Professional Documents
Culture Documents
Centre de la scurit
des tlcommunications
Rapport annuel
2016
2017
Bureau du commissaire du
Centre de la scurit des tlcommunications
C.P. 1474, succursale B
Ottawa (Ontario) K1P 5P6
Tlphone : 613-992-3044
Tlcopieur : 613-992-4096
Site Web : www.ocsec-bccst.gc.ca/
Sa Majest la Reine du Chef du Canada, reprsente par le
Bureau du commissaire du Centre de la scurit des tlcommunications, 2017
No de catalogue : D95
ISSN 1206-7490
Commissaire du Centre de la Communications Security
scurit des tlcommunications Establishment Commissioner
Juin 2017
Monsieur le Ministre,
Conformment au paragraphe 273.63(3) de la Loi sur la dfense nationale,
jai lhonneur de vous transmettre le rapport annuel faisant tat de mes activits
et constatations pour la priode allant du 1er avril 2016 au 31 mars 2017, aux
fins de prsentation au Parlement.
Jean-Pierre Plouffe
4 www.ocsec-bccst.gc.ca
Pendant que je poursuis ma quatrime anne titre de responsable de
lexamen du CST, je suis conscient plus que jamais de limportance de se tenir
au courant des avances technologiques et oprationnelles au CST et des faits
nouveaux externes influant sur celuici, dans un monde o les menaces et
les technologies, ainsi que le contexte juridique, voluent constamment. Mon
programme dexamen au cours de cette prochaine anne continuera de mettre
laccent sur le caractre adquat des mesures du CST pour protger la vie
prive, le rle des mtadonnes et le partage de renseignements entre le CST
et ses partenaires, au pays et ltranger. De plus, au cours de la prochaine
anne, je serai heureux de rencontrer mes homologues des tats-Unis, du
Royaume-Uni, de lAustralie et de la Nouvelle-Zlande pour avoir des discussions
et des changes sur nos expriences respectives dans le domaine de lexamen et
de la surveillance, et sur la faon de rendre compte du partage de renseignements
entre les organismes de nos pays respectifs, afin damliorer la confiance du public.
Lors de lvnement officiel de septembre dernier pour marquer le 20eanniversaire
du bureau du commissaire, le ministre de la Dfense nationale, qui est respon
sable du CST devant le Parlement, sest dit heureux des recommandations et
examens indpendants reus du commissaire du CST et a reconnu limportance
de ce travail lappui de sa reddition de comptes lgard du CST. Je suis
heureux de poursuivre ce rle essentiel de responsable de lexamen des activits
du CST en dterminant si celles-ci sont conformes la loi, en massurant que
des mesures de protection robustes sont en place pour protger la vie prive
des Canadiens et en contribuant la reddition de comptes gnrale sur les
activits relatives la scurit nationale.
Mandat
Le mandat du commissaire du CST est nonc la partieV.1 de la Loi sur
la dfense nationale:
1. procder des examens concernant les activits du CST y compris les
activits lies aux renseignements lectromagntiques trangers et la
scurit des technologies de linformation lappui du gouvernement du
Canada pour en contrler la lgalit;
2. faire les enqutes que le commissaire estime ncessaires la suite dune
plainte crite; et
3. informer le ministre de la Dfense nationale (qui est responsable du CST
devant le Parlement) et le procureur gnral du Canada de toute activit
du CST qui, son avis, pourrait ne pas tre conforme la loi.
En vertu de larticle15 de la Loi sur la protection de linformation, le commissaire
a galement pour mandat de recevoir de linformation manant de personnes
astreintes au secret perptuit qui souhaitent communiquer des renseignements
oprationnels spciaux du CST en faisant valoir la primaut de lintrt public.
La Loi sur la dfense nationale exige que le commissaire du CST soit un juge
surnumraire ou un juge la retraite dune cour suprieure. Elle confre
au commissaire une autonomie complte et un accs sans entrave tous
les systmes et installations du CST, ainsi qu son personnel, notamment
le pouvoir dassigner comparatre pour obliger des particuliers rpondre
des questions. Le commissaire a un budget distinct accord par le Parlement.
6 www.ocsec-bccst.gc.ca
protger les systmes et les rseaux informatiques du gouvernement qui
renferment des informations nationales et personnelles sensibles. Le CST a en
outre pour mandat de mettre profit ses capacits uniques afin de fournir
une assistance technique et oprationnelle aux organismes fdraux chargs
de lapplication de la loi et de la scurit dans lexercice des fonctions que la loi
leur confre.
Les activits du CST sont distinctes des activits de collecte de renseignements
criminels et en matire de scurit menes par dautres organismes. Il sagit
dans leur cas dinformation sur des activits qui pourraient menacer la scurit
du Canada ou la scurit publique et que lon obtient gnralement en ciblant
des Canadiens en vertu de diffrents pouvoirs lgaux. Il est expressment
interdit pour ce qui est des activits du CST de viser des Canadiens ou des
personnes se trouvant au Canada. Restreindre la collecte de renseignements
des cibles trangres lextrieur du Canada est compliqu par linfrastructure
de linformation mondiale, qui est interconnecte et en constante volution,
ainsi que par les cibles trangres, qui sont elles-mmes astucieuses sur le plan
technologique. Le CST a besoin de moyens techniques perfectionns pour obtenir
et analyser linformation et dtecter et attnuer les cyberactivits malveillantes.
Pour rester efficaces, les mthodes du CST doivent demeurer secrtes.
Dans ce contexte difficile, les agents vous lexamen doivent possder des
connaissances spcialises et une expertise pour comprendre les nombreux
aspects techniques, juridiques et relatifs la protection de la vie prive des
activits du CST. Ils doivent galement possder des habilitations de scurit
au niveau requis pour examiner les dossiers et les systmes du CST. Les agents
vous lexamen sont lis par la Loi sur la protection de linformation et ne
peuvent pas divulguer des personnes non autorises les renseignements
sensibles auxquels ils ont accs.
Une fois une activit slectionne pour examen, elle est examine en fonction
de la srie de critres standards dcrits ci-aprs:
Obligations lgales: le commissaire sattend ce que le CST mne ses
activits en conformit avec la Charte canadienne des droits et liberts,
la Loi sur la dfense nationale, la Loi sur la protection des renseignements
personnels, le Code criminel et toute autre lgislation pertinente.
Exigences ministrielles: le commissaire sattend ce que le CST mne
ses activits en conformit avec les instructions ministrielles, conformment
toutes les exigences et dans le respect des limites prcises dans une
autorisation ou une directive ministrielle.
8 www.ocsec-bccst.gc.ca
LE POINT SUR LES EFFORTS
DPLOYS PAR LE CST
POUR DONNER SUITE
AUX RECOMMANDATIONS
Le CST a accept et mis en uvre, ou travaille la mise en uvre, de 95pour
cent (157) des 166recommandations formules depuis 1997, y compris les
cinqrecommandations incluses dans les rapports de cette anne. Les commis-
saires surveillent la faon dont le CST donne suite aux recommandations, aux
constatations ngatives et aux questions ncessitant un suivi mentionnes dans
les examens. Le bureau du commissaire surveille ainsi 16recommandations
actives auxquelles le CST donne suite 11recommandations non encore
appliques des annes prcdentes et cinq de cette anne.
Au cours de lexercice coul, le CST a prvenu le bureau quil avait donn suite
deuxrecommandations antrieures.
Lan dernier, dans le cadre de lexamen de lassistance fournie par le CST
au Service canadien du renseignement de scurit (SCRS) selon la partiec)
du mandat du CST en ce qui concerne un certain type de rapports mettant en
cause des Canadiens (rsum dans le rapport annuel 20152016), le commissaire
a recommand que le CST tienne le ministre au courant, sur une base annuelle,
de ses activits vises la partiec) de son mandat, soit la transmission au SCRS
des rapports mettant en cause des Canadiens qui sont reus des partenaires
de la Collectivit des cinq. Le CST a donn suite cette recommandation en
prsentant au ministre un rsum de ces activits.
Le CST a galement donn suite une recommandation dcoulant de lexamen
men par le bureau des activits du CST relatives aux mtadonnes lies aux
renseignements lectromagntiques trangers (rsum dans le rapport annuel
20142015). Cet examen a rvl que le systme de minimisation de certains
types de mtadonnes du CST tait dcentralis et dpourvu dun contrle
et dune hirarchisation des priorits adquats. Le CST ne disposait pas non
plus dun systme adquat de tenue de dossiers. Par consquent, le commissaire
a recommand que le CST utilise son systme actuel de registre centralis
pour consigner les dcisions et les mesures prises concernant les nouveaux
systmes de collecte ou ceux qui ont t actualiss, de mme que les dcisions
et les mesures prises concernant la minimisation des mtadonnes renfermant
de linformation sur lidentit de Canadiens. Le CST a fait savoir quil avait mis
jour ses processus de gestion de linformation dans les secteurs responsables
des systmes de collecte dans le but damliorer la tenue de dossiers sur les
10 www.ocsec-bccst.gc.ca
APERU DES CONSTATATIONS
ET DES RECOMMANDATIONS DE
20162017
Au cours de lexercice 20162017, le commissaire a prsent au ministre
neufrapports classifis sur ses examens des activits du CST.
Les examens, ainsi quune tude, ont t mens sous lautorit du commissaire:
pour sassurer que les activits du CST sont conformes la loi comme
il est prcis lalina273.63(2)a) de la Loi sur la dfense nationale; et
pour contrler la conformit des activits du CST menes sous le rgime
dune autorisation ministrielle comme ltablit le paragraphe273.65(8)
de la Loi sur la dfense nationale.
Le premier examen a port sur le partage de renseignements du CST avec
des entits trangres, autres que ses allis, en particulier les valuations
du risque visant dterminer sil convient ou non denvoyer ou de demander
des renseignements une entit trangre lorsque cela pourrait prsenter
un risque important de mauvais traitements une personne.
Un examen a port sur les activits de collecte du CST menes dans des
circonstances exceptionnelles, par exemple lorsque le CST est oblig dacqurir
de linformation et de rdiger un rapport concernant des ressortissants de la
Collectivit des cinq afin dappuyer des exigences en matire de renseignements
auxquelles il ne serait pas satisfait autrement.
Un autre examen a port sur les activits du CST relatives aux mtadonnes
lies la cyberdfense. Il sagissait de la troisime et dernire partie dune srie
dexamens exhaustifs visant les activits du CST relatives aux mtadonnes.
Le bureau du commissaire a galement men une tude portant sur la coopration
et le partage dinformation entre les employs du CST chargs de la scurit
des technologies de linformation et ceux chargs des renseignements lectro-
magntiques trangers afin de contrer les cybermenaces dans le but dacqurir
des connaissances approfondies de ces activits et de cerner toute question
pouvant ncessiter un examen de suivi.
Comme les annes prcdentes, le commissaire a effectu des examens annuels
des autorisations ministrielles relatives la collecte de renseignements
lectromagntiques trangers et la cyberdfense, notamment des vrifications
ponctuelles des communications canadiennes (voir la dfinition la page40) y
compris les communications prives qui ont t acquises, utilises, conserves
et dtruites par le CST, ainsi que des incidents et des erreurs de procdure du
Les rsultats
Chaque anne, le commissaire prsente une dclaration densemble sur ses
constatations concernant la lgalit des activits du CST. Au cours de lanne
coule, toutes les activits examines taient conformes la loi.
De mme, cette anne, le commissaire a formul cinqrecommandations pour
promouvoir la conformit la loi et renforcer la protection de la vie prive,
demandant notamment que:
1. les protocoles dentente avec des entits trangres prcisent clairement
les autorisations et les restrictions juridiques du CST, y compris que le CST
ne peut pas recevoir, conformment son mandat de collecte de renseignements
lectromagntiques trangers, de linformation dentits trangres qui a
t obtenue au moyen dactivits pouvant avoir vis un Canadien ou toute
personne au Canada;
2. le CST diffuse des politiques stratgiques gnrales afin dtablir des mesures
de base pour le partage de renseignements avec des entits trangres;
3. le CST applique uniformment des mises en garde tous les changes avec
des entits trangres et utilise des systmes adquats afin de consigner
tous les renseignements divulgus;
4. en raison des caractristiques techniques de certaines technologies de
communication, les rapports du CST au ministre sur les communications
prives renferment des renseignements supplmentaires pour mieux dcrire
ces communications et expliquer lampleur de latteinte la vie prive
la faon dont le CST dnombre actuellement les communications prives
donne une vision dforme du nombre de Canadiens ou de personnes au
Canada qui sont interlocuteurs dans une communication intercepte par
le CST afin dobtenir des renseignements trangers sous le rgime dune
autorisation ministrielle; et
5. en raison du caractre quasi constitutionnel de la protection accorde aux
communications entre un conseiller juridique et son client, le CST obtienne
toujours un avis juridique crit auprs du ministre de la Justice concernant
la conservation ou lutilisation dune communication intercepte qui est protge
par le secret professionnel de lavocat.
12 www.ocsec-bccst.gc.ca
POINTS SAILLANTS DES
RAPPORTS PRSENTS
AU MINISTRE EN 20162017
1. Examen du partage de renseignements
du CST avec des entits trangres
Contexte
La capacit du CST remplir son mandat en matire de scurit des technologies
de linformation et de collecte des renseignements lectromagntiques trangers
repose, dans une large mesure, sur ltablissement et le maintien de relations
fructueuses avec ses homologues trangers. Outre les alliances de longue
date que le CST a tablies avec ses partenaires de la Collectivit des cinq,
les renseignements du CST sont aussi partags avec dautres entits trangres.
La Loi sur la dfense nationale ne renferme aucun pouvoir explicite ni limite prcise
concernant le partage de renseignements avec des entits trangres. De telles
activits sont implicitement autorises par la Loi sur la dfense nationale.
Le partage de renseignements avec des entits trangres fait partie intgrante
du mandat des organismes canadiens chargs de lapplication de la loi et du
renseignement, y compris le CST. Pour tenir les ministres et organismes
responsables des renseignements partags lextrieur du Canada, le gouver-
nement du Canada a adopt le Cadre pour la gestion des risques dans lchange
de renseignements avec des entits trangres. Ce cadre tablit une approche
uniforme lchelle du gouvernement exigeant la ralisation dune valuation
du risque en vue de dterminer si les renseignements doivent tre communiqus
ou demands une entit trangre lorsque le partage pourrait exposer une
personne un risque important de subir des mauvais traitements. Aux termes
dune directive correspondante du ministre de la Dfense nationale, le CST est
tenu de grer le partage de renseignements avec des entits trangres, appuy
par les politiques orientant les pratiques de partage de renseignements, pour
faire en sorte que le partage de renseignements nengendre pas un risque
important de mauvais traitements.
Ctait le premier examen ralis par le bureau tre ax sur le partage de
renseignements avec des entits trangres autres que les partenaires de la
Collectivit des cinq. Pour la priode allant du 1erfvrier2010 au 31mars2015,
le bureau a examin les lments suivants:
Constatations
Le bureau a conclu que le partage de renseignements du CST avec des entits
trangres pendant la priode vise par lexamen tait conforme la loi, au Cadre
pour la gestion des risques dans lchange de renseignements avec des entits
trangres et aux instructions ministrielles.
Le CST value et attnue le risque de mauvais traitements lorsque ses rensei-
gnements vont potentiellement tre partags avec des entits trangres.
Le bureau a examin 161 valuations du risque de mauvais traitements menes
par le CST o le CST a dmontr quil avait valu et attnu le risque inhrent
au partage de renseignements comme il se doit, et appliqu les critres
ncessaires en matire de prise de dcisions et dapprobation. Ceci incluait
35cas o le CST avait partag des renseignements et que ce partage comportait
un risque important de mauvais traitements. Dans ces cas, le CST avait pris
des mesures raisonnables pour attnuer le risque, y compris faire respecter
les mises en garde et obtenir des garanties auprs des entits trangres,
ou encore, lorsque le risque de mauvais traitements ne pouvait tre attnu,
le CST avait soupes correctement le risque de mauvais traitements et celui
de ne pas rvler les renseignements, y compris, par exemple, des renseignements
lis une menace pour la scurit nationale du Canada.
Dans les cas o le CST navait pas men dvaluation du risque de mauvais
traitements avant de partager les renseignements, le bureau na vu aucun
lment indiquant quune valuation aurait d tre mene.
Le partage de renseignements avec des entits trangres aide le CST remplir
son mandat, plus particulirement dans le soutien la lutte contre le terrorisme
et aux oprations militaires, la dfense des rseaux informatiques, et la dtection
des menaces pesant contre les intrts canadiens de faon gnrale.
14 www.ocsec-bccst.gc.ca
Le CST divulgue rarement de linformation sur lidentit de Canadiens aux entits
trangres. Des 161 valuations du risque de mauvais traitements examines,
seules 5 avaient donn lieu la divulgation dinformation sur lidentit de
Canadiens une entit trangre. Dans ces quelques cas, le CST avait men
lvaluation du risque ncessaire et avait valu les rpercussions sur la vie
prive avant dapprouver la divulgation.
Comme le CST traite de linformation dcoulant de renseignements lectroma
gntiques, il est peu probable quil reoive de linformation obtenue la suite
de mauvais traitements. Nanmoins, le bureau tait convaincu que le CST
avait pris des mesures raisonnables pour tablir que linformation reue des
entits trangres navait pas t obtenue la suite de mauvais traitements.
Cela dit, le bureau a relev des diffrences dans la manire dont le processus
dvaluation du risque tait mis en uvre par les sections responsables au sein
du CST. Les procdures traitant du partage de renseignements sont gres par
deux sections diffrentes. Si lune des sections suivait des protocoles uniformes,
lautre tenait des dossiers insuffisants dans certains cas et appliquait les mises
en garde relatives au partage des renseignements de faon irrgulire. Toutefois,
avant la fin de la priode vise par lexamen, cette section avait apport dimpor-
tantes amliorations la ralisation des valuations du risque. Le CST a depuis
inform le bureau du commissaire quil a rvis et normalis les mises en garde
devant tre utilises dans le cadre de toutes les divulgations. Le commissaire
sen assurera dans un examen futur.
Au cours de la priode vise par lexamen, le bureau a relev une absence
de politiques stratgiques gnrales sur le partage de renseignements avec
les entits trangres. Le bureau a galement fait tat de labsence de politique
stratgique prcise sur la ralisation des valuations du risque de mauvais
traitements en vue de partager des renseignements avec des entits trangres.
Le CST a diffus une nouvelle politique sur ce type dvaluations du risque
aprs la priode vise par lexamen. Nanmoins, au cours de la priode vise
par lexamen, le CST disposait de politiques et de procdures plus gnrales
dvaluation du risque tablies sur lesquelles se fonder et menait des valuations
rgulires de ses ententes sur le partage de renseignements pour veiller ce
que le comportement de ses partenaires demeure compatible avec les intrts
canadiens ltranger ou sur le plan de la dfense ou de la scurit.
En menant lexamen, le bureau a soulev des proccupations au sujet du fait
que les accords officiels existants avec certaines entits trangres mentionnaient
les mesures de protection de la vie prive des Canadiens en des termes gnraux
seulement. Le bureau sattendait ce que les accords conclus par le CST numrent
de faon explicite les pouvoirs lgaux du CST et les restrictions, y compris le fait
que dans le cadre de son mandat de collecte de renseignements lectroma
gntiques, le CST ne peut recevoir aucune communication prive ou toute autre
Conclusion et recommandations
En plus de recommander au CST de veiller ce que les accords officiels conclus
avec des entits trangres prcisent ses pouvoirs lgaux et ses restrictions,
le commissaire a aussi recommand que les mises en garde soient appliques
systmatiquement tous les changes et que le CST utilise les systmes adquats
afin de consigner tous les renseignements communiqus. De plus, le commissaire
a recommand que le CST publie une politique stratgique gnrale sur les
changes de renseignements avec des entits trangres. Le bureau surveillera
les efforts dploys par le CST pour donner suite aux recommandations du commis
saire et il continuera dexaminer rgulirement les interactions du CST avec
les entits trangres, y compris le partage de renseignements et la ralisation
des valuations du risque de mauvais traitements.
En consquence de cet examen, le bureau mne un examen distinct sur les pouvoirs
du CST en vue de sa participation une initiative oprationnelle multilatrale
axe actuellement sur la menace terroriste qui pse sur les intrts occidentaux.
16 www.ocsec-bccst.gc.ca
2. Examen des activits de collecte du CST
menes dans des circonstances
exceptionnelles
Contexte
Lan dernier, le bureau a expliqu les circonstances exceptionnelles dans
lesquelles les partenaires du CST de la Collectivit des cinq pouvaient ne pas
respecter les accords de coopration conclus entre eux lorsquils obtiennent
de linformation ou quils font rapport sur des Canadiens qui se trouvent lextrieur
du Canada parce que, par exemple, ces Canadiens sont connus pour se livrer
des activits terroristes ou y apporter un soutien. Cette anne, lexamen se
penchait sur les circonstances exceptionnelles dans lesquelles le CST avait acquis
de linformation et rdig un rapport sur des activits similaires comprenant des
ressortissants de la Collectivit des cinq.
Voyageurs extrmistes
On appelle voyageur extrmiste (ou combattant tranger) une
personne souponne de se rendre ltranger pour prendre part des
activits lies au terrorisme, par exemple les hommes et les femmes ayant
quitt le Canada pour se joindre au groupe terroriste qui se fait appeler
tat islamique.
18 www.ocsec-bccst.gc.ca
Ctait la premire fois que ce type dactivits faisait lobjet dun examen du bureau
du commissaire. Ainsi, lexamen a t loccasion dacqurir une connaissance
prcise de ces activits et des circonstances dans lesquelles elles se droulent.
Les objectifs de lexamen demeuraient bien connus: valuer si les activits taient
conformes la loi et la directive ministrielle lie aux priorits en matire de
renseignement et veiller ce que des mesures adquates soient prises pour
protger la vie prive des Canadiens dans lexercice de ces activits.
Pour la priode allant de janvier2015 aot 2016, le bureau a examin:
toutes les activits amorces par le CST qui visaient des ressortissants de
la Collectivit des cinq ou des trangers se trouvant sur le territoire de la
Collectivit des cinq;
les pouvoirs et les politiques, les bases de donnes et les systmes connexes
du CST;
les justifications oprationnelles; et
tout rapport connexe.
Constatations
Dans tous les 11 cas, lorsque les activits du CST comprenaient des ressortissants
de la Collectivit des cinq partout dans le monde ou quiconque se trouvant sur
le territoire de la Collectivit des cinq pendant la priode vise par lexamen, le
bureau a constat que les activits taient conformes la loi, quelles ne visaient
pas des Canadiens ou toute personne au Canada et quelles correspondaient
aux priorits du gouvernement du Canada en matire de renseignement. De plus,
les activits de ce type sont rares et reprsentent un faible risque pour la vie
prive des Canadiens.
Lexamen a aussi permis de confirmer que les critres noncs dans la politique
du CST taient respects: en plus de respecter les exigences prvues par la
partie a) du mandat du CST, ces activits de collecte particulires ne staient
droules quen des circonstances particulires et limites, par exemple pour
raliser une priorit du gouvernement du Canada en matire de renseignement
qui ne pouvait ltre autrement.
En 2015, le CST a mis jour sa politique pour pouvoir rpondre aux urgences
et aux besoins oprationnels plus efficacement et il a officialis certaines
pratiques existantes. Aprs examen, le bureau a suggr au CST de prciser
sa politique.Le bureau a galement constat que les analystes du CST appliquaient
la politique de faon irrgulire, par exemple dans la manire de remplir les
formulaires de demande requis et dans la quantit de dtails fournis. Le CST
a indiqu quil travaille donner suite aux constatations du bureau pour prciser
la politique et pour assurer son application approprie.
20 www.ocsec-bccst.gc.ca
3. Examen des activits du CST relatives
aux mtadonnes lies la cyberdfense
Contexte
Il sagit de la troisime et dernire partie dune srie dexamens rcents sur
les mtadonnes, dont les deux premiers traits dans les deux derniers
rapports annuels du commissaire ont port sur les activits relatives aux
mtadonnes lies aux renseignements lectromagntiques trangers. Cet
examen a mis laccent sur lutilisation par le CST de mtadonnes dans le cadre
dactivits de cyberdfense. Lexamen avait pour but de dterminer si les activits
du CST relatives aux mtadonnes taient conformes la loi et ne visaient pas
des Canadiens ou toute personne se trouvant au Canada, et que le CST prenait
efficacement des mesures satisfaisantes pour protger la vie prive des
Canadiens. Le bureau a examin les politiques et les procdures oprationnelles
du CST, a reu des sances dinformation et des dmonstrations techniques et
a interview le personnel technique et oprationnel du CST.
Le CST mne des activits relatives aux mtadonnes lies la cyberdfense
sous le rgime de lalina273.64(1)b) de la Loi sur la dfense nationale et des
autorisations ministrielles de cyberdfense. La directive ministrielle de 2011
sur les mtadonnes dfinit les mtadonnes comme linformation associe
une tlcommunication qui est utilise pour identifier, dcrire, grer ou
acheminer la tlcommunication ou toute partie de celle-ci, ainsi que son
mode de transmission, mais qui exclut toute information ou partie de celle-ci
qui pourrait rvler lobjet dune tlcommunication ou lensemble ou une partie
quelconque de son contenu. Le CST peut obtenir des mtadonnes lies
la cyberdfense auprs de ses propres sources, de partenaires nationaux
et trangers et de propritaires de systmes informatiques importants pour
le gouvernement du Canada, y compris les infrastructures essentielles. Le
CST utilise les mtadonnes pour accomplir cette partie de son mandat
afin de dtecter et dattnuer les cybermenaces malveillantes trangres
sophistiques, et daider protger les systmes informatiques importants
pour le gouvernement du Canada.
Constatations
Le bureau a confirm que ses examens antrieurs avaient mis au jour tous
les faits concernant les activits du CST relatives aux mtadonnes lies la
cyberdfense. Aucune nouvelle activit ou aucun risque prcis de non-conformit
ou datteinte la vie prive na t recens. Les mtadonnes demeurent
essentielles au mandat de cyberdfense du CST.
Les capacits de dtection des cybermenaces du CST permettent de copier et
de conserver un sous-ensemble des donnes du rseau client du gouvernement
du Canada y compris les mtadonnes pour dtecter les cybervnements
malveillants trangers anormaux et sophistiqus et assurer leur analyse continue.
De mme, le CST ne retient quune petite proportion des donnes passant par
ses capteurs de cyberdfense. Il extrait ensuite les mtadonnes des donnes
acquises et sen sert notamment pour contextualiser la menace et tout maliciel
ainsi que pour formuler des conseils pour leur attnuation lintention du client
et dautres institutions du gouvernement du Canada.
Les activits de cyberdfense acquirent des donnes se rapportant aux
cybervnements auprs des rseaux du gouvernement du Canada. Il faut
sattendre ce que les activits de cyberdfense du CST puissent comprendre
des mtadonnes concernant des Canadiens puisque les donnes proviennent de
rseaux canadiens situs au Canada elles sont obtenues par le CST sous le
rgime dune autorisation ministrielle ou par les propritaires de systmes et
les institutions du gouvernement du Canada en vertu du Code criminel et de la
Loi sur la gestion des finances publiques et sont par la suite divulgues au CST.
Cependant, des examens antrieurs ont montr que les donnes lies la
cyberdfense utilises et conserves par le CST nimpliquent gnralement
aucun change de renseignement personnel ou dautre renseignement important
entre lauteur de la cybermenace trangre et un fonctionnaire du gouvernement
du Canada ou un autre Canadien. Les activits de cyberdfense du CST permettent
gnralement dobtenir des communications ne renfermant quun code malveillant
ou un lment dingnierie sociale envoy un systme informatique pour
tromper le destinataire ou compromettre le systme.
22 www.ocsec-bccst.gc.ca
Ingnierie sociale
Lingnierie sociale se dfinit gnralement comme un procd trompeur
par lequel des auteurs de cybermenaces conoivent une situation sociale
pour tromper autrui afin davoir accs un rseau autrement ferm, par
exemple en faisant en sorte quun courriel semble provenir dune source
digne de confiance.
Malgr tout, les mesures de protection de la vie prive que le CST applique
une communication prive sappliquent galement aux mtadonnes lies la
cyberdfense qui pourraient identifier un communicateur ou la communication
au Canada par exemple, les champs de et dun courriel ou une adresse
de protocole Internet rattache la communication. Le bureau a vrifi si les
mtadonnes lies la cyberdfense concernant un Canadien sont utilises
ou conserves par le CST seulement si elles sont essentielles pour identifier,
isoler ou prvenir les activits dommageables visant les systmes ou les rseaux
informatiques du gouvernement du Canada, par exemple lorsquelles sont
ncessaires pour comprendre les cyberactivits malveillantes trangres,
les capacits ou les intentions, et pour attnuer la menace.
Selon linformation examine, les sances dinformation et les dmonstrations
techniques reues et les entrevues menes, le commissaire na trouv aucune
donne probante de nonconformit la loi. Le CST na pas vis, au moyen de
ses activits relatives aux mtadonnes lies la cyberdfense, des Canadiens
ou toute personne au Canada.
Les activits du CST relatives aux mtadonnes lies la cyberdfense sont
conformes aux exigences et aux restrictions nonces dans les directives
ministrielles concernant la reddition de comptes et la protection de la vie
prive des Canadiens.
Le commissaire tait convaincu quune srie complte de politiques et de procdures
oprationnelles du CST concernant la conduite des activits de cyberdfense offrait
une orientation suffisante pour ce qui est des activits relatives aux mtadonnes
lies la cyberdfense. Cela comprend les politiques et les procdures sur: lutili-
sation de donnes de propritaires de systmes; la consultation, le traitement et
le partage de donnes; ainsi que la rdaction et la gestion de rapports sur la
cyberdfense. Les entrevues menes auprs des gestionnaires et des employs
chargs de la scurit des technologies de linformation et les observations
formules par eux montrent quils connaissent les politiques et les procdures.
Les activits de cyberdfense du CST font aussi lobjet dune vrification interne
et dune surveillance continue de la conformit.
24 www.ocsec-bccst.gc.ca
4. tude portant sur la coopration et le partage
dinformation entre les employs du CST
chargs de la scurit des TI et ceux chargs
des renseignements lectromagntiques
trangers afin de contrer les cybermenaces
Contexte
La complexit de linfrastructure mondiale dinformation augmente de manire
exponentielle au fur et mesure que des personnes, des donnes et des infra-
structures sy ajoutent. Mme si lexpansion offre de nombreux avantages, les
systmes des technologies de linformation (TI) sont galement vulnrables pour
de nombreuses raisons: ils ne sont gnralement pas conus dans une optique
de scurit, ils sont interrelis, ils servent stocker une grande quantit de
donnes facilement copies et ayant une valeur, et la scurit repose souvent
sur une authentification de lutilisateur qui peut facilement tre compromise
(p.ex. un mot de passe unique). La distinction entre linformation et la technologie
sous-jacente servant la traiter se brouille; une attaque contre lune est souvent
indissociable dune attaque contre lautre.
Les cybermenaces lies la scurit des TI se caractrisent par une complexit,
une vitesse, une ampleur, une intensit et une portabilit qui augmentent
rapidement. La connectivit sans fil et anonyme au rseau mondial est en train
de devenir la norme. Les cybermenaces peuvent non seulement toucher les
renseignements lectroniques et les infrastructures dinformation importantes
pour le gouvernement du Canada, mais elles peuvent aussi tre utilises par
des acteurs sophistiqus parrains par des gouvernements qui constituent
une menace pour la scurit nationale.
Les menaces dlibres comprennent: laccs ou la divulgation non autoriss,
les maliciels, les attaques par dni de service, le piratage dordinateurs, la
mystification, lhameonnage, laltration et les menaces internes. Il existe en
outre les menaces lies aux accidents et aux dangers naturels.
Dans ce contexte changeant, les employs du CST chargs des renseignements
lectromagntiques trangers et ceux chargs de la scurit des TI ont collabor
de plus en plus troitement lchange de donnes et lanalyse des cybermenaces
et des atteintes touchant les renseignements lectroniques et les infrastructures
dinformation importantes pour le gouvernement du Canada. En 2009, le CST a cr
le Centre dvaluation des cybermenaces (CECM) pour assurer une plus grande
coordination et synchronisation entre les employs du CST chargs de la scurit
26 www.ocsec-bccst.gc.ca
Observations
Lorsquils analysent les activits lies aux cybermenaces, les employs chargs
des renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI partagent outils et locaux; cest pourquoi les deux quipes ont accs
des donnes obtenues selon les partiesa) et b) du mandat du CST. Cela est
voulu: ainsi, les deuxquipes peuvent effectuer des analyses exhaustives des
cybermenaces. Les restrictions daccs aux donnes vises aux partiesa) et b)
sont fonction des paramtres dtaills dans les politiques et les procdures de
lquipe charge des renseignements lectromagntiques trangers et de celle
charge de la scurit des TI. Les analystes des deux quipes doivent respecter
toutes les politiques et les procdures connexes lorsquils traitent des donnes
de lautre quipe. Les analystes de lquipe charge des renseignements lectro-
magntiques trangers qui prtent main-forte lquipe charge de la scurit
des TI concernant les cybermenaces reoivent lautorisation de mener des
activits de cyberdfense selon la partieb) du mandat du CST.
Chacun de ces employs du CST reoit une formation et doit passer les tests
sur les politiques applicables ses responsabilits et celles de ses pairs selon
le mandat. En raison de la complexit des politiques et des procdures, des
personnes dsignes supervisent et dirigent la mise en uvre oprationnelle
de ces lignes directrices.
Mme si chaque employ reoit une formation pour accomplir les tches attribues
selon, soit la partiea), soit la partieb) du mandat du CST, la mise en application
des politiques, la sparation des donnes lies la scurit des TI et aux
renseignements lectromagntiques trangers, ainsi que lutilisation doutils
analytiques distincts, sont du ressort des superviseurs. En attribuant des tches
selon, soit la partiea), soit la partieb) du mandat du CST, le superviseur est en
mesure de surveiller la conformit.
Daprs le CST, les donnes que les employs chargs de la scurit des TI
partagent avec ceux chargs des renseignements lectromagntiques trangers
ne peuvent tre utilises quaux fins auxquelles elles ont t recueillies, cest--dire
la cyberdfense. En rgle gnrale, les analystes de lquipe charge des ren-
seignements lectromagntiques trangers et ceux de lquipe charge de la
scurit des TI travaillent en autonomie puisque les obligations lgales et les
exigences des politiques en ce qui concerne lutilisation, la conservation et
la divulgation de renseignements diffrent en fonction du mandat applicable.
Ainsi, la divulgation de renseignements personnels entre les employs chargs
des renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI nest possible quaprs que des obligations lgales prcises ont t remplies.
Les deux quipes oprationnelles du CST peuvent communiquer des renseigne-
ments personnels aux termes des alinas8(2)a) et b) de la Loi sur la protection
des renseignements personnels. Selon lalina8(2)a), la communication de
28 www.ocsec-bccst.gc.ca
lectromagntiques trangers et celle charge de la scurit des TI disposent
de politiques et de procdures exhaustives relativement ces activits, et quune
surveillance de la conformit est assure.
Pendant la tenue de cette tude, le bureau a demand au CST de lui fournir un
avis juridique pertinent. Contrairement la pratique tablie depuis longtemps,
le CST na pas fourni davis et a plutt prsent un rsum. Par le pass, le CST
a toujours donn accs ses avis juridiques au bureau du commissaire, tant
entendu quil ntait pas renonc au privilge du secret professionnel de lavocat.
Cependant, le commissaire est reconnaissant du fait que le CST a depuis prsent
au bureau des avis juridiques pertinents pour dautres examens en cours. Lorsquon
procde des examens dactivits pour en contrler la lgalit, il est essentiel
de savoir comment la loi est interprte, et si, et comment, elle est applique
par lorganisme.
Conclusion
Ltude a donn au bureau du commissaire loccasion de se renseigner sur
les subtilits de lchange dinformation entre les employs chargs des
renseignements lectromagntiques trangers et ceux chargs de la scurit
des TI, et de dterminer si des secteurs ou des activits doivent faire lobjet
dun examen de suivi.
Le commissaire navait pas dautres questions concernant la conformit la loi
ou la protection de la vie prive des Canadiens. Ltude na pas mis au jour de
nouvelles questions ncessitant un examen de suivi. Toutefois, lutilisation par
le CST dune base de donnes et dun outil utiliss pour la dtection de cyber-
menaces fait lobjet dun examen approfondi dans le cadre dun examen continu.
Le bureau continuera dexaminer les activits de coopration et de partage
dinformation entre les employs chargs des renseignements lectromagntiques
trangers et ceux chargs de la scurit des TI afin de contrer les cybermenaces
dans le cadre des examens des activits de collecte de renseignements
lectromagntiques trangers et de cyberdfense menes sous le rgime
dune autorisation ministrielle, ainsi que des divulgations dinformation sur
lidentit de Canadiens.
Contexte
Le CST signale et documente tout incident associ ses activits oprationnelles
ou celles de ses allis o il pourrait y avoir eu atteinte la vie prive dun Canadien,
contrairement aux politiques ou aux procdures oprationnelles du CST en matire
de protection de la vie prive des Canadiens.
Ces incidents, ainsi que les mesures correctives prises, sont consigns dans
un de troisdossiers en fonction de lendroit o lincident est survenu et de son
potentiel de causer un dommage. Il sagit du Dossier relatif aux incidents lis
la vie prive (DIVP), du Dossier relatif aux incidents lis aux allis (DIA), rcemment
cr, et du Dossier des erreurs de procdure mineures (DEPM) tenus par le CST.
Le DIVP est un dossier des incidents attribuables au CST concernant de linformation
sur un Canadien ou toute personne au Canada qui a t traite de manire contraire
la politique de protection de la vie prive du CST et qui a t expose des parties
externes ne devant pas les avoir reues. Ce type de manipulation inadquate
est dsign incident li la vie prive. Le DIA est un dossier des incidents
lis la vie prive qui sont attribuables des allis. Ces incidents peuvent tre
signals par les partenaires mmes ou par le CST. Enfin, le DEPM est un dossier
des cas o le CST a trait de manire inapproprie de linformation sur un
Canadien, mais o linformation a t contenue au sein du CST et na pas t
expose des parties externes.
Lexamen annuel par le bureau du DIVP, du DIA et du DEPM met laccent sur
les incidents qui nont pas t examins en dtail dans le cadre dautres examens.
Lexamen offre une occasion de dterminer les tendances ou les faiblesses
systmiques qui pourraient indiquer que des mesures correctives, des change-
ments aux procdures ou aux politiques du CST ou un examen approfondi dune
activit ou dun incident prcis simposent. Par exemple, le bureau pourrait exercer
une fonction dexamen critique afin de dterminer si lun des incidents survenus
dans le cadre des oprations constituait une atteinte substantielle la vie prive,
ce que la politique pangouvernementale dfinit comme une atteinte visant des
renseignements personnels sensibles dont on peut raisonnablement penser
quelle risque de causer un prjudice ou un dommage srieux la personne,
ou touche un nombre lev de personnes.
30 www.ocsec-bccst.gc.ca
En plus dexaminer les erreurs de procdure, les incidents et les mesures
subsquentes prises par le CST pour corriger la situation ou attnuer les
rpercussions, lexamen avait les objectifs suivants: se pencher sur toute
atteinte substantielle la vie prive dans le cadre des oprations, ainsi que
les mesures correctives connexes du CST; dterminer si tout incident soulve
des questions de conformit la loi ou de protection de la vie prive des
Canadiens; et valuer le cadre de validation de la conformit la politique
du CST et les activits de surveillance dans ce contexte.
Bien que ces examens couvrent normalement une anne civile entire, cet
examen a port sur six mois: du 1erjanvier2016 au 30juin2016. Les examens
futurs de ces dossiers couvriront une priode de 12mois, soit du 1erjuillet au
30juin, plutt que lanne civile. On a modifi la priode pour tenir compte de
la charge de travail du bureau relative la production de rapports la fin de
lexercice.
Le bureau a examin 55incidents lis la vie prive consigns dans le DIVP
et le DIA, ainsi que les mesures correctives prises par le CST pour y remdier.
Le bureau a galement examin les 6erreurs de procdure mineures documentes
par le CST au cours de la priode vise.
Constatations
Les incidents lis la vie prive incluaient, par exemple, le partage dinformation
sur lidentit de Canadiens ou son intgration par inadvertance un rapport
sans la supprimer, comme lexige la politique du CST, ainsi que le ciblage non
intentionnel ou les recherches dans les bases de donnes visant des rensei-
gnements sur des personnes jusqualors non connues pour tre des Canadiens
ou des personnes au Canada. Dans tous les cas, les rapports ont t annuls
ou corrigs et linformation sur lidentit a t dment supprime, ou le CST
a radi toute communication intercepte ou tout rapport connexe.
32 www.ocsec-bccst.gc.ca
de protection de la vie prive des Canadiens a t le nouvel instrument de politique,
lequel nonce les procdures suivre par les employs du CST pour traiter
les incidents lis la vie prive et les erreurs de procdure.
Conclusion
Cet examen na pas mis au jour des atteintes substantielles la vie prive,
des lacunes systmiques ou des questions ncessitant un examen de suivi qui
ntait pas dj prvu. Le CST a affirm ne pas avoir eu connaissance dune
quelconque incidence ngative sur les Canadiens concerns par un des incidents
lis la vie prive.
Le commissaire tait convaincu que le CST a ragi comme il se doit aux incidents
lis la vie prive et aux erreurs de procdure mineures relevs durant la
priode vise.
Lenregistrement et le signalement des incidents lis la vie prive et des erreurs
de procdure mineures demeurent un moyen efficace pour le CST de promouvoir
le respect des obligations lgales, des exigences ministrielles et des politiques
et procdures oprationnelles, et damliorer la protection de la vie prive
des Canadiens. Les amliorations apportes aux rapports et aux structures de
dossiers connexes devraient permettre de renforcer les mesures de protection
de la vie prive.
Le commissaire na formul aucune recommandation. Toutefois, il a encourag
le CST chercher un moyen pratique de sassurer que les rapports annuls
renfermant de linformation sur lidentit de Canadiens sont rapidement retirs
de ses bases de donnes, et quil y a confirmation de lannulation. De plus, il
sagit du deuxime examen conscutif du DIVP qui a mis au jour une diffusion
inapproprie dinformation sur lidentit de Canadiens en ce qui concerne des
rapports dallis contenant de linformation sur un Canadien ou une personne
au Canada. Le commissaire sest engag intgrer ces incidents au prochain
examen de suivi du soutien apport par le CST au Service canadien du rensei-
gnement de scurit en vertu de la partiec) de son mandat concernant un certain
type de rapport mettant en cause des Canadiens.
Contexte
La Loi sur la dfense nationale confre au CST le mandat de mener des activits
de scurit des technologies de linformation, notamment fournir des avis, des
conseils et des services pour aider protger les renseignements lectroniques
et les infrastructures dinformation importantes pour le gouvernement du Canada.
Ces activits, connues comme la partieb) du mandat du CST, ne doivent pas
viser des Canadiens, o quils se trouvent, ou toute personne au Canada et
elles doivent faire lobjet de mesures pour protger la vie prive des Canadiens
en ce qui a trait lutilisation et la conservation des renseignements intercepts
[alinas273.64(2)a) et b) de la Loi sur la dfense nationale].
Aux termes du paragraphe273.65(3) de la Loi sur la dfense nationale, le ministre
peut dans le seul but de protger les systmes ou les rseaux informatiques
du gouvernement du Canada contre les cybermenaces autoriser par crit le
CST intercepter des communications prives qui sont lies une activit ou
une catgorie dactivits quil mentionne expressment. Pour dtecter et contrer
les cybermenaces sophistiques, le CST peut, la rception dune demande crite
dune institution du gouvernement du Canada en vue de la conduite dactivits
de scurit des technologies de linformation, prendre des mesures pour recueillir
et analyser des donnes du systme ou du rseau de ce client. Ces activits
sont connues comme tant des activits de cyberdfense. tant donn que
ces activits pourraient entraner linterception de communications prives,
le CST doit mener ces activits sous le rgime dune autorisation ministrielle.
Une autorisation ministrielle est valide pendant unan.
Lobjectif premier de cet examen tait dvaluer la conformit la loi des activits
de cyberdfense du CST, ainsi que la mesure dans laquelle le CST protge la vie
prive des Canadiens en menant ces activits. On a prt une attention particulire
linterception et lutilisation par le CST de communications prives et
dinformation sur des Canadiens.
Lexamen, qui a port sur lautorisation ministrielle de cyberdfense en vigueur
du 1erjuillet 2015 au 30juin 2016, a permis de donner suite aux constations et
aux recommandations du rapport de lan dernier.
34 www.ocsec-bccst.gc.ca
Constatations
Le commissaire a conclu que lautorisation ministrielle de cyberdfense de
20152016 respectait les conditions dautorisation nonces dans la Loi sur
la dfense nationale.
Le commissaire na trouv aucune donne probante selon laquelle le CST aurait
men toute activit vise par lautorisation ministrielle de cyberdfense qui
serait contraire la loi. Dans lensemble, le CST na apport aucun changement
important la faon dont les activits de cyberdfense sont menes, ou des
changements qui auraient prsent un risque pour la conformit la loi ou
la protection de la vie prive.
Les changements apports lautorisation ministrielle en soi relative la
cyberdfense de 20152016 ntaient pas importants; ils taient toutefois positifs.
Les claircissements apports par les changements aux mmoires de demande
connexes adresss au ministre taient galement positifs.
Depuis lexamen ralis lan dernier, le CST a apport un changement de taille
sa politique sur la cyberdfense qui a largi le nombre de situations o certaines
informations sur lidentit de Canadiens associes une infrastructure cible
ou laquelle il a t port atteinte peuvent tre divulgues, sans suppression,
des institutions du gouvernement du Canada, des entits du secteur priv et
des allis choisis lorsque cette information est ncessaire aux fins danalyse
et dattnuation des vulnrabilits cyberntiques. Le commissaire a accept le
changement en raison des attentes relatives la vie prive plus faibles rattaches
ce type dinformation sur lidentit de Canadiens. Daprs le CST, le changement
laidera jouer son rle dattnuation des cybermenaces dans le cadre de la
Stratgie de cyberscurit du Canada, par exemple, en facilitant la communication
en temps opportun des renseignements sur les cybermenaces aux propritaires
des donnes et aux partenaires. Toutefois, le CST devrait travailler avec ses allis
mettre au point une entente sur le partage de renseignements aux fins de la
cyberscurit, qui ntait quune bauche au moment de rdiger le rapport.
Le bureau du commissionnaire continue de suivre la mise en uvre dun service
introduit en 20142015 qui est utilis pour dtecter et attnuer la cyberactivit
malveillante ou anormale visant les appareils de communication lectronique.
Le bureau surveillera galement lutilisation par le CST dun outil qui avait t
dploy dans le cadre dun projet pilote pendant la priode vise par lexamen.
Ces nouveaux services semblent gnralement bien convenir aux activits lies
la cyberdfense actuelles du CST, et ce dernier applique aux nouveaux services
les politiques et procdures oprationnelles en place, le cadre de validation de
la conformit ainsi que des mesures de protection de la vie prive.
Vecteur de la menace
On entend par vecteur de la menace la voie ou loutil quutilise lauteur
de la menace pour attaquer une cible. titre dexemple, lauteur dune
menace pourrait utiliser les vecteurs suivants pour attaquer une cible: un faux
site Internet, des liens ou des pices jointes dans un courriel ou des
appareils mobiles.
36 www.ocsec-bccst.gc.ca
Le commissaire a pu tablir que les communications prives identifies par
le CST pendant la priode vise par lexamen avaient t interceptes de manire
non intentionnelle le CST navait pas vis les Canadiens ou toute autre personne
au Canada dans le cadre de ses activits de cyberdfense. Les communications
prives interceptes se rapportaient uniquement la signature du maliciel et
au comportement anormal du systme. Les communications prives utilises
et conserves par le CST qui ont fait lobjet de lexamen taient essentielles
la ralisation de la partie b) du mandat du CST, et les rapports se fondant sur
les communications prives renfermaient des renseignements essentiels pour
pouvoir identifier, isoler ou prvenir les activits dommageables visant les systmes
ou les rseaux informatiques du gouvernement du Canada. Le CST a trait
les communications prives interceptes conformment ses politiques et
ses procdures. Le commissaire na constat aucun cas o le CST aurait
conserv une communication prive au-del des priodes de conservation et
de destruction prescrites par ses politiques.
En 2015-2016, il y a eu une augmentation importante du nombre de communications
prives interceptes. Il est encourageant de voir que dans le rapport de fin dexercice
prsent au ministre sur les autorisations ministrielles de 20152016, le CST
a continu de prsenter la rpartition du nombre de communications prives
identifies lors de la prestation de nouveaux services de cyberdfense plusieurs
institutions du gouvernement du Canada. Au nombre des raisons expliquant
laugmentation par rapport lanne dernire figurent la couverture largie
du rseau et laccs plus de donnes, les capacits de dtection amliores
et lautomatisation de lanalyse.
Comme ctait le cas au cours des annes passes, la majorit des communications
prives que le CST a dnombres comme tant conserves ou utilises en
20152016 consistaient en des courriels non sollicits envoys par lauteur dune
cybermenace un employ du gouvernement du Canada et ne renfermant rien
de plus quun code malveillant ou un lment dingnierie sociale cest--dire
quil ny avait pas dchange dinformation personnelle ou dautre information
significative entre lauteur de la cybermenace et lemploy. Le CST fait preuve
de prudence et dnombre toutes ces communications comme tant des
communications prives. En consquence de la mthode de dnombrement
du CST, il semble que les activits de cyberdfense donnent lieu linterception
non intentionnelle dun nombre beaucoup plus grand de communications prives
que les activits du CST lies la collecte de renseignements lectromagntiques
trangers. En 2015, le commissaire avait recommand que les rapports du CST
prsents au ministre mettent en lumire les diffrences importantes entre les
courriels destination ou en provenance du Canada intercepts dans le cadre
des activits de cyberdfense et les communications prives interceptes dans
le cadre des activits de collecte de renseignements lectromagntiques trangers,
y compris les attentes moins leves lgard de la protection de la vie prive
rattaches aux communications prives interceptes dans le cadre des activits
Conclusion
Le CST na pas apport de changements importants la faon dont il mne ses
activits de cyberdfense ni aucun changement qui aurait prsent un risque pour
la conformit la loi ou la protection de la vie prive. Le commissaire a pu tablir
que les communications prives identifies par le CST pendant la priode vise par
lexamen avaient t interceptes de faon non intentionnelle, cest--dire que
les activits de cyberdfense du CST ne visaient ni des Canadiens ni des personnes
se trouvant au Canada.
Les communications prives conserves ou utilises ayant fait lobjet de lexamen
taient essentielles pour permettre au CST de sacquitter de la partie b) de son
mandat, et les rapports fonds sur les communications prives renfermaient de
linformation essentielle pour identifier, isoler ou prvenir les activits dommagea
bles visant les systmes ou les rseaux informatiques du gouvernement du Canada.
Le bureau du commissaire surveillera les mesures que prendra le CST pour
rgler les problmes mis en vidence dans lexamen et il continuera de mener
des examens annuels des activits de cyberdfense exerces sous le rgime
dune autorisation ministrielle.
38 www.ocsec-bccst.gc.ca
7. Examen combin annuel des autorisations
ministrielles du CST relatives la collecte
de renseignements lectroniques trangers
et des vrifications ponctuelles des
communications canadiennes
(20152016 et 20162017)
Contexte
Le prsent rsum combine les constatations dcoulant de lexamen annuel des
autorisations ministrielles du CST relatives la collecte de renseignements
lectroniques trangers et deux vrifications ponctuelles de communications
canadiennes. Lexamen des autorisations ministrielles relatives la collecte
des renseignements lectromagntiques trangers a t ralis en vertu de
la Loi sur la dfense nationale, qui exige que le commissaire procde lexamen
des activits du CST exerces sous le rgime dautorisations ministrielles
pour en contrler la conformit et quil adresse au ministre un rapport annuel
sur lexamen. Le bureau a galement examin le statut, la fin de la priode
de validit des autorisations ministrielles, des communications prives
conserves ou utilises par le CST qui avaient t interceptes sous le rgime
de ces autorisations ministrielles. Les vrifications ponctuelles portaient sur
des communications canadiennes conserves, utilises ou dtruites par le
CST pendant les priodes prcises.
Canadien
On entend par Canadien un citoyen canadien, un rsident permanent
au sens du paragraphe 2(1) de la Loi sur limmigration et la protection des
rfugis ou une personne morale constitue ou proroge sous le rgime
dune loi fdrale ou provinciale.
40 www.ocsec-bccst.gc.ca
Autorisations ministrielles
Les autorisations ministrielles permettent au CST de passer outre
linterdiction dintercepter des communications prives nonce la
partieVI du Code criminel. Il sagit dun document crit en vertu duquel
le ministre de la Dfense nationale autorise le CST entreprendre une
activit ou une catgorie dactivits comportant un risque dinterception
nonintentionnelle de communications prives. Les autorisations ne
peuvent demeurer en vigueur pendant une priode de plus dun an. Pour
en apprendre davantage sur les autorisations et les limites imposes aux
activits du CST, veuillez consulter le site Web du bureau.
Constatations et recommandations
Le commissaire a constat que les autorisations ministrielles de 20152016
et de 20162017 relatives la collecte de renseignements lectromagntiques
trangers remplissaient les conditions dautorisation dfinies dans la Loi sur
la dfense nationale, savoir:
linterception vise des entits trangres situes lextrieur du Canada;
les renseignements obtenir ne peuvent raisonnablement tre obtenus
dune autre manire;
la valeur des renseignements trangers que lon espre obtenir grce
linterception justifie linterception envisage; et
il existe des mesures satisfaisantes pour protger la vie prive des Canadiens
et pour faire en sorte que les communications prives ne seront utilises
ou conserves que si elles sont essentielles aux affaires internationales,
la dfense ou la scurit.
42 www.ocsec-bccst.gc.ca
Le commissaire na pas observ de changements importants dans les autori-
sations ministrielles de 20152016 et de 20162017 ni dans les mmoires de
demande connexes adresss au ministre.
44 www.ocsec-bccst.gc.ca
la politique du CST exigeait quun avis juridique soit demand au ministre de
la Justice pour dterminer si la conservation ou lutilisation dune communication
entre un conseiller juridique et son client tait conforme aux lois canadiennes.
Lexigence relative la consultation du ministre de la Justice dans ces
circonstances ne fait dsormais plus partie de la politique du CST.
Lexamen de cette communication particulire a t toutefois entrav par
labsence de documentation sur lavis juridique obtenu ou de possibilit
dinterroger lavocat au dossier. Par consquent, le bureau a d se fier aux
dclarations des fonctionnaires du CST. Aprs examen, le bureau a convenu
que la communication ne constituait pas en fait une communication entre un
conseiller juridique et son client. Le CST naurait donc pas t tenu de signaler
cette activit au ministre. Nonobstant ce qui prcde, et bien que le commissaire
nait pas eu dautres questions sur le traitement de la communication par le
CST, le commissaire estimait que le CST aurait d obtenir un avis juridique
crit auprs du ministre de la Justice concernant le caractre privilgi de
la communication et concernant la question de savoir si son utilisation ou sa
conservation tait conforme aux lois canadiennes et si elle nallait pas dconsidrer
ladministration de la justice.
En raison de la nature quasi constitutionnelle de la protection accorde aux
communications entre un conseiller juridique et son client, le commissaire
arecommand que le CST obtienne toujours un avis juridique crit auprs
du ministre de la Justice concernant la conservation ou lutilisation dune
communication intercepte qui est protge par le secret professionnel
de lavocat.
Conclusion
Il est encourageant de constater quau cours des dernires annes, le CST a mis
en uvre les recommandations du commissaire conseillant dlargir la porte
des rapports prsents au ministre sur la protection de la vie prive. Les rapports
sur la protection de la vie prive incluent maintenant les communications
canadiennes identifies par le CST et reues par lintermdiaire dun alli et
celles auxquelles participe un Canadien se trouvant ltranger, deux types de
communications qui sont rputs prsenter un intrt similaire celui prsent
par les communications prives du point de vue de la protection de la vie prive.
Pour donner suite une autre recommandation du commissaire, les rapports
sur la protection de la vie prive prsents par le CST au ministre renferment
dsormais des renseignements plus dtaills sur les communications prives
conserves tires de renseignements lectromagntiques trangers, y compris
le nombre mensuel de communications prives conserves et les justifications
de la conservation.
46 www.ocsec-bccst.gc.ca
PLAINTES CONCERNANT
LES ACTIVITS DU CST
En 20162017, le bureau a t contact par plusieurs personnes en qute
dinformation ou exprimant des proccupations concernant les activits du
CST. Toutefois, il a t dtermin que les demandes de renseignements ne
relevaient pas du mandat du commissaire, ne se rapportaient pas aux activits
oprationnelles du CST ou manquaient de srieux. Aucune plainte concernant
les activits du CST ne justifiait une enqute.
ACTIVITS DU BUREAU
DU COMMISSAIRE
Prserver la confiance des parlementaires et des Canadiens dans le travail
du bureau exige ouverture et transparence, ainsi que des efforts concerts
pour suivre le rythme des technologies en constante volution et pour tirer
parti des occasions dchanger avec les homologues du bureau dans dautres
pays sur les pratiques exemplaires.
48 www.ocsec-bccst.gc.ca
Comit permanent de la dfense nationale de la Chambre des communes,
21mars2017: Le commissaire a dcrit quatre enjeux importants, dont
les changements devant tre apports la Loi sur la dfense nationale,
les claircissements ncessaires au projet de loiC-22 sur la faon dont
les organismes dexamen travailleront avec le comit de parlementaires
propos, la ncessit que la coopration entre les organismes dexamen
soit autorise par la loi, ainsi que limportance de la transparence pour
les organismes responsables de la scurit et du renseignement et leurs
organismes dexamen respectifs dans le renforcement de la reddition de
comptes globale et de la confiance du public.
Les allocutions et les lettres du commissaire se trouvent sur le site Web du bureau.
50 www.ocsec-bccst.gc.ca
PLAN DE TRAVAIL EXAMENS
EN COURS ET PRVUS
Le commissaire adopte une approche prventive axe sur le risque pour raliser
ses examens, tablissant les priorits en matire dexamen en se concentrant
sur les domaines o les risques de non-conformit la loi et datteinte la vie
prive des Canadiens sont valus comme tant les plus levs. Un plan de
travail triennal est mis jour deux fois par an. Llaboration du plan de travail
repose sur maintes sources, notamment les sances dinformation rgulires
du CST sur les nouvelles activits et les changements touchant les activits
existantes, le rapport annuel classifi prsent par le chef du CST au ministre
et faisant tat des priorits du CST et des questions importantes sur le plan
juridique, politique, oprationnel ou en matire de gestion, et les problmes
relevs dans les examens passs ou en cours. Pour apprendre davantage sur
lapproche prventive axe sur le risque adopte par le commissaire pour
effectuer ses examens, veuillez consulter le site Web du bureau.
Quatre examens amorcs en 20162017 seront achevs en 20172018: un
examen portant sur une mthode particulire de collecte de renseignements
lectromagntiques trangers mene sous le rgime dune autorisation
ministrielle et dune directive ministrielle; un examen ax sur les activits
de ciblage du CST; un examen distinct amorc en 2016-2017 qui fait suite
lexamen achev sur le partage de renseignements par le CST avec des entits
trangres; un examen annuel des divulgations dinformation sur lidentit de
Canadiens des clients du gouvernement du Canada, des allis et des
entits nappartenant pas la Collectivit des cinq.
Un examen de suivi sera men, qui portera sur laide fournie par le CST au Service
canadien du renseignement de scurit (SCRS) en vertu de la partiec) de son
mandat et des articles 12 et 21 de la Loi sur le Service canadien du renseignement
de scurit (appels lorigine Mandats dinterception au Canada de tlcommu-
nications trangres). Cet examen tait cens commencer lan pass, mais
il a t dplac dans lordre des priorits tant donn lexamen non prvu mentionn
plus haut. Un autre examen de suivi sera galement men qui portera sur
le soutien apport par le CST au SCRS en vertu de la partie c) de son mandat
concernant un certain type de rapport mettant en cause des Canadiens. Une
tude sur lutilisation des plateformes Internet internes par le CST des fins
de partage de renseignements sera galement ralise cette anne.
52 www.ocsec-bccst.gc.ca
ANNEXE A: BIOGRAPHIE DE
LHONORABLE JEANPIERRE
PLOUFFE, cd
Lhonorable JeanPierre Plouffe a t nomm commissaire du Centre de la
scurit des tlcommunications le 18octobre 2013 pour un mandat de troisans.
Le 18 octobre 2016, son mandat a t renouvel pour une priode de deux ans.
N le 15 janvier 1943 Ottawa, en Ontario, M. Plouffe a fait ses tudes
lUniversit dOttawa o il a obtenu sa licence en droit ainsi quune matrise
en droit public (droitconstitutionnel et international). Il a t admis au barreau
du Qubec en 1967.
M. Plouffe a dbut sa carrire au cabinet du jugeavocatgnral des Forces
armes canadiennes. Il a pris sa retraite de la Force rgulire en 1976, alors
quil tait lieutenant-colonel, mais est demeur dans la Force rserve jusquen
1996. Il a t avocat en pratique prive au sein du cabinet Sguin, Ouellette,
Plouffe et associs, Gatineau, au Qubec, o il sest spcialis en droit criminel,
a agi en tant que prsident du tribunal disciplinaire des pnitenciers fdraux,
ainsi quen tant quavocat de la dfense en cour martiale. Par la suite, M. Plouffe
a travaill pour le bureau daide juridique en qualit de directeur de la section
de droit criminel.
M. Plouffe a t nomm juge militaire en 1980 (Force de rserve), puis juge la
Cour du Qubec en 1982. Pendant plusieurs annes, il a t charg de cours en
procdure pnale la Section de droit civil de lUniversit dOttawa. Il a ensuite
t nomm juge la Cour suprieure du Qubec en 1990 puis juge la Cour
dappel de la cour martiale du Canada en mars 2013. Il a pris sa retraite en tant
que juge surnumraire le 2 avril 2014.
Au cours de sa carrire, M.Plouffe a particip la fois des activits profes-
sionnelles et communautaires. Il a reu des distinctions honorifiques civiles
et militaires.
54 www.ocsec-bccst.gc.ca
Loi sur les enqutes
(4) Dans lexercice de son mandat, le commissaire a tous les
pouvoirs confrs un commissaire en vertu de la partieII
de la Loi sur les enqutes.
Assistance
(5) Le commissaire peut retenir les services de conseillers
juridiques ou techniques ou dautres collaborateurs dont
la comptence lui est utile dans lexercice de ses fonctions;
il peut fixer, avec lapprobation du Conseil du Trsor, leur
rmunration et leurs frais.
Fonctions du commissaire
(6) Le commissaire exerce les attributions que lui confrent
la prsente partie et toute autre loi fdrale; il peut en
outre se livrer toute activit connexe autorise par le
gouverneur en conseil.
[...]
Rvision des autorisations
273.65 (8) Le commissaire du Centre de la scurit des tlcommu-
nications est tenu de faire enqute sur les activits qui ont
t exerces sous le rgime dune autorisation donne en
vertu du prsent article pour en contrler la conformit;
il rend compte de ses enqutes annuellement au ministre.
56 www.ocsec-bccst.gc.ca