Le Bureau du commissaire et le processus d'examen

Je suis épaulé dans mon travail par un effectif de huit personnes, auquel s'ajoutent plusieurs experts-conseils, recrutés sur une base contractuelle en fonction des besoins. En 2011-2012, les dépenses du Bureau se sont élevées à 1 942 429 $, ce qui s'inscrit dans les limites du budget alloué par le Parlement. Des travaux d'agrandissement des locaux que j'occupe sont en cours et je disposerai d'une plus grande superficie qui me permettra de recruter des employés supplémentaires.

L'annexe D présente l'état des dépenses du Bureau du commissaire du Centre de la sécurité des télécommunications pour 2011-2012.

Objectif de l'examen

L'objectif de l'examen est de me permettre de fournir au ministre de la Défense nationale et, en fait, à tous les Canadiens, l'assurance que le Centre se conforme à la loi et protège la vie privée des Canadiens. Si je découvrais un cas où le Centre pourrait à mon avis ne pas s'être conformé à la loi, je serais tenu d'en informer le ministre de la Défense nationale et le procureur général du Canada.

Sélection des activités visées par l'examen

À l'appui de mes examens, j'adopte une approche de prévention axée sur le risque. Je dispose d'un plan de travail triennal qui est mis à jour deux fois par an et je m'appuie sur de nombreuses sources pour l'élaborer. Mes employés et moi participons régulièrement à des séances d'information que le Centre organise et qui portent sur de nouvelles activités ainsi que sur des changements touchant les activités en cours. Je passe également en revue le rapport annuel que le chef du Centre remet au ministre de la Défense nationale et dans lequel il fait état des priorités et des initiatives du Centre ainsi que des questions juridiques, stratégiques et de gestion qui sont significatives. J'ai ensuite recours à une série de critères qui m'aident à choisir et à hiérarchiser les activités du Centre en fonction des domaines où le risque de non-conformité à la loi est le plus élevé, notamment au chapitre du respect de la vie privée des Canadiens.

Le risque est évalué compte tenu de divers facteurs, entre autres :

• les contrôles exercés par le CSTC sur l'activité pour assurer la conformité aux obligations légales, aux exigences ministérielles et aux politiques du Centre;
• la question de savoir si l'activité peut impliquer des communications privées ou de l'information concernant des Canadiens;
• la nouveauté de l'activité, si elle a subi d'importants changements ou le temps écoulé depuis la dernière fois où elle a fait l'objet d'un examen en profondeur;
• la survenance d'importants changements touchant les autorisations ou les technologies se rapportant à l'activité;
• le suivi des constatations ou des conclusions que les commissaires ont pu formuler; et
• les enjeux soulevés dans le domaine public.

Méthode et critères d'examen

Lorsqu'il procède à un examen, mon Bureau passe en revue les dossiers sur papier et électroniques du Centre, ses politiques et ses procédures, et les avis juridiques reçus du ministère de la Justice. Mon équipe requiert la tenue de séances d'information et de démonstrations portant sur des activités particulières, s'entretient avec des gestionnaires et des employés du Centre et observe directement les opérateurs et les analystes pour vérifier la façon dont ils effectuent leur travail. Mon équipe est en mesure, en la comparant au contenu des systèmes et des bases de données, de vérifier l'exactitude de l'information recueillie. Le travail des vérificateurs internes et des évaluateurs du Centre peut également étayer les examens.

Chaque examen comporte une évaluation des activités du Centre selon une série de critères standard, décrits ci-après, relatifs aux obligations légales, aux exigences ministérielles et aux politiques et procédures du Centre. Chaque examen peut comporter des critères supplémentaires selon les besoins.

Obligations en vertu de la loi : Je m'attends à ce que le Centre mène ses activités en conformité avec la Loi sur la défense nationale, la Loi sur la protection des renseignements personnels, le Code criminel, la Charte canadienne des droits et libertés, et toute autre législation pertinente, et en conformité avec les avis du ministère de la Justice.

Exigences ministérielles : Je m'attends à ce que le Centre mène ses activités en accord avec les instructions ministérielles, c'est-à-dire conformément à toutes les exigences ou limites précisées dans une autorisation ou une directive ministérielle.

Politiques et procédures : Je m'attends à ce que le Centre dispose de politiques et de procédures pertinentes pour orienter ses activités et donner des consignes suffisantes sur les obligations en vertu de la loi et les exigences ministérielles, notamment en matière de protection de la vie privée des Canadiens. Je m'attends à ce que les employés soient au courant des politiques et procédures et qu'ils s'y conforment. Je m'attends aussi à ce que le Centre utilise des mécanismes de contrôle de gestion efficaces pour assurer le maintien de l'intégrité de ses opérations et de leur conformité à la loi. Le Centre doit être en mesure de rendre compte des décisions prises et de justifier toute information liée à la conformité et à la protection de la vie privée des Canadiens.

Mes rapports d'examen décrivent les activités et les pratiques du Centre et font état des constatations auxquelles j'en arrive eu égard à ces critères. Ces rapports peuvent également indiquer la nature et l'importance des dérogations observées par rapport à ces critères. Dans certains cas, je formule des recommandations à l'intention du ministre qui visent à corriger les écarts entre les activités du Centre et les attentes suscitées par les critères d'examen. Je surveille la façon dont le Centre donne suite aux recommandations et répond aux constatations négatives. J'examine aussi toute question identifiée dans un rapport antérieur comme nécessitant un suivi.

Le processus d'examen est cumulatif. Depuis sa création en 1996, le Bureau a développé une expertise particulière en rapport avec le mandat et les activités uniques du CSTC. À chaque examen, le Bureau enrichit sa connaissance des activités du Centre et perfectionne en conséquence sa propre méthodologie. L'un des changements mis en œuvre ces dernières années concerne l'introduction des examens horizontaux — à savoir l'examen des processus en vertu desquels le Centre choisit ses cibles de renseignement étranger et utilise, partage, présente dans des rapports, conserve ou détruit les renseignements interceptés qui sont communs à chacune des activités ou catégories d'activités. Cette approche a permis d'effectuer des examens en plus grande profondeur. Mon Bureau passe en revue chacun de ces processus communs pour déterminer si le Centre se conforme à la loi et la mesure dans laquelle il prend les moyens de protéger la vie privée des Canadiens.

Le modèle logique de l'annexe E présente un organigramme de notre programme d'examen.

Les examens horizontaux portent sur les processus communs à l'ensemble des méthodes de collecte de renseignements électromagnétiques étrangers du CSTC ou des activités de protection des technologies de l'information menées en vertu d'une autorisation ministérielle. Par exemple, les processus en vertu desquels le Centre :

• identifie et choisit des entités d'intérêt pour le renseignement étranger et dirige ses activités vers elles;
• utilise, partage, présente dans des rapports, conserve ou détruit les renseignements interceptés; et
• prend des mesures pour protéger les communications privées interceptées fortuitement ainsi que l'information concernant l'identité de Canadiens.

Recommandations

Depuis 1997, mes prédécesseurs et moi-même avons présenté au ministre de la Défense nationale 68 rapports d'examen classifiés. Au total, ces rapports renfermaient 133 recommandations. Le Centre a souscrit à 93 p.100 (124 sur 133) de ces recommandations et il a pris ou prend actuellement des mesures pour y donner suite. En raison notamment des recommandations, le Centre a suspendu certaines activités pour réexaminer la façon dont elles sont conduites et restructurer les processus et les pratiques qui les sous-tendent. Au cours de l'année écoulée, le Centre a terminé le travail donnant suite à une recommandation antérieure et je fais le suivi de 15 recommandations que le Centre s'emploie à mettre en œuvre. J'attends la réponse du ministre à une recommandation liée à la protection de la vie privée que j'ai formulée en 2010-2011.

On trouvera sur le site Web du Bureau la liste des 68 rapports d'examen classifiés présentés au ministre de la Défense nationale.