Points saillants de l'examen de 2007-2008
Examen des activités de collecte de renseignements électromagnétiques menées par le CSTC sous le régime d'une autorisation ministérielle (deuxième partie)
Contexte
Ce rapport porte sur le second et dernier volet d'un examen de certaines activités de collecte de renseignements étrangers exécutées en vertu de trois autorisations ministérielles qui étaient en vigueur de mars 2004 à décembre 2006. La première partie, dont j'ai rendu compte dans le dernier Rapport annuel, a permis de comprendre cette activité du Centre. Elle a aussi servi à examiner les pouvoirs, les politiques, les procédures et le cadre de gestion mis en place pour surveiller les activités, et à établir les critères d'examen de la deuxième partie.
L'objectif de la deuxième partie était d'évaluer et de vérifier si les activités effectuées aux termes des autorisations ministérielles respectaient la loi de même que les attentes énoncées dans une directive ministérielle connexe.
Conclusions
En ce qui concerne les conditions imposées par les autorisations ministérielles, prescrites au paragraphe 273.65(2) de la Loi sur la défense nationale, et les conditions imposées par le ministre dans le cadre du processus d'autorisation, je n'ai relevé aucune preuve de non-conformité avec la loi. Cependant, faute d'information et de documentation, mon bureau n'a pas pu vérifier la conformité à un certain nombre de conditions. L'examen a aussi permis de constater que, dans certains cas, le CSTC n'avait pas respecté les attentes établies dans la directive ministérielle, et j'en ai informé le ministre.
Nous avons constaté qu'il existe des politiques opérationnelles pour orienter le CSTC quant à la protection de la vie privée des Canadiens. Je n'ai trouvé aucune information portant à croire que le personnel du Centre contrevient aux politiques opérationnelles. Cependant, les données aux dossiers étant parfois absentes ou incomplètes, je ne peux fournir au ministre qu'une assurance négative, ce qui revient à dire que je n'ai trouvé aucune preuve de non-respect de la loi.
Examen des activités liées à la sécurité des technologies de l'information au sein d'un ministère
Contexte
Cet examen portait sur les activités liées à la sécurité des technologies de l'information menées par le CSTC au sein d'un ministère fédéral en vertu d'une autorisation ministérielle en 2004–2005. L'objectif était d'évaluer le respect de la loi ainsi que des dispositions de l'autorisation ministérielle.
Le CSTC est tenu, aux termes de la Loi sur la défense nationale, d'aider à protéger les systèmes et réseaux informatiques du gouvernement du Canada en analysant la vulnérabilité de certains systèmes informatiques et de télécommunication et en fournissant aux ministères et organismes gouvernementaux des conseils et des services touchant la sécurité des technologies de l'information.
Les activités du CSTC liées à la sécurité des technologies de l'information peuvent donner lieu à l'interception incidente de communications privées de Canadiens ou de renseignements personnels concernant un Canadien. Pour cette raison, voici ce qui est prévu au paragraphe 273.65(3) de la Loi :
Le ministre peut, dans le seul but de protéger les systèmes ou les réseaux informatiques du gouvernement du Canada de tout méfait ou de toute utilisation non autorisée ou de toute perturbation de leur fonctionnement, autoriser par écrit le Centre de la sécurité des télécommunications à intercepter, dans les cas visés à l'alinéa 184(2)c) du Code criminel, des communications privées qui sont liées à une activité ou une catégorie d'activités qu'il mentionne expressément.
Le chef du CSTC est tenu d'obtenir, pour le compte du ministère ou de l'organisme, l'autorisation visant l'activité demandée. Cette autorisation permet au CSTC de procéder à une évaluation complète de la sécurité des réseaux du ministère.
Conclusions
L'examen a révélé que les activités du CSTC visant la sécurité des technologies de l'information dans le ministère étaient conformes à la loi et à l'autorisation ministérielle. Le processus d'obtention de l'autorisation ministérielle auquel a eu recours le CSTC respectait les dispositions de la Loi sur la défense nationale ainsi que les politiques connexes du Centre. Il a également été établi que les cinq conditions énoncées au paragraphe 273.65(4) de la Loi ont été respectées de manière satisfaisante. Des mesures étaient en place afin de protéger la vie privée des Canadiens, et l'utilisation et la conservation par le CSTC de renseignements personnels concernant des Canadiens étaient conformes à la loi et aux politiques de l'organisme.
Examen des activités du CSTC exercées en vertu d'une directive ministérielle
Contexte
Cet examen portait sur certaines activités entreprises par le CSTC en vertu d'une directive ministérielle et, dans le contexte d'autorisations ministérielles, à l'appui de son mandat de renseignement étranger énoncé à l'alinéa 273.64(1)a) de la Loi sur la défense nationale, pour la période du 1er avril 2005 au 31 mars 2006.
La complexité des technologies et des réseaux de télécommunications ne cesse de s'accroître. Pour accomplir le mandat que lui confère la loi, le CSTC cherche à comprendre l'infrastructure mondiale de l'information et à localiser les renseignements étrangers, conformément aux priorités du gouvernement du Canada en matière de renseignement.
L'examen avait pour objectif d'aider mon bureau à mieux comprendre ces activités et les autorisations sous-jacentes. Il a permis d'évaluer le respect des directives ministérielles et des lois du Canada par le CSTC, y compris la Loi sur la défense nationale, la Charte et la Loi sur la protection des renseignements personnels qui régit la collecte, l'utilisation et la divulgation de renseignements personnels. L'examen a aussi servi à évaluer dans quelle mesure les activités étaient conformes aux politiques et aux procédures du CSTC.
Conclusions
C'était la première fois que mon bureau examinait ces activités mises en œuvre sous le régime d'une directive ministérielle. Je suis convaincu que le CSTC prend des mesures afin de protéger la vie privée des Canadiens lorsqu'il utilise et conserve les données découlant de ces activités. J'ai néanmoins formulé un certain nombre de recommandations présentées ci-après.
Les employés qui observent et traitent des communications privées devraient être tenus d'en rendre compte.
En premier lieu, j'estime que le CSTC devrait réexaminer sa pratique selon laquelle seules les communications privées reconnues par certains membres du personnel doivent faire l'objet d'un rapport. J'ai recommandé que d'autres employés qui observent et traitent des communications privées soient également tenus de rendre compte de ces communications. En second lieu, le CSTC devrait réévaluer de quel volet de son pouvoir législatif devrait relever certaines de ces activités, en particulier celles concernant des renseignements fournis par des organismes fédéraux chargés de l'application de la loi et de la sécurité. Enfin, je suis d'avis que le Centre devrait renforcer ses politiques et procédures afin de mieux orienter et soutenir ces activités.
Mon bureau a appris depuis lors que le CSTC réexamine ces activités ainsi que les politiques et procédures connexes. Je soutiens cette initiative, et j'entends maintenir un suivi des points soulevés durant cet examen.
Examen des activités antiterroristes du CSTC
Contexte
Cet examen a porté sur la légalité des activités antiterroristes du CSTC au cours de la période du 1er avril au 31 juillet 2005.
Au début d'octobre 2001, le CSTC a centralisé les efforts déployés dans le domaine du renseignement étranger relativement aux menaces provenant du terrorisme international, et a procédé à la recherche et à l'analyse de données du renseignement étranger afin d'identifier les cibles terroristes et leurs réseaux d'opération et de soutien. Ces données peuvent être échangées avec les ministères et organismes fédéraux chargés du renseignement et de la sécurité, de même qu'avec les principaux partenaires du Canada en matière de renseignement.
L'objectif principal était d'examiner la collecte de données et les rapports préparés pendant la période d'examen pour vérifier que les renseignements ont été recueillis, utilisés et conservés de manière conforme à la loi, et pour relever et signaler toute autre source de préoccupation pouvant avoir une incidence sur l'aptitude du CSTC à mener à bien ses activités en toute légalité et à protéger la vie privée des Canadiens.
Conclusions
Cet examen a permis de conclure que les activités exécutées étaient conformes à la loi ainsi qu'aux politiques du CSTC. Les membres du personnel interrogés étaient bien informés des instruments qui régissent leur travail. Le rapport renferme deux recommandations visant à renforcer la responsabilité du CSTC : d'une part, relativement aux liens entre les rapports préparés par le Centre et les priorités du gouvernement du Canada en matière de renseignement; d'autre part, relativement à l'utilisation et à la conservation des communications et des renseignements privés concernant des Canadiens.
Examen de l'assistance du CSTC au SCRS
Contexte
Cet examen portait sur la légalité des activités du CSTC lorsqu'il fournit une assistance au Service canadien du renseignement de sécurité (SCRS) en vertu du mandat en matière de renseignement étranger dévolu au CSTC, au cours de la période du 1er avril 2004 au 31 mars 2005, et comportait l'examen d'échantillons prélevés pour la période comprise entre novembre et décembre 2006.
Le CSTC transmet régulièrement des comptes rendus sur le renseignement étranger au SCRS. La plupart de ces rapports signalent des points d'intérêt général qui complètent et soutiennent les responsabilités qui incombent au SCRS. Le CSTC reçoit aussi certaines demandes d'information du SCRS liées au renseignement, et il y donne suite dans la mesure où elles cadrent avec les priorités du gouvernement du Canada en la matière. Un dernier aspect de l'assistance que le Centre prête au SCRS porte sur la divulgation de l'identité de Canadiens qui a été supprimée des rapports sur le renseignement étranger. Lorsqu'il reçoit une demande officielle à cet effet, le Centre doit déterminer que la justification est satisfaisante et être convaincu du droit légitime du demandeur.
Conclusions
Dans l'ensemble, je suis d'avis que le CSTC a respecté son mandat lorsqu'il a prêté assistance au SCRS. Je suis d'accord avec les conseils que le ministère de la Justice a offerts au Centre à ce sujet. Cependant, je questionne en vertu de quel volet de son mandat le CSTC peut s'acquitter de ces activités dans certains cas et j'ai recommandé au CSTC de réexaminer la question. Au 31 mars 2008, les pourparlers se poursuivaient entre mes représentants et le CSTC.
En outre, mon bureau a relevé des sources de préoccupation en ce qui concerne les demandes de divulgation de renseignements supprimés et le protocole d'entente de 1990 qui guide la collaboration entre le SCRS et le CSTC. Nombre de mes conclusions renforcent celles de deux examens antérieurs qui portaient sur la collecte de renseignements étrangers par le CSTC à l'appui de la GRC et sur les rôles exercés par les agents des relations avec la clientèle et la Section des politiques opérationnelles du Centre relativement à la divulgation de renseignements personnels. Ces examens sont présentés dans mon rapport annuel de 2006–2007.
Le CSTC continue d'apporter des améliorations là où des lacunes ont été signalées.
Je suis heureux de constater que, depuis la fin de la période d'examen, le Centre poursuit l'étude de ses processus, politiques et procédures internes dans l'intention d'apporter des améliorations là où des lacunes ont été signalées.
J'ai cependant recommandé que le CSTC révise le protocole d'entente conclu avec le SCRS, qui n'est plus à jour et ne rend plus compte des arrangements ou pratiques actuels entre les deux organismes. Dans un contexte de menaces à l'échelle internationale, je suis d'avis que la coopération entre les organismes de sécurité et ceux du renseignement doit faire l'objet d'un examen continu et que les structures de collaboration doivent être revues périodiquement.
Examens en cours ou projetés
Mon bureau a entamé plusieurs examens dont je rendrai compte au ministre au cours de la prochaine année et dont je ferai état dans mon prochain rapport annuel. Entre autres sujets d'examen, mentionnons les activités effectuées par le CSTC en vertu de plusieurs autorisations ministérielles de collecte de renseignements étrangers; la divulgation de renseignements concernant des Canadiens à des ministères et organismes fédéraux; certaines pratiques du CSTC communes aux activités prévues par son mandat; et une étude exhaustive de ses activités liés à la sécurité des technologies de l'information. Certains examens engagés au cours du prochain exercice se poursuivront jusqu'en 2009–2010. L'an dernier, j'ai indiqué que je rendrais compte de l'usage par le CSTC de technologies pour protéger la vie privée des Canadiens. Au terme de l'exercice financier, cet examen était en voie d'être complété, et sera donc présenté dans le rapport annuel de l'an prochain.
Plaintes relatives aux activités du CSTC
Dans le cadre de mon mandat, je dois procéder à toute enquête que je considère nécessaire par suite d'une plainte. Durant l'année financière 2007-2008, mon bureau n'a reçu aucune plainte ayant nécessité une enquête officielle.
Fonctions exercées en vertu de la Loi sur la protection de l'information
La Loi sur la protection de l'information m'autorise à recevoir des renseignements de personnes astreintes au secret à perpétuité qui veulent se prévaloir de la défense « d'intérêt public » concernant la divulgation de renseignements classifiés relatifs au CSTC. Aucun problème de ce genre n'a été soumis à mon bureau en 2007-2008.
- Date de modification :