Points saillants de l'examen de 2008-2009

Au cours de l'année de référence 2008–2009, mon bureau a effectué sept examens portant sur différents aspects des activités du CSTC, et ce, sous mon autorité comme le prévoient l'alinéa 273.63(2)a) et le paragraphe 273.65(8) de la Loi sur la défense nationale.

Les examens avaient pour objectif principal d'évaluer, conformément à mon mandat, si les activités du CSTC respectaient la loi et en particulier si l'organisme est doté de mesures suffisantes pour protéger la vie privée des Canadiens. Je suis en mesure d'affirmer que les activités ayant fait l'objet d'un examen en 2008–2009 respectaient la loi.

En ce qui concerne les trois premiers examens présentés ci-après (activités 1, 2 et 3), pour lesquels je me suis penché sur diverses activités de collecte de renseignements étrangers menées en vertu d'autorisations ministérielles, je tiens à souligner de nouveau que ces examens sont fondés sur l'interprétation juridique que le ministère de la Justice a fournie au CSTC, en attendant que la Loi sur la défense nationale soit modifiée.

Examens d'activités entreprises en vertu d'autorisations ministérielles — Éléments communs

En vertu de l'alinéa 273.64(1)a) de la Loi, le CSTC a pour mandat d'acquérir et utiliser l'information provenant de l'infrastructure mondiale d'information dans le but de fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement. Pour chaque activité de collecte de renseignements étrangers menée par le CSTC examinée par mon bureau en 2008–2009, le CSTC a obtenu une autorisation ministérielle en vertu des paragraphes 273.65(1) et (2) de la Loi étant donné qu'il était possible qu'il intercepte, dans le cadre de ces travaux, des communications provenant du Canada ou destinées au Canada considérées comme des « communications privées » aux termes du Code criminel.

Selon la Loi sur la défense nationale, les activités de collecte de renseignements étrangers ne peuvent viser des Canadiens ou toute personne au Canada (alinéa 273.64(2)a) et doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés (alinéa 273.64(2)b).

Examen des activités de collecte de renseignements étrangers menées par le CSTC en vertu d'une autorisation ministérielle (activité 1) 

Contexte

Cet examen touchait certaines activités de collecte de renseignements étrangers menées par le CSTC en vertu de trois autorisations ministérielles successives en vigueur entre 2004 et 2007. On a pris en compte deux examens des mêmes activités, réalisés par mon bureau en 1995 et en 2005.

Conclusions

À la lumière des renseignements examinés et des entrevues, j'ai conclu que les activités du CSTC avaient été autorisées et menées conformément à la loi, aux exigences ministérielles ainsi qu'aux politiques et procédures opérationnelles de l'organisme.

Cependant, il en est ressorti que l'imputabilité du CSTC au ministre serait meilleure s'il consignait et rapportait davantage d'information. Cette information concerne les renseignements étrangers que le CSTC collecte en vertu de son autorisation ministérielle et qu'il communique à ses principaux partenaires à l'extérieur du Canada. Mon bureau continuera d'examiner la question d'échange de renseignements sur les Canadiens.

L'examen a également révélé qu'un protocole d'entente entre le CSTC et un ministère fédéral concernant ces activités devrait être mis à jour de sorte qu'il soit conforme aux pratiques actuelles. Dans l'intervalle, le CSTC a convenu de continuer à respecter les modalités de l'entente actuelle et à consigner toute nouvelle entente.

En outre, les membres de mon équipe ont signalé certaines irrégularités liées aux politiques et aux procédures du CSTC relatives aux activités examinées.

Recommandations

Par suite de ces constatations, j'ai recommandé au CSTC d'adopter et de publier des directives écrites supplémentaires touchant les procédures que doivent suivre ses analystes lorsqu'ils prennent des décisions relativement aux cibles. J'ai également conseillé au CSTC de modifier sa politique en matière de radiation des communications privées qui, selon les analystes, n'ont aucune valeur sur le plan des renseignements étrangers. La LDN stipule que les communications privées interceptées ne seront utilisées ou conservées que si elles sont essentielles aux affaires internationales, à la défense ou à la sécurité (alinéa 273.65(2)d).

Je suis heureux de constater que le CSTC a accepté mes recommandations et apporté des améliorations dans les domaines où nous avons relevé des carences, notamment la modification de ses systèmes.

Examen des activités de collecte de renseignements étrangers menées par le CSTC en vertu d'une autorisation ministérielle (activité 2) 

Contexte

Cet examen touchait certaines autres activités de collecte de renseignements étrangers menées par le CSTC en vertu de quatre autorisations ministérielles en vigueur de 2004 à 2007, y compris l'échange par le CSTC de renseignements étrangers à ses partenaires au Canada et à l'étranger.

Conclusions

Selon les renseignements examinés et les entrevues, j'ai conclu que les activités étaient autorisées et conformes à la loi ainsi qu'aux politiques et aux procédures opérationnelles du CSTC. Les entrevues ont permis d'établir que les employés chargés de la collecte des renseignements et de la gestion des activités connexes connaissaient bien les autorisations législatives, les politiques et les procédures qui régissent la collecte de renseignements par le CSTC.

Toutefois, l'examen a également permis d'établir que le CSTC n'avait pas respecté deux des attentes énoncées dans les autorisations ministérielles. Dans un cas, j'ai noté que le CSTC n'avait pas respecté une exigence relative à la présentation d'un rapport en temps opportun au ministre de la Défense nationale, après l'expiration de l'autorisation ministérielle. Mon équipe a constaté que le bureau du ministre avait reçu ledit rapport près d'un an plus tard.

J'ai en outre constaté que, dans un cas, le CSTC n'avait pas informé le ministre d'une augmentation marquée du nombre de communications privées interceptées par inadvertance. Par la suite, l'organisme nous a fourni une explication à cet égard. Néanmoins, en examinant cette question, j'ai établi que ces renseignements auraient dû être transmis au ministre afin de répondre à ses attentes.

Dans mon rapport au ministre de la Défense nationale, j'ai également recommandé que le CSTC adopte des méthodes plus rigoureuses pour évaluer l'importance des renseignements étrangers fournis à leurs clients.

Recommandations

En ce qui concerne les attentes relatives aux communications privées, j'ai recommandé au CSTC d'élaborer un énoncé explicite relatif à chaque attente ministérielle dans les rapports qu'il présentera au ministre. Je suis heureux de constater que le CSTC a accepté cette recommandation.

Examen des activités de collecte de renseignements étrangers menées par le CSTC en vertu d'une directive ministérielle et d'une autorisation ministérielle (activité 3)

Contexte

Cet examen touchait un troisième type d'activités de collecte de renseignements étrangers menées par le CSTC en vertu de trois autorisations ministérielles successives en vigueur de 2004 à 2007. En outre, l'examen portait sur la conformité du CSTC aux attentes figurant dans une directive ministérielle connexe, émise conformément au paragraphe 273.62(3) de la LDN.

Conclusions

En me fondant sur les renseignements examinés et sur les entrevues, j'ai conclu que les activités du CSTC étaient autorisées et conformes à la loi. Toutefois, j'ai présenté des conclusions précises et formulé des recommandations qui, selon moi, permettraient de renforcer les pratiques du CSTC et la conformité à ses politiques et procédures.

L'examen a également permis d'établir que l'organisme n'avait pas respecté une attente énoncée dans la directive ministérielle. Toutefois, les pratiques opérationnelles ont permis de satisfaire aux buts de cette attente.

Des pratiques opérationnelles rigoureuses en matière d'élaboration, d'approbation et d'exécution de ces activités permettent de conclure avec un degré de confiance élevé que ces dernières sont menées conformément aux autorisations. Nous n'avons cependant pas trouvé le même niveau de clarté, de rigueur et de tenue de dossier en ce qui a trait à certaines parties des processus de gestion du programme. Par conséquent, j'ai émis trois recommandations.

Recommandations

En ce qui concerne le non-respect d'une attente figurant dans la directive ministérielle et pour assurer que l'organisme maintienne ses pratiques au fil du temps et malgré le roulement de personnel, j'ai recommandé au CSTC d'ajouter certaines mesures à ses politiques ou procédures.

Deuxièmement, bien que le personnel du CSTC ait montré une bonne compréhension des politiques et procédures connexes et que rien n'indique la non­conformité, j'ai recommandé qu'on établisse des lignes directrices écrites pour combler certaines lacunes des politiques et procédures.

Enfin, le compte rendu d'activités précises est consigné en détail. Par contre, le compte rendu des décisions relatives à la gestion du programme est incomplet. J'ai recommandé qu'on applique correctement à ces deux éléments des processus valables de gestion des documents. Comme je l'ai mentionné précédemment, le CSTC est en train de mettre en œuvre un nouveau système de gestion des documents et il me tient au courant du déroulement de ce projet, que je suis avec intérêt. Je suis heureux de constater que le CSTC a accepté ces recommandations et prend des mesures pour répondre à chacune d'entre elles.

Examen de l'acquisition et de la mise en œuvre des technologies par le CSTC comme moyen de protéger la vie privée des Canadiens

Contexte

Mon bureau a examiné l'acquisition et la mise en œuvre par le CSTC de technologies permettant de protéger la vie privée des Canadiens conformément aux dispositions du paragraphe 273.64(2) de la LDN.

L'examen visait deux types de technologies : un système d'acquisition de renseignements étrangers et un outil analytique. Le premier est utilisé pour acquérir, traiter et recueillir des renseignements provenant de l'infrastructure mondiale d'information. Le second appuie la collecte de renseignements étrangers et aide l'organisme à assurer la protection des renseignements électroniques et des infrastructures d'information importantes pour la sécurité du gouvernement du Canada sur le plan des technologies de l'information (sécurité des TI). Les membres de mon équipe ont assisté à des démonstrations touchant les deux technologies et ils ont interrogé les opérateurs du CSTC au sujet de différentes facettes de leur utilisation.

Conclusions

D'après les renseignements examinés et les entrevues, j'ai conclu que les activités du CSTC étaient conformes à la loi. Le CSTC utilise ces deux technologies pour s'acquitter du mandat que lui confère la loi, et il a démontré qu'il modifierait ses technologies le cas échéant pour se conformer à ses obligations statutaires en matière de protection de la vie privée des Canadiens. L'acquisition, la mise en œuvre et l'utilisation de ces technologies aident l'organisme en lui permettant de détecter les communications pouvant être privées ainsi que les renseignements personnels au sujet des Canadiens.

L'examen a révélé que l'élaboration des instruments de politique relatifs à la sécurité des TI devrait faire l'objet d'une attention particulière, pour faire en sorte que les directives du CSTC dans ce domaine soient à jour et officialisés au plus haut niveau. Il existe une différence entre les pratiques relatives aux deux secteurs d'activité du CSTC – la sécurité des TI et la collecte de renseignements étrangers – en ce qui a trait à la reddition de comptes en matière de renseignements personnels détectés au moyen d'analyses. Le CSTC a fourni une explication raisonnable au sujet de cette différence.

Recommandation

J'ai formulé une recommandation au sujet des demandes d'autorisation ministérielle en matière de renseignements étrangers. Comme des communications privées peuvent être interceptées par le système d'acquisition de renseignements étrangers soumis à l'examen, une autorisation ministérielle est nécessaire. J'ai recommandé au CSTC d'examiner de nouveau la façon dont il décrit les activités en matière de renseignements étrangers dans ses demandes d'autorisation ministérielle, afin de mieux préciser les activités que le ministre de la Défense nationale autorise. Je suis heureux de constater que le CSTC a accepté cette recommandation.

Examen de la divulgation de renseignements sur les Canadiens aux clients du gouvernement du Canada

Contexte

Dans le cadre de son mandat visant à fournir des renseignements étrangers conformément aux priorités du gouvernement du Canada en matière de renseignements, le CSTC transmet ses propres rapports classifiés, ainsi que ceux des agences alliées, aux ministères et organismes fédéraux qui ont un besoin prouvé en matière de renseignement, en fonction de leur mandat respectif. Ces rapports sont préparés par le CSTC ainsi que par des partenaires internationaux et ils peuvent contenir des renseignements supprimés au sujet de Canadiens si cela est indispensable à la compréhension du rapport (voir l'encadré Renseignements sur les Canadiens — Qu'en est-il?).

Conclusions

À la lumière des renseignements examinés et des entrevues effectuées, j'ai conclu que les activités du CSTC étaient autorisées et conformes à la loi ainsi qu'aux politiques et aux procédures opérationnelles de l'organisme. Je n'ai formulé aucune recommandation.

Suivi d'une recommandation découlant de l'examen effectué en 2007–2008 relativement à des activités du CSTC exercées en vertu d'une directive ministérielle

Contexte

L'an dernier, j'ai présenté mes observations sur certaines activités du CSTC exercées en vertu d'une directive ministérielle et visant à appuyer son mandat en matière de collecte de renseignements étrangers. Comme je l'indiquais dans mon rapport annuel 2007–2008, j'ai recommandé au CSTC de réexaminer sa pratique selon laquelle seulement les communications privées reconnues par certains membres du personnel doivent faire l'objet d'un rapport. J'ai recommandé que d'autres employés qui observent et traitent des communications privées soient également tenus de rendre compte de ces communications. Le CSTC a rejeté cette recommandation, et j'ai donc demandé aux membres de mon équipe de mener un examen de suivi concernant ces activités.

Ce deuxième examen approfondi, assorti d'une directive permettant d'examiner la question de manière aussi approfondie que nécessaire, visait à mieux connaître cette activité, à examiner les risques pour la vie privée et à établir si les mesures prises par le CSTC pour protéger la vie privée des Canadiens étaient suffisantes.

L'examen avait pour objectif ultime de déterminer si je devais maintenir, modifier ou rétracter la recommandation que j'avais formulée en 2007–2008. La méthode d'examen comprenait l'observation directe des activités du personnel de première ligne du CSTC.

Conclusions

L'examen, reposant sur une connaissance et une compréhension précises des activités observées par les membres de mon équipe, a révélé que le CSTC mène ces activités dans le respect de la loi et des exigences ministérielles, et conformément aux politiques et aux procédures opérationnelles.

D'après les pratiques en vigueur, telles qu'elles ont été observées en détail à deux reprises, j'estime que les activités soumises à l'examen ne présentent qu'un faible risque pour la vie privée. Les employés du CSTC qui en sont chargés ont moins de chances de porter atteinte à la vie privée des Canadiens que ceux qui effectuent d'autres activités et qui sont déjà tenus de rendre compte des communications privées.

En outre, j'estime que le CSTC a mis en place des mesures suffisantes afin de protéger la vie privée des Canadiens lorsqu'il mène ces activités. Les employés connaissaient et respectaient les politiques et les procédures opérationnelles dans lesquelles figurent les directives à cet égard.

Je suis heureux de constater que le CSTC a récemment révisé sa politique opérationnelle à ce sujet pour y ajouter des directives supplémentaires en matière de protection de la vie privée des Canadiens. Les gestionnaires surveillent régulièrement et de près la conformité aux politiques et aux procédures applicables. Les personnes à qui les membres de mon équipe ont parlé se sont montrées très ouvertes et ont fait preuve de professionnalisme à l'égard des activités soumises à l'examen.

Ainsi, compte tenu de ces conclusions, j'ai rétracté ma recommandation antérieure et informé le CSTC que je ne m'attends pas à ce qu'il prenne des mesures correctives quant à ces activités.

Examen des activités de collecte de renseignements étrangers menées par le CSTC en vertu d'une directive ministérielle et à l'appui de son mandat en matière de collecte de renseignements étrangers

Contexte

L'objectif précis de cet examen visait à connaître les activités du CSTC menées en vertu d'une autorisation ministérielle et à l'appui de son mandat en matière de collecte de renseignements étrangers. J'ai examiné la conformité du CSTC aux attentes figurant dans la directive ministérielle et aux politiques et procédures connexes. Ces attentes sont de nature administrative et touchent principalement la sécurité et la gestion du risque.

Conclusions

Selon les renseignements examinés et les entrevues menées, j'ai conclu que les activités étaient conformes aux priorités du gouvernement du Canada en matière de renseignements étrangers ainsi qu'à la loi et aux politiques et procédures opérationnelles de l'organisme. Le CSTC avait également pris des mesures précises pour protéger la vie privée des Canadiens. J'ai en outre conclu qu'en général le CSTC menait ses activités conformément aux attentes figurant dans la directive ministérielle et aux politiques et procédures connexes.

Recommandations

Toutefois, j'ai recommandé au CSTC de combler certains écarts entre les attentes ministérielles et ses propres pratiques. J'ai aussi conseillé à l'organisme d'examiner, de mettre à jour et de compléter certains documents clés relatifs à ces activités et de clarifier certains termes y figurant. Je crois que cette mesure permettra au CSTC de mieux répondre aux exigences ministérielles, augmentant ainsi l'imputabilité. J'attends la réponse du CSTC à mes recommandations.

Date de modification :