Examens

Aperçu

Le mandat du commissaire tel qu'énoncé dans la Loi sur la défense nationale, est clair :

• à déterminer si le Centre de la sécurité des télécommunications (CST) se conforme à la loi et, si le commissaire pense qu'il pourrait ne pas avoir agi en conformité avec la loi, à en aviser le procureur général du Canada et le ministre de la Défense nationale. Le ministre de la Défense nationale est responsable du CST et peut ordonner au le CST de mettre en œœuvre les recommandations du commissaire pour aider à assurer la conformité ou à améliorer la protection de la vie privée des Canadiens;
• à déterminer si les activités que mène le CST en vertu d'une autorisation ministérielle sont bien celles autorisées par le ministre de la Défense nationale, et à vérifier que les conditions d'autorisation requises par la Loi sur la défense nationale sont remplies;
• à vérifier que le CST, dans le cadre de ses activités de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information, ne cible pas des Canadiens; et
• à promouvoir l'élaboration et l'application efficaces de mesures satisfaisantes pour protéger la vie privée des Canadiens dans toutes les activités opérationnelles que le CST entreprend.

Les pouvoirs du commissaire, tel qu'énoncés à l'article 273.63 de la Loi sur la défense nationale sont vigoureux :

• le commissaire a tous les pouvoirs qui sont d'évolus à un commissaire en vertu de la partie II de la Loi sur les enquêtes, ce qui signifie que le commissaire et le personnel de son bureau disposent d'un accès sans entraves aux installations, aux dossiers, aux systèmes et au personnel du CST dont ils ont besoin pour mener les examens, y compris le pouvoir d'assigner à comparaître pour obliger des particuliers à répondre aux questions.

Modèle logique

Le modèle logique qui suit fournit une description détaillée de la façon dont le programme d'examen fonctionne.

Sur quelles activités du CST l'examen du commissaire porte-t-il?

Le commissaire examine les activités que mène le CST pour s'acquitter des trois volets de son mandat en vertu de l'article 273.64 de la Loi sur la défense nationale :

• la partie a) autorise le CST à acquérir et à utiliser des renseignements électromagnétiques étrangers en conformité avec les priorités du gouvernement du Canada en matière de renseignement;
• la partie b) autorise le CST à aider à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada — il s'agit d'activités que l'on désigne par les termes « protection des technologies de l'information (TI) »; et
• la partie c) autorise le CST à fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l'application de la loi et de la sécurité, notamment pour qu'ils obtiennent et déchiffrent les communications recueillies en vertu de leurs autorités respectives.

Pour obtenir davantage d'information sur le mandat et les activités du CST, veuillez consulter le site Web du CST

La loi interdit (article 273.64 de la LDN) le CST, dans le cadre de ses activités de collecte de renseignements électromagnétiques étrangers et de protection des TI, de cibler des Canadiens — où qu'ils se trouvent dans le monde — ou toute personne au Canada. Toutefois, si le CST obtient de l'information se rapportant à un Canadien alors qu'il mène ses activités en vertu de la loi, il doit prendre des mesures pour protéger la vie privée de ce Canadien.

Dans le cadre de son examen des activités du CST, le commissaire doit notamment déterminer si ce dernier prend des mesures satisfaisantes pour respecter les attentes raisonnables des Canadiens en matière de vie privée concernant l'utilisation et la conservation des communications et de l'information qu'il a recueillies. Ceci comprend les métadonnées se rapportant à un Canadien, comme par exemple les numéros de téléphone, les adresses de courriel ou les adresses Internet.

Par exemple, le commissaire examine l'utilisation, la divulgation et la conservation de toute communication privée que le CST peut avoir interceptées de façon non-intentionnelle alors qu'il recueillait des signaux  électromagnétiques étrangers ou protégeait les systèmes informatiques du gouvernement du Canada.

Le commissaire vérifie que toute information concernant l'identité de Canadiens est protégée et n'est partagée qu'avec les partenaires autorisés lorsqu'ils ont besoin d'interpréter les signaux d'origine électromagnétique étrangers ou l'information de cyberdéfense.

Le commissaire vérifie également que l'aide apportée par le CST aux organismes fédéraux d'application de la loi et de sécurité est conforme aux autorisations et aux limites qui régissent l'organisme qu'il aide, notamment les conditions précisées dans une autorisation ou un mandat du tribunal.

Le commissaire est tenu, en vertu de la Loi sur la défense nationale, de faire rapport au procureur général du Canada et au ministre de la Défense nationale sur toutes les activités qui, à son avis, pourraient ne pas être conformes à la loi, en mettant un accent particulier sur la façon dont les activités du CST affectent la vie privée des Canadiens.

En tant que ministre responsable du CST, le ministre de la Défense nationale peut ordonner — et il ordonne — au CST de mettre en œœuvre les recommandations du commissaire pour aider à assurer la conformité ou à améliorer la protection de la vie privée des Canadiens.

Notre approche

Déterminer si le CST se conforme à la loi et la mesure dans laquelle il protège la vie privée des Canadiens ainsi qu'informer les gens intéressés sont au cœur du mandat d'examen du commissaire.

Les examens comportent généralement une analyse des activités passées menées par le CST. Leur principal objet est de déterminer si les activités du CST respectent les autorisations qui les régissent, y compris les exigences reliés à la loi, aux directives ministérielles et aux politiques propres au CST. En outre, les examens comportent une analyse des raisons pour lesquelles le CST a mené ces activités afin de confirmer que ses justifications des activités sont légitimes et que les activités ressortissent à son mandat.

Le commissaire est tenu de faire rapport au procureur général du Canada et au ministre de la Défense nationale sur toute non-conformité du CST, par exemple l'interception illégale d'une communication privée ou le partage d'information sur l'identité d'un Canadien avec un partenaire sans raison légitime ou en l'absence de mesures adéquates pour protéger la vie privée de ce Canadien. Toutefois, le commissaire adopte également une approche de prévention lors de ses examens, explorant les façons de renforcer les pratiques du CST qui contribuent à la conformité et intégrent des mesures propres à protéger la vie privée des Canadiens.

La prévention constitue un volet important du mandat du commissaire. Plusieurs rapports rédigés par les commissaires comportent d'ailleurs des recommandations axées sur la prévention, visant à combler des lacunes dans les pratiques, les politiques ou les procédures du CST qui, si elles ne sont pas corrigées, pourraient contribuer à la non-conformité. La mise en œuvre des recommandations du commissaire par le CST aide à réduire le risque de non-conformité et à renforcer la protection de la vie privée.

Les méthodes d'examen utilisées par le Bureau du commissaire s'appuient sur des principes et des pratiques généralement reconnus et empruntés aux méthodes de vérification au Canada, notamment celles du vérificateur général du Canada. Parmi ces pratiques, mentionnons, par exemple :

• la liberté de choisir les domaines sur lesquels portera l'examen;
• une planification minutieuse des examens à entreprendre;
• une documentation éclairée sur l'examen;
• un rapport structuré, fondé sur les faits et équitable;
• une diligence raisonnable, de l'objectivité et de l'indépendance tout au long de l'accomplissement de la mission;
• des employés chargés d'examen qui sont compétents, et ayant des connaissances, les aptitudes, l'expérience et une formation appropriées;
• une supervision éfficace des employés chargés de l'examen; et
• des éléments de preuve pertinents et suffisants à l'appui des constatations, des conclusions et des recommandations.

Ces pratiques sont reflétées dans la formation du personnel chargé de l'examen, de même que dans les politiques et procédures opérationnelles qui orientent les examens menés par le Bureau du commissaire. Pour s'assurer de la rigueur de l'approche adoptée, le travail d'examen du commissaire a fait l'objet d'une évaluation indépendante par des professionnels de la vérification habitués aux techniques d'examen d'organismes du renseignement.

Choix des activités visées par l'examen

Le commissaire adopte une approche de prévention axée sur le risque dans le choix des activités visées par l'examen. Il donne priorité aux activités du CST où le risque de non-conformité à la loi est le plus grand, notamment pour la vie privée des Canadiens, en prenant en compte, entre autres facteurs :

• les contrôles exercés par le CST sur l'activité pour assurer la conformité reliés à la loi, aux directives ministérielles et aux politiques propres au CST;
• la question de savoir si l'activité comporte ou pourrait comporter des communications privées, des communications émanant de Canadiens à l'étranger, de l'information sur l'identité de Canadiens ou toute autre information à propos ou en rapport avec un Canadien;
• s'il s'agit d'une activité nouvelle ou d'une activité qui a connu d'importants changements, ou si une longue période s'est écoulée depuis son dernier examen approfondi;
• s'il y a eu d'importants changements visant les autorisations ou les technologies se rapportant à l'activité;
• si le commissaire a fait des constatations ou formulé des recommandations par le passé en rapport avec l'activité qui requièrent un suivi;
• si le CST a mis en évidence des incidents touchant la vie privée en lien avec ces activités; et
• les questions soulevées dans le domaine public.

Autorisations ministérielles et communications privées

En vertu de la loi, le commissaire est également tenu d'examiner les activités menées en vertu d'une autorisation ministérielle et de faire rapport au ministre sur l'examen. Chaque année, le commissaire examine toutes les autorisations ministérielles visant la collecte de signaux électromagnétiques étrangers du CST pour s'assurer que les activités menées par la suite sont bien celles autorisées. Le commissaire examine si les communications privées interceptées l'ont été de manière légale, si les communications qui sont utilisées et conservées sont essentielles pour les affaires internationales, la défense ou la sécurité et si des mesures satisfaisantes sont en place pour protéger la vie privée des Canadiens.

De quelle manière la vie privée des Canadiens est-elle protégée?

Les activités du Centre de la sécurité des télécommunications (CST) liées à la collecte de renseignements électromagnétiques étrangers et à la protection des technologies de l'information visant à protéger les renseignements électroniques et les infrastructures d'information importantes pour le gouvernement du Canada sont assujetties à trois limites imposées par la loi visant à protéger la vie privée des Canadiens :

1. Le  CST se voit interdit par la loi, dans le cadre de ses activités de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information, de viser des Canadiens où qu'ils se trouvent dans le monde, ou toute personne au Canada, quelle que soit sa nationalité.
2. En menant ses activités sous le régime d'une autorisation, il arrive que le CST intercepte de façon non-intentionnelle une communication destinée au Canada ou en provenance du Canada, alors que son auteur était raisonnablement en droit de s'attendre à ce qu'elle ne soit pas interceptée, ce qui en fait une « communication privée » à l'article 183 au sens du Code criminel. En pareil cas, le CST peut utiliser et conserver la communication privée obtenue de cette manière, mais uniquement si elle est essentielle pour les affaires internationales, la défense ou la sécurité, ou pour identifier, isoler ou prévenir des activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada; et
3. Pour encadrer de manière formelle l'interception de façon non-intentionnelle de communications privées au cours des activités de collecte de renseignements électromagnétiques étrangers et de protection des technologies de l'information, la Loi sur la défense nationale exige l'autorisation expresse du ministre de la Défense nationale. Cette dernière est connue sous le nom d'autorisation ministérielle. Le ministre peut autoriser les activités une fois qu'il est convaincu que les conditions définies par la loi sont satisfaites, notamment qu'il a obtenu des garanties sur la façon dont ces interceptions non-intentionnelles de communications privées seront traitées, le cas échéant.

Objet des autorisations ministérielles

Lorsque le CST mène ses activités pour acquérir des renseignements électromagnétiques étrangers, il ne peut pas savoir à l'avance avec qui l'entité étrangère ciblée située à l'extérieur du Canada peut communiquer. De même, lorsque le CST mène des activités pour aider à protéger les systèmes informatiques du gouvernement du Canada, il ne peut pas savoir à l'avance qui peut communiquer avec ce système informatique ou par son intermédiaire.

En plus, compte tenu de la complexité et de l'interconnectivité de l'infrastructure d'information mondiale, il est inévitable que le CST intercepte un certain nombre de communications privées.

C'est pour ces raisons que le ministre de la Défense nationale peut fournir au CST une autorisation ministérielle pour mener ces activités — afin que ce dernier ne tombe pas sous le coup du Code criminel au cas où il intercepterait de façon non-intentionnelle une communication entrant au Canada ou en sortant, là où une personne s'attendait à ce qu'elle ne soit pas interceptée.

Les autorisations ministérielles accordées au CST se rapportent à une « activité ou une catégorie d'activités » précisées dans les autorisations. Selon l'interprétation du ministère de la Justice, ce terme renvoie à une méthode d'acquisition des signaux électromagnétiques étrangers ou de protection des systèmes informatiques (le comment) et non pas à une personne ou à un sujet en particulier (le qui ou le quoi).

Une autorisation ministérielle peut demeurer en vigueur pour une période maximale d'un an. En 2013-2014, trois autorisations ont été délivrées pour la collecte de renseignements électromagnétiques étrangers et une pour la protection des TI.

Conditions applicables aux autorisations ministérielles

Pour émettre une autorisation ministérielle visant la collecte de renseignements électromagnétiques étrangers, le ministre doit être convaincu que :

• l'interception visera des entités étrangères situées à l'extérieur du Canada;
• les renseignements ne peuvent raisonnablement être obtenus d'une autre manière;
• la valeur des renseignements étrangers que l'on espère obtenir justifie l'interception envisagée; et
• il existe des mesures satisfaisantes pour protéger la vie privée des Canadiens et pour faire en sorte que les communications privées ne soient utilisées ou conservées que si elles sont essentielles aux affaires internationales, à la défense ou à la sécurité.

Pour émettre une autorisation ministérielle dans le but de protéger les systèmes et les réseaux informatiques du gouvernement du Canada, le ministre doit être convaincu que :

• l'interception est nécessaire;
• les renseignements ne peuvent raisonnablement être obtenus d'une autre manière;
• le consentement des personnes dont les communications privées peuvent être interceptées ne peut raisonnablement être obtenu;
• des mesures satisfaisantes sont en place pour faire en sorte que seuls les renseignements qui sont essentiels pour identifier, isoler ou prévenir des activités dommageables visant les systèmes et les réseaux informatiques du gouvernement du Canada seront utilisés ou conservés; et
• des mesures satisfaisantes sont en place pour protéger la vie privée des Canadiens en ce qui concerne l'utilisation et la conservation de ces renseignements.

Chaque année, le commissaire examine les autorisations ministérielles du CST — dont la période de validité ne peut dépasser une année — pour s'assurer que les activités sont autorisées et que les conditions d'autorisation susmentionnées sont remplies. Il fait état de l'examen au ministre de la Défense nationale.

Méthodes et critères applicables à l'examen

En menant un examen, le Bureau du commissaire a recours à plusieurs outils et techniques, notamment :

• il passe en revue les documents papier ainsi que l'information et les documents électroniques du CST, y compris les politiques et les procédures du CST ainsi que les avis juridiques émanant du ministère de la Justice;
• il reçoit des séances d'information et assiste aux démonstrations proposées par le Centre;
• il s'entretient avec les gestionnaires et les employés du CST;
• il contrôle l'information recueillie grâce à l'analyse de documents et aux entretiens, pour confirmer que les renseignements sont complets et correspondent bien à l'information que l'on trouve dans les outils électroniques, les systèmes et les bases de données du CST;
• il écoute les conversations interceptées, lit le contenu écrit ou examine les transcriptions associées à ces communications;
• il observe les opérateurs et les analystes du CST directement pour comprendre et vérifier la façon dont ils effectuent leur travail; et
• il effectue des « vérifications ponctuelles » des outils électroniques, des systèmes et des bases de données du CST pour vérifier la conformité.

Chaque examen comporte une évaluation des activités du CST par rapport à une série de critères standard :

• Exigences prévues par la loi : Le commissaire s'attend à ce que le CST mène ses activités conformément à la Loi sur la défense nationale, à la Charte canadienne des droits et libertés, à la Loi sur la protection des renseignements personnels, au Code criminel et à toute autre loi pertinente, ainsi qu'en accord avec les avis juridiques du ministère de la Justice.
• Exigences ministérielles : Le commissaire s'attend à ce que le CST mène ses activités conformément aux instructions ministérielles, en se conformant à toutes les exigences et limites établies dans une autorisation ou une directive ministérielle.
• Politiques et procédures : Le commissaire s'attend à ce que le CST :
  • établisse les politiques et procédures appropriées pour orienter ses activités et fournir une orientation suffisante sur les exigences en vertu de la loi et les exigences ministérielles, notamment en ce qui concerne la protection de la vie privée des Canadiens;
  • s'assure que ses employés sont bien informés des politiques et des procédures et qu'ils s'y conforment; et
  • maintienne l'intégrité des activités opérationnelles en appliquant un cadre de validation de la conformité efficace à ses activités, y compris en rendant compte comme il se doit des décisions importantes et de l'information se rapportant à la conformité et à la protection de la vie privée des Canadiens.

Les agents chargés de l'examen ont une expertise spécialisée en lien avec les aspects des activités du CST d'ordre technique, juridique ou se rapportant à la protection de la vie privée. Ils possèdent également une cote de sécurité du niveau requis pour examiner les dossiers, les systèmes et les bases de données du CST. Ils sont liés par la Loi sur la protection de l'information et ne peuvent divulguer à des personnes non autorisées les renseignements particuliers auxquels ils ont accès.

Rapports sur nos constatations

Le commissaire présente des rapports classifiés détaillés sur ses examens au ministre de la Défense nationale. Ces rapports documentent les activités du CST, renferment les constatations en lien avec les critères d'examen, font état de la nature et de l'importance de tout écart par rapport aux critères et renferment toutes les recommandations connexes.

Selon la pratique standard adoptée par les vérificateurs en matière de divulgation, les ébauches des rapports d'examen sont présentées au CST pour confirmation de l'exactitude des faits. Il s'agit d'une étape essentielle du processus d'examen, car si les faits ne sont pas corroborés, les constatations, les conclusions et les recommandations fondées sur ces faits perdent toute crédibilité.

Lorsque c'est opportun, le commissaire formule des recommandations à l'intention du ministre de la Défense nationale, qui est responsable du CST et peut ordonner au CST de mettre en œœuvre ces recommandations. Les recommandations visent à prévenir la non-conformité, à améliorer les protections de la vie privée ou à corriger les écarts entre les activités du CST et les attentes du commissaire.

Le ministre répond au commissaire et indique si les recommandations ont été acceptées. Depuis 1997, les commissaires ont présenté au ministre de la Défense nationale 106 rapports d'examen classifiés. Au total, les rapports renfermaient 166 recommandations. Le CST a accepté et mis en œœuvre ou travaille à la mise en œœuvre de 95 p. 100 (157) de ces recommandations, y compris les 10 recommandations formulées en 2013-2014. Le commissaire publie le titre de tous les rapports d'examen présentés au ministre de la Défense nationale (dont toute l'information classifiée a été supprimée) pour montrer la minutie et l'envergure des examens des commissaires.

Le commissaire résume ses activités d'examen dans un rapport annuel au Parlement , qui est un document public. Comme le veut le modèle d'examen en vigueur au Canada, le CST examine l'ébauche pour s'assurer qu'elle ne renferme pas de renseignements classifiés conformément à la Loi sur la protection de l'information. Le rapport est ensuite remis au ministre de la Défense nationale, qui ne peut le modifier et qui doit, en vertu de la loi, le déposer au Parlement.

Le commissaire est seul à déterminer le contenu de ses rapports, qui sont fondés sur des faits et les conclusions tirées à partir de ces faits. Les rapports ne peuvent être modifiés par le CST ou par un ministre.