La collecte des renseignements numérique par le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Section 1 – Aperçu de l'évaluation des facteurs relatifs à la vie privée (EFVP)

  1. Nom du programme ou de l'activité:
    La collecte des renseignements numérique par le Centre canadien de réponse aux incidents cybernétiques (CCRIC) 

  2. Institution responsable pour livrer le programme ou l'activité :
    Sécurité publique Canada

  3. Fonctionnaire responsable de l'évaluation des facteurs liés à la vie privée:
    Directeur, CCRIC

    Chef de l'institution/Délégué pour l'article 10 de la Loi sue la protection des renseignements personnels:

    Sous-ministre adjointe principale, Direction générale de la sécurité nationale

  4. Description du programme ou de l'activité (de l'architecture des activités de programme)

    Sécurité nationale
    Le programme de sécurité nationale de Sécurité publique Canada a pour but de s'assurer que le Canada est prêt à faire face à une multitude de menaces envers la sécurité nationale et à intervenir dans de telles situations. Les menaces auxquelles font face les Canadiens deviennent de plus en plus complexes et ceci souligne l'importance de ce programme pour la sécurité des Canadiens. Le programme de sécurité nationale permet de procéder à la coordination des efforts du Portefeuille de la Sécurité publique et des ministères et organismes gouvernementaux en ce qui a trait aux questions inhérentes à la sécurité nationale. Pour ce faire, les responsables du programme coopèrent avec des partenaires en matière d'opérations et de politiques pour fournir au gouvernement du Canada des conseils stratégiques à l'égard des questions souvent sensibles qui évoluent très rapidement. Ces conseils constituent un complément aux conseils formulés par les organismes du Portefeuille dont l'expertise opérationnelle touche des domaines tels que la collecte et l'analyse du renseignement, les enquêtes et le contrôle frontalier. En plus de permettre au ministre et au sous-ministre de s'acquitter de leurs principales obligations statutaires, le programme permet de coordonner, d'analyser et d'élaborer des politiques pour des questions complexes telles que l'ajout et le retrait des listes d'entités terroristes, la violence issue de la radicalisation et la prolifération des armes de destruction massive, et de cerner et combler les lacunes inhérentes à la capacité du Canada à gérer les menaces à l'égard de la sécurité nationale. Étant donné leur complexité, leur importance et leurs répercussions potentielles sur les droits individuels, les mesures législatives, les programmes et les politiques doivent être bien fondés, bien administrés et bien exécutés. Le présent programme joue un rôle central en ce qui concerne le soutien offert aux décideurs dans l'atteinte de cet objectif au nom des Canadiens.

    Cybersécurité
    Le sous-programme soutient la prospérité économique, la sécurité nationale et la qualité de vie en assurant la protection du gouvernement, du secteur privé et des Canadiens contre les cybermenaces. Il fournit un leadership et une coordination des mesures nationales de cybersécurité pour l'ensemble du gouvernement et s'efforce d'améliorer la position du Canada en matière de cybersécurité. Les éléments du sous-programme concernent l'atteinte de la cyberintégrité du gouvernement afin de protéger les renseignements canadiens, l'établissement de partenariats avec les provinces, les territoires et le secteur privé et l'aide aux Canadiens afin d'assurer leur sécurité en ligne. Le sous- programme vise à renforcer la capacité du gouvernement à repérer les cybermenaces, à dissuader les agressions et à se protéger contre elles, à établir la crédibilité du gouvernement comme partenaire de confiance en matière de cybersécurité à l'échelle nationale et internationale, et à promouvoir la sensibilisation auprès des autres ordres de gouvernement, du secteur privé, du milieu universitaire et des Canadiens.

    Le Ministère exerce un leadership et fournit une coordination afin de s'assurer de mettre en place les politiques et les cadres législatifs et réglementaires nécessaires en matière de cybersécurité. Par l'entremise du Centre canadien de réponse aux incidents cybernétiques, le Ministère coordonne l'intervention fédérale en cas de cyberincident et diffuse des avis et des rapports aux gouvernements provinciaux et aux secteurs des infrastructures essentielles. Le Ministère participe avec les intervenants nationaux et internationaux pour échanger de l'information ainsi que pour atténuer et se défendre contre les cybermenaces. Afin de favoriser la sensibilisation du public, le Ministère entreprend des activités de participation et de promotion avec d'autres ordres du gouvernement, l'industrie, le milieu académique et les Canadiens de manière à établir des changements de comportements durables.

  5. Description de la classe des documents associée au programme ou à l'activité:
    * La classe des documents est en cours de révision et sera mis-à-jour dans l'InfoSource 2012

    Opérations de gestion des urgences

    Description : Renseignements sur les capacités et les programmes d'intervention opérationnelle en cas d'urgence du gouvernement du Canada, y compris des renseignements relatifs au Plan fédéral d'intervention d'urgence, au Système national d'intervention en cas d'urgence, au Centre d'opérations du gouvernement (COG) . Dans le cadre de ce programme, le COG offre une intervention d'urgence fédérale intégrée tous risques pour les événements d'intérêt national. Il fournit une surveillance et une production de rapports 24 heures sur 24 et 7 jours sur 7, en donnant une connaissance situationnelle à l'échelle nationale, en produisant des évaluations intégrées du risque et des produits d'alerte, en procédant à une planification à l'échelle nationale et en soutenant la gestion des interventions d'urgence à l'échelle de l'ensemble du gouvernement.

    Types de documents :
    Notes de services, notes d'information et dossiers préparatoires; notes pour la période de questions et notes des hauts fonctionnaires; avertissements, analyses et évaluations; avis; rapports de situation; comptes rendus de décisions, avis de sécurité, demandes d'aide; présentations; plans; analyses après action; rapports budgétaires, financiers et ministériels; ententes; procédures, modèles, manuels et protocoles; mappage et géomatique; courriels; enregistrements vocaux; listes de distribution; ordres du jour; procès-verbaux; lettres; contrats et demandes de proposition.

    Numéro du dossier : SP GMUSN 050

    Direction générale de la cybersécurité nationale

    Description : Renseignements permettant l'élaboration et la mise en oeuvre de la Stratégie de cybersécurité du Canada. Ils comprennent des politiques et des mesures visant à renforcer la sécurité des systèmes du gouvernement fédéral, à créer des partenariats avec les provinces, les territoires et les secteurs d'activités qui possèdent ou gèrent des systèmes essentiels, ainsi qu'à promouvoir la sensibilisation du public.

    Types de documents : Notes d'information, notes de service, ordres du jour, contrats et exposés.

    Numéro du dossier : SP GMUSN 066

  6. Fichier de renseignements personnels (FRP):
    Conformément au programme, activité ou service décrient dans le présent document, un fichier de renseignements personnels doit être:

    s/o Classe de renseignements personnels doit être inclus dans l'InfoSource

  7. L'activité ou le programme nouveau ou modifié est conforme aux lois suivantes:
    L'autorisation légale du CCRIC est fondée sur la Loi sur le ministère de la Sécurité publique et de la Protection civile (LMSPPC) et sur la Loi sur la gestion des urgences (LGU).

    Tout d'abord, la section 4 de la LMSPPC donne au ministre de la Sécurité publique un vaste mandat en ce qui concerne la sécurité publique, la protection civile et certains autres éléments. Cette loi autorise le ministre de charger des fonctionnaires et à des secteurs au sein du ministère de la Sécurité publique de l'aider. Selon cette autorisation, le Ministère a créé le CCRIC et le mandat de cet organisme.

    Ensuite, la LGU décrit les responsabilités du ministre de la Sécurité publique en ce qui a trait à la gestion des urgences au Canada. Celles-ci comprennent, entre autres, la surveillance des urgences potentielles ou réelles ainsi que la formulation de conseils connexes aux ministres, l'établissement de politiques et de programmes liés à la gestion des urgences, et la facilitation du partage d'information autorisé en vue d'améliorer ce type de gestion.
  8. Sommaire du projet, de l'initiative et du changement:
    Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue l'entité au gouvernement fédéral chargée de la coordination des interventions en cas d'incidents cybernétiques d'intérêt national et de la protection des infrastructures essentielles. Il s'agit de l'équipe d'intervention en cas d'urgence informatique du Canada. Ses trois principaux rôles consistent à (1) atténuer les vulnérabilités et risques cybernétiques, (2) effectuer des interventions cybernétiques efficaces et (3) collaborer avec ses partenaires. De ce fait, son mandat et ses rôles contribuent à l'objectif stratégique de Sécurité publique : bâtir un Canada sécuritaire et résilient.

    CCRIC recueille les renseignements personnels numériques de trois façons principales: (1) lorsque des partenaires lui transmettent des données compromises, (2) lorsqu'il reçoit des rapports sur des systèmes compromis et (3) lorsqu'il entreprend des recherches et des évaluations à propos d'incidents.

    1. Données compromises : celles-ci proviennent souvent d'ordinateurs sur lesquels se trouvent des logiciels conçus de façon à enregistrer chaque frappe sur le clavier et à transmettre celles-ci vers des entités malveillantes non autorisées. Ces données peuvent comprendre des renseignements personnels tels que des numéros d'assurance sociale (NAS), des dates de naissance, des noms d'utilisateurs de comptes, des mots de passe ainsi que des renseignements d'ordre financier ou médical. D'autres pays en obtiennent également dans le cadre de leurs initiatives et enquêtes portant sur la cybersécurité. Étant donné les relations de confiances qu'entretient actuellement le CCRIC avec ces pays, ceux-ci envoient l'information relative au contenu canadien qu'ils découvrent à l'équivalent de leur équipe d'intervention d'urgence établi au Canada (à savoir le CCRIC).

    2. Rapports : Le CCRIC reçoit des renseignements de façons hebdomadaire et mensuelle qui proviennent d'organismes du secteur privé, de partenaires internationaux et d'autres organismes gouvernementaux. Ils peuvent comprendre des données sur des adresses IP canadiennes potentiellement compromises. On repère celles-ci à l'aide de réseaux conçus pour surveiller les activités malveillantes, ou encore grâce aux activités d'enquêtes entreprises par un partenaire de confiance ou un autre organisme d'intervention en cas d'urgence informatique. Les partenaires du CCRIC peuvent également lui transmettre des rapports portant sur des activités malveillantes repérées sur leurs systèmes. En général, ils sont en format PDF ou Word et présentent (1) les adresses IP suspectes, (2) l'heure à laquelle l'activité est survenue et, selon les programmes de détection (antivirus) utilisés, (3) la nature de l'activité malveillante.

      • Le CCRIC a conclu des ententes de partage d'information avec deux organismes du secteur privé (mises en pièces jointes à la section VII) et compte continuer à développer cette initiative.

    3. Recherche et analyse : Le CCRIC effectue des recherches quotidiennes sur les cybermenaces visant les secteurs des infrastructures essentielles canadiennes ainsi que ses partenaires. Ce processus comprend un examen détaillé de sites Internet de sources ouvertes qui effectuent la surveillance des menaces informatiques. Compte tenu de sa position de plus en plus importante en tant que chef de file national en matière de cybersécurité, il intervient également dans le cas d'incidents cybernétiques dont il a pris connaissance par l'entremise d'un tiers. Au cours de ces incidents, il arrive que le personnel du CCRIC participe à l'analyse des logiciels ou du matériel associé aux activités malveillantes. De ce fait, il se peut que les membres du personnel soient exposés à des renseignements personnels ou commerciaux précis, s'ils font partie des éléments analysés. 

    Parmi les intervenants du CCRIC, qui proviennent des secteurs privé et public, on compte les gouvernements fédéral, provinciaux et territoriaux, les administrations municipales, les organismes des secteurs des infrastructures essentielles du Canada (santé, finances, alimentation, eau, sécurité, énergie et services publics, secteur manufacturier, transport et technologies de l'information et de la communication) ainsi que des établissements d'enseignement. De plus, le CCRIC échange des renseignements avec des alliés internationaux, des associations professionnelles, des fournisseurs, des organismes non gouvernementaux et des chercheurs. En effet, ceux-ci peuvent détenir des conseils en matière d'atténuation spécialisée, des pratiques exemplaires, des indicateurs de détection ou d'autre information à ce sujet.

Section 2 – Détermination et catégorisation des secteurs de risques aux fins de l'ÉFVP

La prochaine partie contient les risques identifiés dans l'évaluation des facteurs relatifs à la vie privée pour le nouveau programme ou celui modifié. Une échelle d'évaluation des risques, de «a» à «f», est incluse pour chaque zone de risques. L'échelle de risques numérique est présentée en ordre ascendant: le premier niveau représente le plus bas niveau de risque potentiel pour la zone de risque; le quatrième niveau représente le plus haut niveau de risque potentiel pour la zone de risque en question.

Veuillez consulter l'annexe C de la Directive sur l'évaluation des facteurs relatifs à la vie privée du SCT pour en savoir davantage sur l'échelle de risques.

  1. Type du programme ou de l'activité
    Programme ou activité qui ne nécessitent pas la prise d'une décision concernant un individu identifiable.
    Échelle de risque - 1

  2. Type des renseignements personnels en cause, et contexte
    Le numéro d'assurance sociale, les renseignements médicaux et financiers ou d'autres renseignements personnels de nature délicate, ou encore le contexte de ceux ci est de nature délicate. Renseignements personnels sur les mineurs, les personnes incapables ou un représentant agissant au nom de l'individu concerné.
    Échelle de risque - 3

  3. Partenaires du programme ou de l'activité, et participation du secteur privé
    Avec des gouvernements étrangers, des organisations internationales et/ou des organisations du secteur privé
    Échelle de risque - 4

  4. Durée du programme ou de l'activité
    Programme à longue terme
    Échelle de risque - 3

  5. Population du programme
    L'utilisation dans le cadre de ce programme de renseignements personnels à des fins administratives externes touche certaines personnes.
    Échelle de risque - 3

  6. Technologie et vie privée
    Est-ce que le programme ou l'activité nouveaux ou modifiés suppose la mise en œuvre d'un nouveau système électronique, d'un logiciel ou d'un programme d'application, y compris un logiciel de collaboration (ou collecticiel) mis en œuvre pour soutenir le programme ou l'activité en matière de création, de collecte ou de manipulation de renseignements personnels?

    Oui

    Est-ce que le programme ou l'activité nouveaux ou modifiés nécessite qu'on apporte des modifications aux systèmes de TI en place ou aux services en place?

    Oui

    Le programme ou l'activité nouveaux ou modifiés supposent la mise en œuvre d'une ou plusieurs des technologies suivantes :
    • Méthodes d'identification améliorées : Non
    • Utilisation de la surveillance : Non
    • Utilisation de l'analyse automatisée des renseignements personnels, de la mise en correspondance des renseignements personnels et des techniques de découverte de connaissances : Non
  7. Transmission des renseignements personnels
    Les renseignements personnels sont transmis à l'aide de technologies sans fil
    Échelle de risque - 4

  8. Répercussions possibles des risques pour l'institution
    Tort à la réputation, embarras, perte de crédibilité
    Échelle de risque - 4

  9. Répercussions des risques pour la personne ou l'employé visés
    Tort financier
    Échelle de risque - 3
Date de modification :