Technologie de reconnaissance faciale : utilisation par les services de police au Canada et approche proposée
Rapport spécial au Parlement sur l’enquête réalisée par le Commissariat à la protection de la vie privée du Canada sur l’utilisation par la GRC de la technologie de Clearview AI et version préliminaire d’un document d’orientation conjoint à l’intention des services de police qui envisagent d’avoir recours à la technologie de reconnaissance faciale
Le 10 juin 2021
Technologie de reconnaissance faciale : utilisation par les services de police au Canada et approche proposée
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3
© Sa Majesté la Reine du chef du Canada pour le Commissariat à la protection de la vie privée du Canada, 2021
Numéro de catalogue : IP54-110/2021F-PDF
ISBN : 978-0-660-39087-1
Lettre au président du Sénat
PAR COURRIEL
Juin 2021
L’honorable George J. Furey, sénateur
Président
Sénat du Canada
Ottawa (Ontario) K1A 0A4
Monsieur,
J'ai l'honneur de remettre au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé Technologie de reconnaissance faciale : utilisation par les services de police au Canada et approche proposée. Ce dépôt se fait en vertu de l’article 39(1) de la Loi sur la protection des renseignements personnels.
Je vous prie d’agréer, Monsieur, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Daniel Therrien
Lettre au président de la Chambre des communes
PAR COURRIEL
Juin 2021
L’honorable Anthony Rota, député
Président
Chambre des communes
Ottawa (Ontario) K1A 0A6
Monsieur,
J'ai l'honneur de remettre au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé Technologie de reconnaissance faciale : utilisation par les services de police au Canada et approche proposée. Ce dépôt se fait en vertu de l’article 39(1) de la Loi sur la protection des renseignements personnels.
Je vous prie d’agréer, Monsieur, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Daniel Therrien
Message du commissaire
La technologie de reconnaissance faciale (RF) constitue désormais un outil puissant, qui est d’un intérêt considérable pour les organismes d’application de la loi et les entités commerciales. Utilisée de manière responsable et dans les bonnes conditions, cette technologie peut apporter d’importants avantages à la société.
Elle peut, à titre d’exemple, contribuer à l’atteinte d’objectifs en matière de sécurité nationale, aider les services de police à résoudre des crimes ou aider les autorités à trouver des personnes disparues.
Facilement adaptable, la technologie est relativement peu coûteuse à utiliser et elle peut être mise en œuvre en complément à une infrastructure de surveillance existante, ce qui pourrait expliquer son attrait grandissant au Canada et à l’étranger, en particulier pour les services de police.
Cependant, la RF peut être une technologie de surveillance très envahissante comportant de nombreux risques.
Des études ont démontré que cette technologie peut produire des résultats biaisés sur le plan de la race et, au vu de l’effet intimidant qu’elle peut avoir sur certaines activités, elle pourrait porter atteinte au droit à la vie privée et miner des droits et libertés de la personne, comme la liberté d’expression et de réunion pacifique. Les dépôts de données obtenues au moyen de la technologie de RF constituent également des cibles fort intéressantes pour les personnes malveillantes et doivent être protégés en conséquence.
La technologie de reconnaissance faciale entraîne la collecte et le traitement de renseignements personnels très sensibles. Les données biométriques du visage sont propres à chaque individu, peu susceptibles de varier de manière significative au fil du temps, et difficiles à modifier dans leurs particularités. Jumelée à des sources contenant de vastes quantités de données, comme Internet, les banques de données gouvernementales ou la télévision en circuit fermé, cette technologie peut constituer un puissant outil de renseignements et de suivi.
Les données visées par la technologie de reconnaissance faciale sont intimement liées à l’identité individuelle et, alors que l’utilisation de la technologie est appelée à s’étendre, tant dans les entités commerciales que les gouvernements, d’importantes questions se posent quant au type de société dans laquelle nous désirons vivre. Le déploiement à très grande échelle de la technologie de reconnaissance faciale justifie que l’on mène un examen attentif pour déterminer si nos lois protègent adéquatement les Canadiens contre d’éventuels usages de celle-ci à mauvais escient. Le présent rapport porte particulièrement sur l’application des lois sur la protection des renseignements personnels dans ce domaine et sur les pratiques exemplaires d’utilisation de la technologie de RF à l’intention des services de police.
Mesures prises par le Commissariat et prochaines étapes
Le présent rapport spécial au Parlement fait état des conclusions de notre enquête sur l’utilisation par la Gendarmerie royale du Canada (GRC) de la technologie de Clearview AI, une entreprise qui a offert des services de technologie de reconnaissance faciale à des organismes d’application de la loi ainsi qu’à certaines organisations privées.
Clearview AI a elle-même déjà fait l’objet d’une enquête menée par le Commissariat, dont les résultats ont été publiés en février 2021.
Le présent rapport spécial contient également une version préliminaire du document d’orientation sur la protection de la vie privée à l’intention des services de police relativement au recours à la reconnaissance faciale. Élaboré conjointement avec nos homologues provinciaux et territoriaux au Canada, ce document d’orientation préliminaire a pour objectif de préciser les obligations des services de police en matière de protection de la vie privée relativement à l’utilisation de la technologie de RF, afin d’assurer que l’utilisation de celle-ci soit conforme aux lois actuelles et limite les risques d’atteintes à la vie privée.
Dans les semaines et les mois à venir, nous consulterons les corps policiers et divers intervenants en rapport avec ce document d’orientation. Il importe de tenir des discussions publiques sur la façon dont cette technologie potentiellement utile, mais qui comporte également des risques très importants, devrait être utilisée.
Notre travail actuel s’ajoute à l’enquête que nous avons menée sur Cadillac Fairview – une société immobilière commerciale qui a intégré des caméras à des bornes d’orientation numérique situées dans des centres commerciaux afin d’estimer le sexe et l’âge des clients, à leur insu et sans leur consentement. Nous espérons que l’ensemble de notre travail contribuera aux importantes discussions qui ont lieu à l’heure actuelle sur la réglementation de technologies potentiellement perturbatrices, comme la technologie de reconnaissance faciale.
Nous voyons d’un bon œil que les parlementaires se saisissent actuellement de la question. Le mois dernier, j’ai été invité à comparaître devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique à la Chambre des communes afin de discuter des préoccupations que soulève cette technologie sur le plan de la vie privée. Les membres du Comité ont d’ailleurs manifesté un vif intérêt à l’égard de nos enquêtes sur l’utilisation de la technologie de RF dans le contexte de l’application de la loi.
Il convient, selon nous, de communiquer sans délai aux Canadiens les résultats de notre enquête sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview AI. Ne pas le faire serait de mal servir les Canadiens. L’occasion est d’autant plus opportune que le gouvernement souhaite actuellement moderniser le régime canadien de protection de la vie privée.
Aperçu de l’enquête sur l’utilisation par la GRC de la technologie de Clearview AI
Notre enquête sur l’utilisation par la GRC de la technologie de reconnaissance faciale, qui figure intégralement dans le présent rapport, est liée à une enquête distincte sur Clearview AI.
Dans cette enquête, nous avons constaté que la technologie de Clearview AI avait permis à des corps policiers et à des organisations commerciales de faire une recherche dans la banque de données de l’entreprise à partir d’une photographie d’une personne. Cette banque de données renfermait plus de 3 milliards d’images prélevées de sites Internet sans le consentement des utilisateurs.
Résultat : des milliards de personnes se sont retrouvées tous les jours, 24 heures sur 24, dans une parade d’identification policière. Nous avons conclu que cela représentait une surveillance de masse et une violation manifeste de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique au secteur privé au Canada.
Dans le cadre de notre enquête sur la GRC, nous avons conclu que le service de police national du Canada avait contrevenu à la Loi sur la protection des renseignements personnels, qui s’applique aux institutions fédérales, lorsqu’il a recueilli des renseignements personnels auprès de Clearview AI. En l’espèce, une institution fédérale ne peut recueillir de renseignements personnels auprès d’un tiers si celui-ci les a recueillis illégalement.
La GRC nous avait tout d’abord indiqué, à tort, qu’elle n’avait pas recours à la technologie de Clearview AI, ce que nous avons trouvé préoccupant. Lorsqu’elle a plus tard reconnu avoir eu recours à la technologie de cette entreprise, la GRC a affirmé publiquement qu’elle l’avait seulement utilisée de manière limitée, principalement pour identifier, retrouver et sauver des enfants exploités sexuellement sur Internet.
Or, d’après notre enquête, la GRC n’a pas été en mesure de rendre compte de manière satisfaisante de la grande majorité des recherches qu’elle a effectuées.
Cela illustre bien ce que notre enquête a permis de révéler de manière plus détaillée, c’est-à-dire que les politiques et les systèmes de la GRC présentent des lacunes graves et systémiques au chapitre du suivi, de l’identification, de l’examen et du contrôle des nouvelles collectes de renseignements personnels. De telles mesures sont essentielles pour veiller à ce que la GRC se conforme à la loi lorsqu’elle a recours à de nouvelles technologies, comme la technologie de RF, et de nouvelles sources, comme des bases de données privées.
Après l’annonce de notre enquête, la GRC a émis à l’intention de son personnel une directive interne imposant des limites à la collecte de renseignements personnels au moyen de la technologie de Clearview et a mis sur pied un projet pilote, soit le « Programme national d’intégration des technologies » [traduction], pour examiner de manière systématique la conformité de nouvelles techniques d’enquête à la Loi sur la protection des renseignements personnels et à la Charte canadienne des droits et libertés.
La GRC n’a plus recours à la technologie de Clearview AI puisque l’entreprise a cessé d’offrir ses services au Canada en juillet 2020, dans la foulée de notre enquête qui était alors en cours. Cependant, nous demeurons préoccupés par le fait que la GRC n’a pas souscrit à notre conclusion, selon laquelle nous estimons qu’elle avait contrevenu à la Loi sur la protection des renseignements personnels. La GRC a fait valoir que l’article 4 de cette loi n’impose pas expressément le devoir de confirmer le fondement juridique de la collecte de données personnelles par ses partenaires du secteur privé. Exiger de la GRC qu’elle s’assure de la conformité des pratiques d’un tiers à la LPRPDE lui imposerait, a-t-elle affirmé, une obligation déraisonnable.
La GRC a néanmoins accepté de mettre en œuvre nos recommandations l’enjoignant à améliorer ses politiques, ses systèmes et sa formation. À ce titre, elle sera notamment appelée à réaliser des évaluations complètes des pratiques de collecte de données par des tiers afin de veiller à ce que tout renseignement personnel soit recueilli ou utilisé conformément à ce que prévoit la législation canadienne en matière de protection des renseignements personnels.
Les activités des institutions fédérales doivent se limiter à celles que la loi leur permet de mener et elles doivent respecter le principe de la primauté du droit. Nous incitons le Parlement à modifier la Loi sur la protection des renseignements personnels afin de préciser que la GRC est tenue de s’assurer que les tiers auprès desquels elle recueille des renseignements personnels ont agi conformément à la loi.
Qui plus est, la common law fixe clairement des limites aux pouvoirs de collecte de la GRC en tant que corps policier. Nous sommes d’avis que le recours par la GRC à la technologie de RF pour effectuer des recherches dans d’énormes dépôts de données sur des Canadiens nullement soupçonnés d’actes criminels constitue une importante atteinte à la vie privée et justifie clairement un examen attentif à la lumière des limites susmentionnées.
Pour être efficace, un tel examen doit se fonder sur une compréhension nuancée des enjeux de vie privée en cause.
Document d’orientation préliminaire à l’intention des services de police
De concert avec nos homologues des autorités de protection de la vie privée au pays, nous avons produit une version préliminaire d’un document d’orientation à l’intention des services de police afin de préciser les circonstances et les conditions dans lesquelles l’utilisation de la technologie de RF pourrait être acceptable.
Nous n’en sommes pas encore arrivés à une prise de position définitive sur les conditions d’utilisation de la technologie de RF. Nous comptons consulter divers intervenants au sujet de nos recommandations avant d’en arrêter la version définitive. Dans le document d’orientation préliminaire, on met l’accent sur le fait que les services de police doivent s’assurer que la loi leur permet de faire l’utilisation proposée de la technologie, et sur l’importance d’appliquer des normes de protection de la vie privée qui soient proportionnelles aux préjudices possibles.
Les principes de nécessité et de proportionnalité garantissent que les pratiques portant atteinte à la vie privée sont mises en œuvre pour un objectif suffisamment important et qu’elles sont rigoureusement adaptées afin de ne pas porter atteinte au droit à la vie privée plus que cela n’est nécessaire.
En d’autres termes, les services de police ne devraient pas avoir recours à la technologie de RF tout simplement parce que l’on estime qu’elle est « utile » pour l’application de la loi de manière générale. Les services de police doivent avoir un motif précis de faire appel à cette technologie et ce motif doit être fondé sur des éléments probants. Il ne suffit pas de s’appuyer sur des objectifs généraux en matière de sécurité publique pour justifier l’utilisation d’une technologie aussi intrusive. Le caractère urgent et important de l’objectif en question devrait être démontrable par des éléments probants.
Dans certains cas, les préjudices possibles peuvent être si graves qu’aucune mesure de protection ne réduit suffisamment le risque d’atteinte à la vie privée. Dans d’autres cas, il peut être possible de gérer les risques associés à la technologie de RF de manière appropriée grâce à une planification rigoureuse et à une application diligente des mesures de protection de la vie privée.
Les principes d’exactitude, de minimisation des données, de responsabilité et de transparence sont d’autres principes essentiels dont les services de police doivent tenir compte avant d’utiliser la technologie de RF.
La question de l’exactitude est une préoccupation partagée par plusieurs étant donné que la technologie de RF a tendance à identifier de manière erronée certains genres et groupes raciaux. C’est pourquoi les décisions prises au sujet des individus ne doivent pas reposer uniquement sur la technologie de RF. Cela signifie que des agents de police doivent passer manuellement en revue les correspondances de la RF avant que quelque décision que ce soit ne soit prise pour détenir quelqu’un, mener une enquête sur une personne ou déposer des accusations à l’égard d’une personne.
Les mesures de minimisation des données peuvent contribuer à réduire le risque de collecte trop vaste et la gravité d’une atteinte à la sécurité des données dans l’éventualité où une telle situation se produirait.
Le principe de responsabilité permet de s’assurer que les services de police savent quelles données sont recueillies, comment, par qui et à quelles fins, et de quelle façon elles sont protégées. Ce principe permet, en définitive, de s’assurer que les organisations sont en mesure de démontrer leur conformité avec les exigences juridiques lorsqu’elles sont invitées à le faire.
Les mesures de transparence, quant à elles, permettent à ceux qui sont susceptibles d’être visés par la technologie de RF d’être bien informés de son utilisation.
En plus des lois sur la protection des renseignements personnels, la Charte canadienne des droits et libertés protège aussi certains aspects du droit à la vie privée, comme le droit d’être protégé contre les fouilles, les perquisitions ou les saisies abusives par l’État. Certaines atteintes à ce droit peuvent toutefois être justifiées dans des circonstances précises.
À titre d’exemple, le Code criminel prévoit la délivrance de mandats qui autorisent une intrusion dans la vie privée d’une personne lorsqu’un juge est convaincu qu’il existe des motifs raisonnables de croire qu’une infraction a été ou sera commise et que des renseignements relatifs à l’infraction seront obtenus grâce à une telle utilisation ou à l’accomplissement d’un tel acte. Le fait de demander un mandat et une autorisation du tribunal pourrait contribuer à faire en sorte qu’une utilisation proposée de la technologie de RF respecte le critère de proportionnalité.
Il est également utile de souligner que les acteurs du secteur privé ne jouissent pas des mêmes pouvoirs en matière de collecte que les services de police. Les fournisseurs commerciaux de technologie de RF alimentent souvent leurs propres bases de données, généralement avec des images provenant d’Internet. Comme nous l’avons souligné dans notre document d’orientation, si les services de police ont recours à des tiers pour fournir des services de reconnaissance faciale, ils doivent s’assurer que la loi permet à ceux-ci de recueillir et d’utiliser les renseignements personnels qui se trouvent dans leurs bases de données, et qu’ils n’ont pas utilisé à d’autres fins les données qui leur ont été communiquées par les services de police.
Réforme législative et autres facteurs à considérer
Le gouvernement envisage actuellement de moderniser le régime de protection de la vie privée et des données du Canada, et il y a des questions importantes relativement à la technologie de RF dont il faudrait tenir compte dans ce contexte.
Les lois canadiennes sur la protection des renseignements personnels ont été conçues de manière à être neutres sur le plan technologique, ce qui est une bonne chose, compte tenu du rythme des changements technologiques par rapport au rythme des travaux nécessaires pour moderniser des lois.
Toutefois, les risques que présente la technologie de RF sont tels que des règles particulières pourraient s’avérer justifiées en raison du caractère inaltérable de l’information en cause. C’est déjà le cas pour d’autres formes de données biométriques recueillies par les organismes d’application de la loi, comme les empreintes digitales et les profils d’ADN.
À ce jour, le Québec est la seule administration au Canada qui soit dotée d’une loi qui traite précisément des données biométriques, lesquelles englobent celles que visent la technologie de RF. La Loi concernant le cadre juridique des technologies de l’information du Québec exige que la création d’une banque de caractéristiques ou de mesures biométriques doit être préalablement divulguée à la Commission d’accès à l’information. Cette autorité peut par la suite interdire la mise en service d’une telle banque, ordonner que des changements y soient apportés ou en ordonner la destruction. De plus, tout autre renseignement concernant une personne qui pourrait être découvert à partir des caractéristiques ou mesures biométriques ne peut servir à fonder une décision à son égard.
Aux États-Unis, certaines administrations sont allées aussi loin que d’interdire l’utilisation de la technologie de RF par les services de police ou d’autres organismes publics. Le contrôleur européen de la protection des données a également réclamé que l’utilisation de la technologie de RF soit tout simplement interdite dans l’espace public, la qualifiant d’« intrusion profonde et non démocratique dans la vie privée des gens » [traduction].
Bien que la Commission européenne ne soit pas allée aussi loin que d’ordonner une telle interdiction, elle est intervenue pour encadrer la technologie. En effet, dans un nouveau règlement proposé en avril 2021 sur l’intelligence artificielle, la Commission européenne vise à restreindre l’utilisation de la reconnaissance faciale en temps réel dans les espaces publics, par les organismes d’application de la loi, aux cas relatifs au terrorisme et à la criminalité grave ainsi qu’aux recherches ciblées pour aider des victimes d’actes criminels et retrouver des enfants disparus.
Selon cette proposition, une telle utilisation de la technologie de RF serait assujettie à une autorisation judiciaire. Parmi les principales utilisations interdites, soulignons l’utilisation subliminale de la technologie afin de manipuler le comportement d’une personne d’une manière susceptible de lui porter préjudice, laquelle devrait faire l’objet de restrictions. Le seuil fixé dans la loi est le suivant : « susceptible de causer un préjudice physique ou psychologique » [traduction].
Par ailleurs, toujours selon cette proposition, toutes les autres techniques d’identification biométrique à distance, dont celles auxquelles ont recours les organisations commerciales, seraient considérées comme présentant un « niveau de risque élevé ». Un certain nombre d’obligations seraient alors imposées : évaluations du risque et de la qualité, consignation et conservation des données à des fins de traçabilité, supervision humaine et responsabilité démontrable, entre autres.
Nous avons constaté que les partenariats public-privé et les relations contractuelles où on a recours aux technologies numériques, comme la technologie de RF, peuvent présenter des complications et des risques supplémentaires sur le plan de la vie privée. L’adoption de principes de protection de la vie privée, communs aux lois applicables au secteur public et au secteur privé, permettraient de combler les lacunes sur le plan de la responsabilité là où il y a une interaction entre ces deux secteurs. Ces principes permettraient également d’intervenir pour régler les problèmes d’interopérabilité et d’harmonisation entre nos lois fédérales sur la protection des renseignements personnels et celles d’autres administrations au Canada et ailleurs dans le monde.
À cette fin, les lois fédérales canadiennes sur la protection des renseignements personnels devraient être fondées sur les droits. Ces lois devraient comporter des dispositions sur la prise de décision automatisée, notamment une définition, le droit à une explication valable et le droit de demander une intervention humaine à l’égard de son utilisation. Elles devraient également préciser que le concept de renseignements personnels auxquels le public a accès ne s’applique pas aux renseignements à l’égard desquels un individu a une attente raisonnable en matière de protection de la vie privée. Cela est d’autant plus essentiel dans le cas de la technologie de RF, qui s’appuie sur d’énormes bases de données d’images.
Il faudrait également renforcer les dispositions sur la responsabilité dans les lois canadiennes pour exiger de la part des organisations des preuves de conformité sur le plan de la protection de la vie privée à la demande de l’autorité de réglementation. Ces dispositions devraient faire en sorte que des mesures de protection de la vie privée soient intégrées à tout nouveau produit ou service et que les risques soient examinés et les mesures d’atténuation mises en place avant le lancement du produit ou service en question.
Conclusion
La vie privée n’est rien de moins qu’une condition préalable à la liberté : la liberté de vivre et de se développer de façon autonome, à l’abri de la surveillance de l’État ou d’entreprises commerciales.
La perspective que les services de police intègrent la technologie de RF dans leurs activités d’application de la loi laisse entrevoir le risque de graves atteintes à la vie privée, à moins que des mesures de protection appropriées ne soient mises en place.
Les Canadiens doivent être libres de participer volontairement et activement aux activités courantes d’une société moderne, qui sont de plus en plus numériques. Ils doivent être en mesure de circuler dans les espaces publics, semi-publics et privés sans risquer que leurs activités ne soient systématiquement recensées, suivies et surveillées.
Même si certaines atteintes à ce droit peuvent être justifiées dans des circonstances précises, les gens ne renoncent pas à leur droit à la vie privée simplement en évoluant dans le monde d’une manière qui peut révéler leur visage à d’autres personnes, ou qui peut permettre à une caméra de capter leur portrait. La protection de la vie privée est essentielle à la dignité, à l’autonomie, à l’épanouissement personnel, et à la participation libre et ouverte des citoyens à la vie démocratique. Une surveillance accrue peut dissuader les gens d’exercer ces droits et libertés.
Le processus visant à fixer des limites appropriées à l’utilisation de la technologie de RF demeure inachevé. Contrairement à d’autres formes de données biométriques recueillies par les organismes d’application de la loi, la RF n’est pas assujettie à un ensemble de règles claires et complètes.
Son utilisation est réglementée par une mosaïque de lois et de décisions judiciaires qui, pour la plupart, ne tiennent pas compte des risques propres à la technologie. Cette situation crée une incertitude quant aux utilisations acceptables de la reconnaissance faciale et quant aux conditions d’utilisation.
La nature des risques liés à la technologie de RF nous enjoints à réfléchir collectivement aux limites de ce que constitue une utilisation acceptable de la technologie. Ces limites dépendent en partie des attentes que nous établissons maintenant pour la protection de la vie privée à l’avenir, face à l’augmentation constante des capacités technologiques permettant de s’immiscer dans la vie privée des Canadiens, et susceptibles de bouleverser leurs attentes raisonnables en la matière.
Nous comptons nous pencher sur ces questions importantes en collaboration avec les services de police, le Parlement et divers intervenants.
Ce n’est que par le respect de la loi et des valeurs qui nous sont chères que nous serons en mesure de profiter en toute sécurité des avantages que recèlent les nouvelles technologies, tout en préservant les droits et libertés dont nous sommes si fiers à titre de Canadiens.
Rapport de conclusions : Enquête sur le recours par la GRC à la technologie de reconnaissance faciale de Clearview AI pour la collecte de renseignements personnels
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels
Aperçu
- Clearview AI (Clearview) est une société établie aux États-Unis. Cette dernière a créé une importante base de données d’images faciales qu’elle tient à jour (cette base de données contient aussi les hyperliens menant à l’endroit où ces images ont été trouvées sur Internet). Les titulaires de compte Clearview peuvent effectuer des recherches dans cette base de données pour établir une correspondance entre deux images faciales au moyen de la technologie de reconnaissance faciale (TRF). La GRC a confirmé qu’elle a acheté deux licences afin d’utiliser les services de Clearview en octobre 2019 et que ses membres avaient également eu recours aux services de Clearview depuis lors, par l’entremise d’un certain nombre de comptes d’essai gratuit. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu une plainte au titre de la Loi sur la protection des renseignements personnels (la Loi) exprimant des préoccupations au sujet de l’utilisation des services de Clearview par la GRC.
- Dans une affaire connexe, le 21 février 2020, le Commissariat a lancé une enquête conjointe avec les autorités provinciales responsables de la protection de la vie privée du Québec, de l’Alberta et de la Colombie-Britannique sur la collecte d’images faciales par Clearview dans sa base de données et les communications subséquentes aux clients. Dans le cadre de cette enquête, nous avons constaté que les pratiques de collecte de renseignements personnels de Clearview contrevenaient à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi qu’aux lois provinciales sur la protection des renseignements personnels du Québec, de l’Alberta et de la Colombie-BritanniqueNote de bas de page 1.
- L’article 4 de la Loi prévoit que « [l]es seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ». À notre avis, les programmes et les activités d’une institution doivent se limiter aux activités légales de l’institution et qui respectent le principe de la primauté du droit.
- À la suite de notre examen de la preuve et de nos analyses juridiques, nous concluons que, puisque les pratiques de collecte de renseignements personnels de Clearview n’étaient pas conformes à ses obligations juridiques, la collecte subséquente de ces renseignements par la GRC ne fait pas partie de ses activités et programmes légitimes et constitue donc une contravention à l’article 4 de la Loi.
- Les dossiers de Clearview démontrent que la GRC a effectué des centaines de recherches au moyen de la TRF de Clearview par l’entremise d’au moins 19 comptes dans tout le pays. Compte tenu de l’ampleur considérable de ces collectes de renseignements personnels qui contreviennent à la Loi ainsi que dans le but d’étayer nos recommandations quant aux mesures correctives appropriées, nous avons examiné la pertinence des contrôles en place à la GRC pour nous assurer qu’elle se conforme à l’article 4 de la Loi lorsqu’elle recueille des renseignements personnels par de nouvelles méthodes et à partir de nouvelles sources.
- Nous avons constaté que la GRC n’a pas évalué correctement les risques potentiels de manquement à la Loi que l’utilisation de l’énorme base de données de Clearview et de la technologie de reconnaissance faciale présentait manifestement. De plus, l’organisation n’a pas de système en place pour assurer le suivi, analyser, examiner et contrôler cette nouvelle méthode de collecte de renseignements personnels. Nous avons donc recommandé que, d’ici 12 mois, la GRC mette en place des mesures systémiques et donne une formation pertinente pour comprendre, assurer le suivi, analyser, examiner et contrôler cette nouvelle façon de recueillir des renseignements personnels, afin de veiller à ce que la collecte soit limitée comme l’exige la Loi. Ces recommandations ne se limitent pas à la présente affaire; elle s’applique aussi à toute nouvelle technologie entraînant la collecte ou l’utilisation de renseignements personnels.
- Bien que la GRC n’ait pas souscrit à nos conclusions, selon lesquelles nous estimons qu’elle avait contrevenu à la Loi, elle a néanmoins accepté de mettre en œuvre nos recommandations. Par conséquent, nous concluons que la plainte est fondée et conditionnellement résolue. La mise en œuvre de nos recommandations exigera de la GRC de travailler de manière concertée à l’échelle de l’organisation. La GRC a déjà pris certaines mesures correctives préliminaires, comme la création du Programme national d’intégration des technologies. Il reste toutefois beaucoup de travail à accomplir pour changer la culture à l’interne concernant la prise de décision – il faudra compter sur des procédures, des outils et de la formation qui soient bien intégrés. Nous encourageons vivement la GRC à consacrer les ressources nécessaires à cet égard et à désigner des « champions » parmi les cadres supérieurs pour réussir la mise en œuvre des recommandations.
Contexte
- La GRC est le service de police national du Canada et un organisme partenaire de Sécurité publique Canada. Elle offre tous les services de police à l’échelle fédérale au Canada et des services de police sous contrat aux trois territoires, à huit des dix provinces (à l’exception de l’Ontario et du Québec), à plus de 150 municipalités, à plus de 600 collectivités autochtones et à trois aéroports internationaux. La GRC a pour mission de faire respecter la loi, de prévenir la criminalité et de protéger la vie. Pour s’acquitter de son mandat, elle doit mener des enquêtes, ce qui entraîne la collecte de renseignements et l’identification des victimes, des contrevenants ou des scènes de crimeNote de bas de page 2.
- Le plaignant, Monsieur Charlie Angus, le député de la circonscription Timmins-Baie James, a exprimé diverses préoccupations au sujet de l’utilisation de la technologie de Clearview par la GRC, laquelle n’avait pas, au moment où la plainte a été déposée à la fin de janvier 2020, confirmé qu’elle l’avait utilisée. Plus précisément, le plaignant a écrit ce qui suitNote de bas de page 3 :
[Traduction]
Au Canada, d’importantes manifestations dirigées par des Autochtones ont eu lieu pour s’opposer aux mégaprojets d’exploitation des ressources naturelles, et les participants aux manifestations sociales partagent une histoire pleine de méfiance avec la GRC. Une technologie comme celle de Clearview AI pourrait-elle être utilisée pour identifier les manifestants et créer des profils de dissidence civique? Compte tenu de la puissance de ces technologies, il nous faut être vigilants. À l’heure actuelle, les organismes Canadiens d’application de la loi et Clearview AI demeurent très discrets quant à l’ampleur de leur collaboration. Il est impératif que nous comprenions mieux la manière dont cette technologie peut être utilisée sur les Canadiens, et à quelles fins.Toute utilisation de cette technologie doit faire l’objet d’une surveillance judiciaire transparente. Or, cette technologie est mise à l’essai et mise en œuvre dans un vide législatif et juridique. À cette fin, je vous demande de mener une enquête afin d’établir si la GRC ou d’autres corps policiers ont recours à des services tels que ceux offerts par Clearview AI. Je vous demande de formuler des recommandations sur l’admissibilité, les limites et la portée de l’utilisation de la reconnaissance faciale par des organismes d’application de la loi.
- À la suite de la réception de la plainte et à la lumière des reportages des médias sur l’utilisation des services de Clearview par les services de police, nous avons d’abord demandé à la GRC, le 29 janvier 2020, si elle utilisait la TRF de Clearview. À ce moment-là, la GRC a informé à tort le Commissariat qu’elle n’avait pas utilisé cette technologieNote de bas de page 4. La GRC s’est aussi engagée à effectuer des évaluations des facteurs relatifs à la vie privée (EFVP) avant de recourir à la technologie de reconnaissance faciale. Cependant, après qu’on eut signalé le vol de la liste des clients de Clearview en février 2020, liste dont faisait partie la GRC, celle-ci a alors révélé publiquement, et au Commissariat, qu’elle avait en fait utilisé des renseignements personnels recueillis de Clearview dans le cadre d’enquêtes. En réponse à la recommandation du Commissariat de cesser d’utiliser la TRF de Clearview au cours de l’enquête, la GRC a en outre exprimé son intention de continuer à utiliser la TRF de Clearview à son Centre national contre l’exploitation d’enfants (CNCEE) et dans d’autres situations d’urgenceNote de bas de page 5.
- De plus, malgré l’engagement susmentionné qu’elle a pris envers le Commissariat selon lequel elle devait réaliser des EFVP avant d’avoir recours à la TRF, en juin 2020, soit huit mois après avoir commencé à recueillir des renseignements personnels auprès de Clearview, la GRC n’avait rempli que la liste de vérification de l’EFVP – un outil du Secrétariat du Conseil du Trésor (SCT) utilisé pour décider si une EFVP est requise selon les directives du SCTNote de bas de page 6.
- La GRC avait commencé à utiliser la TRF de Clearview en octobre 2019. En réponse à notre enquête conjointe connexe sur les pratiques de Clearview, la société a annoncé, le 3 juillet 2020, qu’elle avait cessé ses activités commerciales liées à son outil de reconnaissance faciale et qu’elle avait mis fin à ses contrats au Canada, y compris à ceux avec la GRC.
- Lorsqu’elle a utilisé des comptes payants et d’essai, la GRC a téléversé des images de personnes dans la base de données de Clearview, laquelle a ensuite affiché un certain nombre d’images correspondantes à l’aide de la TRF. À chaque image correspondante, Clearview fournissait un hyperlien vers la page Web d’où provenait l’image.
- Selon la GRC, des comptes Clearview ont été créés dans cinq divisions de la GRC : Direction générale, Colombie-Britannique, Alberta, Manitoba et Nouveau-Brunswick (deux licences payées pour le CNCEE et 17 licences d’essai gratuites).
- La GRC a d’abord indiqué qu’elle utilisait principalement la TRF de Clearview pour identifier, localiser et secourir les enfants qui ont été ou qui sont victimes d’abus sexuels en ligne, et qu’elle savait « que quelques unités au sein de la GRC mettent à l’essai, dans une capacité limitée, Clearview AI afin d’en déterminer l’utilité et de faciliter les enquêtes criminelles »Note de bas de page 7.
- En réponse à notre question sur le nombre de « demandes » de recherches qu’elle avait effectuées au moyen de la technologie de Clearview, la GRC nous a indiqué, en mai 2020, que le nombre total d’utilisations s’élevait à 78. Elle a déclaré que 19 visaient à identifier des victimes (recherches effectuées par le CNCEE), 14 visaient à tenter de localiser un suspect identifié qui échappait à la police, et 45 étaient à des fins d’essais à l’aide d’images de membres de la GRC, de personnes consentantes ou d’objets inanimés. Elle a nuancé ces chiffres en précisant qu’à moins que l’application n’ait été utilisée dans le cadre d’une enquête, les « demandes » ne faisaient l’objet d’aucun suivi − toutes ses réponses nécessitant des estimations se fondaient sur l’information fournie « au meilleur de leurs connaissances » par les personnes qui ont utilisé l’application.
- Nous avons plus tard pu établir, après recoupement avec les données de Clearview, que 521 recherches ont été effectuées à partir de comptes de la GRC. De ce nombre, 33 recherches ont été faites à partir de comptes portant la mention « Royal Canadian Mounted Police (Victim ID) » (Gendarmerie royale du Canada (identification des victimes)), et 488 à partir de comptes portant la mention « Royal Canadian Mounted Police » (Gendarmerie royale du Canada). Quand nous avons demandé à la GRC d’expliquer pourquoi il y avait un si grand écart entre les données qu’elle nous avait fournies et celles de Clearview, elle nous a indiqué que certaines des « utilisations » dont elle avait initialement fait rapport au Commissariat comprenaient en fait de multiples recherches effectuées relativement à une même personne. Elle a expliqué que, par exemple, les spécialistes de l’identification des victimes pouvaient utiliser plusieurs images d’un même enfant à des âges différents ou plusieurs images prises sous différentes conditions d’éclairage, différents angles ou différentes mises au point de l’image. Elle a ajouté qu’avant le 6 juillet, date à laquelle elle a cessé d’avoir accès aux services de Clearview, elle était en mesure de faire le suivi de chaque recherche dans la base de données de Clearview, mais que par la suite, elle ne pouvait plus le faireNote de bas de page 8. Toutefois, soulignons que l’information que la GRC a fournie initialement au Commissariat (voir le paragraphe 16) a été transmise à ce dernier avant le 6 juillet 2020 alors qu’elle avait encore pleinement accès à la base de données de Clearview, et que les recherches supplémentaires en question n’avaient pas été prises en compte dans l’information fournie à ce moment-là.
- Selon nous, bien qu’il soit possible que les 521 recherches consignées par Clearview puissent être liées aux 78 « utilisations » dont la GRC nous a rendu compte, cela ne peut être comptabilisé dans le nombre de recherches effectuées. Par conséquent, si nous nous appuyons sur les chiffres auxquels nous avons accès (tirés des dossiers de Clearview), nous remarquons qu’environ 6 % des recherches semblent être liées à l’identification des victimes effectuée par le CNCEE, et que pour environ 85 % des recherches, la GRC n’est pas en mesure d’en rendre compte. Dans ce contexte, les motifs pour lesquels le personnel de la GRC a effectué ces recherches demeurent inconnus.
Analyse
- Les images en question constituent des « renseignements personnels » au sens de l’article 3 de la Loi, puisque les images faciales sont des renseignements relatifs à un « individu identifiable ». En fait, les images faciales sont considérées comme des renseignements biométriques très sensibles, car elles constituent une caractéristique unique et permanente de notre corps, elles ne varient pas de manière significative au fil du temps et elles représentent le noyau de notre identité. D’autres renseignements personnels sont également recueillis par association avec les hyperliens intégrés aux images.
- La méthode d’utilisation de la TRF de Clearview commence par le téléversement d’une image de la GRC à Clearview. L’image est analysée par le logiciel de Clearview pour cartographier mathématiquement les caractéristiques faciales. Le résultat est ensuite utilisé pour rechercher des visages similaires dans la base de données de Clearview, puisque c’est la décomposition analytique des caractéristiques faciales qui permet de « reconnaître » les visages. Clearview affiche les correspondances probables, sous forme d’images, à la GRC. Il s’agit d’une collecte de renseignements par la GRC auprès de Clearview. Chaque image contient un hyperlien qui pointe vers l’adresse Internet d’où elle a été extraite. Cela permet à la GRC de recueillir des renseignements contextuels supplémentaires sur l’Internet si ceux-ci sont toujours accessibles. Selon l’adresse Web, l’hyperlien lui-même peut contenir des renseignements personnels dans certains cas.
Enjeu : La collecte de Clearview n’était pas directement liée à un programme ou à une activité
- L’article 4 de la Loi exige que les institutions fédérales restreignent la collecte des renseignements personnels à ceux qui ont un lien direct avec leurs programmes ou leurs activités. Pour établir si une collecte répond à ce critère, il faut d’abord définir clairement la portée ou la nature des « programmes » ou « activités » visés.
- À notre avis, la portée ou la nature d’un programme ou d’une activité visé à l’article 4 de la Loi se limite aux activités légales de l’institution et exclut ce qui est contraire au principe de la primauté du droit. Au terme de l’analyse qui suit, notre enquête a permis de révéler que la collecte de renseignements personnels auprès de Clearview ne faisait pas partie, au sens de l’article 4, d’un programme ou d’une activité légitime de la GRC.
- En tant qu’organisme d’application de la loi exerçant des fonctions policières, la GRC dispose de vastes pouvoirs pour recueillir des renseignements personnels, souvent à l’insu de la personne concernée ou sans le consentement de celle-ci. Ces fonctions policières vont de l’enquête sur la grande criminalité au maintien de la paix. La GRC a indiqué qu’elle [traduction] « a le pouvoir, sous le régime de la common law et du droit législatif (article 18 de la Loi sur la Gendarmerie royale du CanadaNote de bas de page 9 et alinéa 14(1)a) du Règlement de la Gendarmerie royale du CanadaNote de bas de page 10), de recueillir, d’utiliser et de communiquer des renseignements pertinents qui peuvent servir à une enquête criminelle, ainsi qu’à préserver la paix et à protéger la vie ». Elle estime que cela comprend la collecte de renseignements personnels auprès de Clearview dans le cadre d’une enquête criminelle.
- En ce qui concerne la position de la GRC selon laquelle la collecte de renseignements personnels auprès de Clearview est conforme à ses pouvoirs sous le régime de la common law, la GRC a expliqué ce qui suit :
[Traduction]
Selon la common law, les pouvoirs policiers sont reconnus comme découlant de la nature et de l’étendue des fonctions policières, notamment « le maintien de la paix, la prévention du crime et la protection de la vie et des biens »Note de bas de page 11. - L’article 18 de la Loi sur la Gendarmerie royale du Canada et l’alinéa 14(1)a) du Règlement de la Gendarmerie royale du Canada sont ainsi libellés :
Loi sur la Gendarmerie royale du Canada – Fonctions
18. Sous réserve des ordres du commissaire, les membres qui ont qualité d’agent de la paix sont tenus :
a) de remplir toutes les fonctions des agents de la paix en ce qui concerne le maintien de la paix, la prévention du crime et des infractions aux lois fédérales et à celles en vigueur dans la province où ils peuvent être employés, ainsi que l’arrestation des criminels, des contrevenants et des autres personnes pouvant être légalement mises sous garde […]Règlement de la Gendarmerie royale du Canada – Fonctions
14. (1) En plus de remplir les fonctions prévues par la Loi, les membres qui sont agents de la paix sont tenus :
a) de faire respecter les lois fédérales et leurs règlements et de prêter aux ministères fédéraux l’aide qu’ordonne le ministre […] - Il ne fait aucun doute que, de façon générale, les enquêtes sur les crimes relèvent des pouvoirs de la GRC au titre de la common law et des dispositions prévues à l’article 18 de la Loi sur la Gendarmerie royale du Canada et à l’alinéa 14(1)a) du Règlement de la Gendarmerie royale du Canada et que normalement, elles constituent un « programme ou une activité » de la GRC. Toutefois, même dans le cadre d’enquêtes, il y a des limites juridiques aux pouvoirs de la GRC. Elle ne peut mener des activités illégales ou contraires au principe de la primauté du droit. Pour être visés à l’article 4 de la Loi sur la protection des renseignements personnels, un « programme » ou une « activité » doit donc être mené de façon conforme à la loi et conforme au principe de la primauté du droit.
- En l’espèce, nous sommes d’avis que l’article 4 de la Loi ne peut être interprété comme permettant la collecte de renseignements personnels auprès d’un agent tiers qui a recueilli, utilisé ou communiqué les renseignements en contravention d’une loi à laquelle ce tiers est assujettiNote de bas de page 12. Il s’ensuit nécessairement que la collecte de renseignements personnels par la GRC au moyen de contrats avec une entreprise privée, laquelle a elle-même recueilli les renseignements personnels de façon illégale, constituerait une violation de l’article 4 de la Loi. Conclure autrement reviendrait à permettre aux institutions fédérales de réaliser leur mandat tout en récompensant les organisations dont les pratiques de collecte de renseignements personnels sont illégales et notamment non conformes aux lois canadiennes sur la protection des renseignements personnels.
- La GRC n’a pris aucune mesure concrète pour vérifier la légalité de la collecte des renseignements. Au regard de toute contrainte juridique pertinente imposée à ses programmes ou à ses activités liés aux collectes de Clearview, et de sa conformité aux lois sur la protection des renseignements personnels, les déclarations écrites de la GRC indiquent qu’elle [traduction] « s’est fiée aux affirmations de Clearview AI selon lesquelles les images de la société provenaient toutes de renseignements accessibles au public ».
- Toutefois, selon la LPRPDE et les lois provinciales sur la protection des renseignements personnels, les organisations du secteur privé doivent obtenir le consentement des particuliers pour la collecte de leurs renseignements personnels, à moins que certaines conditions précises ne soient respectées (dont celles qui sont énoncées dans les lois et les règlements qui définissent les renseignements « auxquels le public a accès »). Nous n’avons trouvé aucune preuve selon laquelle Clearview a obtenu un tel consentement, et ce, malgré le fait que sa collecte de renseignements s’est faite à partir de sources qui ne constituent pas des renseignements « auxquels le public a accès » au sens du Règlement fédéral ou des lois provinciales applicables au Québec, en Colombie-Britannique et en AlbertaNote de bas de page 13. Dans le cadre de notre enquête conjointe sur Clearview, la société a confirmé qu’elle ne demandait pas le consentement des personnes concernées pour la collecte de leurs images, comme en témoigne nos conclusions selon lesquelles Clearview a enfreint la LPRPDE et les lois provinciales sur la protection des renseignements personnels au Québec, en Alberta et en Colombie-Britannique.
- Nous sommes préoccupés du fait que la GRC veuille abdiquer sa responsabilité de respecter le droit à la vie privée des Canadiens en se contentant d’accepter les affirmations générales d’une entreprise privée sans aucune tentative de validation. En réponse à une version préliminaire du présent rapport de conclusions d’enquête, la GRC a fait valoir que l’article 4 de la Loi n’impose pas expressément le devoir de confirmer de manière définitive l’autorité en matière de collecte pour une tierce partie non gouvernementale. Elle a donc affirmé qu’elle était habilitée à recueillir des renseignements auprès de Clearview en vertu de l’article 4 de la Loi. Elle a également ajouté que d’exiger de la GRC qu’elle s’assure qu’un tiers se conforme aux lois lui imposerait une obligation déraisonnable, puisqu’elle ne dispose pas d’une expertise juridique dans le domaine de la LPRPDE ni en ce qui a trait à l’étendue des obligations juridiques d’un tiers. Elle a par ailleurs reconnu que lorsqu’il y a « apparence d’illégalité », cela peut avoir une incidence sur sa capacité de recueillir des renseignements personnels, mais a soutenu que ce n’était pas le cas dans la présente affaire.
- Nous sommes déçus que la GRC, en tant qu’acteur étatique doté de pouvoirs de coercition, choisisse de se fier à des entités commerciales pour remplir son mandat envers les Canadiens sans accepter la responsabilité de sélectionner des partenaires qui se conforment aux lois. En clair, la GRC a l’obligation de s’informer de la légalité des pratiques de collecte des renseignements personnels des partenaires auprès desquels elle recueille ce genre de renseignements.
- Compte tenu de ce qui précède, nous sommes d’avis que la collecte par la GRC de renseignements personnels recueillis illégalement par Clearview ne faisait pas partie d’un programme ou d’une activité légitime de la GRC et contrevenait donc à l’article 4 de la Loi.
Enjeu : La GRC doit prendre des mesures correctives appropriées afin d’élaborer des contrôles visant à empêcher des contraventions de ce genre à l’avenir
- Comme il a été mentionné précédemment (au paragraphe 10), la GRC n’a pas procédé à une évaluation de la conformité à l’article 4 de la Loi avant de commencer à recueillir des renseignements sur les Canadiens par l’entremise de Clearview. En outre, elle a autorisé la création et l’utilisation par les membres de la GRC de 16 comptes pour lesquels elle n’a pas été en mesure de fournir une justification raisonnable de leur raison d’être ou de leur utilisation (voir le paragraphe 18).
- À notre connaissance, la GRC ne recueille plus de renseignements personnels auprès de Clearview depuis que la société a cessé d’offrir ses services au Canada en juillet 2020. Toutefois, compte tenu de la nature étendue de la collecte par la GRC de renseignements personnels auprès de Clearview avant cette date, laquelle collecte comprenait des utilisations dont la GRC ne pouvait rendre compte, nous avons examiné le caractère adéquat des contrôles que l’organisation avait ou a mise en place afin de se conformer à l’article 4 de la Loi. La présente analyse étaye nos recommandations de mesures correctives dans cette affaire.
- Pour les raisons décrites en détail ci-dessous, nous craignons que, en l’absence de changements systémiques et d’une meilleure formation, d’éventuelles contraventions semblables à la Loi continuent de se produire à l’avenir en raison de la technologie de reconnaissance faciale et d’autres technologies ou stratégies entraînant la collecte de renseignements personnels.
- Nous nous attendionsNote de bas de page 14 à ce qu’un programme institutionnel permettant de recueilllir des renseignements personnels susceptibles de présenter un risque élevé pour la vie privée des gens dispose de structures solides, appuyées par une expertise appropriée, pour garantir la conformité à l’article 4 de la Loi en ce qui concerne les renseignements qui sont recueillis; particulièrement lorsqu’il est question de procéder à une nouvelle collecte de renseignements personnelsNote de bas de page 15. Une nouvelle collecte comprend : i) la collecte de nouveaux types de renseignements personnels; ii) la collecte de renseignements personnels à de nouvelles fins; iii) la collecte de renseignements personnels par de nouveaux moyens (p. ex. en utilisant la biométrie ou d’autres nouvelles technologies); iv) la collecte de renseignements personnels provenant de nouvelles sourcesNote de bas de page 16.
- Nos attentes sont appuyées par la Politique sur la protection de la vie privée du SCT et la Directive sur l'évaluation des facteurs relatifs à la vie privée auxquelles la GRC est également assujettie. La Directive précise ce qui suit :
- « Une EFVP est la composante de la gestion du risque qui vise à assurer la conformité avec les obligations de la LPRP et d’évaluer les incidences que peuvent avoir des programmes ou activités, nouveaux ou ayant subi des modifications importantes comportant des renseignements personnels, sur la vie privée. » La définition de l’expression « modification importante » englobe « tout changement ou amendement aux pratiques relatives à la vie privée liées [sic] à des activités qui font usages [sic] de moyens automatisés ou technologiques pour identifier, créer, analyser, comparer, extraire, recueillir, apparier ou définir des renseignements personnels ».
- Les institutions doivent établir un processus d’élaboration et d’approbation pour les EFVP qui, entre autres « est proportionné au niveau de risque d’entrave à la vie privée lié aux programmes ou aux activités de l’institution fédérale ». Ce processus doit « s’assurer que les évaluations des facteurs relatifs à la vie privée sont complétées par les agents principaux ou les cadres responsables pour les programmes ou les activités, nouveaux ou ayant subi des modifications importantes, au sein de l’institution ».
- Pour tous les renseignements personnels recueillis en vue d’être utilisés dans le cadre de décisions administratives concernant une personne [comme les décisions relatives à l’application de la loi], les EFVP doivent également être effectuées, entre autres, lorsque la sous-traitance d’activités au secteur privé entraîne des modifications importantes au programme ou aux activités.
- Les EFVP de base doivent être fournies au Commissariat à la protection de la vie privée du Canada et, selon la Politique sur la protection de la vie privée du SCT, les responsables des institutions fédérales sont tenus d’ « aviser le commissaire à la protection de la vie privée de toute initiative prévue (loi, règlement, politique, programme) pouvant avoir rapport avec la Loi sur la protection des renseignements personnels ou l’une de ses dispositions, ou pouvant avoir une incidence sur la vie privée des Canadiens et Canadiennes. Cet avis doit être transmis suffisamment tôt pour permettre au commissaire d’examiner les enjeux et d’en discuter. » [caractères gras ajoutés]
- Toutes les institutions sont tenues, par la Politique du SCT, de mener des EFVP pour les programmes ou les activités nouveaux ou ayant subi des modifications importantes touchant des renseignements personnelsNote de bas de page 17. Toutes les institutions devraient également veiller à ce que leurs décideurs comprennent leurs obligations visant à prévenir les contraventions à la Loi et y donnent suite. Nous savons cependant que les programmes institutionnels ne présentent pas tous le même niveau de risque. Lorsque le risque qu’une collecte de renseignements personnels porte atteinte à la vie privée est plus élevé, nous nous attendons à ce que les mesures connexes visant à assurer une évaluation adéquate de ces risques soient plus rigoureusesNote de bas de page 18. Par conséquent, nous nous attendons au moins à ce qu’une institution ayant des programmes de collecte de renseignements personnels qui pourraient présenter un risque élevé pour la vie privée des gens mette en place tous les éléments suivants :
- Connaissance des obligations : Programmes de formation pour veiller à ce que toutes les personnes habilitées à prendre des décisions concernant la collecte de renseignements personnels comprennent les limites de la collecte au titre de l’article 4 de la Loi.
- Connaissance des nouvelles méthodes de collecte : Systèmes et procédures permettant d’effectuer le suivi des collectes actuelles et éventuelles de renseignements personnels.
- Processus permettant de déceler les éventuels problèmes de conformité : Procédures, notamment des points de contrôle dans les processus permettant d’être informé d’une nouvelle collecte, pour avertir les décideurs qu’une évaluation visant à assurer la conformité à l’article 4 de la Loi peut être justifiée.
- Processus permettant de réaliser des évaluations en temps voulu lorsque cela est justifié : Systèmes, procédures et formation sur les rôles et les responsabilités pour garantir que, si une évaluation complète de la conformité est justifiée, cette évaluation sera effectuée en temps opportun, avant le début de la collecte.
- Contrôles efficaces de la collecte : Des contrôles efficaces, y compris une surveillance dynamique, pour limiter la collecte de renseignements personnels par le personnel d’une institution à ce qu’il a jugé admissible au titre de la Loi.
A) Connaissance des obligations
- La connaissance par les décideurs des limites pertinentes à la collecte de renseignements personnels, propres à une activité ou à un programme précis, est essentielle au respect de la Loi. Elle devrait être renforcée par des programmes de formation et un accès à l’expertise, notamment les services juridiques et les experts en matière de protection de la vie privée, de manière à ce que toutes les personnes habilitées à prendre des décisions concernant la collecte de renseignements personnels comprennent bien les limites de la collecte au titre de l’article 4 de la Loi.
- La GRC a défendu les actes de ses décideurs (ceux qui ont recueilli des renseignements personnels auprès de Clearview). Plus précisément, elle a déclaré, en réponse à nos questions sur les raisons pour lesquelle elle considérait que les collectes étaient légales, qu’elle [traduction] « s’est fiée aux affirmations de Clearview AI selon lesquelles les images de la société provenaient toutes de renseignements accessibles au public. Il était raisonnable de se fier aux affirmations de Clearview. Rien n’obligeait la GRC à mener une enquête approfondie sur la constitution de la base de donnée de la sociétéNote de bas de page 19. »
- Comme nous l’avons indiqué ci-dessus (au paragraphe 32), le Commissariat a conclu que Clearview a recueilli des renseignements personnels de façon illégale et que, par conséquent, la collecte de ces renseignements par la GRC auprès de Clearview constitue une contravention à la Loi sur la protection des renseignements personnelsNote de bas de page 20. Toutefois, ce n’est pas le seul problème potentiel de conformité à la Loi que la GRC avait l’obligation d’examiner.
- Selon la Charte canadienne des droits et libertésNote de bas de page 21 (la Charte), la collecte de renseignements personnels par les organismes d’application de la loi constitue une fouille, une perquisition ou une saisie lorsqu’une personne a une attente raisonnable en matière de respect de la vie privée à l’égard des renseignements en question. La Cour suprême du Canada a aussi conclu que les personnes peuvent avoir une attente raisonnable en matière de respect de la vie privée, même dans les lieux publicsNote de bas de page 22. Les tribunaux peuvent tenir compte du caractère intrusif d’une technologie lorsqu’ils déterminent si une personne avait une attente raisonnable en matière de respect de la vie privéeNote de bas de page 23, et ils ont reconnu l’importance de la protection des renseignements personnels et de l’anonymat des activités sur InternetNote de bas de page 24. Bien que nous ne tirions aucune conclusion quant à la conformité à la Charte de l’utilisation par la GRC de la technologie de Clearview, à notre avis, il aurait dû être clair pour la GRC que la collecte à partir d’une base de données privée et la collecte de renseignements au moyen de la technologie de reconnaissance faciale justifiaient une évaluation de sa part quant à la conformité à la Charte et aux principes de la common law.
- Il doit exister une assise juridique pour que les insitutions fédérales puissent recueillir des renseignements personnels. La GRC a fait valoir que sa collecte de renseignements personnels auprès de Clearview était autorisée au titre de la Loi sur la Gendarmerie royale du Canada et de la common law. Qui plus est, la common law établit clairement des limites aux pouvoirs de collecte de la GRC en tant que corps policier. Entre autres contraintes, des limites ont été établies par les tribunaux dans l’affaire R. c. WaterfieldNote de bas de page 25 et confirmées par la Cour suprême du Canada dans l’affaire R. c. StenningNote de bas de page 26 et plus récemment dans l’affaire Fleming c. OntarioNote de bas de page 27. Plus précisément, pour déterminer si la conduite policière (comme une fouille) est autorisée au titre de la common law, il faut tenir compte des deux facteurs suivants :
- établir si la conduite en question s’inscrit dans le cadre général d’un devoir policier statutaire ou en common law;
- établir si la conduite en question constitue un exercice justifiable des pouvoirs policiers afférents à ce devoir.
- La seconde étape du test consiste à déterminer si la conduite constitue un exercice justifiable des pouvoirs policiers afférents à ce devoir. Il faut considérer trois facteurs pour répondre à cette question : 1) l’importance que présente l’accomplissement de ce devoir pour l’intérêt public; 2) la nécessité de l’atteinte à la liberté individuelle pour l’accomplissement de ce devoir et 3) l’ampleur de l’atteinte à la liberté et à la vie privée d’une personneNote de bas de page 28.
- En ce qui concerne le premier élément du test, comme il a été mentionné précédemment (au paragraphe 18), la GRC n’a pas rendu compte de 85 % des recherches qu’elle a effectuées au moyen de ses comptes Clearview. Par conséquent, il semble qu’elle ne soit pas en mesure de démontrer que l’évaluation du premier facteur de l’arrêt Waterfield ait été effectuée. La GRC a souligné qu’avant sa directive sur l’usage de la technologie de Clearview diffusée après le début de l’enquête du Commissariat, l’usage de la technologie de Clearview en dehors du cadre d’une enquête n’aurait pas fait l’objet d’un suivi, car il n’y avait pas d’exigence établie à cet égard. Cela constitue un manquement important de responsabilité de la part de la GRC.
- En ce qui concerne le second élément du test, nous remarquons que l’utilisation de la technologie de reconnaissance faciale, et le pouvoir de celle-ci de perturber l’anonymat dans les lieux publics, peut constituer une atteinte particulièrement importante à la liberté et à la vie privée. De plus, le recours par la GRC à un service comme celui de Clearview, fondé sur l’extraction systématique et le traitement de milliards d’images de personnes innocentes de tout crime, constitue une intrusion majeure et substantielle par l’État dans la vie privée des Canadiens.
- Avant de recourir à un tel service, un corps policier devrait à tout le moins se demander si cela est nécessaire à l’enquête qu’il mène, et si l’intérêt public particulier qui est recherché est proportionnel à l’intrusion subieNote de bas de page 29.
- Dans ce contexte, le fait que plusieurs décideurs à la GRC n’aient pas jugé nécessaire de se pencher sur les limites à imposer à l’utilisation d’une telle technologie au titre de la common law donne à penser qu’ils ne comprennent pas vraiment les obligations pertinentes de la GRC en matière de protection de la vie privée.
Recommandations :
- Nous avons recommandé, et la GRC a accepté notre recommandation, d’engager un dialogue avec le Commissariat et d’autres organismes de réglementation de la protection de la vie privée sur les questions entourant l’utilisation de la technologie de reconnaissance faciale.
- Nous avons également recommandé, et la GRC a accepté notre recommandation, de mettre sur pied un programme de formation au plus tard 12 mois après la réception du présent rapport afin de s’assurer que tous les décideurs sont formés sur les limites de la collecte de renseignements personnels au titre de la Loi, notamment :
- Lors de la passation de contrats pour des services de collecte de renseignements personnels, ne pas recourir à des fournisseurs de services qui recueillent des renseignements personnels en enfreignant les lois canadiennes.
- Acquérir une compréhension approfondie et nuancée des limites associées à la collecte des données personnelles, en particulier lorsque de nouvelles technologies portant atteinte à la vie privée sont utilisées, notamment les outils de surveillance de masse.
- Comme il a été mentionné ci-dessus (au paragraphe 30), la GRC n’est pas d’accord avec notre conclusion selon laquelle elle a l’obligation de s’informer de la légalité des pratiques de collecte des renseignements personnels des partenaires auprès desquels elle recueille ce genre de renseignements. Nous notons que la GRC, malgré son désaccord avec notre conclusion, reconnaît que ses pratiques actuelles présentent des lacunes. Pour cette raison, la GRC a accepté de mettre en oeuvre les recommandations ci-dessus, notamment de mener une évaluation complète de la conformité des tiers aux lois canadiennes en matière de protection des renseignements personnels, auxquelles ces tiers sont assujettis.
B) Connaissance des nouvelles méthodes de collecte
- La connaissance des nouvelles techniques de collecte de renseignements personnels, lesquelles sont utilisées (ou envisagées ou mises à l’essai), est un élément essentiel pour mettre en pratique une compréhension théorique des obligations prévues à l’article 4 de la Loi. Cette connaissance est nécessaire parce qu’elle permet de limiter adéquatement la collecte et d’offrir une garantie de fiabilité aux partenaires externes, tout en préservant la confiance du public.
- Les faits relatifs à cette affaire démontrent clairement les importantes lacunes des mécanismes mis en place par la GRC pour se sensibiliser aux nouvelles pratiques de collecte de renseignements personnels qu’elle entreprend. Comme il a été mentionné précédemment (au paragraphe 10), la GRC a informé à tort le Commissariat, le 29 janvier 2020, qu’elle n’avait pas utilisé la technologie de Clearview dans le cadre d’une enquête, malgré le fait qu’elle avait acheté des licences auprès de Clearview en octobre 2019 et qu’elle avait depuis largement utilisé les services de Clearview. Pour expliquer cette déclaration erronée, la GRC précise qu’aucun de ses experts internes des Services d’enquêtes techniques, qui ont été consultés par les membres de l’Unité de l’accès à l’information et de la protection des renseignements personnels de la GRC, n’était au courant de l’utilisation de cette technologie, alors même que la technologie de Clearview était largement utilisée dans cinq divisions différentes de la GRC.
- Ce n’est qu’après avoir appris que la liste des clients de Clearview, dont elle fait partie, a été déclarée volée en février 2020, que la GRC a corrigé la déclaration erronée faite au Commissariat.
- De plus, comme nous l’avons déjà mentionné, la GRC n’a fourni une justification raisonnable que pour environ 15 % des recherches d’un ensemble de plus 500 recherches au total, selon les dossiers de Clearview. Le but des autres recherches demeure inconnuNote de bas de page 30.
- La GRC n’avait pas encore établi un mécanisme, que ce soit à l’échelle locale ou nationale, pour assurer le suivi de l’examen ou de l’utilisation réelle des nouvelles technologies d’enquête ou d’autres nouvelles méthodes de collecte de renseignements personnels.
Recommandation :
- Nous avons recommandé, et la GRC a accepté notre recommandation, de mettre en place des mécanismes et des procédures au plus tard 12 mois après la réception du présent rapport pour s’assurer que toute nouvelle méthode de collecte de renseignements personnels dans l’ensemble de la GRC fait l’objet d’un suivi interne fiable, de manière à ce que la GRC puisse prendre des décisions éclairées à cet égard.
- Relativement à l’engagement ci-dessus, la GRC a mis sur pied en mars 2021, comme mesure préliminaire, le « Programme national d’intégration des technologies ». Ce programme vise à créer un cadre pour la mise en œuvre d’un système centralisé qui permettra à la GRC de recenser et d’examiner les nouvelles techniques d’enquête qui ont recours à la collecte de nouveaux types de renseignements aux fins d’enquête, et d’en assurer le suivi.
C) Processus permettant de déceler les éventuels problèmes de conformité
- Il est crucial de cerner les collectes de renseignements personnels réelles ou éventuelles qui justifient une évaluation de la conformité à la Loi avant qu’elles ne soient entreprises. Nous nous attendons à ce que ces vérifications soient proportionnelles aux risques pour la vie privée des personnes, compte tenu du volume, de la sensibilité et de la complexité des activités de collecte de renseignements personnels. Nous nous attendons également à ce que les vérifications soient intégrées aux processus appropriés, selon les activités de l’institution. Ainsi, les décideurs habilités à prendre des décisions relatives à de nouvelles méthodes de collecte de renseignements personnels susceptibles de présenter des risques élevés peuvent démontrer la façon dont ils ont respecté la Loi.
- En plus d’être intégrées aux processus d’élaboration et d’approbation de nouveaux programmes, nous nous attendons à ce que de telles vérifications soient intégrées à d’autres processus où de nouveaux types de renseignements personnels, de nouveaux objectifs de collecte, de nouvelles façons de recueillir des renseignements ou de nouvelles sources de renseignements personnels pourraient se présenter. En voici quelques exemples à titre d’illustration :
- les processus de conclusion d’ententes d’échange de renseignements;
- les processus d’approvisionnement;
- les processus régissant les projets pilotes et la mise à l’essai de services;
- les processus d’approbation des nouvelles technologies.
- L’un des meilleurs exemples pour illustrer les lacunes de la GRC est le fait que l’organisation a indiqué qu’elle ne fait référence au besoin de réaliser des EFVP que dans les manuels de GI ou de TI. Les EFVP (ou les autres mesures pour évaluer la conformité à la Loi) sont nécessaires en dehors des processus de GI ou de TI. Toute direction ou tout échelon de la GRC susceptible de procéder à une nouvelle collecte de renseignements personnels doit avoir établi des procédures pour entreprendre une évaluation de la conformité à la Loi lorsque cela est justifié.
- La GRC a indiqué que ses membres sont habilités à utiliser leur pouvoir discrétionnaire pour mettre à l’essai de nouvelles techniques de collecte de renseignements personnels à condition d’obtenir les approbations appropriées à l’échelle locale. La décision de mener ou non une EFVP revient aux superviseurs. Dans cette affaire, la GRC a créé un total de 19 comptes payants et d’essai pour recueillir des renseignements personnels auprès d’une nouvelle source importante du secteur privé, y compris deux contrats payés, sans que cela ne donne lieu à une évaluation de conformité à l’article 4 de la Loi. De plus, la collecte de renseignements personnels par la GRC au moyen d’une nouvelle technologie portant atteinte à la vie privée (reconnaissance faciale), qui constitue manifestement une modification susbstantielle à la façon de recueillir des renseignements personnels, laquelle pourrait avoir une incidence sur la conformité, n’a pas donné lieu à une évaluation de la conformié à la Loi avant son utilisation.
- D’après les observations de la GRC, ce n’est que le 6 février 2020, soit plus de quatre mois après avoir conclu un contrat avec Clearview, qu’elle a commencé à envisager d’effectuer une évaluation de la conformité à la Loi pour la collecte de renseignements auprès de Clearview. Les dossiers de la GRC indiquent en outre que l’organisation n’a commencé à remplir une liste de vérification de l’EFVP (outil utilisé par le SCT pour déterminer si une EFVP est justifiéeNote de bas de page 31) qu’en mars 2020. Cette étape préliminaire visant à cerner les problèmes n’a été achevée qu’en juin 2020. Comme en témoigne cette affaire, l’adoption d’une approche ponctuelle, peu supervisée et a posteriori augmentera la probabilité d’atteinte à la vie privée et entraînera des préjudices qui auraient pu être évités.
- Le Commissariat est d’avis qu’avec un processus d’examen adéquat, la contravention en question aurait pu être évitée. En effet, cela aurait été possible si la GRC avait cerné rapidement les problèmes de conformité éventuels liés à l’utilisation de la technologie de Clearview AI, afin d’entreprendre une évaluation appropriée de la conformité à la Loi, éclairée par une consultation adéquate d’experts en la matière. Si la GRC avait avisé le Commissariat, comme elle était tenue de le faire selon la Politique sur la protection de la vie privée du SCT (voir paragraphe 37), une discussion préliminaire au sujet des répercussions sur la vie privée aurait pu avoir lieu. Il est très préoccupant que la GRC n’ait pas jugé nécessaire de procéder à une évaluation de la conformité (sous la forme d’une EFVP ou autre) avant de recueillir des renseignements personnels au moyen de l’un des 19 comptes qu’elle a créés.
Recommandation :
- Nous avons recommandé, et la GRC a accepté notre recommendation, de mettre en place, et ce, au plus tard 12 mois après la reception du présent rapport, un système de contrôles permettant de recenser toute nouvelle collecte présentant des risques potentiellement élevés, afin d’avertir les décideurs qu’une évaluation de la conformité pourrait être nécessaire. Les décideurs peuvent ensuite démontrer qu’ils ont tenu compte de la conformité aux exigences énoncées à l’article 4 de la Loi avant de commencer à recueillir des renseignements personnels et entreprendre des évaluations complètes au besoin.
D) Processus permettant de réaliser des évaluations en temps voulu lorsque cela est justifié
- Lorsqu’un problème de conformité éventuel est recensé à la suite des contrôles ci-dessus (c.-à-d. lorsque la conformité à la Loi peut être en cause), les évaluations de la conformité à la Loi devraient être entreprises et terminées avant le début de la collecte. Cette façon de procéder permet de réduire le risque de collecte illégale et d’éviter les préjudices connexes aux personnes qui pourraient autrement être visées par une telle collecte de leurs renseignements personnels. Ces évaluations devraient être éclairées par une expertise pertinente en matière de protection de la vie privée et de droit et, lorsque cela est justifié, par le Commissariat.
- Même si, comme nous l’avons décrit ci-dessus, les processus internes de la GRC n’ont pas permis en l’espèce de recenser de manière proactive les préoccupations potentielles en matière de protection de la vie privée, il aurait néanmoins dû être évident pour la GRC qu’une évaluation complète des collectes effectuées auprès de Clearview était justifiée après que la question eut été soulevée dans les médias en janvier 2020. En effet, la GRC s’est expressément engagée auprès du Commissariat en janvier (lorsqu’elle a affirmé qu’elle n’utilisait pas Clearview) à effectuer une EFVP avant de déployer activement une telle technologie.
- En dépit de cette nécessité évidente et de cette déclaration au Commissariat, la GRC n’a fourni aucune preuve permettant de conclure qu’elle avait entrepris une véritable évaluation de la conformité à la Loi (au-delà de la liste de contrôle pour l’identification des problèmes mentionnée ci-dessus), avant que Clearview AI cesse d’offrir ses services de reconnaissance faciale du Canada en juillet 2020.
- La GRC a indiqué qu’elle n’avait pas de matériel de formation pour le personnel chargé de mener des EFVP, malgré la quantité importante de renseignements personnels sensibles qu’elle recueille en tant qu’organisme d’application de la loi.
- Il est encore plus préoccupant qu’aucun des décideurs de la GRC n’ait effectué une telle évaluation avant le début de la collecte. Cela, malgré les déclarations antérieures de la GRC au Commissariat selon lesquelles elle était consciente des répercussions possibles des services de Clearview sur la protection de la vie privée et s’engageait à effectuer une EFVP avant de recourir à ce service. Nous sommes d’avis qu’il s’agit d’un manquement grave de la part de la GRC de s’assurer qu’elle respecte ses obligations prévues par la Loi.
Recommandations :
- Nous avons recommandé, et la GRC a accepté notre recommendation, de mettre sur pied un programme de formation à l’intention de tous les décideurs (c.-à-d. toute personne habilitée à prendre des décisions visant à recueillir de nouveaux renseignements personnels) sur leurs rôles et responsabilités en la matière, pour cerner et évaluer le besoin de collecte de renseigments et pour éviter que des renseignements soient recueillis en contravention de la Loi, au plus tard 12 mois après la réception du présent rapport.
- Nous avons également recommandé, et la GRC a accepté notre recommendation, qu’au plus tard 12 mois après la réception du présent rapport, la GRC démontre qu’elle a affecté les ressources nécessaires et mis en place les processus pour s’assurer que des évaluations de la conformité à la Loi sont menées lorsque nécessaire et de façon cohérente par toutes les divisions de la GRC. Ces ressources et ces processus devraient permettre de s’assurer que les évaluations sont effectuées en temps opportun, en s’appuyant sur une expertise pertinente en la matière, en fonction des problèmes relevés, avant que des renseignements personnels ne soient recueillis à des fins d’application de la loi.
- Comme mesure préliminaire pour donner suite à ces engagements, la GRC a mis sur pied en mars 2021, comme il est indiqué ci-dessus, le « Programme national d’intégration des technologies ».
E) Contrôles efficaces de la collecte
- Lorsque la GRC a créé pour la première fois des comptes payants pour recourir aux services de Clearview en octobre 2019, elle ne disposait pas de politiques précises limitant les fins auxquelles ces renseignements pouvaient être recueillis, malgré les répercussions évidentes sur la vie privée décrites ci-dessus. Après les préoccupations exprimées par le public et l’annonce de notre enquête, la GRC a émis une directive interne à l’intention de ses membres, le 5 mars 2020, imposant des limites à la collecte par l’entremise de Clearview. Plus précisément, cette directive contenait de l’information et des instructions à l’intention des membres de la GRC, dont les éléments suivants :
[Traduction]
Étant donné la vitesse avec laquelle la technologie évolue, la GRC continue d’étudier l’utilisation plus large des technologies émergentes afin de déterminer comment elles pourraient potentiellement être utiles aux opérations policières. Bien que l’utilisation des nouvelles technologies puisse améliorer notre capacité à mener des enquêtes de manière plus efficace et efficiente, nous devons trouver un équilibre avec le droit des personnes à la vie privée.[…]
[…] La GRC et d’autres organismes d’application de la loi s’efforcent en permanence de recenser, de tester et éventuellement d’acquérir des technologies nouvelles et innovantes pour faire avancer les enquêtes criminelles relevant de leur compétence. Pour encadrer la découverte, la mise à l’essai réussie et l’adoption d’une nouvelle technologie, il faut établir des politiques opérationnelles qui permettent d’assurer la gouvernance et la responsabilité à l’égard de l’utilisation de la technologie en question et de l’acquisition, de l’utilisation et du stockage des données en cause. Ces politiques doivent tenir compte de la Charte, de la Loi sur la protection des renseignements personnels et d’autres lois, règlements et politiques pertinents.
Notre examen de l’utilisation permanente de cette technologie, et particulièrement de celle de Clearview AI, se poursuit. Dans l’intervalle, compte tenu des sensibilités entourant la technologie de reconnaissance faciale, nous ne l’utiliserons que dans des circonstances très limitées et bien précises.
Dorénavant, les divisions doivent examiner attentivement le recours aux technologies de reconnaissance faciale, y compris celle de Clearview AI, et n’y recourir que dans des situations d’urgence pour identifier les victimes dans le cadre d’enquêtes sur l’exploitation sexuelle des enfants ou dans des situations où une menace à la vie ou des lésions corporelles graves peuvent être imminentes. Les divisions doivent s’assurer que les officiers responsables des enquêtes criminelles (OREC) approuvent toute demande d’utilisation de la technologie de reconnaissance faciale. Pour ce qui est de la direction générale, toute utilisation doit être approuvée par le directeur général du programme ayant présenté la demande. Il vous est également demandé d’informer [le commissaire adjoint des opérations techniques des services de police spécialisés] de toute utilisation de la technologie de reconnaissance faciale. Cela permettra d’assurer une surveillance nationale et de garantir que l’organisation est informée en permanence de l’utilisation limitée de cette technologie.
- Au cours de notre enquête, la GRC a également centralisé la gestion des comptes Clearview et créé une fonction d’audit pour surveiller l’utilisation de Clearview par les membres de la GRC.
- Nous apprécions ces éléments favorables qui témoignent du fait que la GRC a compris, après que des préoccupations aient été exprimées par des intervenants externes, que les situations dans lesquelles elle pourrait légalement recueillir des renseignements sur Internet au moyen de la technologie de reconnaissance faciale pourraient être limitées par la common law (et, par conséquent, par l’article 4 de la Loi).
- Toutefois (comme il en est fait mention au paragraphe 18 ci-dessus), seules 6 % des recherches effectuées par la GRC au moyen de la technologie de Clearview semblaient être liées à l’identification des victimes, et la GRC n’a pu rendre compte que d’approximativement 9 % des recherches supplémentaires répertoriées. Elle est incapable de rendre compte de la grande majorité (85 %) des recherches qu’elle a effectuées selon les dossiers de Clearview. Nous ne pouvons affirmer avec certitude que les recherches étaient limitées aux fins susmentionnées, ni même qu’elles étaient effectuées pour des motifs professionnels. L’absence de documents attestant de motifs professionnels indique le contraire.
- De plus, la GRC n’a pas précisé si les membres de son organisation qui ont recueilli des renseignements après avoir créé des comptes d’essai de Clearview ont enfreint des politiques ou des procédures internes lorsqu’ils l’ont fait. Ce manque de contrôle relativement à une nouvelle collecte importante de renseignements personnels est très préoccupant. Nous savons que pour fonctionner de manière efficace, la GRC demande à son personnel d’innover et de prendre des initiatives, mais il est aussi important que des mesures soient mises en place pour s’assurer que ces innovations ne contreviennent pas à la loi.
Recommandations :
- Nous avons recommandé, et la GRC a accepté notre recommendation, de mettre en place des contrôles clairs qui entreront en vigueur au plus tard 12 mois après la réception du présent rapport. Ces contrôles devront comprendre ce qui suit : i) des politiques visant à préciser les personnes habilitées à prendre la décision d’entreprendre de nouvelles collectes de renseignements personnels ainsi que les mesures que doivent prendre le personnel pour décider si la collecte envisagée est permise, ii) des mécanismes de surveillance des collectes non autorisées, y compris de celles effectuées à des fins inappropriées.
- Nous avons également recommandé, et la GRC a accepté notre recommendation, d’établir, au plus tard 12 mois après la réception du présent rapport, une méthode et une chaîne de responsabilité claires afin que les membres de l’organisation puissent suggérer de nouvelles techniques de collecte aux décideurs ayant reçu la formation appropriée.
Autres
- Étant donné que la collecte de renseignements personnels auprès de Clearview par la GRC n’était pas conforme à l’article 4 de la Loi et que la GRC ne recueille plus de renseignements auprès de Clearview, nous n’avons pas examiné en détail les procédures accessoires de la GRC relatives à leur utilisation.
- Toutefois, dans le but de guider les pratiques futures de la GRC, nous présentons certaines observations relatives à d’autres articles de la Loi qui pourraient s’appliquer à toute activité comparables menées par la GRC à l’avenir.
Protection contre l’utilisation ou la communication involontaire
- L’article 8 de la Loi prévoit qu’une institution ne peut communiquer des renseignements personnels qu’aux fins auxquelles ils ont été recueillis ou pour les usages qui sont compatbles avec ces fins. Cette disposition s’appliquerait, par exemple, aux images recueillies par la GRC et téléchargées dans l’application Clearview à des fins de reconnaissance faciale.
- Pour que les institutions s’assurent de respecter ces limites, y compris lorsqu’elles passent des contrats de services (comme c’était le cas dans la présente affaire), la Directive sur les pratiques relatives à la protection de la vie privée du SCT prévoit que, lorsque des renseignements personnels sont communiqués à une institution du secteur privé, les marchés conclus avec les entités du secteur privé doivent définir les dispositions et les mesures visant à régler les problèmes de protection de la vie privée. Il s’agit notamment de dispositions visant à limiter le traitement, l’utilisation ou la communication inappropriés par l’entité sous contrat et à garantir une protection adéquate des renseignements personnels contre les communications involontaires à des tiers. De plus, les dispositions relatives à la protection doivent garantir le respect des normes de sécurité gouvernementales.
- De telles mesures sont manifestement importantes. Notons à cet égard que Clearview a fait l’objet d’une atteinte à la protection des données en février 2020, bien que nous n’ayons aucune indication que cette atteinte ait eu une incidence sur les images téléchargées dans l’application Clearview par la GRC.
- Selon ses observations, la GRC a pris certaines mesures pour protéger les renseignements personnels communiqués à Clearview contre toute utilisation ou communication inappropriée subséquente :
- Pour le petit sous-ensemble de recherches effectuées auprès de Clearview dont elle a pu rendre compte, la GRC avait mis en place des procédures exigeant que les photos soient recadrées pour ne garder que le visage recherché avant de les téléverser dans l’application Clearview, afin d’éviter de télécharger des informations non pertinentes et de limiter le risque de communication.
- Elle a indiqué que Clearview lui a confirmé que les transmissions de données sont cryptées et que les images téléversées ne sont pas ajoutées à la base de données de Clearview.
- Elle a demandé à Clearview de réduire à 45 jours la période de conservation des images téléversées et de ne conserver par la suite qu’une vignette à faible résolution pendant 6 mois.
- Toutefois, la GRC n’a pas démontré qu’elle avait inclus une partie ou la totalité des éléments susmentionnés dans ses contrats (contrat de licence) avec Clearview. La GRC a fait valoir que ses licences (que ce soit pour les comptes payants ou les comptes d’essai) n’étaient assujetties qu’aux conditions d’utilisation et à la politique de confidentialité de Clearview.
Exactitude
- Le paragraphe 6(2) de la Loi précise qu’« une institution fédérale est tenue de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets. »
- La GRC a fait valoir que, en ce qui concerne l’exactitude des résultats obtenus au moyen de la technologie de Clearview et utilisés par la GRC, elle a ordonné à ses membres, par l’entremise des consignes de sécurité du CNCEE, de traiter tous les renseignements comme des pistes, et non comme des correspondances d’identité confirmées. La décision de prendre ou non d’autres mesures était fondée sur l’évaluation des membres.
- En ce qui a trait à l’utilisation de la technologie de reconnaissance faciale en général, nous croyons qu’il est important de souligner qu’il existe des préoccupations quant à l’exactitude et au biais algorithmique des technologies de reconnaissance faciale. Cela comprend la possibilité que les résultats d’identification soient de « faux positifs », lesquels pourraient avoir une incidence sur les décisions prises par les organismes d’application de la loi relativement à certaines personnes, comme la possibilité de se renseigner davantage au sujet de celles-ci. De telles actions peuvent à leur tour avoir une incidence importante sur la vie privée des personnes.
- Par exemple, il existe une abondante littérature scientifique décrivant en détail l’inexactitude des données anthropométriquesNote de bas de page 32 aux fins de détermination de la race ou de l’ascendance dans le domaine de l’anthropologie judiciaire sur le plan de l’analyse du squelette, en particulier du crâne et du visage, et l’utilisation de tissus mous externes utilisés pour l’identification judiciaire du portrait approximatif (reconstitution faciale) semble encore moins précise. Selon Ubelaker et coll., [traduction] « les techniques de reconstitution faciale s’améliorent grâce à de meilleurs renseignements concernant le lien entre les tissus durs et les tissus mous du visage et à une technologie informatique plus sophistiquée. Malgré ces progrès, la reconstitution faciale ne représente pas une méthode d’identification scientifiqueNote de bas de page 33 ». Nous croyons qu’il est important de le savoir parce que la technologie de reconnaissance faciale est fondée sur des données anthropométriques qui mènent à certaines hypothèses au sujet des traits faciaux qu’ont en commun divers groupes ethniques et raciaux.
- Une étude récente menée par le National Institute of Standards and Technology des États-Unis (NIST) dans le cadre de sa série « Face Recognition Vendor TestNote de bas de page 34 » s’est intéressée aux différences démographiques dans les algorithmes contemporains de reconnaissance faciale (NISTIR 8280)Note de bas de page 35. En résumé, l’étude du NIST a permis de tirer les conclusions suivantes :
- En ce qui concerne la correspondance entre deux individus, l’équipe a constaté des taux plus élevés de faux positifs pour les personnes d’origine asiatique et afro-américaine que pour les personnes de race blanche.
- Parmi les algorithmes mis au point aux États-Unis, il y avait des taux élevés comparables de faux positifs dans la correspondance entre deux personnes pour les personnes d’origine asiatique, afro-américaine et autochtone.
- Cependant, une exception notable a été remarquée pour certains algorithmes développés dans les pays asiatiques.
- Pour les correspondances de type un individu à plusieurs autres individus, l’équipe a constaté des taux plus élevés de faux positifs pour les Afro-Américaines.
- Cependant, ce ne sont pas tous les algorithmes qui donnent ce taux élevé de faux positifs dans l’ensemble des données démographiques des correspondances de type un individu à plusieurs individusNote de bas de page 36.
- Dans le but de se conformer à l’article 6 de la Loi, dans la mesure où la GRC envisage l’utilisation future de technologies de reconnaissance faciale précises, il sera important que l’organisation évalue soigneusement les mesures qui pourraient s’avérer nécessaires pour répondre aux préoccupations liées à l’exactitude, en particulier au risque de faux positifs. Nous nous réjouissons à l’idée de pouvoir poursuivre le dialogue sur cette question avec la GRC dans le cadre de discussions prévues avec le Commissariat et d’autres organismes de réglementation de la protection de la vie privée, en vue d’élaborer un document d’orientation sur l’utilisation de la technologie de reconnaissance faciale par les organismes d’application de la loi.
Conclusion
- Nous concluons que la collecte de renseigments personnels par la GRC auprès de Clearview contrevenait à l’article 4 de la Loi. Cette conclusion est fondée sur le fait que la collecte de renseignements personnels sur les Canadiens par Clearview contrevenait aux lois canadiennes en matière de protection des renseignements personnels. Il s’ensuit donc que la GRC a contrevenu à la Loi lorsqu’elle a par la suite recueilli ces renseignements personnels illégalement obtenus par Clearview.
- La GRC a commis des manquements graves et systémiques à l’obligation de se conformer à la Loi avant de recueillir des renseignements auprès de Clearview et, de façon plus générale, avant toute nouvelle collecte de renseignements personnels. Il s’agit notamment d’omissions généralisées pour ce qui est de savoir ce qu’elle recueillait, de contrôler la méthode de collecte, de cerner les problèmes éventuels de conformité, ainsi que d’évaluer et de prévenir les contraventions à la Loi.
- Avant que le Commissariat ne formule les recommandations ci-dessus, en réponse aux questions que nous avons soulevées, la GRC avait déjà commencé à explorer des façons d’améliorer son examen des pratiques en matière de collecte afin de se conformer à ses obligations légales, et en mars 2021, elle a lancé le « Programme national d’intégration des technologies ». De plus, la GRC s’est engagée à mettre en oeuvre les recommandations formulées par le Commissariat dans le présent rapport.
- Nous demeurons préoccupés par le fait que la GRC n’a pas souscrit à nos conclusions, selon lesquelles nous estimons qu’elle avait contrevenu à la Loi, et qu’elle affirme ne pas être tenue de s’assurer que les agents tiers auprès desquels elle recueille des renseignements personnels ont agi conformément aux lois en ce qui concerne la collecte et l’utilisation de ces renseignements. Cela dit, nous accueillons favorablement les mesures préliminaires que la GRC a déjà prises, comme il est indiqué ci-dessus, ainsi que son engagement à mettre en œuvre toutes nos recommandations. Le Commissariat conclut donc que la plainte est fondée et conditionnellement résolue.
- La mise en œuvre de nos recommandations exigera de la GRC de travailler de manière concertée à l’échelle de l’organisation. Il reste beaucoup de travail à accomplir pour changer la culture à l’interne concernant la prise de décision – il faudra compter sur des procédures, des outils et de la formation qui soient bien intégrés. Nous encourageons vivement la GRC à consacrer les ressources nécessaires à cet égard et à désigner des « champions » parmi les cadres supérieurs pour réussir la mise en œuvre des recommandations. En mettant pleinement en œuvre nos recommandations, la GRC sera en mesure d’explorer plus efficacement les nouvelles technologies et d’utiliser ces dernières de façon plus responsable pour réaliser son important mandat.
- Date de modification :