Chapitre 5 : Évaluation — Absence de législation régissant la capacité d’interception
Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement
Absence de législation régissant la capacité d’interception
184. Le Comité a également appris que l’absence d’une autorité centrale pour la coordination des initiatives d’interception légale, le triage des demandes et la normalisation des approches pour tous les organismes de sécurité nationale et d’application de la loi a été source de confusion et de frustration pour toutes les parties. Le Comité constate que le SCRS et la GRC ont réalisé des progrès quant à la création d’un Centre national pour l’accès légal, mais se demande pourquoi ce fut aussi long et pourquoi les efforts pour trouver une solution à ce défi d’accès légal semblent en si grande partie s’opérer de bas en haut.
185. Tous les représentants des FSC ont fait part de leurs préoccupations au Comité concernant le manque de législation, notamment en ce qui concerne l’absence d’un cadre d’indemnisation clair pour les services judiciairement autorisés qui sont offerts par les FSC. Le Comité constate également que, sans l’élaboration d’une politique officielle dirigée par Sécurité publique Canada ou discussions connexes menées par les ministres au Cabinet, la GRC et le SCRS ont mis en place des principes informels, qui ont orienté leurs politiques, leurs procédures et leurs pratiques. À ce jour, ces principes étaient tous adaptés de façon à assurer une collaboration continue de la part des FSC, notamment la question entourant un cadre d’indemnisation du gouvernement, s’il en est, pour les services rendus par les FSC. La question consistant à déterminer si les coûts liés au respect de la loi devraient être pris en charge par les FSC ou par le gouvernement doit faire l’objet de discussions au Cabinet, et éventuellement de débats au Parlement.
C9
L’absence de législation imposant aux fournisseurs de services de communication (FSC) de maintenir une capacité d’interception légale entraîne des risques inutiles pour tous les intervenants, y compris le SCRS, les organismes d’application de la loi fédéraux, provinciaux, territoriaux et municipaux, les FSC et, au bout du compte, la population canadienne. Elle fait également obstacle à la capacité du Canada de collaborer avec ses partenaires internationaux. Le fait de ne pas régler cette question sur le plan stratégique a poussé les organisations opérationnelles à élaborer elles-mêmes des politiques et des procédures fondamentales, notamment un modèle d’indemnisation, visant à assurer une coopération continue de la part des FSC, à défaut d’une approche fondée sur des principes et orientée par les commentaires des ministres et du Parlement.
C10
Les risques associés à l’absence d’une législation obligeant les fournisseurs de services de communication à maintenir une capacité d’interception sont accentués par l’absence d’une autorité nationale centralisée qui coordonne, élabore et maintient les capacités d’interception légale au Canada.
R6
Le gouvernement dépose une loi obligeant les fournisseurs de services de communication (FSC) à maintenir une capacité d’interception. La législation doit être neutre sur le plan du chiffrement et ne doit pas comporter d’exigence de déchiffrement. Le gouvernement doit également établir un modèle d’indemnisation pour les coûts liés au respect de la loi, c’est-àdire qu’il doit déterminer si les FSC doivent être indemnisés pour les coûts d’élaboration, de maintenance et de fonctionnement liés à l’accès légal.
La législation doit :
- mettre en place et désigner l’autorité nationale (c’est-à-dire le Centre national pour l’accès légal) pour la coordination des initiatives d’interception légale;
- définir le terme « fournisseur de services de communication » pour s’assurer d’inclure tout fournisseur de services qui mène des activités au Canada et qui offre des services ou des capacités de communication électronique;
- définir la capacité d’interception de façon à inclure un soutien à l’exploitation de réseau informatique;
- établir des normes techniques obligatoires, notamment en ce qui a trait à la cybersécurité.