Points saillants des rapports présentés au ministre en 2015–2016

1. Examen du soutien apporté par le CST au Service canadien du renseignement de sécurité en vertu de la partie c) de son mandat concernant un certain type de rapport mettant en cause des Canadiens

Contexte

Les accords de coopération qui existent entre les partenaires de la collectivité des cinq (ou alliés) comportent un engagement à respecter la vie privée des citoyens de chaque pays et à agir d'une manière cohérente relativement aux politiques de chaque nation en matière de respect de la vie privée. Néanmoins, on sait pertinemment que chacun de ces partenaires est un organisme d'un pays souverain qui peut, dans des circonstances exceptionnelles, déroger aux accords s'il y va de l'intérêt national. Dans ces cas exceptionnels, l'un des partenaires du CST peut acquérir de l'information sur un Canadien ou une personne au Canada et faire rapport sur cette information. Un partenaire pourrait faire rapport sur des Canadiens qui se trouvent à l'extérieur du Canada et dont on sait qu'ils sont engagés dans des activités terroristes ou y apportent un soutien. Par exemple, ce rapport pourrait concerner un Canadien connu en tant que « combattant étranger » qui pourrait envisager de rentrer au Canada ou de s'attaquer à des Canadiens. Lorsqu'un partenaire entreprend une activité se rapportant à un Canadien, il peut acquérir des renseignements qui, en plus de répondre à ses propres exigences en matière de sécurité nationale, se rapportent à la sécurité du Canada. En pareil cas, il peut juger utile de les communiquer au Service canadien du renseignement de sécurité (SCRS), à l'appui de son mandat qui consiste à enquêter sur les menaces pesant sur la sécurité du pays et à en prévenir le gouvernement.

Avant février 2015, la méthode utilisée pour fournir ce type de rapport au SCRS était manuelle, sans participation du CST. Afin de combattre la menace terroriste en constante évolution et de faire face à l'augmentation du nombre de combattants étrangers, le SCRS a eu besoin d'un mécanisme plus opportun pour échanger l'information de manière sécuritaire. À cette fin, le SCRS a demandé l'assistance du CST en vertu de la partie c) du mandat de ce dernier (alinéa 273.64[1])2(c) de la Loi sur la défense nationale [LDN]) pour établir un mécanisme lui permettant de recevoir et de traiter ces rapports, par l'intermédiaire des canaux établis du CST.

Cet examen avait pour objectifs : d'acquérir une connaissance précise de l'assistance fournie par le CST au SCRS en ce qui a trait à ces rapports et de documenter cette aide; d'évaluer si les activités sont conformes à la loi et aux instructions ministérielles; et de déterminer la mesure dans laquelle le CST a protégé la vie privée des Canadiens dans l'exercice de ces activités.

Le commissaire a effectué un examen de tous les rapports que le CST a transmis au SCRS du 5 février au 15 mai 2015.

Constatations

Lorsqu'il entreprend des activités en vertu de la partie c) de son mandat, le CST doit respecter les limites imposées par la loi à l'organisme ayant présenté une demande d'assistance (paragraphe 273.64[3] de la LDN). Dans le cas des activités examinées, l'assistance fournie par le CST au SCRS était donc régie par les restrictions prévues par la Loi sur le Service canadien du renseignement de sécurité. En vertu de l'article 12 de la Loi, le SCRS, dans le cadre de son mandat, « recueille, au moyen d'enquêtes ou autrement, dans la mesure strictement nécessaire, et analyse et conserve les informations et renseignements sur les activités dont il existe des motifs raisonnables de soupçonner qu'elles constituent des menaces envers la sécurité du Canada; il en fait rapport au gouvernement du Canada et le conseille à cet égard. »

En outre, toutes les activités du CST, en tant qu'institution gouvernementale, sont assujetties à la Charte canadienne des droits et libertés, qui protège les attentes raisonnables d'une personne relativement à la vie privée, et aux instructions ministérielles qui exigent que le CST— lorsqu'il apporte son assistance — gère l'information d'une manière conforme aux principes énoncés dans la Loi sur la protection des renseignements personnels.

Le commissaire estime que les activités du CST visant à transmettre ces rapports  au SCRS ont été conduites conformément à la loi et aux instructions ministérielles se rapportant à la protection de la vie privée des Canadiens.

Plus précisément, le commissaire a pu établir que :

• les activités consistaient en une assistance technique et opérationnelle qui est autorisée en vertu de la partie c) du mandat du CST;
• il était légitime que le CST approuve la demande d'assistance du SCRS pour élaborer un mécanisme de transmission de ces rapports, puisque le SCRS est autorisé, en vertu de son mandat, à recevoir des rapports ayant trait aux menaces qui pèsent sur la sécurité du pays, comme le prévoit l'article 2 de la Loi sur le SCRS; et
• tous les rapports transmis au SCRS au cours de la période visée par l'examen contenaient de l'information se rapportant à une menace pour la sécurité du pays; le SCRS disposait à la fois du pouvoir et de la justification opérationnelle requis pour obtenir l'information relative à un Canadien.

Le CST a en place des procédures qui fournissent à ses employés des instructions suffisantes pour qu'ils assurent la protection de la vie privée des Canadiens dans le cadre de leurs activités. Un plan opérationnel définit clairement les rôles et responsabilités et restreint l'accès aux rapports à un nombre très limité d'employés. Les gestionnaires du CST ont surveillé systématiquement et étroitement la conduite des activités pour s'assurer que la transmission de ces rapports était conforme aux autorisations pertinentes. Le bureau a vérifié les registres mensuels tenus par la direction du CST où est indiqué le nom des employés ayant examiné ces rapports et il a été satisfait des raisons inscrites justifiant l'accès.

Enfin, le commissaire a noté que la demande du SCRS englobait les menaces envers la sécurité du Canada, au sens de l'article 2 de la Loi sur le SCRS. En outre, même si le CST, en qualité d'agent du SCRS, a fourni une orientation à ses partenaires, il leur a laissé le soin de déterminer en quoi consistent les renseignements se rapportant à une menace pour la sécurité du Canada.

Conclusions et recommandation

Comme les rapports transmis au SCRS au cours de la période visée par l'examen renfermaient de l'information au sujet de Canadiens, ces activités comportent un risque pour la vie privée des Canadiens. Par conséquent, le commissaire a recommandé que le CST tienne le ministre informé, sur une base annuelle, en vertu de la partie c) de son mandat, de ses activités de transmission de ce type de rapport au SCRS.

Le bureau du commissaire continuera d'examiner cette assistance au SCRS pour vérifier que le CST se conforme à la loi, c'est‑à‑dire que l'information au sujet de Canadiens que le CST obtient et transmet au SCRS cadre avec le pouvoir habilitant et la justification opérationnelle du SCRS et que le CST prend des mesures suffisantes pour protéger la vie privée des Canadiens dans la conduite de ses activités.    

Après l'achèvement de l'examen, des fonctionnaires du bureau ont rencontré leurs homologues du Comité de surveillance des activités de renseignement de sécurité (CSARS) — lequel amorçait un examen des activités du SCRS sur ce sujet — pour décrire la méthode d'examen employée, fournir un résumé des constatations et définir les domaines d'enquête se rapportant au SCRS qui ne relevaient pas du mandat du commissaire, mais que le CSARS pouvait surveiller de près s'il l'estimait approprié.

2. Examen des activités du CST relatives aux métadonnées liées aux renseignements électromagnétiques étrangers (volet 2)

Contexte

Il y a déjà un certain temps que le bureau du commissaire s'intéresse de très près aux activités du CST relatives aux métadonnées. En fait, presque chaque examen porte sur les métadonnées, qui sont fondamentales tant pour les activités du CST relatives aux renseignements électromagnétiques étrangers que pour les activités de cyberdéfense. Les métadonnées aident le CST à comprendre l'infrastructure mondiale d'information. Le CST utilise également les métadonnées pour cibler des entités étrangères situées à l'extérieur du pays et atténuer le risque d'interception de communications privées de Canadiens. Un premier examen axé sur les métadonnées a été effectué en 2006, et nous avons commencé à planifier un vaste examen des métadonnées en 2012. Le premier volet de cet examen, qui a été résumé dans le rapport annuel de l'an dernier, comportait des renseignements détaillés sur les autorisations applicables aux métadonnées liées aux renseignements électromagnétiques étrangers et sur certaines activités se rapportant à l'utilisation et à la divulgation des métadonnées. Le second volet de l'examen portait sur des activités particulières relatives aux métadonnées liées aux renseignements électromagnétiques étrangers que l'on avait mises de côté dans le cadre du premier volet de l'examen de façon à explorer plus en profondeur les incidents imputables au fait que le CST n'avait pas minimisé l'information sur l'identité de Canadiens dans certaines métadonnées partagées avec ses alliés. La minimisation est le procédé permettant de rendre non identifiable l'information sur l'identité de Canadiens contenue dans des métadonnées avant de la communiquer.

Cet examen avait pour objectifs : de passer en revue des activités particulières du CST relatives aux métadonnées liées aux renseignements électromagnétiques; d'évaluer si les activités étaient conformes à la loi, aux instructions ministérielles ainsi qu'aux politiques et procédures opérationnelles du CST; d'évaluer la mesure dans laquelle le CST a protégé la vie privée des Canadiens dans l'exercice des activités; d'assurer le suivi des constatations antérieures des commissaires; et de mettre en évidence tout domaine requérant un examen approfondi par la suite.

Constatations

Le bureau a examiné trois activités distinctes relatives aux métadonnées.

Premièrement, il s'est penché sur certaines activités d'analyse des métadonnées entreprises à des fins de collecte de renseignements étrangers. Même s'il a constaté des progrès encourageants, c'est‑à‑dire que le CST a mis à jour sa politique opérationnelle pertinente, le commissaire estime que les lignes directrices sur une activité précise touchant les métadonnées comportant de l'information sur l'identité de Canadiens demeurent vagues et doivent être clarifiées. Le bureau du commissaire continuera d'examiner la conduite de ces activités dans le cadre de ses futurs examens des activités du CST.

En ce qui concerne ces activités, nous avons examiné en profondeur un échantillon d'activités comprenant de l'information sur l'identité de Canadiens entreprises sur une période d'un an. Même si un petit nombre d'activités ont soulevé des interrogations concernant les pouvoirs habilitants du CST et que le commissaire a relevé des incohérences dans les pratiques de tenue de dossiers et de documentation du CST, il a constaté que les activités étaient autorisées et menées de façon générale d'une manière conforme aux instructions ministérielles et aux politiques du CST. Bien qu'il ne soit pas entièrement satisfait de l'approche adoptée par le CST, le commissaire n'a pas formulé de recommandations pour s'attaquer aux irrégularités et aux problèmes mis au jour, car après la période visée par l'examen, le CST a suspendu pour une période indéterminée ces activités particulières d'analyse des métadonnées par suite de l'évolution de la jurisprudence (Loi sur le Service canadien du renseignement de sécurité [Re], 2012 CF 1437, se rapportant à l'application de « vise »). Il est encourageant de voir que le CST a modifié ses pratiques en fonction de la jurisprudence connexe.

Avant de prendre la décision de suspendre ces activités, le CST n'avait pas respecté son engagement de donner suite à la recommandation du commissaire formulée dans un examen des activités du Bureau de l'anti‑terrorisme du CST effectué en février 2014 et lui demandant de modifier la politique pertinente pour tenir compte des pratiques actuelles et de renforcer la tenue des dossiers. Toutefois, on peut expliquer la situation par le court laps de temps entre l'examen du Bureau de l'anti‑terrorisme et la suspension des activités. Tant que la suspension demeure en vigueur, le commissaire ne s'attend pas à ce que le CST mette en œuvre la recommandation.

Deuxièmement, le commissaire a fait le suivi d'une autre recommandation formulée dans le cadre de l'examen du Bureau de l'anti‑terrorisme du CST et demandant que le CST émette des instructions écrites pour officialiser et renforcer les pratiques existantes adoptées pour donner suite aux éventuelles préoccupations quant au respect de la vie privée par les alliés. Le commissaire accepte les réponses du CST aux problèmes mis au jour dans l'examen du Bureau de l'anti‑terrorisme et le CST a émis des lignes directrices à l'intention des employés opérationnels pour régler les situations où un risque pourrait peser sur la vie privée de Canadiens.

Troisièmement, le bureau a examiné certaines activités d'analyse des réseaux mettant en cause des métadonnées qui aident le CST, par exemple, à identifier les auteurs de menace étrangers, tels que des groupes terroristes ou des auteurs de cybermenace. Le commissaire n'avait pas de questions concernant les autorisations ou les politiques applicables aux activités et il estime que cette analyse demeure essentielle pour l'exécution du mandat du CST en matière de renseignements électromagnétiques étrangers.

Conclusion

Le vaste examen portant sur l'utilisation par le CST des métadonnées dans un contexte de renseignements électromagnétiques étrangers est maintenant achevé. Dans ce volet de l'examen, le commissaire n'a trouvé aucune preuve de non‑conformité et il n'a pas formulé de recommandations. Le bureau du commissaire continuera d'examiner l'utilisation et la divulgation de métadonnées par le CST, qui sont au cœur de toutes les activités de collecte de renseignements électromagnétiques étrangers. Un troisième rapport, qui sera achevé au cours de l'exercice à venir, met l'accent sur l'utilisation des métadonnées par le CST dans un contexte de cyberdéfense.

3. Examen d'une méthode particulière de collecte de renseignements électromagnétiques étrangers adoptée par le CST sous le régime d'une autorisation ministérielle

Contexte

Cette année, le bureau a achevé un examen des activités du CST se rapportant à une méthode particulière de collecte de renseignements électromagnétiques étrangers sous le régime d'une autorisation ministérielle. Cette méthode fournit de l'information sur : les cibles étrangères relatives aux affaires internationales, à la défense et à la sécurité; les métadonnées à l'appui de la découverte de cibles et de l'analyse des réseaux; et les cybermenaces. Une directive ministérielle de 2004 définit des exigences précises — notamment un cadre d'approbation et les attentes en matière de sécurité et de gestion du risque des activités opérationnelles — applicables à l'échantillon qui a été choisi pour examen. Après la période visée par l'examen, le ministre a émis une directive à jour sur ces activités.

L'examen avait pour objectifs d'évaluer si les activités étaient conformes à la loi, aux instructions ministérielles ainsi qu'aux politiques et procédures opérationnelles du CST, et la mesure dans laquelle le CST a protégé la vie privée des Canadiens dans le cadre des activités en question.

Comparativement aux autres méthodes de collecte de renseignements électromagnétiques étrangers, ces activités donnent lieu à l'interception non intentionnelle d'un nombre plus élevé de communications privées identifiées par le CST. Un des buts spécifiques de l'examen était de mieux comprendre les conséquences possibles de ces activités sur la vie privée des Canadiens.

En 2008, le commissaire Gonthier avait mené un examen exhaustif des activités. Une constatation importante était que le CST n'avait pas agi conformément à toutes les exigences administratives de la directive ministérielle se rapportant à la sécurité et à la gestion du risque. En conséquence, le commissaire recommandait que le CST harmonise ses pratiques avec les exigences administratives énoncées dans la directive ministérielle. Il avait également mis au jour des lacunes se rapportant à des dossiers incomplets et insuffisants. Cet examen faisait le point sur les mesures prises par le CST pour se conformer aux recommandations antérieures et tenir compte des constatations négatives.

Constatations et recommandation

Pour plusieurs raisons — y compris les ressources limitées du bureau et du CST, le roulement de personnel et un incident imprévu hautement prioritaire —, cet examen, qui s'est poursuivi pendant un certain temps, n'a été achevé que lors de cet exercice. En outre, les réponses du CST aux questions du bureau se rapportant à cet examen particulier ont souvent été retardées, incomplètes ou manquaient de cohérence, exigeant de la part des fonctionnaires un suivi régulier. Toutefois, dans ce contexte, d'après l'information examinée et les entretiens qu'il a tenus, le commissaire n'a pas trouvé de preuve de non‑conformité à la loi.

Le CST a apporté des améliorations depuis l'examen de 2008. Plusieurs questions demeurent toutefois en attente, et le commissaire a présenté des constatations négatives qui sont similaires à celles de son prédécesseur. Contrairement à ce que prescrivait la directive ministérielle, le CST ne dispose pas de plan à jour, par exemple, pour prévenir et atténuer les répercussions négatives éventuelles d'une divulgation non autorisée. Divers documents sont demeurés sous la forme d'ébauche pendant des années et ne renferment pas suffisamment d'information. Le commissaire est préoccupé par le fait que certains documents importants se rapportant à la sécurité et à la gestion du risque demeurent incomplets. Par conséquent, comme son prédécesseur, le commissaire a recommandé que le CST harmonise ses pratiques avec les exigences administratives énoncées dans la directive ministérielle.

Le commissaire a découvert plus d'un cas où, en raison d'un manque de clarté et d'explications des termes clés employés dans le cadre d'approbation de la directive ministérielle, on aurait pu faire valoir que le CST aurait dû chercher à obtenir une approbation expresse avant de mener une activité. La directive ministérielle mise à jour renferme toutefois un nouveau cadre d'approbation et des instructions supplémentaires que le bureau du commissaire évaluera au cours de l'examen de suivi qu'il a prévu.

En outre, le bureau a cherché à obtenir des statistiques concernant le nombre de communications interceptées par le CST pour le compte de ses alliés ou envoyées à ses alliés en utilisant cette méthode de collecte particulière. Certes, le CST a fourni certains renseignements, mais ses systèmes actuels n'ont pas suivi et enregistré automatiquement cette information et il était difficile et fastidieux pour le CST de donner des réponses. Lors d'un examen des autorisations ministérielles relatives aux renseignements électromagnétiques étrangers mené en 2013, le CST a indiqué qu'il travaillait à une solution technique pour retracer plus facilement le nombre de communications qu'il avait interceptées et envoyées à ses alliés. Dans un examen subséquent, le bureau du commissaire se penchera sur les efforts déployés par le CST pour mettre en œuvre la solution. En enregistrant et en communiquant régulièrement au ministre un plus large éventail de renseignements statistiques sur le partage d'information avec les alliés, on l'appuiera dans sa reddition de comptes pour le CST.

Conclusion

Compte tenu de la portée et de la nature de cette méthode de collecte de renseignements électromagnétiques étrangers, de la directive ministérielle récente, des constatations négatives continues et du temps qui s'est écoulé depuis le début de cet examen, au moment de la rédaction du présent rapport, le commissaire avait déjà entrepris un autre examen mettant tout particulièrement l'accent sur les activités de ciblage du CST, c'est‑à‑dire le processus et les pratiques qui conduisent le CST à déterminer que des entités d'intérêt pour le renseignement étranger sont des entités étrangères situées à l'extérieur du Canada. Le commissaire surveillera le délai de réponse du CST.

4. Examen combiné annuel des autorisations ministérielles du CST relatives à la collecte de renseignements électromagnétiques étrangers et à l'interception de communications privées

Contexte

Il s'agit du sixième examen combiné annuel consécutif des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers. C'est l'une des façons permettant aux commissaires de s'acquitter de leur obligation, en vertu de la LDN, d'examiner les activités menées sous le régime d'une autorisation ministérielle pour en contrôler la conformité et de faire rapport annuellement de cet examen au ministre.

L'examen a porté sur trois autorisations ministérielles en vigueur
du 1^er décembre 2014 au 30 juin 2015 et se rapportant à trois méthodes de collecte distinctes. Il s'agissait d'analyser les documents d'autorisation eux‑mêmes et les activités décrites dans les autorisations comparativement aux années précédentes pour relever tout changement important touchant chaque méthode de collecte et le programme de collecte de renseignements électromagnétiques étrangers dans son ensemble. Parmi les objectifs de l'examen, mentionnons l'évaluation des répercussions de tout changement sur les risques relatifs à la conformité et à la protection de la vie privée et, en conséquence, la mise en évidence de toute question nécessitant un examen de suivi.

Selon la politique du CST, lorsqu'un analyste ayant directement pour fonction de produire des rapports sur les renseignements étrangers découvre qu'une communication interceptée est une communication privée, une communication émanant d'un Canadien situé à l'extérieur du Canada ou une communication renfermant de l'information sur l'identité de Canadiens et que cette communication n'est pas essentielle aux affaires internationales, à la défense ou à la sécurité, il doit la détruire dès qu'il a relevé ces caractéristiques. Les communications jugées essentielles pour les affaires internationales, la défense ou la sécurité, en revanche, peuvent être utilisées dans un rapport du CST ou conservées.

Pour vérifier la conformité à la loi et déterminer la mesure dans laquelle le CST a protégé la vie privée des Canadiens, le commissaire a examiné ce qu'il était advenu des 13 communications privées identifiées tirées de renseignements électromagnétiques étrangers que le CST avait utilisées ou conservées à la fin de la période de validité de l'autorisation ministérielle de 2013–2014 et des 342 communications privées que le CST avait utilisées ou conservées à la fin de la période de validité de l'autorisation ministérielle de 2014–2015. L'examen comportait deux vérifications ponctuelles des 262 communications privées utilisées ou conservées par le CST au cours des périodes allant du 1^er mars au 30 avril 2015 et du 1^er septembre au 31 octobre 2015. Le CST n'avait pas été prévenu que le bureau allait effectuer des vérifications ponctuelles.

Constatations

Le commissaire a constaté que les autorisations ministérielles de 2014–2015  relatives aux renseignements électromagnétiques étrangers remplissaient les conditions d'autorisation définies dans la LDN, à savoir :

• l'interception vise des entités étrangères situées à l'extérieur du Canada;
• les renseignements à obtenir ne peuvent raisonnablement être obtenus d'une autre manière;
• la valeur des renseignements étrangers que l'on espère obtenir grâce à l'interception justifie l'interception envisagée; et
• il existe des mesures satisfaisantes pour protéger la vie privée des Canadiens.

Le commissaire n'a pas observé de changements importants dans les autorisations ministérielles de 2014–2015 ni dans les mémoires de demande connexes adressés au ministre.

On observe une amélioration de la reddition de comptes concernant les communications entre un avocat et son client, protégées par le secret professionnel, puisque des mesures sont prévues pour informer le ministre des cas où des communications interceptées non intentionnellement entre un avocat et son client et renfermant des renseignements étrangers ont été conservées, utilisées ou divulguées. Toutefois, il n'y a pas une cohérence parfaite entre la politique  opérationnelle du CST et la nouvelle façon de procéder, et des révisions s'imposent. Au cours de la période visée par l'examen, aucune communication entre un avocat et son client n'a été utilisée ou conservée par le CST. En fait, le CST n'a pas utilisé ni conservé de communications de ce genre au cours des cinq dernières années. Le bureau continuera de surveiller et d'examiner la conservation ou l'utilisation par le CST de communications privées, y compris d'éventuelles communications entre un avocat et son client.

Il est encourageant de voir que des précisions ont été ajoutées dans les autorisations ministérielles et les mémoires concernant ce qu'on entend par communication privée « essentielle » ainsi que pour clarifier les situations dans lesquelles le CST pourrait intercepter de manière non intentionnelle une communication privée.

Le CST a mis en œuvre une recommandation du commissaire résumée dans le rapport annuel 2013–2014 en modifiant sa politique opérationnelle pour préciser qui est la personne chargée d'approuver certaines activités de collecte de renseignements électromagnétiques étrangers. Le CST travaille également à la mise à jour d'une politique applicable à certaines autres activités que le bureau examinera lorsqu'elle sera publiée.

Le CST a apporté des changements à la technologie qu'il utilise pour certaines de ses activités de collecte de renseignements électromagnétiques étrangers qui continuent d'être contestées dans la foulée des révélations non autorisées faites par Edward Snowden en 2013. Les révélations ont abouti à l'utilisation croissante du cryptage et d'autres contre-mesures par les cibles du renseignement étranger qui espèrent échapper ainsi aux efforts de collecte du CST et de ses alliés.

En ce qui concerne les communications privées, d'après les renseignements examinés et les entretiens qu'il a menés, le commissaire estime que :

• toutes les communications privées identifiées par le CST ont été interceptées de manière non intentionnelle et traitées conformément aux politiques et procédures du CST — rien ne portait à croire que les communications privées qui avaient été identifiées comme telles par le CST au cours de cette période avaient été interceptées intentionnellement, ce qui aurait été illégal;
• toutes les communications privées utilisées et conservées par le CST étaient essentielles aux affaires internationales, à la défense ou à la sécurité, comme l'exige la LDN; et
• les communications privées qui n'étaient pas essentielles ont été détruites. Le CST n'a pas conservé de communications privées au‑delà des périodes de conservation et de destruction prescrites par sa politique.

Le commissaire a observé que, au cours de la période visée par l'examen, le nombre de communications privées identifiées par le CST avait augmenté comparativement aux périodes de validité des autorisations ministérielles précédentes. Il s'agit d'une conséquence des caractéristiques techniques de technologies de communication particulières et de la manière dont on dénombre les communications privées.

Il est encourageant de voir, comme le commissaire l'avait recommandé, le rapport de fin d'année sur les autorisations ministérielles présenté au ministre par la chef pour 2014–2015 renfermait davantage d'information détaillée concernant le nombre de communications privées conservées tout au long de la période visée, y compris une explication de leur augmentation au cours de la période allant de mars à avril 2015.

Conclusion

Le CST prend des mesures pour mettre en œuvre les recommandations des examens précédents se rapportant aux autorisations ministérielles et aux communications privées. L'examen dont il est question dans le présent rapport ne donne lieu à aucune recommandation. Le bureau du commissaire continuera d'effectuer des examens annuels pour vérifier que les autorisations ministérielles sont conformes et de procéder à des vérifications ponctuelles des « communications canadiennes » acquises et identifiées par le CST pour vérifier que le CST ne cible pas des Canadiens et protège leur vie privée. Au cours du prochain exercice, en vue d'apporter des garanties supplémentaires, les vérifications ponctuelles seront élargies pour englober un échantillon d'autres « communications canadiennes » acquises par le CST, y compris celles émanant d'alliés.

5. Examen annuel des activités de cyberdéfense du CST menées sous le régime d'une autorisation ministérielle

Contexte

Pour détecter les cybermenaces sophistiquées — y compris celles émanant d'un État étranger, d'auteurs de menaces criminelles ou terroristes —, et s'en protéger, le CST peut, sur réception d'une demande écrite provenant d'une institution du gouvernement du Canada, mener des activités de cyberdéfense et mettre en place des mesures pour recueillir et analyser les données tirées de systèmes ou de réseaux informatiques d'un client. Du fait que les activités de cyberdéfense du CST comportent un risque d'interception de communications privées, il est tenu de les mener sous le régime d'une autorisation ministérielle.

L'examen annuel portait sur deux autorisations ministérielles de cyberdéfense en vigueur du 1^er décembre 2013 au 30 novembre 2014 et du 1^er décembre 2014 au 30 juin 2015.

Il comprenait l'étude des documents relatifs aux autorisations ministérielles de cyberdéfense et des activités qu'ils décrivent, le but étant de s'assurer que les  conditions applicables à l'autorisation précisées par la LDN avaient été respectées. Nous avons comparé les autorisations et les activités avec celles des années antérieures, pour repérer les changements importants. Un des objectifs de l'examen était d'évaluer l'incidence de tout changement sur les risques relatifs à la conformité et à la vie privée et, en conséquence, de mettre en évidence toute question nécessitant un examen de suivi.

Pour vérifier la conformité à la loi et évaluer la mesure dans laquelle le CST a protégé la vie privée des Canadiens, le bureau a examiné un échantillon de données et de communications identifiées comme privées qui ont été interceptées en vertu des autorisations ministérielles, et utilisées ou conservées du fait qu'elles étaient essentielles pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada.

Le bureau a sélectionné et examiné un échantillon de données interceptées se rapportant à environ 20 pourcent du nombre total de cyberincidents recensés au cours de la période de validité des autorisations ministérielles de 2013–2014 et 2014–2015. Un incident cybernétique peut comporter un ou plusieurs cyberévénements et une ou plusieurs communications privées. Environ 70 pourcent de l'échantillon renfermait une ou plusieurs communications privées identifiées. Il n'est pas possible de révéler le nombre de communications privées utilisées et conservées par le CST en lien avec les activités de cyberdéfense, car cela permettrait à l'adversaire d'évaluer les capacités du CST. Le bureau a examiné :

• les cyberévénements qui ont été à l'origine des incidents;
• le maliciel, qui est le logiciel utilisé par les auteurs de la menace, par exemple pour essayer de voler l'information d'un système informatique ou de saboter le réseau;
• les rapports internes et externes du CST relatifs aux cybermenaces;
• les courriels;
• les notes des analystes; et
• les détails contenus dans les outils et les bases de données connexes, comme la justification de la conservation d'une communication privée particulière, et l'information sur l'auteur de la menace.

Un autre objectif était d'assurer le suivi des constatations et recommandations antérieures des commissaires, y compris celles découlant de l'examen approfondi de l'an dernier portant sur les activités de cyberdéfense menées au cours de la période de validité des autorisations ministérielles allant de 2009‑2010 à 2011‑2012.

Constatations et recommandation

Le commissaire considère que les autorisations ministérielles de cyberdéfense visant les périodes de 2013–2014 et 2014–2015 remplissent les conditions d'autorisation établies dans la LDN, à savoir que :

• l'interception était nécessaire pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada;
• les renseignements à obtenir ne pouvaient raisonnablement être obtenus d'une autre manière;
• le consentement des personnes dont les communications peuvent être interceptées ne pouvait raisonnablement être obtenu;
• des mesures satisfaisantes étaient en place pour faire en sorte que seuls les renseignements qui sont essentiels pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada soient utilisés ou conservés; et
• des mesures satisfaisantes étaient en place pour protéger la vie privée des Canadiens en ce qui touche l'utilisation et la conservation de ces renseignements.

D'après l'information examinée et les entretiens qu'il a tenus, le commissaire n'a trouvé aucune preuve de non‑conformité à la loi au sens où l'entend le ministère de la Justice du Canada. Le cadre de validation de la conformité du CST pour les activités de cyberdéfense — qui prévoit la tenue de registres de vérification étoffés et la surveillance de la conformité aux politiques et procédures opérationnelles — fournit la preuve que le CST s'est conformé aux obligations légales.

Il n'y avait aucun changement important dans les autorisations ministérielles et les mémoires de demande connexes adressés au ministre ou dans la conduite des activités de cyberdéfense, qui auraient eu une incidence sur le risque pour la conformité ou la protection de la vie privée.

Les autorisations ministérielles de cyberdéfense renfermaient des changements similaires à ceux apportés aux autorisations de collecte de renseignements électromagnétiques étrangers en vue de renforcer la reddition de comptes concernant les communications entre l'avocat et son client. La politique opérationnelle en matière de cyberdéfense devrait également être modifiée pour prendre en compte les nouvelles exigences.

Le commissaire a constaté un autre changement positif introduit en 2014–2015  par le CST, qui consiste à en aviser le ministre quand il accepte de mener des activités de cyberdéfense sous le régime d'une autorisation ministérielle à la demande d'une institution du gouvernement du Canada. Cela rationalisera l'assistance fournie aux clients par le CST et facilitera une réponse rapide aux cyberincidents (les autorisations de 2013–2014 et antérieures à cette date exigeaient que le CST informe le ministre avant de pouvoir accepter de mener ce genre d'activités).

Récemment, le CST a commencé à faire usage d'une nouvelle technologie défensive spécialisée pour détecter et atténuer la cyberactivité malveillante ou anormale visant les systèmes et réseaux clients du gouvernement du Canada. La technologie semblait généralement bien convenir aux activités de cyberdéfense actuelles du CST et ce dernier applique aux nouvelles activités les politiques et procédures opérationnelles en place, le cadre de validation de la conformité ainsi que des mesures de protection de la vie privée. Toutefois, puisqu'il s'agit d'une technologie déployée depuis peu, les nouvelles activités justifient une analyse minutieuse dans le cadre d'un examen exhaustif futur.

En ce qui concerne les communications privées, d'après l'information examinée et les entretiens tenus, le commissaire a pu établir que :

• toutes les communications privées identifiées par le CST avaient été interceptées de manière non intentionnelle et traitées conformément aux politiques et procédures du CST — rien ne portait à croire que le CST ait visé des Canadiens ou toute autre personne au Canada dans le cadre de ses activités de cyberdéfense;
• toutes les communications privées utilisées et conservées par le CST étaient essentielles pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada, comme l'exige la LDN; et
• les communications privées qui n'étaient pas essentielles ont été détruites; le CST n'a pas conservé de communications privées au‑delà des périodes de conservation et de destruction prescrites par sa politique.

Toutefois, on a observé que les analystes avaient recours à deux méthodes différentes pour marquer et dénombrer les communications privées de cyberdéfense. Par souci d'exactitude et de cohérence dans les rapports au ministre, le commissaire a recommandé que le CST émette des lignes directrices à ce sujet.

Toutes les communications privées de cyberdéfense utilisées ou conservées par le CST qui ont été examinées cette année ne renfermaient rien de plus que le maliciel ou l'activité anormale touchant les systèmes et les réseaux.

Comme c'était généralement le cas par le passé, dans les communications privées examinées, il n'y avait pas d'échange d'information personnelle ou d'autre information importante entre l'auteur de la cybermenace et un employé du gouvernement du Canada ou un autre Canadien. Le commissaire continue de  mettre en doute la pratique du CST qui consiste à traiter tous les courriels interceptés non intentionnellement à destination ou en provenance du Canada et se rapportant à des activités de cyberdéfense comme des communications privées et se demande si cette pratique reflète avec exactitude le risque pour la vie privée et la façon dont ce risque est décrit au ministre. Le commissaire a noté que des progrès avaient été réalisés du fait que les rapports du CST présentés au ministre concernant les communications privées mettent désormais en lumière les différences importantes — y compris sur le plan des attentes relatives à la vie privée — entre les communications privées interceptées dans le cadre des activités de collecte de renseignements électromagnétiques étrangers et des activités de cyberdéfense. Il n'en demeure pas moins qu'à ses yeux, une communication ne renfermant rien de plus qu'un code malveillant ou un élément d'ingénierie sociale envoyé à un système ou à un réseau informatique du gouvernement du Canada de façon à lui porter atteinte n'est pas une communication privée au sens du Code criminel.

Le commissaire a observé une augmentation de la proportion d'incidents ne renfermant pas de communications privées. Selon le CST, cette augmentation est attribuable à une utilisation accrue de certaines techniques destinées à réduire le risque d'intercepter non intentionnellement des communications privées.

Il est encourageant de voir que le rapport de fin d'exercice sur les autorisations ministérielles, présenté au ministre pour 2014–2015 par la chef du CST, renfermait davantage d'information détaillée concernant le nombre de communications privées identifiées et acquises par le CST dans le cadre d'activités de cyberdéfense particulières.

Dans le rapport de l'an dernier, le commissaire avait indiqué que le CST pourrait améliorer certaines politiques et procédures se rapportant à la conservation de certaines communications privées. Toutefois, compte tenu des explications fournies dans le contexte de cet examen, la suggestion a été retirée; le commissaire ne s'attend à aucune intervention du CST à ce sujet.

Le CST prend des mesures pour donner suite aux constatations négatives et mettre en œuvre les recommandations antérieures, y compris :

• l'émission de nouvelles lignes directrices et de communications régulières à l'intention de la direction et des employés opérationnels sur les changements touchant la politique;
• la mise en place d'un nouveau cours obligatoire sur la politique pour aider les analystes à mieux comprendre ses exigences;
• l'amélioration de la tenue des dossiers grâce au déploiement prévu d'une nouvelle base de données pour la cyberdéfense; et
• l'adoption d'un marquage et d'un mode de consignation des communications privées plus détaillés et plus précis — notamment des explications plus complètes sur les raisons de la conservation d'une communication privée — ce qui a fourni au commissaire des preuves plus solides de la conformité et a facilité la conduite de l'examen.

Conclusion

Le commissaire a formulé une recommandation pour améliorer la politique se rapportant à la cohérence dans le marquage et le dénombrement des communications privées. Le bureau continuera d'effectuer des examens annuels des autorisations ministérielles de cyberdéfense et des communications privées pour vérifier que les activités sont conformes et que le CST ne cible pas des Canadiens et protège leur vie privée. Il surveillera les mesures prises par le CST pour régler les problèmes mis en évidence dans l'examen. Cette année, le commissaire achèvera une étude portant sur la coopération et le partage d'information entre les employés du CST chargés de la sécurité des TI et ceux des renseignements électromagnétiques étrangers pour contrer les cybermenaces, qui sera résumée dans le rapport annuel 2016‑2017.

6. Examen annuel de la divulgation d'information sur l'identité de Canadiens, 2014–2015

Contexte

Il s'agit du septième examen annuel consécutif d'un échantillon d'information sur l'identité de Canadiens divulguée par le CST— qui inclut tout renseignement se rapportant uniquement à un Canadien et susceptible de permettre son identification. Le but de l'examen était de vérifier que le CST, dans ses divulgations d'information concernant l'identité de Canadiens, s'est conformé à la loi, aux instructions ministérielles ainsi qu'à ses politiques et procédures, tout en évaluant la mesure dans laquelle il a protégé la vie privée des Canadiens.

Dans le cadre de l'examen de cette année, le bureau du commissaire a sélectionné et examiné un échantillon d'environ 20 pourcent (225 demandes) des 1 126 demandes de divulgation d'information sur l'identité de Canadiens contenue dans les rapports du CST et adressées au CST par des clients du gouvernement du Canada. Les demandes ont été reçues entre le 1^er juillet 2014 et le 30 juin 2015. L'échantillon incluait toutes les institutions gouvernementales qui avaient présenté une demande au cours de cette période. Le bureau a aussi examiné les 111 demandes des alliés et les six demandes de divulgation à des entités n'appartenant pas à la collectivité des cinq; un client du gouvernement du Canada a fait cinq demandes et un allié a fait une demande de partage d'information précise sur l'identité de Canadiens avec des entités n'appartenant pas à la collectivité des cinq — qui a été refusée. Il est important de signaler que le nombre de demandes représente le nombre de cas où des institutions ou des partenaires ont présenté des demandes distinctes de divulgation d'information sur l'identité qui avait été supprimée des rapports, en fournissant dans chaque cas une justification opérationnelle particulière. Une demande peut concerner l'identité de plusieurs Canadiens et l'identité d'un Canadien peut être divulguée plusieurs fois à différents partenaires ou institutions. Différents types d'information sur l'identité de Canadiens peuvent renvoyer à différents niveaux de risque en ce qui a trait à la vie privée.

Information sur l'identité de Canadiens

L'information qui peut identifier un Canadien est généralement supprimée, c'est‑à‑dire remplacée par une mention générale telle que  « un Canadien », pour protéger l'identité de cette personne. Les clients du gouvernement du Canada ainsi que les alliés du CST peuvent demander et recevoir cette information supprimée, pourvu qu'ils aient une justification opérationnelle à cet égard et qu'ils y soient autorisés. La divulgation d'information sur l'identité de Canadiens doit être effectuée en conformité avec la Loi sur la protection des renseignements personnels et avec le cadre de politique opérationnelle du CST. Pour en savoir davantage sur les pouvoirs et les limites se rapportant aux activités du CST, veuillez consulter le site Web du bureau.

Constatations

Le commissaire a pu établir ce qui suit :

• les divulgations par le CST d'information sur l'identité de Canadiens étaient conformes à la loi;
• le client du gouvernement du Canada ou l'allié qui a présenté la demande avait à la fois l'autorisation et la justification opérationnelle requises pour obtenir l'information;
• le CST avait appliqué efficacement les mesures de protection de la vie privée mentionnées dans les instructions ministérielles ainsi que dans ses politiques et procédures opérationnelles;
• le CST avait agi en conformité avec le cadre établi par le Cabinet concernant les risques inhérents au partage d'information avec des entités étrangères susceptible d'entraîner des mauvais traitements; et
• aucun incident relatif à la vie privée n'a été recensé en plus de ceux qui avaient déjà été consignés par le CST dans son Dossier relatif aux incidents liés à la vie privée.

Le CST est chargé d'effectuer une évaluation du risque de mauvais traitements lorsque c'est à lui qu'il incombe d'autoriser la communication de l'information. Toutefois, d'autres institutions du gouvernement du Canada assument aussi cette responsabilité lorsque des renseignements sont diffusés par leurs propres canaux. Il est encourageant de constater que, dans les renseignements qu'il divulgue à des destinataires ne faisant pas partie de la collectivité des cinq, le CST a inclus une mise en garde précise pour rappeler aux clients du gouvernement du Canada à l'origine de ces demandes qu'il leur incombe d'effectuer une évaluation du risque inhérent au partage d'information avec une entité étrangère, lorsque cela pourrait entraîner des mauvais traitements.

Au cours de l'examen, le commissaire a communiqué des renseignements mettant en cause le SCRS au président du CSARS pour tout suivi que ce dernier pourrait juger pertinent.

Le système de gestion automatisée de l'information et des dossiers visant les demandes émanant de clients du gouvernement demeure efficace. Pour un certain nombre de raisons valables, le travail sur un système similaire de traitement des demandes émanant des alliés a été retardé. Le bureau surveillera les changements touchant les systèmes et les processus de divulgation d'information sur l'identité de Canadiens.

Conclusion

L'examen n'a donné lieu à aucune recommandation. Le bureau continuera d'effectuer des examens annuels des divulgations par le CST d'information sur l'identité de Canadiens à des clients et partenaires pour vérifier que le CST se conforme à la loi et protège la vie privée des Canadiens.

7. Examen du Dossier relatif aux incidents liés à la vie privée et du Dossier des erreurs de procédure mineures tenus par le CST, 2015

Contexte

Depuis 2011, les commissaires effectuent un examen annuel de tous les incidents consignés par le CST qui ont fait peser un risque sur la vie privée d'un Canadien d'une manière qui va à l'encontre de ses politiques opérationnelles ou qui n'était pas prévue par ces politiques. En cas d'atteinte à la vie privée, le CST consigne l'incident dans le Dossier relatif aux incidents liés à la vie privée. Le CST utilise ce dossier pour surveiller les incidents comportant un risque pour la vie privée et y remédier, ainsi que pour améliorer les méthodes et politiques au besoin. Le Dossier des erreurs de procédure mineures fait état des erreurs opérationnelles survenues en rapport avec de l'information liée à la vie privée mais sans entraîner une perte de contrôle des renseignements de la part du CST ou leur divulgation à des destinataires externes qui n'auraient pas dû recevoir ces renseignements.

Le commissaire peut faire enquête en cas d'atteinte substantielle à la vie privée. Selon la politique pangouvernementale, une atteinte substantielle à la vie privée est une atteinte touchant des renseignements personnels sensibles, dont on peut raisonnablement penser qu'elle risque de causer un préjudice ou un dommage sérieux à la personne ou implique un nombre élevé de personnes touchées. Au cours des examens portant sur des activités particulières, le commissaire fait également enquête de manière approfondie sur les incidents liés à la vie privée.

Les objectifs de cet examen étaient :

• d'en apprendre davantage sur les incidents liés à la vie privée, les erreurs de procédure et les mesures prises par la suite par le CST pour corriger la situation ou atténuer les répercussions;
• d'en apprendre davantage sur les atteintes substantielles à la vie privée imputables aux opérations du CST et sur les mesures correctives connexes;
• de déterminer quels sont les incidents, le cas échéant, susceptibles de donner lieu à des interrogations quant à la conformité à la loi ou à la protection de la vie privée des Canadiens;
• de relever toutes les tendances ou lacunes systémiques qui pourraient donner à penser que des mesures correctives supplémentaires doivent être prises par le CST, que des changements doivent être apportés à ses méthodes ou à ses politiques ou qu'un examen approfondi d'un incident particulier ou d'une activité particulière doit être effectué par le commissaire; et
• d'évaluer le cadre de validation de la conformité à la politique et les activités de surveillance du CST.

Le commissaire a examiné tous les incidents liés à la vie privée et les mesures prises par la suite par le CST pour y remédier. Les incidents concernaient, par exemple, le partage ou l'intégration non intentionnel dans un rapport destiné à des clients ou dans un échange de courriels avec eux d'information non minimisée sur l'identité de Canadiens; le ciblage involontaire d'un Canadien ou d'une personne au Canada; et une recherche d'information se rapportant sans le savoir à un Canadien ou à une personne au Canada. Nous examinerons l'an prochain certains de ces incidents étant donné que le CST continuait de prendre des mesures pour y remédier au moment de l'examen. Certains autres incidents qui se rapportent à la transmission au SCRS d'information en provenance des partenaires du CST seront également analysés l'an prochain dans le cadre de l'examen de suivi planifié portant sur l'assistance fournie par le CST au SCRS en vertu de la partie c) de son mandat concernant un certain type de rapport mettant en cause des Canadiens.

Le commissaire a également examiné toutes les erreurs de procédure mineures consignées par le CST en 2015. Il s'agissait, par exemple : de la conservation d'information sur l'identité de Canadiens plus longtemps que ne l'autorise la politique; de la divulgation d'information concernant un Canadien au mauvais destinataire au sein du CST; et de l'envoi d'information concernant l'identité de Canadiens à des destinataires externes même si, dans ce cas, l'erreur a été corrigée avant que les destinataires en question aient accès à l'information.

Constatations et recommandation

D'après l'examen du Dossier relatif aux incidents liés à la vie privée et du Dossier des erreurs de procédure mineures, les réponses aux questions et la vérification de l'information contenue dans les bases de données du CST, le commissaire a conclu que le CST avait pris des mesures correctives pertinentes en réponse aux incidents liés à la vie privée et aux erreurs de procédure mineures qu'il a recensés en 2015.

Le commissaire n'a pas mis en doute l'évaluation du CST indiquant que les incidents liés à la vie privée recensés en 2015 ne représentaient pas des atteintes substantielles à la vie privée et il était d'accord avec l'évaluation du CST indiquant que les erreurs de procédure qu'il avait consignées étaient réellement mineures et n'avaient pas entraîné d'incidents liés à la vie privée.

Le CST a ajouté de l'information au Dossier relatif aux incidents liés à la vie privée pour indiquer si les incidents représentaient une atteinte substantielle à la vie privée et s'ils devaient être portés à l'attention de la direction et faire l'objet de mesures de sa part. Toutefois, globalement, le Dossier renfermait moins de détails qu'au cours des années précédentes. Bien que le CST ait répondu aux questions du bureau à propos des incidents, il est important de donner suffisamment d'explications dans le Dossier pour faire la preuve de la conformité et pour indiquer que des mesures appropriées ont été prises pour corriger ou atténuer toute répercussion possible d'un incident. Par conséquent, le commissaire a recommandé que le CST s'assure que son Dossier relatif aux incidents liés à la vie privée renferme une information adéquate pour décrire et documenter chaque incident de manière approfondie.

Au cours de notre examen des rapports dont il était question dans un incident lié à la vie privée, nous avons découvert qu'un petit nombre de rapports n'avaient pas été annulés ou republiés comme le recommandait le CST et comme il l'avait indiqué. Le CST a corrigé le problème et le bureau a vérifié que les rapports avaient été annulés.

Le CST a mis en œuvre une recommandation formulée au cours de l'examen des incidents liés à la vie privée mené en 2013 en révisant sa politique opérationnelle pour clarifier les questions relatives aux conventions d'appellation et à la suppression d'information sur l'identité de Canadiens dans les rapports de renseignements électromagnétiques étrangers. Le bureau examinera l'application de la nouvelle politique au cours des futurs examens des activités du CST.

Conclusion

La consignation et la déclaration des incidents liés à la vie privée demeurent une mesure efficace utilisée par le CST pour promouvoir la conformité aux obligations légales et aux exigences ministérielles ainsi qu'aux politiques et procédures opérationnelles et pour améliorer la protection de la vie privée des Canadiens. L'examen n'a révélé aucune atteinte substantielle à la vie privée, aucune lacune systémique ni aucune question nécessitant un examen de suivi. D'après le CST, il n'a pas été avisé de répercussions négatives sur les Canadiens concernés par les incidents liés à la vie privée. Les commissaires continueront de faire enquête sur ces incidents et les erreurs de procédure du CST. Le bureau continuera de surveiller les progrès relatifs aux constatations et à la recommandation formulée dans cet examen. Il collaborera également au besoin avec le Commissariat à la protection de la vie privée relativement aux atteintes substantielles à la vie privée.