Notes pour une allocution devant le Comité sénatorial permenent de la sécurité et de la défense

---

par l'honorable Jean-Pierre Plouffe, commissaire du Centre de la sécurité des télécommunications, le 22 février 2016

L'allocution définitive fait foi

Monsieur le président, honorables sénateurs, je suis heureux de témoigner à nouveau devant ce comité. Je suis accompagné par Monsieur Bill Galbraith, le directeur exécutif de mon bureau. 

Je me réjouis de l'occasion qui m'est offerte de m'entretenir du travail de mon bureau et de la mesure dans laquelle il contribue à assurer une gouvernance et une reddition de comptes efficaces des activités opérationnelles du Centre de la sécurité des télécommunications (CST). Je considère cette occasion particulièrement importante en cette période où le gouvernement examine la possibilité d'apporter des changements aux mesures d'examen et de surveillance des activités de renseignement de sécurité et où les universitaires et d'autres membres du public intéressés en discutent.

Vous m'avez demandé de témoigner devant vous pour discuter de mon rapport annuel déposé devant le Parlement le 28 janvier dernier. Je vous présenterai des faits saillants de ce rapport et de ma déclaration connexe au sujet des métadonnées et de la non‑conformité du CST. Je répondrai ensuite à vos questions avec plaisir.

Je vous ai déjà donné des détails au sujet de mon mandat, alors laissez-moi vous rappeler ce que la Loi sur la défense nationale me confère afin que je puisse m'acquitter de mon mandat :

• une autonomie complète sans lien de dépendance avec le gouvernement et un budget distinct accordé par le Parlement;

• un accès sans entraves à tous les dossiers, systèmes et installations du CST; et

• un accès sans entraves au personnel du CST, et notamment le pouvoir d'assigner des particuliers à comparaître pour les obliger à répondre à des questions.

Mon rapport récapitule neuf rapports classifiés que j'ai soumis au ministre de la Défense nationale, qui est responsable du CST, pendant l'exercice 2014-2015, y compris :

- Un examen des activités relatives aux métadonnées qui sont associées au programme de renseignement électromagnétique étranger. J'en parlerai plus longuement bientôt.

- Un examen des activités du CST en matière de sécurité des technologies de l'information qui sont réalisées en vertu d'une autorisation  ministérielle. Dans cet examen, j'ai recommandé que les mesures législatives soient modifiées afin d'éliminer une ambiguïté, ajoutant à la liste  de modifications législatives nécessaires;

- Un examen des activités relatives au renseignement électromagnétique étranger des Forces armées canadiennes qui sont menées sous  l'autorité du CST;

- Un examen de l'aide apportée par le CST au Service canadien du renseignement de sécurité (SCRS) en ce qui a trait aux activités de collecte  de renseignements étrangers au Canada, après lequel j'ai renvoyé un élément qui concernait le SCRS au Comité de surveillance des activités de  renseignement de sécurité (CSARS); et

- Trois examens annuels relatifs à la protection de la vie privée :

• un examen annuel des autorisations ministérielles inhérentes au renseignement électromagnétique étranger, y compris deux vérifications ponctuelles distinctes portant sur des communications privées interceptées;

• un examen annuel de la divulgation des renseignements sur l'identité de Canadiens;

• un examen annuel des dossiers du CST relatifs aux incidents liés à la vie privée et les erreurs de procédure.

Pourquoi est-ce que j'effectue ces examens?

Le CST se voit interdire par la loi, dans le cadre de ses activités de collecte de renseignements électromagnétiques étrangers et de sécurité des technologies de l'information (TI), de cibler des Canadiens — où qu'ils se trouvent dans le monde — ou toute personne au Canada. Dans le cadre de mon examen des activités du CST, je dois notamment déterminer si ce dernier prend des mesures satisfaisantes pour respecter les attentes raisonnables des Canadiens en matière de vie privée, concernant l'utilisation et la conservation des communications privées qu'il a recueillies. J'examine l'utilisation, la divulgation et la conservation des communications privées par le CST. Je vérifie que l'information concernant l'identité des Canadiens est protégée et n'est partagée qu'avec les partenaires autorisés pour comprendre les renseignements électromagnétiques étrangers ou pour assurer la protection des TI. Je vérifie également que les métadonnées sont utilisées pour comprendre l'infrastructure mondiale d'information, pour obtenir du renseignement étranger ou pour protéger les cybersystèmes, mais non pour obtenir de l'information sur un Canadien.

Dans ces rapports, il y avait huit recommandations pour le CST afin de promouvoir la conformité aux lois et la protection de la vie privée. Le ministre de la Défense nationale a accepté toutes ces recommandations et je surveillerai les efforts du CST pour les mettre en œuvre.

Hormis un examen relatif aux métadonnées, toutes les activités du CST que j'ai examinées au cours de l'exercice 2014‑2015 étaient conformes à la loi.

Bien que de nombreuses questions importantes aient été soulevées dans ces examens, je me concentrerai surtout sur l'examen relatif aux métadonnées et ma constatation que le CST n'a pas agi en conformité avec la loi.

La Loi sur la défense nationale autorise le CST à acquérir et à utiliser l'information provenant de l'infrastructure mondiale d'information (IMI), y compris les métadonnées, dans le but de fournir des renseignements sur les entités étrangères situées à l'extérieur du Canada, conformément aux priorités établies par le gouvernement.

Les métadonnées comprennent l'information associée à une communication qui est utilisée pour identifier, décrire, gérer ou acheminer cette communication. Elles englobent, sans pour autant s'y limiter, un numéro de téléphone, une adresse de courriel ou une adresse de protocole Internet (IP) ainsi que de l'information concernant un réseau et la géolocalisation. Les métadonnées ne comprennent pas le contenu d'une communication.

Les métadonnées jouent un rôle fondamental dans les activités du CST. Elles l'aident à comprendre les réseaux qu'il cible et à éviter de cibler des Canadiens.

Plusieurs examens réalisés par mon bureau chaque année comprennent l'examen de quelques activités relatives aux métadonnées. Les métadonnées aident mon bureau à vérifier notamment que les activités du CST ne visent pas des Canadiens.

La Loi sur la défense nationale et une directive ministérielle sur les métadonnées exigent que le CST dispose de mesures en place pour protéger la vie privée des Canadiens dans le cadre de ses activités relatives aux métadonnées.

Une mesure importante pour protéger la vie privée est la minimisation de toute information sur l'identité canadienne que renferment les métadonnées.

La minimisation est le processus en vertu duquel des renseignements susceptibles d'établir l'identité de Canadiens sont rendus non identifiables avant d'être communiqués. C'est ce sujet qui est devenu un élément important de mon examen.

Après le début de l'examen sur les métadonnées, en novembre 2013, le CST a découvert de son propre chef que certains types de métadonnées contenant de l'information sur l'identité de Canadiens n'étaient pas minimisés comme ils le devaient avant d'être communiqués. Par conséquent, le CST a communiqué certaines métadonnées comportant de l'information sur l'identité de Canadiens à ses partenaires du Groupe des cinq soit, les États‑Unis, le Royaume‑Uni, l'Australie et la Nouvelle‑Zélande.

Après cette découverte, le CST a suspendu de façon proactive le partage de métadonnées avec ses partenaires et il m'a avisé à propos de l'incident. J'ai demandé à mon personnel d'enquêter sur les lacunes au chapitre de la minimisation des métadonnées.

Le CST a coopéré pleinement dans le cadre de mon enquête. La chef du CST m'a confirmé que la suspension demeurera en vigueur jusqu'à la mise en place de systèmes pour assurer la minimisation adéquate de toutes les informations sur l'identité des Canadiens que renferment les métadonnées.

J'ai conclu que le CST, n'ayant pas minimisé certaines informations sur l'identité de Canadiens avant d'être communiquées aux partenaires du CST, n'a pas agi en conformité avec la Loi sur la défense nationale et, par conséquent, n'a pas agi en conformité avec la Loi sur la protection des renseignements personnels.

De ce fait, j'ai exercé l'obligation qui m'incombe en vertu de la Loi sur la défense nationale et j'ai informé le procureur général du Canada et le ministre de la Défense nationale à propos de cette non-conformité à la loi.

Bien que j'estime que les actes du CST n'étaient pas délibérés, l'organisme n'a pas fait preuve de diligence raisonnable en omettant de faire en sorte que l'information sur l'identité de Canadiens soit correctement minimisée avant d'être communiquée.

Dans cet examen des métadonnées, j'ai formulé deux recommandations, lesquelles ont été acceptées par le ministre de la Défense nationale :

• 1^re recommandation : que le ministre émette une directive mise à jour à l'intention du CST donnant des lignes directrices claires et précises en ce qui concerne la collecte, l'utilisation et la divulgation de métadonnées dans le contexte de renseignements électromagnétiques étrangers;

• 2^e recommandation : que le CST utilise son registre centralisé actuel pour consigner les décisions et les mesures prises concernant les systèmes de collecte mis à jour ainsi que consigner les décisions et les mesures prises concernant la minimisation des métadonnées renfermant de l'information sur l'identité de Canadiens.

Dans la lettre que j'ai écrite au procureur général et au ministre de la Défense nationale, j'ai formulé une recommandation additionnelle, à savoir qu'il faudrait modifier la Loi sur la Défense nationale de façon à définir un cadre précis pour les activités du CST liées aux métadonnées. Bien que la Loi sur la Défense nationale permette déjà au CST d'entreprendre des activités reliées aux métadonnées, une autorité explicite renforcerait la reddition de comptes à ce sujet.

Mes prédécesseurs et moi-même avons déclaré maintes fois que d'importantes dispositions de la Partie V.1 de la Loi sur la défense nationale sont ambiguës et nécessitent des modifications. La dernière recommandation que j'ai faite concernant les métadonnées s'ajoute à cette liste de modifications. Je souhaite sincèrement que le gouvernement profite de l'occasion qui lui est donnée pour prendre les mesures requises et procéder à ces modifications qui auraient dû être apportées depuis longtemps. Ces mesures s'inscriraient bien dans le cadre de son objectif annoncé de renforcer la reddition de comptes concernant les activités du renseignement menées par les agences et les ministères du gouvernement.

Ma décision d'informer le procureur général et le ministre était une obligation en vertu de la loi. Elle a eu pour conséquence de convaincre le ministre de la Défense nationale à diffuser une déclaration sur la question et d'inciter le CST à faire une démarche sans précédent, soit de tenir une séance d'information devant les médias. J'encourage le CST à continuer de fournir le plus d'information possible.

Mon bureau a demandé au CST de justifier pourquoi certains renseignements doivent être considérés comme classifiés. À vrai dire, j'ai inclus l'an dernier des statistiques se rapportant à des communications privées interceptées de façon non intentionnelle et recueillies dans le cadre des activités de collecte de renseignements électromagnétiques étrangers du CST. Le rapport de cette année renferme encore davantage de statistiques. Je vois ces initiatives comme des mesures importantes pour contribuer à démystifier le travail du CST et mieux éclairer le débat public.

En concluant ces remarques, j'aimerais aborder brièvement certains points généraux qui touchent les discussions actuelles au sujet de l'examen du renseignement.

Je suis en faveur des efforts en vigueur à l'heure actuelle visant à accroître la reddition de comptes relative aux activités de sécurité et du renseignement qui sont menées par les agences et les ministères du gouvernement. Je vois d'un œil positif l'intérêt de plus en plus grand à l'égard du travail accompli par mon bureau, ce qui n'était pas le cas du temps de mes prédécesseurs, et je suis tout à fait disposé à m'engager plus étroitement avec les parlementaires.

Le travail accompli par mon bureau fait partie intégrante du système canadien d'examen indépendant et spécialisé. Je suis d'avis que l'examen mené par des spécialistes est efficace, c'est-à-dire, qu'un seul organisme d'examen axe ses efforts sur une agence du renseignement. Cela permet que les examens et les enquêtes se fassent en profondeur, et donne aux enquêteurs des connaissances poussées sur l'agence du renseignement visée.

Je suis conscient que des lacunes subsistent. Les fonctions du renseignement de certains ministères ou de certaines agences ne font pas à l'heure actuelle l'objet d'examens externes indépendants. Je crois que les efforts menés pour améliorer la fonction d'examen des activités du renseignement devraient se fonder sur les points forts du système actuel. L'examen spécialisé pourrait, par exemple, aider à transmettre de l'information à un comité de parlementaires ou du Parlement, dont les membres possèderaient le niveau de sécurité nécessaire pour prendre connaissance de l'information classifiée.

Je crois qu'il serait également préférable de disposer d'un pouvoir explicite afin que les agences d'examen puissent coopérer en faisant des examens ensemble sur les opérations intégrées des agences de sécurité et du renseignement. J'ai remarqué, tout comme l'avait fait mon prédécesseur, que beaucoup de choses peuvent être réalisées en vertu des lois existantes. M. Blais et moi avons discuté d'améliorer la coopération entre nos organismes.

Par exemple, nous pouvons nous référer des questions ou de l'information de base concernant une affaire impliquant les agences sous l'égide du mandat de l'autre. Mon bureau et le CSARS se sont consultés sur l'examen des activités menées dans un secteur mettant en jeu la coopération entre le CST et le SCRS. Mes fonctionnaires ont accompli l'examen et ont informé les fonctionnaires du CSARS sur les conclusions qui impliquaient le SCRS, pour éclairer l'examen du CSARS.

Comme point final, je voudrais réitérer l'offre d'avril dernier contenue dans ma lettre qui vous était adressée, M. le président, d'offrir une séance d'information au comité. Lors de cette séance, je pourrais expliquer le travail de mon bureau, comment je sélectionne les activités qui font l'objet d'un examen et comment j'effectue les examens. Je pourrais aussi parler de l'expertise dont je dispose dans mon bureau.

Je vous remercie de m'avoir donné l'occasion de vous adresser la parole aujourd'hui. Mon directeur exécutif et moi-même serons heureux de répondre à vos questions.