Une agence d'espionnage affirme avoir partagé de manière «inappropriée» les données des Canadiens avec des partenaires internationaux

L'une des agences de renseignement canadiennes affirme avoir partagé de manière « inappropriée » avec des partenaires internationaux des informations sur des Canadiens qu'elle avait obtenues « fortuitement ».

Le Centre de la sécurité des télécommunications (CST) a partagé quelques détails sur l'incident après que le commissaire au renseignement - le poste quasi judiciaire qui examine les activités de l'agence d'espionnage informatique - a signalé l'affaire dans son rapport annuel déposé au Parlement plus tôt cette semaine.

La porte-parole du CST, Janny Bender Asselin, a déclaré à CBC News que l'année dernière, l'agence avait dû informer le ministre de la Défense « d'un incident où le CST avait partagé des informations de manière inappropriée ».

« Le CST a identifié une activité où, entre 2020 et 2023, nous avons partagé certaines informations avec des partenaires internationaux sans supprimer correctement les informations canadiennes qui avaient été acquises fortuitement lors du ciblage de cibles de renseignement étrangères valides », a-t-elle déclaré.

« Le CSE a agi rapidement pour contenir le problème. »

Le CST est considéré comme l’un des joyaux du renseignement du Canada. Il est chargé d’intercepter et d’analyser les communications électroniques étrangères, de lancer des cyberopérations et de défendre les réseaux et les infrastructures essentielles du gouvernement contre les attaques.

Asselin a déclaré que cela incluait la recherche d'assurances auprès des partenaires de confiance du CSE que les informations partagées avaient été supprimées.

« Nous continuons de mettre à jour nos politiques et procédures pour éviter que cela ne se reproduise », a-t-elle déclaré.

Le CST n'a pas précisé combien de Canadiens ont été touchés ni à quels pays l'information a été partagée, invoquant des raisons de sécurité opérationnelle.

Les détails ont été partagés avec le commissaire au renseignement Simon Noël, qui en a parlé dans son rapport récemment publié.

Le commissaire fait partie de la chaîne d’approbation avant que le CST et son organisme sœur, le Service canadien du renseignement de sécurité (SCRS), puissent procéder à certaines activités de collecte de renseignements et de cybersécurité.

Le CST doit d’abord obtenir l’autorisation du ministre de la Défense — appelée autorisation ministérielle — si l’action proposée enfreint la loi ou porte potentiellement atteinte à la vie privée des Canadiens.

En vertu de la loi, les autorisations ministérielles doivent prouver que les activités sont raisonnables et nécessaires et que des mesures sont en place pour protéger la vie privée des Canadiens.

Le commissaire au renseignement assure ensuite un niveau de surveillance et approuve la mission, l'approuve sous conditions ou refuse purement et simplement la demande.

Noël s’assure également que le CSE reste conforme après avoir reçu le feu vert et s’en tient à ce qui a été approuvé — ce qui n’était pas le cas dans cette affaire de partage d’informations.

Le rapport du commissaire ne contient pas beaucoup de détails, invoquant la sécurité nationale.

Le CSE indique que les données ont été partagées entre 2020 et 2023

Le dossier sera inclus dans le rapport annuel du CSE, attendu plus tard ce mois-ci, a indiqué M. Asselin.

Le rapport de Noël indique qu'il a exhorté l'agence de renseignement à être aussi transparente que possible sur l'incident.

Il ne semble pas que les personnes impliquées aient été alertées, bien que le CST ait déclaré avoir signalé l'incident à ses organismes de surveillance et d'examen, notamment au Commissariat à la protection de la vie privée.

« La divulgation de cet incident impliquant le CST soulève de nombreuses inquiétudes sérieuses », a déclaré Matt Malone, directeur de la Clinique d'intérêt public et de politique d'Internet du Canada.

Le professeur de l'Université d'Ottawa a déclaré que ces conclusions justifiaient bon nombre des craintes exprimées par les groupes de la société civile quant à la possibilité que le projet de loi sur la cybersécurité du gouvernement libéral contienne des informations inappropriées. La première mouture du projet de loi est tombée au Feuilleton lors de la prorogation de la Chambre plus tôt cette année, et il a été présenté de nouveau par le gouvernement du premier ministre Mark Carney sous le nom de projet de loi C-8.

Si cette loi est adoptée, les industries réglementées par le gouvernement fédéral devront signaler les incidents de cybersécurité au CST, ce qui signifie qu'il sera en possession de plus d'informations.

« Tout cela est de très mauvais augure pour l’état de la protection de la vie privée au Canada », a déclaré M. Malone.

« Trois des huit projets de loi gouvernementaux présentés jusqu’à présent au Parlement sont extrêmement néfastes pour la vie privée. »

En 2024, le commissaire à l'information a reçu 13 autorisations ministérielles d'examen : sept concernant les activités du CST et six concernant celles du SCRS. Il a approuvé les activités de 11 autorisations, a approuvé les activités avec conditions dans une autorisation et a approuvé partiellement les activités dans l'autre.