Date de publication :
Notre équipe travaille sur une version HTML de ce contenu afin d'améliorer la convivialité et la compatibilité sur tous les appareils. Nous visons à la rendre disponible dans un avenir proche. Merci de votre patience !
Dernière mise à jour :
Statut :
Publié
Numéro de l'examen :
21-05
Date de publication :
Date de publication :
| Sigle/acronyme | Description |
|---|---|
| SCRS | Service canadien du renseignement de sécurité |
| ADG | Acquisition de données et gouvernance |
| SDO | Sous-directeur Opérations |
| DMEX | Gestion et exploitation des données |
| ERC | External Review and Compliance |
| CF | Cour fédérale |
| CR | Commissaire au renseignement |
| AJ | Autorisation judiciaire |
| LSN | Loi de 2017 sur la sécurité nationale |
| OSSNR | Office de surveillance des activités en matière de sécurité nationale et de renseignement |
| CADO | Centre d'analyse des données opérationnelles |
| EDAP | Ensemble de données accessibles au public |
| BCP | Bureau du Conseil privé |
| SP | Sécurité publique Canada |
| CSARS | Comité de surveillance des activités de renseignement de sécurité |
Catégorie approuvée d’ensembles de données canadiens. Catégorie d’ensembles de données canadiens approuvée par le Ministre et autorisée par le commissaire au renseignement. Le Service canadien du renseignement de sécurité ne peut collecter et conserver un ensemble de données canadien que s’il fait partie d’une catégorie approuvée.
Ensemble de données canadien. Ensemble de données ayant principalement trait à des Canadiens ou à des personnes se trouvant au Canada.
Ensemble de données. Ensemble d’informations qui sont sauvegardées sous la forme d’un fichier numérique et qui portent sur un même sujet.
Employé désigné. Employé désigné par le Ministre. Cet employé est en mesure d’exercer une ou plusieurs des activités décrites aux articles 11.07 et 11.22, notamment l’évaluation, l’interrogation et l’exploitation des ensembles de données visés à l’article 11.05.
Régime applicable aux ensembles de données. Articles 11.01 à 11.25 et 27.1 de la Loi sur le Service canadien du renseignement de sécurité, qui régissent les ensembles de données.
Évaluation. Période durant laquelle les employés désignés vont – dans la mesure du possible, mais dans les 90 jours suivant le moment de la collecte – évaluer l’ensemble de données et établir si celui-ci :
Situation d’urgence. Situation posant un danger pour la vie ou la sécurité d’un individu, ou une situation nécessitant l’acquisition de renseignement d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service canadien du renseignement de sécurité s’en tient aux processus d’autorisation prévus à l’article 11.13 ou aux articles 11.17 et 11.18.
Exploitation. Analyse informatique d’un ou de plusieurs ensembles de données ayant pour but d’obtenir des renseignements qui ne seraient pas autrement apparents.
Ensemble de données étranger. Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada.
Autorisation judiciaire. Procédure suivant laquelle un juge de la Cour fédérale autorise la conservation d’un ensemble de données canadien.
Ministre. Dans le présent rapport, le terme « Ministre » désigne le ministre de la Sécurité publique.
Ensemble de données accessible au public. Ensemble de données accessible au public au moment de sa collecte.
Interrogation. Recherche ciblée dans un ou plusieurs ensembles de données, au sujet d’une personne ou d’une entité, ayant pour but d’obtenir des renseignements.
Enquête au titre de l’article 12. Enquête menée par le Service canadien du renseignement de sécurité, qui porte sur des menaces envers la sécurité du Canada.
Menace envers la sécurité du Canada. Activités qui touchent le Canada ou s’y déroulent, notamment les suivantes :
Le gouvernement du Canada a instauré le régime applicable aux ensembles de données (régime des ensembles de données) suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS ou, ci-après, la Loi). Visé aux articles 11.01 à 11.25 de la Loi sur le SCRS, ce régime habilite le Service canadien du renseignement de sécurité (SCRS, ou le Service) à collecter et à conserver des ensembles de données contenant des renseignements personnels qui ne sont liés ni directement ni immédiatement à des activités qui constituent une menace envers la sécurité du Canada, mais qui sont susceptibles de favoriser la progression d’enquêtes sur la sécurité nationale.
Le présent rapport se divise en quatre sections. La première porte sur la gouvernance et décrit les aspects suivants : les modalités de mise en oeuvre du régime, la première autorisation judiciaire du SCRS relative à un ensemble de données, les vides juridiques relevés dans la Loi et les politiques internes du ministère auxquelles le régime est assujetti. Quant à la deuxième section du présent rapport, elle porte sur les pratiques observées par le SCRS en matière de gestion et de conservation de l’information. Ensuite, la troisième section traite des modalités suivant lesquelles le SCRS forme ses employés à l’exercice des fonctions prévues par le régime des ensembles de données, et aborde quelques difficultés en matière d’affectation des ressources. Enfin, la quatrième et dernière section présente une étude de cas qui aborde les difficultés et les obstacles qui se posent aux éléments traités dans les trois premières sections.
Pour ce qui concerne la gouvernance et la mise en oeuvre, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a conclu que le régime des ensembles de données établi par le SCRS n’était pas conforme au cadre législatif en vigueur. L’approche que le SCRS applique actuellement sur le plan de la collecte des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir les critères minimaux tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
En 2021, le SCRS a demandé une autorisation judiciaire pour la conservation du premier ensemble de données canadien, mais d’une façon qui incite l’OSSNR à douter que la Cour fédérale ait été pleinement informée des divergences exprimées en interne concernant l’utilisation des ensembles de données avant la mise en application du régime des ensembles de données. De plus, en attendant l’autorisation judiciaire, le SCRS a procédé à des interrogations au titre des dispositions concernant les situations d’urgence et a conservé des noms qui ne correspondaient que partiellement aux valeurs recherchées. L’OSSNR a conclu que les résultats conservés en l’occurrence ne respectaient pas le critère minimal s’appliquant obligatoirement à la conservation de cette information au titre de l’article 12 de la Loi. L’OSSNR recommande que le SCRS détruise immédiatement tout fichier contenant les noms retenus dans le cadre d’interrogations liées à des situations d’urgence, dans la mesure où ces fichiers ne répondent pas au critère minimal de la « stricte nécessité ».
Le présent examen a permis de relever, dans le texte de la Loi sur le SCRS un vide juridique qui pose problème sur le plan de la gouvernance s’appliquant aux ensembles de données étrangers. En effet, l’OSSNR note que dans sa forme actuelle, la Loi n’impose, au Ministre ou à la personne désignée, aucune limite de temps pour l’autorisation de conservation d’un ensemble de données étranger. Avant l’instauration du régime des ensembles de données, le SCRS collectait des volumes massifs de données qui ne répondraient plus aux prescriptions du nouveau régime. Après l’adoption du régime des ensembles de données, le SCRS a soumis, le 11 octobre 2019, plusieurs ensembles de données étrangers au directeur, qui faisait office de personne désignée à la place du Ministre. Le commissaire au renseignement (CR) a approuvé le premier ensemble de données étranger tiré de cet important volume de données le 16 décembre 2020. Or, au mois de décembre 2022, le SCRS n’avait soumis au CR que deux autres demandes d’approbation, pour un total de trois approbations en trois ans. L’OSSNR note qu’en conséquence du vide juridique, une demande d’autorisation peut, pendant des années, demeurer sans suite de la part du directeur. D’ailleurs, l’OSSNR remet en cause la façon dont le SCRS est censé respecter le critère minimal de la « probabilité d’aider » ainsi que l’utilité de ces ensembles de données. L’OSSNR recommande que l’on impose une limite de temps pour l’autorisation, par le Ministre ou la personne désignée, d’un ensemble de données étranger.
Le dernier élément de la section ayant trait à la gouvernance met l’accent sur les politiques que le SCRS a adoptées pour encadrer le régime des ensembles de données. En outre, l’OSSNR a conclu que les politiques du SCRS s’appliquant aux ensembles de données accessibles au public ne contenaient aucune disposition exigeant que l’information collectée soit assujettie à une analyse portant sur l’attente raisonnable en matière de protection de la vie privée. Cette question est particulièrement pertinente lorsque l’on prend en compte la demande toujours croissante pour les données achetées auprès de courtiers ainsi que les risques associés à l’achat d’informations disponibles dans le commerce, lesquelles auraient pu être collectées de façon illicite. Ainsi, l’OSSNR recommande que le SCRS procède à l’analyse approfondie et à la documentation de toutes les attentes raisonnables en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. L’OSSNR a également conclu que le SCRS ne disposait d’aucune politique realtive aux informations transitoires et que la directive interne en vigueur ne fournissait aux employés que des consignes insuffisantes pouvant faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
La deuxième section du présent rapport d’examen a trait à la gestion et à la conservation de l’information des ensembles de données visés à l’article 11. Dès 2018-2019, le SCRS a passé en revue ses fonds d’information pour y relever les informations qui seraient assujetties au régime des ensembles de données une fois que celui-ci serait entré en vigueur. Au début de 2022, le SCRS a constaté plusieurs occurrences où des données, des rapports opérationnels et des informations liées à des Canadiens ou à d’autres individus se trouvant au Canada (informations canadiennes) extraits d’ensembles de données étrangers auraient dû être détruits. Une fois que les éléments de non-conformité ont été relevés, le SCRS a commencé à mettre en place des mesures correctives visant à garantir que les données de ce type seraient repérées et détruites. En octobre 2022, l’OSSNR a effectué une recherche dans le système organisationnel du SCRS et a trouvé des fichiers contenant des dizaines de milliers d’occurrences d’informations personnelles sur des Canadiens tirées d’ensembles de données étrangers, de même que des informations équivalant à des ensembles de données étrangers. L’OSSNR n’est pas satisfait des raisons qu’on lui a données pour justifier la conservation de ces informations dans les systèmes organisationnels du SCRS ni des critères suivant lesquels le SCRS explique que ces informations se distinguent de celles qui avaient été précédemment établies comme étant non conformes. L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.
Qui plus est, l’OSSNR a effectué une autre recherche dans le registre opérationnel du SCRS et y a découvert des informations assimilables à un ensemble de données canadien. Le SCRS n’avait pas retiré le rapport opérationnel, ce qui l’a rendu accessible à quiconque pouvait utiliser le système, ce qui contrevient aux obligations s’appliquant au régime des ensembles de données sur le plan de la conservation. L’OSSNR a avisé le SCRS au sujet de ce rapport et a appris que cette situation serait traitée comme un incident de conformité. L’OSSNR a ensuite effectué une autre recherche et a découvert un autre rapport contenant de l’information qui, par ailleurs, serait assimilable à un ensemble de données canadien. L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. L’OSSNR recommande que le SCRS détruise immédiatement l’information sur des Canadiens et l’information étrangère qui se trouvent dans ses registres organisationnels et opérationnels, et qu’il n’est pas strictement nécessaire de conserver. Cette information non conforme ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel et procède à un balayage complet de ses registres organisationnels et opérationnels dans le but de repérer les informations non conformes.
La troisième section du présent rapport d’examen porte sur la formation de même que sur l’affectation des ressources. Avant l’entrée en vigueur du régime s’appliquant aux ensembles de données, le SCRS avait élaboré et mis en place une formation en guise de préparation à la désignation des employés aux fins du régime des ensembles de données ainsi qu’une formation obligatoire pour tous les employés opérationnels. L’OSSNR conclut que la formation requise pour devenir un employé désigné appelé à évaluer, à interroger et à exploiter les ensembles de données visés à l’article 11 fournit de l’information claire sur les exigences s’appliquant à la collecte et à la conservation. Or, l’OSSNR conclut que le personnel opérationnel du SCRS, y compris les membres qui font principalement la collecte des données de masse, n’a pas reçu une formation suffisante pour être en mesure de reconnaître les situations où l’information collectée pourrait être visée par le régime des ensembles de données. La formation n’est suivie qu’une seule fois par les employés opérationnels, ce qui contrevient aux règles que le SCRS est censé suivre quant à l’application du régime. L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios en guise de formations sur l’application du régime des ensembles de données. Ces ateliers seraient destinés au personnel opérationnel et permettraient de faire appel aux experts, le cas échéant.
Pour englober tous les enjeux cités précédemment, l’OSSNR a choisi une étude de cas qui met en évidence les difficultés que le SCRS rencontre au chapitre de la mise en place du régime des ensembles de données. Le cas en question concernait un ensemble de données contenant des informations sur des milliers de Canadiens. En l’occurrence, l’OSSNR conclut que le SCRS a collecté de l’information qui concernait des activités ne pouvant pas être raisonnablement soupçonnées d’avoir posé une menace envers la sécurité du Canada et dont la collecte, l’analyse et la conservation n’étaient pas strictement nécessaires. Le ministère de la Justice et la gestion du SCRS n’ont pas soumis, à la direction du SCRS, l’intégralité de l’information ayant trait à l’ensemble de données au point de collecte. De plus, l’information a été collectée sans qu’une analyse ait été réalisée à la lumière des dispositions de la Charte et des éléments relatifs à la protection de la vie privée. L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12. L’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
À la suite du présent examen, il convient de conclure que le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. De fait, le SCRS n’a pas cherché à résoudre les éléments juridiques ambigus [**expurgé**] des modalités d’application du régime à l’appréciation de la Cour. En effet, le SCRS a plutôt adopté diverses positions quant à l’application du régime des ensembles de données, et il risque désormais de cantonner ce qui se veut un régime d’encadrement de la collecte et de la conservation à un simple mécanisme de conservation. Sur le plan interne, le SCRS a fourni des ressources et de la formation qui se sont avérées insuffisantes pour garantir la conformité des activités aux dispositions du régime. En l’absence d’un engagement à opérationnaliser les ressources et à soutenir la mise en oeuvre d’un nouveau régime juridique, il y a lieu de conclure que ce type de régime sera destiné à échouer quoi qu’on en pense.
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a réalisé le présent examen en application de l’alinéa 8(1)a) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.
L’OSSNR s’est penché, entre janvier 2019 et le 30 juin 2022, sur la mise en oeuvre, par le Service canadien du renseignement de sécurité (SCRS, ou le Service), du régime s’appliquant aux ensembles de données. Or, pendant le déroulement de l’examen, l’OSSNR a jugé nécessaire de consulter des éléments d’information pertinents ne coïncidant pas avec la période susmentionnée.
L’OSSNR a examiné des documents, réalisé des entrevues et assisté à des séances d’information. L’OSSNR a également assisté à des démonstrations que des experts du SCRS ont données sur le fonctionnement des systèmes concernés. Le SCRS a également donné, aux représentants de l’OSSNR, un accès direct auxdits systèmes.
L’OSSNR a été en mesure de vérifier, conformément à ses propres attentes et exigences, l’information reçue en cours d’examen. De plus, l’OSSNR a eu un accès direct aux systèmes et registres du SCRS, ce qui lui a permis de corroborer cette information.
Pour ce qui concerne la réactivité, on a relevé quelques occurrences mineures où le SCRS n’a pas fourni l’intégralité de l’information demandée par l’OSSNR, mais en règle générale, le Service a répondu aux attentes de l’OSSNR sur ce plan.
En 2015, le Comité de surveillance des activités de renseignement de sécurité (CSARS), le prédécesseur de l’OSSNR, a examiné les modalités de collecte et de conservation de l’information dans le cadre du Programme d’acquisition de données du SCRS. Les examinateurs se sont penchés sur le régime du SCRS s’appliquant aux ensembles de données massifs et ont noté ce qui suit : « le CSARS n’a constaté aucun élément de preuve donnant à penser que le SCRS avait systématiquement tenu compte du seuil de la mesure “strictement nécessaire” tel qu’il est imposé en vertu de l’article 12 de la Loi sur le SCRS; le SCRS ne dispose pas de processus, de cadre de gouvernance et de conseils juridiques relatifs à l’acquisition et à la gestion d’ensembles de données de masse, ce qui va à l’encontre des pratiques de nos proches alliés. »
Après la publication du rapport annuel du CSARS, la Cour fédérale (ci-après désignée comme étant « la Cour ») s’est penchée sur les questions liées à la conservation des données dans la décision qu’elle a rendue en 2016 relativement aux « données connexes ». La Cour a établi que le SCRS avait outrepassé les limites du mandat qui lui était prescrit par la loi en conservant des informations contrevenant à la mesure « strictement nécessaire » prescrite au paragraphe 12(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS). En vertu de cette exigence légale de la mesure « strictement nécessaire » s’appliquant aux faits ayant donné lieu à cette décision, le SCRS ne peut pas conserver de l’information qui n’est pas directement liée à une menace envers la sécurité du Canada, à moins que cette information soit liée à un sujet visé par un mandat. La Cour a conclu que le SCRS avait agi de manière illicite lorsqu’il a conservé des informations non liées à une menace au titre de la mesure « strictement nécessaire », et ce, au-delà de la limite de temps prescrite.
Le gouvernement du Canada a instauré le régime applicable aux ensembles de données suivant l’adoption de la Loi de 2017 sur la sécurité nationale (LSN), ce qui a donné lieu, en juillet 2019, à une modification la Loi sur le SCRS. Ce régime permet au SCRS de collecter des ensembles de données qui soient susceptibles de l’assister dans l’exercice de ses fonctions, en l’occurrence, des ensembles de données qui ne répondent pas au critère du « strictement nécessaire » par ailleurs exigé à l’article 12.
Le présent examen de l’OSSNR est le premier qui soit réalisé relativement aux ensembles de données depuis l’adoption la LSN. En outre, cet examen décortique et analyse les modalités de gouvernance et d’opérationnalisation du régime. Pendant qu’il considérait la mise en oeuvre du régime, l’OSSNR a également examiné les systèmes et les processus en place aux fins d’ingestion, d’évaluation, d’interrogation et d’exploitation des ensembles de données, processus dont une description détaillée est fournie en annexe A du présent rapport.
Les dispositions de la Loi sur le SCRS (ci-après désignée comme étant « la Loi ») qui gouvernent le régime se trouvent aux articles 11.01 à 11.25, 21, 27 et 27.1 de la Loi (lesquels établissent ce que l’on appelle ci-après le « régime des ensembles de données »). La Loi définit le terme « ensemble de données » comme suit : « [e]nsemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun. » La clause d’application de l’article 11.02 énonce ce qui suit : « Les articles 11.01 à 11.25 s’appliquent aux ensembles de données qui contiennent des renseignements personnels au sens de l’article 3 de la Loi sur la protection des renseignements personnels qui, dans l’immédiat, ne sont pas directement liés à des activités exercées en lien avec une menace pour le Canada. »
Le niveau des autorisations et des approbations des activités de collecte et de conservation d’un ensemble de données est proportionnel au niveau d’atteinte à la vie privée. Pour toutes les catégories d’ensembles de données, à savoir accessibles au public, canadiens et étrangers, le SCRS peut : « recueillir un ensemble de données s’il est convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. » Il existe un autre seuil, plus élevé celui-là, pour la conservation des ensembles de données étrangers et canadiens, à l’égard desquels le SCRS doit établir si l’ensemble de données collecté est « susceptible de l’aider » dans l’exercice de ses fonctions
Le tableau ci-dessous présente synthétiquement le cadre juridique s’appliquant aux ensembles de données accessibles au public (EDAP), aux ensembles de données étrangers et aux ensembles de données canadiens :
| Accessible au public | Étranger | Canadien | |
|---|---|---|---|
| Définition | Un ensemble de données qui était accessible au public au moment de la collecte. | . Ensemble de données comportant principalement des informations liées à un individu qui n’est pas Canadien qui se trouve à l’extérieur du Canada ou à une personne morale qui n’a pas été constituée ou prorogée sous le régime d’une loi fédérale ou provinciale et qui se trouve à l’extérieur du Canada. | A dataset that predominately relates to individuals within Canada or Canadians. |
| Collection | Threshold: Relevant to the performance of duties and functions under s. 12 to s.16 | ||
| Must belong to an approved class authorized by the Minister and approved by the Intelligence Commissioner (IC) | |||
| Évaluation | Dans les 90 jours suivant le moment de la collecte (excluant toute interrogation ou exploitation) : L’employé désigné doit supprimer tout renseignement personnel qui n’est pas pertinent dans le cadre de l’exercice des fonctions du SCRS. L’employé désigné peut supprimer les contenus superflus, erronés ou de moindre qualité; il peut effectuer la traduction ou le décryptage des contenus ou utiliser des techniques de révision liées à la protection de la vie privée; il peut exercer toute activité relative à l’organisation de l’ensemble de données. | ||
| L’employé désigné doit supprimer toute information qui porte sur la santé physique ou mentale d’un individu et pour laquelle il existe une attente raisonnable en matière de protection de la vie privée | |||
| L’employé désigné doit retirer toute information liée à un Canadien ou à une personne se trouvant au Canada. | L’employé désigné doit supprimer toute information protégée par le secret professionnel de l’avocat. | ||
| Conservation | Conservation permise pour les fins visées aux articles 12 à 16. | Critère minimal : susceptible d’aider le Service à exercer ses fonctions. | |
| Le ministre ou la personne désignée donne son autorisation, puis le CR donne son approbation. | Le ministre donne son approbation, laquelle est suivie d’une autorisation judiciaire. | ||
| Période de conservation | Aucune limite (politique interne régissant la conservation) | Maximum de 5 années (renouvelable suivant une nouvelle demande) | Maximum de 2 années (renouvelable suivant une nouvelle demande) |
| Interrogation/exploitation | Possibilité d’interroger, d’exploiter et de conserver les résultats pour les fins visées aux articles 12 à 16. | L’employé désigné peut interroger ou exploiter (et conserver les résultats) pour peu que ce soit strictement nécessaire au titre des articles 12 et 12.1, et comme le stipule l’article 16. | |
| Peut interroger et exploiter (et conserver les résultats) pour les fins visées à l’article 15. | |||
| Tenue de dossiers | Dossiers : - justification de la collecte; - détails relatifs à chaque exploitation; - détails de l’autorisation légale au titre de laquelle l’information interrogée ou exploitée est conservée. Réalisation de vérifications aléatoires ou routinières. | ||
| Obligations : - stocker et gérer séparément des autres informations; - réserver l’accès aux employés désignés pour veiller à ce que les informations acquises ne puissent être communiquées qu’aux fins de l’exercice de fonctions sous le régime de la présente loi. | |||
| Situations d’urgence | Le directeur peut autoriser (sous réserve de l’approbation du CR) l’interrogation d’un ensemble de données qui n’a pas déjà été autorisé s’il s’agit d’une situation d’urgence et que l’interrogation de l’ensemble de données est nécessaire afin de préserver la vie ou la sécurité d’un individu ou d’acquérir des renseignements d’une importance considérable pour la sécurité nationale, dont la valeur sera réduite ou perdue si le Service s’en tient aux processus d’autorisation. | ||
| Rapports | Transmission à l’OSSNR : - de toute vérification effectuée telle qu’il est prescrit par les dispositions s’appliquant à la tenue des dossiers; - de tout retrait d’information concernant un Canadien ou une personne se trouvant au Canada et provenant d’un ensemble de données étranger; d’une copie de l’autorisation du directeur visant l’interrogation pour motif de situation urgence, les résultats de l’interrogation et les mesures prises après l’obtention des résultats de l’interrogation. *L’OSSNR peut faire rapport auprès du directeur lorsqu’à son avis, l’interrogation ou l’exploitation de l’ensemble de données concerné n’est pas conforme aux stipulations de la loi. En l’occurrence, le directeur envoie un rapport accompagné d’informations additionnelles à la Cour fédérale. Dès lors, la Cour fédérale peut émettre une directive ou un ordre ou encore prendre toute autre mesure jugée appropriée. | ||
Conclusion no 1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif.
Conclusion no 2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
Le régime des ensembles de données avait pour objet de créer une méthode qui permette de collecter et de conserver certaines informations, des activités qui ne seraient pas permises selon les dispositions formulées à l’article 12 de la Loi sur le SCRS. Le SCRS a pris une part active dans la promotion de ce régime détaillé et a noté, pendant les audiences du comité sénatorial, qu’il s’agissait (articles 11.01 à 11.24) d’une « mesure législative assez complexe » qui a nécessité que l’on travaille étroitement avec le ministère de la Justice (ci-après désigné comme étant « le MJ ») pour « étudier les divers processus que nous pouvions utiliser » pour veiller à ce que le régime soit en entière « conformité à la Charte ». Après avoir grandement contribué à la rédaction du document faisant état du régime, le SCRS était bien placé pour élaborer les politiques et les procédures devant s’appliquer à la collecte, à l’interrogation, à l’exploitation et à la vérification des ensembles de données.
[**expurgé**] le SCRS a modifié sa position de sorte à considérer le régime des ensembles de données comme étant, en réalité, assujetti aux autorisations de collecte visées aux articles 12, 15 ou 16 de la Loi sur le SCRS. De fait, le SCRS s’appuie sur le régime des ensembles de données dès lors qu’il a établi que l’information n’est pas visée par ces autorisations en matière de collecte (ce qui est désigné ci-après comme étant la position actuelle du SCRS). Cette position témoigne d’un changement sur le plan de la compréhension que l’on peut avoir quant à la portée du régime des ensembles de données.
Telle qu’elle était présentée dans les politiques et les présentations du Service ainsi que dans le matériel employé pendant la formation NSA 2017, l’application du régime des ensembles de données était davantage conforme à la position initiale du Service. Toutefois, au mois d’avril 2022, le SCRS avait adopté sa position actuelle quant à l’application du régime des ensembles de données, en concluant que la Cour était d’accord avec cette interprétation. Le SCRS considère désormais que le régime permet la collecte et l’utilisation (recherches) des ensembles de données au titre de l’article 12, puis leur conservation au titre du régime des ensembles de données. Le SCRS a continué de modifier sa position actuelle de sorte à permettre une collecte et une conservation élargies en vertu de l’article 12.
Il convient de noter que l’article 12 énonce des conditions s’appliquant à la collecte (et à la conservation) qui sont plus exigeantes que le critère minimal s’appliquant à la collecte et à la rétention dans le cadre du régime des ensembles de données. En vertu de l’article 12, une enquête s’appuiera sur un motif raisonnable de soupçonner une menace envers la sécurité du Canada, et la collecte ainsi que la conservation de l’information n’auront lieu que dans la mesure « strictement nécessaire ». Pour sa part, le régime des ensembles de données permet la collecte pour peu que le SCRS soit « convaincu que l’ensemble de données est utile dans l’exercice des fonctions qui lui sont conférées en vertu des articles 12 à 16. ». La conservation des ensembles de données étrangers et canadiens est permise s’il est « probable » que cette conservation « aide le Service » à exercer ses fonctions. L’article 12 et le régime des ensembles de données diffèrent l’un de l’autre en tant que régimes de contrôle. En vertu de l’article 12, le SCRS peut procéder à la conservation sans l’intervention d’une entité externe. Or, la conservation des ensembles de données canadiens au titre du régime des ensembles de données exige une autorisation de la Cour, alors que la conservation des ensembles de données étrangers nécessite l’approbation du CR.
Le régime des ensembles de données a été créé dans le but d’élargir les conditions rigoureusement réglementées s’appliquant à la collecte et à la conservation, lorsque le critère minimal de la mesure « strictement nécessaire » visé à l’article 12 ne pouvait pas être respecté. Toutefois, selon l’OSSNR, depuis que le SCRS a modifié sa position, comme nous l’avons évoqué précédemment, la façon dont le Service opérationnalise le régime des ensembles de données et en comprend l’application semble avoir considérablement augmenté l’étendue de l’information captée en vertu des pouvoirs qui lui sont conférés au titre de l’article 12. Cette évolution est abordée dans le cadre de l’étude de cas qui est présentée à la fin du présent rapport.
La [**expurgé**] anciennement Gestion et exploitation des données ou DMEX) est une entité dont la fonction première est la gouvernance du régime des ensembles de données. Au mois de juin 2023, le SCRS a avisé l’OSSNR que, désormais, [**expurgé**] prioriserait la collecte au titre de l’article 12 par rapport à la collecte au titre du régime des ensembles de données. Comme le cadre législatif s’appliquant aux ensembles de données s’avère plutôt restrictif, le Service a indiqué qu’il ne collecterait les ensembles de données qu’en prévision de leur exploitation10. Le SCRS a ensuite présenté à l’OSSNR l’exemple éclairant d’un ensemble de données au sens entendu par le régime des ensembles de données et a indiqué que, dans la mesure où il était possible que des acteurs hostiles figurent dans la liste, cet ensemble pouvait être collecté au titre de l’article 11.05 s’appliquant au régime des ensembles de données ou encore de l’article 12. On pouvait également y effectuer des recherches au titre de l’article 12, conserver, au titre du même article, les résultats de recherche portant sur la menace, puis détruire le reste de la liste.
L’approche évolutive que le SCRS a adoptée à l’égard des ensembles de données soulève deux sources de préoccupation. En premier lieu, l’ingestion des ensembles de données au titre de l’article 12 peut désormais, du moins en pratique, correspondre à une interprétation élargie des critères minimaux de « motif raisonnable de soupçonner » et de mesure « strictement nécessaire » visés à l’article 12. Les normes maintenant invoquées pour justifier la collecte et la conservation de certains ensembles de données censément au titre de l’article 12 sont plus près des critères minimaux « convaincu » et « probabilité d’aider » s’appliquant au régime des ensembles de données. L’OSSNR reconnaît que certaines informations répondant à la définition d’un ensemble de données – c.-à-d. la collecte d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun – pourraient être visées par les stipulations de l’article 12 en matière de collecte et d’utilisation, par exemple, une liste des voyageurs extrémistes canadiens. Toutefois, l’OSSNR a des réserves lorsque les pouvoirs énoncés à l’article 12 sont interprétés de telle façon qu’ils permettent la collecte et l’utilisation de renseignements personnels qui ne sont pas directement liés aux activités posant une menace envers la sécurité du Canada. Cette approche sort du cadre législatif et risque de donner lieu à la création d’un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données.
En second lieu, une procédure de vérification en plusieurs étapes découle d’une interprétation de la Loi sur le SCRS, selon laquelle le régime des ensembles de données s’applique uniquement lorsque les ensembles de données (répondant à la définition de la section 11.02) ne peuvent être ni collectés ni conservés au titre des mandats visés aux articles 12, 15 ou 16. Qui plus est, il y aura une phase préliminaire durant laquelle le SCRS devra décider quelle autorisation doit s’appliquer, et établir si (puisqu’il ne reste plus aucune autre autorisation de collecte ou de conservation) l’ensemble de données doit être traité dans le cadre du régime des ensembles de données. L’absence de conseils judicieux donne lieu à un important risque de confusion quant à ce qui peut être fait à partir de l’ensemble de données pendant cet exercice de vérification et de tri, surtout que cette procédure de vérification n’est pas expressément prévue par la Loi. On ne saurait trop dire si la Loi peut s’assortir d’une procédure parallèle et distincte dans le cadre de laquelle un ensemble de données serait collecté au titre de l’article 12, interrogé à des fins de renseignement et, seulement alors, être transféré en vue d’être conservé au titre du régime des ensembles de données. En l’occurrence, on pourrait estimer que cette approche rendrait superflue l’autorisation d’interrogation de recherche en cas d’urgence au titre de l’article 11.22. Bien que l’OSSNR n’ait pas été en mesure de confirmer l’intégralité de la séquence d’événements, l’étude de cas portant sur l’autorisation judiciaire visant les ensembles de données canadiens (voir la section suivante) illustre le risque de confusion.
Conclusion no 3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données.
Conclusion no 4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12.
[**expurgé**], le SCRS a collecté, [**expurgé**]. Les [**expurgé**] contenaient les renseignements personnels d’individus [**expurgé**] Les ensembles de données ont été acheminés au SCRS en provenance de plusieurs ministères [**expurgé**]. Comme ces ensembles de données ont été reçus par le [**expurgé**] on a jugé qu’ils avaient été collectés au titre de l’article 12. Cependant, le SCRS a ensuite tenté de conserver [**expurgé**] en vertu du régime des ensembles de données, ce qui nécessite une autorisation de la Cour fédérale (CF). En l’occurrence, on a assisté à la première décision concernant une autorisation judiciaire aux fins du régime des ensembles de données. Or, on note deux sources de préoccupation concernant la gestion de cet ensemble de données.
Considérant les éléments qui ont mené à cette autorisation, il serait plutôt difficile de savoir comment cet ensemble de données pourrait être utilisé. Tout indique que [**expurgé**] a reçu les [**expurgé**] en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada. [**expurgé**] considère comme de l’information visée à l’article 12 toute information communiquée et collectée par leur direction. Au moment de recevoir l’ensemble de données, [**expurgé**] n’était pas au courant des discussions qui avaient lieu au sein d’autres directions concernant la possibilité de demander à la Cour d’autoriser la conservation [**expurgé**] au moyen d’une autorisation judiciaire. [**expurgé**] a traité l’information comme elle le ferait pour toute autre information visée à l’article 12 et a effectué des recherches pour au moins deux des noms [**expurgé**] dans la base de données opérationnelle du SCRS, à savoir [**expurgé**]. Des résultats ont été obtenus pour l’un de ces deux noms.
L’OSSNR a d’abord été informé que ces recherches ne constituaient pas des interrogations dans la mesure où elles n’avaient pas été menées dans les [**expurgé**] et qu’elles constituaient plutôt des recherches, depuis [**expurgé**] de noms tirés [**expurgé**]. L’OSSNR a également appris que les recherches ne constituaient pas des interrogations, car elles n’avaient pas [traduction] « pour objet d’obtenir du renseignement » tel que le définit la Loi, puisque le résultat des recherches n’est pas consigné [**expurgé**]. Lors de ses discussions avec le SCRS, l’OSSNR a reçu des informations contradictoires qui montrent les incohérences et la confusion qui règnent en interne à ce sujet.
Dans la lettre de présentation qui accompagnait l’affidavit de l’autorisation judiciaire demandée à la Cour en lien avec un ensemble de données canadien, l’avocat indique que [traduction] « la collecte initiale et l’utilisation que le Service fait de cette information, tel qu’il est décrit dans l’affidavit, s’inscrit dans la portée [**expurgé**] du Service au titre [**expurgé**] ». Dans l’affidavit, le SCRS indique que [traduction « […] [**expurgé**] a vérifié si cette collecte d’information figurait déjà dans le fonds du Service et a estimé la valeur qu’elle pourrait avoir aux fins de ses enquêtes. Aucune recherche n’a été menée à des fins de renseignement […] ». Dans une ébauche antérieure de l’affidavit, le chef de la DMEX avait exprimé son souci à l’égard de ce libellé de la version préliminaire de l’affidavit.
Ce à quoi il ajoute que [traduction] « Nous avons déjà clairement indiqué que les ensembles de données étaient initialement collectés au titre des autorisations visées aux [**expurgé**]. Nous pouvons également affirmer que les vérifications ont été effectuées conformément à ces autorisations, jusqu’à ce que l’on ordonne immédiatement l’arrêt des vérifications une fois l’article 11 invoqué (tout est arrivé rapidement) ». L’OSSNR n’a pas été en mesure d’établir si la recherche des noms tirés de la liste a été effectuée dans le système opérationnel du SCRS dans le but de « vérifier » si [traduction] « la collecte d’information figurait déjà dans le fonds du Service ». Pendant que l’on examinait cette question, il devenait manifeste qu’il y avait une multiplicité d’opinions et nombre de propos contradictoires au sujet des mesures qui avaient été prises au moment de recevoir l’ensemble de données, mais aussi de ce qui semblait permissible aux yeux du SCRS, une fois que l’information d’un ensemble de données est collectée au titre de l’article 12.
Dans la décision qu’elle a rendue concernant l’autorisation, la Cour fédérale a conclu qu’il était raisonnable de collecter l’ensemble de données au titre de l’article 12 compte tenu des circonstances. Or, la Cour note que [traduction] « la décision d’invoquer le régime des ensembles de données et de demander l’approbation d’interroger l’information a été prise au titre des dispositions concernant les situations d’urgence énoncées à l’article 11.22 de la Loi ». On ne sait trop si la Cour était parfaitement au courant des incertitudes qui planaient quant à ce qui pouvait être fait de l’ensemble de données entre la collecte au titre de l’article 12 et le début du processus de conservation au titre du régime des ensembles de données. Le SCRS aurait dû informer pleinement la Cour de cette incertitude (y compris les propos contradictoires concernant la façon dont les données étaient ou pourrait être utilisées) pour que celle-ci puisse fournir des éclaircissements sur sa position quant aux conduites qui sont expressément permissibles avant l’invocation du régime des ensembles de données.
C’est particulièrement le cas depuis que la Cour, dans la décision qu’elle a rendue et les audiences de l’autorisation judiciaire, a fait part de ses préoccupations voulant que les catégories autorisées par le Ministre et approuvées par le CR aient été trop larges. En outre, la Cour a ajouté que [traduction] « l’une de ces catégories est si large que rien ne pourrait en être exclu ». Pourtant, le SCRS a assuré la Cour à quelques reprises que l’information avait été collectée au titre de l’article 11.05 et était protégée par les dispositions du régime; que cette information était défendue par des contrôles d’accès accrus; et que cette information ne pouvait être ni interrogée ni exploitée. Par conséquent, la Cour a été informée qu’en dépit de la vastité des catégories, le régime fournissait les limites nécessaires à la protection de la vie privée des Canadiens. Cette réponse minimise la mesure dans laquelle l’information de l’ensemble de données pourrait être utilisée pendant la période de tri. Encore une fois, cette discussion fournissait au SCRS l’occasion d’éprouver sur le plan juridique et devant la Cour la mise en oeuvre de son interprétation du régime des ensembles de données. Le SCRS aurait pu informer la Cour que ces mesures de protection ne seraient pas forcément en place au moment de collecter de l’information au titre de l’article 12, avant de se tourner vers le régime des ensembles de données pour en légitimer la conservation. Tout semble indiquer que le SCRS a choisi d’assumer cette incertitude sur le plan légal plutôt que de risquer que la Cour interprète le régime de façon contraignante.
Il convient de noter qu’une fois que le SCRS a enclenché le processus lié au régime des ensembles de données, l’ensemble de données pour lequel une autorisation judiciaire était demandée était visé par une autorisation et une approbation au titre de l’article 11.22 sur les situations urgentes. Le SCRS a demandé et reçu l’autorisation du directeur ainsi que l’approbation du CR pour l’interrogation des ensembles de données. Conformément aux exigences énoncées au paragraphe 11.13(2) de la Loi, le SCRS a inclus, dans sa demande d’autorisation judiciaire, le contenu de l’autorisation pour situation urgente, le résultat de l’interrogation autorisée et la description des mesures prises après l’obtention de ces résultats. Cette information a également été fournie à l’OSSNR comme le prescrit l’alinéa 11.25c) de la Loi.
L’interrogation du SCRS portait sur le nom [**expurgé**] Le SCRS a retenu [**expurgé**] correspondances partielles et les a signalées dans son système opérationnel au titre de l’article 12. En examinant les interrogations menées, l’OSSNR a trouvé que les recherches initiales ratissaient extrêmement large dans la mesure où de nombreuses [**expurgé**] de noms ont été recherchées suivant l’utilisation fréquente [**expurgé**] de et l’établissement d’un large éventail de date de naissances [**expurgé**].
Ces vastes recherches ont donné lieu à bon nombre de résultats correspondant aux éléments de la liste. Par exemple, [**expurgé**] étaient tous considérés par l’analyste du SCRS comme des résultats convenables pour une recherche faite à partir du [**expurgé**]. Ces noms ont ensuite fait l’objet de recherches dans [**expurgé**]. L’information provenant d’une interrogation en situation urgente peut être conservée si l’interrogation [traduction] « a été menée au titre de l’article 12 » suivant l’imposition du critère minimal de la mesure « strictement nécessaire » énoncé dans ce même article. Même s’il n’y a, dans [**expurgé**], aucun résultat correspondant intégralement à l’un des noms [**expurgé**] le SCRS a établi que cette absence dans le système opérationnel signifiait que lesdits noms ne pouvaient pas être éliminés en tant que [traduction] « candidats potentiels d’identification » et que [traduction] « en définitive, ces correspondances potentielles qui ne peuvent pas être exclues seront signalées au bureau et conservées au titre de l’article 12 aux fins d’enquête ». De même, s’il advenait que le nom [**expurgé**] soit trop commun pour l’éliminer d’emblée, le SCRS conservait ce nom en le considérant comme étant strictement nécessaire.
Les résultats d’interrogations inutilement larges n’ont pas répondu au critère minimal de la mesure strictement nécessaire aux fins de conservation. [**expurgé**]. En mars 2022, le SCRS a indiqué que [traduction] « [**expurgé**] a établi qu’il cesserait la démarche liée aux résultats (rapporté dans [**expurgé**]) sans de nouvelles informations » et que les [**expurgé**] résultats conservés avaient été [traduction] « intégralement copiés aux fins de rétention, au cas où l’ensemble de données serait détruit ». Or, les interrogations en situation d’urgence ne peuvent être utilisées ni pour contourner les obligations en matière de conservation qui s’appliquent au titre de l’article 12 ni en tant que moyen de conserver l’information en attente du résultat de la demande d’autorisation judiciaire.
Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données.
Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire.
Conclusion no 5: L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS).
Le régime des ensembles de données a entraîné l’ajout de bon nombre de dispositions détaillées au texte de la Loi sur le SCRS. Or, malgré la complexité du régime, l’OSSNR y a remarqué des lacunes. Les dispositions de la Loi qui gouvernent les autorisations de conservation des ensembles de donnes étrangers ne prescrivent aucun délai que le ministre ou la personne désignée serait tenu de respecter s’agissant d’autoriser la conservation d’un ensemble de données étranger. Avant l’entrée en vigueur du régime des ensembles de données, le SCRS avait accumulé des volumes massifs de données qui n’étaient plus conformes aux stipulations du nouveau régime. Conséquemment, en vertu des dispositions transitoires du projet de loi C-59, on a reconnu la présence de cette information dont on a estimé qu’elle avait été collectée le 13 juillet 2019, conformément à l’arrêté en conseil. Le SCRS disposait ensuite de 90 jours pour évaluer les ensembles de données étrangers qu’il souhaitait conserver et pour établir s’il voulait évaluer les volumes massifs d’information canadienne aux fins d’une éventuelle demande d’autorisation judiciaire.
Le 11 octobre 2019, le SCRS a présenté au directeur dix demandes d’autorisation pour la conservation d’ensembles de données étrangers. La première autorisation visant un ensemble de données a été approuvée par le CR le 16 décembre 2020. Dans sa décision datant du 16 décembre 2020, le CR a formulé des recommandations concernant le contenu des autorisations. L’une de ces recommandations portait sur la mesure dans laquelle les ensembles de données collectés en [**expurgé**] pouvaient encore être en mesure d’aider le SCRS à exercer ses fonctions. Les [**expurgé**] autres ensembles de données qui avaient été soumis au directeur pour autorisation ont alors été modifiés de sorte à comporter l’information demandée par le CR. Ces modifications ont été ajoutées aux demandes, en annexe. En dépit du fait que ces modifications comprenaient de l’information déterminante concernant la façon dont les ensembles de données étaient toujours appelés à aider le SCRS dans l’exercice de ses fonctions, on n’a pas jugé bon de considérer les demandes modifiées comme de nouvelles demandes soumises au directeur. Au mois de décembre 2022, le SCRS n’avait soumis que deux autres demandes d’approbation au CR, pour un total de trois approbations en trois ans.
Le SCRS a affirmé qu’aucune échéance prévue par la loi n’empêchait le directeur d’avoir ces demandes pendant des années et qu’en raison de contraintes sur le plan des ressources, les modifications auraient pris encore plus de temps. Ce vide juridique a donné lieu à la création d’un mécanisme parallèle pour la conservation qui, normalement, est régie selon des règles strictes. Ainsi, le SCRS ne peut ni ingérer, ni interroger, ni exploiter les données tant que le CR n’a pas donné son approbation, mais le vide juridique aura permis au Service d’interroger lesdites données dans des situations urgentes conformément aux dispositions de l’article 11.22 de la Loi sur le SCRS.
De plus, le vide juridique faisant en sorte que la demande d’autorisation reste lettre morte devant le directeur pendant des années remet en question la façon dont le SCRS respectera le critère minimum de la « probabilité d’aider » qui est lié à l’utilité de ces ensembles de données. Or, il convient de noter qu’au mois d’avril 2023, l’ensemble de données approuvé en 2020 n’avait pas encore été interrogé, alors que celui qui a été approuvé en 2021 n’avait été interrogé qu’une [**expurgé**]. Le vide juridique a également été soulevé par le CR qui affirmait ce qui suit : [traduction] « Je ne suis pas convaincu que l’intention du législateur était de faire en sorte qu’il y ait de longs délais entre la soumission d’une demande du SCRS et la décision du directeur, lorsque celui-ci est appelé à autoriser la conservation d’un ensemble de données étranger ».
Recommendation 3: NSIRA recommends that Parliament legislates a time limitation for the authorization of a foreign dataset by the Minister or Minister’s designate.
Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée.
Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données.
Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la consigne provisoire [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données.
Pendant le processus d’adoption du projet de loi C-59, le SCRS a exprimé, dans sa politique, son engagement à ne pas collecter des ensembles de données piratés ou volés. En outre, il a reconnu qu’il y aurait [traduction] « une attente beaucoup plus importante en matière de protection de la vie privée à l’égard de ces ensembles de données » et a ajouté que même si des adversaires avaient accès à cette information, le SCRS préférerait se soumettre à « des normes plus élevées ». Toutefois, le SCRS en est arrivé à éprouver des difficultés lorsqu’il s’est agi de mettre en oeuvre les dispositions de la Loi et d’harmoniser ses politiques et ses procédures avec cette même Loi.
L’OSSNR soulève quatre sources de préoccupations. En premier lieu, le centre stratégique pour les ensembles de données est la Direction de la gestion et de l’exploitation des données (DMEX), laquelle a été récemment restructurée et renommée [**expurgé**]. L’ensemble des politiques sur les ensembles de données [**expurgé**] comprend un certain nombre de politiques ayant trait à la reconnaissance, à la collecte et à la conservation des ensembles de données visés à l’article 11.01. Bien que l’engagement à ne pas collecter les ensembles de données volés, piratés ou fuités soit codifié dans [**expurgé**], il n’existe aucune exigence correspondante qui puisse garantir que l’information contenue dans les ensembles de données accessibles au public (EDAP) ne contient aucune information pouvant susciter une attente raisonnable en matière de protection de la vie privée. D’ailleurs, cette exigence est particulièrement pertinente lorsque l’on prend en compte non seulement le marché en forte expansion des données acquises par l’intermédiaire de courtiers en données, mais aussi les risques associés à l’achat d’information disponible dans le commerce, laquelle pourrait avoir été collectée illicitement par lesdits courtiers.
En deuxième lieu, comme il en a été question plus haut, le changement de position du SCRS quant à la relation entre les ensembles de données et quant à ses pouvoirs courants de collecte a donné lieu à des écarts entre l’information qui correspond à des ensembles de données au sens de l’article 11.01 et l’information qui peut être collectée au titre de l’article 12. L’interprétation que le SCRS fait de l’applicabilité du régime des ensembles de données a été revue en 2021, soit deux ans après que les politiques régissant les ensembles de données ont été créées. De fait, l’ensemble de politiques existant correspond davantage à la position que le SCRS avait initialement. Conséquemment, l’ensemble des politiques ne s’harmonise plus avec la position actuelle du SCRS quant à l’application du régime des ensembles de données (question abordée plus haut) ni avec la structure actuelle de la Direction de [**expurgé**].
En troisième lieu, la politique [**expurgé**] avait pour objet d’orienter et d’informer les employés sur le régime des ensembles de données. Elle a également attribué la responsabilité aux [traduction] « employés qui collectent l’ensemble de données » de sorte à établir correctement l’autorisation de collecte. Cela met en évidence l’importance de la formation reçue par les employés, comme en témoignent les propos ci-dessous.
En quatrième lieu, le SCRS a élaboré une consigne provisoire visant à soutenir sa collecte d’ensembles de données au titre de l’article 12. La mise en place de cette consigne coïncide avec la volte-face sur le plan de l’interprétation et de l’opérationnalisation du régime des ensembles de données, dont il a été question plus haut, à la section 4. La consigne permet la collecte d’information électronique dont on a estimé qu’elle avait trait à une menace, mais où les informations liées à la menace et celles qui n’ont aucun lien avec cette menace sont inextricablement amalgamées. Or, la consigne ne fournit aucune information quant à ce qui constitue des informations inextricablement amalgamées, mais en permet la conservation en vase clos jusqu’à [**expurgé**], avec possibilité de prolongation. L’information n’ayant aucun lien avec la menace aurait été assujettie au régime des ensembles de données, alors que la consigne ne donne aucune indication quant aux exigences du régime des ensembles de données concernant, notamment, la collecte et la relation avec la période d’évaluation de 90 jours stipulée par le régime. Concrètement, le SCRS ne dispose d’aucun registre central pour l’information temporaire, faisant ainsi en sorte que celle-ci est enregistrée dans les lecteurs réseau partagés de l’unité sans mesures centralisées de surveillance, de contrôle des accès ou d’audit. Dans ce cas, et compte tenu de l’important roulement de personnel, des lacunes en formation sur la consigne, de l’absence de centres de responsabilités clairement définis dans la politique et de la limite [**expurgé**] qui dépasse largement le délai des 90 jours énoncé dans le régime des ensembles de données, on assiste à la création d’une situation où le SCRS risque de conserver des dépôts d’information qui, par ailleurs, seraient assujettis au régime des ensembles de données.
Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public.
Recommandation no 5 : L’OSSNR recommande que le SCRS produise :
Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service.
Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données.
Conclusion no 11 : L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN, en juillet 2019.
Conclusion no 12 : L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur.
De 2018 à 2019, le SCRS a procédé à l’inventaire de ses fonds d’information de sorte à recenser l’information assujettie aux dispositions du régime des ensembles de données – donc à la supprimer – une fois que ce régime entrerait en vigueur. Le SCRS a reconnu plusieurs catégories de rapports opérationnels contenant de l’information collectée canadienne et étrangère, et a créé des mises en garde devant être insérées dans ces rapports pour indiquer que de l’information en avait été retirée.
Concernant les ensembles de données étrangers, la haute direction du SCRS a établi quels ensembles de données étrangers seraient soumis pour autorisation. Des analystes techniques ont mené un certain nombre d’exercices sur des ensembles de données étrangers pour mettre à l’épreuve leur aptitude à reconnaître et à extraire l’information canadienne, comme l’exige le régime des ensembles de données. Ces exercices ont donné lieu à la création de plusieurs [**expurgé**] contenant les données canadiennes extraites. Ces [**expurgé**] ont ensuite été [**expurgé**] lesquels ont été stockés dans le dépôt organisationnel du SCRS. Ce faisant, le SCRS a ainsi conservé des copies de données qui auraient dû être supprimées.
D’après le Service, cette reproduction est une exigence de la politique du SCRS s’appliquant à la gestion de l’information (voir l’annexe A). Par exemple, lorsque l’interrogation d’un ensemble de données a lieu, la politique du SCRS en matière de gestion de l’information exige que l’analyste joigne les résultats de cette interrogation à un rapport qui est ensuite enregistré dans le système opérationnel. Les analystes sont également tenus d’enregistrer une copie de ce rapport et des fichiers joints dans [**expurgé**], le dépôt organisationnel du SCRS. Il s’agit là d’éléments qui sont à l’origine des problèmes de conformité. De plus, ces problèmes rendent encore plus difficile la suppression de l’information lorsque des incidents de conformité ont lieu ou lorsque le SCRS a conservé de l’information qui n’est pas strictement nécessaire. Des exemples additionnels de duplication des données sont fournis en annexe A.
Le 5 septembre 2019, le SCRS a assuré le Ministre qu’il [traduction] « avait engagé d’importantes mesures pour garantir la conformité au cadre régissant les ensembles de données, lequel découlait du projet de loi C-59 et devait bientôt entrer en vigueur », et que [traduction] « en conséquence de cet exercice, nombre d’ensembles de données canadiens et étrangers ont été jugés comme ne respectant pas le critère permettant la conservation au titre de l’article 12 ou celui permettant la conservation suivant le critère minimal de la "probabilité d’aider" au titre du nouveau cadre des ensembles de données. Ces ensembles de données ont donc été détruits avant l’entrée en vigueur ». En septembre 2021, le SCRS a affirmé à l’OSSNR que tous les ensembles de données étrangers qui n’avaient pas été soumis au directeur pour autorisation avaient été détruits ».
En [**expurgé**], un ex-employé de la DMEX a découvert [**expurgé**] contenant un ensemble de données étranger qui avait été collecté avant l’entrée en vigueur du régime des ensembles de données et avait ensuite fait l’objet d’une demande d’autorisation ministérielle. [**expurgé**] contenait l’intégralité de l’ensemble de données dans son état d’avant l’évaluation, y compris de l’information canadienne. En [**expurgé**] un autre employé de la DMEX a découvert, dans un [**expurgé**] dont l’accès était réservé aux employés désignés, de l’information canadienne ayant été extraite d’ensembles de données étrangers. Ces documents contenaient de l’information canadienne et des échantillons d’information étrangère tirés de [**expurgé**] ensembles de données étrangers, dont [**expurgé**] étaient en attente d’une autorisation ministérielle, [**expurgé**] avait déjà été approuvé par le CR et ont été intégralement détruits avant l’entrée en vigueur du régime. Le SCRS a détruit cette information puisqu’elle était conservée illicitement.
Ces incidents ont incité la DMEX à réaliser un examen de dossiers [traduction] « afin d’établir les étapes qu’il conviendra de suivre en prévision de l’entrée en vigueur de la LSN ainsi que les correctifs qui pourraient s’imposer. Bien que des employés aient été chargés de supprimer les ensembles de données pour lesquels aucune autorisation de conservation ne serait demandée en vue de l’entrée en vigueur de la LSN en juillet 2019, aucune démarche n’a été engagée pour demander aux employés de repérer et détruire les autres copies d’ensembles de données et de retirer tout document canadien ou autre de ces ensembles de données avant l’entrée en vigueur de la LSN ou pendant la période d’évaluation de 90 jours qui devait suivre53 ». La DMEX a ensuite demandé aux employés de [traduction] « procéder à une recherche approfondie dans [**expurgé**] ». À la suite de ces recherches, on a trouvé une quantité importante d’information canadienne et étrangère, notamment, de l’information ayant trait à l’ensemble de données sur les [**expurgé**], dont il est question plus loin. La DMEX a signalé ces incidents de conformité à la Direction des examens et de la conformité du SCRS en lui soumettant un rapport d’enquête avec des documents à l’appui. Les observations finales du rapport indiquent qu’un effort « digne d’éloges » a été réalisé pour repérer les données résiduelles, bien qu’en [**expurgé**] ».
En octobre 2022, l’OSSNR a mené des recherches dans les registres organisationnels du SCRS et a trouvé [**expurgé**] dossiers contenant des dizaines de milliers d’entrées comportant des renseignements personnels canadiens tirés de [**expurgé**] ensembles de données étrangers, notamment, de l’information extraite d’ensembles de données qui ont été détruits, approuvés par le CR et en attente d’une autorisation. Les dossiers contenaient également de l’information étrangère. L’information canadienne avait été extraite dans le cadre de l’exercice visant à préparer l’entrée en vigueur de la Loi et aurait dû être détruite.
L’OSSNR a cherché à savoir pourquoi ces dossiers contenant de l’information canadienne principalement extraite à partir d’ensembles de données étrangers détruits se trouvaient toujours dans le registre organisationnel du SCRS et dans quelle mesure l’autorisation légale justifiant leur conservation était valide. Le SCRS n’a pas fourni d’explication valable pour expliquer la non-conformité à la loi. En l’occurrence, le Service a simplement indiqué que l’information faisait partie d’un projet en vue de l’entrée en vigueur du régime des ensembles de données et que :
[Traduction] « ces documents canadiens continuent d’exister dans le dossier enregistré [PA pour PutAway] même si les ensembles de données [**expurgé**] originaux ont tous été détruits ou isolés en attente d’une autorisation ministérielle. À cette époque, bien que contraires aux obligations actuelles (depuis juin 2019) au titre de l’article 11, ce travail et cette conservation auraient été exécutés en vertu (implicitement) des autorisations visées à l’article 12. Comme ce cas est antérieur à l’entrée en vigueur du cadre régissant les ensembles de données, nous ne savons pas précisément s’il pose un risque juridique ou un risque de conformité. [**expurgé**]
Le SCRS a indiqué que les documents avaient été conservés [traduction] « de façon appropriée, en cette période antérieure à C-59, au titre des autorisations implicites visées à l’article 1259 ». On ignore comment le SCRS établit la distinction entre l’information trouvée par l’OSSNR et celle – comme l’indique le paragraphe 55 plus haut – que la DMEX a découverte en [**expurgé**]. Au mois d’août 2023, l’information découverte par l’OSSNR en octobre 2022, laquelle contenait des données canadiennes et étrangères, était conservée par le SCRS en contravention aux obligations qui incombent au Service en vertu des dispositions de la Loi sur le SCRS pour ce qui touche les ensembles de données.
L’OSSNR a également cherché des rapports opérationnels qui, avant l’entrée en vigueur du régime des ensembles de données, avaient été reconnus comme comportant des informations s’assimilant à des ensembles de données canadiens. L’OSSNR a trouvé nombre de rapports dont l’information avait été supprimée et auxquels on avait ajouté une mise en garde. Toutefois, l’OSSNR a découvert [**expurgé**] rapport ayant trait à l’ensemble de données sur [**expurgé**], lequel contenait le [**expurgé**]. Il convient de noter que le rapport opérationnel en question n’a pas été mis à l’écart; il était plutôt accessible à tous les utilisateurs du système et a même été cité en référence dans un rapport produit récemment, soit en août 2022. En l’occurrence, il s’agit là de l’interrogation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.
L’OSSNR a demandé au SCRS de faire état des autorisations en vertu desquelles il conservait cette information. Le SCRS a d’abord répondu qu’il n’était pas en mesure de trouver le rapport, puisqu’il avait été détruit63. Peu après, le SCRS a indiqué qu’il avait trouvé ledit rapport et qu’il traitait le dossier en tant qu’incident de conformité64. En cherchant de nouveau dans le système opérationnel, l’OSSNR a découvert un autre rapport contenant [**expurgé**]. Les deux rapports découverts par l’OSSNR contenaient de l’information qui, par ailleurs, s’assimilerait à un ensemble de données canadien, [**expurgé**]. En conservant cette information canadienne, le SCRS contrevenait aux obligations légales qui lui incombaient en vertu des dispositions de la Loi sur le SCRS s’appliquant au régime des ensembles de données.
L’information non conforme trouvée par l’OSSNR (information canadienne et étrangère provenant d’ensembles de données étrangers; information canadienne figurant dans des rapports opérationnels) a été découverte après le balayage initial effectué antérieurement à C-59 par le SCRS sur les fonds d’information et signalé au Ministre, mais après la [traduction] « recherche approfondie dans tous les fonds d’information personnelle et partagée » effectuée en raison de l’incident de conformité de 2022. Le SCRS n’a pas balayé en profondeur tous ses systèmes pour relever l’information assujettie au régime des ensembles de données, de sorte que cette information soit traitée conformément aux dispositions en vigueur.
Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel.
Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Recommandation no 8 : L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme.
Conclusion no 13 : L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation.
Conclusion no 14 : L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données.
Avant l’entrée en vigueur de la LSN et, notamment, du régime des ensembles de données, le SCRS avait élaboré et mis en place une formation spécialisée pour les employés appelés à être désignés au titre du paragraphe 11.06(1) de la Loi sur le SCRS, ainsi qu’une formation obligatoire destinée à tous les employés de la sphère opérationnelle concernant le projet de loi C-59. Le SCRS avait également élaboré et offert un certain nombre de présentations aux directeurs adjoints, aux gestionnaires, au personnel des directions concernées, aux employés d’autres ministères fédéraux et au personnel juridique de la Cour fédérale. Cette série de formations et de présentations correspond à la position initiale du SCRS, dont nous avons discuté précédemment, concernant l’applicabilité du régime des ensembles de données.
Le SCRS offre actuellement deux formations obligatoires pour la désignation des employés. Ces formations mettent l’accent sur la distinction entre l’information « strictement nécessaire » au titre de l’article 12 et ce qui peut être collecté en respectant le critère minimal de la « probabilité d’aider » stipulée par le régime des ensembles de données. Les formations incitent l’employé à approfondir sa connaissance des procédures opérationnelles normalisées et des exigences liées au régime. La formation en ligne ne constitue possiblement pas la formule idéale, mais il faut savoir que les contenus de formation ainsi que la combinaison de questions axées sur les normes et sur les scénarios ont donné aux employés des instructions claires quant au régime et à ses exigences.
Comme il a été dit plus haut, le SCRS a aussi mis en place une formation obligatoire pour tout le personnel opérationnel. Le SCRS a conçu la majeure partie de la formation sur le régime des ensembles de données avant et immédiatement après l’entrée en vigueur de la LSN. Comme nous l’avons dit à la section 4 du présent rapport, on a noté un changement dans la façon dont le SCRS comprend ses obligations légales au titre du régime et dans la manière dont il perçoit et applique ces obligations. Par conséquent, la formation que le personnel opérationnel n’a été tenu de suivre qu’une seule fois en 2019 ne correspond plus et pourrait même s’avérer contraire à la façon dont le SCRS opérationnalise et applique désormais le régime.
De plus, le peu de formation qui est reçue par le personnel opérationnel ne permet pas aux responsables de la collecte d’établir quelles informations constituent un ensemble de données, bien qu’on les tienne responsables d’établir cette distinction. Conséquemment, les personnes qui travaillent à la collecte de volumes massifs d’information n’ont ni la formation ni la connaissance requises pour exercer leurs fonctions adéquatement.
Quant aux agents de renseignement, le SCRS a préparé une présentation sur le régime des ensembles de données devant faire partie du [**expurgé**] cette formation obligatoire offerte aux agents de renseignement au cours des premières années de carrière [**expurgé**] . À l’origine, lorsque le SCRS a instauré le programme de formation, les employés devaient travailler en groupes dans le cadre d’une série d’ateliers au cours desquels ils étaient appelés à reconnaître les caractéristiques des ensembles de données au sens de l’article 11.01, à savoir en quoi ceux-ci se distinguent des ensembles de données au sens de l’article 12 et à établir la correspondance entre les ensembles de données canadiens et ceux qui font partie des catégories approuvées. Cette formation a été offerte sous forme de cours dirigé par un instructeur jusqu’au mois de mars 2020, après quoi le SCRS a retiré la partie atelier à l’occasion d’une mise à jour du programme de formation, ce qui a éliminé de facto tous les sujets et les exercices axés sur des scénarios. Bien que le SCRS ait indiqué à l’OSSNR qu’il était en train de mettre le programme à jour, la formation actuellement offerte ne donne que peu d’éléments qui permettent aux responsables de la collecte d’établir la distinction entre les ensembles de données au sens de l’article 11.01 et l’information visée à l’article 12.
L’OSSNR conclut que l’approche selon laquelle le personnel concerné ne suit qu’une seule fois la formation sur les ensembles de données a fait en sorte que les employés disposent d’une connaissance et d’une compréhension lacunaires du régime des ensembles. Le SCRS devrait intensifier ses efforts ayant pour but de sensibiliser les responsables de la collecte aux exigences et aux particularités du régime des ensembles de données et encourager ces responsables à prendre contact avec la direction responsable de l’exploitation des données en cas de doute.
Recommandation no 9 : L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant.
Conclusion no 15 : L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Conclusion no 16 : L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données.
Lors d’examens réalisés antérieurement par l’OSSNR, on a constaté que les questions liées à la formation et à l’affectation des ressources se manifestaient fréquemment en même temps et avaient un lien avec l’engagement d’une organisation à l’égard d’un programme ou d’une direction en particulier. En avril et en novembre 2022, le SCRS a informé l’OSSNR que le Centre d’analyse des données opérationnelles (CADO) – qui faisait partie de la DMEX et était responsable de la mise en oeuvre technique du régime des ensembles de données, notamment de l’ingestion, de l’interrogation et de l’exploitation des ensembles de données – affichait des taux de vacance de [**expurgé**] respectivement.
En 2020, aucun employé n’a été désigné pour l’interrogation ou l’exploitation des ensembles de données malgré l’autorisation et l’approbation du premier ensemble de données étranger. L’approche que le SCRS préconise pour veiller à disposer de personnes qui ont été désignées et juridiquement aptes à interroger et exploiter l’information était principalement réactive. Dans un rapport de vérification de 2020 remis à l’OSSNR, le SCRS indiquait que le premier ensemble de données étranger avait été autorisé par le directeur et approuvé par le CR, quoique [traduction] « il n’y avait aucun employé qui ait été désigné pour les interrogations d’exploitation des ensembles de données canadiens ou étrangers au titre de l’article 11.
Conséquemment, aucune interrogation ni aucune exploitation » de l’ensemble de données n’a eu lieu. Le fait que le SCRS a envoyé sa première autorisation au CR sans avoir affecté de ressources à sa sous-section spécialisée et sans avoir permis à celle-ci de mener les interrogations et les exploitations potentiellement requises sur les ensembles de données est assez révélateur [**expurgé**] ans se sont écoulés avant que le SCRS soit en mesure de désigner un employé pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens. Hormis les interrogations menées en vertu de situations urgentes, aucune autre interrogation n’a été effectuée en 2021.
En novembre 2022, le SCRS a fait part de ses préoccupations voulant que la période d’évaluation de 90 jours stipulée dans la Loi soit trop contraignante et qu’elle ait souvent fait manquer des occasions de procéder à des collectes d’information. [**expurgé**]. Au fil de la discussion, l’OSSNR a appris [**expurgé**]. De même, en 2023, l’OSSNR a de nouveau appris que le SCRS n’avait pas été en mesure de composer en fonction des paramètres stipulés par la loi en vigueur. En l’occurrence, le SCRS pouvait compter sur un surcroît de ressources qu’il a pourtant choisi d’affecter à la collecte au titre de [**expurgé**] plutôt qu’à l’application du régime des ensembles de données.
Or, il faut savoir qu’aux difficultés liées à l’affectation des ressources s’ajoutent celles qui ont trait à l’actuel écosystème technique du SCRS. Le cycle de vie d’un ensemble de données fait intervenir une diversité d’outils et de systèmes numériques, [**expurgé**]. De plus, ces outils et systèmes ne peuvent être personnalisés et entretenus que par du personnel spécialisé dans un domaine technique. L’accumulation de ces facteurs a donné lieu à une situation où les employés de la DMEX ne disposent que d’un nombre limité d’options lorsqu’il s’agit d’exploiter les données, ce qui a une incidence sur l’utilité des trois catégories d’ensemble de données. D’après les séances d’information et les démonstrations fournies par des d’experts techniques, il apparaît évident que les systèmes actuels ne sont pas conçus pour que les volumes massifs de données soient traités conformément aux prescriptions.
Recommandation no 10 : L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers.
Recommandation no 11 : L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter.
Conclusion no 17 : L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires.
[**expurgé**]
[**expurgé**]
Le [**expurgé**], le SCRS a envoyé un mémoire au Bureau du Conseil privé et à Sécurité publique faisant état de l’information contenue dans [**expurgé**]
CSIS [**redacted**]. The brief discusses the possibility of collecting the dataset under section 11, utilizing the 90-day evaluation period to assess whether it is a publicly available or Canadian dataset, and “if retaining and using the dataset for analysis will help ensure the security of Canada.”
The following day, [**redacted**].
[**expurgé**] le directeur général de la Direction de la gestion et de l’exploitation des données ainsi que le directeur général [**expurgé**] ont corédigé un mémoire présenté à la sous-directrice des Opérations (SDO) pour demander l’autorisation de collecter [**expurgé**] au titre de l’article 12 de la Loi sur le SCRS. Le mémoire contient un résumé de [**expurgé**] Le mémoire fait état des préoccupations exprimées par [**expurgé**] concernant [**expurgé**]
Certes, le mémoire fait part du contenu de l’ensemble de données tel qu’il est décrit [**expurgé**] mais en revanche, il omet de mentionner que [**expurgé**] permis de conclure que la base de données [**expurgé**] probablement été volées.
À la réception du mémoire, la SDO a demandé [**expurgé**] ». Dans sa réponse, la SDO exprime ses réserves en expliquant que [**expurgé**] trouvé aucun indice montrant que [**expurgé**]. En outre, la SDO a indiqué qu’elle admettrait volontiers que l’information [traduction] « pourrait en effet faciliter » le déroulement de l’enquête du SCRS, mais aussi que même si aucun indice ne prouve qu’il y aurait [**expurgé**] [traduction] « il est plus probable qu’improbable » qu’il s’agit là du type d’information qui [traduction] « susciterait [**expurgé**] intérêt ». C’est [**expurgé**] que la SDO a approuvé la collecte au titre de l’article 12. C’est ensuite, [**expurgé**] que le SCRS a reçu [**expurgé**] puis ingéré [**expurgé**] canadienne [**expurgé**]. .
[**expurgé**] On ne sait trop comment cette évaluation a été réalisée. En l’occurrence, elle ne correspond pas à l’analyse que le SCRS a faite de [**expurgé**], laquelle avait servi à préparer un rapport de cas que le SCRS a communiqué à des partenaires gouvernementaux. En outre, le rapport stipule que [traduction] « la part de l’ensemble de données qui a trait à des Canadiens semble [**expurgé**] ». D’ailleurs, le mémoire indique que [traduction] [**expurgé**] ». Or, il convient de noter qu’après la communication du mémoire d’analyse de cas, le SCRS n’a réalisé aucune autre analyse de renseignement ni aucun rapport concernant l’ensemble de données.
Lorsque le SCRS a appris l’existence [**expurgé**], les discussions se sont initialement concentrées sur la collecte potentielle d’information au titre du régime des ensembles de données et sur la période d’évaluation de 90 jours en vue d’établir la portée de l’ensemble de données et de savoir s’il s’agissait d’un ensemble de données canadien, étranger ou accessible au public. Or, l’OSSNR ne sait toujours rien du pourquoi ni du comment la discussion a fini par se concentrer plutôt sur la collecte au titre de l’article 12.
Au moment de la collecte, le SCRS ne disposait que d’une information limitée qui, de surcroît, comportait des éléments contradictoires. [**expurgé**] Malheureusement, cette information n’a pas été présentée dans son intégralité à la SDO, lorsqu’il s’est agi de demander une approbation pour la collecte au titre de l’article 12.
L’article 12 de la Loi sur le SCRS stipule que « [l]e Service recueille, au moyen d’enquêtes ou autrement, dans la mesure strictement nécessaire, et analyse et conserve les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu’elles constituent des menaces envers la sécurité du Canada ». Le critère minimal à respecter est le motif raisonnable de soupçonner. Or, la Cour suprême du Canada a défini la norme des « soupçons raisonnables » comme étant « plus que de simples soupçons, mais ils ne correspondent pas à une croyance fondée sur des motifs raisonnables et probables. » Il s’agit « d’une norme solide, qui appelle la prise en compte de l’ensemble des circonstances, en fonction de faits objectivement vérifiables ».
En appliquant au présent cas la jurisprudence de la Cour suprême du Canada qui s’appuie sur la norme des soupçons raisonnables, le SCRS n’a fourni ni preuve ni renseignement pouvant montrer que l’information [**expurgé**] . Dans son outil d’analyse, [**expurgé**]. Or, l’OSSNR n’a trouvé aucune preuve étayant cette affirmation au moment de la collecte, et le SCRS n’a pas été en mesure d’exposer le raisonnement qui l’a conduit à cette conclusion. C’est donc dire qu’il n’y avait aucun signe évident pour soutenir la thèse selon laquelle l’ensemble de données était effectivement lié à une menace envers la sécurité du Canada. En effet, les explications fournies par le SCRS à l’OSSNR ainsi que les documents écrits mettent plutôt l’accent sur l’utilité potentielle de l’information [**expurgé**].
Pour sa part, le SCRS n’a réalisé aucune évaluation préliminaire de l’ensemble de données, puisqu’il n’y avait pas accès. [**expurgé**] disait [**expurgé**] probablement été « volées ». Or, aucune analyse ne s’est penchée ni sur l’incidence de la collecte sur la vie privée ni sur la question à savoir si la collecte de l’ensemble de données au titre de l’article 12 aurait pu nécessiter la délivrance d’un mandat.
Au moment de collecter l’information, le SCRS a analysé l’ensemble de données. Or, il convient de rappeler que cette intervention se résume à une exploitation de ce qui, par ailleurs, aurait constitué un ensemble de données canadien.
[**expurgé**] la Direction de la gestion et de l’exploitation des données a fait appel [**expurgé**] pour en savoir davantage quant à la conservation de l’ensemble de données par rapport aux exigences de la politique.
[**expurgé**] ». Or, cette déclaration prend le contrepied de l’évaluation que le SCRS avait lui-même faite de l’ensemble de données, laquelle indiquait que [traduction] [**expurgé**] ». Ensuite, il justifie la conservation en notant que [traduction] [**expurgé**].
Il suffit de consulter un dictionnaire pour constater que les mots « strictement nécessaire » énoncés à l’article 12 de la Loi sur le SCRS disent que l’information doit être « absolument » « indispensable ». Toutefois, dans sa justification, le SCRS n’a pas montré de quelle façon l’information contenue dans l’ensemble de données s’avérait indispensable à son enquête. On offre plutôt un argument du type « au cas où » qui signifie qu’il est important de conserver l’information dans la mesure où elle pourrait éventuellement servir à effectuer des analyses de tendance en matière de ciblage. En définitive, cette justification peut très bien répondre à un critère de type « pourrait probablement aider », mais ne répond absolument pas au critère de la mesure strictement nécessaire.
Le SCRS a avisé l’OSSNR que [**expurgé**] aucune décision n’avait été prise concernant la conservation de l’ensemble de données. L’OSSNR a également appris que s’il advenait qu’un autre ensemble de données pertinent ou de l’information connexe devaient se présenter, [**expurgé**]. L’ensemble de données est actuellement enregistré dans un lecteur réseau partagé dont l’accès est contrôlé. Toutefois, aucune mesure n’a été mise en place pour empêcher qu’il soit copié ou déplacé vers un autre emplacement.
Recommandation no 12 : L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données.
Dans la version classifiée de son Rapport annuel destiné au Ministre, le SCRS a indiqué ce qui suit : « Les obstacles relatifs tant aux demandes habituelles qu’aux demandes présentées en situation d’urgence mènent à une conclusion claire : le régime sous sa forme actuelle ne permet pas de gérer, dans toute sa diversité, la quantité de données nécessaires à l’établissement d’un programme d’analyse rigoureux et durable dans le respect des mesures de contrôle et de surveillance prévues par le législateur. »
Ayant pris une part considérable dans l’élaboration du régime, le SCRS était bien placé pour élaborer les politiques et les procédures appelées à régir la collecte, l’évaluation, l’interrogation, l’exploitation et la vérification des ensembles de données. Or, l’OSSNR s’attendait à trouver une application du régime des ensembles de données qui soit mieux établie et plus conforme.
Tel qu’il a été indiqué dans le présent rapport, le SCRS n’a pas été en mesure d’opérationnaliser adéquatement le régime des ensembles de données. Certes, le régime est complexe, mais le SCRS n’a pas cherché à apporter des éclaircissements quant aux ambiguïtés juridiques [**expurgé**] de l’application du régime à la Cour lorsqu’il en a eu l’occasion. En l’occurrence, le SCRS a adopté divers points de vue quant à l’application du régime des ensembles de données, risquant ainsi de réduire à un simple mécanisme de conservation ce qui en réalité constitue un régime de collecte et de conservation. En interne, le SCRS n’a pas consacré suffisamment de ressources pour garantir la conformité aux dispositions du régime. Ce constat est en outre des incidents de conformité signalés dans le présent rapport et prend en compte les lacunes sur le plan des systèmes et le manque d’experts consacrés au traitement et à l’exploitation des volumes massifs de données. Le SCRS n’a pas non plus été en mesure d’affecter des ressources adéquates aux formations destinées à ses employés pour les sensibiliser aux exigences découlant du régime. Sans une formation appropriée et en l’absence d’un engagement interne à fournir les ressources et le soutien nécessaires, l’instauration d’un nouveau régime, y compris celui qui nous concerne ici, sera vouée à l’échec même si d’aucuns l’estiment parfaitement adapté aux circonstances.
Recommandation no 13 : L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale.
La présente annexe décrit les processus techniques et les systèmes investis dans l’identification, la collecte, l’évaluation, la conservation, l’interrogation, l’exploitation, l’ingestion et la destruction des ensembles de données au titre de l’article 11.01. De fait, le SCRS a recours à des processus et à des systèmes semblables pour tous les ensembles de données canadiens et étrangers. La description des processus techniques et systèmes que nous présentons ci-après et qui a trait au cycle de vie des ensembles de données au titre de l’article 11.01 s’inspire des séances d’information offertes par le SCRS le 12 mai 2022 et le 3 octobre 2022116, d’une démonstration technique présentée le 1er novembre 2022 ainsi que de l’ensemble des politiques régissant la collecte, l’évaluation et la conservation des ensembles de données au titre de l’article 11.01. En outre, la présente annexe a pour objet de présenter les processus et les systèmes qui ont été employés jusqu’à la fin de la période visée par le présent examen.
Comme la notion d’ensemble de données est définie à l’article 2 de la Loi sur le SCRS comme étant un « ensemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun », on ne peut que conclure que la portée et l’étendue de ce qui constitue un « ensemble de données » sont considérables. Certains des défis techniques que le SCRS a rencontrés relativement aux ensembles de données tiennent à la diversité des types de données [**expurgé**] et des volumes de fichiers [**expurgé**] qui composent un « ensemble de données ».
Le SCRS reconnaît que [traduction] « même s’ils sont complets, ces systèmes complexes posent certains risques résiduels. En outre, ils sont exploités manuellement, ils sont exigeants en termes de ressources et ils peuvent produire des erreurs. Par conséquent, ils reflètent la complexité du régime des ensembles de données et offrent peu sur le plan de la résilience et de l’adaptabilité ».
Les ensembles de données au titre de l’article 11.01 peuvent être reconnus et recueillis de diverses façons. Par exemple, les employés du Service peuvent recevoir des ensembles de données de la part de partenaires nationaux et internationaux ou d’informateurs dans des courriels, dans des clés USB, dans des disques durs externes ou dans d’autres supports de stockage de données. Les employés du SCRS peuvent [**expurgé**] tomber sur un ensemble de données pendant qu’ils font des recherches dans l’Internet [**expurgé**]. Ces divers processus impliquent une multiplicité de processus techniques et de systèmes dépendamment des moyens ayant permis la reconnaissance et la collecte des ensembles de données, de l’emplacement de ces ensembles, et des personnes dont les renseignements figurent dans les ensembles en question.
La DMEX a centralisé le processus d’évaluation des ensembles de données au titre de l’article 11.01. En outre, l’un des employés désignés de la DMEX doit évaluer l’ensemble de données dans les 90 jours de la collecte initiale. Pendant ces 90 jours, un employé désigné doit établir si l’ensemble de données répond aux critères de conservation s’appliquant aux ensembles de données canadiens ou aux ensembles de données étrangers. Les processus techniques et les systèmes impliqués dans la phase d’évaluation peuvent varier en fonction du format, de la taille et de l’emplacement de l’ensemble de données.[**expurgé**] Chaque ensemble de données doit être évalué au moyen de techniques et d’outils adaptés à ces caractéristiques. Lorsque le SCRS collecte plusieurs versions d’un même ensemble de données, la DMEX doit veiller à ce que toutes les autres copies de l’ensemble de données aient été supprimées des systèmes du Service.
Lorsque le résultat d’évaluation incite la DMEX à tenter de conserver un ensemble de données canadien ou étranger, le SCRS doit soumettre une demande d’approbation et une demande d’autorisation123. Les systèmes et les programmes employés pour préparer le matériel qu’il faut soumettre aux fins d’approbation et d’autorisation donnent souvent lieu à la création d’une documentation substantielle (p. ex. mémoires, notes d’information et affidavits préparés à l’aide des logiciels Word ou Excel de Microsoft) qui sert à décrire les ensembles de données. Dans certains cas, les copies ou les sous-ensembles d’information issus des ensembles de données sont inclus dans le matériel soumis pour approbation et pour autorisation.
Pour gérer et suivre le processus d’évaluation d’un ensemble de données, [**expurgé**], un système d’enregistrement et de suivi des demandes (tickets). Pour chacun des ensembles de données évalués, la DMEX [**expurgé**].
Une fois que la conservation d’un ensemble de données canadien ou étranger a été approuvée, cet ensemble est ingéré dans le [**expurgé**], le dont le SCRS [**expurgé**]. au SCRS de stocker et combiner ses informations opérationnelles et ses ensembles de données, d’appliquer des contrôles de l’accès à ces informations et d’exécuter toutes les tâches de journalisation de sécurité requises.
L’accès à l’information ingérée [**expurgé**] est contrôlé au moyen d’attributs qui établissent des liens entre ladite information et [**expurgé**] du SCRS. [**expurgé**] pour les employés désignés qui évaluent un ensemble de données et [**expurgé**] pour les employés désignés appelés à interroger et à exploiter les ensembles de données conservés. Nul autre employé ne peut accéder aux ensembles de données.
Lorsque des employés accèdent aux ensembles de données, le SCRS emploie [**expurgé**] pour collecter et indexer de l’information sur les tâches qu’ils exécutent. Le SCRS [**expurgé**].
[**figure expurgée**]
Figure 1: Logique des [**expurgé**] pour l’interrogation et l’exploitation des ensembles de données étrangers et canadiens
Seuls les employés désignés peuvent interroger et exploiter les ensembles de données canadiens ou étrangers, et la DMEX a centralisé ces processus. Lorsqu’il souhaite interroger un ensemble de données au titre de l’article 11.01 en guise d’appui à une enquête, l’employé du Service doit soumettre à la DMEX [**expurgé**]. Parallèlement à cette demande, [**expurgé**]. L’information fournie dans chacun des [**expurgé**] sert notamment à choisir la justification qui s’impose lorsqu’un analyste désigné de la DMEX applique les mesures d’interrogation ou d’exploitation par l’intermédiaire [**expurgé**].
Lorsque l’analyste de la DMEX trouve des résultats à la suite des interrogations ou des exploitations, il enregistre [**expurgé**]. Il doit ensuite prendre contact, [**expurgé**]. Cette série de procédures manuelles crée plusieurs copies de données brutes provenant des ensembles de données, lesquelles copies peuvent être conservées accidentellement sur le poste de travail d’un employé du Service ou dans l’un de ses courriels envoyés ou reçus.
Les données sont cloisonnées (art. 12, art. 15, art. 16, art. 17) selon [**expurgé**] de l’enquête et conservées conformément aux règles correspondantes du [**expurgé**].
[**expurgé**], le registre organisationnel du SCRS. Cette démarche mène de nouveau à la duplication, dans l’écosystème du SCRS, de données brutes provenant d’ensembles de données au titre de l’article 11.01.
Lorsqu’ils sont initialement ingérés dans [**expurgé**] les ensembles de données sont assujettis à une période de conservation établie selon que ces ensembles de données sont canadiens ou étrangers. Une fois que la période de conservation est échue, [**expurgé**].
| Date | Sujet |
|---|---|
| Séance d’information | |
| 17 février 2021 | Ensembles de données accessibles au public. |
| 9 septembre 2021 | Ensembles de données étrangers. |
| 22 avril 2022 | Régime des ensembles de données du SCRS. |
| 12 mai 2022 | [**expurgé**] l’évaluation, l’interrogation, l’exploitation et la conservation des ensembles de données canadiens et étrangers ainsi qu’à la production de rapports connexes. |
| 3 octobre 2022 | [**expurgé**] |
| 1er novembre 2022 | Démonstration technique sur les systèmes liés aux ensembles de données. |
| [**expurgé**] | Séance d’information sur une étude de cas. |
| 6 juin 2023 | [**expurgé**] |
| Entrevue | |
| 18 août 2022 | Ensemble de données canadien. |
| 6 septembre 2022 | Ensemble de données canadien. |
| 14 octobre 2022 | Ensemble de données canadien. |
| 21 octobre 2022 | Ensemble de données canadien. |
| Conclusion no1 : L’OSSNR conclut que la façon dont le SCRS applique le régime des ensembles de données n’est pas conforme aux termes énoncés dans le cadre législatif. | Recommandation no 1 : L’OSSNR recommande que dans la prochaine demande d’autorisation judiciaire visant un ensemble de données canadien, le SCRS indique à la Cour comment il compte concrètement appliquer le régime des ensembles de données et comment l’information concernée sera utilisée en attente de la décision de la conserver au titre du régime des ensembles de données. |
| Conclusion no2 : L’OSSNR conclut que l’approche suivie par le SCRS quant aux informations collectées à partir des ensembles de données au titre de l’article 12 pose le risque de créer un mécanisme de collecte parallèle qui pourrait affaiblir le seuil minimal prescrit à l’article 12 tout en se privant d’un régime de surveillance externe apte à protéger les renseignements personnels dans le contexte du régime des ensembles de données. | |
| Conclusion no3 : L’OSSNR conclut que le SCRS n’a pas avisé pleinement la Cour quant à son interprétation et à son application du régime des ensembles de données. Le SCRS aurait dû demander à la Cour de fournir des éclaircissements concernant ce qu’elle considère précisément comme des conduites permissibles avant d’invoquer le régime des ensembles de données. | |
| Conclusion no4 : L’OSSNR conclut que lorsqu’il a procédé à des interrogations en situation d’urgence, le SCRS a conservé de l’information ne correspondant pas au critère minimal de la mesure « strictement nécessaire » énoncé à l’article 12. | Recommandation no 2 : L’OSSNR recommande que le SCRS détruise immédiatement tout document contenant les noms conservés pour motif de situation urgente, dans la mesure où ces documents ne répondent pas au critère minimum de la mesure strictement nécessaire. |
| Conclusion no 5 : L’OSSNR conclut que le défaut de délais explicitement cités dans les dispositions de l’article 11.17 qui régissent les ensembles de données étrangers fait en sorte que des ensembles de données sont conservés pendant plusieurs années dans l’attente d’une prise de décision par le Ministre ou la personne désignée (le directeur du SCRS). | Recommandation no 3 : L’OSSNR recommande que le législateur légifère sur un délai prescrit pour l’autorisation d’un ensemble de données étranger par le Ministre ou la personne désignée. |
| Conclusion no 6 : L’OSSNR conclut que le SCRS court le risque de collecter de l’information qui est accessible au public, mais à l’égard de laquelle il pourrait y avoir une attente raisonnable en matière de protection de la vie privée. | Recommandation no 4 : L’OSSNR recommande que le SCRS analyse de près et documente toute attente raisonnable en matière de protection de la vie privée, lorsqu’il s’agit d’évaluer les ensembles de données accessibles au public. |
| Conclusion no 7 : L’OSSNR conclut que les politiques du SCRS qui régissent la collecte et la conservation des ensembles de données canadiens et étrangers ne correspondent pas à la façon dont le SCRS interprète actuellement l’application du régime des ensembles de données. | Recommandation no 5 : L’OSSNR
recommande que le SCRS élabore :
|
| Conclusion no 8 : L’OSSNR conclut que le SCRS ne dispose d’aucune politique qui régisse le traitement de l’information éphémère. De plus, la [**expurgé**] qui est actuellement en place ne fournit pas suffisamment d’instructions aux employés, ce qui pourrait faire en sorte que le SCRS conserve de l’information qui, par ailleurs, serait assujettie au régime des ensembles de données. | |
| Conclusion no 9 : L’OSSNR conclut que les pratiques du SCRS en matière de gestion de l’information ont été responsables d’un certain nombre d’incidents de conformité et qu’elles donnent actuellement lieu à la création de copies d’ensembles de données dans les systèmes du Service. | Recommandation no 6 : L’OSSNR recommande que le SCRS cesse de créer des copies de l’information déclarée dans le système opérationnel. |
| Conclusion no 10 : L’OSSNR conclut qu’au mois d’août 2023, le SCRS n’avait pas respecté les dispositions de la Loi sur le SCRS concernant les ensembles de données dans la mesure où il avait conservé des informations canadiennes tirées d’ensembles de données étrangers et des informations étrangères assimilables un ensemble de données. | Recommandation no 7 : L’OSSNR recommande que le SCRS détruise immédiatement l’information de tout ensemble de données canadien ou étranger qu’il n’est pas strictement nécessaire de conserver. Cette information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. |
| Finding 11: L’OSSNR conclut que le SCRS ne s’était pas conformé aux dispositions de la Loi sur le SCRS s’appliquant aux ensembles de données, dans la mesure où il a conservé des informations canadiennes et y a fait référence jusqu’à tout récemment, en 2022. Cette information aurait dû être détruite dès l’entrée en vigueur de la LSN (2017), en juillet 2019. | |
| Finding 12: L’OSSNR conclut que le SCRS n’a pas procédé à un balayage complet de ses systèmes qui aurait permis de relever l’information assujettie au régime des ensembles de données et de la traiter conformément aux prescriptions en vigueur. | Recommendation 8: L’OSSNR recommande que le SCRS procède à un balayage complet de ses registres opérationnels et organisationnels dans le but de relever et de détruire toute information non conforme. |
| Finding 13: L’OSSNR conclut que la formation obligatoire qui permet aux employés désignés de devenir aptes à évaluer, à interroger et à exploiter les ensembles de données au titre de l’art. 11.01 contient de l’information claire sur les exigences en matière de collecte et de conservation. | Recommendation 9: L’OSSNR recommande que le SCRS prépare et offre des ateliers axés sur des scénarios, qui serviront à former le personnel quant à la façon dont le SCRS applique actuellement le régime des ensembles de données. Ces ateliers permettraient de faire appel aux experts, le cas échéant. |
| Finding 14: L’OSSNR conclut que le personnel opérationnel du SCRS, y compris le personnel travaillant principalement à la collecte de volumes massifs d’information, n’a pas reçu de formation qui soit adéquate et qui leur permette de reconnaître les circonstances où l’information collectée pourrait être assujettie au régime des ensembles de données. | |
| Finding 15: L’OSSNR conclut que le SCRS n’a pas priorisé l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. | Recommendation 10: L’OSSNR recommande que le SCRS priorise l’affectation de ressources à l’unité technique responsable de l’évaluation, de l’interrogation et de l’exploitation des ensembles de données canadiens et étrangers. |
| Finding 16: L’OSSNR conclut que le SCRS n’a pas affecté suffisamment de ressources à l’amélioration de ses systèmes techniques ou à la conception de nouveaux systèmes qui soient équipés pour prendre en charge l’utilisation de volumes massifs de données. | Recommendation 11: L’OSSNR recommande que le SCRS priorise l’amélioration des systèmes techniques en place ou l’élaboration de nouveaux systèmes qui rendent possible l’utilisation des données de masses qu’il est permis d’exploiter. |
| Finding 17: L’OSSNR conclut que le SCRS a collecté de l’information ayant trait à des activités qui, faute de motifs raisonnables, ne pouvaient pas être soupçonnées de constituer une menace pour la sécurité du Canada. De plus, la collecte, l’analyse et la conservation de cette information n’étaient pas strictement nécessaires. | Recommendation 12: L’OSSNR recommande que le SCRS détruise immédiatement l’ensemble de données – celui qui est cité dans l’étude de cas – qu’il a collecté au titre de l’article 12, dans la mesure où cet ensemble ne répond pas aux critères minimaux prescrits par la loi. En effet, l’information ne cadre plus dans la période d’évaluation juridiquement établie à 90 jours. Il n’est donc plus possible de la conserver au titre du régime des ensembles de données. |
| Recommendation 13: L’OSSNR recommande que le SCRS soumette une copie intégrale non expurgée du présent rapport à la Cour fédérale. | |
Dernière mise à jour :
Statut :
Publié
Numéro de l'examen :
21-15
Date de publication :
le Secrétariat du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR)
le Secrétariat de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) (« les participants »).
À la lumière de l’article 9 de la Loi sur le CPSNR et de l’article 13 de la Loi sur l’OSSNR, les participants ont l’intention de coopérer comme suit :
1.1 Les objectifs du présent protocole d’entente (PE) sont les suivants :
1.2 Le contenu de ce PE n’empêche pas l’élaboration d’autres initiatives de collaboration visant à atteindre des objectifs autres que ceux décrits au paragraphe 1.1.
2.1 Chaque participant est représenté par le directeur général du Secrétariat, qui signera le présent PE et toute modification ultérieure.
2.2 Pour les fins de ce PE, les représentants désignés des participants sont les suivants :
3.1 Les participants se réuniront au moins une fois par année pour discuter du cycle de planification des examens de leur organisme d’examen respectif et d’autres sujets pertinents.
3.2 Les représentants désignés, ou leurs délégués, se consulteront également :
3.3 Les comptes rendus des décisions entre les participants seront consignés de la manière déterminée par les participants au moment de la consultation ou de la réunion.
4.1 Les participants conviennent de maintenir des canaux de communication ouverts afin d’identifier le plus tôt possible les enjeux pour lesquels il serait utile de coopérer ou d’échanger de l’information afin d’éviter le chevauchement inutile du travail dans l’exécution de leurs mandats respectifs.
4.2 Les participants échangeront de l’information, si nécessaire, afin de pouvoir atteindre les objectifs prévus par leurs lois habilitantes respectives.
4.3 Les organismes d’examen doivent coopérer pour éviter le chevauchement inutile du travail dans le cadre de l’exercice de leurs mandats respectifs, c’est-à-dire :
Procédure de communication d’information à l’autre participant en vertu du présent protocole d’entente.
4.4 Un participant peut, de sa propre initiative ou sur demande, fournir de l’information à l’autre participant.
4.5 Les demandes d’information doivent être adressées par un représentant désigné du participant au représentant désigné de l’autre participant. La demande doit contenir les éléments suivants :
4.6 Les participants conservent des dossiers internes sur l’information communiquée.
4.7 Les deux participants informent les ministères et organismes concernés et les consultent avant de demander ou de communiquer de leur propre initiative toute information obtenue de ces ministères ou organismes. Les ministères et organismes concernés auront ainsi la possibilité d’examiner les rapports pour s’assurer qu’ils sont conformes à l’article 14 de la Loi sur le CPSNR ou d’invoquer le paragraphe 16(1) de la Loi sur le CPSNR.
5.1 Les participants conviennent de maintenir des mécanismes de protection appropriés pour protéger l’information et les documents obtenus ou créés dans le cadre de ce PE et d’agir conformément à ce que prévoient les lois, les politiques et les lignes directrices fédérales applicables concernant la collecte, la conservation, l’utilisation, la communication et la destruction de cette information et de ces documents.
5.2 Pour plus de certitude, les participants acceptent ce qui suit :
6.1 Dans les cas où un participant reçoit d’une tierce partie une demande d’accès à de l’information ou à des documents ou une demande de communication d’information ou de documents reçus de l’autre participant, il informe l’autre participant dès que possible pour permettre au CPSNR d’invoquer l’article 16.6 de la Loi sur l’accès à l’information, le cas échéant.
7.1 Le présent PE entre en vigueur à la date de la dernière signature.
7.2 Le présent PE peut être modifié en tout temps avec le consentement écrit des participants.
7.3 Le présent PE n’a pas pour objet d’être juridiquement contraignant ni d’avoir force exécutoire devant les tribunaux.
7.4 Chacun des participants peut résilier le présent PE en donnant un préavis écrit d’au moins 30 jours à l’autre participant
7.5 Agissant dans un esprit de coopération, les participants conviennent du fait que, si un différend survient dans le cadre du présent PE, il sera résolu par la tenue de discussions informelles au niveau approprié
Les soussignés ont signé le présent PE en français et en anglais, et les deux versions font également foi.
Date de publication :
Le présent rapport trimestriel a été préparé par la direction conformément à l’article 65.1 de la Loi sur la gestion des finances publiques et selon les modalités prescrites par la Directive sur les normes comptables : GC 4400 Rapport financier trimestriel des ministères. Le présent rapport financier trimestriel devrait être lu parallèlement au Budget principal des dépenses 2023 2024.
Ce rapport financier trimestriel n'a pas fait l'objet d'une vérification externe ou d'un examen.
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) est un organisme de surveillance externe indépendant qui relève du Parlement. Créé en juillet 2019, il est chargé d’examiner les activités en matière de sécurité nationale et de renseignement du gouvernement du Canada afin de s’assurer qu’elles sont conformes à la loi, raisonnables et nécessaires. L’OSSNR entend également les plaintes du public concernant les principaux organismes et les activités en matière de sécurité nationale.
Une description sommaire des activités du Secrétariat de l’OSSNR se trouve dans la partie II du Budget principal des dépenses. Pour en savoir plus sur le mandat de l’OSSNR consultez son site web.
Le présent rapport a été préparé par la direction en utilisant une comptabilité axée sur les dépenses. L’état des autorisations joint au rapport présente les autorisations de dépenser accordées à l’OSSNR par le Parlement ainsi que les autorisations que l’OSSNR a utilisées, conformément au Budget principal des dépenses pour l’exercice 2023–2024. Le rapport financier trimestriel a été préparé à l’aide d’un référentiel d’information financière à usage particulier (comptabilité de caisse) conçu pour répondre aux besoins d’information financière liés à l’utilisation des autorisations de dépenser.
Le gouvernement ne peut dépenser sans l’autorisation préalable du Parlement. Les autorisations sont accordées par l’entremise de lois de crédits, sous forme de limites annuelles, ou par l’entremise de lois, sous forme d’autorisations législatives de dépenser à des fins déterminées.
La présente section expose les éléments importants qui ont contribué à l’augmentation nette ou à la diminution nette des autorisations disponibles au cours de l’exercice et des dépenses réelles durant le trimestre qui s’est terminé le 30 septembre 2023.
Le secrétariat de l’OSSNR avait dépensé environ 33 % de ses autorisations à la fin du deuxième trimestre, comparativement à 23 % durant le même trimestre en 2022–2023 (voir le graphique 1).
| 2023-24 | 2022-23 | |
|---|---|---|
| Autorisations budgétaires totales | $24.3 | $29.7 |
| Dépenses budgétaires encourues au T2 | $3.8 | $3.6 |
| Dépenses cumulatives | $8.1 | $6.9 |
Au 30 septembre 2023, le secrétariat de l’OSSNR disposait d’autorisations de 24,3 millions de dollars à utiliser en 2023–2024, contre 29,7 millions de dollars au 30 septembre 2022, ce qui revient à une diminution nette de 5,4 millions de dollars ou 18,2 % (voir le graphique 2).
| Année fiscale 2022-23 totaux disponibles pour l'exercice se terminant le 31 mars 2023 | Année fiscale 2023-24 totaux disponibles pour l'exercice se terminant le 31 mars 2024 | |
|---|---|---|
| Crédit 1 - Fonctionnement | 28.0 | 22.6 |
| Postes législatives | 1.7 | 1.7 |
| Autorisations totales | 29.7 | 24.3 |
Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués
La diminution des autorisations de 5,4 millions de dollars s’explique principalement par une réduction graduelle du financement de fonctionnement continu du secrétariat de l’OSSNR en raison d'un projet de construction en cours qui touche à sa fin.
The second quarter expenditures totalled $3.8 million for an increase of $0.2 million when compared with $3.6 million spent during the same period in 2022–2023. Table 1 presents budgetary expenditures by standard object.
| Changements importants dans les dépenses par article courant (en milliers de dollars) | Exercice 2023-2024: crédits utilisés pour le trimestre ayant pris fin le 30 septembre 2023 | Exercice 2022-2023: crédits utilisés pour le trimestre ayant pris fin le 30 septembre 2022 | Variation en $ | Variation en % |
|---|---|---|---|---|
| Personnel | 3,014 | 2,903 | 111 | 4% |
| Transports et communications | 62 | 70 | (8) | (11%) |
| Information | 4 | 0 | 4 | 100% |
| Services professionnels et spéciaux | 504 | 578 | (74) | (13%) |
| Location | 25 | 39 | (14) | (36%) |
| Services de réparation et d’entretien | 3 | 33 | (30) | (91%) |
| Services publics, fournitures et approvisionnements | 50 | 12 | 38 | 317% |
| Acquisition de matériel et d’outillage | 4 | 4 | 0 | 0% |
| Autres subventions et paiements | 118 | 3 | 115 | 3833% |
| Dépenses budgétaires brutes totals | 3,784 | 3,642 | 142 | 4% |
La diminution de 30 000 $ est liée au moment de la facturation d'un projet d'investissement en cours.
L’augmentation de 38 000 $ est liée à un compte d'attente temporairement non réconcilié.
L’augmentation de 115 000 $ s’explique par une augmentation des trop-payés du système de paie, qui ont été résolus par la suite.
Les dépenses depuis le début de l’exercice totalisent 8,1 millions de dollars, soit une augmentation de 1,1 millions de dollars (17 %) par rapport aux 6,9 millions de dollars de dépenses engagées au cours de la même période en 2022–2023. Le tableau 2 présente les dépenses budgétaires par article courant.
| Changements importants dans les dépenses par article courant (en milliers de dollars) | Exercice 2023-2024 : Cumul des crédits utilisés à la fin du trimestre ayant pris fin le 30 septembre 2023 | Exercice 2022-2023 : Cumul des crédits utilisés à la fin du trimestre ayant pris fin le 30 septembre 2022 | Variation en $ | Variation en % |
|---|---|---|---|---|
| Personnel | 5,900 | 5,248 | 652 | 12% |
| Transports et communications | 192 | 114 | 78 | 68% |
| Information | 4 | 5 | (1) | (20%) |
| Services professionnels et spéciaux | 1,669 | 1,424 | 245 | 17% |
| Location | 73 | 49 | 24 | 49% |
| Services de réparation et d’entretien | 27 | 64 | (37) | (58%) |
| Services publics, fournitures et approvisionnements | 57 | 28 | 29 | 104% |
| Acquisition de matériel et d’outillage | 52 | 13 | 39 | 300% |
| Autres subventions et paiements | 122 | 1 | 121 | 12100% |
| Dépenses budgétaires brutes totals | 8,096 | 6,946 | 1,150 | 17% |
L'augmentation de 652 000 $ est liée à une augmentation du salaire moyen et à une augmentation de Équivalents temps plein (ETP).
L'augmentation de 78 000 $ est due au moment de la facturation des connexions Internet de l'organisation.
L’augmentation de 245 000 $ s'explique par une augmentation des coûts d'assistance informatique et des services de protection associés à un projet de construction d'immobilisations.
La diminution de 37 000 $ est liée au moment de la facturation d'un projet d'investissement en cours.
L’augmentation de 29 000 $ est liée à un compte d'attente temporairement non réconcilié.
L'augmentation de 39 000 $ s'explique principalement par l'achat exceptionnel d'un ordinateur portable spécialisé.
L’augmentation de 121 000 $ s’explique par une augmentation des trop-payés du système de paie, qui ont été résolus par la suite.
Le Secrétariat a aidé l’OSSNR dans son travail auprès des ministères et organismes faisant l’objet d’examens afin de lui garantir un accès rapide et sans entrave à tous les renseignements nécessaires à la réalisation des examens. Bien qu’il reste du travail à faire sur ce front, nous reconnaissons les améliorations en matière de collaboration et de soutien au processus d’examen indépendant dont ont fait preuve certains ministères et organismes visés par des examens.
Il existe un risque que les fonds reçus pour compenser les augmentations de salaire prévues au cours de l’année à venir soient insuffisants pour couvrir les coûts de ces augmentations, et le coût d’année en année des services fournis par d’autres ministères et organismes gouvernementaux augmente de manière importante.
L’OSSNR surveille de près les mouvements de paye pour recenser et régler en temps utile les paiements insuffisants et les paiements excédentaires. Il continue d’appliquer en permanence les mesures d’atténuation.
Des mesures d’atténuation des risques décrits ci-dessus ont été définies, et elles sont prises en compte dans l’approche et l’échéancier de l’OSSNR en ce qui concerne la réalisation de ses activités prévues dans son mandat.
Deux nouvelles nominations par le gouverneur en conseil ont eu lieu au cours du deuxième trimestre : Mme Colleen Swords et M. Jim Chu.
Il n’y a eu aucun changement au programme du secrétariat de l’OSSNR.
John Davies
Administrateur général
Marc-André Cloutier
Directeur principal, Services généraux, Dirigeant principal des finances
(en milliers de dollars)
| Exercice 2023–2024 | Exercice 2022–2023 | |||||
|---|---|---|---|---|---|---|
| Crédits totaux disponibles pour l'exercice se terminant le 31 mars 2022 (note 1) | Crédits utilisés pour le trimestre ayant pris fin le 30 septembre 2023 | Cumul des crédits utilisés à la fin du trimestre | Crédits totaux disponibles pour l'exercice se terminant le 31 mars 2023 (note 1) | Crédits utilisés pour le trimestre ayant pris fin le 30 septembre 2022 | Cumul des crédits utilisés à la fin du trimestre | |
| Crédit 1 - Dépenses nettes de fonctionnement | 22,564 | 3,345 | 7,218 | 27,931 | 3,210 | 6,082 |
| Autorisations législatives budgétaires | ||||||
| Contributions aux régimes d'avantages sociaux des employés | 1,755 | 439 | 878 | 1,728 | 432 | 864 |
| Autorisations budgétaires totals (note 2) | 24,319 | 3,784 | 8,096 | 29,659 | 3,642 | 6,946 |
Note 1 : N’inclut que les autorisations disponibles pour l'exercice et accordées par le Parlement à la fin du trimestre.
Note 2 : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués.
(en milliers de dollars)
| Exercice 2023–2024 | Exercice 2022–2023 | |||||
|---|---|---|---|---|---|---|
| Dépenses prévues pour l’exercice se terminant le 31 mars 2023 (note 1) | Dépensées durant le trimestre ayant pris fin le 30 septembre 2023 | Cumul des crédits utilisés à la fin du trimestre | Dépenses prévues pour l’exercice se terminant le 31 mars 2023 (note 1) | Dépensées durant le trimestre ayant pris fin le 30 septembre 2022 | Cumul des crédits utilisés à la fin du trimestre | |
| Dépenses | ||||||
| Personnel | 13,303 | 3,014 | 5,900 | 13,245 | 2,903 | 5,248 |
| Transports et communications | 650 | 62 | 192 | 597 | 70 | 114 |
| Information | 371 | 4 | 4 | 372 | 0 | 5 |
| Services professionnels et spéciaux | 4,906 | 504 | 1,669 | 4,914 | 578 | 1,424 |
| Location | 271 | 25 | 73 | 271 | 39 | 49 |
| Services de réparation et d’entretien | 4,580 | 24 | 27 | 9,722 | 33 | 64 |
| Services publics, fournitures et approvisionnements | 73 | 50 | 57 | 173 | 12 | 28 |
| Acquisition de matériel et d’outillage | 132 | 4 | 52 | 232 | 4 | 13 |
| Autres subventions et paiements | 33 | 118 | 122 | 133 | 3 | 1 |
| Dépenses budgétaires brutes totals (note 2) |
24,319 | 3,784 | 8,096 | 29,659 | 3,642 | 6,946 |
Note 1 : N’inclut que les autorisations disponibles pour l'exercice et accordées par le Parlement à la fin du trimestre.
Note 2 : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués.
Date de publication :
| ASFC | Agence des services frontaliers du Canada |
| CFIA | Agence canadienne d’inspection des aliments |
| CNSC | Commission canadienne de sûreté nucléaire |
| ARC | Agence du revenu du Canada |
| CST | Centre de la sécurité des télécommunications |
| SCRS | Service canadien du renseignement de sécurité |
| MDN et FAC | Ministère de la défense nationale/Forces armées canadiennes |
| CANAFE | Centre d’analyse des opérations et déclarations financières du Canada |
| AMC | Affaires mondiales Canada |
| GC | Gouvernement du Canada |
| IRCC | Immigration, Réfugiés et Citoyenneté Canada |
| OSSNR | Office de surveillance des activités en matière de sécurité nationale et de renseignement |
| PHAC | Agence de la santé publique du Canada |
| SP | Sécurité publique Canada |
| GRC | Gendarmerie royale du Canada |
| SAID | Loi sur la communication d’information ayant trait à la sécurité du Canada |
| TBID | Transports Canada |
| Critère de contribution | Le premier élément du seuil en deux parties à respecter avant qu’une institution puisse communiquer une information en vertu de la LCISC : celle-ci doit être convaincue que la communication aidera à l’exercice de la compétence ou des attributions de l’institution fédérale destinataire à l’égard d’activités portant atteinte à la sécurité du Canada [alinéa 5(1)a)]. |
| Critère de proportionnalité | Le second élément du seuil en deux parties à respecter avant qu’une institution puisse communiquer une information en vertu de la LCISC : celle ci doit être convaincue que l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances [alinéa 5(1)b)]. |
Cet examen fait un survol de la manière dont la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) a été appliquée en 2022. Ce faisant, il répertorie le volume et la nature des communications effectuées au titre de la LCISC, évalue la mesure dans laquelle la Loi a été respectée et fait ressortir les tendances relatives à son application au sein des institutions fédérales et au fil du temps.
En 2022, au total, quatre institutions ont communiqué de l’information à 173 reprises à cinq institutions destinataires. Selon les observations de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), dans la majorité des cas, les institutions se sont conformées aux exigences de la LCISC en matière de communication et de conservation de documents. Les cas de non conformité concernaient le paragraphe 9(3) relatif au délai de transmission des copies des documents à l’OSSNR, le paragraphe 5.1(1) relatif au délai de destruction ou de remise des renseignements personnels ainsi que le paragraphe 5(2) relatif à la déclaration d’exactitude de l’information et de fiabilité quant à la façon dont celle ci a été obtenue. Les cas de non conformité constatés n’ont pas mis en évidence de lacunes systémiques dans la mise en œuvre de la LCISC par les institutions fédérales.
L’OSSNR a également relevé des pratiques qui, bien que conformes à la LCISC, peuvent être améliorées. Ces conclusions concernaient :
L’OSSNR a formulé six recommandations visant à accroître la normalisation au sein du gouvernement du Canada d’une manière qui soit conforme aux pratiques exemplaires des institutions et aux principes directeurs de la LCISC.
Dans l’ensemble, en comparaison avec les conclusions des rapports des années précédentes et au cours de son examen, l’OSSNR a observé des améliorations dans la rigueur des entités concernées. Parmi ces améliorations figurent les mesures correctives prises par les entités examinées en réponse aux demandes d’information de l’OSSNR dans le cadre de cet examen.
Cet examen a été effectué conformément à l’alinéa 8(1)b) et au paragraphe 39(1) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR)
Cet examen fournit un aperçu de la façon dont la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) a été appliquée en 2022. Ce faisant, l’examen :
La portée de l’examen a été définie à partir des documents fournis à l’OSSNR conformément au paragraphe 9(3) de la LCISC (voir l’annexe A pour une copie des obligations des institutions au titre de l’article 9 de la Loi). Par conséquent, l’évaluation de la conformité s’est limitée aux sept institutions fédérales désignées dans ces documents comme des fournisseurs ou des destinataires (ASFC, CST, SCRS, MDN/FAC, AMC, IRCC et la GRC) et aux situations où ces institutions se sont prévalues de la LCISC pour communiquer de l’information. L’examen a également intégré Sécurité publique Canada (SP) en sa qualité de gestionnaire du Centre de coordination stratégique sur la communication d’information, lequel fournit des orientations stratégiques et de la formation relatives à la LCISC dans l’ensemble du gouvernement du Canada (GC).
L’examen répond à l’exigence de l’article 39 de la Loi sur l’OSSNR selon laquelle l’OSSNR doit faire rapport au ministre de la Sécurité publique sur les communications d’information effectuées au titre de la LCISC au cours de l’année civile précédente.
Les documents fournis à l’OSSNR par les institutions qui fournissent ou qui reçoivent de l’information en vertu de la LCISC, paragraphe 9(3), constituent la principale source d’information utilisée pour la réalisation de l’examen. L’OSSNR a également sélectionné un échantillon ciblé de communications pour lesquelles il a demandé et évalué tous les documents connexes fournis par l’institution qui communique et l’institution qui reçoit de l’information. Ces renseignements ont été étoffés par un examen des documents relatifs aux politiques et procédures des institutions se rapportant à la LCISC, ainsi que par des explications à ce sujet.
L’OSSNR a évalué la conformité administrative avec les obligations de conservation de documents prévues par la LCISC pour toutes les communications mentionnées dans les documents fournis à l’OSSNR en vertu du paragraphe 9(3) (N=173). Lorsque ces documents étaient incomplets, l’OSSNR a donné aux institutions la possibilité de fournir les renseignements manquants. L’OSSNR a également tenu compte des documents fournis tardivement dans son évaluation de la conformité au titre des paragraphes 9(1) et 9(2).
L’OSSNR a évalué la conformité substantielle aux exigences de la LCISC en matière de communication par rapport à l’échantillon de communications (n=19). L’échantillon a été constitué de manière à refléter une utilisation générale et non représentative de la LCISC, en accordant une attention particulière aux domaines où le risque de non conformité est le plus élevé. Les communications retenues pour l’échantillon ont été sélectionnées en fonction du contenu des documents fournis à l’OSSNR en vertu du paragraphe 9(3), selon des paramètres définis (voir l’annexe B, Échantillon de communications).
Dans l’ensemble, l’OSSNR a conclu que le CST, le SCRS, le MDN/FAC, AMC, IRCC, SP et la GRC avaient répondu à ses attentes en matière de réactivité au cours de l’examen. En revanche, l’ASFC a partiellement répondu à ces mêmes attentes, car il a fallu un suivi répété pour que l’ASFC fournisse l’information demandée.
L’OSSNR a été en mesure de vérifier l’information fournie dans le cadre de cet examen d’une manière qui répondait à ses attentes.
Afin de protéger le Canada contre toute activité susceptible de compromettre sa sécurité, la LCISC confère un pouvoir explicite et autonome de communication d’information aux institutions fédérales. Son objectif officiel consiste donc à encourager et à faciliter de telles communications.
L’article 9 de la LCISC impose des obligations en matière de conservation de documents à toutes les institutions qui (1) communiquent ou (2) reçoivent de l’information en vertu de la Loi. Chaque alinéa des paragraphes 9(1) et 9(2) précise les éléments particuliers qui doivent figurer dans les documents préparés et conservés par chaque institution (voir l’annexe A). Le paragraphe 9(3) énonce que ces documents doivent être fournis à l’OSSNR dans les 30 jours suivant la fin de chaque année civile.
Subsection 5(1) of the SCIDA authorizes GC institutions to disclose information – subject to any prohibitions or restrictions in other legislation or regulations – to designated recipient institutions, if the disclosing institution is satisfied that (a) the information will contribute to the exercise of the recipient institution?s jurisdiction or responsibilities in respect of activities that undermine the security of Canada (the ?contribution test?); and (b) the information will not affect any person?s privacy interest more than is reasonably necessary in the circumstances (the ?proportionality test?).
Le paragraphe 5(2) impose aux institutions qui communiquent de l’information en vertu du paragraphe 5(1) de fournir également, au moment de la communication, des renseignements sur l’exactitude de l’information et la fiabilité quant à la façon dont celle ci a été obtenue.
Lorsqu’une institution fédérale reçoit de l’information en vertu de la Loi, le paragraphe 5.1(1) exige que cette institution détruise ou remette les renseignements personnels superflus le plus tôt possible après les avoir reçus.
Les principes directeurs de la Loi soulignent l’importance de l’efficacité et de la responsabilité dans le contexte des activités de communication. Il convient de noter que l’alinéa 4c) précise que les ententes de communication d’information sont appropriées dans des circonstances particulières.
En 2022, au total, quatre institutions ont communiqué de l’information à 173 reprises à cinq institutions destinataires (voir le tableau 1). Dans 79 % (n=136) des cas, la communication a été sollicitée par l’institution destinataire. Les 21 % (n=37) restants ont été effectuées de manière proactive par l’institution qui communique l’information.
| Designated Recipient Institutions | ||||||||||||||||||
| Ministère d’origine | ASFC | CFIA | CNSC | ARC | CST | SCRS | MDN et FAC | Finance | CANAFE | AMC | Health | IRCC | PHAC | PSC | GRC | TBID | TOTAL (proactive) | |
| ASFC | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 4 (3) |
– | 4 (3) |
|
| AMC | – | – | – | – | – | 39 (18) |
2 (2) |
– | – | – | – | – | – | – | 12 (12) |
– | 53 (32) |
|
| IRCC | – | – | – | – | 59 (0) |
56 (2) |
– | – | – | – | – | – | – | – | – | – | 115 (2) |
|
| GRC | – | – | – | – | – | – | – | – | – | – | – | 1 (0) |
– | – | – | – | 1 (0) |
|
| TOTAL (proactive) | – | – | – | – | 59 (0) |
95 (20) |
2 (2) |
– | – | – | – | 1 (0) |
– | – | 16 (15) |
– | 173 (37) |
|
Le nombre total de communications effectuées au titre de la LCISC depuis sa mise en œuvre reflète une légère tendance à la baisse, le nombre de communications demandées par rapport aux communications proactives demeurant relativement stable pour les années au cours desquelles ces données ont été recueillies (voir la figure 1).
En 2022, ces échanges ont eu lieu entre des institutions qui avaient chacune communiqué ou reçu de l’information, selon le cas, au cours d’au moins deux années d’examen antérieures (voir l’annexe C, Aperçu des communications faites au titre de la LCISC au cours des années antérieures).
Conclusion no1 : L’OSSNR a constaté que le CST, le SCRS, AMC et IRCC font régulièrement usage de la LCISC d’une manière qui justifie la conclusion d’ententes de communication d’information, comme l’encourage l’alinéa 4c) de la LCISC.
Le CST, le SCRS, AMC et IRCC ont été les utilisateurs les plus fréquents de la LCISC en 2022. Le nombre de communications entre ces institutions était comparable à celui observé par l’OSSNR au cours des années précédentes (voir l’annexe C), ce qui dénote l’existence d’un échange régulier au fil du temps.
L’OSSNR a également observé une régularité dans l’objet et la nature de l’information échangée entre ces institutions en 2022, comme le décrit le tableau 2. Ces échanges n’étaient pas régis par des ententes de communication d’information à jour.
| D’AMC au SCRS (N=39) | D’IRCC au SCRS (N=56) | D’IRCC au CST (N=59) |
|---|---|---|
|
|
|
L’OSSNR a déjà recommandé que les ententes de communication d’information soient mises à jour (pour AMC et le SCRS) ou créées (pour IRCC et le CST) afin de régir certains échanges d’information effectués au titre de la LCISC .
Recommandation 1 : L’OSSNR recommande que des ententes de communication d’information soient utilisées pour régir les communications régulières faites au titre de la LCISC entre AMC et le SCRS, entre IRCC et le SCRS et entre IRCC et le CST.
Conclusion no 2 : L’OSSNR a constaté que l’ASFC, le MDN/FAC et IRCC ont contrevenu au paragraphe 9(3) de la LCISC, car ils ne lui ont pas fourni tous les documents produits en vertu des paragraphes 9(1) et 9(2) dans les délais prescrits par la Loi.
En raison des demandes d’information formulées par l’OSSNR au cours de l’examen, l’ASFC, le MDN/FAC et IRCC ont fourni en retard des documents supplémentaires relatifs aux alinéas des paragraphes 9(1) et 9(2) (voir le tableau 3).
| Erreur administrative | Retard dans la préparation des documents | |
|---|---|---|
| ASFC | 2 [alinéa 9(1)e)] | – |
| MDN et FAC | – | 2 [alinéas 9(2)e à g)] |
| IRCC | 6 [alinéa 9(1)e)] | 1 [alinéas 9(2)e à g)] |
L’ASFC et IRCC ne se sont pas conformés au paragraphe 9(3) en raison d’une erreur administrative; les documents qu’ils ont transmis en bout de ligne existaient au moment de la date limite de dépôt des rapports, mais aucune copie n’avait été fournie à l’OSSNR, contrairement à ce qui était exigé.
L’OSSNR s’attendait à ce que tous les documents soient préparés dans les 30 jours suivant la fin de l’année civile afin de satisfaire à l’exigence du paragraphe 9(3) de fournir une copie de ces dossiers à l’OSSNR dans ce délai.
Le MDN/FAC et IRCC ne se sont pas conformés au paragraphe 9(3) en raison du retard dans la préparation des documents; ils n’ont en effet pas préparé les documents mentionnés dans le tableau 3 dans les 30 jours suivant la fin de l’année civile, ce qui explique qu’ils n’en aient pas fourni une copie à l’OSSNR dans les délais prescrits par la Loi.
L’OSSNR souligne l’importance de la précision administrative et du respect des délais dans la préparation des documents et l’envoi des copies à son intention.
Conclusion no 3 : L’OSSNR a constaté une amélioration des résultats en matière de conformité dans les cas où les ministères ont préparé des tableaux sommaires des communications présentant un aperçu des documents, conformément aux paragraphes 9(1) et 9(2) de la LCISC. Ces tableaux présentaient les caractéristiques suivantes :
La LCISC ne précise pas de format pour les documents préparés aux fins de l’article 9. Par conséquent, en 2022, les institutions fédérales se sont acquittées de leurs obligations en matière de conservation de documents de différentes manières.
La plupart des institutions ont fourni à l’OSSNR un aperçu de chaque communication faite ou reçue. Ces aperçus ont été transmis à l’OSSNR sous forme de tableaux sommaires des communications qui reprenaient généralement les éléments d’information requis dans les documents visés par les paragraphes 9(1) et 9(2).
La plupart des institutions ont également fourni à l’OSSNR une copie de la communication proprement dite et une série de documents connexes. Ces documents comprenaient souvent des échanges de courriels avec les services juridiques, des lettres de demande de communication et d’autres correspondances entre les institutions qui communiquent l’information et celles qui la reçoivent. La portée des demandes d’information au cours de l’examen a été réduite dans les cas où les institutions avaient fourni ces documents.
Le MDN/FAC et IRCC (pour son seul récépissé de communication) ont été les seules institutions à fournir à l’OSSNR une copie de la communication originale, accompagnée des détails relatifs au mode de transmission, en l’absence d’un résumé ou d’autres documents connexes .
L’OSSNR a observé que le choix du MDN/FAC en ce qui concerne le format des documents pour ces communications a contribué à leur non conformité avec les exigences du paragraphe 9(3) indiquées dans le tableau 3. L’information demandée en vertu des alinéas 9(2)e) à g) ne peut pas, par définition, figurer dans une copie de la communication elle même, puisqu’elle concerne les mesures prises par les institutions destinataires après réception de la communication. Une copie de la communication n’est donc pas suffisante pour satisfaire à toutes les exigences du paragraphe 9(2).
Avec respectivement deux et une communications, le MDN/FAC et IRCC ont reçu peu de communications en vertu de la LCISC en 2022. Chacun des destinataires les plus fréquents de renseignements (CST, SCRS et GRC) a inclus des colonnes explicites dans ses tableaux sommaires des communications pour indiquer si et, le cas échéant, quand les renseignements personnels ont été détruits ou remis, conformément aux exigences des alinéas 9(2)e) à g).
L’OSSNR a également constaté que le choix de l’ASFC et d’IRCC en matière de format des documents a contribué à leur non conformité aux exigences du paragraphe 9(3) en raison d’une erreur administrative. Ces institutions n’ont pas tenu compte de l’ensemble des renseignements requis en vertu de l’alinéa 9(1)e) dans les tableaux utilisés pour la présentation des dossiers.
Les renseignements utilisés pour convaincre l’institution qui communique l’information qu’une communication est autorisée en vertu de la Loi ne doivent pas obligatoirement figurer dans la communication proprement dite. Par conséquent, un tableau sommaire des communications énumérant tous les documents visés est un moyen efficace de s’assurer que les renseignements correspondants sont documentés et transmis à l’OSSNR avant la date limite fixée par la Loi.
Le tableau sommaire des communications utilisé par la GRC pour donner un aperçu des documents a été particulièrement efficace pour démontrer la conformité à la Loi. Le tableau comprenait des colonnes explicitement liées aux paragraphes visés à l’article 9 ainsi que des champs supplémentaires limités aux renseignements administratifs de la GRC, tels que les numéros de référence des dossiers et des bases de données.
Les tableaux sommaires des communications ainsi conçus permettent aux institutions de s’auto évaluer efficacement par rapport aux exigences de la Loi. Ils facilitent également le travail de contrôle en établissant une correspondance claire entre les renseignements fournis et les exigences correspondantes de la LCISC, et en regroupant les informations communiquées et reçues d’une manière propice à la vérification.
Recommandation 2 : L’OSSNR recommande à toutes les institutions fédérales de préparer un aperçu des documents afin de s’assurer de répondre aux exigences des paragraphes 9(1) et 9(2) de la LCISC et de le lui faire parvenir accompagné d’une copie de la communication proprement dite et, s’il y a lieu, d’une copie de la demande.
Conclusion no 4 : L’OSSNR a constaté que toutes les institutions fédérales se sont conformées à leur obligation de préparer et de conserver des documents qui contiennent les renseignements prescrits par les paragraphes 9(1) et 9(2) de la LCISC.
Conclusion no 5 : L’OSSNR a constaté que plus de la moitié des descriptions fournies par l’ASFC et IRCC au titre de l’alinéa 9(1)e) de la LCISC ne faisaient pas explicitement état de leur certitude que la communication avait été autorisée en vertu de l’alinéa 5(1)b), c’est à dire qu’elle satisfaisait au critère de proportionnalité.
Même s’il s’attendait à une déclaration expresse décrivant les renseignements sur lesquels l’institution qui communiquait l’information s’était appuyée pour conclure que la communication était autorisée en vertu de la LCISC, l’OSSNR a tenu compte, dans le cadre de son examen, de tous les documents qui démontraient qu’une telle évaluation avait été effectuée.
IRCC n’a pas fait de déclaration expresse précisant que les communications demandées par le SCRS, qui représentent 57 % (n=54) de l’ensemble de ses communications, lui semblaient satisfaisantes du point de vue du critère de proportionnalité. En revanche, IRCC a fourni des copies des lettres de demande et de l’information communiquée en guise de réponse, ce qui confirme que la communication était manifestement conforme aux besoins précis de la demande (et donc témoigne d’une évaluation de la proportionnalité).
L’ASFC n’a pas fourni de déclaration expresse concernant sa satisfaction au regard du critère de proportionnalité pour 75 % (n=3) de ses communications. Elle a plutôt démontré qu’elle tenait compte du principe de proportionnalité en fournissant divers documents justificatifs, y compris de la correspondance interne.
Le tableau sommaire des communications utilisé par AMC pour donner une vue d’ensemble de ses documents a été particulièrement efficace pour répondre aux exigences de l’alinéa 9(1)e). L’analyse détaillée qu’il a consignée en ce qui concerne les critères de contribution et de proportionnalité lui a permis de remplir ses obligations en matière de conservation des dossiers et de démontrer qu’elle respectait en substance le paragraphe 5(1).
Recommandation 3 : L’OSSNR recommande que les institutions qui communiquent de l’information tiennent compte explicitement des exigences des alinéas 5(1)a) et 5(1)b) dans les documents qu’elles préparent au titre de l’alinéa 9(1)e) de la LCISC.
Conclusion no 6 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.
Conclusion no 7 : L’OSSNR a constaté qu’AMC s’était assuré du respect du critère de contribution de l’alinéa 5(1)a) de la LCISC sur la base d’une mauvaise compréhension du mandat de sécurité nationale du destinataire dans deux cas.
Pour que le paragraphe 5(1) soit respecté, il faut que l’institution qui communique l’information soit convaincue du respect des critères de contribution et de proportionnalité avant de procéder.
En ce qui concerne les deux communications proactives faites au MDN/FAC, AMC a fourni une justification de la contribution de l’information au mandat de sécurité nationale du MDN/FAC. Après avoir reçu l’information, le MDN/FAC n’a toutefois pas accepté l’évaluation faite par AMC; il a jugé que la LCISC n’était pas un mécanisme de communication approprié dans les circonstances.
Un échange informel entre ces institutions aurait pu permettre au MDN/FAC et à AMC de résoudre ce problème avant la communication. Lorsque de telles communications ont lieu, il est important qu’elles se limitent à l’information nécessaire pour confirmer que l’information contribue au mandat du destinataire en ce qui a trait aux activités qui portent atteinte à la sécurité du Canada .
Recommandation 4 : L’OSSNR recommande aux institutions fédérales qui envisagent d’avoir recours à des communications proactives en vertu de la LCISC de contacter l’institution destinataire avant de procéder afin d’éclairer leurs évaluations au titre du paragraphe 5(1).
Conclusion no 8 : L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que l’ASFC et AMC (dans une et deux communications, respectivement) n’avaient pas respecté l’exigence prévue au paragraphe 5(2) de la LCISC, qui consiste à fournir une déclaration concernant l’exactitude et la fiabilité.
Conclusion no 9 : L’OSSNR a constaté, en ce qui concerne les autres communications faisant partie de l’échantillon, qu’AMC, IRCC et la GRC incluaient leurs déclarations concernant l’exactitude et la fiabilité dans le corps des communications, tandis que l’ASFC fournissait ses déclarations dans les lettres d’accompagnement des communications.
Providing the statement on accuracy and reliability in a cover letter for the disclosure satisfies the Act’s requirement to provide the statement at the time of disclosure. However, separating the statement from the information disclosed increases the risk that the information may be subsequently used without awareness of relevant qualifiers. The location of the statement on accuracy and reliability – and not just its contemporaneous provision to the recipient – is therefore relevant to its value added.
Recommandation 5 : L’OSSNR recommande à toutes les institutions qui communiquent de l’information d’inclure les déclarations concernant l’exactitude et la fiabilité dans le document où se trouve l’information communiquée.
Conclusion no 10 : L’OSSNR a constaté que le MDN/FAC a détruit des renseignements personnels au titre du paragraphe 5.1(1) de la LCISC, mais n’a pas respecté l’exigence selon laquelle cela doit être fait « dès que possible après leur réception ».
DND/CAF determined, upon receipt of the two disclosures it received from GAC, that the personal information contained within the disclosures should not be retained. The information, however, was not destroyed until April 2023 – 12 days following a request for information from NSIRA to provide a copy of records that set out whether and when the information had been destroyed or returned. The date of destruction was 299 and 336 days following DND/CAF?s receipt of each disclosure.
Compte tenu du temps écoulé entre la réception des renseignements personnels et leur destruction, ainsi que de la conclusion en temps opportun du MDN/FAC selon laquelle ces renseignements ne devaient pas être conservés, la destruction de ces renseignements par le MDN/FAC n’était pas conforme à l’exigence qui consiste à détruire les renseignements personnels « dès que possible après leur réception ». Le délai à cet égard était aussi incompatible avec l’utilisation et la gestion responsables de l’information.
Le MDN/FAC est la seule institution à avoir identifié des communications contenant de l’information qui a été détruite ou remise au titre du paragraphe 5.1(1) en 2022. L’OSSNR n’a trouvé aucune autre communication dans l’échantillon où des renseignements personnels communiqués auraient dû être détruits ou remis.
Conclusion no 11 : L’OSSNR a constaté des retards, en relation d’au moins 20 % des communications (n=34), entre le moment où une communication a été autorisée et le moment où la personne désignée par le responsable de l’institution destinataire l’a reçue.
Parmi ces 34 communications, 29 présentent un écart entre les dates indiquées par les institutions qui communiquent l’information et les institutions destinataires dans leurs documents au titre de l’article 9. Quant aux cinq autres communications, le SCRS a indiqué à la fois la date de réception administrative au sein de l’institution et la date ultérieure de réception par la personne désignée par le responsable pour la recevoir (c’est à dire l’unité opérationnelle concernée .
L’OSSNR attribue la plupart de ces retards à la dynamique attendue dans la communication d’information classifiée : la personne qui autorise la communication n’est pas toujours la même que celle qui procède à l’envoi administratif au destinataire, et la personne qui procède à la réception administrative de la communication n’est pas toujours la même que celle désignée par le responsable pour la recevoir.
Les retards observés étaient pour la plupart inférieurs à une semaine. Dans neuf des cas, ils variaient toutefois de 30 à 233 jours.
Such delays mean that information is not processed and actioned within the recipient institution until long after it was sent – or intended to be sent – by the individual authorizing the disclosure. While these delays do not amount to non-compliance with the SCIDA, they are inconsistent with the Act?s purpose and guiding principles.
Recommandation 6 : L’OSSNR recommande aux institutions fédérales de revoir leurs processus administratifs pour l’envoi et la réception de communications d’information au titre de la LCISC, en plus de modifier leurs pratiques qui entraînent des retards.
Les exigences imposées par la LCISC en lien avec la communication d’information et la conservation de documents s’appliquent à la fois aux institutions qui communiquent et aux institutions destinataires dans tous les cas où la LCISC est invoquée comme mécanisme de communication. Le présent examen a permis d’évaluer la conformité des institutions fédérales aux exigences en matière de conservation de documents, et ce, pour l’ensemble des 173 communications d’information faites et reçues en 2022. La conformité aux exigences en matière de communication d’information a été évaluée à l’aide d’un échantillon ciblé de 19 communications.
L’OSSNR a constaté que les institutions ont respecté les exigences imposées par la LCISC en lien avec la communication d’information et la conservation de documents dans le cadre de la plupart des communications. La non-conformité des institutions fédérales au paragraphe 9(3) est attribuable aux irrégularités dans la déclaration de 11 communications. Trois communications ont été jugées comme non conformes aux exigences de fond prévues au paragraphe 5(2), tandis que deux communications ont été jugées comme non conformes au paragraphe 5.1(1). Ces cas de non conformité ne font ressortir aucune lacune systémique dans la mise en œuvre de la LCISC par les institutions fédérales.
Dans ce contexte, l’OSSNR a observé des améliorations sur le plan du rendement des institutions visées par l’examen, soit en comparaison avec les conclusions présentées dans les rapports des années précédentes, soit en cours d’examen. Il convient de noter que les demandes d’information présentées par l’OSSNR à l’appui du présent examen ont donné lieu à la prise de mesures correctives par l’ASFC, le MDN/FAC et IRCC; autrement, d’autres cas de non conformité aux exigences prévues à l’article 9 auraient pu être observés.
L’OSSNR a également observé plusieurs pratiques qui, bien que conformes à la LCISC, pourraient être améliorées. Les recommandations formulées par l’OSSNR dans le cadre du présent examen visent à accroître la normalisation au sein du GC d’une manière conforme aux pratiques exemplaires des institutions et aux principes directeurs de la LCISC.
| Obligation : institution fédérale qui communique | Obligation : institution fédérale destinataire |
|---|---|
| 9(1) L’institution fédérale qui communique de l’information en vertu de la présente loi prépare et conserve des documents qui contiennent les renseignements suivants : | (2) L’institution fédérale qui reçoit de l’information en vertu de la présente loi prépare et conserve des documents qui contiennent les renseignements suivants : |
| a) une description de l’information communiquée; | a) une description de l’information communiquée; |
| b) le nom de la personne physique qui a autorisé la communication; | b) le nom de l’institution fédérale qui l’a communiquée; |
| c) le nom de l’institution fédérale destinataire; | c) le nom ou le poste du responsable de l’institution fédérale destinataire, ou de la personne désignée par lui, qui a reçu l’information; |
| d) la date de la communication; | d) la date à laquelle l’information a été reçue par l’institution fédérale destinataire; |
| e) une description des renseignements sur lesquels l’institution fédérale s’est fondée pour conclure que la communication était autorisée par la présente loi; |
e) si l’information a été détruite ou remise au titre du paragraphe 5.1(1) ou non; f) si l’information a été détruite au titre du paragraphe 5.1(1), la date de la destruction; g) si l’information a été remise au titre du paragraphe 5.1(1) à l’institution fédérale qui l’a communiquée, la date de la remise; |
| f) tout autre renseignement précisé par règlement. | h) tout autre renseignement précisé par règlement. |
Dans les trente jours suivant la fin de chaque année civile, chaque institution fédérale qui a communiqué de l’information au titre de l’article 5 durant l’année et chaque institution fédérale qui l’a reçue fournit à l’Office de surveillance des activités en matière de sécurité nationale et de renseignement une copie des documents préparés en application des paragraphes (1) ou (2) à l’égard de l’information.
Les communications faisant partie de l’échantillon ont été sélectionnées sur la base du contenu des documents fournis à l’OSSNR au titre du paragraphe 9(3), selon les paramètres suivants :
S’appuyant sur l’information publiée dans les rapports antérieurs de l’OSSNR, le tableau 5 présente un résumé du nombre et de la répartition des communications d’information au titre de la LCISC qui ont eu lieu au cours des années précédentes.
| Designated Recipient Institutions | ||||||||||||||||||
| Ministère d’origine | ASFC | CFIA | CNSC | ARC | CST | SCRS | MDN et FAC | Finance | CANAFE | AMC | Health | IRCC | PHAC | PSC | GRC | TBID | TOTAL (proactive) | |
| 2021 | MDN et FAC | – | – | – | – | – | 2 | – | – | – | – | – | – | – | – | – | – | 2 |
| AMC | – | – | – | – | – | 41 | – | – | – | – | – | 1 | – | – | 2 | – | 44 | |
| IRCC | – | – | – | – | 68 | 79 | – | – | – | 2 | – | – | – | – | – | – | 149 | |
| TOTAL | – | – | – | – | 68 | 122 | – | – | – | 2 | – | 1 | – | – | 2 | – | 195 | |
| 2020 | ASFC | – | – | – | – | – | 1 | – | – | – | – | – | – | – | – | 3 | – | 4 |
| AMC | – | – | – | – | 1 | 25 | – | – | – | – | – | 1 | – | – | 13 | – | 40 | |
| IRCC | – | – | – | – | 60 | 61 | – | – | – | – | – | – | – | – | 37 | 1 | 159 | |
| GRC | – | – | – | – | – | – | 1 | – | – | 3 | – | 5 | – | – | – | – | 9 | |
| TBID | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 2 | – | 2 | |
| Autres | – | – | – | – | – | 1 | – | – | – | – | – | – | – | – | – | – | 1 | |
| TOTAL | – | – | – | – | 61 | 88 | 1 | – | – | 3 | – | 6 | – | – | 55 | 1 | 215 | |
| 2019 | ASFC | – | – | – | – | – | 1 | – | – | – | – | – | – | – | – | 2 | – | 3 |
| AMC | – | – | – | – | – | 23 | – | – | – | – | – | 3 | – | 1 | 15 | – | 42 | |
| IRCC | – | – | – | – | 5 | 17 | 1 | – | – | – | – | – | – | – | 36 | – | 59 | |
| GRC | – | – | – | 4 | – | – | – | – | 1 | 3 | – | 1 | – | – | – | – | 9 | |
| TBID | – | – | – | – | – | – | – | – | – | – | – | – | – | – | 1 | – | 1 | |
| TOTAL | – | – | – | 4 | 5 | 41 | 1 | – | 1 | 3 | – | 4 | – | 1 | 54 | – | 114 | |
L’OSSNR a constaté que le CST, le SCRS, AMC et IRCC font régulièrement usage de la LCISC d’une manière qui justifie la conclusion d’ententes de communication d’information, comme l’encourage l’alinéa 4c) de la LCISC.
L’OSSNR a constaté que l’ASFC, le MDN/FAC et IRCC ont contrevenu au paragraphe 9(3) de la LCISC, car ils ne lui ont pas fourni tous les documents produits en vertu des paragraphes 9(1) et 9(2) dans les délais prescrits par la Loi.
L’OSSNR a constaté une amélioration des résultats en matière de conformité dans les cas où les ministères ont préparé des tableaux sommaires des communications présentant un aperçu des documents, conformément aux paragraphes 9(1) et 9(2) de la LCISC. Ces tableaux présentaient les caractéristiques suivantes :
L’OSSNR a constaté que toutes les institutions fédérales se sont conformées à leur obligation de préparer et de conserver des documents qui contiennent les renseignements prescrits par les paragraphes 9(1) et 9(2) de la LCISC.
L’OSSNR a constaté que plus de la moitié des descriptions fournies par l’ASFC et IRCC au titre de l’alinéa 9(1)e) de la LCISC ne faisaient pas explicitement état de leur certitude que la communication avait été autorisée en vertu de l’alinéa 5(1)b), c’est à dire qu’elle satisfaisait au critère de proportionnalité.
L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que les institutions qui communiquent de l’information ont montré qu’elles ont satisfait aux critères de contribution et de proportionnalité, conformément au paragraphe 5(1) de la LCISC.
L’OSSNR a constaté qu’AMC s’était assuré du respect du critère de contribution de l’alinéa 5(1)a) de la LCISC sur la base d’une mauvaise compréhension du mandat de sécurité nationale du destinataire dans deux cas.
L’OSSNR a constaté, dans l’échantillon des communications à l’étude, que l’ASFC et AMC (dans une et deux communications, respectivement) n’avaient pas respecté l’exigence prévue au paragraphe 5(2) de la LCISC, qui consiste à fournir une déclaration concernant l’exactitude et la fiabilité.
L’OSSNR a constaté, en ce qui concerne les autres communications faisant partie de l’échantillon, qu’AMC, IRCC et la GRC incluaient leurs déclarations concernant l’exactitude et la fiabilité dans le corps des communications, tandis que l’ASFC fournissait ses déclarations dans les lettres d’accompagnement des communications.
L’OSSNR a constaté que le MDN/FAC a détruit des renseignements personnels au titre du paragraphe 5.1(1) de la LCISC, mais n’a pas respecté l’exigence selon laquelle cela doit être fait « dès que possible après leur réception ».
L’OSSNR a constaté des retards, en relation d’au moins 20 % des communications (n=34), entre le moment où une communication a été autorisée et le moment où la personne désignée par le responsable de l’institution destinataire l’a reçue.
Dernière mise à jour :
Statut :
Publié
Numéro de l'examen :
23-03
Date de publication :
Le présent rapport trimestriel a été préparé par la direction conformément à l’article 65.1 de la Loi sur la gestion des finances publiques et selon les modalités prescrites par la Directive sur les normes comptables : GC 4400 Rapport financier trimestriel des ministères. Le présent rapport financier trimestriel devrait être lu parallèlement au Budget principal des dépenses 2023 2024.
Ce rapport financier trimestriel n'a pas fait l'objet d'une vérification externe ou d'un examen.
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) est un organisme de surveillance externe indépendant qui relève du Parlement. Créé en juillet 2019, il est chargé d’examiner les activités en matière de sécurité nationale et de renseignement du gouvernement du Canada afin de s’assurer qu’elles sont conformes à la loi, raisonnables et nécessaires. L’OSSNR entend également les plaintes du public concernant les principaux organismes et les activités en matière de sécurité nationale.
Une description sommaire des activités du Secrétariat de l’OSSNR se trouve dans la partie II du Budget principal des dépenses. Pour en savoir plus sur le mandat de l’OSSNR consultez son site web.
Le présent rapport a été préparé par la direction en utilisant une comptabilité axée sur les dépenses. L’état des autorisations joint au rapport présente les autorisations de dépenser accordées à l’OSSNR par le Parlement ainsi que les autorisations que l’OSSNR a utilisées, conformément au Budget principal des dépenses pour l’exercice 2023–2024. Le rapport financier trimestriel a été préparé à l’aide d’un référentiel d’information financière à usage particulier (comptabilité de caisse) conçu pour répondre aux besoins d’information financière liés à l’utilisation des autorisations de dépenser.
Le gouvernement ne peut dépenser sans l’autorisation préalable du Parlement. Les autorisations sont accordées par l’entremise de lois de crédits, sous forme de limites annuelles, ou par l’entremise de lois, sous forme d’autorisations législatives de dépenser à des fins déterminées.
La présente section expose les éléments importants qui ont contribué à l’augmentation nette ou à la diminution nette des autorisations disponibles au cours de l’exercice et des dépenses réelles durant le trimestre qui s’est terminé le 30 juin 2021.
L’OSSNR avait dépensé environ 19 % de ses autorisations à la fin du premier trimestre, comparativement à 12 % durant le même trimestre en 2022–2023 (voir le graphique 1).
| 2023-24 | 2022-23 | |
|---|---|---|
| Autorisations budgétaires totales | $23.0 | $28.3 |
| Dépenses budgétaires encourues au T1 | $4.3 | $3.3 |
Au 30 juin 2023, l’OSSNR disposait d’autorisations de 23,0 millions de dollars à utiliser en 2023–2024, contre 28,3 millions de dollars au 30 juin 2022, ce qui revient à une diminution nette de 5,3 millions de dollars ou 8,1 % (voir le graphique 2).
| Année fiscale 2022-23 totaux disponibles pour l'exercice se terminant le 31 mars 2023 | Année fiscale 2023-24 totaux disponibles pour l'exercice se terminant le 31 mars 2024 | |
|---|---|---|
| Crédit 1 - Fonctionnement | 26.5 | 21.3 |
| Postes législatives | 1.7 | 1.8 |
| Autorisations totales | 28.2 | 23.0 |
Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués
La diminution des autorisations de 5,3 millions de dollars s’explique principalement par une réduction graduelle des fonds pour les dépenses de capital pour les projets d’infrastructure.
Les dépenses du premier trimestre ont totalisé 4,3 millions de dollars, soit une augmentation de 1,0 million de dollars par rapport aux 3,3 millions de dollars de dépenses engagées au cours de la même période en 2022–2023. Le tableau 1 présente les dépenses budgétaires par article courant.
| Changements importants dans les dépenses par article courant (en milliers de dollars) | Exercice 2023-2024: crédits utilisés pour le trimestre ayant pris fin le 30 juin 2023 | Exercice 2022-2023: crédits utilisés pour le trimestre ayant pris fin le 30 septembre 2022 | Variation en $ | Variation en % |
|---|---|---|---|---|
| Personnel | 2,886 | 2,345 | 541 | 23% |
| Transports et communications | 130 | 44 | 86 | 195% |
| Information | 0 | 5 | (5) | 100% |
| Services professionnels et spéciaux | 1,165 | 846 | 319 | 38% |
| Location | 48 | 10 | 38 | 380% |
| Services de réparation et d’entretien | 24 | 31 | (7) | (23%) |
| Services publics, fournitures et approvisionnements | 7 | 16 | (9) | (56%)% |
| Acquisition de matériel et d’outillage | 48 | 9 | 39 | 433% |
| Autres subventions et paiements | 4 | (2) | (6) | (300%) |
| Dépenses budgétaires brutes totals | 4,312 | 3,304 | 1,008 | 31% |
L’augmentation de 541 000 $ est en grande partie attribuable à une augmentation du coût par ETP et à un changement dans le calendrier de paiement des membres.
L’augmentation de 86 000 $ s’explique par un changement du calendrier de facturation pour la connexion Internet.
L’augmentation de 319 000 $ s’explique principalement par une hausse du coût de maintenance et de soutien de l’infrastructure réseau classifiée de TI. Elle est aussi attribuable à l’utilisation de services de sécurité dans le cadre de l’aménagement des locaux.
L’augmentation de 38 000 $ s’explique par un changement dans le calendrier de facturation de la location de l’espace de bureau temporaire.
L’augmentation de 39 000 $ s’explique par l’achat ponctuel d’un ordinateur portatif spécialisé et d’une station de recharge murale assortis d’une garantie.
Le Secrétariat a aidé l’OSSNR dans son travail auprès des ministères et organismes faisant l’objet d’examens afin de lui garantir un accès rapide et sans entrave à tous les renseignements nécessaires à la réalisation des examens. Bien qu’il reste du travail à faire sur ce front, nous reconnaissons les améliorations en matière de collaboration et de soutien au processus d’examen indépendant dont ont fait preuve certains ministères et organismes visés par des examens.
Il existe un risque que les fonds reçus pour compenser les augmentations de salaire prévues au cours de l’année à venir soient insuffisants pour couvrir les coûts de ces augmentations, et le coût d’année en année des services fournis par d’autres ministères et organismes gouvernementaux augmente de manière importante.
L’OSSNR surveille de près les mouvements de paye pour recenser et régler en temps utile les paiements insuffisants et les paiements excédentaires. Il continue d’appliquer en permanence les mesures d’atténuation.
Des mesures d’atténuation des risques décrits ci-dessus ont été définies, et elles sont prises en compte dans l’approche et l’échéancier de l’OSSNR en ce qui concerne la réalisation de ses activités prévues dans son mandat.
Il n’y a pas eu de nouvelles nominations par le gouverneur en conseil au cours du premier trimestre.
M. Pierre Souligny, directeur principal, Services généraux, et dirigeant principal des finances de l’OSSNR depuis 2020, a pris sa retraite. M. Marc-André Cloutier l’a remplacé.
John Davies
Administrateur général
Pierre Souligny
Dirigeant principal des finances
(en milliers de dollars)
| Exercice 2023–2024 | Exercice 2022–2023 | |||||
|---|---|---|---|---|---|---|
| Crédits totaux disponibles pour l'exercice se terminant le 31 mars 2022 (note 1) | Crédits utilisés pour le trimestre ayant pris fin le 30 juin 2023 | Cumul des crédits utilisés à la fin du trimestre | Crédits totaux disponibles pour l'exercice se terminant le 31 mars 2023 (note 1) | Crédits utilisés pour le trimestre ayant pris fin le 30 juin 2022 | Cumul des crédits utilisés à la fin du trimestre | |
| Crédit 1 - Dépenses nettes de fonctionnement | 21,254 | 3,873 | 3,873 | 26,523 | 2,872 | 2,872 |
| Autorisations législatives budgétaires | ||||||
| Contributions aux régimes d'avantages sociaux des employés | 1,728 | 439 | 439 | 1,728 | 432 | 432 |
| Autorisations budgétaires totals (note 2) | 23,009 | 4,312 | 4,312 | 28,251 | 3,304 | 3,304 |
Note 1 : N’inclut que les autorisations disponibles pour l'exercice et accordées par le Parlement à la fin du trimestre.
Note 2 : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués.
(en milliers de dollars)
| Exercice 2023–2024 | Exercice 2022–2023 | |||||
|---|---|---|---|---|---|---|
| Dépenses prévues pour l’exercice se terminant le 31 mars 2023 (note 1) | Crédits utilisés pour le trimestre ayant pris fin le 30 juin 2023 | Cumul des crédits utilisés à la fin du trimestre | Dépenses prévues pour l’exercice se terminant le 31 mars 2023 (note 1) | Crédits utilisés pour le trimestre ayant pris fin le 30 juin 2022 | Cumul des crédits utilisés à la fin du trimestre | |
| Dépenses | ||||||
| Personnel | 13,303 | 2,886 | 2,886 | 13,245 | 2,345 | 2,345 |
| Transports et communications | 650 | 130 | 130 | 597 | 44 | 44 |
| Information | 372 | 0 | 0 | 372 | 5 | 5 |
| Services professionnels et spéciaux | 3,596 | 1,165 | 1,165 | 3,506 | 846 | 846 |
| Location | 271 | 48 | 48 | 271 | 10 | 10 |
| Services de réparation et d’entretien | 4,580 | 24 | 24 | 9,722 | 31 | 31 |
| Services publics, fournitures et approvisionnements | 73 | 7 | 7 | 103 | 3 | 3 |
| Acquisition de matériel et d’outillage | 132 | 48 | 48 | 232 | 9 | 9 |
| Autres subventions et paiements | 33 | 4 | 4 | 133 | (2) | (2) |
| Dépenses budgétaires brutes totals (note 2) |
23,009 | 4,312 | 4,312 | 28,251 | 3,304 | 3,304 |
Note 1 : N’inclut que les autorisations disponibles pour l'exercice et accordées par le Parlement à la fin du trimestre.
Note 2 : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre aux totaux indiqués.
