Mandat du commissaire du Centre de la sécurité des télécommunications
Le mandat dont j'ai été investi en vertu de la Loi sur la défense nationale comprend trois grandes fonctions :
- procéder à des examens concernant les activités du Centre pour en contrôler la légalité;
- faire les enquêtes que j'estime nécessaires à la suite d'une plainte écrite (on trouvera davantage d'information sur les responsabilités du commissaire dans la conduite des enquêtes sur les plaintes sur le site Web du Bureau); et
- informer le ministre de la Défense nationale (qui est responsable du Centre devant le Parlement) et le procureur général du Canada de toutes les activités du Centre qui, à mon avis, pourraient ne pas être conformes à la loi.
Fondement législatif des activités du CSTC
Lorsque la Loi antiterroriste est entrée en vigueur le 24 décembre 2001, elle a ajouté la partie V.1 à la Loi sur la défense nationale et établi le mandat à trois volets du CSTC :
- la partie a) autorise le CSTC à acquérir et à utiliser des renseignements électromagnétiques étrangers en conformité avec les priorités du gouvernement du Canada en matière de renseignement;
- la partie b) autorise le CSTC à aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada; et
- la partie c) autorise le CSTC à fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité, notamment pour qu'ils obtiennent et déchiffrent les communications recueillies en vertu de leurs autorités respectives.
(Pour obtenir davantage d'information sur le mandat du CSTC, consultez le site Web du CSTC)
Afin de mettre l'accent sur l'examen de la légalité des activités du CSTC et sur la protection de la vie privée des Canadiens, la législation exige que le commissaire du CSTC soit un juge surnuméraire ou un juge à la retraite d'une cour supérieure.
Le mandat législatif du commissaire inclut les éléments suivants :
- autonomie complète, sans lien de dépendance avec le gouvernement et disposant d'un budget distinct accordé par le Parlement;
- accès sans entraves à tous dossiers, systèmes et installations du CSTC; et
- accès sans entraves au personnel du CSTC, et notamment le pouvoir d'assigner à comparaître pour obliger des particuliers à répondre aux questions.
Le commissaire du CSTC
Le commissaire occupe une charge indépendante créée par la loi et ne reçoit pas d'instructions générales du premier ministre, du ministre de la Défense nationale (qui est responsable du CSTC devant le Parlement) ou de tout autre ministre sur la façon de s'acquitter de son mandat. Le commissaire aide le gouvernement du Canada à garder le CSTC sous contrôle en fournissant des avis au ministre de la Défense nationale à l'appui de son processus décisionnel et de son obligation redditionnelle à l'égard du CSTC. Le rapport annuel non classifié du commissaire déposé devant le Parlement indique si le CSTC a agi dans la légalité et les mesures par lesquelles il a protégé la vie privée des Canadiens dans la conduite de ses activités, comme le font ses rapports classifiés adressés au ministre.
Pour être efficaces, les agents chargés de l'examen doivent posséder une expertise spécialisée afin d'être en mesure de comprendre les aspects des activités du CSTC d'ordre technique, juridique ou se rapportant à la protection de la vie privée. Ils doivent posséder une cote de sécurité du niveau requis pour examiner les dossiers et les systèmes du CSTC. Ils sont liés par la Loi sur la protection de l'information et ne peuvent divulguer à des personnes non autorisées les renseignements particuliers auxquels ils ont accès.
J'ai en outre pour mandat, en vertu de la Loi sur la protection de l'information, de recevoir de l'information émanant de personnes astreintes au secret à perpétuité qui souhaitent communiquer des renseignements opérationnels spéciaux du Centre, en faisant valoir la primauté de l'intérêt public. (Pour obtenir davantage d'information sur les responsabilités du commissaire relativement à la primauté de l'intérêt public, consultez le site Web du Bureau.)
L'annexe A renferme le texte des articles pertinents de la Loi sur la défense nationale et de la Loi sur la protection de l'information se rapportant à mon rôle et à mon mandat en tant que commissaire du CSTC.
Notre approche
L'objet de mon mandat en matière d'examen consiste :
- à déterminer si le CSTC se conforme à la loi et, si je pense qu'il pourrait ne pas avoir agi en conformité avec la loi, à en aviser le ministre de la Défense nationale et le procureur général du Canada;
- à déterminer si les activités que mène le CSTC en vertu d'une autorisation ministérielle sont bien celles autorisées par le ministre de la Défense nationale, et à vérifier que les conditions d'autorisation requises par la Loi sur la défense nationale sont remplies;
- à vérifier que le CSTC, dans ses activités de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information, ne cible pas des Canadiens; et
- à promouvoir l'élaboration et l'application efficaces de mesures satisfaisantes pour protéger la vie privée des Canadiens dans toutes les activités que le CSTC entreprend.
Protection de la vie privée des Canadiens
Le CSTC se voit interdire par la loi, dans le cadre de ses activités de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information, de cibler des Canadiens — où qu'ils se trouvent dans le monde — ou toute personne au Canada. Dans le cadre de mon examen des activités du Centre, je dois notamment déterminer si ce dernier prend des mesures satisfaisantes pour respecter les attentes raisonnables des Canadiens en matière de vie privée concernant l'utilisation et la conservation des communications qu'il a recueillies. J'examine l'utilisation, la divulgation et la conservation des communications privées par le CSTC. Je vérifie que l'information concernant l'identité de Canadiens est protégée et n'est partagée qu'avec les partenaires autorisés lorsqu'ils ont besoin d'interpréter les signaux d'origine électromagnétique étrangers ou l'information de cyberdéfense. Je vérifie également que les métadonnées sont utilisées pour comprendre l'infrastructure mondiale d'information, obtenir du renseignement étranger ou protéger les cybersystèmes, mais non pour obtenir de l'information sur un Canadien. Je suis tenu, en vertu de la Loi sur la défense nationale, de faire rapport au procureur général du Canada et au ministre de la Défense nationale sur toute activité qui, à mon avis, n'est pas conforme à la loi, en mettant un accent particulier sur la vie privée.
En utilisant une variété de méthodes, nous effectuons de façon continue l'examen :
- d'activités choisies en fonction d'une analyse du risque, pour assurer la conformité à un niveau détaillé;
- des systèmes électroniques, des outils et des bases de données;
- d'un éventail d'activités pour vérifier la conformité en rapport avec des questions plus vastes, comme la protection de la vie privée ou les métadonnées; et
- du contenu des politiques, des procédures et des contrôles pour déceler des lacunes systémiques existantes ou éventuelles et déterminer comment ces instructions sont appliquées par les employés du CSTC.
(Pour obtenir davantage d'information sur la méthode préventive et axée sur le risque adoptée par le commissaire pour sélectionner les examens et établir les priorités, à la page 11 du rapport de l'année dernier.)
Chaque examen comporte une évaluation des activités du CSTC selon une série de critères standard décrits ci-après :
- Obligations légales : Je m'attends à ce que le CSTC mène ses activités en conformité avec la Loi sur la défense nationale, la Charte canadienne des droits et libertés, la Loi sur la protection des renseignements personnels, le Code criminel et toute autre législation pertinente, et en conformité avec les avis juridiques du ministère de la Justice.
- Exigences ministérielles : Je m'attends à ce que le CSTC mène ses activités en accord avec les instructions ministérielles, c'est-à-dire conformément à toutes les exigences ou limites précisées dans une autorisation ou une directive ministérielle.
- Politiques et procédures : Je m'attends à ce que le CSTC dispose de politiques et de procédures pertinentes pour orienter ses activités et donner des instructions suffisantes sur les obligations légales et les exigences ministérielles, notamment en matière de protection de la vie privée des Canadiens. Je m'attends à ce que les employés du CSTC soient au courant des politiques et procédures et qu'ils s'y conforment. Je m'attends aussi à ce que le Centre dispose d'un cadre et de mécanismes de validation de la conformité efficaces pour assurer le maintien de l'intégrité de ses opérations. Le Centre doit en outre être en mesure de rendre compte de façon adéquate des décisions importantes prises et de l'information liée à la conformité et à la protection de la vie privée des Canadiens.
(Pour obtenir davantage d'information sur la méthode et les critères d'examen du commissaire, à la page 11 du rapport de l'année dernier.)
Rapports sur nos constatations
Mes rapports d'examen classifiés documentent les activités du CSTC, renferment les constatations relatives aux critères d'examen et dévoilent la nature et l'importance de tout écart par rapport aux critères. S'il y a lieu, je formule des recommandations à l'intention du ministre de la Défense nationale, qui visent à améliorer les protections de la vie privée et à corriger les écarts entre les activités du CSTC et mes attentes.
Je détermine le contenu de mes rapports, qui sont fondés sur des faits et les conclusions tirées de ces faits. Aucune influence n'est exercée sur le contenu des rapports d'examen par le CSTC ou un ministre.
Les résultats des différents examens font l'objet de rapports classifiés s'adressant au ministre de la Défense nationale. Selon la pratique standard adoptée par les vérificateurs en matière de divulgation, les ébauches de rapport d'examen sont présentées au Centre pour confirmation de l'exactitude des faits. Il s'agit d'une étape essentielle du processus d'examen puisque mes recommandations s'appuient sur les faits mis au jour au cours de l'examen.
Le rapport annuel du commissaire déposé devant le Parlement est un document public. Le CSTC examine l'ébauche pour vérifier qu'elle ne renferme pas d'information classifiée, conformément à la Loi sur la protection de l'information. Par souci de transparence et pour faciliter la compréhension du public, j'insiste pour que soit incluse dans le rapport l'information qui, à mon avis, doit y figurer. Le rapport est remis au ministre de la Défense nationale qui, en vertu de la loi, le dépose au Parlement.
Par souci de transparence, tout en respectant rigoureusement le cadre de sécurité, mon bureau publie sur notre site Web le titre de tous les rapports d'examen présentés au ministre de la Défense nationale (qui ont été expurgés de toute information classifiée) — 81 à ce jour —, pour montrer l'ampleur et le niveau de détail des examens du commissaire.
Le modèle logique de l'annexe B présente un organigramme du programme d'examen.
- Date de modification :