Examen bisannuel des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada en vue de protéger les renseignements personnels

conformément au paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes

Rapport final 2024

Date : Le 5 décembre 2024

Sommaire exécutif

Conformément au paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), le Commissaire à la protection de la vie privée doit procéder à un examen, tous les deux ans, des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) pour protéger les renseignements qu’il reçoit ou recueille.

Les examens bisannuels du Commissariat à la protection de la vie privée du Canada (CPVP) sont l’occasion, d’une part, d’évaluer les mesures de protection en place pour protéger les renseignements personnels détenus par le CANAFE et, d’autre part, de cibler des lacunes potentielles ainsi que les moyens requis pour les corriger, selon la nature et la sensibilité desdits renseignements.

Chaque examen met l’accent sur des aspects précis des systèmes du CANAFE et des mesures de protection qui visent à protéger les renseignements personnels. Il s’appuie sur les conclusions des examens précédents et évalue les progrès réalisés par le CANAFE dans la mise en œuvre des recommandations antérieures, tout en jetant les bases des prochains examens.

Le présent examen a permis de constater que le CANAFE a amélioré ses mesures de protection des renseignements personnels depuis le dernier examen bisannuel du CPVP en 2021. Le CANAFE a tenu compte d’un certain nombre de nos conclusions et recommandations précédentes, entre autres en 1) mettant en œuvre des mesures pour éviter la collecte non nécessaire de renseignements personnels, y compris les déclarations qui ne respectent pas le seuil de déclaration; 2) apportant des améliorations à ses processus de détection des menaces et d’intervention en cas d’incident, principalement en mettant en place une solution de gestion des informations et des événements de sécurité (GIES); et 3) améliorant son Plan de continuité des activités (PCA).

Nous avons néanmoins observé que le CANAFE a encore du travail à faire pour répondre à toutes nos préoccupations et améliorer ses mesures de contrôle et de protection relativement aux éléments mentionnés ci-dessus.

À titre préliminaire, nous demeurons préoccupés par le progrès réalisé par le CANAFE à l’égard de trois recommandations formulées par le CPVP à l’occasion de l’examen bisannuel de 2021, soit i) supprimer les déclarations de télévirements (DTV) et les déclarations d’opérations importantes en espèces (DOIE) inférieures au seuil de déclaration (une préoccupation déjà soulevée par le CPVP en 2009); ii) optimiser son utilisation de la solution de GIES, la pierre angulaire de ses contrôles de sécurité informatique, pour surveiller les journaux d’activités en vue de détecter les activités inappropriées et les menaces, externes et internes, et d’y répondre; et iii) améliorer son PCA afin de tenir compte de toutes les causes possibles de perturbations opérationnelles.

Le CANAFE a été touché par deux incidents pendant la période d’examen, un cyberincident et une communication non autorisée de renseignements par un employé du CANAFE, ce qui a incité le CANAFE à les signaler au CPVP. L’un de ces incidents – un cyberincident signalé au CPVP en mars 2024 – a mené le CANAFE à prendre d’importantes décisions organisationnelles qui étaient pertinentes dans le contexte de notre examen.

Plus précisément, nous demeurons préoccupés par le degré de priorité qu’accorde le CANAFE à la suppression des anciens rapports qui ne respectent pas le seuil de déclaration, une question déjà soulevée par le CPVP dans ses examens bisannuels de 2017 et de 2021. De plus, nous constatons que les processus automatisés qu’avait établis le CANAFE pour éliminer les rapports datant de plus de 10 ans sont désactivés actuellement et qu’aucune date de reprise n’a été fixée. Ces situations peuvent soulever des questions de conformité en vertu de la LRPCFAT, ce dont nous avons tenu compte dans la formulation de nos recommandations.

Bien que nous n’ayons pas évalué les activités de rétablissement prises par le CANAFE à la suite des incidents dans le cadre du présent examen, le cyberincident met en lumière l’importance des pratiques de sécurité et des processus qui les appuient.

Nous sommes encouragés par les efforts de modernisation du CANAFE, notamment son recours accru à l’infonuagique, à l’automatisation et à l’intelligence artificielle (IA), et nous les saluons. Cela dit, ces progrès présentent de nouveaux risques, ce qui nécessite la mise en place d’un cadre d’opérationnalisation pour que les contrôles de sécurité et de confidentialité requis soient appliqués. Nous nous attendons également à ce que le CANAFE effectue périodiquement des évaluations, internes et externes, de la sécurité ainsi que des tests d’intrusion afin de repérer d’éventuelles vulnérabilités dans les systèmes et les applications. Par conséquent, nous présentons au CANAFE des recommandations relatives à la nature et à la fréquence de ces évaluations afin d’assurer l’efficacité de ses mesures de protection.

Le passage du CANAFE à une architecture infonuagique constitue un virage fondamental dans la prestation de ses services de technologies de l’information (TI). Bien que nous en reconnaissions les avantages, nous mettons toutefois le CANAFE en garde quant aux risques que présente le modèle de responsabilité partagée de l’informatique en nuage, puisque celui-ci rend le maintien de mesures de protection complexe. Les institutions comme le CANAFE doivent prendre les mesures appropriées pour que leur expertise, leurs politiques et leurs processus internes appuient le maintien de leur posture de sécurité, puisqu’elles demeurent responsables de protéger la confidentialité, l’intégrité et la disponibilité des services de TI et des renseignements. De plus, des défis comme la demande en matière de compétences et de talents dans le domaine des technologies infonuagiques et les progrès dans les domaines de l’automatisation et de l’IA montrent qu’il est crucial d’investir dans la requalification, l’embauche et le maintien en poste des ressources dans les ministères qui, comme le CANAFE, accélèrent leur adoption de l’informatique en nuage et d’autres technologies de pointe.

Dans le présent rapport, nous formulons neuf recommandations à l’intention du CANAFE et une recommandation à l’intention de Services partagés Canada (SPC); les deux organisations nous ont indiqué qu’elles acceptent ces recommandations. Nous continuerons de collaborer et discuter avec le CANAFE des mesures qu’il compte prendre pour mettre en œuvre ces recommandations et régler les questions en suspens afin de s’assurer que des mesures de protection proportionnelles au degré de sensibilité des renseignements qu’il détient sont mises en place. En ce qui a trait à SPC, à la lumière des mesures prises pour mettre en œuvre notre recommandation, nous considérons l’affaire comme étant résolue.

Dans le cadre de son prochain examen bisannuel, le CPVP a aussi l’intention de vérifier si les contrôles et les mesures mis en œuvre par le CANAFE pour atténuer le risque de récurrence d’un cyberincident comme celui de mars sont suffisants. D’ici là, le CANAFE s’est engagé à fournir au CPVP son plan de reprise des activités à jour ainsi que des comptes rendus trimestriels sur ses progrès quant à l’application des recommandations y afférentes.

Nous profitons de l’occasion pour remercier le CANAFE de la collaboration et de la transparence dont il a fait preuve durant notre examen.

Introduction

Conformément au paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), le Commissaire à la protection de la vie privée doit procéder à un examen, tous les deux ans, des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) pour protéger les renseignements qu’il reçoit ou recueille.
À titre d’unité du renseignement financier et de superviseur en matière de lutte contre le blanchiment d’argent et le financement des activités terroristes du Canada, le CANAFE a pour mandat de faciliter la détection, la prévention et la dissuasion du blanchiment d’argent et du financement des activités terroristes, tout en assurant la protection des renseignements personnels qu’il détient. Dans l’exécution de ses mandats principaux en matière de renseignement financier et de conformité, le CANAFE doit protéger l’importante quantité de renseignements qu’il reçoit et communique aux organismes d’application de la loi et aux agences de sécurité nationale du Canada, cet élément étant essentiel à la sécurité nationale et à la protection de la vie privée des Canadiennes et des Canadiens^{Note de bas de page 1}.
Le CANAFE est assujetti à un éventail de mesures de contrôle visant la collecte, l’utilisation, la communication et la conservation des renseignements au titre de la LRPCFAT^{Note de bas de page 2}. En tant qu’institution assujettie aux exigences de la Loi sur la protection des renseignements personnels (la Loi), le CANAFE est aussi assujetti aux politiques et directives du Secrétariat du Conseil du Trésor (SCT) qui soutiennent l’administration de la Loi^{Note de bas de page 3}.
La Politique sur la sécurité du gouvernement (la Politique) du SCT établit les exigences de sécurité obligatoires minimales et les mesures pour protéger et préserver la confidentialité et l’intégrité des actifs d’une institution, incluant les renseignements personnels. Elle est appuyée par la Directive sur la gestion de la sécurité du SCT, qui décrit les procédures obligatoires relatives aux mesures de sécurité^{Note de bas de page 4}. Les institutions ont la responsabilité de mener leurs propres évaluations pour déterminer si des mesures de protection supplémentaires sont requises. Étant donné la nature et la sensibilité des renseignements personnels détenus par le CANAFE, des mesures de protection adaptées sont nécessaires.
Le CPVP a effectué des examens périodiques des mesures prises par le CANAFE en vue de protéger les renseignements personnels depuis que l’exigence est entrée en vigueur, en 2007^{Note de bas de page 5}. Dans le cadre du présent examen, le CPVP a précisément cherché à savoir si le CANAFE applique les mesures appropriées pour protéger les renseignements personnels qu’il recueille et qui sont hébergés dans l’infrastructure de TI de SPC^{Note de bas de page 6} et s’il protège les renseignements personnels qu’il détient en conformité avec la Loi ainsi qu’avec les politiques et directives pertinentes du SCT^{Note de bas de page 7}. Le CPVP a débuté son examen en 2023 et a tenu compte de deux incidents qui lui ont été signalés en février et en mars 2024 (voir les précisions à ce sujet dans la section ci-dessous).
Cet examen a aussi porté sur les progrès réalisés par le CANAFE relativement à la mise en œuvre de mesures découlant des recommandations formulées dans les rapports bisannuels précédents du CPVP. Ces observations ont jeté les bases de notre évaluation des mesures de protection actuellement en place au CANAFE.

Événements survenus depuis le dernier examen bisannuel

Incidents

Pendant nos consultations, le CANAFE a signalé deux incidents au CPVP. Bien qu’ils ne sont pas visés par le présent examen, ces incidents sont pertinents à son contexte.
Le premier incident a été signalé en février 2024 et concernait la communication non autorisée de renseignements personnels par un employé du CANAFE. Cet incident souligne l’importance de veiller à la sécurité des données et de protéger les renseignements personnels contre toute forme de risques.
Le 5 mars 2024, un second incident a été signalé au CPVP. Dans ce cas, le CANAFE a dû mettre plusieurs de ses systèmes organisationnels hors ligne, à titre de précaution, pour en assurer l’intégrité et protéger les renseignements qui s’y trouvaient^{Note de bas de page 8}. Le CANAFE a annoncé publiquement qu’après un examen approfondi et la prise de mesures de diligence raisonnable, il n’avait trouvé aucun élément de preuve démontrant que de l’information avait été perdue ou extraite lors de ce cyberincident^{Note de bas de page 9}. Le CANAFE a travaillé avec ses partenaires, dont le Centre canadien pour la cybersécurité (CCC) et SPC, pour enquêter sur cet incident, le contenir et en atténuer l’incidence, garantir que les environnements affectés soient isolés et faire en sorte que les précautions et les mesures de sécurité appropriées soient en place pour protéger les données.
Le CANAFE est resté en contact avec le CPVP relativement au cyberincident et, au moment de la rédaction de ce rapport, il poursuit ses efforts pour reprendre la totalité de ses activités^{Note de bas de page 10}. Même si nous n’avons pas évalué le cyberincident ni les activités de rétablissement du CANAFE après l’incident dans le cadre du présent examen, nous avons constaté les efforts continus du CANAFE en ce qui a trait à la restauration de ses capacités opérationnelles, sa décision de ne pas rebâtir ni restaurer les systèmes désuets et le transfert accéléré de ses systèmes existants vers l’informatique en nuage.
À la suite du cyberincident, le CANAFE s’est engagé à fournir au CPVP son plan de reprise des activités et de modernisation à jour ainsi que des comptes rendus trimestriels sur ses progrès quant à la mise en œuvre des recommandations relatives à la reprise des activités.
À l’occasion de nos futurs examens, nous avons l’intention de vérifier si les contrôles et les mesures mis en œuvre par le CANAFE pour atténuer le risque de récurrence de cyberincidents similaires sont suffisants.

Modifications législatives

D’importantes modifications ont été apportées à la LRPCFAT depuis le dernier examen du CPVP. Certaines sont déjà en vigueur, et les autres le seront d’ici notre prochain cycle d’examen. Bien que ces modifications ne s’inscrivent pas directement dans la portée du présent examen, elles soulignent l’importance pour le CANAFE de remplir son mandat tout en protégeant la vie privée, puisqu’elles élargissent les pouvoirs déjà importants du CANAFE lui permettant de recueillir, d’utiliser et de communiquer des renseignements, y compris des renseignements personnels, en :
- étendant le champ d’application de la LRPCFAT à de nouvelles entités^{Note de bas de page 11};
- augmentant l’échange de renseignements sous le régime de la LRPCFAT entre les entités qui y sont assujetties^{Note de bas de page 12};
- imposant aux entités assujetties à la LRPCFAT de nouvelles obligations concernant la collecte, l’utilisation et la communication des renseignements^{Note de bas de page 13}.
Le CANAFE nous a informés que ces changements de même que l’élargissement de la collecte de renseignements qui en découle sont couverts par ses processus et contrôles de sécurité existants et que, par conséquent, il n’avait pas évalué la nécessité de modifier ceux-ci. Le CPVP accepte la décision du CANAFE à cet égard.

Constatations

Résumé

Dans le cadre du présent examen, nous avons évalué les progrès réalisés par le CANAFE relativement à l’application des recommandations formulées dans notre rapport de 2021. Nous avons établi que le CANAFE a donné suite à deux de nos cinq recommandations^{Note de bas de page 14}, dont les précisions se trouvent à l’annexe A.
Cependant, le présent rapport fait état de préoccupations qui subsistent quant à la mise en œuvre par le CANAFE des trois autres recommandations formulées dans notre rapport précédent, soit i) supprimer les DTV et les DOIE inférieures au seuil de déclaration (une préoccupation soulevée pour la première fois par le CPVP en 2009); ii) mettre en œuvre des contrôles de sécurité informatiques (notamment la surveillance des journaux d’activités en vue de détecter les activités internes malveillantes ou inappropriées et d’y répondre); et iii) mettre à jour son PCA (mise en œuvre de mesures visant à assurer la protection continue des fonds de renseignements personnels en cas de perturbation des activités).
Dans le cadre du présent examen, nous avons conclu que le CANAFE a amélioré ses mesures de protection des renseignements personnels depuis le dernier examen bisannuel. Toutefois, nous avons fait plusieurs observations et repéré des lacunes qui requièrent que le CANAFE prenne certaines mesures en ce qui a trait i) à la transition à l’informatique en nuage; ii) aux initiatives en matière d’automatisation et d’IA; et iii) aux évaluations de la sécurité.
À la lumière de ce qui précède, ce rapport contient neuf recommandations à l’intention du CANAFE et une recommandation à l’intention de SPC. Elles sont résumées à l’annexe B. Comme nous l’avons mentionné précédemment, les deux organisations ont accepté nos recommandations.

Constatations antérieures

Suppression des déclarations de télévirements (DTV) et des déclarations d’opérations importantes en espèces (DOIE) inférieures au seuil de déclaration

Dans son rapport de 2017, le CPVP a constaté que le CANAFE continuait de recevoir et de conserver des renseignements personnels qui ne respectaient pas le seuil de déclaration prévu par la LRPCFAT. La question a d’abord été soulevée par le CPVP lors de son premier examen en 2009, dans le cadre duquel il recommandait au CANAFE de supprimer de façon permanente de ses dossiers tous les renseignements que la loi ne lui permettait pas de recevoir^{Note de bas de page 15}.
Dans ses examens ultérieurs, le CPVP a réitéré ses préoccupations à ce sujet, surtout que la LRPCFAT oblige actuellement le CANAFE à détruire les renseignements qui ne respectent pas le seuil de déclaration lorsque cette détermination est faite dans le cours normal de ses activités^{Note de bas de page 16}.
En 2021, le CPVP a constaté dans son rapport que le CANAFE n’avait pas donné suite de façon satisfaisante à la recommandation de 2017 concernant la suppression des DTV et des DOIE et a souligné que le CANAFE n’avait pas fourni de réponse à la question du CPVP visant à savoir si ces déclarations avaient été supprimées. Le CPVP a recommandé au CANAFE qu’il réexamine attentivement la recommandation de 2017 et de prendre des mesures pour la mettre en œuvre intégralement dans un délai de 12 mois^{Note de bas de page 17}. Le CANAFE a indiqué qu’il « acceptait en principe » cette recommandation^{Note de bas de page 18}. Dans notre rapport de 2021, nous avons donc indiqué être préoccupés par le manque d’engagement de la part du CANAFE à donner suite à notre recommandation.
Dans le cadre du présent examen, nous avons une fois de plus vérifié si le CANAFE avait tenu compte de cette recommandation, soit supprimer les DTV et les DOIE inférieures au seuil de déclaration qui ne sont pas visées par la règle de 24 heures^{Note de bas de page 19}.
Le CANAFE a indiqué qu’il avait alloué des ressources pour effectuer un audit interne, analyser tous les renseignements détenus par l’organisation et supprimer les déclarations inférieures au seuil de déclaration. En 2024, dans le cadre du présent examen, le CANAFE a mentionné qu’il devait encore examiner l’équivalent de 10 années de données pour repérer les déclarations inférieures au seuil de déclaration, ce qui représente environ 400 millions de déclarations^{Note de bas de page 20}. Le CANAFE croyait d’abord pouvoir terminer cet exercice d’ici la fin du mois de mars 2025, mais le cyberincident survenu en mars 2024 a grandement nui à ses efforts. En fait, en septembre 2024, le CANAFE a déclaré qu’il ne pourrait vraisemblablement pas terminer cet examen dans les délais prévus, mais qu’il en ferait une priorité une fois que les problèmes créés par le cyberincident de mars seront réglés. Le CANAFE nous a informés que les ressources nécessaires seront dédiées à l’examen des renseignements dès la reprise de l’ensemble de ses activités, probablement au cours de l’exercice 2025‑2026.
Le CANAFE a fait valoir que la modernisation de ses formulaires de déclaration réglera le problème lié à la réception de déclarations inférieures au seuil de déclaration de la part des entités déclarantes^{Note de bas de page 21}. Il a mentionné que l’initiative pluriannuelle de modification de ses formulaires de déclaration (et des directives connexes) avait mené à l’introduction de nouveaux formulaires de deuxième génération (génération 2.0) qui, grâce à de nouvelles règles et directives, réduira le nombre de déclarations inférieures au seuil de déclaration^{Note de bas de page 22}. Le CANAFE a confirmé que la mise en œuvre des formulaires génération 2.0 était terminée. Nous saluons ses efforts à cet égard.
Le CANAFE a indiqué qu’il est aussi en train d’adopter de nouveaux outils et de nouvelles technologies, notamment des applications infonuagiques fondées sur la logique, capables de traiter tous les enregistrements de données pour repérer les déclarations inférieures au seuil de déclaration.
Le CANAFE a aussi indiqué qu’il continue de supprimer les déclarations qui sont identifiées dans le cours normal de ses activités comme datant d’il y a plus de 10 ans et qui n’ont plus besoin d’être conservées. Cependant, il a ajouté que le cyberincident de mars avait eu des répercussions sur ses pratiques de suppression. Le système de suppression des déclarations du CANAFE, qui supprimait chaque mois de façon automatique les déclarations reçues depuis plus de 10 ans^{Note de bas de page 23}, est désactivé actuellement, sans date de reprise prévue.
Bien que nous ayons constaté que le CANAFE avait fait des efforts pour donner suite aux recommandations précédentes du CPVP, nous avons observé qu’il n’a pas terminé l’examen ni la suppression des DTV et des DOIE qui ne respectent pas le seuil de déclaration. De plus, nous avons noté que le CANAFE ne supprime pas actuellement les renseignements datant de plus de 10 ans de façon proactive. La conservation de renseignements personnels au-delà des durées nécessaires comporte différents risques, dont des risques juridiques, financiers et réputationnels, tant pour les individus que pour le CANAFE, particulièrement en cas d’atteinte à la vie privée.
À la lumière de ce qui précède, nous estimons que la recommandation du CPVP n’a pas été mise en œuvre. Par conséquent, nous faisons les trois recommandations suivantes :
Recommandation 1 : que le CANAFE termine l’analyse des renseignements qu’il détient et élabore un plan priorisant la suppression des déclarations inférieures au seuil de déclaration. Le CANAFE devra fournir au CPVP, d’ici la fin du mois de mars 2025, un plan d’action précisant entre autres les étapes clés et un échéancier menant à l’achèvement de la mise en œuvre de cette recommandation.

Recommandation 2 : que le CANAFE reprenne, de façon sécuritaire, ses activités automatisées de suppression afin d’assurer le respect de l’exigence de supprimer des renseignements qu’il détient depuis plus de 15 ans, prévue par la LRPCFAT^{Note de bas de page 24}.

Recommandation 3 : que le CANAFE surveille et évalue l’efficacité des formulaires génération 2.0 par rapport à la suppression des déclarations inférieures au seuil de déclaration qu’il reçoit. Au besoin, le CANAFE devra établir et mettre en œuvre un processus permanent pour repérer et supprimer ces déclarations en temps opportun.

Mesures de sécurité des TI

La Directive sur la sécurité des TI du CANAFE définit les exigences relatives à la façon dont il atteindra les objectifs de base portant sur les mesures de sécurité des TI, comme l’exige la Directive sur la gestion de la sécurité du SCT. Parmi les principaux objectifs, mentionnons la protection des systèmes de TI contre l’utilisation non autorisée et la compromission, la surveillance continue des menaces et des vulnérabilités, la détection des activités malveillantes et des accès non autorisés et l’utilisation des journaux d’activités des systèmes de TI afin de surveiller, analyser et examiner les activités aux fins d’assurer l’imputabilité des utilisateurs. Le CANAFE s’appuie sur les procédures obligatoires relatives aux mesures de sécurité des TI^{Note de bas de page 25} pour atteindre ces objectifs.
Compte tenu des conclusions précédentes du CPVP et de l’information reçue du CANAFE, le présent examen a porté principalement sur les processus d’évaluation de sécurité et d’autorisation (ESA) du CANAFE et sur ses mesures de gestion de l’audit des systèmes d’information (surveillance des journaux d’audit des systèmes).

Évaluation de la sécurité et autorisation en matière de TI

L’ESA est le processus par lequel les institutions s’assurent que seuls des logiciels et du matériel autorisés, pour lesquels elles ont accepté le risque résiduel, sont installés dans leur environnement de TI. L’évaluation des pratiques et des mesures de sécurité ainsi que l’acceptation et l’autorisation du ou des risques de sécurité connexes – qu’on appelle l’« autorisation d’exploitation » (AE) – sont des processus continus qui font partie des exigences de la Politique sur la sécurité du gouvernement^{Note de bas de page 26}.
Dans son rapport de 2021, le CPVP soulevait des préoccupations quant à l’accréditation de l’infrastructure de TI dans laquelle les données du CANAFE circulent et au recours continu à une AE « provisoire »^{Note de bas de page 27} pour le Service géré de transfert sécurisé de fichiers (SGTSF), une solution de SPC que le CANAFE (et d’autres institutions fédérales) utilise pour échanger certains renseignements. Nous avions indiqué que SPC renouvelait l’AE provisoire depuis plus de cinq ans et avions fortement encouragé SPC à prioriser la mise en place d’une AE définitive. Le recours prolongé à des AE provisoires pourrait faire en sorte qu’une institution assume des risques de sécurité plus élevés que ce qui est acceptable.
Dans le cadre du présent examen, nous avons constaté qu’une AE (non provisoire) a été complétée et mise en place pour les SGTSF depuis le dernier examen bisannuel. L’AE mise à jour a été signée en juin 2022, et une copie a été transmise au CPVP. Elle indique que SPC a évalué et accepté le niveau de risque associé au SGTSF, sous réserve que des conditions spécifiques à ce service soient ultérieurement respectées^{Note de bas de page 28}. Pour assurer la conformité, SPC devait faire le suivi de l’autorisation tout au long du cycle de vie du service.
Dans une mise à jour fournie au CPVP, SPC a indiqué qu’il avait satisfait toutes les conditions énumérées dans l’AE définitive décrite ci-dessus. Ainsi, SPC a entrepris la mise en œuvre d’une nouvelle AE, qui était aux dernières étapes d’approbation interne au moment de la rédaction du présent rapport.
Nous estimons que la mise en œuvre par SPC de cette AE (définitive) répond aux préoccupations soulevées précédemment par le CPVP. Nous nous attendons à ce que SPC prenne les mesures nécessaires pour s’assurer que l’AE demeure valide et conforme à ses conditions.
Dans le cadre du présent examen, nous avons demandé au CANAFE de confirmer que les ESA étaient effectuées conformément à un processus officiel, ainsi qu’à la Politique sur la sécurité du gouvernement, à la Directive sur la gestion de la sécurité et aux procédures connexes obligatoires. Le CANAFE a produit une liste d’environ 60 documents d’ESA qu’il a finalisés depuis le dernier examen bisannuel du CPVP (p. ex. l’énoncé d’évaluation de sécurité et l’évaluation des menaces et des risques pour le locataire infonuagique du CANAFE, l’énoncé d’évaluation de sécurité pour Microsoft Teams, et l’énoncé d’évaluation de sécurité pour la solution de GIES).
Nous avons constaté que le CANAFE n’utilise les AE provisoires que dans des circonstances précises et limitées (p. ex. lors d’activités d’atténuation prévues ou en cours) et qu’il fixe une période provisoire pour l’exécution de ces activités (p. ex. six mois). Au moment où nous rédigeons ce rapport, le CANAFE compte sept AE provisoires et des procédures sont en place pour en assurer le suivi. Elles comprennent la tenue d’un examen de l’AE à la fin de la période provisoire afin de déterminer si les mesures d’atténuation ont été appliquées, l’évaluation du risque résiduel qui subsiste et l’identification de toutes mesures connexes.
De façon générale, nous avons constaté que le CANAFE évalue le ou les risques résiduels associés à ses projets et solutions de TI et qu’il documente sa décision d’accepter ce ou ces risques dans un énoncé d’évaluation de sécurité signé, conformément aux exigences du SCT et à sa propre norme sur l’évaluation et l’autorisation de sécurité^{Note de bas de page 29}. L’approche du CANAFE à l’égard de l’évaluation et de l’atténuation des risques au moyen de ses processus d’ESA, ainsi que son évaluation et son acceptation continues des risques établis grâce à ces processus, est satisfaisante.
Toutefois, dans l’esprit des observations faites à SPC précédemment, nous soulignons que le recours à des AE provisoires peut faire en sorte qu’une institution assume des risques de sécurité au-delà du niveau acceptable. C’est pourquoi nous encourageons le CANAFE à s’assurer d’évaluer correctement le besoin d’utiliser un service ou une solution, et que les avantages qui en découlent justifient les risques qui sont pris.

Gestion de l’audit des systèmes d’information : Surveillance des journaux d’activités

Pour assurer une posture de sécurité efficace, la Directive sur la gestion de la sécurité exige que les institutions créent, protègent et conservent les journaux et les dossiers d’audit des systèmes d’information pour permettre la surveillance, l’analyse, l’examen et la mise en œuvre de mesures correctives et l’établissement de rapports sur celles-ci.
La surveillance des journaux d’activités était l’une des principales questions soulevées par le CPVP en 2017, puis de nouveau en 2021, lorsque nous avons recommandé au CANAFE de mettre en œuvre des mesures exhaustives pour s’assurer que les activités des utilisateurs puissent être l’objet d’audits péremptoires, surveiller l’utilisation adéquate des systèmes d’information gouvernementaux, et réagir aux cas d’utilisation inacceptable potentiels afin que les utilisateurs soient imputables de leurs activités^{Note de bas de page 30}.
Les institutions fédérales sont tenues de surveiller leurs journaux d’activités péremptoirement pour détecter et atténuer les menaces internes et externes. Le CANAFE mène ces activités au moyen de son Programme d’évaluation et de gestion des vulnérabilités (PEGV) pour les TI, dans le cadre duquel il évalue et surveille périodiquement les mesures de sécurité des systèmes pour assurer leur efficacité continue^{Note de bas de page 31}.
Depuis l’examen de 2021, le CANAFE a acquis, déployé et configuré une solution afin de l’utiliser dans son environnement de TI : la solution de GIES. Cette solution combine la détection de menaces, la surveillance et la prise de mesures de correction avec la gestion des journaux et est conçue pour accroître la capacité du CANAFE à détecter les activités malveillantes ou inappropriées et à y répondre.
Nous constatons que la solution de GIES représente une amélioration comparativement à l’ancien système de journaux centralisé, car elle est dotée de fonctionnalités plus complexes qui permettent d’établir des liens entre les journaux d’événements et de les regrouper, ce qui est essentiel à l’amélioration des processus de détection des menaces et d’intervention en cas d’incident touchant le CANAFE. Toutefois, pour optimiser la valeur ajoutée de la solution de GIES, le CANAFE devra s’assurer que la configuration de GIES comprend les fonctionnalités les plus appropriées pour répondre aux besoins du CANAFE et qu’elle s’intègre facilement aux autres outils de sécurité dont le CANAFE dispose déjà.
Durant l’examen, le CANAFE a transmis de l’information au CPVP concernant les travaux en cours pour optimiser son utilisation de l’outil de GIES. Ces travaux incluent notamment de déterminer les applications ne pouvant pas envoyer ses journaux à la solution de GIES, ajuster ses applications afin que les journaux appropriés soient recueillis et envoyés, compléter les étapes requises pour ajouter les journaux de l’informatique en nuage à la solution de GIES, affecter les ressources appropriées pour qu’elles collaborent à l’établissement des procédures d’intervention, ainsi qu’optimiser l’outil en continu (p. ex. formation sur les fonctionnalités de l’outil à l’intention des ingénieurs en GIES).
De plus, le CANAFE a indiqué au cours de l’examen que SPC (qui est propriétaire et détient le contrôle administratif de tous les serveurs du centre de données du CANAFE) lui avait refusé l’accès à certains journaux sous le contrôle de SPC^{Note de bas de page 32}, une source de données clé qui pourrait alimenter la solution de GIES et être couplée avec d’autres sources de données pour améliorer la capacité de détection des menaces du CANAFE. Le CANAFE a indiqué qu’il a transmis sa demande aux échelons supérieurs de SPC et, qu’au moment de la rédaction du présent rapport, il travaillait activement pour que ces journaux soient intégrés à son système de surveillance.
Nous reconnaissons que le CANAFE a amélioré ses pratiques de surveillance par suite de la mise en œuvre de la solution de GIES. Toutefois, nous tenons à souligner qu’il est important que le CANAFE déploie efficacement la solution de GIES pour pouvoir tirer pleinement parti des capacités et des fonctionnalités de cette solution. Par conséquent, nous faisons les recommandations suivantes :
Recommandation 4 : que le CANAFE prenne les mesures nécessaires pour i) optimiser son utilisation des capacités de l’outil de GIES et ii) cerner et corriger les lacunes qui subsistent relativement aux journaux d’activités, et améliorer sa capacité à détecter les activités suspectes, y compris les menaces internes.

Recommandation à SPC : que SPC donne au CANAFE les accès nécessaires aux journaux d’activités associés à l’infrastructure sur laquelle le CANAFE s’appuie, afin de soutenir ses efforts visant à détecter et atténuer les menaces.
En réponse à cette recommandation, SPC a indiqué avoir entamé des démarches pour autoriser le CANAFE à accéder aux journaux. Le CPVP reconnaît les efforts de SPC et estime que l’affaire est résolue.

Gestion de la continuité des activités : Protection des renseignements personnels

En 2021, le CPVP a soulevé des questions concernant le PCA du CANAFE. Nous avions constaté qu’il était principalement composé de procédures d’évacuation des employés et qu’il ne comportait pas de mesures visant à assurer la protection continue des fonds de renseignements personnels si les activités du CANAFE étaient interrompues en raison d’un désastre ou d’une urgence. Comme ses fonds de renseignements personnels sont essentiels à l’exécution des activités opérationnelles du CANAFE et que celui-ci a l’obligation légale de les protéger, nous avions recommandé que le CANAFE mette à jour son PCA dans un délai de six mois suivant la publication de notre rapport afin d’y inclure des mesures visant à protéger ses fonds de renseignements personnels. Le CANAFE a accepté notre recommandation et nous a fait part des mesures qu’il avait déjà prises et de celles qu’il prendrait pour mettre en œuvre cette recommandation^{Note de bas de page 33}.
Dans le cadre du présent examen, le CANAFE a déclaré qu’il avait mis à jour son PCA afin d’y inclure des mesures visant à protéger les renseignements personnels et à donner suite à la recommandation du CPVP de 2021. Il a également modifié son modèle de PCA^{Note de bas de page 34} et mobilisé tous les secteurs pour faire en sorte que leur fonds de renseignements personnels soient intégrés à leur PCA. Le CPVP a examiné le PCA modifié du CANAFE en fonction des exigences de la Directive sur la gestion de la sécurité^{Note de bas de page 35}. Nous prenons acte des changements que le CANAFE a apportés à son PCA et notons qu’ils tiennent compte des six procédures requises (pratiques en matière de continuité des activités, analyse des incidences sur les activités, mesures et arrangements de continuité, sensibilisation et formation, essais et exercices, surveillance et mesures correctives).
Nous remarquons aussi que le PCA contient une brève section intitulée « Protection des renseignements » (traduction de « Protection of Information »), qui indique que [traduction] « malgré l’interruption des activités, toutes les mesures de protection de la vie privée et de la sécurité de l’information demeurent en place ». Bien que cette mesure de protection puisse s’appliquer en cas de perturbations physiques (p. ex. l’évacuation d’un immeuble), nous n’arrivons toujours pas à concevoir comment elle peut s’appliquer en cas de perturbation numérique ou de cyberperturbation. D’après les hypothèses formulées dans le PCA, ces perturbations sont hors du champ d’application du PCA^{Note de bas de page 36}.
Bien que le PCA ait été mis à jour, nous constatons qu’il semble porter sur les perturbations qui auraient une incidence sur la disponibilité des bureaux et du personnel. Nous sommes conscients qu’aucun plan ne peut prévoir toutes les éventualités, mais nous estimons tout de même que les hypothèses formulées dans le PCA ne prennent pas en compte adéquatement toutes les interruptions de service qui peuvent avoir une incidence sur les fonds de renseignements personnels.
Afin de prévoir efficacement un éventail d’interruptions de service possibles et d’assurer la protection des renseignements personnels qui relèvent du CANAFE, le PCA devrait tenir compte des autres types d’événements pouvant influer sur l’accès aux réseaux de TI ou aux systèmes de télécommunications ou sur leur utilisation. Cela inclut des incidents pouvant nuire à la disponibilité des données et à la continuité opérationnelle du CANAFE, lesquelles pourraient soulever des problèmes de conformité aux obligations légales du CANAFE (p. ex. la conservation et le retrait des renseignements).
Nous estimons donc que le PCA du CANAFE ne tient pas suffisamment compte de la protection de ses fonds de renseignements personnels ni de notre recommandation de 2021. Par conséquent, nous faisons la recommandation suivante :
Recommandation 5 : que le CANAFE révise son PCA afin d’y inclure un éventail d’interruptions de service possibles, y compris des perturbations touchant les systèmes de TI et de télécommunications, ainsi que des mesures visant la protection continue de ses fonds de renseignements personnels et le respect de ses obligations légales.

Observations et recommandations sur les mesures de protection découlant du présent examen

Adoption de l’informatique en nuage

Dans le cadre du présent examen, nous avons noté la progression continue du CANAFE vers l’adoption de l’informatique en nuage et de technologies avancées, ce qui fait partie de sa stratégie numérique (lancée en 2022‑2023).
La transition du CANAFE vers l’informatique en nuage suit la stratégie du gouvernement du Canada (GC) visant l’adoption de l’informatique en nuage; la stratégie d’adoption de l’« informatique en nuage d’abord » de 2018 a évolué vers le principe de l’« informatique en nuage intelligente » en 2023^{Note de bas de page 37}.
La décision du GC de passer à des solutions infonuagiques représente un virage fondamental dans la prestation des services de TI. Les politiques et les outils qui visent à appuyer les organisations de même que les processus et les pratiques exemplaires qui ont pour but de les guider dans la mise en œuvre de ces changements sont en constante évolution.
À mesure que les organisations migrent vers l’informatique en nuage, la complexité relative au maintien des mesures de protection augmente, particulièrement en ce qui a trait aux modèles de responsabilité partagée. Les organisations ont un contrôle réduit sur les renseignements personnels qu’elles détiennent, ce qui peut accroître les risques liés à la protection des données et de la vie privée. En effet, elles doivent être conscientes que les fournisseurs de services infonuagiques pourraient être la cible d’acteurs malveillants en raison des renseignements personnels qu’ils détiennent. Par conséquent, les institutions doivent prendre des mesures pour s’assurer que leur posture de sécurité^{Note de bas de page 38} ne se dégrade pas, puisqu’elles demeurent responsables de protéger la confidentialité, l’intégrité et la disponibilité des services de TI et des renseignements.
Pour que le GC, incluant le CANAFE, puisse utiliser des services infonuagiques de niveau Protégé B^{Note de bas de page 39} de manière sécurisée et responsable, un cadre de mise en œuvre sous-jacent comprenant un ensemble minimal de treize mesures de cybersécurité et d’exigences en matière d’architecture est requis. Cet ensemble préliminaire de treize (13) mesures de cybersécurité de base constitue les Mesures de protection du nuage du gouvernement de Canada.
Le CPVP a examiné l’évaluation des menaces et des risques du fournisseur de services d’informatique en nuage (FSIN) du CANAFE ainsi que l’infrastructure et les mesures de sécurité^{Note de bas de page 40} qui permettent le traitement de renseignements de niveau Protégé B dans l’environnement infonuagique. Le CANAFE a indiqué que son compte de locataire infonuagique de niveau Protégé B avait été évalué en fonction des Mesures de protection du nuage du gouvernement du Canada et validé par la direction des services infonuagiques de SPC en mars 2021.
Toutefois, nous avons remarqué que les Mesures de protection du nuage du gouvernement du Canada (particulièrement la mesure de protection 13) requièrent un plan de continuité des activités et des accès – une « stratégie de sortie » – qui peut répondre à la fois aux événements prévus et imprévus^{Note de bas de page 41}. Une telle stratégie de sortie contribuerait à réduire les perturbations, à maintenir l’intégrité des données et à assurer la transition efficace d’un FSIN à un autre ou du nuage informatique à une solution locale, au besoin^{Note de bas de page 42}.
Le CANAFE a indiqué qu’il n’avait pas de stratégie de sortie officielle (cet aspect n’est pas couvert par sa Directive sur la sécurité des TI du point de vue des politiques); toutefois, il a précisé que les exigences de sécurité propres à ses systèmes infonuagiques pallient cette situation (p. ex. en ce qui a trait à ses services de ressources humaines, le CANAFE a veillé à établir des procédures de récupération des données).
Même si le CANAFE a affirmé qu’il avait mis en place des mesures pour régler les enjeux liés à la reprise des activités, nous ne sommes pas convaincus que cette approche soit suffisante pour répondre aux exigences des mesures de protection du nuage du gouvernement du Canada. Par conséquent, nous faisons la recommandation suivante :
Recommandation 6 : que le CANAFE élabore une stratégie de sortie du nuage informatique officielle pour assurer la continuité de ses activités et gérer les risques, conformément aux principes énoncés dans la Stratégie d’adoption de l’informatique en nuage et aux exigences pertinentes de l’Orientation du GC.
Finalement, le CPVP est conscient que la demande pour des travailleurs ayant des compétences et du talent dans le domaine des technologies infonuagiques est forte, ce qui pose des défis aux institutions gouvernementales. Cela démontre qu’il est crucial que les ministères et organismes qui, comme le CANAFE, ont accéléré leur transition vers l’informatique en nuage, investissent dans la requalification, l’embauche et le maintien en poste des ressources. Ils pourront ainsi soutenir la prestation des services, établir une capacité de modernisation et améliorer leurs capacités d’intervention en cas d’incident.

Modernisation : automatisation et intelligence artificielle

Durant l’examen, nous avons noté que le CANAFE a poursuivi sa modernisation. Le CANAFE est déterminé à étendre l’analytique des données et l’automatisation numériques ainsi que l’utilisation de l’IA à l’échelle de son organisation et c’est pourquoi il a choisi d’élaborer ses propres outils d’IA. Selon le CANAFE, en mettant l’accent sur sa modernisation, il pourra en temps réel cerner, évaluer et communiquer les risques, soutenir les entreprises et leur répondre, recevoir les déclarations des entreprises, réaliser ses analyses et produire des renseignements financiers utiles pour les organismes d’application de la loi et de sécurité nationale^{Note de bas de page 43}.
Les autorités de protection des données et de la vie privée du G7 (les autorités) ont publié des déclarations sur l’IA à la suite de la tenue de leur Table ronde annuelle en 2023 et 2024. Ces déclarations soulignent les domaines où il y a des préoccupations quant aux risques pour la protection de la vie privée et des données qui pourraient se présenter dans le contexte d’outils d’IA générative, notamment i) le fondement juridique pour le traitement des renseignements personnels (p. ex. concernant les données utilisés pour entraîner, vérifier et tester les outils d’IA générative); ii) les mesures de sécurité (p. ex. pour protéger contre le moissonnage illégal de renseignements personnels dans le but d’entraîner des algorithmes d’IA); iii) les mesures d’atténuation et de contrôle (p. ex. pour veiller à ce que les renseignements personnels générés soient exacts, complets et à jour); iv) les mesures de transparence et de responsabilité; v) les mesures techniques et organisationnelles; et vi) la limitation de la collecte de données personnelles.
Le CPVP et des commissaires à la protection de la vie privée provinciaux et territoriaux ont cerné des considérations relatives à l’application d’importants principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée.
Notre examen n’a pas porté sur l’utilisation d’outils d’automatisation ou d’IA par le CANAFE dans le but de soutenir ses activités. Cependant, nous profitons de l’occasion pour rappeler au CANAFE qu’il a l’obligation de s’assurer que la collecte, l’utilisation et la communication de renseignements personnels au moyen de systèmes d’IA générative sont faites en conformité avec la Loi et les orientations applicables.

Évaluations de sécurité

Conformément à la Directive sur la gestion de la sécurité^{Note de bas de page 44} du SCT, le CANAFE doit mettre en œuvre des mesures pour protéger ses systèmes d’information, leurs composants et les renseignements qu’ils traitent et transmettent contre les attaques qui exploitent les vulnérabilités. Le CCC a observé que le contexte des cybermenaces continue d’évoluer et que les institutions doivent constamment réévaluer les risques et revoir leurs efforts en matière de sécurité pour corriger les lacunes et les faiblesses.
Notre examen nous a permis de constater que le CANAFE prend des mesures pour atténuer les risques : il effectue périodiquement des évaluations des vulnérabilités, des audits et des activités de maintenance pour s’assurer que les configurations de sécurité sont suffisantes.
Par suite du précédent examen du CPVP, le CANAFE a fait appel aux services d’un tiers qui a mené un examen indépendant de sa posture de sécurité et de l’efficacité de ses mesures de sécurité pour prévenir les compromissions. Cette évaluation comprenait un exercice d’hameçonnage^{Note de bas de page 45} et un exercice de tests d’intrusion^{Note de bas de page 46}. Notre examen a pris en compte les principaux résultats de ces exercices ainsi que les mesures d’atténuation et les recommandations qui ont été proposées.
Le CANAFE a indiqué que l’exercice d’hameçonnage avait été efficace pour mesurer la réaction des utilisateurs et sensibiliser les employés. Souhaitant poursuivre dans cette voie, le CANAFE a mis sur pied un programme d’exercices d’hameçonnage afin de tester les réactions des utilisateurs et sensibiliser ses employés en matière de sécurité de façon continue; cependant, aucun échéancier n’a encore été établi pour la tenue des exercices. Le CANAFE a ajouté que les futurs exercices seront ciblés et plus complexes afin de mesurer non seulement la réaction des utilisateurs, mais aussi l’efficacité des mesures de protection. Il a affirmé que la sensibilisation à la sécurité de tous les employés sera sa principale priorité, une activité qu’il mènera au moyen d’un partenariat avec un fournisseur de services de sécurité du secteur privé.
Le CANAFE a déclaré que lors de son récent exercice de tests d’intrusion, il avait repéré cinq principaux problèmes (et des lacunes associées). Il a fait état au CPVP des mesures d’atténuation recommandées par le tiers qui a mené l’exercice afin de renforcer les contrôles en place. Nous avons remarqué que même si la majorité des recommandations ont été appliquées, plusieurs des activités « planifiées » n’ont pas encore eu lieu. Au moment de la rédaction de ce rapport, le CANAFE nous a indiqué qu’un autre test d’intrusion était en cours sur ces systèmes de déclaration infonuagiques, mais qu’il n’avait pas établi de calendrier pour de prochains exercices.
Le CPVP s’attend à ce que les institutions qui détiennent des volumes importants de renseignements personnels sensibles, comme le CANAFE, mènent régulièrement des évaluations de sécurité internes et externes, ainsi que des tests d’intrusion pour détecter les vulnérabilités de leurs systèmes et applications et fournir une assurance adéquate quant à l’efficacité de leurs mesures de protection^{Note de bas de page 47}.
En plus des mesures d’atténuation que le CANAFE a mises en œuvre, et conformément aux recommandations formulées dans d’autres enquêtes^{Note de bas de page 48}, ainsi qu’aux normes internationalement reconnues et acceptées^{Note de bas de page 49}, nous faisons les recommandations suivantes :
Recommandation 7 : que le CANAFE corrige les lacunes qui subsistent, repérées au moyen des exercices d’hameçonnage et de tests d’intrusion, en menant à bien les activités d’atténuation recommandées.

Recommandation 8 : que le CANAFE mène une évaluation interne complète de la sécurité de ses systèmes chaque année et une évaluation externe (c’est-à-dire indépendante) complète de sécurité au moins tous les deux ans.

Recommandation 9 : que le CANAFE mène des tests d’intrusion réguliers, y compris un test d’intrusion externe (c’est-à-dire indépendant) complet et annuel.

Expertise technologique

Les observations qui suivent concernent le CANAFE, mais elles s’appliquent également aux institutions gouvernementales fédérales et aux organisations du secteur privé.
Durant notre examen, nous avons constaté que les progrès technologiques du CANAFE (p. ex. l’utilisation de solutions comme l’outil de GIES), son passage accéléré à l’environnement infonuagique ainsi que ses initiatives de modernisation (dont l’expansion de l’analytique des données et de l’automatisation numériques ainsi que de l’IA à l’échelle de son organisation) démontrent le besoin croissant d’avoir des talents technologiques en interne. Afin d’avoir l’expertise et les connaissances nécessaires pour mener à bien ces initiatives, il faut assurer la requalification et le perfectionnement^{Note de bas de page 50} des employés et parfois embaucher de nouvelles ressources.
Il en découle que le CANAFE doit investir dans le développement de ses ressources humaines afin d’améliorer et renforcer sa posture de sécurité. Il est essentiel qu’il maintienne sa prestation de services, établisse une capacité de modernisation et améliore sa réponse aux incidents pouvant survenir dans le futur, incluant la mise en œuvre, la mise à l’épreuve et la maintenance de ses mesures de sécurité.
À la lumière de ce qui précède, nous encourageons le CANAFE à continuer de s’assurer de disposer des compétences et de la capacité requises pour soutenir ses efforts de modernisation.

Conclusion

Notre examen a révélé que le CANAFE a fait des efforts pour mettre en œuvre les recommandations que nous avions formulées précédemment relativement aux lacunes observées en matière de protection et, de façon plus générale, pour renforcer les mesures de sécurité visant à protéger ses fonds de renseignements personnels. Entre autres, il a 1) pris des mesures pour éviter la collecte non nécessaire de renseignements personnels, y compris les déclarations qui sont inférieures au seuil de déclaration; 2) apporté des améliorations à ses processus de détection des menaces et de réaction en cas d’incident, notamment en mettant en place une solution de GIES; et 3) amélioré son PCA.
Nous constatons que le CANAFE a encore du travail à faire pour tenir compte pleinement de toutes les conclusions antérieures du CPVP, notamment celle relative à la conservation de renseignements personnels qu’il n’est pas autorisé à recevoir selon la loi.
Nous nous attendons à ce que le CANAFE soumette ses mesures à un examen continu et à ce qu’il mette en œuvre des mesures de protection pour atténuer tout risque, nouveau ou existant, lié à la vie privée, particulièrement à la lumière du cyberincident de mars 2024. Les attentes décrites dans ce rapport reposent sur les exigences et les orientations du SCT^{Note de bas de page 51}, ainsi que sur les activités de gestion des risques liés à la sécurité des TI sous-jacentes qui devraient être entreprises par les institutions afin de trouver l’équilibre entre l’application de mesures de sécurité et les niveaux de risque résiduel acceptables.
Les institutions comme le CANAFE, qui détiennent des volumes importants de renseignements personnels sensibles, devraient aussi mener régulièrement des évaluations de sécurité internes et externes ainsi que des tests d’intrusion pour détecter les vulnérabilités de leurs systèmes et applications et fournir une assurance adéquate quant à l’efficacité de leurs mesures de protection.
Dans le contexte des efforts de modernisation du CANAFE – notamment l’utilisation accrue de l’informatique en nuage, ainsi que le recours à l’automatisation et à l’IA – la mise en œuvre de mesures de sécurité et de protection de la vie privée proportionnelles aux risques et évolutives devient plus pertinente.
Notre examen a aussi révélé que les progrès technologiques du CANAFE illustrent le besoin croissant d’avoir l’expertise et les connaissances nécessaires à l’interne pour gérer ces nouvelles fonctionnalités et ces initiatives tout au long de leur cycle de vie. Cela montre combien il est crucial pour les ministères qui ont accéléré leurs efforts de modernisation d’investir dans la requalification, l’embauche et le maintien en poste de leurs ressources. Ils pourront ainsi soutenir la prestation des services, établir leurs capacités pour la modernisation et améliorer leurs capacités de réaction en cas d’incident.
Dans l’ensemble, nous estimons que le CANAFE a collaboré activement au présent examen et qu’il a fait preuve d’une grande transparence. Nous comptons sur son engagement constant à protéger ses fonds de données afin de veiller au respect du droit à la vie privée des Canadiennes et des Canadiens.

Annexe A : Mise en œuvre satisfaisante de nos recommandations précédentes par le CANAFE

Constatations et recommandations de 2021	Évaluation
1. Examiner et supprimer manuellement les déclarations de biens appartenant à un groupe terroriste (DBGT) qui ne respectent pas le seuil de déclaration : Le CPVP a soulevé à de nombreuses reprises ses préoccupations concernant la conservation par le CANAFE de déclarations reçues en raison d’appariements « possibles » aux listes de terroristes. En 2017, le CANAFE a accepté la recommandation du CPVP d’examiner manuellement toutes les déclarations de biens appartenant à un groupe terroriste (DBGT) et de supprimer immédiatement celles qui sont désignées comme ne respectant pas le seuil de déclaration. En 2021, le CANAFE a confirmé que chacune des 48 DBGT reçues au cours des 4 dernières années a fait l’objet d’un examen manuel, mais que, selon lui, aucune n’avait respecté le seuil de suppression. Toutefois, cela ne tenait pas compte de l’existence de déclarations déjà reçues et faisant partie des fonds du CANAFE en fonction « d’appariements possibles » avec les listes de terroristes (comme il est décrit dans notre rapport de 2017). Le CPVP a constaté que cela allait à l’encontre de l’engagement exprès qu’avait pris le CANAFE en 2017, selon lequel il devait examiner toutes les DBGT dans ses fonds de renseignements et supprimer celles pour lesquelles une appartenance à un groupe terroriste n’est plus soupçonnée. Le CPVP a exprimé ses préoccupations quant au manque de suivi du CANAFE à l’égard de ses engagements formels. La réponse du CANAFE ne nous a pas permis de conclure qu’il a mis en œuvre notre recommandation ou qu’il y a donné suite.	Satisfaisante Le CANAFE a confirmé qu’il a examiné manuellement toutes les DBGT de ses fonds de renseignements pour s’assurer qu’elles respectaient le seuil de déclaration établis par la loi. De plus, le CANAFE a indiqué qu’il examine manuellement toutes les DBGT dès leur réception pour vérifier qu’elles sont conformes à la LRPCFAT. Le CANAFE a aussi précisé que toutes les DBGT reçues depuis le dernier examen respectaient le seuil de déclaration qui lui permet de les recevoir et de les conserver (pendant au moins 10 ans).
2. Éviter de recueillir des renseignements personnels inutiles dans le cadre des exercices de conformité (et éliminer de tels renseignements lorsqu’ils sont déjà reçus) : En plus de son mandat lié au renseignement financier, le CANAFE est chargé de veiller à ce que les entités déclarantes respectent leurs obligations au titre de la LRPCFAT et de ses Règlements. Cette fonction implique les renseignements personnels, détenus par les entités déclarantes pour mener leurs activités ou remplir leurs obligations réglementaires. En 2017, le CPVP a recommandé au CANAFE de donner suite à nos préoccupations selon lesquelles son programme de conformité (qui veille à ce que les entités déclarantes s’acquittent de leurs obligations au titre de la LRPCFAT) recueillait et conservait des renseignements personnels non nécessaires. Le CANAFE avait accepté nos recommandations et nous a fait part des mesures qu’il prenait pour répondre à nos préoccupations. Toutefois, l’examen de 2021 a relevé une question qui demeurait en suspens : le CANAFE n’avait fourni aucune indication que des renseignements personnels non nécessaires avaient été supprimés des dossiers de conformité déjà existants (seuls les dossiers liés aux examens menés dans le secteur bancaire à Toronto avaient été mentionnés). En outre, plusieurs des mesures que le CANAFE prévoyait prendre pour mettre en œuvre la recommandation du CPVP n’étaient assorties d’aucun échéancier. Le CPVP avait réitéré sa recommandation voulant que le CANAFE supprime les renseignements personnels qui n’étaient pas nécessaires pour faire la preuve des lacunes de conformité des dossiers d’examen déjà existants (c’est-à-dire ceux de 2017 et des années précédentes). Le CPVP avait aussi indiqué qu’il était préoccupé par le manque d’engagement du CANAFE à donner suite à la recommandation.	Satisfaisante En mars 2023, le CANAFE a éliminé des documents liés à des examens de conformité des entités déclarantes autres que bancaires effectués en 2017 et au cours des années précédentes, ainsi qu’à des examens de conformité des entités déclarantes bancaires effectués en 2017 et au cours des années précédentes. Le CANAFE a également décrit les mesures qu’il avait prises pour donner suite à la recommandation du CPVP : i) il a entrepris, en décembre 2021, un exercice de validation d’un échantillon sélectionné de dossiers d’examen (le rapport final a été communiqué en interne en janvier 2023); ii) par suite de l’exercice de validation, le CANAFE a mis à jour son matériel de formation et harmonisé ses procédures d’exploitation normalisées avec les orientations et les principes du CPVP; iii) deux examens internes d’assurance de la qualité ont été réalisés pour déterminer si les renseignements des clients étaient conservés adéquatement et pour établir si les politiques et les procédures internes relativement aux exercices de minimisation et de suppression des données (c’est-à-dire supprimer les données des dossiers d’examen lorsqu’elles ne sont pas nécessaires pour faire la preuve des lacunes de conformité) ont été respectées; iv) certains types de documents ont été automatiquement supprimés en bloc^{Note de bas de page 52}; v) une liste de documents assujettis à un examen manuel aux fins de suppression échelonnée sur deux ans a été créée; vi) un programme d’examen d’assurance de la qualité a été créé pour évaluer en continu le respect des politiques et procédures relativement à la suppression des données des dossiers d’examen.
Mise à jour du CANAFE Contrôle initial visant à s’assurer que les rapports conservés par le CANAFE respectent le seuil de déclaration : En 2021, le CPVP s’est déclaré satisfait des mesures prises par le CANAFE pour poursuivre ses efforts en vue de mettre en œuvre un contrôle initial solide et complet des déclarations reçues afin de s’assurer que les rapports qu’il conserve respectent le seuil de déclaration imposé par la loi et ne contiennent pas de renseignements personnels non nécessaires ou excessifs. Le CANAFE a indiqué que les changements aux systèmes de déclaration seraient mis en œuvre parallèlement aux changements à apporter aux formulaires de déclaration.	Le CANAFE a fait état de son processus échelonné sur plusieurs années, visant à développer et offrir de nouveaux formulaires génération 2.0 pour tous les types de déclaration. Ces formulaires comprennent des indicateurs qui devraient permettre de mieux repérer les déclarations excessives et éliminer, dans la mesure du possible, les préoccupations relatives à la collecte et à la conservation de rapports que le CANAFE n’avait pas le droit de recevoir selon la loi, en établissant des liens entre les opérations, en relevant les défis liés aux taux de change et à la valeur des opérations, ainsi qu’en appliquant d’autres mesures visant à réduire les erreurs humaines et à améliorer la qualité des données. À cet égard, le CANAFE a déployé d’importants efforts pour produire du matériel de référence et sensibiliser les entités déclarantes aux changements apportés au processus de déclaration et à l’utilisation des formulaires génération 2.0.

Constatations et recommandations de 2021

Évaluation

1. Examiner et supprimer manuellement les déclarations de biens appartenant à un groupe terroriste (DBGT) qui ne respectent pas le seuil de déclaration :

Le CPVP a soulevé à de nombreuses reprises ses préoccupations concernant la conservation par le CANAFE de déclarations reçues en raison d’appariements « possibles » aux listes de terroristes. En 2017, le CANAFE a accepté la recommandation du CPVP d’examiner manuellement toutes les déclarations de biens appartenant à un groupe terroriste (DBGT) et de supprimer immédiatement celles qui sont désignées comme ne respectant pas le seuil de déclaration.

En 2021, le CANAFE a confirmé que chacune des 48 DBGT reçues au cours des 4 dernières années a fait l’objet d’un examen manuel, mais que, selon lui, aucune n’avait respecté le seuil de suppression. Toutefois, cela ne tenait pas compte de l’existence de déclarations déjà reçues et faisant partie des fonds du CANAFE en fonction « d’appariements possibles » avec les listes de terroristes (comme il est décrit dans notre rapport de 2017). Le CPVP a constaté que cela allait à l’encontre de l’engagement exprès qu’avait pris le CANAFE en 2017, selon lequel il devait examiner toutes les DBGT dans ses fonds de renseignements et supprimer celles pour lesquelles une appartenance à un groupe terroriste n’est plus soupçonnée. Le CPVP a exprimé ses préoccupations quant au manque de suivi du CANAFE à l’égard de ses engagements formels. La réponse du CANAFE ne nous a pas permis de conclure qu’il a mis en œuvre notre recommandation ou qu’il y a donné suite.

Satisfaisante

Le CANAFE a confirmé qu’il a examiné manuellement toutes les DBGT de ses fonds de renseignements pour s’assurer qu’elles respectaient le seuil de déclaration établis par la loi. De plus, le CANAFE a indiqué qu’il examine manuellement toutes les DBGT dès leur réception pour vérifier qu’elles sont conformes à la LRPCFAT. Le CANAFE a aussi précisé que toutes les DBGT reçues depuis le dernier examen respectaient le seuil de déclaration qui lui permet de les recevoir et de les conserver (pendant au moins 10 ans).

2. Éviter de recueillir des renseignements personnels inutiles dans le cadre des exercices de conformité (et éliminer de tels renseignements lorsqu’ils sont déjà reçus) :

En plus de son mandat lié au renseignement financier, le CANAFE est chargé de veiller à ce que les entités déclarantes respectent leurs obligations au titre de la LRPCFAT et de ses Règlements. Cette fonction implique les renseignements personnels, détenus par les entités déclarantes pour mener leurs activités ou remplir leurs obligations réglementaires.

En 2017, le CPVP a recommandé au CANAFE de donner suite à nos préoccupations selon lesquelles son programme de conformité (qui veille à ce que les entités déclarantes s’acquittent de leurs obligations au titre de la LRPCFAT) recueillait et conservait des renseignements personnels non nécessaires. Le CANAFE avait accepté nos recommandations et nous a fait part des mesures qu’il prenait pour répondre à nos préoccupations. Toutefois, l’examen de 2021 a relevé une question qui demeurait en suspens : le CANAFE n’avait fourni aucune indication que des renseignements personnels non nécessaires avaient été supprimés des dossiers de conformité déjà existants (seuls les dossiers liés aux examens menés dans le secteur bancaire à Toronto avaient été mentionnés). En outre, plusieurs des mesures que le CANAFE prévoyait prendre pour mettre en œuvre la recommandation du CPVP n’étaient assorties d’aucun échéancier.

Le CPVP avait réitéré sa recommandation voulant que le CANAFE supprime les renseignements personnels qui n’étaient pas nécessaires pour faire la preuve des lacunes de conformité des dossiers d’examen déjà existants (c’est-à-dire ceux de 2017 et des années précédentes). Le CPVP avait aussi indiqué qu’il était préoccupé par le manque d’engagement du CANAFE à donner suite à la recommandation.

Satisfaisante

En mars 2023, le CANAFE a éliminé des documents liés à des examens de conformité des entités déclarantes autres que bancaires effectués en 2017 et au cours des années précédentes, ainsi qu’à des examens de conformité des entités déclarantes bancaires effectués en 2017 et au cours des années précédentes.

Le CANAFE a également décrit les mesures qu’il avait prises pour donner suite à la recommandation du CPVP : i) il a entrepris, en décembre 2021, un exercice de validation d’un échantillon sélectionné de dossiers d’examen (le rapport final a été communiqué en interne en janvier 2023); ii) par suite de l’exercice de validation, le CANAFE a mis à jour son matériel de formation et harmonisé ses procédures d’exploitation normalisées avec les orientations et les principes du CPVP; iii) deux examens internes d’assurance de la qualité ont été réalisés pour déterminer si les renseignements des clients étaient conservés adéquatement et pour établir si les politiques et les procédures internes relativement aux exercices de minimisation et de suppression des données (c’est-à-dire supprimer les données des dossiers d’examen lorsqu’elles ne sont pas nécessaires pour faire la preuve des lacunes de conformité) ont été respectées; iv) certains types de documents ont été automatiquement supprimés en bloc^{Note de bas de page 52}; v) une liste de documents assujettis à un examen manuel aux fins de suppression échelonnée sur deux ans a été créée; vi) un programme d’examen d’assurance de la qualité a été créé pour évaluer en continu le respect des politiques et procédures relativement à la suppression des données des dossiers d’examen.

Mise à jour du CANAFE

Contrôle initial visant à s’assurer que les rapports conservés par le CANAFE respectent le seuil de déclaration :

En 2021, le CPVP s’est déclaré satisfait des mesures prises par le CANAFE pour poursuivre ses efforts en vue de mettre en œuvre un contrôle initial solide et complet des déclarations reçues afin de s’assurer que les rapports qu’il conserve respectent le seuil de déclaration imposé par la loi et ne contiennent pas de renseignements personnels non nécessaires ou excessifs. Le CANAFE a indiqué que les changements aux systèmes de déclaration seraient mis en œuvre parallèlement aux changements à apporter aux formulaires de déclaration.

Le CANAFE a fait état de son processus échelonné sur plusieurs années, visant à développer et offrir de nouveaux formulaires génération 2.0 pour tous les types de déclaration. Ces formulaires comprennent des indicateurs qui devraient permettre de mieux repérer les déclarations excessives et éliminer, dans la mesure du possible, les préoccupations relatives à la collecte et à la conservation de rapports que le CANAFE n’avait pas le droit de recevoir selon la loi, en établissant des liens entre les opérations, en relevant les défis liés aux taux de change et à la valeur des opérations, ainsi qu’en appliquant d’autres mesures visant à réduire les erreurs humaines et à améliorer la qualité des données.

À cet égard, le CANAFE a déployé d’importants efforts pour produire du matériel de référence et sensibiliser les entités déclarantes aux changements apportés au processus de déclaration et à l’utilisation des formulaires génération 2.0.

Annexe B : Résumé des recommandations du CPVP au CANAFE et à SPC

Recommandations au CANAFE

Recommandation 1 : que le CANAFE termine l’analyse des renseignements qu’il détient et élabore un plan priorisant la suppression des déclarations inférieures au seuil de déclaration. Le CANAFE devra fournir au CPVP, d’ici la fin du mois de mars 2025, un plan d’action précisant entre autres les étapes clés et un échéancier menant à l’achèvement de la mise en œuvre de cette recommandation.

Recommandation 2 : que le CANAFE reprenne, de façon sécuritaire, ses activités automatisées de suppression afin d’assurer le respect de l’exigence de supprimer des renseignements qu’il détient depuis plus de 15 ans, prévue par la LRPCFAT.

Recommandation 3 : que le CANAFE surveille et évalue l’efficacité des formulaires génération 2.0 par rapport à la suppression des déclarations inférieures au seuil de déclaration qu’il reçoit. Au besoin, le CANAFE devra établir et mettre en œuvre un processus permanent pour repérer et supprimer ces déclarations en temps opportun.

Recommandation 4 : que le CANAFE prenne les mesures nécessaires pour i) optimiser son utilisation des capacités de l’outil de GIES et ii) cerner et corriger les lacunes qui subsistent relativement aux journaux d’activités, et améliorer sa capacité à détecter les activités suspectes, y compris les menaces internes.

Recommandation 5 : que le CANAFE révise son PCA afin d’y inclure un éventail d’interruptions de service possibles, y compris des perturbations touchant les systèmes de TI et de télécommunications, ainsi que des mesures visant la protection continue de ses fonds de renseignements personnels et le respect de ses obligations légales.

Recommandation 6 : que le CANAFE élabore une stratégie de sortie du nuage informatique officielle pour assurer la continuité de ses activités et gérer les risques, conformément aux principes énoncés dans la Stratégie d’adoption de l’informatique en nuage et aux exigences pertinentes de l’Orientation du GC.

Recommandation 7 : que le CANAFE corrige les lacunes qui subsistent, repérées au moyen des exercices d’hameçonnage et de tests d’intrusion, en menant à bien les activités d’atténuation recommandées.

Recommandation 8 : que le CANAFE mène une évaluation interne complète de la sécurité de ses systèmes chaque année et une évaluation externe (c’est-à-dire indépendante) complète de sécurité au moins tous les deux ans.

Recommandation 9 : que le CANAFE mène des tests d’intrusion réguliers, y compris un test d’intrusion externe (c’est-à-dire indépendant) complet et annuel.

Recommandation à SPC

Recommandation 1 : que SPC donne au CANAFE les accès nécessaires aux journaux d’activités associés à l’infrastructure sur laquelle le CANAFE s’appuie, afin de soutenir ses efforts visant à détecter et atténuer les menaces.

Notes de bas de page

Note de bas de page 1

Le CANAFE reçoit, conserve et protège plus de 35 millions de déclarations d’opérations financières chaque année et il génère des renseignements financiers exploitables destinés aux organismes canadiens d’application de la loi et de sécurité nationale. En 2022‑2023, le CANAFE a transmis 2 085 communications de renseignements financiers à l’appui d’enquêtes sur le blanchiment d’argent et le financement d’activités terroristes au Canada et dans le monde entier. Source : Rapport annuel de 2022‑2023 du CANAFE : Canadiens en sécurité, économie sûre.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Voir par exemple l’article 55 de la LRPCFAT (Communication et utilisation des renseignements). Pour un aperçu de la façon dont le CANAFE recueille, utilise et communique des renseignements personnels, voir l’introduction de l’examen du CANAFE fait par le CPVP en 2021.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Entre autres la Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée, qui comprend l’annexe C : Norme sur l’évaluation des facteurs relatifs à la vie privée.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Il s’agit entre autres des procédures relatives aux mesures de filtrage de sécurité, à la sécurité de la TI, à la sécurité matérielle, à la sécurité en matière de gestion de la continuité des activités, à la sécurité de la gestion des renseignements, aux exigences en matière de sécurité lors de l’octroi de contrats et d’autres ententes, à la gestion d’événements liés à la sécurité et à la sensibilisation et la formation sur la sécurité.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Lors des examens précédents, le CPVP a évalué le respect de diverses dispositions de la Loi sur la protection des renseignements personnels (p. ex. les articles 4 à 8, qui portent sur la façon dont les institutions recueillent, utilisent, conservent et communiquent les renseignements personnels) par le CANAFE.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

La propriété de l’infrastructure appuyant les systèmes principaux et les fonds de données électroniques du CANAFE a été transférée à SPC en 2012. Les deux institutions exercent une responsabilité partagée quant à la protection des systèmes et des renseignements personnels reçus, recueillis et gérés par voie électronique dans le cadre des activités prescrites du CANAFE. SPC héberge les données détenues par le CANAFE dans son infrastructure de TI, conformément à son mandat de mettre en œuvre des approches organisationnelles de gestion des services d’infrastructure de TI et d’utiliser des processus de gestion d’entreprise efficaces et efficients. Voir le mandat de SPC et la Loi sur Services partagés Canada.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Cela comprend une révision des documents pertinents, notamment les politiques, normes, lignes directrices, cadres et processus opérationnels, et des rencontres avec les principaux responsables. Dans le cadre du présent examen, nous n’avons pas étudié la mise en œuvre des politiques et des processus ni testé les systèmes.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

CANAFE : Mise en œuvre de systèmes en ligne.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

CANAFE : Assurance de la protection des données et reprise des systèmes en ligne.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Le CANAFE a mis en place des mesures temporaires afin que les entités déclarantes puissent identifier et déclarer des opérations; il a aussi publié des directives et des échéanciers concernant la mise en œuvre de ses systèmes en ligne : Modernisation et changements à venir ayant une incidence sur les entités déclarantes.

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Parmi les entités déclarantes au titre de la LRPCFAT, on trouve les entités financières (banques, coopératives de crédit, sociétés d’assurance-vie et sociétés de fiducie); les casinos; les négociants en métaux précieux et pierres précieuses; les entreprises de services monétaires; les courtiers, agents ou promoteurs immobiliers (relativement à certaines activités); et autres (voir l’article 5 de la LRPCFAT). Depuis le dernier examen du CPVP, les plateformes de sociofinancement, les fournisseurs de services de paiement et les services de voitures blindées ont été ajoutés à la liste des entités déclarantes. De plus, depuis le 11 octobre 2024, les personnes et les entités œuvrant dans le secteur des prêts hypothécaires sont assujetties aux exigences de la LRPCFAT (voir les Exigences de CANAFE : Administrateurs, courtiers et prêteurs hypothécaires).

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Le 20 juin 2024, soit durant notre examen, la Loi d’exécution du budget de 2024, qui comprend des modifications à la LRPCFAT, a reçu la sanction royale. Parmi ces modifications, mentionnons l’introduction d’un régime d’échange de renseignements entre les organisations du secteur privé qui facilitera la communication d’information entre les institutions financières et d’autres entités déclarantes. Pour en savoir plus sur les commentaires et recommandations du CPVP relativement à l’échange de renseignements, voir le Mémoire du CPVP à la protection de la vie privée du Canada à l’intention du ministère des Finances du Canada (10 août 2023).

Retour à la référence de la note de bas de page 12

Note de bas de page 13

Par exemple, la Loi d’exécution du budget de 2024 prévoit aussi des circonstances dans lesquelles le CANAFE peut communiquer des renseignements au ministère de la Citoyenneté et de l’Immigration et aux organismes provinciaux chargés de la confiscation des biens au civil.

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Ces constatations portaient sur les éléments suivants : i) examiner et supprimer les déclarations de biens appartenant à un groupe terroriste (DBGT) qui ne respectent pas le seuil de déclaration; et ii) éviter de recueillir des renseignements personnels non nécessaires dans le cadre des exercices de conformité. Nous communiquons également une mise au point du CANAFE relativement à notre recommandation précédente concernant le contrôle initial.

Retour à la référence de la note de bas de page 14

Note de bas de page 15

CANAFE : Rapport final (2009), paragraphe 79.

Retour à la référence de la note de bas de page 15

Note de bas de page 16

LRPCFAT, paragraphe 54(2) : Destruction de certains renseignements.

Retour à la référence de la note de bas de page 16

Note de bas de page 17

En 2017, le CPVP a recommandé au CANAFE de supprimer les DTV et les DOIE inférieures au seuil de déclaration qui n’étaient pas visées par la règle de 24 heures, puisqu’il n’était pas autorisé à les conserver selon la loi. Le CANAFE a accepté la recommandation et précisé de quelle façon il comptait supprimer ces déclarations.

Retour à la référence de la note de bas de page 17

Note de bas de page 18

Le CANAFE a déclaré qu’il avait récemment mis à jour ses directives à l’intention des entités déclarantes au sujet des déclarations assujetties à la règle de 24 heures et qu’il avait prévu plusieurs initiatives (sans préciser d’échéancier). En 2021, le CPVP a conclu que les mesures proposées par le CANAFE, ainsi que l’absence d’un échéancier de mise en œuvre, ne réglaient pas complètement la question de l’existence de déclarations que le CANAFE avait reçues et conservées, et qu’il n’était pas autorisé à recevoir selon la loi.

Retour à la référence de la note de bas de page 18

Note de bas de page 19

Les entités déclarantes doivent traiter de multiples opérations effectuées au cours d’une période de 24 heures comme une seule opération. Ce concept est appelé « la règle de 24 heures ». Plus précisément, la règle de 24 heures est l’exigence visant à regrouper de multiples opérations du même type lorsqu’elles : i) totalisent 10 000 $ ou plus; ii) ont été effectuées au cours d’une période de 24 heures consécutives; iii) et font partie du même type de regroupement (personne qui effectue l’opération, bénéficiaire ou pour le compte de [tiers]). Voir Déclaration d’opérations à CANAFE : la règle de 24 heures.

Retour à la référence de la note de bas de page 19

Note de bas de page 20

Le CANAFE a indiqué qu’il avait reçu, par le passé, des déclarations inférieures au seuil de déclaration d’entités déclarantes qu’il n’était pas autorisé à recevoir et conserver selon la loi. En date de juillet 2016, le CANAFE avait reçu environ 80 000 DTV et 150 000 DOIE qu’il n’avait pas le droit de conserver selon la loi (c’est-à-dire que ces déclarations étaient inférieures au seuil de déclaration de 10 000 $ et qu’elles n’étaient pas visées par la règle de 24 heures). Dans ses rapports de 2017 et de 2021, le CPVP a soulevé des préoccupations quant au manque d’engagement du CANAFE à aller de l’avant avec la suppression des déclarations qu’il n’aurait pas dû conserver.

Retour à la référence de la note de bas de page 20

Note de bas de page 21

Les systèmes existants du CANAFE rendent difficiles l’identification et la suppression des déclarations inférieures au seuil de déclaration en raison de lacunes dans les formulaires de déclaration et les règles opérationnelles (p. ex. ils n’ont pas les fonctionnalités permettant d’effectuer le type d’analyses requises pour identifier les déclarations qui ne respectent pas les seuils à partir de grands ensembles de données).

Retour à la référence de la note de bas de page 21

Note de bas de page 22

Par exemple, les opérations liées doivent être soumises ensemble au cours d’une période de 24 heures; les totaux des déclarations et des opérations ainsi que les taux de change sont beaucoup plus faciles à établir; et l’introduction de définitions réutilisables garantira à 100 % qu’une même personne soit mentionnée pour différentes opérations (correspondance des entités).

Retour à la référence de la note de bas de page 22

Note de bas de page 23

En vertu de la LRPCFAT, le CANAFE est tenu de conserver les déclarations pendant 10 ans et de détruire les déclarations qu’il détient depuis plus de 15 ans (si elles n’ont pas fait l’objet d’une communication à un organisme d’application de la loi; des délais prolongés s’appliquent aux déclarations ayant fait l’objet d’une communication). Le CANAFE a pour politique de supprimer les déclarations à leur dixième anniversaire. Pour illustrer ce qui précède, le CANAFE a supprimé plus de 17 millions de déclarations qu’elles détenaient depuis plus de 10 ans en 2021‑2022, plus de 18 millions en 2022‑2023 et plus de 16 millions en 2023‑2024.

Retour à la référence de la note de bas de page 23

Note de bas de page 24

Le CANAFE s’appuyait sur le système de suppression des déclarations pour supprimer automatiquement celles qui atteignaient leur dixième anniversaire et ainsi respecter ses obligations prévues à l’alinéa 54(1)e) de la LRPCFAT (qui prévoit que les déclarations détenues depuis plus de 15 ans doivent être détruites si elles n’ont pas fait l’objet d’une communication aux organismes d’application de la loi).

Retour à la référence de la note de bas de page 24

Note de bas de page 25

Voir l’annexe B de la Directive sur la gestion de la sécurité.

Retour à la référence de la note de bas de page 25

Note de bas de page 26

Comme il est indiqué dans la Politique sur la sécurité du gouvernement, l’évaluation de sécurité est un processus continu d’évaluation des pratiques et des mesures de sécurité visant à déterminer la mesure dans laquelle elles ont été mises en œuvre comme il se doit, si elles fonctionnent comme prévu et si elles atteignent les résultats escomptés en ce qui a trait au respect des exigences en matière de sécurité prévues. L’autorisation de sécurité correspond au processus continu d’obtenir et de maintenir une décision sur la gestion des risques en matière de sécurité et d’accepter explicitement le risque résiduel en s’appuyant sur les résultats de l’évaluation de sécurité. Cette autorisation est appelée « autorisation d’exploitation » (AE). Un certificat d’AE est un document clé qui contient les résultats de l’évaluation de sécurité portant sur les logiciels et le matériel utilisés par les ministères fédéraux ainsi que l’acceptation des risques associés aux logiciels et au matériel en question par le ministère.

Retour à la référence de la note de bas de page 26

Note de bas de page 27

Des AE provisoires peuvent être accordées lorsque des applications ne répondent pas à toutes les exigences en matière de sécurité et de conformité, mais qu’on considère que les mesures de sécurité en suspens ne dépassent pas un niveau de risque acceptable. Un plan de mise en œuvre des recommandations relatives aux mesures de sécurité en suspens doit être préparé et il doit démontrer comment ces mesures seront appliquées durant la période provisoire.

Retour à la référence de la note de bas de page 27

Note de bas de page 28

L’AE est assujettie aux conditions suivantes : i) le renforcement continu des systèmes (par l’application des processus de cycle de vie et des correctifs de routine); ii) la gouvernance des services tout au long de leur cycle de vie; et iii) la vérification réussie du déploiement et du fonctionnement des capteurs de l’hôte pour la détection des activités malveillantes. Les conditions générales ont trait i) aux activités de gestion des vulnérabilités; ii) à l’obtention d’autorisations nouvelles ou mises à jour, dans certaines circonstances; et iii) à la mise hors service de façon appropriée, le cas échéant.

Retour à la référence de la note de bas de page 28

Note de bas de page 29

La norme en matière de sécurité des TI sur l’évaluation et l’autorisation de sécurité du CANAFE décrit les processus et les responsabilités connexes utilisés afin d’évaluer et de mesurer les exigences clés des activités de gestion des risques liés à la sécurité relativement aux systèmes d’information établies dans sa Directive sur la sécurité des TI.

Retour à la référence de la note de bas de page 29

Note de bas de page 30

Conformément à l’annexe B (B.2.3.8 Gestion de l’audit des systèmes d’information) de la Directive sur la gestion de la sécurité.

Retour à la référence de la note de bas de page 30

Note de bas de page 31

Le Programme d’évaluation et de gestion des vulnérabilités (PEGV) comprend tous les environnements et l’infrastructure détenus ou utilisés par le CANAFE, incluant les logiciels et le matériel informatique liés aux réseaux, aux serveurs, aux postes de travail et à l’infrastructure des applications. Le PEGV comprend six composantes clés, soit l’évaluation de l’hôte (physique et virtuel), l’évaluation du réseau, l’évaluation de l’application, les alertes de TI et la réaction qui s’en suit, l’audit et la maintenance de sécurité, ainsi que les tests d’intrusion.

Retour à la référence de la note de bas de page 31

Note de bas de page 32

SPC héberge les données détenues par le CANAFE dans son infrastructure de TI, conformément à son mandat visant à mettre en œuvre des approches organisationnelles de gestion des services d’infrastructure de TI. Voir la note de bas de page no 6.

Retour à la référence de la note de bas de page 32

Note de bas de page 33

Le CANAFE a indiqué qu’il avait déjà pris des mesures pour mettre à jour son modèle de PCA en fonction des exigences de la Directive sur la gestion de la sécurité du SCT. De plus, il a déclaré que l’unité de planification de la continuité des activités collaborera avec tous les secteurs pour faire en sorte que les fonds de renseignements personnels décrits dans le plan de reprise après sinistre du CANAFE soient intégrés à leur PCA dans les six mois.

Retour à la référence de la note de bas de page 33

Note de bas de page 34

Le modèle de PCA décrit les dispositions et mesures de continuité pour chaque secteur, notamment les services et activités essentiels pour chacun; la continuité des activités (trois phases, soit l’intervention immédiate, la mise en œuvre de la continuité des activités et la démobilisation); les ressources nécessaires pour assurer la continuité des fonctions opérationnelles; l’identification des clients (les intervenants qui peuvent être touchés par la perturbation); et une liste des employés essentiels.

Retour à la référence de la note de bas de page 34

Note de bas de page 35

L’annexe D de la Directive sur la gestion de la sécurité décrit les procédures obligatoires relatives aux mesures de sécurité en matière de gestion de la continuité des activités. Elles comprennent les pratiques en matière de continuité des activités, l’analyse des incidences sur les activités, les mesures et arrangements de continuité, la sensibilisation et la formation, les essais et exercices, la surveillance et les mesures correctives. Nous avons aussi tenu compte du Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), qui définit le PCA comme l’un des nombreux mécanismes d’intervention possibles en cas de cyberincidents, de même que du Guide du programme de gestion de la continuité des activités du Centre de gestion de la continuité et de la résilience (2023).

Retour à la référence de la note de bas de page 35

Note de bas de page 36

Le CPVP reconnaît qu’un éventail de politiques en matière de sécurité et de TI guident l’intervention en cas de perturbation numérique ou de cyberperturbation. Toutefois, la planification des activités est une obligation pour tous les ministères fédéraux et, comme nous l’avons mentionné dans notre rapport de 2021, elle doit inclure des mesures visant à protéger les fonds de renseignements personnels.

Retour à la référence de la note de bas de page 36

Note de bas de page 37

Stratégie d’adoption de l’informatique en nuage (2023) : En évoluant vers le principe de l’informatique en nuage intelligente, le GC rationalisera les portefeuilles d’applications et s’alignera sur le modèle d’hébergement qui convient le mieux. Cette stratégie aidera les ministères à prendre des décisions relatives à la modernisation et à relever les défis auxquels ils sont confrontés.

Retour à la référence de la note de bas de page 37

Note de bas de page 38

La posture de sécurité renvoie au niveau de préparation général d’une organisation ou d’une institution en matière de cybersécurité.

Retour à la référence de la note de bas de page 38

Note de bas de page 39

Le CANAFE utilise les services infonuagiques pour soutenir ses activités opérationnelles (processus opérationnels et données associées) dont le niveau de sécurité va jusqu’à Protégé B.

Retour à la référence de la note de bas de page 39

Note de bas de page 40

Les mesures de sécurité de l’infrastructure infonuagique couvrent les comptes et les autorisations des utilisateurs internes, l’authentification des utilisateurs externes, les mesures applicables aux passerelles d’applications mandataires, les pare-feux pour les applications Web, les capteurs au niveau du nuage et la surveillance du périmètre du CCC, les communications chiffrées, la tenue de registres et les alertes.

Retour à la référence de la note de bas de page 40

Note de bas de page 41

Les Mesures de protection du nuage du gouvernement du Canada ont été choisies afin que les environnements infonuagiques soient dotés d’un ensemble minimal de configurations permettant l’atteinte des objectifs qui y sont décrits, notamment le respect des exigences décrites dans l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01. Celle-ci prévoit que les ministères doivent régler les questions de sécurité et modifier les exigences de sécurité tout au long des stades du cycle chronologique d’élaboration des systèmes, notamment dans le cadre d’une stratégie de sortie pour les services infonuagiques. De plus, d’après les principes d’adoption de l’informatique en nuage énoncés dans la Stratégie d’adoption de l’informatique en nuage du SCT, les ministères doivent élaborer une stratégie de sortie appropriée pour assurer la continuité des activités et la gestion des risques.

Retour à la référence de la note de bas de page 41

Note de bas de page 42

Une stratégie de sortie de l’informatique en nuage est un ensemble de mesures mises en place par une organisation pour assurer la transition de ses données, de ses applications et de ses services d’un environnement infonuagique vers une infrastructure locale ou vers un autre FSIN. Il s’agit en fait d’un plan d’urgence qui permet à une organisation de quitter son FSIN sans heurts et de façon efficiente, au besoin (p. ex. en cas de panne des services infonuagiques).

Retour à la référence de la note de bas de page 42

Note de bas de page 43

Déclaration sur l’utilisation de l’intelligence artificielle par CANAFE.

Retour à la référence de la note de bas de page 43

Note de bas de page 44

Voir l’Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information.

Retour à la référence de la note de bas de page 44

Note de bas de page 45

Ces exercices simulent des attaques par hameçonnage, une pratique qui consiste à envoyer des communications frauduleuses qui semblent provenir d’une source fiable. Elles sont normalement envoyées par courriels.

Retour à la référence de la note de bas de page 45

Note de bas de page 46

Le test d’intrusion est un exercice de sécurité au cours duquel un expert en cybersécurité tente de trouver et d’exploiter les vulnérabilités d’un système informatique. Ces exercices avaient pour but d’évaluer le risque qu’un acteur malveillant puisse compromettre l’environnement du CANAFE (p. ex. en exploitant les failles du système ou au moyen d’une menace interne).

Retour à la référence de la note de bas de page 46

Note de bas de page 47

Cette attente correspond à des normes internationalement reconnues, notamment la norme 800-53 du National Institute of Standards and Technology (NIST). Le CPVP a pris en compte cette norme lorsqu’il a évalué l’efficacité des mesures de protection, autant dans le secteur public que dans le secteur privé.

Retour à la référence de la note de bas de page 47

Note de bas de page 48

Voir par exemple l’Enquête sur la conformité d’Equifax Inc. et d’Equifax Canada à la LPRPDE à la suite de l’atteinte à la sécurité des renseignements personnels en 2017 et l’Enquête sur la communication et la modification non autorisées de renseignements personnels détenus par l’Agence du revenu du Canada et Emploi et Développement social Canada découlant de cyberattaques menées par le CPVP.

Retour à la référence de la note de bas de page 48

Note de bas de page 49

Voir la note de bas de page 47.

Retour à la référence de la note de bas de page 49

Note de bas de page 50

Par perfectionnement, on entend que les employés apprennent des compétences afin d’améliorer leur rendement dans leur rôle actuel.

Retour à la référence de la note de bas de page 50

Note de bas de page 51

Voir l’annexe B [Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information] de la Directive sur la gestion de la sécurité du SCT ainsi que l’Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS).

Retour à la référence de la note de bas de page 51

Note de bas de page 52

Le CANAFE a soustrait de cette suppression deux types de documents puisqu’ils sont peu susceptibles de contenir des renseignements personnels, soit les politiques et les procédures, ainsi que les évaluations des risques.

Retour à la référence de la note de bas de page 52

Date de modification :: 2024-12-05

Sélection de la langue

Recherche et menus

Recherche