministre, l’expression de ma considération respectueuse.
L’honorable Marie Deschamps, C.C.
Présidente
Office de surveillance des activités en matière de sécurité nationale et de renseignement
- Date de modification :
Review of the Canadian Security Intelligence Service’s (CSIS) use of Geolocation information: Backgrounder
Document d’information
On August 23rd, 2019, the National Security and Intelligence Review Agency (NSIRA) presented the Minister of Public Safety and Emergency Preparedness with a classified report on its review of CSIS’s use of geolocation information.
In this review, NSIRA found that CSIS’s use of this geolocation data without a warrant risked breaching section 8 of the Canadian Charter of Rights and Freedoms (Charter), which protects against unreasonable search and seizure. On March 16, 2020, NSIRA submitted a report under section 35 of the Loi de L’OSSNR, to the Minister of Public Safety regarding the possible unlawful activity.
Cet examen a soulevé des questions pressantes au sujet de l’utilisation des données accessibles au public, mais qui met néanmoins en cause l’attente raisonnable d’une personne en matière de vie privée. L’examen de l’OSSNR a examiné le processus décisionnel qui a amené le SCRS à utiliser ces données sans mandat, et a conclu que le SCRS n’avait ni les politiques, ni les procédures nécessaires pour s’assurer qu’avant d’utiliser les données, il demanderait un avis juridique pour éviter leur utilisation illégale.
Par ailleurs, l’examen a également permis de souligner de façon plus générale que, dans ce contexte, un soutien juridique continu aux activités d’exploitation de données par le SCRS est essentiel pour que l’organisme puisse fonctionner à un niveau de risque acceptable. Il a également souligné que le SCRS et le ministère de la Justice devaient faire preuve de leadership institutionnel à cet égard.
À l’avenir, l’OSSNR accordera la priorité à l’examen de l’utilisation de la technologie par le SCRS, en particulier les technologies nouvelles ou émergentes qui posent les plus grands risques.
- Date de modification :
Gouvernance du Centre de la sécurité des télécommunications Canada s'appliquant aux cyberopérations actives et défensives
Dernière mise à jour :
Statut :
Publié
Numéro de l'examen :
20-02
- Date de modification :
Communications Security Establishment’s Governance of Active and Defensive Cyber Operations: Government Responses
Date de publication :
Sommaire
Il s’agissait du premier examen de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) sur la gouvernance des cyberopérations actives et défensives (COA/COD) du CST. L’examen portait sur le cadre de gouvernance qui guide la conduite des COA/COD et sur la prise en compte adéquate du CST de ses obligations juridiques et des répercussions de ses opérations sur la politique étrangère.
Le CST a obtenu le pouvoir de mener des COA/COD en 2019 à la suite de l’adoption de la Loi sur le Centre de la sécurité des télécommunications. Ce pouvoir, qui n’existait pas avant l’entrée en vigueur de la loi, confère au gouvernement du Canada de nouvelles capacités considérables. Le contexte mondial actuel est en train de justifier la pertinence de ces capacités et de ce pouvoir pour le Canada.
Comme le CST est résolu à respecter la loi, il a travaillé assidûment et méthodiquement pour opérationnaliser le nouveau pouvoir. Et comme il continue de mettre au point cette capacité, il procède avec prudence pour faire en sorte que toutes les activités respectent la Loi sur le CST et cadrent avec les obligations internationales du Canada, particulièrement celles mises en lumière dans la récente déclaration du Canada sur l’application du droit international dans le cyberespace.
Le CST reconnaît l’importance des organismes d’examen dans la collectivité de la sécurité et du renseignement et accueille favorablement les examens réalisés par ces organismes ainsi que les recommandations qui en découlent. Les recommandations présentées par l’OSSNR dans le cadre de son examen sur le cadre de gouvernance des COA/COD du CST contribueront à orienter l’amélioration des capacités du CST de sorte que ce dernier puisse continuer de mener ses activités dans le respect de la loi et de façon prompte, efficace et efficiente.
Comme Affaires mondiales Canada (AMC) est un partenaire crucial du cadre de gouvernance des COA/COD, l’OSSNR l’a mobilisé pour l’examen et a présenté ses recommandations à AMC et au CST. Le CST et AMC sont heureux de présenter la réponse suivante aux recommandations de l’OSSNR.
Recommandation 1 :
Le CST devrait définir plus précisément les catégories d’activités, les techniques connexes et les cibles visées pour ses COA et COD ainsi que le justificatif et les objectifs sous-jacents, tant dans les demandes que dans les autorisations ministérielles visant ces activités.
Réponse du CST :
Le CST est d’accord avec cette recommandation.
Même s’il acquiesce à la recommandation, le CST fait remarquer qu’il fournit toujours à la ministre l’information et les détails nécessaires pour qu’elle puisse évaluer la demande et délivrer une autorisation.
Le CST est d’accord avec le fait que, lorsque cela est possible sur le plan des opérations, l’intégration de l’information contenue dans les breffages et les présentations aux demandes et autorisations écrites permettra de produire des rapports écrits plus complets. Le CST a commencé à inclure de l’information plus détaillée dans les demandes et les autorisations liées aux COA/COD.
Recommandation 2 :
AMC devrait ajouter un mécanisme d’évaluation de tous les paramètres de risque pertinents en matière de politique étrangère des COA/COD dans les autorisations ministérielles connexes.
Réponse d’AMC :
AMC est d’accord avec cette recommandation.
AMC tient déjà compte d’une grande variété de facteurs dans son évaluation des risques en matière de politique étrangère, tel que l’indique le modèle d’évaluation des risques en matière de politique étrangère.
Par le passé, le CST a déjà fourni des évaluations des risques opérationnels/techniques distinctes dans ses plans de mission. Ces évaluations contenaient de l’information supplémentaire sur les cibles et leurs activités dans l’infrastructure mondiale de l’information (IMI), les technologies qu’elles utilisent ou les systèmes techniques complexes élaborés et déployés par le CST pour mener ses opérations.
Recommandation 3 :
Le CST et AMC devraient établir un cadre pour la consultation des principaux intervenants, comme la conseillère à la sécurité nationale et au renseignement auprès du premier ministre et d’autres organismes fédéraux dont le mandat recoupe les COA proposées, afin de veiller à ce que ces opérations cadrent avec les priorités stratégiques générales du gouvernement du Canada et répondent aux exigences énoncées dans la Loi sur le CST.
Réponse conjointe du CST et d’AMC :
En principe, le CST et AMC sont d’accord avec cette recommandation.
Le CST et AMC consultent tous les intervenants pertinents du gouvernement du Canada dont le mandat pourrait recouper les COA prévues. Nous sommes d’accord avec le fait qu’il est important d’aligner les opérations avec les priorités stratégiques générales du gouvernement du Canada et croyons qu’il existe déjà plusieurs mesures qui permettent, au besoin, d’informer et de consulter la collectivité élargie de la sécurité et du renseignement. À titre d’exemples, citons le système de comités de sous ministres adjoints et de sous-ministres sur la sécurité et le renseignement (p. ex., le Comité des sous-ministres adjoints sur les opérations de sécurité nationale [CSMAOSN] et le Comité des sous-ministres sur les opérations) ainsi que le système des comités sur des régions géographiques précises. De plus, il existe un processus sur les priorités en matière de renseignement pour l’ensemble de la collectivité qui fournit un cadre et un guide pour les activités liées au renseignement, comme les cyberopérations.
Nous savons que les types de COA envisagées et entreprises se diversifient et que pour cette raison, il pourrait être nécessaire de moderniser le modèle actuel de consultation des organismes fédéraux. Le CST et AMC travailleront ensemble pour établir, au fil du temps et au besoin, un cadre de consultation adéquat.
Recommendation 4 :
Le CST et AMC devraient fixer un seuil pour différencier une cyberopération active d’une cyberopération défensive préventive et décrire ce seuil à la ministre de la Défense nationale dans les autorisations ministérielles applicables.
Réponse conjointe du CST et d’AMC :
Le CST et AMC sont en désaccord avec cette recommandation.
Le CST et AMC ne peuvent pas être d’accord avec cette recommandation, car elle porte sur une activité (cyberopération défensive préventive) qui n’est pas visée par la Loi sur le CST et que le CST ne mène pas.
Au titre de l’article 18 de la Loi sur le CST, qui décrit le volet du mandat du CST touchant les cyberopérations défensives, le CST est autorisé à mener des activités dans l’infrastructure mondiale de l’information ou par l’entremise de celle-ci afin d’aider à protéger l’information électronique et les infrastructures de l’information des institutions fédérales ainsi que l’information électronique et les infrastructures de l’information d’importance pour le gouvernement fédéral désignées comme telles dans la Loi sur le CST (infrastructures pertinentes). Pour qu’une COD soit lancée, il n’est pas nécessaire que la menace ait compromis l’information ou l’infrastructure, mais elle doit constituer une menace crédible pour les infrastructures de l’information désignées comme importantes.
Si l’OSSNR est d’avis que le CST et AMC doivent définir plus clairement le seuil qui différencie une COA d’une COD, alors le CST et AMC sont également en désaccord avec la recommandation étant donné que la Loi sur le CST définit clairement les conditions que le CST doit satisfaire pour entreprendre des activités de cybersécurité, que ce soit des COD ou des COA. Il n’y a donc pas lieu de créer un autre seuil.
Recommandation 5 :
Dans ses demandes présentées à la ministre de la Défense nationale, le CST devrait décrire précisément la possibilité de mener des activités de collecte au titre d’autorisations distinctes lors la réalisation de COA et de COD.
Réponse du CST :
Le CST est d’accord avec cette recommandation.
CSE already accurately describes the potential for collection activities, and the authority for such activities, in its applications to the Minister of National Defence. CSE has taken steps to ensure that applications for and authorizations of ACOs and DCOs clearly reference the authorizations under which any acquisition of information required to achieve the intended outcome of the ACO or DCO is conducted.
Il est important de souligner que le CST n’est pas autorisé à obtenir de l’information au titre d’une autorisation de COA ou de COD. L’acquisition d’information servant à mener les activités de COA ou de COD est visée par une autorisation de renseignement étranger, une autorisation de cybersécurité ou une autorisation d’urgence. L’utilisation de cette information pour soutenir les COA et les COD est décrite dans les autorisations de renseignement étranger et de cybersécurité du CST. Ces autorisations font l’objet d’un examen du commissaire au renseignement qui évalue le caractère raisonnable et la proportionnalité de l’acquisition ainsi que l’utilisation de l’information à des fins liées aux COA et aux COD.
Recommandation 6 :
Le CST devrait inclure toute l’information pertinente, dont de l’information contextuelle et sur le ciblage, dans tous les plans opérationnels établis pour une cyberopération ainsi que dans le matériel présenté à AMC.
Réponse du CST :
Le CST est en désaccord avec cette recommandation.
GAC requires sufficient and pertinent information upon which to base its analysis related to foreign risk and international law. CSE has worked with GAC to share the appropriate level of operational detail that GAC has requested to conduct their work. This need is reflected in the CSE-GAC Governance Framework whereby GAC is provided with an operation-specific Mission Plan to inform its Foreign Policy Risk Assessment. GAC is satisfied with the information provided by CSE. When GAC has required additional information to conduct its Foreign Policy Risk Assessment or international law assessment, CSE has provided the supplemental information requested.
Recommandation 7 :
Le CST devrait offrir un programme de formation structurée à ses employées et employés qui participent à l’exécution de COA/COD pour que ceux-ci aient les connaissances nécessaires sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, comme l’exigent les autorisations ministérielles connexes.
Réponse du CST :
Le CST est d’accord avec cette recommandation.
Pour compléter la formation et l’examen annuels obligatoires portant sur les pouvoirs, les exigences et les interdictions du CST prescrits par la loi, le CST songera à créer un programme de formation sur mesure pour les employées et employés qui prennent part à la planification et à l’exécution des COA et des COD.
Recommandation 8 :
Le CST et AMC devraient fournir une évaluation du régime juridique international applicable à la conduite de COA et de COD. De plus, le CST devrait demander à ce qu’AMC mène et consigne une évaluation complète sur le plan juridique de la conformité de chaque opération au droit international.
Réponse conjointe du CST et d’AMC :
Le CST et AMC sont partiellement d’accord avec cette recommandation.
Depuis la parution de l’examen, AMC et le CST ont continué de perfectionner le processus d’évaluation des répercussions juridiques internationales des cyberopérations du CST. La Direction générale des affaires juridiques (DGAJ) d’AMC procède à une évaluation juridique approfondie de la conformité de chaque opération au droit international.
Sur le plan de la procédure, le CST soumet à AMC un plan de mission et lui demande de procéder à une évaluation des risques en matière de politique étrangère. Une fois qu’elle a reçu cette demande, la DGAJ d’AMC mène une consultation avec les avocats du ministère de la Justice en poste dans les Services juridiques du CST et d’AMC et, dans certains cas, avec l’avocat du ministère de la Justice au sein de la Section du droit constitutionnel, administratif et international (SDCAI). L’objectif est de discuter des répercussions, sur le plan du droit international, de l’opération prévue, telle que décrite dans le plan de mission. Un résumé de ces discussions est versé dans une évaluation juridique écrite consignée dans l’évaluation des risques en matière de politique étrangère. Ces discussions reposent sur l’analyse du droit international qui est approfondi depuis de nombreuses années par la DGAJ d’AMC, notamment dans les commentaires du gouvernement du Canada dans le projet de chapitre du Tallinn Manual 2.0 en 2016, dans l’élaboration de l’ébauche de manuel coordonnée par la DGAJ d’AMC et produit en août 2019 et dans l’analyse juridique approfondie réalisée en amont des autorisations ministérielles originales visant les COA et les COD.
AMC fait remarquer qu’il serait inhabituel de produire une évaluation juridique approfondie du droit applicable en lien avec une foule d’opérations possibles ou hypothétiques qui pourraient être menées par le Canada, ses alliés et ses adversaires dans tous les secteurs, y compris dans le cyberespace. AMC, comme tout État généralement, a plutôt pour pratique de procéder à des évaluations juridiques sur des activités ou des opérations précises proposées, des affaires judiciaires et de possibles litiges.
AMC a fait une synthèse de son analyse du droit international dans une déclaration publique sur le droit international applicable dans le cyberespace. La déclaration publique a été élaborée et réalisée à la suite de vastes consultations interministérielles ayant fait appel à des spécialistes du droit et des politiques ainsi que d’analyse d’autres déclarations de pays et de publications et processus de premier plan, dont le Tallinn Manual 2.0, le dialogue d’experts sur le droit international et le cyberespace (dirigé par la Suisse), le processus de La Haye (dirigé par les Pays-Bas), les consultations informelles sur le droit international humanitaire et les cyberopérations (dirigées par la Suisse), le processus d’Oxford et la conférence annuelle sur le droit du US Cyber Command. Le Canada s’est joint à des nations de même sensibilité et à d’autres nations pour produire une déclaration publique, entre autres pour faire avancer des processus multilatéraux en cours aux Nations Unies et ailleurs ainsi que pour approfondir la compréhension commune de l’application du droit international dans le cyberespace et parvenir à un consensus général sur la question.
Recommandation no 9 :
Le CST et AMC devraient communiquer entre eux toute information et nouveauté pertinentes à l’évaluation des risques liées à une cyberopération, tant lors de la planification que de l’exécution.
Réponse conjointe du CST et d’AMC :
Le CST et AMC sont d’accord avec cette recommandation.
Depuis la parution de l’examen, le CST et AMC ont augmenté la fréquence des échanges au niveau de travail. Conformément au cadre de gouvernance d’AMC et du CST sur les cyberopérations étrangères, les deux organismes vont solidifier leurs points de contact et élaborer une procédure opérationnelle normalisée pour qu’ils puissent se transmettre mutuellement toute nouvelle information et toute nouveauté liées à une cyberopération.
- Date de modification :
Examen des pratiques opérationnelles en matière de collecte et de protection des renseignements personnels de l’unité nationale de contre-ingérence des forces canadiennes
Dernière mise à jour :
Statut :
Publié
Numéro de l'examen :
21-10
- Date de modification :
