Points saillants en 2006-2007
Examen des activités de collecte de renseignements étrangers effectuées par le CST à l'appui des activités de la GRC
Contexte
En janvier 2005, mon bureau a présenté un rapport au ministre de la Défense nationale sur les résultats de son examen des activités d'assistance technique et opérationnelle fournies par le CST à la GRC en vertu de l'alinéa 273.64(1)c) de la Loi sur la défense nationale, communément appelé partie c) du mandat du CST[17]. Après la deuxième et dernière phase de l'examen, mon prédécesseur a présenté, en juin 2006, un rapport de suivi sur l'examen des activités de collecte de renseignements électromagnétiques étrangers effectuées par le CST à l'appui de la GRC, en vertu de l'alinéa 273.64(1)a) de la Loi sur la défense nationale, ou partie a) de son mandat. On trouvera plus de détails sur la première phase de l'examen dans le Rapport annuel 2004-2005 de mon bureau.
En vertu de la partie a) de son mandat, le CST fournit deux types de renseignements étrangers à ses clients du gouvernement, notamment la GRC. La plupart de ses rapports portent sur des domaines d'intérêt général qui aident le client à s'acquitter des fonctions de son propre mandat. En plus de fournir ce type de soutien proactif, le CST offre un soutien réactif en répondant à des demandes de renseignements particulières que lui présentent ses clients.
Méthodologie
Le BCCST a examiné les activités du CST menées en vertu de la partie a) de son mandat pour appuyer la GRC pendant la période du 1er janvier au 31 décembre 2003. Il a reçu des réponses aux questions soumises tant verbalement que par écrit aux responsables du CST, ainsi que des breffages. Il a également reçu une liste des demandes de renseignements présentées au CST par la GRC et en a examiné plusieurs de manière approfondie. Lors de cet examen, les responsables du BCCST ont reçu deux démonstrations distinctes des activités à l'étude par le personnel du CST chargé directement des demandes.
Conclusions
Nombre de conclusions et recommandations contenues dans le premier rapport de mon bureau s'appliquent également à la deuxième phase de l'examen des activités d'assistance fournies en vertu de la partie a) du mandat du CST, notamment la recommandation qui lui a été faite de modifier ou de mettre à jour les instruments sur lesquels s'appuie le soutien qu'il offre à la GRC. Mon prédécesseur était heureux d'annoncer que le CST avait accepté la plupart de ces recommandations et qu'il s'employait à les mettre en œuvre.
Le CST a indiqué qu'il accordait une très haute importance à l'élaboration et à la mise en place d'un système de gestion des dossiers.
Le CST a, par ailleurs, reconnu la nécessité de mettre en place un système officiel de tenue des dossiers. Cet aspect demeure une source de préoccupation, comme le mentionne le Rapport annuel 2006-2007 de mon bureau. Le CST a indiqué qu'il accordait une très haute importance à l'élaboration et à la mise en place d'un système de gestion des dossiers électroniques et imprimés répondant à ses besoins.
Pendant la deuxième phase de l'examen, une vérification approfondie de la réponse du CST aux demandes de renseignements de la GRC a fait ressortir deux sources de préoccupation exigeant un examen juridique plus approfondi de la part du CST. La première était de savoir si les demandes de renseignements de la GRC dans le cadre de ses enquêtes criminelles au pays relèvent de la partie a) du mandat du CST. En attendant que le CST réexamine la question, la légalité de ses activités d'assistance à cet organisme en vertu de la partie a) de son mandat tel qu'il est actuellement interprété et appliqué par le CST n'a pas été évaluée. Le personnel de mon bureau suit le dossier.
La deuxième source de préoccupation concernait les politiques et pratiques du CST en matière de divulgation de renseignements personnels sur des Canadiens à ses clients. Lorsqu'il recueille des renseignements étrangers, le CST peut incidemment acquérir des renseignements personnels sur des Canadiens. Il peut conserver ces renseignements s'il les juge indispensables à la compréhension des renseignements étrangers et les inclure dans ses rapports sur le renseignement étranger pour autant qu'ils soient supprimés, c'est-à-dire remplacés par une référence générique telle que « un Canadien ». Par la suite, quand il reçoit une demande de divulgation de renseignements personnels sur des Canadiens, le CST exige de son client, y compris la GRC, qu'il justifie son droit d'obtenir cette information en vertu de son propre mandat et qu'il fournisse une justification opérationnelle de son besoin de connaître ces renseignements. Si ces conditions sont réunies, le CST divulgue l'information.
Un examen approfondi des articles pertinents de la Loi sur la défense nationale et de la Loi sur la protection des renseignements personnels a soulevé la question du respect, par le CST, des diverses autorisations régissant la divulgation. C'est pourquoi mon bureau a recommandé que le CST réexamine aussi ses pouvoirs en matière de collecte, d'utilisation et de divulgation de renseignements personnels à certains ministères et organismes fédéraux. De plus, il a recommandé que le CST conclue des ententes avec ses clients, afin d'officialiser les situations dans lesquelles il peut divulguer ces renseignements lorsqu'il fournit une assistance en vertu de la partie c) de son mandat.
Le CST a reconnu que le rapport soulevait diverses questions qui, d'un point de vue stratégique/juridique, nécessiteront une analyse approfondie de la part du CST et du conseiller juridique du ministère de la Justice. Je prévois que cette analyse comprendra une étude et peut-être même une prise de position officielle et claire de la part du CST sur l'application de la Loi sur la défense nationale en ce qui a trait à la prestation de renseignements étrangers en conformité avec les priorités du gouvernement du Canada en matière de renseignement.
Examen des activités liées à la protection de la sécurité des technologies de l'information au sein d'un ministère
Contexte
L'examen a porté sur les activités liées à la protection de la sécurité des technologies de l'information exercées par le CST sous le régime d'une autorisation ministérielle en 2004-2005 au sein d'un ministère. L'objectif était d'évaluer et de vérifier si ces activités étaient conformes à la loi et respectaient les dispositions de l'autorisation ministérielle.
Les personnes qui communiquent avec le gouvernement pour des raisons personnelles ou d'affaires ont des attentes raisonnables touchant la protection de leur vie privée.
Les personnes qui communiquent avec le gouvernement pour des raisons personnelles ou d'affaires ont des attentes raisonnables touchant la protection de leur vie privée. Toutefois, en effectuant des tests pour vérifier si les réseaux et les systèmes d'informatique du gouvernement sont bien protégés, il arrive parfois que des communications privées ou des renseignements personnels soient interceptés par inadvertance. Le paragraphe 273.65(3) de la Loi sur la défense nationale prévoit ce qui suit :
Le ministre peut, dans le seul but de protéger les systèmes ou les réseaux informatiques du gouvernement du Canada de tout méfait ou de toute utilisation non autorisée ou de toute perturbation de leur fonctionnement, autoriser par écrit le Centre de la sécurité des télécommunications à intercepter, dans les cas visés à l'alinéa 184(2)c) du Code criminel, des communications privées qui sont liées à une activité ou une catégorie d'activités qu'il mentionne expressément.
Dans ce cas, le CST a la responsabilité de demander une autorisation au nom du ministère ou de l'organisme pour demander que l'activité soit couverte. L'autorisation ministérielle permet au CST de procéder à une évaluation complète des réseaux et systèmes informatiques d'un ministère.
Méthodologie
L'examen a consisté dans un premier temps à examiner les documents et dossiers liés à l'autorisation ministérielle et les conditions imposées par cette dernière. On a ensuite procédé à des entrevues d'enquête et de vérification avec le CST et les représentants de certains clients qui avaient participé directement au processus d'autorisation ou aux activités qui ont suivi.
Conclusions
Sous la réserve ci-dessous au sujet d'une des conditions prévues dans l'autorisation ministérielle, l'examen a révélé que les activités du CST effectuées au sein du ministère étaient conformes à la loi et respectaient les dispositions de l'autorisation ministérielle.
L'examen a révélé que le processus d'acquisition par le CST de l'autorisation ministérielle nécessaire pour mener ses activités au sein du ministère était conforme aux exigences de la Loi sur la défense nationale. L'examen a en outre révélé que quatre des cinq conditions prévues au paragraphe 273.65(4) de la Loi étaient remplies. En ce qui concerne l'une d'entre elles toutefois, l'examen a fait ressortir que certains renseignements ont été conservés, même si leur conservation n'était pas essentielle. Bien que le personnel du CST ait agi conformément aux directives reçues, certains éléments pourraient être améliorés, et le CST a entrepris de le faire. Le CST a en outre indiqué que les prochains protocoles d'entente qui seront conclus avec ses ministères clients concernant des activités liées à la protection de la sécurité des technologies de l'information qui sont menées sous le régime d'une autorisation ministérielle rendront compte de ces améliorations.
Les autres recommandations issues de l'examen sont, entre autres, de veiller à ce que les pratiques et politiques du CST touchant les tâches confiées à son personnel au cours des activités menées dans le but de protéger la sécurité des technologies de l'information favorisent la conformité avec les pouvoirs que la loi confère au CST.
Examen des rôles des agents des relations avec la clientèle et de la Section des politiques opérationnelles du CST dans la divulgation de renseignements personnels
Contexte
L'objectif de cet examen était d'évaluer la légalité des activités à la fois des agents des relations avec la clientèle et de la Section des politiques opérationnelles du CST en ce qui a trait à la demande et à la divulgation de renseignements personnels sur des Canadiens, qui ont été supprimés des rapports du CST sur le renseignement étranger (dont nous avons parlé précédemment). L'information est mise à la disposition des clients autorisés du gouvernement du Canada à certaines conditions seulement.
Depuis sa création en 1946, le CST fournit des rapports sur le renseignement étranger basés sur des renseignements d'origine électromagnétique aux responsables concernés des ministères. Ces rapports étaient remis en main propre jusqu'à la création en 1985 du programme des agents des relations avec la clientèle sur place. Ces agents fournissent des rapports sur le renseignement, expliquent aux clients individuels et potentiels le rôle du CST et du renseignement électromagnétique, et aident à établir les besoins des clients en fonction des priorités du gouvernement du Canada en matière de renseignement.
Pour protéger la vie privée, le CST supprime dans ses rapports sur le renseignement étranger les données personnelles qui concernent des Canadiens.
Pour protéger la vie privée, le CST supprime dans ses rapports sur le renseignement étranger les données personnelles qui concernent des Canadiens. Si un client a l'autorisation nécessaire et le besoin de connaître cette information, il peut l'obtenir en présentant une demande officielle accompagnée de preuves justificatives. Toutes les demandes de divulgation de renseignements sont acheminées à la Section des politiques opérationnelles du CST.
La majorité des demandes est maintenant acheminée directement au CST par l'entremise d'un réseau de communication sécurisé. Les agents des relations avec la clientèle jouent un rôle dans la divulgation de ces renseignements parce qu'ils traitent les demandes des clients qui n'ont pas accès à ce réseau sécurisé.
Méthodologie
L'examen a consisté à examiner les documents pertinents, notamment les pouvoirs qui régissent les activités des agents des relations avec la clientèle et l'unité du CST autorisée à divulguer l'information. Toutes les demandes de divulgation et les divulgations comme telles de renseignements supprimés sur une période de six mois ont été passées au peigne fin pour vérifier leur conformité avec la loi et la politique. Des entrevues ont été menées avec les agents des relations avec la clientèle, leurs gestionnaires, ainsi qu'avec le gestionnaire de la Section des politiques opérationnelles.
Conclusions
L'examen a permis de conclure que les activités des agents des relations avec la clientèle et de la Section des politiques opérationnelles du CST étaient conformes à la Loi sur la défense nationale et aux politiques connexes du CST. Nous avons constaté toutefois quelques incohérences dans les demandes et les divulgations. Nous avons en outre constaté que la politique et la pratique pourraient être améliorées à certains égards afin de mieux protéger les renseignements personnels, comme l'exige la Loi sur la protection des renseignements personnels. Les recommandations à ce sujet étaient, entre autres, de fournir une formation plus complète aux clients qui présentent des demandes et d'accorder à plus de clients un accès électronique sécurisé afin de réduire les risques d'erreur et d'améliorer le contrôle du processus. Je suis heureux de constater que depuis l'examen, le CST a en outre accru la formation et la supervision de son personnel qui travaille dans la Section des politiques opérationnelles en ce qui a trait à la divulgation des renseignements supprimés.
Examen des activités de collecte de renseignements électromagnétiques menées par le CST sous le régime d'une autorisation ministérielle
Contexte
Des activités de collecte de renseignements étrangers ont été menées sous le régime de trois autorisations ministérielles qui ont été en vigueur de mars 2004 à décembre 2006. Ces autorisations ministérielles visaient l'interception de communications utiles aux fins du renseignement étranger, sur l'infrastructure mondiale d'information[18].
Compte tenu des caractéristiques des technologies de communication modernes, le CST court le risque inhérent, lorsqu'il tente d'intercepter les communications d'entités qui se trouvent à l'étranger, d'intercepter en même temps des communications privées de Canadiens. C'est pourquoi il doit obtenir une autorisation ministérielle à cette fin. En plus des conditions prévues au paragraphe 273.65(2) de la Loi sur la défense nationale, la directive ministérielle stipule d'autres conditions régissant la gestion des renseignements recueillis.
Mon bureau procède à un examen en deux parties des activités menées sous le régime de ces autorisations ministérielles, suivant l'interprétation donnée de la loi par le ministère de la Justice, qui est discutée ci-après. L'objectif de la première partie était d'établir un contexte et des critères pour pouvoir procéder à un examen en profondeur de ces activités complexes. J'ai remis au ministre de la Défense nationale un rapport sommaire sur cette partie de l'examen en février 2007.
Méthodologie
Afin de bien comprendre cette forme de collecte de renseignements étrangers et les défis particuliers qu'elle présente, la première partie de l'examen comportait : l'examen des pouvoirs conférés et des conditions imposées au CST par les autorisations ministérielles, la directive ministérielle et les dispositions connexes; l'examen des politiques et des procédures que le CST a élaborées en la matière, ainsi que du cadre de gestion qu'il a mis en place pour superviser ces activités.
Conclusions
Cette partie de l'examen nous a permis de comprendre l'historique de cette activité et sa raison d'être. Elle nous a également permis de mieux comprendre les complexités organisationnelles qui l'entourent, les autorisations qui la régissent, ainsi que les conditions imposées et les programmes en place pour mettre en œuvre les autorisations, tout en respectant les conditions qui y sont attachées. Enfin, cette partie nous a en outre permis d'établir les critères régissant la deuxième et dernière partie de l'examen, qui est en cours actuellement.
Aperçu des conclusions pour 2006-2007
Je suis à même de déclarer que, dans l'ensemble, les activités du CST examinées pendant la période de référence sont conformes à la loi, sauf dans un cas. Ce cas concerne l'une des conditions d'une autorisation ministérielle visant à vérifier la sécurité des technologies de l'information. Le CST a déjà entrepris de corriger la situation. Un rapport sur l'assistance fournie à la GRC ne contenait pas d'évaluation de la légalité des activités à l'examen, le CST devant réexaminer les questions juridiques soulevées.
Pour ce qui est des activités de collecte de renseignements électromagnétiques effectuées par le CST sous le régime d'une autorisation ministérielle, je tiens à réitérer mon désaccord sur l'interprétation donnée par le ministère de la Justice aux dispositions de la Loi sur la défense nationale à cet égard. J'ai accepté d'évaluer la légalité des activités du CST menées en vertu de ces autorisations en me fondant sur cette dernière interprétation en attendant que la loi soit modifiée à la première occasion comme j'en ai signalé l'urgence. Je sais gré au chef du CST de son appui à ces modifications.
Examens en cours / rapports à venir
Au cours du prochain exercice financier, je ferai rapport sur divers examens actuellement en cours qui portent notamment sur les activités du CST liées à l'antiterrorisme, son utilisation des métadonnées, son soutien au SCRS, son utilisation des technologies pour protéger la vie privée des Canadiens et ses activités touchant la collecte de renseignements étrangers et la protection de la sécurité des technologies de l'information menées sous le régime de plusieurs autorisations ministérielles. De plus, mon bureau entreprendra divers autres examens, qui seront réalisés dans le cadre de mon mandat général ou de mes fonctions découlant des dispositions sur les autorisations ministérielles.
Plaintes relatives aux activités du CST
Dans le cadre de mon mandat, je dois procéder à toute enquête que je considère nécessaire par suite d'une plainte, afin de déterminer si certaines activités du CST ont été ou sont illégales.
Au cours de l'année 2006-2007, mon bureau n'a reçu aucune plainte ayant nécessité une enquête officielle. Au printemps 2006, il a toutefois terminé une enquête relative à une plainte reçue l'année précédente. Un rapport complet détaillant les faits et les conclusions de l'enquête a été remis au ministre de la Défense nationale.
Je suis en mesure de rapporter que l'enquête n'a révélé aucune activité illégale de la part du CST.
Bien que les renseignements sur cette plainte soient classifiés, je suis en mesure de rapporter que l'enquête n'a révélé aucune activité illégale de la part du CST. Mon bureau a présenté au CST des recommandations qui ont été acceptées et qui permettront de renforcer la conformité.
Fonctions exercées en vertu de la Loi sur la protection de l'information
La Loi sur la protection de l'information m'autorise à recevoir des renseignements de personnes astreintes au secret à perpétuité qui veulent se prévaloir de la défense « d'intérêt public » concernant la divulgation de renseignements classifiés. Aucun problème de ce genre n'a été soumis à mon bureau en 2006-2007.
[17] Le mandat du CST est défini à l'annexe E.
[18] « Infrastructure mondiale d'information » s'entend notamment des émissions électromagnétiques, des systèmes de communication, des systèmes et réseaux des techniques de l'information ainsi que des données et des renseignements techniques qu'ils transportent, qui s'y trouvent ou qui les concernent. (Loi sur la défense nationale, article 273.61)
- Date de modification :