Faits saillants des sept rapports présentés au ministre en 2011-2012
1. Conservation et destruction par le CSTC des communications interceptées ou copiées
Contexte
La quantité croissante d'information électronique générée dans notre monde interconnecté complique la tâche du CSTC qui doit gérer la conservation (stockage) et la destruction des renseignements qu'il acquiert. Les programmes de collecte de renseignements électromagnétiques étrangers et de sécurité des technologies de l'information du Centre ont introduit récemment d'importants changements technologiques qui ont une incidence sur leurs pratiques de conservation et de destruction des communications acquises.
En vertu de l'alinéa 273.64(2)b) de la Loi sur la défense nationale, le Centre est tenu de prendre des mesures pour protéger la vie privée des Canadiens. Ces mesures visent la manière dont il conserve et détruit les communications qu'il intercepte au cours de ses activités de collecte de renseignements électromagnétiques étrangers ou de sécurité des technologies de l'information. Dans cet examen, j'ai accordé une attention particulière à la conservation et à la destruction des communications privées interceptées fortuitement et des renseignements sur l'identité de Canadiens.
En tant qu'institution fédérale, le Centre a par ailleurs l'obligation légale de conserver certains dossiers. La Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels reconnaissent que les citoyens ont, dans des conditions bien précises, droit d'accès aux dossiers gouvernementaux. Des institutions fédérales comme le CSTC doivent également protéger tous les renseignements personnels qu'ils peuvent recueillir ou transmettre. Ces obligations en vertu de la loi renforcent l'obligation du CSTC de tenir un inventaire complet et détaillé donnant une description de l'information qu'il détient. En effet, la destruction sans autorisation d'un dossier pourrait entraîner l'incapacité de documenter une activité et, en conséquence, l'incapacité de faire la preuve de la conformité.
Mes prédécesseurs et moi-même avons toujours surveillé les pratiques de gestion de l'information du Centre étant donné que la création et la conservation des dossiers constitue l'un des principaux moyens par lesquels le Centre peut rendre compte de ses activités et fournir l'assurance qu'elles sont conformes à ses obligations en vertu de la loi ainsi qu'aux exigences ministérielles et stratégiques. Mes prédécesseurs ont formulé plusieurs recommandations qui ont été à l'origine d'importants changements dans les pratiques de gestion de l'information du Centre et les systèmes connexes et qui ont eu pour effet de renforcer la conformité.
Constatations
J'ai constaté que tant le programme de collecte de renseignements électromagnétiques étrangers que le programme de sécurité des technologies de l'information du Centre ont intégré dans leur architecture numérique respective plusieurs moyens de satisfaire les obligations légales, les exigences ministérielles et les politiques du Centre relatives à la conservation et la destruction. J'ai acquis une connaissance détaillée et documentée de cette approche dictée à la fois par les politiques du Centre et par la technologie. Au cours de l'examen, j'ai constaté que le Centre avait intégré dans ses systèmes plusieurs exigences automatisées liées à la conformité qui permettent la surveillance et la vérification de ses activités et qui fournissent une certaine preuve de cette conformité.
J'ai également constaté que les politiques et les procédures adoptées par le Centre permettent à ses employés de bien mener leurs activités et de veiller à la protection de la vie privée des Canadiens. Les périodes de conservation et de destruction établies dans les politiques du Centre sont raisonnables. Toutefois, l'utilisation inconsistante par le Centre d'une certaine terminologie dans ses politiques porte à confusion et devrait être corrigée. Je surveillerai les efforts déployés par le CSTC pour clarifier ces politiques.
J'ai constaté que le Centre avait mis en œuvre les recommandations de mes prédécesseurs à l'effet d'établir les autorités de gestion des dossiers ainsi que les calendriers de conservation et de destruction.
Conclusion
J'ai conclu que le Centre avait mené ses activités de conservation et de destruction au cours de la période visée par l'examen en conformité avec ses obligations légales, les exigences ministérielles et ses politiques et procédures.
2. Activités du centre des opérations du CSTC et collecte de renseignements électromagnétiques étrangers particuliers menées en 2010
Contexte
Le centre des opérations du CSTC constitue le principal point d'interaction entre le CSTC et les clients du gouvernement du Canada, ses partenaires internationaux et certaines de ses sections internes au cours de périodes d'activité intense ou inattendue. Au cours de ces périodes, le centre des opérations assure une coordination accrue. Une de ses tâches de routine est de préparer un document opérationnel quotidien à l'intention du chef du CSTC et de fournir d'autres renseignements à la direction, au besoin.
Constatations
Mon examen a mis l'accent sur une évaluation de certaines des activités du centre d'opérations menées en 2010 en vertu des mandats de collecte de renseignements électromagnétiques étrangers et d'assistance aux organismes fédéraux chargés de la sécurité et de l'application de la loi. Ma grande priorité était d'évaluer le risque éventuel que représente la conduite de ces activités.
J'ai porté une attention particulière à la façon dont le CSTC a traité les demandes émanant de clients du gouvernement du Canada relatives à la divulgation d'information sur l'identité de Canadiens qui avait été supprimée des rapports produits par le centre des opérations. Le CSTC a conduit ces activités de façon appropriée.
Dans les circonstances nouvelles ou incertaines qui sont propres à un centre des opérations, j'ai constaté que l'utilisation par le CSTC d'instruments de politique temporaires pour simplifier les processus d'approbation dans des situations particulières était appropriée. De façon générale, les gestionnaires et les employés du CSTC étaient au courant de toutes les politiques et procédures pertinentes. Les gestionnaires du CSTC ont surveillé de façon routinière les activités de leurs équipes pour assurer la conformité tant à la loi qu'à la politique.
Toutefois, les instructions opérationnelles du CSTC ne pouvaient être appliquées que de manière limitée au centre des opérations, vu la nature des activités de ce dernier. Le CSTC a reconnu cette lacune et il est en voie d'élaborer une instruction opérationnelle adaptée aux activités du centre des opérations. Je surveillerai la mise en œuvre de cette solution.
Conclusion
J'ai conclu que le CSTC avait mené les activités examinées conformément aux obligations en vertu de la loi et aux exigences ministérielles. Ma décision d'examiner le centre des opérations a été en grande partie motivée par le risque d'erreurs dans des situations de pression accrue et de contrainte de temps. J'ai constaté que, en dépit des conditions dans lesquelles le centre des opérations a exercé ses activités, les activités examinées n'ont pas présenté plus de risque au chapitre de la conformité ou de la vie privée des Canadiens que les activités menées par d'autres sections du CSTC au cours de leur travail routinier.
3. Mise à jour concernant l'examen en cours du partage des renseignements électromagnétiques étrangers du CSTC avec des partenaires étrangers
Contexte
Il est de notoriété publique que le Canada est un importateur net de renseignements. La capacité du CSTC à respecter ses mandats de collecte de renseignements électromagnétiques étrangers et de sécurité des technologies de l'information repose, en partie, sur l'établissement et le maintien de relations productives avec les organismes étrangers ayant la même vocation. La relation de longue date du CSTC avec ses plus proches alliés — la National Security Agency des États-Unis, le Government Communications Headquarters du Royaume-Uni, la Defence Signals Directorate de l'Australie et le Government Communications Security Bureau de la Nouvelle-Zélande — continue d'être avantageuse pour le CSTC et, en conséquence pour le gouvernement du Canada. Compte tenu de la complexité croissante des défis technologiques, cette alliance axée sur la coopération peut être plus précieuse que jamais auparavant.
En raison de la nature planétaire du terrorisme, les organismes voués à la sécurité et au renseignement n'ont d'autre choix que de coopérer et de partager l'information l'un avec l'autre. Dans sa réponse au Rapport du Comité permanent de la sécurité publique et nationale, intitulé Examen des constats et recommandations émanant des enquêtes Iacobucci et O'Connor, le gouvernement du Canada reconnaît que :
La communication de renseignements avec des partenaires étrangers soulève des défis particuliers sur les plans stratégique, juridique et opérationnel, et est examinée individuellement dans le cadre de l'environnement de la sécurité nationale du Canada. Les résultats cumulatifs des commissions d'enquête successives, des rapports et des leçons apprises ont mené à l'amélioration des politiques et des pratiques relatives à l'échange d'information entre les partenaires étrangers et les communautés canadiennes de la sécurité nationale, du renseignement et de l'application de la loi (p. 4).
Le partage de l'information est vital. Toutefois, les renseignements doivent être échangés en conformité avec les lois du Canada et des mesures suffisantes doivent être prévues pour protéger la vie privée des Canadiens. Même si ces ententes de coopération incluent un engagement des partenaires à respecter la vie privée de leurs citoyens respectifs, on sait pertinemment que chaque partenaire est un organisme d'un pays souverain qui peut déroger aux ententes s'il l'estime nécessaire pour les intérêts nationaux.
Les anciens commissaires se sont également penchés sur des aspects particuliers de la coopération en matière de collecte de renseignements électromagnétiques étrangers du Centre et des échanges avec des partenaires étrangers. Cette année, dans le cadre de cet examen ciblé sur le partage de renseignements électromagnétiques étrangers du CSTC, j'ai présenté au ministre une mise à jour de mon examen permanent de ces activités.
Constatations
À ce jour, il appert que le Centre prend des mesures pour protéger la vie privée des Canadiens dans ses échanges avec ses partenaires étrangers. Par exemple, le Centre supprime l'information relative à l'identité de Canadiens dans l'information qu'il partage avec ses partenaires étrangers. En outre, le fait que les partenaires communiquent fréquemment et ouvertement entre eux sur cette question aide à limiter le risque d'atteinte à la vie privée d'un Canadien.
Toutefois, mon examen a également mis en évidence certaines questions importantes que je continuerai d'approfondir au cours de l'année à venir, notamment : Comment le Centre s'assure-t-il que ses partenaires étrangers se conforment à des ententes et à des pratiques de longue date qui constituent le fondement du partage de renseignements électromagnétiques étrangers?
J'entends compléter mon examen en 2012-2013.
4. Examen combiné annuel des autorisations ministérielles relatives aux renseignements électromagnétiques étrangers du Centre
Contexte
En vertu du paragraphe 273.65(8) de la Loi sur la défense nationale, je suis tenu de faire enquête sur les activités qui sont exercées sous le régime d'une autorisation ministérielle « pour en contrôler la conformité » et d'en rendre compte « annuellement au ministre [de la Défense nationale] ». L'une des façons de m'acquitter de ce volet de mon mandat consiste à effectuer un examen combiné annuel des autorisations ministérielles visant la collecte de renseignements électromagnétiques étrangers. Cette année, j'ai donc fait enquête sur les cinq autorisations ministérielles en vigueur en 2009-2010 se rapportant à cinq activités ou catégories d'activités. L'examen combiné annuel des cinq autorisations ministérielles vise trois objectifs :
- Signaler tout changement d'importance dans le texte même des autorisations ou dans les activités du Centre décrites dans les autorisations;
- Vérifier l'incidence, le cas échéant, de ces changements sur le risque de non-conformité et sur le risque d'atteinte à la vie privée et, en conséquence, cerner tout sujet nécessitant un examen de suivi; et
- Examiner un échantillon de mon choix de toutes les communications privées interceptées fortuitement par le Centre au cours de la conduite de ses activités sous le régime d'une autorisation ministérielle.
Constatations
Selon cette méthode, j'ai évalué si les activités de collecte de renseignements électromagnétiques étrangers du Centre étaient conformes à la loi et protégeaient la vie privée des Canadiens. J'ai constaté que les activités menées par le Centre en vertu des autorisations ministérielles de 2009-2010 étaient dûment autorisées. J'ai également examiné un échantillon de communications privées conservées par le CSTC, mais non utilisées par ce dernier dans ses rapports. J'ai constaté que le CSTC ne conservait que les communications privées essentielles pour les affaires internationales, la défense ou la sécurité, comme l'exige l'alinéa 273.65(2)d) de la Loi sur la défense nationale.
Concernant chacune des cinq activités de collecte de renseignements électromagnétiques étrangers, j'ai examiné certains renseignements clés se rapportant à l'interception et à la vie privée des Canadiens, ce qui me permettait de comparer les activités et de noter tout changement ou évolution d'importance.
Les autorisations ministérielles de 2009-2010 ne comportent aucun changement important par rapport à l'année précédente et le CSTC n'a pas non plus apporté de changements importants aux technologies utilisées pour ces activités. Le Centre a clarifié et amélioré ses politiques opérationnelles connexes, y compris les instructions se rapportant à la protection de la vie privée des Canadiens.
Par ailleurs, les périodes de validité des autorisations ministérielles ont changé: elles entrent en vigueur et expirent à des dates différentes des autorisations des années précédentes. Cet élément a affecté ma capacité à examiner cette année les variations d'une année à l'autre dans certaines données se rapportant à l'interception de communications et à la vie privée des Canadiens. En outre, certains renseignements sur les communications interceptées impliquant des partenaires étrangers du CSTC ne sont pas aisément accessibles. J'examinerai cette question dans le cadre de mon examen permanent des activités de partage des renseignements électromagnétiques étrangers du Centre avec ces partenaires.
J'ai examiné comment le Centre avait répondu à une recommandation de 2009 qui souhaitait qu'il établisse formellement des méthodes de gestion qu'il appliquerait au moment d‘entreprendre certaines activités de collecte de renseignements électromagnétiques étrangers et au moment de consigner la décision qui en résulterait. J'ai observé que le Centre avait donné suite à cette recommandation en modifiant une politique opérationnelle.
À la fin de la période visée par ce rapport, j'attends la réponse du ministre de la Défense nationale à une recommandation que j'avais formulée dans mon dernier rapport à l'effet que le Centre soit tenu, dans les autorisations ministérielles, de faire rapport au ministre de certains renseignements se rapportant à la protection de la vie privée. Cette exigence appuierait le ministre dans l'exercice de sa responsabilité relativement au Centre, y compris concernant les mesures prises par ce dernier pour protéger la vie privée des Canadiens. Le ministre avait appuyé au départ le rejet de cette recommandation par le Centre. Toutefois, j'ai envoyé au ministre un complément d'information et, à ma connaissance, le Centre réexamine actuellement cette question. Je demeure d'avis que le Centre devrait donner suite à cette recommandation.
Le Centre a mis en œuvre un programme de validation de conformité applicable à ses activités de collecte de renseignements électromagnétiques étrangers. Des changements à la politique opérationnelle connexe sont également en cours d'élaboration en vue de donner suite à une recommandation formulée au cours de mon examen effectué l'an dernier sur ce sujet, de même qu'en réponse à un rapport des vérificateurs internes du Centre à ce sujet. L'an prochain, j'entreprendrai un examen détaillé du mécanisme de contrôle de gestion mis sur pied par le Centre et de la façon dont ce programme aide le Centre à démontrer, documents à l'appui, comment il se conforme à la loi et à ses politiques.
Conclusion
Excepté le maintien d'une recommandation formulée en 2010-2011, mon examen ne renferme aucune recommandation.
5. Examen annuel d'un échantillon de renseignements concernant l'identité de Canadiens divulgués aux clients du gouvernement du Canada pour l'année 2011
Contexte
En ce qui a trait aux renseignements concernant l'identité de Canadiens divulgués au clients du gouvernement du Canada, mon prédécesseur avait décidé, en 2010, de procéder dorénavant à un examen annuel portant sur un échantillon pour vérifier si le Centre continue de se conformer à la loi et prend les mesures qui s'imposent pour protéger la vie privée des Canadiens.
Des rapports du Centre portant sur des renseignements électromagnétiques étrangers peuvent renfermer de l'information permettant d'identifier des citoyens canadiens si cette information est jugée essentielle à la compréhension ou à l'utilisation de ces renseignements. Cependant, toute information identifiant un Canadien doit être supprimée des rapports et remplacée par une mention générale du type « un Canadien ». Lorsqu'il reçoit une demande subséquente de divulgation de précisions sur l'information supprimée, le Centre doit vérifier que le client dont elle émane dispose à la fois de l'autorisation et d'une justification opérationnelle pour obtenir ce genre de renseignements. Ce n'est qu'une fois satisfait que le Centre fournit l'information.
Constatations
Mon examen a porté sur un échantillon d'environ 20 p. 100 du nombre total de demandes approuvées au cours de la période visée. L'échantillon comprenait des renseignements divulgués à tous les ministères et organismes du gouvernement du Canada qui avaient demandé et obtenu des informations sur l'identité de Canadiens au cours de la période. Des employés de mon Bureau ont examiné les documents présentés à l'appui des demandes ainsi que la justification présentée pour obtenir l'information sur l'identité de Canadiens. Ils ont aussi examiné les rapports pertinents du Centre sur les renseignements électromagnétiques étrangers ainsi que les renseignements effectivement divulgués sur l'identité de Canadiens.
Il appert que la divulgation par le Centre, aux clients du gouvernement du Canada, d'informations supprimées concernant l'identité de Canadiens a été faite conformément à la loi. Des politiques opérationnelles et des procédures sont en place pour fournir des consignes suffisantes aux employés du Centre concernant la protection de la vie privé des Canadiens. Les employés connaissaient bien les politiques et procédures en question et ont agi en conformité avec celles-ci.
Je me suis également penché sur les progrès réalisés par le Centre depuis l'an dernier dans la suite donnée à mes recommandations formulées en 2010 concernant les outils qui pourraient aider à assurer le suivi de la divulgation de renseignements sur l'identité de Canadiens et améliorer l'uniformité et l'exactitude des rapports connexes. Le Centre a présenté aux agents responsables de mon Bureau une démonstration des capacités d'un nouveau système pour les divulgations, qui a été mis en place et appliquera les recommandations. Je continuerai de surveiller la mise en œuvre de ce système et m'assurerai qu'il intègre suffisamment de garde-fous pour protéger la vie privée des Canadiens.
Conclusion
Aucune recommandation ne découle de mon examen, mais les employés de mon Bureau ont observé et indiqué au Centre que la section responsable du traitement des demandes de divulgation n'avait pas fait preuve de sa méticulosité habituelle au cours de la période à l'étude. Néanmoins, en approfondissant l'examen, ils ont trouvé des preuves témoignant clairement de la légalité des activités et de la conformité aux politiques et aux procédures. Bien que les lacunes observées dans les dossiers du Centre relativement à ces divulgations n'aient pas amoindri la protection de la vie privée des Canadiens, j'ai avisé le Centre de combler ces lacunes.
6. et 7. Examen annuel des incidents signalés par le Centre en 2010 et 2011 qui ont touché ou auraient pu toucher la vie privée de Canadiens ainsi que des mesures prises par le Centre pour régler le problème
Contexte
En 2007, le chef a écrit au commissaire pour l'informer que le Centre avait créé un dossier central décrivant les incidents opérationnels internes qui avaient ou auraient pu toucher la vie privée de Canadiens. Le chef a indiqué que le dossier serait accessible au commissaire à des fins d'examen de manière à démontrer la détermination viscérale du Centre à protéger la vie privée, à faire preuve de transparence et à renforcer la confiance du public à son égard.
D'après le Centre, il consigne dans ce dossier central tout incident qui risque de porter atteinte à la vie privée d'un Canadien d'une manière qui n'est pas prévue dans ses politiques opérationnelles ou qui va à l'encontre de ces politiques. La politique du Centre exige que les employés qui travaillent sur les renseignements électromagnétiques étrangers et la sécurité des technologies de l'information signalent et documentent les incidents relatifs à la vie privée de façon à montrer la conformité aux politiques du Centre ainsi qu'à ses obligations en vertu de la loi et à prévenir d'autres incidents. Ces incidents pourraient comprendre l'intégration par inadvertance d'informations sur l'identité d'un Canadien dans un rapport du Centre ou le partage par erreur de certains rapports avec un destinataire qui n'était pas le destinataire visé.
Dans le cadre de mes examens, j'ai passé en revue tous les incidents relatifs à la vie privée se rapportant au sujet à l'étude. Ces examens annuels ont pour finalité de me faire prendre connaissance des incidents et des mesures correctives et de me guider dans l'élaboration de mon plan de travail en déterminant s'il y a des problèmes systémiques ou relatifs à la conformité à la loi ou à la protection de la vie privée des Canadiens qui devraient faire l'objet d'un examen de suivi. L'examen de ces incidents relatifs à la vie privée signalés par le Centre m'a également aidé à évaluer son mécanisme de contrôle de gestion. Par ailleurs, les employés de mon Bureau font preuve de vigilance au cours d'autres examens de manière à détecter ce type d'erreurs, ce qui nous permet de vérifier si le Centre les a également détectées et corrigées.
Constatations pour 2010
Au début de 2011, j'ai effectué un examen initial de tous les incidents relatifs à la vie privée consignés en 2010 dans le dossier central du Centre, mais je ne l'ai pas complété à temps pour le rapport de l'an dernier. J'ai passé en revue tous les incidents liés aux renseignements électromagnétiques étrangers et à la sécurité des technologies de l'information susceptibles de porter atteinte à la vie privée ainsi que les mesures subséquentes prises par le Centre pour rectifier le tir, en mettant l'accent sur les incidents que je n'avais pas analysés en détail au cours de mes autres examens.
Je suis convaincu que le Centre a pris des mesures correctives appropriées en temps opportun par suite des incidents relatifs à la vie privée qu'il a consignés en 2010. Mon examen n'a pas révélé de lacunes ou de problèmes systémiques qui auraient exigé un suivi. J'ai également noté que le Centre avait révisé ses lignes directrices concernant la façon de répondre à certains incidents relatifs à la vie privée.
Conclusion pour 2010
Mon examen des incidents relatifs à la vie privée consignés en 2010 n'a pas entraîné de recommandations. Toutefois, les employés de mon Bureau ont formulé et communiqué au Centre des suggestions pour améliorer l'exhaustivité et la cohérence de son dossier central, en particulier en ce qui a trait à l'évaluation des conséquences pouvant découler des incidents relatifs à la vie privée, et à la vérification pour savoir si des mesures correctives ont été prises et quand elles l'ont été.
Constatations pour 2011
En 2012, j'ai examiné tous les incidents liés aux renseignements électromagnétiques étrangers et à la sécurité des technologies de l'information susceptibles de porter atteinte à la vie privée consignés au cours de l'année 2011, ainsi que les mesures prises par la suite pour corriger le problème.
Je me suis particulièrement intéressé aux mesures correctives que le Centre envisage de prendre relativement à trois incidents particuliers relatifs à la vie privée. Dans le premier cas, le Centre a émis des lignes directrices pour combler une lacune dans les politiques se rapportant aux échanges de renseignements contenant de l'information pouvant mener à l'identification de Canadiens. Cette lacune avait été mise en évidence à l'occasion de l'un de mes examens courants. En ce qui a trait aux deux autres incidents se rapportant à certaines activités relatives à la sécurité des technologies de l'information, je suis également heureux de signaler que le Centre émettra des lignes directrices visant le traitement et le rapport de certains renseignements. Je surveillerai les efforts du Centre pour concrétiser ces activités de suivi.
Conclusion pour 2011
Je suis convaincu que le Centre a pris des mesures correctives pertinentes en réponse aux incidents relatifs à la vie privée qu'il a consignés en 2011. Mon examen des incidents relatifs à la vie privée survenus en 2011 n'a pas mis au jour de lacunes ou de problèmes systémiques exigeant un suivi. Je n'ai pas formulé de recommandations.
Dans l'ensemble, je suis convaincu que le Centre a pris en compte les suggestions que je lui ai faites en 2010 concernant le dossier central pour rendre cohérent et exhaustif. La plupart des données saisies renfermaient suffisamment d'information, y compris les mesures correctives et d'atténuation prises par le Centre ou par les organismes qui sont ses partenaires.
- Date de modification :