Points saillants des six rapports d'examens présentés au ministre en 2012–2013
1. Examen de certaines activités de collecte de renseignements électromagnétiques étrangers
Contexte
J'ai examiné l'acquisition, l'utilisation et l'échange d'information par le Centre dans le cadre de certaines activités de collecte de renseignements électromagnétiques étrangers menées il y a quelques années.
Constatations et recommandations
La majorité des activités du Centre que j'ai examinées ne présentait aucun problème. Toutefois, un petit nombre de dossiers suggéraient la possibilité que des Canadiens aient été visés par certaines activités, ce qui est contraire à la loi. Certains dossiers du Centre relatifs à ces activités n'étaient pas clairs ou étaient incomplets. Après un examen minutieux et approfondi, je n'ai pas pu parvenir à une conclusion définitive sur la conformité ou non à la loi.
Au cours de l'examen, j'ai découvert qu'un certain nombre de dossiers du Centre se rapportant à des échanges d'information avec le SCRS manquaient parfois de clarté, ce qui m'a amené à recommander que le Centre adopte des lignes directrices concernant la façon de communiquer clairement et de manière cohérente avec ses partenaires à propos de l'entité visée. De même, j'ai recommandé que le Centre s'assure que ses analystes de renseignements étrangers soient au fait des lignes directrices existantes, adoptées depuis la période visée par l'examen, qu'ils sachent qu'il leur incombe de justifier leurs activités et de déterminer le statut étranger d'une entité visée, et qu'ils s'acquittent de leurs responsabilités. Au terme de mon examen, j'ai envoyé au président du CSARS, à titre d'information, certaines observations générales concernant le SCRS qui découlent des recommandations que j'ai formulées.
À ma demande, mon bureau a commencé à examiner d'autres activités de collecte de renseignements étrangers plus récentes, notamment le suivi des questions soulevées dans cet examen, et il s'emploiera à déterminer si les changements apportés aux politiques et aux procédures du Centre, depuis la période visée par l'examen, ont conduit à une amélioration de la clarté des échanges d'information entre le Centre et le SCRS.
Conclusion
Au 31 mars 2013, soit à la fin de la période visée par le rapport 2012–2013, j'attendais encore la réponse du ministre aux deux recommandations. Il sera fait état de ces réponses dans le rapport annuel du prochain exercice.
2. Aide du CSTC au SCRS en vertu de la partie c) du mandat du Centre et des articles 12 et 21 de la Loi sur le Service canadien du renseignement de sécurité
Contexte
En 2007, le SCRS a demandé à la Cour fédérale du Canada un mandat l'autorisant à enquêter sur les activités d'individus en voyage à l'étranger susceptibles de constituer une menace. L'honorable juge Edmond Blanchard a soutenu que la Cour n'avait pas la compétence requise pour autoriser des activités d'enquête intrusives menées par le SCRS en territoire étranger (Loi sur le Service canadien de sécurité (Re), 2008 CF (301).
En 2009, dans X (Re), 2009 CF 1058, le SCRC a invité la Cour fédérale à réexaminer le raisonnement du juge Blanchard. Il demandait à la Cour de se pencher à nouveau sur la question de la compétence sur la base d'une description plus détaillée des activités requises pour effectuer l'interception et d'une argumentation juridique nouvelle qui expliquait en quoi la méthode même de l'interception est pertinente pour la détermination de la compétence de la Cour. L'honorable juge Richard Mosley s'est dit convaincu que les faits et le droit justifiaient que la demande soit considérée comme différente de celle dont avait été saisi le juge Blanchard et il a délivré le mandat autorisant le SCRS à intercepter les communications de Canadiens en territoire étranger au moyen des capacités d'interception du Centre. La requête était étayée par la déclaration sous serment d'un employé du Centre qui décrivait les capacités d'interception de l'agence et la façon dont les communications seraient interceptées depuis le Canada.
L'alinéa 273.64(1)c) de la Loi sur la défense nationale autorise le Centre à fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité dans l'exercice des fonctions que la loi leur confère. En vertu de cette assistance, le Centre peut notamment appuyer le SCRS dans l'interception de communications de Canadiens si le SCRS dispose d'un mandat décerné par un juge en vertu de l'article 21 de la Loi sur le Service canadien du renseignement de sécurité. En vertu du paragraphe 273.64(3) de la Loi sur la défense nationale, le Centre doit respecter les limites que la loi impose à l'organisme auquel il donne assistance — par exemple, toutes les conditions imposées par un juge dans un mandat. Lorsque le Centre fournit une assistance opérationnelle au SCRS, il devient l'agent du SCRS. Le SCRS est de jure le propriétaire de l'information et des communications interceptées relatives à l'objet du mandat.
Dans X (Re), le juge Mosley a déclaré :
Le Canada a donné au CST[C] le mandat de collecter des renseignements étrangers, y compris des renseignements tirés de communications ainsi que de systèmes et de réseaux de technologie de l'information à l'étranger. La loi lui [CSTC] interdit de diriger ses activités contre des Canadiens ou contre toute personne se trouvant au Canada, mais elle ne l'empêche pas d'aider des organismes de sécurité et d'application de la loi agissant conformément à des délégations de pouvoir légales comme des mandats décernés par des tribunaux. Le SCRS a le pouvoir de collecter des renseignements concernant des menaces potentielles à propos de Canadiens et d'autres personnes et, comme il en a été question précédemment, il n'est pas assujetti à des limites territoriales.
Lorsque les conditions préalables à la délivrance d'un mandat sont remplies, y compris le contrôle judiciaire préalable, les motifs raisonnables et des cibles bien précises, la collecte de renseignements par le SCRS avec l'assistance du CST[C], comme le propose le mandat, respecte le régime législatif approuvé par le législateur et ne contrevient pas à la Charte
(X (Re) aux paragraphes75-76).
Les objectifs de mon examen étaient de bien connaître et de documenter l'aide apportée par le Centre au SCRS et d'évaluer si les activités du Centre étaient conformes à la loi, y compris aux conditions des mandats délivrés au SCRS, et à toutes les protections de la vie privée qui étaient stipulées. L'assistance que le Centre porte au SCRS en vertu des mandats peut inclure de l'information sur l'identité d'un Canadien et l'interception de communications de Canadiens. La collecte du Centre, circonscrite par le mandat, peut avoir une incidence sur la vie privée de Canadiens.
Je me suis penché sur l'aide qu'a apportée le Centre au SCRS dans l'exécution d'un certain nombre des premiers mandats de ce genre émis en rapport avec la lutte antiterroriste. En particulier, dans le cadre de l'évaluation de la conformité à la loi et de la protection de la vie privée, en vertu des mandats examinés, j'ai vérifié que :
- le Centre avait copie du mandat et qu'il avait des renseignements clairs et suffisants concernant l'aide demandée par le SCRS;
- les communications ciblées par le Centre pour le SCRS étaient uniquement celles mentionnées dans les mandats;
- les communications n'avaient pas été ciblées avant l'entrée en vigueur des mandats et ont cessé de l'être à l'expiration des mandats;
- le Centre a ciblé les individus visés par les mandats uniquement lorsqu'ils étaient censés être à l'extérieur du pays;
- le Centre a ciblé uniquement les types de communications et d'information que les mandats l'autorisaient à intercepter ou à recueillir; et
- le Centre a respecté toutes les autres limites imposées par la loi au SCRS, par exemple toutes les conditions stipulées dans les mandats.
Conclusions et recommandations
Au cours de la période visée par l'examen, le Centre a réagi de façon adéquate à deux incidents liés à la vie privée qu'il a relevés et qui concernaient la diffusion non intentionnelle de renseignements sur l'identité de Canadiens faisant l'objet de mandats. En fait, le Centre a déjà clarifié les processus internes pertinents pour la conduite de certaines activités et il a rappelé à ses employés leurs responsabilités à l'égard de la gestion de certains renseignements. Cela devrait aider à prévenir des incidents similaires.
J'ai interrogé le Centre concernant un autre incident ayant trait à l'interception de communications pour le compte du SCRS pendant quelques jours après l'expiration d'un mandat particulier. J'ai accepté les explications que m'a données le Centre concernant cet incident, selon lesquelles il s'agissait d'une erreur humaine non intentionnelle. Le Centre m'a également confirmé que les communications interceptées dans ce cas avaient été détruites et que le SCRS ne les avait pas reçues. Je suis convaincu que le Centre a répertorié cet incident et qu'il a rappelé à ses employés la procédure appropriée pour empêcher que des erreurs de ce genre ne se reproduisent.
Au cours de la période visée par l'examen, les politiques opérationnelles et les procédures applicables en général à l'aide apportée par le Centre à l'appui de ces mandats et à l'appui d'activités connexes étaient en place et ont fourni des consignes aux employés du Centre concernant la conformité à la loi et la protection de la vie privée des Canadiens. Après la période visée par l'examen, le Centre a émis des consignes précises pour la prestation de cette aide et la conduite des activités. De façon générale, les employés du Centre interrogés sont bien au courant des politiques et des procédures et ont montré qu'ils connaissaient leurs responsabilités respectives. Il ressort de mes entretiens avec les gestionnaires, les chefs d'équipe et les autres employés du Centre que les gestionnaires surveillent systématiquement l'aide et les activités connexes pour s'assurer qu'elles sont conformes aux autorités qui les requièrent.
Outre l'examen détaillé des activités du Centre en vertu des mandats, j'ai réfléchi à des questions générales de droit se rapportant à ce sujet et j'ai consulté ma conseillère juridique indépendante, qui est une experte en droit de la vie privée. J'ai formulé deux recommandations à l'intention du ministre pour aider à faire en sorte que l'assistance donnée par le Centre au SCRS soit conforme aux autorités et respecte les limites des mandats, et pour renforcer les mesures en place en vue de protéger la vie privée des Canadiens. Plus précisément, je recommande que :
- le Centre discute avec le SCRS l'application à d'autres situations d'une pratique existante pour protéger la vie privée; et
- le Centre conseille au SCRS de fournir à la Cour fédérale du Canada certaines preuves supplémentaires quant à la nature et à l'ampleur de l'aide qu'il peut apporter au SCRS.
J'ai constaté que les pratiques du Centre liées à son aide au SCRS et les activités connexes étaient conformes aux exigences générales énoncées dans les directives ministérielles adressées au Centre concernant la « Vie privée des Canadiens » et le « Cadre de responsabilisation », à savoir qu'elles respectaient expressément la loi et qu'elles étaient assorties de mesures pour s'assurer que l'information était obtenue de manière légale et traitée en conformité avec la Charte canadienne des droits et libertés et la Loi sur la protection des renseignements personnels.
Conclusion
Même si j'ai formulé deux recommandations à l'intention du ministre pour assurer que l'aide apportée par le Centre au SCRS est conforme à la loi et pour renforcer la protection de la vie privée, ma conclusion est que le Centre a conduit ses activités en accord avec la loi et les directives ministérielles et d'une manière qui intègre des mesures pour protéger la vie privée des Canadiens. Le ministre a souscrit aux recommandations et le Centre y a donné suite.
Au terme de mon examen, j'ai envoyé au président du CSARS, à titre d'information, certaines observations générales se rapportant au SCRS, découlant des deux recommandations que j'avais formulées et que le CSARS voudra peut-être examiner au moment opportun. Le Centre m'a indiqué par la suite qu'il avait parlé des recommandations — qui se rapportent à des questions qui relèvent du SCRS ou exigent son aval — avec le SCRS.
3. Examen des activités de protection des technologies de l'information non menées par le Centre en vertu d'une autorisation ministérielle
Contexte
La Loi sur la défense nationale stipule que le Centre a pour mandat de fournir des avis, des conseils et des services aux ministères et organismes du gouvernement du Canada, de même qu'à d'autres propriétaires de sytèmes de technologies de l'information pour aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada (alinéa 273.64 (1)b)).
Au cours de la période visée par l'examen, le gouvernement du Canada a réorganisé ses efforts de cyberdéfense. Le Centre est devenu le premier point de contact pour les cyberincidents qui touchent les ministères et organismes fédéraux. Sécurité publique Canada est le principal point de contact pour les cyberincidents touchant les secteurs des infrastructures essentielles n'appartenant pas au gouvernement du Canada. Précisons par ailleurs que le Centre est responsable des cybermenaces d'une grande complexité, comme celles découlant d'agents d'État étrangers, tandis que Sécurité publique Canada prend en charge les menaces moins complexes, par exemple, celles se rapportant aux vulnérabilités connues des logiciels disponibles sur le marché.
J'ai examiné certaines activités menées par le Centre à l'appui de la sécurité des technologies de l'information pour détecter, analyser et atténuer les cybermenaces. Le Centre n'entreprend pas ces activités en vertu d'une autorisation ministérielle puisqu'il n'intercepte pas de communications. Il a plutôt recours dans ce cas aux renseignements acquis par les propriétaires de système — sous le régime d'autorisations en vertu du Code criminel, et par les propriétaires de systèmes du gouvernement du Canada, sous le régime, en plus, de leurs autorisations en vertu de la Loi sur la gestion des finances publiques — et divulgués au Centre. Ces autoritéspermettent l'interception de communications privées par des personnes autorisées lorsque cette interception est raisonnablement nécessaire pour protéger les systèmes informatiques des méfaits et d'une utilisation non autorisée.
Les objectifs de mon examen étaient d'évaluer si le Centre s'est conformé à la loi et dans quelle mesure il a protégé la vie privée des Canadiens en exécutant ces activités. En plus d'acquérir une connaissance détaillée de ces activités, j'ai examiné :
- le cadre législatif et stratégique de ces activités;
- les changements organisationnels qui touchent le Centre;
- les technologies les bases de données et les systèmes utilisés pour les activités;
- le volume et le traitement des communications privées et des renseignements sur l'identité de Canadiens acquis dans le cadre des activités, de même qu'un échantillon de ces communications privées et des renseignements sur l'identité de Canadiens utilisés par le Centre; et
- les accords en place avec les ministères et organismes fédéraux.
Communication privée : « communication orale ou télécommunication dont l'auteur se trouve au Canada, ou destinée par celui-ci à une personne qui s'y trouve, et qui est faite dans des circonstances telles que son auteur peut raisonnablement s'attendre à ce qu'elle ne soit pas interceptée par un tiers. La présente définition vise également la communication radiotéléphonique traitée électroniquement ou autrement en vue d'empêcher sa réception en clair par une personne autre que celle à laquelle son auteur la destine » (article 183 du Code criminel).
J'ai examiné les activités menées entre le 1er avril 2009 et le 31 mars 2011, et j'ai effectué un examen plus détaillé des activités et des rapports afférents pour un certain nombre de ministères et d'organismes aidés par le Centre au cours de cette période. En outre, les dossiers ont été passés en revue pour vérifier que les renseignements du propriétaire du système conservés par le Centre l'ont été en vertu d'une autorisation légale pertinente. Mon examen portait également sur les réponses du Centre à des aspects nécessitant un suivi et relevés dans une étude réalisée en 2009 par le commissaire Gonthier.
Constatations
J'ai constaté que le Centre conduisait ses activités conformément à la loi et aux directives ministérielles, et aucune question ne s'est posée concernant les rapports et les renseignements conservés que j'ai passés en revue.
J'ai signalé que le Centre améliorerait sa capacité à montrer qu'il dispose de mesures pour protéger la vie privée des Canadiens en consignant le retour ou l'élimination de renseignements non pertinents acquis par un propriétaire de système et partagés avec le Centre. Nonobstant cette suggestion, j'ai constaté que les activités à l'appui de la sécurité des technologies de l'information renfermaient des mesures satisfaisantes pour protéger la vie privée des Canadiens.
Au cours de la période visée par l'examen, des politiques opérationnelles et des procédures d'applications générales étaient en place pour fournir des lignes directrices générales concernant la conformité à la loi et la protection de la vie privée des Canadiens. Toutefois, il n'y avait pas de lignes directrices opérationnelles spécifiques régissant ces activités. Il est donc encourageant de voir que, après la période visée par l'examen, le Centre a émis une politique particulière pour la conduite de ces activités.
Quelques employés du Centre qui ont été interrogés ont été incapables de citer certaines politiques, mais ils étaient au courant des règles régissant leurs activités. De plus, les gestionnaires du Centre qui ont été interrogés surveillaient de près et de manière systématique les activités pour s'assurer que leurs employés se conformaient aux autorisations en vigueur. D'après les dossiers examinés, les réponses aux questions au cours des entretiens et les activités de validation de la conformité aux politiques du Centre, il ressort de mon examen que les politiques et les procédures pertinentes ont été respectées.
Conclusion
Mon rapport d'examen ne renferme pas de recommandations. Le Bureau continuera de mener sur une base régulière des examens approfondis des activités de protection des technologies de l'information non exécutées en vertu d'une autorisation ministérielle pour vérifier la conformité à la loi et dans quelle mesure le Centre protège la vie privée des Canadiens en menant les activités.
4. Examen des autorisations ministérielles du Centre relatives à la collecte de renseignements électromagnétiques étrangers en 2010–2011 et 2011–2012
Contexte
Le paragraphe 273.65(8) de la Loi sur la défense nationale exige que le commissaire fasse enquête sur les activités du Centre exercées sous le régime d'une autorisation ministérielle « pour en contrôler la conformité; il rend compte de ses enquêtes annuellement au ministre [de la Défense nationale] ». Un examen combiné régulier des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers constitue donc pour les commissaires une façon de s'acquitter de ce volet de leur mandat. Cet examen annuel couvre deux exercices : j'ai d'abord examiné les cinq autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers en vigueur du 1er décembre 2010 au 30 novembre 2011 qui se rapportaient à cinq activités ou catégories d'activités; j'ai ensuite examiné les six autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers en vigueur du 1er décembre 2011 au 30 novembre 2012 qui se rapportaient à six activités ou catégories d'activités. L'objet de mon examen était :
- de m'assurer que les activités menées en vertu des autorisations ministérielles étaient autorisées et que le ministre était convaincu que les quatre conditions requises par les alinéas 273.65(2)a) à d) de la Loi sur la défense nationale avaient été respectées;
- de signaler tout changement d'importance dans le texte même des autorisations ministérielles ou dans les activités du Centre décrites dans ces autorisations;
- d'évaluer l'incidence, le cas échéant, de ces changements sur le risque de non-conformité et sur le risque d'atteinte à la vie privée et, en conséquence, de cerner tout sujet nécessitant un examen de suivi; et
- d'examiner, en vue de vérifier leur conformité à la loi, un échantillon de mon choix de toute communication privée interceptée fortuitement par le Centre au cours de la conduite de ses activités sous le régime d'une autorisation ministérielle.
Communications privées
Le Commissaire jauge le nombre de communications privées interceptées fortuitement et il vérifie la façon dont le Centre a traité et utilisé ces communications. Il est en mesure d'examiner toutes les communications privées que le Centre utilise et conserve.
Constatations
J'ai conclu que les activités menées en vertu des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers pour 2010–2011 et 2011–2012 étaient autorisées.
En ce qui a trait à chacune des 11 activités de collecte de renseignements électromagnétiques étrangers, j'ai examiné certains renseignements clés se rapportant à l'interception et à la vie privée des Canadiens, ce qui me permettait de comparer les activités et de noter tout changement ou tendance d'importance au fil du temps. Je n'ai constaté aucun changement important touchant la portée ou le mode opératoire des activités qui nécessitait un examen approfondi de suivi d'activités particulières. Ces autorisations ministérielles ne renfermaient pas de changements importants par rapport à l'exercice antérieur et le Centre n'a pas apporté de changements importants aux technologies utilisées pour ces activités.
Les changements apportés par le Centre en 2010–2011 et 2011–2012 aux politiques opérationnelles applicables à ce type de collecte ont clarifié les autorités et les pratiques et renforcé la protection de la vie privée des Canadiens.
J'ai également examiné un échantillon de communications privées interceptées fortuitement. J'ai constaté que pour les exercices 2010–2011 et 2011–2012, le Centre ne conservait que les communications privées essentielles pour les affaires internationales, la défense ou la sécurité, comme l'exige l'alinéa 273.65(2)d) de la Loi sur la défense nationale. Une fois encore cette année, la proportion de ces communications est demeurée très mince et le Centre a détruit la plupart d'entre elles. En outre, l'élaboration actuelle d'un nouvel outil qui aidera les analystes du Centre à identifier les communications interceptées qui pourraient être des communications privées constitue un pas dans la bonne direction. Le Bureau du commissaire examinera l'incidence de ce nouvel outil sur la conformité et la protection de la vie privée dans le cadre d'un examen ultérieur.
Dans le rapport de l'an dernier, j'ai indiqué que certains renseignements sur les communications interceptées impliquant des partenaires étrangers du Centre n'étaient pas aisément accessibles. Je trouve encourageant que, bien que les autorisations ministérielles ne l'exigent pas, le Centre ait reconnu l'importance de faire état de ces renseignements au ministre. Le Bureau du commissaire suivra de près l'évolution de cette question.
Il est également réconfortant de constater que, bien que ce ne soit pas une exigence d'une autorisation ministérielle particulière, le Centre a accepté de porter à la connaissance du ministre certains renseignements liés à la vie privée. Cette mesure pour protéger la vie privée des Canadiens aidera le ministre à mieux assumer ses responsabilités. Elle va d'ailleurs dans le sens d'une recommandation que j'avais formulée en 2010–2011 et qui était demeurée en suspens. Le ministre avait appuyé au départ le rejet de cette recommandation par le Centre; toutefois, après mûre réflexion, j'ai maintenu ma recommandation et j'en ai informé le ministre. Le Centre a reconsidéré la question, il est revenu sur sa décision de départ et il a prévenu le ministre qu'il mettrait en œuvre la recommandation.
Conclusion
Je n'ai formulé aucune recommandation.
5. Examen annuel d'un échantillon de renseignements concernant l'identité de Canadiens divulgués à des clients du gouvernement du Canada
Contexte
Des renseignements concernant l'identité de Canadiens peuvent être inclus dans les rapports du Centre portant sur des renseignements électromagnétiques étrangers si cette information est jugée essentielle à la compréhension ou à l'utilisation de ces renseignements. Cependant, toute information identifiant un Canadien doit être supprimée des rapports et remplacée par une mention générale du type « un Canadien ». Lorsqu'il reçoit ensuite une demande de précisions sur l'information supprimée, le Centre doit vérifier que le client dont elle émane dispose à la fois de l'autorisation et d'une justification opérationnelle pour obtenir ce genre de renseignements. Ce n'est qu'une fois satisfait que le Centre fournit l'information.
Mon équipe a choisi et examiné un échantillon d'environ 20 p. 100 du nombre total de renseignements divulgués par le Centre aux organismes ou aux ministères fédéraux au cours de la période allant d'octobre 2011 à juin 2012. L'échantillon comprenait des renseignements divulgués à tous les ministères et organismes qui avaient demandé des informations sur l'identité de Canadiens au cours de la période visée. Des employés de mon bureau ont examiné les demandes à l'appui des autorisations des clients ainsi que la justification présentée pour obtenir l'information sur l'identité de Canadiens, les rapports connexes du Centre concernant les renseignements électromagnétiques étrangers, ainsi que les renseignements effectivement divulgués sur l'identité de Canadiens.
Constatations
Il ressort de mon évaluation des renseignements examinés et des entretiens que le Centre a mené ses activités de divulgation en conformité avec la loi. Des politiques opérationnelles et des procédures sont en place pour fournir des consignes suffisantes aux employés du Centre concernant la protection de la vie privée des Canadiens. Les employés connaissaient bien les politiques et procédures en question et ils ont agi en conformité avec celles-ci.
Par ailleurs, en 2012, en réponse à une recommandation formulée par le commissaire Cory dans son rapport de 2010, le Centre a commencé à utiliser un nouveau système sécurisé en ligne pour traiter les demandes et les divulgations de renseignements sur l'identité de Canadiens. Le Centre a fait à mes employés une démonstration du système qui est actuellement utilisé avec ses principaux clients et il a l'intention d'étendre son utilisation à d'autres partenaires dès le début de la prochaine année fiscale. D'après le Centre, le système a amélioré le délai de réponse et se traduit par un meilleur service aux clients. Il renforce la reddition de compte en améliorant le suivi et le repérage des demandes et des divulgations de renseignements sur l'identité des Canadiens et il renferme plusieurs caractéristiques propres à garantir la protection de la vie privée des Canadiens.
Conclusion
Aucune recommandation ne découle de mon examen. Le Centre a mené ses activités de divulgation de manière consciencieuse; toutes les demandes examinées étaient autorisées, justifiées et bien documentées.
S'il y avait un seul cas de non-conformité dans la divulgation par le Centre de renseignements concernant l'identité de Canadiens, les répercussions éventuelles sur la vie privée des Canadiens pourraient être importantes. C'est pourquoi les examens annuels d'un échantillon de renseignements divulgués se poursuivront. L'an prochain, mon bureau effectuera un examen détaillé de l'utilisation du nouveau système, de même que d'un échantillon des renseignements concernant l'identité de Canadiens divulgués aux partenaires internationaux du Centre.
6. Examen annuel des incidents et des erreurs de procédure signalés par le Centre en 2012, qui ont touché ou auraient pu toucher la vie privée de Canadiens, et des mesures prises par le Centre pour régler le problème
Contexte
Le Centre tient un dossier central décrivant les incidents opérationnels internes qui ont ou auraient pu toucher la vie privée de Canadiens. Il y consigne tout incident qui risque de porter atteinte à la vie privée d'un Canadien d'une manière qui n'est pas prévue dans ses politiques opérationnelles ou qui va à l'encontre de ces politiques. La politique du Centre exige que les employés qui travaillent sur les renseignements électromagnétiques étrangers et sur la sécurité des technologies de l'information signalent et documentent les incidents relatifs à la vie privée de façon à montrer la conformité du Centre à ses obligations en vertu de la loi et à ses politiques, et à prévenir d'autres incidents. Il pourrait s'agir, par exemple, de l'inclusion par inadvertance d'information sur l'identité d'un Canadien dans un rapport du Centre ou le partage par erreur de certains rapports avec un destinataire qui n'était pas le destinataire visé.
Les examens horizontaux et approfondis des activités du Centre incluent un examen de tous les incidents relatifs à la vie privée et des erreurs de procédure se rapportant au sujet qui fait l'objet de l'examen et, le cas échéant, il en est fait mention dans les sommaires de ces examens. Mon équipe fait preuve de vigilance au cours des examens visant à relever ces types d'incidents, de sorte que nous puissions confirmer si le Centre les a également détectés et a pris les mesures voulues.
Cet examen annuel répond à plusieurs finalités, à savoir prendre connaissance des incidents et des erreurs de procédure survenus en 2012 ainsi que des mesures connexes; et donner de la matière pour élaborer le plan de travail du commissaire en lui indiquant s'il y a des problèmes systémiques ou des problèmes de conformité à la loi ou de protection de la vie privée des Canadiens qui devraient faire l'objet d'un examen de suivi. L'examen de ces incidents relatifs à la vie privée et des erreurs de procédure l'aide également à évaluer la façon dont le Centre surveille et valide le fait que ces activités respectent ses politiques opérationnelles.
Constatations
J'ai passé en revue tous les incidents et les erreurs de procédure liés aux renseignements électromagnétiques étrangers et à la sécurité des technologies de l'information susceptibles de porter atteinte à la vie privée qui sont survenus en 2012, ainsi que les mesures subséquentes prises par le Centre pour rectifier le tir.
Il y avait un très petit nombre d'erreurs de procédure et j'ai été d'accord avec l'évaluation du Centre, selon laquelle ces erreurs étaient mineures et ne se traduisaient pas par des incidents portant atteinte à la vie privée.
D'après mon examen des dossiers du Centre et d'après la vérification indépendante faite par mon bureau des rapports figurant dans une base de données du Centre, je suis convaincu que ce dernier a pris des mesures correctives pertinentes en réponse au petit nombre d'incidents portant atteinte à la vie privée qu'il a consignés.
J'ai été particulièrement heureux de constater que certaines mesures correctives avaient été prises par le Centre pour éviter que des incidents du même genre ne se reproduisent. Par exemple, le Centre effectue désormais un examen mensuel de son dossier central pour s'assurer que toutes les activités correctives requises ont été menées à bien ou sont en cours. Le Centre a aussi rappelé à ses employés leur obligation de signaler immédiatement un incident. Il a établi une procédure de rappel à ses employés afin de s'assurer que certaines informations de ses systèmes sont à jour et conformes aux autorités en vigueur.
Conclusion
Mon examen des incidents relatifs à la vie privée et des erreurs de procédure consignés en 2012 par le Centre n'a donné lieu à aucune recommandation. Mon examen n'a pas révélé de lacunes ou de problèmes systémiques qui auraient exigé un suivi. Un examen annuel de ces incidents et de ces erreurs continura d'être réalisé.
- Date de modification :