Travaux d'examen en 1999-2000

Au cours de l'année écoulée, j'ai présenté quatre rapports classifiés au ministre de la Défense nationale. L'un de ceux-ci réexaminait la question des enquêtes et des plaintes internes. Les trois autres présentaient les résultats d'examens d'activités menées par le CST en matière de renseignement sur l'étranger et de sécurité des technologies de l'information. Toutes ces études comportaient un examen des paramètres juridiques régissant les activités du CST, des politiques et pratiques connexes et des systèmes et mécanismes de responsabilisation en place au sein de l'organisme. Aucune n'a révélé de problème ayant trait à des activités illégales.

Enquêtes et plaintes internes

Lors de mon premier examen des enquêtes et des plaintes internes, en 1997-1998, j'ai constaté que la plupart avaient rapport à des questions comme les infractions à la sécurité et que, dans aucun cas, le CST ne s'était livré à des activités illégales dans l'exécution de son mandat. J'ai fait la même constatation cette année. Dans l'intervalle, le CST a mis en œuvre un bon nombre de nouvelles politiques et initiatives internes destinées à sensibiliser davantage le personnel à la sécurité. Ces mesures semblent avoir été efficaces, en ce sens que le nombre des incidents ayant nécessité des enquêtes internes a été beaucoup moins élevé au cours de l'année dernière qu'en 1997-1998.  

Renseignements électromagnétiques sur l'étranger

Dans mon examen des activités du CST en matière de renseignement électromagnétique sur l'étranger au cours de l'année écoulée, j'ai remarqué que l'on améliorait et révisait constamment les politiques et directives en la matière, compte tenu de l'évolution dans le domaine des communications. J'ai en outre relevé les nouvelles initiatives instaurées par le CST afin d'accroître sa capacité de gérer ses activités liées au SIGINT et de rendre compte de celles-ci.

J'ai fait particulièrement attention, cette année, à examiner non seulement la nature des renseignements que le CST recueille et conserve, mais aussi la façon dont ses fonds de renseignements sont créés. Cela m'a permis de mieux connaître et comprendre certains des moyens très spécialisés et très techniques employés pour réduire au minimum la probabilité que des communications privées de Canadiens se retrouvent dans les fonds de renseignements du CST. Je suis en mesure d'affirmer qu'à ce jour, je suis convaincu que, dans le contexte technique actuel, le CST emploie des mesures appropriées pour protéger la vie privée des Canadiens.

Le cycle du renseignement

Dans mon rapport de l'année dernière, je mentionnais que le moteur des activités du CST est son mandat de répondre aux besoins de renseignement sur l'étranger établis par le gouvernement du Canada, et non pas les capacités de la technologie dont il dispose.

Ces besoins, qui prennent la forme des priorités de la communauté canadienne du renseignement en matière de renseignement sur l'étranger, sont établis annuellement par un groupe de ministres du Cabinet, dont les responsabilités touchent à la sécurité intérieure et extérieure du Canada. La définition des priorités du gouvernement du Canada est la première étape de ce que la communauté du renseignement est convenue d'appeler le « cycle du renseignement ». Il vaut la peine d'examiner brièvement ce cycle et le rôle qu'y joue le CST.

Les priorités du gouvernement du Canada en matière de renseignement sur l'étranger forment la base du programme annuel de SIGINT du CST. Ces priorités sont communiquées officiellement au CST par le sous-secrétaire du Cabinet (sécurité et renseignement), du Bureau du Conseil privé. Le CST les utilise ensuite pour déterminer quels renseignements il cherche à tirer de ses propres activités ou de celles de ses partenaires aux États-Unis, au Royaume-Uni, en Australie et en Nouvelle-Zélande.

Parallèlement, le CST doit s'assurer que l'on prend toujours les mesures voulues pour réduire au minimum la probabilité d'intercepter les communications privées de Canadiens.

Ensuite, le CST reçoit le flux de transmissions de nombreuses sources, tant les siennes propres que celles de ses partenaires. Ces transmissions sont ensuite traitées, analysées et évaluées par rapport aux priorités du gouvernement en matière de renseignement. Les renseignements qui en résultent sont diffusés aux ministères chargés de protéger les intérêts du Canada sur les plans de la sécurité, du renseignement, de l'économie et de la défense.

La diffusion des renseignements est facilitée par le personnel du CST, qui est bien informé et qui offre à quelque 800 décideurs de haut niveau de l'administration publique un service de prestation de renseignement adapté et opportun sur des questions nouvelles ou courantes. Ces contacts réguliers avec les utilisateurs de ses produits de renseignement permettent au Centre de mettre à jour les besoins et de prendre en compte les réactions des clients dans son processus de production.

Le cycle du renseignement me fournit un cadre pour examiner les activités du CST. Je peux vérifier la légalité de ces activités à chaque étape du cycle. Grâce à ce travail, je me tiens au courant des moyens et pratiques en matière de collecte de renseignements sur l'étranger, du traitement des signaux, de l'analyse des signaux et des renseignements, et de la diffusion des produits du renseignement aux clients du CST à l'administration fédérale.

J'estime que la profusion d'information transportée par les réseaux de communications mondiaux accroît la nécessité de veiller à protéger la vie privée des Canadiens. Je continue à travailler pour reconnaître et comprendre les nombreuses initiatives technologiques qui appuient la collecte de renseignements. J'approfondis en outre ma connaissance de la façon dont on applique certaines de ces initiatives. Toutefois, ce qui m'intéresse dans le cycle du renseignement, c'est la reconnaissance et l'examen de toutes les applications et initiatives techniques que le CST utilise pour éviter, ou à tout le moins réduire au minimum, la probabilité que des communications privées de Canadiens se retrouvent dans ses fonds de renseignements.

Je suis à même de déclarer que le CST a pris des initiatives pour perfectionner ses moyens techniques afin d'assurer la protection des communications privées des Canadiens. Le CST est au courant de l'intérêt que je porte à cette question et de l'importance que j'attache à l'évaluation de sa conformité à cet égard. J'encourage les initiatives de recherche et de développement du CST dans notre contexte technologique en évolution rapide.

Collecte de renseignements
« par une seconde partie »

Comme je l'ai mentionné plus haut, le CST reçoit des renseignements électromagnétiques recueillis par d'autres gouvernements. Il fournit également à ceux-ci des renseignements qu'il a lui-même recueillis. Ces accords de partenariat avec les États-Unis, le Royaume-Uni, l'Australie et la Nouvelle-Zélande ont été établis au cours de la Deuxième Guerre mondiale et maintenus pendant toute la durée de la guerre froide. Lorsqu'un pays fournit ainsi des signaux à un autre pays, on parle de collecte de renseignements « par une seconde partie ».

Les gouvernements des pays qui participent à cet échange de renseignements ont des politiques destinées à protéger la vie privée de leurs citoyens. En particulier, chaque gouvernement a convenu de ne pas effectuer, pour le compte d'une seconde partie, de travail de collecte qui serait illégal dans le pays de cette seconde partie. Autrement dit, ils ne font pas indirectement ce qu'ils ne peuvent pas faire directement.

Je me suis fait un devoir de me familiariser avec ces rapports de collaboration en étudiant non seulement les politiques communes, mais encore les pratiques. J'ai procédé à un échantillonnage de la documentation et j'ai eu accès à certains des systèmes qui appuient la collecte et l'échange de renseignements. J'ai actuellement la conviction que le CST prend toutes les mesures raisonnables pour sauvegarder le caractère privé des communications des Canadiens.

Sécurité des technologies
de l'information

Au cours des quatre dernières années, j'ai concentré une bonne partie de mon travail sur les activités de SIGINT du CST. Toutefois, celui-ci joue un autre rôle important au sein de l'administration fédérale. Dans le cadre de son mandat touchant la sécurité des technologies de l'information (STI), le CST donne en effet des conseils au gouvernement sur la façon de préserver la sécurité lorsqu'il a recours à ces technologies.

Cette année, mon bureau a procédé à un examen en profondeur du programme de STI afin de déterminer si ses activités étaient légales. On a d'abord examiné les pouvoirs et le mandat du CST en matière de STI, tels qu'ils sont prévus dans les directives données au chef du CST. On a ensuite examiné le cadre de contrôle de la gestion établi pour régir la conduite et l'exécution des activités de STI. On a analysé en troisième lieu les facteurs liés au contexte et les circonstances nouvelles qui influent sur les besoins du gouvernement en matière de sécurité. On a enfin examiné les stratégies, les plans, les opérations et les projets en regard du modèle établi grâce aux étapes précédentes afin de cerner les questions ou activités à étudier plus avant.

On n'a découvert aucune preuve d'activité illégale. Toutefois, cet examen a mis au jour plusieurs faits pertinents :

• La tendance de l'Administration et du secteur privé à recourir de plus en plus au commerce électronique et à fournir leurs services par voie électronique transforme radicalement le programme de STI. En effet, celui-ci était auparavant axé sur la protection des renseignements classifiés d'un petit nombre de clients de l'État, mais ses responsables sont de plus en plus appelés à donner des conseils sur la protection de renseignements non classifiés mais de nature délicate, dont les opérations de commerce électronique qui sous-tendent nombre de programmes et d'activités de l'État.
• Si le gouvernement veut que les Canadiens aient confiance dans le commerce électronique et l'infrastructure qui le rend possible, il doit pouvoir offrir des solutions « canadiennes » aux préoccupations relatives à la sécurité. Le CST possède les moyens voulus pour jouer un rôle clé à cet égard, mais il doit recevoir des instructions claires du gouvernement sur cette question délicate.
• Par exemple, un moyen efficace de vérifier la sécurité de l'infrastructure d'information consiste à essayer d'en pénétrer les barrières (autrement dit à en éprouver les « pare-feu »). On parle alors de « piraterie éthique ». Le CST ne pénètre pas de systèmes actifs de cette manière, car cela pourrait mettre au jour des données personnelles, ce qui aurait des répercussions sur la vie privée. Toutefois, cela a pour résultat que les systèmes de technologies de l'information essentiels ne sont pas vérifiés par rapport à la gamme complète des menaces auxquelles ils sont exposés.

Je surveillerai désormais de près la participation du programme de STI à ces activités pour m'assurer qu'elles respectent les limites actuelles. J'encouragerais par ailleurs le gouvernement à donner des instructions claires au CST quant au rôle qu'il devrait jouer pour assurer la sécurité de l'infrastructure d'information du Canada.