Faits saillants des six examens soumis au ministre en 2010‑2011

1. Examen d'activités relatives à la sécurité des technologies de l'information du CSTC menées en vertu d'une autorisation ministérielle (activité 1)

Contexte

La Loi sur la défense nationale donne au CSTC le mandat de fournir des avis, des conseils et des services en vue d'aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada.

Cet examen a porté sur certaines activités menées par le CSTC concernant la sécurité des technologies de l'information en vertu d'une autorisation ministérielle en 2008‑2009 dans deux ministères fédéraux. Les activités examinées contribuent à protéger les systèmes informatiques en détectant, en analysant et en déjouant des cyberattaques extrêmement complexes visant l'accès secret aux réseaux informatiques sensibles du gouvernement.

Mon examen faisait le suivi d'une question opérationnelle mise au jour à la fin de 2006 qui présentait un risque de non‑conformité à la loi. Dans le rapport annuel de 2007‑2008, le commissaire avait souligné la façon dont le chef du CSTC il avait traité cette question et dont il l'avait tenu ensuite informé des mesures correctives prises.

L'examen comportait également une évaluation des réponses du CSTC aux constatations et recommandations d'un examen antérieur des activités relatives à la sécurité des technologies de l'information menées dans un ministère fédéral donné. Ces constatations et recommandations antérieures se rapportaient aux ambiguïtés dans la politique, la tenue des registres organisationnels et la façon dont les employés du CSTC appréhendaient leurs responsabilités relativement à ces activités. Mon examen incluait également un rapport de vérification interne du CSTC datant de 2007 se rapportant à ces activités.

Bien-fondé de l'examen

Des contrôles particuliers visant ces activités relatives à la sécurité des technologies de l'information sont en place pour s'assurer qu'elles sont conformes aux obligations en vertu de la loi, ainsi qu'aux exigences ministérielles et stratégiques. Récemment, d'importants changements touchant certaines pratiques ainsi que des politiques et procédures du CSTC se rapportant à ces activités furent observés. Il s'agit du premier examen depuis que le CSTC a restructuré ses activités. Les commissaires précédents ont également établi des constatations et formulé des recommandations sur ces activités.

Constatations

Recommandations

Je n'ai formulé aucune recommandation.

2. Examen d'activités relatives à la sécurité des technologies de l'information du CSTC menées en vertu d'une autorisation ministérielle (activité 2)

Contexte

Cet examen portait sur une autre activité relative à la sécurité des technologies de l'information menée pour deux ministères fédéraux, en 2007‑2008 et 2008‑2009, en vertu d'autorisations ministérielles sous le régime de la Loi sur la défense nationale.

Dans le cadre de ces activités, le CSTC tentait de s'introduire dans les systèmes informatiques de ces ministères (dans le cadre d'une simulation contrôlée) afin d'identifier une vulnérabilité potentielle et d'évaluer la réaction des ministères à de telles attaques.

Mon examen révélait notamment des changements à la portée de ces activités et à la technologie utilisée par le CSTC. J'ai évalué ces changements sous l'angle de leurs répercussions possibles sur le risque pour la conformité à la loi et le respect de la vie privée.

Bien-fondé de l'examen

On a récemment observé d'importants changements touchant certaines pratiques et technologies de même que des politiques et procédures du CSTC. Des contrôles particuliers sont exercés sur ces activités pour s'assurer qu'elles sont conformes aux obligations en vertu de la loi, ainsi qu'aux exigences ministérielles et aux politiques du CSTC, et protègent la vie privée des Canadiens. Les anciens commissaires ont également formulé des constatations et des recommandations concernant ces activités. Il s'agit du premier examen depuis la restructuration de ces activités par le CSTC.

Constatations

Recommandations

Je n'ai formulé aucune recommandation.

3. Examen annuel combiné des activités de collecte de renseignements électromagnétiques étrangers du CSTC menées en vertu d'autorisations ministérielles

Contexte

Il s'agissait du premier examen annuel combiné de l'ensemble des programmes de collecte de renseignements électromagnétiques étrangers. En vertu de la Loi sur la défense nationale, je suis tenu d'examiner les activités menées en vertu d'une autorisation ministérielle. Le rapport annuel de 2009‑2010 que j'ai présenté au Ministre fait état de la récente adoption d'une nouvelle approche horizontale par le Bureau, qui consiste en un examen approfondi des processus communs à l'ensemble des activités de collecte de renseignements étrangers du CSTC menées en vertu d'une autorisation ministérielle. Par exemple, toutes les méthodes de collecte ont en commun les processus en vertu desquels le CSTC met en évidence, choisit et dirige ses activités portant sur des entités d'intérêt pour les renseignements étrangers; utilise, partage, présente dans des rapports, conserve ou détruit l'information interceptée; et prend des mesures pour protéger les communications privées et l'information concernant des Canadiens. J'ai examiné un rapport de vérification interne du CSTC se rapportant à ces activités.

Bien-fondé de l'examen

L'examen horizontal a conduit à une réévaluation de la façon dont mon bureau analyse les autorisations ministérielles. Comme les processus communs sont examinés dans le cadre des examens horizontaux, il a été déterminé que cet examen annuel combiné des autorisations ministérielles visant les renseignements électromagnétiques étrangers mettrait l'accent sur tous les changements importants et sur toutes les communications privées interceptées de manière fortuite par le CSTC.

Je me suis penché sur les changements apportés aux autorisations et à ceux relatifs à la portée des programmes, à la technologie utilisée par le CSTC et aux cadres de contrôle de gestion connexes. J'ai évalué tous les changements sous l'angle de leur incidence sur le risque pour la conformité à la loi et pour le respect de la vie privée.

J'ai examiné certains paramètres se rapportant à l'interception et à la vie privée des Canadiens. L'objet était d'établir les principales données de référence pour examiner les tendances et pouvoir ainsi cerner tout changement important au fil du temps. Ces paramètres éclaireront également le processus d'évaluation du risque et l'élaboration du plan de travail de mes examens.

Un autre objectif de cet examen consistait à analyser un échantillon de communications privées interceptées par le CSTC en vertu des autorisations ministérielles relatives aux renseignements étrangers mais qui n'avaient pas été utilisées dans les rapports du CSTC. L'objet était d'évaluer si cet échantillon renfermait des renseignements étrangers essentiels pour les affaires internationales, la défense ou la sécurité, comme l'exige la Loi sur la défense nationale.

Constatations

L'étendue de mon évaluation de la conformité du CSTC à la loi a été déterminée par l'objectif de l'examen, qui était de mettre en évidence et de comprendre les changements importants apportés aux programmes de collecte de renseignements électromagnétiques étrangers.

Recommandations

J'ai formulé trois recommandations dont deux portent sur la communication au ministre de la Défense nationale de certains renseignements se rapportant à la vie privée et sur l'inclusion dans les autorisations ministérielles de l'obligation de faire état de cette information. Cette information est nécessaire pour donner au ministre un tableau complet des activités de collecte du CSTC et pour appuyer le ministre dans sa reddition de comptes pour le CSTC, notamment en ce qui concerne les mesures que prend le CSTC pour protéger la vie privée des Canadiens.

J'ai également recommandé que, compte tenu de l'importance d'assurer la conformité à la loi et la protection de la vie privée des Canadiens, le CSTC devrait accélérer la mise en œuvre d'une politique améliorée de surveillance active des activités menées en vertu des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers.

À la fin de la période de 2010-2011 visée par le rapport (le 31 mars 2011), j'attendais la réponse du ministre à ces recommandations. J'en ferai état dans le prochain rapport annuel.

4. Examen des activités du CSTC menées en vertu d'une directive ministérielle et visant à identifier de nouvelles entités étrangères d'intérêt pour le renseignement étranger

Contexte

La Loi sur la défense nationale investit le CSTC du mandat d'acquérir et d'utiliser l'information provenant de l'infrastructure mondiale d'information dans le but de fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement.

Le CSTC mène plusieurs activités dans le but de repérer de nouvelles sources de renseignements étrangers. Lorsque les autres moyens ont été épuisés, le CSTC peut avoir recours à de l'information concernant des Canadiens s'il a des motifs raisonnables de croire que l'utilisation de cette information pourrait l'aider à découvrir et à obtenir des renseignements étrangers. Le CSTC mène ces activités de façon peu fréquente, mais elles peuvent se révéler un outil précieux pour répondre aux priorités du gouvernement du Canada en matière de renseignement. Le CSTC n'a pas besoin d'une autorisation ministérielle pour mener ces activités parce qu'elles n'impliquent pas l'interception de communications privées. Toutefois, une directive ministérielle fournit des orientations sur la façon de les mener.

Ces dernières années, trois examens ont porté jusqu'à un certain point sur ces activités : un examen de la collecte de renseignements étrangers par le CSTC à l'appui de la Gendarmerie royale du Canada (GRC) (Phase II) (2006); un examen des activités du CSTC menées en vertu d'une directive ministérielle (différente) (2008); et un examen de l'appui du CSTC au Service canadien du renseignement de sécurité (SCRS) (2008).

Dans son rapport annuel 2006‑2007, feu le commissaire Gonthier se demandait si la partie du mandat du CSTC portant sur les renseignements électromagnétiques étrangers (partie a) de son mandat) constituait l'autorisation pertinente dans tous les cas pour permettre au CSTC de donner un appui à la GRC dans la poursuite de ses enquêtes criminelles sur le territoire national. Dans son rapport annuel 2007‑2008, le commissaire Gonthier déclarait qu'en attendant un réexamen des questions juridiques soulevées, aucune évaluation ne serait faite de la légalité des activités du CSTC à l'appui de la GRC en vertu de la partie du mandat de l'organisme se rapportant aux renseignements électromagnétiques étrangers. Il a également fait observer que l'appui du CSTC au SCRS soulevait des questions similaires. Le commissaire Gonthier a mis l'accent sur le fait que, même s'il était d'accord avec l'avis que le ministère de la Justice avait fourni au CSTC, il se demandait quelle partie du mandat du CSTC — partie a) ou partie c), la partie concernant l'assistance technique et opérationnelle — serait utilisée comme autorisation pertinente pour mener ces activités.

Par suite de ces examens et déclarations dans les rapports annuels, le chef du CSTC a suspendu ces activités. Le CSTC a alors apporté d'importants changements aux politiques, procédures et pratiques connexes.

Bien-fondé de l'examen

Ces activités ont trait à l'utilisation et à l'analyse par le CSTC d'informations concernant des Canadiens à des fins de renseignements étrangers. Des contrôles particuliers sont exercés sur ces activités pour assurer la conformité aux obligations en vertu de la loi ainsi qu'aux exigences ministérielles et stratégiques. On a récemment observé d'importants changements touchant certaines politiques, procédures et pratiques. L‘examen de ces activités était le premier depuis que le chef du CSTC a permis leur reprise en vertu de nouvelles politiques et procédures. Des questions connexes, des constatations et des recommandations mises en lumière par mes prédécesseurs nécessitaient un suivi.

Constatations

Recommandations

Je n'ai pas formulé de recommandations. Toutefois, du fait que ces activités concernent l'utilisation et l'analyse par le CSTC d'informations concernant des Canadiens, et pourraient, par conséquent, avoir des répercussions sur leur vie privée, j'ai demandé à mon bureau de surveiller ces activités pour s'assurer qu'elles continuent à être exercées conformément à la loi, aux exigences ministérielles et aux politiques et procédures du CSTC.

5. Examen du processus en vertu duquel le CSTC détermine les entités d'intérêt pour le renseignement étranger qui sont des entités étrangères situées à l'extérieur du Canada, comme l'exige la Loi sur la défense nationale

Contexte

Le CSTC doit également être en mesure d'identifier les communications privées destinées au Canada ou en provenance du Canada qu'il peut intercepter en toute légalité en vertu d'une autorisation ministérielle selon le principe voulant que l'acquisition de ces communications soit involontaire et que l'interception cible une entité étrangère située à l'extérieur du Canada. Ce processus doit renfermer des mesures pour protéger la vie privée des Canadiens.

Pour la période de septembre 2008 à décembre 2010, j'ai examiné et testé le processus et les pratiques en vertu desquels le CSTC détermine quelles entités d'intérêt pour le renseignement étranger sont des entités étrangères situées à l'extérieur du Canada.  

Bien-fondé de l'examen

Ces activités constituent l'assise des programmes de collecte de renseignements électromagnétiques étrangers du CSTC. Des contrôles particuliers sont exercés sur ces activités pour s'assurer qu'elles sont conformes aux obligations en vertu de la loi, aux exigences ministérielles et aux politiques internes du CSTC qui sont essentielles pour protéger la vie privée des Canadiens.

Les anciens commissaires ont formulé des constatations et des recommandations concernant ces activités, qui nécessitent un suivi. En outre, on a récemment observé d'importants changements touchant certaines technologies ainsi que des politiques et procédures relatives à ces activités, et d'autres sont en cours. Il s'agit de l'un des premiers examens horizontaux approfondis d'un processus du CSTC qui est commun à toutes les méthodes de collecte de renseignement électromagnétique étranger.

Constatations

Recommandations

Les politiques et procédures du CSTC fournissent généralement des consignes suffisantes aux employés du CSTC pour protéger la vie privée des Canadiens tout en déterminant que les entités d'intérêt pour le renseignement étranger sont des entités étrangères situées à l'extérieur du Canada. Toutefois, les politiques et procédures applicables à un certain programme de collecte de renseignements électromagnétiques étrangers ne fournissent qu'une orientation restreinte sur le processus et les pratiques applicables à ces activités. J'ai par conséquent recommandé que le CSTC fournisse des consignes précises concernant ces activités.

À la fin de la période visée par le rapport (le 31 mars 2011), j'attends la réponse du Ministre à cette recommandation. J'en ferai état dans le prochain rapport annuel.

6. Examen annuel de la divulgation par le CSTC de renseignements concernant des Canadiens aux clients du gouvernement du Canada

Contexte

Cet examen donne suite à un engagement pris dans le rapport annuel 2009‑2010 de mener un examen annuel portant sur un échantillon de renseignements concernant des Canadiens qui sont divulgués aux ministères et organismes du gouvernement du Canada. L'objet consiste à vérifier si le CSTC se conforme à la loi et applique des mesures pour protéger la vie privée des Canadiens.

Les rapports du CSTC peuvent renfermer de l'information concernant des citoyens canadiens si cette information est essentielle à la compréhension des renseignements étrangers. Toutefois, toute information identifiant un Canadien doit être supprimée des rapports transmis aux ministères et organismes gouvernementaux – c'est‑à‑dire qu'elle est remplacée par une mention générale du type « un Canadien ».

L'annexe G renferme plus de détails sur les protections législatives au sujet des informations concernant des Canadiens et les communications privées.

Lorsqu'il reçoit une demande subséquente de divulgation de précisions sur l'information supprimée, le CSTC doit vérifier que le ministère ou organisme gouvernemental dont elle émane dispose à la fois de l'autorisation et d'une justification opérationnelle pour obtenir ce genre de renseignements. Ce n'est qu'après que le CSTC peut fournir l'information.

Cet examen a porté sur un échantillon d'environ 20 p. 100 des demandes de divulgation de renseignements supprimés concernant des Canadiens figurant dans les rapports sur les renseignements étrangers, d'avril à septembre 2010. L'échantillon comprenait des renseignements divulgués à tous les ministères et organismes fédéraux qui avaient demandé et obtenu des informations concernant des Canadiens.

Mon bureau a examiné les formulaires utilisés par le CSTC pour documenter l'autorisation et la justification par les ministères et organismes de leurs besoins d'information concernant des Canadiens, de même que les rapports connexes sur les renseignements étrangers.

Bien-fondé de l'examen

Les activités de divulgation du CSTC incluent la communication de renseignements concernant des Canadiens. S'il y avait un cas de non‑conformité dans le cadre des activités menées par le CSTC, les répercussions éventuelles sur la vie privée des Canadiens pourraient être importantes.

En outre, j'ai évalué les activités du CSTC en réponse à deux recommandations formulées par mon prédécesseur dans un rapport d'examen de février 2010 demandant que l'on fournisse des outils à l'appui du suivi des demandes des clients et de toute divulgation connexe d'informations supprimées concernant des Canadiens et que l'on renforce la cohérence et l'exactitude des rapports du CSTC au ministre de la Défense nationale concernant ces activités.

Constatations

Recommandations

Je ne formule aucune recommandation mais je continuerai à effectuer un examen annuel de ces activités pour vérifier si le CSTC continue de se conformer à la loi et adopte des mesures pour protéger la vie privée des Canadiens. Je surveillerai également les efforts déployés par le CSTC pour mettre en œuvre le nouveau système.

Date de modification :