Vérification de l’information de sources ouvertes

Rapport épuré

Janvier 2021

Évaluation de l'accès à l'information

Une évaluation de ce rapport par rapport aux dispositions de la Loi sur l'accès à l'information n'a donné lieu à aucune exemption; ce rapport est donc présenté dans son intégralité.

Table des matières

  1. Sigles et abbréviations
  2. Résumé
  3. Réponse de la direction à la vérification
  4. Contexte
  5. Objectif, portée et méthode
  6. Constations de la vérification
  7. Conclusion
  8. Recommendations
  9. Annexe A – Objectifs et critères de la vérification
  10. Annexe B – Chapitre 26.5 du MO – Tableau de bord des activités en ligne
  11. Annexe C – Plan d'action de la direction

Sigles et abréviations

AQNS
Assurance de la qualité au niveau du service
DDI
Dirigeant divisionnaire de l'Informatique
DG
Direction générale
DPI
Dirigeant principal de l'Information
EM
Expert en la matière
GRC
Gendarmerie royale du Canada
IP
Protocole Internet
ISO
Information de sources ouvertes
MO
Manuel des opérations
OC
Opérations criminelles
PF
Police fédérale
PFC
Programme de formation des cadets
POR
Procédures opérationnelles réglementaires
RSO
Renseignement de sources ouvertes
RTISO
Recherche tactique sur Internet en soutien aux opérations
SDAC
Section divisionnaire des analyses criminelles
SGDO
Systèmes de gestion des dossiers opérationnels
SPC
Services partagés Canada
SPCA
Services de police contractuels et autochtones
SPS
Services de police spécialisés
STF
Solutions technologiques à l'échelle fédérale
TI
Technologie de l'information
VIEE
Vérification interne, Évaluation et Examen

Résumé

L'information de sources ouvertes (ISO) est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la Gendarmerie royale du Canada (GRC). Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête criminelle ou de la fonction de collecte de renseignement. Le chapitre 26.5 du Manuel des opérations (MO) de la GRC, qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles, offre un cadre de collecte et d'utilisation d'ISO et de renseignement de sources ouvertes (RSO) selon un système à trois niveaux (niveau 1 : non déguisée; niveau 2 : discrète; niveau 3 : secrète).

L'objectif de la vérification était de déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation sont conformes à la politique. La vérification a porté sur les activités liées à l'ISO qui ont été menées sur Internet à l'appui des enquêtes criminelles et de la collecte de renseignements criminels, à l'échelle nationale et dans chaque division, du 1er avril 2018 au 31 mars 2019.

Dans l'ensemble, la vérification a permis de déterminer que les activités liées à l'ISO menées sur Internet à l'échelle de l'organisation n'étaient pas conformes au chapitre 26.5 du MO. Elle a permis de conclure qu'il est possible d'élaborer un cadre de gouvernance plus solide et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire. Sans une définition claire des rôles et des responsabilités et une supervision et une surveillance adéquates, la Gendarmerie pourrait être tenue responsable et exposée à des risques liés à la réputation, ou des poursuites criminelles pourraient être compromises et la jurisprudence en découlant pourrait restreindre l'utilisation future d'ISO.

Peu de consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO en 2015 et aucune lors de la mise à jour de la politique en 2019. La vérification a révélé qu'un grand nombre d'employés n'étaient pas au courant qu'il existe une politique sur l'ISO ou que celle-ci s'applique aux activités liées à l'ISO qu'ils mènent. De plus, le chapitre 26.5 du MO ne fournit pas assez de renseignements pour orienter les utilisateurs sur la façon de saisir, de stocker et de conserver l'ISO. Il est possible de communiquer à grande échelle le chapitre 26.5 du MO et d'informer les employés des cas où il s'applique à leurs tâches. Des directives supplémentaires doivent être élaborées et communiquées à l'échelle de la Gendarmerie; celles-ci doivent inclure la façon de saisir, de stocker et de conserver l'ISO et décrire ce qui constitue une infrastructure de niveau 2 acceptable.

Enfin, la formation et l'échange de renseignements constituent des investissements précieux qui permettraient de s'assurer que les utilisateurs d'ISO ont accès aux renseignements les plus à jour, y compris la jurisprudence pertinente. L'offre d'une formation d'introduction aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2 faciliterait l'échange de renseignements à l'échelle de l'organisation.

Les réponses et le plan d'action de la direction relativement au présent rapport démontrent l'engagement de la haute direction à donner suite aux constatations et aux recommandations de la vérification. Un plan d'action de la direction détaillé est en cours d'élaboration. Après son approbation, la Vérification interne de la GRC surveillera sa mise en œuvre et entreprendra une vérification de suivi, au besoin.

Réponse de la direction à la vérification

La Police fédérale (PF), les Services de police spécialisés (SPS) et les Services de police contractuels et autochtones (SPCA) acceptent les constatations et les recommandations de la vérification, y compris l'observation selon laquelle la GRC peut améliorer, dans certains secteurs, la conformité avec les politiques, la formation, l'infrastructure et la surveillance afin d'appuyer les activités liées à l'ISO. Nous sommes conscients qu'une formation appropriée, un soutien et, plus particulièrement, l'approche de l'organisation à l'égard de la gouvernance pour cette fonction sont essentiels.

Le groupe de Recherche tactique sur Internet en soutien aux opérations de la PF a été établi pour répondre à un besoin immédiat de fournir de l'ISO tactique aux opérations dans le cadre du Programme de sécurité nationale en l'absence d'un centre de décision. La PF, les SPS et les SPCA conviennent que tous les secteurs qui utilisent de l'ISO doivent être pris en considération dans l'élaboration et la mise en œuvre du plan d'action de la direction (PAD) découlant de cette vérification. Par conséquent, le PAD comprendra des exigences en matière de gouvernance visant l'ensemble des activités de collecte, d'analyse et d'utilisation d'ISO par l'organisation.

Un PAD détaillé qui donne suite aux recommandations du rapport et qui fournit des échéances et des jalons précis sera élaboré aux fins d'examen par le Comité ministériel de vérification avant la prochaine réunion du Comité.

Sous-commissaire Michael Duheme
Police fédérale

Sous-commissaire Stephen White
Services de police spécialisés

Sous-commissaire Brian Brennan
Services de police contractuels et autochtones

Contexte

L'information de sources ouvertes (ISO) est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la Gendarmerie royale du Canada (GRC). Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses, comme les enquêtes, la collecte de renseignement, la sensibilisation et la mobilisation du public, l'analyse de l'environnement et la recherche. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête ou de la fonction de collecte de renseignement.

Le chapitre 26.5 du Manuel des opérations (MO), qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles, définit l'ISO comme des données brutes et non classifiées qui sont tirées d'une source primaire (p. ex. Internet) et qui peuvent se présenter sous n'importe quelle forme. L'information est obtenue, tirée ou récupérée par des moyens légaux et achetée ou recueillie à partir de sources chiffrées ouvertes ou librement accessibles (p. ex. sites Web, blogues, réseaux sociaux et bases de données en ligne).

De plus, le chapitre 26.5 du MO définit le renseignement de sources ouvertes (RSO) comme la collecte systématique et passive d'ISO et son traitement, son analyse et sa diffusion en réponse à des activités précises d'application de la loi (p. ex. renseignements criminels) ou aux exigences en matière d'enquête. Les RSO constituent une source précieuse d'information permettant de produire des pistes d'enquête concrètes et susceptibles de donner lieu à une action qui viennent compléter les méthodes policières traditionnelles.

Le chapitre 26.5 du MO répartit l'utilisation de l'ISO en une structure à trois niveaux, de la façon suivante (voir le résumé à l'annexe B) :

  • Niveau 1 : Activités en ligne non déguisées (p. ex. recherche, analyse de l'environnement, demandes de renseignements et mobilisation du public).
  • Niveau 2 : Activités en ligne passives liées aux enquêtes et au renseignement menées de façon à réduire au minimum l'identification à titre d'agent d'application de la loi (p. ex. faire preuve de discrétion et ne pas communiquer avec une personne d'intérêt).
  • Niveau 3 : Activités en ligne secrètes explicitement dissimulées et protégées afin d'éviter l'identification à titre d'agent d'application de la loi (p. ex. la communication avec une personne d'intérêt est autorisée).

Le groupe de Recherche tactique sur Internet en soutien aux opérations (RTISO) des Opérations criminelles de la Police fédérale (PF) a été établi en 2005 pour répondre à la demande croissante de soutien relatif aux enquêtes liées à Internet et il est le centre national de décision pour ce qui est du chapitre 26.5 du MO. La RTISO effectue des recherches sur Internet à l'appui des enquêtes criminelles en corroborant les renseignements, en identifiant les associés et les entreprises, en déterminant l'endroit où se trouve un suspect et en identifiant les témoins et des sources humaines potentielles.

La RTISO est le centre de décision et un groupe opérationnel qui mène ses propres activités liées à l'ISO, mais d'autres intervenants de la GRC participent fondamentalement aux activités liées à l'ISO par l'entremise de leurs mandats de maintien de l'ordre respectifs, plus précisément :

  • La PF est responsable d'un vaste éventail d'activités prévues dans le mandat fédéral, notamment la réalisation d'enquêtes sur les infractions liées à la drogue, le crime organisé, les crimes économiques et les activités criminelles liées au terrorisme; l'application des lois fédérales; la protection des frontières du Canada; l'exécution d'activités de renforcement des capacités, de liaison et de maintien de la paix à l'étranger; et la prestation de services de sécurité lors d'événements importants, de visites de représentants d'État et de dignitaires et de missions à l'étranger.Note de bas de page 1 Les activités sont menées par divers secteurs, dont les Opérations criminelles de la PF, qui assurent à l'échelle nationale la surveillance et la gouvernance des enquêtes criminelles liées aux crimes graves et au crime organisé, à la cybercriminalité, à la criminalité financière et à l'intégrité des frontières et fournissent un soutien opérationnel stratégique et tactique, des conseils et une orientation aux différentes entités divisionnaires qui mènent des enquêtes.Note de bas de page 2
  • Les Services de police spécialisés (SPS) offrent des services essentiels de soutien opérationnel de première ligne à la GRC et aux partenaires des organismes canadiens d'application de la loi et de la justice pénale et fournissent de l'aide aux partenaires d'application de la loi étrangers. Aux SPS, les Opérations techniques fournissent des services directs d'enquêtes spécialisées et des services opérationnels aux agents de première ligne en offrant des solutions essentielles en matière de services de police pour le XXIe siècle. De plus, le Service canadien de renseignements criminels (SCRS) se sert d'ISO pour fournir des produits et des services de renseignement en vue de réduire les dommages causés par le crime organisé. Aussi aux SPS, le dirigeant principal de l'Information (DPI) est responsable du Programme de gestion de l'information et de la technologie de l'information (GI-TI) de la GRC, qui comprend tous les renseignements dont la GRC a besoin pour s'acquitter de son mandat. Il est également chargé de l'élaboration et de la gestion de la technologie, de l'infrastructure et des systèmes utilisés pour consulter, communiquer, consigner, échanger et gérer ces renseignements.
  • Les Services de police contractuels et autochtones (SPCA) gèrent le secteur d'activité des services de police contractuels, y compris les services de police provinciaux, territoriaux, municipaux et autochtones. Les SPCA assurent la surveillance fonctionnelle des divisions qui utilisent de l'ISO pour les enquêtes, le renseignement et la recherche. Les SPCA sont le centre national de décision pour la collecte ainsi que l'utilisation et l'échange normalisés de renseignements dans les divers secteurs d'activité.
  • Les officiers responsables des enquêtes criminelles (OREC) des divisions sont chargés d'offrir tout soutien en matière de renseignement et d'enquête dans leur territoire.

La commissaire a approuvé la Vérification de l'information de sources ouvertes dans le Plan de vérification axé sur les risques, d'évaluation et d'analyse des données de 2018-2023.

Objectif, portée et méthode

2.1 Objectif

L'objectif de la vérification était de déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation sont conformes à la politique.

Portée

La vérification a porté sur les activités liées à l'ISO qui ont été menées sur Internet à l'appui des enquêtes criminelles et de la collecte de renseignements criminels, à l'échelle nationale et dans chaque division, du 1er avril 2018 au 31 mars 2019.

Plus précisément, on a examiné la façon dont les employés recueillent des sources d'information accessibles au grand public lorsqu'ils effectuent des recherches en ligne (p. ex. médias sociaux, blogues et registres d'entreprises) et la façon dont leurs résultats sont saisis, stockés et conservés. On a également évalué les contrôles internes existants (p. ex. politiques et procédures, formation et outils et mécanismes de surveillance et de production de rapports) qui appuient l'utilisation d'ISO liée à Internet. La vérification s'est concentrée sur les fonctions de niveau 2, telles qu'elles sont définies dans la politique nationaleNote de bas de page 3 du chapitre 26.5 du MO.

La vérification n'a pas porté sur la façon dont l'ISO liée à Internet a par la suite été utilisée dans la prise de décisions en matière d'application de la loi ou même si elle a été utilisée (p. ex. donner suite à une piste, inclure comme élément de preuve devant un tribunal ou porter des accusations).

Méthode

La planification de la vérification s'est terminée en octobre 2019. À cette étape, l'équipe de vérification a mené des entrevues, passé en revue les processus et examiné les lois, les politiques et les procédures pertinentes. On a eu recours au chapitre 26.5 du MO et à d'autres politiques et lignes directrices pertinentes pour l'élaboration des critères de vérification. Les critères de vérification se trouvent à l'annexe A.

L'étape d'examen a pris fin en décembre 2019 et a porté sur les Divisions E, H et K, ainsi que sur la RTISO de la Direction générale (DG). Elle a fait appel à diverses techniques de vérification, notamment des entrevues, l'examen des documents, l'analyse des formulaires et de la formation obligatoires, les questionnaires relatifs à l'infrastructure de technologie de l'information (TI) et l'analyse de l'attribution sur un échantillon d'ordinateurs utilisés pour mener des activités liées à l'ISO.

Plus précisément :

  • L'équipe de vérification a sélectionné un échantillon de 110 employés afin de déterminer si la formation obligatoire a été suivie et si les approbations requises ont été obtenues pour mener des activités liées à l'ISO et créer des identités et des comptes virtuels discrets, le cas échéant.
  • De plus, des analyses de l'attribution ont eu lieu afin de déterminer si les 46 ordinateurs faisant partie de l'échantillon qui sont utilisés pour mener des activités liées à l'ISO respectent les exigences en matière de TI pour le niveau 2.Note de bas de page 4

À la fin de l'étape d'examen, l'équipe de vérification a tenu des réunions de clôture pour valider les constatations auprès du personnel et faire part à la haute direction des constatations pertinentes.

Énoncé de conformité

La présente vérification est conforme au Cadre de référence international des pratiques professionnelles de l'Institut des vérificateurs internes et à la Directive sur l'audit interne du Conseil du Trésor du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

Constations de la vérification

Gouvernance

Il est possible d'élaborer un cadre de gouvernance plus solide, de définir clairement les rôles et les responsabilités et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire.

L'équipe de vérification s'attendait à ce qu'un cadre de gouvernance solide soit en place pour les activités liées à l'ISO menées à l'appui des enquêtes criminelles et de la collecte de renseignements criminels à l'échelle de l'organisation et à ce qu'il comprenne des rôles, des responsabilités et des mécanismes de surveillance clairs. Un cadre de gouvernance efficace permettrait de réduire le risque que de l'ISO soit obtenue de façon inappropriée et utilisée à l'appui des enquêtes criminelles et de la collecte de renseignements criminels. De plus, il permettrait de promouvoir la visibilité de tous les employés qui mènent des activités liées à l'ISO de niveau 2 à l'échelle de l'organisation.

Rôles et responsabilités

La structure de gouvernance pour l'ISO est définie dans le chapitre 26.5 du MO, qui est intitulé Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles. La politique offre un cadre de collecte d'ISO et de RSO selon un système à trois niveaux (niveau 1 : non déguisée; niveau 2 : discrète; niveau 3 : secrète); celle-ci peut être effectuée par tous les employés de la GRC. La RTISO des Opérations criminelles de la PF est le centre national de décision.

Le chapitre 26.5 du MO a d'abord été publié en mars 2015 et a été mis à jour en juillet 2019. On a informé l'équipe de vérification que la RTISO a élaboré et mis à jour la politique du chapitre 26.5 du MO régissant la réalisation d'enquêtes sur Internet en raison d'une lacune reconnue en matière de politique au sein de l'organisation. Avant l'élaboration du chapitre 26.5 du MO, aucune politique nationale de la GRC ne portait sur ce sujet et le Conseil du Trésor ne disposait d'aucune orientation stratégique à ce sujet.

Des modifications importantes apportées au chapitre 26.5 du MO en 2019 comprenaient la création d'une section portant sur les rôles et les responsabilités, des changements aux rôles et aux responsabilités de la RTISO et des chefs de service ainsi que des définitions élargies. Selon la version de 2015 du chapitre 26.5 du MO, la RTISO « assure la surveillance de toutes les activités de renseignement de sources ouvertes et de toutes les activités en ligne de soutien aux enquêtes qui s'exercent au sein de la GRC ». La version de 2019 ne comprend plus cette responsabilité de surveillance. Elle précise maintenant que la RTISO est chargée de ce qui suit :

  • fournir, par l'acquisition de RSO, des conseils stratégiques et un soutien tactique opérationnel;
  • évaluer les risques associés aux outils, aux techniques ou au savoir-faire spécialisés relatifs aux RSO;
  • élaborer, coordonner et offrir une formation avancée sur les RSO;
  • donner des conseils aux autorités techniques en ce qui concerne la conception réseau Internet, la sécurité réseau ainsi que les logiciels et les applications bureautiques utiles aux activités liées aux RSO.

Selon la version de 2019 du chapitre 26.5 du MO, la responsabilité de surveillance passe de la RTISO au service (p. ex. chefs de service et officiers hiérarchiques), notamment l'autorisation et la supervision des formulaires requis pour mener des activités liées à l'ISO. Voici d'autres exemples de responsabilités confiées aux chefs de service ou aux officiers hiérarchiques :

  • tenir à jour un registre du service des autorisations accordées aux employés qui mènent des activités liées à l'ISO;
  • réaliser des activités d'assurance de la qualité au niveau du service (AQNS) pour les formulaires 6449, Dossier d'identité virtuelle, présentés;
  • fournir aux spécialistes autorisés l'infrastructure de TI et la formation sur l'ISO requises.

Cependant, un grand nombre de personnes interrogées qui comprennent, entre autres, des analystes de renseignements criminels et des chefs de détachement de toutes les divisions ont déclaré ne pas être au courant de la politique sur l'utilisation de l'ISO ou des rôles et des responsabilités de leur poste.

La vérification a révélé que les employés de tous les niveaux qui utilisent de l'ISO ne comprennent pas vraiment les rôles et les responsabilités prévus au chapitre 26.5 du MO. Sans des rôles et des responsabilités clairement établis et communiqués, il se peut que de l'ISO soit obtenue de façon inappropriée et utilisée à l'appui des enquêtes criminelles et de la collecte de renseignements criminels. La Gendarmerie pourrait être tenue responsable et cela pourrait avoir des répercussions sur les poursuites.

Supervision et surveillance

La supervision et la surveillance de la fonction liée à l'ISO sont nécessaires pour s'assurer que la Gendarmerie mène ses activités de façon appropriée afin d'appuyer les enquêtes et la collecte de renseignement.

L'équipe de vérification a constaté que le chapitre 26.5 du MO ne traite plus de la responsabilité de surveillance et de supervision à l'échelle nationale. La responsabilité de surveillance, notamment l'autorisation et la supervision des formulaires requis pour mener des activités liées à l'ISO, avait initialement été incluse dans la politique de 2015, mais elle a été confiée au service lorsque la politique a été modifiée en 2019.

La RTISO a informé l'équipe de vérification qu'elle n'avait pas la capacité d'exécuter ses responsabilités de supervision et de surveillance en tant que centre national de décision.Note de bas de page 5 De plus, celle-ci ne se considère pas comme un programme national, puisqu'elle n'a aucune autorité sur les autres secteurs d'activité et divisions qui mènent des activités liées à l'ISO à l'échelle de l'organisation. Les entrevues réalisées avec des membres de la haute direction de la PF, des SPS et de la Direction de la planification et des politiques stratégiques, ainsi qu'avec un OREC, ont permis de conclure que d'autres secteurs d'activité devraient probablement jouer un rôle dans la fonction de surveillance.

LA RTISO a admis ne pas être en mesure de jouer son rôle de centre national de décision, mais l'absence d'une surveillance nationale augmente le risque que de l'ISO sera recueillie et utilisée par les employés de la GRC sans avoir obtenu l'autorisation appropriée et sans respecter la politique. Cela pourrait augmenter le risque de rejet des poursuites judiciaires en raison de l'inadmissibilité des éléments de preuve.

Autorisation de mener des activités liées à l'ISO

Puisque la période visée par la vérification était l'exercice 2018-2019, les analyses effectuées reposaient sur la version de 2015 du chapitre 26.5 du MO. On a procédé à des analyses pour déterminer si les employés des secteurs spécialisés ou considérés comme des experts en la matière (EM) disposent des autorisations nécessaires pour les activités liées à l'ISO qu'ils mènent. La plupart des employés étaient des analystes de renseignements criminels.

Selon la version de 2015 du chapitre 26.5 du MO, les mécanismes de surveillance comprenaient l'approbation du formulaire 6448, Demande d'enregistrement de niveau par le sous-officier responsable de la RTISO, afin d'autoriser un employé à mener des activités liées à l'ISO de niveau 2 et de niveau 3. Aucune autorisation n'est requise pour les activités de niveau 1. La vérification a révélé que la RTISO n'avait approuvé aucun des 110 formulaires faisant partie de l'échantillon. Par conséquent, on a jugé que l'ensemble de l'échantillon ne respectait pas la politique de 2015.

L'équipe de vérification a été informée que la RTISO a modifié l'exigence relative à l'approbation sur le formulaire 6448 en janvier 2017 en raison du manque de capacité pour assurer la supervision et la surveillance; cependant, le chapitre 26.5 du MO n'a pas été mis à jour pour tenir compte de cette modification. Le formulaire 6448 modifié informe les utilisateurs d'ISO que seuls les formulaires pour les activités de niveau 3 doivent être envoyés à la RTISO aux fins d'approbation et que les formulaires pour les activités de niveau 2 doivent être recommandés par le chef de service, approuvés par l'officier hiérarchique et conservés au sein du service. L'équipe de vérification a donc vérifié si les autorisations du chef de service et de l'officier hiérarchique figuraient sur les formulaires. Selon les résultats des analyses, seulement 14 % des employés (15 sur 110) avaient reçu l'autorisation, au moyen d'un formulaire 6448, pour mener des activités liées à l'ISO :

  • La majorité des employés faisant partie de l'échantillon (71 sur 110) n'avaient pas rempli le formulaire 6448 parce qu'ils n'étaient pas au courant de l'exigence de la politique ou ne pensaient pas que cela s'appliquait à eux.
  • Des 39 formulaires sur 110 qui ont été remplis, la plupart étaient recommandés par le chef de service, mais seulement 15 sur 39 étaient approuvés par l'officier hiérarchique, comme l'exige le formulaire.
  • La RTISO n'a pas rempli le formulaire 6448 pour ses propres employés. Elle estime que ceux-ci sont automatiquement désignés pour les activités de niveau 3 de par leur rôle au sein du centre de décision et la nature de leur travail dans un environnement secret. Cependant, aucune exemption de ce genre ne figure dans la politique.

Autorisation de créer des identités virtuelles discrètes

Un autre mécanisme de surveillance existait dans les versions de 2015 et de 2019 du chapitre 26.5 du MO, notamment le formulaire 6449, Dossier d'identité virtuelle, qui comprenait l'approbation par un gestionnaire pour la création, la modification et la suppression d'identités et de comptes virtuels discrets servant à mener des activités de niveau 2 et de niveau 3 (p. ex. faux comptes de médias sociaux). Le niveau du poste de gestionnaire n'était pas précisé sur le formulaire.

Le formulaire 6449 sert principalement à favoriser l'observation des identités et des comptes virtuels discrets ainsi que la résolution des incompatibilités potentielles dans les activités d'application de la loi menées sur Internet (p. ex. une personne d'intérêt pourrait être un autre policier ou un agent d'application de la loi utilisant une fausse identité). Cela peut être effectué à la GRC ou avec des partenaires externes, comme le SCRS ou le Federal Bureau of Investigation. Le formulaire sert également à assurer la surveillance dans les cas où une identité ou un compte virtuel discret a été compromis et ne doit donc plus être utilisé ainsi qu'à veiller à ce que les spécialistes de niveau 3 ne se lancent pas dans des opérations d'infiltration en ligne; celles-ci sont régies par le chapitre 30.8 du MO, qui est intitulé Opérations d'infiltration en ligne.

Le même échantillon de 110 employés a été analysé, et selon les résultats, seulement 6 % (7 sur 110) avaient bien rempli le formulaire 6449 :

  • La majorité des employés faisant partie de l'échantillon (69 sur 110) n'avaient pas rempli le formulaire 6449 parce qu'ils n'étaient pas au courant de l'exigence de la politique ou ne pensaient pas que cela s'appliquait à eux.
  • Des 41 formulaires sur 110 qui ont été remplis, seulement 7 sur 41 comprenaient les approbations requises.
  • Plutôt que de remplir un formulaire 6449 individuel pour ses employés, la RTISO tient à jour une base de données électronique pour son propre groupe seulement. De même, la Section divisionnaire des analyses criminelles (SDAC) de la Division H n'oblige pas ses employés à remplir le formulaire 6449, mais elle tient à jour une liste maîtresse des identités virtuelles discrètes utilisées au sein du service. Le chapitre 26.5 du MO ne précise aucune solution de rechange; il faut donc remplir et faire approuver le formulaire 6449.

Les personnes interrogées à l'échelle des divisions ont confirmé qu'aucun processus cohérent n'est en place pour supprimer une identité virtuelle discrète lorsqu'un employé quitte un service. Les identités virtuelles discrètes sont conservées par l'intervenant dans son nouveau poste, sont conservées au sein du service aux fins d'utilisation par un nouvel intervenant ou demeurent inactives et inutilisées. Il est possible qu'une identité virtuelle discrète soit utilisée de façon inappropriée si l'utilisateur initial la conserve lorsqu'elle n'est plus nécessaire ou si un nouvel intervenant assume cette identité sans avoir obtenu les approbations requises.

La vérification n'a pas permis de déterminer que les activités liées à l'ISO font l'objet d'un suivi ou d'une surveillance à l'échelle nationale et divisionnaire. Selon la version de 2015 du chapitre 26.5 du MO, la RTISO était chargée d'inscrire et de gérer les désignations approuvées (formulaire 6448) et de tenir à jour les identités virtuelles discrètes (formulaire 6449) dans le registre national afin de favoriser l'observation des identités et des comptes virtuels discrets ainsi que la résolution des incompatibilités potentielles. Certaines personnes interrogées ont affirmé que lorsque les formulaires remplis lui étaient présentés, la RTISO les refusait et conseillait aux services de les conserver à leur niveau. En outre, la RTISO n'a pas établi un registre national, comme l'exigeait la politique de 2015. Le centre national de décision doit évaluer la valeur et la pertinence des formulaires 6448 et 6449 en tant que mécanismes de surveillance pour favoriser l'observation des personnes qui mènent des activités liées à l'ISO de niveau 2 et de niveau 3 et de leurs identités virtuelles.

L'équipe de vérification a été informée qu'en raison du manque de ressources nuisant à la capacité de la RTISO de jouer son rôle de centre de décision, cette exigence a été supprimée lorsque la politique a été modifiée en 2019. Selon la politique actuelle, l'intervenant doit conserver les formulaires approuvés dans le registre du service. Puisque beaucoup de personnes interrogées n'étaient pas au courant de l'existence de la politique, elles ne savaient pas non plus que la responsabilité de surveillance leur avait été confiée.

Assurance de la qualité au niveau du service (AQNS)

La politique de 2019 comprend une nouvelle exigence : en tant que mécanisme de surveillance, les chefs de service doivent effectuer des examens d'AQNS pour les formulaires 6449 présentés. Cependant, aucun guide sur l'AQNS pour cette activité n'a été élaboré. L'AQNS pourrait constituer un outil utile pour surveiller le respect des politiques, mais elle ne remplace par la surveillance à l'échelle nationale, qui permet de regrouper et d'analyser les résultats et de cerner les pratiques exemplaires et les difficultés qu'éprouvent les utilisateurs à l'échelle de la Gendarmerie.

L'absence de surveillance et de supervision par le centre national de décision pourrait entraîner un manque d'observation des personnes qui mènent des activités liées à l'ISO. Cela pourrait compromettre des poursuites criminelles et donner lieu à une jurisprudence qui limite l'utilisation d'ISO (p. ex. l'employé n'avait pas l'autorisation de mener des activités liées à l'ISO ou l'information n'a pas bien été saisie). La Gendarmerie pourrait être tenue responsable ou sa réputation pourrait être entachée.

Politique

Il est possible d'améliorer le respect des politiques et de promouvoir des pratiques cohérentes à la Gendarmerie en élaborant des directives supplémentaires et en définissant clairement et en communiquant les exigences des politiques relatives à la saisie, au stockage et la conservation d'ISO.

L'équipe de vérification s'attendait à ce qu'une politique nationale sur l'utilisation de l'ISO soit en place, à jour, communiquée et respectée. De plus, elle s'attendait à ce que cette politique fournisse des directives adéquates sur la saisie, le stockage et la conservation d'ISO. Par ailleurs, elle s'attendait à ce que les politiques divisionnaires soient harmonisées avec les politiques nationales.

Élaboration de politiques

La consultation auprès des intervenants pertinents est un élément important de l'élaboration des politiques afin de s'assurer que les questions liées aux politiques sont bien comprises et que les points de vue sont pris en considération. La vérification n'a permis de trouver aucune preuve concrète qui démontre que des consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO.

La RTISO a informé l'équipe de vérification que les secteurs d'activité et les OREC divisionnaires ont été consultés pendant le processus initial d'élaboration de la politique en 2015 afin de désigner des experts en la matière utilisant Internet pour les enquêtes criminelles et la collecte de renseignements criminels. Elle a signalé que les grandes divisions ont désigné des experts en la matière, mais que les autres divisions ne l'ont pas fait. En outre, les SPCA n'ont pas participé pleinement et la RTISO ne se souvenait pas si les SPS ont été consultés. Pour ce qui est de la mise à jour de la politique en 2019, la RTISO a informé l'équipe de vérification qu'aucune consultation officielle n'a été menée auprès des principaux intervenants. Le chapitre 26.5 du MO est utilisé par un grand nombre d'intervenants à la Gendarmerie et le respect du chapitre dépend de l'appui des intervenants ainsi que de la connaissance et de la compréhension de la politique. En raison de l'absence de consultations pour l'élaboration du chapitre 26.5 du MO, les utilisateurs pourraient ne pas savoir quand le chapitre s'applique à leurs tâches.

Certaines personnes interrogées ne faisant pas partie de groupes spécialisés ne pensaient pas que le chapitre 26.5 du MO s'appliquait à leurs activités liées à l'ISO puisqu'elles ne menaient pas d'opérations d'infiltration en ligne ou ne communiquaient pas avec des cibles ou des personnes d'intérêt (activités secrètes de niveau 3). Les employés comprennent la définition des activités de niveau 1 (non déguisées) et des activités de niveau 3 (secrètes), mais il y a un manque de clarté quant aux activités de niveau 2 (discrètes). Des sources ouvertes sont utilisées pour tous les types de collecte de renseignement et d'enquêtes (p. ex. personnes disparues, crimes haineux, homicides, introductions par effraction, drogues, etc.), mais beaucoup de personnes interrogées ne se rendaient pas compte que leurs activités liées à l'ISO nécessitaient l'approbation de niveau 2.

Les personnes interrogées ont mentionné que la majorité de la recherche relative à l'ISO était menée de façon passive (c.-à-d. sans communiquer ou interagir avec des personnes d'intérêt), mais certaines exceptions contraires à la politique ont été signalées, comme l'adhésion à des groupes Facebook privés dans le cadre d'un effort proactif de surveillance pour obtenir, lors de de discussions en ligne, des renseignements sur des activités à venir (p. ex. protestation ou manifestation) et l'utilisation de comptes de médias sociaux personnels pour tenter de communiquer ouvertement avec une personne disparue.

La mobilisation des principaux intervenants des secteurs d'activité et des divisions a été limitée lors de l'élaboration du chapitre 26.5 du MO. L'absence de consultations ne permet pas de garantir que les questions liées aux politiques sont bien comprises par les intervenants pertinents; par conséquent, les intervenants auxquels la politique s'applique pourraient ne pas donner leur appui ou comprendre les rôles et les responsabilités.

Communication des politiques

Une des responsabilités du centre de décision consiste à communiquer et à transmettre activement les renseignements pertinents à ceux qui ont en besoin. Cela peut comprendre l'annonce d'une nouvelle politique, les décisions judiciaires pertinentes, les documents d'orientation, les bulletins de communication et les exigences en matière de formation. L'équipe de vérification a constaté qu'aucun processus d'échange de renseignements n'est en place pour les employés qui mènent des activités liées à l'ISO. Le centre de décision transmet des renseignements de façon ponctuelle ou sur demande aux secteurs spécialisés; cependant, ceux-ci pourraient ne pas être reçus par tous les membres et l'organisation dans son ensemble.

Les experts en la matière qui ont été interrogés ont confirmé que la politique modifiée en 2019 ne leur a pas été transmise. La RTISO a signalé qu'elle a envoyé des mises à jour aux OREC par le passé et qu'elle compte sur les OREC pour diffuser les renseignements aux employés des divisions qui en ont besoin. Cependant, aucun OREC des divisions faisant partie de l'échantillon ne se rappelait avoir reçu de communication sur l'ISO, dont sur la modification de la politique du chapitre 26.5 du MO effectuée en 2019.

Le chapitre 26.5 du MO peut être consulté dans les manuels de la GRC dans InfoWeb, mais il peut être un peu difficile à trouver, parce qu'il se trouve sous Crime facilité par Internet dans le MO, qui relève de la RTISO, sous les Operations secrètes de la PF, en tant que centre de décision. Avant la mise à jour récente de la politique en 2019, dans le cadre de laquelle « sources ouvertes » a été ajoutée au titre, le chapitre 26.5 du MO ne figurait pas dans les résultats des recherches menées dans InfoWeb pour « sources ouvertes ». Sauf pour certains superviseurs et analystes de renseignements criminels, la plupart des personnes interrogées n'étaient pas au courant de l'existence du chapitre 26.5 du MO.

Puisque le chapitre 26.5 du MO n'avait pas été communiqué à grande échelle aux personnes participant aux activités liées à l'ISO, des groupes de la Gendarmerie n'étaient pas au courant qu'on leur avait attribué la responsabilité et l'obligation de rendre des comptes en matière d'ISO. Pour cette raison, le risque que les activités liées à l'ISO ne soient pas menées conformément aux exigences de la politique est plus élevé.

Harmonisation des politiques

Selon le chapitre III.4 du Manuel d'administration, les divisions peuvent élaborer des politiques opérationnelles supplémentaires lorsqu'une directive s'applique uniquement à leur propre secteur et lorsque les renseignements ne figurent pas dans une politique nationale. Les suppléments ne doivent pas répéter les renseignements figurant dans les politiques nationales et seules les pratiques locales propres à une province ou à un territoire doivent figurer dans les politiques divisionnaires. Celles-ci doivent être conformes aux politiques nationales de la GRC et harmonisées avec celles-ci.

Les suppléments divisionnaires aux politiques des Divisions B, D, E, F, G et M ont été examinés. Aucune préoccupation majeure n'a été relevée en ce qui concerne leur harmonisation avec les politiques nationales, mais il serait utile d'examiner tous les suppléments divisionnaires aux politiques ayant trait au chapitre 26.5 du MO afin d'assurer le respect et la cohérence à l'échelle de la Gendarmerie.

La Vérification interne, Évaluation et Examen (VIEE) a récemment terminé la phase II de la Vérification de la gestion des politiques, qui a révélé la lacune suivante : les centres de décision nationaux ne sont pas tenus d'examiner les politiques divisionnaires. L'absence d'une exigence à cet effet peut accroître le manque d'harmonisation entre les politiques nationales et divisionnaires et entraîner une application non cohérente des politiques. Le risque est accru en l'absence d'une fonction nationale de supervision et de surveillance.

Saisie, stockage et conservation

Dans l'ensemble, le chapitre 26.5 du MO ne comprend pas de renseignements précis sur la façon de saisir, de stocker et de conserver l'ISO. Il renvoie plutôt les utilisateurs au Manuel de la gestion de l'information (GI) et à la Loi sur la preuve au Canada. Aucune autre directive nationale n'a été trouvée pour aider les employés. Une décision judiciaire rendue en Colombie-Britannique en 2017 (R. c. Hamdan, 2017 BCSC 867) met en évidence des saisies incorrectes d'ISO par la GRC qui ont donné lieu à une poursuite infructueuse et renforcé la nécessité de faire preuve d'une prudence accrue. Beaucoup des personnes interrogées n'étaient pas au courant de l'existence de cet arrêt. La version de 2019 du chapitre 26.5 du MO mentionne cette affaire, mais aucune directive nationale n'a été établie pour décrire la façon de saisir correctement l'ISO en vue de s'assurer que les exigences des tribunaux sont respectées.

À l'heure actuelle, il incombe à l'utilisateur d'assurer le respect des politiques pertinentes et de conserver les éléments de preuve électroniques d'une manière qui résiste à l'examen rigoureux des tribunaux. Les personnes interrogées ont confirmé qu'elles ont besoin de directives sur les méthodes acceptables de saisie, de stockage et de conservation de l'ISO. Elles ont également mentionné qu'aucune directive de la GRC n'existe pour les aider à défendre leurs processus liés à l'ISO lorsqu'elles doivent témoigner devant les tribunaux.

La vérification a révélé que les employés utilisent diverses méthodes pour documenter les activités liées à l'ISO, comme des registres des travaux et des carnets d'analystes, des rapports supplémentaires, des rapports détaillés sur les RSO, des captures d'écran simples ou partielles, des courriels et des exposés narratifs. La plupart des analystes ont confirmé qu'ils utilisent des identités et des comptes virtuels discrets pour accéder à des documents de sources ouvertes. Aux détachements, la plupart des membres ont déclaré qu'ils utilisent leurs comptes personnels pour accéder à l'ISO. Cependant, quelques détachements ont affirmé que de faux comptes sont disponibles et que les membres les partagent.

Les personnes interrogées ont déclaré qu'elles utilisent divers outils et pratiques pour saisir l'ISO et que ceux-ci varient d'une division à l'autre ainsi qu'au sein des divisions. Cela comprend la prise de captures d'écran, l'impression en format PDF et l'utilisation de logiciels judiciaires spécialisés.

Une note de service conjointe des commissaires adjoints (comm. adj.) des SPCA, de la PF et des SPS, qui a été rédigée en partie à la suite d'une recommandationNote de bas de page 6, du Rapport MacNeil, a été envoyée aux OREC divisionnaires en février 2018. Celle-ci mettait en valeur l'utilisation de Social Studio.Note de bas de page 7 Cependant, l'adoption de Social Studio est limitée puisqu'un grand nombre d'employés des divisions sont d'avis que le logiciel ne répond pas à leurs besoins. Le chapitre 26.5 du MO n'établit aucune norme relativement à l'utilisation d'outils et de logiciels particuliers pour la collecte d'ISO, mais l'absence d'une approche normalisée pourrait nuire aux enquêtes et aux poursuites fructueuses.

De nombreux analystes ont déclaré que les résultats des recherches menées dans des sources ouvertes sont envoyés à l'enquêteur principal ou au coordonnateur des dossiers, qui décide de les verser ou non au dossier d'enquête dans un des systèmes de gestion des dossiers opérationnels (SGDO) existants, comme le Système d'incidents et de rapports de police (SIRP), le Système d'incidents et de rapports de police protégé (SIRPP) et l'Environnement de gestion de l'information des dossiers de police de la Colombie-Britannique (PRIME-BC). Les renseignements stockés dans un SGDO sont conformes aux lignes directrices sur la gestion et la conservation des renseignements établies. La majeure partie de l'ISO est stockée sous forme de document d'information, dont la période de conservation peut être relativement courte (p. ex. deux ans).

Les analystes ont signalé que l'ISO recueillie est souvent trop volumineuse pour être enregistrée dans un SGDO et doit donc être stockée dans un autre dépôt de données, comme des lecteurs personnels ou partagés, des clés USB ou des lecteurs externes. De plus, certains analystes conservent indéfiniment les RSO en tant que sources de renseignements futurs parce que les personnes d'intérêt peuvent continuer de susciter des préoccupations sur de longues périodes pour certains types de crimes (p. ex. crimes graves et crime organisé, drogues et terrorisme) et l'ISO déjà recueillie pourrait ne plus être disponible sur Internet. Cependant, l'utilisateur doit quand même déterminer et appliquer les lignes directrices sur la conservation appropriées pour les renseignements stockés. Les pratiques actuelles pourraient entraîner la conservation d'ISO au-delà des exigences en matière de conservation ou la suppression trop rapide d'ISO. En outre, les utilisateurs doivent tenir compte des exigences en matière de sécurité des TI et des risques possibles si des RSO regroupés sont conservés dans un dépôt dont la protection n'est pas suffisante.

L'ISO est utilisée par un grand nombre d'employés de la GRC pour les services policiers quotidiens et non uniquement dans les secteurs spécialisés. Si les utilisateurs ne sont pas au courant des méthodes appropriées de saisie de l'ISO en conformité avec les décisions judiciaires existantes, cela pourrait nuire aux enquêtes et aux poursuites fructueuses et donner lieu à une nouvelle jurisprudence qui limite l'utilisation d'ISO dans les activités policières à l'avenir. De plus, le stockage et la conservation inappropriés de RSO pourraient causer des problèmes de responsabilité relativement à la protection des renseignements personnels.

Formation et infrastructure de TI

Il est possible d'offrir une formation sur l'ISO et des conseils techniques sur les exigences en matière d'infrastructure de TI aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2.

L'équipe de vérification s'attendait à constater que les employés menant des activités liées à l'ISO recevaient la formation et l'infrastructure de TI requises pour les activités de leur niveau.

Formation obligatoire

Le Tableau de bord des activités en ligne du chapitre 26.5 du MO (annexe B) présente les exigences en matière de formation par niveau, de la façon suivante :

  • Niveau 1 : Aucune exigence en matière de formation obligatoire n'est indiquée.
  • Niveau 2 : Les employés doivent communiquer avec la RTISO pour les formations d'introduction relatives aux sources ouvertes recommandées. Un cours sur AGORA était en cours d'élaboration par la RTISO, mais il n'était pas prêt au moment de la vérification. Entre temps, la RTISO a recommandé des programmes de formation équivalents offerts par des fournisseurs internes, notamment le Collège canadien de police et le Centre de formation de la région du Pacifique de la GRC, ainsi que par des fournisseurs externes.Note de bas de page 8
  • Niveau 3 : Les employés doivent suivre un cours avancé obligatoire portant sur les activités liées à l'ISO dans un environnement secret. La RTISO coordonne et offre un cours obligatoire intitulé Utilisation tactique d'Internet. On y trouve également une liste des cours facultatifs pour satisfaire aux exigences relatives aux activités de niveau 3.

Il incombe à l'employé de déterminer la formation sur l'ISO appropriée qu'il doit suivre selon le niveau d'activités qu'il mène. Le tableau de bord indique clairement les exigences en matière de formation pour les activités de niveau 3. Cependant, les exigences en matière de formation pour les activités de niveau 2 ne sont pas claires. Il se peut que les utilisateurs menant des activités de niveau 2 qui n'ont pas suivi de formation recueillent et utilisent l'ISO de façon inappropriée.

L'échantillon de 110 employés composé principalement d'analystes de secteurs spécialisés a été analysé afin de déterminer si ceux-ci ont suivi la formation obligatoire pour le niveau d'activités liées à l'ISO qu'ils menaient. L'analyse a permis de confirmer que 96 % (106 sur 110) des employés faisant partie de l'échantillon avaient suivi la formation appropriée.Note de bas de page 9 De nombreux analystes du renseignement ont déclaré qu'ils s'appuient sur leur formation plutôt que sur la politique pour les guider relativement à l'ISO. Certaines personnes interrogées faisant partie des secteurs spécialisés ont affirmé qu'une formation de recyclage plus fréquente serait utile.

La plupart des analystes des groupes spécialisés ont suivi la formation obligatoire pour les activités de leur niveau, mais un grand nombre de membres dans les détachements n'ont suivi aucune formation sur l'ISO. Les chefs de service et leurs représentants ont déclaré que les employés des divisions n'étaient pas au courant qu'ils effectuent des activités de niveau 2; ils ne savaient donc pas non plus que les exigences en matière de formation décrites dans le chapitre 26.5 du MO s'appliquaient à eux. Par conséquent, la plupart des employés n'ont pas suivi de formation sur l'ISO.

Un cadre supérieur de la Division Dépôt a confirmé que le Programme de formation des cadets (PFC) ne traite pas de l'utilisation de l'ISO ou de l'utilisation d'Internet pour mener des activités policières. Toute demande d'ajout de matière au PFC doit être appuyée par une analyse des besoins qui révèle une lacune pour ce qui est des compétences requises par un gendarme des services généraux de première ligne une fois la formation de base terminée. Sachant que le temps accordé au PFC est limité, il faut envisager d'inclure l'ISO dans le programme puisque la majorité des membres l'utilisent dans une certaine mesure pour les services policiers quotidiens.

Les membres ont pu tirer des renseignements d'autres cours opérationnels qui portent sur Internet, mais une formation d'introduction sur les exigences en matière d'ISO est toujours requise. En effet, il faut s'assurer que les activités sont menées de façon appropriée et de façon à favoriser des poursuites fructueuses, à éviter la création de nouvelle jurisprudence, à réduire la responsabilité de la Gendarmerie et à protéger les agents des risques liés à l'attribution, p. ex. si les membres utilisent des appareils personnels pour mener des activités liées à l'ISO. Il est possible d'offrir une formation aux membres réguliers, puisqu'ils font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.

Infrastructure de TI

La politique du chapitre 26.5 du MO définit les exigences en matière d'infrastructure de TI par niveau dans le Tableau de bord des activités en ligne. Un élément clé de ces exigences est le concept d'attribution, qui est ainsi défini dans le chapitre 26.5 du MO : processus consistant à circonscrire divers points communs de données qui peuvent, ensemble, contribuer à révéler d'importants renseignements d'identité. Les différences sont les suivantes pour les niveaux :

  • Les activités de niveau 1 sont non déguisées et l'attribution ne constitue pas une préoccupation liée à la TI.
  • Les activités de niveau 2 doivent être menées sur des réseaux de faible attribution dont l'adresse du protocole Internet (IP) est difficilement attribuable aux organismes d'application de la loi. L'acquisition de l'infrastructure de TI de niveau 1 et de niveau 2 est conforme aux processus d'acquisition normalisés de la GRC pour le matériel et les logiciels.
  • Les activités de niveau 3 doivent être menées sur des réseaux secrets dont l'attribution aux organismes d'application de la loi est expressément dissimulée et protégée au moyen d'activités de couverture divisionnaires et achetés par l'entremise de dépenses de nature délicate.Note de bas de page 10

Les exigences en matière d'infrastructure de TI de niveau 1 et de niveau 3 sont clairement définies et bien comprises; cependant, celles pour l'infrastructure de niveau 2 ne le sont pas. De plus, aucune directive ou solution relative à l'infrastructure de niveau 2 n'a été fournie par la RTISO ou le Programme de GI-TI. Actuellement, il revient à l'utilisateur de comprendre ses besoins particuliers en matière d'infrastructure de TI et d'obtenir la mise en place requise ainsi que d'appliquer les stratégies d'atténuation appropriées afin de réduire les risques liés à l'attribution. Cependant, beaucoup d'utilisateurs n'étaient pas au courant des exigences.

L'équipe de vérification a été informée que lorsque les utilisateurs demandent la mise en place d'une infrastructure de niveau 2, Services partagés Canada (SPC) fournit l'infrastructure de TI, c'est-à-dire un ordinateur autonome qui permet d'avoir accès à l'Internet ouvert, à moins que l'utilisateur ne fournisse des exigences supplémentaires. Les entrevues réalisées avec les analystes du renseignement, les représentants de détachements, les représentants des Services divisionnaires de l'informatique et les dirigeants divisionnaires de l'Informatique (DDI) ont permis de confirmer l'absence de directives pour la mise en place d'infrastructure de TI de niveau 2. Les DDI de la Division E et de la Division H ont déclaré qu'un ordinateur autonome ne serait pas suffisant pour gérer les risques liés à l'attribution puisque les composants matériels et logiciels peuvent contenir des identificateurs associés aux organismes d'application de la loi (p. ex. licence). La RTISO a mentionné qu'un ordinateur autonome peut être suffisant, mais elle précise que cela dépend de la façon dont le service a configuré son réseau ainsi que des composants matériels et logiciels. Elle a aussi précisé que le caractère adéquat de l'infrastructure de TI dépend d'autres facteurs, notamment la nature délicate des renseignements faisant l'objet d'une recherche, le niveau de connaissances de la cible ou de la personne d'intérêt et l'application par les utilisateurs d'ISO d'autres mesures d'atténuation pour les cas à risque élevé (p. ex. l'utilisation de réseaux privés virtuels).

En raison de l'absence d'exigences clairement définies pour l'infrastructure de TI de niveau 2, les employés pourraient utiliser de l'équipement ou des réseaux attribuables à la GRC. De plus, il est important que tous les détachements aient accès à l'équipement de niveau 2 approprié. Pour veiller à ce que les utilisateurs d'ISO aient accès à des renseignements à jour, le centre national de décision devrait ajouter d'autres directives au chapitre 26.5 du MO et préciser les outils et les logiciels recommandés à utiliser pour les activités liées à l'ISO ainsi que les exigences techniques en matière d'infrastructure de TI de niveau 2.

Attribution

La réalisation de vérifications régulières des attributions sur les ordinateurs utilisés pour mener des activités liées à l'ISO constitue une pratique efficace pour s'assurer que les adresses IP ne sont pas directement attribuables aux organismes d'application de la loi. Les analystes étaient au courant des risques liés à l'attribution, mais bon nombre d'entre eux ont signalé qu'ils ne réalisent pas régulièrement des vérifications des attributions. La majorité des employés du détachement ayant été interrogés n'étaient pas au courant de ces risques et ne réalisent pas des vérifications des attributions.

La RTISO a mentionné que diverses couches de protection sont en place pour réduire les risques liés à l'attribution et seule la première couche (c.-à-d. l'adresse IP) peut facilement être analysée afin de déterminer si l'empreinte numérique initiale est associée à la GRC. L'équipe de vérification a mené des analyses de l'attribution sur 46 ordinateurs. Elle a déterminé qu'un seul ordinateur était directement attribuable à la GRC en fonction de son adresse IP et que les autres étaient directement attribuables aux fournisseurs de services Internet; il s'agit du résultat visé. Une seconde analyse a été menée afin de vérifier si les coordonnées de latitude et de longitude des adresses IP permettraient d'établir la proximité à un bureau de la GRC. Le nombre d'ordinateurs potentiellement attribuables à la GRC est passé à six, ce qui signifie que les renseignements de géocartographie pourraient permettre d'identifier la GRC et accroître les risques liés à l'attribution.

Au-delà de la première couche de protection, il y a d'autres couches de protection dont il faut tenir compte (p. ex. l'ensemble des composants matériels et logiciels attribuables), mais la RTISO a signalé qu'il n'est pas possible pour un utilisateur d'analyser celles-ci facilement. De plus, la RTISO a précisé que, même si une infrastructure de TI de niveau 2 appropriée est en place, une faible attribution n'est pas garantie si l'utilisateur est branché à un réseau Internet partagé, et la plupart des personnes interrogées accédaient à Internet au moyen d'un réseau partagé. Sur un réseau partagé, les activités en ligne menées par les autres utilisateurs peuvent accroître par inadvertance les risques liés à l'attribution. En revanche, un accès à Internet par liaison spécialisée offre la meilleure garantie d'une faible attribution, puisqu'il est uniquement utilisé par le spécialiste ou le service qui y est branché.

Les analyses de l'attribution menées par l'équipe de vérification n'ont pas révélé un nombre élevé d'ordinateurs attribuables à la GRC, mais il n'est toujours pas clair si les ordinateurs autonomes fournissent une protection suffisante contre l'attribution. Il faut aussi tenir compte d'autres facteurs au moment de déterminer si les risques sont atténués de façon appropriée pour l'infrastructure de niveau 2, par exemple l'utilisation de réseaux privés virtuels lorsque les ordinateurs à utiliser pour mener des activités liées à l'ISO sont branchés à un réseau Internet partagé.

Solutions de TI pour l'infrastructure de TI de niveau 2

En 2017, le système LANA (Low Attribution Network Access), dont les Opérations techniques des SPS étaient responsables, a été mis hors service. Cela a créé une lacune dans l'infrastructure de TI de niveau 2 de la GRC, parce que les services sont maintenant tenus d'obtenir une infrastructure de réseau de faible attribution auprès de SPC. Deux initiatives sont en cours pour élaborer une infrastructure de TI de niveau 2 discrète pour la GRC.

  1. Les Solutions technologiques à l'échelle fédérale (STF) de la PF dirigent un projet visant à examiner une solution infonuagique pour l'infrastructure de niveau 2. Il s'agit du projet Cerebro. Des essais initiaux ont été menés par des utilisateurs partout au Canada; ceux ci se sont connectés au nuage au moyen d'ordinateurs autonomes avec accès à Internet et les essais ont été jugés fructueux. La prochaine phase des essais est en cours. Dans le cadre de celle ci, les utilisateurs accèdent au nuage au moyen d'ordinateurs branchés au Système de bureautique de la GRC.
  2. Les Services informatiques de la DG dirigent un projet visant à élaborer un processus normalisé et une image de réseau afin de permettre aux utilisateurs de la DG d'obtenir une infrastructure de niveau 2 traditionnelle (c.-à-d. du matériel physique) par l'entremise de SPC. Le but est de fournir une connexion Internet discrète pour laquelle l'adresse IP est directement attribuable au « gouvernement du Canada ». Cependant, la RTISO a signalé que cela ne serait pas suffisant pour l'infrastructure de niveau 2, parce que l'intention de la politique est de donner l'impression qu'il s'agit d'une personne normale qui accède à Internet et non d'être identifié en tant qu'entité gouvernementale.

Ces initiatives en cours n'ont pas été incluses dans la portée de la vérification, mais le Programme de GI-TI, les STF, la RTISO et les Services informatiques de la DG devraient collaborer afin de maximiser les avantages, de réduire le dédoublement des efforts et d'assurer le respect des exigences en matière d'infrastructure de TI de niveau 2 définies dans le chapitre 26.5 du MO. Toute solution de TI à l'échelle de l'organisation pour les activités de niveau 2 doit prendre en considération ce qui suit : l'utilisation de réseaux partagés et tous les composants attribuables de l'infrastructure de TI, la classification de l'ISO en tant qu'information non classifiée et les risques possibles lorsque l'ISO regroupée devient des RSO classifiés, les exigences en matière de GI (p. ex. stockage et conservation des données et données de sauvegarde) et, enfin, les considérations liées à la protection des renseignements personnels et les répercussions sur celle-ci pour ce qui est de la façon dont les données sont stockées et de l'endroit où elles sont stockées (p. ex. serveurs à l'étranger ou dans le nuage).

Appareils mobiles

Le Tableau de bord des activités en ligne du chapitre 26.5 du MO mentionné à l'annexe B du présent rapport limite l'utilisation d'appareils mobiles pour mener des activités liées à l'ISO. Plus particulièrement, pour les activités de niveau 2, le tableau de bord précise que les « appareils mobiles discrets peuvent uniquement être utilisés pour la validation ou l'authentification de profils virtuels discrets ». Les entrevues ont permis de confirmer l'utilisation répandue par les membres d'appareils mobiles personnels et d'appareils mobiles fournis par l'organisation pour mener des activités liées à l'ISO.

À la suite d'une des recommandationsNote de bas de page 11 du Rapport MacNeil et selon l'initiative Vision 150 de la GRC, des téléphones intelligents sont remis à tous les membres de première ligne afin d'accroître la connaissance de la situation, d'améliorer les interventions tactiques et de renforcer la sécurité des agents. En septembre 2019, 10 000 appareils avaient été achetés et environ 8 700 avaient été distribués.Note de bas de page 12 Des applications ne faisant pas l'objet de moyens de couverture seront installées sur ces appareils. Toutefois, si ces derniers sont utilisés de façon non déguisée pour exercer des fonctions liées à l'ISO qui devraient être exercées de façon discrète ou secrète, cela pourrait entraîner l'attribution à la GRC ou aux employés eux-mêmes et accroître les risques pour la sécurité des agents.

La distribution des téléphones intelligents est en cours, mais aucune directive supplémentaire n'a été fournie au sujet des pratiques d'utilisation acceptables relativement aux activités liées à l'ISO menées sur les appareils mobiles, p. ex. télécharger des applications et utiliser des comptes de médias sociaux personnels ou en créer des faux pour consulter des renseignements accessibles au public. Toute solution de TI à l'échelle de l'organisation pour les activités de niveau 2 doit prendre en considération l'utilisation répandue d'appareils mobiles ainsi que les risques possibles liés à l'attribution, les exigences en matière de GI et les considérations liées à la protection des renseignements personnels.

Conclusion

L'ISO est un outil important qui est utilisé à l'échelle de l'organisation, dans tous les secteurs d'activité et dans toutes les divisions de la GRC. Les activités liées à l'ISO sont menées par des employés de toutes les catégories à des fins diverses, comme les enquêtes, la collecte de renseignement, la sensibilisation et la mobilisation du public, l'analyse de l'environnement et la recherche. Il s'agit souvent de la première étape des activités policières, et ce n'est que l'une des composantes d'une enquête criminelle ou de la fonction de collecte de renseignement.

Dans l'ensemble, la vérification a permis de déterminer que les activités liées à l'ISO menées sur Internet à l'échelle de l'organisation n'étaient pas conformes au chapitre 26.5 du MO. Il est possible d'élaborer un cadre de gouvernance plus solide et d'améliorer la surveillance des activités liées à l'ISO à l'échelle nationale et divisionnaire. Sans une définition claire des rôles et des responsabilités et une supervision et une surveillance adéquates, l'observation des personnes qui mènent des activités liées à l'ISO pourrait être insuffisante. Cela pourrait nuire aux enquêtes et aux poursuites fructueuses et donner lieu à une nouvelle jurisprudence qui limite l'utilisation d'ISO dans les activités policières à l'avenir.

Peu de consultations ont été menées lors de l'élaboration du chapitre 26.5 du MO en 2015 et aucune lors de la mise à jour de la politique en 2019. La vérification a révélé qu'un grand nombre d'employés n'étaient pas au courant de l'existence de la politique ou que celle-ci s'applique aux activités liées à l'ISO qu'ils mènent. De plus, le chapitre 26.5 du MO ne fournit pas assez de renseignements pour orienter les utilisateurs sur la façon de saisir, de stocker et de conserver l'ISO.

Étant donné que l'ISO est largement utilisée par un grand nombre d'employés de la GRC, si les utilisateurs ne sont pas au courant des méthodes appropriées de saisie, de stockage et de conservation de l'ISO, cela pourrait nuire aux enquêtes. Il est possible de communiquer à grande échelle le chapitre 26.5 du MO et d'informer les employés des cas où il s'applique à leurs tâches. Des directives supplémentaires doivent être élaborées et communiquées à l'échelle de la Gendarmerie; celles-ci doivent porter sur la saisie, le stockage et la conservation d'ISO, les pratiques exemplaires, la préparation en vue de témoigner devant les tribunaux et l'infrastructure de niveau 2 acceptable (notamment les logiciels, l'équipement, les systèmes de stockage et les dépôts appropriés).

Enfin, la formation et l'échange de renseignements constituent des investissements précieux qui permettraient de s'assurer que les utilisateurs d'ISO ont accès aux renseignements les plus à jour, y compris la jurisprudence pertinente. Il est possible d'offrir une formation d'introduction relative aux sources ouvertes aux employés de la GRC qui mènent des activités liées à l'ISO de niveau 2 et de faciliter l'échange de renseignements à l'échelle de l'organisation.

Recommandations

  1. Les sous-commissaires de la PF, des SPS et des SPCA doivent collaborer pour déterminer la meilleure façon d'exercer la fonction de surveillance relativement aux activités liées à l'ISO en tenant compte du fait que l'ISO est utilisée par de multiples secteurs d'activités à l'échelle de la Gendarmerie.
  2. À la suite de la décision relative à la recommandation no 1, les responsables opérationnels doivent s'assurer que :
    1. Des mécanismes nationaux de surveillance sont en place pour améliorer l'observation des activités liées à l'ISO menées à l'appui des enquêtes et de la collecte de renseignement.
    2. La politique nationale est mise à jour en fonction de la responsabilisation convenue.
    3. Des directives supplémentaires portant sur la saisie appropriée de l'ISO, les pratiques exemplaires et les outils recommandés, les résumés de jurisprudence pertinents et des conseils sur le témoignage devant les tribunaux pour les pratiques liées à l'ISO sont élaborées et publiées.
    4. Des directives supplémentaires sur les exigences en matière de gestion de l'information quant au stockage et à la conservation de l'ISO et des RSO sont élaborées et publiées. Celles-ci doivent préciser les cas où l'on considère que l'ISO et les RSO ont une valeur opérationnelle.
    5. Une stratégie de communication pour le chapitre 26.5 du MO est élaborée et mise en œuvre pour informer les employés de l'ensemble de la GRC des exigences relatives aux activités liées à l'ISO et des cas où la politique s'applique à leurs tâches. Cela peut comprendre la poursuite de l'élaboration et la réussite du cours d'introduction à l'ISO sur AGORA. De plus, le Comité national de surveillance de la formation obligatoire peut envisager de rendre le cours obligatoire pour les membres réguliers lorsqu'il sera disponible, puisque ceux-ci font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.
  3. Le sous-commissaire des SPS, en collaboration avec les sous-commissaires de la PF et des SPCA, doit envisager la possibilité d'élaborer une solution à l'échelle de l'organisation pour combler la lacune actuelle dans l'infrastructure de TI de niveau 2. Entre-temps, il faut élaborer des directives sur les exigences techniques ou les mesures d'atténuation (p. ex. réseau privé virtuel) relatives à l'infrastructure de niveau 2 et les diffuser aux utilisateurs d'ISO de niveau 2.

Annexe A – Objectifs et critères de la vérification

Objectif : Déterminer si les activités liées à l'ISO qui sont menées sur Internet à l'échelle de l'organisation étaient conformes à la politique.

Critère 1 : Le cadre de gouvernance définit clairement les rôles et les responsabilités et une surveillance est en place pour les activités liées à l'ISO menées à l'appui des enquêtes criminelles et de la collecte de renseignements criminels.

Critère 2 : Une politique sur l'utilisation de l'ISO et les activités liées à l'ISO est en place, adéquate, à jour, bien communiquée et respectée.

Critère 3 : Les employés reçoivent la formation et les outils requis pour les aider dans l'exercice de leurs responsabilités relatives aux activités liées à l'ISO.

Annexe B – Chapitre 26.5 du MO – tableau de bord des activités en ligne

Annexe B – Chapitre 26.5 du MO – tableau de bord des activités en ligne

Annexe B – Chapitre 26.5 du MO – tableau de bord des activités en ligne

Annexe B – Chapitre 26.5 du MO – tableau de bord des activités en ligne - Version texte

L'image est une représentation visuelle du Tableau de bord des activités en ligne de la GRC en 2019 (ci‑après appelé « tableau de bord ») du chapitre 26.5 – Utilisation d'Internet pour l'acquisition de renseignements de sources ouvertes (RSO) et la conduite d'enquêtes criminelles du Manuel des opérations (MO). Cette version du tableau de bord a été mise à jour le 8 août 2019.

Le tableau de bord comporte quatre colonnes et dix rangées. Les quatre colonnes sont les critères, Niveau 1, Niveau 2 et Niveau 3. Les dix critères figurant dans les rangées sont : Employés, But, Politique et formation, Internet et soutien TI, Appareils mobiles, Applications mobiles, Formulaires obligatoires, Entrée en contact sur Internet, Contenu simulé et Exigences en matière de GI. Sous le tableau, huit notes en bas de page contiennent des explications sur le tableau de bord.

Les spécialistes de niveau 1 sont tous les employés qui utilisent des sources ouvertes à des fins de consultation, de communication, de domaine public et de formation sur place. Les spécialistes de niveau 1 doivent respecter les consignes au chapitre 26.5 du MO. Comme les spécialistes de niveau 1 n'utilisent pas les sources ouvertes pour mener des recherches à des fins de production de renseignements criminels, d'enquête ou de surveillance, ils n'ont pas à suivre une formation officielle. Il est tout de même indiqué dans le Tableau de bord que la formation sur l'accès à Internet de la GI-TI et les communications avec les médias peut être utile pour eux. Les spécialistes de niveau 1 peuvent utiliser Internet ouvertement. La note en bas de page numéro 4 porte sur le suivi des procédures d'acquisition normales de la GRC pour le matériel et les logiciels des spécialistes de niveau 1 et le fait qu'une image organisationnelle pour Internet est disponible auprès du Programme de GI-TI du Secteur du DPI. Les spécialistes de niveau 1 doivent obtenir du soutien à la TI auprès du Programme de GI-TI du Secteur du DPI ou de Services partagés Canada. Les spécialistes de niveau 1 peuvent utiliser les appareils mobiles ouvertement. Les spécialistes de niveau 1 peuvent utiliser les applications mobiles pour les communications de la GRC et le domaine public. Il n'y a aucun formulaire obligatoire pour les spécialistes de niveau 1. L'entrée en contact sur Internet par les spécialistes de niveau 1 est limitée aux communications de la GRC et au domaine public officiel. Le contenu simulé n'est pas permis pour les spécialistes de niveau 1. Les exigences en matière de GI des spécialistes de niveau 1 sont conformes aux pratiques normales en matière de GI du Programme de GI-TI.

Les spécialistes de niveau 2 sont autorisés à utiliser les sources ouvertes à des fins de recherche, de production de renseignements criminels, d'enquête et de surveillance à l'appui d'un mandat établi ou d'une activité de programme. En plus de respecter les consignes au chap. 26.5 du MO, les spécialistes de niveau 2 doivent suivre une formation sur les renseignements de source ouverte (RSO). Selon la note en bas de page numéro 1, ils peuvent communiquer avec l'Équipe de recherche tactique sur Internet en soutien aux opérations (RTISO) pour obtenir une liste des cours recommandés. Les spécialistes de niveau 2 peuvent utiliser Internet de manière discrète. La note en bas de page numéro 5 porte sur le suivi des procédures d'acquisition normales de la GRC pour le matériel et les logiciels des spécialistes de niveau 2 et indique qu'une image discrète pour Internet pour les activités liées aux RSO de niveau 2 est disponible auprès du Programme de GI-TI du Secteur du DPI. Les spécialistes de niveau 2 doivent obtenir du soutien à la TI auprès de leur groupe et du Programme de GI-TI du Secteur du DPI ou de Services partagés Canada. Les spécialistes de niveau 2 peuvent utiliser des appareils mobiles de manière discrète. Selon la note en bas de page numéro 7, les appareils mobiles (module d'identité d'abonné) ne doivent être utilisés qu'à des fins de validation ou d'authentification des profils virtuels discrets. Les spécialistes de niveau 2 ne sont pas autorisés à utiliser des applications mobiles et la note en bas de page numéro 8 précise que les spécialistes de niveau 2 peuvent obtenir du soutien auprès des ressources de RSO de niveau 3 pour toute recherche dans les applications mobiles. Les spécialistes de niveau 2 doivent remplir les formulaires 6448 et 6449. Les spécialistes de niveau 2 ne sont pas autorisés à procéder aux entrées en contact sur Internet. Le contenu simulé est permis pour les spécialistes de niveau 2. Les exigences en matière de GI des spécialistes de niveau 2 sont conformes avec les pratiques normales en matière de GI du Programme de GI-TI.

Les spécialistes de niveau 3 font partie d'un groupe spécialisé qui utilise les sources ouvertes à des fins de recherche, de production de renseignements criminels, d'enquête et de soutien en RSO secret à l'appui d'un mandat établi ou d'une activité de programme. Les spécialistes de niveau 3 doivent respecter les consignes aux chap. 26.5 et 30 (Opérations d'infiltration) du MO. En plus des exigences en matière de formation du niveau 2, les spécialistes de niveau 3 doivent suivre le Cours sur l'utilisation tactique d'Internet (UTI) ou le Cours sur l'utilisation tactique d'Internet aux fins de renseignement et d'enquêtes (UTIRE). La note en bas de page numéro 2 donne aussi le code de cours 000335. Dans la note en bas de page numéro 3 se trouvent d'autres recommandations de formation facultative, soit la formation Enquêtes secrètes en ligne (ESL), l'Atelier de sensibilisation à la cybersécurité (ASC) pour le soutien en RSO secret et le Cours sur les activités secrètes en ligne à l'intention des employés (CASLIE). Les spécialistes de niveau 3 ont besoin d'un accès Internet secret. La note en bas de page numéro 6 indique que les spécialistes de niveau 3 peuvent communiquer avec les services de couverture de leur division pour connaître les exigences liées aux processus d'acquisition de matériel et de logiciels de nature délicate. Les spécialistes de niveau 3 doivent obtenir le soutien en TI nécessaire auprès de leur groupe ou des services de couverture de leur division. Les spécialistes de niveau 3 sont autorisés à utiliser des appareils mobiles de façon secrète. Les spécialistes de niveau 3 sont autorisés à utiliser des applications mobiles. Les spécialistes de niveau 3 doivent remplir les formulaires 6448 et 6449. Les spécialistes de niveau 3 ne sont pas autorisés à procéder à une entrée en contact sur Internet. Le contenu simulé est permis pour les spécialistes de niveau 3. Les exigences en matière de GI des spécialistes de niveau 3 sont conformes aux pratiques normales en matière de GI du Programme de GI‑TI.

Annexe C – Plan d'action de la direction

Annexe C – Plan d'action de la direction
Recommandations Plan d'action de la direction (PAD)

1 - Les sous-commissaires de la Police fédérale (PF), des Services de police spécialisés (SPS) et des Services de police contractuels et autochtones (SPCA) doivent collaborer pour déterminer la meilleure façon d'exercer la fonction de surveillance relativement aux activités liées à l'information de sources ouvertes (ISO) en tenant compte du fait que l'ISO est utilisée par de multiples secteurs d'activités à l'échelle de la Gendarmerie royale du Canada (GRC).

En accord.

Les processus d'élaboration de politiques concernant l'utilisation de l'ISO par la GRC et la surveillance nécessaire en ce qui a trait au respect de ces politiques touchent tous les secteurs d'activité de la GRC. Il s'agit d'un exemple de question organisationnelle complexe et aux multiples facettes pour laquelle on aurait besoin d'une coordination centrale à l'appui de (i) l'élaboration et la tenue à jour des politiques nécessaires pour les manuels de la GRC en ce qui a trait aux trois niveaux de l'ISO (non déguisée, discrète, secrète); ainsi que de (ii) la surveillance et la supervision des activités liées à l'ISO sur le terrain.

En ce qui concerne (i) l'élaboration de politiques, les sous-commissaires conviennent que la façon dont l'État-major supérieur (EMS) s'y prend pour exécuter le PAD de la phase II de la vérification de la gestion des politiques permettra de déterminer la meilleure manière de remplir cette fonction particulière.

Les recommandations de la phase II de la vérification de la gestion des politiques qui portent sur le besoin de mettre en œuvre des processus de gestion du cycle de vie et d'élaboration de politiques à utiliser à l'échelle de la GRC, ainsi que le besoin de créer un centre d'expertise pour les manuels administratifs et opérationnels de la GRC, sont directement liées aux lacunes cernées concernant la gestion des politiques dans la vérification de l'ISO. Voici un résumé des deux options indiquées dans le PAD de la phase II de la vérification de la gestion des politiques qui seront présentées à l'EMS aux fins d'examen et de décision, et comprenant une source de financement :

Option 1 : Établir un nouveau centre des politiques au sein d'un programme interne à l'échelle nationale qui assurera la surveillance, l'orientation, la publication et l'examen des politiques, notamment les normes et les procédures communes; et qui sera chargé des contrôles de la qualité ainsi que de l'orientation et de la conformité en matière d'élaboration de politiques et de gestion du cycle de vie pour toutes les politiques opérationnelles et administratives de la GRC. La Section des politiques et des publications (SPP), chargée de la rédaction et de la publication, relèverait du centre. Le centre serait financé à même les ressources existantes du secteur d'activité de la Direction générale et des collectivités d'utilisateurs divisionnaires.

Option 2 : Élargir la portée de la SPP et de son mandat consistant à rédiger et à publier, dans le cadre du programme de GI-TI, pour qu'elle devienne un nouveau centre des politiques qui assurera la surveillance, l'orientation, la publication et l'examen des politiques, notamment les normes et les procédures communes; et qui sera chargé des contrôles de la qualité ainsi que de l'orientation et de la conformité en matière d'élaboration de politiques et de gestion du cycle de vie pour toutes les politiques opérationnelles et administratives de la GRC. Le centre serait financé à même les ressources existantes des collectivités d'utilisateurs divisionnaires et du secteur d'activité de la Direction générale.

En ce qui concerne (ii) la surveillance des activités liées à l'ISO ainsi que le respect des politiques, les sous-commissaires conviennent que d'autres options doivent être élaborées par un groupe de travail axé sur les opérations, qui pourra désigner une autorité de surveillance quant à l'utilisation de sources ouvertes au sein de l'organisation et aux pratiques connexes. Un groupe de travail sera établi afin de réunir les intervenants pertinents des secteurs d'activité de la GRC pour qu'ils puissent étudier un éventail de mécanismes de conformité. Le groupe de travail élaborera conjointement des options relativement à une autorité de surveillance. Ces options seront approuvées par le nouveau Comité des opérations de la GRC et, ensuite, présentées aux sous-commissaires responsables aux fins d'examen et d'approbation. Le groupe de travail devra, entre autres, veiller à ce que les activités liées aux sources ouvertes soient effectuées au sein de chaque secteur d'activité, qu'elles soient clairement définies afin d'en assurer le suivi, et qu'elles soient prises en compte dans les politiques opérationnelles (comme les cadres de gouvernance et les procédures opérationnelles réglementaires).

Jalons et date d'achèvement : Confirmation de l'établissement d'un centre des politiques qui fournira une expertise centralisée concernant les processus de gestion du cycle de vie et d'élaboration de politiques : 31 décembre 2020 (selon le résultat du PAD de la phase II de la vérification de la gestion des politiques).

Établissement d'un groupe de travail sur la surveillance pour les activités liées à l'ISO, qui élaborera des options relativement à une autorité de surveillance centralisée aux fins d'examen par le Comité des opérations, puis aux fins de décision par les sous-commissaires (date d'achèvement : 31 mars 2021).

Postes responsables : Les sous-commissaires de la PF, des SPCA et des SPS.

2 - À la suite de la décision relative à la recommandation no 1, les responsables opérationnels doivent s'assurer que :

a) Des mécanismes nationaux de surveillance sont en place pour améliorer l'observation des activités liées à l'ISO menées à l'appui des enquêtes et de la collecte de renseignement.

b) La politique nationale est mise à jour en fonction de la responsabilisation convenue.

c) Des directives supplémentaires portant sur la saisie appropriée de l'ISO, les pratiques exemplaires et les outils recommandés, les résumés de jurisprudence pertinents et des conseils sur le témoignage devant les tribunaux pour les pratiques liées à l'ISO sont élaborées et publiées.

d) Des directives supplémentaires sur les exigences en matière de gestion de l'information quant au stockage et à la conservation de l'ISO et des RSO sont élaborées et publiées. Celles ci doivent préciser les cas où l'on considère que l'ISO et les RSO ont une valeur opérationnelle.

e) Une stratégie de communication pour le chapitre 26.5 du Manuel des opérations (MO) est élaborée et mise en œuvre pour informer les employés de l'ensemble de la GRC des exigences relatives aux activités liées à l'ISO et des cas où la politique s'applique à leurs tâches. Cela peut comprendre la poursuite de l'élaboration et la réussite du cours d'introduction à l'ISO sur AGORA. De plus, le Comité national de surveillance de la formation obligatoire peut envisager de rendre le cours obligatoire pour les membres réguliers lorsqu'il sera disponible, puisque ceux-ci font partie de la principale catégorie d'employés qui mènent des activités liées à l'ISO de niveau 2 sans le savoir.

En accord.

  1. Lorsqu'une autorité centralisée aura été désignée pour assurer la surveillance des activités liées à l'ISO, celle-ci devra élaborer des mécanismes de surveillance, qui devront être approuvés par le Comité des opérations.
  2. Un groupe de travail sur les politiques relatives à l'ISO réunira les intervenants pertinents (experts en la matière) des secteurs d'activité de la GRC afin qu'ils élaborent conjointement le contenu des politiques pour les trois niveaux d'utilisation de sources ouvertes : non déguisée, discrète, secrète. Une fois le contenu des politiques élaboré, le groupe de travail se réunira annuellement pour passer en revue l'ensemble de politiques, qui sera présenté au Comité d'orientation de la GRC aux fins d'approbation.
  3. Le groupe de travail sur les politiques relatives à l'ISO sera chargé d'élaborer des lignes directrices supplémentaires concernant la manière appropriée de recueillir de l'ISO selon les exigences liées aux trois niveaux (non déguisée, discrète, secrète), les outils recommandés et les pratiques exemplaires, les résumés de jurisprudence pertinents et les conseils présentés dans le cadre de témoignages devant les tribunaux concernant les pratiques liées aux sources ouvertes, en collaboration avec le centre des politiques. Le groupe de travail comptera sur la SPP, qui relève du dirigeant principal de l'Information, pour publier les lignes directrices supplémentaires.
  4. Le groupe de travail sur les politiques relatives à l'ISO sera chargé d'élaborer des exigences en matière de gestion de l'information pour la conservation et le stockage de l'ISO et du renseignement de sources ouvertes (RSO), en collaboration avec le centre des politiques.
  5. Le groupe de travail sur les politiques relatives à l'ISO sera chargé de la révision du chapitre 26.5 du MO afin qu'il reflète l'ensemble de politiques relatives à l'ISO et le fait que tous les secteurs d'activité en sont responsables. Les politiques relatives au niveau 2 seront traitées en priorité, puisqu'elles représentent le plus grand risque organisationnel.

    Dans le cadre de ses travaux de révision du chapitre 26.5 du MO, le groupe de travail collaborera avec la Sous-direction de la gestion de l'information pour élaborer des lignes directrices supplémentaires, au besoin, concernant les exigences en matière de gestion de l'information pour la conservation et le stockage de l'ISO et du RSO, conformément à la nouvelle Politique sur les services et le numérique du Conseil du Trésor, qui est entrée en vigueur le 1er avril 2020. Les lignes directrices devront clairement préciser dans quel contexte l'ISO et le RSO doivent être considérés comme étant un document à valeur opérationnelle. Le groupe de travail collaborera également avec la Sous-direction de l'accès à l'information de la GRC.

    Le chapitre 26.5 actuel du MO cible un seul secteur d'activité et devra être complètement revu afin de refléter les commentaires des intervenants concernant les trois niveaux de l'ISO : non déguisée, discrète, secrète. À l'avenir, pour tenir compte du fait que tous les secteurs d'activité sont responsables de l'ensemble de politiques, des communications et de la formation dans l'ensemble de la GRC concernant les changements devront faire l'objet d'une coordination centralisée.

    Le centre des politiques devra collaborer avec l'équipe chargée des communications nationales concernant l'élaboration d'une stratégie de communication dès que l'ensemble de politiques relatives à l'ISO revu sera prêt, et communiquera les mises à jour en ce qui a trait à l'un des trois niveaux.

    En ce qui concerne la formation, le groupe de travail sur les politiques relatives à l'ISO collaborera avec l'équipe chargée de l'apprentissage et du perfectionnement afin de déterminer la manière de procéder pour chacun des niveaux d'utilisation de l'ISO (c.-à-d. non déguisée, discrète, secrète), par exemple si la formation peut être offerte sur AGORA ou si de la formation plus spécialisée est nécessaire.

Jalons et date d'achèvement

  1. Le groupe de travail sur les politiques relatives à l'ISO mettra au point le plan d'action présenté ci-dessus en vue d'atteindre les objectifs susmentionnés et de respecter les échéanciers pour l'élaboration de certaines politiques relatives à l'utilisation de l'ISO non déguisée, discrète et secrète, ainsi que de lignes directrices supplémentaires. Le plan d'action, y compris les jalons pour chacun des éléments, sera présenté au Comité des politiques relatives au niveau II aux fins d'approbation (date d'achèvement : le 31 mars 2021).

Postes responsables : Pour le groupe de travail, une présidence par rotation sera établie annuellement entre la PF, les SPS et les SPCA.

La PF dirigera le comité pour l'exercice 2020-2021.
3 - Le sous-commissaire des SPS, en collaboration avec les sous-commissaires de la PF et des SPCA, doit envisager la possibilité d'élaborer une solution à l'échelle de l'organisation pour combler la lacune actuelle dans l'infrastructure de TI de niveau 2. Entre-temps, il faut élaborer des directives sur les exigences techniques ou les mesures d'atténuation (p. ex. réseau privé virtuel) relatives à l'infrastructure de niveau 2 et les diffuser aux utilisateurs d'ISO de niveau 2.

En accord.

  1. Le programme de GI-TI continuera d'appuyer l'équipe chargée du soutien opérationnel tactique relatif à Internet (SOTI) dans le cadre de la mise à l'essai de solutions infonuagiques relativement à l'accès restreint, en réponse aux lacunes cernées quant à l'infrastructure de niveau 2.
  2. Une fois les activités de mise à l'essai achevées, le programme de GI-TI et le groupe de travail sur l'ISO évalueront la possibilité que les solutions techniques mises à l'essai soient déployées à l'appui des activités de niveau 2 à l'échelle de l'organisation. Le cas échéant, un déploiement serait réalisé à la suite de l'établissement de la gouvernance et de l'ordre de priorité des investissements numériques.
  3. Entre-temps, le groupe de travail sur l'ISO, en collaboration avec le programme de GI-TI, élaborera et établira des directives pour soutenir les utilisateurs de l'ISO de niveau 2 (discrète).
  4. Le programme de GI-TI examinera, en collaboration avec le réseau national d'experts en la matière du niveau 2 (discrète), la possibilité de mettre en place un système de stockage des données de l'organisation. Le système en question devrait permettre de consigner et de classer les données. Des pratiques exemplaires peuvent être tirées du projet de Saint-Roch.

Jalons et date d'achèvement
Le programme de GI-TI doit achever l'analyse des options et recommander une solution standard viable (date d'achèvement : le 30 novembre 2020).

Postes responsables : Le dirigeant principal de l'Information et les membres du groupe de travail sur l'ISO.
Haut de la page
Date de modification :