Points saillants des rapports présentés au ministre en 2018–2019

1. Examen des pratiques de ciblage du CST dans le cadre d'un programme de collecte particulier

Contexte

Le CST mène des activités de collecte de renseignements électromagnétiques étrangers en vertu de la Loi sur la défense nationale. Conformément à la loi, les activités menées dans le cadre du mandat du CST en matière de renseignements électromagnétiques, y compris les méthodes de collecte :

• doivent être conformes aux priorités du gouvernement du Canada en matière de renseignement;
• ne peuvent viser des Canadiens ou toute personne au Canada; et
• doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés.

Afin d'acquérir de l'information qui pourrait présenter un intérêt pour le gouvernement en matière de renseignements étrangers et de veiller à ce que le CST dirige ses activités de collecte vers des entités étrangères situées à l'extérieur du Canada, le CST doit faire la distinction entre les communications d'entités étrangères – c.-à-d. des personnes, des organisations, des sociétés ou des machines/réseaux étrangers – situées à l'extérieur du Canada et les communications qui proviennent du Canada ou y prennent fin ou qui font intervenir des Canadiens. À cette fin, le CST utilise des critères et des paramètres stricts pour « cibler » les communications de telles entités étrangères d'intérêt et applique un certain nombre de mécanismes de contrôle pour assurer la conformité avec la loi.

Le CST exécute un programme particulier de collecte de renseignements qui lui donne un accès unique à des renseignements électromagnétiques étrangers ainsi qu'à des métadonnées à l'appui des analyses de cibles et de réseaux; les renseignements et les métadonnées facilitent ensuite les activités ultérieures de ciblage et de collecte de renseignements. Ce programme est exécuté sous le régime d'autorisations et d'instructions ministérielles précises.

Certains risques et questions délicates associés à ce programme exigent que les activités du programme fassent l'objet d'un examen périodique afin de vérifier si, dans les faits, elles ont été menées en conformité avec la loi et toutes les instructions ministérielles applicables, et si des mesures adéquates ont été prises pour protéger la vie privée des Canadiens.

L'examen a porté sur la période allant du 1^er avril 2015 au 31 mars 2016; toutefois, les faits nouveaux pertinents survenus depuis cette période ont aussi été pris en considération. L'examen a également permis de faire un suivi de certaines questions soulevées lors d'examens antérieurs qui présentaient un intérêt pour cet examen.

Constatations et recommandation

En ce qui concerne le programme de collecte particulier qui fait l'objet de cet examen et de façon plus générale, le CST a, pour ses activités de ciblage des renseignements électromagnétiques, des politiques et des procédures opérationnelles qui fournissent aux employés du CST des orientations suffisantes en ce qui a trait à la protection de la vie privée des Canadiens. De plus, les employés du CST connaissent très bien les politiques relatives au ciblage et aux activités connexes.

Le CST utilise une méthode de ciblage automatisée et fondée sur des règles, ce qui contribue à assurer l'uniformité dans l'application de ses critères de ciblage et ajoute de la rigueur au processus de ciblage. La validation centralisée des demandes de ciblage, par une autorité de ciblage qui ne fait pas partie de la chaîne de production du renseignement, réduit le risque résiduel de ciblage inadéquat et ajoute encore plus de rigueur au processus de ciblage. Le CST tient aussi des dossiers complets sur ses antécédents de ciblage et a établi un régime de surveillance de la conformité qui comprend, entre autres, la revalidation périodique obligatoire des cibles pour aider à assurer la conformité et apporter des mesures correctives appropriées en cas d'anomalie au chapitre du ciblage.

Dans le cadre du suivi des questions liées au ciblage qui avaient été soulevées lors de deux examens antérieurs, le commissaire a constaté que le CST avait réglé toutes les questions sauf une. La seule question en suspens se rapportait à la disponibilité immédiate de statistiques exhaustives sur un aspect particulier du ciblage que le CST exécute en son nom ou à la demande d'un organisme partenaire de la Collectivité des cinq. Le CST avait déjà indiqué son intention de permettre à son système de gestion du ciblage de fournir de telles statistiques; cependant, l'organisme a depuis fait savoir qu'il ne considère pas cette capacité comme une priorité. Par conséquent, rien ne s'est concrétisé. Le CST a toutefois assuré le bureau du commissaire que si de telles informations statistiques étaient nécessaires, elles pourraient être produites manuellement. Le CST a aussi fait savoir qu'il s'emploie à développer un nouveau système qui devrait permettre de corriger toute lacune en matière de statistiques et de rapports relevée précédemment, bien que l'organisme n'ait pas encore établi de calendrier pour la mise en œuvre de ce nouveau système. Le bureau du commissaire surveillera ce qui sera accompli à cet égard.

Une autre question qui avait été soulevée lors de deux autres examens antérieurs et qui a fait l'objet d'un suivi dans le cadre du présent examen se rapporte à des écarts précis qui existent depuis longtemps entre les pratiques du CST et certaines mesures administratives de gestion des risques prévues dans les instructions ministérielles concernant le programme de collecte de renseignements visé par cet examen. Le commissaire a constaté que ces écarts persistent. Le commissaire a recommandé, encore une fois, et comme l'avait également recommandé son prédécesseur, que le CST corrige ces écarts pour assurer la conformité avec les instructions ministérielles, soit en s'acquittant des obligations administratives prévues, soit en demandant qu'une modification soit apportée aux instructions ministérielles applicables. Le commissaire a toutefois noté avec satisfaction que la chef du CST s'était engagée par écrit à rectifier la situation en temps opportun.

Conclusion

Par suite de l'examen, le commissaire a conclu que les activités de ciblage menées par le CST au cours de la période visée par l'examen étaient conformes à la loi et visaient des cibles étrangères, conformément aux exigences du gouvernement du Canada en matière de renseignement. En outre, le CST a pris des mesures satisfaisantes pour protéger la vie privée des Canadiens dans le cadre de ses activités de ciblage. Toutefois, le commissaire a également conclu qu'il subsiste des écarts de longue date entre les pratiques du CST concernant le programme de collecte particulier qui faisait l'objet de l'examen et certaines obligations administratives énoncées dans les instructions ministérielles. La chef du CST s'est par la suite engagée à corriger la situation.

2. Examen de l'assistance fournie par le CST au Service canadien du renseignement de sécurité relativement aux activités visant une cible pour laquelle un mandat a été délivré

Contexte

Conformément à ses propres pouvoirs, le CST se voit interdire de cibler des Canadiens ou toute personne au Canada dans le cadre de ses activités de collecte de renseignements étrangers ou de ses activités en matière de sécurité des technologies de l'information. Le CST peut, cependant, fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité dans l'exercice des fonctions conférées par leur loi respective. Dans ce contexte, le Service canadien du renseignement de sécurité (SCRS) peut demander l'assistance du CST pour réduire une menace envers la sécurité du Canada, ou enquêter sur une telle menace, en utilisant des moyens intrusifs, quel que soit l'endroit où la menace cernée se situe dans le monde.

Si le SCRS a un mandat autorisé par les tribunaux, délivré en vertu de la Loi sur le Service canadien du renseignement de sécurité, le CST peut aider le SCRS à intercepter des communications de Canadiens pour réduire une menace envers la sécurité du Canada ou enquêter sur une telle menace. Lorsque le CST fournit une assistance opérationnelle au SCRS, celui-ci demeure le propriétaire de l'information et des communications interceptées relativement à la personne visée par le mandat. De plus, le CST est assujetti aux limites que la loi impose à l'organisme auquel il fournit une assistance.

Entre 2008 et 2014, la Cour fédérale a rendu plusieurs décisions qui ont fait ressortir des lacunes dans les fondements législatifs des mandats d'interception au Canada de télécommunications étrangères, ainsi que des problèmes concernant l'assistance fournie par le CST au SCRS pour l'exécution de ces mandats. En 2015, la Loi sur le Service canadien du renseignement de sécurité a été modifiée par suite de l'entrée en vigueur du projet de loi C-44, Loi modifiant la Loi sur le Service canadien du renseignement de sécurité et d'autres lois, et du projet de loi C-51, Loi antiterroriste. La loi autorise désormais le SCRS, lorsqu'il a obtenu un mandat valide, à enquêter sur des menaces en utilisant des moyens intrusifs ou à réduire les menaces envers la sécurité du Canada, au pays ou à l'étranger. Pour tenir compte des modifications législatives, le terme « mandat d'interception au Canada de télécommunications étrangères » a été remplacé par le terme « activités visant une cible pour laquelle un mandat a été délivré ».

Dans le cadre de ce régime, les demandes du SCRS visant l'assistance du CST décrivent le type d'assistance demandée, et précisent les motifs et le pouvoir du SCRS de demander cette assistance. Le SCRS fournit également au CST les mandats pertinents délivrés par la Cour fédérale pour démontrer au CST qu'il a la capacité juridique de recevoir l'assistance du CST.

Le bureau du commissaire a examiné l'assistance fournie par le CST à l'appui de toutes les demandes d'assistance relatives aux mandats du SCRS qui ont été délivrés et qui ont expiré entre le 1^er juin 2015 et le 1^er juin 2017. L'examen a également porté sur les processus et les pratiques du CST concernant les activités en question. Le CST a fourni au bureau du commissaire des comptes rendus exhaustifs sur ses activités d'assistance visant une cible pour laquelle un mandat a été délivré. En outre, le bureau a envoyé des demandes d'information et a reçu des réponses écrites du CST. Le bureau du commissaire a aussi examiné des documents écrits et électroniques pertinents, des dossiers, des pièces de correspondance et d'autres documents se rapportant à l'assistance fournie par le CST, y compris des politiques et des procédures, des directives juridiques, des mandats connexes, des documents relatifs aux demandes d'assistance et de la correspondance interne. De plus, les employés du CST ayant participé aux activités d'assistance visant une cible pour laquelle un mandat a été délivré ont été interviewés.

Le bureau du commissaire a examiné le contenu des bases de données sur les rapports afin de vérifier l'information fournie par le CST et de s'assurer de la conformité avec les exigences juridiques et ministérielles ainsi que les politiques et procédures connexes. À cette fin, le bureau a évalué tous les rapports et toutes les demandes se rapportant à l'assistance fournie par le CST relativement aux activités du SCRS visant une cible pour laquelle un mandat a été délivré au cours de la période visée. Le bureau a aussi évalué un échantillon représentant plus de 20 pour cent de l'ensemble des caractéristiques utilisées par le CST en fonction de divers critères pour établir si les conditions des mandats avaient été respectées.

Constatations et recommandations

Au cours de la période visée par l'examen, le CST a aidé le SCRS à enquêter sur des menaces envers la sécurité du Canada, mais n'a reçu aucune demande relative à des activités du SCRS ayant pour but de réduire des menaces envers la sécurité du Canada.

Premièrement, le bureau du commissaire a évalué le cadre des activités du SCRS visant une cible pour laquelle un mandat a été délivré. Il a constaté que le CST avait interprété de façon raisonnable le cadre juridique qui s'applique à ces activités. Le CST a également assuré un suivi exact des documents requis pour mener de telles activités et a tenu compte de ces documents. De plus, pour veiller à ce que les directives aient été appliquées avec exactitude, le bureau a confirmé que les demandes d'assistance et les plans opérationnels reflétaient les directives juridiques et le libellé des mandats.

Deuxièmement, le bureau du commissaire a vérifié si les pratiques du CST respectaient les directives établies. Il a constaté que le CST avait respecté les conditions des mandats lorsqu'il a fourni une assistance au SCRS. En outre, dans le cadre de ses activités opérationnelles et du traitement des données pertinentes, le CST a respecté les cadres de contrôle établis.

Troisièmement, le bureau du commissaire a vérifié si le CST avait bien cerné et géré les risques en matière de conformité associés aux exigences juridiques, ministérielles et des politiques. Il a confirmé que les gestionnaires du CST surveillaient régulièrement et étroitement les activités du programme examiné pour vérifier que le CST se conformait aux autorisations en vigueur, et que la surveillance interne de la conformité et l'examen des activités d'assistance visant une cible pour laquelle un mandat a été délivré menées par le CST contribuaient à cerner et à atténuer les risques au chapitre de la conformité.

Accès aux décisions touchant les mandats

Le bureau du commissaire a souligné que le CST n'était pas toujours bien informé de la pleine portée des décisions judiciaires touchant les mandats du SCRS. L'impossibilité pour le CST d'accéder directement à des versions légèrement expurgées des décisions judiciaires ayant trait aux mandats augmente le risque de non-conformité juridique du CST, étant donné que celui-ci peut être moins en mesure de se faire une opinion indépendante concernant les pouvoirs du SCRS en matière de mandats.

Avant de fournir une assistance, le CST doit bien comprendre, de façon indépendante, le mandat de l'organisation pour laquelle il approuve l'assistance, vu que le CST agira sous l'autorité de cette organisation. Pour ce faire, le CST a besoin de renseignements, comme les décisions des tribunaux qui interprètent les activités du SCRS. Le bureau du commissaire a été informé que les conseillers juridiques du CST, qui comprennent des employés de Justice Canada agissant à titre consultatif, ont accès à des versions non expurgées des décisions judiciaires concernant le SCRS qui présentent un intérêt pour le CST et ses activités. Dans la pratique, il revient aux conseillers juridiques du CST de décider si les employés du CST reçoivent des versions légèrement expurgées des décisions judiciaires, ou des résumés de ces décisions. Essentiellement, les employés du CST ne reçoivent pas directement les décisions des tribunaux concernant les activités du SCRS. Le fait que le CST ne soit pas directement informé des décisions générales relatives aux mandats peut l'empêcher d'évaluer pleinement et de façon indépendante le risque d'accepter les demandes d'assistance du SCRS.

Le CST serait mieux à même d'évaluer son propre risque de non-conformité s'il recevait directement des versions légèrement expurgées des décisions relatives aux mandats du SCRS. Le commissaire a recommandé que le CST élabore, en collaboration avec le SCRS, un mécanisme qui permettra de fournir au CST une version légèrement expurgée des décisions judiciaires qui sont nécessaires pour comprendre les pouvoirs du SCRS en matière de mandats.

Changements dans le libellé ou l'interprétation des mandats

En outre, au cours de la période visée, le CST n'a pas bénéficié d'un processus officiel d'avis du SCRS concernant tout changement apporté au libellé ou à l'interprétation sous-jacente des mandats. Le bureau du commissaire estime que le CST devrait être informé par le SCRS lorsqu'il y a des changements dans le libellé des mandats ou dans les interprétations sous-jacentes de ce que le libellé implique, d'autant plus que le CST ne reçoit pas de versions légèrement expurgées des décisions de la Cour fédérale à moins que les conseillers juridiques de Justice Canada au CST jugent qu'elles présentent un intérêt pour les activités du CST.

Bien qu'il soit encourageant que le CST ait relevé les changements de fond et de style apportés aux demandes d'assistance et aux mandats au cours de la période d'examen, les risques de non-conformité juridique sont accrus par le fait de s'appuyer sur l'expertise interne pour repérer les modifications apportées aux documents complexes. Le commissaire a donc recommandé que le CST élabore, en collaboration avec le SCRS, un mécanisme officiel d'avis pour informer le CST de toute modification apportée au modèle de mandat ou de tout changement dans les interprétations sous-jacentes des mandats du SCRS dans le contexte du programme des activités visant une cible pour laquelle un mandat a été délivré.

Accès à l'information du CST

Enfin, le bureau du commissaire compte sur le CST pour recevoir en temps opportun des réponses exactes et complètes à ses demandes de renseignements afin d'établir si les activités du CST étaient conformes à la loi. Le commissaire s'attend également à ce que le CST fournisse des réponses de grande qualité aux autres organismes d'examen, comme le Comité des parlementaires sur la sécurité nationale et le renseignement, et, si le projet de loi C-59 reçoit la sanction royale et entre en vigueur, à l'Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Au cours de l'examen, le bureau du commissaire a relevé un cas où les contrôles d'accès internes ont nui aux efforts déployés par les conseillers en examen du CST pour récupérer les documents pertinents, ce qui a fait en sorte que l'information fournie initialement était incomplète. Le CST a constaté que ses conseillers en examen n'avaient pas obtenu le plein accès aux bases de données sur les rapports du CST et qu'ils avaient donc reçu des résultats de recherche inexacts. Le groupe responsable de la facilitation des examens du CST ne savait pas qu'il n'avait pas les autorisations nécessaires pour avoir accès à l'information. Le CST a fini par fournir l'information complète au bureau du commissaire. Le commissaire a recommandé que le CST prenne des mesures pour veiller à ce que la détermination et la récupération de tous les documents se rapportant à une demande d'examen se fassent de manière exacte et complète.

De plus, le commissaire a encouragé le CST à évaluer si ses groupes responsables de la conformité interne ont des contraintes d'accès semblables, étant donné que leur accès à l'information est structuré de la même façon que pour l'équipe du CST chargée de faciliter les examens. L'accès à l'information est important pour les groupes de facilitation de la surveillance et de l'examen internes. Les groupes du CST qui sont chargés de faciliter la surveillance et l'examen internes doivent se voir accorder un accès suffisant pour fournir aux organismes d'examen des renseignements exacts et complets.

Conclusion

En réponse aux questions soulevées dans le cadre de cet examen, le CST a déjà pris des mesures pour donner suite à la recommandation visant l'établissement d'un mécanisme officiel d'avis concernant les changements apportés au libellé ou à l'interprétation des mandats. Le CST a indiqué que depuis la période visée par l'examen, il a élaboré un mécanisme officiel avec le SCRS pour procéder à des mises à jour périodiques relativement au libellé des mandats. Le bureau du commissaire surveillera l'évolution de la situation.

Le commissaire a conclu que les activités d'assistance du CST visant une cible pour laquelle un mandat a été délivré étaient conformes à la loi, aux instructions ministérielles de même qu'aux politiques et aux procédures du CST. En outre, le CST a pris des mesures satisfaisantes pour protéger la vie privée des Canadiens lorsqu'il mène des activités visant une cible pour laquelle un mandat a été délivré.

3. Examen annuel des divulgations d'information sur l'identité de Canadiens par le CST, 2017-2018

Contexte

Il s'agit du 10^e examen annuel d'un échantillon des divulgations d'information sur l'identité de Canadiens par le CST. L'objectif de l'examen consistait à vérifier si les divulgations d'information sur l'identité de Canadiens par le CST étaient conformes à la loi, aux instructions ministérielles ainsi qu'aux politiques et procédures du CST. La mesure dans laquelle le CST a protégé la vie privée des Canadiens a également été évaluée.

Le bureau du commissaire a sélectionné et examiné un échantillon correspondant à environ 22 pour cent (258 demandes) des 1 156 demandes de divulgation d'information sur l'identité de Canadiens contenue dans des rapports du CST et des alliés présentées par des clients du CST au sein du gouvernement du Canada. Les demandes ont été reçues par le CST entre le 1^er juillet 2017 et le 30 juin 2018. L'échantillon visait toutes les institutions gouvernementales qui ont présenté une demande pendant cette période. Un examen des demandes de divulgation de 2015-2016 avait permis de constater qu'un client donné du gouvernement du Canada présentait ordinairement des demandes qui ne comportaient pas suffisamment de détails (un résumé de cet examen se retrouve dans le rapport annuel 2017-2018 du commissaire). Cet échantillon comprenait l'ensemble des demandes présentées par ce client.

Conformément à la méthode adoptée l'an dernier, le bureau a mené une analyse comparative des demandes de divulgation provenant de divers clients au sein du gouvernement du Canada. Dans le cadre de l'examen, le commissaire s'attendait à ce que des éléments probants lui soient présentés montrant que le CST a pris des mesures pour donner suite à une recommandation formulée en janvier 2018 au cours de l'examen pour 2015-2016, à savoir que le CST renforce ses procédures afin d'être plus diligent et de s'assurer que toutes les demandes précisent le pouvoir légal en vertu duquel les renseignements sont demandés et comportent une justification opérationnelle solide de la nécessité d'obtenir ces renseignements qui est conforme au mandat du demandeur. Le ministre a accepté cette recommandation, et le CST a fait s'avoir qu'elle avait été mise en œuvre.

Bien que le CST ait réalisé des progrès en mettant en œuvre cette recommandation, l'examen des divulgations pour 2017-2018 a encore permis de relever des cas où le pouvoir légal ou la justification opérationnelle appuyant certaines demandes de clients pourrait être renforcé.

Le bureau a également examiné chacune des 102 demandes provenant d'alliés et des 24 demandes présentées par deux clients du gouvernement du Canada et par le CST lui-même qui visaient la divulgation d'information sur l'identité de Canadiens à des entités ne faisant pas partie de la Collectivité des cinq. Lorsqu'il divulgue une telle information à des alliés ou à des destinataires autres que les partenaires de la Collectivité des cinq, le CST a la responsabilité de déterminer si la divulgation pourrait résulter en un risque important de mauvais traitements pour le Canadien dont l'information est divulguée. Si le CSE divulgue l'information à d'autres institutions du gouvernement du Canada, cependant, ces institutions doivent mener l'évaluation du risque de mauvais traitements avant de pouvoir partager l'information par leurs propres canaux de communication.

Constations et recommandation

Le commissaire a constaté ce qui suit :

• les divulgations par le CST d'information sur l'identité de Canadiens étaient conformes à la loi;
• Les clients du gouvernement du Canada ou les alliés qui ont présenté des demandes avaient le pouvoir légal requis pour obtenir l'information; cependant, certaines demandes de clients ne précisaient pas toujours ce pouvoir légal de façon explicite ou ne comportaient pas une justification opérationnelle solide;
• il y avait quatre cas où la divulgation d'information sur l'identité de Canadiens par le CST était contraire à ses politiques et procédures opérationnelles; et
• le CST a respecté les instructions ministérielles concernant les risques inhérents au partage de l'information avec des entités étrangères susceptible d'entraîner des mauvais traitements.

Bien que le commissaire ait constaté que les demandes de divulgation d'information sur l'identité de Canadiens étaient conformes à la loi, 7 pour cent des demandes analysées ne précisaient pas le pouvoir légal, dont quelques-unes provenant du ministère client dont les demandes avaient été jugées insatisfaisantes au cours de l'examen des divulgations de 2015-2016.

Dans un peu plus de 80 pour cent des demandes de divulgation d'information sur l'identité de Canadiens, les clients avaient fourni une justification opérationnelle solide. Dans certains cas, toutefois, le bureau du commissaire n'a pas été en mesure d'évaluer la décision du CST de divulguer l'information sur l'identité de Canadiens en se fondant uniquement sur le document écrit fourni, et il a dû s'appuyer sur les renseignements supplémentaires transmis par le CST. Le Bureau du commissaire est d'avis que les précisions supplémentaires fournies par le CST constituent des renseignements qui auraient dû être compris dans les justifications fournies dans les demandes d'information sur l'identité de Canadiens ou, sinon, dans les informations consignées dans les dossiers du CST pour justifier les divulgations.

Dans un peu moins de 20 pour cent des demandes, les clients avaient fourni une justification opérationnelle générique. Le CST a expliqué que des justifications génériques avaient été élaborées en collaboration avec des clients et mises à l'essai au fil du temps. Il a aussi expliqué que ses analystes connaissent le mandat, les pouvoirs et les exigences de leurs clients. Cependant, le bureau du commissaire estime que les demandes génériques ne pouvaient pas être qualifiées de demandes solides, comme l'exige la politique du CST, car elles ne comportaient pas un élément important qui est nécessaire pour approuver la demande de divulgation d'un client, c'est-à-dire la raison précise pour laquelle le demandeur souhaite obtenir l'information sur l'identité de Canadiens.

Le CST estime que les demandes génériques satisfont aux exigences minimales de la politique. Toutefois, comme les demandes contiennent des justifications génériques qui ne décrivent pas suffisamment la nécessité de l'information supprimée, elles ne répondent pas aux attentes du bureau du commissaire en ce qui concerne la justification de la divulgation d'information sur l'identité de Canadiens. Le bureau du commissaire surveillera ce dossier.

Dans deux cas, les justifications opérationnelles étaient inadéquates puisqu'elles ne satisfaisaient pas aux exigences stipulées dans les politiques. Les deux demandes en question provenaient du CST lui-même. Pendant l'examen, le bureau a remarqué que les deux divulgations ne posaient pas de problème et qu'elles avaient été approuvées. Cependant, les renseignements contenus dans le Dossier des erreurs de procédure mineures 2017-2018 du CST précisaient que l'information sur l'identité de Canadiens divulguée dans ces cas avait en fait été « retirée » par la suite. Par conséquent, les dossiers organisationnels du CST qui avaient été examinés par le bureau du commissaire contenaient des renseignements incomplets en ce qui a trait à l'état de ces divulgations.

À la lumière de ces constatations, le commissaire a recommandé que le CST prenne des mesures pour veiller à ce que ses dossiers organisationnels concernant la divulgation d'information sur l'identité de Canadiens contiennent des renseignements détaillés et complets de façon à décrire et à expliquer la divulgation, ainsi que l'état de la divulgation.

Il est encourageant que le CST ait relevé ces deux divulgations de façon proactive dans le cadre du processus courant de surveillance, ce qui a donné lieu au retrait de l'information sur l'identité de Canadiens.

Les partenaires de la Collectivité des cinq du CST ont présenté 102 demandes de divulgation d'information sur l'identité de Canadiens au cours de la période visée par l'examen. Le bureau a soulevé des problèmes relativement à deux de ces demandes. Le premier problème se rapportait à une demande qui a entraîné la divulgation par erreur d'information sur l'identité de Canadiens à un allié malgré une décision selon laquelle la divulgation n'était pas autorisée. Avant l'examen du bureau, le CST n'était pas au courant de la divulgation à cet organisme. L'incident a par la suite été consigné dans le Dossier relatif aux incidents liés à la vie privée du CST.

Le deuxième problème concernait l'insuffisance de la justification opérationnelle fournie par un partenaire de la Collectivité des cinq dans sa demande.

Le commissaire a encouragé le CST à faire preuve d'une diligence accrue lorsqu'il divulgue de l'information sur l'identité de Canadiens à l'étranger et à veiller à ce que toutes les exigences de la politique soient respectées.

Conclusion

L'examen a permis de conclure que les divulgations d'information sur l'identité de Canadiens par le CST étaient conformes à la loi, mais que, dans certains cas, le CST n'a pas respecté sa propre politique selon laquelle l'organisation qui présente une demande est tenue de préciser son pouvoir légal d'obtenir l'information et de fournir une justification opérationnelle suffisante à cet égard.

Le commissaire a recommandé que le CST prenne des mesures pour s'assurer que ses dossiers relatifs à la divulgation d'information sur l'identité de Canadiens renferment des renseignements complets et détaillés sur la divulgation ainsi que sur l'état de la divulgation. Depuis la période ayant fait l'objet de l'examen, le CST a indiqué avoir adopté un nouvel outil pour recevoir les demandes de divulgation d'information sur l'identité de Canadiens, y répondre et en assurer le suivi. Cet outil pourrait peut-être suivre l'état d'une divulgation, y compris les cas où une décision de divulgation est révoquée. Le bureau du commissaire surveillera la suite.

L'intégrité du processus d'examen tant pour le CST que pour le bureau du commissaire repose sur l'exactitude et l'exhaustivité des renseignements fournis par le CST. Dans le cadre du présent examen, le bureau du commissaire a constaté que le CST n'a pas relevé et récupéré certains renseignements pertinents à l'examen. Le Commissaire a indiqué que cet aspect était à améliorer dans sa recommandation découlant de son Examen de l'assistance fournie par le CST au Service canadien du renseignement de sécurité relativement aux activités visant une cible pour laquelle un mandat a été délivré (page 21).

Le bureau du commissaire continuera de réaliser des examens annuels des divulgations par le CST d'information sur l'identité de Canadiens à des clients et à des partenaires de façon à vérifier si le CST respecte la loi et protège les renseignements personnels des Canadiens.

4. Examen combiné annuel des autorisations ministérielles du CST relatives à la collecte de renseignements électromagnétiques étrangers, 2017-2018 et 2018-2019 et vérification ponctuelle des « communications canadiennes »

Contexte

Le présent résumé combine les constatations découlant de deux examens :

• L'examen annuel des autorisations ministérielles du CST relatives à la collecte de renseignements électromagnétiques étrangers : L'examen des autorisations ministérielles relatives à la collecte de renseignements électromagnétiques étrangers a été réalisé en vertu de la Loi sur la défense nationale, qui exige que le commissaire procède à l'examen des activités du CST exercées sous le régime d'autorisations ministérielles pour en contrôler la conformité et qu'il adresse au ministre un rapport annuel sur l'examen. Le bureau du commissaire a également examiné le statut, à la fin de la période de validité des autorisations ministérielles, des communications privées qui avaient été interceptées sous le régime de ces autorisations ministérielles et conservées ou utilisées par le CST.
• Une vérification ponctuelle de « communications canadiennes » : La vérification ponctuelle a été effectuée dans le cadre du mandat principal du commissaire, lequel consiste à examiner les activités du CST pour s'assurer qu'elles sont conformes à la loi. La vérification portait sur des « communications canadiennes » conservées, utilisées ou détruites par le CST pendant une période de deux mois en 2018. Les communications comprennent celles qui ont été interceptées par des alliés et transmises au CST.

Le CST mène des activités de collecte de renseignements électromagnétiques étrangers en vertu de son mandat qui consiste à acquérir et à utiliser l'information provenant de l'infrastructure mondiale d'information dans le but de fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement. Ces activités ne peuvent viser des Canadiens, où qu'ils se trouvent, ou toute personne au Canada et elles doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés.

En vertu de la Loi sur la défense nationale, le ministre peut également, dans le seul but d'obtenir des renseignements étrangers, autoriser par écrit le CST à intercepter des communications privées liées à une activité ou une catégorie d'activités qu'il mentionne expressément. Comme les activités de collecte de renseignements électromagnétiques étrangers comportent un risque d'interception non intentionnelle de communications privées, le CST doit exercer ces activités sous le régime d'une autorisation ministérielle. Une communication privée interceptée peut être conservée ou utilisée par le CST seulement si elle est jugée essentielle aux affaires internationales, à la défense ou à la sécurité. Tous les renseignements recueillis qui sont utilisés dans un rapport sur les renseignements étrangers sont conservés pendant une période indéterminée par le CST.

Au cours de l'exercice 2018-2019, le CST a mené des activités de collecte de renseignements électromagnétiques étrangers sous le régime de trois autorisations ministérielles. Celles-ci étaient en vigueur du 1^er juillet 2017 au 30 juin 2018, et elles ont été délivrées de nouveau pour une période d'un an, soit du 1^er juillet 2018 au 30 juin 2019. Le bureau s'est penché sur ces six autorisations ministérielles.

Les objectifs de l'examen étaient les suivants :

• veiller à ce que les activités aient été autorisées par le ministre, c'est-à-dire que les conditions d'autorisation énoncées dans la Loi sur la défense nationale ont été remplies;
• relever tout changement important – survenu dans les années visées par l'examen comparativement aux années antérieures – aux documents d'autorisation minis­térielle eux-mêmes ainsi qu'aux activités du CST ou à une catégorie d'activités décrites dans les autorisations ministérielles; et
• évaluer les répercussions des changements, le cas échéant, sur le risque de non-conformité à la loi ou le risque pour la vie privée.

Le bureau a examiné le statut, à la fin de la période de validité des autorisations ministérielles de 2017-2018, des communications privées identifiées que le CST avait acquises, conservées ou utilisées en exerçant ses activités de collecte de renseignements électromagnétiques étrangers. Le bureau a vérifié la conformité du CST à la loi et à toutes les autorisations, instructions ministérielles et politiques applicables, et a évalué la mesure dans laquelle le CST avait protégé la vie privée des Canadiens. En outre, le bureau du commissaire a fait une vérification ponctuelle, sans avoir donné de préavis au CST, de toutes les « communications canadiennes » (y compris des communications privées) utilisées ou conservées par le CST au cours d'une période de deux mois en 2018.

En ce qui concerne les communications privées acquises sous le régime d'une autorisation ministérielle et les « communications canadiennes » visées par la vérification ponctuelle, le bureau a examiné tous les rapports sur les renseignements étrangers établis par le CST qui se fondaient en totalité ou en partie sur ces communications. Le bureau a également reçu des comptes rendus sur l'ensemble des communications conservées, il a vu de ses propres yeux un échantillon de ces communications et il a interviewé les analystes du renseignement étranger et les superviseurs concernés qui mettaient en œuvre les priorités du gouvernement en matière de renseignement, comme le terrorisme et le soutien des opérations militaires, au sujet des motifs sur lesquels ils s'appuyaient pour conserver les communications.

Constatations

Le commissaire a constaté que les autorisations ministérielles de 2017-2018 et de 2018-2019 relatives à la collecte de renseignements électromagnétiques étrangers remplissaient les conditions d'autorisation définies dans la Loi sur la défense nationale, à savoir :

• l'interception visait des entités étrangères situées à l'extérieur du Canada;
• les renseignements à obtenir ne pouvaient raisonnablement être obtenus d'une autre manière;
• la valeur des renseignements étrangers que l'on espérait obtenir grâce à l'interception justifiait l'interception envisagée;
• il existait des mesures satisfaisantes pour protéger la vie privée des Canadiens; et
• les communications privées n'ont été utilisées ou conservées que si elles étaient essentielles aux affaires internationales, à la défense ou à la sécurité.

Les autorisations ministérielles de 2018-2019 et les mémoires de demande connexes adressés au ministre comprenaient des changements découlant de deux recommandations formulées par le commissaire l'an dernier. Une des recommandations résultait d'une réduction marquée des renseignements techniques et des renseignements concernant le processus fournis dans l'un des mémoires de demande de 2017-2018 par rapport aux années passées, ce qui avait donné lieu à un mémoire au ministre qui n'était pas aussi informatif qu'il aurait pu l'être. Par conséquent, le commissaire avait recommandé que le CST veille à ce que les mémoires de demande ultérieurs liés aux renseignements électromagnétiques étrangers contiennent de l'information détaillée de façon à décrire et à expliquer de manière exhaustive les activités envisagées par l'organisme, afin de mieux appuyer le processus décisionnel du ministre. Le CST a suivi cette recommandation de manière satisfaisante en fournissant des renseignements contextuels supplémentaires dans ses trois mémoires de demande liés aux renseignements électromagnétiques étrangers de 2018-2019.

La deuxième recommandation formulée par le commissaire l'an dernier visait à ce que le CST clarifie la terminologie employée dans les autorisations ministérielles en ce qui a trait aux communications entre un conseiller juridique et son client. Le premier objectif consistait à rendre compte précisément de la protection juridique dont jouissent de telles communications en vertu de la loi canadienne, et l'autre objectif consistait à assurer l'uniformité de la définition de ce terme dans la politique et dans la façon dont le CST détermine si une communication est visée par le secret professionnel tant dans ses activités liées à la sécurité de la technologie de l'information que dans celles liées à la collecte de renseignements électromagnétiques étrangers. Le CST a donné suite à cette recommandation en clarifiant la terminologie employée dans les autorisations ministérielles et en intégrant une définition du terme « communication entre un conseiller juridique et son client » qui reflète la protection juridique offerte relativement à ce type de communication. Dans les autorisations ministérielles, le terme « communication entre un conseiller juridique et son client » est dorénavant défini de la façon suivante : « Une communication entre un client et une personne habilitée à exercer en tant qu'avocat ou notaire dans la province de Québec ou en tant qu'avocat ou procureur dans toute province ou tout territoire du Canada, ou toute personne travaillant dans son bureau, dont la tâche est liée à la demande, à la formulation ou à la prestation de conseil ou d'aide juridique. »

Au cours de la période de validité des autorisations ministérielles de 2017-2018, le nombre de communications privées identifiées qui ont été interceptées de façon fortuite par le CST a légèrement augmenté (0,6 pour cent); cependant, le nombre de ces communications privées qui ont été jugées essentielles aux affaires internationales, à la défense ou à la sécurité, et qui ont donc été conservées, a connu une hausse marquée de près de 120 pour cent (passant de 954 en 2016-2017 à 2 093 en 2017-2018). De ces 2 093 communications privées, 402 ont été utilisées dans 20 rapports sur les renseignements étrangers produits au cours de cette période. Ces rapports portaient sur des priorités valables en matière de renseignement, et la conservation et l'utilisation des communications privées ont été jugées raisonnables et justifiées.

Les 1 691 communications privées restantes ont été conservées aux fins d'analyse con­tinue, et elles ont toutes été supprimées par la suite, sauf une. La seule communication privée restante a été conservée en vue d'une analyse plus poussée et d'une utilisation possible. Aucune des communications privées identifiées n'a été désignée comme une communication entre un conseiller juridique et son client.

Dans le cadre de la vérification ponctuelle, le bureau a examiné tous les rapports sur des renseignements étrangers établis par le CST qui se fondaient en totalité ou en partie sur des « communications canadiennes ». Le bureau a également reçu des comptes rendus sur l'ensemble des « communications canadiennes » conservées, il les a vues et il a interviewé les représentants concernés du CST. Le bureau a confirmé que toutes les « communications canadiennes » jugées non essentielles ont été détruites.

À la lumière de l'information examinée et des entretiens menés, le commissaire a conclu que le CST avait agi en conformité avec la loi et qu'il avait protégé la vie privée des Canadiens. En particulier :

• les activités relatives à la collecte de renseignements électromagnétiques étrangers du CST ne visaient pas des Canadiens ou des personnes se trouvant au Canada;
• les « communications canadiennes » identifiées par le CST avaient été interceptées de façon fortuite;
• les « communications canadiennes » utilisées et conservées par le CST étaient essentielles aux affaires internationales, à la défense ou à la sécurité, comme l'exige la Loi sur la défense nationale;
• le CST avait détruit les « communications canadiennes » non essentielles; et
• le CST avait exercé ses activités relatives à la collecte des renseignements électromagnétiques étrangers conformément aux directives et aux autorisations ministérielles et avait traité les « communications canadiennes » conformément à ses politiques et à ses procédures – le CST n'avait pas conservé de communications privées au-delà des périodes de conservation et de destruction prescrites par ses politiques.

Contexte juridique en évolution et son incidence sur la reddition de comptes du CST

Dans le cadre de l'examen de l'an dernier portant sur les autorisations ministérielles relatives aux activités de collecte de renseignements électromagnétiques étrangers, le commissaire avait indiqué que la Cour suprême du Canada s'était penchée sur deux affaires (R. c. Marakah, 2017 CSC 59 et R. c. Jones, 2017 CSC 60) qui portaient sur les notions d'« interception » et de « fouille » dans le contexte des technologies en évolution. Ces affaires étaient susceptibles de présenter un intérêt en ce qui concerne le traitement des « communications canadiennes » dans le cadre du programme des renseignements étrangers du CST. En fin de compte, elles n'ont pas eu de répercussions sur les activités du CST; toutefois, le contexte juridique en évolution a incité le CST à élargir la portée des comptes qu'il rend et des rapports qu'il présente à l'égard d'un type particulier de « communications canadiennes » qu'il acquiert lors de ses activités de collecte de renseignements électromagnétiques étrangers, que les communications soient actives ou inactives. Ce type de « communication canadienne » sera dorénavant dénombré à titre de communication privée.

En février 2011, le commissaire Décary avait recommandé que le CST adresse au ministre un rapport sur le nombre de « communications canadiennes » de ce type particulier, de la même manière que le CST le fait pour les communications privées identifiées qui sont interceptées dans le cadre des autres programmes de collecte de renseignements électromagnétiques étrangers. Bien que cette recommandation ait été acceptée par le ministre, le CST n'a pas toujours présenté de tels rapports au fil des ans. La nouvelle approche du CST devrait non seulement assurer l'uniformité dans la façon dont les communications privées sont marquées et dénombrées, mais aussi garantir une meilleure reddition de comptes auprès du ministre. Le bureau continuera de surveiller tout élément nouveau sur le plan juridique et son incidence possible sur les activités du CST.

Conclusion

Le commissaire a conclu que les autorisations ministérielles de 2017-2018 et de 2018-2019 relatives à la collecte de renseignements électromagnétiques étrangers respectaient les conditions d'autorisation énoncées dans la Loi sur la défense nationale. Le CST n'a apporté aucun changement important aux autorisations ministérielles ou à la façon dont les activités de collecte de renseignements étrangers sont menées qui aurait présenté un risque pour la conformité à la loi ou la protection de la vie privée. De plus, le bureau du commissaire n'a trouvé aucune donnée probante selon laquelle le CST aurait mené des activités de collecte qui seraient contraires aux exigences législatives, ministérielles ou des politiques. En ce qui concerne l'interception, l'utilisation et la conservation de communications privées, le commissaire a conclu que le CST avait agi en conformité avec la loi et qu'il avait protégé la vie privée des Canadiens.

Le CST a suivi de manière satisfaisante deux recommandations antérieures formulées par le commissaire – l'une proposant l'inclusion d'information plus détaillée concernant l'aspect technique et le processus dans les mémoires de demande du CST liés aux autorisations ministérielles, et l'autre mentionnant la nécessité de clarifier et d'uniformiser la terminologie pour définir les communications entre un conseiller juridique et son client. L'examen annuel des autorisations ministérielles du CST relatives à la collecte de renseignements électromagnétiques étrangers et la vérification ponctuelle de cette année n'ont donné lieu à aucune recommandation.

Le bureau du commissaire continuera d'effectuer ces examens.

5. Examen annuel des activités de cyberdéfense du CST menées sous le régime d'une autorisation ministérielle, 2017-2018

Contexte

Le CST exerce des activités de cyberdéfense en vertu de la Loi sur la défense nationale. Il aide à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada. Ces activités ne peuvent viser des Canadiens, où qu'ils se trouvent, ou toute personne au Canada, et doivent être soumises à des mesures de la protection de la vie privée des Canadiens lors de l'utilisation et de la conservation des renseignements interceptés.

Pour détecter et contrer les cybermenaces complexes, le CST peut, sur demande écrite d'une institution du gouvernement du Canada en vue d'exercer des activités de cyberdéfense, déployer de l'équipement pour recueillir et analyser des données du système ou du réseau du client en question. Puisque des communications privées peuvent être interceptées dans le cadre des activités de cyberdéfense, le CST doit exercer ces activités sous le régime d'une autorisation ministérielle. Le ministre peut autoriser par écrit le CST – dans le seul but de protéger les systèmes ou les réseaux informatiques du gouvernement du Canada contre les cybermenaces – à intercepter des communications privées liées à une activité ou à une catégorie d'activités qu'il mentionne expressément. Dans le cadre des activités de cyberdéfense, les données interceptées par le CST, dont les communications privées, ne peuvent être utilisées ou conservées que si elles sont pertinentes et essentielles pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada.

L'examen a porté sur l'autorisation ministérielle d'exercer des activités de cyberdéfense en vigueur du 1^er juillet 2017 au 30 juin 2018. Il visait à évaluer la conformité à la loi des activités de cyberdéfense du CST et la mesure dans laquelle le CST protège la vie privée des Canadiens. Dans le cadre de l'examen, le bureau du commissaire a examiné les mémoires du CST adressés au ministre de la Défense nationale en 2016-2017, en 2017-2018 et en 2018-2019, les autorisations ministérielles connexes ainsi que le rapport de fin d'exercice 2017-2018 du CST présenté au ministre sur l'autorisation ministérielle. Le bureau du commissaire a assisté à des séances d'information sur place, réalisé des entrevues, examiné les bases de données, les systèmes et les avis juridiques du CST tout en analysant divers types de rapports internes et externes. Il a aussi examiné un échantillon de cyberincidents comprenant des communications privées.

Au début de l'examen, le CST a indiqué qu'il pourrait tarder à répondre aux questions du bureau du commissaire étant donné la création du Centre canadien pour la cybersécurité (CCC), qui a ouvert officiellement en octobre 2018.

Constatations

Le commissaire a conclu que l'autorisation ministérielle de cyberdéfense de 2017-2018 respectait les conditions d'autorisation énoncées dans la Loi sur la défense nationale. Le CST n'a apporté aucun changement important à l'autorisation ministérielle ou à l'exercice des activités de cyberdéfense qui a eu une incidence sur le risque de violation de la loi ou de la vie privée. Au cours de la période visée par l'examen, aucune modification importante n'a été apportée aux instruments de politique régissant les activités de cyberdéfense exercées sous le régime d'une autorisation ministérielle. Toutefois, en juin 2018, le CST a adopté un nouvel ensemble de politiques regroupant toutes les politiques et directives opérationnelles en un seul instrument. Selon le bureau du commissaire, il s'agit d'un changement positif qui réduit efficacement la complexité du cadre stratégique du CST.

Le commissaire a conclu que le CST a respecté la loi et exercé ses activités conformément aux exigences législatives et ministérielles ainsi qu'à celles prévues par les politiques. Après examen des communications privées sélectionnées, le commissaire a conclu que le CST n'avait pas visé des Canadiens ou toute personne au Canada dans le cadre de ses activités de cyberdéfense. Les communications privées identifiées et examinées se rapportaient à du trafic ou à des activités de nature malveillante et à des anomalies suspectes dans le contexte de la détection de cybermenaces. Les communications privées conservées et utilisées dans les rapports s'avéraient essentielles pour identifier, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada. Au cours de la période visée par l'examen, aucun changement technologique important n'a été apporté aux systèmes de cyberdéfense ou à l'ensemble du programme de cyberdéfense.

En examinant les autorisations ministérielles, le bureau du commissaire a constaté que certains changements avaient été apportés à la terminologie et à des éléments des rapports. Le CST a confirmé qu'au cours de la période de validité de l'autorisation ministérielle de 2017-2018, il a défini les termes de cyberdéfense utilisés dans les rapports ministériels et opérationnels de façon à ce qu'ils correspondent de près aux dénombrements générés par les outils de cyberdéfense. Plus particulièrement, le rapport de fin d'exercice 2017-2018 sur l'autorisation ministérielle fait maintenant état du nombre d'actes plutôt que du nombre d'incidents, terme utilisé auparavant. La terminologie a été modifiée pour qu'elle corresponde davantage à celle utilisée dans les rapports sur les cybermenaces que publie régulièrement le CST. En outre, le mémoire adressé au ministre en vue de la demande d'autorisation ministérielle de 2017-2018 fait maintenant mention du nombre d'actes malveillants détectés par le CST plutôt que du nombre de compromissions, terme utilisé dans les demandes précédentes. Ce changement de terminologie s'arrime mieux avec les statistiques que génèrent facilement et systématiquement les systèmes de production de rapports du CST. Ces deux changements sont bénéfiques et assurent l'uniformité dans les rapports produits par le CST.

Communications privées de cyberdéfense

Pour la période de 2017-2018 visée par l'examen, le bureau du commissaire a choisi et examiné un échantillon de données de cyberdéfense, dont des communications privées ayant été interceptées par le CST. Pour faciliter cet examen, un certain nombre de requêtes a été effectué dans les bases de données du CST. L'échantillon obtenu a été plus petit que celui de 20 pour cent que privilégie habituellement le bureau. Toutefois, il a été déterminé que les requêtes ont permis de donner un échantillon plus représentatif que ce qui aurait été obtenu par la méthode habituelle de sélection parce qu'avec celle-ci, la majorité des incidents sont automatiquement retenus mais ils ne révéleront probablement pas les diverses circonstances dans lesquelles le CST pourrait obtenir une communication privée. Par exemple, un échantillon ponctuel de données comportant des communications privées interceptées de façon fortuite recueillies par le CST pendant les périodes de validité de l'autorisation ministérielle de 2016-2017 et de 2017-2018 a été sélectionné pour confirmer si les données se retrouvaient toujours dans ses systèmes une fois la période de conservation expirée. L'année dernière, le bureau du commissaire a pris connaissance pour la première fois, de l'existence de communications privées interceptées de façon fortuite, et il s'est engagé à surveiller de façon continue comment ces dossiers sont traités dans ses examens annuels. Comme il fallait s'y attendre pour la période de 2016-2017, cette requête n'a donné aucun résultat parce que la période limite de conservation de douze mois était passée. La période de 2017-2018 a donné quelques résultats, mais ceux-ci étaient conformes à la période de conservation permise.

Nouvelles interprétations des communications privées et méthode de dénombrement

En mars 2015, le commissaire a terminé un examen des opérations de cyberdéfense du CST effectuées entre 2009 et 2012 conformément à une autorisation ministérielle. Dans son examen, le commissaire considérait comme un problème la pratique du CST qui consiste à traiter en tant que communications privées, telles qu'elles sont décrites dans le Code criminel, tous les communications ayant une extrémité au Canada et qui sont interceptés de façon fortuite dans le cadre de ses opérations autorisées de cyberdéfense visées par une autorisation ministérielle.

À cette époque, et c'est encore le cas depuis, la majorité des communications privées interceptées par le CST et examinées par le bureau du commissaire était composée de courriels non sollicités envoyés par l'auteur d'une cybermenace à un employé du gouvernement du Canada et qui ne contenait que du code malveillant ou un élément de d'ingénierie sociale, c'est-à-dire qu'aucune information personnelle ou d'importance n'a été échangée entre l'auteur de la cybermenace et l'employé du gouvernement du Canada. Comme il l'était à l'époque, le commissaire est d'avis que lorsqu'on peut raisonnablement considérer qu'une communication a été envoyée dans le but de compromettre des systèmes ou des réseaux du gouvernement du Canada en y insérant un maliciel, elle ne correspond pas à la définition d'une communication privée comprise dans le Code criminel, et dont il est question dans la Loi sur la défense nationale.

Jusqu'à cette année, le CST comptait comme une communication privée chaque courriel contenant du code malveillant qui avait été envoyé à un employé du gouvernement du Canada parce qu'au moins une extrémité du courriel était au Canada. Les courriels utilisés ou conservés par le CST ont été inclus dans le nombre de communications privées signalées au ministre conformément à l'autorisation ministérielle sur la cyberdéfense, à des fins de responsabilisation. Ainsi, cela donne un très grand nombre de communications que le CST traite comme des communications privées, ce qui a pour effet de déformer les répercussions qu'ont les activités de cyberdéfense du CST sur la protection de la vie privée. Par conséquent, en mars 2015, le commissaire a recommandé que le rapport préparé par le CST à l'intention du ministre au sujet des communications privées interceptées de façon accidentelle en vertu des autorisations ministérielles fasse ressortir les importantes différences qui existent entre les communications ayant une extrémité au Canada qui sont interceptés dans le cadre d'opérations de cyberdéfense et les communications privées interceptées dans le cadre d'activités relatives au renseignement électromagnétique étranger, et qu'il y explique que les attentes en matière de vie privée liées aux communications privées interceptées dans le cadre d'opérations de cyberdéfense sont moins élevées.

Cette année, le CST a précisé son interprétation de la définition de communication privée dans le contexte de la cybersécurité, pour la rendre conforme à l'interprétation juridique faite en 2015 par le commissaire. En fonction de cette nouvelle analyse, le CST a adopté une nouvelle méthode de dénombrement des communications privées interceptées.

Tout au long de la période de validité de l'autorisation ministérielle de 2017-2018, le CST a identifié le nombre de communications privées conservées qui a été automatiquement généré (et qui ne contiennent pas nécessairement du contenu essentiel, comme les pourriels) et le nombre de communications privées retenues manuellement par un analyste conformément à la nouvelle interprétation proposée d'une communication privée (qui contient du contenu essentiel). Les analystes qui mènent des activités de cyberdéfense visées par une autorisation ministérielle effectuaient un suivi manuel des communications privées contenant du contenu essentiel qui sont ouvertes (vues et reconnues) et ensuite utilisées ou conservées. Selon le CST, aucune communication entre un conseiller juridique et son client n'a été utilisée ou conservée dans le cadre de cette autorisation ministérielle, et 45 communications privées reconnues contenaient du contenu essentiel. Le bureau du commissaire a confirmé ces informations à la lumière de l'échantillon examiné. Toutes les communications privées contenant du contenu essentiel étaient liées à une cyberactivité malveillante.

À la fin de la période de validité de l'autorisation ministérielle de 2017-2018, la formation des analystes était terminée, la nouvelle interprétation du CST pour ce qui a trait aux communications privées était reflétée dans son nouvel ensemble de politiques, et des changements techniques avaient été mis en œuvre en soutien à la nouvelle méthode de dénombrement. Le bureau du commissaire examinera les changements mis en œuvre dans son examen de l'année prochaine.

Rapports sur la cyberdéfense

Le bureau du commissaire a choisi et examiné un échantillon de rapports représentant huit types de rapports sur la cyberdéfense. Cet échantillon incluait des rapports ayant des communications privées reconnues et un contenu essentiel ainsi que d'autres rapports choisis au hasard. L'examen portait sur trois éléments : les communications privées, la diffusion des rapports et les approbations. Lorsque des communications privées étaient utilisées dans les rapports, le bureau a confirmé qu'elles étaient essentielles pour identifier, isoler et prévenir des dommages aux systèmes et réseaux informatiques du gouvernement du Canada. Les rapports étaient diffusés au Canada, surtout à des clients au sein du gouvernement du Canada et parmi les partenaires de la Collectivité des cinq, et les niveaux d'approbation étaient conformes aux exigences des politiques.

Surveillance de la conformité du CST

Cette année, le bureau du commissaire a examiné les activités de surveillance de la conformité du CST et a conclu que ces activités étaient menées régulièrement. Le CST a établi un programme de surveillance de la conformité conformément à ses politiques afin d'évaluer la conformité des activités opérationnelles de cybersécurité avec les exigences législatives et politiques et d'assurer la protection des renseignements personnels des Canadiens. Les activités de conformité générales effectuées pendant la période examinée portaient sur : la conservation et l'élimination des données, les conditions imposées par les autorités ministérielles et les exigences relatives à la manipulation des données. Le bureau du commissaire a conclu que le CST menait régulièrement ses activités de conformité et que des mesures correctrices étaient prises lorsque des incidents de conformité étaient observés. Parmi les mesures correctrices prises, le bureau du commissaire note le retrait d'un employé de la liste d'accès autorisé aux données brutes sur la cyberdéfense et le signalement des incidents de non-conformité, le cas échéant.

Mesures de suivi prises à la suite d'examens passés

L'an dernier, l'autorisation ministérielle de cyberdéfense précisait les mesures à prendre quand un analyste du CST identifie une communication entre un client et un conseiller juridique canadien. Le commissaire a conclu que l'intégration de ce qualificatif créait une ambiguïté. Après examen, le commissaire a aussi estimé qu'il y avait un manque d'uniformité entre la définition d'une communication entre un conseiller juridique et son client qui se trouve dans l'autorisation ministérielle, les politiques du CST et la façon dont le CST détermine s'il y a eu une communication entre un conseiller juridique et un client en pratique. Par conséquent, le commissaire a recommandé que le CST clarifie la terminologie employée dans ses autorisations ministérielles relativement aux activités de cyberdéfense et de collecte de renseignements électromagnétiques afin qu'elle reflète fidèlement la protection juridique reconnue et offerte relativement aux communications entre un conseiller juridique et son client dans le droit canadien et pour assurer l'uniformité avec la terminologie utilisée dans ses politiques et pratiques. Bien que le CST ait donné suite à cette recommandation d'assurer l'uniformité de sa définition des communications entre un conseiller juridique et son client dans l'autorisation ministérielle de cyberdéfense de cette année, le bureau du commissaire a constaté que ce n'était pas le cas des politiques. La nouvelle série de politiques du CST contient certaines divergences mineures dans la définition et continue d'utiliser le qualificatif « canadien ». Malgré l'explication du CST que la référence au terme « conseiller juridique canadien » est appuyée par une définition claire conforme à la définition trouvée dans l'autorisation ministérielle de 2018-2019, le commissaire a conclu que la référence doit être retirée aux fins de conformité et pour éviter de mauvaises interprétations futures. Le CST est invité à effectuer ce changement dans toutes les parties pertinentes de sa série de politiques.

Le bureau du commissaire a aussi trouvé, l'an dernier, un dossier à usage interne du CST qui contenait de l'information non supprimée sur l'identité de Canadiens. Le bureau s'est engagé à surveiller l'inclusion d'information sur l'identité de Canadiens dans les dossiers à usage interne à l'avenir. Le bureau du commissaire a examiné 17 incidents impliquant des dossiers à usage interne. Le bureau du comissaire a conclu qu'aucun des incidents de l'échantillon sélectionné ne comportait de communications privées et que l'inclusion d'information sur l'identité de Canadiens, le cas échéant, était pertinente à la protection des systèmes gouvernementaux canadiens.

Conclusion

Le Centre canadien pour la cybersécurité, établi en 2018, est le regroupement de trois organisations distinctes ayant des fonctions liées à la cybersécurité (Centre canadien de réponse aux incidents cybernétiques de Sécurité publique Canada, le Centre des opérations de sécurité de Services partagés Canada, et Groupe de la sécurité de la technologie de l'information du CST) en un seul centre au sein du CST. Cela représente un changement important pour les activités de cyberdéfense au Canada. Les répercussions du Centre sur les activités de cyberdéfense du CST menées en vertu de l'autorisation ministérielle seront examinées dans le cadre de l'examen de l'an prochain.

Cette année, l'examen annuel a connu d'importants retards. Pour justifier ces retards, le CST a invoqué des priorités concurrentes, notamment la mise en œuvre du nouveau Centre et d'autres initiatives importantes, comme les activités liées aux prochaines élections fédérales. En raison de ces retards, et malgré tous les efforts possibles déployés par le CST, le processus d'examen a été entravé parce que le bureau du commissaire manquait de temps pour terminer l'examen et réaliser ses activités de suivi et de validation. Toutefois, le bureau du commissaire reconnaît que l'établissement du Centre canadien pour la cybersécurité est exceptionnel, et on s'attend à ce que le CST rétablisse son soutien en temps opportun à la fonction d'examen du commissaire.

Le commissaire n'a formulé aucune recommandation.

6. Examen annuel des Dossiers relatifs aux incidents liés à la vie privée et du Dossier des erreurs de procédure mineures  

Contexte

Le CST signale et documente tout incident associé à ses activités opérationnelles ou à celles de ses alliés où il pourrait y avoir eu atteinte à la vie privée d'un Canadien, contrairement aux politiques ou aux procédures opérationnelles du CST en matière de protection de la vie privée des Canadiens ou de toute personne au Canada.

Ces incidents, ainsi que les mesures correctives prises, sont consignés dans un des trois dossiers en fonction de l'endroit où l'incident est survenu et de son potentiel de causer un dommage. Il s'agit du Dossier relatif aux incidents liés à la vie privée (DIVP), du Dossier relatif aux incidents liés aux alliés (DIA) et du Dossier des erreurs de procédure mineures (DEPM) tenus par le CST.

Le DIVP est un dossier des incidents attribuables au CST concernant de l'information sur un Canadien ou toute personne au Canada qui a été traitée de manière contraire à la politique de protection de la vie privée du CST et qui a été exposée à des parties externes ne devant pas l'avoir reçue. Ce type de manipulation inadéquate est désigné « incident lié à la vie privée ». Le DIA est un dossier des incidents liés à la vie privée qui sont attribuables à des alliés. Ces incidents peuvent être signalés par les alliés mêmes ou par le CST. Enfin, le DEPM est un dossier des cas où le CST a traité de manière inappropriée de l'information sur un Canadien, mais où l'information a été contenue au sein du CST et n'a pas été exposée à des parties externes.

L'examen annuel par le bureau du DIVP, du DIA et du DEPM met l'accent sur les incidents qui n'ont pas été examinés en détail dans le cadre d'autres examens. L'examen offre une occasion de déterminer les tendances ou les faiblesses systémiques qui pourraient indiquer que des mesures correctives, des changements aux procédures ou aux politiques du CST ou un examen approfondi d'une activité ou d'un incident précis s'imposent. Par exemple, le bureau pourrait exercer une fonction d'examen critique afin de déterminer si l'un des incidents survenus dans le cadre des opérations constituait une « atteinte substantielle à la vie privée », ce que la politique pangouvernementale définit comme une atteinte visant des renseignements personnels sensibles dont on peut raisonnablement penser qu'elle risque de causer un préjudice ou un dommage sérieux à la personne, ou touche un nombre élevé de personnes.

En plus d'examiner les erreurs de procédure, les incidents et les mesures subséquentes prises par le CST pour corriger la situation ou atténuer les répercussions, l'examen avait les objectifs suivants :

• examiner toute atteinte substantielle à la vie privée survenue dans le cadre des opérations du CST et les mesures correctives connexes prises par le CST;
• déterminer si tout incident soulève des questions de conformité à la loi ou de protection de la vie privée des Canadiens; et
• évaluer le cadre de validation de la conformité à la politique du CST et les activités de surveillance dans ce contexte.

La période visée par l'examen allait du 1^er juillet 2017 au 30 juin 2018.

Le bureau a examiné les 75 incidents liés à la vie privée consignés dans le DIVP (44) et le DIA (31), ainsi que les mesures correctives prises par le CST pour y remédier. Le bureau a également examiné toutes les erreurs de procédure mineures (11) documentées par le CST au cours de la période visée.

Constatations

Les incidents liés à la vie privée consignés dans le DIVP et le DIA se rapportaient, par exemple, au partage d'information sur l'identité de Canadiens ou à son intégration par inadvertance à un rapport sans la supprimer, comme l'exige la politique du CST, ainsi qu'au ciblage non intentionnel ou à des recherches dans les bases de données visant des renseignements sur des personnes jusqu'alors non connues pour être des Canadiens ou des personnes au Canada. Dans tous les cas, les rapports ont été annulés ou corrigés et l'information sur l'identité a été dûment supprimée, les entités pertinentes ont cessé d'être ciblées, et toute communication interceptée ou tout rapport connexe a été radié.

Cependant, un incident de ciblage signalé dans le DIVP de cette année a suffisamment préoccupé le commissaire pour justifier qu'il fasse l'objet d'un examen approfondi. Le CST a appuyé le bureau dans l'examen de cet incident, et les constatations du commissaire seront présentées séparément.

En ce qui concerne les erreurs de procédure mineures consignées dans le DEPM, le commissaire a convenu avec le CST qu'il s'agissait dans tous les cas d'erreurs mineures ne constituant pas des « incidents liés à la vie privée ». Ces erreurs de procédure comprenaient, par exemple : des fichiers non ouverts qui auraient pu contenir de l'information sur l'identité de Canadiens qui ont été conservés au-delà de la période de conservation autorisée; une liste servant à contrôler l'accès à certains types d'information qui a connu une défaillance technique et qui, de façon temporaire, n'a pas désactivé l'accès de personnes dont les justificatifs d'identité n'étaient plus valides; et un outil d'acheminement mal configuré qui risquait de rendre de l'information « réservée aux Canadiens » temporairement accessible à des alliés. Ces incidents sont considérés avoir un effet moindre sur la vie privée puisqu'ils restent à l'interne et qu'ils sont réglés avant que quelqu'un à l'extérieur du CST ne consulte l'information.

Après examen des trois dossiers, des réponses aux questions posées au CST ainsi que des dossiers connexes du CST, le commissaire a conclu que, dans tous les cas, le CST a pris les mesures correctives appropriées, y compris, le cas échéant, des mesures pour prévenir des occurrences similaires à l'avenir.

Le commissaire a également constaté que le CST n'avait pas toujours adopté une méthode uniforme pour dénombrer et catégoriser les incidents. Selon le CST, les incohérences découlent principalement de deux facteurs : premièrement, plusieurs équipes peuvent signaler, à des moments différents, divers aspects des incidents liés à la vie privée qui s'inscrivent dans le même scénario factuel; deuxièmement, la responsabilité à l'égard du DIVP, du DIA et du DEPM a changé au sein du CST depuis l'année dernière. Le commissaire a encouragé le CST à normaliser sa méthode d'enregistrement des entrées dans le DIVP, le DIA et le DEPM, et il surveillera l'évolution de la situation.

Selon la politique pangouvernementale, il incombe au ministère ou à l'organisme de signaler les atteintes substantielles à la vie privée. Le CST n'a pas signalé d'atteinte substantielle à la vie privée dans le cadre de ses opérations pour la période visée. Le commissaire a convenu que les incidents énumérés dans le DIVP et le DIA pour la période visée ne constituaient pas des atteintes substantielles à la vie privée.

Conclusion

Cet examen n'a pas mis au jour des atteintes substantielles à la vie privée ou des lacunes systémiques. Le CST a signalé qu'il n'a pris connaissance d'aucune incidence négative sur les Canadiens concernés par un des incidents liés à la vie privée. Le commissaire était convaincu que le CST a réagi comme il se doit aux incidents liés à la vie privée et aux erreurs de procédure mineures relevés durant la période visée.

L'enregistrement et le signalement des incidents liés à la vie privée et des erreurs de procédure mineures demeurent un moyen efficace utilisé par le CST pour promouvoir le respect des obligations légales, des exigences ministérielles et des politiques et procédures opérationnelles, et d'améliorer la protection de la vie privée des Canadiens.

Même si le commissaire n'a formulé aucune recommandation et était convaincu que le DIVP, le DIA et le DEPM étaient suffisamment détaillés sur les plans du contenu et de la forme, il a encouragé le CST à normaliser sa méthode d'enregistrement des entrées dans le DIVP, le DIA et le DEPM, et il surveillera l'évolution de la situation.

7. Examen d'un cas d'atteinte à la vie privée relative à une pratique de ciblage

Contexte

Dans le cadre de son examen annuel des Dossiers relatifs aux incidents liés à la vie privée et du Dossier des erreurs procédurales mineures du CST pour 2017-2018, le commissaire a indiqué qu'un incident de ciblage déclaré dans le dossier relatif aux incidents liés à la vie privée l'a suffisamment préoccupé pour qu'il décide de l'examiner en profondeur pour déterminer si le CST s'est conformé à la loi. Le CST a collaboré avec le commissaire et lui a fourni les renseignements nécessaires pour l'aider dans son examen.

Constatations

D'après le CST, il y a une atteinte à la vie privée lorsque les renseignements personnels d'un Canadien sont exposés à un risque d'une manière qui n'est pas prévue dans les politiques opérationnelles ou qui va à l'encontre de ces politiques. Généralement, le signalement d'une atteinte à la vie privée dans le Dossier relatif aux incidents liés à la vie privée du CST ne se résume pas à une constatation de non-conformité avec la loi compte tenu de l'importance d'encourager la divulgation proactive et l'atténuation des cas. Depuis que le commissaire a commencé à examiner les cas d'atteinte à la vie privée signalées dans le Dossier relatif aux incidents liés à la vie privée du CST en 2011, il n'a fait aucune constatation de non-conformité relative à la protection de la vie privée, car le CST atténue habituellement les cas d'atteinte à la vie privée dans des délais raisonnables à la suite de la découverte et du signalement d'un incident.

Dans le cas présent, le bureau du commissaire s'est demandé si le ciblage effectué par le CST, pendant plusieurs années, d'un possible Canadien dont le CST a par la suite confirmé la citoyenneté canadienne constituait une violation des politiques du CST et de la loi parce que l'incident n'a pas été convenablement atténué à l'époque où il a été découvert. Après avoir examiné les faits, le commissaire a conclu que le CST a respecté la loi.

Selon la loi, le CST ne peut diriger ses activités contre des Canadiens, où qu'ils soient dans le monde, et il est tenu d'établir des mesures pour protéger la vie privée des Canadiens dans l'utilisation et la conservation des renseignements qu'il intercepte. La loi n'oblige pas le CST à éviter de diriger ses activités contre de possibles Canadiens ou à protéger les renseignements personnels des possibles Canadiens. Toutefois, même si la loi ne l'exige pas, le CST protège les personnes qui sont de possibles Canadiens de la même façon qu'il protège les citoyens canadiens confirmés. Dans de tels cas, le CST prend des mesures de protection des renseignements personnels. Entre autres, il annule ou corrige les rapports et y supprime convenablement les identités qui y sont révélées; il arrête le ciblage contre les entités visées; il supprime les communications interceptées et les rapports connexes; et il indique que les entités sont « protégées » dans la base de données du CST sur le ciblage afin qu'elles ne soient plus prises pour cibles.

Dans le cas présent, un ressortissant étranger dont le CST a déterminé qu'il avait peut-être la citoyenneté canadienne en 2010 est demeuré la cible du CST de 2010 à 2015. L'incident a été découvert, signalé et pleinement atténué en 2018, au moment où une demande d'un allié partie a fait porter l'attention du CST sur le fait que la question n'avait pas été totalement réglée en 2010, lorsqu'il a été découvert que la personne était peut-être canadienne. En 2018, le CST a obtenu les renseignements nécessaires pour confirmer que la personne qu'il ciblait était effectivement canadienne.

Comme il n'a été confirmé qu'en 2018 que l'entité ciblée était canadienne, le commissaire est d'avis que les mesures d'atténuation prises par le CST à la suite de la confirmation de la citoyenneté de l'entité étaient suffisantes, et prises dans des délais convenables, comme les autres cas d'atteinte à la vie privée décrit dans le Dossier relatif aux incidents liés à la vie privée du CST.

Le commissaire a déterminé que les analystes du CST n'ont pas sciemment pris le Canadien pour cible pendant que son statut n'était pas confirmé et qu'une série de facteurs a fait en sorte que le CST n'a pas bien protégé la vie privée du Canadien en 2010. Parmi les facteurs contributifs relevés, il y a les faits suivants : l'incident a été découvert un jour férié, des équipes de ciblage distinctes responsables d'aspects techniques différents de la collecte n'ont pas bien coordonné leur intervention à la suite de l'incident, et le CST n'a pas indiqué dans la base de données du CST sur le ciblage que la cible était un possible Canadien.

Bien que le commissaire ait déterminé que le CST a respecté la loi, cet incident met en évidence les lacunes du CST dans sa gestion de l'information, ses procédures de protection des entités et ses lignes directrices en ce qui a trait aux cibles susceptibles d'être canadiennes, mais dont le statut n'est pas confirmé.

Conclusion

Depuis cet incident, le CST a pris un certain nombre de mesures lui permettant de mieux protéger la vie privée des Canadiens et de réduire le risque de cibler des Canadiens par inadvertance. Le risque qu'une telle erreur se reproduise est faible étant donné que le CST a adopté de nouveaux outils de ciblage, a remanié ses politiques et ses procédures, a actualisé sa structure organisationnelle de façon à réduire davantage les risques liés à la conformité, a amélioré sa façon de gérer le stockage de l'information et le partage des connaissances et a amélioré ses systèmes et protocoles de traitement des incidents.

En outre, le CST s'est engagé à améliorer encore davantage ses politiques et ses procédures dans le but d'éviter de cibler des Canadiens par mégarde, c'est à dire qu'il établira des dispositions claires dans ses politiques opérationnelles sur la protection des entités possiblement canadiennes, qu'il consolidera la responsabilité du « déciblage » dans un secteur, et qu'il réalisera une évaluation interne de la coordination entre les intervenants principaux dans le but de s'assurer que ceux ci prennent les mesures nécessaires en cas d'atteintes à la vie privée et de cerner d'autres lacunes possibles dans les procédures.

Le commissaire est satisfait de la réponse du CST à l'incident et n'a formulé aucune recommandation.