L’équité, la diversité et l’inclusion à la GRC - Questions et réponses

Sur cette page

• La diversité à la GRC
• Mesures pour contrer le racisme systémique
• Mesures pour répondre aux besoins des femmes à la GRC
• Mobilité professionnelle
• Nombre de cas de harcèlement à la GRC
• Prévention du harcèlement
• Conséquences pour les harceleurs

La diversité à la GRC

Quel est le portrait démographique actuel de la GRC pour ce qui est des quatre principaux groupes désignés, soit les femmes, les minorités visibles, les Autochtones et les personnes handicapées?

La représentation des groupes désignés aux fins de l'équité en matière d'emploi dans les rangs de la GRC s'établissait comme suit au 1er octobre 2020 :

Catégorie d'employés	Femmes	Minorités visibles	Autochtones	Personnes handicapées
Membres réguliers	21,7 %	12,1 %	7,1 %	1,4 %
Membres civils	50,7 %	14,6 %	3,5 %	2,7 %
Employés de la fonction publique nommés pour une période indéterminée	75,6 %	14,5 %	5,4 %	3,6 %

Que fait la GRC pour accroître la diversité dans ses rangs?

La GRC a pris ou compte prendre plusieurs mesures pour favoriser la diversité au sein de son effectif et mettre en œuvre des pratiques équitables et inclusives à l'égard de son personnel et de son milieu de travail.

La Stratégie d'équité, de diversité et d'inclusion (Stratégie EDI) est l'un des moyens par lesquels l'organisation manifeste son engagement à satisfaire aux attentes et aux besoins d'une population et d'un effectif qui se diversifient de plus en plus.

Afin de moderniser les critères de candidature de la GRC et les méthodes qu'elle emploie pour évaluer les postulants, il faut relever et éliminer les obstacles auxquels se heurtent les candidats prometteurs d'origine autochtone, de race noire ou d'autres groupes racisés.

Dans le but de rendre la perspective d'une carrière policière à la GRC plus attrayante pour les candidats issus de la diversité, nous examinons des façons d'adapter nos méthodes de formation et de modifier les critères et les processus de candidature en vigueur. Nous mettrons l'accent sur le recrutement de candidats qui possèdent les caractéristiques requises pour exercer des fonctions d'application de la loi au sein d'un corps policier moderne.

Mesures pour contrer le racisme systémique

Quelles lacunes dans les données compliquent le plus le repérage du racisme systémique dans votre institution?

L'une des plus grandes lacunes est l'absence de pratiques rationnelles pour la collecte de données sur la race. Dans le cadre du plan Vision 150 pour accroître l'équité, la responsabilité et la confiance envers la GRC, une initiative a été lancée afin de déterminer la meilleure façon de recueillir, d'interpréter et d'étayer les données policières sur la race.

À l'interne, on a bien du mal à comparer les données de déclaration volontaire sur la race qui sont recueillies par la GRC avec celles qui proviennent d'autres systèmes. Si nous ne pouvons pas faire cette comparaison, nous ne serons pas en mesure d'établir des données de base claires et cohérentes sur lesquelles nous pourrons fonder nos actions, et le travail effectué dans les autres ministères et organismes nous sera d'une utilité limitée.

Notre Stratégie numérique prévoit la création d'un service qui facilitera la consultation et l'analyse de données entre équipes. Ce service, appelé Analytique, Données et Gestion de l'information, joue un rôle directeur dans la stratégie de gestion des données de la GRC et dans le changement culturel qui s'impose afin que les données soient gérées comme une ressource organisationnelle stratégique.

La GRC adoptera-t-elle, comme elle l'a fait en 2011 avec son plan d'action Égalité entre les sexes et respect, un cadre prévoyant des mesures concrètes pour enrayer le racisme systémique et la discrimination?

La GRC respecte les diverses opinions sur la voie à privilégier et comprend que les Canadiens attendent des résultats de sa part.

Le plan d'action Égalité entre les sexes et respect a été une étape importante dans le long cheminement de la Gendarmerie pour transformer sa culture.

Nos stratégies actuelles visent plusieurs des mêmes problèmes que le juge Bastarache a soulignés dans son rapport. Nos efforts cadrent avec ses conclusions et nous sommes sur la bonne voie.

L'une des principales différences entre la situation actuelle et l'initiative de 2011, c'est que la GRC est consciente de ne pas pouvoir obtenir les résultats souhaités en vase clos et qu'elle fait participer diverses communautés et des experts de l'extérieur à la recherche de solutions.

Quand peut-on s'attendre à voir des actions concrètes et directes de la part de la GRC pour éliminer le racisme?

La GRC a dressé deux plans qui décrivent les mesures qu'elle prendra pour éliminer le racisme systémique.

Le plan Vision 150 pour accroître l'équité, la responsabilité et la confiance envers la GRC fait état de plusieurs engagements qui portent directement sur le racisme systémique.

En novembre, la haute direction a approuvé une stratégie dynamique et exhaustive d'équité, de diversité et d'inclusion qui prévoit des changements fondamentaux, y compris la désignation de responsables dans chaque division et secteur d'activité et l'établissement d'attentes claires pour garantir que nous procédons comme il faut à la mise enpratique des actions requises.

Nous continuons de collaborer avec des personnes qui possèdent une expérience et une expertise pertinentes afin de favoriser le changement au sein de notre organisation.

Mesures pour répondre aux besoins des femmes à la GRC

Le rapport Bastarache recommande que la GRC se penche sur ses politiques et programmes afin de cerner et de régler les problèmes qui perpétuent les obstacles systémiques auxquels se heurtent les femmes, y compris celles de la communauté LGBTQ2S+, au sein de l'organisation. Quand la GRC va-t-elle entreprendre cet examen?

Il est important que la GRC se dote de la capacité requise pour effectuer ce genre d'analyse.

En 2017, elle a créé un service voué à la mise en œuvre de l'analyse comparative entre les sexes plus (ACS+) dans l'ensemble de l'organisation. Nous avons réalisé une ACS+ à l'égard du recrutement des membres réguliers et du processus d'avancement des officiers. Nous en menons actuellement une sur le Programme de formation des cadets et en prévoyons une autre sur la répartition des possibilités de formation.

Notre Stratégie d'équité, de diversité et d'inclusion propose une série d'actions qui renforceront aussi notre capacité à examiner nos programmes et nos politiques et à éliminer la violence sexospécifique en milieu de travail.

La question des grossesses et des congés de maternité a été soulevée dans de nombreuses demandes d'indemnisation et dans une décision judiciaire récente. Que fait la GRC pour résoudre cet enjeu de longue date?

En consultation avec le Comité consultatif national sur l'égalité des genres et le harcèlement, dont l'établissement faisait partie des engagements pris dans l'accord de règlement Merlo Davidson, la GRC examine des moyens d'atténuer les problèmes liés aux congés de maternité ou parentaux. Nous avons relevé plusieurs éléments à améliorer, notamment en ce qui concerne l'utilisation des programmes existants de réintégration du milieu de travail et la nécessité de fournir une orientation accrue aux gestionnaires.

Mobilité professionnelle

Les membres civils jouissent-ils de la même mobilité que les membres réguliers et les employés de la fonction publique?

La GRC compte trois catégories d'employés : les membres réguliers (policiers), les employés de la fonction publique, qui sont embauchés en vertu de la Loi sur l'emploi dans la fonction publique, et les membres civils, qui sont embauchés en vertu de la Loi sur la GRC.

Les employés de la fonction publique jouissent d'une mobilité qui leur permet de travailler n'importe où dans la fonction publique fédérale. Ils peuvent donc postuler des emplois à l'interne et obtenir des mutations interministérielles relativement facilement.

Quant aux membres civils, ils peuvent accéder à des possibilités d'emploi au sein d'autres ministères fédéraux par un mécanisme semblable au programme Échanges Canada sans démissionner de leur poste. Il s'agit toutefois d'une option temporaire. Ces membres ont toujours la possibilité d'accepter un poste permanent d'employé de la fonction publique dans un autre ministère fédéral, mais pour ce faire, ils doivent démissionner de leur poste de membre civil. Dans certains cas, cette décision peut avoir une incidence sur leur pension et sur certains de leurs avantages sociaux.

La GRC se prépare à faire passer ses membres civils à la catégorie des employés de la fonction publique selon un processus de conversion qui éliminera les différences entre leurs conditions d'emploi respectives. La date de la conversion n'étant pas encore fixée, la GRC et le Secrétariat du Conseil du Trésor continuent de travailler avec les agents négociateurs afin de trouver des façons de réduire les obstacles que doivent surmonter les membres civils qui s'intéressent à des possibilités d'emploi ailleurs dans la fonction publique.

Au sein de la GRC, toutes les mesures de dotation visant des postes civils s'adressent de façon égale aux deux catégories d'employés. La mobilité des employés qui souhaitent changer d'emploi est ainsi assurée à l'intérieur de l'organisation.

Pour ce qui est des membres réguliers, leur effectif représente près de 20 000 postes dans 150 domaines de spécialisation. Ils ont donc une grande mobilité au sein de l'organisation.

Nombre de cas de harcèlement à la GRC

On dit que ces cas seraient encore nombreux

Malheureusement, le harcèlement existe dans presque tous les milieux de travail, mais la GRC prend des mesures à tous les échelons pour faire évoluer sa culture et ses processus afin de s'assurer que les employés comprennent les conséquences de ce genre de comportement.

L'une des initiatives les plus récentes de la GRC a été de créer un organe centralisé et indépendant chargé d'offrir un ensemble complet de services de résolution des plaintes de harcèlement. Cet organe, appelé le Centre indépendant de résolution du harcèlement (CIRH), sera composé d'employés civils à temps plein qui s'occuperont de la réception des plaintes, de l'analyse des cas et des services de résolution informelle.

L'intention de la GRC est de faire en sorte que les employés se sentent à l'aise de signaler les incidents et aient confiance que leurs préoccupations seront prises au sérieux et examinées en toute impartialité.

Beaucoup de travail se fait pour mettre en place les ressources et les dispositions nécessaires. La GRC compte inaugurer officiellement le CIRH d'ici le 30 juin 2021.

Le CIRH aura pour objectif de régler les conflits en milieu de travail le plus rapidement possible, dans le souci ultime de prévenir le harcèlement.

Prévention du harcèlement

Comment la GRC filtre-t-elle les postulants afin de repérer ceux qui risquent de faire du harcèlement ou de la discrimination? Quelles modifications apportez-vous au processus de sélection?

Tous les policiers doivent se conformer à nos normes de comportement et à notre code de déontologie. Les attentes relatives au comportement sont communiquées tout au long du processus de recrutement et de candidature. À la Division Dépôt, les cadets sont soumis à des épreuves rigoureuses afin qu'on puisse s'assurer qu'après leur formation, ils incarneront les valeurs et l'éthique attendues des membres de la GRC.

Le processus de candidature de la GRC est exhaustif et comporte divers outils de sélection permettant de vérifier que les postulants satisfont aux normes élevées visant les policiers.

La GRC s'emploie à moderniser son processus de recrutement afin d'attirer des postulants qui possèdent les caractéristiques requises dans le milieu policier d'aujourd'hui. Elle envisage notamment d'apporter des modifications à l'examen d'entrée, d'utiliser un test sur les préjugés implicites, d'adopter de nouveaux mécanismes d'évaluation de l'aptitude au travail policier et de recourir davantage à la technologie pour soutenir les postulants au cours du processus de recrutement.

Le Processus des aspirants officiers (PAO), qui régit l'avancement vers les échelons supérieurs de l'organisation, comporte une évaluation exhaustive menée au moyen d'un comité d'examen, d'une entrevue dirigée et d'une vérification approfondie des références. Des modifications y seront apportées afin d'exiger que les candidats subissent une évaluation du leadership fondé sur le caractère avant de pouvoir aller plus loin dans le processus.

Est-ce que le rehaussement des exigences de scolarité permettrait d'attirer de meilleurs postulants?

La GRC ne met pas l'accent sur les exigences de scolarité à court terme. Nous travaillons plutôt à moderniser notre processus de recrutement de façon à attirer des postulants qui possèdent les caractéristiques requises pour exercer des fonctions d'application de la loi au sein d'un corps policier moderne, puis à les évaluer dans cette optique.

La modification des exigences de scolarité à l'intention des aspirants policiers demeure une possibilité qui pourrait être examinée à l'avenir.

La GRC a accordé une grande importance au recrutement de cadets appartenant à des groupes traditionnellement sous-représentés dans le milieu policier. Que fait-elle pour protéger ces recrues contre le racisme systémique, le harcèlement et la discrimination?

La GRC fait progresser la transformation de sa culture par la mise en œuvre de sa Vision 150, de sa Stratégie en matière de ressources humaines et de sa Stratégie d'équité, de diversité et d'inclusion (Stratégie d'EDI).

La Stratégie d'EDI, en particulier, prévoit la prise de mesures concrètes dans toutes les divisions et tous les secteurs d'activité afin d'assurer l'inclusion et la valorisation des employés d'origine autochtone, de race noire et d'autres groupes racisés.

À compter de l'exercice 2020-2021, toutes les troupes de cadets devront suivre le nouveau cours « Sensibilité culturelle et humilité ».

Ces mesures se conjuguent à la modernisation des exigences et des processus de candidature de la GRC dans le but de relever et d'éliminer les obstacles auxquels se heurtent les candidats prometteurs d'origine autochtone, de race noire ou d'autres groupes racisés. Les modifications au processus de recrutement visent à attirer des postulants qui possèdent les caractéristiques requises pour exercer des fonctions d'application de la loi au sein d'un corps policier moderne.

Quels changements se font à l'École de la GRC à la Division Dépôt?

L'École de la GRC à la Division Dépôt s'emploie depuis de nombreuses années à moderniser ses méthodes de fonctionnement et d'enseignement. Il s'agit d'un processus continu.

Nous examinons actuellement l'ensemble du Programme de formation des cadets, en y appliquant une optique axée sur la diversité afin que notre démarche soit moderne et inclusive, c'est-à-dire :

• en évaluant les répercussions des aspects « paramilitaires » de la formation et des pratiques;
• en analysant l'incidence sur les groupes désignés de certains aspects du programme de formation de la Division Dépôt, notamment la durée, la structure et les conditions d'apprentissage;
• en passant en revue et en mettant à jour les politiques en vigueur afin de prévenir et de sanctionner les écarts de conduite à l'École de la GRC, dont le harcèlement, y compris sexuel.

Le fait de retirer les jeunes recrues de sexe féminin de leur réseau de soutien au début de leur carrière en les affectant à un lieu de travail loin de leur famille et de leurs amis les rend vulnérables, surtout s'il n'y a aucune autre femme parmi le personnel policier dans leur détachement. Avez-vous pris des mesures pour vous assurer que les femmes nouvellement engagées par la GRC ont le soutien dont elles ont besoin?

Dès leur arrivée à Dépôt, les cadettes sont invitées à signaler toute préoccupation ou tout facteur limitant avant la détermination des lieux d'affectation. La Division Dépôt travaille en étroite collaboration avec les bureaux divisionnaires du perfectionnement et du renouvellement pour déterminer les lieux d'affectation des cadets en tenant compte des besoins opérationnels des divisions.

Afin de s'assurer que les cadets comprennent les mesures de soutien, les ressources et les programmes auxquels ils auront accès lorsqu'ils entreront en fonction à titre de membres réguliers, la Division Dépôt offre un Atelier pour les familles au cours duquel un exposé est présenté par le programme Soutien – blessures de stress opérationnel (SBSO) de la GRC.

• Le programme SBSO, lancé officiellement en février 2017, offre un soutien par les pairs aux employés et aux anciens de la GRC. La séance d'information pour les familles qui est présentée par le programme SBSO consiste à expliquer aux cadets et à leur famille la nature des blessures de stress opérationnel, les symptômes courants qui y sont associés, les ressources qui sont offertes au sein de la GRC pour les personnes qui commencent à éprouver de tels symptômes, ainsi que les mesures à prendre pour s'aider soi-même et pour aider ses proches.

Tous les employés ont accès à des conseillers en soutien par les pairs qui ont été formés pour écouter leurs préoccupations et leur fournir information et conseils sur le recours aux Services d'aide aux employés (SAE) ainsi que sur les diverses ressources offertes au sein de la GRC.

Depuis le 1er octobre 2019, les membres de la GRC ont accès à des services communautaires de télépsychologie. Un membre régulier peut obtenir des services de consultation de télépsychologie (par téléphone ou en ligne) auprès d'un psychologue dans sa communauté qui est accrédité pour le Programme des prestations de soins de santé de la GRC.

Conséquences pour les harceleurs

Quelles sont les statistiques sur les plaintes de harcèlement?

Les employés de la GRC visés par la Loi sur la GRC (membres réguliers, membres civils et gendarmes spéciaux) sont assujettis au code de déontologie de la GRC qui est énoncé dans la Loi sur la GRC, le Règlement de la GRC et les Consignes du commissaire.

Nombre de plaintes de harcèlement reçues par la GRC de 2015 à 2020

• En 2015, la GRC a reçu au total 152 plaintes de harcèlement, dont 120 de membres réguliers (m.r.), 9 de membres civils (m.c.) et 23 d'employés de la fonction publique (e.f.p.).
• En 2016, la GRC a reçu au total 242 plaintes de harcèlement, dont 176 de m.r., 29 de m.c. et 26 d'e.f.p.
• En 2017, la GRC a reçu au total 296 plaintes de harcèlement, dont 223 de m.r., 21 de m.c. et 41 d'e.f.p.
• En 2018, la GRC a reçu au total 252 plaintes de harcèlement, dont 192 de m.r., 31 de m.c. et 29 d'e.f.p.
• En 2019, la GRC a reçu au total 190 plaintes de harcèlement, dont 130 de m.r., 15 de m.c. et 45 d'e.f.p.
• En 2020, la GRC a reçu au total 213 plaintes de harcèlement, dont 175 de m.r., 18 de m.c. et 19 d'e.f.p.

Code de déontologie

• Les membres de la GRC peuvent faire l'objet d'une enquête pour manquement au code de déontologie.
• Les affaires disciplinaires sont traitées dans le cadre d'un processus administratif interne où le seuil de la preuve, celui de la prépondérance des probabilités, est moins élevé que le seuil exigé pour une accusation criminelle.
• Le processus disciplinaire s'inscrit dans un objectif de formation et de correction plutôt que de punition, mais il peut donner lieu à l'imposition de sanctions telles que la confiscation de la solde ou le renvoi.
• Les membres de la GRC doivent respecter le code de déontologie en tout temps, qu'ils soient au travail ou en congé. Le code ne s'applique pas aux anciens membres après leur départ à la retraite, leur démission ou leur renvoi.
• En moyenne, quelque 455 dossiers disciplinaires sont ouverts chaque année. Cela signifie que moins de 2 % des membres de la GRC font l'objet d'allégations de manquement au code de déontologie chaque année.
• D'autres renseignements sur les statistiques en matière disciplinaire sont fournis dans le site Web de la GRC : https://www.rcmp-grc.gc.ca/fr/rapport-annuel-gestion-du-processus-disciplinaire-grc.

Infractions criminelles

• Dans les cas où le comportement reproché semble être de nature criminelle, il fait l'objet d'une enquête criminelle. S'il s'agit d'une infraction grave, la GRC renvoie le dossier à un organisme d'enquête externe indépendant, dans la mesure du possible.
• Lorsque la preuve à l'appui est suffisante, des accusations peuvent être déposées. Cette démarche exige l'approbation du procureur du ministère public dans certains territoires.
• La GRC ne tient pas de statistiques sur les membres faisant l'objet d'accusations criminelles. Le dépôt de telles accusations constitue une procédure judiciaire et non un processus disciplinaire. Les procédures judiciaires et les processus disciplinaires relèvent de régimes distincts : leur fonctionnement obéit à des exigences juridiques différentes, et les conclusions rendues sous l'un et l'autre sont fondées sur des critères différents. Les exigences juridiques applicables aux procédures judiciaires ne s'appliquent pas aux processus disciplinaires.

Une personne ayant des antécédents de harcèlement est-elle admissible à l'avancement?

Les membres qui posent leur candidature en vue d'une promotion à un grade d'officier font l'objet d'une vérification pour déterminer s'ils sont ou s'ils ont déjà été visés par une enquête déontologique, disciplinaire ou liée à une situation de harcèlement. L'information recueillie lors de cette vérification influe sur les décisions en matière d'avancement. Le même processus existe pour les promotions de sous-officiers.

Le processus de gestion du rendement utilisé pour l'évaluation des officiers et des employés se fonde sur les réalisations de la personne concernée ainsi que sur les compétences de leadership dont elle fait preuve dans le respect de ses engagements. Les évaluations du rendement fournissent des renseignements utiles qui sont pris en compte dans tout processus de promotion.

Le Processus des aspirants officiers (PAO), qui régit l'avancement vers les échelons supérieurs de l'organisation, comporte une évaluation exhaustive menée au moyen d'un comité d'examen, d'une entrevue dirigée et d'une vérification approfondie des références. Il est en voie de modernisation afin que chaque membre admis au processus soit tenu de subir une évaluation du leadership fondé sur le caractère.

Les problèmes persistants de harcèlement et d'intimidation au sein de la GRC sont bien documentés. Que fera la GRC pour changer les comportements harcelants et la culture qui les favorise?

La formation aide les employés et les superviseurs à bien comprendre leurs rôles et leurs responsabilités. Elle sert d'assise pour définir les comportements appropriés en fonction des valeurs fondamentales et des politiques de la GRC.

Une formation efficace contribue à prévenir le harcèlement et renseigne les employés et les superviseurs sur la façon de gérer les situations de harcèlement lorsqu'elles surviennent. Il est crucial de mettre en œuvre des programmes complémentaires de gestion du rendement, des plaintes de harcèlement et des cas d'inconduite, entre autres, pour éliminer toute forme de harcèlement dans le milieu de travail.

Nous continuons de travailler en collaboration avec tous les intervenants afin de vaincre les préjugés et d'obtenir l'adhésion du personnel à tous les échelons de l'organisation, et nous entendons consulter divers groupes, dont la Fédération de la police nationale, afin de trouver des solutions axées sur la collaboration pour exercer une influence positive sur les comportements et promouvoir une saine culture organisationnelle.

Nous examinons des propositions, telles que la prise en compte du rendement dans les processus de sélection, qui permettraient de tenir les candidats responsables de leurs comportements passés. Ces comportements pourraient donc avoir une incidence sur leurs perspectives de carrière s'ils ne cadrent pas avec les volontés de l'organisation.

Une évaluation du Programme de formation des cadets est en cours pour déterminer dans quelle mesure les aspects paramilitaires de cette formation (c'est-à-dire ceux qui se fondent sur des traditions militaires) contribuent au caractère inclusif du milieu d'apprentissage et favorisent l'acquisition des connaissances et des compétences requises pour travailler efficacement auprès de communautés diverses.

Equity, Diversity and Inclusion at the RCMP: Questions and answers

On this page

• Diversity in the RCMP
• Addressing systemic racism
• Addressing the needs of women in the RCMP
• Career mobility
• Incidence of harassment in the RCMP
• Preventing harassment
• Consequences for harassers

Diversity in the RCMP

What is the current demographic breakdown of the RCMP in terms of the four main diversity groups: women, visible minorities, Indigenous people, and people with disabilities?

The representation of employment equity groups as of October 1, 2020 was:

Category of employee	Female	Visible minority	Indigenous	People with disabilities
Regular Member	21.7%	12.1%	7.1%	1.4%
Civilian Member	50.7%	14.6%	3.5%	2.7%
Indeterminate Public Service Employee	75.6%	14.5%	5.4%	3.6%

What is the RCMP doing to increase its diversity?

The RCMP has a number of current and planned measures to promote greater diversity throughout the organization and to implement equitable and inclusive workforce and workplace practices.

The Equity, Diversity and Inclusion (EDI) Strategy is one example of the organization's commitment to meet the expectations and the needs of an increasingly diverse population and workforce.

Modernizing the RCMP's application requirements and assessment processes involves identifying and removing barriers to prospective high-potential RCMP applicants from Indigenous, Black and other racialized groups.

To make the policing arm of the RCMP more attractive to candidates from diverse communities, we are looking at how to adjust our training approach as well as how to modify existing application criteria and processes. The focus will be on attracting candidates who possess the attributes and characteristics needed for policing, in a modern policing organization.

Addressing systemic racism

Where are the biggest gaps in data in identifying systemic racism in your institution?

One of the biggest gaps is the need to establish sound collection practices for race-based data. There is an initiative underway under the Vision 150 Plan to Advance Equity, Accountability and Trust to examine how best to collect, interpret and support race-based policing data.

Internally, one of the bigger challenges involves comparing self-identification data on race that we collect with data from other systems. If we can't compare data, we will not be able to establish a clear and coherent evidence base to support our actions and we will be limited in how we can benefit from the work of other departments and agencies.

Under our Digital Strategy, we have a plan to put in place a unit that will make it easier for groups to access and analyse each other's data. The Analytics, Data and Information Management Branch provide executive leadership for the RCMP data management strategy and for driving the cultural change needed to manage data as a strategic corporate asset.

Will the RCMP implement something like the 2011 Gender and Respect Action Plan that includes concrete actions to address systemic racism and discrimination?

The RCMP respects that there is a diversity of opinions about the best course of action and that Canadians want to see results from the RCMP.

The Gender and Respect Action Plan was an important step in the Force's long journey towards culture change.

Our current strategies identify many of the same areas Justice Bastarache highlighted in his report. We are aligned and we are on the right track.

One of the main differences between now and the 2011 initiative is that the RCMP realizes we cannot achieve results by ourselves, and we are involving diverse communities and external expertise in the development of solutions.

When can we expect direct and concrete action on racism from the RCMP?

The RCMP has established two plans that outline actions we will take to address systemic racism.

The Vision 150 Plan to Advance Equity, Accountability and Trust outlines a number of commitments that are directly aimed at addressing systemic racism.

In November, senior leadership approved a comprehensive and robust Equity, Diversity and Inclusion Strategy that identifies fundamental changes, including leads in each Division and Business Line and clear accountability expectations to make sure we are doing the right things when putting actions into practice.

We continue to work with individuals and experts who have lived experience and expertise to support change in our organization.

Addressing the needs of women in the RCMP

The Bastarache report indicated that the RCMP should undertake a review of its policies and programs with a view to identifying and resolving issues that perpetuate systemic barriers to women and LGBTQ2S+ women in the RCMP. When will the RCMP undertake this review?

It is important for the RCMP to build the capacity to perform this type of analysis.

In 2017, the RCMP created a unit dedicated to deploying Gender-Based Analysis + (GBA+) throughout the organization. We have completed a GBA+ of Regular Member recruiting and our promotional process for officers. A GBA+ analysis of our Cadet Training Program is currently underway and we are planning to do a GBA+ analysis on the allocation of training opportunities.

Moving forward, our Equity, Diversity and Inclusion Strategy highlights a number of actions that will also strengthen our ability to conduct program and policy review and address gender-based violence in the workplace.

The issue of pregnancy and maternity leave has come up in numerous claims and a recent court decision. What is the RCMP doing about this longstanding issue?

The RCMP is exploring, in consultation with the national Gender and Harassment Advisory Committee, an established commitment in the Merlo-Davidson Settlement Agreement, ways to mitigate barriers linked to maternity/parental leave. We have identified a number of areas for improvement including better leveraging existing workplace reintegration programs, and providing additional guidance for managers.

Career mobility

Do civilian members have the same opportunity for mobility as regular members and public service employees?

The RCMP has three categories of employees – Regular Members (police officers), Public Service employees, employed under the Public Service Employment Act, and Civilian Members, employed under provisions of the RCMP Act.

Public Service Employees have complete mobility across the core public service – they can apply on internal processes and transfer between departments with relative ease.

For Civilian Members, mobility and opportunities in other federal government departments are available using a mechanism similar to the Interchange Canada Program without a CM resigning their position; however, this is a temporary option. Civilian Members continue to have the option to accept indeterminate public service positions in other federal government departments, however, they are required to resign as a CM under the RCMP Act in order to accept a public service position under the Public Service Employment Act. In some cases, this may have impacts on pension and some benefits.

The RCMP has been working toward the conversion of Civilian Members to Public Service Employees through a "deeming" process that would eliminate differences in their terms and conditions of employment. The deeming date is not currently set as the RCMP and Treasury Board Secretariat continue to work with bargaining agents on a way forward to reduce barriers to civilian employees considering opportunities in the greater public service.

Within the RCMP, all civilian staffing processes within the RCMP are run as dual processes, open to both categories equally. This ensures mobility within the organization for employees who are seeking a change in their work placement.

With almost 20,000 positions spanning 150 specializations, Regular Members have a high degree of mobility within the organization.

Incidence of harassment in the RCMP

It has been reported that there are still many?

Unfortunately, harassment exists in almost every workplace, but the RCMP is taking steps at all levels to evolve our culture and processes to ensure employees understand the impact of engaging in this behaviour.

One of the RCMP's latest initiatives is the creation of a centralized, independent unit to offer a full suite of harassment resolution services. This unit, known as the Independent Centre for Harassment Resolution (ICHR), will consist of full-time civilian employees who handle the intake of complaints, case analysis, and informal resolution services.

The RCMP's goal is for employees to feel confident in coming forward to report incidents and to trust that their concerns will be taken seriously and addressed fairly.

A great deal of work is underway to get the necessary resources and arrangements in place. The RCMP's plan is to officially launch the ICHR by June 30, 2021.

The goal of ICHR is to resolve workplace conflict at the earliest stage, and ultimately prevent harassment.

Preventing harassment

How are prospective RCMP employees screened to weed out those who may be likely to engage in harassment or discrimination? What changes are you making to the screening process?

All police officers are expected to conform to behaviour standards and our code of conduct. The expectations related to behavioural standards are communicated and reiterated throughout the recruiting and application process. At Depot, cadets are rigorously tested to ensure once graduated, they embody the values and ethics of a member of the RCMP.

The RCMP application process is thorough and includes various screening tools designed to ensure that applicants meet the high standards required of police officers.

The RCMP is modernizing its recruiting process to focus on attracting applicants who possess the attributes and characteristics needed for a modern policing organization. Areas where change is being considered include the entrance exam, implicit bias testing, new mechanisms to assess applicants' suitability for policing, and increasing the use of technology to support the applicants as they navigate the recruiting program.

The Officer Candidate Process (OCP), the process by which officers apply to the senior ranks, requires candidates to go through a comprehensive assessment including a review committee, a structured interview and an extensive reference check. The process will be enhanced to require candidates to participate in a Character Leadership assessment as a condition for proceeding through the process.

Would increasing the educational requirements for applicants increase the calibre of applicants?

The RCMP is not focussing on educational requirements in the short term. Rather, we are modernizing our recruiting process by focusing on attracting and assessing applicants for the attributes and characteristics needed for policing in a modern policing organization.

Adjusting educational requirements for application as a police officer remains a consideration for the future.

The RCMP has placed a high priority on recruiting cadets from groups traditionally underrepresented in policing. What is being done to protect these recruits from systemic racism, harassment and discrimination?

The RCMP is making progress toward culture change though its Vision 150 and People Strategy and Equity Diversity and Inclusion Strategy.

The EDI Strategy, in particular, will see concrete action taken across Divisions and Business Lines to ensure that Indigenous, Black and other racialized employees are included and valued in our organization.

All troops beginning in fiscal year 2020-2021 and onward must complete the recently-developed "Cultural Awareness and Humility Course."

These efforts are coupled with modernizing the RCMP's application requirements and processes to identify and remove barriers to prospective high-potential RCMP applicants from Indigenous, Black and other racialized groups. Changes to the recruiting process focus on attracting candidates who possess the attributes and characteristics needed for policing, in a modern policing organization.

What changes are being made at the RCMP Training Academy at Depot?

The RCMP Training Academy at "Depot Division" has been modernizing its operating practices and teaching methods for many years. This is an ongoing process.
We are in the process of examining the entirety of the Cadet Training Program (CTP) using a robust diversity lens to ensure a modern, inclusive approach, including:

• Evaluating the impact of "paramilitary" elements of training and practice and,
• Analyzing the impact of key aspects of the Depot training format on diverse groups, including length, format and learning conditions;
• Examining and updating policies to prevent and address misconduct, including harassment and sexual harassment at the academy.

Removing young women recruits from their support network at the beginning of their career, by assigning a posting far from family and friends, makes them vulnerable, especially if they are the only woman member in a detachment. Have you taken any steps to ensure that women new to the RCMP have the support that they need?

Female cades entering Depot are informed from the beginning that they have the opportunity to come forward to share any concerns or limitations they may face in advance of posting assignments being made. Depot works closely with the Divisional Career Development and Resourcing Offices when posting Cadets, while considering the operational needs of Divisions.
To ensure Cadets understand the supports, resources and programs available to them once they begin their careers as a Regular Member, Depot provides a Family Workshop, where Cadets and their families receive a presentation by the RCMP's Support for Operational Injury (SOSI) Program.

• The SOSI Program, officially launched in February 2017, provides peer support to employees of the RCMP as well as veterans. The family information session by SOSI consists of educating Cadets and their families on what is an operational stress injury (OSI), common symptoms that may be indicative of an OSI, how they can help themselves and their loved ones, and if they begin to experience symptoms of an OSI what resources within the RCMP are available.

All employees have access to internal peer-to-peer resources who have been trained to listen to their concerns and provide them with information and guidance regarding the use of Employee Assistance Services (EAS) along with various internal RCMP resources.

As of October 1, 2019, RCMP members can access community-based psychological services via tele-psychology. An RCMP Regular Member can access psychological counselling via telepsychology services (telephone or online) provided by a community-based psychologist who is registered for the RCMP Health Benefits Program.

Consequences for harassers

What are the statistics related to complaints of harassment?

RCMP employees under the RCMP Act (regular members, civilian members and special constables) are subject to the Code of Conduct of the RCMP as set out in the RCMP Act, the RCMP Regulations and the Commissioner's Standing Orders.

Number of harassment complaints received by the RCMP from 2015-2020

• In 2015 the RCMP received a total of 152 harassment complaints – including 120 regular member (RM) complaints, 9 civilian member (CM) complaints, and 23 public service employee (PSE) complaints
• In 2016 the RCMP received a total of 242 harassment complaints – including 176 RM complaints, 29 CM complaints, and 26 PSE complaints
• In 2017 the RCMP received a total of 296 harassment complaints – including 223 RM complaints, 21 CM complaints, and 41 PSE complaints
• In 2018 the RCMP received a total of 252 harassment complaints – including 192 RM complaints, 31 CM complaints, and 29 PSE complaints
• In 2019 the RCMP received a total of 190 harassment complaints – including 130 RM complaints, 15 CM complaints, and 45 PSE complaints
• In 2020 the RCMP received a total of 213 harassment complaints – including 175 RM complaints, 18 CM complaints, and 19 PSE complaints

Code of Conduct

• RCMP members may be investigated for infractions of the Code of Conduct.
• Conduct matters are addressed through an internal administrative process that has a lower threshold of proof than a criminal charge, i.e. balance of probabilities.
• The Code of conduct process is educative and corrective in nature, not punitive, however it can result in punitive sanctions such as forfeiture of pay and dismissal.
• RCMP members are subject to the code of conduct at all times, whether on-duty or off. The Code does not apply to former members following retirement, resignation or dismissal.
• On average, there are approximately 455 Code of Conduct files initiated per year. This translates to less than 2% of RCMP members who are alleged to have contravened the Code of Conduct per year.
• Additional information on conduct related statistics can be located on the RCMP's web site: https://www.rcmp-grc.gc.ca/en/management-the-rcmp-disciplinary-process-annual-reports

Criminal Offences

• Where the behaviour is believed to be criminal in nature, it will be investigated criminally. In the case of serious offences, the RCMP will refer the matter to an independent external investigation body, where one is available.
• Where the evidence is sufficient to support a charge, charges may be laid, in some jurisdictions subject to approval by crown prosecutors.
• The RCMP does not maintain statistics on members criminally charged. Criminal charges are a statutory proceeding, which is a separate and distinct system. Statutory and conduct proceedings base findings on different criteria and operate under legal requirements specific to the system. Statutory legal requirements do not apply to conduct proceedings.

Is it possible for someone with a history of harassment to be promoted?

All members being considered for promotions to or within the officer ranks are required to undergo conduct checks, which include verifying past and current Code of Conduct, discipline or harassment investigations. The information affects promotional decisions. The same process is in place for non-commissioned officer processes.

The Performance Management Process whereby officers/employees are assessed is based on their accomplishments, as well as on how they demonstrate the leadership competencies in achieving their commitments. The performance assessments provide valuable information, which is considered in all promotion processes.

The Officer Candidate Process (OCP), the process by which officers apply to the senior ranks, requires candidates to go through a comprehensive assessment including a Review Committee, a structured interview and extensive reference checks. The OCP process is being modernized to include a mandatory Character Leadership assessment for each Member progressing through the process.

Harassment, bullying, and intimidation are well-documented, persistent issues in the RCMP. How will the RCMP change harassing behaviour and the culture that supports it?

Training contributes to employees and supervisors gaining a clear understanding of their roles and responsibilities. It serves as a foundation for defining appropriate behaviours, in line with RCMP core values, and policies.

Effective training works to prevent harassment, and provides employees and supervisors with information on how to deal with instances of harassment it if it occurs. The implementation of complementary programs such as performance management, harassment complaint and misconduct processes are key to eliminating all forms of harassment in the workplace.

Working collaboratively with all stakeholders to break stigma and obtain buy-in at all levels of the organization continues and we are looking forward to engaging with various groups, including the National Police Federation, to find collaborative solutions to positively influence behaviours and promote a healthy organizational culture.

Exploring ideas and suggestions, such as the inclusion of performance management in the selection processes, could held candidates accountable for past behaviours and impact their future if it does not fit with what the organization wants moving forward.

An evaluation of Cadet Training Program is underway to examine the extent to which paramilitary aspects of cadet training (i.e. Aspects that are founded on military traditions) contribution to an inclusive learning environment and impart the knowledge and skills needed for graduates to work effectively with diverse communities.

International Women’s Day – March 8, 2021

International Women's Day celebrates the accomplishments of women around the world. Every year on March 8, it's a chance to raise awareness about women's equality and gender parity.

This year has been challenging for everyone due to the COVID-19 pandemic. On this International Women's Day, we've asked three women from across our organization to share how COVID-19 has affected their work.

Read about what they do, what they've learned, and what their work means to them.

Nadine Huggins, RCMP Executive Director of Policies, Strategies and Programs

What do you do in the RCMP?

I am responsible for modernizing how the RCMP manages and supports its people by promoting a shift in mindset and behaviours on the part of human resources professionals and hiring managers. I am also responsible for streamlining processes and systems that are client-centred and easy to navigate. The goal of each element of the work I do is to prepare the RCMP for its future mandates. I have spent the last 20+ years of my career as a public servant in a number of different departments. I am pleased and proud to bring all of those important experiences to bear as I work to modernize one of Canada's most iconic institutions.

The RCMP is one of Canada's national symbols and for folks like me who are committed to public service, it has a unique allure. I am delighted to be doing this job. It gives me the opportunity to be part of the organization on the ground floor of what I see as a sea change, a major shift in the way we think about the value of our people and, as a result, how we shape our people management approaches and systems.

I see change happening not only through the modernization of the mindsets, processes and systems I am driving, but also in the fact that our regular members are now championed by a bargaining agent, which will contribute to greater alignment with the rest of our employees. I see the results of the work done through Gender Based Analysis Plus, which the Commissioner has been promoting since her appointment, as well as inroads toward Reconciliation. Most recently, I see the change that will come with the launch and early stages of implementing the RCMP's first robust Equity, Diversity and Inclusion Strategy. All of these developments taken together set a foundation for the RCMP of the future. It is my honour to be part of it.

How has COVID-19 affected your work?

I started working for the RCMP just as the pandemic was getting into full swing last March. Everything I have learned and accomplished so far has been from my home office. Learning a new organization from home, its people and its culture, has challenged my preference to develop strong one-on-one relationships. As the basis for getting things done, I need to know the people I work with beyond our files. Not being able to travel to the office or the divisions to meet my colleagues has been a unique test of my leadership style. The Commanding Officers and their teams have been incredibly generous with their time, and my colleagues and teams at Headquarters have also been wonderful, making sure I have the information I need to make decisions and develop approaches that will be meaningful across the organization. In some ways, COVID has forced me to flex new muscles.

What have you learned from this unusual time?

I have learned so much during this unusual time. We all know that most women perform double duty – most of us do it without really thinking about it. Working from home, without the pause of the commute, made it plain to me how automatic it is for me to finish my paid workday only to move straight into home routines. With this realization, I made some adjustments in my home, but I recognize that not everyone can do that. Women and parents on my teams who have small children have struggled during COVID to balance their work responsibilities with childcare and home schooling.

I pay close attention to the fact that women still frequently carry a larger responsibility for childcare and eldercare in families, and women from Black, Indigenous and other racialized groups face compounded challenges. I am grateful that the RCMP was flexible and accommodating from day one of this work-from-home situation. It was necessary to support our employees and it has generated significant benefits for our organization, enabling us to maintain productivity by being flexible with our employees. We are all hopeful that we will be able to transition back to some kind of office presence as the pandemic winds down, but I do not think we will ever go back to spending forty hours each week at the office. That's a good thing! It will certainly be helpful for employees who have greater home and caregiver responsibilities to have ongoing flexibility.

In terms of what I have learned about the RCMP this past year, I have learned that our people are incredibly resilient. I have learned that taking good care of our front-line officers is paramount. I have learned that the commitment our employees have to the RCMP is unshaken in difficult times. My teams have demonstrated an impressive commitment to meeting the RCMP's changing needs. I have leaned that senior leaders in the organization are committed to modernization.

I think it is always a privilege to serve the public and for me it is a particular honour to do that through the RCMP. The passion with which our people talk about the work they do, seeing the Commanding Officers' commitment in the divisions and the willingness that folks have shown to support new and different ideas coming into the organization, has all been part of my learning curve during this unusual time.

What does your work bring to you personally? Professionally?

Throughout my career, I have always asked myself, "Nadine, how are you going to change the world today?" Organizations that aspire to be modern and results oriented, innovative, equitable, diverse and inclusive, led with integrity and compassion have always attract me. Working with the RCMP at this particular stage of my career, I am able to bring all of the experience I have accumulated to the work I am doing. I see this role as a rewarding personal opportunity, a chance to be part of the transformation that will see the RCMP's relevance strengthened and will help prepare the organization to meet increasingly challenging mandates.

Pursuing a transformation agenda in any organization is demanding. People say they want things to change, but once it begins to happen, there can be a negative reaction and a nostalgia for the way things were. As a Black woman in the workforce, I do not shy away from taking responsibility for making meaningful change because I know that, in addition to being capable and resilient, I have the support of my teams, my colleagues and our senior leaders.

We are all in this together, supporting positive change to transform the RCMP, helping it meet its evolving mandates and upholding its iconic standing.

Corporal Kim Chamberland, Tour Planner, RCMP Musical Ride and Heritage Branch

What do you do in the RCMP?

I've been a police officer for 15 years. Currently, I'm in charge of the Musical Ride tour planning. It's a unique position within the RCMP. I organize the schedule of the Musical Ride performances all over Canada, prepare the budget and conduct inspection visits and presentations with the hosting committees. To do this I have to travel to prepare for the tour. I meet with each event host to review the facilities where our 36 horses will be stabled during our stay and to make sure we'll have the right size show site and warm up area for the horses.

How has COVID-19 affected your work?

We had to cancel the Musical Ride tour for 2020. I was in close communication with our hosts for that year. We tried to reschedule for 2021, but since the pandemic is ongoing, it's hard to plan when we don't know when we are going to be able to see each other.

What we had planned, had to be modified multiple times and structured differently to comply with COVID-19 restrictions and safety measures. I think we have a good plan right now, but only time will tell. While we aren't essential, we still have an important job to do caring for our horses. And we still have to train to be ready for the years ahead of us.

Our section also did a lot of northern relief police work while we couldn't tour. I decided to throw in my name and go up north. For me it was important to do relief work to help out. I went to Pond Inlet, Nunavut, for the month of January. I enjoyed getting back to my general duty policing roots.

What have you learned from it?

I've learned to keep persevering and not get discouraged as plans changed or were cancelled. I think resilience is the right word. It's also made me more prepared for future planning as I've had to think of every possibility, every solution, plus a few more.

I've also learned, through discussions I'm having with a lot of hosting committees, that we're missed. The Musical Ride is a way to bring a community together. Most seem to want to wait for 2022, but the main takeaway is they want to do something fun and celebrate bringing their community together again.

The RCMP Musical Ride will be a big part of those celebrations because we're uniquely Canadian and provide a lot of benefits to hosts, like fundraising for charity. This may help with some post-COVID recovery efforts.

What does your work bring to you personally? Professionally?

I have a lot of pride in what I do. I'm good at it and that's given me confidence.

It makes me a better person every day because every day there are challenges that push me to be creative and be better both at work and personally.

I love organizing and planning and seeing a year unfold from beginning to end. So, professionally, it's the satisfaction of a job well done. Plus, seeing my fellow police officers go out on tour and return home with a big smile on their face is very rewarding.

Superintendent Karen Ziezold, Senior Police Advisor, European Union Police Coordinating Office for Palestinian Police Support

Superintendent Karen Ziezold (RCMP) is a senior police advisor with the European Union Coordinating Office for Palestinian Police Support. She started her deployment in March 2020, when COVID-19 was first declared a global pandemic. Read about her experiences in mission throughout the past year.

Journée internationale des femmes – 8 mars 2021

La Journée internationale des femmes célèbre les réalisations de femmes partout dans le monde. Chaque année, le 8 mars, c'est l'occasion de sensibiliser à l'égalité des femmes et à la parité entre les sexes.

La dernière année a été difficile pour tous en raison de la pandémie de la COVID-19. En cette Journée internationale des femmes, nous avons demandé à trois femmes de notre organisation de nous parler des répercussions de la COVID-19 sur leur travail.

Découvrez ce qu'elles font, ce qu'elles ont appris et ce que leur travail signifie pour elles.

Nadine Huggins, directrice exécutive des Politiques, Stratégies et Programmes de la GRC

Quel est votre rôle à la GRC?

Je suis chargée de moderniser la façon dont la GRC gère et soutient ses employés en préconisant un changement d'attitude et de comportement de la part des gestionnaires recruteurs et des professionnels des ressources humaines. Je suis également chargée de rationaliser les processus et les systèmes pour les rendre conviviaux et axés sur les clients. Chaque volet de mon travail a pour but de préparer la GRC à assumer ses mandats à venir. À l'issue d'une carrière de plus de 20 ans comme fonctionnaire dans un éventail de ministères, je suis heureuse et fière de mettre cette vaste expérience à profit pour moderniser une des institutions les plus emblématiques du Canada.

La GRC constitue un symbole canadien par excellence, et pour les gens comme moi qui sont dévoués à la fonction publique, elle présente un attrait irrésistible. Je suis très heureuse d'assumer mes fonctions; c'est l'occasion d'être l'artisane d'un changement radical dans la façon dont nous considérons la valeur de nos employés et, partant, dans l'orientation à donner à nos approches et à nos systèmes de gestion des ressources humaines.

J'entrevois un vent de changement non seulement par la modernisation des attitudes, des processus et des systèmes dont je suis la maître d'œuvre, mais également dans le fait que nos membres réguliers sont désormais représentés par un agent négociateur, comme le sont tous les autres employés de la GRC. Je vois les fruits d'initiatives comme l'analyse comparative entre les sexes plus, que la commissaire appuie depuis son entrée en fonctions, ainsi que les avancées vers la réconciliation. En outre, je perçois les changements qui surviendront avec l'adoption d'une solide stratégie d'équité, de diversité et d'inclusion dans l'organisation. Toutes ces initiatives jettent les bases de la GRC de l'avenir. C'est un honneur pour moi d'y participer.

Quelles ont été les répercussions de la COVID 19 sur votre travail?

J'ai entamé mes fonctions à la GRC au moment même où la pandémie a frappé de plein fouet en mars dernier. Tout ce que j'ai appris et accompli jusqu'ici s'est fait à partir de mon bureau à domicile. Se familiariser avec une nouvelle organisation à partir de la maison, ses employés et sa culture, a remis en question ma prédilection pour l'établissement de solides relations personnelles. Pour être efficace, j'ai besoin de connaître concrètement les gens avec qui je travaille. L'impossibilité pour moi de me rendre au bureau ou dans les divisions pour rencontrer mes collègues m'a obligée à repenser mon style de leadership. Les commandants divisionnaires et leur équipe ont déployé des trésors de disponibilité et mes collègues et les équipes à la Direction générale ont également été merveilleux, en s'assurant que j'obtenais l'information nécessaire pour prendre des décisions et élaborer des approches concrètes dans toute l'organisation. Sous certains angles, la COVID m'a forcée à développer de nouvelles aptitudes.

Qu'avez vous appris en cette période particulière?

J'ai énormément appris en cette période sans précédent. Nous savons déjà que la plupart des femmes cumulent une double tâche – la plupart d'entre nous le font sans vraiment y penser. Le travail à domicile, sans la pause du navettage, m'a fait comprendre à quel point je passais automatiquement de ma journée de travail rémunéré à ma routine à la maison. Une fois consciente de ce fait, j'ai procédé à certains changements dans mon foyer, mais je reconnais que ce n'est pas à la portée de tout le monde. Depuis le début de la COVID, les femmes et les employés dans mes équipes qui ont de jeunes enfants ont du mal à concilier leurs responsabilités professionnelles et les soins aux enfants et l'école à domicile.

Je demeure consciente du fait que les femmes continuent fréquemment d'assumer une plus large part de la responsabilité des soins aux enfants et aux aînés au foyer, et les femmes des communautés noire, autochtone et d'autres groupes racisés affrontent des difficultés accrues. Je suis reconnaissante que la GRC se soit d'emblée montrée souple à l'égard de la situation de ceux qui travaillent à domicile. C'était nécessaire pour appuyer les employés et cette souplesse s'est révélée très avantageuse pour l'organisation, en lui permettant de maintenir la productivité. Nous espérons tous pouvoir rétablir graduellement le travail en présentiel à mesure que s'atténue la pandémie, mais je ne pense pas que nous reviendrons jamais à la semaine de quarante heures au bureau. Et c'est tant mieux! Une certaine souplesse sera certainement bénéfique pour les employés qui ont des responsabilités accrues sur le plan familial ou comme aidants.

Au sujet de la GRC, j'ai appris dans la dernière année que nos employés font preuve d'une résilience remarquable. Que de prendre soin de nos membres de première ligne est primordial. Et que l'engagement de nos employés envers la GRC est inébranlable en période difficile. Mes équipes ont manifesté une détermination indéfectible à répondre aux besoins changeants de l'organisation. J'ai aussi appris que les cadres supérieurs sont résolus à promouvoir la modernisation.

C'est toujours un privilège de servir le public et pour moi, c'est un honneur particulier de le faire au sein de la GRC. La passion que nos employés manifestent en parlant de leur travail, l'engagement des commandants dans les divisions et la détermination des gens à embrasser des idées novatrices dans l'organisation, sont tout autant d'éléments dont j'ai pris conscience en cette période particulière qu'est la pandémie.

Que vous apporte votre travail sur le plan personnel? Et sur le plan professionnel?

Tout au long de ma carrière, je me suis toujours demandé : « Nadine, comment comptes-tu changer le monde aujourd'hui? » Les organisations qui ont à cœur d'être modernes et axées sur les résultats, novatrices, équitables, diversifiées et inclusives, dirigées avec intégrité et compassion ont toujours exercé un vif attrait sur moi. Travailler à la GRC à ce stade de ma vie professionnelle me permet de mettre à profit l'expérience cumulée. Ce poste est une occasion très satisfaisante de participer à la transformation qui rendra la GRC plus pertinente et la préparera à relever des mandats de plus en plus exigeants.

Mettre en œuvre un programme de transformation dans une organisation est difficile. Les gens disent vouloir des changements, mais une fois que ceux-ci surviennent, il n'est pas rare d'y résister, par réflexe nostalgique. En tant que femme noire employée, je n'hésite pas à assumer la responsabilité d'opérer des changements concrets, car je sais qu'en plus d'être résiliente et efficace, je peux compter sur le soutien de mes équipes, de mes collègues et de nos cadres supérieurs.

Nous sommes solidaires, partisans d'une transformation constructive de la GRC, pour l'aider à remplir son mandat en évolution constante et à maintenir sa réputation emblématique.

Caporale Kim Chamberland, planificatrice de tournée, Sous-direction du Carrousel et du patrimoine de la GRC

Quel emploi occupez-vous à la GRC?

Je suis policière depuis 15 ans. Je suis actuellement chargée de la planification de la tournée du Carrousel. C'est un poste unique à la Gendarmerie. J'organise le calendrier des spectacles du Carrousel partout au pays, je prépare le budget, j'effectue des visites d'inspection et je fais des exposés avec les comités d'accueil. Je dois donc faire des voyages pour préparer la tournée. Je rencontre les responsables des lieux qui accueilleront la tournée pour passer en revue les installations où nos 36 chevaux séjourneront et pour m'assurer que les aires de spectacle et d'échauffement sont de taille suffisante pour les chevaux.

Comment la pandémie de COVID-19 s'est-elle répercutée sur votre travail?

Nous avons dû annuler la tournée du Carrousel en 2020. J'étais en communication étroite avec les hôtes, et nous avons tenté de reporter les spectacles en 2021, mais comme la pandémie sévit toujours, c'est difficile de planifier la tournée si on ne sait pas quand on pourra se réunir de nouveau.

Ce que nous avions prévu a dû être modifié plusieurs fois et structuré différemment afin de nous conformer aux restrictions et aux mesures de sécurité liées à la COVID-19. J'estime que nous avons un bon plan en ce moment, mais seul le temps le confirmera. Même si notre travail n'est pas essentiel, nous avons quand même un rôle important à jouer en prenant soin des chevaux. Et nous devons continuer de nous entraîner afin d'être prêts pour les années à venir.

Les membres de notre section ont aussi beaucoup aidé à la relève dans le Nord étant donné que la tournée était annulée. J'ai moi-même décidé de me porter volontaire, car je trouvais important d'aider au travail de relève. Je suis allée travailler à Pond Inlet, au Nunavut, pendant tout le mois de janvier. J'ai bien aimé reprendre les fonctions policières générales.

Qu'avez-vous appris de la situation?

J'ai appris à persévérer et à ne pas me laisser décourager lorsque les plans changent ou sont annulés. Je pense que le mot « résilience » prend tout son sens ici. Cela m'a aussi aidé à mieux me préparer au travail de planification future, car j'ai dû réfléchir à toutes les possibilités, à chacune des solutions envisagées, etc.

J'ai aussi appris, lors de discussions avec bon nombre des comités d'accueil, que les gens s'ennuient du Carrousel. Les spectacles du Carrousel sont une occasion de se rassembler pour les membres d'une collectivité. La majorité des comités d'accueil semblent vouloir attendre 2022 pour la reprise des spectacles, mais ce que je retiens surtout, c'est qu'ils souhaitent organiser un événement plaisant et célébrer le fait de pouvoir être ensemble de nouveau.

Le Carrousel de la GRC sera un aspect important des célébrations, car il est exclusivement canadien et offre de nombreux avantages dans les localités qui l'accueillent, par exemple des activités de financement pour des organismes de bienfaisance, ce qui peut contribuer à la reprise des activités après la pandémie.

Qu'est-ce que votre travail vous apporte sur les plans personnel et professionnel?

Je suis très fière du travail que je fais. Je suis douée et ça me donne de l'assurance.

Mon travail me permet d'être une meilleure personne chaque jour, car chaque journée présente son lot de défis qui me poussent à faire preuve de créativité et à m'améliorer tant sur le plan professionnel que personnel.

J'adore organiser et planifier, et voir le déroulement d'une année du début jusqu'à la fin. Alors professionnellement, j'aime avoir la satisfaction d'un travail bien fait. De plus, il est très gratifiant de voir mes collègues policiers aller en tournée, puis rentrer à la maison le sourire aux lèvres.

Surintendante Karen Ziezold, conseillère supérieure de la police, Bureau de coordination de l'Union européenne pour le soutien à la police palestinienne

La surintendante Karen Ziezold (GRC) est conseillère principale en matière de services de police au Bureau de coordination de l'Union européenne pour le soutien à la police palestinienne. Elle a commencé son déploiement en mars 2020, lorsque la COVID-19 a été déclarée pandémie mondiale. Découvrez comment s'est déroulée sa mission au cours de la dernière année.

Vérification de l’information de sources ouvertes

Rapport épuré

Janvier 2021

Évaluation de l'accès à l'information

Une évaluation de ce rapport par rapport aux dispositions de la Loi sur l'accès à l'information n'a donné lieu à aucune exemption; ce rapport est donc présenté dans son intégralité.

Table des matières

1. Sigles et abbréviations
2. Résumé
3. Réponse de la direction à la vérification
4. Contexte
5. Objectif, portée et méthode
   • Objectif
   • Portée
   • Méthode
   • Énoncé de conformité
6. Constations de la vérification
   • Gouvernance
   • Politique
   • Formation et infrastructure de TI
7. Conclusion
8. Recommendations
9. Annexe A – Objectifs et critères de la vérification
10. Annexe B – Chapitre 26.5 du MO – Tableau de bord des activités en ligne
11. Annexe C – Plan d'action de la direction

Sigles et abréviations

AQNS

Assurance de la qualité au niveau du service

DDI

Dirigeant divisionnaire de l'Informatique

DG

Direction générale

DPI

Dirigeant principal de l'Information

EM

Expert en la matière

GRC

Gendarmerie royale du Canada

IP

Protocole Internet

ISO

Information de sources ouvertes

MO

Manuel des opérations

OC

Opérations criminelles

PF

Police fédérale

PFC

Programme de formation des cadets

POR

Procédures opérationnelles réglementaires

RSO

Renseignement de sources ouvertes

RTISO

Recherche tactique sur Internet en soutien aux opérations

SDAC

Section divisionnaire des analyses criminelles

SGDO

Systèmes de gestion des dossiers opérationnels

SPC

Services partagés Canada

SPCA

Services de police contractuels et autochtones

SPS

Services de police spécialisés

STF

Solutions technologiques à l'échelle fédérale

TI

Technologie de l'information

VIEE

Vérification interne, Évaluation et Examen

Résumé

L'information de sources ouvertes (ISO) est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la Gendarmerie royale du Canada (GRC). Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête criminelle ou de la fonction de collecte de renseignement. Le chapitre 26.5 du Manuel des opérations (MO) de la GRC, qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles, offre un cadre de collecte et d'utilisation d'ISO et de renseignement de sources ouvertes (RSO) selon un système à trois niveaux (niveau 1 : non déguisée; niveau 2 : discrète; niveau 3 : secrète).

L'objectif de la vérification était de déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation sont conformes à la politique. La vérification a porté sur les activités liées à l'ISO qui ont été menées sur Internet à l'appui des enquêtes criminelles et de la collecte de renseignements criminels, à l'échelle nationale et dans chaque division, du 1er avril 2018 au 31 mars 2019.

Dans l'ensemble, la vérification a permis de déterminer que les activités liées à l'ISO menées sur Internet à l'échelle de l'organisation n'étaient pas conformes au chapitre 26.5 du MO. Elle a permis de conclure qu'il est possible d'élaborer un cadre de gouvernance plus solide et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire. Sans une définition claire des rôles et des responsabilités et une supervision et une surveillance adéquates, la Gendarmerie pourrait être tenue responsable et exposée à des risques liés à la réputation, ou des poursuites criminelles pourraient être compromises et la jurisprudence en découlant pourrait restreindre l'utilisation future d'ISO.

Peu de consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO en 2015 et aucune lors de la mise à jour de la politique en 2019. La vérification a révélé qu'un grand nombre d'employés n'étaient pas au courant qu'il existe une politique sur l'ISO ou que celle-ci s'applique aux activités liées à l'ISO qu'ils mènent. De plus, le chapitre 26.5 du MO ne fournit pas assez de renseignements pour orienter les utilisateurs sur la façon de saisir, de stocker et de conserver l'ISO. Il est possible de communiquer à grande échelle le chapitre 26.5 du MO et d'informer les employés des cas où il s'applique à leurs tâches. Des directives supplémentaires doivent être élaborées et communiquées à l'échelle de la Gendarmerie; celles-ci doivent inclure la façon de saisir, de stocker et de conserver l'ISO et décrire ce qui constitue une infrastructure de niveau 2 acceptable.

Enfin, la formation et l'échange de renseignements constituent des investissements précieux qui permettraient de s'assurer que les utilisateurs d'ISO ont accès aux renseignements les plus à jour, y compris la jurisprudence pertinente. L'offre d'une formation d'introduction aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2 faciliterait l'échange de renseignements à l'échelle de l'organisation.

Les réponses et le plan d'action de la direction relativement au présent rapport démontrent l'engagement de la haute direction à donner suite aux constatations et aux recommandations de la vérification. Un plan d'action de la direction détaillé est en cours d'élaboration. Après son approbation, la Vérification interne de la GRC surveillera sa mise en œuvre et entreprendra une vérification de suivi, au besoin.

Réponse de la direction à la vérification

La Police fédérale (PF), les Services de police spécialisés (SPS) et les Services de police contractuels et autochtones (SPCA) acceptent les constatations et les recommandations de la vérification, y compris l'observation selon laquelle la GRC peut améliorer, dans certains secteurs, la conformité avec les politiques, la formation, l'infrastructure et la surveillance afin d'appuyer les activités liées à l'ISO. Nous sommes conscients qu'une formation appropriée, un soutien et, plus particulièrement, l'approche de l'organisation à l'égard de la gouvernance pour cette fonction sont essentiels.

Le groupe de Recherche tactique sur Internet en soutien aux opérations de la PF a été établi pour répondre à un besoin immédiat de fournir de l'ISO tactique aux opérations dans le cadre du Programme de sécurité nationale en l'absence d'un centre de décision. La PF, les SPS et les SPCA conviennent que tous les secteurs qui utilisent de l'ISO doivent être pris en considération dans l'élaboration et la mise en œuvre du plan d'action de la direction (PAD) découlant de cette vérification. Par conséquent, le PAD comprendra des exigences en matière de gouvernance visant l'ensemble des activités de collecte, d'analyse et d'utilisation d'ISO par l'organisation.

Un PAD détaillé qui donne suite aux recommandations du rapport et qui fournit des échéances et des jalons précis sera élaboré aux fins d'examen par le Comité ministériel de vérification avant la prochaine réunion du Comité.

Sous-commissaire Michael Duheme
Police fédérale

Sous-commissaire Stephen White
Services de police spécialisés

Sous-commissaire Brian Brennan
Services de police contractuels et autochtones

Contexte

L'information de sources ouvertes (ISO) est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la Gendarmerie royale du Canada (GRC). Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses, comme les enquêtes, la collecte de renseignement, la sensibilisation et la mobilisation du public, l'analyse de l'environnement et la recherche. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête ou de la fonction de collecte de renseignement.

Le chapitre 26.5 du Manuel des opérations (MO), qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles, définit l'ISO comme des données brutes et non classifiées qui sont tirées d'une source primaire (p. ex. Internet) et qui peuvent se présenter sous n'importe quelle forme. L'information est obtenue, tirée ou récupérée par des moyens légaux et achetée ou recueillie à partir de sources chiffrées ouvertes ou librement accessibles (p. ex. sites Web, blogues, réseaux sociaux et bases de données en ligne).

De plus, le chapitre 26.5 du MO définit le renseignement de sources ouvertes (RSO) comme la collecte systématique et passive d'ISO et son traitement, son analyse et sa diffusion en réponse à des activités précises d'application de la loi (p. ex. renseignements criminels) ou aux exigences en matière d'enquête. Les RSO constituent une source précieuse d'information permettant de produire des pistes d'enquête concrètes et susceptibles de donner lieu à une action qui viennent compléter les méthodes policières traditionnelles.

Le chapitre 26.5 du MO répartit l'utilisation de l'ISO en une structure à trois niveaux, de la façon suivante (voir le résumé à l'annexe B) :

• Niveau 1 : Activités en ligne non déguisées (p. ex. recherche, analyse de l'environnement, demandes de renseignements et mobilisation du public).
• Niveau 2 : Activités en ligne passives liées aux enquêtes et au renseignement menées de façon à réduire au minimum l'identification à titre d'agent d'application de la loi (p. ex. faire preuve de discrétion et ne pas communiquer avec une personne d'intérêt).
• Niveau 3 : Activités en ligne secrètes explicitement dissimulées et protégées afin d'éviter l'identification à titre d'agent d'application de la loi (p. ex. la communication avec une personne d'intérêt est autorisée).

Le groupe de Recherche tactique sur Internet en soutien aux opérations (RTISO) des Opérations criminelles de la Police fédérale (PF) a été établi en 2005 pour répondre à la demande croissante de soutien relatif aux enquêtes liées à Internet et il est le centre national de décision pour ce qui est du chapitre 26.5 du MO. La RTISO effectue des recherches sur Internet à l'appui des enquêtes criminelles en corroborant les renseignements, en identifiant les associés et les entreprises, en déterminant l'endroit où se trouve un suspect et en identifiant les témoins et des sources humaines potentielles.

La RTISO est le centre de décision et un groupe opérationnel qui mène ses propres activités liées à l'ISO, mais d'autres intervenants de la GRC participent fondamentalement aux activités liées à l'ISO par l'entremise de leurs mandats de maintien de l'ordre respectifs, plus précisément :

• La PF est responsable d'un vaste éventail d'activités prévues dans le mandat fédéral, notamment la réalisation d'enquêtes sur les infractions liées à la drogue, le crime organisé, les crimes économiques et les activités criminelles liées au terrorisme; l'application des lois fédérales; la protection des frontières du Canada; l'exécution d'activités de renforcement des capacités, de liaison et de maintien de la paix à l'étranger; et la prestation de services de sécurité lors d'événements importants, de visites de représentants d'État et de dignitaires et de missions à l'étranger.^{Note de bas de page 1} Les activités sont menées par divers secteurs, dont les Opérations criminelles de la PF, qui assurent à l'échelle nationale la surveillance et la gouvernance des enquêtes criminelles liées aux crimes graves et au crime organisé, à la cybercriminalité, à la criminalité financière et à l'intégrité des frontières et fournissent un soutien opérationnel stratégique et tactique, des conseils et une orientation aux différentes entités divisionnaires qui mènent des enquêtes.^{Note de bas de page 2}
• Les Services de police spécialisés (SPS) offrent des services essentiels de soutien opérationnel de première ligne à la GRC et aux partenaires des organismes canadiens d'application de la loi et de la justice pénale et fournissent de l'aide aux partenaires d'application de la loi étrangers. Aux SPS, les Opérations techniques fournissent des services directs d'enquêtes spécialisées et des services opérationnels aux agents de première ligne en offrant des solutions essentielles en matière de services de police pour le XXIe siècle. De plus, le Service canadien de renseignements criminels (SCRS) se sert d'ISO pour fournir des produits et des services de renseignement en vue de réduire les dommages causés par le crime organisé. Aussi aux SPS, le dirigeant principal de l'Information (DPI) est responsable du Programme de gestion de l'information et de la technologie de l'information (GI-TI) de la GRC, qui comprend tous les renseignements dont la GRC a besoin pour s'acquitter de son mandat. Il est également chargé de l'élaboration et de la gestion de la technologie, de l'infrastructure et des systèmes utilisés pour consulter, communiquer, consigner, échanger et gérer ces renseignements.
• Les Services de police contractuels et autochtones (SPCA) gèrent le secteur d'activité des services de police contractuels, y compris les services de police provinciaux, territoriaux, municipaux et autochtones. Les SPCA assurent la surveillance fonctionnelle des divisions qui utilisent de l'ISO pour les enquêtes, le renseignement et la recherche. Les SPCA sont le centre national de décision pour la collecte ainsi que l'utilisation et l'échange normalisés de renseignements dans les divers secteurs d'activité.
• Les officiers responsables des enquêtes criminelles (OREC) des divisions sont chargés d'offrir tout soutien en matière de renseignement et d'enquête dans leur territoire.

La commissaire a approuvé la Vérification de l'information de sources ouvertes dans le Plan de vérification axé sur les risques, d'évaluation et d'analyse des données de 2018-2023.

Objectif, portée et méthode

2.1 Objectif

L'objectif de la vérification était de déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation sont conformes à la politique.

Portée

La vérification a porté sur les activités liées à l'ISO qui ont été menées sur Internet à l'appui des enquêtes criminelles et de la collecte de renseignements criminels, à l'échelle nationale et dans chaque division, du 1er avril 2018 au 31 mars 2019.

Plus précisément, on a examiné la façon dont les employés recueillent des sources d'information accessibles au grand public lorsqu'ils effectuent des recherches en ligne (p. ex. médias sociaux, blogues et registres d'entreprises) et la façon dont leurs résultats sont saisis, stockés et conservés. On a également évalué les contrôles internes existants (p. ex. politiques et procédures, formation et outils et mécanismes de surveillance et de production de rapports) qui appuient l'utilisation d'ISO liée à Internet. La vérification s'est concentrée sur les fonctions de niveau 2, telles qu'elles sont définies dans la politique nationale^{Note de bas de page 3} du chapitre 26.5 du MO.

La vérification n'a pas porté sur la façon dont l'ISO liée à Internet a par la suite été utilisée dans la prise de décisions en matière d'application de la loi ou même si elle a été utilisée (p. ex. donner suite à une piste, inclure comme élément de preuve devant un tribunal ou porter des accusations).

Méthode

La planification de la vérification s'est terminée en octobre 2019. À cette étape, l'équipe de vérification a mené des entrevues, passé en revue les processus et examiné les lois, les politiques et les procédures pertinentes. On a eu recours au chapitre 26.5 du MO et à d'autres politiques et lignes directrices pertinentes pour l'élaboration des critères de vérification. Les critères de vérification se trouvent à l'annexe A.

L'étape d'examen a pris fin en décembre 2019 et a porté sur les Divisions E, H et K, ainsi que sur la RTISO de la Direction générale (DG). Elle a fait appel à diverses techniques de vérification, notamment des entrevues, l'examen des documents, l'analyse des formulaires et de la formation obligatoires, les questionnaires relatifs à l'infrastructure de technologie de l'information (TI) et l'analyse de l'attribution sur un échantillon d'ordinateurs utilisés pour mener des activités liées à l'ISO.

Plus précisément :

• L'équipe de vérification a sélectionné un échantillon de 110 employés afin de déterminer si la formation obligatoire a été suivie et si les approbations requises ont été obtenues pour mener des activités liées à l'ISO et créer des identités et des comptes virtuels discrets, le cas échéant.
• De plus, des analyses de l'attribution ont eu lieu afin de déterminer si les 46 ordinateurs faisant partie de l'échantillon qui sont utilisés pour mener des activités liées à l'ISO respectent les exigences en matière de TI pour le niveau 2.^{Note de bas de page 4}

À la fin de l'étape d'examen, l'équipe de vérification a tenu des réunions de clôture pour valider les constatations auprès du personnel et faire part à la haute direction des constatations pertinentes.

Énoncé de conformité

La présente vérification est conforme au Cadre de référence international des pratiques professionnelles de l'Institut des vérificateurs internes et à la Directive sur l'audit interne du Conseil du Trésor du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

Constations de la vérification

Gouvernance

L'équipe de vérification s'attendait à ce qu'un cadre de gouvernance solide soit en place pour les activités liées à l'ISO menées à l'appui des enquêtes criminelles et de la collecte de renseignements criminels à l'échelle de l'organisation et à ce qu'il comprenne des rôles, des responsabilités et des mécanismes de surveillance clairs. Un cadre de gouvernance efficace permettrait de réduire le risque que de l'ISO soit obtenue de façon inappropriée et utilisée à l'appui des enquêtes criminelles et de la collecte de renseignements criminels. De plus, il permettrait de promouvoir la visibilité de tous les employés qui mènent des activités liées à l'ISO de niveau 2 à l'échelle de l'organisation.

Rôles et responsabilités

La structure de gouvernance pour l'ISO est définie dans le chapitre 26.5 du MO, qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles. La politique offre un cadre de collecte d'ISO et de RSO selon un système à trois niveaux (niveau 1 : non déguisée; niveau 2 : discrète; niveau 3 : secrète); celle-ci peut être effectuée par tous les employés de la GRC. La RTISO des Opérations criminelles de la PF est le centre national de décision.

Le chapitre 26.5 du MO a d'abord été publié en mars 2015 et a été mis à jour en juillet 2019. On a informé l'équipe de vérification que la RTISO a élaboré et mis à jour la politique du chapitre 26.5 du MO régissant la réalisation d'enquêtes sur Internet en raison d'une lacune reconnue en matière de politique au sein de l'organisation. Avant l'élaboration du chapitre 26.5 du MO, aucune politique nationale de la GRC ne portait sur ce sujet et le Conseil du Trésor ne disposait d'aucune orientation stratégique à ce sujet.

Des modifications importantes apportées au chapitre 26.5 du MO en 2019 comprenaient la création d'une section portant sur les rôles et les responsabilités, des changements aux rôles et aux responsabilités de la RTISO et des chefs de service ainsi que des définitions élargies. Selon la version de 2015 du chapitre 26.5 du MO, la RTISO « assure la surveillance de toutes les activités de renseignement de sources ouvertes et de toutes les activités en ligne de soutien aux enquêtes qui s'exercent au sein de la GRC ». La version de 2019 ne comprend plus cette responsabilité de surveillance. Elle précise maintenant que la RTISO est chargée de ce qui suit :

• fournir, par l'acquisition de RSO, des conseils stratégiques et un soutien tactique opérationnel;
• évaluer les risques associés aux outils, aux techniques ou au savoir-faire spécialisés relatifs aux RSO;
• élaborer, coordonner et offrir une formation avancée sur les RSO;
• donner des conseils aux autorités techniques en ce qui concerne la conception réseau Internet, la sécurité réseau ainsi que les logiciels et les applications bureautiques utiles aux activités liées aux RSO.

Selon la version de 2019 du chapitre 26.5 du MO, la responsabilité de surveillance passe de la RTISO au service (p. ex. chefs de service et officiers hiérarchiques), notamment l'autorisation et la supervision des formulaires requis pour mener des activités liées à l'ISO. Voici d'autres exemples de responsabilités confiées aux chefs de service ou aux officiers hiérarchiques :

• tenir à jour un registre du service des autorisations accordées aux employés qui mènent des activités liées à l'ISO;
• réaliser des activités d'assurance de la qualité au niveau du service (AQNS) pour les formulaires 6449, Dossier d'identité virtuelle, présentés;
• fournir aux spécialistes autorisés l'infrastructure de TI et la formation sur l'ISO requises.

Cependant, un grand nombre de personnes interrogées qui comprennent, entre autres, des analystes de renseignements criminels et des chefs de détachement de toutes les divisions ont déclaré ne pas être au courant de la politique sur l'utilisation de l'ISO ou des rôles et des responsabilités de leur poste.

La vérification a révélé que les employés de tous les niveaux qui utilisent de l'ISO ne comprennent pas vraiment les rôles et les responsabilités prévus au chapitre 26.5 du MO. Sans des rôles et des responsabilités clairement établis et communiqués, il se peut que de l'ISO soit obtenue de façon inappropriée et utilisée à l'appui des enquêtes criminelles et de la collecte de renseignements criminels. La Gendarmerie pourrait être tenue responsable et cela pourrait avoir des répercussions sur les poursuites.

Supervision et surveillance

La supervision et la surveillance de la fonction liée à l'ISO sont nécessaires pour s'assurer que la Gendarmerie mène ses activités de façon appropriée afin d'appuyer les enquêtes et la collecte de renseignement.

L'équipe de vérification a constaté que le chapitre 26.5 du MO ne traite plus de la responsabilité de surveillance et de supervision à l'échelle nationale. La responsabilité de surveillance, notamment l'autorisation et la supervision des formulaires requis pour mener des activités liées à l'ISO, avait initialement été incluse dans la politique de 2015, mais elle a été confiée au service lorsque la politique a été modifiée en 2019.

La RTISO a informé l'équipe de vérification qu'elle n'avait pas la capacité d'exécuter ses responsabilités de supervision et de surveillance en tant que centre national de décision.^{Note de bas de page 5} De plus, celle-ci ne se considère pas comme un programme national, puisqu'elle n'a aucune autorité sur les autres secteurs d'activité et divisions qui mènent des activités liées à l'ISO à l'échelle de l'organisation. Les entrevues réalisées avec des membres de la haute direction de la PF, des SPS et de la Direction de la planification et des politiques stratégiques, ainsi qu'avec un OREC, ont permis de conclure que d'autres secteurs d'activité devraient probablement jouer un rôle dans la fonction de surveillance.

LA RTISO a admis ne pas être en mesure de jouer son rôle de centre national de décision, mais l'absence d'une surveillance nationale augmente le risque que de l'ISO sera recueillie et utilisée par les employés de la GRC sans avoir obtenu l'autorisation appropriée et sans respecter la politique. Cela pourrait augmenter le risque de rejet des poursuites judiciaires en raison de l'inadmissibilité des éléments de preuve.

Autorisation de mener des activités liées à l'ISO

Puisque la période visée par la vérification était l'exercice 2018-2019, les analyses effectuées reposaient sur la version de 2015 du chapitre 26.5 du MO. On a procédé à des analyses pour déterminer si les employés des secteurs spécialisés ou considérés comme des experts en la matière (EM) disposent des autorisations nécessaires pour les activités liées à l'ISO qu'ils mènent. La plupart des employés étaient des analystes de renseignements criminels.

Selon la version de 2015 du chapitre 26.5 du MO, les mécanismes de surveillance comprenaient l'approbation du formulaire 6448, Demande d'enregistrement de niveau par le sous-officier responsable de la RTISO, afin d'autoriser un employé à mener des activités liées à l'ISO de niveau 2 et de niveau 3. Aucune autorisation n'est requise pour les activités de niveau 1. La vérification a révélé que la RTISO n'avait approuvé aucun des 110 formulaires faisant partie de l'échantillon. Par conséquent, on a jugé que l'ensemble de l'échantillon ne respectait pas la politique de 2015.

L'équipe de vérification a été informée que la RTISO a modifié l'exigence relative à l'approbation sur le formulaire 6448 en janvier 2017 en raison du manque de capacité pour assurer la supervision et la surveillance; cependant, le chapitre 26.5 du MO n'a pas été mis à jour pour tenir compte de cette modification. Le formulaire 6448 modifié informe les utilisateurs d'ISO que seuls les formulaires pour les activités de niveau 3 doivent être envoyés à la RTISO aux fins d'approbation et que les formulaires pour les activités de niveau 2 doivent être recommandés par le chef de service, approuvés par l'officier hiérarchique et conservés au sein du service. L'équipe de vérification a donc vérifié si les autorisations du chef de service et de l'officier hiérarchique figuraient sur les formulaires. Selon les résultats des analyses, seulement 14 % des employés (15 sur 110) avaient reçu l'autorisation, au moyen d'un formulaire 6448, pour mener des activités liées à l'ISO :

• La majorité des employés faisant partie de l'échantillon (71 sur 110) n'avaient pas rempli le formulaire 6448 parce qu'ils n'étaient pas au courant de l'exigence de la politique ou ne pensaient pas que cela s'appliquait à eux.
• Des 39 formulaires sur 110 qui ont été remplis, la plupart étaient recommandés par le chef de service, mais seulement 15 sur 39 étaient approuvés par l'officier hiérarchique, comme l'exige le formulaire.
• La RTISO n'a pas rempli le formulaire 6448 pour ses propres employés. Elle estime que ceux-ci sont automatiquement désignés pour les activités de niveau 3 de par leur rôle au sein du centre de décision et la nature de leur travail dans un environnement secret. Cependant, aucune exemption de ce genre ne figure dans la politique.

Autorisation de créer des identités virtuelles discrètes

Un autre mécanisme de surveillance existait dans les versions de 2015 et de 2019 du chapitre 26.5 du MO, notamment le formulaire 6449, Dossier d'identité virtuelle, qui comprenait l'approbation par un gestionnaire pour la création, la modification et la suppression d'identités et de comptes virtuels discrets servant à mener des activités de niveau 2 et de niveau 3 (p. ex. faux comptes de médias sociaux). Le niveau du poste de gestionnaire n'était pas précisé sur le formulaire.

Le formulaire 6449 sert principalement à favoriser l'observation des identités et des comptes virtuels discrets ainsi que la résolution des incompatibilités potentielles dans les activités d'application de la loi menées sur Internet (p. ex. une personne d'intérêt pourrait être un autre policier ou un agent d'application de la loi utilisant une fausse identité). Cela peut être effectué à la GRC ou avec des partenaires externes, comme le SCRS ou le Federal Bureau of Investigation. Le formulaire sert également à assurer la surveillance dans les cas où une identité ou un compte virtuel discret a été compromis et ne doit donc plus être utilisé ainsi qu'à veiller à ce que les spécialistes de niveau 3 ne se lancent pas dans des opérations d'infiltration en ligne; celles-ci sont régies par le chapitre 30.8 du MO, qui est intitulé Opérations d'infiltration en ligne.

Le même échantillon de 110 employés a été analysé, et selon les résultats, seulement 6 % (7 sur 110) avaient bien rempli le formulaire 6449 :

• La majorité des employés faisant partie de l'échantillon (69 sur 110) n'avaient pas rempli le formulaire 6449 parce qu'ils n'étaient pas au courant de l'exigence de la politique ou ne pensaient pas que cela s'appliquait à eux.
• Des 41 formulaires sur 110 qui ont été remplis, seulement 7 sur 41 comprenaient les approbations requises.
• Plutôt que de remplir un formulaire 6449 individuel pour ses employés, la RTISO tient à jour une base de données électronique pour son propre groupe seulement. De même, la Section divisionnaire des analyses criminelles (SDAC) de la Division H n'oblige pas ses employés à remplir le formulaire 6449, mais elle tient à jour une liste maîtresse des identités virtuelles discrètes utilisées au sein du service. Le chapitre 26.5 du MO ne précise aucune solution de rechange; il faut donc remplir et faire approuver le formulaire 6449.

Les personnes interrogées à l'échelle des divisions ont confirmé qu'aucun processus cohérent n'est en place pour supprimer une identité virtuelle discrète lorsqu'un employé quitte un service. Les identités virtuelles discrètes sont conservées par l'intervenant dans son nouveau poste, sont conservées au sein du service aux fins d'utilisation par un nouvel intervenant ou demeurent inactives et inutilisées. Il est possible qu'une identité virtuelle discrète soit utilisée de façon inappropriée si l'utilisateur initial la conserve lorsqu'elle n'est plus nécessaire ou si un nouvel intervenant assume cette identité sans avoir obtenu les approbations requises.

La vérification n'a pas permis de déterminer que les activités liées à l'ISO font l'objet d'un suivi ou d'une surveillance à l'échelle nationale et divisionnaire. Selon la version de 2015 du chapitre 26.5 du MO, la RTISO était chargée d'inscrire et de gérer les désignations approuvées (formulaire 6448) et de tenir à jour les identités virtuelles discrètes (formulaire 6449) dans le registre national afin de favoriser l'observation des identités et des comptes virtuels discrets ainsi que la résolution des incompatibilités potentielles. Certaines personnes interrogées ont affirmé que lorsque les formulaires remplis lui étaient présentés, la RTISO les refusait et conseillait aux services de les conserver à leur niveau. En outre, la RTISO n'a pas établi un registre national, comme l'exigeait la politique de 2015. Le centre national de décision doit évaluer la valeur et la pertinence des formulaires 6448 et 6449 en tant que mécanismes de surveillance pour favoriser l'observation des personnes qui mènent des activités liées à l'ISO de niveau 2 et de niveau 3 et de leurs identités virtuelles.

L'équipe de vérification a été informée qu'en raison du manque de ressources nuisant à la capacité de la RTISO de jouer son rôle de centre de décision, cette exigence a été supprimée lorsque la politique a été modifiée en 2019. Selon la politique actuelle, l'intervenant doit conserver les formulaires approuvés dans le registre du service. Puisque beaucoup de personnes interrogées n'étaient pas au courant de l'existence de la politique, elles ne savaient pas non plus que la responsabilité de surveillance leur avait été confiée.

Assurance de la qualité au niveau du service (AQNS)

La politique de 2019 comprend une nouvelle exigence : en tant que mécanisme de surveillance, les chefs de service doivent effectuer des examens d'AQNS pour les formulaires 6449 présentés. Cependant, aucun guide sur l'AQNS pour cette activité n'a été élaboré. L'AQNS pourrait constituer un outil utile pour surveiller le respect des politiques, mais elle ne remplace par la surveillance à l'échelle nationale, qui permet de regrouper et d'analyser les résultats et de cerner les pratiques exemplaires et les difficultés qu'éprouvent les utilisateurs à l'échelle de la Gendarmerie.

L'absence de surveillance et de supervision par le centre national de décision pourrait entraîner un manque d'observation des personnes qui mènent des activités liées à l'ISO. Cela pourrait compromettre des poursuites criminelles et donner lieu à une jurisprudence qui limite l'utilisation d'ISO (p. ex. l'employé n'avait pas l'autorisation de mener des activités liées à l'ISO ou l'information n'a pas bien été saisie). La Gendarmerie pourrait être tenue responsable ou sa réputation pourrait être entachée.

Politique

L'équipe de vérification s'attendait à ce qu'une politique nationale sur l'utilisation de l'ISO soit en place, à jour, communiquée et respectée. De plus, elle s'attendait à ce que cette politique fournisse des directives adéquates sur la saisie, le stockage et la conservation d'ISO. Par ailleurs, elle s'attendait à ce que les politiques divisionnaires soient harmonisées avec les politiques nationales.

Élaboration de politiques

La consultation auprès des intervenants pertinents est un élément important de l'élaboration des politiques afin de s'assurer que les questions liées aux politiques sont bien comprises et que les points de vue sont pris en considération. La vérification n'a permis de trouver aucune preuve concrète qui démontre que des consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO.

La RTISO a informé l'équipe de vérification que les secteurs d'activité et les OREC divisionnaires ont été consultés pendant le processus initial d'élaboration de la politique en 2015 afin de désigner des experts en la matière utilisant Internet pour les enquêtes criminelles et la collecte de renseignements criminels. Elle a signalé que les grandes divisions ont désigné des experts en la matière, mais que les autres divisions ne l'ont pas fait. En outre, les SPCA n'ont pas participé pleinement et la RTISO ne se souvenait pas si les SPS ont été consultés. Pour ce qui est de la mise à jour de la politique en 2019, la RTISO a informé l'équipe de vérification qu'aucune consultation officielle n'a été menée auprès des principaux intervenants. Le chapitre 26.5 du MO est utilisé par un grand nombre d'intervenants à la Gendarmerie et le respect du chapitre dépend de l'appui des intervenants ainsi que de la connaissance et de la compréhension de la politique. En raison de l'absence de consultations pour l'élaboration du chapitre 26.5 du MO, les utilisateurs pourraient ne pas savoir quand le chapitre s'applique à leurs tâches.

Certaines personnes interrogées ne faisant pas partie de groupes spécialisés ne pensaient pas que le chapitre 26.5 du MO s'appliquait à leurs activités liées à l'ISO puisqu'elles ne menaient pas d'opérations d'infiltration en ligne ou ne communiquaient pas avec des cibles ou des personnes d'intérêt (activités secrètes de niveau 3). Les employés comprennent la définition des activités de niveau 1 (non déguisées) et des activités de niveau 3 (secrètes), mais il y a un manque de clarté quant aux activités de niveau 2 (discrètes). Des sources ouvertes sont utilisées pour tous les types de collecte de renseignement et d'enquêtes (p. ex. personnes disparues, crimes haineux, homicides, introductions par effraction, drogues, etc.), mais beaucoup de personnes interrogées ne se rendaient pas compte que leurs activités liées à l'ISO nécessitaient l'approbation de niveau 2.

Les personnes interrogées ont mentionné que la majorité de la recherche relative à l'ISO était menée de façon passive (c.-à-d. sans communiquer ou interagir avec des personnes d'intérêt), mais certaines exceptions contraires à la politique ont été signalées, comme l'adhésion à des groupes Facebook privés dans le cadre d'un effort proactif de surveillance pour obtenir, lors de de discussions en ligne, des renseignements sur des activités à venir (p. ex. protestation ou manifestation) et l'utilisation de comptes de médias sociaux personnels pour tenter de communiquer ouvertement avec une personne disparue.

La mobilisation des principaux intervenants des secteurs d'activité et des divisions a été limitée lors de l'élaboration du chapitre 26.5 du MO. L'absence de consultations ne permet pas de garantir que les questions liées aux politiques sont bien comprises par les intervenants pertinents; par conséquent, les intervenants auxquels la politique s'applique pourraient ne pas donner leur appui ou comprendre les rôles et les responsabilités.

Communication des politiques

Une des responsabilités du centre de décision consiste à communiquer et à transmettre activement les renseignements pertinents à ceux qui ont en besoin. Cela peut comprendre l'annonce d'une nouvelle politique, les décisions judiciaires pertinentes, les documents d'orientation, les bulletins de communication et les exigences en matière de formation. L'équipe de vérification a constaté qu'aucun processus d'échange de renseignements n'est en place pour les employés qui mènent des activités liées à l'ISO. Le centre de décision transmet des renseignements de façon ponctuelle ou sur demande aux secteurs spécialisés; cependant, ceux-ci pourraient ne pas être reçus par tous les membres et l'organisation dans son ensemble.

Les experts en la matière qui ont été interrogés ont confirmé que la politique modifiée en 2019 ne leur a pas été transmise. La RTISO a signalé qu'elle a envoyé des mises à jour aux OREC par le passé et qu'elle compte sur les OREC pour diffuser les renseignements aux employés des divisions qui en ont besoin. Cependant, aucun OREC des divisions faisant partie de l'échantillon ne se rappelait avoir reçu de communication sur l'ISO, dont sur la modification de la politique du chapitre 26.5 du MO effectuée en 2019.

Le chapitre 26.5 du MO peut être consulté dans les manuels de la GRC dans InfoWeb, mais il peut être un peu difficile à trouver, parce qu'il se trouve sous Crime facilité par Internet dans le MO, qui relève de la RTISO, sous les Operations secrètes de la PF, en tant que centre de décision. Avant la mise à jour récente de la politique en 2019, dans le cadre de laquelle « sources ouvertes » a été ajoutée au titre, le chapitre 26.5 du MO ne figurait pas dans les résultats des recherches menées dans InfoWeb pour « sources ouvertes ». Sauf pour certains superviseurs et analystes de renseignements criminels, la plupart des personnes interrogées n'étaient pas au courant de l'existence du chapitre 26.5 du MO.

Puisque le chapitre 26.5 du MO n'avait pas été communiqué à grande échelle aux personnes participant aux activités liées à l'ISO, des groupes de la Gendarmerie n'étaient pas au courant qu'on leur avait attribué la responsabilité et l'obligation de rendre des comptes en matière d'ISO. Pour cette raison, le risque que les activités liées à l'ISO ne soient pas menées conformément aux exigences de la politique est plus élevé.

Harmonisation des politiques

Selon le chapitre III.4 du Manuel d'administration, les divisions peuvent élaborer des politiques opérationnelles supplémentaires lorsqu'une directive s'applique uniquement à leur propre secteur et lorsque les renseignements ne figurent pas dans une politique nationale. Les suppléments ne doivent pas répéter les renseignements figurant dans les politiques nationales et seules les pratiques locales propres à une province ou à un territoire doivent figurer dans les politiques divisionnaires. Celles-ci doivent être conformes aux politiques nationales de la GRC et harmonisées avec celles-ci.

Les suppléments divisionnaires aux politiques des Divisions B, D, E, F, G et M ont été examinés. Aucune préoccupation majeure n'a été relevée en ce qui concerne leur harmonisation avec les politiques nationales, mais il serait utile d'examiner tous les suppléments divisionnaires aux politiques ayant trait au chapitre 26.5 du MO afin d'assurer le respect et la cohérence à l'échelle de la Gendarmerie.

La Vérification interne, Évaluation et Examen (VIEE) a récemment terminé la phase II de la Vérification de la gestion des politiques, qui a révélé la lacune suivante : les centres de décision nationaux ne sont pas tenus d'examiner les politiques divisionnaires. L'absence d'une exigence à cet effet peut accroître le manque d'harmonisation entre les politiques nationales et divisionnaires et entraîner une application non cohérente des politiques. Le risque est accru en l'absence d'une fonction nationale de supervision et de surveillance.

Saisie, stockage et conservation

Dans l'ensemble, le chapitre 26.5 du MO ne comprend pas de renseignements précis sur la façon de saisir, de stocker et de conserver l'ISO. Il renvoie plutôt les utilisateurs au Manuel de la gestion de l'information (GI) et à la Loi sur la preuve au Canada. Aucune autre directive nationale n'a été trouvée pour aider les employés. Une décision judiciaire rendue en Colombie-Britannique en 2017 (R. c. Hamdan, 2017 BCSC 867) met en évidence des saisies incorrectes d'ISO par la GRC qui ont donné lieu à une poursuite infructueuse et renforcé la nécessité de faire preuve d'une prudence accrue. Beaucoup des personnes interrogées n'étaient pas au courant de l'existence de cet arrêt. La version de 2019 du chapitre 26.5 du MO mentionne cette affaire, mais aucune directive nationale n'a été établie pour décrire la façon de saisir correctement l'ISO en vue de s'assurer que les exigences des tribunaux sont respectées.

À l'heure actuelle, il incombe à l'utilisateur d'assurer le respect des politiques pertinentes et de conserver les éléments de preuve électroniques d'une manière qui résiste à l'examen rigoureux des tribunaux. Les personnes interrogées ont confirmé qu'elles ont besoin de directives sur les méthodes acceptables de saisie, de stockage et de conservation de l'ISO. Elles ont également mentionné qu'aucune directive de la GRC n'existe pour les aider à défendre leurs processus liés à l'ISO lorsqu'elles doivent témoigner devant les tribunaux.

La vérification a révélé que les employés utilisent diverses méthodes pour documenter les activités liées à l'ISO, comme des registres des travaux et des carnets d'analystes, des rapports supplémentaires, des rapports détaillés sur les RSO, des captures d'écran simples ou partielles, des courriels et des exposés narratifs. La plupart des analystes ont confirmé qu'ils utilisent des identités et des comptes virtuels discrets pour accéder à des documents de sources ouvertes. Aux détachements, la plupart des membres ont déclaré qu'ils utilisent leurs comptes personnels pour accéder à l'ISO. Cependant, quelques détachements ont affirmé que de faux comptes sont disponibles et que les membres les partagent.

Les personnes interrogées ont déclaré qu'elles utilisent divers outils et pratiques pour saisir l'ISO et que ceux-ci varient d'une division à l'autre ainsi qu'au sein des divisions. Cela comprend la prise de captures d'écran, l'impression en format PDF et l'utilisation de logiciels judiciaires spécialisés.

Une note de service conjointe des commissaires adjoints (comm. adj.) des SPCA, de la PF et des SPS, qui a été rédigée en partie à la suite d'une recommandation^{Note de bas de page 6}, du Rapport MacNeil, a été envoyée aux OREC divisionnaires en février 2018. Celle-ci mettait en valeur l'utilisation de Social Studio.^{Note de bas de page 7} Cependant, l'adoption de Social Studio est limitée puisqu'un grand nombre d'employés des divisions sont d'avis que le logiciel ne répond pas à leurs besoins. Le chapitre 26.5 du MO n'établit aucune norme relativement à l'utilisation d'outils et de logiciels particuliers pour la collecte d'ISO, mais l'absence d'une approche normalisée pourrait nuire aux enquêtes et aux poursuites fructueuses.

De nombreux analystes ont déclaré que les résultats des recherches menées dans des sources ouvertes sont envoyés à l'enquêteur principal ou au coordonnateur des dossiers, qui décide de les verser ou non au dossier d'enquête dans un des systèmes de gestion des dossiers opérationnels (SGDO) existants, comme le Système d'incidents et de rapports de police (SIRP), le Système d'incidents et de rapports de police protégé (SIRPP) et l'Environnement de gestion de l'information des dossiers de police de la Colombie-Britannique (PRIME-BC). Les renseignements stockés dans un SGDO sont conformes aux lignes directrices sur la gestion et la conservation des renseignements établies. La majeure partie de l'ISO est stockée sous forme de document d'information, dont la période de conservation peut être relativement courte (p. ex. deux ans).

Les analystes ont signalé que l'ISO recueillie est souvent trop volumineuse pour être enregistrée dans un SGDO et doit donc être stockée dans un autre dépôt de données, comme des lecteurs personnels ou partagés, des clés USB ou des lecteurs externes. De plus, certains analystes conservent indéfiniment les RSO en tant que sources de renseignements futurs parce que les personnes d'intérêt peuvent continuer de susciter des préoccupations sur de longues périodes pour certains types de crimes (p. ex. crimes graves et crime organisé, drogues et terrorisme) et l'ISO déjà recueillie pourrait ne plus être disponible sur Internet. Cependant, l'utilisateur doit quand même déterminer et appliquer les lignes directrices sur la conservation appropriées pour les renseignements stockés. Les pratiques actuelles pourraient entraîner la conservation d'ISO au-delà des exigences en matière de conservation ou la suppression trop rapide d'ISO. En outre, les utilisateurs doivent tenir compte des exigences en matière de sécurité des TI et des risques possibles si des RSO regroupés sont conservés dans un dépôt dont la protection n'est pas suffisante.

L'ISO est utilisée par un grand nombre d'employés de la GRC pour les services policiers quotidiens et non uniquement dans les secteurs spécialisés. Si les utilisateurs ne sont pas au courant des méthodes appropriées de saisie de l'ISO en conformité avec les décisions judiciaires existantes, cela pourrait nuire aux enquêtes et aux poursuites fructueuses et donner lieu à une nouvelle jurisprudence qui limite l'utilisation d'ISO dans les activités policières à l'avenir. De plus, le stockage et la conservation inappropriés de RSO pourraient causer des problèmes de responsabilité relativement à la protection des renseignements personnels.

Formation et infrastructure de TI

L'équipe de vérification s'attendait à constater que les employés menant des activités liées à l'ISO recevaient la formation et l'infrastructure de TI requises pour les activités de leur niveau.

Formation obligatoire

Le Tableau de bord des activités en ligne du chapitre 26.5 du MO (annexe B) présente les exigences en matière de formation par niveau, de la façon suivante :

• Niveau 1 : Aucune exigence en matière de formation obligatoire n'est indiquée.
• Niveau 2 : Les employés doivent communiquer avec la RTISO pour les formations d'introduction relatives aux sources ouvertes recommandées. Un cours sur AGORA était en cours d'élaboration par la RTISO, mais il n'était pas prêt au moment de la vérification. Entre temps, la RTISO a recommandé des programmes de formation équivalents offerts par des fournisseurs internes, notamment le Collège canadien de police et le Centre de formation de la région du Pacifique de la GRC, ainsi que par des fournisseurs externes.^{Note de bas de page 8}
• Niveau 3 : Les employés doivent suivre un cours avancé obligatoire portant sur les activités liées à l'ISO dans un environnement secret. La RTISO coordonne et offre un cours obligatoire intitulé Utilisation tactique d'Internet. On y trouve également une liste des cours facultatifs pour satisfaire aux exigences relatives aux activités de niveau 3.

Il incombe à l'employé de déterminer la formation sur l'ISO appropriée qu'il doit suivre selon le niveau d'activités qu'il mène. Le tableau de bord indique clairement les exigences en matière de formation pour les activités de niveau 3. Cependant, les exigences en matière de formation pour les activités de niveau 2 ne sont pas claires. Il se peut que les utilisateurs menant des activités de niveau 2 qui n'ont pas suivi de formation recueillent et utilisent l'ISO de façon inappropriée.

L'échantillon de 110 employés composé principalement d'analystes de secteurs spécialisés a été analysé afin de déterminer si ceux-ci ont suivi la formation obligatoire pour le niveau d'activités liées à l'ISO qu'ils menaient. L'analyse a permis de confirmer que 96 % (106 sur 110) des employés faisant partie de l'échantillon avaient suivi la formation appropriée.^{Note de bas de page 9} De nombreux analystes du renseignement ont déclaré qu'ils s'appuient sur leur formation plutôt que sur la politique pour les guider relativement à l'ISO. Certaines personnes interrogées faisant partie des secteurs spécialisés ont affirmé qu'une formation de recyclage plus fréquente serait utile.

La plupart des analystes des groupes spécialisés ont suivi la formation obligatoire pour les activités de leur niveau, mais un grand nombre de membres dans les détachements n'ont suivi aucune formation sur l'ISO. Les chefs de service et leurs représentants ont déclaré que les employés des divisions n'étaient pas au courant qu'ils effectuent des activités de niveau 2; ils ne savaient donc pas non plus que les exigences en matière de formation décrites dans le chapitre 26.5 du MO s'appliquaient à eux. Par conséquent, la plupart des employés n'ont pas suivi de formation sur l'ISO.

Un cadre supérieur de la Division Dépôt a confirmé que le Programme de formation des cadets (PFC) ne traite pas de l'utilisation de l'ISO ou de l'utilisation d'Internet pour mener des activités policières. Toute demande d'ajout de matière au PFC doit être appuyée par une analyse des besoins qui révèle une lacune pour ce qui est des compétences requises par un gendarme des services généraux de première ligne une fois la formation de base terminée. Sachant que le temps accordé au PFC est limité, il faut envisager d'inclure l'ISO dans le programme puisque la majorité des membres l'utilisent dans une certaine mesure pour les services policiers quotidiens.

Les membres ont pu tirer des renseignements d'autres cours opérationnels qui portent sur Internet, mais une formation d'introduction sur les exigences en matière d'ISO est toujours requise. En effet, il faut s'assurer que les activités sont menées de façon appropriée et de façon à favoriser des poursuites fructueuses, à éviter la création de nouvelle jurisprudence, à réduire la responsabilité de la Gendarmerie et à protéger les agents des risques liés à l'attribution, p. ex. si les membres utilisent des appareils personnels pour mener des activités liées à l'ISO. Il est possible d'offrir une formation aux membres réguliers, puisqu'ils font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.

Infrastructure de TI

La politique du chapitre 26.5 du MO définit les exigences en matière d'infrastructure de TI par niveau dans le Tableau de bord des activités en ligne. Un élément clé de ces exigences est le concept d'attribution, qui est ainsi défini dans le chapitre 26.5 du MO : processus consistant à circonscrire divers points communs de données qui peuvent, ensemble, contribuer à révéler d'importants renseignements d'identité. Les différences sont les suivantes pour les niveaux :

• Les activités de niveau 1 sont non déguisées et l'attribution ne constitue pas une préoccupation liée à la TI.
• Les activités de niveau 2 doivent être menées sur des réseaux de faible attribution dont l'adresse du protocole Internet (IP) est difficilement attribuable aux organismes d'application de la loi. L'acquisition de l'infrastructure de TI de niveau 1 et de niveau 2 est conforme aux processus d'acquisition normalisés de la GRC pour le matériel et les logiciels.
• Les activités de niveau 3 doivent être menées sur des réseaux secrets dont l'attribution aux organismes d'application de la loi est expressément dissimulée et protégée au moyen d'activités de couverture divisionnaires et achetés par l'entremise de dépenses de nature délicate.^{Note de bas de page 10}

Les exigences en matière d'infrastructure de TI de niveau 1 et de niveau 3 sont clairement définies et bien comprises; cependant, celles pour l'infrastructure de niveau 2 ne le sont pas. De plus, aucune directive ou solution relative à l'infrastructure de niveau 2 n'a été fournie par la RTISO ou le Programme de GI-TI. Actuellement, il revient à l'utilisateur de comprendre ses besoins particuliers en matière d'infrastructure de TI et d'obtenir la mise en place requise ainsi que d'appliquer les stratégies d'atténuation appropriées afin de réduire les risques liés à l'attribution. Cependant, beaucoup d'utilisateurs n'étaient pas au courant des exigences.

L'équipe de vérification a été informée que lorsque les utilisateurs demandent la mise en place d'une infrastructure de niveau 2, Services partagés Canada (SPC) fournit l'infrastructure de TI, c'est-à-dire un ordinateur autonome qui permet d'avoir accès à l'Internet ouvert, à moins que l'utilisateur ne fournisse des exigences supplémentaires. Les entrevues réalisées avec les analystes du renseignement, les représentants de détachements, les représentants des Services divisionnaires de l'informatique et les dirigeants divisionnaires de l'Informatique (DDI) ont permis de confirmer l'absence de directives pour la mise en place d'infrastructure de TI de niveau 2. Les DDI de la Division E et de la Division H ont déclaré qu'un ordinateur autonome ne serait pas suffisant pour gérer les risques liés à l'attribution puisque les composants matériels et logiciels peuvent contenir des identificateurs associés aux organismes d'application de la loi (p. ex. licence). La RTISO a mentionné qu'un ordinateur autonome peut être suffisant, mais elle précise que cela dépend de la façon dont le service a configuré son réseau ainsi que des composants matériels et logiciels. Elle a aussi précisé que le caractère adéquat de l'infrastructure de TI dépend d'autres facteurs, notamment la nature délicate des renseignements faisant l'objet d'une recherche, le niveau de connaissances de la cible ou de la personne d'intérêt et l'application par les utilisateurs d'ISO d'autres mesures d'atténuation pour les cas à risque élevé (p. ex. l'utilisation de réseaux privés virtuels).

En raison de l'absence d'exigences clairement définies pour l'infrastructure de TI de niveau 2, les employés pourraient utiliser de l'équipement ou des réseaux attribuables à la GRC. De plus, il est important que tous les détachements aient accès à l'équipement de niveau 2 approprié. Pour veiller à ce que les utilisateurs d'ISO aient accès à des renseignements à jour, le centre national de décision devrait ajouter d'autres directives au chapitre 26.5 du MO et préciser les outils et les logiciels recommandés à utiliser pour les activités liées à l'ISO ainsi que les exigences techniques en matière d'infrastructure de TI de niveau 2.

Attribution

La réalisation de vérifications régulières des attributions sur les ordinateurs utilisés pour mener des activités liées à l'ISO constitue une pratique efficace pour s'assurer que les adresses IP ne sont pas directement attribuables aux organismes d'application de la loi. Les analystes étaient au courant des risques liés à l'attribution, mais bon nombre d'entre eux ont signalé qu'ils ne réalisent pas régulièrement des vérifications des attributions. La majorité des employés du détachement ayant été interrogés n'étaient pas au courant de ces risques et ne réalisent pas des vérifications des attributions.

La RTISO a mentionné que diverses couches de protection sont en place pour réduire les risques liés à l'attribution et seule la première couche (c.-à-d. l'adresse IP) peut facilement être analysée afin de déterminer si l'empreinte numérique initiale est associée à la GRC. L'équipe de vérification a mené des analyses de l'attribution sur 46 ordinateurs. Elle a déterminé qu'un seul ordinateur était directement attribuable à la GRC en fonction de son adresse IP et que les autres étaient directement attribuables aux fournisseurs de services Internet; il s'agit du résultat visé. Une seconde analyse a été menée afin de vérifier si les coordonnées de latitude et de longitude des adresses IP permettraient d'établir la proximité à un bureau de la GRC. Le nombre d'ordinateurs potentiellement attribuables à la GRC est passé à six, ce qui signifie que les renseignements de géocartographie pourraient permettre d'identifier la GRC et accroître les risques liés à l'attribution.

Au-delà de la première couche de protection, il y a d'autres couches de protection dont il faut tenir compte (p. ex. l'ensemble des composants matériels et logiciels attribuables), mais la RTISO a signalé qu'il n'est pas possible pour un utilisateur d'analyser celles-ci facilement. De plus, la RTISO a précisé que, même si une infrastructure de TI de niveau 2 appropriée est en place, une faible attribution n'est pas garantie si l'utilisateur est branché à un réseau Internet partagé, et la plupart des personnes interrogées accédaient à Internet au moyen d'un réseau partagé. Sur un réseau partagé, les activités en ligne menées par les autres utilisateurs peuvent accroître par inadvertance les risques liés à l'attribution. En revanche, un accès à Internet par liaison spécialisée offre la meilleure garantie d'une faible attribution, puisqu'il est uniquement utilisé par le spécialiste ou le service qui y est branché.

Les analyses de l'attribution menées par l'équipe de vérification n'ont pas révélé un nombre élevé d'ordinateurs attribuables à la GRC, mais il n'est toujours pas clair si les ordinateurs autonomes fournissent une protection suffisante contre l'attribution. Il faut aussi tenir compte d'autres facteurs au moment de déterminer si les risques sont atténués de façon appropriée pour l'infrastructure de niveau 2, par exemple l'utilisation de réseaux privés virtuels lorsque les ordinateurs à utiliser pour mener des activités liées à l'ISO sont branchés à un réseau Internet partagé.

Solutions de TI pour l'infrastructure de TI de niveau 2

En 2017, le système LANA (Low Attribution Network Access), dont les Opérations techniques des SPS étaient responsables, a été mis hors service. Cela a créé une lacune dans l'infrastructure de TI de niveau 2 de la GRC, parce que les services sont maintenant tenus d'obtenir une infrastructure de réseau de faible attribution auprès de SPC. Deux initiatives sont en cours pour élaborer une infrastructure de TI de niveau 2 discrète pour la GRC.

1. Les Solutions technologiques à l'échelle fédérale (STF) de la PF dirigent un projet visant à examiner une solution infonuagique pour l'infrastructure de niveau 2. Il s'agit du projet Cerebro. Des essais initiaux ont été menés par des utilisateurs partout au Canada; ceux ci se sont connectés au nuage au moyen d'ordinateurs autonomes avec accès à Internet et les essais ont été jugés fructueux. La prochaine phase des essais est en cours. Dans le cadre de celle ci, les utilisateurs accèdent au nuage au moyen d'ordinateurs branchés au Système de bureautique de la GRC.
2. Les Services informatiques de la DG dirigent un projet visant à élaborer un processus normalisé et une image de réseau afin de permettre aux utilisateurs de la DG d'obtenir une infrastructure de niveau 2 traditionnelle (c.-à-d. du matériel physique) par l'entremise de SPC. Le but est de fournir une connexion Internet discrète pour laquelle l'adresse IP est directement attribuable au « gouvernement du Canada ». Cependant, la RTISO a signalé que cela ne serait pas suffisant pour l'infrastructure de niveau 2, parce que l'intention de la politique est de donner l'impression qu'il s'agit d'une personne normale qui accède à Internet et non d'être identifié en tant qu'entité gouvernementale.

Ces initiatives en cours n'ont pas été incluses dans la portée de la vérification, mais le Programme de GI-TI, les STF, la RTISO et les Services informatiques de la DG devraient collaborer afin de maximiser les avantages, de réduire le dédoublement des efforts et d'assurer le respect des exigences en matière d'infrastructure de TI de niveau 2 définies dans le chapitre 26.5 du MO. Toute solution de TI à l'échelle de l'organisation pour les activités de niveau 2 doit prendre en considération ce qui suit : l'utilisation de réseaux partagés et tous les composants attribuables de l'infrastructure de TI, la classification de l'ISO en tant qu'information non classifiée et les risques possibles lorsque l'ISO regroupée devient des RSO classifiés, les exigences en matière de GI (p. ex. stockage et conservation des données et données de sauvegarde) et, enfin, les considérations liées à la protection des renseignements personnels et les répercussions sur celle-ci pour ce qui est de la façon dont les données sont stockées et de l'endroit où elles sont stockées (p. ex. serveurs à l'étranger ou dans le nuage).

Appareils mobiles

Le Tableau de bord des activités en ligne du chapitre 26.5 du MO mentionné à l'annexe B du présent rapport limite l'utilisation d'appareils mobiles pour mener des activités liées à l'ISO. Plus particulièrement, pour les activités de niveau 2, le tableau de bord précise que les « appareils mobiles discrets peuvent uniquement être utilisés pour la validation ou l'authentification de profils virtuels discrets ». Les entrevues ont permis de confirmer l'utilisation répandue par les membres d'appareils mobiles personnels et d'appareils mobiles fournis par l'organisation pour mener des activités liées à l'ISO.

À la suite d'une des recommandations^{Note de bas de page 11} du Rapport MacNeil et selon l'initiative Vision 150 de la GRC, des téléphones intelligents sont remis à tous les membres de première ligne afin d'accroître la connaissance de la situation, d'améliorer les interventions tactiques et de renforcer la sécurité des agents. En septembre 2019, 10 000 appareils avaient été achetés et environ 8 700 avaient été distribués.^{Note de bas de page 12} Des applications ne faisant pas l'objet de moyens de couverture seront installées sur ces appareils. Toutefois, si ces derniers sont utilisés de façon non déguisée pour exercer des fonctions liées à l'ISO qui devraient être exercées de façon discrète ou secrète, cela pourrait entraîner l'attribution à la GRC ou aux employés eux-mêmes et accroître les risques pour la sécurité des agents.

La distribution des téléphones intelligents est en cours, mais aucune directive supplémentaire n'a été fournie au sujet des pratiques d'utilisation acceptables relativement aux activités liées à l'ISO menées sur les appareils mobiles, p. ex. télécharger des applications et utiliser des comptes de médias sociaux personnels ou en créer des faux pour consulter des renseignements accessibles au public. Toute solution de TI à l'échelle de l'organisation pour les activités de niveau 2 doit prendre en considération l'utilisation répandue d'appareils mobiles ainsi que les risques possibles liés à l'attribution, les exigences en matière de GI et les considérations liées à la protection des renseignements personnels.

Conclusion

L'ISO est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la GRC. Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses, comme les enquêtes, la collecte de renseignement, la sensibilisation et la mobilisation du public, l'analyse de l'environnement et la recherche. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête criminelle ou de la fonction de collecte de renseignement.

Dans l'ensemble, la vérification a permis de déterminer que les activités liées à l'ISO menées sur Internet à l'échelle de l'organisation n'étaient pas conformes au chapitre 26.5 du MO. Il est possible d'élaborer un cadre de gouvernance plus solide et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire. Sans une définition claire des rôles et des responsabilités et une supervision et une surveillance adéquates, l'observation des personnes qui mènent des activités liées à l'ISO pourrait être insuffisante. Cela pourrait nuire aux enquêtes et aux poursuites fructueuses et donner lieu à une nouvelle jurisprudence qui limite l'utilisation d'ISO dans les activités policières à l'avenir.

Peu de consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO en 2015 et aucune lors de la mise à jour de la politique en 2019. La vérification a révélé qu'un grand nombre d'employés n'étaient pas au courant de l'existence de la politique ou que celle-ci s'applique aux activités liées à l'ISO qu'ils mènent. De plus, le chapitre 26.5 du MO ne fournit pas assez de renseignements pour orienter les utilisateurs sur la façon de saisir, de stocker et de conserver l'ISO.

Étant donné que l'ISO est largement utilisée par un grand nombre d'employés de la GRC, si les utilisateurs ne sont pas au courant des méthodes appropriées de saisie, de stockage et de conservation de l'ISO, cela pourrait nuire aux enquêtes. Il est possible de communiquer à grande échelle le chapitre 26.5 du MO et d'informer les employés des cas où il s'applique à leurs tâches. Des directives supplémentaires doivent être élaborées et communiquées à l'échelle de la Gendarmerie; celles-ci doivent porter sur la saisie, le stockage et la conservation d'ISO, les pratiques exemplaires, la préparation en vue de témoigner devant les tribunaux et l'infrastructure de niveau 2 acceptable (notamment les logiciels, l'équipement, les systèmes de stockage et les dépôts appropriés).

Enfin, la formation et l'échange de renseignements constituent des investissements précieux qui permettraient de s'assurer que les utilisateurs d'ISO ont accès aux renseignements les plus à jour, y compris la jurisprudence pertinente. Il est possible d'offrir une formation d'introduction relative aux sources ouvertes aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2 et de faciliter l'échange de renseignements à l'échelle de l'organisation.

Recommandations

1. Les sous-commissaires de la PF, des SPS et des SPCA doivent collaborer pour déterminer la meilleure façon d'exercer la fonction de surveillance relativement aux activités liées à l'ISO en tenant compte du fait que l'ISO est utilisée par de multiples secteurs d'activités à l'échelle de la Gendarmerie.
2. À la suite de la décision relative à la recommandation no 1, les responsables opérationnels doivent s'assurer que :
1. Des mécanismes nationaux de surveillance sont en place pour améliorer l'observation des activités liées à l'ISO menées à l'appui des enquêtes et de la collecte de renseignement.
2. La politique nationale est mise à jour en fonction de la responsabilisation convenue.
3. Des directives supplémentaires portant sur la saisie appropriée de l'ISO, les pratiques exemplaires et les outils recommandés, les résumés de jurisprudence pertinents et des conseils sur le témoignage devant les tribunaux pour les pratiques liées à l'ISO sont élaborées et publiées.
4. Des directives supplémentaires sur les exigences en matière de gestion de l'information quant au stockage et à la conservation de l'ISO et des RSO sont élaborées et publiées. Celles-ci doivent préciser les cas où l'on considère que l'ISO et les RSO ont une valeur opérationnelle.
5. Une stratégie de communication pour le chapitre 26.5 du MO est élaborée et mise en œuvre pour informer les employés de l'ensemble de la GRC des exigences relatives aux activités liées à l'ISO et des cas où la politique s'applique à leurs tâches. Cela peut comprendre la poursuite de l'élaboration et la réussite du cours d'introduction à l'ISO sur AGORA. De plus, le Comité national de surveillance de la formation obligatoire peut envisager de rendre le cours obligatoire pour les membres réguliers lorsqu'il sera disponible, puisque ceux-ci font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.
3. Le sous-commissaire des SPS, en collaboration avec les sous-commissaires de la PF et des SPCA, doit envisager la possibilité d'élaborer une solution à l'échelle de l'organisation pour combler la lacune actuelle dans l'infrastructure de TI de niveau 2. Entre-temps, il faut élaborer des directives sur les exigences techniques ou les mesures d'atténuation (p. ex. réseau privé virtuel) relatives à l'infrastructure de niveau 2 et les diffuser aux utilisateurs d'ISO de niveau 2.

Annexe A – Objectifs et critères de la vérification

Annexe B – Chapitre 26.5 du MO – tableau de bord des activités en ligne

Annexe C – Plan d'action de la direction

Audit of Open Source Information

Vetted report

January 2021

Access to Information Assessment

An assessment of this report with respect to provisions in the Access to Information Act produced no exemptions; therefore, this report is presented in its entirety.

Table of contents

1. Acronyms and abbreviations
2. Executive summary
3. Management's response to the audit
4. Background
5. Objective, scope and methodology
   • Objective
   • Scope
   • Methodology
   • Statement of conformance
6. Audit findings
   • Governance
   • Policy
   • Training and IT infrastructure
7. Conclusion
8. Recommendations
9. Appendix A – Audit objective and criteria
10. Appendix B – OM 26.5 online activity dashboard
11. Appendix C – Management Action Plan

Acronyms and abbreviations

C&IP

Contract & Indigenous Policing

CTP

Cadet Training Program

CIO

Chief Information Officer

CROPs

Criminal Operations

DCAS

Division Criminal Analysis Section

DIO

Divisional Informatics Officer

FP

Federal Policing

FTS

Federal Technology Solutions

IAER

Internal Audit, Evaluation & Review

IT

Information Technology

IP

Internet Protocol

NHQ

National Headquarters

OM

Operational Manual

ORMS

Operational Records Management Systems

OSI

Open Source Information

OSINT

Open Source Intelligence

RCMP

Royal Canadian Mounted Police

SME

Subject Matter Expert

SOP

Standard Operating Procedures

SPS

Specialized Policing Services

SSC

Shared Services Canada

TIOS

Tactical Internet Operational Support

ULQA

Unit-Level Quality Assurance

Executive summary

Open source information (OSI) is a key tool that is used organization-wide, across all business lines and within every RCMP division. OSI activities are performed by all categories of employees for a variety of purposes. It is often the first step in policing activities, and is just one component of a criminal investigation or intelligence gathering function. The RCMP Operational Manual (OM), section 26.5, titled Using the Internet for Open Source Intelligence and Criminal Investigations provides a framework for the collection and use of OSI and open source intelligence based on a 3-tier system (Tier 1: overt, Tier 2: discreet, Tier 3: covert).

The objective of the audit was to determine whether internet-related open source activities conducted across the organization were consistent and compliant with policy. The audit scope focused on internet-related open source activities in support of criminal investigations and criminal intelligence gathering at the national and divisional levels from April 1, 2018 to March 31, 2019.

Overall, the audit determined that internet-related open source activities conducted across the organization were not consistent nor compliant with OM 26.5. The audit found that opportunities exist to develop a more robust governance framework and enhance national and divisional oversight of open source activities. Without clear roles and responsibilities, and adequate monitoring and oversight, the Force could be exposed to liability and reputational risk, or criminal prosecutions could be jeopardized and the resulting case law could restrict the future use of open source.

There was limited consultation for the development of OM 26.5 in 2015, and none for the policy update in 2019. The audit found that many employees were not aware that an open source policy existed or that it was applicable to the open source activities that they performed. In addition, OM 26.5 does not provide adequate information to guide users on how to capture, store and retain OSI. There is an opportunity to more broadly communicate OM 26.5 and educate employees on when it applies to their work. Supplementary guidance should be developed and shared across the Force, and should include: how to capture, store and retain OSI, and what constitutes acceptable Tier 2 infrastructure.

Finally, training and information sharing are valuable investments that would ensure that OSI users have access to current and up-to-date information, including relevant case law. Providing introductory-level training to RCMP employees conducting open source activities at the Tier 2 level would facilitate information sharing across the organization.

The management responses and action plan developed in response to this report demonstrate the commitment from senior management to address the audit findings and recommendations. A detailed management action plan is currently being developed. Once approved, RCMP Internal Audit will monitor the implementation of the management action plan and undertake a follow-up audit if warranted.

Management's response to the audit

Federal Policing (FP), Specialized Policing Services (SPS) and Contract and Indigenous Policing (C&IP) agree with the findings and recommendations of this audit, including the observation that there are areas where the RCMP could improve consistency and compliance with policy, training, infrastructure, and oversight to support open source activities. We recognize that proper training, support, and in particular the organization's approach to governance around this function is critical.

FP's Tactical Internet Operational Support unit was established to support an immediate need to provide tactical open source assistance to operations in the National Security program in the absence of a policy centre. FP, SPS and C&IP agree that all areas using open source information should be considered in the development and implementation of the management action plan (MAP) for this audit. Accordingly, the MAP will incorporate governance requirements to address all of the organization's collection, analysis and use of open source information.

A detailed MAP, which addresses the report recommendations, including specific timelines and milestones, will be developed for review by the Departmental Audit Committee prior to the next Committee meeting.

Deputy Commissioner Michael Duheme
Federal Policing

Deputy Commissioner Stephen White
Specialized Policing Services

Deputy Commissioner Brian Brennan
Contract and Indigenous Policing

Background

Open source information (OSI) is a key tool that is used organization-wide, across all business lines and within every RCMP division. OSI activities are performed by all categories of employees for a variety of purposes, such as investigations, intelligence gathering, outreach and public engagement, environmental scanning, and research. It is often the first step in policing activities, and is just one component of an investigation or intelligence gathering function.

Operational Manual (OM) 26.5 Using the Internet for Open Source Intelligence and Criminal Investigations defines OSI as unclassified, raw data that is derived from a primary source (e.g. the Internet) and can include any type of media in any format. The information is obtained, derived, or recovered lawfully, and is purchased or viewed from open or encrypted publicly available sources (e.g., websites, blogs, social networks, online databases, etc.).

OM 26.5 also defines open source intelligence (OSINT) as the systematic and passive collection of OSI, and its processing, analysis, and dissemination in response to specific law enforcement activities (e.g. criminal intelligence) or investigative requirements. OSINT is used as a valuable form of insight to generate tangible and actionable investigative leads that are complementary to traditional policing methods.

OM 26.5 breaks down the use of OSI into a three-tier structure, as follows (also summarized in Appendix B):

• Tier 1: overt online activities (e.g. research, environmental scanning, inquiry, public engagement, etc.).
• Tier 2: passive online activities for investigations and intelligence performed in a manner that minimizes identification to law enforcement (e.g. discreet, no engagement with a subject of interest).
• Tier 3: covert online activities in a manner that is explicitly concealed and safeguarded to prevent identification to law enforcement (e.g. engagement with a subject of interest is permitted with authority).

The Tactical Internet Operational Support (TIOS) unit, within Federal Policing (FP) Criminal Operations, was created in 2005 to respond to the increasing demand for support in internet-related investigations and is the national policy centre for OM 26.5. TIOS conducts internet research in support of criminal investigations by corroborating information, identifying associates and businesses, identifying a suspect's location and identifying witnesses and potential human sources.

While TIOS is the policy centre and an operational unit conducting its own open source activities, other RCMP stakeholders are inherently involved in open source activities through their respective policing mandates. Specifically:

• Federal Policing (FP) is responsible for a wide range of activities under the Federal mandate, including investigating drugs and organized crime, economic crime, and terrorist criminal activity, enforcing Federal statutes, securing Canada's border, conducting international capacity building, liaison and peacekeeping and ensuring the safety of major events, state officials, dignitaries and foreign missions.^{Footnote 1} This is carried out by various areas, including FP Criminal Operations which provides national oversight and governance of serious and organized crime, cybercrime, financial crime, and border integrity criminal investigations, and provides strategic and tactical operational support, advice, and direction to divisional investigative entities.^{Footnote 2}
• Specialized Policing Services (SPS) is responsible for critical front-line operational support services to the RCMP and partners across the entire Canadian law enforcement and criminal justice communities, as well as for providing assistance to foreign law enforcement partners. Within SPS, Technical Operations provides direct specialized investigative and operational services to frontline police officers by delivering vital policing solutions for the 21st century. In addition, Criminal Intelligence Service Canada (CISC) uses OSI in its delivery of intelligence products and services to help reduce the harm caused by organized crime. Also within SPS, the Chief Information Officer (CIO) is responsible for the RCMP's Information Management and Information Technology (IM/IT) Program, which includes all information necessary to carry out the RCMP's mandate, as well as developing and managing the technology, infrastructure, and systems used to access, communicate, record, share and manage this information.
• Contract and Indigenous Policing (C&IP) is responsible for managing the Contract Policing business line, including Provincial, Territorial, Municipal and Indigenous policing. C&IP has functional oversight over the divisions, who use OSI for investigations, intelligence and research. C&IP is the national policy centre as it pertains to the collection and standardized use and sharing of information across its various business lines.
• Criminal Operations (CROPs) Officers in the divisions are responsible for all intelligence and investigational support within their prescribed territory.

The Commissioner approved the Audit of Open Source Information in the 2018-2023 Risk-based Audit, Evaluation and Data Analytics Plan.

Objective, scope and methodology

Objective

The objective of this audit was to determine whether internet-related open source activities conducted across the organization were consistent and compliant with policy.

Scope

The audit examined internet-related open source activities in support of criminal investigations and criminal intelligence gathering at the national and divisional levels from April 1, 2018 to March 31, 2019.

Specifically, the audit examined how employees gathered publicly available information sources when conducting online queries (e.g., social media, blogs, corporate registries, etc.), and how their findings were captured, stored and retained. The audit assessed existing internal controls (e.g., policies and procedures, training and tools, monitoring and reporting mechanisms, etc.) that supported the use of internet-related open source information. The audit focused on Tier 2 functions as defined in national policy OM 26.5.^{Footnote 3}

The audit scope did not examine how and whether internet-related open source information was subsequently used in law enforcement decisions. (e.g. to follow a lead, included as evidence in court, laying of charges, etc.)

Methodology

Planning for the audit was completed in October 2019. In this phase the audit team conducted interviews, process walkthroughs, and examined relevant legislation, policies and procedures. Sources used to develop audit criteria include OM 26.5 and other relevant policies and guidelines. The audit criteria are available in Appendix A.

The examination phase concluded in December 2019, and was focused on E, H and K Divisions, as well as TIOS at National Headquarters (NHQ). It employed various auditing techniques including interviews, documentation reviews, testing of mandatory forms and training, IT Infrastructure Questionnaires, and attribution testing on a sample of computers used for open source activities.

Specifically:

• The audit team sampled a total of 110 employees to determine if mandatory training was taken, and whether the necessary approvals were obtained to conduct open source activities and to create discreet online identities and accounts, where applicable.
• In addition, attribution testing was done to assess whether 46 sampled computers that are used for open source activities satisfied Tier 2 IT requirements.^{Footnote 4}

Upon completion of the examination phase, the audit team held exit meetings to validate findings with personnel and debriefed senior management of the relevant findings.

Statement of conformance

The audit engagement conforms to the Institute of Internal Auditors' International Professional Practices Framework, and the Treasury Board of Canada Directive on Internal Audit as supported by the results of the quality assurance and improvement program.

Audit findings

Governance

The audit expected to find a sound governance framework for open source activities conducted in support of criminal investigations and criminal intelligence-gathering across the organization, which included clear roles, responsibilities and oversight mechanisms. An effective governance framework would serve to reduce the risk that OSI is inappropriately obtained and used in support of criminal investigations and intelligence-gathering, and promote visibility of all employees conducting open source activities at the Tier 2 level organization-wide.

Roles and responsibilities

The governance structure with respect to OSI is defined in OM 26.5 Using the Internet for Open Source Intelligence and Criminal Investigations. The policy provides a framework for the collection of OSI and OSINT based on a 3-tier system (Tier 1: overt, Tier 2: discreet, and Tier 3: covert), which may be performed by all RCMP employees. TIOS within FP Criminal Operations is the national policy centre.

OM 26.5 was initially published in March 2015 and subsequently updated in July 2019. The audit team was informed that TIOS developed and updated the OM 26.5 policy governing the conduct of investigations on the internet due to a recognized policy gap within the organization. Prior to the development of OM 26.5, RCMP national policy did not exist on this topic and the Treasury Board did not have any policy guidance.

A key revision to OM 26.5 in 2019 included the creation of a roles and responsibilities section, changes to the role and responsibilities of TIOS and unit commanders, and expanded definitions. The 2015 version of OM 26.5 stated that TIOS was "responsible for the oversight of all open source intelligence and online investigational support activities in the RCMP." The 2019 version no longer includes oversight responsibility. It now specifies that TIOS is responsible for:

• providing strategic advice and tactical OSINT operational support,
• conducting risk assessments of specialized OSINT tools, techniques or tradecraft,
• developing, coordinating and delivering advanced OSINT training, and
• providing advice to technical authorities on internet network design, network security, software and desktop applications to support OSINT functions.

The 2019 OM 26.5 delegated oversight responsibility from TIOS to the unit level (e.g. unit commanders and line officers), including the authorization and monitoring of forms required for open source activities. Other examples of responsibilities delegated to unit commanders and/or line officers include:

• maintaining an up-to-date unit-level registry of the authorities granted to employees conducting OSI activities,
• conducting unit-level quality assurance (ULQA) for Form 6449 Online Identity Record submissions, and
• providing authorized practitioners the required IT infrastructure and open source related training.

However, many interviewees ranging from criminal intelligence analysts to detachment commanders across divisions stated that they were not aware of the open source policy and/or roles and responsibilities assigned to their position.

The audit found that roles and responsibilities related to OM 26.5 were not well understood by employees at all levels using OSI. Without clearly established and communicated roles and responsibilities, there is a risk that OSI will be inappropriately obtained and used in support of criminal investigations and criminal intelligence gathering, which can expose the Force to liability and potentially impact prosecutions.

Monitoring and oversight

Oversight and monitoring of the OSI function is needed to ensure that the Force conducts activities appropriately to support investigations and intelligence gathering.

The audit team observed that OM 26.5 no longer identifies responsibility for oversight and monitoring at the national level. Responsibility for oversight, including the authorization and monitoring of forms required for open source activities, was originally included in the 2015 policy but was delegated to the unit level in the 2019 policy revision.

The audit team was informed by TIOS that they did not have the capacity to fulfill their monitoring and oversight responsibilities as a national policy centre.^{Footnote 5} In addition, TIOS did not consider their unit to be a national program as they do not have authority over other business lines and divisions that conduct open source activities organization-wide. Interviews with senior management from FP, SPS and the Strategic Policy and Planning Directorate, as well as a CROPs officer, agreed that other business lines should possibly have a role in the oversight function.

Although TIOS recognized that they cannot fulfill their role as a national policy centre, the absence of national oversight increases the risk that OSI will be gathered and used by employees across the RCMP without the appropriate authorization and without adhering to policy, which could increase the risk of unsuccessful prosecution of court cases due to inadmissibility of evidence.

Authorization to conduct open source activities

As the scope period of the audit was fiscal year 2018-19, audit testing was based on the 2015 OM 26.5. Testing was conducted to determine whether employees from specialized areas or considered subject matter experts (SMEs) had the required authorization for the level of open source activities that they were conducting. These employees were for the most part criminal intelligence analysts.

According to the 2015 OM 26.5, oversight mechanisms included the approval by the Non-Commissioned Officer (NCO) in charge (i/c) of TIOS, of Form 6448 Tier Registration Request to authorize an employee to conduct open source activities at a Tier 2 and Tier 3 level. Authorization is not required for the Tier 1 level. The audit found that TIOS did not approve any of the 110 forms sampled. As a result, the entire sample was considered to be non-compliant with the 2015 policy.

We were informed that TIOS changed their approval requirement on Form 6448 in January 2017 due to their lack of capacity for monitoring and oversight, however OM 26.5 was not updated to reflect this change. The revised Form 6448 advised open source users that only forms for Tier 3 should be sent to TIOS for approval, and that Tier 2 forms should be recommended by the unit commander, approved by the line officer, and retained at the unit level. With this in mind, the audit team assessed whether unit-level authorizations by the unit commander and line officer existed on the forms. Testing results indicated that only 14% (15 of 110) of employees were authorized via Form 6448 to conduct open source activities:

• The majority of the sampled employees (71/110) had not completed Form 6448 because they were not aware of the policy requirement or they did not think that it applied to them.
• Of the 39/110 forms that were completed, most of these were recommended by the unit commander, but only 15/39 were approved by the line officer as required by the form.
• TIOS did not complete Form 6448 for their own employees. TIOS' rationale was that they felt automatically designated as Tier 3 by virtue of their role within the policy centre and the nature of their work in a covert environment. However, no such exemption is indicated in policy.

Authorization to create discreet online identities

An additional oversight mechanism existed within both the 2015 and 2019 versions of OM 26.5 with Form 6449 Online Identity Record that included the approval by a "manager" for the creation, modification and removal of discreet online identities and accounts that are used for Tier 2 and Tier 3 activities (e.g., fake social media accounts). The form did not specify the level of this manager position.

A key purpose for Form 6449 is to facilitate visibility over discreet online identities and accounts and potential deconfliction in law enforcement activities that are conducted on the internet, (e.g., where a subject of interest could potentially be another police officer or law enforcement agent using a fake identity). This could be within the RCMP or with external partners such as the Canadian Security Intelligence Service or the Federal Bureau of Investigation. Other reasons for the form are to provide oversight in a situation where a discreet online identity or account was compromised, so should no longer be used, and to ensure that Tier 3 practitioners do not venture into online undercover operations, which are governed by OM 30.8 Online Undercover Operations.

Audit testing was conducted on the same sample of 110 employees and results indicated that only 6% (7 of 110) had appropriately completed Form 6449:

• The majority of the sample (69/110) had not completed a Form 6449 because they were not aware of the policy requirement or they did not think that it applied to them.
• Of the 41/110 forms that were completed, only 7/41 included the required approvals.
• Instead of completing an individual Form 6449 for its employees, TIOS maintains an electronic database for their unit only. Similarly, H Division Criminal Analysis Section (DCAS) does not require their employees to complete Form 6449 but maintains a master list of discreet online identities that are used within the unit. OM 26.5 does not stipulate any substitute for the completion and approval of Form 6449.

Interviewees across divisions confirmed that no consistent process was in place to remove a discreet online identity when an employee leaves a unit. Discreet online identities were either retained by the practitioner in their new position, kept with the unit for use by a new practitioner, or left dormant and unused. This may create a risk that a discreet online identity could be used inappropriately if an original user maintains it when no longer required, or if a new practitioner assumes the identity without the proper approvals.

The audit did not find evidence that open source activities were being tracked or monitored at the national or divisional levels. In accordance with the 2015 OM 26.5, TIOS was responsible for entering and managing approved designations (Form 6448), as well as maintaining discreet online identities (Form 6449) in a national registry to facilitate visibility over discreet online identities and accounts and mitigate potential deconfliction. Some interviewees stated that when offered, TIOS declined the forms and advised units to retain their completed forms at the unit level. Moreover, a national registry was not established by TIOS as required by the 2015 policy. The national policy centre should assess value and adequacy of Forms 6448 and 6449 as oversight mechanisms to facilitate visibility over individuals performing Tier 2 and Tier 3 open source activities and their online identities.

The audit team was informed that due to TIOS' lack of resources to perform a policy centre role, the 2019 policy revision removed this requirement and currently requires the practitioner to maintain approved forms in a unit-level registry. As many interviewees were not aware that the policy existed, they were also not aware that oversight responsibility had been transferred to them.

Unit-Level Quality Assurance (ULQA)

The 2019 policy includes a new requirement that unit commanders conduct ULQA reviews on Form 6449 submissions as a monitoring mechanism. However, a ULQA guide for this activity has not been developed. Although ULQAs could be a useful tool to monitor policy compliance, it does not substitute for national level oversight which would allow for aggregating and analyzing results and identifying best practices and challenges that users are experiencing across the Force.

There is a risk that the lack of oversight and monitoring by the national policy centre could result in a lack of visibility over those who are conducting open source activities. This could jeopardize criminal prosecutions resulting in case law restricting the use of open source (e.g., if the employee did not have authorization for open source activities, or if information was not appropriately captured). It may also expose the Force to liability or create reputational risk to the organization.

Policy

The audit expected to find that national-level open source policy was established, maintained, communicated and followed. In addition, we expected that this policy would provide adequate guidance for capturing, storing and retaining OSI. Further, it was expected that any divisional level policies were aligned with national policy.

Policy development

Consultation with relevant stakeholders is an important element when developing policy to ensure that policy issues are fully understood and views are considered. The audit did not find documented evidence to demonstrate consultation for the development of OM 26.5.

TIOS informed the audit team that business lines and divisional CROPS officers were consulted during the initial policy development process in 2015 to identify SMEs using the internet for criminal investigations and criminal intelligence gathering. TIOS reported that while the larger divisions identified SMEs, others did not. Further, C&IP did not fully engage and TIOS could not recall whether SPS was consulted. For the 2019 policy update, TIOS informed the audit team that no formal consultation was held with key stakeholders. OM 26.5 is used by many stakeholders across the Force, and compliance depends on stakeholder buy-in, awareness and understanding of the policy. The lack of consultation for the development of OM 26.5 may result in users not recognizing when OM 26.5 applies to the work that they do.

Some interviewees who were not part of specialized units did not believe that OM 26.5 was applicable to their open source work as they were not conducting online undercover operations or engaging with targets or subjects of interest (Tier 3 covert). Employees understood the definition of Tier 1 (overt) and Tier 3 (covert), but there was a lack of clarity regarding Tier 2 (discreet). Although open source is being used for all types of intelligence gathering and investigations (e.g., missing persons, hate crimes, homicides, break and enters, drugs, etc.), many interviewees did not realize that their open source work required Tier 2 approval.

While interviewees indicated that the majority of OSI research was conducted passively (e.g., not engaging or interacting with subjects of interest), some exceptions were reported that were contrary to policy, such as joining closed Facebook groups in a proactive monitoring effort to obtain information on upcoming events such as a protest or demonstration from online discussions, and using personal social media accounts to overtly try to contact a missing person.

There was limited engagement with key stakeholders within business lines and divisions in the development of OM 26.5. The lack of consultation does not ensure that policy issues are fully understood by relevant stakeholders and may prevent buy-in, or understanding of roles and responsibilities from the stakeholders for whom the policy would apply.

Policy communication

One of the responsibilities of a policy centre is to actively communicate and share relevant information to those who need it. This may include notice of new policy, relevant judicial decisions, guidance documents, communication bulletins, and training requirements. The audit team found that there is no information-sharing process in place for employees conducting OSI activities. Information shared by the policy centre is mostly done on an ad-hoc basis or upon request to specialized areas, however, it may not reach all members and the organization at large.

SMEs that were interviewed confirmed that the 2019 policy revision had not been communicated to them. TIOS reported that they have sent updates to CROPs in the past, and that they rely on CROPs officers to disseminate the information to divisional employees that need it. However, none of the CROPs officers from the sampled divisions could recall receiving any communication on OSI, including the 2019 OM 26.5 policy revision.

While OM 26.5 is available in the RCMP Manuals on the Infoweb, its existence may not be obvious because it is listed under Internet Facilitated Crime in the OM, which falls under TIOS within FP Covert Operations as a policy centre. Until the recent 2019 policy update with the inclusion of "open source" in its title, an Infoweb search for "open source" did not include OM 26.5 in the search results. With the exception of some supervisors and criminal intelligence analysts, most interviewees were unaware of the existence of OM 26.5.

As OM 26.5 had not been widely communicated to those involved in open source activities, units in the Force were not aware that they were assigned responsibility and accountability for OSI. Given the lack of awareness, there is a higher risk that open source activities may not be conducted in accordance with policy requirements.

Policy alignment

According to Administration Manual III.4, divisions can develop supplemental operational policies when a directive applies only to their particular area, and when the information is not contained in any national policy. Supplements should not repeat national policy and only local practices unique to a province or territory should be included in divisional policy. Divisional policy must be consistent with and aligned to the RCMP national policy.

Divisional policy supplements from B, D, E, F, G and M Divisions were reviewed. While no major concerns were noted in regard to their alignment with national policy, it would be beneficial to review all divisional policy supplements related to OM 26.5 to ensure compliance and consistency across the Force.

The Internal Audit, Evaluation & Review Branch recently completed the Audit of Policy Management - Phase Two, which identified a gap in there being no requirement for national policy centres to review divisional policy. The absence of a requirement for national policy centres to review divisional policy can increase the risk of misalignment between national and divisional policy, as well as the inconsistent application of policy. This risk is increased with the absence of a national monitoring and oversight function.

Capture, storage and retention

Overall, OM 26.5 does not include specific information on how to capture, store and retain OSI. Instead it refers users to the IM Manual and the Canada Evidence Act. There was no evidence of other national guidance available to assist employees. A judicial decision in British Columbia from 2017 (R. v. Hamdan, 2017 BCSC 867) highlighted improper captures of OSI by the RCMP that resulted in an unsuccessful prosecution and has increased the need for additional prudence. Many interviewees were not aware of this case law. While the 2019 OM 26.5 refers to this case, national guidance was not established on how to properly capture OSI to ensure that court requirements are met.

Currently, the onus is on the user to ensure compliance with relevant policies and to maintain electronic evidence in a way that withstands the scrutiny of the courts. Interviewees confirmed that they needed guidance regarding acceptable methods to capture, store and retain OSI. They also advised that RCMP guidance was not available to assist them in defending their open source processes when required to testify in court.

The audit found that employees used a variety of methods to document OSI activities such as analyst work logs and notebooks, supplemental reports, detailed OSINT reports, simple or partial screen captures, e-mails, and narratives. Most analysts confirmed the use of discreet online identities and accounts to access open source material. In detachments, most members stated that they use personal accounts to access OSI. However, a few detachments noted that some fake accounts were available and shared.

Interviewees stated that they used various tools and practices for the capture of OSI, differing both between and within the divisions. This included taking screen shots, printing to PDF, and using specialized forensic-grade software.

In part due to a MacNeil Report recommendation^{Footnote 6}, a joint memo from Assistant Commissioners (A/Commrs) within C&IP, FP and SPS was sent to divisional CROPs officers in February 2018 that promoted the use of Social Studio.^{Footnote 7} However, there has been limited take-up on the use of Social Studio as many at the divisional level felt that it did not meet their needs. While OM 26.5 is not prescriptive with respect to the use of specific tools and software for the collection of OSI, the lack of a standardized approach could result in a risk to investigations and successful prosecutions.

Many analysts reported that their results of open source queries were sent to the primary investigator, or the file coordinator, who decides whether to upload them to the investigation file within existing Operational Records Management Systems (ORMS) such as PROS, SPROS, PRIME-BC, etc. Information stored within an ORMS follows the prescribed information management retention guidelines. Most OSI is stored as an Information File, which may have a relatively short retention period (e.g., two years).

Analysts reported that the OSI gathered is often too large to save to an ORMS, and must therefore be stored in an alternative repository such as personal or shared drives, USBs or external drives. In addition, some analysts retain OSINT indefinitely for future intelligence because the subjects of interest may remain a concern over longer periods of time for certain types of crime (e.g., serious and organized crime, drugs, terrorism, etc.), and previously gathered OSI may no longer be available on the internet. However, information stored still requires the user to determine and apply appropriate retention guidelines. Current practices present a risk that OSI may be retained beyond the retention requirements or deleted too soon. Further, users must consider IT security requirements and potential risks if aggregated OSINT is stored in an under-protected repository.

OSI is widely used by many RCMP employees for day-to-day policing, not just in specialized areas. If users are not aware of the appropriate methods to capture OSI in accordance with existing judicial decisions, there is a risk to investigations and successful prosecution, as well as the creation of new case law that may limit the use of OSI in future policing activities. In addition, inappropriate storage and retention of OSINT could result in possible liability issues related to privacy.

Training and IT infrastructure

The audit expected to find that employees conducting open source activities were provided with the necessary training and IT infrastructure for their tier level.

Mandatory training

OM 26.5 Online Activity Dashboard (Appendix B) identifies training requirements by tier level as follows:

• Tier 1: No mandatory training requirements are identified.
• Tier 2: Employees are required to contact TIOS for recommended introductory-level training on open source. An AGORA course was being developed by TIOS but it was not completed at the time of the audit. Equivalent training programs were recommended by TIOS in the interim and were provided by internal providers, including the RCMP Canadian Police College and the Pacific Region Training Centre, as well as external ones.^{Footnote 8}
• Tier 3: Employees are required to take one mandatory advanced course for conducting open source activities in a covert environment. TIOS coordinates and delivers one mandatory course titled Tactical Use of the Internet. A list of optional courses to satisfy the Tier 3 level is also identified.

The onus is on the employee to identify the appropriate open source related training that they need based on their tier level. The dashboard clearly identifies the training requirements for Tier 3. However, the training requirements for Tier 2 are unclear. There is a risk that Tier 2 users who have not received training may gather and use OSI inappropriately.

Audit testing was performed on the sample of 110 employees who were for the most part analysts in specialized areas to assess whether they received mandatory training for the tier level in which they were conducting open source activities. Testing confirmed that 96% (106 of 110) of employees sampled had completed the appropriate training.^{Footnote 9} Many intelligence analysts indicated that they rely on their training more so than policy for OSI guidance. Some interviewees in specialized areas expressed that more frequent refresher training would be beneficial.

While most analysts in specialized units had completed the mandatory training for their tier level, many members at the detachment level had not received any open source related training. As detachment commanders and their representatives reported that divisional employees were not aware that they were working at the Tier 2 level, they were equally unaware that training requirements prescribed in OM 26.5 applied to them. As such, most had not received open source related training.

A senior official at Depot confirmed that there is no material related to the use of OSI or using the internet for policing activities in the Cadet Training Program (CTP). Any requests to add curriculum to the CTP must be supported by a needs analysis that identifies a gap in the competencies required by a front-line, general duty Constable upon the completion of basic training. Recognizing that the CTP has time constraints, consideration should be given to including open source in the curriculum as the majority of members are using open source in some capacity for day-to-day policing.

Although members may have obtained some information in other operational courses that have an internet element, there is still a need for introductory-level training on open source requirements to ensure that activities are being conducted appropriately to enable successful prosecution, prevent the creation of new case law, mitigate liability to the Force, and ensure officer safety from attribution risks, e.g., if members are using personal devices for OSI work. Opportunities exist to provide training to Regular Members as they are the main category of employee that are unknowingly conducting open source activities at the Tier 2 level.

IT infrastructure

The OM 26.5 policy identified the IT infrastructure requirements by tier level in the Online Activity Dashboard. A key element in the IT requirements is the concept of attribution, which OM 26.5 defines as "the process of identifying various data touchpoints that, together, can reveal identifying information." The differences for the Tiers consist of:

• Tier 1 activities are overt and attribution is not an IT concern.
• Tier 2 activities are required to be conducted on "low attribution networks" where the internet protocol (IP) address is not readily attributed to law enforcement. Procurement for both Tier 1 and 2 IT infrastructure follows the standard RCMP procurement processes for hardware and software.
• Tier 3 activities are required to be conducted on covert networks where attribution to law enforcement is explicitly concealed and safeguarded with the assistance of divisional backstopping activities and procured via sensitive expenditures.^{Footnote 10}

Requirements for Tier 1 and Tier 3 were clearly defined and understood, however, requirements for Tier 2 IT infrastructure were not. Further, no Tier 2 guidance or solution is currently available from TIOS or the IM/IT Program. Currently, the onus is on the user to understand their particular IT infrastructure needs and obtain the required set up, as well as apply appropriate mitigation strategies to minimize attribution risks. However, many users were not aware of the requirements.

The audit team was advised that when users request a Tier 2 set up, Shared Services Canada (SSC) provides the IT infrastructure, which is a stand-alone computer to access the open internet, unless the user specifies additional requirements. Interviews with intelligence analysts, detachment representatives, Divisional Informatics representatives and Divisional Informatics Officers (DIOs) confirmed that there was a lack of guidance for setting up Tier 2 IT infrastructure. The E and H DIOs stated that a stand-alone computer would not be sufficient to manage attribution risks, given that the hardware and software components may have identifiers for law enforcement (e.g., licenses). TIOS stated that a stand-alone computer may be sufficient, but advised that it depends on how the unit has set up their network, as well as the hardware and software components. TIOS also advised that the adequacy of the IT infrastructure was dependent on other factors such as the sensitivity of information being searched, the sophistication of the target or subject of interest, and whether open source users apply additional mitigations for higher risk cases (e.g., using virtual private networks).

The absence of clearly defined requirements for a Tier 2 IT infrastructure may result in employees using equipment or networks that are attributable to the RCMP. In addition, it is important that all detachments have access to appropriate Tier 2 equipment. To ensure that OSI users have access to current and up-to-date information, the national policy centre should supplement OM 26.5 with additional guidance including recommended tools and software to be used for open source, and technical requirements for Tier 2.

Attribution

Conducting regular attribution checks on computers used for open source activities is considered to be a good practice to ensure that IP addresses are not directly attributable to law enforcement. While analysts were aware of attribution risks, many stated that they were not regularly conducting attribution checks. The majority of detachment employees interviewed were not aware of these risks and were not performing attribution checks.

TIOS advised that there are various layers of protection to minimize attribution, and only the first layer (being the IP address) can be easily tested to determine whether the initial digital footprint comes back to the RCMP. The audit team conducted this attribution testing on 46 computers and found that only one was directly attributable based on its IP address and the others were directly attributed to internet service providers, which is the desired outcome. A second test was performed to verify whether the latitude and longitude coordinates for these IP addresses could identify close proximity to an RCMP location. This increased the number of potentially attributable computers to six, suggesting that geo-mapping information could reveal identifying information and increase attribution risks.

Beyond the first layer of protection, there are other layers of protection that should be considered (e.g., all attributable components in the hardware and software) but TIOS advised that there is no way for a user to easily test this. Additionally, TIOS advised that even with an appropriate Tier 2 set up, low attribution cannot be assured if the user is on a shared internet network, and most interviewees were accessing the internet through a shared network. On a shared network, other users' online activity may inadvertently increase the risk of attribution. In contrast, a dedicated internet access provides better assurance of low attribution as it is used solely by the practitioner or the unit that is connected to it.

While the audit team's attribution testing did not reveal a high number of attributable computers, there remains a lack of clarity on whether stand-alone computers provide sufficient protection from attribution. Other factors should also be considered when determining whether risks are being adequately mitigated for Tier 2, for example, using virtual private networks if open source computers are on shared internet networks.

IT solutions for tier 2 IT infrastructure

In 2017, the Low Attribution Network Application (LANA), which was supported by Technical Operations within SPS, was decommissioned. This left a gap in the RCMP's Tier 2 infrastructure as units are now responsible to obtain low attribution network infrastructure through SSC. There are two initiatives underway to develop a discreet Tier 2 infrastructure for the RCMP:

1. Federal Technology Solutions (FTS) within FP is leading a project that is examining a cloud-based solution for Tier 2 called Project Cerebro. Initial testing was conducted by users across the country connecting to the cloud via stand-alone internet computers and was considered successful. The next phase of testing is underway whereby users access the cloud through existing RCMP Office Support System computers.
2. NHQ Informatics Services is leading a project to develop a standardized process and network image for NHQ users to acquire a traditional Tier 2 infrastructure (that being physical hardware) through SSC. The goal is to deliver a discreet internet network connection whereby the IP address would be directly attributable to "the Government of Canada". However, TIOS advised that this would not be sufficient for Tier 2 because the policy intent is to appear as any normal individual accessing the internet, and not to be identified as a government entity.

While these ongoing initiatives were not included in the scope of the audit, the IM/IT Program, FTS, TIOS and NHQ Informatics Services should collaborate to maximize benefits, reduce duplication of effort and ensure that Tier 2 infrastructure requirements defined in OM 26.5 are met. Any enterprise-wide IT solution for Tier 2 work should consider the use of shared networks and all attributable components of the IT infrastructure, classification of OSI as "unclassified" and the potential risks when aggregate OSI becomes "classified" OSINT, IM requirements (e.g., data storage, retention, and backup data), and lastly, privacy considerations and implications on how and where data is stored (e.g., offshore servers and/or in the cloud).

Mobile devices

The OM 26.5 Online Activity Dashboard referred to in Appendix B of this report restricts the use of mobile devices for OSI activities. Notably, for Tier 2, the dashboard states that "discreet mobile devices can only be used for validation/authentication of discreet online profiles." Interviews confirmed that there is widespread use of both personal and organizationally-issued mobile devices for open source activities by members.

Based on one of the MacNeil report recommendations^{Footnote 11} and the RCMP Vision150 initiative, smart phones are being deployed to all front line members to enhance situational awareness, improve tactical responses, and increase officer safety. As of September 2019, 10,000 devices have been purchased, with approximately 8,700 deployed.^{Footnote 12} These devices will have applications that will not be backstopped. However, if these devices are used overtly for OSI functions that should be performed in a discreet or covert manner, this may create a risk of attribution to the RCMP or to employees themselves, possibly increasing the risk to officer safety.

While the roll-out of the smart phones is underway, no additional guidance has been provided regarding acceptable user practices in relation to open source activities on these mobile devices, e.g., downloading applications, using personal social media accounts, or creating fake ones to access publicly-available information. Any enterprise-wide IT solutions for Tier 2 should consider the widespread use of mobile devices in addition to potential attribution risks, IM requirements, and privacy considerations.

Conclusion

OSI is a key tool that is used organization-wide, across all business lines and within every RCMP division. OSI activities are performed by all categories of employees for a variety of purposes, including investigations, intelligence gathering, outreach and public engagement, environmental scanning, and research. It is often the first step in policing activities, and is just one component of a criminal investigation or intelligence gathering function.

Overall, the audit determined that internet-related open source activities conducted across the organization were not consistent nor compliant with OM 26.5. Opportunities exist to develop a more robust governance framework and enhance national and divisional oversight of open source activities. Without clear roles and responsibilities and adequate monitoring and oversight, visibility over those who are conducting open source activities may be lacking. This may create a risk to investigations and successful prosecution, as well as new case law that may limit the use of OSI in future policing activities.

There was limited consultation for the development of OM 26.5 in 2015, and none for the policy update in 2019. The audit found that many employees were not aware that the policy existed or that it was applicable to the open source activities that they performed. In addition, OM 26.5 does not provide adequate information to guide users on how to capture, store and retain OSI.

Given that OSI is widely used by many RCMP employees, there is a risk to investigations if users are not aware of the appropriate methods to capture, store and retain OSI. There is an opportunity to more broadly communicate OM 26.5 and educate employees on when it applies to the work that they do. Supplementary guidance should be developed and shared across the Force, related to the capture, storage and retention of OSI, best practices and preparation for court testimony, and acceptable Tier 2 infrastructure (including suitable software, equipment, storage systems and repositories).

Finally, training and information sharing are valuable investments that would ensure that OSI users have access to current and up-to-date information including relevant case law. There is an opportunity to provide introductory-level open source related training to RCMP employees conducting open source activities at the Tier 2 level and to facilitate information sharing across the organization.

Recommendations

1. The D/Commrs. FP, SPS and C&IP should collaborate to determine how best to fulfill the oversight function for open source activities, recognizing that open source is used by multiple business lines across the Force.
2. Following the decision relating to recommendation #1, the identified business lead(s) should ensure that:
1. National oversight mechanisms are in place to improve visibility over open source activities being conducted in support of investigations and intelligence-gathering activities.
2. The national policy is updated to reflect agreed-upon accountabilities.
3. Supplementary guidance is developed and published related to appropriate capture of OSI, recommended tools and best practices, relevant case law summaries, and advice on court testimony for open source practices.
4. Supplementary guidance is developed and published on the information management requirements for the storage and retention of OSI and OSINT. This guidance should clarify when OSI and OSINT would be considered a record of business value.
5. A communication strategy for OM 26.5 is developed and implemented to educate employees Force-wide about requirements for open source activities and when the policy would be relevant to their duties. This may include the further development and completion of the OSI introductory AGORA course and consideration by the National Mandatory Training and Oversight Committee for making it mandatory for all Regular Members once it is available, as they are the main category of employee unknowingly conducting open source activities at the Tier 2 level.
3. The D/Commr. SPS, in collaboration with D/Commrs. FP and C&IP, should consider the feasibility of developing an enterprise-wide solution to address the current gap in Tier 2 infrastructure. In the interim, guidance for technical requirements and/or any mitigating measures (e.g., virtual private network) for Tier 2 infrastructure should be developed and disseminated to all Tier 2 open source users.

Appendix A – Audit objective and criteria

Appendix B – OM 26.5 online activity dashboard

Appendix C – Management Action Plan

Date de modification :

1969-12-31