Вы находитесь на странице: 1из 60

Commissaire du

Centre de la scurit
des tlcommunications

Rapport annuel

2016
2017
Bureau du commissaire du
Centre de la scurit des tlcommunications
C.P. 1474, succursale B
Ottawa (Ontario) K1P 5P6
Tlphone : 613-992-3044
Tlcopieur : 613-992-4096
Site Web : www.ocsec-bccst.gc.ca/
Sa Majest la Reine du Chef du Canada, reprsente par le
Bureau du commissaire du Centre de la scurit des tlcommunications, 2017
No de catalogue : D95
ISSN 1206-7490
Commissaire du Centre de la Communications Security
scurit des tlcommunications Establishment Commissioner

Lhonorable Jean-Pierre Plouffe, CD The Honourable Jean-Pierre Plouffe, CD

Juin 2017

Ministre de la Dfense nationale


difice MGn George R. Pearkes, 13e tage
101, promenade Colonel By, tour Nord
Ottawa (Ontario) K1A 0K2

Monsieur le Ministre,
Conformment au paragraphe 273.63(3) de la Loi sur la dfense nationale,
jai lhonneur de vous transmettre le rapport annuel faisant tat de mes activits
et constatations pour la priode allant du 1er avril 2016 au 31 mars 2017, aux
fins de prsentation au Parlement.

Je vous prie dagrer, Monsieur le Ministre, lassurance de ma haute considration.

Jean-Pierre Plouffe

C.P. / P.O. Box 1474, Succursale B / Station B


Ottawa ON Canada K1P 5P6
TABLE DES MATIRES
Message du commissaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Le mandat et les activits dexamen du commissaire . . . . . . . . . . . . . . . . . . . . . 6
Le point sur les efforts dploys par le CST pour donner
suite aux recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Aperu des constatations et des recommandations de 20162017 . . . . . . . . . 11
Points saillants des rapports prsents au ministre en 20162017 . . . . . . . . . 13
1. Examen du partage de renseignements du CST avec
des entits trangres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2. Examen des activits de collecte du CST menes dans des
circonstances exceptionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3. Examen des activits du CST relatives aux mtadonnes lies
la cyberdfense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4. tude portant sur la coopration et le partage dinformation entre
les employs du CST chargs de la scurit des TI et ceux chargs
des renseignements lectromagntiques trangers afin de contrer
les cybermenaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5. Examen annuel des Dossiers relatifs aux incidents lis la vie prive
et du Dossier des erreurs de procdure mineures . . . . . . . . . . . . . . . . . . . 30
6. Examen annuel des activits de cyberdfense du CST menes
sous le rgime dune autorisation ministrielle . . . . . . . . . . . . . . . . . . . . . . 34
7. Examen combin annuel des autorisations ministrielles du CST
relatives la collecte de renseignements lectromagntiques trangers
et des vrifications ponctuelles des communications canadiennes
(20152016 et 20162017) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Plaintes concernant les activits du CST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Mandat sous le rgime de la Loi sur la protection de linformation . . . . . . . . . . 47
Activits du bureau du commissaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Plan de travail Examens en cours et prvus . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Annexe A : Biographie de lhonorable Jean-Pierre Plouffe, cd . . . . . . . . . . . . . 53
Annexe B : Extraits de la Loi sur la dfense nationale et de
la Loi sur la protection de linformation relatifs au mandat
du commissaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Rapport annuel 20162017 1


MESSAGE DU COMMISSAIRE
Jai eu lhonneur en octobre dernier dtre
renomm commissaire pour un terme de
deuxans. Le renouvellement de ma nomination
a concid avec des initiatives gouvernementales
visant tudier les possibilits pour renforcer
la reddition de comptes des ministres et
organismes fdraux qui accomplissent des
activits lies la scurit nationale.
Ces efforts gouvernementaux ont pour but de
rassurer les Canadiens que les activits de ces
organisations qui visent la protection contre le
terrorisme et les cyberattaques y compris
tout autre pouvoir qui pourrait tre confr ne
portent pas atteinte de faon draisonnable la vie prive des Canadiens. Mon
mandat, ainsi que celui de mes collgues chargs de lexamen au Comit de
surveillance des activits de renseignement de scurit et la Commission
civile dexamen et de traitement des plaintes relatives la GRC, sont au cur
de ce dbat. Le rle des organismes dexamen existants est dencourager la
transparence et, lorsque linformation doit demeurer secrte, de veiller ce
quun examen exhaustif efficace soit effectu pour combler les lacunes en
matire dinformation dans le dbat public. Nous sommes des instruments de
reddition de comptes pour nos organisations de scurit nationale respectives
et nous jouons un rle dterminant afin daider btir la confiance du public.
cette fin, je continue de diffuser des statistiques et dencourager le Centre de
la scurit des tlcommunications (CST) le faire afin dclairer la discussion
publique et damliorer la confiance du public.
Bien que mon rle titre de responsable de lexamen indpendant externe soit
ax sur le CST, un projet de loi devant le Parlement propose la mise en place
dun comit de parlementaires sur la scurit nationale et le renseignement
qui examinerait les activits relatives la scurit dans une optique gnrale.
Je vois dun il positif la participation accrue des parlementaires, qui seraient
autoriss recevoir des renseignements secrets, selon le cadre gnral de
reddition de comptes sur les activits lies la scurit nationale. Dans ma
prsentation au comit de la Chambre des communes qui tudiait ce projet de
loi, jai expos mes proccupations selon lesquelles pour viter le chevauchement,
il faut une dfinition claire des rles, et jai fait valoir que les organismes dexamen
devraient, selon la loi, avoir pour mandat de mener des examens conjoints
lorsquil y a chevauchement, par exemple lorsque le CST travaille avec le
Service canadien du renseignement de scurit. Je suis impatient de travailler
avec le comit de parlementaires lorsque celui-ci sera mis sur pied.

Rapport annuel 20162017 3


Le gouvernement a galement tenu des consultations publiques lchelle
du pays sur la scurit nationale. Cela ma permis de prsenter mon point
de vue sur les sujets dj abords, notamment le comit de parlementaires
propos, limportance de la collaboration entre les organismes dexamen et la
faon dont ceux-ci travailleraient avec le comit de parlementaires. Puisque
je suis en dsaccord, jai aussi comment, en ce qui concerne les autorisations
ministrielles pour le CST, les demandes pour lobtention de mandats judiciaires
dans les cas dinterceptions fortuites ou non intentionnelles de communications
prives par le CST. En mappuyant sur mes dcennies dexprience titre de
juge, ainsi que les troisdernires annes consacres lexamen des activits
du CST, jai ritr une proposition en vue du renforcement de la reddition de
comptes par le ministre lgard du CST. Une meilleure protection de la vie
prive pourrait tre assure en ce qui a trait aux autorisations ministrielles
si le commissaire du CST valuait le respect des conditions nonces dans la
Loi sur la dfense nationale avant, plutt quaprs, la signature des autorisations
par le ministre. Ainsi, des yeux judiciaires effectueraient une valuation
pralable, impartiale et indpendante de la demande dautorisation du CST.
En effet, le commissaire du CST, qui doit tre un juge surnumraire ou la
retraite dune cour suprieure et qui doit connatre les questions concernant
les autorisations ministrielles et les mesures de protection de la vie prive,
procderait un examen minutieux.
Lors de ma comparution devant le Comit permanent de la dfense nationale
de la Chambre des communes en mars, jai soulign quatre grandes questions
retenant mon attention, dont deux questions abordes ci-dessus. Une troisime
question concerne les modifications attendues depuis longtemps la partieV.1
de la Loi sur la dfense nationale. Nous sommes un moment tournant
o la clart de la lgislation tablissant le mandat du CST, et ce quil peut et
ne peut pas faire, est essentielle, tant donn quil est question de la vie prive
des Canadiens. Ainsi, les parlementaires et les membres du public pourraient
connatre les autorisations et les restrictions exactes que le CST doit respecter,
et tre rassurs quant aux mcanismes en place pour veiller ce quil ny ait
pas abus des pouvoirs et, le cas chant, que ces abus soient mis au jour
et traits. La quatrime question stratgique a trait la ncessit de revoir
linformation qui peut tre rendue publique dans le but de favoriser la trans-
parence. La transparence a t la pierre angulaire de mon approche en tant
que commissaire. Des progrs considrables ont t raliss cet gard au
Royaume-Uni et aux tats-Unis. Il est temps pour le Canada den faire autant.
Les progrs raliss lgard de ces questions gnrales viendront renforcer
ma capacit daccomplir mon mandat premier, soit lexamen des activits du
CST, et aideront crer un cadre de reddition de comptes plus exhaustif et
efficace, en assujettissant les ministres et organismes qui mnent des activits
relatives la scurit nationale, mais qui ne font pas encore lobjet dun examen,
rendre des comptes.

4 www.ocsec-bccst.gc.ca
Pendant que je poursuis ma quatrime anne titre de responsable de
lexamen du CST, je suis conscient plus que jamais de limportance de se tenir
au courant des avances technologiques et oprationnelles au CST et des faits
nouveaux externes influant sur celuici, dans un monde o les menaces et
les technologies, ainsi que le contexte juridique, voluent constamment. Mon
programme dexamen au cours de cette prochaine anne continuera de mettre
laccent sur le caractre adquat des mesures du CST pour protger la vie
prive, le rle des mtadonnes et le partage de renseignements entre le CST
et ses partenaires, au pays et ltranger. De plus, au cours de la prochaine
anne, je serai heureux de rencontrer mes homologues des tats-Unis, du
Royaume-Uni, de lAustralie et de la Nouvelle-Zlande pour avoir des discussions
et des changes sur nos expriences respectives dans le domaine de lexamen et
de la surveillance, et sur la faon de rendre compte du partage de renseignements
entre les organismes de nos pays respectifs, afin damliorer la confiance du public.
Lors de lvnement officiel de septembre dernier pour marquer le 20eanniversaire
du bureau du commissaire, le ministre de la Dfense nationale, qui est respon
sable du CST devant le Parlement, sest dit heureux des recommandations et
examens indpendants reus du commissaire du CST et a reconnu limportance
de ce travail lappui de sa reddition de comptes lgard du CST. Je suis
heureux de poursuivre ce rle essentiel de responsable de lexamen des activits
du CST en dterminant si celles-ci sont conformes la loi, en massurant que
des mesures de protection robustes sont en place pour protger la vie prive
des Canadiens et en contribuant la reddition de comptes gnrale sur les
activits relatives la scurit nationale.

Rapport annuel 20162017 5


Le MANDAT ET les activits
DEXAMEN DU CommissAIRE
Le Bureau du commissaire du Centre de la scurit des tlcommunications
(CST) est un organisme dexamen indpendant.

Mandat
Le mandat du commissaire du CST est nonc la partieV.1 de la Loi sur
la dfense nationale:
1. procder des examens concernant les activits du CST y compris les
activits lies aux renseignements lectromagntiques trangers et la
scurit des technologies de linformation lappui du gouvernement du
Canada pour en contrler la lgalit;
2. faire les enqutes que le commissaire estime ncessaires la suite dune
plainte crite; et
3. informer le ministre de la Dfense nationale (qui est responsable du CST
devant le Parlement) et le procureur gnral du Canada de toute activit
du CST qui, son avis, pourrait ne pas tre conforme la loi.
En vertu de larticle15 de la Loi sur la protection de linformation, le commissaire
a galement pour mandat de recevoir de linformation manant de personnes
astreintes au secret perptuit qui souhaitent communiquer des renseignements
oprationnels spciaux du CST en faisant valoir la primaut de lintrt public.
La Loi sur la dfense nationale exige que le commissaire du CST soit un juge
surnumraire ou un juge la retraite dune cour suprieure. Elle confre
au commissaire une autonomie complte et un accs sans entrave tous
les systmes et installations du CST, ainsi qu son personnel, notamment
le pouvoir dassigner comparatre pour obliger des particuliers rpondre
des questions. Le commissaire a un budget distinct accord par le Parlement.

Considrations en matire dexamen


Lapproche du commissaire lgard des examens est la fois base sur les
objectifs recherchs sappuyant sur son mandat et prventive. Les activits
du CST incluent la collecte de renseignements lectromagntiques trangers
sur des cibles trangres se trouvant lextrieur du Canada, cest--dire de
linformation sur les moyens, les intentions ou les activits de cibles trangres
portant sur les affaires internationales, la dfense ou la scurit. Le CST est
galement lorganisme technique du Canada responsable de la cyberdfense
et de la cryptographie, ainsi que dautres technologies qui sont requises pour

6 www.ocsec-bccst.gc.ca
protger les systmes et les rseaux informatiques du gouvernement qui
renferment des informations nationales et personnelles sensibles. Le CST a en
outre pour mandat de mettre profit ses capacits uniques afin de fournir
une assistance technique et oprationnelle aux organismes fdraux chargs
de lapplication de la loi et de la scurit dans lexercice des fonctions que la loi
leur confre.
Les activits du CST sont distinctes des activits de collecte de renseignements
criminels et en matire de scurit menes par dautres organismes. Il sagit
dans leur cas dinformation sur des activits qui pourraient menacer la scurit
du Canada ou la scurit publique et que lon obtient gnralement en ciblant
des Canadiens en vertu de diffrents pouvoirs lgaux. Il est expressment
interdit pour ce qui est des activits du CST de viser des Canadiens ou des
personnes se trouvant au Canada. Restreindre la collecte de renseignements
des cibles trangres lextrieur du Canada est compliqu par linfrastructure
de linformation mondiale, qui est interconnecte et en constante volution,
ainsi que par les cibles trangres, qui sont elles-mmes astucieuses sur le plan
technologique. Le CST a besoin de moyens techniques perfectionns pour obtenir
et analyser linformation et dtecter et attnuer les cyberactivits malveillantes.
Pour rester efficaces, les mthodes du CST doivent demeurer secrtes.
Dans ce contexte difficile, les agents vous lexamen doivent possder des
connaissances spcialises et une expertise pour comprendre les nombreux
aspects techniques, juridiques et relatifs la protection de la vie prive des
activits du CST. Ils doivent galement possder des habilitations de scurit
au niveau requis pour examiner les dossiers et les systmes du CST. Les agents
vous lexamen sont lis par la Loi sur la protection de linformation et ne
peuvent pas divulguer des personnes non autorises les renseignements
sensibles auxquels ils ont accs.
Une fois une activit slectionne pour examen, elle est examine en fonction
de la srie de critres standards dcrits ci-aprs:
Obligations lgales: le commissaire sattend ce que le CST mne ses
activits en conformit avec la Charte canadienne des droits et liberts,
la Loi sur la dfense nationale, la Loi sur la protection des renseignements
personnels, le Code criminel et toute autre lgislation pertinente.
Exigences ministrielles: le commissaire sattend ce que le CST mne
ses activits en conformit avec les instructions ministrielles, conformment
toutes les exigences et dans le respect des limites prcises dans une
autorisation ou une directive ministrielle.

Rapport annuel 20162017 7


Politiques et procdures: le commissaire sattend ce que le CST dispose
de politiques et de procdures pertinentes pour orienter ses activits et
donner des instructions suffisantes sur les obligations lgales et les exigences
ministrielles, notamment en ce qui concerne la protection de la vie prive
des Canadiens. Il sattend ce que les employs du CST soient au courant
des politiques et procdures, et ce quils sy conforment. Il sattend aussi
ce que le CST dispose dun cadre efficace de validation de la conformit pour
assurer le maintien de lintgrit de ses activits oprationnelles, y compris
une reddition de comptes adquate sur les dcisions importantes prises et
linformation se rapportant la conformit et la protection de la vie prive
des Canadiens.

Rapports sur les constatations


Rapport classifi au ministre sur chaque examen: Les rsultats des examens
individuels font lobjet de rapports classifis au ministre de la Dfense nationale.
Ces rapports documentent les activits du CST, renferment les constatations
relatives aux critres standards et dvoilent la nature et limportance de tout
cart par rapport aux critres. Au besoin, le commissaire formule lintention
du ministre des recommandations visant amliorer les mesures de protection
de la vie prive ou corriger les problmes se rapportant aux activits
oprationnelles du CST mis au jour au cours de lexamen. Conformment
la pratique courante de divulgation adopte par les vrificateurs, le CST reoit
les bauches des rapports dexamen pour confirmation de lexactitude des
faits. Les constatations et les conclusions sont libres de toute ingrence de
la part du CST ou de tout ministre.
Rapport annuel public au Parlement: Le rapport annuel du commissaire est
un document public prsent au ministre qui, en vertu de la loi, doit le dposer
au Parlement. Le bureau du commissaire publie les titres de tous les rapports
dexamen prsents au ministre 106 ce jour sur son site Web.

Ressources du bureau du commissaire


En 20162017, le commissaire a t paul par 11employs, eux-mmes aids
au besoin par des spcialistes en la matire. Les dpenses du bureau se sont
leves 2004378$, montant qui se situe dans la limite du financement approuv
par le Parlement. Pour en apprendre davantage sur les dpenses du bureau,
veuillez consulter son site Web.

8 www.ocsec-bccst.gc.ca
LE POINT SUR LES EFFORTS
DPLOYS PAR LE CST
POUR DONNER SUITE
AUX RECOMMANDATIONS
Le CST a accept et mis en uvre, ou travaille la mise en uvre, de 95pour
cent (157) des 166recommandations formules depuis 1997, y compris les
cinqrecommandations incluses dans les rapports de cette anne. Les commis-
saires surveillent la faon dont le CST donne suite aux recommandations, aux
constatations ngatives et aux questions ncessitant un suivi mentionnes dans
les examens. Le bureau du commissaire surveille ainsi 16recommandations
actives auxquelles le CST donne suite 11recommandations non encore
appliques des annes prcdentes et cinq de cette anne.
Au cours de lexercice coul, le CST a prvenu le bureau quil avait donn suite
deuxrecommandations antrieures.
Lan dernier, dans le cadre de lexamen de lassistance fournie par le CST
au Service canadien du renseignement de scurit (SCRS) selon la partiec)
du mandat du CST en ce qui concerne un certain type de rapports mettant en
cause des Canadiens (rsum dans le rapport annuel 20152016), le commissaire
a recommand que le CST tienne le ministre au courant, sur une base annuelle,
de ses activits vises la partiec) de son mandat, soit la transmission au SCRS
des rapports mettant en cause des Canadiens qui sont reus des partenaires
de la Collectivit des cinq. Le CST a donn suite cette recommandation en
prsentant au ministre un rsum de ces activits.
Le CST a galement donn suite une recommandation dcoulant de lexamen
men par le bureau des activits du CST relatives aux mtadonnes lies aux
renseignements lectromagntiques trangers (rsum dans le rapport annuel
20142015). Cet examen a rvl que le systme de minimisation de certains
types de mtadonnes du CST tait dcentralis et dpourvu dun contrle
et dune hirarchisation des priorits adquats. Le CST ne disposait pas non
plus dun systme adquat de tenue de dossiers. Par consquent, le commissaire
a recommand que le CST utilise son systme actuel de registre centralis
pour consigner les dcisions et les mesures prises concernant les nouveaux
systmes de collecte ou ceux qui ont t actualiss, de mme que les dcisions
et les mesures prises concernant la minimisation des mtadonnes renfermant
de linformation sur lidentit de Canadiens. Le CST a fait savoir quil avait mis
jour ses processus de gestion de linformation dans les secteurs responsables
des systmes de collecte dans le but damliorer la tenue de dossiers sur les

Rapport annuel 20162017 9


dcisions et les mesures prises, en particulier lgard de la minimisation
des mtadonnes. Le CST continuera de se pencher sur ces processus et de
les amliorer, au besoin, en apportant dautres changements aux politiques
et aux processus oprationnels. Le commissaire surveillera aussi ces efforts.
Le commissaire a rappel au ministre une importante recommandation en
suspens rsume dans le rapport annuel 20132014: que le ministre diffuse
une nouvelle directive gnrale lintention du CST qui nonce les attentes
relatives la protection de la vie prive des Canadiens lorsque le CST partage
des renseignements trangers. Bien que le partage de renseignements avec
ses allis soit essentiel aux activits de collecte de renseignements lectroma
gntiques trangers et dautres activits du CST, il pourrait y avoir une incidence
directe sur la vie prive et la scurit des Canadiens lorsquune communication
prive ou de linformation sur lidentit de Canadiens est partage. Le ministre
a soulign que le CST stait engag donner suite cette recommandation
en priorit.
Le ministre a galement soulign lappel du commissaire au gouvernement
acclrer la mise en uvre de sa recommandation de 2015 visant modifier
la Loi sur la dfense nationale et la directive ministrielle sur les mtadonnes
afin de donner un pouvoir exprs et un cadre clair en ce qui concerne la collecte,
lutilisation et la divulgation de mtadonnes par le CST.

10 www.ocsec-bccst.gc.ca
APERU DES CONSTATATIONS
ET DES RECOMMANDATIONS DE
20162017
Au cours de lexercice 20162017, le commissaire a prsent au ministre
neufrapports classifis sur ses examens des activits du CST.
Les examens, ainsi quune tude, ont t mens sous lautorit du commissaire:
pour sassurer que les activits du CST sont conformes la loi comme
il est prcis lalina273.63(2)a) de la Loi sur la dfense nationale; et
pour contrler la conformit des activits du CST menes sous le rgime
dune autorisation ministrielle comme ltablit le paragraphe273.65(8)
de la Loi sur la dfense nationale.
Le premier examen a port sur le partage de renseignements du CST avec
des entits trangres, autres que ses allis, en particulier les valuations
du risque visant dterminer sil convient ou non denvoyer ou de demander
des renseignements une entit trangre lorsque cela pourrait prsenter
un risque important de mauvais traitements une personne.
Un examen a port sur les activits de collecte du CST menes dans des
circonstances exceptionnelles, par exemple lorsque le CST est oblig dacqurir
de linformation et de rdiger un rapport concernant des ressortissants de la
Collectivit des cinq afin dappuyer des exigences en matire de renseignements
auxquelles il ne serait pas satisfait autrement.
Un autre examen a port sur les activits du CST relatives aux mtadonnes
lies la cyberdfense. Il sagissait de la troisime et dernire partie dune srie
dexamens exhaustifs visant les activits du CST relatives aux mtadonnes.
Le bureau du commissaire a galement men une tude portant sur la coopration
et le partage dinformation entre les employs du CST chargs de la scurit
des technologies de linformation et ceux chargs des renseignements lectro-
magntiques trangers afin de contrer les cybermenaces dans le but dacqurir
des connaissances approfondies de ces activits et de cerner toute question
pouvant ncessiter un examen de suivi.
Comme les annes prcdentes, le commissaire a effectu des examens annuels
des autorisations ministrielles relatives la collecte de renseignements
lectromagntiques trangers et la cyberdfense, notamment des vrifications
ponctuelles des communications canadiennes (voir la dfinition la page40) y
compris les communications prives qui ont t acquises, utilises, conserves
et dtruites par le CST, ainsi que des incidents et des erreurs de procdure du

Rapport annuel 20162017 11


CST lis la vie prive. Lexamen annuel de la divulgation par le CST dinformation
sur lidentit de Canadiens se poursuivra en 20172018.

Les rsultats
Chaque anne, le commissaire prsente une dclaration densemble sur ses
constatations concernant la lgalit des activits du CST. Au cours de lanne
coule, toutes les activits examines taient conformes la loi.
De mme, cette anne, le commissaire a formul cinqrecommandations pour
promouvoir la conformit la loi et renforcer la protection de la vie prive,
demandant notamment que:
1. les protocoles dentente avec des entits trangres prcisent clairement
les autorisations et les restrictions juridiques du CST, y compris que le CST
ne peut pas recevoir, conformment son mandat de collecte de renseignements
lectromagntiques trangers, de linformation dentits trangres qui a
t obtenue au moyen dactivits pouvant avoir vis un Canadien ou toute
personne au Canada;
2. le CST diffuse des politiques stratgiques gnrales afin dtablir des mesures
de base pour le partage de renseignements avec des entits trangres;
3. le CST applique uniformment des mises en garde tous les changes avec
des entits trangres et utilise des systmes adquats afin de consigner
tous les renseignements divulgus;
4. en raison des caractristiques techniques de certaines technologies de
communication, les rapports du CST au ministre sur les communications
prives renferment des renseignements supplmentaires pour mieux dcrire
ces communications et expliquer lampleur de latteinte la vie prive
la faon dont le CST dnombre actuellement les communications prives
donne une vision dforme du nombre de Canadiens ou de personnes au
Canada qui sont interlocuteurs dans une communication intercepte par
le CST afin dobtenir des renseignements trangers sous le rgime dune
autorisation ministrielle; et
5. en raison du caractre quasi constitutionnel de la protection accorde aux
communications entre un conseiller juridique et son client, le CST obtienne
toujours un avis juridique crit auprs du ministre de la Justice concernant
la conservation ou lutilisation dune communication intercepte qui est protge
par le secret professionnel de lavocat.

12 www.ocsec-bccst.gc.ca
POINTS SAILLANTS DES
RAPPORTS PRSENTS
AU MINISTRE EN 20162017
1. Examen du partage de renseignements
du CST avec des entits trangres

Contexte
La capacit du CST remplir son mandat en matire de scurit des technologies
de linformation et de collecte des renseignements lectromagntiques trangers
repose, dans une large mesure, sur ltablissement et le maintien de relations
fructueuses avec ses homologues trangers. Outre les alliances de longue
date que le CST a tablies avec ses partenaires de la Collectivit des cinq,
les renseignements du CST sont aussi partags avec dautres entits trangres.
La Loi sur la dfense nationale ne renferme aucun pouvoir explicite ni limite prcise
concernant le partage de renseignements avec des entits trangres. De telles
activits sont implicitement autorises par la Loi sur la dfense nationale.
Le partage de renseignements avec des entits trangres fait partie intgrante
du mandat des organismes canadiens chargs de lapplication de la loi et du
renseignement, y compris le CST. Pour tenir les ministres et organismes
responsables des renseignements partags lextrieur du Canada, le gouver-
nement du Canada a adopt le Cadre pour la gestion des risques dans lchange
de renseignements avec des entits trangres. Ce cadre tablit une approche
uniforme lchelle du gouvernement exigeant la ralisation dune valuation
du risque en vue de dterminer si les renseignements doivent tre communiqus
ou demands une entit trangre lorsque le partage pourrait exposer une
personne un risque important de subir des mauvais traitements. Aux termes
dune directive correspondante du ministre de la Dfense nationale, le CST est
tenu de grer le partage de renseignements avec des entits trangres, appuy
par les politiques orientant les pratiques de partage de renseignements, pour
faire en sorte que le partage de renseignements nengendre pas un risque
important de mauvais traitements.
Ctait le premier examen ralis par le bureau tre ax sur le partage de
renseignements avec des entits trangres autres que les partenaires de la
Collectivit des cinq. Pour la priode allant du 1erfvrier2010 au 31mars2015,
le bureau a examin les lments suivants:

Rapport annuel 20162017 13


le processus de partage de renseignements lectromagntiques trangers
avec des entits trangres;
le cadre lgislatif et stratgique li au partage de renseignements avec
des entits trangres;
la question de savoir si le CST avait obtenu auprs dentits trangres
ou divulgu des entits trangres des communications prives ou de
linformation sur des Canadiens;
un chantillon de renseignements changs, y compris 161 valuations du risque
de mauvais traitements menes aux fins du partage de renseignements; et
les accords officiels existants avec des entits trangres.

Constatations
Le bureau a conclu que le partage de renseignements du CST avec des entits
trangres pendant la priode vise par lexamen tait conforme la loi, au Cadre
pour la gestion des risques dans lchange de renseignements avec des entits
trangres et aux instructions ministrielles.
Le CST value et attnue le risque de mauvais traitements lorsque ses rensei-
gnements vont potentiellement tre partags avec des entits trangres.
Le bureau a examin 161 valuations du risque de mauvais traitements menes
par le CST o le CST a dmontr quil avait valu et attnu le risque inhrent
au partage de renseignements comme il se doit, et appliqu les critres
ncessaires en matire de prise de dcisions et dapprobation. Ceci incluait
35cas o le CST avait partag des renseignements et que ce partage comportait
un risque important de mauvais traitements. Dans ces cas, le CST avait pris
des mesures raisonnables pour attnuer le risque, y compris faire respecter
les mises en garde et obtenir des garanties auprs des entits trangres,
ou encore, lorsque le risque de mauvais traitements ne pouvait tre attnu,
le CST avait soupes correctement le risque de mauvais traitements et celui
de ne pas rvler les renseignements, y compris, par exemple, des renseignements
lis une menace pour la scurit nationale du Canada.
Dans les cas o le CST navait pas men dvaluation du risque de mauvais
traitements avant de partager les renseignements, le bureau na vu aucun
lment indiquant quune valuation aurait d tre mene.
Le partage de renseignements avec des entits trangres aide le CST remplir
son mandat, plus particulirement dans le soutien la lutte contre le terrorisme
et aux oprations militaires, la dfense des rseaux informatiques, et la dtection
des menaces pesant contre les intrts canadiens de faon gnrale.

14 www.ocsec-bccst.gc.ca
Le CST divulgue rarement de linformation sur lidentit de Canadiens aux entits
trangres. Des 161 valuations du risque de mauvais traitements examines,
seules 5 avaient donn lieu la divulgation dinformation sur lidentit de
Canadiens une entit trangre. Dans ces quelques cas, le CST avait men
lvaluation du risque ncessaire et avait valu les rpercussions sur la vie
prive avant dapprouver la divulgation.
Comme le CST traite de linformation dcoulant de renseignements lectroma
gntiques, il est peu probable quil reoive de linformation obtenue la suite
de mauvais traitements. Nanmoins, le bureau tait convaincu que le CST
avait pris des mesures raisonnables pour tablir que linformation reue des
entits trangres navait pas t obtenue la suite de mauvais traitements.
Cela dit, le bureau a relev des diffrences dans la manire dont le processus
dvaluation du risque tait mis en uvre par les sections responsables au sein
du CST. Les procdures traitant du partage de renseignements sont gres par
deux sections diffrentes. Si lune des sections suivait des protocoles uniformes,
lautre tenait des dossiers insuffisants dans certains cas et appliquait les mises
en garde relatives au partage des renseignements de faon irrgulire. Toutefois,
avant la fin de la priode vise par lexamen, cette section avait apport dimpor-
tantes amliorations la ralisation des valuations du risque. Le CST a depuis
inform le bureau du commissaire quil a rvis et normalis les mises en garde
devant tre utilises dans le cadre de toutes les divulgations. Le commissaire
sen assurera dans un examen futur.
Au cours de la priode vise par lexamen, le bureau a relev une absence
de politiques stratgiques gnrales sur le partage de renseignements avec
les entits trangres. Le bureau a galement fait tat de labsence de politique
stratgique prcise sur la ralisation des valuations du risque de mauvais
traitements en vue de partager des renseignements avec des entits trangres.
Le CST a diffus une nouvelle politique sur ce type dvaluations du risque
aprs la priode vise par lexamen. Nanmoins, au cours de la priode vise
par lexamen, le CST disposait de politiques et de procdures plus gnrales
dvaluation du risque tablies sur lesquelles se fonder et menait des valuations
rgulires de ses ententes sur le partage de renseignements pour veiller ce
que le comportement de ses partenaires demeure compatible avec les intrts
canadiens ltranger ou sur le plan de la dfense ou de la scurit.
En menant lexamen, le bureau a soulev des proccupations au sujet du fait
que les accords officiels existants avec certaines entits trangres mentionnaient
les mesures de protection de la vie prive des Canadiens en des termes gnraux
seulement. Le bureau sattendait ce que les accords conclus par le CST numrent
de faon explicite les pouvoirs lgaux du CST et les restrictions, y compris le fait
que dans le cadre de son mandat de collecte de renseignements lectroma
gntiques, le CST ne peut recevoir aucune communication prive ou toute autre

Rapport annuel 20162017 15


information obtenue grce des activits visant un Canadien. Par la suite,
titre de mesure provisoire, le CST a fourni des lettres aux entits trangres
en question dcrivant ses pouvoirs lgaux et ses restrictions en attendant que
les accords soient modifis. Le commissaire sest montr satisfait de cette approche.
Il a nanmoins insist sur la ncessit de conclure ou de modifier la premire
occasion tous les accords avec les entits trangres.

Conclusion et recommandations
En plus de recommander au CST de veiller ce que les accords officiels conclus
avec des entits trangres prcisent ses pouvoirs lgaux et ses restrictions,
le commissaire a aussi recommand que les mises en garde soient appliques
systmatiquement tous les changes et que le CST utilise les systmes adquats
afin de consigner tous les renseignements communiqus. De plus, le commissaire
a recommand que le CST publie une politique stratgique gnrale sur les
changes de renseignements avec des entits trangres. Le bureau surveillera
les efforts dploys par le CST pour donner suite aux recommandations du commis
saire et il continuera dexaminer rgulirement les interactions du CST avec
les entits trangres, y compris le partage de renseignements et la ralisation
des valuations du risque de mauvais traitements.
En consquence de cet examen, le bureau mne un examen distinct sur les pouvoirs
du CST en vue de sa participation une initiative oprationnelle multilatrale
axe actuellement sur la menace terroriste qui pse sur les intrts occidentaux.

16 www.ocsec-bccst.gc.ca
2. Examen des activits de collecte du CST
menes dans des circonstances
exceptionnelles

Contexte
Lan dernier, le bureau a expliqu les circonstances exceptionnelles dans
lesquelles les partenaires du CST de la Collectivit des cinq pouvaient ne pas
respecter les accords de coopration conclus entre eux lorsquils obtiennent
de linformation ou quils font rapport sur des Canadiens qui se trouvent lextrieur
du Canada parce que, par exemple, ces Canadiens sont connus pour se livrer
des activits terroristes ou y apporter un soutien. Cette anne, lexamen se
penchait sur les circonstances exceptionnelles dans lesquelles le CST avait acquis
de linformation et rdig un rapport sur des activits similaires comprenant des
ressortissants de la Collectivit des cinq.

Partenaires de la Collectivit des cinq (Five Eyes)


Les partenaires de la Collectivit des cinq sont le CST et les principaux
organismes internationaux des pays de la Collectivit des cinq: la
National Security Agency des tats-Unis, le Government Communications
Headquarters du Royaume-Uni, lAustralian Signals Directorate et le
Government Communications Security Bureau de la Nouvelle-Zlande.
Ce groupe est galement connu sous le terme dallis.

Lalina 273.64(1)a) de la Loi sur la dfense nationale [partie a) du mandat du CST]


autorise le CST acqurir et utiliser linformation provenant de linfrastructure
mondiale dinformation dans le but de fournir des renseignements trangers,
en conformit avec les priorits du gouvernement du Canada en matire de
renseignement. Les activits menes dans le cadre de la partie a) du mandat
du CST:
doivent correspondre aux priorits du gouvernement du Canada en matire
de renseignement;
ne peuvent viser des Canadiens ou toute personne au Canada; et
doivent tre soumises des mesures de protection de la vie prive des Canadiens
lors de lutilisation et de la conservation des renseignements intercepts.

Rapport annuel 20162017 17


Pour pouvoir remplir son mandat de collecte de renseignements lectroma
gntiques trangers, le CST sappuie galement sur des relations fructueuses
avec ses homologues trangers.
Les accords de coopration qui existent au sein de la Collectivit des cinq et les
rsolutions prises par celle-ci comportent un engagement de la part des partenaires
respecter les lois de chacun, les partenaires sengageant respecter les droits
la vie prive des ressortissants de chacun. Par consquent, les politiques et
les procdures du CST prcisent que les activits de collecte ne doivent pas viser
des ressortissants de la Collectivit des cinq, quel que soit le pays o ils se trouvent,
ni quiconque se trouvant sur le territoire de la Collectivit des cinq.
Nanmoins, il faut prendre en compte que chacun des partenaires de la Collectivit
des cinq est un organisme dun pays souverain qui peut droger aux accords sil y
va de lintrt national. Dans des circonstances exceptionnelles, le CST peut donc
devoir acqurir de linformation comprenant notamment des ressortissants de
la Collectivit des cinq ou des trangers se trouvant sur le territoire de la Collectivit
des cinq.
Les relations de longue date quentretient le CST avec ses partenaires de la
Collectivit des cinq revtent une importance particulire, puisquelles permettent
lalliance de collaborer dans la poursuite de buts communs tels que lidentification
de voyageurs extrmistes qui se rendent, ou qui sont arrivs, dans des zones
de conflit pour se joindre des groupes terroristes ou dautres organisations
telles Daech et dont le retour ventuel dans leur pays dorigine pourrait reprsenter
une menace.

Voyageurs extrmistes
On appelle voyageur extrmiste (ou combattant tranger) une
personne souponne de se rendre ltranger pour prendre part des
activits lies au terrorisme, par exemple les hommes et les femmes ayant
quitt le Canada pour se joindre au groupe terroriste qui se fait appeler
tat islamique.

18 www.ocsec-bccst.gc.ca
Ctait la premire fois que ce type dactivits faisait lobjet dun examen du bureau
du commissaire. Ainsi, lexamen a t loccasion dacqurir une connaissance
prcise de ces activits et des circonstances dans lesquelles elles se droulent.
Les objectifs de lexamen demeuraient bien connus: valuer si les activits taient
conformes la loi et la directive ministrielle lie aux priorits en matire de
renseignement et veiller ce que des mesures adquates soient prises pour
protger la vie prive des Canadiens dans lexercice de ces activits.
Pour la priode allant de janvier2015 aot 2016, le bureau a examin:
toutes les activits amorces par le CST qui visaient des ressortissants de
la Collectivit des cinq ou des trangers se trouvant sur le territoire de la
Collectivit des cinq;
les pouvoirs et les politiques, les bases de donnes et les systmes connexes
du CST;
les justifications oprationnelles; et
tout rapport connexe.

Constatations
Dans tous les 11 cas, lorsque les activits du CST comprenaient des ressortissants
de la Collectivit des cinq partout dans le monde ou quiconque se trouvant sur
le territoire de la Collectivit des cinq pendant la priode vise par lexamen, le
bureau a constat que les activits taient conformes la loi, quelles ne visaient
pas des Canadiens ou toute personne au Canada et quelles correspondaient
aux priorits du gouvernement du Canada en matire de renseignement. De plus,
les activits de ce type sont rares et reprsentent un faible risque pour la vie
prive des Canadiens.
Lexamen a aussi permis de confirmer que les critres noncs dans la politique
du CST taient respects: en plus de respecter les exigences prvues par la
partie a) du mandat du CST, ces activits de collecte particulires ne staient
droules quen des circonstances particulires et limites, par exemple pour
raliser une priorit du gouvernement du Canada en matire de renseignement
qui ne pouvait ltre autrement.
En 2015, le CST a mis jour sa politique pour pouvoir rpondre aux urgences
et aux besoins oprationnels plus efficacement et il a officialis certaines
pratiques existantes. Aprs examen, le bureau a suggr au CST de prciser
sa politique.Le bureau a galement constat que les analystes du CST appliquaient
la politique de faon irrgulire, par exemple dans la manire de remplir les
formulaires de demande requis et dans la quantit de dtails fournis. Le CST
a indiqu quil travaille donner suite aux constatations du bureau pour prciser
la politique et pour assurer son application approprie.

Rapport annuel 20162017 19


Conclusion
Vu le nombre limit de ces types dactivits et du faible risque pour la vie prive
des Canadiens, le bureau ne les examinera pas rgulirement, mais il surveillera
lampleur et la nature de ces activits.
Bien que cela ne concerne pas directement lexamen, le commissaire a de nouveau
encourag le ministre donner suite la recommandation non encore applique
de juillet 2013, soit la diffusion dune nouvelle directive ministrielle pour donner
des instructions gnrales au CST sur ses activits de partage de renseignements
lectromagntiques trangers avec ses partenaires de la Collectivit des cinq.
Cet examen avait soulev la question plus large des relations et des ententes
entre les partenaires. Le bureau a t inform quune nouvelle directive ministrielle
en cours dlaboration reconnatrait explicitement les risques associs ce
type de partage, tant donn que, pour des raisons de souverainet, le CST ne
peut pas exiger que ses partenaires de la Collectivit des cinq rendent compte
de toute utilisation de cette information. Le commissaire continuera de surveiller
les nouveaux dveloppements.

20 www.ocsec-bccst.gc.ca
3. Examen des activits du CST relatives
aux mtadonnes lies la cyberdfense

Contexte
Il sagit de la troisime et dernire partie dune srie dexamens rcents sur
les mtadonnes, dont les deux premiers traits dans les deux derniers
rapports annuels du commissaire ont port sur les activits relatives aux
mtadonnes lies aux renseignements lectromagntiques trangers. Cet
examen a mis laccent sur lutilisation par le CST de mtadonnes dans le cadre
dactivits de cyberdfense. Lexamen avait pour but de dterminer si les activits
du CST relatives aux mtadonnes taient conformes la loi et ne visaient pas
des Canadiens ou toute personne se trouvant au Canada, et que le CST prenait
efficacement des mesures satisfaisantes pour protger la vie prive des
Canadiens. Le bureau a examin les politiques et les procdures oprationnelles
du CST, a reu des sances dinformation et des dmonstrations techniques et
a interview le personnel technique et oprationnel du CST.
Le CST mne des activits relatives aux mtadonnes lies la cyberdfense
sous le rgime de lalina273.64(1)b) de la Loi sur la dfense nationale et des
autorisations ministrielles de cyberdfense. La directive ministrielle de 2011
sur les mtadonnes dfinit les mtadonnes comme linformation associe
une tlcommunication qui est utilise pour identifier, dcrire, grer ou
acheminer la tlcommunication ou toute partie de celle-ci, ainsi que son
mode de transmission, mais qui exclut toute information ou partie de celle-ci
qui pourrait rvler lobjet dune tlcommunication ou lensemble ou une partie
quelconque de son contenu. Le CST peut obtenir des mtadonnes lies
la cyberdfense auprs de ses propres sources, de partenaires nationaux
et trangers et de propritaires de systmes informatiques importants pour
le gouvernement du Canada, y compris les infrastructures essentielles. Le
CST utilise les mtadonnes pour accomplir cette partie de son mandat
afin de dtecter et dattnuer les cybermenaces malveillantes trangres
sophistiques, et daider protger les systmes informatiques importants
pour le gouvernement du Canada.

Rapport annuel 20162017 21


Cyberdfense
Le CST mne des activits de cyberdfense. La cyberdfense aide protger
les systmes du gouvernement du Canada contre les tats trangers, les
pirates informatiques et les criminels. Le CST suit les menaces partout dans
le monde, surveille les rseaux du gouvernement pour dtecter les cyberme
naces, et travaille avec les ministres dfendre et renforcer les systmes
qui ont t compromis. Le CST aide protger contre le vol linformation ayant
une valeur pour le gouvernement, y compris les renseignements personnels.

Constatations
Le bureau a confirm que ses examens antrieurs avaient mis au jour tous
les faits concernant les activits du CST relatives aux mtadonnes lies la
cyberdfense. Aucune nouvelle activit ou aucun risque prcis de non-conformit
ou datteinte la vie prive na t recens. Les mtadonnes demeurent
essentielles au mandat de cyberdfense du CST.
Les capacits de dtection des cybermenaces du CST permettent de copier et
de conserver un sous-ensemble des donnes du rseau client du gouvernement
du Canada y compris les mtadonnes pour dtecter les cybervnements
malveillants trangers anormaux et sophistiqus et assurer leur analyse continue.
De mme, le CST ne retient quune petite proportion des donnes passant par
ses capteurs de cyberdfense. Il extrait ensuite les mtadonnes des donnes
acquises et sen sert notamment pour contextualiser la menace et tout maliciel
ainsi que pour formuler des conseils pour leur attnuation lintention du client
et dautres institutions du gouvernement du Canada.
Les activits de cyberdfense acquirent des donnes se rapportant aux
cybervnements auprs des rseaux du gouvernement du Canada. Il faut
sattendre ce que les activits de cyberdfense du CST puissent comprendre
des mtadonnes concernant des Canadiens puisque les donnes proviennent de
rseaux canadiens situs au Canada elles sont obtenues par le CST sous le
rgime dune autorisation ministrielle ou par les propritaires de systmes et
les institutions du gouvernement du Canada en vertu du Code criminel et de la
Loi sur la gestion des finances publiques et sont par la suite divulgues au CST.
Cependant, des examens antrieurs ont montr que les donnes lies la
cyberdfense utilises et conserves par le CST nimpliquent gnralement
aucun change de renseignement personnel ou dautre renseignement important
entre lauteur de la cybermenace trangre et un fonctionnaire du gouvernement
du Canada ou un autre Canadien. Les activits de cyberdfense du CST permettent
gnralement dobtenir des communications ne renfermant quun code malveillant
ou un lment dingnierie sociale envoy un systme informatique pour
tromper le destinataire ou compromettre le systme.

22 www.ocsec-bccst.gc.ca
Ingnierie sociale
Lingnierie sociale se dfinit gnralement comme un procd trompeur
par lequel des auteurs de cybermenaces conoivent une situation sociale
pour tromper autrui afin davoir accs un rseau autrement ferm, par
exemple en faisant en sorte quun courriel semble provenir dune source
digne de confiance.

Malgr tout, les mesures de protection de la vie prive que le CST applique
une communication prive sappliquent galement aux mtadonnes lies la
cyberdfense qui pourraient identifier un communicateur ou la communication
au Canada par exemple, les champs de et dun courriel ou une adresse
de protocole Internet rattache la communication. Le bureau a vrifi si les
mtadonnes lies la cyberdfense concernant un Canadien sont utilises
ou conserves par le CST seulement si elles sont essentielles pour identifier,
isoler ou prvenir les activits dommageables visant les systmes ou les rseaux
informatiques du gouvernement du Canada, par exemple lorsquelles sont
ncessaires pour comprendre les cyberactivits malveillantes trangres,
les capacits ou les intentions, et pour attnuer la menace.
Selon linformation examine, les sances dinformation et les dmonstrations
techniques reues et les entrevues menes, le commissaire na trouv aucune
donne probante de nonconformit la loi. Le CST na pas vis, au moyen de
ses activits relatives aux mtadonnes lies la cyberdfense, des Canadiens
ou toute personne au Canada.
Les activits du CST relatives aux mtadonnes lies la cyberdfense sont
conformes aux exigences et aux restrictions nonces dans les directives
ministrielles concernant la reddition de comptes et la protection de la vie
prive des Canadiens.
Le commissaire tait convaincu quune srie complte de politiques et de procdures
oprationnelles du CST concernant la conduite des activits de cyberdfense offrait
une orientation suffisante pour ce qui est des activits relatives aux mtadonnes
lies la cyberdfense. Cela comprend les politiques et les procdures sur: lutili-
sation de donnes de propritaires de systmes; la consultation, le traitement et
le partage de donnes; ainsi que la rdaction et la gestion de rapports sur la
cyberdfense. Les entrevues menes auprs des gestionnaires et des employs
chargs de la scurit des technologies de linformation et les observations
formules par eux montrent quils connaissent les politiques et les procdures.
Les activits de cyberdfense du CST font aussi lobjet dune vrification interne
et dune surveillance continue de la conformit.

Rapport annuel 20162017 23


Conclusion
Le commissaire na fait aucune recommandation par suite de cet examen; cepen-
dant, il a encourag le gouvernement du Canada acclrer la mise en uvre
des recommandations quil avait faites en 2015 et que le commissaire la
protection de la vie prive du Canada avait appuyes pour modifier la Loi sur
la dfense nationale et la directive ministrielle sur les mtadonnes afin de
donner un pouvoir exprs et un cadre clair en ce qui concerne la collecte, lutilisation
et la divulgation de mtadonnes lies aux renseignements lectromagntiques
trangers. Ces modifications devraient comprendre un pouvoir exprs et des
mesures de protection de la vie prive pour toutes les activits du CST relatives
aux mtadonnes, notamment les activits de cyberdfense vises la
partieb) du mandat du CST.
Le bureau du commissaire continuera dexaminer les activits du CST relatives
aux mtadonnes lies la scurit des technologies de linformation dans le cadre
des examens rguliers des autorisations ministrielles de cyberdfense, des
communications prives utilises et conserves par le CST, et des divulgations par
le CST dinformation sur lidentit de Canadiens au gouvernement du Canada
et aux partenaires trangers.

24 www.ocsec-bccst.gc.ca
4. tude portant sur la coopration et le partage
dinformation entre les employs du CST
chargs de la scurit des TI et ceux chargs
des renseignements lectromagntiques
trangers afin de contrer les cybermenaces

Contexte
La complexit de linfrastructure mondiale dinformation augmente de manire
exponentielle au fur et mesure que des personnes, des donnes et des infra-
structures sy ajoutent. Mme si lexpansion offre de nombreux avantages, les
systmes des technologies de linformation (TI) sont galement vulnrables pour
de nombreuses raisons: ils ne sont gnralement pas conus dans une optique
de scurit, ils sont interrelis, ils servent stocker une grande quantit de
donnes facilement copies et ayant une valeur, et la scurit repose souvent
sur une authentification de lutilisateur qui peut facilement tre compromise
(p.ex. un mot de passe unique). La distinction entre linformation et la technologie
sous-jacente servant la traiter se brouille; une attaque contre lune est souvent
indissociable dune attaque contre lautre.
Les cybermenaces lies la scurit des TI se caractrisent par une complexit,
une vitesse, une ampleur, une intensit et une portabilit qui augmentent
rapidement. La connectivit sans fil et anonyme au rseau mondial est en train
de devenir la norme. Les cybermenaces peuvent non seulement toucher les
renseignements lectroniques et les infrastructures dinformation importantes
pour le gouvernement du Canada, mais elles peuvent aussi tre utilises par
des acteurs sophistiqus parrains par des gouvernements qui constituent
une menace pour la scurit nationale.
Les menaces dlibres comprennent: laccs ou la divulgation non autoriss,
les maliciels, les attaques par dni de service, le piratage dordinateurs, la
mystification, lhameonnage, laltration et les menaces internes. Il existe en
outre les menaces lies aux accidents et aux dangers naturels.
Dans ce contexte changeant, les employs du CST chargs des renseignements
lectromagntiques trangers et ceux chargs de la scurit des TI ont collabor
de plus en plus troitement lchange de donnes et lanalyse des cybermenaces
et des atteintes touchant les renseignements lectroniques et les infrastructures
dinformation importantes pour le gouvernement du Canada. En 2009, le CST a cr
le Centre dvaluation des cybermenaces (CECM) pour assurer une plus grande
coordination et synchronisation entre les employs du CST chargs de la scurit

Rapport annuel 20162017 25


des TI et ceux chargs des renseignements lectromagntiques trangers. Le
CECM agit galement titre de point daccs du gouvernement du Canada au
CST pour toutes les questions de cyberdfense.
En octobre 2010, la Stratgie de cyberscurit du Canada a t diffuse et le CST
a reu des fonds qui ont permis aux employs du CST chargs de la scurit
des TI et ceux chargs des renseignements lectromagntiques trangers
de partager plus facilement de linformation concernant les cybermenaces.
Les employs chargs des renseignements lectromagntiques trangers et ceux
chargs de la scurit des TI sont guids par leur partie respective du mandat
lgislatif du CST. Les activits des employs du CST chargs des renseignements
lectromagntiques trangers sont rgies par lalina273.64(1)a) de la Loi sur
la dfense nationale [partiea) du mandat du CST]: acqurir et utiliser linformation
provenant de linfrastructure mondiale dinformation dans le but de fournir
des renseignements trangers. Les activits des employs du CST chargs
de la scurit des TI sont rgies par lalina273.64(1)b) de la Loi sur la dfense
nationale [partieb) du mandat du CST]: fournir des avis, des conseils et des
services pour aider protger les renseignements lectroniques et les infra-
structures dinformation importantes pour le gouvernement du Canada. Lune
des fonctions premires des employs chargs de la scurit des TI est de placer
des capteurs sur les passerelles de rseau du gouvernement du Canada pour
la dtection des cybermenaces. Les donnes recueillies peuvent ensuite tre
transmises aux employs chargs des renseignements lectromagntiques
trangers, qui sen servent pour orienter la collecte de renseignements trangers
sur des acteurs hostiles.
En vertu de la Loi sur la dfense nationale, les employs chargs de la scurit
des TI et ceux chargs des renseignements lectromagntiques trangers ne peuvent
pas mener dactivits visant des Canadiens ou toute personne au Canada et doivent
prendre des mesures pour protger la vie prive des Canadiens. Cependant, les
renseignements changs et consults sur les cybermenaces peuvent inclure
des communications prives et de linformation sur lidentit de Canadiens;
cest dailleurs lune des raisons pour lesquelles le bureau du commissaire
a entrepris cette tude. Celle-ci a t mene sous lautorit du commissaire,
tel quil est nonc lalina273.63(2)a) de la Loi sur la dfense nationale.
Les objectifs de ltude taient les suivants: acqurir des connaissances
dtailles et documenter la coopration et le partage dinformation sur les
activits lies aux cybermenaces entre les employs du CST chargs des
renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI; observer la connaissance quont les employs du CST des autorisations
pertinentes; dterminer les activits, le cas chant, qui pourraient soulever
des questions concernant le risque de conformit la loi ou la protection de la
vie prive des Canadiens; et, sil y a lieu, cerner toute question qui pourrait
ncessiter un examen de suivi.

26 www.ocsec-bccst.gc.ca
Observations
Lorsquils analysent les activits lies aux cybermenaces, les employs chargs
des renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI partagent outils et locaux; cest pourquoi les deux quipes ont accs
des donnes obtenues selon les partiesa) et b) du mandat du CST. Cela est
voulu: ainsi, les deuxquipes peuvent effectuer des analyses exhaustives des
cybermenaces. Les restrictions daccs aux donnes vises aux partiesa) et b)
sont fonction des paramtres dtaills dans les politiques et les procdures de
lquipe charge des renseignements lectromagntiques trangers et de celle
charge de la scurit des TI. Les analystes des deux quipes doivent respecter
toutes les politiques et les procdures connexes lorsquils traitent des donnes
de lautre quipe. Les analystes de lquipe charge des renseignements lectro-
magntiques trangers qui prtent main-forte lquipe charge de la scurit
des TI concernant les cybermenaces reoivent lautorisation de mener des
activits de cyberdfense selon la partieb) du mandat du CST.
Chacun de ces employs du CST reoit une formation et doit passer les tests
sur les politiques applicables ses responsabilits et celles de ses pairs selon
le mandat. En raison de la complexit des politiques et des procdures, des
personnes dsignes supervisent et dirigent la mise en uvre oprationnelle
de ces lignes directrices.
Mme si chaque employ reoit une formation pour accomplir les tches attribues
selon, soit la partiea), soit la partieb) du mandat du CST, la mise en application
des politiques, la sparation des donnes lies la scurit des TI et aux
renseignements lectromagntiques trangers, ainsi que lutilisation doutils
analytiques distincts, sont du ressort des superviseurs. En attribuant des tches
selon, soit la partiea), soit la partieb) du mandat du CST, le superviseur est en
mesure de surveiller la conformit.
Daprs le CST, les donnes que les employs chargs de la scurit des TI
partagent avec ceux chargs des renseignements lectromagntiques trangers
ne peuvent tre utilises quaux fins auxquelles elles ont t recueillies, cest--dire
la cyberdfense. En rgle gnrale, les analystes de lquipe charge des ren-
seignements lectromagntiques trangers et ceux de lquipe charge de la
scurit des TI travaillent en autonomie puisque les obligations lgales et les
exigences des politiques en ce qui concerne lutilisation, la conservation et
la divulgation de renseignements diffrent en fonction du mandat applicable.
Ainsi, la divulgation de renseignements personnels entre les employs chargs
des renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI nest possible quaprs que des obligations lgales prcises ont t remplies.
Les deux quipes oprationnelles du CST peuvent communiquer des renseigne-
ments personnels aux termes des alinas8(2)a) et b) de la Loi sur la protection
des renseignements personnels. Selon lalina8(2)a), la communication de

Rapport annuel 20162017 27


renseignements personnels est autorise puisquelle se fait aux fins auxquelles
ceux-ci ont t recueillis ou prpars par linstitution, ou pour les usages qui
sont compatibles avec ces fins (dtection des activits lies aux cybermenaces
trangres, que ce soit aux fins de collecte de renseignements trangers ou de
cyberdfense). Selon lalina8(2)b), la communication est aussi autorise puisquelle
se fait aux fins qui sont conformes avec les lois fdrales [alina273.64(1)a) ou b) de
la Loi sur la dfense nationale].
Le commissaire est davis que les activits de coopration et de partage
dinformation entre les employs chargs des renseignements lectroma
gntiques trangers et ceux chargs de la scurit des TI afin de contrer les
cybermenaces sont conformes aux pouvoirs prvus par la Loi sur la dfense
nationale et la Loi sur la protection des renseignements personnels et que linformation
actuellement partage entre ces employs prsente un risque minimal pour la
vie prive des Canadiens.
Les renseignements sur les cybermenaces recueillis et diffuss au sein du
CST prsentent un risque moindre pour la vie prive que dautres types de
renseignements recueillis selon la partiea) du mandat du CST. Le bureau du
commissaire a plusieurs fois remis en question la pratique du CST, dans le
cadre de ses oprations de cyberdfense en vertu dune autorisation ministrielle,
qui consiste traiter tous les courriels destination ou en provenance du Canada
intercepts de faon non intentionnelle comme des communications prives
selon la dfinition du Code criminel. Tel quil a aussi t mentionn dans le cadre
de lexamen des autorisations ministrielles de cyberdfense de cette anne, le
commissaire est davis quune communication qui ne contient rien de plus quun
code malveillant et/ou un lment dingnierie sociale, envoy par un auteur de
cybermenace se trouvant lextrieur du Canada, dont on peut raisonnablement
penser quelle a pour but de compromettre les systmes ou les rseaux informa-
tiques du gouvernement du Canada, ne constitue pas une communication prive
au sens du Code criminel.
Par ailleurs, en ce qui concerne les activits de cyberdfense, la proccupation
nest pas le contenu de la communication, mais bien linformation qui aide attribuer
la cybermenace son auteur et au vecteur de menace. Il est rare que le contenu
dune communication donne fournisse des renseignements permettant de
dterminer lorigine dun vecteur de menace ou les mesures dattnuation qui
devraient tre prises. Cependant, ces renseignements sur la cybermenace
pourraient renfermer de linformation sur lidentit de Canadiens qui est essentielle
au mandat de cyberdfense du CST.
Pour les cas o de linformation sur lidentit de Canadiens serait obtenue dans
le cadre de ces activits, le CST a adopt des mesures afin de protger la vie
prive des Canadiens sous forme de politiques et de procdures et dlments
intgrs aux technologies. Ltude a rvl que lquipe charge des renseignements

28 www.ocsec-bccst.gc.ca
lectromagntiques trangers et celle charge de la scurit des TI disposent
de politiques et de procdures exhaustives relativement ces activits, et quune
surveillance de la conformit est assure.
Pendant la tenue de cette tude, le bureau a demand au CST de lui fournir un
avis juridique pertinent. Contrairement la pratique tablie depuis longtemps,
le CST na pas fourni davis et a plutt prsent un rsum. Par le pass, le CST
a toujours donn accs ses avis juridiques au bureau du commissaire, tant
entendu quil ntait pas renonc au privilge du secret professionnel de lavocat.
Cependant, le commissaire est reconnaissant du fait que le CST a depuis prsent
au bureau des avis juridiques pertinents pour dautres examens en cours. Lorsquon
procde des examens dactivits pour en contrler la lgalit, il est essentiel
de savoir comment la loi est interprte, et si, et comment, elle est applique
par lorganisme.

Conclusion
Ltude a donn au bureau du commissaire loccasion de se renseigner sur
les subtilits de lchange dinformation entre les employs chargs des
renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI, et de dterminer si des secteurs ou des activits doivent faire lobjet
dun examen de suivi.
Le commissaire navait pas dautres questions concernant la conformit la loi
ou la protection de la vie prive des Canadiens. Ltude na pas mis au jour de
nouvelles questions ncessitant un examen de suivi. Toutefois, lutilisation par
le CST dune base de donnes et dun outil utiliss pour la dtection de cyber-
menaces fait lobjet dun examen approfondi dans le cadre dun examen continu.
Le bureau continuera dexaminer les activits de coopration et de partage
dinformation entre les employs chargs des renseignements lectromagntiques
trangers et ceux chargs de la scurit des TI afin de contrer les cybermenaces
dans le cadre des examens des activits de collecte de renseignements
lectromagntiques trangers et de cyberdfense menes sous le rgime
dune autorisation ministrielle, ainsi que des divulgations dinformation sur
lidentit de Canadiens.

Rapport annuel 20162017 29


5. Examen annuel des Dossiers relatifs aux
incidents lis la vie prive et du Dossier
des erreurs de procdure mineures

Contexte
Le CST signale et documente tout incident associ ses activits oprationnelles
ou celles de ses allis o il pourrait y avoir eu atteinte la vie prive dun Canadien,
contrairement aux politiques ou aux procdures oprationnelles du CST en matire
de protection de la vie prive des Canadiens.
Ces incidents, ainsi que les mesures correctives prises, sont consigns dans
un de troisdossiers en fonction de lendroit o lincident est survenu et de son
potentiel de causer un dommage. Il sagit du Dossier relatif aux incidents lis
la vie prive (DIVP), du Dossier relatif aux incidents lis aux allis (DIA), rcemment
cr, et du Dossier des erreurs de procdure mineures (DEPM) tenus par le CST.
Le DIVP est un dossier des incidents attribuables au CST concernant de linformation
sur un Canadien ou toute personne au Canada qui a t traite de manire contraire
la politique de protection de la vie prive du CST et qui a t expose des parties
externes ne devant pas les avoir reues. Ce type de manipulation inadquate
est dsign incident li la vie prive. Le DIA est un dossier des incidents
lis la vie prive qui sont attribuables des allis. Ces incidents peuvent tre
signals par les partenaires mmes ou par le CST. Enfin, le DEPM est un dossier
des cas o le CST a trait de manire inapproprie de linformation sur un
Canadien, mais o linformation a t contenue au sein du CST et na pas t
expose des parties externes.
Lexamen annuel par le bureau du DIVP, du DIA et du DEPM met laccent sur
les incidents qui nont pas t examins en dtail dans le cadre dautres examens.
Lexamen offre une occasion de dterminer les tendances ou les faiblesses
systmiques qui pourraient indiquer que des mesures correctives, des change-
ments aux procdures ou aux politiques du CST ou un examen approfondi dune
activit ou dun incident prcis simposent. Par exemple, le bureau pourrait exercer
une fonction dexamen critique afin de dterminer si lun des incidents survenus
dans le cadre des oprations constituait une atteinte substantielle la vie prive,
ce que la politique pangouvernementale dfinit comme une atteinte visant des
renseignements personnels sensibles dont on peut raisonnablement penser
quelle risque de causer un prjudice ou un dommage srieux la personne,
ou touche un nombre lev de personnes.

30 www.ocsec-bccst.gc.ca
En plus dexaminer les erreurs de procdure, les incidents et les mesures
subsquentes prises par le CST pour corriger la situation ou attnuer les
rpercussions, lexamen avait les objectifs suivants: se pencher sur toute
atteinte substantielle la vie prive dans le cadre des oprations, ainsi que
les mesures correctives connexes du CST; dterminer si tout incident soulve
des questions de conformit la loi ou de protection de la vie prive des
Canadiens; et valuer le cadre de validation de la conformit la politique
du CST et les activits de surveillance dans ce contexte.
Bien que ces examens couvrent normalement une anne civile entire, cet
examen a port sur six mois: du 1erjanvier2016 au 30juin2016. Les examens
futurs de ces dossiers couvriront une priode de 12mois, soit du 1erjuillet au
30juin, plutt que lanne civile. On a modifi la priode pour tenir compte de
la charge de travail du bureau relative la production de rapports la fin de
lexercice.
Le bureau a examin 55incidents lis la vie prive consigns dans le DIVP
et le DIA, ainsi que les mesures correctives prises par le CST pour y remdier.
Le bureau a galement examin les 6erreurs de procdure mineures documentes
par le CST au cours de la priode vise.

Constatations
Les incidents lis la vie prive incluaient, par exemple, le partage dinformation
sur lidentit de Canadiens ou son intgration par inadvertance un rapport
sans la supprimer, comme lexige la politique du CST, ainsi que le ciblage non
intentionnel ou les recherches dans les bases de donnes visant des rensei-
gnements sur des personnes jusqualors non connues pour tre des Canadiens
ou des personnes au Canada. Dans tous les cas, les rapports ont t annuls
ou corrigs et linformation sur lidentit a t dment supprime, ou le CST
a radi toute communication intercepte ou tout rapport connexe.

Information sur lidentit de Canadiens


Linformation sur lidentit de Canadiens est celle pouvant tre utilise pour
identifier un Canadien ou une organisation ou une socit canadienne dans
le contexte de renseignements personnels ou commerciaux. Linformation
sur lidentit de Canadiens comprend, sans sy limiter, les noms, les numros
de tlphone, les adresses de courriel, les adresses de protocole Internet
et les numros de passeport. Lorsque le CST intgre de linformation sur
lidentit de Canadiens un rapport, il doit la supprimer et la remplacer
par une mention gnrique, telle que Canadien nomm, afin de protger
lidentit de ce Canadien.

Rapport annuel 20162017 31


Lexamen a mis au jour deux cas o des rapports renfermant de linformation
non supprime sur lidentit de Canadiens ont t annuls, mais nont pas t
radis des bases de donnes du CST. Le CST a donc manuellement retir ces
rapports du systme. Deux incidents concernaient le partage au sein du CST
de rapports dun alli renfermant de linformation sur un Canadien ou une
personne au Canada qui ont t transmis au Service canadien du renseignement
de scurit par le CST et qui auraient d faire lobjet dune diffusion interne
restreinte. (Lexamen men par le bureau au sujet du soutien apport par le
CST au Service canadien du renseignement de scurit concernant ce type de
rapports a t soulign dans le rapport annuel du dernier exercice.) la suite
de ces deux incidents, le CST a notamment donn une formation de rattrapage
aux employs en cause, ainsi qu ceux susceptibles de traiter ces types de rapports.
Pour ce qui est des erreurs de procdure mineures, le commissaire a convenu
avec le CST quil sagissait derreurs mineures ne constituant pas des incidents
lis la vie prive. Ces erreurs de procdure incluaient, par exemple: un
dossier renfermant des donnes non visionnes et peut-tre des communications
prives qui ont t conserves au-del du dlai prescrit; de linformation sur
lidentit de Canadiens qui a accidentellement t mise la disposition de
destinataires non concerns au sein du CST; et des non-Canadiens qui ont
brivement eu accs , mais nont pas consult, des donnes limites sur la
cyberdfense. Ces incidents sont considrs avoir un effet moindre sur la vie
prive puisquils restent linterne et quils sont rgls avant que quelquun
lextrieur du CST ne consulte linformation.
Aprs examen des trois dossiers, des rponses obtenues du CST, ainsi que
des dossiers connexes du CST, le commissaire a conclu que, dans tous les cas,
le CST a pris les mesures correctives appropries, y compris, le cas chant,
des mesures pour prvenir des occurrences similaires lavenir.
Selon la politique pangouvernementale, il incombe au ministre ou lorganisme
de signaler les atteintes substantielles la vie prive. Le CST na pas signal
datteinte substantielle la vie prive dans le cadre de ses oprations pour la
priode vise. Le commissaire a convenu que les incidents numrs dans le
DIVP et le DIA pour la priode vise ne constituaient pas des atteintes substantielles
la vie prive.
Cet examen a tir parti des renseignements supplmentaires que le CST a fournis
pour dcrire et documenter en profondeur chaque incident afin de donner suite
la recommandation du commissaire dcoulant de lexamen de ces dossiers
du dernier exercice. Les inscriptions aux dossiers taient beaucoup plus dtailles
et incluaient une description et un chancier des incidents, les raisons de
loccurrence, les mesures correctives, ainsi que toute activit de suivi prvue.
La sparation des incidents concernant le CST et de ceux concernant les allis a
permis une plus grande clart. Une autre nouveaut qui a renforc les mesures

32 www.ocsec-bccst.gc.ca
de protection de la vie prive des Canadiens a t le nouvel instrument de politique,
lequel nonce les procdures suivre par les employs du CST pour traiter
les incidents lis la vie prive et les erreurs de procdure.

Conclusion
Cet examen na pas mis au jour des atteintes substantielles la vie prive,
des lacunes systmiques ou des questions ncessitant un examen de suivi qui
ntait pas dj prvu. Le CST a affirm ne pas avoir eu connaissance dune
quelconque incidence ngative sur les Canadiens concerns par un des incidents
lis la vie prive.
Le commissaire tait convaincu que le CST a ragi comme il se doit aux incidents
lis la vie prive et aux erreurs de procdure mineures relevs durant la
priode vise.
Lenregistrement et le signalement des incidents lis la vie prive et des erreurs
de procdure mineures demeurent un moyen efficace pour le CST de promouvoir
le respect des obligations lgales, des exigences ministrielles et des politiques
et procdures oprationnelles, et damliorer la protection de la vie prive
des Canadiens. Les amliorations apportes aux rapports et aux structures de
dossiers connexes devraient permettre de renforcer les mesures de protection
de la vie prive.
Le commissaire na formul aucune recommandation. Toutefois, il a encourag
le CST chercher un moyen pratique de sassurer que les rapports annuls
renfermant de linformation sur lidentit de Canadiens sont rapidement retirs
de ses bases de donnes, et quil y a confirmation de lannulation. De plus, il
sagit du deuxime examen conscutif du DIVP qui a mis au jour une diffusion
inapproprie dinformation sur lidentit de Canadiens en ce qui concerne des
rapports dallis contenant de linformation sur un Canadien ou une personne
au Canada. Le commissaire sest engag intgrer ces incidents au prochain
examen de suivi du soutien apport par le CST au Service canadien du rensei-
gnement de scurit en vertu de la partiec) de son mandat concernant un certain
type de rapport mettant en cause des Canadiens.

Rapport annuel 20162017 33


6. Examen annuel des activits de cyberdfense
du CST menes sous le rgime dune autorisation
ministrielle

Contexte
La Loi sur la dfense nationale confre au CST le mandat de mener des activits
de scurit des technologies de linformation, notamment fournir des avis, des
conseils et des services pour aider protger les renseignements lectroniques
et les infrastructures dinformation importantes pour le gouvernement du Canada.
Ces activits, connues comme la partieb) du mandat du CST, ne doivent pas
viser des Canadiens, o quils se trouvent, ou toute personne au Canada et
elles doivent faire lobjet de mesures pour protger la vie prive des Canadiens
en ce qui a trait lutilisation et la conservation des renseignements intercepts
[alinas273.64(2)a) et b) de la Loi sur la dfense nationale].
Aux termes du paragraphe273.65(3) de la Loi sur la dfense nationale, le ministre
peut dans le seul but de protger les systmes ou les rseaux informatiques
du gouvernement du Canada contre les cybermenaces autoriser par crit le
CST intercepter des communications prives qui sont lies une activit ou
une catgorie dactivits quil mentionne expressment. Pour dtecter et contrer
les cybermenaces sophistiques, le CST peut, la rception dune demande crite
dune institution du gouvernement du Canada en vue de la conduite dactivits
de scurit des technologies de linformation, prendre des mesures pour recueillir
et analyser des donnes du systme ou du rseau de ce client. Ces activits
sont connues comme tant des activits de cyberdfense. tant donn que
ces activits pourraient entraner linterception de communications prives,
le CST doit mener ces activits sous le rgime dune autorisation ministrielle.
Une autorisation ministrielle est valide pendant unan.
Lobjectif premier de cet examen tait dvaluer la conformit la loi des activits
de cyberdfense du CST, ainsi que la mesure dans laquelle le CST protge la vie
prive des Canadiens en menant ces activits. On a prt une attention particulire
linterception et lutilisation par le CST de communications prives et
dinformation sur des Canadiens.
Lexamen, qui a port sur lautorisation ministrielle de cyberdfense en vigueur
du 1erjuillet 2015 au 30juin 2016, a permis de donner suite aux constations et
aux recommandations du rapport de lan dernier.

34 www.ocsec-bccst.gc.ca
Constatations
Le commissaire a conclu que lautorisation ministrielle de cyberdfense de
20152016 respectait les conditions dautorisation nonces dans la Loi sur
la dfense nationale.
Le commissaire na trouv aucune donne probante selon laquelle le CST aurait
men toute activit vise par lautorisation ministrielle de cyberdfense qui
serait contraire la loi. Dans lensemble, le CST na apport aucun changement
important la faon dont les activits de cyberdfense sont menes, ou des
changements qui auraient prsent un risque pour la conformit la loi ou
la protection de la vie prive.
Les changements apports lautorisation ministrielle en soi relative la
cyberdfense de 20152016 ntaient pas importants; ils taient toutefois positifs.
Les claircissements apports par les changements aux mmoires de demande
connexes adresss au ministre taient galement positifs.
Depuis lexamen ralis lan dernier, le CST a apport un changement de taille
sa politique sur la cyberdfense qui a largi le nombre de situations o certaines
informations sur lidentit de Canadiens associes une infrastructure cible
ou laquelle il a t port atteinte peuvent tre divulgues, sans suppression,
des institutions du gouvernement du Canada, des entits du secteur priv et
des allis choisis lorsque cette information est ncessaire aux fins danalyse
et dattnuation des vulnrabilits cyberntiques. Le commissaire a accept le
changement en raison des attentes relatives la vie prive plus faibles rattaches
ce type dinformation sur lidentit de Canadiens. Daprs le CST, le changement
laidera jouer son rle dattnuation des cybermenaces dans le cadre de la
Stratgie de cyberscurit du Canada, par exemple, en facilitant la communication
en temps opportun des renseignements sur les cybermenaces aux propritaires
des donnes et aux partenaires. Toutefois, le CST devrait travailler avec ses allis
mettre au point une entente sur le partage de renseignements aux fins de la
cyberscurit, qui ntait quune bauche au moment de rdiger le rapport.
Le bureau du commissionnaire continue de suivre la mise en uvre dun service
introduit en 20142015 qui est utilis pour dtecter et attnuer la cyberactivit
malveillante ou anormale visant les appareils de communication lectronique.
Le bureau surveillera galement lutilisation par le CST dun outil qui avait t
dploy dans le cadre dun projet pilote pendant la priode vise par lexamen.
Ces nouveaux services semblent gnralement bien convenir aux activits lies
la cyberdfense actuelles du CST, et ce dernier applique aux nouveaux services
les politiques et procdures oprationnelles en place, le cadre de validation de
la conformit ainsi que des mesures de protection de la vie prive.

Rapport annuel 20162017 35


Au cours de la priode vise par lexamen, le CST a modernis la base de donnes
qui contient les donnes pour la cyberdfense utilises et conserves ainsi que
le systme de consignation des communications prives connexes. Les donnes
que contient cette nouvelle base de donnes sont utilises, pour la plupart, pour
lanalyse des cybermenaces et la rdaction de rapports. La base de donnes offre
des capacits accrues de tenue de dossiers, et des renseignements plus dtaills
doivent y tre consigns sur les motifs de la conservation dune communication
prive, ce qui permet au CST de mieux dmontrer la conformit. La base de
donnes se sert galement des attributs des donnes interceptes pour automatiser
lidentification dventuelles communications prives. Ceci devrait rduire le nombre
derreurs humaines et normaliser le dnombrement des communications prives
de cyberdfense. Cette automatisation donne galement suite la recommandation
formule par le commissaire lan dernier de renforcer lexactitude et la cohrence
dans les rapports au ministre. Le bureau du commissaire continuera de surveiller
le suivi fait par le CST des communications prives de cyberdfense et les rapports
cet gard.
Les donnes interceptes, y compris les communications prives, peuvent tre
conserves ou utilises par le CST seulement si linterception tait ncessaire
pour identifier, isoler ou prvenir les activits dommageables visant les systmes
ou les rseaux informatiques du gouvernement du Canada. Un incident cyber-
ntique peut comporter un ou plusieurs cybervnements et une ou plusieurs
communications prives. Le bureau du commissaire a slectionn et examin
un chantillon de donnes de cyberdfense que le CST a interceptes en 20152016,
y compris la majorit (environ 75pourcent) des incidents cyberntiques que le
CST a dsigns comme renfermant des communications prives. Le bureau a
examin: les rapports internes et externes; les cybervnements qui ont t
lorigine des incidents, y compris le maliciel, les courriels, et les notes des analystes;
ainsi que les dtails contenus dans les outils et les bases de donnes, comme
le nombre de communications prives, la justification de la conservation dune
communication prive particulire, et linformation sur lauteur de la menace
et sur le vecteur de la menace.

Vecteur de la menace
On entend par vecteur de la menace la voie ou loutil quutilise lauteur
de la menace pour attaquer une cible. titre dexemple, lauteur dune
menace pourrait utiliser les vecteurs suivants pour attaquer une cible: un faux
site Internet, des liens ou des pices jointes dans un courriel ou des
appareils mobiles.

36 www.ocsec-bccst.gc.ca
Le commissaire a pu tablir que les communications prives identifies par
le CST pendant la priode vise par lexamen avaient t interceptes de manire
non intentionnelle le CST navait pas vis les Canadiens ou toute autre personne
au Canada dans le cadre de ses activits de cyberdfense. Les communications
prives interceptes se rapportaient uniquement la signature du maliciel et
au comportement anormal du systme. Les communications prives utilises
et conserves par le CST qui ont fait lobjet de lexamen taient essentielles
la ralisation de la partie b) du mandat du CST, et les rapports se fondant sur
les communications prives renfermaient des renseignements essentiels pour
pouvoir identifier, isoler ou prvenir les activits dommageables visant les systmes
ou les rseaux informatiques du gouvernement du Canada. Le CST a trait
les communications prives interceptes conformment ses politiques et
ses procdures. Le commissaire na constat aucun cas o le CST aurait
conserv une communication prive au-del des priodes de conservation et
de destruction prescrites par ses politiques.
En 2015-2016, il y a eu une augmentation importante du nombre de communications
prives interceptes. Il est encourageant de voir que dans le rapport de fin dexercice
prsent au ministre sur les autorisations ministrielles de 20152016, le CST
a continu de prsenter la rpartition du nombre de communications prives
identifies lors de la prestation de nouveaux services de cyberdfense plusieurs
institutions du gouvernement du Canada. Au nombre des raisons expliquant
laugmentation par rapport lanne dernire figurent la couverture largie
du rseau et laccs plus de donnes, les capacits de dtection amliores
et lautomatisation de lanalyse.
Comme ctait le cas au cours des annes passes, la majorit des communications
prives que le CST a dnombres comme tant conserves ou utilises en
20152016 consistaient en des courriels non sollicits envoys par lauteur dune
cybermenace un employ du gouvernement du Canada et ne renfermant rien
de plus quun code malveillant ou un lment dingnierie sociale cest--dire
quil ny avait pas dchange dinformation personnelle ou dautre information
significative entre lauteur de la cybermenace et lemploy. Le CST fait preuve
de prudence et dnombre toutes ces communications comme tant des
communications prives. En consquence de la mthode de dnombrement
du CST, il semble que les activits de cyberdfense donnent lieu linterception
non intentionnelle dun nombre beaucoup plus grand de communications prives
que les activits du CST lies la collecte de renseignements lectromagntiques
trangers. En 2015, le commissaire avait recommand que les rapports du CST
prsents au ministre mettent en lumire les diffrences importantes entre les
courriels destination ou en provenance du Canada intercepts dans le cadre
des activits de cyberdfense et les communications prives interceptes dans
le cadre des activits de collecte de renseignements lectromagntiques trangers,
y compris les attentes moins leves lgard de la protection de la vie prive
rattaches aux communications prives interceptes dans le cadre des activits

Rapport annuel 20162017 37


de cyberdfense. Au moment o a t ralis lexamen, le CST a fait observer
quil se penchait sur la question de savoir si cette interprtation juridique des
communications prives sapplique aux activits de cyberdfense. Il nen demeure
pas moins quaux yeux du commissaire, une communication ne renfermant rien
de plus quun code malveillant ou un lment dingnierie sociale envoy un
systme informatique de faon lui porter atteinte nest pas une communication
prive au sens du Code criminel.
Il est encourageant que le CST prenne aussi des mesures pour donner suite
aux autres constatations et pour mettre en uvre les recommandations formules
au terme du dernier examen des activits de cyberdfense, y compris:
la diffusion de nouvelles lignes directrices et de communications rgulires
lintention de la direction et des employs oprationnels sur les changements
touchant la politique;
le renforcement de lexactitude et de la cohrence dans les rapports au ministre;
la mise en place dun nouveau cours obligatoire sur la politique pour aider
les analystes mieux comprendre ses exigences;
lamlioration de la tenue des dossiers grce au dploiement prvu
dune nouvelle base de donnes pour la cyberdfense; et
ladoption dun marquage des communications prives plus dtaill et
plus prcis notamment des explications plus compltes sur les raisons de
la conservation dune communication prive ce qui a fourni au commissaire
des preuves plus solides de la conformit et a facilit la conduite de lexamen.

Conclusion
Le CST na pas apport de changements importants la faon dont il mne ses
activits de cyberdfense ni aucun changement qui aurait prsent un risque pour
la conformit la loi ou la protection de la vie prive. Le commissaire a pu tablir
que les communications prives identifies par le CST pendant la priode vise par
lexamen avaient t interceptes de faon non intentionnelle, cest--dire que
les activits de cyberdfense du CST ne visaient ni des Canadiens ni des personnes
se trouvant au Canada.
Les communications prives conserves ou utilises ayant fait lobjet de lexamen
taient essentielles pour permettre au CST de sacquitter de la partie b) de son
mandat, et les rapports fonds sur les communications prives renfermaient de
linformation essentielle pour identifier, isoler ou prvenir les activits dommagea
bles visant les systmes ou les rseaux informatiques du gouvernement du Canada.
Le bureau du commissaire surveillera les mesures que prendra le CST pour
rgler les problmes mis en vidence dans lexamen et il continuera de mener
des examens annuels des activits de cyberdfense exerces sous le rgime
dune autorisation ministrielle.

38 www.ocsec-bccst.gc.ca
7. Examen combin annuel des autorisations
ministrielles du CST relatives la collecte
de renseignements lectroniques trangers
et des vrifications ponctuelles des
communications canadiennes
(20152016 et 20162017)

Contexte
Le prsent rsum combine les constatations dcoulant de lexamen annuel des
autorisations ministrielles du CST relatives la collecte de renseignements
lectroniques trangers et deux vrifications ponctuelles de communications
canadiennes. Lexamen des autorisations ministrielles relatives la collecte
des renseignements lectromagntiques trangers a t ralis en vertu de
la Loi sur la dfense nationale, qui exige que le commissaire procde lexamen
des activits du CST exerces sous le rgime dautorisations ministrielles
pour en contrler la conformit et quil adresse au ministre un rapport annuel
sur lexamen. Le bureau a galement examin le statut, la fin de la priode
de validit des autorisations ministrielles, des communications prives
conserves ou utilises par le CST qui avaient t interceptes sous le rgime
de ces autorisations ministrielles. Les vrifications ponctuelles portaient sur
des communications canadiennes conserves, utilises ou dtruites par le
CST pendant les priodes prcises.

Canadien
On entend par Canadien un citoyen canadien, un rsident permanent
au sens du paragraphe 2(1) de la Loi sur limmigration et la protection des
rfugis ou une personne morale constitue ou proroge sous le rgime
dune loi fdrale ou provinciale.

Rapport annuel 20162017 39


Communication prive et communication canadienne
La communication prive est ainsi dfinie larticle183 du Code criminel:
communication orale ou tlcommunication dont lauteur se trouve au
Canada, ou destine par celui-ci une personne qui sy trouve, et qui est
faite dans des circonstances telles que son auteur peut raisonnablement
sattendre ce quelle ne soit pas intercepte par un tiers. La prsente
dfinition vise galement la communication radiotlphonique traite
lectroniquement ou autrement en vue dempcher sa rception en clair
par une personne autre que celle laquelle son auteur la destine.
Une communication canadienne dsigne une communication entre
deuxinterlocuteurs dont lun se trouve physiquement au Canada (cest--dire
une communication prive) ou est un Canadien qui se trouve physiquement
lextrieur du Canada. Une telle communication peut tre acquise soit
par le CST, soit par les partenaires de la Collectivit des cinq et transmise
au CST.

Le CST mne des activits de collecte de renseignements lectromagntiques


trangers en vertu de lalina 273.64(1)a) de la Loi sur la dfense nationale
partiea) du mandat du CST soit acqurir et utiliser linformation provenant de
linfrastructure mondiale dinformation dans le but de fournir des renseignements
trangers, en conformit avec les priorits du gouvernement du Canada en matire
de renseignement. Ces activits ne peuvent viser des Canadiens ou toute personne
au Canada, et elles doivent tre soumises des mesures de protection de la vie
prive des Canadiens lors de lutilisation et de la conservation des renseigne-
ments intercepts [alinas 273.64(2)a) et b) de la Loi sur la dfense nationale].
En vertu du paragraphe273.65(1) de la Loi sur la dfense nationale, le ministre
peut, dans le seul but dobtenir des renseignements trangers, autoriser par
crit le CST intercepter des communications prives lies une activit ou
une catgorie dactivits quil mentionne expressment. Comme les activits
de collecte de renseignements lectromagntiques trangers comportent un
risque dinterception nonintentionnelle de communications prives, le CST doit
exercer ces activits sous le rgime dune autorisation ministrielle. Une
communication prive intercepte peut tre conserve ou utilise par le CST
uniquement si elle est juge essentielle aux affaires internationales, la dfense
ou la scurit. Tous les renseignements recueillis qui sont utiliss dans un
rapport sur les renseignements trangers sont conservs pendant une priode
indtermine par le CST.

40 www.ocsec-bccst.gc.ca
Autorisations ministrielles
Les autorisations ministrielles permettent au CST de passer outre
linterdiction dintercepter des communications prives nonce la
partieVI du Code criminel. Il sagit dun document crit en vertu duquel
le ministre de la Dfense nationale autorise le CST entreprendre une
activit ou une catgorie dactivits comportant un risque dinterception
nonintentionnelle de communications prives. Les autorisations ne
peuvent demeurer en vigueur pendant une priode de plus dun an. Pour
en apprendre davantage sur les autorisations et les limites imposes aux
activits du CST, veuillez consulter le site Web du bureau.

Interception fortuite ou non intentionnelle?


Pour dcrire linterception dune communication prive sous le rgime
dune autorisation ministrielle, le CST emploie le mot fortuit (incidental)
tandis que le bureau du commissaire emploie le terme non intentionnel.
Pourquoi et quelle est la diffrence entre les deux qualificatifs?
Il y a interception fortuite dune communication prive lorsque le CST
intercepte une communication entre une entit trangre situe lextrieur
du Canada et une personne au Canada.
Le terme non intentionnel constitue une description lgale de linter
ception fortuite dune communication prive par le CST dans un contexte
technique ou oprationnel. Ainsi, du point de vue lgal, on peut dire de
linterception quelle tait non intentionnelle puisquelle ne visait pas
un Canadien ou une personne au Canada. Il sagit plutt dun sous-produit
ou dun lment accessoire dcoulant du ciblage dune entit trangre
situe lextrieur du Canada.

Au cours de lexercice20162017, le CST a men des activits de collecte de


renseignements lectromagntiques trangers sous le rgime dautorisations
ministrielles, dont trois taient en vigueur du 1erjuillet2015 au 30juin2016
et les trois autres du 1erjuillet 2016au 30juin2017. Le bureau sest pench
sur cesautorisations ministrielles.
Les objectifs de lexamen taient les suivants: veiller ce que les activits aient
t autorises par le ministre, cest--dire que les conditions dautorisation
nonces au paragraphe273.65(2) de la Loi sur la dfense nationale ont t
remplies; relever tout changement important survenu dans lanne ou les
annes vises par lexamen comparativement aux annes antrieures aux
documents dautorisation ministrielle eux-mmes ainsi quaux activits du

Rapport annuel 20162017 41


CST ou une catgorie dactivits dcrites dans les autorisations ministrielles;
et valuer les rpercussions des changements, le cas chant, sur le risque
de nonconformit la loi ou le risque pour la vie prive.
Le bureau a examin le statut, la fin de la priode de validit des autorisations
ministrielles de 20152016, des communications prives identifies que le
CST avait acquises, conserves ou utilises en exerant ses activits de collecte
de renseignements lectromagntiques trangers. Le bureau a vrifi la
conformit du CST la loi et toutes les autorisations, instructions ministrielles
et politiques applicables, et a valu la mesure dans laquelle le CST avait
protg la vie prive des Canadiens. En outre, le bureau du commissaire a
fait deuxvrifications ponctuelles, sans avoir donn de pravis au CST, de
communications canadiennes (y compris des communications prives)
utilises ou conserves par le CST au cours des priodes allant du
1ermars2016 au 31mai2016 et du 1erdcembre2016 au 15janvier2017.
Le bureau a examin tous les rapports sur les renseignements trangers tablis
par le CST qui se fondaient en totalit ou en partie sur des communications
canadiennes. Le bureau a galement reu des comptes rendus sur lensemble
des communications canadiennes conserves, il a vu de ses propres yeux
un chantillon de ces communications et il a interview les analystes du
renseignement tranger et les superviseurs concerns qui mettaient en uvre
les priorits du gouvernement en matire de renseignement au sujet des
motifs sur lesquels ils sappuyaient pour conserver les communications.

Constatations et recommandations
Le commissaire a constat que les autorisations ministrielles de 20152016
et de 20162017 relatives la collecte de renseignements lectromagntiques
trangers remplissaient les conditions dautorisation dfinies dans la Loi sur
la dfense nationale, savoir:
linterception vise des entits trangres situes lextrieur du Canada;
les renseignements obtenir ne peuvent raisonnablement tre obtenus
dune autre manire;
la valeur des renseignements trangers que lon espre obtenir grce
linterception justifie linterception envisage; et
il existe des mesures satisfaisantes pour protger la vie prive des Canadiens
et pour faire en sorte que les communications prives ne seront utilises
ou conserves que si elles sont essentielles aux affaires internationales,
la dfense ou la scurit.

42 www.ocsec-bccst.gc.ca
Le commissaire na pas observ de changements importants dans les autori-
sations ministrielles de 20152016 et de 20162017 ni dans les mmoires de
demande connexes adresss au ministre.

Protection de la vie prive des Canadiens


Le CST se voit interdire, dans le cadre de ses activits de collecte de rensei-
gnements lectromagntiques trangers et de cyberdfense, de cibler des
Canadiens o quils se trouvent dans le monde ou toute personne au
Canada. Le fait que le travail du CST vise des cibles trangres signifie que,
la diffrence des autres organismes de renseignement et de scurit du
Canada, le CST a des interactions limites avec les Canadiens. Lorsque
le CST acquiert fortuitement de linformation se rapportant un Canadien,
il est tenu par la loi de prendre des mesures pour protger la vie prive
de ce Canadien. Dans le cadre de son examen des activits du CST, le
commissaire vrifie entre autres si le CST ne cible pas des Canadiens
et sil applique efficacement des mesures satisfaisantes pour protger
la vie prive des Canadiens dans toutes les activits oprationnelles
quil entreprend.

Une fois de plus cette anne, en 20152016, il y a eu une hausse considrable


du nombre de communications prives utilises ou conserves (soit 3348commu-
nications prives, ce qui reprsente une hausse de prs de 3000 communications
par rapport 2014-2015) la fin de la priode de validit de lautorisation
ministrielle de 2015-2016. La hausse du nombre de communications prives
utilises ou conserves demeure une consquence des caractristiques
techniques de technologies de communication particulires et de la manire
dont le CST dnombre les communications prives.
De ces 3348 communications prives, le CST a utilis 533 communications
prives dans 20rapports sur les renseignements trangers, et a par la suite
dtruit les communications prives restantes. Pendant les deux vrifications
ponctuelles, le bureau a galement examin 40 pour cent des communications
canadiennes qui avaient t non intentionnellement acquises par le CST lors
des priodes vises par les vrifications, et identifies comme telles par la suite.
Ceci incluait tant des communications marques pour conservation que des
communications marques pour destruction par le CST comme tant non
essentielles aux affaires internationales, la dfense ou la scurit. Le
bureau a confirm que les communications canadiennes non essentielles
ont t dtruites.

Rapport annuel 20162017 43


Le commissaire a donc pu tablir que la manire actuelle dont le CST dnombre
les communications prives donne une vision dforme du nombre de Canadiens
ou de personnes se trouvant au Canada qui sont interlocuteurs dans une
communication intercepte par le CST pour obtenir des renseignements trangers
sous le rgime dautorisations ministrielles. Le commissaire a par consquent
recommand que les rapports du CST adresss au ministre sur les commu
nications prives renferment de linformation supplmentaire pour dcrire
plus prcisment les communications prives et pour expliquer lampleur de
latteinte la vie prive.
la lumire de linformation examine et des entretiens mens, le commissaire
a conclu que le CST avait agi en conformit avec la loi et quil avait protg la
vie prive des Canadiens. En particulier:
les activits relatives la collecte de renseignements lectromagntiques
trangers du CST ne visaient pas des Canadiens ou des personnes se trouvant
au Canada;
les communications canadiennes identifies par le CST avaient t
interceptes de faon non intentionnelle;
les communications canadiennes utilises et conserves par le CST
taient essentielles aux affaires internationales, la dfense ou la scurit,
comme lexige la Loi sur la dfense nationale;
le CST avait dtruit les communications canadiennes non essentielles;et
le CST avait exerc ses activits relatives la collecte des renseignements
lectromagntiques trangers conformment aux directives et aux autorisa-
tions ministrielles et avait trait les communications canadiennes
conformment ses politiques et ses procdures le CST navait pas
conserv de communications prives au-del des priodes de conservation
et de destruction prescrites par ses politiques.

Communications entre un conseiller juridique


et son client
Au cours de la priode de validit de lautorisation ministrielle de20152016,
le CST a signal au ministre quil avait utilis, pour la premire fois, une commu-
nication prive considre comme tant une communication entre un client et
son conseiller juridique.
Le privilge du secret professionnel de lavocat renvoie au droit quasi constitu-
tionnel de communiquer de faon confidentielle avec son conseiller juridique,
un droit qui est particulirement protg par les tribunaux. Le CST sest dot
dune politique et de mesures pour dterminer si ce type de communication
peut tre utilis dans un rapport. Au moment o la communication a t obtenue,

44 www.ocsec-bccst.gc.ca
la politique du CST exigeait quun avis juridique soit demand au ministre de
la Justice pour dterminer si la conservation ou lutilisation dune communication
entre un conseiller juridique et son client tait conforme aux lois canadiennes.
Lexigence relative la consultation du ministre de la Justice dans ces
circonstances ne fait dsormais plus partie de la politique du CST.
Lexamen de cette communication particulire a t toutefois entrav par
labsence de documentation sur lavis juridique obtenu ou de possibilit
dinterroger lavocat au dossier. Par consquent, le bureau a d se fier aux
dclarations des fonctionnaires du CST. Aprs examen, le bureau a convenu
que la communication ne constituait pas en fait une communication entre un
conseiller juridique et son client. Le CST naurait donc pas t tenu de signaler
cette activit au ministre. Nonobstant ce qui prcde, et bien que le commissaire
nait pas eu dautres questions sur le traitement de la communication par le
CST, le commissaire estimait que le CST aurait d obtenir un avis juridique
crit auprs du ministre de la Justice concernant le caractre privilgi de
la communication et concernant la question de savoir si son utilisation ou sa
conservation tait conforme aux lois canadiennes et si elle nallait pas dconsidrer
ladministration de la justice.
En raison de la nature quasi constitutionnelle de la protection accorde aux
communications entre un conseiller juridique et son client, le commissaire
arecommand que le CST obtienne toujours un avis juridique crit auprs
du ministre de la Justice concernant la conservation ou lutilisation dune
communication intercepte qui est protge par le secret professionnel
de lavocat.

Conclusion
Il est encourageant de constater quau cours des dernires annes, le CST a mis
en uvre les recommandations du commissaire conseillant dlargir la porte
des rapports prsents au ministre sur la protection de la vie prive. Les rapports
sur la protection de la vie prive incluent maintenant les communications
canadiennes identifies par le CST et reues par lintermdiaire dun alli et
celles auxquelles participe un Canadien se trouvant ltranger, deux types de
communications qui sont rputs prsenter un intrt similaire celui prsent
par les communications prives du point de vue de la protection de la vie prive.
Pour donner suite une autre recommandation du commissaire, les rapports
sur la protection de la vie prive prsents par le CST au ministre renferment
dsormais des renseignements plus dtaills sur les communications prives
conserves tires de renseignements lectromagntiques trangers, y compris
le nombre mensuel de communications prives conserves et les justifications
de la conservation.

Rapport annuel 20162017 45


Le bureau du commissaire continuera deffectuer des examens annuels des
autorisations ministrielles lies la collecte des renseignements lectroma
gntiques trangers ainsi que des examens des activits de collecte de
renseignements lectromagntiques trangers exerces par le CST sous le
rgime des autorisations ministrielles. Le bureau procdera galement
des vrifications ponctuelles approfondies des communications canadiennes
acquises et identifies par le CST, quelles aient t recueillies par le CST ou
par un alli. En outre, dans le cadre dun examen de suivi, le commissaire se
penchera sur les nouvelles activits relatives la collecte des renseignements
lectromagntiques trangers exigeant la coopration du CST avec les Forces
armes canadiennes. Enfin, le bureau du commissaire surveillera les mesures
prises par le CST pour rgler les questions releves dans le prsent rapport,
y compris celle de lutilisation et de la conservation des communications entre
un conseiller juridique et son client.

46 www.ocsec-bccst.gc.ca
PLAINTES CONCERNANT
LES ACTIVITS DU CST
En 20162017, le bureau a t contact par plusieurs personnes en qute
dinformation ou exprimant des proccupations concernant les activits du
CST. Toutefois, il a t dtermin que les demandes de renseignements ne
relevaient pas du mandat du commissaire, ne se rapportaient pas aux activits
oprationnelles du CST ou manquaient de srieux. Aucune plainte concernant
les activits du CST ne justifiait une enqute.

MANDAT SOUS LE RGIME


DE LA LOI SUR LA PROTECTION
DE LINFORMATION
Le commissaire est tenu en vertu de la Loi sur la protection de linformation de
recevoir de linformation manant de personnes astreintes au secret perptuit
qui ont lintention de communiquer des renseignements oprationnels spciaux
parexemple certains renseignements se rapportant aux activits du CST en
faisant valoir la primaut de lintrt public. Aucune affaire de ce genre na t
signale au commissaire en 20162017.

ACTIVITS DU BUREAU
DU COMMISSAIRE
Prserver la confiance des parlementaires et des Canadiens dans le travail
du bureau exige ouverture et transparence, ainsi que des efforts concerts
pour suivre le rythme des technologies en constante volution et pour tirer
parti des occasions dchanger avec les homologues du bureau dans dautres
pays sur les pratiques exemplaires.

Rapport annuel 20162017 47


Participation au dialogue sur la scurit
nationale et la reddition de comptes
La scurit nationale a t un sujet dactualit au cours de la dernire anne,
avec les consultations publiques qui ont t tenues lchelle du pays et parraines
par le gouvernement. Le bureau a fourni des rponses une srie de questions
prpares en vue des consultations sur la surveillance, y compris les organismes
dexamen existants et le projet de comit de parlementaires sur la scurit
nationale. Le commissaire a crit au ministre Goodale, qui supervise le processus
de consultation, propos dune question prcise pour lui faire part de son opposition
une proposition qui obligerait le CST obtenir un mandat judiciaire, plutt quune
autorisation ministrielle, lorsque le CST intercepte une communication prive
de faon non intentionnelle.
Ces consultations mises part, le commissaire a comparu devant des comits
parlementaires pour prsenter son point de vue sur la lgislation qui touche
aux questions lies la reddition de comptes, au CST et au travail du bureau:
Comit permanent de la scurit publique et nationale de la Chambre
des communes, 15novembre2016: Le commissaire a comparu devant ce
comit relativement au projet de loiC-22, qui propose la mise sur pied dun
comit de la scurit nationale et du renseignement compos de parlemen-
taires. Encourag par la reddition de comptes et la transparence accrues quun
tel comit pourrait apporter aux activits relatives la scurit nationale et au
renseignement, le commissaire a expliqu en quoi le comit agirait galement
comme catalyseur de la collaboration entre les organismes dexamen. Le
commissaire a fait observer que le mandat gnral du comit et les rles
respectifs des organismes dexamen et du comit propos devraient tre
clairement dfinis pour viter le double emploi et assurer la complmentarit;
Comit permanent de laccs linformation, de la protection des rensei-
gnements personnels et de lthique de la Chambre des communes,
7dcembre2016: Le commissaire a discut de la premire anne de la mise
en uvre de la Loi sur la communication dinformation ayant trait la scurit
du Canada qui a trait la communication dinformation entre les ministres
et organismes responsables de la scurit et du renseignement au Canada.
Bien que le CST nait pas reu ni communiqu dinformation en vertu de la
Loi au cours de la premire anne, le commissaire a repris son compte
les proccupations du commissaire la protection de la vie prive du Canada
selon lesquelles le seuil audel duquel linformation est communique ne
tient pas compte de la prsence de renseignements personnels, et que le
seuil au-del duquel les renseignements personnels en particulier sont
communiqus devrait tre plus lev;

48 www.ocsec-bccst.gc.ca
Comit permanent de la dfense nationale de la Chambre des communes,
21mars2017: Le commissaire a dcrit quatre enjeux importants, dont
les changements devant tre apports la Loi sur la dfense nationale,
les claircissements ncessaires au projet de loiC-22 sur la faon dont
les organismes dexamen travailleront avec le comit de parlementaires
propos, la ncessit que la coopration entre les organismes dexamen
soit autorise par la loi, ainsi que limportance de la transparence pour
les organismes responsables de la scurit et du renseignement et leurs
organismes dexamen respectifs dans le renforcement de la reddition de
comptes globale et de la confiance du public.
Les allocutions et les lettres du commissaire se trouvent sur le site Web du bureau.

Sensibilisation, apprentissage et rseautage


Le processus dexamen du bureau sappuie sur une comprhension profonde
de la politique et des activits du CST. Dans ce contexte, la formation des employs
du bureau chargs des examens inclut les mmes cours offerts par le CST
ses employs. Pour sa part, le bureau a continu de faire des prsentations
sur le rle et le travail du commissaire dans le cadre des sances dorientation
lintention des nouveaux employs du CST.
Les employs du bureau se tiennent au courant des questions lies au
renseignement et la scurit, la protection de la vie prive, aux technologies
et aux aspects lgaux en participant une varit de cours offerts par les
institutions gouvernementales, les associations professionnelles et les universits.
Au nombre des confrences auxquelles ont assist les employs lanne dernire
figurent la Confrence internationale sur le risque cyberntique et la Confrence
sur lducation la scurit Toronto. la 18econfrence annuelle sur la
scurit et la protection de la vie prive qui sest tenue Victoria, en Colombie-
Britannique, le directeur excutif a agi comme animateur et prsentateur au
sein dun groupe travaillant la question Vie prive, scurit nationale et
reddition de comptes: comment prserver la confiance du public?. Faisaient
galement partie du groupe des reprsentants des mdias, du Commissariat
la protection de la vie prive et du CST ainsi quun ancien avocat gnral de
la National Security Agency des tats-Unis.
La participation des colloques sur les affaires internationales, la scurit
des technologies de linformation, la scurit nationale, la protection de la vie
prive et la cyberscurit ont t dautres occasions dapprentissage, de
sensibilisation et de rseautage. Au nombre des organisations htes figuraient
lAssociation internationale des professionnels de la protection de la vie prive,
le Rseau intgr sur la cyberscurit, le groupe de la direction du Programme
canadien de coopration de la Dfense et lAssociation canadienne pour les tudes
de renseignement et de scurit. Enjanvier2017, lavocat interne du bureau sest

Rapport annuel 20162017 49


adress aux tudiants en droit de lUniversit dOttawa pour leur expliquer le
mandat et le rle du bureau. Le bureau a aussi continu dapporter son soutien
auCanadian Network for Research on Terrorism, Security and Society (TSAS), mis
sur pied par plusieurs universitaires.

Organismes dexamen canadiens et trangers


Le commissaire et le prsident du Comit de surveillance des activits de
renseignement de scurit (CSARS), ainsi que leurs hauts fonctionnaires ont
poursuivi les discussions sur la coopration nationale et internationale. Ceux-ci
et la Commission civile dexamen et de traitement des plaintes relatives la GRC
(CCETP) ont aussi comparu ensemble devant les comits parlementaires chargs
dexaminer le projet de loiC-22 et la Loi sur la communication dinformation ayant
trait la scurit du Canada.
Des discussions fructueuses avec les homologues ltranger ont marqu
lautomne2016. Le commissaire et les hauts fonctionnaires ont rencontr des
membres du Intelligence and Security Committee of Parliament du Royaume-Uni.
Les questions lies la transparence et la confiance du public ainsi que les
relations entre un organisme dexamen parlementaire comme celui du Royaune-Uni
et les organismes dexamen existants ont fait lobjet de discussions. Le prsident
du comit du Royaume-Uni a fait observer que les organismes de surveillance
et dexamen des deux pays font face des dfis similaires, en particulier pour
ce qui est de surveiller lquilibre entre la protection de la vie prive et la scurit.
Toujours lautomne, le commissaire et les hauts fonctionnaires du bureau ont
rencontr DavidAnderson, lexaminateur indpendant des lois antiterrorisme
au Royaume-Uni. Parmi les nombreux sujets abords figurait lvaluation de
M.Anderson de la mise jour de 2016 du projet de loi sur les pouvoirs denqute
du gouvernement britannique, dans laquelle M.Anderson indiquait que le projet
de loi [traduction] introduit les normes les plus rigoureuses en matire de
transparence et quil autorise lgalement un ventail de pouvoirs dont la
valeur a t dmontre. Le projet de loi a t adopt en novembre.
Enfin, le commissaire, le directeur excutif et leurs collgues du CSARS ont
discut de questions dintrt commun avec les organismes de surveillance et
dexamen de lAustralie, de la Nouvelle-Zlande, du Royaume-Uni et des tats-Unis
au cours dune runion Washington, D.C. De telles runions deviendront plus
importantes non seulement pour en apprendre davantage sur les pratiques
exemplaires en matire dexamen et de surveillance, mais aussi pour savoir
comment les organismes dexamen de la Collectivit des cinq peuvent se pencher
plus efficacement sur les relations entre leurs organismes du renseignement
afin daccrotre la confiance du public dans leurs pays respectifs.

50 www.ocsec-bccst.gc.ca
PLAN DE TRAVAIL EXAMENS
EN COURS ET PRVUS
Le commissaire adopte une approche prventive axe sur le risque pour raliser
ses examens, tablissant les priorits en matire dexamen en se concentrant
sur les domaines o les risques de non-conformit la loi et datteinte la vie
prive des Canadiens sont valus comme tant les plus levs. Un plan de
travail triennal est mis jour deux fois par an. Llaboration du plan de travail
repose sur maintes sources, notamment les sances dinformation rgulires
du CST sur les nouvelles activits et les changements touchant les activits
existantes, le rapport annuel classifi prsent par le chef du CST au ministre
et faisant tat des priorits du CST et des questions importantes sur le plan
juridique, politique, oprationnel ou en matire de gestion, et les problmes
relevs dans les examens passs ou en cours. Pour apprendre davantage sur
lapproche prventive axe sur le risque adopte par le commissaire pour
effectuer ses examens, veuillez consulter le site Web du bureau.
Quatre examens amorcs en 20162017 seront achevs en 20172018: un
examen portant sur une mthode particulire de collecte de renseignements
lectromagntiques trangers mene sous le rgime dune autorisation
ministrielle et dune directive ministrielle; un examen ax sur les activits
de ciblage du CST; un examen distinct amorc en 2016-2017 qui fait suite
lexamen achev sur le partage de renseignements par le CST avec des entits
trangres; un examen annuel des divulgations dinformation sur lidentit de
Canadiens des clients du gouvernement du Canada, des allis et des
entits nappartenant pas la Collectivit des cinq.
Un examen de suivi sera men, qui portera sur laide fournie par le CST au Service
canadien du renseignement de scurit (SCRS) en vertu de la partiec) de son
mandat et des articles 12 et 21 de la Loi sur le Service canadien du renseignement
de scurit (appels lorigine Mandats dinterception au Canada de tlcommu-
nications trangres). Cet examen tait cens commencer lan pass, mais
il a t dplac dans lordre des priorits tant donn lexamen non prvu mentionn
plus haut. Un autre examen de suivi sera galement men qui portera sur
le soutien apport par le CST au SCRS en vertu de la partie c) de son mandat
concernant un certain type de rapport mettant en cause des Canadiens. Une
tude sur lutilisation des plateformes Internet internes par le CST des fins
de partage de renseignements sera galement ralise cette anne.

Rapport annuel 20162017 51


En outre, le commissaire continuera deffectuer des examens annuels portant sur :
les autorisations ministriellesde collecte de renseignements lectro-
magntiques trangers et de cyberdfense, ycompris les vrifications
ponctuelles de communications canadiennes acquises et identifies
par le CST;
les divulgations par le CST dinformation sur lidentit de Canadiens; et
les incidents lis la vie prive et les erreurs de procdure mises au jour
par le CST ainsi que les mesures quil a prises par la suite pour y remdier.

52 www.ocsec-bccst.gc.ca
ANNEXE A: BIOGRAPHIE DE
LHONORABLE JEANPIERRE
PLOUFFE, cd
Lhonorable JeanPierre Plouffe a t nomm commissaire du Centre de la
scurit des tlcommunications le 18octobre 2013 pour un mandat de troisans.
Le 18 octobre 2016, son mandat a t renouvel pour une priode de deux ans.
N le 15 janvier 1943 Ottawa, en Ontario, M. Plouffe a fait ses tudes
lUniversit dOttawa o il a obtenu sa licence en droit ainsi quune matrise
en droit public (droitconstitutionnel et international). Il a t admis au barreau
du Qubec en 1967.
M. Plouffe a dbut sa carrire au cabinet du jugeavocatgnral des Forces
armes canadiennes. Il a pris sa retraite de la Force rgulire en 1976, alors
quil tait lieutenant-colonel, mais est demeur dans la Force rserve jusquen
1996. Il a t avocat en pratique prive au sein du cabinet Sguin, Ouellette,
Plouffe et associs, Gatineau, au Qubec, o il sest spcialis en droit criminel,
a agi en tant que prsident du tribunal disciplinaire des pnitenciers fdraux,
ainsi quen tant quavocat de la dfense en cour martiale. Par la suite, M. Plouffe
a travaill pour le bureau daide juridique en qualit de directeur de la section
de droit criminel.
M. Plouffe a t nomm juge militaire en 1980 (Force de rserve), puis juge la
Cour du Qubec en 1982. Pendant plusieurs annes, il a t charg de cours en
procdure pnale la Section de droit civil de lUniversit dOttawa. Il a ensuite
t nomm juge la Cour suprieure du Qubec en 1990 puis juge la Cour
dappel de la cour martiale du Canada en mars 2013. Il a pris sa retraite en tant
que juge surnumraire le 2 avril 2014.
Au cours de sa carrire, M.Plouffe a particip la fois des activits profes-
sionnelles et communautaires. Il a reu des distinctions honorifiques civiles
et militaires.

Rapport annuel 20162017 53


ANNEXE B: EXTRAITS DE LA
LOI SUR LA DFENSE NATIONALE
ET DE LA Loi sur la protection
de linformation RELATIFS au
mandat du commissaire

Loi sur la dfense nationale Partie V.1

Nomination du commissaire et dure du mandat


273.63 (1) Le gouverneur en Conseil peut nommer, titre inamovible
pour une priode maximale de cinq ans, un juge surnumraire
ou un juge la retraite dune juridiction suprieure quil
charge de remplir les fonctions de commissaire du Centre
de la scurit des tlcommunications.
Mandat
(2) Le commissaire a pour mandat :
a) de procder des examens concernant les activits
du Centre pour en contrler la lgalit;
b) de faire les enqutes quil estime ncessaires la suite
de plaintes qui lui sont prsentes;
c) dinformer le ministre et le procureur gnral du Canada
de tous les cas o, son avis, le Centre pourrait ne
pas avoir agi en conformit avec la loi.
Rapport annuel
(3) Le commissaire adresse au ministre, dans les quatrevingtdix
jours suivant la fin de chaque exercice, un rapport sur
lexercice de ses activits. Le ministre dpose le rapport
devant chacune des chambres du Parlement dans les quinze
premiers jours de sance de celle-ci suivant sa rception.

54 www.ocsec-bccst.gc.ca
Loi sur les enqutes
(4) Dans lexercice de son mandat, le commissaire a tous les
pouvoirs confrs un commissaire en vertu de la partieII
de la Loi sur les enqutes.
Assistance
(5) Le commissaire peut retenir les services de conseillers
juridiques ou techniques ou dautres collaborateurs dont
la comptence lui est utile dans lexercice de ses fonctions;
il peut fixer, avec lapprobation du Conseil du Trsor, leur
rmunration et leurs frais.
Fonctions du commissaire
(6) Le commissaire exerce les attributions que lui confrent
la prsente partie et toute autre loi fdrale; il peut en
outre se livrer toute activit connexe autorise par le
gouverneur en conseil.
[...]
Rvision des autorisations
273.65 (8) Le commissaire du Centre de la scurit des tlcommu-
nications est tenu de faire enqute sur les activits qui ont
t exerces sous le rgime dune autorisation donne en
vertu du prsent article pour en contrler la conformit;
il rend compte de ses enqutes annuellement au ministre.

Rapport annuel 20162017 55


Loi sur la protection de linformation

Dfense dintrt public


15. (1) Nul ne peut tre dclar coupable dune infraction prvue
aux articles13 ou 14 sil tablit quil a agi dans lintrt public.
[...]
Informer les autorits
(5) Le juge ou le tribunal ne peut dcider de la prpondrance
des motifs dintrt public en faveur de la rvlation que si
la personne sest conforme aux exigences suivantes: [...]
a) la personne, avant la communication ou la confirmation,
a inform de la question [...] ladministrateur gnral
ou [...] le sous-procureur gnral du Canada;
b) dans le cas o elle na pas reu de rponse de
ladministrateur gnral ou du sous-procureur gnral
du Canada dans un dlai raisonnable, elle a inform
de la question, avec tous les renseignements lappui
en sa possession, [...]
(ii) soit le commissaire du Centre de la scurit
des tlcommunications si la question porte sur
une infraction qui a t, est en train ou est sur le
point dtre commise par un membre du Centre de
la scurit des tlcommunications dans lexercice
effectif ou cens tel de ses fonctions pour le compte
de celui-ci, et nen a pas reu de rponse dans un
dlai raisonnable.

56 www.ocsec-bccst.gc.ca

Похожие интересы