{"id":9926,"date":"2025-05-21T10:49:54","date_gmt":"2025-05-21T14:49:51","guid":{"rendered":"https:\/\/dev.nsira-ossnr.gc.ca:9174\/reviews\/our-reviews\/cses-network-based-solutions-and-related-cs-ia-activities\/report-2\/"},"modified":"2025-10-02T10:27:30","modified_gmt":"2025-10-02T14:27:30","slug":"report","status":"publish","type":"page","link":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/21-17\/rapport-2\/","title":{"rendered":"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report"},"content":{"rendered":"
\n
\n
\n
\n
\n \n

\n Solutions r\u00e9seau du Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications et activit\u00e9s connexes en mati\u00e8re de cybers\u00e9curit\u00e9 et d'AI <\/h1>\n\n
\n\n \n

\n Rapport <\/h2>\n \n \n\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n\n\n
\n
\n
Table des mati\u00e8res<\/div><\/div><\/div>
  1. Sommaire<\/a><\/li>
  2. Glossaire<\/a><\/li>
  3. Sigles et acronymes<\/a><\/li>
  4. Introduction<\/a>
    1. Fondements l\u00e9gislatifs<\/a><\/li>
    2. Port\u00e9e de l\u2019examen<\/a><\/li>
    3. M\u00e9thodologie<\/a><\/li>
    4. \u00c9nonc\u00e9s g\u00e9n\u00e9raux<\/a><\/li><\/ol><\/li>
    5. APER\u00c7U DES SR ET DES ACTIVIT\u00c9S CAI<\/a>
      1. En quoi le programme CAI du CST consiste-t-il?<\/a><\/li>
      2. Que sont les solutions du CCC en mati\u00e8re de cybers\u00e9curit\u00e9?<\/a><\/li>
      3. Fondements juridiques des activit\u00e9s de cybers\u00e9curit\u00e9 et d\u2019assurance de\nl\u2019information (CAI)<\/a><\/li>
      4. Cadre strat\u00e9gique s\u2019appliquant aux activit\u00e9s de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information (CAI)<\/a><\/li><\/ol><\/li>
      5. Analyse<\/a>
        1. Transparence quant \u00e0 la nature de la collecte SR<\/a><\/li>
        2. SR, ICPC et information pouvant porter atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien\nou d\u2019une personne se trouvant au Canada<\/a><\/li>
        3. Consentement \u00e0 l\u2019\u00e9gard des solutions de cybers\u00e9curit\u00e9 du CST<\/a><\/li>
        4. Information de sources externes \u00e0 l\u2019\u00e9gard de laquelle les Canadiens ou les personnes se trouvant au Canada ont une attente raisonnable en mati\u00e8re de protection de la priv\u00e9e (ARPVP)<\/a><\/li>
        5. Risques li\u00e9s \u00e0 l\u2019acquisition d\u2019information pouvant contenir des renseignements susceptibles de donner lieu \u00e0 une ARPVP et provenant de sources d\u2019information de cybers\u00e9curit\u00e9 non vis\u00e9es par une autorisation<\/a><\/li><\/ol><\/li>
        6. CONCLUSION<\/a><\/li>
        7. ANNEXE A : Cycle de vie de l\u2019information<\/a>
          1. Collecte<\/a><\/li>
          2. Analyse<\/a><\/li>
          3. Conservation et \u00e9limination<\/a><\/li>
          4. \u00c9tablissement de rapports et utilisation<\/a><\/li><\/ol><\/li>
          5. ANNEXE B : Utilisation de l\u2019information de\ncybers\u00e9curit\u00e9 par divers volets<\/a><\/li>
          6. ANNEXE C : Conclusions et recommandations<\/a>
            1. Constatations<\/a><\/li>
            2. Recommandations<\/a><\/li><\/ol><\/li><\/ol><\/div><\/div><\/div><\/section>\n\n\n\n
              \n<\/div><\/div>\n\n\n\n
              \n

              Date de publication :<\/strong><\/p>\n\n\n

              \n
              <\/i>T\u00e9l\u00e9charger le PDF<\/span><\/a><\/span><\/div>\n<\/div><\/div>\n\n\n\n

              Sommaire<\/h2>\n\n\n\n

              Le gouvernement du Canada consid\u00e8re la cybers\u00e9curit\u00e9 comme l\u2019un des plus importants d\u00e9fis auxquels le Canada et les Canadiens font face sur le plan de l\u2019\u00e9conomie et de la s\u00e9curit\u00e9 nationale. C\u2019est d\u2019ailleurs dans ce contexte que l\u2019entr\u00e9e en vigueur, en 2019, de la Loi sur le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications<\/em> (Loi sur le CST) donne lieu \u00e0 des modifications substantielles aux pouvoirs que le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (CST, le Centre) exerce dans le cadre de ses activit\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information (CAI). Certes, l\u2019acquisition et l\u2019analyse d\u2019importants volumes d\u2019information sont essentielles lorsqu'il s'agit de reconna\u00eetre et de pr\u00e9venir les cybermenaces, mais il faut \u00e9galement comprendre que les activit\u00e9s de CAI sont souvent intrusives et qu\u2019elles soul\u00e8vent d'importants enjeux sur le plan de la protection de la vie priv\u00e9e.<\/p>\n\n\n\n

              Le pr\u00e9sent examen est le premier que l'OSSNR r\u00e9alise au sujet des activit\u00e9s CAI du CST. De\nplus, l\u2019OSSNR a inclus Services partag\u00e9s Canada (SPC) dans la port\u00e9e de l\u2019examen, compte tenu de\nson r\u00f4le en tant que propri\u00e9taire de syst\u00e8mes dans une large part des r\u00e9seaux du gouvernement du\nCanada. En l\u2019occurrence, l\u2019OSSNR examine les activit\u00e9s de SPC pour la toute premi\u00e8re fois.<\/p>\n\n\n\n

              \u00c0 l\u2019origine, l\u2019examen devait se concentrer sur l\u2019une des trois principales solutions de cybers\u00e9curit\u00e9 que le CST emploie pour d\u00e9tecter et contrer les menaces envers l'information num\u00e9rique et les infrastructures de l\u2019information que le Centre est appel\u00e9 \u00e0 prot\u00e9ger, \u00e0 savoir les solutions r\u00e9seau (SR). Ce faisant, l'examen a \u00e9t\u00e9 l'occasion de conceptualiser le cycle de vie de l\u2019information de cybers\u00e9curit\u00e9 qui est initialement saisie par les capteurs SR, puis trait\u00e9e par divers syst\u00e8mes sur lesquels repose l\u2019\u00e9cosyst\u00e8me de cyberd\u00e9fense du CST.<\/p>\n\n\n\n

              En d\u00e9finitive, l\u2019OSSNR conclut que le CST exploite un ensemble complet et int\u00e9gr\u00e9 de syst\u00e8mes, d'outils et de capacit\u00e9s de cybers\u00e9curit\u00e9 qui est apte \u00e0 garantir une protection contre les \ncybermenaces et qui comporte des mesures visant \u00e0 prot\u00e9ger la vie priv\u00e9e des Canadiens et des personnes se trouvant au Canada.<\/p>\n\n\n\n

              L\u2019OSSNR a \u00e9galement analys\u00e9 deux importants domaines th\u00e9matiques : la.transparence et la vie priv\u00e9e. L\u2019OSSNR a formul\u00e9 des conclusions et des recommandations en mati\u00e8re de transparence\nrelativement \u00e0 certaines des informations fournies par le CST au ministre de la D\u00e9fense nationale et\naux engagements pris par le Centre dans le cadre de ses demandes d\u2019autorisations minist\u00e9rielles en\npr\u00e9vision d\u2019activit\u00e9s de cybers\u00e9curit\u00e9 du CST devant avoir lieu dans l\u2019infrastructure f\u00e9d\u00e9rale.<\/p>\n\n\n\n

              L'OSSNR a aussi examin\u00e9 un cas particulier, celui d\u2019activit\u00e9s d\u2019acquisition, par le CST,\nd\u2019information de cybers\u00e9curit\u00e9 aupr\u00e8s d\u2019une source externe, information qui aurait pu susciter une attente raisonnable de Canadiens ou de personnes se trouvant au Canada en mati\u00e8re de protection de la vie priv\u00e9e. Le CST a poursuivi ces activit\u00e9s apr\u00e8s que le commissaire au renseignement eut \u00e9tabli qu\u2019il ne pouvait pas les approuver tel qu\u2019elles avaient \u00e9t\u00e9 propos\u00e9es dans la demande \nd\u2019autorisation minist\u00e9rielle. L\u2019OSSNR a formul\u00e9 des conclusions et fait des recommandations\nconcernant la fa\u00e7on dont le CST a trait\u00e9 cette difficult\u00e9 qui s\u2019est pos\u00e9e en raison d'une incoh\u00e9rence dans la Loi sur le CST, laquelle contraint toute autorisation \u00e0 n\u2019\u00eatre d\u00e9livr\u00e9e que pour cette activit\u00e9 d\u2019acquisition particuli\u00e8re au titre du volet CAI du mandat du CST.<\/p>\n\n\n\n

              Bien que le CST n\u2019ait que partiellement r\u00e9pondu aux attentes de l\u2019OSSNR au chapitre de la r\u00e9activit\u00e9 dans le cadre du pr\u00e9sent examen, l\u2019Office de surveillance a \u00e9t\u00e9 en mesure de v\u00e9rifier de fa\u00e7on ind\u00e9pendante les informations du CST qui ont \u00e9t\u00e9 produites tout au long de l'examen.<\/p>\n\n\n\n

              Glossaire<\/h2>\n\n\n\n

              Collectivit\u00e9 des cinq. <\/em><\/strong>Terme d\u00e9signant le partenariat qui regroupe le Canada, les \u00c9tats-Unis, le Royaume-Uni, l\u2019Australie et la Nouvelle-Z\u00e9lande \u00e0 des fins d\u2019\u00e9change de renseignement.<\/p>\n\n\n\n

              Incidemment. <\/em><\/strong>Selon le paragraphe 23(5) de la Loi sur le CST : \u00ab S\u2019agissant de l\u2019acquisition de l\u2019information, s'entend de la mani\u00e8re dont celle-ci est acquise dans le cas o\u00f9 elle n\u2019\u00e9tait pas d\u00e9lib\u00e9r\u00e9ment recherch\u00e9e et o\u00f9 le Canadien ou la personne se trouvant au Canada \u00e0 qui elle se rapporte n'\u00e9tait pas vis\u00e9 par l\u2019acquisition. \u00bb<\/p>\n\n\n\n

              Ministre. <\/em><\/strong>Dans le pr\u00e9sent rapport, le terme \u00ab Ministre \u00bb d\u00e9signe le ministre de la D\u00e9fense nationale.<\/p>\n\n\n\n

              Communication priv\u00e9e (CP). <\/em><\/strong>Selon l\u2019article 183 du Code criminel. Communication orale ou t\u00e9l\u00e9communication dont l\u2019auteur se trouve au Canada, ou destin\u00e9e par celui-ci \u00e0 une personne qui s\u2019y trouve, et qui est faite dans des circonstances telles que son auteur peut raisonnablement s\u2019attendre \u00e0 ce qu\u2019elle ne soit pas intercept\u00e9e par un tiers.<\/p>\n\n\n\n

              Information accessible au public (IAP). <\/em><\/strong>Selon l\u2019article 2 de la Loi sur le CST, l\u2019IAP d\u00e9signe\nl\u2019information \u00ab [p]ubli\u00e9e ou diffus\u00e9e \u00e0 l\u2019intention du grand public, accessible au public dans l\u2019infrastructure mondiale de l'information ou ailleurs ou disponible au public sur demande, par\nabonnement ou achat. Ne vise pas l\u2019information \u00e0 l\u2019\u00e9gard de laquelle un Canadien ou une personne\nse trouvant au Canada a une attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e. \u00bb<\/p>\n\n\n\n

              Attente raisonnable d\u2019un Canadien ou d\u2019une personne se trouvant au Canada en mati\u00e8re de protection de la vie priv\u00e9e (ARPVP) <\/em><\/strong>L\u2019article 8 de la Charte canadienne des droits et libert\u00e9s indique que chacun a le droit \u00e0 la protection contre les fouilles, les perquisitions ou les saisies abusives. Aux fins de l\u2019article 8, constitue une \u00ab fouille \u00bb ou une \u00ab perquisition \u00bb toute intervention de l\u2019\u00c9tat qui porte atteinte \u00e0 \u00ab l\u2019attente raisonnable d\u2019une personne en mati\u00e8re de protection de la vie priv\u00e9e \u00bb (ARPVP). Comme il a \u00e9t\u00e9 dit pr\u00e9c\u00e9demment, l\u2019information \u00e0 l\u2019\u00e9gard de laquelle un Canadien ou une personne se trouvant au Canada a une ARPVP est exclue de la d\u00e9finition de la notion d\u2019IAP dans la Loi sur le CST. S\u2019agissant de la r\u00e9alisation du volet touchant le renseignement \u00e9tranger ou du volet touchant la cybers\u00e9curit\u00e9 du mandat organisationnel, les paragraphes 22(3) et 22(4) de la Loi sur le CST interdisent les activit\u00e9s qui portent atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au Canada, \u00e0 moins que ces activit\u00e9s aient \u00e9t\u00e9 autoris\u00e9es par le Ministre, conform\u00e9ment\n\u00e0 ce qui est \u00e9nonc\u00e9 dans la Loi.<\/p>\n\n\n\n

              Solution.<\/em><\/strong> Dans le pr\u00e9sent rapport, la notion de \u00ab solution \u00bb d\u00e9signe un syst\u00e8me faisant appel \u00e0 des composantes mat\u00e9rielles et logicielles qui permettent de surveiller les cybermenaces et d\u2019y r\u00e9agir le cas \u00e9ch\u00e9ant. Cette notion peut faire appel \u00e0 un large \u00e9ventail de capacit\u00e9s particuli\u00e8res. <\/p>\n\n\n\n

              Propri\u00e9taire de syst\u00e8me. <\/em><\/strong> Dans le pr\u00e9sent rapport, la notion de \u00ab propri\u00e9taire de syst\u00e8me \u00bb d\u00e9signe un minist\u00e8re ou un organisme du gouvernement du Canada ou encore les entit\u00e9s qui les composent, pour peu qu\u2019ils exercent des fonctions de gestion ou de protection des syst\u00e8mes informatiques, ce qui peut comprendre les syst\u00e8mes d\u2019autres minist\u00e8res ou organismes. S\u2019agissant du programme de cybers\u00e9curit\u00e9 responsable des SR du CST, [**expurg\u00e9**] minist\u00e8res ou organismes constituent des \u00ab partenaires \u00bb du CST dans le contexte de la mise en \u0153uvre de ce programme de cybers\u00e9curit\u00e9 responsable des SR (\u00ab partenaires SR \u00bb). Les partenaires SR poss\u00e8dent des syst\u00e8mes faisant partie d'une multiplicit\u00e9 de r\u00e9seaux connect\u00e9s \u00e0 Internet; certains des partenaires offrent \u00e9galement ces services de protection r\u00e9seau par SR \u00e0 d'autres minist\u00e8res ou organisations. Les [**expurg\u00e9**] \n partenaires SR sont SPC, [**expurg\u00e9**] et le CST.<\/p>\n\n\n\n

              Utilisateur de syst\u00e8me. <\/em><\/strong>Dans le pr\u00e9sent rapport, le terme \u00ab utilisateur de syst\u00e8me \u00bb d\u00e9signe une personne qui se sert d\u2019un syst\u00e8me informatique ou d\u2019un r\u00e9seau.<\/p>\n\n\n\n

              Sigles et acronymes<\/h2>\n\n\n\n
              \n
              \n
              ASFC<\/dt>\n
              Agence des services frontaliers du Canada<\/dd>\n\n
              CHS<\/dt>\n
              Confidential Human Source<\/dd>\n\n
              CHSC<\/dt>\n
              Confidential Human Source Program Coordinator<\/dd>\n\n
              CHS-CC<\/dt>\n
              Confidential Human Source Contact (or Confidential Contact)<\/dd>\n\n
              CHS-P<\/dt>\n
              Prospective Confidential Human Source<\/dd>\n\n
              CHS-R<\/dt>\n
              Registered Confidential Human Source<\/dd>\n\n
              CHSPP<\/dt>\n
              Confidential Human Source Program Participant<\/dd>\n\n
              SCRS<\/dt>\n
              Canadian Security and Intelligence Service<\/dd>\n\n
              MDN\/FAC<\/dt>\n
              Minist\u00e8re de la d\u00e9fense nationale\/Forces arm\u00e9es canadiennes<\/dd>\n\n
              DRC<\/dt>\n
              Designated Regional Coordinator<\/dd>\n\n
              IEO<\/dt>\n
              Inland Enforcement Officer<\/dd>\n\n
              IMS<\/dt>\n
              Intelligence Management System<\/dd>\n\n
              IRCC<\/dt>\n
              Immigration, R\u00e9fugi\u00e9s et Citoyennet\u00e9 Canada<\/dd>\n\n
              LIPR<\/dt>\n
              Loi sur l\u2019immigration et la protection des r\u00e9fugi\u00e9s<\/dd>\n\n
              DM<\/dt>\n
              Ministerial Direction on Surveillance and Confidential Human Sources<\/dd>\n\n
              NHQ<\/dt>\n
              National Headquarters<\/dd>\n\n
              NSICOP<\/dt>\n
              National Security and Intelligence Committee of Parliamentarians<\/dd>\n\n
              OSSNR<\/dt>\n
              Office de surveillance des activit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 nationale et de renseignement<\/dd>\n\n
              PAC<\/dt>\n
              Pacific Region<\/dd>\n\n
              PRRA<\/dt>\n
              Pre-Removal Risk Assessment<\/dd>\n\n
              RAO<\/dt>\n
              Risk Assessment Officer<\/dd>\n\n
              GRC<\/dt>\n
              Gendarmerie royale du Canada<\/dd>\n\n
              SDR<\/dt>\n
              Source Debrief Report<\/dd>\n\n
              PON<\/dt>\n
              Proc\u00e9dures op\u00e9rationnelles normalis\u00e9es<\/dd>\n\n
              ALPR<\/dt>\n
              Acknowledgement of Legal and Policy Requirements<\/dd>\n\n
              CBS<\/dt>\n
              Cloud-based solutions<\/dd>\n\n
              CCCS<\/dt>\n
              Canadian Centre for Cyber Security (Cyber Centre), part of CSE<\/dd>\n\n
              CERT<\/dt>\n
              Computer Emergency Response Team<\/dd>\n\n
              CSIA<\/dt>\n
              Cybersecurity and information assurance (aspect of CSE\u2019s mandate; section 17 of the Loi sur le CST<\/em>)<\/dd>\n\n
              CST<\/dt>\n
              Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications<\/dd>\n\n
              Loi sur le CST<\/dt>\n
              Loi sur le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications<\/em><\/dd>\n\n
              GC<\/dt>\n
              Gouvernement du Canada<\/dd>\n\n
              GII<\/dt>\n
              Global Information Infrastructure<\/dd>\n\n
              HBS<\/dt>\n
              Host-based solutions<\/dd>\n\n
              IOC<\/dt>\n
              Indicator of compromise<\/dd>\n\n
              IRTC<\/dt>\n
              Information qui se rapporte \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada<\/dd>\n\n
              MND<\/dt>\n
              Minister of National Defence<\/dd>\n\n
              MoU<\/dt>\n
              Protocole d\u2019entente<\/dd>\n\n
              MPS<\/dt>\n
              Mission Policy Suite (CSE)<\/dd>\n\n
              NBS<\/dt>\n
              Network-based solutions<\/dd>\n\n
              NDA<\/dt>\n
              Loi sur la defense nationale<\/em> (CSE\u2019s lawful authority prior to the Loi sur le CST<\/em>)<\/dd>\n\n
              BCCST<\/dt>\n
              Office of the CSE Commissioner (1996\u20132019)<\/dd>\n\n
              NSICOP<\/dt>\n
              National Security and Intelligence Committee of Parliamentarians<\/dd>\n\n
              PAI<\/dt>\n
              Publicly available information; see glossary.<\/dd>\n\n
              PC<\/dt>\n
              Private communication; see glossary.<\/dd>\n\n
              BCP<\/dt>\n
              Bureau du Conseil priv\u00e9<\/dd>\n\n
              OSSNR<\/dt>\n
              Review of CSE\u2019s NBS and related CSIA activities<\/dd>\n\n
              RCP<\/dt>\n
              Releasable cybersecurity product<\/dd>\n\n
              REP<\/dt>\n
              Reasonable expectation of privacy (of a Canadian or person in Canada)<\/dd>\n\n
              DI<\/dt>\n
              Demande d\u2019information<\/dd>\n\n
              SIGINT<\/dt>\n
              Signals Intelligence<\/dd>\n\n
              SME<\/dt>\n
              Subject-Matter Expert<\/dd>\n\n
              SOI<\/dt>\n
              System of Importance (as designated by the Minister in s. 21(1) of the Loi sur le CST<\/em>)<\/dd>\n\n
              SSC<\/dt>\n
              Shared Services Canada<\/dd>\n<\/dl>\n<\/div>\n\n
              \n
              \n
              AELP<\/dt>\n
              Attestation des exigences pr\u00e9vues par la loi et la politique<\/dd>\n\n
              ARPVP<\/dt>\n
              Attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e [pour un Canadien ou une personne se trouvant au Canada]<\/dd>\n\n
              BCCST<\/dt>\n
              Bureau du commissaire du Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (1996 \u00e0 2019)<\/dd>\n\n
              BCP<\/dt>\n
              Bureau du Conseil priv\u00e9<\/dd>\n\n
              CAI<\/dt>\n
              Cybers\u00e9curit\u00e9 et assurance de l’information (un volet du mandat du CST; article 17 de la Loi sur le CST)<\/dd>\n\n
              CCC<\/dt>\n
              Centre canadien pour la cybers\u00e9curit\u00e9 (Centre pour la cybers\u00e9curit\u00e9), rel\u00e8ve du CST<\/dd>\n\n
              CP<\/dt>\n
              Communication priv\u00e9e [voir le glossaire]<\/dd>\n\n
              CPSNR<\/dt>\n
              Comit\u00e9 des parlementaires sur la s\u00e9curit\u00e9 nationale et le renseignement<\/dd>\n\n
              CST<\/dt>\n
              Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications<\/dd>\n\n
              DI<\/dt>\n
              Demande d’information<\/dd>\n\n
              EIUI<\/dt>\n
              \u00c9quipe d’intervention d’urgence en informatique<\/dd>\n\n
              EM<\/dt>\n
              Expert en la mati\u00e8re<\/dd>\n\n
              EPM<\/dt>\n
              Ensemble des politiques relatives \u00e0 la mission [CST]<\/dd>\n\n
              GC<\/dt>\n
              Gouvernement du Canada<\/dd>\n\n
              IAP<\/dt>\n
              Information accessible au public [voir le glossaire]<\/dd>\n\n
              CR<\/dt>\n
              Indicateur de compromission<\/dd>\n\n
              ICPC<\/dt>\n
              Information se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada<\/dd>\n\n
              IMI<\/dt>\n
              Infrastructure mondiale d’information<\/dd>\n\n
              LDN<\/dt>\n
              Loi sur la d\u00e9fense nationale [source du pouvoir l\u00e9gal du CST avant la Loi sur le CST]<\/dd>\n\n
              Loi sur le CST<\/dt>\n
              Loi sur le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications<\/em><\/dd>\n\n
              MinDN<\/dt>\n
              Ministre de la D\u00e9fense nationale<\/dd>\n\n
              PCC<\/dt>\n
              Produit de cybers\u00e9curit\u00e9 communicable<\/dd>\n\n
              OSSNR<\/dt>\n
              Examen des SR du CST et des activit\u00e9s connexes en mati\u00e8re de CAI<\/dd>\n\n
              PE<\/dt>\n
              Protocole d’entente<\/dd>\n\n
              SDI<\/dt>\n
              Syst\u00e8me d\u00e9sign\u00e9 comme \u00e9tant important [ainsi d\u00e9sign\u00e9 par le ministre au titre du paragraphe 21(1) de la Loi sur le CST]<\/dd>\n\n
              SI<\/dt>\n
              Solution informatique<\/dd>\n\n
              SIGINT<\/dt>\n
              Signaux \u00e9lectromagn\u00e9tiques [pour Signals Intelligence<\/em>]<\/dd>\n\n
              SPC<\/dt>\n
              Services partag\u00e9s Canada<\/dd>\n\n
              SR<\/dt>\n
              Solution r\u00e9seau<\/dd>\n\n
              SSH<\/dt>\n
              Solution du syst\u00e8me hote<\/dd>\n<\/dl>\n<\/div>\n\n\n\n

              <\/p>\n\n\n\n

              Introduction<\/h2>\n\n\n\n

              Le Centre de la s\u00e9curit\u00e9 des \u00e9l\u00e9communications (CST) ainsi que le Centre canadien pour la\ncybers\u00e9curit\u00e9 (CCC ou Centre pour la cybers\u00e9curit\u00e9) qui rel\u00e8ve du CST, ont pour mandat de prot\u00e9ger l'information \u00e9lectronique et les syst\u00e8mes d\u2019information des institutions f\u00e9d\u00e9rales canadiennes, de m\u00eame que d'autres syst\u00e8mes d\u2019importance pour le gouvernement du Canada (GC). Avant la cr\u00e9ation de l'OSSNR, en 2019, c'est le Bureau du commissaire du Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (BCCST) qui r\u00e9alisait les examens annuels portant sur les activit\u00e9s de cyberd\u00e9fense du CST; le plus r\u00e9cent de ces examens a d\u2019ailleurs \u00e9t\u00e9 r\u00e9alis\u00e9 au d\u00e9but de 2019.<\/p>\n\n\n\n

              Des Loi sur le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications<\/em> L\u2019adoption de la Loi sur le Centre de la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications (Loi sur le CST) a donn\u00e9 lieu \u00e0 des modifications substantielles aux pouvoirs que le CST exerce quant au volet de cybers\u00e9curit\u00e9 et d'assurance de l\u2019information de son mandat (ce que l\u2019on d\u00e9signera d\u00e9sormais par le terme \u00ab volet cybers\u00e9curit\u00e9 \u00bb ou \u00ab volet CAI \u00bb). Le pr\u00e9sent examen est le premier que l'OSSNR r\u00e9alise au sujet des activit\u00e9s CAI exerc\u00e9es par le CST et par le Centre pour la cybers\u00e9curit\u00e9, lequel rel\u00e8ve du CST.<\/p>\n\n\n\n

              Le CST se sert d\u2019une multiplicit\u00e9 d\u2019outils, de savoir-faire et de services lorsqu'il exerce les\nfonctions relevant du volet CAI de son mandat. \u00c0 titre de compl\u00e9ment \u00e0 ses activit\u00e9s de\ncybers\u00e9curit\u00e9, le CST a recours \u00e0 trois types de solutions de cybers\u00e9curit\u00e9 : les solutions\nr\u00e9seau (SR), les solutions du syst\u00e8me h\u00f4te (SSH) et les solutions infonuagiques (SI). Les\ninformations g\u00e9n\u00e9r\u00e9es par ces trois solutions sont combin\u00e9es \u00e0 d\u2019autres types d\u2019information pour ensuite alimenter les syst\u00e8mes de d\u00e9tection et de pr\u00e9vention des intrusions du CST. Ces syst\u00e8mes permettent ensuite au CST de prot\u00e9ger l\u2019information \u00e9lectronique et les infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales, mais aussi les syst\u00e8mes d'importance du GC.<\/p>\n\n\n\n

              Fondements l\u00e9gislatifs<\/h3>\n\n\n\n

              Le pr\u00e9sent examen a \u00e9t\u00e9 r\u00e9alis\u00e9 en application des dispositions \u00e9nonc\u00e9es au paragraphe 8(1)\net \u00e0 l'alin\u00e9a 8(1)b) de la Loi sur l\u2019Office de surveillance des activit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 nationale\net de renseignement (Loi sur l'OSSNR).<\/p>\n\n\n\n

              Port\u00e9e de l\u2019examen<\/h3>\n\n\n\n

              Au d\u00e9part, compte tenu du recours aux SR dans l\u2019ensemble des r\u00e9seaux f\u00e9d\u00e9raux depuis\n2006, l\u2019OSSNR a choisi d'axer son examen sur ce type de solution. Or, \u00e0 mesure que les examinateurs de l\u2019OSSNR en apprenaient davantage sur les activit\u00e9s de cybers\u00e9curit\u00e9 du CST de m\u00eame que sur les syst\u00e8mes et les techniques employ\u00e9es en l\u2019occurrence, il devenait manifeste que la port\u00e9e initiale de l\u2019examen \u00e9tait trop \u00e9troite. Par exemple, en 2019-2020, dans la demande qu elle a\npr\u00e9sent\u00e9e au Ministre pour l\u2019approbation d\u2019activit\u00e9s de cybers\u00e9curit\u00e9 dans l\u2019infrastructure f\u00e9d\u00e9rale, la cheffe du CST a indiqu\u00e9 que les trois solutions du CST s\u2019appuyaient sur trois sph\u00e8res principales d\u2019activit\u00e9s : la d\u00e9fense dynamique, l\u2019analyse et la conservation d\u2019information. Bien que les SR constituent une source unique d\u2019information sur les menaces pesant sur l\u2019\u00e9cosyst\u00e8me de cyberd\u00e9fense du CST, l\u2019OSSNR a \u00e9tabli qu\u2019il serait pr\u00e9f\u00e9rable d\u2019examiner les SR dans le contexte plus large des activit\u00e9s CAI du CST. En d\u00e9finitive, le pr\u00e9sent examen a laiss\u00e9 de c\u00f4t\u00e9 l\u2019analyse des solutions infonuagiques et des solutions du syst\u00e8me h\u00f4te. En revanche, en se concentrant sur les SR, les examinateurs ont pu \u00e9largir la port\u00e9e de leur examen en s\u2019int\u00e9ressant de fa\u00e7on g\u00e9n\u00e9rale aux activit\u00e9s CAI, pour peu qu\u2019elles aient un lien avec les SR. \u00c0 titre d\u2019exemple, la deuxi\u00e8me partie de la\nsection Analyse porte sur une \u00e9tude de cas ayant trait \u00e0 des sources de donn\u00e9es externes qui sont utilis\u00e9es dans le but d\u2019am\u00e9liorer les fonctions SR.<\/p>\n\n\n\n

              En premi\u00e8re partie du rapport figure un aper\u00e7u des SR et des activit\u00e9s connexes du CST en\nmati\u00e8re de CAI, ce qui comprend les cadres applicables sur le plan juridique et strat\u00e9gique. Cette\nsection formule une conclusion g\u00e9n\u00e9rale concernant les activit\u00e9s SR et CAI. Ensuite, la\nsection Analyse donne de plus amples d\u00e9tails sur certaines conclusions et recommandations, et se concentre sur le traitement de l\u2019information se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada (ICPC), laquelle information peut susciter une attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e (ARPVP) de la part d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. En outre, l\u2019analyse se divise en deux th\u00e8mes :<\/p>\n\n\n\n

                \n
              • la transparence quant \u00e0 la nature de l\u2019information collect\u00e9e par une SR;<\/li>\n\n\n\n
              • l\u2019acquisition, \u00e0 partir de sources externes, d\u2019information pouvant susciter une ARPVP de la\npart d\u2019un Canadien ou d\u2019une personne se trouvant au Canada.<\/li>\n<\/ul>\n\n\n\n

                Les annexes contiennent de l\u2019information contextuelle ou compl\u00e9mentaire. Il convient de noter que l\u2019annexe A d\u00e9crit, \u00e9tape par \u00e9tape, le processus suivant lequel l\u2019information capt\u00e9e par les SR en vient \u00e0 alimenter l\u2019\u00e9cosyst\u00e8me de cyberd\u00e9fense, et ce, depuis la collecte initiale de ladite information jusqu\u2019\u00e0 la publication ou la communication de rapports fond\u00e9s sur l\u2019analyse de l\u2019information en question. Quant \u00e0 l\u2019annexe B, elle traite de l\u2019utilisation de l\u2019information de cybers\u00e9curit\u00e9 dans les divers volets du mandat du CST.<\/p>\n\n\n\n

                M\u00e9thodologie<\/h3>\n\n\n\n

                La p\u00e9riode vis\u00e9e par l\u2019examen s'\u00e9tend du 1er ao\u00fbt 2019 au 17 juin 2021, quoique l\u2019OSSNR\ns'est \u00e9galement pench\u00e9 sur de l\u2019information, pour peu qu\u2019elle f\u00fbt pertinente, concernant des \u00e9l\u00e9ments ant\u00e9rieurs ou post\u00e9rieurs \u00e0 cette p\u00e9riode. Dans le pr\u00e9sent rapport, le cas particulier explor\u00e9 dans la partie \u00ab Attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e \u00bb de la section Analyse r\u00e9sulte d\u2019activit\u00e9s men\u00e9es pendant la p\u00e9riode vis\u00e9e par l\u2019examen, mais le cas en soi ainsi que la r\u00e9action du CST ont nettement eu lieu apr\u00e8s le mois de juin 2021.<\/p>\n\n\n\n

                L\u2019OSSNR a analys\u00e9 un large \u00e9ventail d\u2019information dont disposait le CST, ce qui comprend\nnombre de documents portant sur ce qui suit : les processus, les conseils juridiques, les informations\ntechniques, les registres d\u2019information et les rapports de conformit\u00e9, pour ne nommer que ceux-l\u00e0.\nRappelons qu\u2019au nombre de ces documents, il faut \u00e9galement compter les demandes d'autorisations minist\u00e9rielles que la cheffe du CST a pr\u00e9sent\u00e9es au Ministre relativement \u00e0 des activit\u00e9s de\ncybers\u00e9curit\u00e9 dans des infrastructures f\u00e9d\u00e9rales. Les documents remis \u00e0 l\u2019OSSNR comprenaient\naussi de la correspondance survenue entre le CST et d\u2019autres entit\u00e9s du gouvernement du Canada\nqui tiraient parti ou envisageaient de tirer parti des SR du CST et des solutions de cybers\u00e9curit\u00e9\nconnexes. De plus, l\u2019OSSNR a eu droit \u00e0 sept pr\u00e9sentations consistant en des s\u00e9ances d\u2019information ou des d\u00e9monstrations techniques de la part d\u2019experts du CST.<\/p>\n\n\n\n

                Services partag\u00e9s Canada (SPC) a \u00e9galement \u00e9t\u00e9 vis\u00e9 par l'examen compte tenu du r\u00f4le de\npropri\u00e9taire de syst\u00e8mes qu'il tient pour une large part des r\u00e9seaux du GC. L\u2019OSSNR a analys\u00e9 les\ndocuments fournis par SPC; il a \u00e9galement eu droit \u00e0 une s\u00e9ance d\u2019information et \u00e0 une\nd\u00e9monstration technique de la part d'experts de SPC. En plus de s\u2019av\u00e9rer pertinente quant \u00e0\ncertaines sph\u00e8res d\u2019analyse de l\u2019OSSNR, l\u2019information de SPC a permis de corroborer de\nl\u2019information que l\u2019OSSNR avait re\u00e7ue du CST.<\/p>\n\n\n\n

                Conform\u00e9ment aux dispositions de l\u2019article 13 de la Loi sur l\u2019OSSNR, l\u2019Office de surveillance a\ncoop\u00e9r\u00e9 avec le Secr\u00e9tariat du Comit\u00e9 des parlementaires sur la s\u00e9curit\u00e9 nationale et le\nrenseignement (CPSNR) de sorte \u00e0 \u00e9viter le d\u00e9doublement des t\u00e2ches. Ainsi, le rapport \u00e9vite, dans la mesure du possible, de r\u00e9p\u00e9ter les informations qui \u00e9taient d\u00e9j\u00e0 trait\u00e9es dans le document du CPSNR paru en ao\u00fbt 2021 et intitul\u00e9 \u00ab Rapport sp\u00e9cial sur le cadre et les activit\u00e9s du gouvernement pour d\u00e9fendre ses syst\u00e8mes et ses r\u00e9seaux contre les cyberattaques \u00bb.<\/p>\n\n\n\n

                \u00c9nonc\u00e9s g\u00e9n\u00e9raux<\/h3>\n\n\n\n

                Pour ce qui a trait au pr\u00e9sent examen, on peut dire globalement que le CST a partiellement r\u00e9pondu aux attentes de l\u2019OSSNR sur le plan de la r\u00e9activit\u00e9. Or, bien que le CST n\u2019ait r\u00e9pondu que\npartiellement, voire aucunement \u00e0 bon nombre des attentes de l\u2019OSSNR sur le plan de la r\u00e9activit\u00e9\npendant la premi\u00e8re moiti\u00e9 du pr\u00e9sent examen, il convient de pr\u00e9ciser que pendant la seconde moiti\u00e9 de l\u2019examen, le degr\u00e9 de r\u00e9activit\u00e9 du CST a r\u00e9pondu aux attentes de l\u2019OSSNR. Puisqu\u2019il faisait appel \u00e0 SPC pour la premi\u00e8re fois aux fins d\u2019un examen, l\u2019OSSNR a d\u00fb composer avec des difficult\u00e9s et des retards quant \u00e0 la mobilisation de SPC. Toutefois, d\u00e8s lors que les contacts d\u2019usage ont \u00e9t\u00e9 \u00e9tablis avec ses repr\u00e9sentants, SPC en est venu \u00e0 r\u00e9pondre aux attentes de l\u2019OSSNR sur le plan de la r\u00e9activit\u00e9.<\/p>\n\n\n\n

                L\u2019OSSNR a \u00e9t\u00e9 en mesure de v\u00e9rifier l\u2019information re\u00e7ue en cours d\u2019examen selon des modalit\u00e9s qui ont satisfait les attentes de l\u2019OSSNR.<\/p>\n\n\n\n

                APER\u00c7U DES SR ET DES ACTIVIT\u00c9S CAI<\/h2>\n\n\n\n

                Conclusion n\u00b0 1 :<\/strong> L\u2019OSSNR conclut que le CST exploite un ensemble complet et int\u00e9gr\u00e9 de syst\u00e8mes, d\u2019outils et de capacit\u00e9s de cybers\u00e9curit\u00e9 qui est apte \u00e0 garantir une protection contre les cybermenaces et qui comporte des mesures visant \u00e0 prot\u00e9ger la vie priv\u00e9e des Canadiens et des personnes se trouvant au Canada.<\/p>\n\n\n\n

                En quoi le programme CAI du CST consiste-t-il?<\/h3>\n\n\n\n

                Le gouvernement du Canada consid\u00e8re la cybers\u00e9curit\u00e9 comme \u00ab l\u2019un des enjeux les plus\ns\u00e9rieux auxquels [le Canada et les Canadiens font] face sur le plan de l'\u00e9conomie et de la s\u00e9curit\u00e9 nationale \u00bb. Tel qu\u2019il \u00e9tait d\u00e9crit dans l'\u00c9valuation des cybermenaces nationales 2023-2024 du CST, l\u2019ampleur de la vuln\u00e9rabilit\u00e9 face aux auteurs de cybermenaces s'est accentu\u00e9e au cours des derni\u00e8res ann\u00e9es, et les Canadiens de m\u00eame que les entit\u00e9s canadiennes continuent de pr\u00eater le flanc aux cybermenaces, principalement \u00e0 la cybercriminalit\u00e9 (ce qui comprend les ran\u00e7ongiciels), ainsi qu'aux menaces provenant d\u2019acteurs \u00e9tatiques dans un contexte o\u00f9 les \u00c9tats se livrent une forte concurrence.<\/p>\n\n\n\n

                C\u2019est en octobre 2018 que le GC a cr\u00e9\u00e9 le Centre canadien pour la cybers\u00e9curit\u00e9, lequel rel\u00e8ve du CST. Par ailleurs, la cr\u00e9ation du Centre pour la cybers\u00e9curit\u00e9 a renforc\u00e9 le r\u00f4le et les responsabilit\u00e9s relevant du programme du CST en mati\u00e8re de s\u00e9curit\u00e9 des technologies de\nl\u2019information et du Centre canadien de r\u00e9ponse aux incidents cybern\u00e9tiques, de m\u00eame que certaines fonctions du Centre des op\u00e9rations de s\u00e9curit\u00e9 de SPC. Aujourd'hui, le programme CAI du CST fournit \u00e0 des entit\u00e9s du GC presque exclusivement- ainsi qu'\u00e0 des syst\u00e8mes consid\u00e9r\u00e9s comme \u00e9tant d\u2019importance - un centre d'op\u00e9rations de s\u00e9curit\u00e9 unifi\u00e9 et centralis\u00e9 qui mise sur un ensemble complet d\u2019outils manuels ou automatis\u00e9s d\u2019analyse et d\u2019att\u00e9nuation qui sont interconnect\u00e9s. Le programme CAI, qui tire parti d\u2019une int\u00e9gration de l\u2019information provenant des activit\u00e9s de\nrenseignement \u00e9tranger du CST, est responsable de la r\u00e9ception et du traitement ult\u00e9rieur de\nvolumes massifs de donn\u00e9es issus d\u2019une diversit\u00e9 de sources, ce qui a pour effet d\u2019am\u00e9liorer la\nreconnaissance des menaces et d\u2019activer en temps r\u00e9el les mesures visant \u00e0 faire obstacle aux\nmenaces. Les mesures de conformit\u00e9, y compris celles ayant pour fonction de prot\u00e9ger la vie priv\u00e9e\ndes Canadiens et des personnes se trouvant au Canada, sont greff\u00e9es aux flux de donn\u00e9es d\u00e8s lors que les cyberincidents sont d\u00e9tect\u00e9s, puis les \u00e9tapes requises sont suivies dans le but d'att\u00e9nuer les menaces en question, voire d'y rem\u00e9dier. L\u2019annexe A d\u00e9crit le cycle de vie de l\u2019information qui provient des capteurs SR et qui est ensuite trait\u00e9e au sein de l\u2019\u00e9cosyst\u00e8me de cyberd\u00e9fense du CST.<\/p>\n\n\n\n

                Le programme CAI prodigue \u00e9galement des conseils aux institutions du gouvernement, aux propri\u00e9taires de syst\u00e8mes d\u2019importance et au public concernant les cybermenaces et la cyberd\u00e9fense en plus de fournir des services allant de la simple publication de guides \u00e0 l\u2019application de mesures d'analyse et de soutien.<\/p>\n\n\n\n

                Dans certains cas, des entit\u00e9s autres que celles du GC, voire de l\u2019\u00e9tranger ont \u00e9galement\nrecours aux solutions CAI du CST. Par exemple, depuis 2020, le National Cyber Security Centre du\nRoyaume-Uni (R.-U.) a adopt\u00e9 et employ\u00e9 les solutions du syst\u00e8me h\u00f4te (SSH) du CST pour\nrenforcer la s\u00e9curisation des r\u00e9seaux du gouvernement du R.-U. [**expurg\u00e9**]<\/strong> Bien que le pr\u00e9sent examen n'ait pas permis d\u2019\u00e9valuer l'efficacit\u00e9 ni des SR ni des syst\u00e8mes et activit\u00e9s CAI du CST, l\u2019OSSNR n\u2019a tout de m\u00eame relev\u00e9 aucune information qui puisse mettre leur efficacit\u00e9 en doute. Au contraire, l\u2019OSSNR a vu des cas\nparticuliers o\u00f9 l\u2019information acquise par l\u2019interm\u00e9diaire des SR avait \u00e9t\u00e9 mise \u00e0 profit pour r\u00e9agir \u00e0 des cyberactivit\u00e9s malveillantes.<\/p>\n\n\n\n

                Que sont les solutions du CCC en mati\u00e8re de cybers\u00e9curit\u00e9?<\/h3>\n\n\n\n

                Le CST emploie les SR, les SSH et les SI, que l\u2019on d\u00e9signe souvent par le terme \u00ab capteurs \u00bb,\n\u00e0 des fins de cyberd\u00e9fense dans les infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales\nparticipantes et des syst\u00e8mes d\u2019importances d\u00e9sign\u00e9s comme tels. Les trois solutions du CST\ns'ajoutent aux produits commerciaux con\u00e7us pour d\u00e9tecter les cyberactivit\u00e9s malveillantes,\nnotamment les logiciels antivirus et pare-feu, et exercent deux fonctions : reconna\u00eetre les activit\u00e9s malveillantes et offrir une d\u00e9fense contre ces activit\u00e9s. Gr\u00e2ce \u00e0 des analyses effectu\u00e9es\nmanuellement ou par automatisation, ces solutions permettent de reconna\u00eetre les comportements anormaux et, en cas de comportement malveillant, d'emp\u00eacher les activit\u00e9s identiques ou semblables de se reproduire.<\/p>\n\n\n\n

                Parmi les trois solutions, c'est la solution SR qui a \u00e9t\u00e9 \u00e9labor\u00e9e en premier, en 2006, puis d\u00e9ploy\u00e9e dans les r\u00e9seaux du GC \u00e0 partir de 2009. La SR capte tout le trafic entrant et sortant d\u2019un r\u00e9seau donn\u00e9, puis envoie cette information au CST par l\u2019interm\u00e9diaire d\u2019un TAP physique. De cette fa\u00e7on, le CST recueille un important volume d'information sur l'ensemble du trafic r\u00e9seau, les courriels, l\u2019information de navigation Internet, etc.<\/p>\n\n\n\n

                La SR permet de collecter des paquets ainsi que les donn\u00e9es de paquets. Les paquets sont\nl\u2019\u00e9l\u00e9ment de base des donn\u00e9es achemin\u00e9es dans les r\u00e9seaux, y compris Internet. Les fichiers\npeuvent \u00eatre reconstitu\u00e9s \u00e0 partir des paquets, ce qui permet au CST de collecter des courriels,\nl\u2019historique de navigation ou d\u2019autres types de donn\u00e9es (qu\u2019elles soient entrantes ou sortantes) d\u2019un r\u00e9seau surveill\u00e9 au moyen de SR. \u00c0 la diff\u00e9rence de la collecte de paquets par SR, la SSH collecte les donn\u00e9es sur les activit\u00e9s et les \u00e9v\u00e9nements qui ont lieu sur l\u2019h\u00f4te, alors que la SI puise dans les journaux d'exploitation et les contenus des services infonuagiques. La collecte de paquets par la SR permet aux analystes du CST d\u2019interroger l\u2019information qui ne se trouve que dans les donn\u00e9es r\u00e9seau et qui, par cons\u00e9quent, ne se trouverait pas dans l\u2019information collect\u00e9e par la SSH ou la SI.<\/p>\n\n\n\n

                Les trois solutions de cyberd\u00e9fense du CST misent sur deux types de capacit\u00e9s : les capacit\u00e9s\npassives et les capacit\u00e9s dynamiques. Les capacit\u00e9s passives font appel \u00e0 des capteurs con\u00e7us pour d\u00e9tecter et analyser les cybermenaces au sein des syst\u00e8mes du GC, ce qui facilite ult\u00e9rieurement la reconnaissance des cybermenaces. Dans le contexte des SR, les capteurs saisissent le trafic r\u00e9seau gr\u00e2ce aux capacit\u00e9s de d\u00e9tection du CST, lesquelles sont r\u00e9guli\u00e8rement aliment\u00e9es par des donn\u00e9es provenant de sources classifi\u00e9es ou non classifi\u00e9es, ce qui permet de reconna\u00eetre les activit\u00e9s pouvant poser probl\u00e8me. D\u00e8s lors qu\u2019elles d\u00e9tectent des activit\u00e9s anormales ou suspectes, les SR passives sont aptes \u00e0 alerter les analystes qui, \u00e0 leur tour, peuvent intervenir\nmanuellement ou d\u00e9clencher des proc\u00e9dures automatis\u00e9es.<\/p>\n\n\n\n

                La d\u00e9fense dynamique, que l\u2019on d\u00e9signe parfois par le terme \u00ab mesure d'att\u00e9nuation \u00bb, fait appel \u00e0 des interventions automatis\u00e9es contre les indicateurs de compromission (IC) reconnus en tant que menaces pour les syst\u00e8mes et les r\u00e9seaux du GC. L'intervention automatis\u00e9e qui caract\u00e9rise la d\u00e9fense dynamique fait appel \u00e0 une multiplicit\u00e9 de moyens, notamment les suivants : d\u00e9tection et pr\u00e9vention des balayages malveillants; blocage et filtrage des adresses IP et des domaines malveillants; et d\u00e9tection et blocage de certains types de cyberattaques. La d\u00e9fense dynamique exploite les informations tir\u00e9es des SR, des SSH et des SI-mais provenant aussi de [**expurg\u00e9**]<\/strong> de sources ouvertes, de sources classifi\u00e9es (p.ex.SIGINT), d\u2019analyses de maliciels, d'enqu\u00eates en mati\u00e8re d\u2019informatique judiciaire et de divulgations- concernant les menaces, de sorte \u00e0 r\u00e9agir aux cyberactivit\u00e9s malveillantes de fa\u00e7on automatis\u00e9e, donc sans qu\u2019une intervention humaine soit n\u00e9cessaire. De plus, les minist\u00e8res, notamment SPC, peuvent demander au CST de boquer certains IC. La d\u00e9fense dynamique exploite les techniques d\u2019apprentissage machine- une\nsph\u00e8re de l\u2019intelligence artificielle- notamment la reconnaissance des mod\u00e8les servant, entre autres, \u00e0 la cr\u00e9ation informatis\u00e9e de noms de domaines.<\/p>\n\n\n\n

                Comme il est d\u00e9crit en de plus amples d\u00e9tails \u00e0 l\u2019annexe A, l\u2019\u00e9cosyst\u00e8me CAI du CST collecte\nun important volume de donn\u00e9es, et celles-ci franchissent diverses \u00e9tapes : la collecte, l\u2019analyse, la\nconservation et l\u2019\u00e9limination, la production de rapports ainsi que l\u2019utilisation. La majeure partie des\ndonn\u00e9es collect\u00e9es finit par \u00eatre supprim\u00e9e, conform\u00e9ment aux exigences du CST en mati\u00e8re de\nconservation. Lorsqu\u2019il s\u2019agit de conserver des donn\u00e9es plut\u00f4t que de les supprimer, le CST jauge\nleur pertinence, leur utilit\u00e9 et leur caract\u00e8re essentiel. Les donn\u00e9es que le CST d\u00e9cide de conserver\npeuvent \u00eatre utilis\u00e9es pour alimenter les mesures de cyberd\u00e9fense et peuvent \u00eatre communiqu\u00e9es \u00e0\nl\u2019int\u00e9rieur comme \u00e0 l\u2019ext\u00e9rieur du GC- souvent selon des m\u00e9thodes qui suppriment les\nrenseignements personnels se trouvant parmi les donn\u00e9es en question.<\/p>\n\n\n\n

                Pour le d\u00e9ploiement de SR dans les divers r\u00e9seaux du GC, le CST doit d\u2019abord \u00e9tablir un\npartenariat avec le minist\u00e8re ou l\u2019organisme qui est propri\u00e9taire du syst\u00e8me vis\u00e9. Au moment de\nl\u2019examen, le CST avait \u00e9tabli [**expurg\u00e9**]<\/strong> partenariats avec des entit\u00e9s f\u00e9d\u00e9rales (\u00ab\npartenaires SR \u00bb ou propri\u00e9taires des syst\u00e8mes faisant partie des r\u00e9seaux b\u00e9n\u00e9ficiant d\u2019une protection): [**expurg\u00e9**]<\/strong> SPC et le CST. Au nombre de ces [**expurg\u00e9**]<\/strong>\npartenaires, certains ont \u00e9tendu les services SR \u00e0 d\u2019autres minist\u00e8res et organismes du GC dont ils\ng\u00e9raient les r\u00e9seaux. Par exemple, comme il administrait les r\u00e9seaux d\u2019environ 90 entit\u00e9s du GC,\nSPC a \u00e9tendu les services SR du CST \u00e0 ces entit\u00e9s, notamment, le [**expurg\u00e9**]<\/strong>. En\nl\u2019occurrence, le contenu de tout le trafic r\u00e9seau entrant et sortant collect\u00e9 aupr\u00e8s de ces entit\u00e9s est\ncopi\u00e9 et transmis au CST. Il convient de noter que pendant la p\u00e9riode d\u2019examen, les [**expurg\u00e9**]<\/strong> partenaires\ndu CST avaient tous recours \u00e0 certains autres capteurs ou services CAI en plus des solutions SR.<\/p>\n\n\n\n

                La figure 1 consiste en un sch\u00e9ma par lequel le CST pr\u00e9sente ses [**expurg\u00e9**]<\/strong> partenaires SR du CST, y compris lui-m\u00eame.<\/p>\n\n\n\n

                \"Figure<\/figure>\n\n\n\n

                Comme il a \u00e9t\u00e9 dit pr\u00e9c\u00e9demment, le CST acquiert, utilise et analyse l\u2019information de\ncybers\u00e9curit\u00e9 provenant de l\u2019infrastructure mondiale de l\u2019information (IMI) sans compter, \u00e0 des fins\nd\u2019optimisation du rendement, l\u2019information provenant de solutions tripartites (SSH, SR et SI).\nL\u2019acquisition et l\u2019utilisation de sources d\u2019information autres que ces trois solutions sont abord\u00e9es dans\nla section Analyse du pr\u00e9sent rapport (section IV).<\/p>\n\n\n\n

                Fondements juridiques des activit\u00e9s de cybers\u00e9curit\u00e9 et d\u2019assurance de\nl\u2019information (CAI)<\/h3>\n\n\n\n

                <\/p>\n\n\n\n

                La Loi sur le CST accorde au CST le pouvoir de mener des activit\u00e9s CAI, et ce volet du mandat est d\u00e9crit \u00e0 l\u2019article 17 de la Loi. Il importe d\u2019indiquer que la Loi sur le CST impose des contraintes aux activit\u00e9s CAl. En outre, elles ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne doivent aucunement contrevenir aux dispositions de la Charte canadienne des droits et libert\u00e9s<\/em>.<\/p>\n\n\n\n

                De par leur nature, les activit\u00e9s CIA s'av\u00e8rent souvent intrusives et mettent en jeu des int\u00e9r\u00eats\npersonnels sur le plan de la vie priv\u00e9e. En l\u2019occurrence, la Loi sur le CST stipule que le ministre peut\nautoriser des activit\u00e9s CAI qui, par ailleurs, seraient interdites en vertu du paragraphe 22(4) de la Loi.\nCela comprend les activit\u00e9s qui contreviendraient aux lois f\u00e9d\u00e9rales ou qui feraient appel \u00e0\nl\u2019acquisition, par le CST, d\u2019information issue de l\u2019IMI qui porte atteinte \u00e0 une ARPVP de la part de\nCanadiens ou de personnes se trouvant au Canada. Pour d\u00e9livrer une autorisation, le ministre doit\nconclure qu\u2019il y a des motifs raisonnables de croire que toute activit\u00e9 qu\u2019il est appel\u00e9 \u00e0 autoriser est\nraisonnable et proportionnelle et qu\u2019elle r\u00e9pond aux autres conditions \u00e9nonc\u00e9es au\nparagraphe 34(3) de la Loi sur le CST, lesquelles sont abord\u00e9es plus avant dans le pr\u00e9sent rapport.<\/p>\n\n\n\n

                Le ministre peut d\u00e9livrer deux types d\u2019autorisations pour les activit\u00e9s CAI: une autorisation\nvisant les infrastructures f\u00e9d\u00e9rales [21(1)] et une autorisation visant les infrastructures\nnon f\u00e9d\u00e9rales [21(2)]. Comme les SR sont d\u00e9ploy\u00e9es dans les r\u00e9seaux du GC, les autorisations de\nCAI examin\u00e9es aux fins du pr\u00e9sent examen ont toutes \u00e9t\u00e9 autoris\u00e9es au titre du paragraphe 27(1)\nplut\u00f4t qu\u2019au titre du paragraphe 27(2). En outre, une autorisation d\u00e9livr\u00e9e en vertu du\nparagraphe 27(1) habilite le CST \u00ab \u00e0 acc\u00e9der \u00e0 une infrastructure de l\u2019information d\u2019une institution f\u00e9d\u00e9rale ou \u00e0 acqu\u00e9rir de l\u2019information qui provient ou passe par cette infrastructure, qui y est\ndestin\u00e9e ou y est stock\u00e9e afin d\u2019aider \u00e0 prot\u00e9ger [...] cette infrastructure contre tout m\u00e9fait, toute\nutilisation non autoris\u00e9e ou toute perturbation de leur fonctionnement. \u00bb<\/p>\n\n\n\n

                De plus, comme pour les autorisations d\u00e9livr\u00e9es aux fins du volet renseignement \u00e9tranger du\nmandat du CST, les autorisations CAI ne sont valides qu\u2019une fois qu\u2019elles ont \u00e9t\u00e9 approuv\u00e9es par le commissaire au renseignement.<\/p>\n\n\n\n

                Cadre strat\u00e9gique s\u2019appliquant aux activit\u00e9s de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information (CAI)<\/h3>\n\n\n\n

                Au CST, le cadre strat\u00e9gique interne qui gouverne les activit\u00e9s ayant trait aux activit\u00e9s CAI est\nd\u00e9crit dans l\u2019Ensemble des politiques relatives \u00e0 la mission, Cybers\u00e9curit\u00e9 (EPM Cybers\u00e9curit\u00e9).\nM\u00eame s\u2019il ne mentionne pas explicitement le programme SR, l\u2019EPM Cybers\u00e9curit\u00e9 \u00e9nonce n\u00e9anmoins\nles exigences strat\u00e9giques globales s\u2019appliquant \u00e0 toutes les activit\u00e9s CAI, y compris celles qui sont\nmen\u00e9es au titre d\u2019une autorisation, comme pour le programme SR.<\/p>\n\n\n\n

                Par exemple, l\u2019EPM Cybers\u00e9curit\u00e9 \u00e9tablit les exigences op\u00e9rationnelles et strat\u00e9giques qui\ns\u2019appliquent \u00e0 la gestion de l\u2019information, en l\u2019occurrence, aux donn\u00e9es acquises dans le cadre du programme SR. De fait, l\u2019EPM propose des conseils pour ce qui touche l\u2019\u00e9valuation des niveaux de sensibilit\u00e9 de l\u2019information, les droits d\u2019acc\u00e8s \u00e0 l\u2019information, les exigences r\u00e9gissant le traitement de certains types d\u2019information- notamment l\u2019\u00e9valuation et la surveillance30- ainsi que les exigences s\u2019appliquant \u00e0 la conservation. L\u2019EPM formule \u00e9galement des \u00e9nonc\u00e9s d\u2019orientation relativement \u00e0 la mobilisation et aux \u00e9changes d\u2019information avec des entit\u00e9s externes. En l\u2019occurrence, on y aborde la mobilisation pr\u00e9c\u00e9dant le d\u00e9ploiement d\u2019un outil ou d\u2019un service, mais aussi en situation de communication d\u2019information acquise dans le cadre des activit\u00e9s de cybers\u00e9curit\u00e9. L\u2019EPM Cybers\u00e9curit\u00e9 d\u00e9crit aussi les aspects de la conformit\u00e9 des op\u00e9rations dans le contexte de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

                Analyse<\/h2>\n\n\n\n

                Transparence quant \u00e0 la nature de la collecte SR<\/h3>\n\n\n\n

                Information se rapportant \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada (ICPC)<\/h4>\n\n\n\n

                Conclusion n\u00b0 2 :<\/strong> L\u2019OSSNR conclut que le CST a trait\u00e9 toutes les informations acquises par les\nsolutions r\u00e9seau (SR) en tenant compte de l\u2019information se rapportant \u00e0 des Canadiens ou \u00e0 des\npersonnes se trouvant au Canada (ICPC) et qu\u2019il a appliqu\u00e9 toutes les mesures permettant de\nprot\u00e9ger les renseignements personnels se trouvant dans cette information acquise par l\u2019interm\u00e9diaire\nde SR.<\/p>\n\n\n\n

                Conclusion n\u00b0 3 : <\/strong>L\u2019OSSNR conclut qu\u2019en raison de sa nature, l\u2019information acquise par l\u2019interm\u00e9diaire de SR comportera toujours de l\u2019information se rapportant \u00e0 des Canadiens ou \u00e0 des\npersonnes se trouvant au Canada (ICPC) et qu\u2019il contiendra invariablement de l\u2019information \u00e0 l\u2019\u00e9gard de laquelle un Canadien ou une personne se trouvant au Canada pourrait avoir une attente\nraisonnable en mati\u00e8re de protection de la vie priv\u00e9e (ARPVP). Cet aspect n\u2019a pas \u00e9t\u00e9 communiqu\u00e9 de fa\u00e7on transparente au ministre lors de la pr\u00e9sentation des demandes d\u2019autorisation correspondantes.<\/p>\n\n\n\n

                \u00c0 quelques reprises, le texte de la Loi sur le CST traite de l\u2019ICPC31 sans toutefois la d\u00e9finir.\nSelon la politique interne du CST, l\u2019ICPC se d\u00e9finit comme suit:<\/p>\n\n\n\n

                \n

                [Traduction] \u00ab Les ICPC sont des informations qui se rapportent \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada, que cette information puisse eu non \u00eatre utilis\u00e9e pour identifier ce Canadien ou\ncette personne se trouvant au Canada. Or, les ICPC pourraient comprendre ce que l\u2019on appelle les informations nominatives sur un Canadien (INC), lesquelles sont des informations identifiant ou permettant d\u2019identifier un Canadien ou une personne se trouvant au Canada, mais aussi des entit\u00e9s\ncomme les entreprises ou d\u2019autres organisations [...] Les ICPC peuvent \u00e9galement contenir des informations ne permettant pas d\u2019identifier un Canadien ou une personne se trouvant au Canada [...] \u00bb.
                <\/p>\n\n\n\n

                La figure 2 (voir ci-dessous) consiste en un sch\u00e9ma par lequel le CST donne des exemples d'information qui, dans un contexte op\u00e9rationnel, pourrait, ou non, se rapporter \u00e0 un Canadien ou \u00e0 une personne se trouvant au Canada. Il importe de noter que l\u2019ICPC peut comprendre, entre autres, de l'information \u00e0 l\u2019\u00e9gard de laquelle un Canadien ou une personne se trouvant au Canada pourrait avoir une ARPVP.<\/p>\n\n\n\n

                \"La<\/figure>\n<\/blockquote>\n\n\n\n

                Il est permis au CST d\u2019acqu\u00e9rir incidemment de l\u2019ICPC pendant qu\u2019il exerce des activit\u00e9s\nformellement autoris\u00e9es de renseignement \u00e9tranger [paragr. 26(1)], de cybers\u00e9curit\u00e9 [paragr. 27(1)\nou 27(2)] ou en cas d\u2019urgence (art. 40). Pour d\u00e9livrer une autorisation, le ministre doit \u00eatre convaincu\nque le CST utilisera, analysera ou conservera l\u2019ICPC uniquement si celle-ci r\u00e9pond aux crit\u00e8res\nd\u2019essentialit\u00e9 \u00e9nonc\u00e9s \u00e0 l\u2019article 34 de la Loi sur le CST, \u00e0 la diff\u00e9rence des principes s\u2019appliquant au volet renseignement \u00e9tranger et au volet cybers\u00e9curit\u00e9 du mandat du CST. Dans le cas de ce dernier, le fait d\u2019\u00e9tablir le caract\u00e8re \u00ab essentiel \u00bb signifie d\u2019\u00e9valuer si l\u2019information est essentielle pour reconna\u00eetre, isoler, pr\u00e9venir ou att\u00e9nuer une menace envers (i) l\u2019information \u00e9lectronique ou les infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales, ou encore (ii) envers l\u2019information \u00e9lectronique ou les infrastructures de l\u2019information d\u00e9sign\u00e9es comme \u00e9tant importantes en vertu des dispositions \u00e9nonc\u00e9es au paragraphe 21(1) de la Loi sur le CST (syst\u00e8me d\u2019importance). Pour ce qui a trait au renseignement \u00e9tranger, le caract\u00e8re \u00ab essentiel \u00bb d\u00e9pend d\u2019une \u00e9valuation visant \u00e0 \u00e9tablir si l\u2019information est essentielle aux affaires nternationales, \u00e0 la d\u00e9fense ou \u00e0 la s\u00e9curit\u00e9. <\/p>\n\n\n\n

                SR, ICPC et information pouvant porter atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien\nou d\u2019une personne se trouvant au Canada<\/h3>\n\n\n\n

                De 2019 \u00e0 2021, le CST a g\u00e9n\u00e9r\u00e9 1103 produits de cybers\u00e9curit\u00e9 communicables (PCC) \u00e0\npartir d\u2019information SR contenant des ICPC. Le CST a indiqu\u00e9 \u00e0 l\u2019OSSNR qu\u2019il ne communiquait pas\nles rapports \u00e0 d\u2019autres entit\u00e9s que le propri\u00e9taire du syst\u00e8me mentionn\u00e9 dans le rapport, \u00e0 moins que\ncelui-ci ait donn\u00e9 son consentement. Ainsi, chaque rapport n\u2019identifie qu\u2019un seul minist\u00e8re apr\u00e8s\nqu\u2019on en ait retir\u00e9 les \u00e9l\u00e9ments pouvant se rapporter \u00e0 d\u2019autres minist\u00e8res.<\/p>\n\n\n\n

                Les demandes pr\u00e9sent\u00e9es par le CST en vue d\u2019activit\u00e9s de cybers\u00e9curit\u00e9 f\u00e9d\u00e9rale ainsi que\nles autorisations minist\u00e9rielles correspondantes indiquent \u00e0 de multiples reprises que les SSH, les SR\net les SI ne visent ni les Canadiens ni les personnes se trouvant au Canada, et que les ICPC qui\npourraient \u00eatre acquises pendant la mise en \u0153uvre de ces solutions- y compris l\u2019information pouvant\nporter atteinte \u00e0 une ARPVP de la part d\u2019un Canadien ou d\u2019une personne se trouvant au Canada- ne\nle sont qu\u2019incidemment. S\u2019appuyant sur la Loi sur le CST, plus pr\u00e9cis\u00e9ment sur l\u2019\u00e9nonc\u00e9 de\nl\u2019alin\u00e9a 23(3)a), le CST est d\u2019avis que [traduction] \u00ab depuis l\u2019entr\u00e9e en vigueur de la Loi sur le CST, le\nfait de mener des activit\u00e9s de cybers\u00e9curit\u00e9 dans un r\u00e9seau dans le but de contribuer \u00e0 sa d\u00e9fense\nn\u2019est pas consid\u00e9r\u00e9 comme \u201cvisant des Canadiens ou des personnes se trouvant au Canada\u201d. Cela\ns\u2019explique dans la mesure o\u00f9 ni l\u2019intention ni la cible de l\u2019acquisition SR n\u2019ont trait aux ICPC, mais ont\nplut\u00f4t pour objectif de voir si certaines des informations acquises r\u00e9v\u00e8lent l\u2019occurrence d\u2019un\ncyberincident ou la pr\u00e9sence d\u2019une cybermenace. \u00bb<\/p>\n\n\n\n

                Dans la demande 2019-2020 qu\u2019elle a pr\u00e9sent\u00e9e au ministre concernant des activit\u00e9s de\ncybers\u00e9curit\u00e9 dans des infrastructures f\u00e9d\u00e9rales, la cheffe du CST indique que [traduction] \u00ab lors de la\nconduite d\u2019activit\u00e9s de cybers\u00e9curit\u00e9, des courriels pouvant contenir de l\u2019information se rapportant \u00e0\ndes Canadiens ou \u00e0 des personnes se trouvant au Canada seront incidemment acquis et copi\u00e9s. \u00bb\nL\u2019autorisation correspondante indique, au sous-alin\u00e9a 2f)i) que pendant les activit\u00e9s de cybers\u00e9curit\u00e9,\nl\u2019acquisition d\u2019ICPC par le CST est \u00ab in\u00e9vitable \u00bb.<\/p>\n\n\n\n

                Cependant, les libell\u00e9s contenus dans les trois demandes annuelles pr\u00e9sent\u00e9es\nsubs\u00e9quemment en rapport avec les activit\u00e9s de cybers\u00e9curit\u00e9 - entre 2020 et le moment de r\u00e9diger\nla pr\u00e9sente, en mai 2023- \u00e9taient consid\u00e9rablement plus ambigus quant \u00e0 l\u2019ampleur des ICPC\npouvant \u00eatre acquises pendant lesdites activit\u00e9s. Par exemple, les demandes indiquent en plusieurs\noccasions que le CST [traduction] \u00ab pourrait acqu\u00e9rir incidemment [des ICPC] \u00bb ou que, dans le\ncontexte de l\u2019autorisation, le CST [traduction] \u00ab pourrait entreprendre des activit\u00e9s pouvant donner\nlieu \u00e0 l\u2019acquisition incidente [d\u2019ICPC] \u00bb.<\/p>\n\n\n\n

                Toute l\u2019information collect\u00e9e par voie de SR est [traduction] \u00ab pr\u00e9sum\u00e9e contenir des ICPC \u00bb. Cette supposition se fonde sur la position du CST qui s\u2019\u00e9nonce comme suit: [traduction] \u00ab comme elles sont collect\u00e9es dans l\u2019infrastructure canadienne, les donn\u00e9es SR sont, par nature, des informations se rapportant \u00e0 des Canadiens. \u00bb Depuis 2020, les demandes d\u2019autorisations soumises\nau ministre au titre du paragraphe 27(1) de la Loi sur le CST n\u2019expriment pas clairement l\u2019ampleur de cette collecte.<\/p>\n\n\n\n

                Le CST acquiert des contenus de communications par l\u2019interm\u00e9diaire de SR, ce qui comprend le contenu des courriels envoy\u00e9s par des adresses \u00e9lectroniques non-GC \u00e0 des adresses \u00e9lectroniques du GC, et vice versa. Compte tenu de la nature de cette acquisition, certaines des informations acquises par le CST contiendront invariablement de l\u2019information qui porte atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. Or, les autorisations du CST et les demandes correspondantes n\u2019expriment pas clairement cette r\u00e9alit\u00e9. Les autorisations\ncomprennent plut\u00f4t des libell\u00e9s indiquant que l\u2019acquisition d\u2019information [traduction] \u00ab pose le risque que le CST puisse porter atteinte \u00e0 une ARPVP \u00bb et que la demande correspondante informe le ministre que [traduction] \u00ab le CST court le risque d\u2019acqu\u00e9rir de l\u2019information qui porte atteinte \u00e0 une\nARPVP lorsqu\u2019il ex\u00e9cute les activit\u00e9s CAI qui sont d\u00e9crites \u00bb. Les demandes correspondantes contiennent des \u00e9nonc\u00e9s conditionnels semblables. Dans les faits, il est certain que les SR acquerront de l\u2019information \u00e0 l\u2019\u00e9gard de laquelle des Canadiens ou des personnes se trouvant au\nCanada auront une ARPVP.<\/p>\n\n\n\n

                L\u2019une des importantes modifications apport\u00e9es \u00e0 la Loi sur le CST est l\u2019ench\u00e2ssement des notions d\u2019ICPC et d\u2019ARPVP. Il s\u2019agit l\u00e0 d\u2019un compl\u00e9ment aux \u00ab dispositions relatives aux informations\npersonnelles \u00bb- notamment la notion de \u00ab communication priv\u00e9e \u00bb (CO)- \u00e9voqu\u00e9es dans le texte de loi qui, auparavant, encadrait les activit\u00e9s du CST, \u00e0 savoir la partie V.1 de la Loi sur la d\u00e9fense nationale. Ce changement se fonde sur le d\u00e9veloppement et la sophistication accrue des notions\njuridiques relevant du domaine de la vie priv\u00e9e.<\/p>\n\n\n\n

                Selon l\u2019article 24 de la Loi sur le CST, le Centre doit veiller \u00e0 ce que des mesures soient en place pour prot\u00e9ger la vie priv\u00e9e des Canadiens et des personnes se trouvant au Canada lorsqu\u2019il proc\u00e8de \u00e0 l\u2019utilisation, \u00e0 l\u2019analyse et \u00e0 la communication d\u2019information; certaines de ces mesures sont\nd\u00e9crites en annexe A. Le CST a indiqu\u00e9 qu\u2019il \u00e9tait en train [traduction] \u00ab de r\u00e9aliser une s\u00e9rie d\u2019\u00e9valuations des facteurs relatifs \u00e0 la vie priv\u00e9e, ce qui permettra d\u2019examiner les activit\u00e9s de cr\u00e9ation, de collecte et de traitement des renseignements personnels dans le cadre du programme de\ncybers\u00e9curit\u00e9 \u00bb. Or, il convient de mentionner que ces \u00e9valuations n\u2019avaient pas encore \u00e9t\u00e9\ncompl\u00e9t\u00e9es au moment de proc\u00e9der au pr\u00e9sent examen.<\/p>\n\n\n\n

                Le fait que, de par sa nature, la collecte SR depuis les infrastructures f\u00e9d\u00e9rales canadiennes inclura invariablement des ICPC- de m\u00eame que des informations \u00e0 l\u2019\u00e9gard desquelles des Canadiens ou des personnes se trouvant au Canada pourraient avoir une ARPVP - n\u2019est ni une nouveaut\u00e9 ni une surprise. Il serait impensable d\u2019exercer des activit\u00e9s de cybers\u00e9curit\u00e9 efficaces dans\nl\u2019infrastructure \u00e9lectronique des institutions f\u00e9d\u00e9rales et dans les infrastructures de l\u2019information si l\u2019on devait s\u2019emp\u00eacher de collecter l\u2019information de cette mani\u00e8re. Tout compte fait, \u00e9tant donn\u00e9 les risques qui pourraient peser sur le droit \u00e0 la vie priv\u00e9e des Canadiens et des personnes se trouvant\nau Canada, le ministre devrait tout de m\u00eame recevoir une information claire et exacte \u00e0 ce sujet avant de d\u00e9livrer une autorisation.<\/p>\n\n\n\n

                \n

                Recommandation n\u00b0.1:<\/strong> L\u2019OSSNR recommande que dans ses demandes d\u2019autorisation, le CST\nexpose clairement au ministre les \u00e9l\u00e9ments suivants :<\/p>\n\n\n\n

                  \n
                • que les solutions r\u00e9seau acqui\u00e8rent de l\u2019information se rapportant \u00e0 des Canadiens ou des\npersonnes se trouvant au Canada (ICPC), notamment des informations qui contreviennent \u00e0\nl\u2019attente raisonnable de Canadiens ou de personnes se trouvant au Canada en mati\u00e8re de\nprotection de la vie priv\u00e9e (ARPVP);<\/li>\n\n\n\n
                • que le CST utilise, analyse et conserve ces donn\u00e9es dans le cadre de ses activit\u00e9s en mati\u00e8re\nde cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information.<\/li>\n<\/ul>\n<\/blockquote>\n\n\n\n

                  <\/p>\n\n\n\n

                  Consentement \u00e0 l\u2019\u00e9gard des solutions de cybers\u00e9curit\u00e9 du CST<\/h3>\n\n\n\n

                  Suivant les dispositions de l\u2019alin\u00e9a 34(3)b) de la Loi sur le CST, avant de d\u00e9livrer une\nautorisation de cybers\u00e9curit\u00e9 visant les infrastructures f\u00e9d\u00e9rales [paragr. 27(1) de la Loi sur le CST], le ministre doit respecter certaines conditions, l\u2019une \u00e9tant d\u2019avoir des motifs raisonnables de croire que le consentement de toutes les personnes dont les informations pourraient \u00eatre acquises ne pourrait vraisemblablement pas \u00eatre obtenu. Dans le cas d\u2019une autorisation de cybers\u00e9curit\u00e9 visant\nles infrastructures non f\u00e9d\u00e9rales [paragr. 27(2) de la Loi sur le CST], le CST doit avoir obtenu par\n\u00e9crit, de la part du propri\u00e9taire ou de l\u2019op\u00e9rateur de l\u2019infrastructure concern\u00e9e, la demande d\u2019exercer\nles activit\u00e9s \u00e0 autoriser.<\/p>\n\n\n\n

                  Au mois de mai 2023, toutes les autorisations d\u00e9livr\u00e9es depuis 2019 pour les activit\u00e9s de\ncybers\u00e9curit\u00e9 dans les infrastructures f\u00e9d\u00e9rales comprenaient l\u2019\u00e9nonc\u00e9 suivant :<\/p>\n\n\n\n

                  \n

                  [Traduction] \u00ab Conform\u00e9ment aux pratiques normalis\u00e9es du gouvernement, les institutions f\u00e9d\u00e9rales doivent aviser les utilisateurs autoris\u00e9s de ces infrastructures d'information que les activit\u00e9s r\u00e9seau qu\u2019ils exercent au moyen de leurs dispositifs sont surveill\u00e9es \u00e0 des fins de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information \u00bb.<\/p>\n<\/blockquote>\n\n\n\n

                  Cet \u00e9nonc\u00e9 concorde avec les dispositions stipul\u00e9es dans les documents du GC, notamment la\nPolitique sur les services et le num\u00e9rique du Conseil du Tr\u00e9sor. Selon cette Politique sur les\nservices et le num\u00e9rique, les administrateurs g\u00e9n\u00e9raux sont responsables, entre autres,\nd\u2019informer les utilisateurs autoris\u00e9s de r\u00e9seaux et de dispositifs \u00e9lectroniques des \u00ab pratiques\nde surveillance mises en \u0153uvre dans leur propre minist\u00e8re et par SPC \u00bb.<\/p>\n\n\n\n

                  Coop\u00e9ration transparente avec les propri\u00e9taires de syst\u00e8mes<\/strong><\/p>\n\n\n\n

                  Conclusion n\u00b0 4 :<\/strong> L\u2019OSSNR conclut qu\u2019en raison de certaines ambigu\u00eft\u00e9s dans sa relation avec\nSPC, le CST n\u2019a pas obtenu, aux fins des activit\u00e9s de cybers\u00e9curit\u00e9 et d\u2019assurance de\nl\u2019information, le consentement des propri\u00e9taires de syst\u00e8mes comme il avait \u00e9t\u00e9 d\u00e9crit au\nministre.<\/p>\n\n\n\n

                  Conclusion n\u00b0 5 :<\/strong> L\u2019OSSNR conclut que SPC n\u2019\u00e9tait pas parfaitement au courant de ses\nresponsabilit\u00e9s en tant que propri\u00e9taire de syst\u00e8mes, contrairement \u00e0 ce qui est \u00e9nonc\u00e9 dans\nles demandes que le CST a soumises au ministre.<\/p>\n\n\n\n

                  Conclusion n\u00b0 6 :<\/strong> L\u2019OSSNR conclut qu\u2019en d\u00e9pit d\u2019un protocole d\u2019entente \u00e9tabli entre le CST et\nSPC, il y a des \u00e9l\u00e9ments d\u2019incompr\u00e9hension entre les organisations relativement \u00e0 l\u2019exercice\ndes responsabilit\u00e9s convenues sur le plan des activit\u00e9s SR dans les r\u00e9seaux exploit\u00e9s par\nSPC.<\/p>\n\n\n\n

                  Les demandes 2019-2020 et 2020-2021 que la cheffe a pr\u00e9sent\u00e9es au ministre concernant les\nactivit\u00e9s de cybers\u00e9curit\u00e9 dans les infrastructures f\u00e9d\u00e9rales indiquent [traduction] \u00ab que le CST\nd\u00e9ploie des capacit\u00e9s SSH, SR et SI uniquement sous r\u00e9serve du consentement \u00e9clair\u00e9 du\npropri\u00e9taire du syst\u00e8me faisant partie de l\u2019infrastructure de l\u2019information de l\u2019institution f\u00e9d\u00e9rale \u00bb. Les deux demandes pr\u00e9sent\u00e9es subs\u00e9quemment en lien avec les activit\u00e9s de cybers\u00e9curit\u00e9 dans des infrastructures f\u00e9d\u00e9rales- 2021-2022 et 2022-2023 - ne comportaient pas le qualificatif \u00ab \u00e9clair\u00e9 \u00bb dans ce contexte.<\/p>\n\n\n\n

                  Certes, le CST obtient le consentement du partenaire SR relativement au d\u00e9ploiement des\nSR, mais ce consentement ne concerne g\u00e9n\u00e9ralement pas les minist\u00e8res ou les organisations qui acc\u00e8dent au r\u00e9seau en question. Par exemple, le Service d\u2019interconnexion Internet (SU) reliait environ 90 minist\u00e8res et organismes du GC pendant la p\u00e9riode de l'examen, alors que le partenariat du CST avait \u00e9t\u00e9 principalement conclu avec SPC (propri\u00e9taire des syst\u00e8mes pour le r\u00e9seau SH) et non avec les diverses entit\u00e9s branch\u00e9es au r\u00e9seau SH de SPC. En l\u2019occurrence, SPC fait office d\u2019interm\u00e9diaire aupr\u00e8s duquel les divers minist\u00e8res et organismes donnent leur consentement en vue de leur acc\u00e8s\naudit r\u00e9seau.<\/p>\n\n\n\n

                  C\u2019est une collaboration de longue date qui existe entre le CST et SPC en mati\u00e8re de SR.\nSelon le CST, SPC est [traduction] \u00ab activement engag\u00e9 aupr\u00e8s du CST sur plusieurs plans pour ce\nqui concerne le programme SR \u00bb, et SPC [traduction] \u00ab est parfaitement au fait du programme SR \u00bb, et ce, depuis le d\u00e9ploiement initial et au fil des diverses modalit\u00e9s d\u2019intervention et des diverses\ninteractions op\u00e9rationnelles. Vers la fin de l\u2019examen, SPC a indiqu\u00e9 aux repr\u00e9sentants de l\u2019OSSNR que [traduction] \u00ab SPC a une compr\u00e9hension approfondie du r\u00f4le que le CST tient en mati\u00e8re de protection et de surveillance des r\u00e9seaux du gouvernement du Canada \u00bb. SPC indique ensuite qu\u2019il est convaincu que [traduction] \u00ab le CST fournit \u00e0 SPC l\u2019information dont il a besoin pour r\u00e9agir efficacement aux incidents et aux \u00e9v\u00e9nements \u00bb, tout en faisant valoir que sa relation avec le CST est solide et qu'elle a d\u00e9j\u00e0 donn\u00e9 lieu \u00e0 \u00ab bon nombre d\u2019interventions rapides et ad\u00e9quates \u00bb. N\u00e9anmoins,\npendant les s\u00e9ances d\u2019informations et dans les r\u00e9ponses \u00e9crites pr\u00e9sent\u00e9es au cours de la p\u00e9riode d\u2019examen, SPC a indiqu\u00e9 qu\u2019il percevait les SR et les fonctions exerc\u00e9es par les capteurs du CST comme des esp\u00e8ces de \u00ab bo\u00eetes noires \u00bb. SPC a \u00e9galement indiqu\u00e9 en cours d'examen qu\u2019on ne lui donnait aucune explication quant aux processus, aux proc\u00e9dures, aux risques ou aux aspects techniques li\u00e9s aux outils ou aux services de cyberd\u00e9fense du CST. Convient-il de noter que SPC s\u2019occupe de la maintenance de son propre ensemble de coupe-feu en plus de la protection offerte par le programme CAI du CST. Bien que le concept de protection multicouche soit une pratique courante en cybers\u00e9curit\u00e9, le manque de visibilit\u00e9 de SPC par rapport aux d\u00e9fenses mises en place par le CST risque d\u2019entra\u00eener des inefficacit\u00e9s sur le plan op\u00e9rationnel. Par exemple, SPC indique qu\u2019il lui arrive de ne pas \u00eatre en mesure d\u2019identifier la source d\u2019un blocage ou d'un comportement r\u00e9seau inattendu.<\/p>\n\n\n\n

                  En outre, SPC a confirm\u00e9 qu\u2019il [traduction] \u00ab ne dispose d\u2019aucune mesure particuli\u00e8re\npermettant d\u2019aviser les minist\u00e8res relativement au programme SR \u00bb, hormis les trousses d\u2019orientation\net d'int\u00e9gration qui [traduction] \u00ab peuvent contenir des \u00e9nonc\u00e9s types concernant le fait que les\nsyst\u00e8mes sont surveill\u00e9s pour des raisons de s\u00e9curit\u00e9 et qu\u2019il ne faut pas tenir pour acquis que la vie priv\u00e9e de ceux et celles qui travaillent au sein d\u2019un r\u00e9seau du gouvernement est prot\u00e9g\u00e9e \u00bb. Les pratiques de SPC, en l\u2019occurrence, ne correspondent pas \u00e0 ce que le CST a d\u00e9crit au ministre dans ses demandes d\u2019autorisation. Elles ne correspondent pas non plus \u00e0 la responsabilit\u00e9 qui revient \u00e0 SPC depuis le protocole d\u2019entente (PE) de mars 2014 conclu entre le CST et SPC, selon lequel il est entendu que SPC informera ses clients concernant le fait que [traduction] \u00ab le CST pourrait acqu\u00e9rir leurs donn\u00e9es, y compris des renseignements personnels ou des communications priv\u00e9es pendant la\nconduite de ses activit\u00e9s de cyberd\u00e9fense pour le compte de SPC \u00bb.<\/p>\n\n\n\n

                  C\u2019est par l\u2019interm\u00e9diaire de la demande pr\u00e9sent\u00e9e au ministre par la cheffe que le CST a\ndonn\u00e9 l\u2019assurance qu\u2019il obtenait le consentement des propri\u00e9taires de syst\u00e8mes relativement aux\ndonn\u00e9es saisies par les capteurs de cybers\u00e9curit\u00e9, y compris les SR. De fait, SPC connaissait mal les\nmodalit\u00e9s suivant lesquelles le CST menait ses activit\u00e9s de cybers\u00e9curit\u00e9. Par cons\u00e9quent, SPC n\u2019a\npas- parce qu'il n\u2019en avait pas les moyens- avis\u00e9 ses clients que le CST pouvait acqu\u00e9rir leurs\ninformations pendant le d\u00e9roulement des activit\u00e9s de cybers\u00e9curit\u00e9 qu\u2019il \u00e9tait autoris\u00e9 de mener, sans\ncompter la collecte et la conservation de renseignements personnels et des contenus de\ncommunications. Durant le suivi de l\u2019exactitude des faits r\u00e9alis\u00e9 pour le pr\u00e9sent examen, le CST a\nindiqu\u00e9 que ce rapport [traduction] \u00ab repr\u00e9sente la premi\u00e8re fois o\u00f9 le CST a \u00e9t\u00e9 inform\u00e9 du fait que\nSPC n\u2019\u00e9tait pas au courant de ses propres responsabilit\u00e9s \u00e0 titre de propri\u00e9taire de syst\u00e8mes \u00bb.<\/p>\n\n\n\n

                  Le PE de 2014 conclu entre le CST et SPC \u00e9tablit les modalit\u00e9s et les conditions au titre\ndesquelles les activit\u00e9s de cyberd\u00e9fense du CST ont \u00e9t\u00e9 men\u00e9es dans les syst\u00e8mes et les r\u00e9seaux\ndont SPC est responsable. Le PE stipule que SPC devra [traduction] \u00ab s\u2019assurer que ses clients ont\n\u00e9t\u00e9 avis\u00e9s que le CST pourrait acqu\u00e9rir des donn\u00e9es les concernant, notamment des renseignements personnels ou des communications priv\u00e9es, pendant le d\u00e9roulement des activit\u00e9s de cyberd\u00e9fense qu\u2019il exerce pour le compte de SPC \u00bb. En revanche, le PE indique qu\u2019avant tout d\u00e9ploiement de moyens dans les r\u00e9seaux et syst\u00e8mes de SPC, le CST doit fournir \u00e0 celui-ci des d\u00e9tails concernant les processus, les proc\u00e9dures et l\u2019aspect technique se rapportant aux outils et aux services, mais aussi aux risques encourus.<\/p>\n\n\n\n

                  Toutefois, SPC a initialement indiqu\u00e9, lors de l\u2019examen, que le PE de 2014 n\u2019\u00e9tait plus en\nvigueur et qu\u2019il avait \u00e9t\u00e9 remplac\u00e9 par un PE conclu en 2018, en pr\u00e9vision de la cr\u00e9ation du Centre pour la cybers\u00e9curit\u00e9 et du transfert des ressources. Or, le PR de 2018 porte sur des consid\u00e9rations d\u2019ordre organisationnel et financier, et ne contient aucune information substantielle concernant les capteurs de cyberd\u00e9fense du CST ou la fa\u00e7on dont ils fonctionnent. En raison de son manque\nd\u2019information concernant les activit\u00e9s de cyberd\u00e9fense du CST, le PE de 2014 fait contraste avec les PE re\u00e7us par l\u2019OSSNR de la part [**expurg\u00e9**]<\/strong> fournissent davantage d\u2019information substantielle concernant les activit\u00e9s de cyberd\u00e9fense du CST, y compris les\npouvoirs et les types d\u2019activit\u00e9s qui peuvent \u00eatre men\u00e9es.<\/p>\n\n\n\n

                  Hormis ceux conclus avec SPC, les PE sign\u00e9s par le CST et ses partenaires de cyberd\u00e9fense\nremontent \u00e0 bien avant l\u2019adoption de la Loi sur le CST. Par exemple, les plus r\u00e9cents PE sur les\nservices SR que l\u2019OSSNR a re\u00e7us aux fins du pr\u00e9sent examen, en l\u2019occurrence entre le [**expurg\u00e9**]<\/strong> Conform\u00e9ment\u00e0\nl\u2019article 81 de la Loi sur le CST, les PE que le CST a conclus avant cette Loi ont continu\u00e9 de\ns'appliquer apr\u00e8s son entr\u00e9e en vigueur, et le CST a confirm\u00e9 que d\u2019apr\u00e8s lui, ce fut \u00e9galement le cas\npour le PE conclu avec SPC.<\/p>\n\n\n\n

                  Durant le suivi de l'exactitude des faits r\u00e9alis\u00e9 pendant les derniers stades de l\u2019examen, SPC\na avis\u00e9 l\u2019OSSNR que- contrairement \u00e0 ce qu\u2019il avait d\u00e9clar\u00e9 initialement- le PE conclu avec le CST\nen 2014 \u00e9tait toujours en vigueur. En l\u2019occurrence, SPC a ajout\u00e9 qu'il (traduction] \u00ab continuerait \u00e0\ntravailler avec le CST pour veiller \u00e0 ce que les attentes \u00e9nonc\u00e9es dans le PE de 2014 correspondent\n\u00e0 la teneur des politiques du gouvernement du Canada \u00bb.<\/p>\n\n\n\n

                  \n

                  Recommandation n\u00b0 2 : <\/strong>L\u2019OSSNR recommande que le CST renouvelle le PE qu\u2019il a conclu avec\nSPC en 2014, de sorte \u00e0 veiller \u00e0 ce que le CST et SPC remplissent ad\u00e9quatement leurs\nengagements respectifs, y compris l\u2019engagement voulant que le CST tienne le ministre au courant de\nla responsabilit\u00e9 de SPC qui consiste \u00e0 aviser les propri\u00e9taires de syst\u00e8mes au sujet du programme\nSR.<\/p>\n\n\n\n

                  Recommandation n\u00b0 3 :<\/strong> L\u2019OSSNR recommande que le CST mette \u00e0 jour les protocoles d\u2019entente (PE) qu\u2019il a conclus avec tous ses partenaires de cybers\u00e9curit\u00e9. Ainsi, il pourra veiller \u00e0 ce que ces partenaires expriment leur consentement \u00e0 l\u2019\u00e9gard des activit\u00e9s de cybers\u00e9curit\u00e9 du CST et \u00e0 ce que les ententes soient int\u00e9gralement conformes aux pouvoirs et aux modalit\u00e9s de gouvernance\nactuellement en vigueur. Au reste, le CST devrait adopter une pratique de mise \u00e0 jour r\u00e9guli\u00e8re de\nces PE, de sorte \u00e0 tenir compte de l\u2019\u00e9volution des attributions.<\/p>\n<\/blockquote>\n\n\n\n

                  Transparence \u00e0 l\u2019\u00e9gard des utilisateurs du syst\u00e8me<\/strong><\/p>\n\n\n\n

                  Conclusion n\u00b0 7 :<\/strong> L\u2019OSSNR conclut que le CST n\u2019a pas expos\u00e9 au ministre les motifs pour lesquels le consentement \u00e0 l\u2019\u00e9gard des activit\u00e9s de cybers\u00e9curit\u00e9 du CST n\u2019a raisonnablement pas \u00e9t\u00e9 obtenu de la part des utilisateurs des syst\u00e8mes du gouvernement du Canada.<\/p>\n\n\n\n

                  De mani\u00e8re g\u00e9n\u00e9rale, on rel\u00e8ve deux groupes qui utilisent les syst\u00e8mes du GC : les\nutilisateurs non-GC (p. ex. le public ou les entit\u00e9s qui interagissent avec le gouvernement f\u00e9d\u00e9ral sans en faire partie) et les utilisateurs du GC (p. ex. les employ\u00e9s des institutions du GC). Pour ce qui touche les utilisateurs du premier groupe, le CST a pertinemment expliqu\u00e9 au ministre, conform\u00e9ment \u00e0 l\u2019alin\u00e9a 34(3)b) de la Loi sur le CST, pourquoi leur consentement ne pouvait pas \u00eatre raisonnablement obtenu. Cependant, aucune explication n\u2019a \u00e9t\u00e9 fournie au ministre quant aux\nmodalit\u00e9s visant \u00e0 obtenir le consentement des utilisateurs des syst\u00e8mes du GC (p. ex. employ\u00e9s du GC) et aux motifs pour lesquels ce consentement n\u2019a pas \u00e9t\u00e9 obtenu. L\u2019alin\u00e9a 34(3)b) est pourtant clair lorsqu\u2019il indique que le ministre doit avoir des motifs raisonnables de croire que le consentement de toutes les personnes dont l\u2019information peut \u00eatre acquise n\u2019a pas pu \u00eatre raisonnablement obtenu.<\/p>\n\n\n\n

                  Il n\u2019existe aucune exigence l\u00e9gislative qui oblige le CST \u00e0 aviser les utilisateurs des syst\u00e8mes\ndu GC qu\u2019il acquiert de l\u2019information de ces syst\u00e8mes au titre d\u2019une autorisation de cybers\u00e9curit\u00e9. Or, le CST pourrait bien expliquer au ministre qu\u2019il ne peut pas raisonnablement obtenir le consentement de la part de ces utilisateurs. Au lieu de fournir ce type d'explication, le CST r\u00e9pond au ministre que c\u2019est aux institutions f\u00e9d\u00e9rales qu\u2019il revient d\u2019aviser leurs propres utilisateurs des infrastructures de l\u2019information du GC en leur disant que leurs dispositifs ou leurs activit\u00e9s r\u00e9seau sont surveill\u00e9s \u00e0 des fins de CAI.<\/p>\n\n\n\n

                  Au lieu d\u2019obtenir le consentement de toutes les personnes dont l\u2019information pourrait \u00eatre\nacquise, il serait important que des avis pertinents soient transmis- particuli\u00e8rement aux utilisateurs\nprincipaux des syst\u00e8mes du GC comme les employ\u00e9s du GC-pour leur indiquer que le CST pourrait acqu\u00e9rir et utiliser de l\u2019information provenant de ces syst\u00e8mes \u00e0 des fins de cybers\u00e9curit\u00e9. Le CST a indiqu\u00e9 aux repr\u00e9sentants de l\u2019OSSNR que le consentement est bel et bien obtenu de la part des utilisateurs de syst\u00e8mes du GC par l\u2019interm\u00e9diaire d\u2019un avis destin\u00e9 aux utilisateurs pour les informer que leurs dispositifs et leurs activit\u00e9s r\u00e9seau \u00e9taient surveill\u00e9s \u00e0 des fins de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information. Le CST a \u00e9galement d\u00e9clar\u00e9 que l\u2019utilisateur avait donn\u00e9 son\nconsentement d\u00e8s lors qu\u2019il avait r\u00e9agi \u00e0 l\u2019avis en question en cliquant sur le bouton d\u2019acquiescement. L\u2019OSSNR ne s\u2019est pas pench\u00e9 sur le contenu de cet avis et n\u2019a pas v\u00e9rifi\u00e9 si cet avis s\u2019affichait bel et bien \u00e0 tous les utilisateurs des syst\u00e8mes du GC. SPC, pour sa part, s\u2019est inscrit en faux contre la notion de consentement dans le pr\u00e9sent contexte, faisant remarquer que la politique du Conseil du Tr\u00e9sor exigeait que ces avertissements [traduction] \u00ab soient ax\u00e9s sur l\u2019avis plut\u00f4t que sur le consentement \u00bb.<\/p>\n\n\n\n

                  \n

                  Recommandation n\u00b0 4:<\/strong> L\u2019OSSNR recommande que le CST explique au ministre les modalit\u00e9s selon\nlesquelles il obtient le consentement des utilisateurs des syst\u00e8mes du gouvernement du Canada\nrelativement aux activit\u00e9s qu\u2019il exerce en mati\u00e8re de cybers\u00e9curit\u00e9 ou, le cas \u00e9ch\u00e9ant, les raisons\npour lesquelles ce consentement n\u2019a pas pu \u00eatre raisonnablement obtenu.<\/p>\n<\/blockquote>\n\n\n\n

                  Information de sources externes \u00e0 l\u2019\u00e9gard de laquelle les Canadiens ou les personnes se trouvant au Canada ont une attente raisonnable en mati\u00e8re de protection de la priv\u00e9e (ARPVP)<\/h3>\n\n\n\n

                  L'article 17 de la Loi sur le CST permet au Centre d\u2019acqu\u00e9rir, d\u2019utiliser et d\u2019analyser de\nl'information provenant de l'infrastructure mondiale de l\u2019information ou d\u2019autres sources afin de fournir des avis, des conseils et des services visant \u00e0 prot\u00e9ger l\u2019information \u00e9lectronique et les infrastructures de l\u2019information des institutions f\u00e9d\u00e9rales, mais aussi l'information \u00e9lectronique et les infrastructures de l\u2019information d\u00e9sign\u00e9es comme \u00e9tant d\u2019importance pour le gouvernement du Canada (syst\u00e8mes d\u00e9sign\u00e9s comme \u00e9tant importants, ou SDI). Par exemple, le CST peut acqu\u00e9rir, utiliser et analyser de l\u2019information accessible au public (IAP), laquelle est d\u00e9finie dans la Loi comme \u00e9tant de \u00ab [l\u2019]information publi\u00e9e ou diffus\u00e9e \u00e0 l'intention du grand public, accessible au public dansl\u2019infrastructure mondiale de l\u2019information ou ailleurs ou disponible au public sur demande, par abonnement o\u00f9 achat. \u00bb Il importe de rappeler que l\u2019IAP ne comprend pas l\u2019information \u00e0 l\u2019\u00e9gard de laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e.<\/p>\n\n\n\n

                  D\u2019apr\u00e8s l'alin\u00e9a 23(1)a) de la Loi sur le CST, le Centre n\u2019est pas tenu d\u2019obtenir une\nautorisation avant d\u2019acqu\u00e9rir et d\u2019utiliser l\u2019IAP. Lorsque l\u2019IAP requise contient de l'ICPC, l\u2019alin\u00e9a 24a) de la Loi sur le CST exige que le Centre mette en place des mesures visant \u00e0 prot\u00e9ger la vie priv\u00e9e, lorsqu\u2019il est question d\u2019utiliser, d\u2019analyser, de conserver ou de communiquer l\u2019information acquise dans le cadre des activit\u00e9s men\u00e9es au titre du volet renseignement \u00e9tranger ou du volet cybers\u00e9curit\u00e9 de son mandat. Certaines de ces mesures sont d\u00e9crites en annexe A.<\/p>\n\n\n\n

                  Une limite s\u2019applique aux activit\u00e9s CAI en vertu du paragraphe 22(4), lequel interdit au CST\nd\u2019acqu\u00e9rir de l'information \u00e0 partir de l'infrastructure mondiale de l'information d'une fa\u00e7on qui\ncontreviendrait aux lois f\u00e9d\u00e9rales ou qui porterait atteinte \u00e0 une attente raisonnable en mati\u00e8re de\nprotection de la vie priv\u00e9e d'un Canadien ou d\u2019une personne se trouvant au Canada. Pour ce qui\ntouche les activit\u00e9s CAI, le CST peut acqu\u00e9rir l\u2019information de cette mani\u00e8re uniquement si\nl'acquisition est exerc\u00e9e au titre d'une autorisation minist\u00e9rielle d\u00e9livr\u00e9e conform\u00e9ment aux\ndispositions \u00e9nonc\u00e9es aux paragraphes 27(1) ou 27(2) de la Loi sur le CST. Ainsi, les activit\u00e9s de\ncybers\u00e9curit\u00e9 du CST qui risquent de porter atteinte \u00e0 une attente raisonnable en mati\u00e8re de\nprotection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada peuvent \u00eatre\nautoris\u00e9es uniquement dans les infrastructures de l\u2019information f\u00e9d\u00e9rales et dans les syst\u00e8mes\nd\u00e9sign\u00e9s comme \u00e9tant d\u2019importance pour le gouvernement du Canada.<\/p>\n\n\n\n

                  Risques li\u00e9s \u00e0 l\u2019acquisition d\u2019information pouvant contenir des renseignements susceptibles de donner lieu \u00e0 une ARPVP et provenant de sources d\u2019information de cybers\u00e9curit\u00e9 non vis\u00e9es par une autorisation<\/h3>\n\n\n\n

                  Conclusion n\u00b0 8 : <\/strong>L\u2019OSSNR conclut que l\u2019application restrictive que le CST fait des dispositions\nvis\u00e9es au paragraphe 22(4) de la Loi sur le CST pose des risques sur le plan juridique et sur le plan de la reddition de comptes et, dans au moins un cas, a fait en sorte que le CST a acquis de l\u2019information pouvant porter atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. Cette information provenait d\u2019une source\nqui n\u2019\u00e9tait pas vis\u00e9e par le libell\u00e9 des autorisations minist\u00e9rielles.<\/p>\n\n\n\n

                  Conclusion n\u00b0 9 :<\/strong> L\u2019OSSNR conclut qu\u2019une divergence entre les paragraphes 27(1) et 22(4) de la Loi\nsur le CST emp\u00eache le CST d\u2019acqu\u00e9rir certaines informations proven\u00e0nt de sources externes,\nnotamment les bases de donn\u00e9es commerciales, dont l\u2019information pourrait porter atteinte \u00e0 l\u2019attente\nraisonnable en mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne au Canada.\nOr, l\u2019acquisition d\u2019une partie de cette information renforcerait la capacit\u00e9 du CST \u00e0 remplir son mandat\nen mati\u00e8re de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information.<\/p>\n\n\n\n

                  Hormis les capteurs des solutions tripartites, l\u2019information de cybers\u00e9curit\u00e9 du CST\ns'accompagne d'information provenant du SIGINT, de communications, d\u2019ententes et d\u2019autres\nsources accessibles au public comme les sources commerciales et les sources ouvertes, ce qui\ncomprend \u00e9galement les bases de donn\u00e9es collig\u00e9es par les courtiers en donn\u00e9es. Le CST a remis \u00e0 l\u2019OSSNR une liste de [**expurg\u00e9**]<\/strong> sources externes (autres que les capteurs du CST ou les sources SIGINT) qui ont produit de l\u2019information utilis\u00e9e par le CST aux fins des activit\u00e9s vis\u00e9es aux autorisations de cybers\u00e9curit\u00e9 f\u00e9d\u00e9rale et men\u00e9es pendant le d\u00e9roulement du pr\u00e9sent examen. [**expurg\u00e9**]<\/strong> de ce type d\u2019information est monnaie courante dans la sph\u00e8re de la cybers\u00e9curit\u00e9, dans la mesure o\u00f9 cela permet de rassembler de l\u2019information provenant [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                  Ces [**expurg\u00e9**]<\/strong> sources ont produit de l'information \u00e0 partir de portions de l\u2019IMI autres que celles\nauxquelles le CST a acc\u00e8s au titre des autorisations vis\u00e9es aux paragraphes 27(1) et 27 (2)S8. \u00c0 ce\nsujet, pri\u00e8re de consulter la figure 3, plus loin.<\/p>\n\n\n\n

                  Figure 3 : L\u2019IMl et les paragraphes 27(1) et 27(2) de la Loi sur le CST<\/p>\n\n\n\n

                  \"GII,<\/figure>\n\n\n\n

                  Depuis 2020-2021, les demandes d\u2019autorisations de cybers\u00e9curit\u00e9 f\u00e9d\u00e9rales soumises par la\ncheffe indiquent que le CST associe l\u2019information sur les cybermenaces qui provient des institutions\nf\u00e9d\u00e9rales avec certaines des sources d\u00e9crites pr\u00e9c\u00e9demment, y compris l\u2019information accessible au public. Peu apr\u00e8s, au d\u00e9but de 2021, le CST a entam\u00e9 des discussions internes entre les groupes respectivement responsables de la conformit\u00e9, des op\u00e9rations et des questions juridiques. Ces\ndiscussions ont \u00e9t\u00e9 l\u2019occasion d\u2019aborder la question de l\u2019information de sources ouvertes posant un\nrisque d\u2019atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au Canada, et ce, dans le\ncontexte des activit\u00e9s d\u2019acquisition du renseignement \u00e9tranger (art. 16).<\/p>\n\n\n\n

                  Selon le CST, la Loi sur le CST [traduction] \u00ab ne reconna\u00eet aucune distinction entre un niveau\nfaible ou un niveau \u00e9lev\u00e9 d\u2019attente en mati\u00e8re de protection de la vie priv\u00e9e \u00bb. Autrement dit, peu\nimporte le niveau d\u2019une ARPVP ou la probabilit\u00e9 d\u2019une atteinte \u00e0 une ARPVP. et peu importe le volet\ndu mandat dans le cadre duquel une atteinte \u00e0 l\u2019ARPVP pourrait survenir, le CST est toujours tenu\nd\u2019obtenir une autorisation au titre des paragraphes 22(3) et 22(4) de la Loi sur le CST d\u00e8s lors qu\u2019il y\na un risque, aussi minime soit-il, que l\u2019information acquise contienne des \u00e9l\u00e9ments suscitant une\nARPVP.<\/p>\n\n\n\n

                  Dans la demande d\u2019autorisation de cybers\u00e9curit\u00e9 aux fins d\u2019activit\u00e9s dans des infrastructures\nf\u00e9d\u00e9rales, qu\u2019il a soumise au titre du paragraphe 27(1), le CST a indiqu\u00e9-pour la premi\u00e8re fois- qu\u2019il\ncherchait \u00e0 acqu\u00e9rir des informations de cybers\u00e9curit\u00e9 de la part de fournisseurs tiers (sources externes), ce qui [traduction] \u00ab pourrait comporter un faible risque d\u2019atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada \u00bb. La demande indique que cette question avait \u00e9t\u00e9 r\u00e9cemment reconnue par le CST.<\/p>\n\n\n\n

                  La demande que le CST a pr\u00e9sent\u00e9e au ministre indiquait que [traduction] \u00ab lorsque le CST\nacquiert ce type d\u2019information [**expurg\u00e9**]<\/strong> on peut inf\u00e9rer que cette\nactivit\u00e9 n\u2019exige aucune autorisation pour avoir lieu, puisque le CST n\u2019acquiert pas directement\nl\u2019information \u00e0 partir de l\u2019IMI. \u00bb Le CST en est arriv\u00e9 \u00e0 ce point de vue en se fondant sur le\nraisonnement fait par la [**expurg\u00e9**]<\/strong> selon lequel des \u00ab arguments probants \u00bb permettent de conclure que les recherches\n[**expurg\u00e9**]<\/strong> [traduction] \u00ab ne constituerait pas une acquisition, par le CST, d\u2019information donnant lieu \u00e0 une\nARPVP \u00e0 partir de [l\u2019IMI] \u00bb. [**expurg\u00e9**]<\/strong> a tout de m\u00eame recommand\u00e9 que le CST\n[traduction] \u00ab consid\u00e8re ces activit\u00e9s comme des techniques d\u2019acquisition aux fins des demandes \u00bb,\ntout en reconnaissant qu\u2019il convient de reconna\u00eetre que le r\u00e9gime des autorisations de cybers\u00e9curit\u00e9,\nau titre de a Loi sur le CST, ne peut s\u2019appliquer \u00e0 cette activit\u00e9 du CST63. En d\u00e9finitive, comme il a \u00e9t\u00e9\ndit, le CST a \u00e9num\u00e9r\u00e9 les activit\u00e9s en question dans sa demande au ministre, en les pr\u00e9sentant\ncomme des techniques d\u2019acquisition.<\/p>\n\n\n\n

                  Une fois que le ministre a d\u00e9livr\u00e9 l\u2019autorisation sur la foi des \u00e9l\u00e9ments constitutifs de la\ndemande et que ladite autorisation a \u00e9t\u00e9 achemin\u00e9e au commissaire au renseignement (CR) pour\napprobation, celui-ci a d\u00e9cid\u00e9 de ne pas approuver la partie de l\u2019autorisation ayant trait \u00e0 l\u2019acquisition\nd\u2019information provenant de sources externes et posant un risque d\u2019atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien\nou d\u2019une personne se trouvant au Canada. Le CR a conclu qu\u2019aucune information ni aucun\nraisonnement n\u2019ont \u00e9t\u00e9 pr\u00e9sent\u00e9s au ministre par le CST pour montrer comment l\u2019acquisition, aupr\u00e8s\nde tierces parties, d\u2019information posant un risque d\u2019atteinte \u00e0 l\u2019ARPVP pouvait \u00eatre autoris\u00e9e en vertu\ndes dispositions du paragraphe 27(1). En outre, le CR a pr\u00e9cis\u00e9 que [traduction] \u00ab \u00e0 premi\u00e8re vue, le\nlibell\u00e9 du paragraphe 27(1) ne consid\u00e8re ni ne permet la d\u00e9livrance d\u2019une autorisation en dehors de la sph\u00e8re d\u2019acc\u00e8s \u00e0 l\u2019infrastructure de l\u2019information d'une institution f\u00e9d\u00e9rale \u00bb. L\u2019OSSNR note \u00e9galement que l\u2019acquisition en question ne pouvait non plus \u00eatre l\u2019objet d\u2019une autorisation au titre du paragraphe 27(2). Tel qu elle est r\u00e9dig\u00e9e, la Loi sur le CST confine les activit\u00e9s du CST dans la majeure partie de l\u2019IMI- hormis les infrastructures de l\u2019information et les SDI- \u00e0 celles qui n\u2019exigent aucune autorisation.<\/p>\n\n\n\n

                  Le tableau 1 ci-dessous propose la chronologie des \u00e9v\u00e9nements ayant trait \u00e0 cette question:<\/strong><\/p>\n\n\n\n\n\n\n\n\n \n \n \n \n \n
                  Date<\/th>\n\u00c9v\u00e9nement<\/th>\n<\/tr>\n<\/thead>\n
                  2 septembre 2020<\/td>\n Le Centre pour la cybers\u00e9curit\u00e9 [**expurg\u00e9**]<\/strong><\/td>\n<\/tr>\n
                  29 mars 2021<\/td>\n Un groupe du CST [**expurg\u00e9**]<\/strong><\/td>\n<\/tr>\n
                  26 mai 2022<\/td>\n La cheffe du CST signe la demande 2022-2023 concernant les activit\u00e9s de\ncybers\u00e9curit\u00e9 dans les infrastructures f\u00e9d\u00e9rales. La demande contient de\nnouveaux libell\u00e9s concernant l\u2019acquisition, \u00e0 partir de l\u2019IMI, d\u2019information posant le\nrisque de porter atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant\nau Canada.<\/td>\n<\/tr>\n
                  1er juin 2022<\/td>\n Le ministre de la D\u00e9fense nationale d\u00e9livre l\u2019autorisation 2022-2023 au titre du\nparagraphe 27(1) de la Loi sur le CST pour des activit\u00e9s de cybers\u00e9curit\u00e9 dans tes infrastructures f\u00e9d\u00e9rales. Cette autorisation contient de nouveaux libell\u00e9s concernant l\u2019acquisition, \u00e0 partir de l\u2019IMI, d\u2019information qui risque de porter atteinte \u00e0 une ARPVP.<\/td>\n<\/tr>\n
                  9 juin 2022<\/td>\n [**expurg\u00e9**]<\/strong><\/td>\n<\/tr>\n
                  27 juin 2022<\/td>\n Le commissaire au renseignement approuve la demande 2022-2023 pour des activit\u00e9s de cybers\u00e9curit\u00e9 dans les infrastructures f\u00e9d\u00e9rales, sauf la portion de la demande portant sur l\u2019acquisition, \u00e0 partir de l\u2019IMI, d\u2019information posant 1e risque de porter atteinte \u00e0 une ARPVP.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n

                  M\u00eame si le CR a d\u00e9cid\u00e9 de ne pas approuver la portion de l\u2019autorisation minist\u00e9rielle portant\nsur l\u2019acquisition, \u00e0 partir de sources externes, d\u2019information de cybers\u00e9curit\u00e9 pouvant porter atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au Canada, le CST n\u2019en a pas moins continu\u00e9 d\u2019acqu\u00e9rir de l\u2019information \u00e0 partir de sources tierces. Le CST a poursuivi son acquisition d\u2019information aupr\u00e8s de ces sources, dans la mesure o\u00f9 il \u00e9tait d\u2019avis que l\u2019information en question ne constituait pas, \u00e0 proprement parler, une acquisition par le CST ou \u00e0 partir de l\u2019IMI- et qu\u2019en cons\u00e9quence, la r\u00e9ception par le CST n\u2019\u00e9tait, \u00e0 son avis, aucunement interdite par les dispositions \u00e9nonc\u00e9es au paragraphe 22(4) de la Loi sur le CST. La d\u00e9cision de poursuivre l\u2019acquisition de cette information externe apr\u00e8s que le CR a rejet\u00e9 la portion de l\u2019autorisation s\u2019y rapportant est pr\u00e9occupante- particuli\u00e8rement lorsqu\u2019on tient compte de la nature d\u2019au moins l\u2019une de ces sources, dont il est question plus loin.<\/p>\n\n\n\n

                  L\u2019enqu\u00eate de l\u2019OSSNR en la mati\u00e8re a d\u00e9but\u00e9 au moment o\u00f9 le CST se penchait d\u00e9j\u00e0 sur la\nquestion; l\u2019information a donc \u00e9volu\u00e9 \u00e0 mesure que le CST d\u00e9finissait son approche. En\nnovembre 2022, le CST a indiqu\u00e9 qu\u2019il proc\u00e9dait \u00e0 certaines \u00e9valuations, notamment, de\nconsid\u00e9rations touchant la vie priv\u00e9e en rapport avec l\u2019information utilis\u00e9e dans le cadre des activit\u00e9s\nCAI faisant appel \u00e0 des sources autres que les capteurs du CST, sans oublier une \u00e9valuation de la\nmesure dans laquelle ladite information pourrait contenir des \u00e9l\u00e9ments donnant lieu \u00e0 une ARPVP.\nSelon le CST :<\/p>\n\n\n\n

                  \n

                  [Traduction] \u00ab Lorsqu\u2019une source a \u00e9te [**expurg\u00e9**]<\/strong>\n[le CST] \u00e9laboreuncadre permettant de comprendre les \u00e9ventualit\u00e9s sur le pian des\nARPVP. rappelant que, dans ces cas, l\u2019information [**expurg\u00e9**]<\/strong> Dans les cas o\u00f9 le CST acquiert directement l\u2019information et que celle-ci est susceptible de contenir des ICPC, des techniques sont con\u00e7ues de sorte \u00e0 pr\u00e9venir non seulement la collecte d\u2019ICPC, mais aussi toute atteinte \u00e0 une ARPVP. \u00bb<\/p>\n<\/blockquote>\n\n\n\n

                  Le CST a \u00e9galement reconnu que [traduction] \u00ab il est attendu que la notion d\u2019ARPVP \u00e9volue sur le\nplan de la jurisprudence et des cas d\u2019utilisation \u00bb et que le CST [traduction] \u00ab continuera de surveiller,\nd\u2019apprendre et de s\u2019adapter en cons\u00e9quence. \u00bb De plus :<\/p>\n\n\n\n

                  \n

                  [Traduction] \u00ab La Direction g\u00e9n\u00e9rale. Autorisations, conformit\u00e9 et transparence (ACT) a travaill\u00e9 en\ninterne [**expurg\u00e9**]<\/strong> pour r\u00e9pertorier les sources de donn\u00e9es \nentrantes employ\u00e9es par le Centre pour la cybers\u00e9curit\u00e9 dans le but d\u2019\u00e9tablir les types de donn\u00e9es, la provenance des donn\u00e9es (c.-\u00e0-d. IMI ou autre) et les modes suivant lesquels le Centre pour la cybers\u00e9curit\u00e9 a acquis les donn\u00e9es ([**expurg\u00e9**]<\/strong> communication ou autres modes) [...]. D\u2019apr\u00e8s cette information, a amorc\u00e9 une \u00e9valuation de ces sources pour savoir si la source de donn\u00e9es risquait de contenir des ICPC. De fa\u00e7on g\u00e9n\u00e9rale, l\u2019information contenue dans [**expurg\u00e9**]<\/strong> est de nature technique et ne poserait qu\u2019un faible risque d\u2019atteinte \u00e0 une ARPVP \u00bb.<\/p>\n<\/blockquote>\n\n\n\n

                  Le CST a ensuite indiqu\u00e9, en mai 2023, que la mise en place d\u2019un cadre d\u2019\u00e9valuation ou de\nd\u00e9finition de la notion d\u2019ARPVP \u00e9tait difficile, notamment en raison de l\u2019absence de jurisprudence en mati\u00e8re d\u2019ARPVP dans le contexte de la cybers\u00e9curit\u00e9. Concr\u00e8tement, les op\u00e9rateurs ont plut\u00f4t re\u00e7u des directives leur demandant de consulter l\u2019unit\u00e9 interne de la conformit\u00e9 du CST, advenant qu\u2019ils notent des changements dans leurs [**expurg\u00e9**]<\/strong> ou leurs sources d\u2019information. Selon le CST, bien que\nl\u2019information collect\u00e9e \u00e0 partir de l\u2019IMI et posant un risque d\u2019atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou\nd\u2019une personne se trouvant au Canada \u00e9tait d\u00e9j\u00e0 enregistr\u00e9e dans les fonds du CST avant d\u2019\u00eatre\nreconnue et supprim\u00e9e, les m\u00eames mesures d\u2019att\u00e9nuation s'imposant \u00e0 toutes les ICPC \u00e9taient\n\u00e9galement appliqu\u00e9es- au cas par cas- \u00e0 toute information portant atteinte \u00e0 une ARPVP d\u00e8s lors\nqu\u2019un analyste en prenait connaissance. Le CST a rappel\u00e9 que d\u00e8s lors qu'elle est rep\u00e9r\u00e9e dans les\nfonds du CST, l'information portant atteinte \u00e0 une ARPVP est supprim\u00e9e. Au milieu de 2023, la\npolitique op\u00e9rationnelle du CST a \u00e9t\u00e9 retravaill\u00e9e de sorte \u00e0 mettre en place un cadre visant \u00e0 faciliter\nla formulation de conseils destin\u00e9s aux op\u00e9rateurs quant \u00e0 l\u2019acquisition d\u2019information aupr\u00e8s des\nsources ouvertes. Le CST a \u00e9galement indiqu\u00e9 \u00e0 l\u2019OSSNR qu'il faisait preuve de diligence\nraisonnable pour veiller \u00e0 ce que [**expurg\u00e9**]<\/strong> soient \u00ab r\u00e9put\u00e9es \u00bb et exercent leurs fonctions en\ntoute l\u00e9galit\u00e9, bien qu\u2019il n\u2019ait pas \u00e9t\u00e9 en mesure d\u2019\u00e9laborer la question plus avant ni de pr\u00e9senter des exemples illustrant comment il s\u2019y est pris ou envisage de s'y prendre.<\/p>\n\n\n\n

                  Directement mobilis\u00e9e dans ce dossier, l\u2019unit\u00e9 interne de la conformit\u00e9 du CST a men\u00e9,\nnotamment, un exercice de cat\u00e9gorisation suivant lequel [**expurg\u00e9**]<\/strong> sources externes\nd\u2019information de cybers\u00e9curit\u00e9 ont \u00e9t\u00e9 examin\u00e9es pour \u00e9tablir s\u2019il y avait eu acquisition, par le CST, d\u2019information\n\u00e0 partir de l\u2019IMI. L\u2019exercice de cat\u00e9gorisation du CST s\u2019est d\u00e9roul\u00e9 [traduction] \u00ab suivant la position voulant que\nl\u2019information acquise [**expurg\u00e9**]<\/strong>\npuis re\u00e7ue [**expurg\u00e9**]<\/strong> par le CST aux fins d'exercice de son mandat ne devrait pas\n\u00eatre consid\u00e9r\u00e9e comme une acquisition par le CST \u00e0 partir de l\u2019IMI, au sens de la Loi sur le CST. Par cons\u00e9quent, il y a lieu de\nconsid\u00e9rer que cette information peut \u00eatre acquise sans avoir \u00e0 demander une autorisation\nminist\u00e9rielle \u00bb. Le CST a conclu que [**expurg\u00e9**]<\/strong> des [**expurg\u00e9**]<\/strong> sources n\u2019avaient pas \u00e9t\u00e9 acquises par le CST \u00e0\npartir de l\u2019IMI. Par cons\u00e9quent, il importe de souligner que le CST n\u2019a pas formellement \u00e9tabli si les [**expurg\u00e9**]<\/strong>\nsources contenaient de l\u2019information risquant deporter atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou\nd'une personne se trouvant au Canada, m\u00eame si au moins l'une de ces sources contenait de\nl\u2019information qui, pourtant, posait ce risque. En termes simples, l'approche du CST consistait, dans ce\ncontexte, \u00e0 traiter la question de l\u2019ARPVP seulement apr\u00e8s que l\u2019information pouvant porter atteinte \u00e0\nl\u2019ARPVP avait \u00e9t\u00e9 relev\u00e9e dans le fonds du CST, plut\u00f4t que de fa\u00e7on proactive.<\/p>\n\n\n\n

                  Parmi les [**expurg\u00e9**]<\/strong> sources externes d\u2019information de cybers\u00e9curit\u00e9 (sources non vis\u00e9es par une\nautorisation minist\u00e9rielle), l\u2019OSSNR en a examin\u00e9 un certain nombre. En l\u2019occurrence, l\u2019OSSNR s\u2019est\ndavantage concentr\u00e9 [**expurg\u00e9**]<\/strong> et le CST acquiert de l'information de [**expurg\u00e9**]<\/strong> sous diverses formes, notamment, des rapports sur les menaces, des [**expurg\u00e9**]<\/strong> d\u2019IC ainsi que des ensembles de donn\u00e9es consultables. Compte tenu de sa nature, il est probable qu\u2019une partie de cette information porte atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d une personne se trouvant au Canada - y compris\nl\u2019information autre que celle du GC.<\/p>\n\n\n\n

                  Une fois l\u2019exercice de cat\u00e9gorisation achev\u00e9, le CST a d\u00e9cid\u00e9, dans ce cas pr\u00e9cis, que\n[traduction] \u00ab l\u2019interrogation des ensembles de donn\u00e9es [**expurg\u00e9**]<\/strong> et l\u2019extraction de l\u2019information\ns'apparentaient \u00e0 une acquisition par le CST, \u00e0 partir de l'IMI \u00bb, mais que des mesures peuvent \u00eatre\nprises et le sont concr\u00e8tement pour pr\u00e9venir l\u2019acquisition, depuis ces ensembles de donn\u00e9es,\nd\u2019information pouvant porter atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au\nCanada. D\u2019apr\u00e8s le CST, tant que ces mesures sont en place et que l\u2019information acquise ne porte\naucune atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au Canada, le CST peut\ncontinuer ce type d\u2019acquisition sans autorisation minist\u00e9rielle. Compte tenu de l\u2019approche du CST\nconsistant \u00e0 ne se pencher sur l\u2019information pouvant donner lieu \u00e0 une ARPVP qu\u2019une fois qu\u2019elle se\ntrouve dans le fonds d\u2019information du CST, il est donc plausible que le CST acqui\u00e8re de l\u2019information\nportant atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d\u2019une personne se trouvant au Canada sans avoir\nobtenu d\u2019autorisation, et ce, malgr\u00e9 l\u2019interdiction \u00e9nonc\u00e9e au paragraphe 22(4) de la Loi sur le CST.<\/p>\n\n\n\n

                  <\/p>\n\n\n\n

                  En d\u00e9finitive, la conclusion g\u00e9n\u00e9rale que tire le CST en affirmant que l\u2019acquisition d\u2019information\naupr\u00e8s de sources externes- par exemple, [**expurg\u00e9**]<\/strong>\n- ne constitue pas une acquisition, par le CST, \u00e0 partir de l'IMI soul\u00e8ve un certain nombre de\nquestions. Selon l'article 2 de la Loi sur le CST, l\u2019IMI est d\u00e9finie en termes g\u00e9n\u00e9raux comme \u00e9tant\n\u00ab les \u00e9missions \u00e9lectromagn\u00e9tiques [...] les syst\u00e8mes de communication, les syst\u00e8mes et r\u00e9seaux des technologies de l\u2019information ainsi que les donn\u00e9es et les renseignements techniques qu\u2019ils transportent, qui s\u2019y trouvent ou qui les concernent. \u00bb Spontan\u00e9ment, la recherche active\nd\u2019information - par exemple, [**expurg\u00e9**]<\/strong> pourrait s\u2019assimiler \u00e0 une acquisition. Or, l'avis du CST selon lequel sa r\u00e9ception d\u2019information provenant de telles sources externes ne constitue pas une acquisition \u00e0 partir de l\u2019IMI est discutable et pourrait m\u00eame comporter des risques.<\/p>\n\n\n\n

                  L'acquisition d\u2019information de cybers\u00e9curit\u00e9 aupr\u00e8s de sources se trouvant en dehors du cadre\nd\u00e9fini par voie d\u2019autorisations minist\u00e9rielles, qui ne comporte aucun<\/em> risque d\u2019atteinte \u00e0 l\u2019ARPVP d\u2019un Canadien ou d'une personne se trouvant au Canada et qui ne contrevient d\u2019aucune fa\u00e7on \u00e0 une loi f\u00e9d\u00e9rale ne pose aucun probl\u00e8me sur le plan de la conformit\u00e9. Toutefois, la pratique actuelle du CST consistant \u00e0 omettre de v\u00e9rifier, en amont de la proc\u00e9dure d\u2019acquisition, si les sources d\u2019information posent un risque d\u2019atteinte \u00e0 une ARPVP entra\u00eenera ind\u00e9finiment le risque que le CST conserve des donn\u00e9es non \u00e9valu\u00e9es qui contiendraient de l\u2019information recueillie en dehors d'un cadre l\u00e9gislatif et donneraient lieu \u00e0 une ARPVP. Le Parlement a envisag\u00e9 la n\u00e9cessit\u00e9 d\u2019acqu\u00e9rir, d\u2019utiliser et de\nconserver ce type d\u2019information contenant des \u00e9l\u00e9ments suscitant une ARPVP pendant le\nd\u00e9roulement des activit\u00e9s CAI du CST. Or, le paragraphe 22(4) de la Loi sur le CST en interdit\nl'acquisition, l'utilisation et la conservation \u00e0 moins que ces activit\u00e9s aient \u00e9t\u00e9 autoris\u00e9es par le\nministre et approuv\u00e9es par le CR. Ce r\u00e9gime de reddition de comptes minist\u00e9rielle est donc un\n\u00e9l\u00e9ment essentiel pour \u00e9tablir la l\u00e9gitimit\u00e9 de ces activit\u00e9s CAL Pourtant, l\u2019interpr\u00e9tation restreinte que le CST fait de l'\u00e9nonc\u00e9 du paragraphe 22(4) exclut de ce r\u00e9gime certaines de ces activit\u00e9s intrusives ou inhabituelles. De plus, le CST n\u2019a pas pr\u00e9cis\u00e9 si son interpr\u00e9tation des dispositions g\u00e9n\u00e9rales reposait sur une interpr\u00e9tation particuli\u00e8re du terme \u00ab acquisition \u00bb ou sur la notion \u00ab d\u2019infrastructure mondiale de l'information \u00bb. En l\u2019occurrence, il y a lieu de se demander si l\u2019interpr\u00e9tation de cette interdiction et des termes qui la ponctuent auront une incidence sur les activit\u00e9s du CST ou sur d\u2019autres volets du mandat organisationnel.<\/p>\n\n\n\n

                  Hormis la d\u00e9cision rendue par le commissaire au renseignement en 2022 concernant\nl\u2019autorisation minist\u00e9rielle des activit\u00e9s CAI dans les syst\u00e8mes f\u00e9d\u00e9raux, une d\u00e9cision du CR rendue\nsubs\u00e9quemment, en 2023, relativement \u00e0 l'autorisation \u00e9quivalente de 2023-2024 fut l\u2019occasion d\u2019examiner la d\u00e9cision de 2022 et d'\u00e9valuer le r\u00e9gime des autorisations minist\u00e9rielles s\u2019appliquant aux activit\u00e9s CAI plus globalement. Outre les faits \u00e9tablis dans le pr\u00e9sent rapport, les deux d\u00e9cisions du CR montrent, au fond, que les activit\u00e9s CAI qui peuvent \u00eatre autoris\u00e9es au titre du paragraphe 27(1) subissent plus de contraintes que les interdictions \u00e9nonc\u00e9es au paragraphe 22(4). En l\u2019occurrence, l\u2019autorisation au titre du paragraphe 27(1) est contrainte en vertu du rapport avec \u00ab l\u2019infrastructure de l\u2019information des institutions f\u00e9d\u00e9rales \u00bb. En revanche, les interdictions analogues respectivement impos\u00e9es par la loi et par le libell\u00e9 des autorisations minist\u00e9rielles s\u2019appliquant au volet\nrenseignement \u00e9tranger du mandat du CST semblent \u00e9quivalentes. Autrement dit, s'agissant du renseignement \u00e9tranger, les activit\u00e9s interdites au titre du paragraphe 22(3) peuvent \u00eatre autoris\u00e9es par le ministre en vertu des dispositions \u00e9nonc\u00e9es \u00e0 l\u2019article 26.<\/p>\n\n\n\n

                  Les divergences entre le paragraphe 22(4) et le paragraphe 27(1) semblent limiter les\nactivit\u00e9s, notamment l\u2019acquisition de certaines informations provenant de sources externes, qui\nseraient utiles aux mesures prises dans le cadre du volet CAI du mandat du CST et qui, par ailleurs,\nne seraient pas proscrites par la Loi. Dans un document datant d\u2019avril 2023 qui a \u00e9t\u00e9 remis au\nministre et au commissaire au renseignement, la cheff\u00e8 du CST a qualifi\u00e9 ces divergences\n(traduction] \u00ab d\u2019oubli de la r\u00e9daction l\u00e9gislative \u00bb.<\/p>\n\n\n\n

                  \n

                  Recommandation n\u00b05:<\/strong> L\u2019OSSNR recommande que le CST r\u00e9\u00e9value la question visant \u00e0 \u00e9tablir si\nl\u2019acquisition d\u2019information, par le CST, \u00e0 partir de l\u2019infrastructure mondiale de l\u2019information\n[conform\u00e9ment au paragraphe 22(4) de la Loi sur le CST] s'applique \u00e0 l\u2019information provenant des\nsources de donn\u00e9es tierces. En l\u2019occurrence, il faudrait pr\u00e9voir une \u00e9valuation permettant d\u2019\u00e9tablir\nsi la Charte canadienne des droits et libert\u00e9s<\/em> peut \u00eatre invoqu\u00e9e, puis analyser les cas o\u00f9 les sources de donn\u00e9es tierces pourraient contenir de l\u2019information portant atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection d\u2019un Canadien ou d\u2019une personne se trouvant au Canada.<\/p>\n<\/blockquote>\n\n\n\n

                  \n

                  Recommandation n\u00b06:<\/strong> L\u2019OSSNR recommande, pour continuer les mesures d\u2019acquisition qui sont\nn\u00e9cessaires aux activit\u00e9s li\u00e9es \u00e0 la cybers\u00e9curit\u00e9 et \u00e0 l\u2019assurance de l\u2019information (CAI), que le CST\n\u00e9value ses sources actuelles d\u2019informationi CAI-qui sont acquises en dehors du cadre d\u2019une\nautorisation- pour v\u00e9rifier si elles portent atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection\nde la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. Cette \u00e9valuation devrait\n\u00eatre r\u00e9it\u00e9r\u00e9e suivant les besoins, pour veiller \u00e0 ce que cette information ne soit pas acquise sans\nqu\u2019une autorisation minist\u00e9rielle ait \u00e9t\u00e9 pr\u00e9alablement obtenue.<\/p>\n<\/blockquote>\n\n\n\n

                  \n

                  Recommandation n\u00b07:<\/strong> L\u2019OSSNR recommande que l\u2019article 27 de la Loi sur le CST soit modifi\u00e9\nde sorte \u00e0 permettre au Ministre d\u2019autoriser le CST \u00e0 acqu\u00e9rir l'information qui lui est n\u00e9cessaire\ndans le cadre du volet cybers\u00e9curit\u00e9 et assurance de l'information de son mandat (mais qui pourrait\ncontenir de l\u2019information portant atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection de la vie\npriv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada ou pourrait contrevenir \u00e0 une autre\ntoi f\u00e9d\u00e9rale), \u00e0 partir de sources autres que les infrastructures de l\u2019information f\u00e9d\u00e9rales et les\nsyst\u00e8mes d\u2019importance pour le gouvernement du Canada.<\/p>\n<\/blockquote>\n\n\n\n

                  <\/p>\n\n\n\n

                  CONCLUSION<\/h2>\n\n\n\n

                  Le CST et le Centre canadien pour la cybers\u00e9curit\u00e9 qui en rel\u00e8ve exploitent un \u00e9cosyst\u00e8me\nmisant sur un ensemble int\u00e9gr\u00e9 et complet de syst\u00e8mes, d\u2019outils de capacit\u00e9s en mati\u00e8re de\ncybers\u00e9curit\u00e9. Cet \u00e9cosyst\u00e8me prot\u00e8ge l\u2019information \u00e9lectronique et les infrastructures de l\u2019information\ndes institutions f\u00e9d\u00e9rales canadiennes, mais aussi les infrastructures d\u00e9sign\u00e9es comme \u00e9tant\nimportantes pour le gouvernement du Canada. Il est con\u00e7u de sorte \u00e0 appliquer, le cas \u00e9ch\u00e9ant, des\nmesures visant \u00e0 prot\u00e9ger la vie priv\u00e9e des Canadiens et des personnes se trouvant au Canada.<\/p>\n\n\n\n

                  Dans le contexte du mandat de l\u2019OSSNR en mati\u00e8re d\u2019examen, il est particuli\u00e8rement\nimportant de savoir que les capteurs SR et les activit\u00e9s qui s\u2019y rattachent dans le cadre du\nprogramme CAI acquerront assur\u00e9ment de l\u2019information se rapportant \u00e0 des Canadiens ou \u00e0 des\npersonnes se trouvant au Canada, y compris de l\u2019information portant atteinte \u00e0 l\u2019attente raisonnable\nen mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada.\nL\u2019OSSNR a formul\u00e9 des conclusions et des recommandations s\u2019appliquant \u00e0 deux domaines\nparticuliers : la transparence \u00e0 l\u2019\u00e9gard du Ministre quant \u00e0 la nature d\u2019\u00e9l\u00e9ments se rapportant \u00e0\ncertaines activit\u00e9s SR; et un probl\u00e8me particulier d\u00e9coulant d\u2019une activit\u00e9 d\u2019acquisition d\u2019information \u00e0\npartir de sources externes, acquisition que le CST a continu\u00e9 d\u2019exercer m\u00eame si le commissaire au\nrenseignement avait refus\u00e9 de l\u2019approuver.<\/p>\n\n\n\n

                  Dans ce dernier cas, le probl\u00e8me d\u00e9coule d\u2019une divergence sur le plan de la l\u00e9gislation\ns'appliquant au CST. En effet, cette divergence semble r\u00e9duire consid\u00e9rablement la possibilit\u00e9 de\nd\u00e9livrer une autorisation qui permettrait d\u2019acqu\u00e9rir une information pourtant n\u00e9cessaire au\nd\u00e9roulement du volet CAI du mandat du CST et qui donnerait au CST les moyens de prot\u00e9ger\nl\u2019information \u00e9lectronique et les infrastructures de l\u2019information.<\/p>\n\n\n\n

                  Pendant la premi\u00e8re moiti\u00e9 de la p\u00e9riode d\u2019examen, l\u2019OSSNR a de nouveau \u00e9prouv\u00e9 des\ndifficult\u00e9s du fait que le CST n\u2019a pas r\u00e9agi en temps opportun lorsqu\u2019on lui a demand\u00e9 l\u2019acc\u00e8s \u00e0\nl\u2019information que l\u2019OSSNR avait le mandat d\u2019analyser. En revanche, pendant la seconde moiti\u00e9 de\nl\u2019examen, l\u2019OSSNR a \u00e9t\u00e9 plut\u00f4t satisfait de la r\u00e9activit\u00e9 du CST sur ce plan. Malgr\u00e9 les discussions\ncontinuelles avec le CST concernant la n\u00e9cessit\u00e9 d\u2019am\u00e9liorer l'acc\u00e8s de l\u2019OSSNR \u00e0 l\u2019information du\nCST, l\u2019OSSNR a tout de m\u00eame \u00e9t\u00e9 en mesure d\u2019examiner l\u2019information re\u00e7ue pendant la p\u00e9riode\nd\u2019examen, et ce, conform\u00e9ment \u00e0 ses attentes.<\/p>\n\n\n\n

                  L\u2019information \u00e9tudi\u00e9e par l\u2019OSSNR pendant le d\u00e9roulement du pr\u00e9sent examen a aussi\nfavoris\u00e9 le processus de renforcement des connaissances ayant trait au CST. Ce renforcement\nservira de fondement aux examens qui, \u00e0 l'avenir, inciteront l\u2019OSSNR \u00e0 se pencher sur des enjeux\nplus pointus.<\/p>\n\n\n\n

                  ANNEXE A : Cycle de vie de l\u2019information<\/h2>\n\n\n\n

                  La pr\u00e9sente annexe d\u00e9crit la fa\u00e7on dont l\u2019information transite dans l\u2019\u00e9cosyst\u00e8me de cyberd\u00e9fense du CST, depuis la collecte initiale- en l\u2019occurrence par l\u2019interm\u00e9diaire de capteurs r\u00e9seau- jusqu\u2019\u00e0 la publication ou la communication de rapports bas\u00e9s sur cette information. Il est possible que certaines des informations de la pr\u00e9sente section n\u2019aient \u00e9t\u00e9 actuelles que jusqu\u2019\u00e0 la fin de la p\u00e9riode d\u2019examen, soit le 17 juin 2021.<\/p>\n\n\n\n

                  L\u2019\u00e9cosyst\u00e8me CAI du CST collecte un vaste \u00e9ventail de donn\u00e9es, notamment des paquets\nr\u00e9seau, des activit\u00e9s\/des \u00e9v\u00e9nements survenus sur l\u2019h\u00f4te et des registres\/des journaux\nd\u2019\u00e9v\u00e9nements. Le cheminement des donn\u00e9es se fait en quatre \u00e9tapes : 1) la collecte, 2) l\u2019analyse,\n3) la conservation et l\u2019\u00e9limination, et 4) l\u2019\u00e9tablissement de rapport et l\u2019utilisation. Au fil des \u00e9tapes, les\ndonn\u00e9es se d\u00e9placent dans divers r\u00e9seaux, depuis les r\u00e9seaux non classifi\u00e9s des partenaires\njusqu\u2019aux r\u00e9seaux du CST. Chaque \u00e9tape fait appel \u00e0 plusieurs syst\u00e8mes techniques qui fonctionnent\nsoit par automatisation soit par intervention humaine. Le traitement et l\u2019analyse des donn\u00e9es de\ncybers\u00e9curit\u00e9 ne s'appliquent pas uniquement \u00e0 un programme de capteurs donn\u00e9 ou \u00e0 une source\nd\u2019information particuli\u00e8re; d\u2019ailleurs, les \u00e9tapes 2 \u00e0 4 s\u2019appliquent \u00e0 toutes les sources de donn\u00e9es de\ncybers\u00e9curit\u00e9. \u00c0 chacune de ces \u00e9tapes, le CST a mis en place des mesures ayant pour but de\nprot\u00e9ger la vie priv\u00e9e des Canadiens et des personnes se trouvant au Canada, notamment des\n\u00e9valuations de la pertinence, de la n\u00e9cessit\u00e9 et du caract\u00e8re essentiel; des contr\u00f4les d\u2019acc\u00e8s aux\ninformations sensibles; des limites impos\u00e9es aux mesures de conservation; et des mesures\nd\u2019automatisation. L\u2019OSSNR n\u2019a pas \u00e9t\u00e9 en mesure d'examiner toutes les mesures ni de v\u00e9rifier les\nd\u00e9tails de leur mise en \u0153uvre, mais la pr\u00e9sente section fournira tout de m\u00eame une description de\ncertaines de ces mesures.<\/p>\n\n\n\n

                  Collecte<\/h3>\n\n\n\n

                  <\/p>\n\n\n\n

                  Les donn\u00e9es exploit\u00e9es par les syst\u00e8mes CAI du CST sont collect\u00e9es directement, suivant [**expurg\u00e9**]<\/strong> d\u2019un [**expurg\u00e9**]<\/strong>\nSR, [**expurg\u00e9**]<\/strong> solutions infonuagiques (SI) et des solutions du syst\u00e8me h\u00f4te (SSH).\nUne copie des donn\u00e9es est envoy\u00e9e\naux syst\u00e8mes de traitement dans les r\u00e9seaux classifi\u00e9 et non classifi\u00e9 du CST. Une fois re\u00e7ues par les syst\u00e8mes du CST,\nles donn\u00e9es collect\u00e9es sont consid\u00e9r\u00e9es comme \u00e9tant non \u00e9valu\u00e9es ou encore comme \u00e9tant \u00ab brutes \u00bb, un qualificatif\nemploy\u00e9 par le CST et repris dans la pr\u00e9sente section.<\/p>\n\n\n\n

                  Les donn\u00e9es brutes sont copi\u00e9es et sont ensuite trait\u00e9es tour a tour par divers syst\u00e8mes. [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                  \u00c0 ce stade, les donn\u00e9es trait\u00e9es sont consid\u00e9r\u00e9es comme n\u2019ayant pas encore \u00e9t\u00e9 \u00e9valu\u00e9es,\npuisqu\u2019elles n\u2019ont \u00e9t\u00e9 trait\u00e9es que par des fonctions automatis\u00e9es et que, par cons\u00e9quent, elles n\u2019ont\npas encore \u00e9t\u00e9 visualis\u00e9es par un analyste.<\/p>\n\n\n\n

                  Analyse<\/h3>\n\n\n\n

                  Les analystes de la cybers\u00e9curit\u00e9 du CST se servent de plusieurs outils pour acc\u00e9der aux\ndonn\u00e9es de cyberd\u00e9fense. Ces outils interrogent les m\u00e9tadonn\u00e9es extraites en fonction de crit\u00e8res,\nexploitent des fonctions manuelles et automatis\u00e9es, activent ces fonctions selon un calendrier et tirent\nparti de scripts r\u00e9dig\u00e9s par les analystes. Gr\u00e2ce \u00e0 ces outils, les analystes peuvent acc\u00e9der aux\ndonnes brutes- notamment pour voir [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                  En plus des capteurs tripartites, l\u2019information de cybers\u00e9curit\u00e9 du CST est renforc\u00e9e par de\nl\u2019information SIGINT, des renseignements communiqu\u00e9s, des ententes et d'autres sources\naccessibles au public comme [**expurg\u00e9**]<\/strong> et les sources ouvertes. Les\nanalystes peuvent manuellement ou automatiquement interroger l\u2019information des sources [**expurg\u00e9**]<\/strong> et\ncombiner celle-ci aux donn\u00e9es brutes collect\u00e9es par les capteurs du CST en vue de la pr\u00e9paration de\nmesures d\u2019att\u00e9nuation et de l\u2019\u00e9tablissement de rapports.<\/p>\n\n\n\n

                  Lorsqu'il rel\u00e8ve des donn\u00e9es qui r\u00e9pondent aux crit\u00e8res du CST en mati\u00e8re d\u2019utilisation,\nd\u2019analyse ou de conservation, l\u2019analyste les enregistre dans la base de connaissances de\ncyberd\u00e9fense du CST. Pour qu\u2019elles soient conserv\u00e9es, les donn\u00e9es SR doivent respecter le seuil\nd\u2019essentialit\u00e9 du CST (la question est abord\u00e9e plus loin dans la section sur la conservation et\nl\u2019\u00e9limination) puisque le CST tient pour acquis que toutes les donn\u00e9es SR contiennent des ICPC.\nPour exposer les raisons pour lesquelles les donn\u00e9es sont conserv\u00e9es, l'analyste doit les marquer en\nchoisissant l\u2019une des trois options possibles. Les donn\u00e9es peuvent \u00eatre conserves pour les motifs\nsuivants : [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                  Compte tenu de la quantit\u00e9 et de la sensibilit\u00e9 de l\u2019information produite par les divers outils\nd\u2019analyse, l\u2019acc\u00e8s est r\u00e9serv\u00e9 au personnel du CST qui a suivi la formation et r\u00e9ussi le test permettant\nd\u2019obtenir l\u2019attestation des exigences pr\u00e9vues par la loi et la politique (AELP). Diverses actions du syst\u00e8me sont\nenregistr\u00e9es (par exemple, toutes les interrogations permettant d\u2019acc\u00e9der aux donn\u00e9es\ntrait\u00e9es sont enregistr\u00e9es et conserv\u00e9es pendant [**expurg\u00e9**]<\/strong>) de sorte \u00e0 permettre\nla tenue d\u2019audits.<\/p>\n\n\n\n

                  Dans certains cas, des processus automatis\u00e9s \u00e9valuent les donn\u00e9es \u00e0 la place des analystes,\nnotamment Assemblyline, un outil d\u2019analyse de maliciels con\u00e7u par le CST. Assemblyline effectue\ndes analyses statiques et dynamiques sur des fichiers, notamment les fichiers joints \u00e0 des courriels,\npour reconna\u00eetre un maliciel ou tout autre contenu malveillant. Cet outil analyse tous les fichiers\nextraits automatiquement et alerte l\u2019analyste d\u00e8s lors qu\u2019il rel\u00e8ve des fichiers potentiellement\nmalveillants. \u00c0 l\u2019aide d\u2019une interface, les analystes peuvent ensuite examiner les fichiers \u00e0 la\nrecherche d\u2019\u00e9l\u00e9ments malveillants; ils peuvent \u00e9galement extraire et conserver les donn\u00e9es, s\u2019il y a lieu. Ils ont aussi la possibilit\u00e9 d\u2019automatiser la reconnaissance des fichiers malveillants en cr\u00e9ant des filtres \u00e0 m\u00eame l\u2019outil Assemblyline. Ces filtres permettent de reconna\u00eetre les fichiers comportant\ncertaines caract\u00e9ristiques. Ainsi, ils sont en mesure de relever les fichiers montrant les m\u00eames\ncaract\u00e9ristiques et d\u2019en conserver automatiquement les donn\u00e9es.<\/p>\n\n\n\n

                  Conservation et \u00e9limination<\/h3>\n\n\n\n

                  Selon le CST, les donn\u00e9es brutes doivent \u00eatre supprim\u00e9es [**expurg\u00e9**]<\/strong>\nson acquisition \u00bb. Bien que la temporalit\u00e9 soit calcul\u00e9e en fonction des syst\u00e8mes, la plupart des\ndonn\u00e9es brutes sont supprim\u00e9es bien avant l\u2019\u00e9ch\u00e9ance [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                  Les fichiers trait\u00e9s au moyen d\u2019Assemblyline sont assujettis \u00e0 une approche [**expurg\u00e9**]<\/strong>\ns\u2019agissant de la conservation : [**expurg\u00e9**]<\/strong><\/p>\n\n\n\n

                  Selon le niveau de sensibilit\u00e9 des donn\u00e9es, le CST est appel\u00e9 \u00e0 suivre diverses normes de\nconservation ax\u00e9es sur des crit\u00e8res allant de la pertinence au caract\u00e8re essentiel en passant par la\nn\u00e9cessit\u00e9 :<\/p>\n\n\n\n

                    \n
                  • Pertinence : [traduction] \u00ab Information pouvant \u00eatre utilis\u00e9e pour aider \u00e0 prot\u00e9ger les\nsyst\u00e8mes f\u00e9d\u00e9raux ou [les syst\u00e8mes d\u2019importance] et l\u2019information \u00e9lectronique qu\u2019ils\ncontiennent. \u00bb<\/li>\n\n\n\n
                  • N\u00e9cessit\u00e9 : Information qui est [traduction] \u00ab requise aux fins de compr\u00e9hension des\ncyberactivit\u00e9s malveillantes \u00bb, mais sans laquelle le CST peut tout de m\u00eame reconna\u00eetre, isoler, pr\u00e9venir ou att\u00e9nuer les sources de dommage.<\/li>\n\n\n\n
                  • Caract\u00e8re essentiel : Information sans laquelle le CST n\u2019est pas en mesure de\nreconna\u00eetre, d\u2019isoler, de pr\u00e9venir ou d\u2019att\u00e9nuer les sources de dommage.<\/li>\n<\/ul>\n\n\n\n

                    Dans le cas des donn\u00e9es acquises par l\u2019interm\u00e9diaire des SR, le CST consid\u00e8re toute\nl\u2019information comme de l\u2019ICPC. En l\u2019occurrence, le crit\u00e8re strat\u00e9gique s\u2019appliquant \u00e0 la conservation\nest le caract\u00e8re essentiel, et les analystes qui conservent lesdites donn\u00e9es doivent justifier cette\nconservation en fonction de ce crit\u00e8re. Cette condition est respect\u00e9e, comme il a \u00e9t\u00e9 dit\npr\u00e9c\u00e9demment, suivant l\u2019un de trois motifs: activit\u00e9 malveillante, connaissance de la situation ou d\u00e9veloppement des capacit\u00e9s. Ces donn\u00e9es sont conserv\u00e9es selon les exigences\norganisationnelles en mati\u00e8re de conservation ou encore; elles peuvent \u00e9galement \u00eatre supprim\u00e9es\nou encore \u00eatre achemin\u00e9es \u00e0 Biblioth\u00e8que et Archives Canada apr\u00e8s une p\u00e9riode qui varie de 10 \u00e0 30 ans en fonction de leur nature.<\/p>\n\n\n\n

                    Le traitement selon lequel toute l\u2019information SR constitue de l\u2019ICPC a \u00e9galement une\nincidence sur la communication. D\u2019apr\u00e8s le CST, comme toute ICPC conserv\u00e9e par le CST a d\u00e9j\u00e0 \u00e9t\u00e9\njug\u00e9e comme \u00e9tant \u00ab essentielle \u00bb, cette ICPC peut \u00eatre communiqu\u00e9e pour autant que cette\ncommunication soit n\u00e9cessaire. En l\u2019occurrence, le CST estime qu\u2019il s'agit d\u2019un double seuilcaract\u00e8re essentiel et n\u00e9cessit\u00e9- lorsque de l\u2019ICPC est obtenue au titre d'une autorisation.<\/p>\n\n\n\n

                    \u00c0 ce stade, les donn\u00e9es de la base de connaissances sont consid\u00e9r\u00e9es comme ayant \u00e9t\u00e9\n\u00e9valu\u00e9es, puisqu\u2019elles ont \u00e9t\u00e9 trait\u00e9es directement, par un analyste, ou indirectement, en fonction des\nr\u00e8gles cr\u00e9\u00e9es par l\u2019analyste. Ces donn\u00e9es peuvent ensuite \u00eatre utilis\u00e9es pour les produits de\ncyberd\u00e9fense, qu'il s\u2019agisse de rapports ou de mesures d\u00e9fensives.<\/p>\n\n\n\n

                    \u00c9tablissement de rapports et utilisation<\/h3>\n\n\n\n

                    Lorsqu\u2019un analyste- ou une proc\u00e9dure d'automatisation programm\u00e9e par un analystereconna\u00eet une menace gr\u00e2ce aux donn\u00e9es\nde cyberd\u00e9fense (p. ex. [**expurg\u00e9**]<\/strong>), cet analyste peut g\u00e9n\u00e9rer une t\u00e2che qui sera\nex\u00e9cut\u00e9e par le syst\u00e8me de\nd\u00e9fense dynamique. Cette t\u00e2che est ensuite appliqu\u00e9e [**expurg\u00e9**]<\/strong> Or, les minist\u00e8res\ndu GC qui sont prestataires des services\nde cyberd\u00e9fense du CST ont acc\u00e8s \u00e0 une information limit\u00e9e quant aux r\u00e8gles appliqu\u00e9es \u00e0 leurs\ninfrastructures respectives.<\/p>\n\n\n\n

                    Les contenus de rapports sont divers, allant des indicateurs de compromission (IC) non\nclassifi\u00e9s aux adresses IP ou aux noms de domaines malveillants, \u00e0 quoi s'ajoutent des produits de\ncybers\u00e9curit\u00e9 plus \u00e9toff\u00e9s et communicables, notamment les rapports d\u2019incidents [**expurg\u00e9**]<\/strong>.<\/p>\n\n\n\n

                    <\/p>\n\n\n\n

                      \n
                    • L'\u00e9laboration des rapports d\u00e9bute dans le r\u00e9seau classifi\u00e9. Un rapport peut simplement\nconsister en [**expurg\u00e9**]<\/strong>. Les gestionnaires v\u00e9rifient l'analyse et v\u00e9rifient, par\nexemple, si toutes les\npreuves sur lesquelles s\u2019appuie un rapport ont \u00e9t\u00e9 conserv\u00e9es. Subs\u00e9quemment \u00e0\nl\u2019expurgation et \u00e0 l\u2019approbation, les rapports peuvent \u00eatre transf\u00e9r\u00e9s \u00e0 un r\u00e9seau non\nclassifi\u00e9 aux fins de communication \u00e0 l'ext\u00e9rieur du CST.<\/li>\n\n\n\n
                    • Tout d\u00e9pendant de leur nature et de leur contenu, les rapports approuv\u00e9s peuvent \u00eatre\ncommuniqu\u00e9s manuellement \u00e0 une diversit\u00e9 de partenaires, notamment \u00e0 la\nCollectivit\u00e9 des cinq ou [**expurg\u00e9**]<\/strong>, aux minist\u00e8res du GC ainsi qu\u2019aux\norganismes responsables de l\u2019infrastructure essentielle du Canada.<\/li>\n\n\n\n
                    • Les IC peuvent \u00eatre communiqu\u00e9s automatiquement \u00e0 ces m\u00eames partenaires. En\noutre, les IC sont \u00e9chang\u00e9s en temps quasi r\u00e9el par l\u2019interm\u00e9diaire d\u2019Aventail, [**expurg\u00e9**]<\/strong>.<\/li>\n<\/ul>\n\n\n\n

                      Dans le cadre du volet CAI de son mandat, le CST \u00e9change un important volume d\u2019information\nen interne, mais aussi \u00e0 l'externe, avec le GC- pour peu que l\u2019information soit pertinente pour le volet\nCAI du CST et qu'il soit essentiel d'\u00e9changer cette information avec une autre entit\u00e9. Dans le cas des\nICPC, ces \u00e9changes sont rendus possibles par voie d'arr\u00eat\u00e9s minist\u00e9riels, lesquels autorisent le\nCST \u00e0 communiquer les ICPC acquises par le volet CAI \u00e0 des personnes ou des cat\u00e9gories de\ndestinataires d\u00e9sign\u00e9es par le ministre. L'ICPC est g\u00e9n\u00e9ralement communiqu\u00e9e uniquement au\npropri\u00e9taire d'un syst\u00e8me touch\u00e9 par un avis aux victimes (p. ex. pour rep\u00e9rer un ordinateur infect\u00e9).<\/p>\n\n\n\n

                      Le CST a indiqu\u00e9 \u00e0 l\u2019OSSNR qu'il retirait \u00ab toute information personnelle \u00bb- c'est-\u00e0-dire toute\ninformation nominative sur un Canadien, toute ICPC et toute communication priv\u00e9e- des rapports\navant de remettre ceux-ci \u00e0 des partenaires, quoique le CST a ensuite ajout\u00e9 qu\u2019il \u00e9tait possible que ce ne soit pas le cas lorsqu'il [**expurg\u00e9**]<\/strong>. L'OSSNR a pris connaissance d\u2019exemples de retrait (suppression), par le CST, d'information personnelle lorsqu'il s\u2019est pench\u00e9 sur divers types de rapports de cybers\u00e9curit\u00e9, notamment, \u00e0 l\u2019occasion d\u2019une d\u00e9monstration technique. Le CST peut diffuser des rapports ne contenant aucune ICPC \u00e0 un lectorat plus large; c'est \u00e9galement cas lorsqu\u2019il s\u2019agit de communiquer des IC \u00e0 des entit\u00e9s des secteurs priv\u00e9 et public\npar l\u2019interm\u00e9diaire d\u2019AVENTAIL.<\/p>\n\n\n\n

                      Suivant un d\u00e9cret minist\u00e9riel au titre de l'article 45 de la Loi sur le CST, d'autres entit\u00e9s au\nCanada et \u00e0 l\u2019\u00e9tranger, entre autres les entit\u00e9s de la Collectivit\u00e9 des cinq, peuvent recevoir, de la part\ndu CST, de l\u2019information dont l\u2019ICPC n'a pas \u00e9t\u00e9 supprim\u00e9e. Dans ces cas de figure, l\u2019ICPC est\ncommuniqu\u00e9e sous forme de produits de cybers\u00e9curit\u00e9 communicables. D'apr\u00e8s la politique interne du CST et en vertu de la Loi visant \u00e0 \u00e9viter la complicit\u00e9 dans les cas de mauvais traitements\ninflig\u00e9s par des entit\u00e9s \u00e9trang\u00e8res, le CST doit proc\u00e9der \u00e0 une \u00e9valuation des risques de mauvais\ntraitements lorsqu'il communique \u00e0 des pays \u00e9trangers de l'information qui pourrait servir \u00e0 identifier une personne, directement ou indirectement. L\u2019OSSNR n\u2019a pas examin\u00e9 de pr\u00e8s cette question ni d\u2019autres ayant trait \u00e0 la communication d\u2019information de cybers\u00e9curit\u00e9 \u00e0 l\u2019ext\u00e9rieur du CST.<\/p>\n\n\n\n

                      ANNEXE B : Utilisation de l\u2019information de\ncybers\u00e9curit\u00e9 par divers volets<\/h2>\n\n\n\n

                      L\u2019examen r\u00e9alis\u00e9 par l\u2019OSSNR en 2020 et intitul\u00e9 Examen des pratiques d\u2019\u00e9change\nd\u2019informations entre divers volets du mandat du CST (examen n\u00b0 2020-07) s\u2019est pench\u00e9 sur les autorisations juridiques du CST ayant trait \u00e0 la communication interne d\u2019information entre le volet renseignement \u00e9tranger et le volet CAI du mandat du CST en accordant une attention particuli\u00e8re \u00e0 l\u2019ICPC. L\u2019OSSNR a conclu que le cadre strat\u00e9gique du CST s\u2019appliquant \u00e0 ce type de communication \u00e9tait conforme aux dispositions de la Loi sur le CST. D\u2019apr\u00e8s la politique du CST, une \u00e9valuation de la pertinence, de l\u2019essentialit\u00e9 ou de la n\u00e9cessit\u00e9 de l\u2019ICPC pour chacun des volets\nconcern\u00e9s est requise pour la communication d\u2019information entre ces volets.<\/p>\n\n\n\n

                      Comme le d\u00e9crivent les demandes de la cheffe au Ministre, l\u2019information acquise au titre de\nl\u2019autorisation visant les activit\u00e9s de cybers\u00e9curit\u00e9 dans l\u2019infrastructure f\u00e9d\u00e9rale [traduction] \u00ab peut\n\u00e9galement \u00eatre utilis\u00e9e par le CST \u00e0 d\u2019autres fins permises par la Loi sur le CST. Par exemple,\nl\u2019information peut servir \u00e0 faciliter toute autre activit\u00e9 permise en vertu des autorisations visant les\nactivit\u00e9s de renseignement \u00e9tranger ou encore les op\u00e9rations de cyberd\u00e9fense active ou\nd\u00e9fensive \u00bb. La politique interne du CST en mati\u00e8re de cybers\u00e9curit\u00e9 avance \u00e9galement que :<\/p>\n\n\n\n

                      \n

                      Sous r\u00e9serve des conditions impos\u00e9es par les clients et les entit\u00e9s divulgatrices, les membres du\npersonnel du CST qui m\u00e8nent des activit\u00e9s relevant d\u2019un autre volet du mandat, sauf le volet touchant\nl\u2019assistance, peuvent utiliser l\u2019information consid\u00e9r\u00e9e comme \u00e9tant pertinente, n\u00e9cessaire ou essentielle\net conserv\u00e9e au titre du volet du mandat touchant la cybers\u00e9curit\u00e9. Cette utilisation doit tout de m\u00eame\ncadrer avec le volet du mandat touchant la cybers\u00e9curit\u00e9 (c.-\u00e0-d. aider \u00e0 prot\u00e9ger l\u2019information\n\u00e9lectronique ou les infrastructures des institutions f\u00e9d\u00e9rales ou des propri\u00e9taires des syst\u00e8mes\nd\u2019importance). Il s\u2019agit d\u2019une utilisation autoris\u00e9e de l\u2019information par le CST.<\/p>\n<\/blockquote>\n\n\n\n

                      En vertu de l\u2019article 16 de la Loi sur le CST, le volet renseignement \u00e9tranger du mandat du CST a\npour objet \u00ab [d\u2019acqu\u00e9rir] secr\u00e8tement ou d\u2019une autre mani\u00e8re, de l\u2019information \u00e0 partir de\nl\u2019infrastructure mondiale de l\u2019information [IMI] ou par son entremise, notamment en engageant des\nentit\u00e9s \u00e9trang\u00e8res situ\u00e9es \u00e0 l\u2019ext\u00e9rieur du Canada ou en interagissant avec celles-ci ou en utilisant\ntout autre moyen d\u2019acqu\u00e9rir de l\u2019information, et utilise, analyse et diffuse l\u2019information dans le but de\nfournir du renseignement \u00e9tranger, en conformit\u00e9 avec les priorit\u00e9s du gouvernement f\u00e9d\u00e9ral en\nmati\u00e8re de renseignement. \u00bb Les priorit\u00e9s en mati\u00e8re de renseignement concernent certaines\nquestions qui ont directement trait au volet CAI du mandat du CST, par exemple, \u00ab [**expurg\u00e9**]<\/strong>\n\u00bb de m\u00eame que \u00ab [**expurg\u00e9**]<\/strong> \u00bb et \u00ab [**expurg\u00e9**]<\/strong> \u00bb.<\/p>\n\n\n\n

                      Un exemple d\u2019utilisation, par le renseignement \u00e9tranger du CST, de l\u2019information CAI \u00e9valu\u00e9e<\/em>\nest l\u2019usage que fait [**expurg\u00e9**]<\/strong>. Le CST peut \u00e9galement utiliser l\u2019information CAI \u00e9valu\u00e9e \u00e0 des fins de\ncyberop\u00e9rations d\u00e9fensives ou actives, pour peu que ces op\u00e9rations soient li\u00e9es \u00e0 des activit\u00e9s de\ncybers\u00e9curit\u00e9- notamment une cyberop\u00e9ration ciblant un cybercriminel qui pourrait repr\u00e9senter une\nmenace pour les syst\u00e8mes canadiens. Selon le CST, les analystes du SIGINT peuvent \u00e9galement\nacc\u00e9der \u00e0 l\u2019information CAI non \u00e9valu\u00e9e<\/em>, ce qui comprend de l\u2019information collect\u00e9e en vertu\nd\u2019autorisations de cybers\u00e9curit\u00e9 [au titre des paragraphes 27(1) ou 27(2)]. Par exemple, [**expurg\u00e9**]<\/strong>. Toutefois, le CST a\nindiqu\u00e9 \u00e0 I OSSNR que lorsque les membres du personnel du SIGINT ont acc\u00e8s \u00e0 l\u2019information CAI\nbrute ou interrogent cette information, ils le font au titre du volet CAI du mandat tu CST.<\/p>\n\n\n\n

                      Comme c\u2019est le cas pour les autorisations de cybers\u00e9curit\u00e9 accord\u00e9es au CST, les\nautorisations visant les activit\u00e9s de renseignement \u00e9tranger (RE) du CST [paragraphe 26(1) de la Loi sur le CST] font mention de la cybers\u00e9curit\u00e9 ainsi que de liens entre l\u2019information du renseignement \u00e9tranger et les activit\u00e9s CAI. Toutes les autorisations de la sorte stipulent que l\u2019information qui est acquise \u00e0 leur titre et qui est reconnue comme \u00e9tant de l\u2019ICPC [traduction] \u00ab sera utilis\u00e9e, analys\u00e9e ou conserv\u00e9e uniquement si l\u2019information est essentielle aux affaires internationales, \u00e0 la d\u00e9fense ou \u00e0 la\ns\u00e9curit\u00e9, ce qui comprend la cybers\u00e9curit\u00e9\". \u00bb La politique interne du CST ajoute que :<\/p>\n\n\n\n

                        \n
                      • [Traduction] Le principal \u00e9l\u00e9ment \u00e0 prendre en compte lorsqu\u2019il s'agit de communiquer de l\u2019information\nde renseignement \u00e9tranger devant \u00eatre utilis\u00e9e aux fins du volet cybers\u00e9curit\u00e9 du mandat du CST est la\nnotion d\u2019usage compatible- l\u2019information acquise par le CST dans le cadre du volet renseignement\n\u00e9tranger du CST doit \u00eatre utilis\u00e9e aux fins des activit\u00e9s du renseignement \u00e9tranger, mais elle peut \u00eatre ensuite mise \u00e0 la disposition de destinataires agissant au titre des autorisations de cybers\u00e9curit\u00e9 pour peu que ces destinataires soient admissibles \u00e0 recevoir et \u00e0 utiliser ladite information dans le but d\u2019exercer les activit\u00e9s pr\u00e9vues par leur mandat.<\/li>\n\n\n\n
                      • [Traduction] Pour transmettre du RE au titre du volet cybers\u00e9curit\u00e9 du mandat du CST [...].\nL'information doit \u00eatre \u00e9valu\u00e9e pour \u00e9tablir si elle a quelque valeur sur le plan du RE par rapport aux\npriorit\u00e9s du GC en mati\u00e8re de renseignement; l\u2019ICPC peut \u00eatre communiqu\u00e9e uniquement aux membres du personnel de la cybers\u00e9curit\u00e9, pour peu qu\u2019elle r\u00e9ponde au crit\u00e8re de l\u2019aspect essentiel s\u2019appliquant au renseignement \u00e9tranger et qu\u2019elle soit \u00e9valu\u00e9e, s\u2019il y a lieu, aux fins des activit\u00e9s de\ncybers\u00e9curit\u00e9 [...].<\/li>\n<\/ul>\n\n\n\n

                        Par exemple, les analystes SIGINT du CST peuvent [**expurg\u00e9**]<\/strong> ce qui signifieque les analystes du CAI peuvent agir en fonction de cette information pour prot\u00e9ger les syst\u00e8mes contre les cybermenaces. Ainsi, l'information de cybers\u00e9curit\u00e9 acquise au titre du volet renseignement \u00e9tranger peut \u00eatre communiqu\u00e9e au CST aux fins d\u2019utilisation dans le contexte des activit\u00e9s du volet CAI.<\/p>\n\n\n\n

                        ANNEXE C : Conclusions et recommandations<\/h2>\n\n\n\n

                        Constatations<\/h3>\n\n\n\n

                        Conclusion n\u00b0 1 :<\/strong> L\u2019OSSNR conclut que le CST exploite un ensemble complet et int\u00e9gr\u00e9 de syst\u00e8mes, d\u2019outils et de capacit\u00e9s de cybers\u00e9curit\u00e9 qui est apte \u00e0 garantir une protection contre les cybermenaces et qui comporte des mesures visant \u00e0 prot\u00e9ger la vie priv\u00e9e des Canadiens et des personnes se trouvant au Canada.<\/p>\n\n\n\n

                        Conclusion n\u00b0 2 :<\/strong> L\u2019OSSNR conclut que le CST a trait\u00e9 toutes les informations acquises par les\nsolutions r\u00e9seau (SR) en tenant compte de l\u2019information se rapportant \u00e0 des Canadiens ou \u00e0 des\npersonnes se trouvant au Canada (ICPC) et qu\u2019il a appliqu\u00e9 toutes les mesures permettant de\nprot\u00e9ger les renseignements personnels se trouvant dans cette information acquise par l\u2019interm\u00e9diaire\nde SR.<\/p>\n\n\n\n

                        Conclusion n\u00b0 3 :<\/strong> L\u2019OSSNR conclut qu\u2019en raison de sa nature, l\u2019information acquise par l\u2019interm\u00e9diaire de SR comportera toujours de l\u2019information se rapportant \u00e0 des Canadiens ou \u00e0 des\npersonnes se trouvant au Canada (ICPC) et qu\u2019il contiendra invariablement de l\u2019information \u00e0 l\u2019\u00e9gard de laquelle un Canadien ou une personne se trouvant au Canada pourrait avoir une attente\nraisonnable en mati\u00e8re de protection de la vie priv\u00e9e (ARPVP). Cet aspect n\u2019a pas \u00e9t\u00e9 communiqu\u00e9 de fa\u00e7on transparente au ministre lors de la pr\u00e9sentation des demandes d\u2019autorisation correspondantes.<\/p>\n\n\n\n

                        Conclusion n\u00b0 4 :<\/strong> L\u2019OSSNR conclut qu\u2019en raison de certaines ambigu\u00eft\u00e9s dans sa relation avec\nSPC, le CST n\u2019a pas obtenu, aux fins des activit\u00e9s de cybers\u00e9curit\u00e9 et d\u2019assurance de\nl\u2019information, le consentement des propri\u00e9taires de syst\u00e8mes comme il avait \u00e9t\u00e9 d\u00e9crit au\nministre.<\/p>\n\n\n\n

                        Conclusion n\u00b0 5 :<\/strong> L\u2019OSSNR conclut que SPC n\u2019\u00e9tait pas parfaitement au courant de ses\nresponsabilit\u00e9s en tant que propri\u00e9taire de syst\u00e8mes, contrairement \u00e0 ce qui est \u00e9nonc\u00e9 dans\nles demandes que le CST a soumises au ministre.<\/p>\n\n\n\n

                        Conclusion n\u00b0 6 :<\/strong> L\u2019OSSNR conclut qu\u2019en d\u00e9pit d\u2019un protocole d\u2019entente \u00e9tabli entre le CST et SPC,\nil y a des \u00e9l\u00e9ments d\u2019incompr\u00e9hension entre les organisations relativement \u00e0 l\u2019exercice des\nresponsabilit\u00e9s convenues sur le plan des activit\u00e9s SR dans les r\u00e9seaux exploit\u00e9s par SPC.<\/p>\n\n\n\n

                        Conclusion n\u00b0 7 :<\/strong> L\u2019OSSNR conclut que le CST n\u2019a pas expos\u00e9 au ministre les motifs pour lesquels le consentement \u00e0 l\u2019\u00e9gard des activit\u00e9s de cybers\u00e9curit\u00e9 du CST n\u2019a raisonnablement pas \u00e9t\u00e9 obtenu de la part des utilisateurs des syst\u00e8mes du gouvernement du Canada.<\/p>\n\n\n\n

                        Conclusion n\u00b0 8 :<\/strong> L\u2019OSSNR conclut que l\u2019application restrictive que le CST fait des dispositions\nvis\u00e9es au paragraphe 22(4) de la Loi sur le CST pose des risques sur le plan juridique et sur le plan de la reddition de comptes et, dans au moins un cas, a fait en sorte que le CST a acquis de l\u2019information pouvant porter atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. Cette information provenait d\u2019une source\nqui n\u2019\u00e9tait pas vis\u00e9e par le libell\u00e9 des autorisations minist\u00e9rielles.<\/p>\n\n\n\n

                        Conclusion n\u00b0 9 :<\/strong> L\u2019OSSNR conclut qu\u2019une divergence entre les paragraphes 27(1) et 22(4) de la Loi\nsur le CST emp\u00eache le CST d\u2019acqu\u00e9rir certaines informations proven\u00e0nt de sources externes,\nnotamment les bases de donn\u00e9es commerciales, dont l\u2019information pourrait porter atteinte \u00e0 l\u2019attente\nraisonnable en mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne au Canada.\nOr, l\u2019acquisition d\u2019une partie de cette information renforcerait la capacit\u00e9 du CST \u00e0 remplir son mandat\nen mati\u00e8re de cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information.<\/p>\n\n\n\n

                        Recommandations<\/h3>\n\n\n\n

                        Recommandation no 1 :<\/strong> L\u2019OSSNR recommande que dans ses demandes d\u2019autorisation, le CST expose clairement au ministre les \u00e9l\u00e9ments suivants :<\/p>\n\n\n\n

                          \n
                        • que les solutions r\u00e9seau acqui\u00e8rent de l\u2019information se rapportant \u00e0 des Canadiens ou des personnes se trouvant au Canada (ICPC), notamment des informations qui contreviennent \u00e0\nl\u2019attente raisonnable de Canadiens ou de personnes se trouvant au Canada en mati\u00e8re de\nprotection de la vie priv\u00e9e (ARPVP);<\/li>\n\n\n\n
                        • que le CST utilise, analyse et conserve ces donn\u00e9es dans le cadre de ses activit\u00e9s en mati\u00e8re\nde cybers\u00e9curit\u00e9 et d\u2019assurance de l\u2019information.<\/li>\n<\/ul>\n\n\n\n

                          Recommandation n\u00b0 2 :<\/strong> L\u2019OSSNR recommande que le CST renouvelle le PE qu\u2019il a conclu avec\nSPC en 2014, de sorte \u00e0 veiller \u00e0 ce que le CST et SPC remplissent ad\u00e9quatement leurs\nengagements respectifs, y compris l\u2019engagement voulant que le CST tienne le ministre au courant de\nla responsabilit\u00e9 de SPC qui consiste \u00e0 aviser les propri\u00e9taires de syst\u00e8mes au sujet du programme\nSR.<\/p>\n\n\n\n

                          Recommandation n\u00b0 3 :<\/strong> L\u2019OSSNR recommande que le CST mette \u00e0 jour les protocoles d\u2019entente (PE) qu\u2019il a conclus avec tous ses partenaires de cybers\u00e9curit\u00e9. Ainsi, il pourra veiller \u00e0 ce que ces partenaires expriment leur consentement \u00e0 l\u2019\u00e9gard des activit\u00e9s de cybers\u00e9curit\u00e9 du CST et \u00e0 ce que les ententes soient int\u00e9gralement conformes aux pouvoirs et aux modalit\u00e9s de gouvernance\nactuellement en vigueur. Au reste, le CST devrait adopter une pratique de mise \u00e0 jour r\u00e9guli\u00e8re de\nces PE, de sorte \u00e0 tenir compte de l\u2019\u00e9volution des attributions.<\/p>\n\n\n\n

                          Recommandation n\u00b0 4:<\/strong> L\u2019OSSNR recommande que le CST explique au ministre les modalit\u00e9s selon\nlesquelles il obtient le consentement des utilisateurs des syst\u00e8mes du gouvernement du Canada\nrelativement aux activit\u00e9s qu\u2019il exerce en mati\u00e8re de cybers\u00e9curit\u00e9 ou, le cas \u00e9ch\u00e9ant, les raisons\npour lesquelles ce consentement n\u2019a pas pu \u00eatre raisonnablement obtenu.<\/p>\n\n\n\n

                          Recommandation n\u00b05:<\/strong> L\u2019OSSNR recommande que le CST r\u00e9\u00e9value la question visant \u00e0 \u00e9tablir si\nl\u2019acquisition d\u2019information, par le CST, \u00e0 partir de l\u2019infrastructure mondiale de l\u2019information\n[conform\u00e9ment au paragraphe 22(4) de la Loi sur le CST] s'applique \u00e0 l\u2019information provenant des\nsources de donn\u00e9es tierces. En l\u2019occurrence, il faudrait pr\u00e9voir une \u00e9valuation permettant d\u2019\u00e9tablir\nsi la Charte canadienne des droits et libert\u00e9s<\/em> peut \u00eatre invoqu\u00e9e, puis analyser les cas o\u00f9 les sources de donn\u00e9es tierces pourraient contenir de l\u2019information portant atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection d\u2019un Canadien ou d\u2019une personne se trouvant au Canada.<\/p>\n\n\n\n

                          Recommandation 6 :<\/strong> L\u2019OSSNR recommande, pour continuer les mesures d\u2019acquisition qui sont\nn\u00e9cessaires aux activit\u00e9s li\u00e9es \u00e0 la cybers\u00e9curit\u00e9 et \u00e0 l\u2019assurance de l\u2019information (CAI), que le CST\n\u00e9value ses sources actuelles d\u2019informationi CAI-qui sont acquises en dehors du cadre d\u2019une\nautorisation- pour v\u00e9rifier si elles portent atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection\nde la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada. Cette \u00e9valuation devrait\n\u00eatre r\u00e9it\u00e9r\u00e9e suivant les besoins, pour veiller \u00e0 ce que cette information ne soit pas acquise sans\nqu\u2019une autorisation minist\u00e9rielle ait \u00e9t\u00e9 pr\u00e9alablement obtenue.<\/p>\n\n\n\n

                          Recommandation 7 : <\/strong>L\u2019OSSNR recommande que l\u2019article 27 de la Loi sur le CST soit modifi\u00e9 de sorte \u00e0 permettre au Ministre d\u2019autoriser 1e CST \u00e0 acqu\u00e9rir l\u2019information qui lui est n\u00e9cessaire dans le\ncadre du volet cybers\u00e9curit\u00e9 et assurance de l\u2019information de son mandat (mais qui pourrait contenir de l\u2019information portant atteinte \u00e0 l\u2019attente raisonnable en mati\u00e8re de protection de la vie priv\u00e9e d\u2019un Canadien ou d\u2019une personne se trouvant au Canada ou pourrait contrevenir \u00e0 une autre loi f\u00e9d\u00e9rale), \u00e0 partir de sources autres que les infrastructures de l\u2019information f\u00e9d\u00e9rales et les syst\u00e8mes\nd\u2019importance pour le gouvernement du Canada.<\/p>\n\n\n\n

                          <\/p>\n\n\n\n

                          <\/p>\n\n\n\n

                          <\/p>\n\n\n\n

                          <\/p>\n\n\n\n

                          <\/p>\n\n\n\n

                          <\/p>\n<\/div><\/div>\n<\/div><\/div><\/section>","protected":false},"excerpt":{"rendered":"","protected":false},"author":6,"featured_media":3255,"parent":9233,"menu_order":1,"comment_status":"closed","ping_status":"closed","template":"template-nsira-subpages.php","meta":{"inline_featured_image":false},"categories":[24],"tags":[],"yoast_head":"\nCommunications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report - National Security and Intelligence Review Agency<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/21-17\/rapport-2\/\" \/>\n<meta property=\"og:locale\" content=\"fr_CA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report - National Security and Intelligence Review Agency\" \/>\n<meta property=\"og:url\" content=\"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/21-17\/rapport-2\/\" \/>\n<meta property=\"og:site_name\" content=\"National Security and Intelligence Review Agency\" \/>\n<meta property=\"article:modified_time\" content=\"2025-10-02T14:27:30+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/nsira-ossnr.gc.ca\/wp-content\/uploads\/Reviews-Featured-2.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t<meta property=\"og:image:height\" content=\"500\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Estimation du temps de lecture\" \/>\n\t<meta name=\"twitter:data1\" content=\"61 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/\",\"url\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/\",\"name\":\"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report - National Security and Intelligence Review Agency\",\"isPartOf\":{\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/#website\"},\"datePublished\":\"2025-05-21T14:49:51+00:00\",\"dateModified\":\"2025-10-02T14:27:30+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/#breadcrumb\"},\"inLanguage\":\"fr-CA\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Reviews\",\"item\":\"\/reviews\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Find A Review\",\"item\":\"\/reviews\/find-a-review\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Communications Security Establishment’s Network-Based Solutions and Related CS\/IA Activities\",\"item\":\"\/reviews\/find-a-review\/21-17\/\"},{\"@type\":\"ListItem\",\"position\":4,\"name\":\"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/nsira-ossnr.gc.ca\/#website\",\"url\":\"https:\/\/nsira-ossnr.gc.ca\/\",\"name\":\"National Security and Intelligence Review Agency\",\"description\":\"Official Website\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/nsira-ossnr.gc.ca\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"fr-CA\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report - National Security and Intelligence Review Agency","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/21-17\/rapport-2\/","og_locale":"fr_CA","og_type":"article","og_title":"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report - National Security and Intelligence Review Agency","og_url":"https:\/\/nsira-ossnr.gc.ca\/fr\/examens\/nos-examens\/21-17\/rapport-2\/","og_site_name":"National Security and Intelligence Review Agency","article_modified_time":"2025-10-02T14:27:30+00:00","og_image":[{"width":350,"height":500,"url":"https:\/\/nsira-ossnr.gc.ca\/wp-content\/uploads\/Reviews-Featured-2.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Estimation du temps de lecture":"61 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/","url":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/","name":"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report - National Security and Intelligence Review Agency","isPartOf":{"@id":"https:\/\/nsira-ossnr.gc.ca\/#website"},"datePublished":"2025-05-21T14:49:51+00:00","dateModified":"2025-10-02T14:27:30+00:00","breadcrumb":{"@id":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/#breadcrumb"},"inLanguage":"fr-CA","potentialAction":[{"@type":"ReadAction","target":["https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/nsira-ossnr.gc.ca\/reviews\/find-a-review\/21-17\/report\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Reviews","item":"\/reviews\/"},{"@type":"ListItem","position":2,"name":"Find A Review","item":"\/reviews\/find-a-review\/"},{"@type":"ListItem","position":3,"name":"Communications Security Establishment’s Network-Based Solutions and Related CS\/IA Activities","item":"\/reviews\/find-a-review\/21-17\/"},{"@type":"ListItem","position":4,"name":"Communications Security Establishment\u2019s Network-Based Solutions and Related CS\/IA Activities: Report"}]},{"@type":"WebSite","@id":"https:\/\/nsira-ossnr.gc.ca\/#website","url":"https:\/\/nsira-ossnr.gc.ca\/","name":"National Security and Intelligence Review Agency","description":"Official Website","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/nsira-ossnr.gc.ca\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"fr-CA"}]}},"_links":{"self":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/9926"}],"collection":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/comments?post=9926"}],"version-history":[{"count":212,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/9926\/revisions"}],"predecessor-version":[{"id":11736,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/9926\/revisions\/11736"}],"up":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/pages\/9233"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/media\/3255"}],"wp:attachment":[{"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/media?parent=9926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/categories?post=9926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nsira-ossnr.gc.ca\/fr\/wp-json\/wp\/v2\/tags?post=9926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}