{"id":8794,"date":"2024-01-25T14:59:54","date_gmt":"2025-02-07T19:59:36","guid":{"rendered":"https:\/\/dev.nsira-ossnr.gc.ca\/reviews\/ongoing-and-completed-reviews\/completed-reviews\/review-of-information-sharing-across-aspects-of-cses-mandate-2\/"},"modified":"2025-02-25T08:42:37","modified_gmt":"2025-02-25T13:42:37","slug":"report","status":"publish","type":"page","link":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/20-07\/rapport-2\/","title":{"rendered":"Review of Information Sharing Across Aspects of Communications Security Establishment’s Mandate: Report"},"content":{"rendered":"
\n
\n
\n
\n
\n \n

\n Examen des pratiques d'\u00e9changes d'informations entre divers volets du mandat du Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications Canada <\/h1>\n\n
\n\n \n

\n Rapport <\/h2>\n \n \n\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n
\n
\n
Table des mati\u00e8res<\/div><\/div><\/div>
  1. Sommaire<\/a><\/li>
  2. Pouvoirs<\/a><\/li>
  3. Introduction<\/a><\/li>
  4. Contexte<\/a>
    1. Que sont les ICPC?<\/a><\/li>
    2. \u00c9changes internes d\u2019ICPC au CST<\/a><\/li><\/ol><\/li>
    3. Conclusions et recommendations<\/a>
      1. Conformit\u00e9 aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels<\/a><\/li><\/ol><\/li>
      2. Conclusion<\/a><\/li>
      3. Annexes<\/a>
        1. ANNEXE A : Objectifs, port\u00e9e et m\u00e9thodologie<\/a><\/li>
        2. ANNEXE B : R\u00e9unions et s\u00e9ances d\u2019information<\/a><\/li>
        3. ANNEXE C : Conclusions et recommandations<\/a><\/li>
        4. ANNEXE D : Les informations sur les partenaires et les clients ainsi que les informations publiquement accessibles faisant l\u2019objet d\u2019\u00e9changes entre les volets renseignement \u00e9tranger et cybers\u00e9curit\u00e9<\/a><\/li>
        5. ANNEXE E : Processus d\u2019approbation et approbation des \u00e9changes d\u2019informations<\/a><\/li>
        6. ANNEXE F : M\u00e9thodes et processus d\u2019\u00e9change<\/a><\/li>
        7. ANNEXE G : Politique et balises \u00e0 respecter dans le cas des \u00e9changes internes<\/a><\/li>
        8. ANNEXE H : \u00c9changes internes des ICPC au CST<\/a><\/li><\/ol><\/li><\/ol><\/div><\/div><\/div><\/section>\n\n\n\n
          \n<\/div><\/div>\n\n\n\n
          \n

          Date de publication :<\/strong><\/p>\n\n\n

          \n
          <\/i>T\u00e9l\u00e9charger le PDF<\/span><\/a><\/span><\/div>\n<\/div><\/div>\n\n\n\n
          \n
          \n

          La lettre du ministre d'AMC \u00e0 l\u2019OSSNR \u00e0 suivre<\/strong><\/p>\n<\/div><\/div>\n<\/div><\/div><\/section>\n\n\n\n

          Le pr\u00e9sent rapport pr\u00e9sente une l\u00e9g\u00e8re modification par rapport \u00e0 la version finale qui a \u00e9t\u00e9 soumise au Ministre. En effet, une erreur de formulation s\u2019\u00e9tait gliss\u00e9e dans l\u2019\u00e9nonc\u00e9 de la conclusion no 4, donnant lieu \u00e0 deux libell\u00e9s diff\u00e9rents dans le rapport et dans le sommaire. Une correction a donc \u00e9t\u00e9 apport\u00e9e aux fins de publication. Pr\u00e9cisions que le libell\u00e9 exact a toujours \u00e9t\u00e9 pr\u00e9sent dans le corps du rapport final et qu\u2019en d\u00e9finitive, le libell\u00e9 erron\u00e9 a \u00e9t\u00e9 remplac\u00e9 par le bon libell\u00e9 aux fins de publication.<\/strong><\/em><\/p>\n\n\n\n

          Sommaire<\/h2>\n\n\n\n

          (NC) Le pr\u00e9sent examen avait pour objet d\u2019analyser les fondements juridiques suivant lesquels le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (CST) est en mesure de communiquer des informations obtenues par l\u2019un des volets de son mandat \u00e0 un autre des volets du m\u00eame mandat. L\u2019examen s\u2019est donc concentr\u00e9 sur les pratiques d\u2019\u00e9change d\u2019informations \u00e0 l\u2019int\u00e9rieur du CST, plus pr\u00e9cis\u00e9ment entre, d\u2019une part, le volet ax\u00e9 sur le renseignement \u00e9tranger (RE) et, d\u2019autre part, le volet ax\u00e9 sur la cybers\u00e9curit\u00e9 et l\u2019assurance de l\u2019information (cybers\u00e9curit\u00e9).<\/p>\n\n\n\n

          (NC) L\u2019OSSNR a v\u00e9rifi\u00e9 si les \u00e9changes internes d\u2019informations se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada (ICPC) effectu\u00e9s par le CST \u00e9taient conformes aux dispositions de la Loi sur la protection des renseignements personnels, qui impose aux institutions f\u00e9d\u00e9rales des restrictions sur l\u2019utilisation des renseignements personnels obtenus par voie de collecte, mais aussi de la Loi sur le CST<\/em>, qui encadre les ICPC collect\u00e9es de mani\u00e8re incidente et leur utilisation par le CST. Consid\u00e9rant les descriptions que les articles 16 et 17 de la Loi sur le CST<\/em> fournissent concernant les volets, l\u2019OSSNR constate qu\u2019il peut arriver que des informations collect\u00e9es par l\u2019un des volets soient utilis\u00e9es par un autre volet pour des fins semblables ou autrement justifiables. En l\u2019occurrence, il semble bien que les exigences de la Loi sur la protection des renseignements personnels en mati\u00e8re d\u2019\u00e9change interne soient respect\u00e9es. Toutefois, il convient de garder une certaine r\u00e9serve dans la mesure o\u00f9 les volets \u00e9nonc\u00e9s dans la Loi sur le CST <\/em>diff\u00e8rent les uns des autres. En effet, le CST est tenu de proc\u00e9der, dans chacun des cas, \u00e0 une analyse de la conformit\u00e9 visant \u00e0 \u00e9tudier l\u2019objet de la collecte et des \u00e9changes envisag\u00e9s.<\/p>\n\n\n\n

          (NC) L\u2019OSSNR estime qu\u2019il est n\u00e9cessaire que toute demande d\u2019autorisation minist\u00e9rielle pr\u00e9sent\u00e9e par le chef du CST informe le ministre concernant la fa\u00e7on dont les ICPC pourraient \u00eatre utilis\u00e9es par le CST \u2013 ce qui comprend l\u2019\u00e9ventualit\u00e9 d\u2019une communication des ICPC \u00e0 un autre volet \u2013 et les objectifs vis\u00e9s. Hormis une seule exception, les demandes pr\u00e9sent\u00e9es par le chef pendant la p\u00e9riode d\u2019examen informaient ad\u00e9quatement le ministre de la D\u00e9fense nationale concernant la fa\u00e7on dont les ICPC pourraient \u00eatre utilis\u00e9es en guise d\u2019appui \u00e0 un autre volet. Qui plus est, les demandes en mati\u00e8re de renseignement \u00e9tranger fournissaient au ministre les informations appropri\u00e9es quant \u00e0 la fa\u00e7on dont le CST avait \u00e9valu\u00e9 le caract\u00e8re essentiel (ou l\u2019essentialit\u00e9) servant \u00e0 justifier la collecte d\u2019ICPC dans le cadre du volet RE.<\/p>\n\n\n\n

          (NC) La politique du CST indique qu\u2019une \u00e9valuation de la pertinence, de l\u2019essentialit\u00e9 ou de la n\u00e9cessit\u00e9 des ICPC pour chacun des volets est requise avant que des informations puissent \u00eatre retransmises entre lesdits volets. En outre, la politique du CST fournit des d\u00e9finitions ainsi que des crit\u00e8res d\u2019\u00e9valuation et d\u2019application des balises s\u2019appliquant aux informations. Au reste, l\u2019OSSNR est d\u2019avis que le cadre strat\u00e9gique du CST r\u00e9gissant la communication interne d\u2019informations entre les volets cybers\u00e9curit\u00e9 et renseignement \u00e9tranger du mandat est conforme aux dispositions de la Loi sur le CST<\/em>.<\/p>\n\n\n\n

          (NC) Les informations fournies par le CST n\u2019ont pas \u00e9t\u00e9 l\u2019objet d\u2019une v\u00e9rification ind\u00e9pendante de la part de l\u2019OSSNR. Or, des travaux sont en cours dans le but de pr\u00e9parer des politiques op\u00e9rantes et des pratiques exemplaires devant s\u2019appliquer aux v\u00e9rifications ind\u00e9pendantes de divers types d\u2019informations selon une approche ax\u00e9e sur la confiance, mais aussi sur la prudence, qui r\u00e9pond \u00e0 l\u2019engagement de l\u2019OSSNR.<\/p>\n\n\n\n

          Pouvoirs<\/h2>\n\n\n\n

          (NC) Le pr\u00e9sent examen a \u00e9t\u00e9 r\u00e9alis\u00e9 conform\u00e9ment aux dispositions \u00e9nonc\u00e9es \u00e0 l\u2019alin\u00e9a 8(1)a) de la Loi sur l\u2019Office de surveillance des activit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 nationale et de renseignement (Loi sur l\u2019OSSNR)<\/em>.<\/p>\n\n\n\n

          Introduction<\/h2>\n\n\n\n

          (NC) Le pr\u00e9sent examen avait pour objet d\u2019analyser les fondements juridiques suivant lesquels le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (CST) est en mesure de communiquer des informations obtenues par l\u2019un des volets de son mandat \u00e0 un autre des volets du m\u00eame mandat. L\u2019examen s\u2019est donc concentr\u00e9 sur les pratiques d\u2019\u00e9change d\u2019informations \u00e0 l\u2019int\u00e9rieur du CST, plus pr\u00e9cis\u00e9ment entre, d\u2019une part, le volet ax\u00e9 sur le renseignement \u00e9tranger (RE) et, d\u2019autre part, le volet ax\u00e9 sur la cybers\u00e9curit\u00e9 et l\u2019assurance de l\u2019information (cybers\u00e9curit\u00e9). De plus, le pr\u00e9sent examen avait pour objectif de recenser les activit\u00e9s ayant trait \u00e0 la communication en interne d\u2019informations se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada, plus particuli\u00e8rement entre les volets \u00ab cybers\u00e9curit\u00e9 \u00bb et\n\u00ab renseignement \u00e9tranger \u00bb. En l\u2019occurrence, cette d\u00e9marche avait pour objet d\u2019alimenter les examens que l\u2019OSSNR serait ult\u00e9rieurement appel\u00e9 \u00e0 r\u00e9aliser.<\/p>\n\n\n\n

          (TS) Le Bureau du commissaire du Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (BCCST) avait d\u00e9j\u00e0 \u00e9tudi\u00e9 les modalit\u00e9s d\u2019\u00e9change et d\u2019acc\u00e8s s\u2019appliquant aux informations sur les cybermenaces \u00e9chang\u00e9es entre la Direction du SIGINT et la Direction de la S\u00e9curit\u00e9 des TI du CST. L\u2019examen du BCCST avait alors conclu que les activit\u00e9s d\u2019\u00e9change d\u2019informations sur les cybermenaces qui avaient eu lieu entre le SIGINT et la S\u00e9curit\u00e9 des TI du CST avaient \u00e9t\u00e9 conformes aux exigences \u00e9nonc\u00e9es dans la Loi sur la d\u00e9fense nationale et dans la Loi sur la protection des renseignements personnels. L\u2019examen a \u00e9galement indiqu\u00e9 que les informations \u00e9chang\u00e9es entre les deux directions n\u2019avaient pos\u00e9 qu\u2019un risque faible pour la vie priv\u00e9e des Canadiens.<\/p>\n\n\n\n

          (NC) Avec l\u2019entr\u00e9e en vigueur de la Loi sur le CST, le 1er ao\u00fbt 2019, les fondements juridiques sur lesquels s\u2019appuient les activit\u00e9s du CST ont subi des modifications dans la foul\u00e9e de l\u2019examen du BCCST. En consid\u00e9ration des modifications apport\u00e9es \u00e0 ces fondements juridiques, l\u2019OSSNR a amorc\u00e9 une nouvelle \u00e9valuation visant \u00e0 \u00e9tablir si les activit\u00e9s internes d\u2019\u00e9change d\u2019informations entre les volets cybers\u00e9curit\u00e9 et renseignement \u00e9tranger du CST \u00e9taient toujours conformes aux dispositions de la Loi sur le CST et de la Loi sur la protection des renseignements personnels.<\/p>\n\n\n\n

          (NC) D\u2019embl\u00e9e, l\u2019OSSNR s\u2019attend \u00e0 ce que les \u00e9changes internes d\u2019ICPC effectu\u00e9s au sein du CST r\u00e9pondent aux exigences de la Loi sur le CST<\/em> et de la Loi sur la protection des renseignements personnels<\/em>. Le pr\u00e9sent examen a donc mis l\u2019accent sur l\u2019analyse des fondements juridiques permettant au CST de proc\u00e9der \u00e0 des \u00e9changes d\u2019ICPC entre les volets cybers\u00e9curit\u00e9 et renseignement \u00e9tranger.<\/p>\n\n\n\n

          (NC) La Loi sur le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (Loi sur le CST) divise le mandat du CST en cinq volets distincts. En l\u2019occurrence, la Loi sur le CST<\/em> \u00e9tablit des distinctions entre les volets, notamment, sur le plan des objectifs et des activit\u00e9s. Voici donc un aper\u00e7u de ces distinctions :<\/p>\n\n\n\n

            \n
          • Renseignement \u00e9tranger (RE) (article 16) : acqu\u00e9rir de l\u2019information \u00e0 partir de l\u2019infrastructure mondiale de l\u2019information (IMI) et utiliser, analyser et diffuser l\u2019information dans le but de fournir des renseignements \u00e9trangers.<\/li>\n\n\n\n
          • Cybers\u00e9curit\u00e9 et assurance de l\u2019information (cybers\u00e9curit\u00e9) (article 17) : fournir des avis, des conseils et des services afin d\u2019aider \u00e0 prot\u00e9ger l\u2019information \u00e9lectronique et les infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales ou celles d\u00e9sign\u00e9es par le paragraphe 21(1) de la Loi sur le CST<\/em>, mais aussi acqu\u00e9rir, utiliser et analyser l\u2019information de sorte \u00e0 renforcer la protection de cette information \u00e9lectronique et de ces infrastructures.<\/li>\n\n\n\n
          • Cyberop\u00e9rations d\u00e9fensives (article 18) : mener, dans l\u2019infrastructure mondiale de l\u2019information, des activit\u00e9s ayant pour but de prot\u00e9ger l\u2019information \u00e9lectronique de m\u00eame que les infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales ou celles d\u00e9sign\u00e9es au paragraphe 21(1) de la Loi sur le CST<\/em>.<\/li>\n\n\n\n
          • Cyberop\u00e9rations actives (article 19) : mener des activit\u00e9s dans l\u2019infrastructure mondiale de l\u2019information visant \u00e0 r\u00e9duire, \u00e0 interrompre, \u00e0 influencer ou \u00e0 contrecarrer, selon le cas, les capacit\u00e9s, les intentions ou les activit\u00e9s d\u2019entit\u00e9s \u00e9trang\u00e8res.<\/li>\n\n\n\n
          • Assistance technique et op\u00e9rationnelle (article 20) : fournir une assistance technique et op\u00e9rationnelle aux organismes charg\u00e9s de l\u2019application de la loi et de la s\u00e9curit\u00e9, aux Forces canadiennes et au minist\u00e8re de la D\u00e9fense nationale.<\/li>\n<\/ul>\n\n\n\n

            (NC) De plus, la Loi sur le CST \u00e9tablit des distinctions entre les volets en exigeant aussi l\u2019obtention d\u2019autorisations minist\u00e9rielles (AM) pour les diverses activit\u00e9s du CST, sauf dans les contextes o\u00f9 celui-ci pr\u00eate son assistance (art 20)6. En outre, exception faite des activit\u00e9s d\u2019assistance, la Loi sur le CST<\/em> stipule que les activit\u00e9s du CST ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne peuvent porter atteinte \u00e0 la Charte canadienne des droits et libert\u00e9s7. Les activit\u00e9s men\u00e9es par le CST dans la r\u00e9alisation du volet touchant au RE et \u00e0 la cybers\u00e9curit\u00e9 ne doivent pas contrevenir aux autres lois f\u00e9d\u00e9rales ni viser l\u2019acquisition d\u2019information \u00e0 partir de l\u2019infrastructure mondiale de l\u2019information ou par l\u2019entremise de celui-ci qui puisse porter atteinte \u00e0 une attente raisonnable de protection en mati\u00e8re de vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada, \u00e0 moins d\u2019\u00eatre men\u00e9es au titre d\u2019une autorisation minist\u00e9rielle.<\/p>\n\n\n\n

            (NC) Le ministre de la D\u00e9fense nationale peut d\u00e9livrer une AM permettant au CST de mener des activit\u00e9s ou des cat\u00e9gories d\u2019activit\u00e9s pouvant contrevenir \u00e0 une loi f\u00e9d\u00e9rale et, dans le cas du RE et de la cybers\u00e9curit\u00e9, de viser l\u2019acquisition d\u2019informations qui porteraient atteinte \u00e0 l\u2019attente raisonnable de protection en mati\u00e8re de vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. Les AM de RE et de cybers\u00e9curit\u00e9 doivent \u00eatre approuv\u00e9es par le commissaire au renseignement (CR), qui est tenu d\u2019examiner si les conclusions que le ministre a rendues avant de d\u00e9livrer l\u2019autorisation sont raisonnables.<\/p>\n\n\n\n

            (NC) Ainsi, le CST est autoris\u00e9 \u00e0 acqu\u00e9rir incidemment des informations qui se rapportent \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada au cours d\u2019activit\u00e9s men\u00e9es au titre d\u2019une autorisation d\u00e9livr\u00e9e en vertu d\u2019une AM de RE [art 26(1)], d\u2019une AM de cybers\u00e9curit\u00e9 [art 27(1) ou 27(2)] ou encore d\u2019une AM en cas d\u2019urgence (art 40). Le CST d\u00e9signe ces informations comme \u00e9tant des informations se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada (ICPC). Avant de d\u00e9livrer une autorisation, le ministre doit \u00eatre convaincu que le CST n\u2019utilisera, n\u2019analysera ou ne conservera les ICPC que si la situation r\u00e9pond aux conditions d\u2019essentialit\u00e9 vis\u00e9es \u00e0 l\u2019article 34 de la Loi sur le CST<\/em>, conditions qui sont diff\u00e9rentes dans le cas des volets RE et cybers\u00e9curit\u00e9. Pour ce qui touche le RE, l\u2019essentialit\u00e9 est \u00e9tablie suivant une \u00e9valuation visant \u00e0 d\u00e9terminer si l\u2019information est essentielle aux affaires internationales, \u00e0 la d\u00e9fense ou \u00e0 la s\u00e9curit\u00e9. Pour ce qui a trait \u00e0 la cybers\u00e9curit\u00e9, l\u2019essentialit\u00e9 est \u00e9tablie suivant une \u00e9valuation visant \u00e0 d\u00e9terminer si l\u2019information est n\u00e9cessaire pour d\u00e9couvrir, isoler, pr\u00e9venir ou att\u00e9nuer des dommages (i) aux informations \u00e9lectroniques ou infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales ou encore (ii) aux informations \u00e9lectroniques ou infrastructures de l\u2019information vis\u00e9es au paragraphe 21(1) de la Loi sur le CST<\/em>.<\/p>\n\n\n\n

            (NC) \u00c9tant donn\u00e9 que la Loi sur le CST<\/em> \u00e9tablit des distinctions entre les volets et leurs AM respectives, l\u2019OSSNR a examin\u00e9 les fondements juridiques encadrant les activit\u00e9s du CST en mati\u00e8re d\u2019\u00e9change d\u2019ICPC entre les volets RE et cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

            (NC) En raison de difficult\u00e9s op\u00e9rationnelles et de probl\u00e8mes li\u00e9s aux acc\u00e8s, notamment en contexte de pand\u00e9mie de COVID-19, le pr\u00e9sent examen n\u2019a donn\u00e9 lieu ni \u00e0 une \u00e9valuation ni \u00e0 une v\u00e9rification ind\u00e9pendantes de la conformit\u00e9 du CST aux lois ou aux contraintes et pouvoirs en vigueur dans les cas d\u2019\u00e9changes d\u2019informations en interne, entre divers volets. Au reste, l\u2019OSSNR n\u2019a pas \u00e9t\u00e9 en mesure de proc\u00e9der en toute ind\u00e9pendance \u00e0 des observations, \u00e0 des enqu\u00eates ou \u00e0 des validations visant les syst\u00e8mes employ\u00e9s aux fins des \u00e9changes de donn\u00e9es entre divers volets (pri\u00e8re de consulter l\u2019Annexe F pour trouver une description des m\u00e9thodes et des processus suivis par le CST pour \u00e9changer des informations entre deux volets). Or, ces syst\u00e8mes d\u2019\u00e9change de donn\u00e9es pourraient ult\u00e9rieurement \u00eatre l\u2019objet d\u2019un examen de la part de l\u2019OSSNR.<\/p>\n\n\n\n

            12.\t(NC) L\u2019OSSNR avait \u00e9galement l\u2019intention d\u2019examiner les \u00e9changes internes d\u2019informations du c\u00f4t\u00e9 des volets cyberop\u00e9rations actives (COA) et cyberop\u00e9rations d\u00e9fensives (COD) du mandat du CST, ce qui comprend \u00e9galement les exigences vis\u00e9es au paragraphe 34(4) de la Loi sur le CST<\/em> concernant l\u2019acquisition d\u2019informations pendant les cyberop\u00e9rations de type COA ou COD. Entre autres, ce paragraphe stipule qu\u2019aucune information ne sera acquise au titre d\u2019une autorisation de COA ou de COD, sauf conform\u00e9ment \u00e0 une autorisation de RE [Loi sur le CST, paragraphe 26(1)], \u00e0 une autorisation de cybers\u00e9curit\u00e9 [Loi sur le CST<\/em>, paragraphes 27(1) et 27(2)] ou \u00e0 une autorisation en cas d\u2019urgence [Loi sur le CST<\/em>, paragraphe 40(1)]. Cet aspect de l\u2019examen a plut\u00f4t \u00e9t\u00e9 r\u00e9alis\u00e9 \u00e0 l\u2019occasion d\u2019un autre examen de l\u2019OSSNR intitul\u00e9 Cyberop\u00e9rations actives et cyberop\u00e9rations d\u00e9fensives du CST<\/em> \u2013 Gouvernance et sera examin\u00e9 plus avant \u00e0 l\u2019occasion d\u2019un prochain examen de l\u2019OSSNR devant se d\u00e9rouler en 2021.<\/p>\n\n\n\n

            (NC) Il importe d\u2019indiquer que le pr\u00e9sent examen ne s\u2019est pas pench\u00e9 sur la communication d\u2019informations nominatives sur un Canadien (INC) \u00e0 l\u2019ext\u00e9rieur du CST.<\/p>\n\n\n\n

            Contexte<\/h2>\n\n\n\n

            Que sont les ICPC?<\/em><\/h3>\n\n\n\n

            (NC) M\u00eame si elle est mentionn\u00e9e \u00e0 plusieurs reprises dans la Loi sur le CST<\/em>, la notion\n\u00ab information se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada \u00bb (ICPC) n\u2019y est pas pr\u00e9cis\u00e9ment d\u00e9finie. De fait, les ICPC sont des informations qui se rapportent \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada et qui pourraient \u00eatre incidemment collect\u00e9es par le CST durant des activit\u00e9s de RE ou de cybers\u00e9curit\u00e9 men\u00e9es au titre d\u2019une AM. Selon la politique du CST, s\u2019entend d\u2019une ICPC toute information reconnue comme se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada, que cette information puisse ou non servir \u00e0 identifier ledit Canadien ou ladite personne se trouvant au Canada.<\/p>\n\n\n\n

            (NC) Il faut donc savoir que les ICPC diff\u00e8rent de ce que l\u2019on appelle les informations nominatives sur un Canadien (INC). En outre, la Loi sur le CST<\/em> emploie fr\u00e9quemment les deux termes, ICPC et INC, pour d\u00e9signer certains types d\u2019informations. De fait, les ICPC comprennent toute information reconnue comme se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada, tandis que les INC comprennent toute information qui permet d\u2019identifier un Canadien ou une personne se trouvant au Canada et qui a \u00e9t\u00e9 utilis\u00e9e, analys\u00e9e ou conserv\u00e9e au titre d\u2019une autorisation de RE ou de situation d\u2019urgence. Pour le CST, les INC sont un sous-ensemble des ICPC. Par ailleurs, l\u2019article 43 de la Loi sur le CST<\/em> indique que les INC peuvent \u00eatre communiqu\u00e9es par le CST \u00e0 des personnes d\u00e9sign\u00e9es en vertu de l\u2019article 45 de cette m\u00eame Loi.<\/p>\n\n\n\n

            \u00c9changes internes d\u2019ICPC au CST<\/h3>\n\n\n\n

            (TS<\/s>) Dans certains cas, la politique du CST permet que les ICPC collect\u00e9es dans le cadre des activit\u00e9s d\u2019un volet soient communiqu\u00e9es aux fins d\u2019utilisation par un autre volet (voir l\u2019Annexe D pour une description des autres types d\u2019informations pouvant \u00eatre \u00e9chang\u00e9es entre les volets RE et cybers\u00e9curit\u00e9). Le CST permet que le RE soit utilis\u00e9 en interne pour r\u00e9pondre \u00e0 des besoins li\u00e9s \u00e0 la cybers\u00e9curit\u00e9. Les informations conserv\u00e9es au sein du volet cybers\u00e9curit\u00e9 peuvent \u00eatre utilis\u00e9es par le personnel du CST travaillant au sein du volet RE, \u00e0 moins que les informations soient assujetties \u00e0 des conditions particuli\u00e8res impos\u00e9es par des clients externes ou des entit\u00e9s divulgatrices. Selon le CST, les \u00e9changes d\u2019information entre les divers volets du mandat permettent au Centre d\u2019exercer ses fonctions de soutien aux priorit\u00e9s du gouvernement du Canada.<\/p>\n\n\n\n

            (TS<\/s>) Dans le contexte de la cybers\u00e9curit\u00e9, le CST a indiqu\u00e9 que les ICPC \u00e9chang\u00e9es en interne dans le but d'appuyer le volet RE [description des op\u00e9rations du CST expurg\u00e9]<\/strong><\/p>\n\n\n\n

            (TS\/\/SI<\/s>) \u00c0 titre d\u2019exemple, le CST a abord\u00e9 [description des op\u00e9rations du CST expurg\u00e9]<\/strong>. Le fait de communiquer cette information entre divers volets du mandat a permis au CST de renforcer la protection de l\u2019information \u00e9lectronique et des structures de l\u2019information du GC, mais aussi des syst\u00e8mes et r\u00e9seaux d\u2019importance (SRI) en permettant de reconna\u00eetre, d\u2019isoler et d\u2019att\u00e9nuer la menace en question. Cette communication a \u00e9galement fourni aux d\u00e9cideurs du GC un portrait complet des menaces qui ciblent le Canada.<\/p>\n\n\n\n

            (TS<\/s>) Apr\u00e8s avoir examin\u00e9 une s\u00e9rie de rapports choisis au hasard, re\u00e7u des informations de la part du CST et interrog\u00e9 des analystes exp\u00e9riment\u00e9s \u00e0 la fois en RE et en cybers\u00e9curit\u00e929, l\u2019OSSNR a appris que les ICPC \u00e9chang\u00e9es30 entre les volets RE et cybers\u00e9curit\u00e9 comprenaient g\u00e9n\u00e9ralement [liste des donn\u00e9es op\u00e9rationnelles utilis\u00e9es dans le syst\u00e8me expurg\u00e9]<\/strong><\/p>\n\n\n\n

            (NC) Le CST estime que m\u00eame lorsque des ICPC sont \u00e9chang\u00e9es entre les divers volets, les activit\u00e9s ne ciblent aucunement des Canadiens ou des personnes se trouvant au Canada. Comme il a \u00e9t\u00e9 dit pr\u00e9c\u00e9demment, les activit\u00e9s du CST ne doivent viser ni les Canadiens ni les personnes se trouvant au Canada..<\/em><\/p>\n\n\n\n

            Conclusions et recommendations<\/h2>\n\n\n\n

            Conformit\u00e9 aux dispositions de la Loi sur le CST <\/em>et de la Loi sur la protection des renseignements personnels<\/em><\/h3>\n\n\n\n

            Quelles sont les lois s\u2019appliquant aux \u00e9changes d\u2019informations en interne?<\/h4>\n\n\n\n

            (S<\/s>) Les lois s\u2019appliquant au CST en mati\u00e8re d\u2019\u00e9change d\u2019informations en interne sont les lois habilitantes du CST, \u00e0 savoir la Loi sur le CST et la Loi sur la protection des renseignements personnels<\/em>. La Loi sur le CST<\/em> ne contient pas \u00e0 proprement parler d\u2019autorisation permettant les \u00e9changes d\u2019ICPC entre les divers volets. De m\u00eame, les dispositions de la Loi sur le CST<\/em> en mati\u00e8re de divulgation des INC, lesquelles sont \u00e9nonc\u00e9es aux articles 43 \u00e0 45, n\u2019abordent pas directement la question des \u00e9changes d\u2019ICPC en interne. De fait, pour que des informations soient divulgu\u00e9es en vertu de ces dispositions, le ministre doit d\u2019abord autoriser le CST \u00e0 collecter les INC et \u00e0 les communiquer en interne. De plus, le CST ne constitue pas une entit\u00e9 d\u00e9sign\u00e9e en vertu de l\u2019article 45 de la Loi sur le CST pour ce qui a trait \u00e0 la r\u00e9ception d\u2019informations divulgu\u00e9es au titre des articles 43 et 44.<\/p>\n\n\n\n

            (NC) Les ICPC pourraient constituer des renseignements personnels au sens de l\u2019article 3 de la Loi sur la protection des renseignements personnels<\/em>, \u00e0 savoir des informations se rapportant \u00e0 une personne identifiable, qui sont enregistr\u00e9es sous une forme ou une autre. Par exemple, les adresses IP canadiennes pourraient constituer \u00e0 la fois des ICPC au sens de la Loi sur le CST<\/em>, mais aussi des renseignements personnels au sens de la Loi sur la protection des renseignements personnels<\/em>. En vertu de l\u2019article 4 de la Loi sur la protection des renseignements personnels, la collecte de renseignements personnels doit \u00eatre directement li\u00e9e \u00e0 une activit\u00e9 ou un programme d\u2019exploitation de l\u2019organisme, ce qui englobe les activit\u00e9s relevant du mandat du CST en vertu de la Loi sur le CST<\/em>.<\/p>\n\n\n\n

            (NC) La Loi sur la protection des renseignements personnels<\/em> exige \u00e9galement que les renseignements personnels soient utilis\u00e9s ou divulgu\u00e9s conform\u00e9ment aux dispositions des articles 7 et 8 de la Loi sur la protection des renseignements personnels<\/em>. En l\u2019occurrence, l\u2019article 7 \u00e9nonce ce qui suit :<\/p>\n\n\n\n

            \u00c0 d\u00e9faut du consentement de l\u2019individu concern\u00e9, les renseignements personnels relevant d\u2019une institution f\u00e9d\u00e9rale ne peuvent servir \u00e0 celle-ci :<\/p>\n\n\n\n

              \n
            • qu\u2019aux fins auxquelles ils ont \u00e9t\u00e9 recueillis ou pr\u00e9par\u00e9s par l\u2019institution de m\u00eame que pour les usages qui sont compatibles avec ces fins;<\/li>\n\n\n\n
            • qu\u2019aux fins auxquelles ils peuvent lui \u00eatre communiqu\u00e9s en vertu de du paragraphe 8(2).<\/li>\n<\/ul>\n\n\n\n

              (NC) L\u2019OSSNR a v\u00e9rifi\u00e9 si les \u00e9changes d\u2019ICPC effectu\u00e9s par le CST en interne r\u00e9pondaient aux exigences de la Loi sur la protection des renseignements personnels, laquelle impose des contraintes sur la fa\u00e7on dont les renseignements personnels collect\u00e9s peuvent \u00eatre utilis\u00e9s par les institutions f\u00e9d\u00e9rales. L\u2019OSSNR a conclu que dans certaines circonstances, comme il est d\u00e9crit plus loin dans le pr\u00e9sent rapport, les \u00e9changes d\u2019ICPC constituant des renseignements personnels entre les volets RE et cybers\u00e9curit\u00e9 pourraient r\u00e9pondre aux exigences de la Loi sur la protection des renseignements personnels<\/em>. Or, cette \u00e9valuation de la conformit\u00e9 n\u00e9cessite l\u2019analyse de chacun des cas.<\/p>\n\n\n\n