Autorisation de cybersécurité

(article 14 de la Loi sur le CR)

Qu'est-ce qui est autorisé?

Une autorisation de cybersécurité permet au CST d'accéder à l'infrastructure des technologies de l'information (TI) des entités fédérales, ainsi que d'entités non fédérales qui ont été désignées comme étant importantes pour le gouvernement du Canada. Elle autorise également le CST à acquérir des renseignements stockés sur cette infrastructure ou transitant par celle-ci d'une manière susceptible d'enfreindre les lois canadiennes et de porter atteinte aux attentes raisonnables de protection de la vie privée des Canadiens ou des personnes au Canada.

Pourquoi est-ce nécessaire?

Le CST fournit des avis, des conseils et des services pour aider à protéger les systèmes de TI du gouvernement du Canada contre les pirates informatiques et d'autres cybermenaces. Le mandat du CST inclut la prestation de ces mêmes services aux entités non fédérales qui ont été désignées par le ministre de la Défense nationale comme étant importantes pour le gouvernement du Canada – les secteurs de la santé, de l'énergie et des télécommunications, par exemple.

Pour comprendre où et comment ces systèmes de TI importants peuvent être vulnérables, le CST doit accéder à l'infrastructure et y recueillir des renseignements. Bien que l'objectif soit de protéger les systèmes de TI contre les cybermenaces, ces activités peuvent néanmoins être contraires aux lois canadiennes. Les activités du CST – en particulier l'acquisition d'information – peuvent risquer de porter atteinte aux attentes raisonnables de protection en matière de vie privée d'un Canadien ou d'une personne se trouvant au Canada. La Loi sur le CST exige que le CST obtienne une autorisation de cybersécurité du ministre avant de mener des activités potentiellement illégales.

Pourquoi le rôle du CR est-il important?

Le CR veille à ce que les activités de cybersécurité du CST n'aient pas d'effet disproportionné sur les droits et les intérêts de la vie privée des Canadiens et des personnes au Canada ou sur le respect de la primauté du droit. L'examen du CR permet également de s'assurer que le CST a mis en place des mesures appropriées et adéquates pour limiter l'impact sur la vie privée des Canadiens.

Comment le CST obtient-il l'autorisation?

La chef du CST soumet une demande au ministre de la Défense nationale. La demande expose, entre autres, les raisons pour lesquelles l'autorisation de cybersécurité est nécessaire, ainsi que les activités ou catégories d'activités que le CST souhaite exercer. Elle précise également les lois fédérales que le CST pourrait enfreindre en menant les activités prévues par l'autorisation. Lorsque l'autorisation concerne l'accès à une infrastructure de TI non fédérale, la demande doit également inclure une déclaration écrite du propriétaire ou de l'opérateur de l'infrastructure demandant au CST d'effectuer les activités incluses dans l'autorisation.

Le ministre délivre l'autorisation lorsqu'il a des motifs raisonnables de croire qu'elle est nécessaire; que les activités proposées sont raisonnables et proportionnelles compte tenu de l'objectif et de la nature des activités; et que toutes les autres conditions légales sont remplies.