Audit de l’interception des communications des détenus

Sigles et abréviations

Glossaire

1.0 Introduction

1.1 Contexte

L’audit de l’interception des communications des détenus a été mené conformément au Plan d’audit axé sur les risques (PARR) de 2017-2020 du Service correctionnel du Canada (SCC). L’audit découle de la priorité générale du SCC visant à assurer « la sécurité des membres du public, y compris des victimes, du personnel et des délinquants dans nos établissements et dans la collectivité »^{Note de bas de page 12}, ainsi que du risque organisationnel que « le SCC ne puisse assurer les niveaux de sécurité opérationnelle requis en établissement et dans la collectivité »^{Note de bas de page 13}.

Dans le but d’assurer la sécurité dans les établissements et conformément aux exigences prévues dans le Règlement sur le système correctionnel et la mise en liberté sous condition (RSCMLC) et le Code criminel, les communications des détenus peuvent être interceptées afin d’obtenir des renseignements susceptibles d’aider à éviter et à gérer un acte qui compromettrait la sécurité du pénitencier ou de quiconque. La Loi sur le système correctionnel et la mise en liberté sous condition (LSCMLC) autorise le SCC à intercepter les communications privées des détenus sans autorisation judiciaire. Étant donné l’importance de cette autorité et son impact sur les droits du détenu à la protection de la vie privée, il est essentiel que le SCC ait mis en place un cadre adéquat et efficace pour veiller à ce que les communications des détenus soient interceptées conformément aux exigences législatives.

Comme le prévoit le Code criminel, le terme intercepter comprend aussi le fait « d’écouter, d’enregistrer ou de prendre volontairement connaissance d’une communication ou de sa substance, son sens ou son objet ». Conformément au RSCMLC, le SCC est autorisé à intercepter les communications entre détenus, y compris les lettres (courrier), les appels téléphoniques et les communications en cours de visite. De plus, le SCC peut devoir intercepter des communications au nom d’un organisme externe (c.‑à‑d. la GRC) en vertu d’une autorisation judiciaire ou relative à la sécurité nationale (fournie par un juge).

Le tableau suivant présente le nombre d’autorisations d’interception des communications des détenus émises au cours de l’exercice 2017-2018.

Le SCC a la responsabilité d’encourager les détenus à établir et à entretenir des liens avec des membres de leur famille et de la collectivité au moyen de lettres et de communications téléphoniques, conformément au principe relatif à la protection du public, des membres du personnel et des délinquants^{Note de bas de page 14}. En temps normal, le contenu du courrier ne doit pas être lu, mais si l’interception de la communication d’un détenu a été autorisée, elle sera sortie du lot à l’étape du traitement du courrier et sera acheminée à l’ARS aux fins d’examen, avant d’être livrée.

Système téléphonique des détenus^{Note de bas de page 15}

Le SCC a conclu un marché avec Bell Canada (Bell) en vue d’obtenir un système téléphonique des détenus (STD) entièrement intégré. [EXPURGÉ] .

Le SCC a établi un profil pour chaque détenu qui comporte l’ensemble de données primaires utilisé pour gérer toutes les activités du détenu dans le STD. Le profil du détenu comprend le nom du détenu, son numéro d’identification personnel (NIP) unique, le numéro du Système d’empreintes digitales (SED), la liste personnelle, la liste des numéros fréquents autorisés applicable, ainsi que l’établissement actuel et les établissements antérieurs.

[EXPURGÉ] . Deux listes sont établies au SCC : la liste des numéros fréquents autorisés et la liste personnelle.

La liste des numéros fréquents autorisés contient les numéros que tous les détenus peuvent composer. Ces numéros sont habituellement associés à des personnes et des organisations qui favorisent la réadaptation du détenu et certains sont des correspondants privilégiés (c.‑à‑d. le commissaire à la protection de la vie privée, l’enquêteur correctionnel, etc.). En temps normal, ce sont les utilisateurs à un établissement qui déterminent le contenu d’une liste des numéros fréquents autorisés, car ces numéros s’appliquent à tous les détenus incarcérés à cet établissement. La liste personnelle contient jusqu’à un maximum de 40 numéros de téléphone que seul un détenu en particulier peut composer et elle comprend habituellement le numéro des membres de la famille, des amis et des avocats. Les détenus doivent présenter une demande écrite pour qu’un numéro soit ajouté à leur liste personnelle. Les renseignements fournis par le détenu (c.‑à‑d. le nom de la personne, son numéro de téléphone, son adresse, sa relation avec le détenu, etc.) doivent être examinés par les utilisateurs aux fins d’exactitude et de convenance avant d’être ajoutés à la liste. Les registres sur toutes les listes de numéros comprennent des renseignements obligatoires tels que le nom de la personne, son numéro de téléphone, sa relation avec le détenu et si le numéro peut être composé. Les numéros qu’un détenu peut composer sont énumérés dans le profil du détenu.

Chaque détenu reçoit une carte à puce téléphonique (carte d’appel) ainsi qu’un NIP lié au profil du détenu. Pour faire un appel, il faut d’abord entrer la carte d’appel dans le téléphone public et ensuite saisir le NIP. Cela permet au détenu d’avoir un accès protégé au téléphone public, et au STD d’identifier le détenu. [EXPURGÉ] .

[EXPURGÉ] .

En 2012, le SCC a commencé à installer des enregistreurs de communications vocales dans tous les établissements du pays afin de remplacer l’équipement d’interception vieillissant qui était en place. [EXPURGÉ] . Les appareils appartiennent au SCC et ils comportent une fonction qui permet à un utilisateur d’enregistrer, de traiter et d’éliminer une communication enregistrée. [EXPURGÉ] .

Les téléphones publics des détenus qui sont reliés au STD [EXPURGÉ] ^{Note de bas de page 16}. [EXPURGÉ] ^{Note de bas de page 17 [EXPURGÉ]} .

Lorsqu’un détenu souhaite utiliser le téléphone public, il doit saisir son NIP ainsi que le numéro de téléphone à composer. [EXPURGÉ] ^{Note de bas de page 18}.

[EXPURGÉ] ^{Note de bas de page 19 [EXPURGÉ]} .

Le SCC a un pouvoir statutaire, en vertu de certains critères énoncés dans la RSCMLC, d’intercepter et d’enregistrer de façon sélective les conversations des détenus. Tous les établissements disposent du matériel nécessaire pour intercepter et enregistrer de manière sélective, lorsqu’ils y sont autorisés, les communications au cours d’une visite.

[EXPURGÉ]

[EXPURGÉ] .

[EXPURGÉ] .

Un environnement de sécurité électronique intégré complexe a été élaboré et mis en œuvre dans les établissements du SCC partout au pays. L’équipement d’interception des communications décrit ci‑dessus fait partie de cet environnement^{Note de bas de page 20 [EXPURGÉ]} . Le SCC a conclu deux marchés pour l’approvisionnement en matière d’entretien et de soutien technique, afin de veiller à ce que l’équipement d’interception des communications fonctionne comme il se doit. La responsabilité de la gestion de ces marchés appartient au Secteur des services corporatifs du SCC.

[EXPURGÉ]

[EXPURGÉ] ^{Note de bas de page 21}. [EXPURGÉ] ^{Note de bas de page 22 [EXPURGÉ]} . [EXPURGÉ] .

[EXPURGÉ]

[EXPURGÉ] ^{Note de bas de page 23 [EXPURGÉ]} .

1.2 Cadre législatif et politique

Conformément à l’article 8 de la Charte, « chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives ». En général, l’interception de la communication privée d’un détenu est considérée comme une fouille, sauf lorsque les parties à la communication y ont expressément consenti.

La partie 6 du Code criminel définit l’interception de la communication privée d’une personne comme un acte illégal, à moins que certaines conditions soient respectées. Cette partie fait état des autorisations et des exigences juridiques qui doivent être respectées pour intercepter légalement la communication privée d’une personne.

En vertu de l’alinéa 96z.7) de la LSCMLC, « le gouverneur en conseil peut prendre des règlements autorisant, dans les circonstances précisées, le directeur ou l’agent que celui‑ci désigne à intercepter, surveiller ou empêcher les communications entre un détenu et toute autre personne ».

Les articles 94 et 95 du RSCMLC autorisent les directeurs d’établissement à intercepter des communications et prévoient les conditions qui doivent être respectées pour intercepter légalement les communications d’un détenu. Il fournit des exemples du type de communication pouvant être intercepté (téléphone, courrier, communication au cours d’une visite), les moyens avec lesquels la communication peut être interceptée (c.‑à‑d. utilisation d’un appareil mécanique, lecture du courrier, etc.), ainsi que les exigences d’informer le détenu que sa communication a été interceptée.

L’objet de cette loi est de « compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent^{Note de bas de page 24}> ». Les articles 4 à 7 font état des exigences relatives à la collecte, la conservation, la protection, la communication et au retrait des renseignements personnels.

Un grand nombre de directives du commissaire (DC), lignes directrices (LD) et ordres permanents de l’établissement fournissent une orientation sur l’interception des communications des détenus ou y sont liés (consulter l’annexe D pour obtenir la liste complète). La majeure partie de cette orientation figure dans les DC suivantes.

Le but de cette DC est de « veiller à ce que la collecte, l’entreposage, le regroupement, la consignation, la communication et l’élimination de l’information et des renseignements de sécurité soient effectués de façon uniforme et de veiller à ce qu’une approche uniforme soit adoptée pour communiquer et transmettre de l’information et des renseignements de sécurité aux personnes ayant un besoin de savoir légitime^{Note de bas de page 25} ». Elle établit les rôles et responsabilités liés à la gestion de la fonction du renseignement de sécurité et définit les procédures qui traitent de la gestion du renseignement de l’information de sécurité.

Le but de cette DC est de « veiller à ce que l’information et les renseignements de sécurité soient consignés et communiqués dans les meilleurs délais pour favoriser la sécurité active^{Note de bas de page 26} ». Elle fait état des rôles et responsabilités de la direction et du personnel, ainsi que des procédures liées à la collecte, à la documentation et à l’évaluation de l’information et à l’établissement de rapports connexes.

Le but de cette DC est de « donner des directives aux membres du personnel et définir les circonstances prescrites dans lesquelles l’interception légale des communications entre un détenu et une autre personne peut être demandée, autorisée et effectuée^{Note de bas de page 27} ». Elle établit les rôles et responsabilités de la direction et du personnel et fait état des paramètres de la désignation du pouvoir d’autorisation et des rôles qui doivent être assumés pour l’interception des communications d’un détenu.

Conformément à la DC 568-10, le « directeur de l’établissement veillera à ce qu’un ordre permanent soit institué énonçant les procédures à suivre dans l’interception des communications des détenus ». L’OP sert aussi de mécanisme au moyen duquel le directeur de l’établissement peut désigner le pouvoir d’autoriser l’interception des communications d’un détenu et d’informer le détenu de l’interception.

1.3 Organisation du SCC

Le commissaire adjoint, Opérations et programmes correctionnels (CAOPC), est responsable de l’élaboration de politiques relatives à la fonction du renseignement de sécurité^{Note de bas de page 28}.

Le directeur général, Sécurité préventive et renseignement de sécurité (SPRS), est responsable de la mise en œuvre d’un cadre portant sur le renseignement et l’analyse de sécurité ainsi que de l’élaboration de la politique et des procédures liées à l’interception des communications d’un détenu.

Le directeur général, Services techniques et installations, est responsable de la conception et de la gestion des marchés pour l’acquisition, l’installation ou la réparation de tout système ou appareil utilisé dans le processus d’interception. Il doit également veiller à ce que les entrepreneurs et les fournisseurs soient titulaires d’un permis conforme au Code criminel et établir les normes d’entretien de l’équipement d’interception dans les établissements^{Note de bas de page 29}.

Le sous‑commissaire régional (SCR) veille à ce que les activités et l’analyse relatives au renseignement soient soutenues à l’échelle régionale.

Le sous-commissaire adjoint, Opérations correctionnelles (SCAOC), est responsable de la planification et de la direction des opérations de sécurité et des activités relatives au renseignement de sécurité dans la région. Il s’assure que les politiques sont communiquées aux unités opérationnelles de manière efficace, ordonne la mise en œuvre des protocoles opérationnels, des politiques et des contrôles administratifs afin d’assurer l’application uniforme des procédures relatives aux renseignements et à l’information, en plus de s’assurer que les politiques font régulièrement l’objet d’examens opérationnels et que tout problème que soulèvent les politiques, les procédures ou leur mise en application est signalé sans tarder à l’administration centrale^{Note de bas de page 30}.

Conformément au RSCMLC, le directeur du pénitencier est autorisé à intercepter les communications des détenus. De plus, le directeur du pénitencier s’assure que chaque unité opérationnelle possède une fonction efficace du renseignement de sécurité^{Note de bas de page 31} et qu’un ordre permanent qui précise les procédures d’interception des communications d’un détenu est en place, et autorise ou désigne le pouvoir d’autoriser l’interception des communications d’un détenu^{Note de bas de page 32}.

Le sous‑directeur (SD) est responsable du renseignement de sécurité dans un établissement et de l’autorisation d’intercepter les communications d’un détenu^{Note de bas de page 33}.

L’ARS est responsable de recueillir l’information auprès de toutes les sources, d’en faire l’analyse et de produire des renseignements afin d’accroître la sécurité publique^{Note de bas de page 34}. En règle générale, il est responsable de toutes les activités d’interception des communications des détenus, y compris de la collecte et de la présentation des renseignements pour demander l’autorisation d’intercepter, la tenue de l’interception, la documentation et l’établissement de rapports sur les activités d’interception, l’élaboration des rapports sur les renseignements et la communication d’information de sécurité avec les intervenants internes et externes^{Note de bas de page 35}.

1.4 Évaluation du risque

En février 2018, à la suite des consultations tenues auprès de la haute direction à l’AC, l’interception des communications des détenus a été déterminée comme un secteur de risque émergent. L’équipe de l’audit a réalisé une évaluation des risques liés à la mission d’après les réponses aux entrevues et à la suite d’un examen de la documentation, afin de déterminer les aspects des activités d’interception qui devraient faire l’objet de l’audit. Dans l’ensemble, l’évaluation a permis d’établir les principaux risques liés au cadre de gestion en place et à la mise en œuvre des principaux contrôles. Ces risques ont été intégrés au présent audit dans le but d’évaluer si les stratégies d’atténuation sont suffisantes.

2.0 Objectifs et portée

2.1 Objectifs de l’audit

Le présent audit visait à fournir l’assurance que :

• le cadre de gestion en place appuie de manière efficace et efficiente l’atteinte des objectifs en matière d’interception de communications;
• les activités clés ont été mises en œuvre conformément aux exigences.

Les critères précis figurent à l’annexe B.

2.2 Portée de l’audit

2.2.1 Étape 1

De portée nationale, l’étape 1 de l’audit comportait des visites dans trois régions et à l’AC. L’examen des dossiers portait principalement sur un échantillon de communications interceptées qui ont été approuvées et traitées entre le 1er janvier 2017 et le 22 juin 2018. L’échantillon comportait des activités d’interception de communications approuvées à l’interne et celles qui ont été menées en vertu soit d’une autorisation judiciaire soit d’une autorisation relative à la sécurité nationale (autorisation donnée par un juge).

L’étape 1 comprenait une analyse de trois méthodes d’interception de communications : téléphone, communication au cours d’une visite et courrier. Cependant, la mise à l’essai liée aux activités d’interception des communications par la poste et au secteur V et C se limitait aux observations et aux entrevues avec les membres du personnel.

L’étape 1 devait comprendre des visites à des établissements dans les cinq régions, mais après avoir achevé les travaux d’audit dans la troisième région, les données probantes recueillies étaient suffisantes pour formuler des conclusions en rapport avec les objectifs. Par conséquent, aucune visite n’a eu lieu dans les régions du Québec et de l’Atlantique dans le cadre de l’audit.

2.2.2 Événements postérieurs

L’équipe chargée de l’audit a tenu des séances d’information à l’intention de la direction à l’AC et dans les trois régions immédiatement après avoir visité les établissements. Par la suite, le sous‑commissaire principal, de concert avec le CAOPC et les SCR, a dressé un plan d’action afin d’aborder sans tarder les constatations préliminaires les plus importantes de l’audit. Les mesures prises par la direction portaient principalement sur les trois aspects suivants : fournir une orientation à jour aux établissements, fournir à la direction des établissements et aux ARS de la formation sur le cadre juridique et stratégique et sur l’enregistreur de communications vocales, et mettre en œuvre des processus de surveillance et d’assurance de la qualité au chapitre des autorisations d’intercepter, tant aux AR qu’à l’AC.

2.2.3 Étape 2

L’étape 2 a permis d’évaluer l’efficacité des mesures prises par la direction pour remédier à la plupart des problèmes importants soulevés à l’étape 1 de l’audit. Les critères d’audit réexaminés à l’étape 2 figurent à l’annexe B.

L’étape 2 avait une portée nationale et comportait des visites dans les cinq régions. L’examen des dossiers se concentrait sur un échantillon de communications interceptées qui avaient été approuvées et traitées entre le 1er novembre 2018 et le 12 avril 2019. L’échantillon n’a pas fait l’objet d’un nouvel examen des communications dont l’interception avait été approuvée à l’externe, ni du courrier intercepté ou des communications au cours d’une visite.

3.0 Constatations et recommandations de l’audit

3.1 Cadre de gestion – Résultats étape 1

Le premier objectif de l’audit était de fournir l’assurance que le cadre de gestion en place appuie l’atteinte efficiente et efficace des objectifs d’interception des communications.

Le cadre de gestion a été examiné sous quatre angles : l’orientation du SCC, la formation, l’équipement d’interception des communications, et la surveillance. L’annexe B présente les résultats généraux pour tous les critères d’audit.

3.1.1 Orientation

Nous nous attendions à constater que les directives du SCC soient exhaustives et claires et qu’elles correspondent à la législation.

L’aspect suivant répondait aux attentes de l’équipe d’audit pour ce critère :

• la DC 568-10 Interception des communications des détenus correspondait au RSCMLC;
• un ordre permanent était en place dans les 11 établissements visités.

Conformément à ce qui figure ci‑dessous, deux éléments liés à l’orientation devaient être examinés en profondeur par la direction.

La DC 568 Gestion de l’information et des renseignements de sécurité, la DC 568-2 Consignation et communication de l’information et des renseignements de sécurité, et la DC 568-10 Interception des communications des détenus sont les principaux instruments politiques en place qui établissent les règles à suivre au chapitre de l’interception des communications des détenus et qui attribuent les rôles et responsabilités. Ces DC devaient toutes subir un examen en novembre 2015, mais cet examen n’avait toujours pas eu lieu au moment de l’audit. De plus, nous avons constaté que l’orientation fournie dans ces DC était incomplète et manquait de clarté à l’égard des aspects suivants :

• la définition du terme intercepter telle qu’elle figure dans le Code criminel n’était pas précisée dans l’orientation nationale;
• « avoir des motifs raisonnables de croire » n’était pas défini dans l’orientation nationale (voir le point 3.2.1 pour plus de détails);
• l’orientation nationale ne précisait pas que l’autorisation doit être fournie par écrit avant l’interception de la communication, conformément au RSCMLC (voir le point 3.2.2 pour plus de détails);
• les rôles et responsabilités du personnel de V et C dans le processus d’interception ne figuraient pas dans l’orientation nationale (voir le point 3.2.3 pour plus de détails);
• l’orientation nationale liée à la documentation des interceptions par le STD n’incluait pas les pistes de vérification automatisées accessibles dans l’enregistreur de communications vocales (voir le point 3.2.3 pour plus de détails);
• la période de conservation des communications interceptées n’était pas abordée dans l’orientation nationale (voir le point 3.2.4 pour plus de détails);
• la nécessité d’archiver la communication enregistrée sur un DVD n’était pas formulée clairement dans l’orientation nationale (voir le point 3.2.4 pour plus de détails);
• le moyen utilisé pour informer les détenus que leur communication avait été interceptée n’était pas abordé dans l’orientation nationale (voir le point 3.2.4 pour plus de détails).

Bien que divers facteurs puissent avoir entraîné les problèmes précisés ci‑dessus, facteurs abordés dans les paragraphes qui suivent, une surveillance et des mécanismes de contrôle efficaces auraient permis d’obtenir des renseignements utiles qui auraient pu expliquer ces problèmes et servir de catalyseur pour l’évaluation et la mise à jour de l’orientation.

La DC 568-10 exige que le DE veille à ce qu’« un ordre permanent soit institué énonçant les procédures à suivre dans l’interception des communications des détenus ». Nous avons examiné les OP pour nous assurer que les procédures en établissement étaient documentées et correspondaient au RSCMLC et à l’orientation nationale. Nous avons constaté qu’en général, l’orientation fournie dans les OP était identique à celle qui figure dans la DC 568-10 et qu’elle ne donnait aucune directive supplémentaire sur les procédures qui devraient être suivies lorsqu’il s’agit d’intercepter des communications. De plus, nous avons relevé les problèmes suivants dans les OP que nous avons examinés :

• 1 sur 11 comprenait une directive sur la nécessité d’informer les détenus qui n’était pas conforme au RSCMLC;
• 3 sur 11 permettaient l’interception dans des situations d’urgence sans autorisation et cela contrevenait au RSCMLC;
• 3 sur 11 comprenaient l’attribution du pouvoir d’approuver l’interception des communications d’un détenu à un autre poste que celui de SD et cela n’était pas conforme à la DC 568-10;
• 3 sur 11 comprenaient une directive selon laquelle le personnel de V et C peut demander l’autorisation d’intercepter les communications dans des situations d’urgence et cela n’était pas conforme à la DC 568-10;
• 4 sur 11 comprenaient une liste incomplète de communications privilégiées et cela pourrait contrevenir au RSCMLC;
• 2 sur 11 comprennent des renvois à des DC qui ne sont plus en vigueur.

Les entrevues avec les cadres de la SPRS ont révélé que l’étendue de l’information qui devrait être fournie dans les OP pour qu’ils soient conformes à l’orientation nationale n’avait pas été définie clairement. De plus, les OP n’avaient pas été élaborés et examinés adéquatement pour veiller à ce que les directives formulées soient conformes à la DC 568-10 et au RSCMLC.

Dans l’ensemble, l’orientation fournie dans les DC et les OP n’était ni claire ni exhaustive en ce qui a trait à l’interception des communications. Cela a donné lieu à des lacunes opérationnelles et, enfin, à l’interception de communications d’une manière qui contrevenait aux exigences législatives.

3.1.2 Formation

Nous nous attendions à constater que le SCC fournissait une formation à l’appui de l’exercice des responsabilités.

Les aspects suivants répondaient aux attentes de l’équipe d’audit pour ce critère :

• une formation liée aux Normes nationales de formation (NNF) et une formation n’ayant pas trait aux NNF ont été élaborées et fournies aux ARS;
• une formation liée aux NNF qui comprend de l’information sur le critère de la preuve (motifs raisonnables de croire) qui doit être respecté pour intercepter une communication légalement a été élaborée et fournie aux directeurs d’établissement;
• la prestation de la formation a été surveillée.

Conformément à ce qui figure ci‑dessous, deux aspects liés à la formation nécessitaient un examen approfondi par la direction.

Nous avons examiné les NNF et constaté qu’un cours d’orientation pour les ARS était en place depuis de nombreuses années. Cependant, ce cours n’était offert qu’une seule fois et devait être terminé dans les 12 mois suivant l’obtention du titre d’ARS. Même si le taux d’achèvement de cette formation était de 90 % en septembre 2018, 38 % des ARS avaient suivi la formation avant 2010, période pendant laquelle le cours ne couvrait pas les communications interceptées.

Il faut reconnaître que les ARS avaient suivi une formation autre que sur les NNF à l’hiver 2018. Cette formation comportait des informations sur les motifs raisonnables de croire, mais aucune autre sur le cadre juridique et stratégique des communications interceptées.

Récemment, une formation de perfectionnement continu pour les ARS a été ajoutée à la NNF, la prestation de cette formation a débuté à l’automne 2018.

Les DE et SD (décideurs) estimaient également que des améliorations pourraient être apportées à la formation qu’ils suivent. La seule NNF en place comportant une formation sur l’interception des communications était le programme de formation à l’intention des cadres supérieurs des opérations. Même si ce cours comprenait de l’information sur les motifs raisonnables de croire, il ne contenait aucune autre information sur le cadre juridique et stratégique. Ce cours n’était offert qu’une fois, aucune formation d’appoint n’est donnée et seuls les SD devaient le suivre. En septembre 2018, le taux d’achèvement de ce cours par les SD était de 69 %. La gestion de la Direction de l’apprentissage et du perfectionnement a souligné que les contraintes en matière de ressources et la quantité limitée de cours offerts faisaient en sorte qu’il était parfois difficile pour les SD de suivre la formation des NNF dans les délais prévus.

La formation insuffisante tant pour les décideurs que pour les ARS entraînait un manque de compréhension des principales exigences juridiques et stratégiques qui sont en place. Nous avons constaté en particulier que :

• les décideurs et les ARS ne connaissaient pas très bien la signification de « motifs raisonnables de croire » et la façon adéquate de la documenter ce critère (voir le point 3.2.1 pour plus de détails);
• les décideurs et les ARS ne connaissaient pas bien la directive selon laquelle l’autorisation doit être fournie par écrit avant l’interception de la communication (voir le point 3.2.2 pour plus de détails);
• les ARS n’étaient pas vraiment au courant de l’information qu’il faut archiver sur un DVD (voir le point 3.2.4 pour plus de détails);
• les décideurs et les ARS ne connaissaient pas très bien les exigences qui nécessitent d’informer le détenu que sa communication a été interceptée (voir le point 3.2.4 pour plus de détails).

Au bout du compte, cette situation faisait en sorte que des communications de détenus ont été interceptées d’une manière qui contrevient aux exigences législatives.

Le SCC a conclu avec [EXPURGÉ] un marché qui prévoit la prestation de la formation sur l’enregistreur de communications vocales. Bien que la gestion de ce marché relève du Secteur des services corporatifs (SSC) à l’AC, les rôles et responsabilités liés à l’assurance que les ARS suivent la formation sur l’enregistreur de communications vocales n’avaient jamais été définis. Nous avons constaté qu’aucune copie du marché n’avait été fournie par le SSC et, par conséquent, les directeurs d’établissement et les ARS n’étaient pas au courant qu’une formation sur l’enregistreur de communications vocales pouvait être suivie. De plus, des guides de l’utilisateur qui fournissent une orientation sur le fonctionnement et l’utilisation de l’enregistreur de communications vocales étaient offerts. Les résultats de nos entrevues ont révélé que les ARS n’avaient suivi aucune formation officielle sur l’enregistreur de communications vocales, et bien qu’ils étaient au courant que des guides étaient accessibles, ils ne les avaient pas consultés pour apprendre comment bien utiliser le système.

L’absence de formation et la non-utilisation des guides de l’utilisateur ont fait en sorte que les ARS avaient une connaissance très limitée du fonctionnement et de l’utilisation de l’enregistreur de communications vocales. Cela a entraîné des contraventions importantes au RSCMLC, notamment l’interception de communications confidentielles (voir le point 3.2.3 pour plus de détails).

3.1.3 Équipement

Nous nous attendions à constater que le SCC avait mis en place l’équipement nécessaire pour intercepter les communications des détenus.

Les aspects suivants respectaient les attentes de l’équipe d’audit pour ce critère :

• des enregistreurs de communications vocales étaient en place dans tous les établissements et permettaient au personnel d’intercepter de façon efficace les communications des détenus;
• les ARS avaient souligné qu’en général, ils étaient satisfaits des services qu’ils reçoivent des techniciens [EXPURGÉ] .

Conformément à ce qui figure ci‑dessous, une question liée à l’équipement nécessitait un examen approfondi par la direction.

[EXPURGÉ] .

[EXPURGÉ] .

[EXPURGÉ] .

3.1.4 Surveillance

Nous nous attendions à constater qu’une surveillance régulière était réalisée et que les résultats aient été consignés et signalés au niveau de direction appropriée.

Conformément à ce qui figure ci‑dessous, un aspect lié à la surveillance nécessitait un examen approfondi par la direction.

Ce n’était pas tous les niveaux de direction qui avaient établi des indicateurs de rendement clés qui pouvaient servir à orienter les activités de surveillance et d’établissement de rapports (c.‑à‑d. les renseignements à recueillir, y compris la fréquence et le format, etc.). Alors que la DC 568‑10 exige que les ARS « signalent les activités d’interception au directeur, Opérations, politiques et programmes de renseignement, par l’intermédiaire du SCAOC », les membres de la direction aux administrations régionales et à l’administration centrale n’avaient pas précisé les renseignements qui doivent être signalés. [EXPURGÉ] . En conséquence, nous constatons qu’aucune information sur la surveillance n’était signalée à un niveau quelconque et cela limitait la capacité de la direction d’assurer une surveillance efficace de l’interception des communications.

« Le Rapport sur la conformité et les risques opérationnels (RCRO) est un outil de gestion interne utilisé pour surveiller la mise en œuvre et la qualité des politiques internes et pour établir une culture qui tient compte du risque au sein du SCC^{Note de bas de page 36}. » Il utilise un questionnaire d’autoévaluation qui comprend une série de critères et des sous‑questions qui ont pour but de déterminer la conformité d’une activité en particulier. Les interceptions de communication ont été incluses dans le RCRO qui a été rempli à l’automne 2017 et il s’agissait du seul mécanisme de surveillance en place à l’AC lorsque l’étape 1 de l’audit a été complétée. Les critères sélectionnés pour le RCRO ne comprenaient pas certaines des exigences juridiques clés telles que les autorisations d’intercepter, les avis aux détenus et l’attribution des pouvoirs. Bien que l’analyse des résultats avait été menée et que des mesures correctives avaient été déterminées pour les lacunes soulignées, les mesures prises n’étaient pas efficaces, car nous avons constaté les mêmes problèmes au cours des mises à l’essai dans le cadre de notre audit. De plus, nous avons constaté que la justification fournie par les établissements par rapport à la non-conformité n’avait pas donné lieu à une analyse de l’orientation fournie par les DC. Par exemple, les établissements ont constamment souligné qu’ils n’utilisaient pas le formulaire 1036 du SCC intitulé Registre des communications interceptées pour documenter les activités d’interception, [EXPURGÉ] . Cependant, cela n’avait déclenché aucun examen des exigences liées à la documentation des activités d’interception, alors que cela aurait pu mettre en évidence que la fonction de l’enregistreur de communications vocales n’était pas prise en compte dans l’orientation nationale.

Le manque de surveillance et de comptes rendus limitait la capacité du SCC de gérer efficacement l’interception des communications des détenus. La surveillance limitée ne permettait pas à la direction d’obtenir les renseignements requis pour être en mesure d’évaluer le caractère approprié de l’orientation, le caractère adéquat des ressources, l’observation des exigences juridiques, et l’atteinte efficiente et efficace des objectifs.

Conclusion – premier objectif

Par la première étape de cet audit, nous avons constaté que des éléments du cadre de gestion étaient en place, mais que des améliorations étaient nécessaires pour s’assurer que le cadre appuie l’atteinte efficiente et efficace des objectifs en matière d’interception des communications. En particulier, en raison d’un manque d’orientation et d’une formation limitée, la direction des établissements et les ARS avaient une compréhension partielle des exigences juridiques et stratégiques au chapitre de l’interception des communications des détenus, ce qui a généré d’importants problèmes de conformité. Ces problèmes de conformité qui sont décrits comme le deuxième objectif du présent rapport d’audit étaient passés inaperçus durant une longue période en raison d’une assurance de la qualité insuffisante en ce qui concerne le travail d’interception effectué par les ARS et d’un manque de surveillance et de rapports.

3.2 Activités d’interception des communications – Résultats étape 1 et 2

Le deuxième objectif de l’audit était de fournir l’assurance que les principales activités à l’appui de l’interception des communications des détenus ont été réalisées conformément aux exigences.

La conformité a été évaluée sur quatre plans : les motifs raisonnables, l’autorisation d’intercepter, la conformité aux autorisations, ainsi que la sécurité et l’échange de renseignements. L’annexe B fournit des résultats généraux pour chacun des critères d’audit.

3.2.1 Motifs raisonnables

Nous nous attendions à constater que les motifs raisonnables soient documentés adéquatement et soutenus par des renseignements.

Conformément à ce qui figure ci‑dessous, deux aspects liés aux motifs raisonnables nécessitaient un examen approfondi par la direction.

En vertu du paragraphe 94(1) du RSCMLC, « […] le directeur du pénitencier ou l’agent désigné par lui peut autoriser par écrit que des communications entre le détenu et un membre du public soient interceptées de quelque manière que ce soit par un agent ou avec un moyen technique, notamment que des lettres soient ouvertes et lues et que des conversations faites par téléphone ou pendant les visites soient écoutées, lorsqu’il a des motifs raisonnables de croire :

• a) d’une part, que la communication contient ou contiendra des éléments de preuve relatifs :
• (i) soit à un acte qui compromettrait la sécurité du pénitencier ou de quiconque,
• (ii) soit à une infraction criminelle ou à un plan en vue de commettre une infraction criminelle;
• b) d’autre part, que l’interception des communications est la solution la moins restrictive dans les circonstances^{Note de bas de page 37} ».

La DC 568-10 exige que le formulaire 1454 du SCC intitulé Autorisation d’intercepter les communications d’un détenu (formulaire d’autorisation) soit remplis du début à la fin et tenu à jour par un ARS. Ce formulaire comprend une section réservée à la documentation de l’essentiel des renseignements sur lesquels les motifs raisonnables sont fondés.

Nous avons examiné un échantillon de dossiers afin de déterminer si les motifs raisonnables étaient documentés et si les renseignements fournis permettaient de convaincre un tiers que les conditions prévues dans le RSCMLC (c.‑à‑d. que la communication contient ou contiendra des éléments de preuve) avaient été respectées. Nous avons constaté que les motifs raisonnables étaient documentés dans 96 % (80 sur 83) des dossiers examinés. Pour les trois dossiers dans lesquels les motifs n’étaient pas documentés, les ARS ont souligné que le formulaire d’autorisation avait été rempli, mais qu’ils n’arrivaient pas à le trouver. De plus, nous avons constaté que les motifs raisonnables étaient documentés adéquatement dans 60 % (48 sur 80) des dossiers. En général, l’étendue de l’information documentée pour établir les motifs raisonnables variait considérablement d’un dossier à un autre, ne renvoyait habituellement pas à des renseignements à l’appui et, parfois, se limitait à une phrase ou deux (p. ex. détenu trouvé sans connaissance dans sa cellule).

Les motifs raisonnables étaient élaborés par un ARS et fournis au décideur aux fins d’examen et d’autorisation. Selon les ARS, l’étendue de l’information qui devait être documentée en vue de faire la démonstration des motifs raisonnables était subjective, n’était pas formulée clairement dans l’orientation du SCC et variait en fonction du décideur. Les décideurs soulignaient que bien qu’ils croyaient comprendre ce qui devait être documenté, cela était fondé sur leur expérience, car ils n’avaient jamais été mis en doute quant au caractère adéquat de leur documentation et n’avait jamais vu d’exemples de motifs raisonnables documentés adéquatement. Nous avons constaté que l’orientation fournie dans la DC 568‑10 ne présentait pas de définition ou de précisions sur la façon dont les motifs raisonnables devaient être documentés. De plus, nous avons constaté l’absence d’une fonction de remise en question ou d’examen des renseignements fournis sur les formulaires d’autorisation aux AR et à l’AC.

L’absence d’orientation claire et de surveillance ainsi que la formation limitée suivie par les décideurs et les ARS avaient entraîné un manque de documentation adéquate des motifs raisonnables. En conséquence, cela avait limité la capacité du SCC de fournir les renseignements qui avaient été pris en considération par le décideur afin de veiller à ce que la norme de preuve requise par le RSCMLC pour justifier l’interception de la communication ait été respectée.

En ce qui concerne les motifs raisonnables, selon Mugesera c. Canada (Ministère de la Citoyenneté et de l’Immigration), [2005]^{Note de bas de page 38}, « La croyance doit essentiellement posséder un fondement objectif reposant sur des renseignements concluants et dignes de foi ». Conformément aux exigences de la DC 568‑10, les ARS sont responsables de recueillir et de fournir des détails ou des éléments probants lorsqu’ils demandent l’autorisation d’intercepter légalement la communication d’un détenu. Les renseignements recueillis sont documentés et conservés dans le dossier de sécurité préventive du détenu. L’essentiel de ces renseignements est ensuite présenté dans le formulaire d’autorisation afin de faire état des motifs raisonnables d’intercepter la communication d’un détenu.

Nous avons examiné un échantillon de dossiers afin de déterminer si les motifs raisonnables précisaient clairement les renseignements à l’appui et de confirmer l’existence des renseignements précisés (documentés dans le dossier de sécurité préventive). Nous avons constaté que les renseignements étaient précisés clairement dans seulement 38 % (30/80) des dossiers examinés. Parmi ces 30 dossiers, les renseignements précisés étaient consignés dans 93 % des cas (28/30).

Les ARS ont souligné qu’ils n’avaient pas toujours le temps de s’assurer que les renseignements utilisés pour établir les motifs raisonnables étaient documentés conformément aux exigences avant de demander l’autorisation d’intercepter, en raison du manque de ressources humaines. De plus, les processus d’autorisation qui étaient en place ne comprenaient aucun examen des renseignements à l’appui pour veiller à ce qu’ils soient documentés.

Le manque de renvois clairs vers la documentation à l’appui limitait la capacité du SCC de prouver que les renseignements utilisés pour établir les motifs raisonnables étaient convaincants, crédibles et réels.

3.2.2 Autorisation d’intercepter

Nous nous attendions à constater que l’autorisation d’intercepter était accordée par écrit par une personne détenant les pouvoirs appropriés, avant le début de l’activité d’interception.

Conformément à ce qui figure ci‑dessous, deux aspects liés à l’autorisation d’intercepter nécessitaient un examen approfondi par la direction.

Aux termes du paragraphe 94(1) du RSCMLC, « le directeur du pénitencier ou l’agent désigné par lui peut autoriser par écrit que des communications entre le détenu et un membre du public soient interceptées^{Note de bas de page 39} ». De plus, la DC 568‑10 exige que ces autorisations soient fournies par écrit sur le formulaire d’autorisation.

Nous avons examiné un échantillon de dossiers et constaté que l’autorisation était fournie par écrit par une personne détenant les pouvoirs appropriés dans 96 % (80 sur 83) des dossiers examinés. De plus, nous avons constaté que l’autorisation écrite était fournie avant le début de la période d’interception autorisée dans 93 % (77 sur 83) des dossiers examinés. Voici une répartition des problèmes constatés :

• les formulaires d’autorisation étaient absents de 4 % (3 sur 83) des dossiers examinés (aucune autorisation écrite);
• la date d’autorisation n’était pas précisée sur le formulaire d’autorisation dans 2 % (2 sur 83) des dossiers examinés;
• une autorisation verbale a été fournie dans 1 % (1 sur 83) des dossiers examinés, l’autorisation écrite ayant été fournie quatre jours plus tard.

Bien que nous n’ayons constaté qu’une seule autorisation verbale dans les dossiers examinés, les entrevues ont révélé que dans neuf établissements sur 11, les décideurs fournissaient une autorisation verbale s’ils le jugeaient nécessaire (c.‑à‑d. le décideur n’est pas sur place, le besoin d’intercepter la communication dès que possible était perçu en vue de recueillir des renseignements opportuns et pertinents) et rempliraient le formulaire d’autorisation plus tard. Cette pratique contrevenait au RSCMLC. De plus, dans deux établissements sur neuf, on nous a informés qu’ils reculaient la date sur le formulaire pour qu’elle corresponde à la date à laquelle l’autorisation a été fournie. Il est important de souligner que cette pratique peut avoir entraîné des conséquences sur les résultats de notre examen des dossiers.

Un examen de la DC 568-10 révélait que les exigences liées à l’autorisation ne précisaient pas clairement que l’autorisation devait être fournie par écrit avant la date de la période d’interception autorisée. Le manque d’orientation claire et la formation limitée qui avait été suivie par les décideurs et les ARS ont donné lieu à un manque de compréhension des exigences juridiques en ce qui concerne l’autorisation d’intercepter, et cela faisait croître le risque d’intercepter une communication avant la réception de l’autorisation écrite. De plus, les cas dans lesquels nous avons constaté que la communication d’un détenu avait été interceptée sans autorisation écrite contrevenaient au RSCMLC.

Conformément à la DC 568-10, « L’interception initiale peut seulement être autorisée pour une période maximale de 30 jours. Au besoin, l’interception peut être prolongée de deux périodes additionnelles de 15 jours. Toutes les prolongations doivent être autorisées par le directeur de l’établissement ou le sous-directeur, avant l’échéance de l’autorisation existante. »

En examinant les dossiers, nous avons constaté que les autorisations étaient fournies pour des périodes inférieures ou égales à 30 jours dans seulement 41 % (32 sur 79) des cas. De plus, parmi les 28 prolongations examinées, 57 % (16 sur 28) ont été approuvées pour une période inférieure ou égale à 15 jours.

Cela était principalement attribuable au fait que l’ARS documentait la date de fin comme un mois (c.‑à‑d. du 5 janvier au 5 février) après la date de début sur le formulaire d’autorisation et dans certains cas, cela équivalait à 31 jours. Le taux élevé de non‑conformité faisait état d’un manque de contrôle de la qualité du formulaire d’autorisation avant l’autorisation par le décideur.

3.2.3 Conformité à l’autorisation

Nous nous attendions à constater que les interceptions de communications étaient menées conformément aux autorisations.

L’aspect suivant répondait aux attentes de l’équipe d’audit pour ce critère :

• Les ARS et le personnel de V et C ont souligné que des processus clairs et efficaces étaient en place pour l’interception du courrier des détenus aux 11 établissements que nous avons visités.^{Note de bas de page 42}

Conformément à ce qui figure ci‑dessous, quatre aspects liés à la conformité avec l’autorisation nécessitaient un examen approfondi par la direction.

Nous avons examiné un échantillon de dossiers et constaté que la communication était interceptée au cours de la période autorisée dans 88 % (68 sur 77) des dossiers examinés. Des neuf dossiers non conformes, nous avons découvert 256 appels téléphoniques interceptés après la période autorisée, et les ARS ont eu accès à un grand nombre de ces appels.

Deux problèmes principaux avaient causé les situations de non‑conformité. Premièrement, nous avons constaté que les ARS ne sollicitaient pas toujours une autorisation écrite des prolongations avant l’arrivée à échéance de l’autorisation en place, car il n’existait aucun processus officiel de suivi des périodes d’interception. Cela avait créé des trous dans les périodes autorisées, les ARS n’ayant pas modifié correctement les mandats dans les enregistreurs de communications vocales et, finalement, des appels téléphoniques avaient été enregistrés sans autorisation écrite. Deuxièmement, nous avons constaté des erreurs de saisie de données en ce qui a trait aux périodes d’interception entrées dans l’enregistreur de communications vocales. Nous avons découvert que lorsque les mandats étaient saisis dans l’enregistreur de communications vocales, aucune assurance de la qualité des renseignements saisis n’était effectuée pour en assurer l’exactitude. Par conséquent, des erreurs de saisie de données n’avaient pas été décelées, et des communications de détenus avaient été interceptées sans autorisation, ce qui est contraire au RSCMLC.

Comme nous l’avons souligné dans le contexte, [EXPURGÉ] . Conformément à la DC 568‑10, « accès aux dispositifs utilisés pour intercepter les communications des détenus doit être limité aux personnes autorisées en fonction de leur besoin de savoir pour exercer leurs fonctions ».

Au cours des entrevues, les décideurs, les ARS et le personnel de V et C ont indiqué eux‑mêmes savoir qu’il était arrivé que le personnel de V et C utilise l’équipement sans autorisation. [EXPURGÉ] sans autorisation écrite et sans enregistrer cette activité et cela faisait croître de manière considérable le risque d’utilisation non autorisée et inappropriée.

Aux termes du paragraphe 94(2) du RSCMLC, « [n]i le directeur du pénitencier ni l’agent désigné par lui ne peuvent autoriser l’interception de communications entre le détenu et une personne désignée à l’annexe par un agent ou par un moyen technique, notamment l’ouverture, la lecture ou l’écoute, à moins qu’ils n’aient des motifs raisonnables de croire :

• a) d’une part, que les motifs mentionnés au paragraphe (1) existent;
• b) d’autre part, que les communications n’ont pas ou n’auront pas un caractère privilégié. »

Consultez l’annexe E pour obtenir une liste des personnes avec lesquelles la communication est considérée comme privilégiée.

Nous avons constaté que la communication entre un détenu et son avocat avait été interceptée sans autorisation dans 10 % (8 sur 79) des dossiers examinés, ce qui constitue une violation potentielle du privilège du secret professionnel. Au total, 25 appels téléphoniques ont été enregistrés et un accès à quatre de ces appels a été constaté. Dans six de ces dossiers, nous avons découvert que les ARS n’avaient pas ajouté le numéro de téléphone de l’avocat dans la [EXPURGÉ] au moyen de la création du mandat. Un mécanisme efficace d’assurance de la qualité des renseignements saisis dans l’enregistreur de communications vocales aurait permis de déceler ces omissions, mais nous avons constaté que ces mesures de protection ne sont pas en place. Dans les deux autres dossiers, nous avons constaté que le personnel de V et C avait ajouté le numéro de téléphone de l’avocat dans la liste personnelle du détenu alors qu’un mandat était actif pour ce détenu dans l’enregistreur de communications vocales. L’ajout du numéro de téléphone de l’avocat n’a pas été signalé à l’ARS. Celui‑ci n’était donc pas au courant de la nécessité de mettre à jour la [EXPURGÉ] .

[EXPURGÉ] . Nous avons analysé les [EXPURGÉ] pour déterminer si tous les contacts dans la liste des numéros fréquents autorisés qui représentent une communication privilégiée étaient inclus. Nous avons constaté qu’à tous les établissements que nous avons visités, [EXPURGÉ] . Bien que nous n’ayons pas évalué si les appels téléphoniques à ces correspondants privilégiés avaient été enregistrés, [EXPURGÉ] . À tous les établissements que nous avons visités, les ARS ont mentionné qu’ils n’étaient pas au courant de la [EXPURGÉ] et, par conséquent, ne savaient pas qu’il fallait tenir ces listes à jour [EXPURGÉ] . L’interception d’une communication privilégiée sans autorisation contrevient au RSCMLC.

Conformément à la DC 568-10, les ARS doivent « tenir un registre de toutes les activités d’interception et de l’élimination des informations recueillies par interception » en utilisant le formulaire 1036 intitulé Registre des communications interceptées. Ces registres permettent d’assurer le maintien de l’intégrité des renseignements recueillis, ce qui est essentiel pour utiliser ces renseignements comme preuve dans le cadre d’une forme quelconque de procédure administrative ou judiciaire. De plus, ils servent de base pour le suivi des renseignements personnels qui sont recueillis afin de faire en sorte qu’ils soient utilisés, conservés et éliminés en conformité avec la Loi sur la protection des renseignements personnels.

En examinant les dossiers, nous avons constaté que les appels téléphoniques enregistrés avaient été documentés au moyen du formulaire 1036 dans 25 % (20 sur 79) des dossiers examinés. De plus, nous avons découvert que l’élimination (c.‑à‑d. information utile ou non) des renseignements obtenus par l’interception de communications avait été précisée sur le formulaire 1036 dans seulement 13 % (10 sur 79) des dossiers examinés. Les ARS ont mentionné qu’ils ne remplissent pas le formulaire 1036, car l’enregistreur de communications vocales comprenait un registre automatisé de toutes les activités d’interception et cela comprenait les renseignements qui doivent figurer sur le formulaire 1036 du SCC, sauf le nom de la personne appelée, si la communication interceptée avait été résumée, et l’élimination de l’information. [EXPURGÉ] . Cependant, nous avons constaté que cette fonction n’était pas abordée dans l’orientation du SCC et que les ARS n’avaient suivi aucune formation sur l’enregistreur de communications vocales. D’après ce que nous avons constaté, la documentation de l’activité d’interception du STD était habituellement incomplète. De plus, l’exigence de documenter manuellement les appels téléphoniques interceptés au moyen du formulaire 1036 était une tâche redondante qui rend le processus inefficace.

Les entrevues avec les ARS à 10 des 11 établissements que nous avons visités ont révélé qu’ils n’utilisaient pas le formulaire 1036 pour assurer le suivi des interceptions de courrier et au cours de visites dans le secteur V et C. Il n’existait donc aucun registre sur cette activité. Le manque de documentation sur les activités d’interception du courrier et dans le secteur V et C a entraîné l’interception de communications sans qu’il soit précisé que l’interception avait eu lieu et sans connaître l’identité de la personne qui avait procédé à l’interception, ce qui pouvait entraîner des conséquences sur la capacité d’utiliser les renseignements comme preuve. De plus, cela empêchait la direction de surveiller les activités d’interception et pouvait limiter la capacité du SCC de veiller à ce que les renseignements personnels qui étaient recueillis soient utilisés, conservés et éliminés en conformité avec la Loi sur la protection des renseignements personnels.

3.2.4 Sécurité et échange de l’information

Nous nous attendions à constater que les renseignements soient protégés et échangés de façon appropriée.

Les aspects suivants répondaient aux attentes de l’équipe d’audit pour ce critère :

• les enregistreurs de communications vocales étaient situés dans un lieu protégé des établissements et l’accès physique à ce lieu étaient bien contrôlé;
• des processus opérationnels étaient en place pour contrôler l’accès aux dossiers de sécurité préventive;
• les ARS avaient souligné que les renseignements obtenus dans le cadre d’interceptions de communications étaient souvent utilisés pour aider à assurer la sécurité et la sûreté des établissements.

Conformément à ce qui figure ci‑dessous, quatre aspects liés à la sécurité et à l’échange des renseignements nécessitaient un examen approfondi par la direction.

Conformément à la DC 225 Sécurité en matière de technologie de l’information, tous les utilisateurs autorisés des systèmes de TI du SCC seront identifiés de manière unique dans le système afin que l’accès aux renseignements de nature délicate puisse être contrôlé et surveillé. Les autorisations doivent être accordées en fonction du besoin de savoir et se limiter à l’accès minimal requis pour que la personne accomplisse son travail. Nous avons analysé les comptes d’utilisateur dans l’enregistreur de communications vocales et constaté ce qui suit :

• 18 ARS sur 22 avaient leur propre compte d’utilisateur aux neuf établissements évalués;
• [EXPURGÉ] aux neuf établissements évalués;
• tous les comptes d’utilisateur, y compris ceux des techniciens [EXPURGÉ] , faisait l’objet d’un accès administratif;
• des ARS à 6 des 11 sites visités ont mentionné qu’ils partageaient souvent les comptes d’utilisateur.

Nous avons constaté qu’aucune norme de tenue à jour des comptes d’utilisateur et des niveaux d’accès appropriés à l’enregistreur de communications vocales n’avait été définie. La situation est la même en ce qui concernait la responsabilité de tenir à jour les comptes d’utilisateur. Par conséquent, tous les comptes d’utilisateur faisait l’objet de privilèges administratifs par défaut et cela permettait aux utilisateurs de [EXPURGÉ] . De plus, nous avons découvert que les comptes d’utilisateur n’étaient pas supprimés une fois que le besoin de savoir n’était plus requis.

L’absence de contrôles adéquats et l’utilisation de comptes d’utilisateur faisaient croître les risques suivants : [EXPURGÉ]. . De plus, ces problèmes faisaient croître le risque de non-conformité aux politiques des organismes centraux et à la Loi sur la protection des renseignements personnels en ce qui concerne la sécurité des renseignements et [EXPURGÉ] .

Conformément à la DC 228 Gestion de l’information, « pour veiller à ce que les exigences en matière de protection et de sécurité du gouvernement soient respectées en ce qui concerne l’information, il faut éliminer, de façon périodique, l’information temporaire après qu’elle n’est plus nécessaire ». [EXPURGÉ] .

Notre examen des dossiers a révélé qu’une grande majorité des enregistrements contenus dans les enregistreurs de communications vocales étaient temporaires et ne comportaient aucune valeur opérationnelle déterminée. Nous avons constaté que le SCC n’avait défini aucune période de conservation des renseignements obtenus par l’interception de communications, [EXPURGÉ] . De plus, dans neuf des 11 établissements visités, les ARS ont souligné qu’ils archivaient tous les enregistrements sonores (y compris l’information temporaire) sur des DVD et qu’ils étaient conservés indéfiniment. Par conséquent, tous les enregistrements sonores depuis la mise en place des enregistreurs de communications vocales en 2012 sont probablement conservés sur les disques durs et, dans la plupart des cas, sur des DVD également.

Le manque de mécanismes de gestion de l’information s’est soldé par un non-respect de la Loi sur la protection des renseignements personnels. Ce problème était exacerbé par le fait que dans certains cas, il s’agissait de l’enregistrement de communications privilégiées (voir le point 3.2.3 pour plus de détails).

La DC 568-2 exige que les ARS remplissent le formulaire du SCC 1443 Document pour séance d’information – renseignements de sécurité pour consigner les diverses séances d’information sur les renseignements destinés à la direction, aux membres du personnel ou à des membres d’organismes externes. Les ARS ont mentionné qu’ils échangeaient régulièrement des renseignements avec des intervenants internes et externes, tant verbalement que par écrit (p. ex. ROR/RRS). Bien que l’échange verbal de renseignements constitue une séance d’information sur le renseignement de sécurité, les ARS à tous les établissements visités ont souligné qu’ils n’utilisaient pas le formulaire 1443 pour documenter les renseignements échangés en raison du manque de temps et de ressources. Il convient de signaler que la DC 568‑2 est en cours de révision et que les exigences relatives à la documentation des séances d’information sur les renseignements de sécurité sont en cours de modification.

Le manque de document nuisait à la capacité du SCC d’assurer le suivi de l’échange de renseignements personnels et limitait la capacité de la direction de surveiller l’échange de renseignements pour veiller au respect de la Loi sur la protection des renseignements personnels.

Aux termes du paragraphe 94(3) du RSCMLC, « lorsqu’une communication est interceptée en application des paragraphes (1) ou (2), le directeur du pénitencier ou l’agent désigné par lui doit aviser le détenu, promptement et par écrit, des motifs de cette mesure. » De plus, la DC 568‑10 exige que les ARS utilisent le formulaire du SCC 1135 intitulé Avis d’interception des communications et de la correspondance (formulaire d’avis) pour informer le détenu des motifs de l’interception qui sont donnés au détenu soit tout de suite après la fin de l’interception, soit une fois l’enquête connexe achevée s’il est jugé que l’avis aurait un effet indésirable sur l’enquête.

Le formulaire d’avis ne comprend ni section pour la signature et l’attestation du délinquant quant au fait qu’il l’a reçu ni section pour la signature d’un témoin, advenant que le détenu refuse de signer. Donc, bien que nous ayons découvert des formulaires d’avis remplis dans 88 % (68 sur 77) des dossiers examinés, rien n’indiquait sur ces formulaires qu’ils avaient été fournis au détenu. De plus, les ARS ont mentionné qu’ils signaient le formulaire d’avis et y inscrivaient la date du jour auquel ils le remplissaient, et non celle du jour auquel il était fourni au détenu. Cela fait en sorte que le SCC n’est pas en mesure de confirmer si les détenus ont été informés ni, le cas échéant, à quelle date.

Nous avons également constaté des problèmes au chapitre des processus qui sont en place pour fournir le formulaire d’avis au détenu. À tous les établissements que nous avons visités, les ARS ont mentionné qu’en temps normal, ils envoyaient le formulaire d’avis rempli au détenu par la poste et, par conséquent, cela ne garantissait pas que le détenu l’ait reçu. De plus, l’un des établissements plaçait les formulaires d’avis dans le dossier d’admission et libération du détenu et celui‑ci n’y avait accès qu’au moment de sa mise en liberté ou de son transfèrement de l’établissement. Cela pouvait faire en sorte que le détenu soit informé après une longue période, voire jamais, s’il n’obtient pas sa mise en liberté de l’établissement.

Les entrevues avec les cadres de la Direction de la sécurité préventive et du renseignement de sécurité ont révélé qu’en général, leur explication était que les ARS devaient fournir les formulaires d’avis en personne aux détenus, car cela garantirait que les détenus le reçoivent et qu’ils auraient la possibilité de formuler des observations, et les ARS pourraient ainsi obtenir des renseignements supplémentaires. Cette attente ne figurait pas dans l’orientation du SCC.

Des lacunes sur le plan de la conception, comme l’absence de bloc de signature du détenu ou d’un témoin sur le formulaire d’avis, limitaient la capacité du SCC de confirmer que les détenus avaient véritablement été informés, comme l’exige le RSCMLC. De plus, le manque d’orientation claire avait entraîné l’établissement de processus non conformes et inappropriés en ce qui concerne la réception de l’avis par le détenu et cela faisait croître le risque de non-conformité au RSCMLC.

Conclusion – deuxième objectif

Nous avons constaté que plusieurs des activités principales liées au processus d’interception des communications n’étaient pas toujours conformes aux exigences. Plus précisément, les motifs raisonnables étaient souvent mal documentés ou étayés par des renseignements, l’autorisation d’intercepter les communications d’un détenu n’était pas toujours fournie par écrit et la communication (même confidentielle) était interceptée sans autorisation. Nous avons également constaté que l’activité d’interception n’était pas toujours bien documentée et que les renseignements obtenus au moment de l’interception n’étaient pas gérés adéquatement dans tous les cas. De plus, nous avons observé l’absence de protections efficaces pour veiller à ce que le SCC respecte ses obligations juridiques et stratégiques en avisant les détenus de l’interception de leurs communications.

4.0 Conclusion

Dans l’ensemble, nous avons constaté que des éléments d’un cadre de gestion étaient en place. Cependant, des améliorations s’imposent pour que le cadre favorise l’atteinte efficiente et efficace des objectifs en matière d’interception des communications. Par l’étape 1, l’audit a noté un manque d’orientation et une formation limitée ont fait en sorte que les directeurs d’établissement et les ARS avait une compréhension partielle des exigences juridiques et stratégiques qui traitent de l’interception des communications des détenus, ce qui a créait d’importants problèmes de conformité. Plus particulièrement, les motifs raisonnables étaient souvent mal documentés ou étayés par des renseignements, l’autorisation d’intercepter les communications d’un détenu n’était pas toujours fournie par écrit et des communications (même confidentielles) étaient interceptées sans autorisation. Ces problèmes de conformité étaient passés inaperçus durant une longue période en raison d’une assurance de la qualité insuffisante en ce qui concerne le travail d’interception effectué par les ARS et d’un manque de surveillance et de rapports. Nous avons également constaté que l’interception n’est pas toujours bien documentée et que les renseignements obtenus au moyen d’une activité d’interception étaient parfois mal gérés. De plus, nous avons observé l’absence de protections efficaces pour veiller à ce que le SCC respecte ses obligations juridiques et stratégiques en avisant les détenus de l’interception de leurs communications.

Au courant de l’étape 2, nous avons constatés que les actions entreprises immédiatement par la gestion, avaient pour résultat une amélioration importante de la conformité aux exigences législatives et aux politiques du SCC. Nous encourageons le SCC de continuer à concentrer ses efforts sur la gestion et l’utilisation efficace et efficiente de cet outil d’information important. Des recommandations ont été formulées dans le présent rapport sur les points devant continuer d’être améliorés.

5.0 Réponse de la direction

La direction est d’accord avec les constatations et les recommandations présentées dans le rapport d’audit. Elle a préparé un plan d’action de la gestion détaillé en réponse aux points soulevés dans le cadre de l’audit et aux recommandations qui y sont associées. Le plan d’action de la gestion sera entièrement mis en œuvre d’ici le 30 juin 2021.

Au terme de la phase 1, la sous-commissaire principale, en collaboration avec le commissaire adjoint, Opérations et programmes correctionnels, et les sous-commissaires régionaux, a préparé un plan d’action en vue d’aborder immédiatement les principales constatations préliminaires. Les mesures prises par la direction portaient principalement sur les trois aspects suivants : fournir de la formation sur le cadre juridique et stratégique et sur l’enregistreur de communications vocales aux directeurs d’établissement et aux ARS; mettre en œuvre des processus de surveillance et de contrôle de la qualité au chapitre des autorisations d’intercepter, tant aux AR qu’à l’AC; effectuer des mises à niveau techniques; et fournir une orientation à jour aux établissements. Les lignes qui suivent fournissent plus de détails sur les mesures prises à ce jour.

En 2018, la Direction de la sécurité préventive et du renseignement de sécurité (DSPRS), en collaboration avec le Secteur des services juridiques (SSJ), a offert une formation de recyclage sur les principes juridiques et les règlements qui régissent l’interception de communications, en plus d’offrir une formation sur les motifs raisonnables aux directeurs et sous-directeurs d’établissement et aux coordonnateurs régionaux du renseignement (CRR).

Une formation sur [EXPURGÉ] a été offerte à l’échelle nationale à tous les membres du personnel chargés de l’administration du [EXPURGÉ] . La formation de perfectionnement continu pour les agents du renseignement de sécurité (FPCARS) de 2019 a été conçue de façon à inclure un volet de rédaction de comptes rendus des communications interceptées, ainsi qu’une présentation des pratiques exemplaires et des leçons apprises découlant des résultats d’audit et de l’examen national continu des comptes rendus de communications interceptées.

De plus, une formation destinée aux sous-directeurs d’établissement et aux cadres supérieurs du SCC qui décrit les rôles et les responsabilités de ceux-ci au chapitre des politiques et des pratiques fondées sur le renseignement, en mettant plus particulièrement l’accent sur les activités liées aux interceptions, la détermination des motifs raisonnables, et la gestion de la correspondance confidentielle a également été élaborée. Cette formation a été dispensée dans le cadre du programme provisoire de formation des cadres opérationnels supérieurs.

Dans l’optique d’instaurer des pratiques de surveillance plus musclées, un examen national des comptes rendus de communications interceptées a été effectué de septembre 2018 à mars 2019. En septembre 2019, les CRR ont commencé à examiner les formulaires d’autorisation d’intercepter des communications des détenus et d’avis d’interception de communication en vue d’en confirmer la conformité aux lois et aux politiques pertinentes. En outre, les commentaires découlant de l’examen national continu des comptes rendus de communications interceptées sont fournis sur demande aux établissements et ARS. Dans le but d’établir une certaine uniformité dans l’application concrète des activités d’interception, un outil de référence en matière d’évaluation des interceptions a été élaboré à l’intention du personnel des AR et de l’AC afin de soutenir leurs fonctions d’assurance de la qualité. Un mécanisme national de suivi des interceptions (à l’intention du personnel des AR et de l’AC) est également en cours de mise en place pour garantir la surveillance des activités d’interception, ainsi que la mise à disposition de la documentation adéquate conformément aux exigences juridiques et stratégiques pertinentes. Qui plus est, en vue d’améliorer la surveillance et l’assurance de la qualité, une base de données centrale a été mise au point à l’administration centrale aux fins d’entreposage et de conservation de toutes les demandes d’autorisation d’interception de communications et de tous les avis remis aux détenus au terme d’une activité d’interception.

En juin 2020, la commissaire du SCC, Anne Kelly, a approuvé l’établissement d’un centre national d’interception à l’AC. Le centre aidera à diminuer les risques de l’organisation en augmentant la surveillance du programme d’interception et en tirant profit du renseignement obtenu à partir des communications interceptées.

De janvier à mars 2019, les Services techniques du SCC, en collaboration avec [EXPURGÉ] , ont procédé à une mise à jour nationale de tous les comptes d’utilisateurs de l’enregistreur de communications vocales. Outre ces mises à niveau du système, [EXPURGÉ] de manière à optimiser la responsabilisation et à favoriser une meilleure surveillance à l’échelon des établissements.

La DSPRS poursuit sa collaboration avec [EXPURGÉ] en vue de trouver des façons de mieux utiliser le [EXPURGÉ] à des fins opérationnelles.

En réponse aux constatations de l’audit réalisé par le Secteur de l’audit interne - qui résume les pratiques et politiques du SCC sur l’interception des communications des détenus, de même que les améliorations à apporter dans ce domaine - la haute direction du SCC a établi une orientation nationale sur la gestion adéquate de la correspondance confidentielle. Cette orientation définit également des directives opérationnelles sur l’utilisation appropriée de la [EXPURGÉ] . Enfin, une note de service a été diffusée dans toutes les régions afin de cerner les exigences juridiques et réglementaires qui s’appliquent au programme d’interception des communications du SCC.

6.0 À propos de l’audit

6.1 Approche et méthode

6.1.1 Étape 1

Diverses méthodes ont été employées pour recueillir les données de l’audit.

Entrevues : Des entrevues ont été menées auprès de la haute direction et du personnel clé à l’AC, aux AR et dans les établissements sélectionnés pour que l’information obtenue soit incluse à l’étape 1 de l’audit. Les entrevues ont eu lieu en personne et par téléconférence.

Examen de documents : Législation applicable, instruments de politique du SCC et documents organisationnels tels que les marchés, les manuels de formation, les rapports des établissements et du personnel, les renseignements contenus dans les dossiers de sécurité préventive, les courriels, les documents d’information des établissements, et les renseignements et enregistrements conservés dans le STD et l’enregistreur de communications vocales.

Stratégie d’échantillonnage et examen des dossiers^{Note de bas de page 40} : Un échantillon non statistique de dossiers a été sélectionné pour la période allant du 1er janvier 2017 au 22 juin 2018. Les dossiers ont été choisis en commençant par le plus récent jusqu’au plus ancien, afin d’évaluer les dossiers les plus pertinents. Un examen des dossiers a été mené à chaque établissement sélectionné en vue d’inclure les résultats dans l’audit et portait uniquement sur les communications téléphoniques interceptées.

Observations : Les observations traitaient entre autres de la façon dont les dossiers de sécurité préventive ont été tenus à jour, ainsi que de l’existence et de l’utilisation de l’équipement d’interception. Le courrier et les visites des détenus ont également été observés dans le but de relever et d’évaluer les contrôles en place.

Examen analytique : Un examen analytique a été effectué sur le plan des critères qui concernent l’orientation, la formation, l’équipement, la surveillance et l’établissement de rapports, la conformité avec l’autorisation et la sécurité des renseignements.

6.1.2 Étape 2

Diverses méthodes ont été employées pour recueillir les données de l’audit.

Entrevues : Des entrevues ont été menées auprès de la haute direction et du personnel clé aux établissements sélectionnés pour que l’information obtenue soit incluse à l’étape 2 de l’audit. Les entrevues ont eu lieu en personne.

Examen de documents : Documents organisationnels tels que les manuels de formation, les rapports des établissements et du personnel, les renseignements contenus dans les dossiers de sécurité préventive, et les renseignements et enregistrements conservés dans le STD et l’enregistreur de communications vocales.

Stratégie d’échantillonnage et examen des dossiers^{Note de bas de page 41} : Un échantillon non statistique de dossiers a été sélectionné pour la période allant du 1er novembre 2018 au 12 avril 2019. Les dossiers ont été choisis en commençant par le plus récent jusqu’au plus ancien, afin d’évaluer les dossiers les plus pertinents. L’examen des dossiers portait uniquement sur les communications téléphoniques interceptées.

6.2 Audits antérieurs et travaux d’assurance externe

Depuis les cinq dernières années, le SCC n’a pas entrepris de travaux en matière d’audit interne ou d’assurance externe au chapitre de l’interception des communications des détenus.

6.3 Énoncé de conformité

Selon mon jugement professionnel en tant que dirigeant principal de l’audit, des procédures d’audit suffisantes et appropriées ont été suivies et des éléments de preuve ont été recueillis pour confirmer l’exactitude des opinions formulées et contenues dans ce rapport. L’opinion est fondée sur une comparaison des conditions ayant cours à ce moment-là avec les critères d’audit préétablis et acceptés par la direction. L’opinion formulée ne vaut que pour les questions examinées.

L’audit est conforme aux Normes relatives à l’audit interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les éléments probants étaient suffisants pour fournir à la haute direction une preuve d’opinion fondée sur l’audit interne.

Christian D’Auray, CPA, CA
Date

Dirigeant principal de l’audit

Annexe A : Résultats du test de conformité

S.O. – Test n’a pas été effectué durant l’étape 2 de l’audit.

Annexe B : Critères de l’audit

S.O. – Critères n’ont pas été réévalués lors de l’étape 2 de l’audit.

Annexe C : Établissements visités

Le tableau suivant indique les établissements sélectionnés pour les deux étapes de l’audit.

Les établissements retenus pour l’étape 1 ont été visités en mai et en juin 2018. Ils ont été sélectionnés en fonction d’une analyse du volume d’activités d’interception (nombre d’autorisations à intercepter), du nombre de saisies liées aux drogues (effectuées grâce à des renseignements de sécurité), du taux de possession ou de transport de drogues, du taux d’incidents liés aux drogues et du taux d’incidents de sécurité. De plus, les contraintes liées aux déplacements (c.‑à‑d. temps et ressources) ont influencé le choix des établissements.

Les établissements retenus pour l’étape 2 ont été visités en mars et en avril 2019. Ils ont été sélectionnés en fonction d’une analyse du volume d’activités d’interception (nombre d’autorisations à intercepter) pendant la période visée, et en fonction de leur inclusion ou exclusion à l’étape 1 de l’audit. Dans les régions du Pacifique, des Prairies et de l’Ontario, l’équipe d’audit a choisi au moins un établissement visité et un établissement non visité à l’étape 1. Puisque les régions du Québec et de l’Atlantique n’ont pas été visitées à l’étape 1, les établissements de ces régions ont été sélectionnés en fonction du volume des activités d’interception pendant la période à l’étude, en tenant compte des contraintes liées aux déplacements (c.‑à‑d. temps et ressources).

Annexe D : Instruments de politique du SCC

Les instruments de politique du SCC qui figurent ci‑dessous comprennent les exigences et les processus qui concernent la gestion des interceptions de communication.

• DC 085 Correspondance et communications téléphoniques
• DC 225 Sécurité en matière de technologie de l’information
• DC 340 Systèmes électroniques de sécurité
• DC 568 Gestion de l’information et des renseignements de sécurité
• DC 568-2 Consignation et communication de l’information et des renseignements de sécurité
• DC 568-4 Protection des lieux de crime et protection des preuves
• DC 568-10 Interception des communications des détenus
• LD 005-1 Structure de gestion des établissements : Rôles et responsabilités
• LD 340-1 Portée des systèmes électroniques de sécurité
• Ordres permanents de l’établissement

Annexe E : Communications privilégiées

Conformément au RSCMLC, les communications entre un détenu et les personnes suivantes sont considérées comme des communications privilégiées et ne peuvent pas être légalement interceptées, à moins que des exigences législatives particulières aient été satisfaites.

1. Gouverneur général du Canada
2. Solliciteur général du Canada
3. Juges des tribunaux canadiens, y compris les juges des cours provinciales, et les greffiers de ces tribunaux
4. Sénateurs
5. Députés à la Chambre des communes
6. Représentants consulaires
7. Membres des assemblées législatives provinciales
8. Membres des assemblées législatives du Yukon et des Territoires du Nord-Ouest
9. Sous-solliciteur général du Canada
10. Commissaire du Service correctionnel du Canada
11. Président de la Commission des libérations conditionnelles du Canada
12. Commissaire aux langues officielles
13. Commission canadienne des droits de la personne
14. Commissaire à l’information
15. Commissaire à la protection de la vie privée
16. Protecteur du citoyen des provinces
17. Commissaire adjoint, Vérification interne et enquêtes, Service correctionnel du Canada
18. Coordonnateurs de la protection de la vie privée des ministères fédéraux
19. Enquêteur correctionnel du Canada
20. Avocats

Annexe F : Formulaires du SCC applicables

Voici une liste des formulaires du SCC qui ont servi dans le cadre de l’interception des communications d’un détenu.

1. Consentement explicite à l’interception d’une conversation privée (SCC, formulaire 1453)
2. Autorisation d’intercepter les communications d’un détenu (SCC, formulaire 1454)
3. Registre des communications interceptées (SCC, formulaire 1036)
4. Avis d’interception des communications et de la correspondance (SCC, formulaire 1135)
5. Rapport sur les renseignements de sécurité (SCC, formulaire 0232)
6. Rapport d’observation sur les renseignements (SCC, formulaire 1445)
7. Document pour séance d’information – renseignements de sécurité (SCC, formulaire 1443)
8. Journal de contacts externes (SCC, formulaire 1442)

Addenda A : Résultats du suivi

En octobre 2019, le secteur de l’audit interne a été demandé de mener des travaux de suivi pour évaluer si les mesures prises pour donner suite aux problèmes cernés durant les phases 1 et 2 de l’audit a mené à l’amélioration de la conformité. Visites sur place pour ce travail de suivi a été effectuée en février et en mars, 2020, et comprenait des visites à 20 établissements à travers les cinq régions. Les essais de conformité ont été rempli pour un échantillon de l’interception des communications qui ont été autorisés à l’interne entre le 1er novembre 2019 et le 21 février 2020.