Points saillants de l'examen 2009—2010

Le commissaire présente des rapports classifiés renfermant ses constatations et ses recommandations au ministre de la Défense nationale, et il en remet copie au chef du CSTC, au conseiller en matière de sécurité nationale auprès du Premier ministre, qui rend compte des opérations et de la politique du CSTC, et au sous-ministre de la Défense nationale, qui rend compte des questions administratives se rapportant au CSTC. Avant de finaliser un rapport, le bureau du commissaire recueille les commentaires du CSTC concernant l'exactitude des faits qui y sont mentionnés.

Étude des activités relatives à la sécurité des technologies de l'information qui ne sont pas menées en vertu d'une autorisation ministérielle

Contexte

Cette étude a été lancée et réalisée sous l'autorité de l'ancien commissaire Gonthier, aux termes de l'alinéa 273.63(2)a) de la Loi sur la défense nationale. Elle porte sur les activités du CSTC relatives à la sécurité des technologies de l'information (TI) qui ne sont pas menées en vertu d'une autorisation ministérielle. Un examen des activités relatives à la sécurité des TI avait déjà été effectué en 2000. Toutefois, en raison de changements et de progrès importants sur ce front depuis cette date, une étude approfondie s'imposait. Les autres activités relatives à la sécurité des TI que mène le CSTC en vertu d'une autorisation ministérielle sont examinées annuellement.

En matière de sécurité des TI, le CSTC tire sa légitimité de l'alinéa 273.64(1)b) de la Loi sur la défense nationale qui stipule que le CSTC a pour mandat de : « fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada ». Les activités du CSTC relatives à la sécurité des TI visent à prévenir les menaces et les cyber-attaques complexes visant les TI qui pourraient permettre à des intrus d'avoir accès secrètement aux systèmes informatiques sensibles du gouvernement. Il incombe également au CSTC de réagir aux menaces ou attaques de ce genre. Entre autres activités relatives à la sécurité des TI, le CSTC fait la promotion de saines pratiques de sécurité pour aider les ministères fédéraux à réduire la vulnérabilité des TI et à gérer les risques afférents. Cela peut nécessiter des activités de veille et des parades pour prévenir et détecter les menaces et les cyber-attaques, ou y réagir.

Les objectifs de l'étude consistaient à prendre connaissance des activités du CSTC relatives à la sécurité des TI et à effectuer une évaluation du risque pour déterminer lesquelles peuvent, le cas échéant, poser un problème pour la conformité à la loi, aux exigences ministérielles ou aux politiques et procédures du CSTC, ou la protection de la vie privée des Canadiens - et devraient par conséquent faire l'objet d'un examen de suivi. Une attention particulière a été accordée aux activités qui peuvent viser des communications ou des renseignements privés sur des Canadiens.

L'étude a porté sur les domaines suivants : programme de chiffrement du gouvernement du Canada; relations avec l'industrie; recherche, analyse et rapports concernant la vulnérabilité à la criminalité informatique et menaces et attaques complexes visant les TI; aide pour recenser les vulnérabilités et les incidents touchant les infrastructures d'information importantes pour le gouvernement, ainsi que pour trouver des parades; et relations connexes avec les partenaires clés du gouvernement canadien et ses partenaires étrangers.

Constatations et conclusions

L'étude a révélé que les activités du CSTC relatives à la sécurité des TI non menées en vertu d'une autorisation ministérielle présentent généralement un faible risque de non-conformité à la partie V.1 de la Loi sur la défense nationale et un faible risque également pour la vie privée des Canadiens. Le quart des questions visées par l'étude fera l'objet d'un examen de suivi et a été intégré au plan de travail triennal du commissaire.

Dans quelques rares cas seulement, les activités du CSTC relatives à la sécurité des TI non menées en vertu d'une autorisation ministérielle donnent accès à une petite quantité de renseignements sur des Canadiens. La plupart se rapportent à l'identité d'une société canadienne ou consistent en des renseignements fournis volontairement par les clients gouvernementaux du CSTC dans le cadre des activités de cyberprotection ou des affaires courantes de l'État. Il y a toutefois d'autres activités relatives à la sécurité des TI non menées en vertu d'une autorisation ministérielle qui peuvent présenter des risques pour la vie privée des Canadiens. Ces activités se déroulent sous l'égide d'autres entités gouvernementales, en vertu du Code criminel et de la Loi sur la gestion des finances publiques, et peuvent permettre au CSTC d'avoir accès à des communications et à de l'information privées sur des Canadiens. En ce qui concerne ces activités, il appert que le CSTC prend des mesures pour protéger la vie privée des Canadiens. Par exemple, les communications et l'information privées sur des Canadiens ne sont divulguées qu'aux agents chargés de la protection des systèmes informatiques. Néanmoins, il existe bel et bien un risque pour la vie privée. Par conséquent, le bureau du commissaire effectuera des examens approfondis de ces activités pour vérifier la conformité du CSTC et pour évaluer dans quelle mesure il protège la vie privée des Canadiens en menant ces activités.

Surveillance des systèmes de détection des intrusions

L'alinéa 184(2)e) du Code criminel autorise l'interception d'une communication privée par une personne ayant le contrôle d'un système informatique de façon à protéger ce système contre tout acte qui constituerait une infraction aux termes du paragraphe 342.1(1) (utilisation non autorisée d'ordinateur) ou du paragraphe 430(1.1) (méfait concernant les données) du Code criminel. Cette disposition autorise le recours à un système de détection des intrusions pour protéger l'ordinateur contre une cyber-attaque et permet d'utiliser ou de conserver la communication privée interceptée lorsqu'elle est essentielle pour détecter, isoler ou empêcher des activités dommageables pour le système informatique.

L'article 161 de la Loi sur la gestion des finances publiques investit une entité gouvernementale du pouvoir de prendre des mesures raisonnables pour protéger un système informatique, notamment l'interception d'une communication privée dans les circonstances précisées à l'alinéa 184(2)e) du Code criminel.

L'étude portait également sur l'examen d'un outil logiciel essentiel du CSTC pour la sécurité des TI et d'un dépôt central des sources d'information. L'ancien commissaire Gonthier a conclu que l'outil logiciel du CSTC relatif à la sécurité des TI comportait une fonction adéquate pour restreindre l'accès à l'information stockée dans le système, satisfaire aux exigences de sécurité et de confidentialité et protéger la vie privée des Canadiens. Pour confirmer ce constat, le bureau du commissaire a examiné l'utilisation du système par le CSTC dans le contexte de l'examen de certaines activités relatives à la sécurité des TI menées en vertu d'une autorisation ministérielle. Les résultats de cet examen figureront dans le rapport annuel de 2010—2011.

Examen d'activités de collecte de renseignements étrangers entreprises par le CSTC en vertu d'autorisations ministérielles et à l'appui des efforts gouvernementaux en Afghanistan

Contexte

Cet examen a été amorcé et réalisé sous l'autorité de l'ancien commissaire Gonthier, aux termes des dispositions du paragraphe 273.65(8) de la Loi sur la défense nationale. Le rapport a été examiné et présenté au ministre de la Défense nationale par l'ancien commissaire Cory. L'examen portait sur les activités menées en vertu de deux autorisations ministérielles en vigueur en 2006—2007 et en 2007—2008 et à l'appui des opérations militaires des Forces canadiennes et des autres efforts gouvernementaux relatifs à l'Afghanistan. Le CSTC a obtenu les autorisations ministérielles en vertu des paragraphes 273.65(1) et (2) de la Loi sur la défense nationale du fait qu'au cours de ses activités, il était possible qu'il intercepte une communication entamée ou terminée au Canada et constituant une communication privée au sens du Code criminel.

En attendant les modifications pour clarifier la Loi sur la défense nationale, cet examen est fondé sur l'interprétation juridique des dispositions relatives à l'autorisation ministérielle applicable aux renseignements étrangers stipulées dans la Loi sur la défense nationale, fournie au CSTC par le ministère de la Justice du Canada.

Comme il s'agissait du premier examen de ces activités, le but était d'acquérir une connaissance détaillée des activités, d'évaluer si elles étaient autorisées et conformes à la loi, et de déterminer dans quelle mesure le CSTC protégeait la vie privée des Canadiens dans le cadre de ces activités.

Constatations

Il est clair que les activités du CSTC déployées en vertu d'une autorisation ministérielle et relatives à l'Afghanistan permettent à l'organisme d'avoir un accès important à des renseignements étrangers fort précieux à l'appui des priorités du renseignement de l'armée et du gouvernement en général.

L'examen a révélé que les activités avaient donné accès à un très petit nombre de communications et d'information privées sur des Canadiens. Tout indique par conséquent qu'elles présentent un faible risque pour la vie privée des Canadiens.

D'après l'information dépouillée et les entrevues, les activités menées par le CSTC en vertu d'une autorisation ministérielle de 2006 à 2008 et se rapportant à l'Afghanistan étaient dûment autorisées et ont été menées en conformité avec la loi et les avis du ministère de la Justice du Canada. Tout indique que ces activités respectaient également les exigences des autorisations et des instructions ministérielles. Le CSTC a consigné et transmis l'information au ministre conformément aux exigences énoncées dans les autorisations.

Recommandations

Rien dans l'information ou la documentation n'indiquait que les employés du CSTC ont contrevenu aux politiques et procédures opérationnelles applicables aux activités de collecte de renseignements étrangers. Toutefois, l'ancien commissaire Gonthier a recommandé que le CSTC modifie sa politique visant ces activités pour clarifier certaines obligations. Le fait que le CSTC ait donné suite à cette recommandation, renforçant ainsi sa capacité de s'acquitter des exigences juridiques et ministérielles, constitue un point positif. Le bureau du commissaire surveillera par ailleurs les efforts du CSTC pour combler les lacunes relatives à ces activités dans ses interactions avec les Forces canadiennes, comme l'ont indiqué les évaluateurs internes du CSTC.

En outre, l'examen rend compte de deux améliorations apportées par le CSTC en ce qui concerne les rapports sur la collecte de renseignements étrangers qu'il convient de faire valoir. D'abord, le CSTC a pris des mesures pour centraliser la gestion d'un certain type de rapport propre à améliorer la reddition de comptes. Ensuite, le CSTC a donné suite à une recommandation formulée par l'ancien commissaire Gonthier, demandant que l'on consigne, en vue d'en faire rapport au ministre de la Défense nationale, des renseignements complémentaires concernant les activités de collecte de renseignements étrangers à l'appui de la reddition de comptes.

Examen périodique de la divulgation par le CSTC de renseignements sur des Canadiens aux clients du gouvernement du Canada

Contexte

Cet examen a été amorcé et effectué sous l'autorité de l'ancien commissaire Gonthier, aux termes de l'alinéa 273.63(2)a) de la Loi sur la défense nationale. Le rapport a été examiné et présenté au ministre de la Défense nationale par l'ancien commissaire Cory.

Sur réception d'une demande de divulgation de détails concernant des renseignements supprimés à propos d'un Canadien dans un rapport, le CSTC exige que le client rende compte de son pouvoir de demander et d'utiliser ces renseignements dans le cadre de son mandat et qu'il fournisse une justification opérationnelle de son besoin de connaître. Le CSTC ne transmet les renseignements supprimés qu'une fois que ces conditions ont été remplies.

Le Rapport annuel 2008—2009 du commissaire renferme le résumé d'un examen approfondi de la divulgation de renseignements sur des Canadiens aux clients du gouvernement du Canada. Comme l'examen a révélé que les activités du CSTC étaient conformes à la loi ainsi qu'aux politiques et procédures du CSTC, ce dernier a suggéré par la suite que le bureau du commissaire procède à un examen de ce genre à intervalles réguliers. Conscient que cette activité du CSTC constitue un volet important de la protection de la vie privée des Canadiens, l'ancien commissaire Gonthier a accueilli favorablement cette suggestion, et des examens mensuels de toutes les divulgations du CSTC aux clients du gouvernement du Canada ont été effectués de janvier à juin 2009.

Constatations

Les examens mensuels ont révélé que la divulgation de renseignements par le CSTC concernant des Canadiens dans les rapports sur les renseignements étrangers adressés à des clients du gouvernement du Canada était conforme à la loi ainsi qu'aux politiques et procédures opérationnelles de l'organisme. Comme ces résultats étaient encourageants, il a été déterminé que les examens mensuels n'étaient pas nécessaires et ne constituaient pour aucune des deux parties une utilisation optimale de ses ressources. Toutefois, en raison des conséquences de cette activité sur la protection de la vie privée des Canadiens, à compter de 2010—2011, le commissaire procédera à un examen annuel d'un échantillon aléatoire de divulgations pour vérifier si le CSTC continue de se conformer à la loi et adopte des mesures qui protègent la vie privée des Canadiens.

Recommandations

Nonobstant les constatations positives, l'ancien commissaire Gonthier a formulé deux recommandations relatives à l'obligation de rapporter au ministre de la Défense nationale portant sur le volume de renseignements concernant des Canadiens transmis à des clients du CSTC. Les recommandations demandent que l'on fournisse des outils à l'appui du repérage de ces renseignements et de l'amélioration de la cohérence et de l'exactitude du rapport. Le CSTC a souscrit aux recommandations et il s'emploie à les mettre en œuvre.

Date de modification :