Faits saillants des six examens soumis au ministre en 2010‑2011

1. Examen d'activités relatives à la sécurité des technologies de l'information du CSTC menées en vertu d'une autorisation ministérielle (activité 1)

Contexte

La Loi sur la défense nationale donne au CSTC le mandat de fournir des avis, des conseils et des services en vue d'aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada.

Cet examen a porté sur certaines activités menées par le CSTC concernant la sécurité des technologies de l'information en vertu d'une autorisation ministérielle en 2008‑2009 dans deux ministères fédéraux. Les activités examinées contribuent à protéger les systèmes informatiques en détectant, en analysant et en déjouant des cyberattaques extrêmement complexes visant l'accès secret aux réseaux informatiques sensibles du gouvernement.

Mon examen faisait le suivi d'une question opérationnelle mise au jour à la fin de 2006 qui présentait un risque de non‑conformité à la loi. Dans le rapport annuel de 2007‑2008, le commissaire avait souligné la façon dont le chef du CSTC il avait traité cette question et dont il l'avait tenu ensuite informé des mesures correctives prises.

L'examen comportait également une évaluation des réponses du CSTC aux constatations et recommandations d'un examen antérieur des activités relatives à la sécurité des technologies de l'information menées dans un ministère fédéral donné. Ces constatations et recommandations antérieures se rapportaient aux ambiguïtés dans la politique, la tenue des registres organisationnels et la façon dont les employés du CSTC appréhendaient leurs responsabilités relativement à ces activités. Mon examen incluait également un rapport de vérification interne du CSTC datant de 2007 se rapportant à ces activités.

Bien-fondé de l'examen

Des contrôles particuliers visant ces activités relatives à la sécurité des technologies de l'information sont en place pour s'assurer qu'elles sont conformes aux obligations en vertu de la loi, ainsi qu'aux exigences ministérielles et stratégiques. Récemment, d'importants changements touchant certaines pratiques ainsi que des politiques et procédures du CSTC se rapportant à ces activités furent observés. Il s'agit du premier examen depuis que le CSTC a restructuré ses activités. Les commissaires précédents ont également établi des constatations et formulé des recommandations sur ces activités.

Constatations

• D'après l'information dépouillée et les entretiens réalisés, je conclus que les activités du CSTC ont été autorisées et menées conformément à la loi, aux exigences ministérielles et aux politiques et procédures du CSTC.
• L'utilisation et la conservation par le CSTC de communications privées et d'informations interceptées de manière fortuite qui concernent des Canadiens ont été conformes à la loi et aux politiques du CSTC.
• Je note avec satisfaction qu'en 2008‑2009, le CSTC a apporté d'importants changements aux politiques et aux procédures ainsi qu'au cadre de reddition de comptes visant ces activités. J'estime que les nouvelles politiques et procédures sont exhaustives et renferment des mesures satisfaisantes pour protéger la vie privée des Canadiens.
• Le CSTC a également introduit des procédés qui permettent aux employés de mieux comprendre le cadre de conformité ainsi que les politiques et procédures. Le CSTC a surveillé le déroulement des activités pour vérifier leur conformité aux obligations juridiques et aux exigences ministérielles et stratégiques et il a conservé un registre complet de ces activités.
• J'estime que les changements importants apportés à ces activités relatives à la sécurité des technologies de l'information font suite aux constatations et aux recommandations formulées dans l'examen mené en 2006 par le commissaire.
• Enfin, cet examen incluait le suivi d'un examen portant sur un logiciel et une base de données d'importance cruciale pour la sécurité des technologies de l'information du CSTC. J'ai confirmé une observation faite l'an dernier dans une étude du Bureau portant sur les activités relatives à la sécurité des technologies de l'information du CSTC exécutées sans autorisation ministérielle, à savoir qu'un logiciel utilisé par le CSTC comporte une fonction adéquate pour limiter l'accès à l'information du système, pour satisfaire aux exigences de sécurité et de confidentialité et pour protéger la vie privée des Canadiens.

Recommandations

Je n'ai formulé aucune recommandation.

2. Examen d'activités relatives à la sécurité des technologies de l'information du CSTC menées en vertu d'une autorisation ministérielle (activité 2)

Contexte

Cet examen portait sur une autre activité relative à la sécurité des technologies de l'information menée pour deux ministères fédéraux, en 2007‑2008 et 2008‑2009, en vertu d'autorisations ministérielles sous le régime de la Loi sur la défense nationale.

Dans le cadre de ces activités, le CSTC tentait de s'introduire dans les systèmes informatiques de ces ministères (dans le cadre d'une simulation contrôlée) afin d'identifier une vulnérabilité potentielle et d'évaluer la réaction des ministères à de telles attaques.

Mon examen révélait notamment des changements à la portée de ces activités et à la technologie utilisée par le CSTC. J'ai évalué ces changements sous l'angle de leurs répercussions possibles sur le risque pour la conformité à la loi et le respect de la vie privée.

Bien-fondé de l'examen

On a récemment observé d'importants changements touchant certaines pratiques et technologies de même que des politiques et procédures du CSTC. Des contrôles particuliers sont exercés sur ces activités pour s'assurer qu'elles sont conformes aux obligations en vertu de la loi, ainsi qu'aux exigences ministérielles et aux politiques du CSTC, et protègent la vie privée des Canadiens. Les anciens commissaires ont également formulé des constatations et des recommandations concernant ces activités. Il s'agit du premier examen depuis la restructuration de ces activités par le CSTC.

Constatations

• D'après l'information dépouillée et les entretiens réalisés, je conclus que les activités du CSTC ont été autorisées et menées conformément à la loi, aux exigences ministérielles et aux politiques et procédures du CSTC.
• J'ai trouvé que les nouvelles politiques et procédures étaient exhaustives et renfermaient des mesures satisfaisantes pour protéger la vie privée des Canadiens.
• Le relevé des activités a montré que le nouveau cadre de contrôle de gestion du CSTC offre de puissants outils de surveillance et de validation de la conformité qui contribuent à assurer la conformité à la loi et la protection de la vie privée des Canadiens.
• Les changements apportés à la technologie et leur application par le CSTC n'ont pas eu d'incidence sur le risque pour la conformité à la loi ou le respect de la vie privée.

Recommandations

Je n'ai formulé aucune recommandation.

3. Examen annuel combiné des activités de collecte de renseignements électromagnétiques étrangers du CSTC menées en vertu d'autorisations ministérielles

Contexte

Il s'agissait du premier examen annuel combiné de l'ensemble des programmes de collecte de renseignements électromagnétiques étrangers. En vertu de la Loi sur la défense nationale, je suis tenu d'examiner les activités menées en vertu d'une autorisation ministérielle. Le rapport annuel de 2009‑2010 que j'ai présenté au Ministre fait état de la récente adoption d'une nouvelle approche horizontale par le Bureau, qui consiste en un examen approfondi des processus communs à l'ensemble des activités de collecte de renseignements étrangers du CSTC menées en vertu d'une autorisation ministérielle. Par exemple, toutes les méthodes de collecte ont en commun les processus en vertu desquels le CSTC met en évidence, choisit et dirige ses activités portant sur des entités d'intérêt pour les renseignements étrangers; utilise, partage, présente dans des rapports, conserve ou détruit l'information interceptée; et prend des mesures pour protéger les communications privées et l'information concernant des Canadiens. J'ai examiné un rapport de vérification interne du CSTC se rapportant à ces activités.

Bien-fondé de l'examen

L'examen horizontal a conduit à une réévaluation de la façon dont mon bureau analyse les autorisations ministérielles. Comme les processus communs sont examinés dans le cadre des examens horizontaux, il a été déterminé que cet examen annuel combiné des autorisations ministérielles visant les renseignements électromagnétiques étrangers mettrait l'accent sur tous les changements importants et sur toutes les communications privées interceptées de manière fortuite par le CSTC.

Je me suis penché sur les changements apportés aux autorisations et à ceux relatifs à la portée des programmes, à la technologie utilisée par le CSTC et aux cadres de contrôle de gestion connexes. J'ai évalué tous les changements sous l'angle de leur incidence sur le risque pour la conformité à la loi et pour le respect de la vie privée.

J'ai examiné certains paramètres se rapportant à l'interception et à la vie privée des Canadiens. L'objet était d'établir les principales données de référence pour examiner les tendances et pouvoir ainsi cerner tout changement important au fil du temps. Ces paramètres éclaireront également le processus d'évaluation du risque et l'élaboration du plan de travail de mes examens.

Un autre objectif de cet examen consistait à analyser un échantillon de communications privées interceptées par le CSTC en vertu des autorisations ministérielles relatives aux renseignements étrangers mais qui n'avaient pas été utilisées dans les rapports du CSTC. L'objet était d'évaluer si cet échantillon renfermait des renseignements étrangers essentiels pour les affaires internationales, la défense ou la sécurité, comme l'exige la Loi sur la défense nationale.

Constatations

L'étendue de mon évaluation de la conformité du CSTC à la loi a été déterminée par l'objectif de l'examen, qui était de mettre en évidence et de comprendre les changements importants apportés aux programmes de collecte de renseignements électromagnétiques étrangers.

• Dans ce contexte, et d'après l'information dépouillée et les entretiens qui ont été menés, je conclus que les activités étaient autorisées en vertu de la Loi sur la défense nationale et rien n'indiquait une activité illégale de la part du CSTC. Ce dernier a respecté les exigences ministérielles et il dispose de politiques et de procédures efficaces pour orienter ses activités dans ce domaine.
• On observe des tendances positives dans l'élaboration des politiques, de même que dans la clarté et l'uniformité des demandes d'autorisation ministérielle. Compte tenu du grand nombre de communications interceptées par le CSTC, je conclus que la proportion de communications privées identifiées comme telles qui avaient été interceptées de manière fortuite est demeurée très petite.
• Globalement, les programmes de collecte de renseignements électromagnétiques étrangers n'ont pas changé de façon notable et, en conséquence, j'ai déterminé qu'il n'était pas nécessaire à l'heure actuelle d'effectuer un examen approfondi de ces programmes.
• En ce qui concerne l'échantillon de communications privées, d'après l'information dépouillée et les entretiens, j'ai constaté que le CSTC ne conservait que les communications privées essentielles aux affaires internationales, à la défense ou à la sécurité du Canada, comme l'exige la loi.

Recommandations

J'ai formulé trois recommandations dont deux portent sur la communication au ministre de la Défense nationale de certains renseignements se rapportant à la vie privée et sur l'inclusion dans les autorisations ministérielles de l'obligation de faire état de cette information. Cette information est nécessaire pour donner au ministre un tableau complet des activités de collecte du CSTC et pour appuyer le ministre dans sa reddition de comptes pour le CSTC, notamment en ce qui concerne les mesures que prend le CSTC pour protéger la vie privée des Canadiens.

J'ai également recommandé que, compte tenu de l'importance d'assurer la conformité à la loi et la protection de la vie privée des Canadiens, le CSTC devrait accélérer la mise en œuvre d'une politique améliorée de surveillance active des activités menées en vertu des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers.

À la fin de la période de 2010-2011 visée par le rapport (le 31 mars 2011), j'attendais la réponse du ministre à ces recommandations. J'en ferai état dans le prochain rapport annuel.

4. Examen des activités du CSTC menées en vertu d'une directive ministérielle et visant à identifier de nouvelles entités étrangères d'intérêt pour le renseignement étranger

Contexte

La Loi sur la défense nationale investit le CSTC du mandat d'acquérir et d'utiliser l'information provenant de l'infrastructure mondiale d'information dans le but de fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement.

Le CSTC mène plusieurs activités dans le but de repérer de nouvelles sources de renseignements étrangers. Lorsque les autres moyens ont été épuisés, le CSTC peut avoir recours à de l'information concernant des Canadiens s'il a des motifs raisonnables de croire que l'utilisation de cette information pourrait l'aider à découvrir et à obtenir des renseignements étrangers. Le CSTC mène ces activités de façon peu fréquente, mais elles peuvent se révéler un outil précieux pour répondre aux priorités du gouvernement du Canada en matière de renseignement. Le CSTC n'a pas besoin d'une autorisation ministérielle pour mener ces activités parce qu'elles n'impliquent pas l'interception de communications privées. Toutefois, une directive ministérielle fournit des orientations sur la façon de les mener.

Ces dernières années, trois examens ont porté jusqu'à un certain point sur ces activités : un examen de la collecte de renseignements étrangers par le CSTC à l'appui de la Gendarmerie royale du Canada (GRC) (Phase II) (2006); un examen des activités du CSTC menées en vertu d'une directive ministérielle (différente) (2008); et un examen de l'appui du CSTC au Service canadien du renseignement de sécurité (SCRS) (2008).

Dans son rapport annuel 2006‑2007, feu le commissaire Gonthier se demandait si la partie du mandat du CSTC portant sur les renseignements électromagnétiques étrangers (partie a) de son mandat) constituait l'autorisation pertinente dans tous les cas pour permettre au CSTC de donner un appui à la GRC dans la poursuite de ses enquêtes criminelles sur le territoire national. Dans son rapport annuel 2007‑2008, le commissaire Gonthier déclarait qu'en attendant un réexamen des questions juridiques soulevées, aucune évaluation ne serait faite de la légalité des activités du CSTC à l'appui de la GRC en vertu de la partie du mandat de l'organisme se rapportant aux renseignements électromagnétiques étrangers. Il a également fait observer que l'appui du CSTC au SCRS soulevait des questions similaires. Le commissaire Gonthier a mis l'accent sur le fait que, même s'il était d'accord avec l'avis que le ministère de la Justice avait fourni au CSTC, il se demandait quelle partie du mandat du CSTC — partie a) ou partie c), la partie concernant l'assistance technique et opérationnelle — serait utilisée comme autorisation pertinente pour mener ces activités.

Par suite de ces examens et déclarations dans les rapports annuels, le chef du CSTC a suspendu ces activités. Le CSTC a alors apporté d'importants changements aux politiques, procédures et pratiques connexes.

Bien-fondé de l'examen

Ces activités ont trait à l'utilisation et à l'analyse par le CSTC d'informations concernant des Canadiens à des fins de renseignements étrangers. Des contrôles particuliers sont exercés sur ces activités pour assurer la conformité aux obligations en vertu de la loi ainsi qu'aux exigences ministérielles et stratégiques. On a récemment observé d'importants changements touchant certaines politiques, procédures et pratiques. L‘examen de ces activités était le premier depuis que le chef du CSTC a permis leur reprise en vertu de nouvelles politiques et procédures. Des questions connexes, des constatations et des recommandations mises en lumière par mes prédécesseurs nécessitaient un suivi.

Constatations

• D'après l'information dépouillée et les entretiens réalisés, je conclus que les activités du CSTC furent autorisées et menées conformément à la loi, aux exigences ministérielles ainsi qu'aux politiques et procédures du CSTC.
• J'ai trouvé que les nouvelles politiques et procédures étaient exhaustives et renfermaient des mesures satisfaisantes pour protéger la vie privée des Canadiens.
• En raison des changements importants apportés par le CSTC à ces activités et des résultats positifs du présent examen, je suis d'avis que le CSTC a donné suite aux constatations et recommandations précédentes.
• Il ressort de mon évaluation que les nouveaux processus mis en place par le CSTC sont conformes à la partie a) de son mandat. Je n'ai pas d'interrogations similaires à celles formulées au cours des années antérieures quant à savoir si de telles activités seraient autorisées de façon plus pertinente en vertu de la partie c) du mandat du CSTC.
• Les nouvelles politiques et lignes directrices ainsi que les nouveaux formulaires du CSTC donnent suite aux constatations et aux recommandations formulées par les anciens commissaires. Les gestionnaires et les représentants du CSTC connaissaient bien les politiques et procédures et s'y sont conformés. Les gestionnaires du CSTC ont surveillé de près ces activités, et ce, régulièrement, pour s'assurer qu'elles étaient conformes aux autorisations.

Recommandations

Je n'ai pas formulé de recommandations. Toutefois, du fait que ces activités concernent l'utilisation et l'analyse par le CSTC d'informations concernant des Canadiens, et pourraient, par conséquent, avoir des répercussions sur leur vie privée, j'ai demandé à mon bureau de surveiller ces activités pour s'assurer qu'elles continuent à être exercées conformément à la loi, aux exigences ministérielles et aux politiques et procédures du CSTC.

5. Examen du processus en vertu duquel le CSTC détermine les entités d'intérêt pour le renseignement étranger qui sont des entités étrangères situées à l'extérieur du Canada, comme l'exige la Loi sur la défense nationale

Contexte

Le CSTC doit également être en mesure d'identifier les communications privées destinées au Canada ou en provenance du Canada qu'il peut intercepter en toute légalité en vertu d'une autorisation ministérielle selon le principe voulant que l'acquisition de ces communications soit involontaire et que l'interception cible une entité étrangère située à l'extérieur du Canada. Ce processus doit renfermer des mesures pour protéger la vie privée des Canadiens.

Pour la période de septembre 2008 à décembre 2010, j'ai examiné et testé le processus et les pratiques en vertu desquels le CSTC détermine quelles entités d'intérêt pour le renseignement étranger sont des entités étrangères situées à l'extérieur du Canada.  

Bien-fondé de l'examen

Ces activités constituent l'assise des programmes de collecte de renseignements électromagnétiques étrangers du CSTC. Des contrôles particuliers sont exercés sur ces activités pour s'assurer qu'elles sont conformes aux obligations en vertu de la loi, aux exigences ministérielles et aux politiques internes du CSTC qui sont essentielles pour protéger la vie privée des Canadiens.

Les anciens commissaires ont formulé des constatations et des recommandations concernant ces activités, qui nécessitent un suivi. En outre, on a récemment observé d'importants changements touchant certaines technologies ainsi que des politiques et procédures relatives à ces activités, et d'autres sont en cours. Il s'agit de l'un des premiers examens horizontaux approfondis d'un processus du CSTC qui est commun à toutes les méthodes de collecte de renseignement électromagnétique étranger.

Constatations

• D'après l'information dépouillée et les entretiens qui ont été menés, je conclus que le processus en vertu duquel le CSTC détermine les entités d'intérêt pour le renseignement étranger qui sont des entités étrangères situées à l'extérieur du Canada est conforme à la loi, aux exigences ministérielles et aux politiques et procédures du CSTC.
• Le CSTC dispose de politiques et de processus suffisants pour respecter l'obligation en vertu de la loi selon laquelle ses activités d'interception de renseignements électromagnétiques étrangers ne doivent pas cibler des Canadiens quel que soit l'endroit où ils se trouvent dans le monde, ni des personnes au Canada.
• Les employés du CSTC que nous avons interrogés et observés dans leur travail connaissaient bien les politiques et procédures pertinentes et les appliquaient dans leurs activités. Les gestionnaires du CSTC surveillent systématiquement et étroitement les activités pour assurer leur conformité aux autorisations.
• Le CSTC s'emploie à concevoir des systèmes et des bases de données connexes pour favoriser la conformité à la loi et la protection de la vie privée des Canadiens. Je conclus que les récentes améliorations apportées à ces systèmes et bases de données aident à assurer la conformité à la loi, et aux exigences ministérielles et aux politiques. Les améliorations supplémentaires prévues renforceront cette conformité.
• J'ai toutefois observé des lacunes dans certains systèmes et bases de données de gestion connexes. Je note avec satisfaction que le CSTC prend des mesures pour corriger ces lacunes et je surveillerai ses efforts à cet égard.

Recommandations

Les politiques et procédures du CSTC fournissent généralement des consignes suffisantes aux employés du CSTC pour protéger la vie privée des Canadiens tout en déterminant que les entités d'intérêt pour le renseignement étranger sont des entités étrangères situées à l'extérieur du Canada. Toutefois, les politiques et procédures applicables à un certain programme de collecte de renseignements électromagnétiques étrangers ne fournissent qu'une orientation restreinte sur le processus et les pratiques applicables à ces activités. J'ai par conséquent recommandé que le CSTC fournisse des consignes précises concernant ces activités.

À la fin de la période visée par le rapport (le 31 mars 2011), j'attends la réponse du Ministre à cette recommandation. J'en ferai état dans le prochain rapport annuel.

6. Examen annuel de la divulgation par le CSTC de renseignements concernant des Canadiens aux clients du gouvernement du Canada

Contexte

Cet examen donne suite à un engagement pris dans le rapport annuel 2009‑2010 de mener un examen annuel portant sur un échantillon de renseignements concernant des Canadiens qui sont divulgués aux ministères et organismes du gouvernement du Canada. L'objet consiste à vérifier si le CSTC se conforme à la loi et applique des mesures pour protéger la vie privée des Canadiens.

Les rapports du CSTC peuvent renfermer de l'information concernant des citoyens canadiens si cette information est essentielle à la compréhension des renseignements étrangers. Toutefois, toute information identifiant un Canadien doit être supprimée des rapports transmis aux ministères et organismes gouvernementaux – c'est‑à‑dire qu'elle est remplacée par une mention générale du type « un Canadien ».

L'annexe G renferme plus de détails sur les protections législatives au sujet des informations concernant des Canadiens et les communications privées.

Lorsqu'il reçoit une demande subséquente de divulgation de précisions sur l'information supprimée, le CSTC doit vérifier que le ministère ou organisme gouvernemental dont elle émane dispose à la fois de l'autorisation et d'une justification opérationnelle pour obtenir ce genre de renseignements. Ce n'est qu'après que le CSTC peut fournir l'information.

Cet examen a porté sur un échantillon d'environ 20 p. 100 des demandes de divulgation de renseignements supprimés concernant des Canadiens figurant dans les rapports sur les renseignements étrangers, d'avril à septembre 2010. L'échantillon comprenait des renseignements divulgués à tous les ministères et organismes fédéraux qui avaient demandé et obtenu des informations concernant des Canadiens.

Mon bureau a examiné les formulaires utilisés par le CSTC pour documenter l'autorisation et la justification par les ministères et organismes de leurs besoins d'information concernant des Canadiens, de même que les rapports connexes sur les renseignements étrangers.

Bien-fondé de l'examen

Les activités de divulgation du CSTC incluent la communication de renseignements concernant des Canadiens. S'il y avait un cas de non‑conformité dans le cadre des activités menées par le CSTC, les répercussions éventuelles sur la vie privée des Canadiens pourraient être importantes.

En outre, j'ai évalué les activités du CSTC en réponse à deux recommandations formulées par mon prédécesseur dans un rapport d'examen de février 2010 demandant que l'on fournisse des outils à l'appui du suivi des demandes des clients et de toute divulgation connexe d'informations supprimées concernant des Canadiens et que l'on renforce la cohérence et l'exactitude des rapports du CSTC au ministre de la Défense nationale concernant ces activités.

Constatations

• D'après l'information dépouillée et les entretiens réalisés, je conclus que la divulgation par le CSTC d'informations supprimées concernant des Canadiens aux clients du gouvernement du Canada avait été faite conformément à la loi.
• Des politiques et procédures étaient en place pour fournir des consignes suffisantes aux employés du CSTC concernant la protection de la vie privée des Canadiens.
• Les employés du CSTC connaissaient bien les politiques et les procédures et ont agi en conformité avec celles-ci. Les gestionnaires du CSTC ont surveillé les activités pour s'assurer que les employés du CSTC se conformaient aux autorisations en vigueur.
• Je suis convaincu que les pratiques du CSTC et la mise en œuvre prévue d'un nouveau système tiendront compte de ces recommandations et permettront au CSTC de mieux suivre ces activités et de produire des paramètres d'évaluation exacts et uniformes.

Recommandations

Je ne formule aucune recommandation mais je continuerai à effectuer un examen annuel de ces activités pour vérifier si le CSTC continue de se conformer à la loi et adopte des mesures pour protéger la vie privée des Canadiens. Je surveillerai également les efforts déployés par le CSTC pour mettre en œuvre le nouveau système.