Points saillants des rapports présentés au ministre en 2017–2018
1. Examen des pouvoirs du CST et de sa participation à une initiative opérationnelle multilatérale
Contexte
Au cours de l'examen du partage de renseignements du CST avec des entités étrangères mené l'an dernier, le bureau du commissaire a appris que le CST participait à une initiative opérationnelle multilatérale. Des questions ont été soulevées sur les pouvoirs en vertu desquels le CST participait à cette initiative ainsi que sur l'orientation, les politiques et le cadre opérationnel relatifs à sa participation. Pour ces raisons, le commissaire a décidé d'examiner cette activité de façon distincte.
L'examen constituait une occasion d'acquérir des connaissances approfondies sur la participation du CST à l'initiative multilatérale en vue de déterminer si les activités étaient conformes aux lois canadiennes et de vérifier que des mesures adéquates ont été prises pour protéger la vie privée des Canadiens. Le bureau du commissaire a examiné les activités, les rapports, les documents d'orientation et de politique ainsi que la correspondance interne liée à l'initiative pour la période allant de novembre 2013 à juin 2016.
Le CST entretient avec plusieurs entités étrangères des relations multilatérales de longue date qui impliquent la coopération et le partage de renseignements sur des questions d'intérêt mutuel. Le groupe multilatéral a récemment entrepris une initiative de collaboration visant l'élaboration de produits d'analyse fondés sur l'information partagée par les participants. À ce jour, l'initiative a été axée sur la menace terroriste posée par les voyageurs extrémistes, mais une forme de collaboration similaire pourrait servir d'autres intérêts communs.
Dans le cadre de l'initiative opérationnelle multilatérale, les participants collaborent à l'élaboration de produits d'analyse. L'information utilisée aux fins de l'analyse est fournie par les participants, qui l'acquièrent dans le cadre de leurs travaux de collecte indépendants relevant de leurs mandats juridiques respectifs. Grâce à sa participation à cette initiative, le CST peut consulter l'information partagée par les autres participants de même que les rapports d'analyse élaborés conjointement.
Plusieurs participants à l'initiative multilatérale ont des mandats de collecte de renseignements et sont assujettis à des limites qui sont prévus par leurs régimes juridiques et de politiques respectifs et diffèrent de ceux du CST.
Au titre du mandat de collecte de renseignements électromagnétiques étrangers du CST, dont il s'acquitte conformément à l'alinéa 273.64(1)a) de la Loi sur la défense nationale – partie a) du mandat du CST – les activités du CST ne peuvent viser des Canadiens et ces activités doivent être soumises à des mesures de protection de la vie privée des Canadiens – alinéas 273.64(2)a) et b). Lorsque le CST fournit une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité, dans l'exercice des fonctions que la loi leur confère, les activités du CST sont assujetties aux limites que la loi impose aux organismes en question, conformément à l'alinéa 273.64(1)c) de la Loi sur la défense nationale – partie c) du mandat du CST.
Si le Service canadien du renseignement de sécurité (SCRS) demande l'assistance du CST conformément à la partie c) de son mandat, ce dernier peut faire office de canal de transmission sûr de l'information provenant d'une entité étrangère qui pourrait être liée à une menace pour la sécurité du Canada, mais qui a pu être acquise par des activités visant un Canadien.
Constatations et recommandation
Au début de l'examen, le bureau du commissaire a posé des questions sur les pouvoirs en vertu desquels le CST participait à l'initiative multilatérale, car il ne savait pas exactement si le CST participait à l'initiative au titre de son mandat de collecte de renseignements électromagnétiques étrangers ou au titre de son mandat d'assistance. Le bureau du commissaire a donc demandé au CST de confirmer les pouvoirs en vertu desquels il exerçait ses activités dans le cadre de l'initiative. Le CST maintient qu'il avait établi avant le début de l'activité qu'il allait participer à l'initiative au titre de son mandat de collecte de renseignements électromagnétiques étrangers. Toutefois, les documents internes examinés par le bureau du commissaire ont démontré que des discussions avaient eu lieu au sein du CST concernant la mesure dans laquelle les différentes parties de son mandat s'appliquaient, vu la possibilité que le CST reçoive de l'information sur des Canadiens ou de l'information obtenue grâce à des activités visant des Canadiens menées par les participants, et la façon dont de tels cas allaient être gérés. Rien ne permet au bureau du commissaire de penser qu'une décision ait été prise à cet égard, et c'est seulement plus tard au cours de l'examen que le CST a répondu explicitement aux questions concernant les pouvoirs applicables.
Avant de participer à l'initiative multilatérale et au tout début de sa participation, le CST n'a pas adéquatement documenté ses activités et il n'a ni pris de mesures correspondantes en ce qui concerne les pouvoirs déterminés (c.-à-d. le mandat de collecte de renseignements électromagnétiques étrangers du CST), ni mis en œuvre de politiques.
Le bureau du commissaire a été informé que le CST n'avait obtenu aucun avis juridique précis concernant sa participation à l'initiative multilatérale. Le CST a toutefois pris en compte un avis juridique sur une question apparentée pour fournir des lignes directrices au cours des premières étapes.
Suite aux questions du bureau du commissaire concernant les pouvoirs en vertu desquels le CST participait à l'initiative multilatérale, le CST a obtenu un avis juridique précis sur le sujet et l'a communiqué au bureau du commissaire.
Pouvoirs
Le commissaire a constaté qu'au début de l'examen, le CST n'a pas clairement communiqué son approche en ce qui concerne sa participation à l'initiative multilatérale. Au lieu de planifier de façon explicite les modalités de sa participation, le CST a réagi aux nouveaux développements et s'est concentré sur la gestion du risque posé par la réception d'information obtenue grâce à des activités visant des Canadiens menées par les participants en vertu de leurs pouvoirs souverains. C'est seulement après un certain temps, au fil des expériences et avec du recul que le CST a établi que le risque posé par la réception d'information sur des Canadiens était faible.
En participant à l'initiative multilatérale au titre de son mandat de collecte de renseignements électromagnétiques étrangers, comme c'est le cas pour toute activité de collecte de renseignements électromagnétiques étrangers, le CST ne pouvait recevoir d'information obtenue grâce à des activités visant un Canadien et ses activités ne pouvaient viser un Canadien; de telles activités devraient également faire l'objet de mesures pour protéger la vie privée des Canadiens.
Chaque participant à l'initiative multilatérale exerce ses activités sous son propre régime juridique et de politiques. Il est donc possible qu'un participant choisisse de mener des activités de collecte visant un Canadien, s'il est dans son intérêt national de le faire. Lorsque les participants choisissent de partager de l'information, ils le font généralement en omettant la source de l'information et il est impossible de savoir comment l'information partagée a été acquise. Par conséquent, il est possible que l'information fournie par les participants dans le cadre d'une mission de lutte contre le terrorisme comprenne de l'information obtenue grâce à des activités de collecte visant un Canadien.
Le commissaire a jugé que les mesures de protection de la vie privée dont avaient convenu les participants et qu'ils avaient mises en place dans le cadre de l'initiative multilatérale étaient insatisfaisantes, puisqu'elles n'abordaient pas adéquatement la possibilité que le CST, sans le savoir, reçoive de l'information provenant d'un participant dont les activités visaient un Canadien au titre de son cadre national juridique et de politiques. Cependant, à la lumière de l'information examinée, le commissaire n'a trouvé aucune indication de non-conformité à la loi. Le bureau du commissaire a examiné tous les rapports produits par l'équipe de l'initiative multilatérale au cours de la période visée par l'examen et n'a trouvé aucun cas où de l'information provenant des participants mettait en cause des Canadiens.
Si, au départ, l'initiative multilatérale avait pour objectif la collaboration d'organismes de collecte de renseignements électromagnétiques à des projets de lutte contre le terrorisme, l'intention énoncée consistait également à être prêt à intervenir en cas de crises ou de menaces. Or, les participants à l'initiative continuent d'axer leurs efforts sur les voyageurs extrémistes. Ce faisant, le CST court le risque, aussi faible soit-il, de recevoir sans le savoir de l'information découlant d'activités de collecte visant un Canadien menées par un autre participant au titre de son cadre national juridique et de politiques.
Voyageurs extrémistes
On appelle « voyageur extrémiste » (ou « combattant étranger ») une personne soupçonnée de se rendre à l'étranger pour prendre part à des activités liées au terrorisme, par exemple les hommes et les femmes ayant quitté le Canada pour se joindre au groupe terroriste qui se fait appeler « État islamique ».
Orientation
Il est encourageant que, à la lumière de l'information examinée, il y avait des documents d'orientation et de politiques adéquats sur l'information sur les non-Canadiens que peut partager le CST avec les autres participants et sur les modalités du partage. Ces documents indiquent très clairement que le CST ne peut fournir aucune information sur un Canadien. Le commissaire n'a aucune préoccupation concernant ce que le CST partage avec les autres participants.
Le CST a également mis en place certaines mesures visant à protéger la vie privée des Canadiens en ce qui concerne l'utilisation de l'information reçue dans le cadre de l'initiative multilatérale. Le CST analyse les données reçues dans le cadre de l'initiative et, s'il détermine que celles-ci sont utiles, il rédige des rapports sur celles-ci et les distribue. Au besoin, le CST supprime des rapports toute information sur l'identité de Canadiens pour protéger la vie privée des Canadiens.
Toutefois, même si le CST a une politique en place concernant les activités menées dans le cadre de son mandat de collecte de renseignements électromagnétiques étrangers, le commissaire a relevé l'absence de politiques et d'orientation précises sur la participation du CST à cette initiative multilatérale en ce qui concerne la possibilité de recevoir de l'information obtenue au moyen d'activités visant des Canadiens. L'orientation fournie aux employés du CST était informelle et portait essentiellement sur les efforts à déployer pour éviter que le CST ne s'expose à des situations où les autres participants mènent des activités visant un Canadien. L'information examinée par le bureau du commissaire donne à penser que le CST avait prévu fournir des documents aux autres participants à l'initiative pour préciser les limites auxquelles est assujetti le CST de par la loi et ses politiques. Le CST a été incapable de présenter un dossier démontrant que cela avait été fait. Au cours des dernières phases de l'examen, le CST a envoyé une pièce de correspondance aux autres participants à l'initiative multilatérale pour préciser les lignes directrices sur le plan juridique et sur celui des politiques du CST, rappelant précisément les limites prévues par la partie a) du mandat du CST et celles associées à la réception de l'information obtenue au moyen d'activités visant des Canadiens.
L'an dernier, lorsqu'il avait réalisé un examen du partage de renseignements du CST avec des entités étrangères, qui avait au départ soulevé des questions concernant la participation du CST à l'initiative multilatérale, le commissaire avait constaté que les ententes officielles conclues avec certaines entités étrangères énonçaient en des termes généraux seulement les mesures de protection de la vie privée des Canadiens au lieu de présenter explicitement les pouvoirs et les restrictions juridiques du CST, y compris le fait qu'au titre de son mandat de collecte de renseignements électromagnétiques étrangers, le CST ne peut pas recevoir d'information obtenue au moyen d'activités visant un Canadien. Le CST a répondu à ces constatations de façon positive pendant l'examen et a adressé des lettres à ces entités étrangères décrivant les pouvoirs et les restrictions juridiques du CST. Il s'agissait d'une mesure temporaire en attendant la modification des ententes. Le commissaire était satisfait de cette approche. Toutefois, il a encouragé le CST à modifier dès que possible toutes les ententes conclues avec des entités étrangères ou à conclure de nouvelles ententes, comme il l'avait recommandé dans le cadre de l'examen de l'an dernier sur le partage de renseignements avec des entités étrangères.
De plus, le commissaire a recommandé que, pour clarifier toute nouvelle activité liée au partage de renseignements avec des entités étrangères, le CST effectue des analyses adéquates en ce qui concerne les pouvoirs et les mesures de protection de la vie privée des Canadiens avant d'amorcer l'activité en question.
Conclusion
À la lumière de l'information examinée, le commissaire n'a trouvé aucune indication de non-conformité à la loi. Le commissaire comprend que la participation du CST à l'initiative multilatérale répond à une des grandes priorités du gouvernement du Canada, à savoir protéger les Canadiens contre la menace que représente le terrorisme. Toutefois, il est également nécessaire de veiller à ce que les entités étrangères avec lesquelles traite le CST comprennent les limites juridiques auxquelles le CST est assujetti. Par conséquent, par suite de cet examen, le commissaire surveillera étroitement la mise en œuvre de la recommandation découlant de l'examen de l'an dernier sur le partage de renseignements avec des entités étrangères ainsi que la recommandation que renferme le présent rapport.
2. Étude sur l'utilisation opérationnelle par le CST de plateformes internes de type média social
Contexte
Le bureau du commissaire a effectué une étude sur l'utilisation opérationnelle par le CST de plateformes internes de type média social pour la période allant du 1er janvier 2016 au 31 juillet 2017. Le CST a augmenté son utilisation de ces plateformes au cours des dernières années, principalement dans le but d'améliorer le partage de l'information et d'idées relatives aux opérations à l'interne et entre les partenaires de l'organisation.
Bien qu'elle soit avantageuse pour le CST et ses partenaires, l'utilisation de telles plateformes pourrait avoir des répercussions sur la vie privée des Canadiens et la conformité à la loi. Par conséquent, le bureau du commissaire a entrepris une étude en vue de prendre connaissance de la façon dont le CST utilise les plateformes internes de type média social dans un contexte opérationnel. L'étude doit permettre de mieux comprendre et d'évaluer les éventuelles répercussions sur la vie privée, de déterminer tout problème de conformité à la loi et d'en informer le commissaire. Le bureau du commissaire désirait également utiliser les connaissances acquises pour déceler toute question nécessitant un examen de suivi, et de façon générale, pour éclairer les examens futurs. L'étude a été effectuée en vertu des pouvoirs du commissaire prévus à l'alinéa 273.63(2)a) de la partie V.1 de la Loi sur la défense nationale.
Les plateformes de type média social du CST comprennent des espaces collaboratifs virtuels (groupes) qui peuvent être créés pour permettre à des participants sélectionnés d'accéder à des répertoires d'information précis. Certains groupes sont uniquement à l'interne au CST, tandis que d'autres, appelés « groupes accessibles à l'externe », comprennent des participants d'autres organisations canadiennes ou étrangères. Il n'y a pas de rapports ou de liens entre les plateformes internes de type média social utilisées par le CST afin de partager de l'information et les médias sociaux utilisés par le public.
Plateforme interne de type média social du CST
Le CST a adopté une plateforme opérationnelle collaborative aux fins des opérations de mission (renseignements électromagnétiques étrangers et sécurité des technologies de l'information) qui permet au personnel des opérations de participer à des communautés d'intérêts, de partager de l'information et de collaborer à des projets liés aux opérations et aux missions. L'objectif ultime consiste à produire en temps opportun des produits du renseignement utiles et de grande qualité grâce à la collaboration au sein du CST et avec ses partenaires de la Collectivité des cinq et ceux des secteurs de la sécurité et du renseignement au Canada.
Observations
Politiques et contrôles
Le CST a mis en place des politiques et des directives écrites concernant l'utilisation des plateformes internes de type média social. Celles-ci portent notamment sur le respect de la vie privée et des lois et complètent d'autres politiques opérationnelles du CST d'application plus générale. Les activités qui font intervenir l'utilisation de plateformes internes de type média social doivent être conformes à toutes les politiques opérationnelles applicables. Cela comprend la conservation, l'utilisation et le partage de l'information sur l'identité de Canadiens. Sauf de rares exceptions, le partage d'information sur l'identité de Canadiens doit exclure les alliés et les organismes partenaires canadiens. Pendant la période visée par l'étude, aucune information sur l'identité de Canadiens n'a été communiquée à une entité étrangère ou à un organisme partenaire canadien par l'intermédiaire de ces plateformes.
Le CST a également élaboré un régime d'approbation et de surveillance de la conformité concernant l'utilisation de ces plateformes. Ce régime comprend des gestionnaires hiérarchiques opérationnels et des équipes d'examen internes chargés de veiller à ce que les approbations, les accès, le contenu, le partage et la conservation des données ainsi que la formation soient adéquats.
Culture de protection de la vie privée et sensibilisation
La culture de protection de la vie privée du CST transparaissait dans les connaissances et les pratiques en matière de protection de la vie privée des présentateurs du CST et des personnes interrogées pendant l'étude, y compris pendant les démonstrations de la plateforme et le traitement de l'information sur l'identité de Canadiens contenue dans celle-ci. Cette culture se traduisait également dans les instruments de politique et les directives élaborées et mises en œuvre expressément aux fins de l'utilisation opérationnelle de plateformes de type média social, les exigences relatives aux accès et les limites programmées dans ces plateformes, la collecte de données sur l'utilisation de la plateforme et le suivi connexe ainsi que les régimes de surveillance de la conformité et de production de rapports en place.
Formation
Une formation sur l'utilisation des plateformes internes de type média social du CST est fournie aux employés du CST et, s'il y a lieu, aux participants externes. Cette formation semble être adéquate; toutefois, un examen interne du CST effectué en 2017 a permis de constater que moins de la moitié des responsables de groupes accessibles à l'externe avaient suivi la formation requise. Le CST a avisé le bureau qu'il était en train de résoudre ce problème.
Assurance de la conformité interne et gestion de l'information
Les équipes de la conformité des secteurs du CST responsables des renseignements électromagnétiques étrangers et de la sécurité des technologies de l'information surveillent l'utilisation des plateformes internes de type média social du CST pour s'assurer qu'elle est conforme aux politiques, aux pouvoirs et aux directives du CST. Par exemple, pendant la période visée par l'étude, l'équipe de la conformité de la sécurité des technologies de l'information du CST a vérifié qu'aucune donnée de cyberdéfense n'ayant pas fait l'objet d'une évaluation ne se trouvait sur ces plateformes, puisque ce type de données n'est pas permis sur ces plateformes. Au cours de la vérification, un cas de données n'ayant pas fait l'objet d'une évaluation a été décelé. L'équipe de la conformité a donc rappelé la politique en diffusant un communiqué sur l'utilisation acceptable des plateformes internes de type média social.
L'équipe de la conformité du secteur responsable des renseignements électromagnétiques étrangers a également entrepris deux examens pendant la même période. Même si les examens internes n'ont soulevé aucune préoccupation relative au contenu ou au respect de la vie privée, l'équipe a trouvé que 19 pour cent des groupes actifs accessibles à l'externe n'avaient pas consigné correctement les approbations requises pour la mise sur pied du groupe et qu'à plusieurs reprises, un responsable d'un groupe accessible à l'externe avait été remplacé sans que le changement soit signalé, même s'il est nécessaire de le faire. L'équipe de la conformité a recommandé que les approbations et le remplacement du responsable soient documentés de façon centrale et uniforme à des fins de surveillance et d'examen. (L'équipe de la conformité du secteur responsable des renseignements électromagnétiques étrangers a également formulé une recommandation relative aux lacunes susmentionnées concernant la formation.) Le CST a indiqué que ces recommandations ont été acceptées et mises en œuvre.
Dans le cadre du processus de surveillance de la conformité, les gestionnaires responsables des renseignements électromagnétiques étrangers vérifient chaque année que tous les fonds d'information sur l'identité de Canadiens, y compris les plateformes internes de type média social, sont valides et continuent d'être requis. Dans le contexte de l'étude, le bureau du commissaire a trouvé des incohérences dans la façon dont les formulaires étaient remplis. Le bureau a également constaté qu'en date de novembre 2017, les formulaires les plus récents remontaient à juillet 2016. Le bureau du commissaire s'attendait à ce que les responsables des renseignements électromagnétiques étrangers aient examiné leurs fonds d'information depuis cette date, conformément à leur propre politique. Le CST a signalé que l'examen de la conformité de 2017 en lien avec l'information sur l'identité de Canadiens avait commencé en novembre 2017 et qu'il a pris des mesures correctives.
Un groupe interne de média social a été mis sur pied pour contribuer à une affaire opérationnelle hautement prioritaire. Une fois l'affaire close avec succès, le groupe interne de média social, qui contenait de l'information relative à la vie privée de Canadiens, est demeuré ouvert pendant plus de 15 mois et accessible à tous les employés opérationnels du CST ayant un compte sur cette plateforme. Le CST a expliqué l'utilité de ne pas fermer ce groupe en particulier. Toutefois, le bureau du commissaire se demande pourquoi le groupe doit demeurer actif si longtemps après la fin de l'opération et pourquoi ce genre d'information potentiellement délicate demeure largement accessible. Selon la politique du CST, l'information se trouvant sur les plateformes internes de type média social est considérée comme transitoire et elle doit être supprimée lorsqu'elle n'est plus requise, tout particulièrement l'information sur l'identité de Canadiens et l'information relative à la vie privée de Canadiens. Conformément à la politique du CST, l'information qui pré-sente une valeur opérationnelle doit être conservée dans le répertoire organisationnel officiel du CST.
Le CST a diffusé des instructions sur la gestion des dossiers dans le contexte des plateformes internes de type média social ainsi que des instructions plus générales. Malgré cela, le bureau du commissaire a examiné, pendant l'étude, des documents constituant des instruments de politique officiels du CST qui ne précisaient aucune date d'entrée en vigueur (ou aucune date) et qui n'étaient pas identifiés comme étant des documents officiels. Même si le CST a indiqué que ces instruments de politique peuvent être consultés par les personnes qui en ont besoin, il est important de souligner que les précisions offertes par cette information aident les opérations en facilitant la gestion des versions et en faisant en sorte que les employés participant à la mission reçoivent des instructions à jour et sans ambiguïté. Une gestion des dossiers rigoureuse est également essentielle à l'efficacité de la surveillance de la conformité, des vérifications et des examens.
Conclusion
L'étude a permis de constater que le CST dispose d'un ensemble de politiques adéquat pour régir l'utilisation opérationnelle des plateformes internes de type média social, même si certaines des politiques stratégiques écrites du CST examinées ne précisaient aucune date d'entrée en vigueur et n'indiquaient pas clairement qu'elles constituaient des documents officiels. Ces problèmes peuvent rendre les politiques moins efficaces en ce qui concerne la fourniture d'une orientation claire et sans ambiguïté aux employés et l'exécution efficace d'activités de surveillance de la conformité, de vérifications et d'examens. De plus, le CST favorise une culture de la conformité en ce qui concerne la protection de la vie privée relativement à l'utilisation des plateformes internes de type média social et, à l'exception des lacunes concernant la formation de certains utilisateurs, le modèle de formation des utilisateurs semble être adéquat, car les employés du CST sont bien renseignés et soucieux de protéger la vie privée des Canadiens lorsqu'ils utilisent ces plateformes à des fins opérationnelles. Le commissaire surveillera les préoccupations soulevées dans l'étude et déterminera si un examen de suivi est nécessaire à cet égard.
3. Examen annuel des divulgations d'information sur l'identité de Canadiens par le CST, 2015–2016
Contexte
Chaque année, le bureau du commissaire examine un échantillon des divulgations d'information sur l'identité de Canadiens par le CST. Cela comprend toute information concernant un Canadien ou pouvant être utilisée pour identifier un Canadien. L'examen des divulgations faites en 2015–2016 s'est achevé après le 31 mars 2017, et c'est pourquoi il en est fait état cette année. L'objectif de l'examen consistait à vérifier si le CST, dans ses divulgations d'information sur l'identité de Canadiens, était conforme à la loi, aux instructions ministérielles et à ses politiques et procédures. La mesure dans laquelle le CST a protégé la vie privée des Canadiens a également été évaluée.
Au titre de son mandat de collecte de renseignements électromagnétiques étrangers, le CST doit « acquérir et utiliser l'information provenant de l'infrastructure mondiale d'information dans le but de fournir des renseignements étrangers » (alinéa 273.64(1)a) de la Loi sur la défense nationale). Ces activités ne peuvent viser des Canadiens ou toute personne au Canada et elles doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés (alinéas 273.64(2)a) et b) de la Loi sur la défense nationale).
Même si la Loi sur la défense nationale ne confère pas au CST le pouvoir explicite de divulguer de l'information sur l'identité de Canadiens, y compris des renseignements personnels, il est entendu que ce pouvoir découle implicitement du mandat de collecte de renseignements électromagnétiques étrangers du CST. Les commissaires, y compris le commissaire en poste, ont recommandé que la Loi sur la défense nationale soit modifiée en vue d'accorder au CST le pouvoir explicite de recueillir, d'utiliser et de divulguer de l'information sur des Canadiens obtenue fortuitement dans le cadre d'activités prévues par son mandat. (La question semble avoir été abordée dans le projet de loi C-59 du gouvernement, la Loi concernant des questions de sécurité nationale.)
Lorsqu'il recueille des renseignements électromagnétiques étrangers à l'appui des priorités en matière de renseignement du gouvernement du Canada, le CST peut obtenir de manière non intentionnelle de l'information sur l'identité de Canadiens ou de l'information sur des Canadiens. Si l'information est utilisée dans un rapport, toute information sur l'identité de Canadiens (noms, numéros de téléphone, adresses de protocole Internet, numéros de passeport et tout autre renseignement pouvant révéler l'identité d'une personne ou d'une société canadienne) doit être supprimée et remplacée par une mention générique. De plus, les rapports sur les renseignements étrangers du CST peuvent seulement inclure des références à des Canadiens si ces dernières sont essentielles à la compréhension des renseignements étrangers.
Lorsque le CST produit un rapport sur les renseignements étrangers où de l'information sur l'identité de Canadiens a été supprimée, les clients du CST pouvant démontrer qu'ils ont le pouvoir légal et le besoin opérationnel de recevoir de l'information sur l'identité de Canadiens peuvent présenter une demande de divulgation de l'information. Une fois la demande évaluée, le CST peut divulguer l'information sur l'identité de Canadiens en vertu de l'alinéa 273.64(1)a) de la Loi sur la défense nationale et, en ce qui concerne les renseignements personnels, en vertu du paragraphe 8(2) de la Loi sur la protection des renseignements personnels.
Le pouvoir du CST de divulguer de l'information sur l'identité de Canadiens qui a été supprimée dépend du pouvoir du client de recueillir cette information sur l'identité de Canadiens. La divulgation d'information sur l'identité de Canadiens doit être effectuée conformément à la Loi sur la défense nationale, à la Loi sur la protection des renseignements personnels et au cadre de la politique opérationnelle du CST, qui reconnaît que le client qui reçoit l'information doit justifier son droit de la recevoir. Lorsque des renseignements personnels doivent être divulgués, le CST doit être convaincu que le demandeur recueille l'information à des fins qui ont un lien direct avec ses programmes ou ses activités (article 4 de la Loi sur la protection des renseignements personnels) et que les renseignements sont demandés à des fins de renseignements étrangers conformes aux priorités du gouvernement du Canada en matière de renseignement ou à des fins compatibles. Si la demande de divulgation de l'information sur l'identité de Canadiens supprimée dépasse la portée du mandat de collecte de renseignements électromagnétiques étrangers, d'autres circonstances décrites au paragraphe 8(2) de la Loi sur la protection des renseignements personnels pourraient permettre la divulgation de l'information.
Aux fins de l'examen, le bureau du commissaire a sélectionné et examiné un échantillon correspondant à environ 20 pour cent (243 demandes au départ) des 1 211 demandes de divulgation d'information sur l'identité de Canadiens contenue dans des rapports du CST présentées par des clients du CST au sein du gouvernement du Canada.
Les demandes examinées ont été reçues par le CST entre le 1er juillet 2015 et le 30 juin 2016. Toutes les institutions gouvernementales qui ont présenté une demande de divulgation d'information sur l'identité de Canadiens pendant cette période ont été représentées dans l'échantillon. Lorsqu'il était devenu clair qu'un client donné du gouvernement du Canada présentait des demandes qui ne comportaient pas suffisamment de détails, l'échantillon a été élargi et porté à 249 demandes afin d'inclure l'ensemble des 27 demandes présentées par ce client.
Le bureau a également examiné chacune des 100 demandes provenant d'alliés et des cinq demandes présentées par un client du gouvernement du Canada qui visaient la divulgation d'information sur l'identité de Canadiens à des entités ne faisant pas partie de la Collectivité des cinq. Le CST a la responsabilité de réaliser une évaluation du risque de mauvais traitements lorsqu'il divulgue de l'information. Toutefois, les autres institutions du gouvernement du Canada continuent d'être responsables de la réalisation d'évaluations du risque de mauvais traitements lorsqu'ils partagent l'information par leurs propres canaux de communication. Dans les divulgations à des destinataires autres que les partenaires de la Collectivité des cinq, le CST inclut une mise en garde précise visant à rappeler au client gouvernemental demandeur sa responsabilité d'effectuer une évaluation des risques associés au partage de renseignements avec une entité étrangère.
Partenaires de la collectivité des cinq (Five Eyes)
Les partenaires de la Collectivité des cinq sont le CST et les principaux organismes internationaux des pays de la Collectivité des cinq : la National Security Agency des États-Unis, le Government Communications Headquarters du Royaume-Uni, l'Australian Signals Directorate et le Government Communications Security Bureau de la Nouvelle-Zélande. Ce groupe est également connu sous le terme d'« alliés ».
Le nombre de divulgations d'information sur l'identité de Canadiens est fondé sur la méthode de dénombrement du CST. Le nombre de demandes correspond au nombre de fois où des institutions ou des partenaires ont présenté des demandes distinctes de divulgation d'information sur l'identité supprimée dans des rapports en fournissant une justification opérationnelle distincte dans chaque cas. Une demande pouvait comprendre de multiples identités canadiennes et une identité canadienne pouvait être divulguée à plusieurs reprises à différentes institutions ou à différents partenaires.
Constatations et recommandation
Le commissaire a jugé que les divulgations par le CST d'information sur l'identité de Canadiens, y compris les divulgations aux alliés ou les divulgations par un client du gouvernement du Canada à une entité ne faisant pas partie de la Collectivité des cinq, étaient conformes à la loi et aux instructions ministérielles concernant la protection de la vie privée des Canadiens.
Le CST a apporté une modification technique visant à mettre à niveau le système utilisé pour traiter les demandes d'information sur l'identité de Canadiens provenant de clients du gouvernement du Canada; la demande de divulgation initiale et le refus sont maintenant consignés dans le système. La demande initiale n'était pas incluse auparavant.
Pour ce qui est de la façon dont le CST divulgue l'information sur l'identité de Canadiens à des clients du gouvernement du Canada, le commissaire a constaté une occasion pour le CST de renforcer ses procédures afin d'être plus diligent lorsqu'il examine la justification opérationnelle fournie. Une telle approche pourrait contribuer à l'application par le CST de mesures satisfaisantes en vue de protéger l'information sur l'identité de Canadiens et la vie privée des Canadiens, conformément à la Loi sur la défense nationale et à la Loi sur la protection des renseignements personnels.
Après avoir examiné les documents pertinents, le bureau du commissaire a fait part de ses préoccupations aux employés et aux gestionnaires du CST responsables des politiques, aux cadres supérieurs du CST et au conseiller juridique de Justice Canada au CST relativement à huit demandes provenant du même client dans lesquelles il manquait la description explicite des pouvoirs précis et les justifications opérationnelles. Même si le commissaire a établi que le client du gouvernement du Canada avait le pouvoir légal de recueillir de l'information sur l'identité de Canadiens dans ces cas, le CST a divulgué l'information sans avoir obtenu suffisamment de précisions de la part du client pour pouvoir corroborer son pouvoir légal de recueillir de l'information sur l'identité de Canadiens et sans avoir obtenu de justification opérationnelle adéquate montrant que la collecte d'information sur l'identité de Canadiens par le client avait un lien direct avec l'un de ses programmes. Le commissaire a déterminé que le processus de divulgation du CST n'était pas suffisamment rigoureux et que le CST n'avait pas fait preuve de la diligence nécessaire dans ces cas. La politique du CST n'oblige pas le client à nommer une loi précise en guise d'autorisation de recevoir des renseignements; il suffit au client de fournir une justification solide de la demande qui décrit les besoins du client en ce qui concerne l'information supprimée, qui explique la façon dont l'information est liée à son mandat et à son programme et qui confirme que les renseignements demeureront sous le contrôle du demandeur.
Le CST a reconnu que les justifications fournies par le client au départ ne renfermaient pas les précisions voulues.
Le commissaire a recommandé que le CST prenne des mesures pour veiller à ce que toutes les demandes de divulgation d'information sur l'identité de Canadiens supprimée précisent le pouvoir légal en vertu duquel l'information est demandée et comportent une justification opérationnelle solide de la nécessité d'obtenir cette information qui est conforme au mandat de l'organisation présentant la demande. Le commissaire s'attend à ce que des éléments probants lui soient présentés montrant que le CST prend des mesures pour donner suite à la recommandation au cours de son examen des divulgations par le CST de l'information sur l'identité de Canadiens en 2017–2018.
Conclusion
Pour régler les problèmes cernés dans le cadre de cet examen, le CST a déjà fourni des instructions à l'équipe responsable des divulgations d'information sur l'identité de Canadiens pour assurer un examen minutieux des demandes futures. De plus, le CST a temporairement suspendu (sauf en cas d'urgence) les divulgations au client du gouvernement du Canada dont les demandes ne contenaient pas suffisamment de détails. Par la suite, le CST a modifié ses procédures afin d'être plus diligent lorsqu'il étudie les justifications fournies par ce client du gouvernement du Canada en vue d'obtenir de l'information sur l'identité de Canadiens et il réexamine les exigences en matière de renseignements que les clients doivent fournir lorsqu'ils demandent de l'information sur l'identité de Canadiens. Enfin, le CST a modifié la procédure en vue d'exiger une approbation de niveau supérieur pour les demandes d'information sur l'identité de Canadiens provenant de ce client du gouvernement du Canada. Il s'agit de changements positifs.
Depuis l'examen de 2014–2015, le CST a modifié ses politiques en ce qui concerne les niveaux d'approbation. Le CST a réduit le niveau d'approbation requis pour autoriser la divulgation d'information sur l'identité de Canadiens dans trois autres cas précis. Selon le CST, le changement a réglé un problème relatif à des pouvoirs d'approbation inutilement élevés qui retardaient la communication de l'information aux clients du CST. Les répercussions de ces modifications apportées aux politiques n'ont pas été remarquées. Toutefois, le commissaire surveillera le changement dans ses examens futurs.
4. Examen annuel des divulgations d'information sur l'identité de Canadiens par le CST, 2016–2017
Contexte
Il s'agit du neuvième examen annuel consécutif d'un échantillon des divulgations d'information sur l'identité de Canadiens par le CST. L'objectif des examens annuels demeure le même : vérifier si le CST, dans ses divulgations d'information sur l'identité de Canadiens, était conforme à la loi, aux instructions ministérielles et à ses politiques et procédures. La mesure dans laquelle le CST a protégé la vie privée des Canadiens a également été évaluée.
Divulgation d'information sur l'identité de canadiens
L'information pouvant permettre d'identifier un Canadien est habituellement supprimée, c'est-à-dire remplacée par une mention générale telle que « Canadien nommé », afin de protéger l'identité de cette personne. Les clients du CST au sein du gouvernement du Canada et les alliés peuvent demander et recevoir cette information s'ils ont les pouvoirs de les recevoir et une justification opérationnelle adéquate. La divulgation d'information sur l'identité de Canadiens doit être effectuée conformément à la Loi sur la protection des renseignements personnels et au cadre de la politique opérationnelle du CST. Pour en apprendre davantage sur les pouvoirs et les limites se rapportant aux activités du CST, veuillez consulter le site Web du bureau.
Cette année, le bureau du commissaire a sélectionné et examiné un échantillon correspondant à 22 pour cent (236 demandes) des 1 067 demandes de divulgation d'information sur l'identité de Canadiens contenue dans des rapports du CST présentées par des clients du CST au sein du gouvernement du Canada. L'examen portait sur les demandes reçues par le CST entre le 1er juillet 2016 et le 30 juin 2017. Toutes les institutions gouvernementales qui ont présenté une demande de divulgation d'information sur l'identité de Canadiens pendant cette période ont été représentées dans l'échantillon. De plus, l'échantillon comprenait toutes les demandes présentées par un client du gouvernement du Canada identifié dans l'examen de 2015–2016, car ses demandes d'information sur l'identité de Canadiens ne comportaient pas suffisamment de détails.
Le bureau a également examiné chacune des 62 demandes provenant d'alliés et des sept demandes présentées par deux clients du gouvernement du Canada qui visaient la divulgation d'information sur l'identité de Canadiens à des entités ne faisant pas partie de la Collectivité des cinq. Le CST a la responsabilité de réaliser une évaluation du risque de mauvais traitements lorsqu'il divulgue de l'information. Toutefois, les autres institutions du gouvernement du Canada continuent d'être responsables de la réalisation d'évaluations du risque de mauvais traitements lorsqu'ils partagent l'information par leurs propres canaux de communication. Dans les divulgations à des destinataires autres que les partenaires de la Collectivité des cinq, le CST inclut une mise en garde précise visant à rappeler au client gouvernemental demandeur sa responsabilité d'effectuer une évaluation des risques associés au partage de renseignements avec une entité étrangère.
Au cours de l'examen, le CST n'a pas été en mesure de fournir des copies de trois rapports de produits d'analyse dans leur version originale diffusée au moment de la divulgation de l'information sur l'identité de Canadiens, puisqu'après la divulgation, ces rapports ont été annulés ou modifiés. Le bureau du commissaire comprend que cette pratique est conforme à la politique du CST et constitue une mesure de protection de la vie privée des Canadiens. Toutefois, le bureau n'a pas été en mesure d'évaluer la conformité en ce qui touche ces cas précis de divulgation d'information sur l'identité de Canadiens. Le bureau du commissaire n'a aucune raison de croire que ces cas n'ont pas été gérés de la même façon que les autres cas examinés.
Constatations
Le commissaire s'est dit convaincu de ce qui suit :
- les divulgations par le CST d'information sur l'identité de Canadiens étaient conformes à la loi;
- le client du gouvernement du Canada ou l'allié qui a présenté la demande avait à la fois le pouvoir et la justification opérationnelle requis pour obtenir l'information;
- le CST a appliqué efficacement les mesures de protection de la vie privée mentionnées dans les instructions ministérielles ainsi que dans ses politiques et procédures opérationnelles; et
- le CST a respecté le cadre établi par le Cabinet concernant les risques inhérents au partage de l'information avec des entités étrangères susceptible d'entraîner des mauvais traitements.
En janvier 2018, le commissaire a présenté au ministre de la Défense nationale les résultats de son examen des divulgations par le CST de l'information sur l'identité de Canadiens pour 2015–2016. Le rapport recommandait notamment au CST de renforcer ses procédures afin d'être plus diligent et de s'assurer que toutes les demandes de divulgation d'information sur l'identité de Canadiens précisent le pouvoir légal en vertu duquel les renseignements sont demandés et comportent une justification opérationnelle solide de la nécessité d'obtenir ces renseignements qui est conforme au mandat du demandeur. Le commissaire s'attend à ce que des éléments probants lui soient présentés montrant que le CST prend des mesures pour donner suite à la recommandation au cours de son examen des divulgations par le CST de l'information sur l'identité de Canadiens en 2017–2018. Dans le cadre de l'examen de cette année, le bureau du commissaire a mené une analyse comparative des demandes de divulgation provenant de divers clients au sein du gouvernement du Canada et il a relevé des cas où le pouvoir légal ou la justification opérationnelle appuyant la demande de divulgation d'information sur l'identité de Canadiens pouvait être renforcé. Ces cas concernaient non seulement le client du gouvernement du Canada identifié dans l'examen de 2015–2016 parce qu'il ne fournissait pas suffisamment de détails dans ses demandes, mais aussi quelques autres clients du gouvernement du Canada.
Le 17 octobre 2017, les instructions ministérielles intitulées Éviter la complicité dans les cas de mauvais traitements par des entités étrangères ont remplacé les instructions ministérielles de 2011 intitulées Cadre de gestion des risques liés au partage de renseignements avec des entités étrangères. Même si la mise en œuvre des nouvelles instructions ministérielles n'a pas eu lieu pendant la période visée par l'examen, elle sera surveillée dans le cadre de l'examen sur la divulgation d'information sur l'identité de Canadiens de l'année prochaine.
Depuis l'examen de 2015–2016, le CST n'a ni modifié ses politiques ni apporté de changements techniques à son processus de divulgation d'information sur l'identité de Canadiens. Bien que le CST ait signalé au cours d'examens antérieurs qu'il évaluait des options visant à automatiser le processus de divulgation d'information sur l'identité de Canadiens aux alliés, aucun changement technique du genre n'a été effectué pendant la période visée par l'examen.
Conclusion
L'examen n'a débouché sur aucune recommandation.
Une question a été soulevée et fait l'objet d'un examen distinct afin que les résultats de l'examen de 2016–2017 puissent être présentés au ministre avant la fin de l'exercice. Lors de l'approbation d'une demande d'un client du gouvernement du Canada concernant de l'information sur l'identité d'un Canadien, une activité d'analyse des métadonnées du CST a soulevé des préoccupations. L'examen distinct était en cours en date du 31 mars 2018.
Le bureau continuera d'effectuer des examens annuels des divulgations par le CST d'information sur l'identité de Canadiens à des clients et à des partenaires pour vérifier si le CST se conforme à la loi et protège la vie privée des Canadiens.
5. Examen annuel des activités de cyberdéfense du CST menées sous le régime d'une autorisation ministérielle, 2016–2017
Contexte
Le CST mène des activités de cyberdéfense sous le régime de l'alinéa 273.64(1)b) de la Loi sur la défense nationale – partie b) de son mandat. Cette partie du mandat autorise le CST à aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada, ce qui est communément appelé la sécurité des technologies de l'information (TI). Les activités menées dans le cadre de la partie b) du mandat du CST ne doivent pas viser des Canadiens, où qu'ils se trouvent, ou toute personne au Canada et elles doivent faire l'objet de mesures pour protéger la vie privée des Canadiens en ce qui a trait à l'utilisation et à la conservation des renseignements interceptés [alinéas 273.64(2)a) et b) de la Loi sur la défense nationale].
Les activités de cyberdéfense consistent à détecter et à contrer les cybermenaces sophistiquées. À la réception d'une demande écrite d'une institution du gouvernement du Canada en vue de la conduite d'activités de cyberdéfense, le CST peut déployer des mesures pour recueillir et analyser des données du système ou du réseau de ce client. Étant donné que les activités de cyberdéfense pourraient entraîner l'interception de communications privées, le CST doit mener ces activités sous le régime d'une autorisation ministérielle. Aux termes du paragraphe 273.65(3) de la Loi sur la défense nationale, le ministre peut – dans le seul but de protéger les systèmes ou les réseaux informatiques du gouvernement du Canada contre les cybermenaces – autoriser par écrit le CST à intercepter des communications privées qui sont liées à une activité ou une catégorie d'activités qu'il mentionne expressément. Dans le cadre des activités de cyberdéfense, les données interceptées par le CST, y compris les communications privées, peuvent être utilisées ou conservées seulement si l'interception était pertinente et nécessaire pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada.
Autorisations ministérielles
Les autorisations ministérielles permettent au CST de passer outre l'interdiction d'intercepter des communications privées énoncée à la partie VI du Code criminel. Il s'agit d'un document écrit en vertu duquel le ministre de la Défense nationale autorise le CST à entreprendre une activité ou une catégorie d'activités comportant un risque d'interception non intentionnelle de communications privées. Les autorisations ne peuvent demeurer en vigueur pendant une période de plus d'un an. Pour en apprendre davantage sur les autorisations et les limites imposées aux activités du CST, veuillez consulter le site Web du bureau.
L'examen a porté sur l'autorisation ministérielle relative aux activités de cyberdéfense en vigueur du 1er juillet 2016 au 30 juin 2017. L'objectif de l'examen était d'évaluer la conformité à la loi des activités de cyberdéfense du CST, ainsi que la mesure dans laquelle le CST protège la vie privée des Canadiens. Dans le cadre de cet examen, le bureau du commissaire a examiné les mémoires de demande adressés au ministre de la Défense nationale relativement aux autorisations ministérielles de 2014–2015, 2015–2016 et 2016–2017 du CST, les autorisations ministérielles connexes de même que le rapport du CST de fin d'exercice présenté au ministre sur les autorisations ministérielles de 2016–2017. Le bureau a reçu des séances d'information sur place, mené des entrevues et examiné les bases de données et les systèmes du CST ainsi que divers types de rapports, tant internes qu'externes. Le bureau a sélectionné, aux fins de l'examen, un échantillon correspondant à 36 pour cent des incidents cybernétiques, lequel comprenait des communications privées.
Constatations et recommandation
Le commissaire a conclu que l'autorisation ministérielle de cyberdéfense de 2016–2017 respectait les conditions d'autorisation énoncées dans la Loi sur la défense nationale. Le CST n'a apporté aucun changement important à l'autorisation ministérielle ou à la façon dont les activités de cyberdéfense sont menées qui aurait présenté un risque pour la conformité à la loi ou la protection de la vie privée. Au cours de la période visée par l'examen, aucune modification importante n'a été apportée aux instruments de politique régissant les activités de cyberdéfense menées sous le régime d'une autorisation ministérielle. Il n'y avait aucune donnée probante selon laquelle le CST aurait mené des activités de cyberdéfense qui seraient contraires aux exigences législatives, ministérielles ou des politiques. En se fondant sur un examen des communications privées identifiées que le CST a interceptées, le commissaire a conclu que le CST n'avait pas visé, au moyen de ses activités de cyberdéfense, des Canadiens ou toute personne au Canada. La majorité des communications privées examinées se rapportaient à une activité ou à un trafic malveillant et à des anomalies suspectes dans le contexte de la détection des cybermenaces. Les communications privées conservées et utilisées dans des rapports étaient essentielles pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada.
Définition des communications entre un conseiller juridique et son client
Le commissaire a formulé une recommandation à la lumière d'un changement dans la terminologie utilisée par le CST dans l'autorisation ministérielle de cyberdéfense en ce qui concerne les communications entre un conseiller juridique et son client. L'autorisation ministérielle précise les mesures à prendre quand un analyste du CST identifie une communication entre un client et un « conseiller juridique canadien ». Le bureau du commissaire a demandé une explication au CST relativement à l'ajout du qualificatif « canadien », lequel ne figurait pas explicitement dans les autorisations ministérielles antérieures. Le CST a fait savoir que le qualificatif « canadien » n'était pas nouveau et qu'il avait été intégré dans l'autorisation ministérielle dans un souci de clarté. Toutefois, le commissaire a conclu que l'intégration de ce qualificatif créait une ambiguïté. De plus, le fait de préciser qu'il s'agit d'une communication entre un client et un conseiller juridique canadien a pour conséquence que l'autorisation ministérielle ne cadre pas avec les politiques et les pratiques du CST.
Selon la définition du terme « Canadien » au sens de la Loi sur la défense nationale, ce terme évoque la citoyenneté – en désignant un citoyen canadien, un résident permanent ou une personne morale constituée au Canada – sans égard au lieu. Le commissaire s'attend à ce que les termes employés dans les autorisations ministérielles soient conformes aux définitions prévues par la Loi sur la défense nationale. Cependant, le CST a fait savoir que, dans la pratique, il se fonde sur la définition d'une communication entre un conseiller juridique et son client qui se trouve dans sa politique générale sur la protection de la vie privée, laquelle ne comprend pas le terme « canadien » et ne fait pas mention de la citoyenneté ni du lieu géographique. La définition repose plutôt sur la question de savoir si la personne est autorisée à pratiquer le droit au Canada. Ainsi, lorsque des communications entre un conseiller juridique et son client sont interceptées, le CST doit non seulement établir si le conseiller juridique est « canadien », mais également où se trouve le conseiller juridique (au Canada ou à l'étranger) et s'il est autorisé à pratiquer le droit au Canada.
En examinant l'instrument de politique général du CST sur la protection de la vie privée, le bureau du commissaire a remarqué que la définition d'une communication entre un conseiller juridique et son client ne vise que le traitement de telles communications dans le cadre des mandats du CST en matière de renseignements électromagnétiques étrangers et d'assistance – elle ne s'applique pas explicitement au mandat du CST en matière de sécurité des TI. Une autre politique portant expressément sur le mandat du CST en matière de sécurité des TI comprend une section sur les communications entre un conseiller juridique et son client; cependant, le terme « conseiller juridique canadien » n'y figure pas, et les communications entre un conseiller juridique et son client n'y sont pas définies. En outre, les directives concernant le traitement d'une communication entre un conseiller juridique et son client contenues dans cette politique ne sont pas claires sur le plan de la procédure. Le CST a fait savoir qu'il a depuis modifié la politique. Le bureau du commissaire évaluera les modifications en question dans le cadre de l'examen de l'année prochaine.
Le commissaire estime qu'il y a un manque d'uniformité entre la définition d'une communication entre un conseiller juridique et son client qui se trouve dans les autorisations ministérielles relatives aux activités de cyberdéfense et aux renseignements électromagnétiques étrangers, l'application du concept dans les pratiques du CST, et ce qui figure dans la politique sur la sécurité des TI. Par conséquent, le commissaire a recommandé que le CST clarifie la terminologie employée dans ses autorisations ministérielles pour veiller à ce qu'elle reflète fidèlement la protection juridique reconnue et offerte relativement aux communications entre un conseiller juridique et son client dans le droit canadien, et pour assurer l'uniformité avec la terminologie utilisée dans ses politiques et pratiques relatives aux activités en matière de sécurité des TI et aux activités de collecte de renseignements électromagnétiques étrangers. Le commissaire surveillera ce qui sera accompli à cet égard.
Communications privées de cyberdéfense
Le bureau du commissaire a sélectionné et examiné un échantillon de données de cyberdéfense, qui comprenait des communications privées interceptées par le CST en 2016–2017. En particulier, le bureau a examiné un échantillon correspondant à 36 pour cent des incidents cybernétiques et un certain nombre d'incidents choisis au hasard qui, selon ce qui a été indiqué, ne comportaient aucune communication privée. Au cours de la période visée par l'examen, le CST n'a pas intercepté de communications entre un conseiller juridique et son client. Comme c'était le cas au cours des années passées, la majorité des communications privées interceptées consistaient en des courriels non sollicités envoyés par l'auteur d'une cybermenace à un employé du gouvernement du Canada.
Incident cybernétique
Acte malveillant ou événement suspect qui perturbe ou constitue une tentative de perturber le fonctionnement des dispositifs électroniques et des réseaux de communication importants pour le gouvernement du Canada. Un incident cybernétique peut comporter un ou plusieurs cyberévénements et une ou plusieurs communications privées.
Au cours de la période visée par l'examen, le commissaire a observé une hausse du nombre de communications privées utilisées ou conservées. L'année dernière, le CST a modernisé la base de données qui contient les données pour la cyberdéfense utilisées et conservées ainsi que le système de consignation des communications privées connexes que le CST recueille dans le cadre de son mandat en matière de sécurité des TI. Le CST a confirmé que la hausse du nombre de communications privées est principalement attribuable à cette modernisation, qui a amélioré la capacité du CST de découvrir et de conserver sans délai les renseignements pertinents sur les cybermenaces, notamment des communications privées. Les données interceptées, y compris les communications privées, peuvent être conservées ou utilisées par le CST seulement si l'interception était nécessaire pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada. L'automatisation a permis d'uniformiser davantage les méthodes de dénombrement des communications privées du CST en ce sens que les communications privées sont automatiquement dénombrées au moment de leur conservation.
En examinant les communications privées au CST, le bureau du commissaire a remarqué l'existence de ce que le CST appelle des « communications privées recueillies de façon fortuite ». Il s'agit de communications privées qui ne sont pas essentielles à la protection des systèmes du gouvernement du Canada et qui sont enregistrées dans des dossiers pendant l'interception d'un réseau. Bien que le CST n'utilise pas ces communications privées recueillies de façon fortuite, il conserve les dossiers pendant 12 mois, car ceux-ci contiennent également des communications privées qui sont essentielles à la protection des systèmes du gouvernement du Canada. Les dossiers sont conservés pendant la période de validité de l'autorisation ministérielle, après quoi ils sont automatiquement détruits. Le bureau du commissaire accepte l'explication du CST selon laquelle il s'agit d'une limite technologique et a confirmé que la période de conservation est respectée pour la période d'examen en cours. Le commissaire continuera de surveiller la façon dont le CST traite les communications privées recueillies de façon fortuite dans le cadre de ses examens annuels.
Pendant l'examen de l'échantillon, et guidé en partie par une activité trimestrielle de surveillance de la conformité du CST, le bureau du commissaire a relevé un dossier d'incident cybernétique réservé à un usage interne qui renfermait de l'information non supprimée sur l'identité d'un Canadien. Le document interne, que le CST utilise à des fins d'analyse de la cyberdéfense, est accessible à tous les analystes de cyberdéfense du CST. Même s'il était évident que l'information sur l'identité d'un Canadien contenue dans le dossier interne se rapportait à l'incident cybernétique, le bureau du commissaire s'est demandé s'il était nécessaire pour le CST d'inclure des renseignements personnels détaillés concernant la victime, plutôt que de simplement résumer les types de renseignements qui ont été découverts lors de l'incident cybernétique. Le bureau du commissaire a fait observer que même si des contrôles d'accès sont en place et que le dossier interne est accompagné d'une mise en garde au sujet de son utilisation et de sa conservation, à l'avenir, il serait possible de renforcer cette mise en garde en indiquant clairement qu'il faut assurer la protection de la vie privée lorsque le document comprend de l'information sur l'identité de Canadiens non supprimée. Le bureau du commissaire a encouragé le CST à tenir compte des répercussions que ses rapports et ses dossiers internes peuvent avoir sur la vie privée, et continuera de surveiller les cas où de l'information sur l'identité de Canadiens est incluse dans des dossiers internes.
Comme il a été souligné, la majorité des communications privées que le CST a dénombrées comme étant conservées ou utilisées en 2016–2017 consistaient en des courriels non sollicités envoyés par l'auteur d'une cybermenace à un employé du gouvernement du Canada. Ces courriels ne renfermaient rien de plus qu'un code malveillant ou un élément d'ingénierie sociale – c'est-à-dire qu'il n'y avait pas d'échange d'information personnelle ou d'autre information significative entre l'auteur de la cybermenace et l'employé. De façon contraire aux points de vue du commissaire, le CST dénombre ces types de communications comme étant des communications privées.
Communications privées de cyberdéfense : ce que le commissaire dit
« Une communication ne renfermant rien de plus qu'un code malveillant ou un élément d'ingénierie sociale envoyé à un système informatique de façon à lui porter atteinte n'est pas une communication privée au sens du Code criminel. »
Source : Rapport annuel 2015–2016 du commissaire du CST
Cependant, le CST a indiqué qu'il continuait de travailler avec le ministère de la Justice en vue de clarifier la définition d'une communication privée dans le contexte de la sécurité des TI, afin qu'elle soit conforme avec l'interprétation juridique de 2015–2016 du commissaire. Le bureau du commissaire a été informé que le CST envisage d'apporter un changement à sa procédure de dénombrement des communications privées de cyberdéfense, de façon à ce que celles qui sont générées par ordinateur (c.-à-d. les pourriels) soient éliminées du dénombrement officiel. Il est encourageant que le CST songe à revoir son interprétation de la définition d'une communication privée au sens du Code criminel.
L'année dernière, le bureau du commissaire avait relevé un élargissement du nombre de situations où certaines informations sur l'identité de Canadiens associées à une infrastructure ciblée ou à laquelle il a été porté atteinte peuvent être divulguées, sans suppression, à des institutions du gouvernement du Canada, à des entités du secteur privé et à des alliés choisis. Le commissaire avait souligné que le CST devrait travailler avec ses alliés à mettre au point une entente sur le partage de renseignements aux fins de la cybersécurité. Le commissaire est heureux de confirmer que le CST a mis au point un énoncé de politique concernant le partage d'information sur l'identité en ce qui a trait aux activités de cyberdéfense avec ses alliés. La politique précise les types d'identité qui peuvent être diffusés, les conditions selon lesquelles ils peuvent être diffusés et les mises en garde qui doivent être respectées. Le commissaire a conclu que la politique est une référence acceptable pour le partage de telles informations, surtout compte tenu de la condition selon laquelle la diffusion doit être nécessaire à l'analyse et à l'atténuation de la menace à la cybersécurité.
Le commissaire s'était aussi engagé à faire un suivi du projet pilote du CST visant l'utilisation d'un système d'analyse des maliciels déployé au titre des pouvoirs existants du CST. Le bureau du commissaire a confirmé que la conservation des données et l'accès au système, qui est désormais opérationnel, sont conformes aux politiques actuelles du CST et font l'objet d'une surveillance trimestrielle de la conformité.
Conclusion
Le CST a pris des mesures pour donner suite à la recommandation formulée par le commissaire, au terme de l'examen de l'autorisation ministérielle de cyberdéfense de 2015–2016, selon laquelle le CST devrait diffuser des lignes directrices sur le marquage et le dénombrement uniformes de ce qui constitue des communications privées de cyberdéfense. Le CST a mis en œuvre de nouvelles lignes directrices et une nouvelle formation, et a modernisé la base de données qui contient les données pour la cyberdéfense utilisées et conservées, dans le but d'automatiser l'identification d'éventuelles communications privées et de normaliser le dénombrement des communications privées de cyberdéfense. Le commissaire est heureux de confirmer que, grâce à ces mesures, le CST a suivi la recommandation.
Le CST n'a pas apporté de changements importants à la façon dont il mène ses activités de cyberdéfense ni aucun changement qui aurait présenté un risque pour la conformité à la loi ou la protection de la vie privée. Toutes les communications privées identifiées par le CST avaient été interceptées de façon non intentionnelle et traitées conformément aux politiques et aux procédures du CST – rien ne permettait de conclure que le CST aurait visé des Canadiens ou des personnes se trouvant au Canada au moyen de ses activités de cyberdéfense. Les communications privées utilisées et conservées par le CST étaient essentielles pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada, conformément à la partie b) du mandat du CST en vertu de la Loi sur la défense nationale. Les communications privées qui n'étaient pas essentielles n'ont pas été conservées au-delà des périodes de conservation et de destruction prescrites par les politiques du CST.
Le commissaire continuera d'effectuer des examens annuels des autorisations ministérielles de cyberdéfense et des communications privées pour contrôler la conformité des activités en question ainsi que pour vérifier que le CST ne cible pas des Canadiens et qu'il protège la vie privée de ces derniers.
6. Examen combiné annuel des autorisations ministérielles du CST relatives à la collecte de renseignements électromagnétiques étrangers, 2016–2017 et 2017–2018 et vérification ponctuelle des « communications canadiennes »
Contexte
Le présent résumé combine les constatations découlant de deux examens.
- L'examen annuel des autorisations ministérielles du CST relatives à la collecte de renseignements électromagnétiques étrangers : L'examen des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers a été réalisé en vertu de la Loi sur la défense nationale, qui exige que le commissaire procède à l'examen des activités du CST exercées sous le régime d'autorisations ministérielles pour en contrôler la conformité et qu'il adresse au ministre un rapport annuel sur l'examen. Le bureau a également examiné le statut, à la fin de la période de validité des autorisations ministérielles, des communications privées conservées ou utilisées par le CST qui avaient été interceptées sous le régime de ces autorisations ministérielles.
- Une vérification ponctuelle de « communications canadiennes » : La vérification ponctuelle a été effectuée dans le cadre du mandat principal du commissaire, lequel consiste à examiner les activités du CST pour s'assurer qu'elles sont conformes à la loi. La vérification portait sur des « communications canadiennes » conservées, utilisées ou détruites par le CST pendant une période de deux mois en 2017. Les communications comprennent celles qui ont été interceptées par des alliés et transmises au CST.
Communications privées et « communications canadiennes »
On entend par Canadien un citoyen canadien, un résident permanent au sens du paragraphe 2(1) de la Loi sur l'immigration et la protection des réfugiés ou une personne morale constituée ou prorogée sous le régime d'une loi fédérale ou provinciale.
La communication privée est ainsi définie à l'article 183 du Code criminel : « communication orale ou télécommunication dont l'auteur se trouve au Canada, ou destinée par celui-ci à une personne qui s'y trouve, et qui est faite dans des circonstances telles que son auteur peut raisonnablement s'attendre à ce qu'elle ne soit pas interceptée par un tiers. La présente définition vise également la communication radiotéléphonique traitée électroniquement ou autrement en vue d'empêcher sa réception en clair par une personne autre que celle à laquelle son auteur la destine. »
Une « communication canadienne » désigne une communication entre deux interlocuteurs dont l'un se trouve physiquement au Canada (c'est-à-dire une communication privée) ou est un Canadien qui se trouve physiquement à l'extérieur du Canada. Une telle communication peut être acquise soit par le CST, soit par les partenaires de la Collectivité des cinq et transmise au CST.
Le CST mène des activités de collecte de renseignements électromagnétiques étrangers en vertu de l'alinéa 273.64(1)a) de la Loi sur la défense nationale – partie a) du mandat du CST – soit acquérir et utiliser l'information provenant de l'infrastructure mondiale d'information dans le but de fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement. Ces activités ne peuvent viser des Canadiens ou toute personne au Canada, et elles doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés [alinéas 273.64(2)a) et b) de la Loi sur la défense nationale].
En vertu du paragraphe 273.65(1) de la Loi sur la défense nationale, le ministre peut, dans le seul but d'obtenir des renseignements étrangers, autoriser par écrit le CST à intercepter des communications privées liées à une activité ou une catégorie d'activités qu'il mentionne expressément. Comme les activités de collecte de renseignements électromagnétiques étrangers comportent un risque d'interception non intentionnelle de communications privées, le CST doit exercer ces activités sous le régime d'une autorisation ministérielle. Le CST peut conserver ou utiliser une communication privée interceptée uniquement si celle-ci est jugée essentielle aux affaires internationales, à la défense ou à la sécurité. Tous les renseignements recueillis qui sont utilisés dans un rapport sur les renseignements étrangers sont conservés pendant une période indéterminée par le CST.
Interception fortuite ou non intentionnelle?
Pour décrire l'interception d'une communication privée sous le régime d'une autorisation ministérielle, le CST emploie le mot « fortuit » (incidental) tandis que le bureau du commissaire emploie le terme « non intentionnel ». Pourquoi et quelle est la différence entre les deux qualificatifs?
Il y a interception « fortuite » d'une communication privée lorsque le CST intercepte une communication entre une entité étrangère située à l'extérieur du Canada et une personne au Canada.
Le terme « non intentionnel » constitue une description légale de l'interception « fortuite » d'une communication privée par le CST dans un contexte technique ou opérationnel. Ainsi, du point de vue légal, on peut dire de l'interception qu'elle était « non intentionnelle » puisqu'elle ne visait pas un Canadien ou une personne au Canada. Il s'agit plutôt d'un sous-produit ou d'un élément accessoire découlant du ciblage d'une entité étrangère située à l'extérieur du Canada.
Au cours de l'exercice 2017–2018, le CST a mené des activités de collecte de renseignements électromagnétiques étrangers sous le régime d'autorisations ministérielles, dont trois étaient en vigueur du 1er juillet 2016 au 30 juin 2017 et les trois autres du 1er juillet 2017 au 30 juin 2018. Le bureau s'est penché sur toutes ces autorisations ministérielles.
Les objectifs de l'examen étaient les suivants : veiller à ce que les activités aient été autorisées par le ministre, c'est-à-dire que les conditions d'autorisation énoncées au paragraphe 273.65(2) de la Loi sur la défense nationale ont été remplies; relever tout changement important – survenu dans les années visées par l'examen comparativement aux années antérieures – aux documents d'autorisation ministérielle eux-mêmes ainsi qu'aux activités du CST ou à une catégorie d'activités décrites dans les autorisations ministérielles; et évaluer les répercussions des changements, le cas échéant, sur le risque de non-conformité à la loi ou le risque pour la vie privée.
Le bureau a examiné le statut, à la fin de la période de validité des autorisations ministérielles de 2016–2017, des communications privées identifiées que le CST avait acquises, conservées ou utilisées en exerçant ses activités de collecte de renseignements électromagnétiques étrangers. Le bureau a vérifié la conformité du CST à la loi et à toutes les autorisations, instructions ministérielles et politiques applicables, et a évalué la mesure dans laquelle le CST avait protégé la vie privée des Canadiens. En outre, le bureau du commissaire a fait une vérification ponctuelle, sans avoir donné de préavis au CST, de toutes les « communications canadiennes » (y compris des communications privées) utilisées ou conservées par le CST au cours d'une période de deux mois en 2017.
En ce qui concerne les communications privées acquises sous le régime d'une autorisation ministérielle et les « communications canadiennes » visées par la vérification ponctuelle, le bureau a examiné tous les rapports sur les renseignements étrangers établis par le CST qui se fondaient en totalité ou en partie sur ces communications. Le bureau a également reçu des comptes rendus sur l'ensemble des communications conservées, il a vu de ses propres yeux un échantillon de ces communications et il a interviewé les analystes du renseignement étranger et les superviseurs concernés qui mettaient en œuvre les priorités du gouvernement en matière de renseignement au sujet des motifs sur lesquels ils s'appuyaient pour conserver les communications.
Constatations et recommendations
Le commissaire a constaté que les autorisations ministérielles de 2016–2017 et de 2017–2018 relatives à la collecte de renseignements électromagnétiques étrangers remplissaient les conditions d'autorisation définies dans la Loi sur la défense nationale, à savoir :
- l'interception visait des entités étrangères situées à l'extérieur du Canada;
- les renseignements à obtenir ne pouvaient raisonnablement être obtenus d'une autre manière;
- la valeur des renseignements étrangers que l'on espérait obtenir grâce à l'interception justifiait l'interception envisagée; et
- il existait des mesures satisfaisantes pour protéger la vie privée des Canadiens et pour faire en sorte que les communications privées ne soient utilisées ou conservées que si elles étaient essentielles aux affaires internationales, à la défense ou à la sécurité.
Il n'y avait aucun changement important dans les autorisations ministérielles de 2016–2017 et de 2017–2018 ni dans les mémoires de demande connexes adressés au ministre. Toutefois, il a été établi que le mémoire de demande lié à l'une des autorisations ministérielles était moins détaillé que par les années passées. En 2017–2018, le CST a révisé le mémoire de demande se rapportant à l'une des autorisations ministérielles afin de décrire de façon uniforme les activités d'échantillonnage et de sélection du CST. Bien que la quête d'uniformité soit encourageante, le commissaire a conclu que les efforts déployés en ce sens avaient entraîné la perte de certains renseignements concernant le processus et l'explication technique, ce qui fait que le mémoire ne fournit peut-être pas le plus d'information possible aux fins de la prise d'une décision par le ministre. Par conséquent, le commissaire a recommandé que le CST veille à ce que les mémoires de demande ultérieurs liés aux autorisations ministérielles contiennent de l'information détaillée de façon à décrire et à expliquer de manière exhaustive les activités de collecte de renseignements électromagnétiques étrangers envisagées par le CST, afin de mieux aider le ministre à prendre une décision.
Protection de la vie privée des canadiens
Le CST se voit interdire, dans le cadre de ses activités de collecte de renseignements électromagnétiques étrangers et de cyberdéfense, de cibler des Canadiens – où qu'ils se trouvent dans le monde – ou toute personne au Canada. Le fait que le travail du CST vise des cibles étrangères signifie que, à la différence des autres organismes de renseignement et de sécurité du Canada, le CST a des interactions limitées avec les Canadiens. Lorsque le CST acquiert fortuitement de l'information se rapportant à un Canadien, il est tenu par la loi de prendre des mesures pour protéger la vie privée de ce Canadien. Dans le cadre de son examen des activités du CST, le commissaire vérifie entre autres si le CST ne cible pas des Canadiens et s'il applique efficacement des mesures satisfaisantes pour protéger la vie privée des Canadiens dans toutes les activités opérationnelles qu'il entreprend.
En 2016–2017, le nombre de communications privées identifiées qui ont été interceptées de façon non intentionnelle a continué d'augmenter considérablement. La hausse du nombre de communications privées identifiées demeure une conséquence des caractéristiques techniques de technologies de communication particulières et de l'obligation légale du CST de dénombrer les communications privées d'une certaine façon. Malgré la hausse du nombre de communications privées interceptées, le nombre de communications privées qui ont été utilisées ou conservées a diminué d'environ 70 pour cent, passant de 3 348 à 954, à la fin de la période de validité de l'autorisation ministérielle de 2016–2017.
De ces 954 communications privées, le CST a utilisé 261 communications privées dans 14 rapports sur les renseignements étrangers et a par la suite détruit les communications privées restantes.
Pendant la vérification ponctuelle, le bureau a également examiné toutes les « communications canadiennes » qui avaient été non intentionnellement acquises par le CST lors de la période visée par la vérification, et identifiées comme telles par la suite. Cela incluait tant des communications marquées pour conservation que des communications marquées pour destruction par le CST comme étant non essentielles aux affaires internationales, à la défense ou à la sécurité.
Le bureau a confirmé que les « communications canadiennes » jugées non essentielles ont été détruites.
À la lumière de l'information examinée et des entretiens menés, le commissaire a conclu que le CST avait agi en conformité avec la loi et qu'il avait protégé la vie privée des Canadiens. En particulier :
- les activités relatives à la collecte de renseignements électromagnétiques étrangers du CST ne visaient pas des Canadiens ou des personnes se trouvant au Canada;
- les « communications canadiennes » identifiées par le CST avaient été interceptées de façon non intentionnelle;
- les « communications canadiennes » utilisées et conservées par le CST étaient essentielles aux affaires internationales, à la défense ou à la sécurité, comme l'exige la Loi sur la défense nationale;
- le CST avait détruit les « communications canadiennes » non essentielles; et
- le CST avait exercé ses activités relatives à la collecte des renseignements électromagnétiques étrangers conformément aux directives et aux autorisations ministérielles et avait traité les « communications canadiennes » conformément à ses politiques et à ses procédures – le CST n'avait pas conservé de communications privées au-delà des périodes de conservation et de destruction prescrites par ses politiques.
Définition des communications entre un conseiller juridique et son client
Le bureau du commissaire a relevé un changement dans la terminologie utilisée par le CST dans les trois autorisations ministérielles concernant les communications entre un conseiller juridique et son client. Les autorisations précisent les mesures à prendre quand un analyste du CST identifie une communication entre un client et un « conseiller juridique canadien ». Le bureau du commissaire a demandé une explication au CST relativement à l'ajout du qualificatif « canadien », lequel ne figurait pas explicitement dans les autorisations ministérielles antérieures. Le CST a répondu que le qualificatif « canadien » n'était pas nouveau et qu'il avait été intégré aux autorisations ministérielles dans un souci de clarté. Le commissaire est d'avis que l'intégration de ce qualificatif crée une ambiguïté.
Le terme « canadien » évoque la citoyenneté, indépendamment du lieu où se trouve le conseiller juridique. Au sens de la Loi sur la défense nationale, le terme « Canadien » s'entend d'un citoyen canadien, d'un résident permanent ou d'une personne morale constituée au Canada. Le commissaire s'attend à ce que les termes employés dans les autorisations ministérielles soient conformes aux définitions prévues par la Loi sur la défense nationale. Dans la pratique, cependant, le CST se fonde sur la définition d'une communication entre un conseiller juridique et son client qui se trouve dans sa politique générale sur la protection de la vie privée, laquelle ne comprend pas le terme « canadien » et ne fait pas mention de la citoyenneté ni du lieu géographique. La définition repose plutôt sur la question de savoir si la personne est autorisée à pratiquer le droit au Canada.
Le problème touche à la fois les autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers et celles qui se rapportent à la sécurité des technologies de l'information. Par conséquent, le commissaire a fait la même recommandation que celle qu'il a formulée lors de son examen annuel des activités de cyberdéfense du CST menées sous le régime de l'autorisation ministérielle en vigueur en 2016–2017, c'est-à-dire que le CST clarifie la terminologie employée dans ses autorisations ministérielles pour veiller à ce qu'elle reflète fidèlement la protection juridique reconnue et offerte relativement aux communications entre un conseiller juridique et son client dans le droit canadien, et pour assurer l'uniformité avec la terminologie utilisée dans ses politiques et pratiques relatives aux activités en matière de sécurité des technologies de l'information et aux activités de collecte de renseignements électromagnétiques étrangers.
Contexte juridique en évolution
Récemment, la Cour suprême du Canada s'est penchée sur deux affaires (R. c. Marakah, 2017 CSC 59 et R. c. Jones, 2017 CSC 60) qui portaient sur les notions d'« interception » et de « fouille » dans le contexte des technologies en évolution. Ces affaires présentaient un intérêt puisqu'elles auraient pu avoir une incidence sur le traitement des « communications canadiennes » acquises dans le cadre d'un des programmes de collecte de renseignements électromagnétiques étrangers du CST. En fin de compte, les décisions rendues n'ont pas eu de répercussions sur les activités du CST; toutefois, le contexte juridique en évolution pourrait influer sur les lignes directrices relatives à la façon dont certaines « communications canadiennes » seront traitées à l'avenir. Le commissaire surveillera tout élément nouveau sur le plan juridique et son incidence sur les activités du CST.
Conclusion
Depuis le dernier examen des autorisations ministérielles relatives aux activités de collecte de renseignements électromagnétiques étrangers, le CST a donné suite à deux recommandations formulées dans le rapport annuel de l'année dernière : une des recommandations avait été formulée lors de l'examen de l'autorisation ministérielle relative à la collecte de renseignements électromagnetiques étrangers, et l'autre dans le cadre de la vérification ponctuelle. La première recommandation proposait qu'en raison des caractéristiques techniques de certaines technologies de communication, les rapports du CST au ministre sur les communications privées devraient renfermer des renseignements supplémentaires pour mieux décrire ces communications et expliquer l'ampleur de l'atteinte à la vie privée; la façon dont le CST dénombre actuellement les communications privées donne une vision déformée du nombre de Canadiens ou de personnes au Canada qui sont interlocuteurs dans une communication interceptée par le CST afin d'obtenir des renseignements étrangers sous le régime d'une autorisation ministérielle. Dans son rapport de fin d'exercice présenté au ministre sur les autorisations ministérielles de 2016–2017, le CST a fourni des renseignements supplémentaires au ministre pour expliquer la raison de la hausse considérable du nombre de communications privées identifiées. Le commissaire s'est dit satisfait de cela.
La deuxième recommandation proposait que chaque fois qu'il envisage d'utiliser ou de conserver une communication interceptée qui est protégée par le secret professionnel de l'avocat, le CST devrait toujours obtenir un avis juridique écrit auprès du ministère de la Justice concernant le caractère privilégié de la communication et concernant la question de savoir si son utilisation ou sa conservation est conforme aux lois canadiennes. Le CST a modifié sa politique pour décrire ce que les employés du CST doivent faire lorsqu'ils traitent des communications entre un conseiller juridique et son client qui ont été recueillies dans le cadre du mandat du CST en matière de collecte de renseignements électromagnétiques étrangers, y compris obtenir un avis juridique et conserver les dossiers qui rendent compte des décisions prises et des avis juridiques obtenus.
Le bureau du commissaire continuera d'effectuer des examens annuels des autorisations ministérielles liées à la collecte des renseignements électromagnétiques étrangers, ainsi que des examens des activités de collecte de renseignements électromagnétiques étrangers exercées par le CST sous le régime des autorisations ministérielles. Le bureau procédera également à des vérifications ponctuelles approfondies des « communications canadiennes » acquises et identifiées par le CST, qu'elles aient été recueillies par le CST ou par un allié. En outre, le bureau du commissaire a l'intention d'examiner, dans le cadre d'un examen de suivi, la façon dont les différents programmes du CST peuvent se compléter et l'incidence qu'ils peuvent avoir les uns sur les autres.
Enfin, le commissaire surveillera les mesures prises par le CST pour régler les questions relevées dans le présent rapport.
7. Examen annuel des Dossiers relatifs aux incidents liés à la vie privée et du Dossier des erreurs de procédure mineures
Contexte
Le CST signale et documente tout incident associé à ses activités opérationnelles ou à celles de ses alliés où il pourrait y avoir eu atteinte à la vie privée d'un Canadien, contrairement aux politiques ou aux procédures opérationnelles du CST en matière de protection de la vie privée des Canadiens ou de toute personne au Canada.
Ces incidents, ainsi que les mesures correctives prises, sont consignés dans un des trois dossiers en fonction de l'endroit où l'incident est survenu et de son potentiel de causer un dommage. Il s'agit du Dossier relatif aux incidents liés à la vie privée (DIVP), du Dossier relatif aux incidents liés aux alliés (DIA) et du Dossier des erreurs de procédure mineures (DEPM) tenus par le CST.
Le DIVP est un dossier des incidents attribuables au CST concernant de l'information sur un Canadien ou toute personne au Canada qui a été traitée de manière contraire à la politique de protection de la vie privée du CST et qui a été exposée à des parties externes ne devant pas l'avoir reçue. Ce type de manipulation inadéquate est désigné « incident lié à la vie privée ». Le DIA est un dossier des incidents liés à la vie privée qui sont attribuables à des alliés. Ces incidents peuvent être signalés par les alliés mêmes ou par le CST. Enfin, le DEPM est un dossier des cas où le CST a traité de manière inappropriée de l'information sur un Canadien, mais où l'information a été contenue au sein du CST et n'a pas été exposée à des parties externes.
L'examen annuel par le bureau du DIVP, du DIA et du DEPM met l'accent sur les incidents qui n'ont pas été examinés en détail dans le cadre d'autres examens. L'examen offre une occasion de déterminer les tendances ou les faiblesses systémiques qui pourraient indiquer que des mesures correctives, des changements aux procédures ou aux politiques du CST ou un examen approfondi d'une activité ou d'un incident précis s'imposent. Par exemple, le bureau pourrait exercer une fonction d'examen critique afin de déterminer si l'un des incidents survenus dans le cadre des opérations constituait une « atteinte substantielle à la vie privée », ce que la politique pangouvernementale définit comme une atteinte visant des renseignements personnels sensibles dont on peut raisonnablement penser qu'elle risque de causer un préjudice ou un dommage sérieux à la personne, ou touche un nombre élevé de personnes.
En plus d'examiner les erreurs de procédure, les incidents et les mesures subséquentes prises par le CST pour corriger la situation ou atténuer les répercussions, l'examen avait les objectifs suivants : établir si des incidents survenus dans le cadre des opérations constituaient des atteintes substantielles à la vie privée; déterminer si tout incident soulève des questions de conformité à la loi ou de protection de la vie privée des Canadiens; et évaluer le cadre de validation de la conformité à la politique du CST et les activités de surveillance dans ce contexte. La période visée par l'examen allait du 1er juillet 2016 au 30 juin 2017.
Le bureau a examiné les 81 incidents liés à la vie privée consignés dans le DIVP (48) et le DIA (33), ainsi que les mesures correctives prises par le CST pour y remédier. Le bureau a également examiné les dix erreurs de procédure mineures documentées par le CST au cours de la période visée.
Constatations
La plupart des incidents liés à la vie privée consignés dans le DIVP et le DIA se rapportaient au partage d'information sur l'identité de Canadiens ou à son intégration par inadvertance à un rapport sans la supprimer, comme l'exige la politique du CST, ainsi qu'au ciblage non intentionnel ou à des recherches dans les bases de données visant des renseignements sur des personnes jusqu'alors non connues pour être des Canadiens ou des personnes au Canada. Dans tous les cas, les rapports ont été annulés ou corrigés et l'information sur l'identité a été dûment supprimée, ou le CST a radié toute communication interceptée ou tout rapport connexe.
Information sur l'identité de canadiens
L'information sur l'identité de Canadiens est celle pouvant être utilisée pour identifier un Canadien ou une organisation ou une société canadienne dans le contexte de renseignements personnels ou commerciaux. L'information sur l'identité de Canadiens comprend, sans s'y limiter, les noms, les numéros de téléphone, les adresses de courriel, les adresses de protocole Internet et les numéros de passeport. Lorsque le CST intègre de l'information sur l'identité de Canadiens à un rapport, il doit la supprimer et la remplacer par une mention générique, telle que « Canadien nommé », afin de protéger l'identité de ce Canadien.
Deux incidents étaient liés à un manque de connaissance ou de compréhension de la part de groupes n'appartenant pas au CST en ce qui concerne les politiques du CST sur la protection de la vie privée des Canadiens : un groupe appartenait à un allié et l'autre à un partenaire canadien. Dans les deux cas, le groupe concerné a reçu de son organisation des documents de sensibilisation aux politiques visant à corriger les lacunes.
Pour une troisième année consécutive, le DIVP comprenait un incident lié à un rapport d'un partenaire de la Collectivité des cinq renfermant de l'information sur un Canadien ou une personne au Canada qui a été transmis au Service canadien du renseignement de sécurité par l'entremise du CST et qui aurait dû faire l'objet d'une diffusion interne restreinte, mais qui a été partagé au sein du CST. Cependant, le rapport a été distribué dans une situation d'urgence où il y avait un danger pour la vie. Le commissaire était convaincu que, même si les mesures prises par l'employé allaient à l'encontre de la politique du CST, la réponse du CST était appropriée dans les circonstances. Le bureau a plus tard été informé que des mesures stratégiques correctives ont été officialisées. L'incident sera examiné de façon approfondie dans le cadre de l'examen, par le bureau, de l'assistance fournie par le CST au Service canadien du renseignement de sécurité concernant ce type d'activité, qui débutera au cours du prochain exercice.
Un incident consigné dans le DIVP se rapportait à un outil de collecte défectueux qui a permis à de l'information sur l'identité de Canadiens d'être transférée dans les bases de données du CST pendant une dizaine de jours. L'outil a été réparé, et les données qui avaient été recueillies par inadvertance ont été purgées des systèmes du CST.
Le commissaire a convenu avec le CST que toutes les erreurs consignées dans le DEPM étaient des erreurs mineures ne constituant pas des incidents liés à la vie privée. Ces erreurs de procédure comprenaient, par exemple : des fichiers non ouverts qui auraient pu contenir de l'information sur l'identité de Canadiens qui ont été conservés au-delà de la période de conservation autorisée; une liste servant à contrôler l'accès à certains types d'information qui a connu une défaillance technique et qui, de façon temporaire, n'a pas désactivé l'accès de personnes dont les justificatifs d'identité n'étaient plus valides; de l'information sur l'identité de Canadiens qui a été temporairement visible dans un outil de communication interne; et un autre système de collecte défectueux qui, pendant un certain temps, risquait de recueillir des communications où les deux interlocuteurs sont canadiens ou se trouvent au Canada, mais ne l'a pas fait. Ces incidents sont considérés avoir un effet moindre sur la vie privée puisqu'ils restent à l'interne et qu'ils sont réglés avant que quelqu'un à l'extérieur du CST ne consulte l'information.
Après examen des trois dossiers, des réponses obtenues du CST, ainsi que des dossiers connexes du CST, le commissaire a conclu que, dans tous les cas, le CST a pris les mesures correctives appropriées, y compris, le cas échéant, des mesures pour prévenir des occurrences similaires à l'avenir.
Selon la politique pangouvernementale, il incombe au ministère ou à l'organisme de signaler les atteintes substantielles à la vie privée. Le CST n'a pas signalé d'atteinte substantielle à la vie privée dans le cadre de ses opérations pour la période visée. Le commissaire a convenu que les incidents énumérés dans le DIVP et le DIA pour la période visée ne constituaient pas des atteintes substantielles à la vie privée.
Conclusion
Cet examen n'a pas mis au jour des atteintes substantielles à la vie privée, des lacunes systémiques ou des questions nécessitant un examen de suivi qui n'était pas déjà prévu. Le CST a signalé qu'il n'était au courant d'aucune incidence négative sur les Canadiens concernés par un des incidents liés à la vie privée.
Le commissaire était convaincu que le CST a réagi comme il se doit aux incidents liés à la vie privée et aux erreurs de procédure mineures relevés durant la période visée.
L'enregistrement et le signalement des incidents liés à la vie privée et des erreurs de procédure mineures demeurent un moyen efficace pour le CST de promouvoir le respect des obligations légales, des exigences ministérielles et des politiques et procédures opérationnelles, et d'améliorer la protection de la vie privée des Canadiens. Les améliorations apportées aux rapports et aux structures de dossiers connexes devraient permettre de renforcer les mesures de protection de la vie privée.
Le commissaire n'a formulé aucune recommandation. Toutefois, il a encouragé le CST à assurer l'uniformité quant au sens des termes utilisés lorsqu'il rend compte de ses activités de collecte de renseignements électromagnétiques étrangers et de ses activités en matière de sécurité des technologies de l'information.
- Date de modification :