Que fait le CST pour protéger la vie privée des Canadiens?

Le gouvernement a déposé en juin 2017 le projet de loi C-59, la nouvelle loi sur la sécurité nationale. Ce projet de loi vise, entre autres, à proposer la mise sur pied de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et la nomination d’un Commissaire au renseignement (CR).
À l’heure actuelle, il incombe au Bureau du commissaire du CST de procéder à l’examen des activités du CST. Le projet de loi proposé changera la façon dont les activités du CST sont examinées. Cliquez ici pour en savoir plus sur l’OSSNR et le CR.

Privée

Le respect de la loi et de la vie privée : nos principes les plus importants

Les principes de respect de la loi et de la vie privée font partie intégrante des activités du Centre de la sécurité des télécommunications (CST). En effet, ces principes sont intrinsèques à tout ce que nous faisons, à nos systèmes, à nos processus et à notre effectif. Nous décrirons dans la présente les lois qui régissent les activités de l’organisme, les directives, les autorisations et les politiques qui le guident ainsi que les procédures et les processus mis en place pour protéger la vie privée des Canadiensi. De plus, nous détaillerons ci-dessous les mesures d’examen et de production de rapports auxquelles le CST est assujetti à titre d’organisme du gouvernement du Canada (GC).

Pourquoi c’est important

La loi canadienne traduit l’importance de veiller à la sécurité du Canada et des Canadiens tout en protégeant la vie privée des Canadiens. Donc, tout comme veiller à la sécurité des Canadiens, protéger la vie privée des Canadiens n’est pas une activité que le CST relègue au second plan. Le respect de la vie privée des Canadiens est une partie fondamentale de notre culture organisationnelle et fait partie intégrante de nos structures, politiques et processus organisationnels. Le respect de la loi et l’obligation de respecter la vie privée des Canadiens et des personnes se trouvant au Canada font partie des premiers éléments que l’on enseigne aux nouveaux employés de l’organisme. Il est indispensable pour tous nos employés de garder en tête le respect de la loi et de la vie privée, et ce, tout au long de leur carrière. Nous savons que nous sommes responsables de la protection de la vie privée des Canadiens et des personnes se trouvant au Canada et nous prenons cette responsabilité au sérieux.

Dans le cadre de toutes ses activités en matière de renseignements électromagnétiques, de toutes ses activités de cyberdéfense, et de toutes ses activités liées à l’assistance technique et opérationnelle aux organismes fédéraux chargés de l’application de la loi et de la sécurité, dans l’exercice des fonctions que la loi leur confère, ), le CST intègre des mesures (expliquées en détail ci-dessous) visant à protéger la vie privée des Canadiens, et ce, tout en s’efforçant de mener à bien sa mission.

La loi

La loi oblige le CST à n’exercer que les activités qui relèvent de son mandat. Par exemple, en vertu de son mandat lié au renseignement électromagnétique étranger, le CST peut procéder à la collecte de renseignement étranger uniquement pour répondre aux priorités du gouvernement liées aux affaires internationales, à la défense et à la sécurité. Des moyens de protection de la vie privée sont intégrés aux lois et aux politiques qui régissent les activités du CST, notamment :

  1. La Charte canadienne des droits et libertés, plus précisément l’article 8, protège les Canadiens et les personnes se trouvant au Canada contre les fouilles, les perquisitions ou les saisies abusives. La Charte s’applique à toutes les lois canadiennes, y compris à l’article de la Loi sur la défense nationale qui régit le CST.
  2. La La Loi sur la défense nationale, précise que les activités effectuées par le CST en vertu de ses mandats liés au renseignement étranger et à la cyberdéfense ne doivent pas viser les Canadiens ou les personnes se trouvant au Canada, et que ces activités doivent être soumises à des mesures de protection de la vie privée des Canadiens lors de l’utilisation et de la conservation des renseignements interceptés.
  3. La La Loi sur la protection des renseignements personnels, oblige tous les ministères et organismes fédéraux, y compris le CST, à restreindre la collecte, l’utilisation et la communication des renseignements personnels. Plus précisément, la Loi mentionne ce qui suit : les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités; le besoin de recueillir ces renseignements doit être démontré; l’utilisation des renseignements se limite aux fins auxquelles ils ont été recueillis; et, enfin, la communication des renseignements est effectuée avec le consentement de la personne concernée ou, sans son consentement, strictement en vertu des exceptions que la Loi mentionne.

En novembre 2011, le CST a reçu le statut d’organisme autonome au sein du portefeuille de la Défense nationale. Depuis avril 2013, le CST assume entièrement la responsabilité de répondre aux demandes effectuées en vertu de la Loi sur la protection des renseignements personnels. Auparavant, ces demandes étaient traitées par le ministère de la Défense nationale. Le CST a déjà entrepris plusieurs initiatives clés, entre autres :

  • publier des renseignements au sujet des fichiers de renseignements personnels (FRP) du CST sur son site Web conformément aux lignes directrices du Secrétariat du Conseil du Trésor;
  • offrir de nouvelles occasions de formation et sensibiliser les employés aux droits et aux responsabilités qui leur sont conférés en vertu de la Loi;
  • améliorer les outils et les processus servant à évaluer les facteurs relatifs à la vie privée;
  • désigner un chef de la protection des renseignements personnels, qui a pour tâche d’aider l’organisme à respecter les obligations qui lui incombent en vertu de la Loi.

Mesures en place pour protéger la vie privée des Canadiens

Comment le CST protège-t-il la vie privée des Canadiens? Premièrement, le CST dispose d’un cadre rigoureux en matière de protection de la vie privée; à savoir : une combinaison de directives ministérielles, d’autorisations ministérielles, de politiques, de procédures, d’examens internes et d’examens externes indépendants. Grâce à ces mesures, on s’assure que le CST effectue ses activités tout en protégeant la vie privée des Canadiens. Chacun des mécanismes est décrit ci-dessous.

Directive ministérielle sur la protection de la vie privée des Canadiens et des Canadiennes

Une directive ministérielle (DM) est un ensemble d’instructions que le ministre de la Défense nationale transmet au chef du CST. Elle ne peut pas accroître les pouvoirs du CST au-delà des pouvoirs qui lui sont conférés par la Loi sur la défense nationale. En fait, on se sert souvent des DM pour restreindre ou limiter les pouvoirs du CST, ou pour mettre en place des mesures de responsabilisation, comme la production de rapports sur des sujets précis, à l’intention du ministre. La DM sur la protection de la vie privée stipule que le CST doit prendre des mesures visant à protéger la vie privée des Canadiens, et qu'il doit veiller à ce que soient en place les politiques et procédures appropriées en vue du traitement, de la conservation, de l’utilisation et de la destruction des informations sur les Canadiens. En outre, la DM mentionne que le CST doit veiller à ce que ses politiques évoluent au même rythme que la technologie mondiale et que son expertise, afin d’assurer la protection requise de la vie privée des Canadiens. Enfin, la DM sur la protection de la vie privée des Canadiens contient des instructions claires indiquant que le CST doit coopérer pleinement avec le commissaire du CST et la commissaire à la protection de la vie privée du Canada dans l’exécution de leurs tâches.

Autorisations ministérielles

Nos activités de collecte de renseignement électromagnétique étranger ne ciblent que les entités étrangères situées à l’extérieur du Canada. Cependant, la complexité des télécommunications à l’échelle mondiale fait en sorte qu’il est impossible de savoir si une cible étrangère transmettra ou recevra des communications provenant ou à destination d’une personne se trouvant au Canada. Par conséquent, il existe un risque d’interception fortuite de communications privéesii. La Loi sur la défense nationale reconnaît cette possibilité et exige que le ministre de la Défense nationale autorise les activités qui risqueraient d’entraîner l’interception fortuite de communications privées. Le ministre peut délivrer une autorisation si les conditions suivantes sont réunies :

  • l’interception visera des entités étrangères situées à l’extérieur du Canada;
  • les renseignements ne peuvent raisonnablement être obtenus d’une autre manière;
  • la valeur du renseignement étranger anticipée dans le cadre de la collecte de renseignements justifie une telle mesure;
  • il existe des mesures satisfaisantes (expliquées plus en détail dans la section Mesures supplémentaires visant à protéger la vie privée des Canadiens) pour protéger la vie privée des Canadiens et pour faire en sorte que les communications privées soient utilisées ou conservées seulement si elles sont essentielles pour les affaires internationales, la défense ou la sécurité.

Le ministre autorise également le CST à prendre des mesures pour protéger les systèmes ou les réseaux informatiques du gouvernement du Canadamême si ces activités risquent de donner lieu à l’interception de communications privées. Par exemple, si un pirate informatique étranger envoie un courriel malveillant (c.-à-d. un courriel qui contient un virus ou un lien vers un site Web malveillant) à un ministère fédéral, ce courriel peut être analysé en vue de protéger le système informatique du gouvernement du Canada contre toute activité dommageable, dans la mesure où les conditions suivantes sont respectées :

  • l’interception est nécessaire pour repérer, isoler ou prévenir des activités dommageables pour les systèmes ou les réseaux informatiques du gouvernement du Canada;
  • les renseignements ne peuvent raisonnablement être obtenus d’une autre manière;
  • le consentement des personnes dont les communications peuvent être interceptées ne peut raisonnablement être obtenu;
  • des mesures satisfaisantes sont en place pour faire en sorte que seuls les renseignements qui sont essentiels pour repérer, isoler ou prévenir les activités dommageables visant les systèmes ou les réseaux informatiques du gouvernement du Canada seront utilisés ou conservés;
  • des mesures satisfaisantes (expliquées plus en détail dans la section Mesures supplémentaires visant à protéger la vie privée des Canadiens) sont en place pour protéger la vie privée des Canadiens en ce qui concerne l’utilisation et la conservation de ces renseignements.

Les autorisations ministérielles comprennent des conditions que le ministre juge nécessaires pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada, y compris des mesures supplémentaires pour limiter l’utilisation, la conservation et la divulgation des renseignements provenant de communications privées. Les autorisations du ministre sont valides pendant un an, tout au plus.

Le respect et la vie privée et le mandat d’assistance du CST

La loi confère au CST le mandat de fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l’application de la loi et de la sécurité, dans l’exercice de leur propre mandat. Dans de telles circonstances, le CST exerce ses activités en vertu du pouvoir légitime de l’organisme demandeur et conformément aux restrictions et aux conditions liées au pouvoir de l’organisme demandeur. En vertu de ce mandat, le CST échange des informations avec l’organisme demandeur conformément aux pouvoirs qui lui sont accordés dans les modalités du mandat délivré par un tribunal.

Respect de la vie privée et métadonnées

Afin de réaliser son mandat, le CST recueille et analyse différentes sortes de métadonnées. Les métadonnées sont des informations associées à une télécommunication servant à l’identifier, à la décrire, à la gérer ou à l’acheminer dans les réseaux mondiaux ou au sein de systèmes informatiques. Les métadonnées ne contiennent aucun contenu de communications. Le CST utilise les métadonnées aux fins suivantes : comprendre les complexes réseaux mondiaux de télécommunications, découvrir et analyser des cibles étrangères et défendre les informations et les réseaux d’importance pour le gouvernement du Canada.

On ne retrouve pas de communications privées dans les métadonnées, mais il est possible de retrouver, dans quelques types de métadonnées, certains renseignements personnels. Par conséquent, comme en ce qui a trait à toutes les activités du CST, des mesures sont en place pour protéger la vie privée des Canadiens lorsque l’on traite des métadonnées dont l’auteur peut s’attendre à ce qu’elles ne soient pas interceptées.

Mesures supplémentaires visant à protéger la vie privée des Canadiens

  1. Politique et procédures opérationnelles détaillées

    Le CST s’appuie sur les nombreuses lois, directives et autorisations ministérielles qui régissent les activités de l’organisme, puis les intègre à un ensemble de politiques opérationnelles très détaillées. Ces politiques établissent des mesures précises visant la protection de la vie privée des Canadiens lors de l’utilisation et de la conservation de l’information interceptée.
     
  2. Formation

    Pour s’assurer que l’ensemble du personnel comprend bien les politiques opérationnelles de l’organisme et qu’il s’y conforme, le CST offre régulièrement de la formation. Il fait aussi passer au personnel un examen visant à vérifier leurs connaissances sur les politiques opérationnelles ainsi que leur respect de la loi. Tous les employés qui mènent des opérations d’analyse et de production des données acquises par le CST doivent revoir les politiques et passer un examen connexe chaque année. Le personnel qui ne passe pas les examens obligatoires se voit refuser l’accès aux systèmes opérationnels du CST. En outre, le ministère de la Justice présente également à ces employés des séances d’information obligatoires portant sur les aspects juridiques.

  3. Pratiques opérationnelles

    Lorsque le CST recueille du renseignement étranger, il est possible que des informations concernant des Canadiens, y compris des communications privéesii, soient fortuitement interceptées, par exemple, si une cible terroriste étrangère communique avec quelqu’un se trouvant au Canada. Par conséquent, le CST a mis en place plusieurs pratiques opérationnelles visant à gérer minutieusement les données et les communications interceptées qu’il pourrait conserver afin de protéger la vie privée des Canadiens et de toute personne se trouvant au Canada. Ces pratiques sont examinées périodiquement par le CST et par le bureau du commissaire du CST pour veiller à ce que les activités de l’organisme respectent la loi et pour améliorer continuellement les moyens de protection de la vie privée des Canadiens. Voici quelques exemples de ces pratiques opérationnelles :
     
    1. Le CST peut décider de conserver une communication privée seulement dans les cas suivants : i) si elle est essentielle à la compréhension de renseignement étranger lié aux affaires internationales, à la défense ou à la sécurité; ou ii) si elle est essentielle pour repérer, isoler ou prévenir des activités dommageables pour les systèmes ou les réseaux informatiques du gouvernement du Canada. (Le commissaire du CST a examiné toutes les communications privées recueillies, utilisées ou conservées par le CST, en vertu des autorisations ministérielles permettant la collecte de renseignement étranger de l’année 2012-2013.)
    2. Nous supprimons les informations au sujet des Canadiens dans les rapports de renseignement que nous rédigeons; ces informations font partie des rapports uniquement lorsqu’elles sont nécessaires à la compréhension du renseignement étranger que le rapport contient, sinon, le nom d’un Canadien sera remplacé par une référence vague comme « une personne canadienne ». Par la suite, si nous recevons une demande de divulgation d’informations identifiant un(e) Canadien(ne), nous exigeons que le ministère ou l’organisme demandeur démontre qu’il détient les autorisations légales pour demander et utiliser ces renseignements et qu’il nous offre une justification opérationnelle de son besoin de connaître. Toutes les demandes sont évaluées et consignées. (Le commissaire effectue un examen annuel des divulgations dinformations liées à lidentité et, en 2012-2013, il a conclu que toutes les activités du CST étaient conformes aux lois canadiennes, y compris la Loi sur la protection des renseignements personnels, et que toutes les demandes de divulgation étaient autorisées, justifiées et bien documentées.)
    3. L’accès aux systèmes et aux bases de données qui contiennent de tels renseignements se limite aux employés du CST qui en ont besoin dans l’exercice de leurs fonctions, qui ont reçu une formation à cette fin et qui passent régulièrement des examens au sujet des politiques et procédures du CST. (Dans le cadre de son examen annuel, le commissaire du CST a évalué si les politiques et les pratiques du CST étaient effectivement respectées et si elles étaient toujours adéquates. De plus, il a évalué la connaissance et la compréhension qu’a le personnel opérationnel du CST des politiques et des pratiques.)
    4. Le CST fait preuve de prévoyance pour ce qui est de cerner et signaler les incidents qui vont à l’encontre de nos politiques opérationnelles et regroupe tous les documents afférents de manière à faciliter l’examen et le rapport du commissaire du CST. (Chaque année, le commissaire du CST les examine et consigne ses constatations et ses recommandations dans son rapport annuel au ministre et au Parlement.)
    5. Les échanges d’informations du CST (avec ses clients du gouvernement du Canada et ses alliés) sont conformes aux lois canadiennes, y compris à la Loi sur la protection des renseignements personnels.
    6. La collecte, la gestion, la conservation et l’utilisation de communications privées fortuitement interceptées par le CST font l’objet d’une étroite surveillance et d’examens réguliers de la part des gestionnaires. Lorsqu’un analyste repère une communication privée, il doit s’assurer de la marquer pour en faire le suivi dans nos systèmes afin de veiller à ce que l’utilisation et la conservation de la communication privée soient conformes aux exigences des lois qui régissent le CST. Si une communication privée interceptée de manière fortuite par le CST ne répond pas aux conditions essentielles mentionnées ci-dessus, elle doit être supprimée. Les communications privées utilisées par le CST font l’objet de strictes limites de conservation.
    7. Les pratiques du CST ayant trait à la collecte, à la gestion, à la conservation et à l’utilisation de communications privées interceptées fortuitement ont fait l’objet d’un examen des commissaires du CST et font partie des rapports publics que les commissaires présentent chaque année au Parlement.
    En résumé, les activités du CST sont : essentielles à l’exécution de son mandat; proportionnelles aux risques que l’organisme tente d’atténuer ou au renseignement étranger que le CST tente de recueillir; efficaces pour protéger le Canada et les Canadiens; et sont aussi discrètes que possible. Grâce à ces mesures, l’utilisation et la conservation de communications privées interceptées de manière fortuite se limitent aux cas où elles sont essentielles à l’exécution des mandats que la loi confère au CST.
     
  4. Examens et vérifications internes du CST

    En plus des mécanismes de surveillance de la gestion, le CST dispose d’autres mécanismes visant à surveiller et à évaluer ses activités ou à fournir des recommandations au sujet de ses opérations et de ses mesures de protection de la vie privée. Parmi ces mécanismes, on compte :
     

     

    1. des groupes de vérification de la conformité qui s’assurent que les données recueillies, utilisées et conservées par le CST respectent les directives énoncées dans les politiques;
    2. une équipe de vérification, d’évaluation et d’éthique qui a le mandat d’examiner toute activité du CST et de fournir aux employés un mécanisme permettant la discussion ou le signalement de problèmes importants en matière d’éthique au CST, notamment des actes répréhensibles perçus ou présumés, et ce, sans crainte de représailles.
    De plus, une équipe de conseillers juridiques provenant du ministère de la Justice est affectée au CST. Ces avocats sont souvent consultés en ce qui a trait aux exigences opérationnelles.
     
  5. Obligation de rendre des comptes au ministre

    Chaque année, le CST doit rendre des comptes au ministre en ce qui a trait à la conservation ou à l’utilisation de toutes les communications privées reconnues.
     
  6. Examens indépendants externes

    À titre d’agent indépendant externe, le commissaire du CST a le mandat d’examiner les activités du CST. Les examens du commissaire servent à déterminer si les activités du CST sont conformes aux lois du Canada. Le commissaire vérifie, entre autres, que le CST ne vise pas des Canadiens ou toute personne au Canada dans le cadre des activités que l’organisme effectue en vertu de ses mandats liés au renseignement électromagnétique étranger et à la cyberdéfense. Les examens du commissaire servent, en outre, à déterminer si le CST respecte ses politiques et procédures ayant trait au traitement des renseignements qu’il recueille, y compris les mesures visant à protéger la vie privée des Canadiens et de toute personne se trouvant au Canada.

    Le commissaire vérifie que le CST respecte les restrictions ou les exigences supplémentaires qu’a instaurées le ministre dans les politiques opérationnelles ou dans les directives et les autorisations ministérielles, et doit signaler au ministre et au procureur général du Canada toute activité qu’il juge illégale.

    Il incombe également au commissaire de formuler des recommandations pour aider le CST à renforcer les mesures de conformité et de protection de la vie qui régissent les activités de l’organisme. Cette approche préventive a permis au CST de mettre en place des cadres rigoureux en matière de protection de la vie privée et de conformité aux lois. Enfin, le commissaire a le mandat de recevoir toutes les plaintes concernant les activités du CST qui ne respecteraient pas les lois, et de mener des enquêtes à ce sujet.

    De plus, le commissaire est disponible pour recevoir les employés du CST qui souhaitent divulguer des informations en vertu de la Loi sur la protection de linformation (LPI). La Loi définit les fonctions précises du commissaire du CST dans le cas où une personne autrement astreinte cherche à défendre la divulgation de renseignements classifiés sur le CST au motif qu’elle a agi dans l’intérêt public et invoque à cette fin la clause de la « défense d’intérêt public » de la Loi.
     

Engagement à l’égard de la protection de la vie privée

La protection de la vie privée est fondamentale au sein d’une société libre et démocratique comme la nôtre. Nous comprenons qu’en raison de la nature de nos activités, nous devons assumer des responsabilités particulières en ce qui a trait à la protection de la vie privée des Canadiens. Nous prenons très au sérieux ces responsabilités. Les lois qui régissent les activités de l’organisme, les directives, les autorisations et les politiques qui orientent les activités du CST, ainsi que les procédures et les protocoles que suivent tous les employés de l’organisme partagent un objectif commun : respecter la loi et protéger la vie privée des Canadiens.


i La vie privée des Canadiens fait aussi référence à la vie privée des Canadiens où qu’’ils se trouvent dans le monde et de toute personne se trouvant au Canada.

ii Qu’est-ce qu’une communication privée? D’après le Code criminel, il s’agit d’une communication orale ou télécommunication dont l’auteur se trouve au Canada, ou destinée par celui-ci à une personne qui s’y trouve, et qui est faite dans des circonstances telles que son auteur peut raisonnablement s’attendre à ce qu’elle ne soit pas interceptée par un tiers. La présente définition vise également la communication radiotéléphonique traitée électroniquement ou autrement en vue d’’empêcher sa réception en clair par une personne autre que celle à laquelle son auteur la destine.