Recommandation 1 :
L’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) recommande que le Centre de la sécurité des télécommunications (CST) explique clairement les points suivants dans les demandes soumises au ministre :
- comment les solutions réseau acquièrent l’information qui se rapporte à une Canadienne ou à un Canadien (IRC), y compris celle qui porterait atteinte à une attente raisonnable en matière de protection de la vie privée des Canadiennes, des Canadiens ou des personnes au Canada;
- comment le CST utilise, analyse et conserve cette information dans le cadre des activités qu’il mène pour ce qui est de la cybersécurité et de l’assurance de l’information.
Réponse du CST à recommandation 1 :
Le CST est partiellement d’accord avec cette recommandation.
Le CST convient que les demandes soumises au ministre devraient permettre à ce dernier de bien comprendre ces éléments et il croit qu’ils devraient être clairement communiqués. Les demandes du CST font mention à la fois de la façon dont l’organisme acquiert ce type d’information, de l’utilisation qu’il en fait par la suite et des mesures de protection de la vie privée qu’il emploie.
Le CST évalue s’il est possible d’améliorer la clarté de ses soumissions chaque fois qu’il demande une nouvelle autorisation ministérielle pour des activités liées à la cybersécurité. Il tiendra compte de la recommandation de l’OSSNR au moment de préparer ses futures demandes d’autorisation en matière de cybersécurité.
Recommandation 2 :
L’OSSNR recommande que le CST renouvelle son protocole d’entente avec Services partagés Canada (SPC) pour s’assurer que SPC et lui respectent leurs engagements respectifs, y compris tout engagement qu’il prend envers le ministre par rapport au rôle de SPC pour ce qui est de fournir aux propriétaires de systèmes de l’information sur le programme des capteurs au niveau du réseau (NBS pour Network-based Sensors).
Réponse du CST à recommandation 2 :
Le CST est partiellement d’accord avec cette recommandation.
En collaboration avec SPC, le CST mettra à jour le protocole d’entente de 2014 et veillera à ce que les attentes qui y sont stipulées s’harmonisent avec les mises à jour apportées aux politiques du gouvernement du Canada, qu’elles reflètent les pouvoirs actuels et qu’elles énoncent clairement les rôles et les responsabilités.
Le protocole d’entente de 2014 entre SPC et le CST visant la prestation de services de cyberdéfense par le CST pour aider à protéger les systèmes et les réseaux informatiques sous le contrôle et la supervision de SPC est toujours en vigueur. Il stipule clairement que SPC est le propriétaire des systèmes et l’exploitant des réseaux d’entreprise sur lesquels sont fournis les services NBS et qu’il incombe à SPC de veiller à ce que ses clients soient au courant des activités de cybersécurité et d’assurance de l’information que mène le CST pour protéger les réseaux du gouvernement du Canada.
Les responsabilités et les rôles liés à la surveillance, y compris ceux du CST et de SPC, sont décrits dans la Politique sur les services et le numérique du Conseil du Trésor. On y indique que le CST est responsable de la sécurité et de la surveillance des réseaux.
En vertu de la Politique sur les services et le numérique du Conseil du Trésor, les administratrices générales et administrateurs généraux sont tenus d’informer les personnes autorisées à utiliser les réseaux et les dispositifs électroniques ministériels des pratiques de surveillance adoptées par leur propre ministère et par SPC.
SPC, en tant que propriétaire du système, a indiqué qu’il comprenait les responsabilités qu’il doit assumer en vertu de la Politique sur les services et le numérique, ainsi que ses obligations prévues dans le protocole d’entente conclu avec le CST en ce qui a trait à la prestation de services de cyberdéfense en tant que propriétaire des systèmes et exploitant des réseaux d’entreprise sur lesquels sont fournis les services NBS.
Recommandation 3 :
L’OSSNR recommande que le CST mette à jour les protocoles d’entente conclus avec tous ses partenaires en cybersécurité de manière à s’assurer que ces derniers ont bien consenti aux activités de cybersécurité menées par le CST et à veiller à ce que ces ententes reflètent les pouvoirs de gouvernance actuels et s’y conforment. Le CST devrait adopter comme pratique de continuer de mettre à jour ses protocoles d’entente à mesure que les pouvoirs évoluent.
Réponse du CST à recommandation 3 :
Le CST est partiellement d’accord avec cette recommandation.
En collaboration avec ses partenaires en cybersécurité, le CST mettra à jour les protocoles d’entente en place et veillera à ce que les attentes qui y sont stipulées s’harmonisent avec les mises à jour apportées aux politiques du gouvernement du Canada, qu’elles reflètent les pouvoirs actuels et qu’elles énoncent clairement les rôles et les responsabilités.
Les constatations relevant de cette recommandation sont propres au protocole d’entente avec SPC. Le CST maintient des protocoles d’entente distincts avec d’autres ministères qui ne sont pas assujettis à la Politique sur les services et le numérique ou qui mènent leurs activités sur des réseaux dont SPC est propriétaire et sur lesquels le CST a convenu de fournir des services NBS. Ces protocoles d’entente énoncent clairement les services de cyberdéfense reçus par les ministères et constituent la base du consentement entre le CST et le propriétaire de systèmes. Les propriétaires de systèmes sont pleinement conscients de leurs responsabilités et de la portée des services de cyberdéfense fournis sur leurs réseaux.
Recommandation 4 :
L’OSSNR recommande que le CST explique au ministre de quelle façon ce dernier obtient le consentement des personnes utilisant les systèmes du gouvernement du Canada en ce qui a trait aux activités de cybersécurité ou encore précise pourquoi ce consentement n’a pas raisonnablement pu être obtenu.
Réponse du CST à recommandation 4 :
Le CST est partiellement d’accord avec cette recommandation.
Le CST convient que le ministre devrait recevoir de l’information sur la façon dont il obtient le consentement des personnes utilisant les systèmes du gouvernement du Canada. Les demandes d’autorisation ministérielle soumises par le CST relativement à des activités de cybersécurité indiquent clairement au ministre que les institutions fédérales sont tenues, conformément à la pratique adoptée dans l’ensemble du gouvernement, d’informer les utilisatrices et utilisateurs autorisés que les activités qu’ils mènent au moyen de leur appareil ou sur le réseau feront l’objet de surveillance à des fins de cybersécurité et d’assurance de l’information. En accusant réception de cet avis, les utilisatrices et utilisateurs accordent leur consentement au propriétaire de systèmes fédéral avec lequel le CST a conclu une entente pour la prestation de ces services de cybersécurité.
Recommandation 5 :
L’OSSNR recommande que le CST reconsidère l’application des limites imposées lors de l’acquisition de [certaines] informations à partir de l’infrastructure mondiale de l’information (Internet) (conformément au paragraphe 22(4) de la Loi sur le CST). Il conviendrait d’inclure une évaluation visant à déterminer si l’article 8 de la Charte des droits et libertés peut être invoqué, ainsi que des cas où [certaines] données peuvent contenir de l’information qui porterait atteinte à une attente raisonnable en matière de protection de la vie privée d’une Canadienne, d’un Canadien ou d’une personne au Canada.
Réponse du CST à recommandation 5 :
Le CST n’est pas d’accord avec cette recommandation.
Le CST a déjà déterminé les limites légales qui s’appliquent à l’acquisition d’information à partir de l’infrastructure mondiale de l’information. Il demeure persuadé qu’il mène ses activités de cybersécurité et d’assurance de l’information conformément à la loi.
Recommandation 6 :
L’OSSNR recommande que le CST, dans la conduite de ses activités d’acquisition nécessaires à des fins de cybersécurité et d’assurance de l’information, évalue ses sources actuelles d’information en matière de cybersécurité et d’assurance de l’information (lesquelles sont acquises sans autorisation ministérielle) pour déterminer si elles portent atteinte à une attente raisonnable en matière de protection de la vie privée d’une Canadienne, d’un Canadien ou d’une personne au Canada. Cette évaluation devrait être refaite au besoin pour s’assurer que cette information n’est pas acquise sans autorisation ministérielle valide.
Réponse du CST à recommandation 6 :
Le CST est partiellement d’accord avec cette recommandation.
Le Programme de conformité des activités (PCA) du CST a lancé une initiative visant à s’assurer que l’acquisition de certaines informations sur la cybersécurité respecte la limite prescrite.
Comme il est d’usage, le PCA procédera à une évaluation ou à une étude sur les diverses activités de cybersécurité et d’assurance de l’information en vue d’assurer la conformité continue. Par ailleurs, au moment de développer de nouveaux outils ou d’acquérir de nouvelles informations, le PCA continuera de travailler avec le personnel opérationnel pour veiller à ce que toutes les pratiques requises soient mises en place avant la mise en œuvre ou l’acquisition.
Recommandation 7 :
L’OSSNR recommande que l’article 27 de la Loi sur le CST soit modifié pour permettre au ministre d’autoriser le CST à acquérir l’information nécessaire au volet de cybersécurité et d’assurance de l’information de son mandat (information qui peut être susceptible de porter atteinte à une attente raisonnable de protection de la vie privée d’une Canadienne, d’un Canadien ou d’une personne au Canada, ou de contrevenir à une loi fédérale) à partir de sources autres que les infrastructures et les systèmes d’information fédéraux d’importance pour le gouvernement du Canada.
Réponse du CST à recommandation 7 :
Le CST est d’accord avec cette recommandation.
Le CST convient que des modifications législatives permettraient de clarifier la capacité du ministre de la Défense nationale à fournir au CST les autorisations nécessaires pour acquérir de l’information sur la cybersécurité à partir de l’infrastructure mondiale de l’information d’une manière qui porterait atteinte à une attente raisonnable en matière de protection de la vie privée d’une Canadienne, d’un Canadien ou d’une personne au Canada.