Mise à jour sur les efforts du CSTC pour donner suite aux recommandations précédentes

Depuis 1997, mes prédécesseurs et moi-même avons présenté au ministre de la Défense nationale 81 rapports d'examen classifiés. Au total, les rapports renferment 148 recommandations. Le CSTC a accepté et mis en œuvre ou travaille à la mise en œuvre de 93 p. 100 (137) de ces recommandations, y compris les dix recommandations de cette année.

Les commissaires surveillent la façon dont le CSTC donne suite aux recommandations et répond aux constatations négatives de même que les domaines de suivi mentionnés au cours des examens antérieurs. Au cours de l'année écoulée, le CSTC a prévenu mon bureau que le travail avait été accompli en réponse à trois recommandations antérieures.

À la fin de l'exercice 2012-2013 visé par le rapport, le Bureau attendait la réponse de l'ancien ministre MacKay aux deux recommandations se rapportant à l'examen par mon prédécesseur de certaines activités visant le renseignement électromagnétique étranger. Par la suite, l'ancien ministre a donné son accord à la réponse de la direction du CSTC et a accepté les recommandations. En ce qui concerne la première recommandation, le CSTC a adopté la mise à jour d'une ligne directrice concernant la façon de communiquer de manière claire et cohérente avec ses partenaires à propos de l'entité que leurs activités ciblent expressément. Le CSTC a également offert des séances de formation et de sensibilisation aux gestionnaires et aux analystes sur la nécessité d'utiliser un langage clair dans les communications. En ce qui a trait à la seconde recommandation, le CSTC a pris plusieurs mesures afin de s'assurer que les analystes ont une connaissance exhaustive des lignes directrices applicables à leurs responsabilités pour déterminer le statut étranger de l'entité et justifier le ciblage de cette entité, ainsi que des mesures pour que les gestionnaires du CSTC vérifient que les analystes suivent ces lignes directrices. Ces mesures sont les suivantes : adoption de lignes directrices particulières depuis la période visée par l'examen donnant des instructions claires aux analystes concernant le ciblage;  surveillance de la conformité à la politique par une équipe spécialisée; formation théorique obligatoire associée à une formation en milieu de travail et à un test obligatoire en ligne sur la protection de la vie privée.

Le CSTC a mis en œuvre une troisième recommandation antérieure en rédigeant des lignes directrices précises pour le ciblage dans le cadre d'une méthode particulière de collecte de renseignements électromagnétiques étrangers.

En outre, mon bureau et moi-même surveillons 13 recommandations que le CSTC s'efforce de mener à bien — trois recommandations des années antérieures et dix de cette année auxquelles il n'avait pas encore donné suite.

Mise à jour sur l'examen de l'aide du CSTC au Service canadien du renseignement de sécurité (SCRS) en vertu de la partie c) du mandat du CSTC et des articles 12 et 21 de la Loi sur le Service canadien du renseignement de sécurité

Dans son dernier rapport annuel, mon prédécesseur a fait état de ses constatations et de ses recommandations concernant son examen de l'aide apportée par le CSTC en vertu de la partie c) de son mandat et des articles 12 et 21 de la Loi sur le Service canadien du renseignement de sécurité., à la page 21. Le commissaire Décary a examiné l'aide apportée par le CSTC au SCRS à la suite d'une ordonnance de la Cour fédérale d'octobre 2009 qui autorisait le SCRS, avec l'assistance du CSTC, à obtenir un mandat afin de recueillir des renseignements sur des Canadiens situés à l'étranger, pourvu que l'interception des communications ou la saisie de l'information se fasse au Canada. L'une des recommandations du commissaire Décary, mise en œuvre par le CSTC, était que le Centre conseille au SCRS de fournir à la Cour certaines preuves supplémentaires concernant la nature et l'étendue de l'aide qu'il pouvait lui apporter, c'est-à-dire concernant le fait que le CSTC allait chercher de l'aide auprès de ses partenaires étrangers et partager avec eux l'information sur les Canadiens visés par les mandats. Le commissaire Décary a partagé avec le Comité de surveillance des activités de renseignement de sécurité (le CSARS) certains points de vue généraux concernant le SCRS qui découlaient des deux recommandations qu'il avait formulées afin que le CSARS fasse un suivi s'il le jugeait pertinent (le CSARS a également effectué un examen sur ce sujet, qui a été résumé dans son rapport annuel de 2012-2013.)

Par suite du dépôt en août 2013 du rapport annuel du commissaire Décary, l'honorable juge Mosley a émis en septembre une ordonnance exigeant que les avocats-conseils du CSTC et du SCRS comparaissent devant la Cour fédérale pour parler de la question soulevée dans le rapport.

En novembre 2013, le juge Mosley a publié des Motifs supplémentaires modifiés et caviardés d'ordonnance dans cette affaire. Il reconnaissait que le commissaire Décary et le CSARS avaient fait part dans leurs rapports des « dangers découlant de l'absence de contrôle sur les renseignements après qu'ils aient été partagés » avec les agences étrangères (paragraphe 115). Le juge Mosley concluait que la compétence de la Cour fédérale « ne comprend pas l'autorisation de permettre au Service [le SCRS] de demander que des agences étrangères interceptent, directement ou par l'entremise du CST, en vertu de sa mission d'assistance, les communications de Canadiens qui voyagent à l'étranger » (paragraphe 119). Le juge Mosley a également mentionné que « le défaut de communiquer ces renseignements [que le SCRS demanderait l'assistance de partenaires étrangers par l'intermédiaire du CSTC] était la conséquence de la décision délibérée de ne pas informer la Cour quant à la portée et l'ampleur des opérations de collecte étrangères qui découleraient de l'émission du mandat par la Cour. Il s'agissait d'une violation de l'obligation de franchise à laquelle le Service [le SCRS] et ses conseillers juridiques sont tenus envers la Cour. » (paragraphes 117 et 118)

De l'avis de certains, cette situation témoigne de l'incapacité des organismes d'examen d'aider à contrôler les agences de renseignement. J'estime au contraire que ces événements montrent comment l'examen porte fruit puisque le juge Mosley a été alerté par suite des recommandations du commissaire Décary. Cela montre également comment les organismes d'examen — dans ce cas, le Bureau du commissaire et le CSARS — peuvent coopérer et partager de l'information dans le cadre de leurs mandats législatifs.

Mise à jour sur un examen en cours concernant l'utilisation de métadonnées par le CSTC

La question des métadonnées a été au cœur d'un débat public à propos du CSTC, de ses activités et de mon examen de ces activités. En juin 2013, en réponse à une demande d'information publique accrue dans le sillage des divulgations non autorisées d'information classifiée sur le renseignement électromagnétique étranger, mon prédécesseur a publié une déclaration expliquant l'utilisation des métadonnées par le CSTC, les mesures en place pour protéger la vie privée des Canadiens, le rôle du Bureau et les examens antérieurs. Cette déclaration était sans précédent et marquante dans la mesure où elle renfermait de l'information auparavant considérée comme hautement classifiées par le gouvernement qui n'avait à ce jour jamais été divulguée.

En janvier de cette année, j'ai confirmé que mon bureau était au courant d'une activité particulière concernant les métadonnées qui était au cœur des reportages dans les médias alléguant que le CSTC suivait illégalement les activités en ligne et les déplacements de certaines personnes dans un aéroport canadien. J'ai déclaré que cette activité n'impliquait pas une « surveillance de masse » au Canada ou la localisation de Canadiens ou de personnes au Canada, contrairement à ce que l'on prétendait. (Pour avoir accès à ces déclarations, consultez le site Web du Bureau.)

Qu'est-ce qu'une métadonnée? Une métadonnée est une information associée à une communication qui est utilisée pour identifier, décrire, gérer ou acheminer cette communication. La notion inclut notamment un numéro de téléphone, une adresse courriel, une adresse IP (protocole Internet) et de l'information sur le réseau et l'emplacement. La métadonnée n'inclut pas le contenu d'une communication. Le CSTC est autorisé à utiliser les métadonnées uniquement pour comprendre l'infrastructure mondiale d'information, pour fournir du renseignement étranger sur des entités étrangères situées à l'extérieur du Canada ou pour protéger les systèmes informatiques importants pour le gouvernement du Canada.

En vertu des alinéas 273.64(1)a) et b) de la Loi sur la défense nationale, le CSTC est habilité à recueillir, utiliser, partager et conserver des métadonnées. Une directive ministérielle fournit des lignes directrices supplémentaires et impose des limites aux activités du CSTC relatives aux métadonnées. À ce jour, j'ai confirmé que les métadonnées demeurent fondamentales pour les activités du CSTC en vertu de son mandat. Le CSTC utilise les métadonnées, par exemple, pour déterminer l'emplacement d'une communication, pour cibler les communications d'entités étrangères à l'extérieur du territoire canadien et pour éviter de cibler un Canadien ou une personne au Canada.

Comme pour chacune de ses activités, le CSTC se voit interdire de diriger ses activités relatives aux métadonnées sur un Canadien ou sur toute personne au Canada. Toutefois, certaines métadonnées recueillies par le CSTC sont des renseignements sur des Canadiens et le CSTC doit prendre des mesures pour protéger le droit à la vie privée dans l'utilisation de ces métadonnées. Le ministre de la Défense nationale a fourni des instructions au chef du CSTC concernant les activités relatives aux métadonnées, y compris en matière de protection de la vie privée des Canadiens. Le chef a par ailleurs élaboré et fourni des lignes directrices aux employés du CSTC, par l'intermédiaire de diverses politiques internes, concernant les procédures et les pratiques à observer pour les activités pouvant utiliser des métadonnées.

Mon bureau a commencé son premier examen ciblé des métadonnées en 2006. Au fil des années, il a continué d'examiner et de surveiller l'utilisation des métadonnées par le CSTC et les commissaires ont formulé plusieurs recommandations se rapportant aux métadonnées. En 2008, par exemple, le CSTC a suspendu certaines activités incluant de l'information sur des Canadiens et a apporté d'importants changements aux politiques et aux pratiques avant de reprendre ces activités.   

La planification d'un autre examen exhaustif des métadonnées était en cours avant les révélations non autorisées d'Edward Snowden en juin dernier. À la lumière de l'intérêt public considérable sur ce sujet, cet examen revêt une grande priorité. Il donne la possibilité d'analyser une fois de plus les activités du CSTC relatives aux métadonnées, d'évaluer les changements qui y ont été apportés et de déterminer si le CSTC se conforme à la loi et s'il protège la vie privée des Canadiens. Nous assurerons également un suivi à cet égard à partir des observations des anciens commissaires. Pour la première fois, cet examen inclut une analyse approfondie de la façon dont le CSTC utilise les métadonnées pour repérer les cyberattaques et les menaces qui pèsent sur l'infrastructure d'information essentielle du Canada. Mon examen a soulevé certaines questions importantes, sur lesquelles je continuerai de me pencher dans l'année à venir, notamment: quels vulnérabilités et risques les nouvelles technologies utilisées par le Centre pour recueillir et analyser des métadonnées font-elles peser sur la vie privée des Canadiens? Comment et jusqu'à quel point peut-on intégrer directement des mesures de protection de la vie privée aux technologies et aux processus utilisés par le CSTC pour la collecte et l'analyse des métadonnées? Je rendrai compte des résultats de l'examen dans mon prochain rapport annuel public.