Cyberdéfense: banque clé d'infos personnelles

OTTAWA – L’agence canadienne d’espionnage électronique affirme recueillir et parfois conserver des informations personnelles — incluant les noms et courriels de Canadiens — dans le cadre d’efforts pour protéger des réseaux névralgiques contre des cyberattaques.

Le Centre de la sécurité des télécommunications Canada (CSTC) maintient une banque d’information contenant des renseignements personnels sur «potentiellement tout individu» communiquant de manière électronique avec un réseau informatique clé pendant que le CSTC évalue sa vulnérabilité.

L’information dans la banque — désignée CSEC PPU 007 — est conservée pendant une période allant jusqu’à 30 ans avant d’être transférée à Bibliothèque et Archives Canada, indique une description dans le guide Info Source, qui énumère les diverses catégories de renseignements personnels conservés par le gouvernement.

La note indique que les renseignements personnels peuvent être utilisés pour «évaluer les menaces potentielles aux systèmes de technologie de l’information», et pour aider à assurer la sécurité de ces réseaux.

Le document met en lumière un aspect méconnu du travail du CSTC, soit l’évaluation des menaces et les analyses des technologies visant à renforcer la défense contre les cyberattaques ciblant les réseaux informatiques gouvernementaux.

Des données récemment obtenues en vertu de la Loi sur l’accès à l’information indiquent que le CSTC prévoyait concentrer ses activités de cyber-défense en 2012-2013 sur ses propres réseaux informatiques et ceux de trois autres institutions fédérales: la Défense nationale, les Affaires étrangères et Services partagés Canada, qui fournit à 43 ministères partenaires des services de courriel, des centres de données et des réseaux regroupés et uniformisés.

La note sur Info Source mentionne que les renseignements personnels peuvent inclure nom et prénom, courriel, adresse Internet IP et autres métadonnées.

Ces renseignements dans la banque peuvent être partagés avec des services de police au pays ou des «organismes étrangers» en respect d’ententes formelles, indique-t-on.

Ces «organismes étrangers» sont sans nul doute les partenaires du CSTC du Groupe des cinq — l’Agence de sécurité nationale (NSA) aux États-Unis et les agences similaires au Royaume-Uni, en Australie et en Nouvelle-Zélande, a souligné Wesley Wark, professeur invité à l’école d’affaires publiques et internationales de l’Université d’Ottawa.

Le document obtenu en vertu de la Loi sur l’accès à l’information indique que si le CSTC intercepte une communication privée canadienne sous autorisation ministérielle, «elle peut être utilisée ou conservée seulement si elle est jugée essentielle aux affaires internationales, à la défense ou la sécurité».