Points saillants des six rapports classifiés présentés au ministre en 2013-2014
1. Examen portant sur le partage par le CSTC de renseignements électromagnétiques étrangers avec ses partenaires étrangers
Contexte
La capacité du CSTC à accomplir son mandat au titre de la collecte de renseignements électromagnétiques étrangers et de la protection des technologies de l'information repose en partie sur l'établissement et le maintien de relations productives avec ses homologues étrangers. Les relations de longue date du CSTC avec ses plus proches alliés — la National Security Agency des États-Unis, le Government Communications Headquarters du Royaume-Uni, le Signals Directorate d'Australie et le Government Communications Security Bureau de la Nouvelle-Zélande — continuent d'être avantageuses pour le CSTC et, aussi, pour le gouvernement du Canada. Cette alliance coopérative est peut être encore plus précieuse à l'heure actuelle que jamais auparavant pour le Canada, compte tenu des défis technologiques de plus en plus complexes qui s'ajoutent à l'évolution des affaires internationales et au contexte de menace. Le Canada est un importateur net de renseignements et la quantité de renseignements électromagnétiques étrangers que le CSTC reçoit des alliés est considérable.
En raison du caractère planétaire des menaces d'aujourd'hui, les agences de sécurité et de renseignement n'ont d'autre choix que de coopérer et de partager l'information entre elles. Dans sa réponse au rapport du Comité permanent de la sécurité publique et nationale intitulé Examen des constats et recommandations émanant des enquêtes Iacobucci et O'Connor, le gouvernement du Canada reconnaît que :
La communication de renseignements avec des partenaires étrangers soulève des défis particuliers sur les plans stratégique, juridique et opérationnel, et est examinée individuellement dans le cadre de l'environnement de la sécurité nationale du Canada. Les résultats cumulatifs des commissions d'enquête successives, des rapports et des leçons apprises ont mené à l'amélioration des politiques et des pratiques relatives à l'échange d'information entre les partenaires étrangers et les communautés canadiennes de la sécurité nationale, du renseignement et de l'application de la loi.
Le partage d'information est une nécessité vitale, mais il doit se faire en conformité avec la loi, y compris la Charte, et prévoir des mesures suffisantes pour protéger la vie privée des Canadiens.
L'alliance du Groupe des cinq pour la collecte de renseignements électromagnétiques étrangers est issue au départ de leur collaboration au cours de la Seconde Guerre mondiale. Les ententes de longue date et les résolutions actuelles constituent le fondement du partage de renseignements électromagnétiques étrangers du CSTC avec les alliés. Bien que ces accords de coopération incluent un engagement des partenaires à respecter la vie privée de leurs citoyens respectifs, on sait pertinemment que chaque partenaire est une agence appartenant à une nation souveraine qui peut déroger aux ententes et aux résolutions si elle l'estime nécessaire pour ses intérêts nationaux.
Il s'agissait du premier examen centré exclusivement sur les activités de partage d'information issue des renseignements électromagnétiques étrangers du CSTC avec les alliés. Dans la première partie de l'examen, qui est résumée dans le rapport annuel public de 2011-2012, l'ancien commissaire Décary avait conclu que le CSTC disposait de contrôles et de mesures d'importance en place pour s'assurer que son partage de renseignements électromagnétiques étrangers avec les alliés était légal et protégeait la vie privée des Canadiens.
La seconde partie de l'examen était axée sur deux questions :
- Comment le CSTC s'assure-t-il que ses partenaires étrangers se conforment aux ententes et aux pratiques de longue date qui constituent le fondement du partage de renseignements électromagnétiques étrangers par le CSTC?
- Combien de communications privées et quelle quantité d'information sur des Canadiens le CSTC échange-t-il avec les alliés?
Le commissaire Décary a évalué les activités du CSTC sous l'angle des limites stipulées dans la Loi sur la défense nationale aux fins de la protection de la vie privée des Canadiens, c'est-à-dire que les activités de renseignement électromagnétique étranger du CSTC « ne peuvent viser des Canadiens ou toute personne au Canada » (alinéa 273.64 (2)a) de la Loi sur la défense nationale) et « doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés » (alinéa 273.64 (2)b) de la loi). Il a examiné le cadre législatif régissant l'échange entre le CSTC et les alliés de communications interceptées et d'autres renseignements électromagnétiques étrangers, en particulier des communications privées et de l'information sur des Canadiens. Il a également examiné la diligence raisonnable du CSTC concernant ces activités de partage, par exemple pour déterminer si le Centre prend toutes les mesures raisonnables pour confirmer que les alliés traitent la vie privée des Canadiens conformément aux lois du Canada et aux mesures de protection de la vie privée que le CSTC applique.
Constatations et recommandations
L'examen du commissaire Décary a abouti à la formulation de deux recommandations pour appuyer le ministre de la Défense nationale, qui est responsable du CSTC, et pour prévoir des mesures supplémentaires afin de protéger la vie privée des Canadiens.
La première recommandation a trait à la première question relative à la façon dont le CSTC s'assure que ses partenaires étrangers se conforment aux ententes et aux pratiques de longue date, y compris la protection de la vie privée des Canadiens.
Les alliés reconnaissent la souveraineté de leurs partenaires et respectent les lois des uns et des autres en s'engageant à ne pas cibler les communications de leurs nationaux respectifs. En conséquence, les politiques et les procédures du CSTC énoncent que les activités de collecte ne doivent pas être dirigées contre les nationaux d'un allié où qu'ils se trouvent ou contre quiconque sur le territoire d'un allié. Le dépouillement des documents, les discussions au cours des entretiens et les réponses écrites donnent à penser que le CSTC mène ses activités de collecte de renseignements électromagnétiques étrangers d'une manière qui est conforme aux ententes qu'il a conclues avec ses partenaires étrangers en vue de respecter la vie privée de leurs citoyens et de se conformer à leurs politiques à cet égard.
Le CSTC s'attend à ce que ses partenaires étrangers se conforment aux déclarations générales stipulées dans les ententes signées entre les alliés et, en conséquence, ne dirigent pas leurs activités sur des Canadiens ou des personnes au Canada. Toutefois, le commissaire Décary a été incapable d'évaluer dans quelle mesure les partenaires étrangers du CSTC se conformaient aux ententes et protégeaient les communications privées et l'information concernant des Canadiens dans le cadre des échanges du Centre avec ses partenaires. Le CSTC n'a adopté aucune pratique systématique consistant à recueillir des preuves montrant que ces principes sont respectés dans les faits.
Bien que le CSTC utilise des indicateurs qui, à son avis, donnent une assurance suffisante que les alliés honorent leurs conventions, il s'est révélé incapable dans un premier temps de montrer qu'il avait connaissance de la façon dont ses partenaires étrangers traitent l'information touchant des Canadiens et il ne nous a pas non plus fourni de preuve convaincante. Au cours de la conduite de cet examen, le CSTC a refusé de fournir au Bureau du commissaire une description ou une copie des extraits pertinents des politiques des alliés concernant le traitement de cette information. Le CSTC a également refusé à l'époque de relever pour le Bureau du commissaire les différences notables — petites ou grandes — entre les lois, les politiques et les pratiques des partenaires respectifs et la façon dont ces différences peuvent influer sur la protection qu'ils accordent à la vie privée des Canadiens. Le CSTC a laissé entendre à l'époque que l'examen des autorisations et des activités d'un allié visent l'allié lui-même et en fait n'a rien à voir avec la légalité des activités du CSTC. Par conséquent, ces questions ne relevaient pas du mandat du commissaire.
C'est pourquoi le commissaire Décary a recommandé que le ministre de la Défense nationale émette une nouvelle directive ministérielle pour fournir des instructions générales au CSTC concernant les activités de partage de l'information issue des renseignements électromagnétiques étrangers et définisse les attentes en matière de protection de la vie privée des Canadiens dans la conduite de ces activités. Le commissaire Décary a recommandéque le projet de nouvelle directive s'inspire d'une analyse approfondie des répercussions possibles des différences nationales respectives dans les autorisations légales ou politiques sur la conformité du CSTC à la loi et la protection de la vie privée des Canadiens, c'est-à-dire une évaluation du risque. Il a reconnu qu'une telle évaluation du risque n'était pas une entreprise anodine, qu'elle prendrait du temps et nécessiterait la coopération des alliés.
Après l'envoi du rapport classifié du commissaire Décary au ministre de la Défense nationale, le nouveau chef du CSTC, John Forster, a réexaminé la position de départ du CSTC, obtenu l'autorisation des partenaires étrangers et fourni au Bureau du commissaire une documentation détaillée se rapportant aux politiques et aux procédures respectives des alliés concernant le traitement de l'information sur les Canadiens. Cette façon de procéder nous donne une bonne idée du leadership positif du chef Forster en faveur d'une transparence accrue des activités du CSTC et à l'appui de l'examen effectué par mon bureau. Les politiques des alliés renferment des lignes directrices détaillées demandant à leurs employés respectifs de protéger et de traiter l'information concernant des Canadiens d'une manière comparable à l'approche du CSTC.
Toutefois, à la lumière des controverses récentes dans certains pays alliés, notamment à propos de l'allégation d'espionnage intérieur par leurs agences de renseignement électromagnétique étranger, je demeure d'accord avec le commissaire Décary sur le caractère essentiel d'une évaluation du risque. Mon bureau et moi-même continuerons de surveiller de près l'évolution de la situation dans les pays alliés.
Pour officialiser et renforcer les pratiques adoptées pour donner suite aux préoccupations éventuelles concernant le respect de la vie privée mettant en cause des partenaires étrangers, la nouvelle directive ministérielle devrait expressément reconnaître les risques associés au fait que l'information partagée avec les alliés par le CSTC peut inclure des communications de Canadiens et de l'information sur des Canadiens et que le CSTC ne peut exiger, pour des raisons de souveraineté, que ses partenaires étrangers rendent compte de l'usage de cette information.
Le commissaire Décary est allé au-delà de la portée de base de cet examen et a recommandé que la nouvelle directive porte sur le partage d'information relative à la protection des technologies de l'information avec les alliés, de même que sur le partage d'information issue des renseignements électromagnétiques étrangers.
La seconde recommandation du commissaire Décary se rapportait aux communications privées et au volume des échanges d'information concernant des Canadiens entre le CSTC et les alliés.
L'interception non intentionnelle d'une communication privée par le CSTC est une situation différente de l'acquisition non intentionnelle par le CSTC auprès d'une source d'un allié d'une communication destinée au Canada ou en provenance du Canada.
Autorisations ministérielles
La Loi sur la défense nationale habilite le ministre de la Défense nationale à donner au CSTC une autorisation ministérielle écrite pour ne pas qu'il soit tenu criminellement responsable si, au cours d'une activité de collecte de renseignements électromagnétiques étrangers dûment autorisée, des communications privées sont interceptées de façon non intentionnelle. La loi précise les conditions en vertu desquelles une autorisation ministérielle peut être émise. En l'absence du régime d'autorisations ministérielles, le CSTC se verrait interdire, en vertu du Code criminel, d'intercepter les communications d'une entité étrangère ciblée située à l'extérieur du Canada qui a été en contact avec un Canadien ou une personne au Canada.
Les modifications apportées en 2001 à la Loi sur la défense nationale ont établi le régime d'autorisations ministérielles. Les autorisations ministérielles permettent au CSTC de diriger ses activités vers des entités étrangères situées à l'extérieur du Canada, aux seules fins de fournir des renseignements électromagnétiques étrangers conformément aux priorités du gouvernement du Canada en matière de renseignement, même s'il existe des risques d'intercepter de manière non intentionnelle des communications privées de Canadiens. Au moyen d'une autorisation ministérielle, le ministre de la Défense nationale peut permettre au CSTC de mener des activités comportant le risque d'intercepter des communications privées, tant et aussi longtemps que le Centre respecte les critères pertinents définis dans la Loi sur la défense nationale (par exemple en dirigeant la collecte vers des entités étrangères situées à l'extérieur du Canada et en mettant en uvre des mesures pour protéger la vie privée des Canadiens en ce qui concerne l'utilisation ou la conservation de communications privées interceptées de façon non intentionnelle). Les activités d'interception de signaux électroniques étrangers menées en vertu d'une autorisation ministérielle doivent remplir les conditions énoncées au paragraphe 273.65(2) de la Loi sur la défense nationale et peuvent également faire l'objet des mesures additionnelles que le ministre de la Défense nationale juge utiles. Par exemple, pour protéger la vie privée des Canadiens en vertu du paragraphe 273.65(5) de la Loi, une autorisation ministérielle peut exiger que le CSTC fasse état de certains renseignements au ministre.
Les exigences stipulées dans les autorisations ministérielles s'appliquent uniquement aux interceptions effectuées par le CSTC en vertu des pouvoirs qui lui sont dévolus, à partir de ses propres capacités. Le régime d'autorisations ministérielles est un instrument canadien et s'applique au CSTC; il ne saurait s'appliquer aux alliés ou à leurs régimes souverains respectifs puisque ces parties traitent l'information en fonction de leurs propres pouvoirs nationaux. Les autorisations ministérielles couvrent d'ailleurs l'interception non intentionnelle de communications privées par le CSTC mais non l'acquisition par le CSTC de renseignements électromagnétiques étrangers de sources des partenaires étrangers. Ce genre de partage est implicitement autorisé en vertu de la partie a) du mandat du CSTC (alinéa 273.64 (1)a) de la Loi sur la défense nationale).
Collaboration internationale
Il est interdit au CSTC de demander à un partenaire étranger d'entreprendre des activités que lui-même se voit interdire de mener en vertu de la loi. Je me penche sur la collaboration du CSTC avec ses alliés pour m'assurer de la conformité à la loi.
Par conséquent, le CSTC n'a donné aucune précision au ministre de la Défense nationale concernant, par exemple, des communications impliquant des Canadiens ou de l'information sur des Canadiens partagées par ses partenaires étrangers. Dès lors, pour appuyer le ministre de la Défense nationale dans son obligation redditionnelle à l'égard du CSTC et pour mieux protéger la vie privée des Canadiens, le commissaire Décary a recommandé que le CSTC rende compte de cette information au ministre sur une base annuelle.
On peut faire valoir avec force que les attentes d'un Canadien en matière de protection de sa vie privée dans ses communications seront au moins identiques, voire plus élevées, si les communications sont interceptées de façon non intentionnelle et identifiées par le CSTC lui-même ou acquises de façon non intentionnelle par un partenaire étranger et transmises au CSTC.
Le fait de rendre compte régulièrement au ministre de la Défense nationale d'un éventail plus large de statistiques relatives à l'information partagée avec les alliés, comme c'est le cas pour les statistiques actuelles sur les autorisations ministérielles, aiderait le ministre dans son obligation redditionnelle à l'égard du CSTC. Cela le renseignerait sur l'étendue de cette information se rapportant à des Canadiens, et compléterait les mesures déjà en place pour protéger la vie privée des Canadiens.
Conclusion
Le partage d'information avec les partenaires étrangers constitue un volet essentiel de la collecte de renseignements électromagnétiques étrangers par le CSTC et de ses autres activités. Mais on ne peut nier que chacun des alliés, en tant que pays souverain, peut déroger aux ententes conclues avec le CSTC si ses propres intérêts nationaux l'exigent. Il n'est pas raisonnable d'essayer de stipuler dans les ententes ou les politiques tous les détails et de prévoir toutes les éventualités concernant le partage d'information issue des renseignements électromagnétiques étrangers par le CSTC avec les alliés.
Toutefois, les activités de partage d'information issue des renseignements électromagnétiques étrangers du CSTC avec les alliés pourraient bien avoir une incidence directe sur la protection de la vie privée et la sécurité d'un Canadien lorsque des communications privées ou de l'information sur l'identité sont partagées. En pareil cas, la précision et la justesse du langage dans les échanges d'information peuvent jouer un rôle déterminant et avoir une incidence sur les résultats, notamment la façon dont les individus sont traités. C'est pourquoi cet examen a donné lieu à deux recommandations pour appuyer le ministre de la Défense nationale dans son obligation redditionnelle à l'égard du CSTC et prévoir des mesures supplémentaires pour protéger la vie privée des Canadiens. Le ministre de la Défense nationale a accepté les deux recommandations sur la nouvelle directive ministérielle relative au partage et à la communication de précisions au ministre à propos des communications impliquant des Canadiens ou de l'information sur des Canadiens qui ont été partagées par ses partenaires étrangers. Le CSTC s'affaire à donner suite à ces recommandations. Mon bureau et moi-même surveillerons de près l'évolution de la situation.
Au cours des examens ultérieurs que j'effectuerai, je continuerai d'examiner les contrôles en place et les mesures prises par le CSTC qui m'aideront à m'assurer que le partage de renseignements électromagnétiques étrangers avec les alliés est légitime et protège la vie privée des Canadiens.
En outre, cet examen a fourni au Bureau du commissaire des données documentaires concernant les renseignements divulgués par le CSTC sur l'identité de Canadiens aux partenaires étrangers. À compter de cette année, j'ai inclus les renseignements sur l'identité de Canadiens divulgués à des partenaires étrangers dans un examen annuel élargi (voir le résumé de l'examen annuel d'un échantillon de renseignements divulgués concernant l'identité de Canadiens).
Je continuerai également d'inclure les incidents relatifs à la vie privée impliquant les partenaires étrangers dans mon examen annuel des incidents recensés par le CSTC (voir le résumé de l'examen annuel des incidents et des erreurs de procédure signalés par le Centre en 2013, qui ont touché ou auraient pu toucher la vie privée de Canadiens, et des mesures prises par le Centre pour régler le problème).
Dans les mois à venir, j'explorerai les options pour collaborer avec les organismes d'examen des pays alliés afin d'examiner les activités de partage d'information entre leurs agences du renseignement respectives et de vérifier l'application de leurs politiques respectives. Plusieurs universitaires canadiens et étrangers ont parlé d'une lacune au niveau de la reddition de comptes imputable à l'absence de collaboration internationale entre les organismes d'examen. Selon ces chercheurs, la collaboration croissante des agences de renseignement au niveau international devrait inciter les organismes d'examen à coopérer davantage entre eux. J'examinerai les possibilités de collaboration.
2. Examen des activités du Bureau de l'anti-terrorisme du CSTC
Contexte
Cet examen avait été entrepris par mon prédécesseur et il a été complété sous mon autorité. L'objet de l'examen était de parvenir à une connaissance détaillée du Bureau de l'anti-terrorisme pour évaluer tout changement dans ses activités depuis le dernier examen approfondi effectué en 2007. J'ai examiné un échantillon des activités récentes du Bureau de l'anti-terrorisme pour déterminer si elles étaient conformes à la loi et la mesure dans laquelle le CSTC protège la vie privée des Canadiens.
Un autre objectif précis était d'assurer un suivi sur les questions soulevées dans l'examen de certaines activités de collecte de renseignements électromagnétiques étrangers résumé dans le rapport du commissaire Décary déposé l'an dernier. Cet aspect de l'examen visait à déterminer si les changements apportés aux politiques et aux procédures du Centre depuis la période visée par l'examen avaient conduit à une amélioration de la clarté du langage utilisé dans les échanges d'information avec les partenaires, et avec le SCRS en particulier.
Le Bureau de l'anti-terrorisme a été établi en octobre 2001, dans la foulée des attentats du 11 septembre, dans le but de centraliser les efforts du renseignement électromagnétique étranger du CSTC en lien avec les menaces que fait peser le terrorisme international. Les activités opérationnelles du Bureau de l'anti-terrorisme consistent notamment à acquérir et à utiliser de l'information provenant de l'infrastructure mondiale d'information dans le but de fournir du renseignement étranger en rapport avec le terrorisme et d'offrir une assistance technique et opérationnelle aux organismes fédéraux d'application de la loi et de sécurité dans l'exercice de leur mandat légal qui consiste à enquêter sur le terrorisme. Le Bureau de l'anti-terrorisme collabore étroitement avec le SCRS et la Gendarmerie royale du Canada ainsi qu'avec les partenaires étrangers du CSTC. Le Bureau de l'anti-terrorisme peut également appuyer la réponse du gouvernement à des incidents critiques tels l'enlèvement d'un Canadien à l'étranger.
Constatations et recommandations
Les activités du Bureau de l'anti-terrorisme sont soumises aux mêmes exigences légales de protection de la vie privée des Canadiens que l'ensemble des activités du CSTC. Le Centre dispose d'un nombre suffisant de politiques et de processus pour s'acquitter de son obligation en vertu de la loi lui interdisant d'exercer des activités qui viseraient des Canadiens — où qu'ils se trouvent dans le monde — ou toute personne au Canada. J'ai constaté que les employés du Bureau de l'anti-terrorisme avaient connaissance des politiques et des pratiques visant à assurer la conformité à la loi et la protection de la vie privée, et que les gestionnaires surveillaient de manière systématique les activités aux fins de la conformité.
Après l'analyse d'un échantillon d'activités relatives aux métadonnées incluant des renseignements sur des Canadiens et conduites par le Bureau de l'anti-terrorisme, je conclus que ces activités ont été généralement menées en conformité avec la politique opérationnelle. Je considère toutefois que les sections de la politique du CSTC se rapportant à cette activité ne reflètent pas des pratiques standard. J'ai recommandé que le CSTC modifie sa politique visant ces activités pour la calquer davantage sur ses pratiques actuelles, plus précisément aux fins de la tenue de dossiers. Je poursuivrai l'analyse de cette question dans le cadre de mon examen actuel des activités de collecte des renseignements électromagnétiques étrangers et de protection des technologies de l'information qui peuvent utiliser des métadonnées.
J'ai également recommandé que le CSTC adopte des lignes directrices écrites pour officialiser et renforcer les pratiques existantes afin de prendre en compte les préoccupations éventuelles relatives à la vie privée impliquant des partenaires étrangers. Bien que les ententes de collaboration du CSTC fassent état de l'engagement des partenaires à respecter la vie privée de leurs citoyens respectifs, il est reconnu que chaque partenaire est une agence appartenant à un pays souverain qui peut déroger aux ententes si elle l'estime nécessaire au profit de ses intérêts nationaux respectifs.
Depuis l'examen de 2007 du Bureau de l'anti-terrorisme, le CSTC a promulgué de nouvelles lignes directrices et introduit une nouvelle procédure pour consigner les échanges d'information entre lui-même et les organismes fédéraux chargés de l'application de la loi et de sécurité. Ce changement de procédure est important et encouragera l'utilisation d'un langage clair dans les échanges d'information. En conséquence, j'ai conclu que le CSTC avait donné suite à la recommandation issue de l'examen de certaines activités de collecte de renseignements électromagnétiques étrangers effectué par mon prédécesseur et concernant la clarté des échanges. Les documents du Bureau de l'anti-terrorisme examinés ne soulevaient aucune préoccupation analogue à celles rencontrées lors de l'examen de mon prédécesseur présenté l'an dernier; les échanges d'information étaient clairs et non ambigus.
Conclusion
Bien que j'aie formulé deux recommandations à l'intention du ministre de la Défense nationale pour renforcer la politique du CSTC, je conclus que les activités du Bureau de l'anti-terrorisme sont conformes à la loi et aux instructions ministérielles. Le ministre de la Défense nationale a souscrit aux deux recommandations et le CSTC s'affaire à y donner suite en diffusant des lignes directrices opérationnelles nouvelles ou mises à jour pour régler les problèmes soulignés dans les recommandations. Mon bureau et moi-même surveillerons l'évolution de la situation.
3. Étude du cadre et des mécanismes de surveillance du CSTC à l'appui de la conformité à la politique
Contexte
Cette étude a été entreprise par mon prédécesseur et complétée sous mon autorité. La surveillance de la conformité à la politique est un programme interne établi depuis longtemps qui aide le CSTC à s'assurer et à démontrer que ses activités opérationnelles de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information sont conformes à la loi ainsi qu'aux exigences ministérielles et à la politique, y compris en ce qui a trait à la protection de la vie privée des Canadiens. La surveillance de la conformité à la politique peut mettre en évidence des domaines de préoccupation possibles mais joue également un rôle éducatif au sein du CSTC. Il s'agit de la première étude détaillée des mécanismes de surveillance de la conformité à la politique depuis la vérification effectuée en 2009 par les vérificateurs internes du CSTC qui a contraint le Centre à modifier plusieurs mécanismes et son cadre de politique connexe. Selon une des constatations principales de la vérification de 2009, certains superviseurs dans les domaines opérationnels estimaient que les instructions du CSTC manquaient de clarté.
Les dossiers des mécanismes de surveillance du CSTC étayent mes examens en montrant les efforts que fait le Centre pour assurer la conformité. Les commissaires ont souligné l'importance de mécanismes et d'un cadre solide de surveillance de la conformité à la politique. Par exemple, dans son Examen annuel des activités de collecte de renseignements électromagnétiques étrangers conduites en vertu d'autorisations ministérielles, le 25 février 2011, le commissaire Décary recommandait que, compte tenu de l'importance d'assurer la conformité à la loi et la protection de la vie privée des Canadiens, le CSTC devait accélérer la mise en uvre d'un programme amélioré de surveillance active de la collecte de renseignements électromagnétiques étrangers.
Les objectifs de l'étude étaient les suivants :
- parvenir à une connaissance détaillée du nouveau cadre de surveillance du CSTC, ainsi que de la façon dont les mécanismes connexes contribuent à la conformité du CSTC et à la protection de la vie privée, et les documenter;
- observer dans les rangs des gestionnaires et des employés des opérations de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information le niveau de connaissance du cadre et des mécanismes de conformité;
- utiliser les connaissances acquises pour étayer les critères et les méthodes standard que j'applique aux examens, c'est-à-dire comment évaluer si le CSTC dispose d'un système de contrôle de gestion efficace; et
- mettre en évidence toute question pouvant nécessiter un suivi.
Constatations
Depuis la vérification de 2009, le CSTC a adopté une politique et des procédures détaillées qui définissent clairement les rôles et les responsabilités des personnes participant à la surveillance de la conformité à la politique. Les nouvelles lignes directrices renferment des exigences détaillées et précises et regroupent les mécanismes de surveillance sous sept thèmes : traitement des données, rapports, conservation et élimination, gestion de la collecte, gestion de l'information, conditions des autorisations ministérielles et diffusion.
D'après les documents dépouillés et les entretiens avec les gestionnaires et les employés des opérations du CSTC ainsi qu'avec les employés des programmes de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information qui sont responsables de la conformité et de la supervision des activités opérationnelles, je conclus qu'il existe une démarche rigoureuse de surveillance de la conformité à la politique. Les instructions sur la surveillance sont claires et détaillées et sont suivies. Les mécanismes de surveillance sont maintenant intégrés aux activités quotidiennes du CSTC. Les programmes de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information ont ajouté à leurs programmes de surveillance de la conformité des tests obligatoires de connaissance de la politique et de sensibilisation. En outre, les exigences relatives à la surveillance de la conformité à la politique sont intégrées dans de nouveaux systèmes et outils du CSTC ou dans leur version actualisées.
Un des points qui nécessite une amélioration concerne l'établissement de conventions d'appellations cohérentes pour les registres de surveillance de la conformité à la politique dans le système de registres organisationnels du CSTC. Cette initiative aiderait à assurer la disponibilité en temps opportun de ces registres afin de montrer les efforts du CSTC pour assurer la conformité à la loi, aux exigences ministérielles et à la politique.
Pourquoi recueillir des renseignements électromagnétiques étrangers?
Le CSTC recueille des renseignements électromagnétiques étrangers, d'une part pour aider à protéger la sécurité du Canada et des Canadiens contre différentes menaces, par exemple le terrorisme basé à l'étranger, l'espionnage étranger, les cyberattaques et les enlèvements de Canadiens à l'étranger et, d'autre part, pour appuyer le processus décisionnel gouvernemental en permettant de mieux comprendre les événements mondiaux. Mais compte tenu des atteintes possibles à la vie privée des Canadiens, les risques inhérents à la collecte de renseignements électromagnétiques étrangers en valent-ils la peine? De toute évidence, les parlementaires n'en doutaient pas lorsqu'ils ont adopté les modifications à la Loi sur la défense nationale en 2001 qui ont jeté les bases législatives du CSTC. Mais les parlementaires ont aussi anticipé le danger d'une utilisation potentielle à mauvais escient des renseignements électromagnétiques et ils ont explicitement demandé au CSTC de cibler uniquement des entités étrangères et non des Canadiens au pays ou à l'étranger ou des personnes se trouvant au Canada. En outre, en rédigeant la législation qui régit le CSTC, les parlementaires ont exigé de l'organisme qu'il mette en place des mesures pour protéger la vie privée des Canadiens, en particulier en ce qui a trait à l'utilisation et à la conservation de l'information interceptée. L'erreur humaine et l'excès de zèle présentent d'autres risques. Le Parlement a choisi de gérer ces risques en enchâssant dans la loi le Bureau du commissaire du Centre de la sécurité des télécommunications, qui est chargé d'examiner les activités du CSTC afin de s'assurer qu'elles sont en conformité avec la loi, notamment en ce qui a trait à la protection de la vie privée des Canadiens.
Conclusion
Depuis la vérification de 2009, les programmes de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information du CSTC ont pris d'importantes mesures pour renforcer la conformité en mettant en uvre un nouveau cadre de surveillance de la conformité à la politique et des instructions opérationnelles détaillées, une formation et des tests, de même qu'un certain nombre de nouvelles activités connexes.
Je continuerai d'évaluer et de vérifier les mécanismes de surveillance de la conformité à la politique du CSTC dans le cadre des examens.
4. Examen des autorisations ministérielles du Centre relatives à la collecte de renseignements électromagnétiques étrangers en 2012-2013
Contexte
La Loi sur la défense nationale habilite le ministre de la Défense nationale à donner au CSTC une autorisation écrite de mener des activités comportant le risque d'intercepter de façon non intentionnelle des communications privées lorsqu'il recueille des renseignements électromagnétiques étrangers. La Loi précise les conditions en vertu desquelles une autorisation ministérielle peut être émise. Les autorisations ministérielles visent une « activité ou une catégorie d'activités » précisées dans le texte de l'autorisation. Selon l'interprétation du ministère de la Justice, il s'agit d'une méthode particulière d'acquérir des renseignements électromagnétiques étrangers (le comment). Les autorisations ne renvoient pas à un individu ou à un sujet spécifique (le qui ou le quoi). (Pour obtenir davantage d'information sur les autorisations ministérielles de même que sur les pouvoirs et les limites applicables aux activités du CSTC, consultez le site Web du Bureau et le site Web du CSTC.)
La loi oblige le commissaire du Centre de la sécurité des télécommunications à faire enquête sur les activités exercées en vertu d'une autorisation ministérielle et à faire rapport annuellement au ministre de la Défense nationale sur son examen. Un examen combiné annuel des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers constitue donc pour moi une façon de m'acquitter de ce volet de mon mandat. Cette année, j'ai examiné les trois autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers en vigueur du 1er décembre 2012 au 30 novembre 2013 se rapportant à trois activités ou catégories d'activités.
L'objet de mon examen était de m'assurer que les activités menées en vertu d'une autorisation ministérielle étaient autorisées; de mettre en évidence tout changement important — au cours de l'année visée par l'examen, comparativement aux années précédentes — dans les documents d'autorisation eux-mêmes et dans les activités ou catégories d'activités du CSTC décrites dans l'autorisation; d'évaluer l'incidence, le cas échéant, de ces changements sur le risque de non-conformité et d'atteinte à la vie privée et, en conséquence, de cerner tout sujet nécessitant un examen de suivi; et d'examiner les communications privées interceptées de façon non intentionnelle par le CSTC en vertu de ces autorisations, sous l'angle de la conformité à la loi et de la protection de la vie privée des Canadiens.
Alors que dans le cadre de cet examen annuel, les commissaires examinaient auparavant des échantillons de communications privées interceptées de façon non intentionnelle, cette année, j'ai examiné toutes les communications privées, au nombre de 66, que le CSTC a acquises de manière non intentionnelle dans la conduite de ses activités de collecte de renseignements électromagnétiques étrangers et qu'il a utilisées dans ses rapports ou qu'il avait encore en sa possession à la fin de la période de validité des autorisations ministérielles de 2012-2013 en vue de leur utilisation dans des rapports ultérieurs. J'ai examiné en 2012-2013 tousles rapports produits par le CSTC renfermant de l'information tirée des communications privées. Pour ces 66 communications privées, mes employés ont vérifié le contenu des systèmes et des bases de données du CSTC et écouté les conversations interceptées, lu le contenu écrit ou examiné les transcriptions associées à ces communications. J'ai également examiné les principaux paramètres se rapportant à l'interception, aux communications privées et à la vie privée des Canadiens.
Constatations et recommandations
Les autorisations ministérielles visant la collecte de renseignements électromagnétiques étrangers de 2012-2013 étaient valides, c'est-à-dire que les quatre conditions d'une autorisation stipulées dans la Loi sur la défense nationale étaient réunies.
Conditions des autorisations ministérielles visant les renseignements électromagnétiques étrangers
Le ministre de la Défense nationale ne peut donner une autorisation [de collecte de renseignements électromagnétiques étrangers] que s'il est convaincu que les conditions suivantes sont réunies :
a) l'interception vise des entités étrangères situées à l'extérieur du Canada;
b) les renseignements à obtenir ne peuvent raisonnablement être obtenus d'une autre manière;
c) la valeur des renseignements étrangers que l'on espère obtenir grâce à l'interception justifie l'interception envisagée; et
d) il existe des mesures satisfaisantes pour protéger la vie privée des Canadiens et pour faire en sorte que les communications privées ne soient utilisées ou conservées que si elles sont essentielles aux affaires internationales, à la défense ou à la sécurité.
Le CSTC a apporté d'importants changements au format de ses autorisations ministérielles visant la collecte de renseignements électromagnétiques étrangers en 2012-2013. En conséquence, la collecte qui avait été officiellement autorisée en vertu de six autorisations ministérielles en 2011-2012 l'a été en vertu de trois en 2012-2013. J'ai examiné les changements apportés aux documents en comparant minutieusement le contenu avec celui de documents antérieurs et en évaluant la justification des changements apportés aux documents présentée par le CSTC. Je n'avais aucune question concernant les changements. Grâce au nouveau format, les documents sont harmonisés comme il se doit avec l'objet des autorisations ministérielles — c'est-à-dire protéger le CSTC contre d'éventuels recours en vertu de la partie VI du Code criminel dans le cas où il intercepterait de façon non intentionnelle des communications privées dans le cadre de la collecte dûment autorisée de renseignements électromagnétiques étrangers — et ils sont clairs et exhaustifs. Il est important de mentionner que les exigences en matière de rapports au ministre de la Défense nationale n'ont pas changé sous le nouveau format des autorisations ministérielles.
J'ai également examiné les changements touchant les politiques opérationnelles du CSTC se rapportant à la conduite des activités sous le régime des autorisations ministérielles de collecte de renseignements électromagnétiques étrangers. En vue de rendre compte de façon adéquate de certaines activités sensibles, j'ai recommandé que le CSTC adopte des lignes directrices détaillées concernant les approbations supplémentaires requises pour ces activités particulières. Les autres changements apportés par le CSTC à ses politiques opérationnelles ne présentaient aucun problème à mes yeux.
En 2012-2013, le CSTC a apporté des changements à la technologie utilisée pour certaines de ses activités de collecte de renseignements électromagnétiques étrangers. Les changements ne m'ont posé aucun problème et j'examinerai leurs éventuelles répercussions au moment des examens approfondis subséquents des activités.
Au cours de la période visée par l'examen, le CSTC a parachevé et lancé un outil (dont il est question dans le rapport de mon prédécesseur de l'an dernier) et déployé un autre outil. Ces outils aideront les analystes du Centre à identifier et à noter correctement les communications recueillies qui pourraient être des communications privées ou renfermer de l'information sur des Canadiens. Ces notes sont importantes parce qu'elles déterminent la façon dont les systèmes et les bases de données du CSTC traiteront, conserveront ou supprimeront les communications. Les nouveaux outils devraient réduire le risque d'erreur humaine. Les analystes continuent néanmoins d'être responsables de la validation des résultats de ces outils automatisés.
Bien que le CSTC ait grandement modifié la façon dont il dénombre les « communications recueillies » dont il fait état au ministre de la Défense nationale, il n'en continue pas moins d'utiliser la même méthode que les années précédentes pour dénombrer et signaler les communications privées identifiées. Cette cohérence permet de comparer le nombre total de communications recueillies d'une année à l'autre et le nombre de communications privées interceptées de façon non intentionnelle.
J'ai constaté que tous les rapports du CSTC fondés sur des communications privées renfermaient des renseignements étrangers se rapportant aux affaires internationales, à la défense ou à la sécurité.
Communications privées identifiées
Somme toute, en 2012-2013, le nombre de communications recueillies dans le cadre des activités de collecte de renseignements électromagnétiques étrangers menées par le CSTC s'est accru. Cependant, le nombre de communications privées identifiées interceptées de façon non intentionnelle par le CSTC et conservées par le Centre était suffisamment petit pour que je puisse les examiner une à une. À la fin de la période de validation des autorisations ministérielles de 2012-2013, le CSTC avait conservé 66 communications privées identifiées qu'il avait recueillies. Il en avait utilisé 41 dans ses rapports (l'identité de tout Canadien ayant été supprimée dans les rapports) et conservé 25 pour un usage ultérieur. Toutes les autres communications privées identifiées, lesquelles sont interceptées de façon non intentionnelle, ont été supprimées.
Toutefois, au cours de mon examen, j'ai trouvé des cas où les procédures applicables à l'identification des communications privées n'avaient pas été suivies correctement par les employés du CSTC. Dans un cas, une communication privée avait été identifiée, mais contrairement à la politique, elle avait été incorrectement notée en vue d'être conservée sans qu'il eût été déterminé qu'elle était essentielle aux affaires internationales, à la défense ou à la sécurité. Dans un autre cas, le CSTC avait identifié plusieurs communications privées mais ne les avait pas identifiées pour conservation ou suppression avant plusieurs semaines.
Il y a eu par ailleurs d'autres cas où des analystes ont conservé des communications privées issues de la collecte de renseignements étrangers — parfois pendant plusieurs mois — alors qu'elles n'étaient plus essentielles aux affaires internationales, à la défense ou la sécurité. Dans ces situations, il n'avait pas été donné suite en temps opportun aux rappels du CSTC demandant que l'on supprime ces communications. Toutefois, ces communications ont finalement été supprimées avant l'expiration de la période de validité des autorisations ministérielles, qui est à la base du rapport au ministre de la Défense nationale.
Au vu de ces exemples, j'ai formulé trois recommandations. D'abord, j'ai recommandé que les analystes du CSTC identifient immédiatement les communications privées en indiquant qu'elles sont essentielles aux affaires internationales, à la défense ou à la sécurité, comme l'exige la Loi sur la défense nationale et, si ce n'est pas le cas, qu'elles doivent être détruites. Ensuite, j'ai recommandé que les analystes du CSTC évaluent régulièrement, au minimum tous les trimestres, les communications privées identifiées non encore utilisées dans un rapport pour déterminer si elles sont strictement nécessaires et demeurent essentielles aux affaires internationales, à la défense ou à la sécurité, ou si certaines doivent être supprimées. Enfin, j'ai recommandé que le CSTC rende accessible au ministre de la Défense nationale une information plus détaillée concernant le nombre de communications recueillies et le nombre de communications privées interceptées qu'il acquiert et conserve pendant toute la période de validité de l'autorisation ministérielle.
Au vu d'un autre exemple, dans le cadre duquel un analyste a conservé pendant un certain temps des communications privées en attendant d'autres instructions, j'ai recommandé que le CSTC adopte une politique définissant les circonstances précises et le traitement d'un type particulier de communications.
Enfin, je constate que le CSTC a poursuivi dans la voie du progrès en mettant en uvre une recommandation découlant de l'examen annuel des autorisations ministérielles de collecte de renseignements électromagnétiques étrangers de 2010-2011 pour rendre compte au ministre de la Défense nationale de certains renseignements se rapportant à la protection de la vie privée. Mon bureau et moi-même continuerons de surveiller l'évolution de la situation.
Conclusion
Je conclus que toutes les communications privées qui ont été identifiées par le CSTC ont été interceptées de manière non intentionnelle. Il n'y avait aucune intention de la part du Centre de recueillir ces communications destinées au Canada ou en provenance du Canada; cet élément était dans tous les cas accessoire au ciblage intentionnel par le CSTC d'une entité étrangère à l'extérieur du Canada (portion étrangère de la communication).
Le ministre de la Défense nationale a accepté ces recommandations et le Centre s'affaire à donner suite aux cinq recommandations que j'ai formulées pour promouvoir la conformité, renforcer la protection de la vie privée et appuyer le ministre dans sa reddition de comptes à l'égard du CSTC. Le Centre s'est engagé à émettre des lignes directrices pour l'approbation d'activités particulièrement sensibles. Il a indiqué qu'il inclurait davantage d'information dans son rapport annuel sur les autorisations ministérielles de 2013-2014 concernant le nombre de communications privées conservées tout au long de l'année visée par le rapport. Le CSTC s'est engagé à faire en sorte que les analystes exercent les rôles et les responsabilités qui leur sont dévolus et qui sont décrits dans les politiques opérationnelles et les procédures concernant l'identification des communications privées. Le CSTC s'est également engagé à faire en sorte que tous les analystes examinent sur une base trimestrielle les communications privées qu'ils ont conservées. Enfin, il s'est engagé à élaborer et à adopter des lignes directrices sur les circonstances particulières et le traitement d'un type particulier de communications. Mon bureau et moi-même surveillerons l'évolution de la situation.
5. Examen annuel d'un échantillon de renseignements concernant l'identité de Canadiens divulgués par le CSTC à des clients du gouvernement du Canada et aux partenaires étrangers
Contexte
Il s'agit du quatrième examen annuel portant sur la divulgation, par le CSTC, de renseignements sur l'identité de Canadiens issus de rapports sur les renseignements électromagnétiques étrangers à des clients du gouvernement du Canada. Pour la première fois, cet examen incluait un échantillon de renseignements divulgués aux partenaires étrangers de même que des renseignements divulgués par l'intermédiaire d'un client du gouvernement du Canada ou d'un partenaire étranger à des destinataires n'appartenant pas au Groupe des cinq. L'examen portait sur la période allant du 1er juillet 2012 au 30 juin 2013.
La Loi sur la défense nationale et la Loi sur la protection des renseignements personnels exigent que le CSTC prenne des mesures pour protéger la vie privée des Canadiens, notamment leurs renseignements personnels. Des rapports du Centre portant sur les renseignements électromagnétiques étrangers peuvent renfermer de l'information permettant d'identifier des Canadiens si cette information est jugée essentielle à la compréhension de ces renseignements. Toutefois, à quelques exceptions près qui sont énoncées dans la politique du CSTC, toute information identifiant un Canadien doit être supprimée des rapports et remplacée par une mention générale du type « un Canadien ». Lorsqu'il reçoit une demande subséquente de communication des détails de l'information supprimée, le CSTC doit vérifier que le client du gouvernement du Canada ou le partenaire étranger qui fait la demande a le pouvoir et la justification opérationnelle requis pour obtenir l'information sur l'identité du Canadien. Ce n'est qu'après cette vérification qu'il peut fournir cette information.
Constatations
Mon bureau a sélectionné et examiné un échantillon d'environ 20 p. 100 des demandes de divulgation reçues par le CSTC de tous ses clients et partenaires au cours de la période visée par l'examen, les rapports finaux connexes et tous les dossiers de divulgation connexes de renseignements sur l'identité de Canadiens. Nous nous sommes également penchés sur le refus de divulguer cette information à des clients du gouvernement du Canada et à des partenaires étrangers.
Je conclus que la divulgation par le CSTC d'information sur l'identité de Canadiens provenant de rapports sur les renseignements électromagnétiques étrangers à des clients du gouvernement du Canada et à des partenaires étrangers était conforme à la loi et aux instructions ministérielles concernant la protection de la vie privée des Canadiens. Le CSTC a appliqué efficacement des mesures satisfaisantes pour protéger les renseignements personnels et la vie privée des Canadiens dans le cadre de ses divulgations.
L'enquête menée par mon bureau a recensé deux incidents relatifs à la vie privée se rapportant à deux Canadiens mentionnés dans quatre rapports. Il appert qu'un partenaire étranger a inclus par inadvertance de l'information sur l'identité de Canadiens dans les rapports, c'est-à-dire que l'information sur l'identité de Canadiens n'avait pas été supprimée de ces rapports dès le départ comme l'exigent les politiques du CSTC et des alliés. Cela ne veut pas dire qu'on puisse parler de non-conformité délibérée de la part du CSTC ou de l'un de ses partenaires puisqu'on ignorait à ce moment-là qu'il s'agissait de Canadiens. Le CSTC a consigné les incidents dans son dossier des incidents relatifs à la vie privée. J'examinerai les réponses du CSTC à ces incidents.
Mon bureau a également recensé et analysé avec le CSTC certains cas mineurs où les registres de renseignements divulgués n'étaient pas conformes aux meilleures pratiques. Je surveillerai ces questions dans le cadre des examens annuels futurs portant sur les renseignements divulgués.
Le CSTC dispose de pratiques et de procédures détaillées qui orientent la divulgation d'information sur l'identité de Canadiens provenant de rapports sur les renseignements électromagnétiques étrangers à des clients du gouvernement du Canada. Il est encourageant de constater que le CSTC modifie ses lignes directrices pour fournir d'autres instructions concernant les divulgations à des partenaires étrangers.
Les employés du CSTC interrogés étaient tout à fait au courant des politiques et des procédures et ils s'y conformaient. Quant aux gestionnaires du CSTC, ils surveillaient systématiquement et de près les renseignements divulgués pour en assurer la conformité et la protection de la vie privée.
Il est encourageant que le CSTC continue d'accorder la priorité à l'automatisation complète de ses processus de gestion de l'information et des dossiers pour la divulgation d'information sur l'identité de Canadiens issue de rapports sur les renseignements électromagnétiques étrangers.
Conclusion
Je n'ai formulé aucune recommandation à l'issue de l'examen. Le CSTC a mené ses activités de manière rigoureuse; toutes les demandes examinées étaient autorisées et justifiées.
S'il devait y avoir un cas de non-conformité lorsque le CSTC divulgue de l'information sur l'identité de Canadiens, l'incidence possible sur la vie privée des Canadiens pourrait être importante. C'est pourquoi j'ai bien l'intention de continuer à effectuer un examen annuel des renseignements divulgués.
6. Examen annuel des incidents et des erreurs de procédure signalés par le CSTC en 2013, qui ont touché ou auraient pu toucher la vie privée de Canadiens, et des mesures prises par le Centre pour régler le problème
Contexte
Le CSTC exige que les employés qui travaillent à la collecte de renseignements électromagnétiques étrangers et à la protection des technologies de l'information signalent et documentent les incidents relatifs à la vie privée de façon à montrer la conformité du Centre aux exigences prévues par la loi et aux exigences ministérielles, et à prévenir d'autres incidents. Les incidents sont documentés dans un des deux dossiers décrits ci-après en fonction de leur gravité. Le dossier des incidents relatifs à la vie privée est un registre des incidents survenus au Centre et ayant donné lieu à une atteinte au droit à la vie privée. Le rapport sur les erreurs de procédure mineures fait état des erreurs opérationnelles qui se sont produites en lien avec de l'information sur des Canadiens mais qui n'ont pas entraîné une perte de contrôle du Centre ni la communication de cette information à des destinataires externes qui n'auraient jamais dû la recevoir. Le dossier des incidents relatifs à la vie privée et le rapport sur les erreurs de procédure mineures sont des initiatives volontaires du Centre pour consigner ce qu'il considère comme des incidents à la protection de la vie privée.
Chaque examen des activités du Centre que je mène inclut généralement une analyse de tout incident relatif à la vie privée se rapportant au sujet de l'examen. L'examen annuel du dossier des incidents relatifs à la vie privée et du rapport sur les erreurs de procédure mineures met l'accent sur les incidents qui n'ont pas été analysés en détail au cours de mes autres examens. Ces vérifications me permettent de m'assurer que le CSTC a pris les mesures correctives adéquates pour tous les incidents relatifs à la vie privée qu'il a relevés.
Cet examen répond à plusieurs finalités, à savoir : prendre connaissance des incidents et des erreurs de procédure survenus ainsi que des mesures prises par la suite par le CSTC pour apporter des correctifs ou en atténuer les conséquences; servir de base à l'élaboration de mon plan de travail en déterminant quels incidents relatifs à la vie privée, erreurs de procédure et activités connexes, le cas échéant, peuvent soulever des problèmes de conformité ou de protection de la vie privée des Canadiens et, par conséquent, devraient faire l'objet d'un examen de suivi; et m'aider à évaluer les mécanismes et le cadre de surveillance du CSTC à l'appui de la conformité à la politique.
Constatations et recommandation
D'après l'examen des dossiers du CSTC, ces réponses au cours des entretiens et aux questions écrites, de même que la vérification indépendante portant sur les rapports figurant dans la base de données du Centre effectuée par mon bureau, je suis satisfait que le Centre a pris les mesures correctives appropriées en réponse aux erreurs de procédure et aux incidents relatifs à la vie privée qu'il a relevés et consignés en 2013.
Je conclus que les erreurs de procédure étaient mineures et qu'aucune n'a donné lieu à une atteinte à la vie privée.
Lorsqu'il y a eu atteinte à la vie privée, le CSTC n'a pas découvert de répercussions négatives sur les citoyens canadiens.
Le Centre a mis en uvre ou travaille à mettre en uvre certaines mesures correctives pour prévenir à l'avenir des incidents relatifs à la vie privée similaires à ceux recensés. Par exemple, le CSTC a formulé de nouvelles lignes directrices et il clarifie d'autres politiques pour aider à prévenir la désignation non intentionnelle de Canadiens dans ses rapports. Je surveillerai l'incidence des changements dans les examens à venir.
Le partage d'information entre le Centre et le SCRS a donné lieu à un incident relatif à la vie privée. Dans son examen de certaines activités de collecte de renseignements électromagnétiques étrangers mené en 2012-2013, mon prédécesseur avait formulé une recommandation concernant la clarté du langage lorsque le Centre partage de l'information avec ses partenaires du gouvernement du Canada. Dans mon Examen des activités du Bureau de l'anti-terrorisme du CSTC mené cette année, j'analyse la mise en uvre d'un processus établi par le Centre qui a aidé à prévenir l'utilisation de termes imprécis et non uniformes dans les échanges d'information entre le Centre et ses partenaires fédéraux. J'accepte l'explication du Centre selon laquelle un problème technique survenu au moment de l'incident relatif à la vie privée a entraîné cet échange particulier en dehors du nouveau processus. Mon bureau et moi-même continuerons de surveiller les échanges d'information du Centre avec ses partenaires pour nous assurer que des processus appropriés sont suivis et que les échanges sont clairs, de façon à éviter toute situation ambigüe qui pourrait soulever des questions concernant la conformité.
Je conclus également que le Centre prend généralement des mesures appropriées pour protéger la vie privée des Canadiens lorsqu'un incident relatif à la vie privée découle des activités d'un allié. Toutefois, en raison du potentiel accru de violation de la vie privée d'un Canadien lorsqu'un incident relatif à la vie privée implique un allié, j'ai recommandé que le Centre demande à ses partenaires étrangers de confirmer qu'ils ont donné suite aux demandes du Centre voulant que l'on règle les incidents relatifs à la vie privée se rapportant à des Canadiens et que le Centre consigne les réponses dans le dossier des incidents relatifs à la vie privée.
Conclusion
Mon examen n'a pas révélé de lacunes ou de problèmes systémiques nécessitant un examen de suivi.
J'ai l'intention de continuer à effectuer un examen annuel du dossier des incidents relatifs à la vie privée et du rapport sur les erreurs de procédure mineures du Centre.
Le ministre de la Défense nationale a accepté la recommandation. Mon bureau et moi-même surveillerons l'évolution de la situation concernant les constatations et la recommandation que j'ai formulées dans cet examen.
- Date de modification :