Enquête sur la collecte de renseignements de sources ouvertes par la Gendarmerie royale du Canada dans le cadre du projet Wide Awake

Rapport spécial au Parlement

Le 15 février 2024

---

Pour obtenir plus de renseignements, veuillez communiquer avec :

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec)  K1A 1H3

Sans frais : 1-800-282-1376
Téléphone : 819-994-5444
ATS : 819-994-6591

© Sa Majesté le Roi du chef du Canada, pour le Commissariat à la protection de la vie privée du Canada, 2024

Numéro de catalogue : IP54-114/2024F-PDF
ISBN : 978-0-660-69055-1

---

Lettre à la présidente du Sénat

PAR COURRIEL

Le 15 février 2024

L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario)  K1A 0A4

Madame la Présidente,

J’ai l’honneur de présenter au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé Rapport spécial au Parlement : Enquête sur la collecte de renseignements de sources ouvertes par la Gendarmerie royale du Canada dans le cadre du projet Wide Awake. Ce dépôt se fait en vertu du paragraphe 39(1) de la Loi sur la protection des renseignements personnels.

Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.

Le Commissaire,

---

Lettre au président de la Chambre des communes

PAR COURRIEL

Le 15 février 2024

L’honorable Greg Fergus, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

J’ai l’honneur de présenter au Parlement le rapport spécial du Commissariat à la protection de la vie privée du Canada intitulé Rapport spécial au Parlement : Enquête sur la collecte de renseignements de sources ouvertes par la Gendarmerie royale du Canada dans le cadre du projet Wide Awake. Ce dépôt se fait en vertu du paragraphe 39(1) de la Loi sur la protection des renseignements personnels.

Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.

Le Commissaire,

Introduction

Le maintien de l’ordre est un travail important et complexe qui nécessite des outils efficaces qui sont conçus pour l’environnement numérique d’aujourd’hui. Un examen rigoureux des services qui ont une incidence sur la vie privée et qui sont offerts par un tiers est essentiel pour s’assurer que le droit fondamental à la vie privée est respecté.

Il s’agit là des éléments qui sont au cœur de l’enquête du Commissariat à la protection de la vie privée du Canada concernant le projet Wide Awake de la Gendarmerie royale du Canada (GRC).

Dans le cadre de ce projet, la GRC a recours à des services qui ont une incidence sur la vie privée et qui sont offerts par un tiers pour recueillir des renseignements personnels provenant de diverses sources, dont les médias sociaux, des forums, le Web caché, des services basés sur la localisation et des bases de données privées payantes. Les données recueillies sont utilisées aux fins d’une variété d’activités de maintien de l’ordre, notamment des enquêtes sur des allégations d’activités illégales, la localisation de personnes disparues, l’identification de suspects, la détection de menaces dans des évènements publics auxquels participent des personnes très en vue et pour le maintien d’une bonne connaissance de la situation lors d’une situation active.

L’enquête du Commissariat fait état de préoccupations à propos de la responsabilité et de la transparence de la GRC. Concrètement, la GRC n’a pas pris les mesures nécessaires pour veiller à ce que la collecte de renseignements personnels de tous ses fournisseurs de services se fasse dans le respect des lois sur la protection des renseignements personnels au Canada.

Plus largement, le Commissariat a soulevé des préoccupations quant aux processus de la GRC pour l’intégration de nouveaux services offerts par le secteur privé. Cette préoccupation avait été soulevée dans une enquête antérieure du Commissariat sur la GRC et la technologie de reconnaissance faciale de Clearview IA. Cette situation aurait dû être réglée par la création du Programme national d’intégration des technologies de la GRC.

Le Commissariat a recommandé à la GRC de réaliser des évaluations exhaustives pour obtenir un niveau d’assurance raisonnable que les services fournis par un tiers auxquels elle a recours respectent les lois pertinentes sur la protection des renseignements personnels. On a également recommandé à la GRC de faire preuve de plus de transparence envers les Canadiennes et les Canadiens en ce qui a trait à la collecte de renseignements personnels qu’elle effectue dans le cadre de la collecte du renseignement de source ouverte et à propos des fins auxquelles les différents types de renseignements recueillis pourraient être utilisés. La GRC a refusé de mettre en œuvre les recommandations.

Le Commissariat demeure d’avis que de faire preuve de transparence et d’avoir recours à des processus d’examen rigoureux encadrant l’utilisation d’outils d’enquête renforcera la confiance du public envers notre force nationale de police et permettra à la GRC de remplir son important mandat d’intérêt public dans le respect de la vie privée.

À propos du présent rapport

Aux termes de la Loi sur la protection des renseignements personnels, les rapports de conclusions du Commissariat à la protection de la vie privée du Canada ne peuvent être rendus publics que dans le cadre d’un rapport spécial ou d’un rapport annuel. Pour assurer un compte rendu en temps opportun, le Commissaire à la protection de la vie privée a présenté les conclusions de l’enquête qui suit dans le présent rapport spécial au Parlement.

---

Vue d’ensemble

Depuis au moins 2015, dans le cadre de ce qu’elle considère comme une collecte du renseignement de sources ouvertes (OSINT), la Gendarmerie royale du Canada (la GRC) a recours aux services du secteur privé pour recueillir des renseignements personnels auprès de diverses sources, dont les médias sociaux, les forums, le Web caché, les services basés sur la localisation et les bases de données privées payantes. À la fin de 2020, nous avons reçu une plainte par suite de la parution d’articles médiatiques signalant le recours antérieur par la GRC au secteur privé pour des services de surveillance et de suivi (Navigator, Babel X et WIST) ainsi que le projet Wide Awake (PWA) de la GRC. Dans la plainte, on mentionne le PWA et on soutient que la GRC pourrait avoir recours à des services du secteur privé susceptibles de porter atteinte à la vie privée de particuliers et de cibler des individus qui se prévalent de leur droit légal de manifester, sans appliquer les protocoles adéquats de surveillance ou sans surveillance judiciaire, et qu’elle pourrait cacher indûment ces activités.

Au cours de notre enquête sur le PWA, nous avons appris que ce projet fait office d’outil d’approvisionnement utilisé de manière centralisée par la GRC et que cette dernière avait obtenu et utilisé divers services de surveillance et de suivi du secteur privé dans le cadre de ce projet et à l’extérieur de celui-ci. Notre enquête a mis l’accent sur les services utilisés par la GRC dans le cadre du PWA, à savoir Social Studio de Salesforce et la plateforme Babel X de Babel Street. À la lumière de ce qui précède, les importantes leçons tirées de notre enquête s’appliquent à tout service de surveillance et de suivi du secteur privé auquel la GRC a recours.

Nous n’avons constaté aucune infraction aux dispositions de la Loi sur la protection des renseignements personnels (la LPRP) relatives à la collecte dans le cadre de l’utilisation qu’a faite la GRC de Social Studio. Cependant, dans la mise en œuvre de la plateforme Babel X dans le cadre du PWA, à la fin de 2021, nous avons conclu que la GRC n’avait pas fait preuve de la diligence attendue pour s’assurer que la collecte initiale de renseignements personnels effectuée par le secteur privé dans le cadre des services de surveillance et de suivi offerts à la GRC et la communication subséquente de ces renseignements personnels au moyen de la plateforme Babel X soient conformes aux lois canadiennes sur la protection des renseignements personnels.

Comme le Commissariat à la protection de la vie privée du Canada (le CPVP) l’a constaté et en a informé la GRC dans le cadre d’une enquête antérieure sur le recours par la GRC à la technologie de Clearview AI, l’article 4 de la LPRP ne peut être interprété comme permettant la collecte de renseignements personnels auprès d’un agent tiers qui a recueilli, utilisé ou communiqué les renseignements en contravention d’une loi à laquelle ce tiers est assujetti. En conséquence, nous sommes d’avis que la GRC est tenue de s’informer du caractère licite des pratiques de collecte des partenaires auprès de qui elle recueille des renseignements personnels. À la suite de l’enquête sur son recours à la technologie de Clearview AI, la GRC s’est engagée « […] à réaliser des évaluations complètes des pratiques de collecte de données par des tiers afin de veiller à ce que tout renseignement personnel soit recueilli ou utilisé [par la GRC] conformément à ce que prévoit la législation canadienne en matière de protection des renseignements personnels ». Comme le CPVP l’a confirmé en mars 2023, la GRC a par la suite respecté les engagements qu’elle avait pris à la suite de notre enquête sur son utilisation de la technologie de Clearview AI pour établir des structures et une formation connexes, notamment par la mise sur pied de son Programme national d’intégration des technologies (le PNIT)^{Note de bas de page 1}.

Malheureusement, l’examen de la plateforme Babel X réalisé après mars 2023 dans le cadre du PNIT ne comprenait aucune évaluation exhaustive de l’ensemble des services figurant dans le contrat entre la GRC et Babel Street, et ce, malgré les indicateurs et les avertissements de non-conformité potentielle dans ses propres documents. En fait, les conclusions de l’examen mené dans le cadre du PNIT ont souvent été contredites par les renseignements que la GRC a évalués à première vue.

Nous ne sommes donc pas en mesure de conclure que la collecte continue par la GRC de renseignements personnels à partir des nombreuses sources de données transmises par la plateforme Babel X est conforme à l’article 4 de la LPRP.

Nous avons recommandé que la GRC cesse de recueillir des renseignements personnels au moyen de la plateforme Babel X auprès de sources dont l’accès requiert une ouverture de session ou une authentification (c’est-à-dire, les renseignements qui ne sont pas détectés par les moteurs de recherche traditionnels qui respectent les balises de refus de référencement) jusqu’à ce qu’elle ait réalisé un examen approfondi de la conformité aux lois canadiennes sur la protection des renseignements personnels. La GRC a refusé de mettre en œuvre la recommandation et, par conséquent, nous estimons que cette question n’est pas résolue.

De plus, nous estimons que la GRC n’a pas respecté ses obligations en matière de transparence au titre de l’article 11 de la LPRP. Plus précisément, les descriptions accessibles au public de ses fichiers de renseignements personnels (FRP) n’exposent pas adéquatement les renseignements que l’organisation recueille au moyen de l’OSINT, y compris les renseignements recueillis par les services du secteur privé, et elles ne définissent pas de manière approfondie les fins auxquelles différents types de renseignements personnels de « sources ouvertes » peuvent servir.

Nous avons formulé des recommandations en ce sens, notamment celle selon laquelle la GRC devrait rédiger au moins une description de FRP qui englobe une définition approfondie de l’OSINT qu’elle recueille. La GRC a refusé de mettre en œuvre la recommandation, indiquant que bien qu’elle travaillerait en collaboration avec le Secrétariat du Conseil du Trésor (SCT) à la mise à jour des descriptions de FRP en question, ces descriptions ne seraient que des énoncés généraux affirmant que la GRC recueille des renseignements de sources ouvertes à un niveau général. Par conséquent, l’élément de la plainte relatif à la transparence est fondé et non résolu.

Contexte

1. De mars 2019 à novembre 2020, la revue d’actualités The Tyee a publié des articles sur le PWA et l’utilisation par la GRC d’outils de collecte de renseignements de sources ouvertes (RSO)^{Note de bas de page 2}. Le plaignant, Charlie Angus, député de Timmins–Baie James, a demandé au Commissariat le 23 novembre 2020 de mener une enquête sur ces rapports concernant la GRC. Dans ses observations, il s’est dit préoccupé au sujet de la possibilité que la GRC :
   • recueille des renseignements illégalement ou sans exercer une surveillance judiciaire adéquate;
   • fasse abstraction du droit à la vie privée des citoyennes et citoyens;
   • omette de suivre des protocoles adéquats de surveillance;
   • fasse une déclaration trompeuse au sujet de la nature du PWA dans le cadre de ses échanges avec le Commissariat;
   • cache délibérément au public l’acquisition et l’utilisation qu’elle fait de certains outils;
   • se serve de ces outils pour cibler précisément les Autochtones et les individus qui se prévalent de leur droit légal de manifester.
2. Le PWA a été mis en place par la GRC en 2016 à la suite de l’examen d’une attaque au cours de laquelle 3 policiers ont été tués en 2014^{Note de bas de page 3}. L’examen a révélé que la GRC n’avait pas été en mesure d’utiliser efficacement l’information publiée sur les médias sociaux par des membres du public lors de l’attaque en raison du volume de publications, et on a recommandé que la GRC améliore sa capacité de surveiller les médias sociaux en temps réel.
3. La GRC a eu recours à Social Studio de Salesforce dans le cadre du PWA de juin 2017 à janvier 2022. Social Studio est un outil conçu pour le marketing, dont l’évaluation de l’efficacité des campagnes en ligne. Il facilite les recherches que ses clients effectuent sur les médias sociaux en offrant des fonctions qui vont au-delà de celles d’un moteur de recherche traditionnel, comme la capacité de sauvegarder et de réexécuter automatiquement des recherches, et de valider des critères de recherche booléenne.
4. Plusieurs des divisions de la GRC à l’échelle du pays ont eu recours à la plateforme Babel X de Babel Street à partir de 2016. Plus récemment, à la suite d’un exercice d’approvisionnement mené au milieu de 2020, la GRC a déployé la plateforme Babel X en tant que service de collecte d’OSINT qu’elle a acquis de façon centralisée dans le cadre du PWA. Une seule licence a d’abord été délivrée en avril 2020, puis 16 autres ont suivi en décembre 2021. La plateforme Babel X est un service plus complexe que Social Studio et a été conçue précisément pour être utilisée dans le contexte de la sécurité et de l’application de la loi. En plus des options de recherche améliorées semblables à celles offertes par Social Studio, elle comporte des fonctions comme la traduction de termes de recherche et la recherche d’images.
5. En particulier, aux fins de notre enquête, les services payants que Bable Street offre à la GRC comprennent : i) la capacité de rechercher du contenu, y compris sur certains médias sociaux et forums, qui n’est pas référencé par les moteurs de recherche traditionnels; et ii) l’accès à diverses sources de données payantes recueillies par des tiers.
6. Notre enquête porte sur Social Studio et la plateforme Babel X; néanmoins, nous avons obtenu des renseignements auprès de la GRC au sujet de 2 autres services qui ont été signalés dans des articles de presse publiés peu de temps avant que le plaignant dépose sa plainte, à savoir le Web Identity Search Tool (outil de recherche d’identité sur le Web, WIST) de LTAS Technologies et le service Navigator de LifeRaft.
7. Le WIST est un service qui n’est plus offert et qui, selon les documents internes de la GRC, est décrit comme un outil permettant notamment de [traduction] « débloquer des amis sur une liste d’amis privée [Facebook] ». Nos recherches ont démontré que l’outil contournait les paramètres de confidentialité que les utilisateurs de Facebook avaient fixés pour leurs listes d’amis en extrapolant les listes d’amis cachées d’un utilisateur particulier de Facebook sur des listes d’amis publiques d’autres utilisateurs de Facebook. La GRC a fait observer que l’unité qui avait acquis le WIST ne l’avait utilisé que pendant une courte période et qu’elle n’y avait eu recours dans aucun des rapports ou produits qu’elle avait créés.
8. Le service Navigator de LifeRaft est conçu pour les professionnels de la sécurité du secteur privé et les organismes d’application de la loi. Il recueille des renseignements auprès de diverses sources, dont le Web caché et les médias sociaux. Depuis au moins 2015, 6 différentes divisions de la GRC y ont eu recours, et au moins une division s’en sert toujours. La GRC a toutefois précisé qu’elle n’utilisait pas sa fonctionnalité liée au Web caché en ce moment.
9. La GRC considère les renseignements personnels qu’elle recueille auprès des services du secteur privé mentionnés ci-dessus (ou par le biais de ceux-ci) comme étant des RSO. Elle définit les RSO comme « des données brutes et non classifiées qui sont tirées d’une source primaire (par exemple, Internet) et qui peuvent se présenter sous n’importe quelle forme. L’information est obtenue, tirée ou récupérée par des moyens légaux et achetée ou recueillie à partir de sources chiffrées ouvertes ou librement accessibles ».

Analyse

Enjeu I : La collecte de renseignement effectuée par la GRC est-elle conforme à l’article 4 de la LPRP?

10. Nous avons examiné si la collecte de renseignements personnels par la GRC au moyen de services de surveillance et de suivi du secteur privé dans le cadre du PWA était conforme aux dispositions de la LPRP en matière de collecte. Nous estimons que la GRC n’a pas démontré qu’elle avait évalué adéquatement les pratiques de collecte et de communication du secteur privé dans le cas des services qu’elle a retenus pour la collecte de renseignements personnels dans le cadre du PWA. Par conséquent, nous n’avons pas été en mesure de conclure que la collecte de renseignements personnels par la GRC auprès des divers services payants du secteur privé au moyen de la plateforme Babel X était conforme à l’article 4 de la LPRP. Nous formulons des recommandations à cet effet aux paragraphes 63, 69 et 78.
11. L’article 4 de la LPRP prévoit que « les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ».
12. En tant qu’organisme d’application de la loi exerçant des fonctions policières, la GRC dispose de vastes pouvoirs pour recueillir des renseignements personnels, souvent à l’insu de l’individu concerné ou sans son consentement. Ces fonctions policières vont de l’enquête sur la grande criminalité au maintien de la paix. Il ne fait aucun doute que, de façon générale, le maintien de la paix et les enquêtes sur les crimes relèvent des pouvoirs de la GRC au titre de la common law et des dispositions prévues à l’article 18 de la Loi sur la Gendarmerie royale du Canada et que normalement, ils constituent un « programme ou une activité » de la GRC.
13. Cependant, ces vastes pouvoirs s’accompagnent de l’obligation importante de s’assurer que la collecte de renseignements personnels se limite aux fins associées à ses fonctions policières et qu’elle évite la surveillance injustifiée des Canadiennes et des Canadiens au-delà de ces fins.
14. De plus, comme le met en relief une enquête antérieure sur le recours par la GRC à un autre service de surveillance du secteur privé (technologie de Clearview AI) pour la collecte de renseignements personnels, nous sommes d’avis que « […] l’article 4 de la [LPRP] ne peut être interprété comme permettant la collecte de renseignements personnels auprès d’un agent tiers qui a recueilli, utilisé ou communiqué les renseignements en contravention d’une loi à laquelle ce tiers est assujetti. […] Conclure autrement reviendrait à permettre aux institutions fédérales de réaliser leur mandat tout en récompensant les organisations dont les pratiques de collecte de renseignements personnels sont illégales et notamment non conformes aux lois canadiennes sur la protection des renseignements personnels. »
15. Lors de cette enquête antérieure, nous avons souligné à la GRC que « […] selon la LPRPDE [Loi sur la protection des renseignements personnels et les documents électroniques] et les lois provinciales sur la protection des renseignements personnels, les organisations du secteur privé doivent obtenir le consentement des particuliers pour la collecte de leurs renseignements personnels, à moins que certaines conditions précises ne soient respectées (dont celles énoncées dans les lois et les règlements qui définissent les renseignements “auxquels le public a accès”) ». Nous avons porté les paragraphes pertinents (44 à 46) de notre enquête sur la technologie Clearview AI à l’attention de la GRC, en faisant observer que les renseignements recueillis au moyen de la technologie Clearview AI auprès de différentes sources ne constituent pas des renseignements « auxquels le public a accès » au sens des règlements de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et des exigences des lois applicables du Québec, de l’Alberta et de la Colombie-Britannique.
16. La GRC n’était pas d’accord avec notre conclusion selon laquelle elle avait enfreint la LPRP en recueillant des renseignements personnels au moyen de la technologie de Clearview AI. Sans égard à ce désaccord, en réponse à notre enquête, la GRC a pris en mai 2021, dans le cadre de son nouveau Programme national d’intégration des technologies, l’engagement suivant :

    [TRADUCTION] « […] la GRC réalisera des évaluations complètes des pratiques de collecte de données par des tiers, en collaboration avec la Sous-direction de l’accès à l’information et de la protection des renseignements personnels ainsi que les Services juridiques [de la GRC], afin de veiller à ce que tout renseignement personnel soit recueilli ou utilisé [par la GRC] conformément à ce que prévoit la législation canadienne en matière de protection des renseignements personnels. […] Nous reconnaissons la nécessité d’atteindre un équilibre entre les avantages de ces technologies et la nécessité de protéger les droits prévus à la Charte et le droit à la vie privée. »

17. En réponse à une version préliminaire de ce rapport, la GRC a affirmé que cette déclaration ne se voulait qu’un engagement à évaluer [TRADUCTION] « [sa] propre conformité à l’égard de l’article 4 de la Loi sur la protection des renseignements personnels », et non pas la conformité des tiers aux lois sur la protection des renseignements personnels auxquelles ils sont assujettis. Cet argument va à l’encontre de ce que le CPVP avait compris et du contexte, pourtant clair, de l’engagement de la GRC; le recours aux services non vérifiés d’un fournisseur tiers qui agit illégalement (en utilisant la technologie de Clearview AI) était l’élément central de l’enquête.
18. Étant donné que : i) l’évaluation de sa propre conformité à la LPRP est manifestement une obligation fondamentale; ii) la GRC avait indiqué qu’elle s’engageait à [TRADUCTION] « mettre en œuvre les principes de [nos] recommandations »; et iii) sa déclaration fait allusion aux « lois canadiennes sur la protection des renseignements personnels » plutôt qu’à la « Loi sur la protection des renseignements personnels », le CPVP a accepté l’engagement de la GRC selon lequel elle évaluerait les pratiques de collecte de données des tiers dont elle retiendrait les services afin de vérifier que ces pratiques sont conformes aux lois canadiennes sur la protection des renseignements personnels auxquelles ces tiers sont assujettis.
19. Compte tenu de la pertinence de cette question pour la présente enquête, qui porte aussi sur une collecte de renseignements au moyen de services de surveillance et de suivi offerts par le secteur privé, nous avons intégré ces engagements à l’analyse qui suit, notamment en ce qui concerne la mise en œuvre par la GRC, à la fin de 2021, de la plateforme Babel X provenant d’un nouveau fournisseur de services retenus dans le cadre du PWA.

Collecte de renseignements personnels au moyen de Social Studio

20. Nous avons d’abord examiné la collecte de renseignements par la GRC au moyen de Social Studio, outil décrit au paragraphe 3. La GRC n’a pas procédé à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de se servir de Social Studio comme l’exige la politique du SCT et comme l’a recommandé le CPVP lorsque la GRC l’a consulté au sujet de son utilisation de Social Studio. Nous rappelons à la GRC son obligation en vertu de la politique du SCT de réaliser des EFVP avant de recueillir des renseignements personnels dans le cadre de programmes nouveaux ou modifiés de façon importante.
21. Nous remarquons que bien que la GRC a omis d’effectuer une évaluation adéquate de la conformité de Social Studio à l’égard des lois canadiennes sur la protection des renseignements personnels, elle a cessé d’utiliser cet outil en décembre 2021, après avoir pris les engagements présentés plus haut en mai 2021. En outre, rien ne démontre que la GRC a utilisé Social Studio pour recueillir ou obtenir des renseignements personnels d’une manière qui enfreint les lois canadiennes sur la protection des renseignements personnels auxquelles Salesforce est assujetti.
22. Nous avons passé en revue les procédures en place pour l’utilisation de Social Studio ainsi qu’un échantillon de requêtes de recherche exécutées dans Social Studio avant que la GRC cesse de s’en servir. Ces dossiers n’ont aucunement démontré que Social Studio avait servi à des fins autres que celles visées par le mandat de la GRC. Aussi, nous avons constaté que la GRC disposait de mesures de contrôle visant à limiter et à documenter la création de comptes dans Social Studio ainsi que l’utilisation du logiciel. Enfin, le Groupe de la recherche tactique sur Internet en soutien aux opérations (RTISO) de la GRC exerçait également des fonctions centrales de vérification. L’accès à l’outil était limité aux utilisateurs autorisés et précédé d’une formation.
23. À la lumière de notre examen, nous n’avons trouvé aucune indication montrant que la GRC avait enfreint l’article 4 de la LPRP dans son utilisation de de Social Studio. Par conséquent, cet élément de la plainte n’est pas fondé.

Collecte de renseignements personnels au moyen de la plateforme Babel X

24. Comme il est souligné au paragraphe 4 du présent rapport, la plateforme Babel X est un service plus complexe que Social Studio. En plus d’englober des fonctions améliorées de recherche, comme la traduction de termes de recherche, les services de la plateforme Babel X comprennent un accès à diverses sources payantes de données recueillies par des tiers, dans lesquelles la GRC peut effectuer des recherches, de même qu’aux données archivées par la plateforme elle-même. Selon les renseignements transmis par la GRC au CPVP, ces sources de données renferment des bases de données de contenu que divers services du secteur privé ont recueilli à partir : i) du Web caché (sites dont l’accès exige des outils spécialisés et qui englobent des balises informant les moteurs de recherche de ne pas référencer leur contenu); ii) des données de géolocalisation des téléphones cellulaires (qui peuvent dévoiler des renseignements de nature délicate au sujet des habitudes de déplacement); et iii) diverses autres sources.
25. Tout au long de l’enquête, la GRC a constamment décrit l’ensemble des renseignements qu’elle a pu recueillir au moyen de la plateforme Babel X comme étant des renseignements « auxquels le public a accès » et n’a ainsi cerné aucun problème dans la collecte qu’elle a faite ou dans celle effectuée au moyen de la plateforme Babel X et des autres sources de données payantes qui y sont associées.
26. Cependant, comme nous l’avons décrit à la GRC dans notre rapport de conclusions sur le recours par celle-ci à la technologie de Clearview AI et comme il est expliqué de façon plus détaillée dans notre enquête antérieure sur la technologie de Clearview AI, la LPRPDE impose des contraintes importantes à la collecte de renseignements personnels par des entités commerciales qui opèrent au Canada^{Note de bas de page 4}. Plus particulièrement, les entités commerciales sont tenues d’obtenir un consentement valide d’un individu pour la collecte, l’utilisation et la communication de ses renseignements personnels sous réserve de certaines exceptions limitées. Une exception s’applique dans le cas des renseignements accessibles au public et dans le cas des renseignements précisés dans le Règlement précisant les renseignements auxquels le public a accès (le Règlement) de la LPRPDE.
27. Les renseignements accessibles au public en ligne ne sont pas tous considérés comme des renseignements « auxquels le public a accès » au titre de la LPRPDE. Les quelques catégories de renseignements figurant dans le Règlement sont les seules qui seront considérées comme accessibles au public et seront exemptées de l’exigence en matière de consentement. À titre d’exemple, le Commissariat a reconnu que les renseignements figurant dans un annuaire téléphonique, où l’abonné aurait pu refuser qu’ils y paraissent, sont considérés accessibles au public conformément à l’alinéa 1a) du Règlement, alors que nous avons aussi conclu, dans plusieurs cas^{Note de bas de page 5}, que les profils d’utilisateurs des médias sociaux n’étaient pas une « publication » accessible au public au titre de l’alinéa 1e).
28. La GRC a également affirmé ce qui suit : [TRADUCTION] « En ce qui concerne l’application de la LPRPDE à la plateforme Babel X, la GRC est d’avis que ce n’est pas pertinent étant donné qu’elle ne recueille aucun renseignement personnel à partir de cette plateforme; elle recueille des renseignements personnels directement à partir de la source en ligne où ceux-ci ont paru à l’origine. » Précisément, la GRC a expliqué que sa politique et l’entente contractuelle conclue avec Babel Street ne permettaient pas de saisir de l’information directement à partir de la plateforme Babel X.
29. La GRC a fait valoir que les spécialistes ne copiaient donc pas les renseignements qu’ils consultaient dans la plateforme Babel X et n’utilisaient pas les hyperliens figurant dans cette dernière pour accéder à une publication. Ils ouvraient plutôt une fenêtre distincte et se rendaient à l’application ou au programme pertinent où les renseignements avaient été publiés à l’origine et, après quoi, y recherchaient de l’information (si elle était toujours disponible) pour ensuite la copier.
30. Autrement dit, la plateforme Babel X et ses fournisseurs de données communiquent bel et bien des renseignements à la GRC, qui s’en sert pour renseigner sa collecte subséquente de renseignements. La GRC soutient qu’elle ne recueille pas de renseignements à partir de la plateforme Babel X ou auprès de ses fournisseurs de données parce qu’elle ne consigne pas l’information directement à partir de la plateforme. Nous ne sommes pas d’accord.
31. La GRC a accès à des renseignements personnels sur la plateforme Babel X. Elle recueille ensuite des renseignements d’une source différente, dont au moins une partie correspond à ceux auxquels elle a eu accès sur la plateforme. Bien que la source de la collecte soit différente de la source de l’accès, elle y est manifestement connexe. Comme les renseignements sous-jacents seront presque toujours inextricablement liés, voire identiques, à ceux que la GRC a initialement extraits de la plateforme Babel X, nous estimons que ces renseignements ont été recueillis à partir de cette plateforme, ainsi que de l’autre source.
32. La source dont la GRC s’est servie pour consigner les renseignements peut être pertinente du point de vue de la preuve, c’est-à-dire que la GRC peut décider de consigner les renseignements directement à partir de la source d’où ils figurent pour défendre plus facilement leur légitimité en tant qu’éléments de preuve dans une procédure judiciaire. Cependant, en ce qui concerne l’application de la LPRP, la collecte des renseignements se fait tout de même à partir d’une source même s’ils sont consignés à partir d’une source différente. Autrement dit, le fait que la GRC ait accédé aux renseignements dans la plateforme Babel X, mais qu’elle les ait consignés physiquement dans une source différente n’annule pas le fait que leur collecte s’est faite à partir de la plateforme. Les renseignements recueillis au moyen de la plateforme Babel X font partie intégrante de la collecte de renseignements par la GRC et ne peuvent en être dissociés.

Évaluation inadéquate de la légalité des pratiques de collecte au moyen de la plateforme Babel X et de ses fournisseurs de données

33. Le CPVP s’attendait à ce que, conformément aux engagements qu’elle avait pris en mai 2021, la GRC procède à une évaluation complète de la plateforme Babel X, y compris ses sources de données payantes, avant d’y recueillir des renseignements personnels dans le cadre du PWA. Précisément, nous nous attendions à ce que la GRC réalise une évaluation complète afin de veiller à ce que les données recueillies à partir de ces sources de données et la communication de renseignements personnels provenant de ces sources soient conformes aux lois canadiennes sur la protection des renseignements personnels, dont la LPRPDE^{Note de bas de page 6}.
34. Malheureusement, elle ne l’a pas fait. Nous avons demandé à la GRC de nous remettre une copie de son analyse de la légalité de la collecte de données au moyen de la plateforme Babel X, y compris de sa conformité aux lois canadiennes sur la protection des renseignements personnels auxquelles le secteur privé est assujetti, à l’automne 2021, avant de mettre en œuvre la plateforme Babel X dans le cadre du PWA. En réponse, la GRC a simplement invoqué l’article 18 de la Loi sur la Gendarmerie royale du Canada et l’article 4 de la LPRP en se fondant sur un avis juridique interne de 3 paragraphes selon lequel les renseignements étaient accessibles au public.
35. Il y a eu une croissance exponentielle de la disponibilité des renseignements sur les particuliers au cours des 2 dernières décennies. L’idée selon laquelle le gouvernement pourrait recueillir et utiliser des renseignements personnels qui peuvent être achetés ou consultés en ligne sans qu’il y ait eu une évaluation complète de la légalité des pratiques d’un fournisseur ne peut pas être admise, car le gouvernement omettrait ainsi de reconnaître et d’appliquer le droit à la vie privée des Canadiennes et des Canadiens^{Note de bas de page 7}.
36. Après que nous lui avons demandé de s’engager à suspendre la mise en œuvre de la plateforme Babel X dans le cadre du PWA jusqu’à ce qu’elle ait réalisé une EFVP, la GRC n’a pas accepté de suspendre l’utilisation de la plateforme et s’est uniquement engagée à en limiter l’utilisation et à nous en faire part jusqu’à ce qu’elle ait effectué une EFVP.
37. Au cours de l’année suivante, dans le cadre de notre enquête, nous avons tenté, par des demandes, démonstrations et entrevues répétées, d’obtenir une vue d’ensemble claire et détaillée des renseignements personnels que la GRC avait recueillis et pourrait recueillir au moyen de la plateforme Babel X et d’autres services de surveillance et de suivi en ligne. Or, la GRC n’a transmis que des renseignements limités au sujet de la façon dont elle avait utilisé les services ainsi qu’à propos des renseignements qu’elle avait recueillis. À plusieurs reprises, elle n’a pas été en mesure de répondre à nos questions sur les sources de données où elle pourrait recueillir des renseignements au moyen de la plateforme Babel X.
38. À titre d’exemple, la GRC a fait remarquer ce qui suit en août 2022 :

    [TRADUCTION] « […] [D]ans plusieurs cas, la GRC ne dispose pas suffisamment de renseignements pour donner au CPVP des réponses précises aux questions très explicites qui lui ont été posées. Dans le cadre de notre engagement à donner des réponses complètes et exactes – et, en effet, de notre responsabilité à nous assurer que les fonctionnalités des plateformes fournies par des tiers soient bien comprises pour que nous puissions nous assurer que l’ensemble des risques d’atteinte à la vie privée sont atténués comme il se doit – nous procéderons à un suivi supplémentaire auprès des fournisseurs afin d’obtenir de plus amples renseignements. »

39. Jusqu’à ce jour, la GRC a omis de répondre à plusieurs questions au sujet de la méthode de collecte de renseignements personnels de la plateforme Babel X elle-même et d’autres sources de données.
40. Le CPVP a tenté d’obtenir de plus amples renseignements en communiquant directement avec Babel Street, qui a refusé de lui donner de l’information sur les sources de données auxquelles ses clients peuvent avoir accès au moyen de sa plateforme, en évoquant le secret commercial et des ententes sur la non-divulgation.
41. En juillet 2022, la GRC a remis au CPVP une EFVP provisoire de 72 pages sur son utilisation de la plateforme Babel X. L’EFVP précise que la GRC avait : i) examiné la politique de confidentialité et les modalités de Babel Street; ii) obtenu la confirmation expresse de Babel Street que les fonctionnalités, les fonctions et les activités de recherche et d’analyse de Babel X étaient conformes aux lois fédérales; iii) ajouté des dispositions contractuelles pour voir à ce que Babel Street satisfasse et se conforme aux obligations énoncées concernant la protection de la vie privée, la sécurité des données et le traitement adéquat des renseignements personnels; et iv) évalué le programme de protection de la vie privée de Babel Street pour s’assurer que l’entreprise pouvait soutenir et démontrer sa conformité à l’égard des lois canadiennes sur la protection des renseignements personnels.
42. La GRC a également intégré des déclarations comme les suivantes : i) [TRADUCTION] « Contrairement à certains fournisseurs de services d’analytique avancée, Babel Street n’est pas un fournisseur de données de masse. Il n’effectue pas d’extraction de renseignements à même Internet à l’appui de sa plateforme Babel X et ne crée pas de base de données privée ou exclusives au service de ses clients »; ii) [TRADUCTION] « La plateforme Babel X ne permet pas de consulter, de déchiffrer ou de déverrouiller des sources de données ou du contenu privés […] »; et [TRADUCTION] iii) « La plateforme ne sert pas à pénétrer ou à infiltrer des sites Internet qui nécessitent des identifiants de connexion ni à accéder à du contenu privé, comme des conversations, dissimulé aux moteurs de recherche. »
43. Cependant, l’EFVP provisoire comptait des renseignements limités au sujet des fonctionnalités et des sources de données de la plateforme Babel X qui sont plus susceptibles de porter atteinte à la vie privée. L’EFVP n’englobait qu’une seule ligne au sujet de la collecte de renseignements dans le Web caché, elle évoquait seulement à 2 reprises la collecte de données de géolocalisation et elle ne faisait aucunement référence à la collecte de renseignements à partir de bases de données payantes organisées par le secteur privé. De plus, comme il est présenté plus en détail ci-dessous, notre examen des documents transmis par la GRC dans le cadre de l’EFVP et en réponse à nos questions de suivi n’a pas soutenu les assurances figurant au paragraphe 42 ci-dessus et, dans certains cas, il les a contredites.
44. Parmi d’autres contradictions, l’EFVP montre que bien que Babel Street n’est pas un fournisseur de données de masse, la plateforme Babel X fournit aussi Babel Archives et englobe un « accès direct » à un éventail de bases de données payantes. Les modalités de l’utilisateur final de la plateforme Babel X acceptées par la GRC montrent, en ce qui a trait à l’accès aux sources de données payantes de la plateforme, que Babel Street [TRADUCTION] « [n’]assume aucune responsabilité pour les fils de données et/ou les autres renseignements, le contenu ou les documents qui pourraient comprendre des renseignements permettant d’identifier une personne ». Il est également précisé que [TRADUCTION] « les fils de données sont fournis et accessibles, mais ne font pas partie de l’application en soi […] ».
45. La GRC a informé le CPVP que, en plus d’examiner le programme de protection de la vie privée de Babel Street, elle avait évalué les pratiques de protection de la vie privée des sources de données transmises et n’avait cerné aucun risque. Cependant, lorsque le CPVP a reçu une copie de cette évaluation après avoir présenté de nombreuses demandes, le document renfermait uniquement des examens des modalités de l’utilisateur final et des politiques sur la protection de la vie privée de la plateforme Babel X ainsi que des politiques sur la protection de la vie privée des sources transmises à la GRC par la plateforme.
46. Chaque examen englobait une brève description (moins d’une demi-page) de la source de données, un hyperlien vers la politique sur la protection de la vie privée applicable à cette source et une liste de vérification (qui se répond par « oui » ou par « non ») pour vérifier si la politique sur la protection de la vie privée de la source de données renfermait certains éléments. La liste de vérification comprenait une colonne pour les risques et l’atténuation de ces risques, mais pour les dizaines de sources de données qu’elle a examinées, la GRC n’a cerné aucun risque. Or, ses propres examens rapides ont décrit des pratiques qui ne concordaient pas du tout avec l’assurance donnée à propos des limites de la collecte de renseignements personnels au moyen de la plateforme Babel X qui figurait dans l’EFVP. Les pratiques portant atteinte à la vie privée comprenaient l’extraction de données, la collecte de données de masse et la collecte de renseignements auprès de sources de données privées sans qu’un consentement semble avoir été obtenu de la part des individus concernés, ce qu’exigent généralement les lois canadiennes sur la protection des renseignements personnels dans le secteur privé.

Indicateurs de non-conformité potentielle des fournisseurs de données de la plateforme Babel X à l’égard des lois canadiennes sur la protection des renseignements personnels

47. Les brèves descriptions fournies par la GRC de nombreuses sources ont démontré que les sources de données étaient des bases de données privées dont le contenu n’était accessible que par les clients et qu’elles n’étaient donc pas accessibles au moyen d’un moteur de recherche public. Également, la GRC a confirmé que la plateforme Babel X recueillait et stockait des renseignements qui étaient communiqués à ses clients au moyen de Babel Archives. La GRC n’a pas pu donner plus de détails au sujet de ce dépôt. Dans de nombreux cas, les renseignements servant à remplir les bases de données ne provenaient pas du réseau ouvert d’Internet que les moteurs de recherche traditionnels permettaient de consulter.
48. À titre d’exemple, une source de données a été décrite par la GRC comme [TRADUCTION] « […] la base de données de DARKINT, la plus importante au monde offerte sur le marché […] recueille, référence et classe de façon automatique, anonyme et continue des données utiles de l’Internet clandestin. » La GRC n’a soulevé aucun risque quant à la conformité à l’égard des lois canadiennes sur la protection des renseignements personnels dans son examen de la politique de protection de la vie privée de l’entreprise malgré le fait que cette politique n’englobe aucun renseignement sur les pratiques portant atteinte à la vie privée que l’entreprise a mises en œuvre pour recueillir, utiliser ou communiquer des renseignements qu’elle extrait du Web caché (dont les pages comportent des mises en garde contre le référencement), ou fondement juridique de cette collecte au titre des lois canadiennes sur la protection des renseignements personnels. La politique de protection de la vie privée décrit plutôt exclusivement le traitement des renseignements personnels des clients des sources de données (comme la GRC).
49. En outre, le site Web de l’entreprise montre que, en raison de son [TRADUCTION] « […] niveau d’accès aux comptes jumelé à sa technologie avancée d’apprentissage automatique, 99 % de toute la couverture [de l’entreprise] va “au-delà” de la page d’accueil des sites Web où elle recueille des renseignements, peu importe la source. En fait, environ 60 % de toutes les données [de l’entreprise] proviennent de sources qui nécessitent une certaine forme d’accès authentifié ou d’accès à un compte. » Le contrat de licence accessible au public de l’entreprise, qui figure sur son site Web, précise ce qui suit : [TRADUCTION] « Les résultats de recherche qui sont affichés ou transmis par le logiciel en réponse aux requêtes des clients peuvent comprendre des renseignements qui renvoient à du contenu recueilli à partir de sources Internet de tiers ou qui décrivent le contenu recueilli à partir de sources Internet tierces, ce qui comprend des renseignements figurant sur le Web de surface, le Web profond et le Web caché (“contenu des résultats”). Le contenu des résultats peut comprendre des renseignements secrets, non publics ou autrement sensibles qui ne sont pas conçus pour être publiés ou accessibles pour les clients ou d’autres tiers et dont l’accès ou la possession par des clients peuvent être illégaux^{Note de bas de page 8} ». À notre avis, un tel libellé aurait dû être à première vue un signal d’alerte de possibles problèmes de conformité au titre des lois canadiennes sur la protection des renseignements personnels et aurait donc dû justifier un examen approfondi.
50. Selon une autre description de source de données transmise par la GRC, [TRADUCTION] « [la source] est une application mobile sans fil locale de recherche et de découverte qui procure une expérience personnalisée de recherche locale à ses utilisateurs. En tenant compte des endroits que fréquente un utilisateur, des préférences qu’il a communiquées à l’application et des autres utilisateurs dont les conseils lui inspirent confiance, [l’entreprise] formule des recommandations hautement personnalisées au sujet des meilleurs endroits à fréquenter par rapport à l’emplacement actuel de l’utilisateur. » La description de la GRC fait allusion à une application compagnon qui permet à ses utilisateurs de transmettre l’endroit où ils se trouvent à d’autres utilisateurs de l’application et de le diffuser sur d’autres réseaux de médias sociaux.
51. Le deuxième paragraphe de la politique de protection de la vie privée de la source, qui a été examinée par la GRC, se lit comme suit : [TRADUCTION] « Plus important encore, les données de localisation ne doivent être recueillies qu’après avoir obtenu votre accord, et vous devez pouvoir changer d’idée à tout moment. La collecte de données de localisation doit être avantageuse pour vous, l’utilisateur. Voilà pourquoi nous ne permettons aux partenaires d’utiliser notre technologie de localisation que s’ils peuvent démontrer qu’ils doivent y avoir recours pour offrir des avantages ou assurer une valeur aux consommateurs qui décident de transmettre leurs données de localisation^{Note de bas de page 9}. »
52. Au cours de notre enquête, la GRC a fait observer qu’elle reconnaissait que les données de géolocalisation des téléphones cellulaires pouvaient dévoiler des renseignements de nature délicate au sujet des habitudes de déplacement et qu’elle travaillerait avec l’équipe de ses services juridiques à la prise en compte des répercussions juridiques avant la collecte de ce qu’elle appelle les données de technologies publicitaires. Malgré cette reconnaissance et la politique de protection de la vie privée ci-dessus, l’examen de la GRC n’a signalé aucun risque selon lequel la collecte de données de localisation auprès de la source ci-dessus, aux fins de son mandat d’application de la loi, pourrait engendrer des problèmes de conformité aux lois canadiennes sur la protection des renseignements personnels. En réponse, la GRC a souligné que les renseignements sur l’emplacement d’un individu ne pouvaient être consultés dans la plateforme Babel X que pour les publications pour lesquelles des individus ont décidé de diffuser publiquement leur emplacement. Cependant, elle n’a donné aucun détail au sujet de ce qui constitue une « diffusion publique ». De plus, elle n’a pas expliqué comment Babel X procédait légalement à la recherche des données à partir de cette source, dont les conditions d’utilisation précisent que les « partenaires » ne peuvent utiliser le service que s’ils offrent des avantages aux consommateurs et que les « utilisateurs » ne peuvent explorer aucune page du site. L’exploration est une technique qui consiste, pour un robot d’indexation, à parcourir en permanence le Web afin de détecter les pages Web et d’en analyser le contenu dans le but de transmettre les résultats de recherche (ainsi qu’à d’autres fins).
53. Finalement, bien que la GRC ait indiqué que Babel X ne puisse accéder à des sites qui requièrent une ouverture de session ou une authentification, ou les débloquer, l’EFVP de la GRC décrit l’une des sources de Babel X comme étant [TRADUCTION] « axée sur l’infiltration de sources privées et sur le maintien de l’accès à ces dernières, où des auteurs malveillants collaborent, communiquent et prévoient des cyberattaques ».
54. Comme c’est le cas pour toutes les autres sources de données, l’examen de la GRC n’a détecté aucun risque en ce qui concerna la conformité de ce fournisseur de services à l’égard des lois canadiennes sur la protection des renseignements personnels, et la GRC n’a mené aucune enquête malgré des indications selon lesquelles ce fournisseur et d’autres tiers fournisseurs ne se conformaient pas forcément à la LPRPDE. La GRC a simplement coché que la politique de protection de la vie privée de l’entreprise couvrait certains éléments, nonobstant la déclaration figurant au paragraphe ci-dessus et malgré le fait que cette politique n’englobe pas d’information sur le traitement par l’entreprise des renseignements personnels qu’elle recueille lorsqu’elle s’infiltre dans ces sources privées.
55. Bref, comme le démontrent les exemples présentés plus haut, la diligence raisonnable et l’analyse de la GRC se sont limitées à un bref libellé contractuel général ainsi qu’à un examen rapide des politiques de protection des renseignements personnels à l’aide d’une liste de vérification restreinte, lesquels n’ont pas pris en considération ou ont été contredits par les signaux l’alertant à première vue du recours à des techniques de collecte potentiellement non conformes, ce qui aurait justifié un examen plus poussé.

Conclusion I – La GRC n’a pas démontré la diligence raisonnable attendue dans l’évaluation des sources d’un tiers dans le cadre du PWA.

56. Les exemples présentés plus haut montrent que la GRC n’a pas démontré la diligence raisonnable attendue dans l’évaluation de la conformité aux lois canadiennes sur la protection des renseignements personnels des sources de données auxquelles elle a accès en payant pour utiliser la plateforme Babel X. Elle s’était pourtant engagée à le faire pour [TRADUCTION] « […] trouver un équilibre entre les avantages de ces technologies et la nécessité de protéger la Charte et les droits à la vie privée ». Les exemples montrent également que la GRC n’a pas fait preuve de diligence raisonnable en ne s’assurant pas que l’EFVP représente avec exactitude les pratiques de collecte en question afin d’évaluer de manière juste les risques d’atteinte à la vie privée.
57. Comme nous l’avons exposé dans notre enquête sur l’utilisation par la GRC de la technologie Clearview AI, nous sommes d’avis que l’article 4 de la LPRP ne peut être interprété comme permettant la collecte de renseignements personnels auprès d’un agent tiers qui a recueilli, utilisé ou communiqué les renseignements en contravention d’une loi à laquelle ce tiers est assujetti. Étant donné l’absence de diligence raisonnable et le manque de détails transmis au CPVP au sujet des pratiques de Babel Street et de ses sources, nous ne sommes pas en mesure d’établir que la collecte de renseignements personnels par la GRC auprès de toutes les sources fournies dans le cadre de son entente contractuelle avec Babel Street est conforme à l’article 4 de la LPRP.
58. Nous reconnaissons que la GRC peut obtenir des outils de tiers pour recueillir des renseignements personnels provenant, entre autres, des médias sociaux, du Web caché et des services de localisation dans certaines circonstances appropriées qui peuvent parfois nécessiter une approbation judiciaire. Cependant, il existe différentes limites quant aux renseignements personnels que les entités commerciales du secteur privé peuvent recueillir, conserver et communiquer en offrant leurs services sur le marché par rapport aux renseignements personnels que les organismes d’application de la loi peuvent recueillir et communiquer.
59. Enfin, en ce qui concerne les contrôles internes, le recours par la GRC à des RSO à des fins d’acquisition de renseignement et de conduite d’enquêtes criminelles est régi par le chapitre 26.5 du Manuel des opérations de la GRC, qui est intitulé Utilisation d’Internet pour l’acquisition de renseignements de sources ouvertes (RSO) et la conduite d’enquêtes criminelles. Le Groupe de la RTISO de la GRC est le centre stratégique national de décision pour le chapitre 26.5 du Manuel des opérations et, par conséquent, il est tenu d’en coordonner la mise en œuvre au sein de la GRC.
60. Cependant, une vérification de l’information de sources ouvertes réalisée par la GRC en 2020 a démontré que les activités liées aux RSO qui avaient été menées sur Internet à l’échelle de l’organisation n’étaient pas conformes aux politiques internes de la GRC. La plupart des membres ne connaissaient pas les politiques internes et il y avait place à l’élaboration d’un cadre de gouvernance plus solide et à l’amélioration de la surveillance des activités liées aux RSO^{Note de bas de page 10}. L’équipe de vérification a reconnu que le Groupe de la RTISO de la GRC n’avait pas la capacité, les ressources et les pouvoirs pour exercer pleinement ses responsabilités en matière de surveillance et de suivi. Par conséquent, la GRC se consacre à la révision de ses pratiques, de ses politiques, de ses mécanismes de surveillance et de sa formation qui touchent les RSO.
61. Nonobstant les efforts énoncés ci-dessus, l’EFVP de la plateforme Babel X, qui a été réalisée 2 ans plus tard, soit en juillet 2022, a tout de même cerné des lacunes en ce qui concerne les éléments suivants : i) cadre stratégique et procédures d’exploitation des RSO; ii) contrôles internes; iii) gouvernance centralisée; iv) surveillance; et v) surveillance de la conformité. Les contrôles internes ont été considérés comme un domaine à risque élevé, et l’EFVP englobait des recommandations connexes visant à combler ces lacunes.

Recommandations

62. Nous avons formulé 3 recommandations connexes; aucune n’a été acceptée par la GRC.

Recommandation 1

63. D’abord, nous avons recommandé à la GRC de prendre des mesures exhaustives en vue de donner suite aux recommandations formulées dans l’EFVP au sujet de la plateforme Babel X à l’intérieur d’une période de 12 mois. Il s’agit de recommandations que la GRC a formulées elle-même dans son EFVP.

Réponse 1 de la GRC

64. La GRC ne s’est pas engagée à appliquer les recommandations de sa propre EFVP dans les 12 mois suivants, indiquant qu’elle considèrerait les mesures à prendre et un délai d’exécution réaliste après avoir reçu les recommandations du CPVP découlant de l’EFVP de la plateforme Babel X.
65. Le 26 janvier 2023, le CPVP a informé la GRC que, compte tenu de l’enquête en cours, la rétroaction et les recommandations au sujet de ses pratiques généralement liées au PWA et, de façon précise, au sujet de l’EFVP lui seraient transmises dans notre rapport d’enquête.
66. Notre rapport préliminaire fournissait cette rétroaction, notamment en ce qui concerne les préoccupations mentionnées plus haut à l’égard des inexactitudes factuelles relevées dans la version existante de l’EFVP. Nous avons aussi fait remarquer que, en raison de l’absence de diligence raisonnable qu’a démontrée la GRC en ne s’assurant pas que l’EFVP représente avec exactitude les pratiques de collecte au moyen de la plateforme Babel X, la prise de mesures à l’égard de ces inexactitudes était une première étape essentielle.
67. La GRC a déclaré que l’EFVP ne faisait pas allusion aux renseignements recueillis au moyen de la plateforme Babel X (au moyen de Babel Archives) et d’autres bases de données privées payantes parce qu’elle ne consulte pas les bases de données de ce genre fournies par Babel Street. Cependant, tous les exemples de sources figurant aux paragraphes 47 à 55 se trouvaient dans l’évaluation réalisée par la GRC à l’appui de l’EFVP et transmise au CPVP (voir le paragraphe 45) – l’évaluation ne renfermait aucune note selon laquelle la GRC interdisait à son personnel de se servir de l’une ou l’autre de ces sources. À l’exception possible de la source qui offre des données de localisation (paragraphe 50), ce sont toutes des sources payantes. En outre, au cours de notre enquête, la GRC a précisé qu’elle utilisait la source payante décrite au paragraphe 48.
68. Une fois que la GRC sera en mesure de s’attaquer aux problèmes d’exactitude en effectuant des évaluations approfondies pour évaluer la conformité de ses activités aux lois canadiennes sur la protection des renseignements personnels, elle sera invitée à consulter la Direction des services-conseils au gouvernement du CPVP avant de procéder à une nouvelle rédaction de l’EFVP. D’ici là, nous réitérons notre recommandation selon laquelle elle devrait mettre en œuvre ses propres recommandations dans les 12 prochains mois pour corriger les lacunes en matière de protection de la vie privée qu’elle a cernées dans l’EFVP.

Recommandation 2

69. Ensuite, nous avons recommandé à la GRC de cesser de recueillir des renseignements personnels au moyen de la plateforme Babel X auprès de sources dont l’accès requiert une ouverture de session ou une authentification (c’est-à-dire, les renseignements qui ne sont pas détectés par les moteurs de recherche traditionnels qui respectent les balises de refus de référencement) jusqu’à ce qu’elle ait réalisé un examen approfondi de chacune d’elles pour évaluer leur conformité aux lois canadiennes sur la protection des renseignements personnels.
70. Pour que ces évaluations se déroulent efficacement, nous avons demandé à la GRC de suivre le processus qu’elle a mis en place dans le cadre du PNIT et qu’elle a récemment mis sur pied, tel qu’il est indiqué dans la section « Vue d’ensemble ».

Réponse 2 de la GRC

71. En réponse à cette recommandation, la GRC a soumis une copie d’une note de service relative à l’examen de la plateforme Babel X dans le cadre du PNIT. Cette note a été rédigée en avril 2023 et a indiqué que l’équipe du PNIT [TRADUCTION] approuve « “à titre provisoire” le recours à la plateforme conditionnellement à la compréhension du fait que […] le Groupe RTISO prendra des mesures immédiates pour appliquer toute recommandation formulée par le CPVP que la GRC aura jugée convenable et qu’elle aura acceptée de mettre en place ». Cependant, en dépit de ce qui précède et des lacunes cernées dans son évaluation de la conformité à l’égard des lois canadiennes sur la protection des renseignements personnels que nous avons relevées dans notre rapport, la GRC a affirmé qu’elle en avait fait assez pour examiner la plateforme Babel X et qu’elle continuerait ainsi de l’utiliser.
72. La GRC a ajouté que les contrats conclus entre Babel Street et ses fournisseurs de données étaient protégés sur le plan commercial et qu’elle n’avait pas le pouvoir de mener une enquête à leur sujet. Elle a fait observer qu’une intrusion à cette fin dans les renseignements exclusifs des entreprises technologiques dont le siège social se trouve à l’extérieur du Canada^{Note de bas de page 11} l’exposerait probablement à des litiges et entacherait sa réputation.
73. À notre avis, le fait que la GRC opte pour un modèle de sous-traitance afin de payer les frais d’accès à des services fournis par divers fournisseurs ne signifie pas qu’elle renonce à exercer sa responsabilité quant aux services qu’elle reçoit de chaque fournisseur. Par souci de clarté, ajoutons que nous n’avons pas recommandé que la GRC mène des enquêtes officielles ou des vérifications judiciaires visant ses fournisseurs de services. Cependant, les clients, comme la GRC, qui concluent des ententes pour bénéficier de services susceptibles de porter atteinte à la vie privée peuvent et doivent obtenir suffisamment de renseignements de la part des fournisseurs de services ou des autres sources pour veiller valablement à ce que les tiers aient obtenu de façon légitime et légale les renseignements personnels qui leur seront transmis.
74. La GRC a également affirmé qu’Innovation, Sciences et Développement économique Canada l’avait informée, en juillet 2023, de ce qui suit :

    [TRADUCTION] « [S]ur la base de leur compréhension des politiques actuelles de protection de la vie privée du SCT, dans les cas où elles donnent en sous-traitance la réalisation d’un programme ou la prestation d’un service qui comprend la collecte ou l’utilisation de renseignements personnels, les institutions fédérales sont tenues uniquement de voir à ce que les exigences pertinentes de protection et de gestion de la vie privée soient intégrées dans les contrats […]. »

75. La GRC a fait observer que son contrat avec Babel Street précisait que l’entreprise devait se conformer à la LPRPDE, à la LPRP (qui n’impose pas d’exigence pour le secteur privé) et au Règlement général sur la protection des données de l’Union européenne. Selon la GRC, les contrats conclus entre Babel Street et les fournisseurs de données de Babel X précisent que le [TRADUCTION] « fournisseur doit en tout temps et à ses propres frais s’acquitter de ses obligations ci-dessous, à tous égards importants et conformément à l’ensemble des lois et règlements applicables […] ». La clause évoquée par la GRC pour ces contrats ne présente de façon détaillée aucune loi précise, comme la LPRPDE ou d’autres lois canadiennes sur la protection des renseignements personnels, ni aucune limite particulière quant à la collecte ou à la communication. À notre avis, les clauses générales et génériques de ce genre ne constituent pas des protections contractuelles valables de protection de la vie privée.
76. De plus, les dispositions contractuelles en soi ne représentent pas toujours forcément un niveau suffisant de diligence raisonnable. Dans le cas des institutions qui donnent en sous-traitance la prestation de services dont les risques d’atteinte à la vie privée sont faibles, des clauses contractuelles claires et concrètes à elles seules peuvent être suffisantes. Cependant, étant donné les types de services susceptibles de porter atteinte à la vie privée que la GRC obtient du fournisseur de la plateforme Babel X ainsi que le vaste éventail de fins auxquelles les renseignements obtenus peuvent servir dans le cadre de son mandat d’application de la loi, les clauses contractuelles à elles seules ne sont pas suffisantes.
77. Cette analyse concorde avec l’Avis de mise en œuvre sur la protection des renseignements personnels 2023-03 : Orientation relative à la collecte, à l’utilisation, à la conservation et à la divulgation de renseignements personnels accessibles au public en ligne, qui a été récemment émis par le SCT et qui est entré en vigueur le 1er août 2023. L’orientation précise que les contrats conclus avec des tiers doivent décrire clairement les mesures prises pour protéger les renseignements personnels. Elle expose également ce qui suit : « Lorsqu’elles font appel à un service ou à un fournisseur de données tiers, les institutions doivent veiller à ce qu’ils aient obtenu, de façon légitime et légale, les renseignements personnels qui seront fournis à l’institution. » Cet avis du SCT, qui a été émis au titre de l’alinéa 71(1)d) de la LPRP, s’harmonise non seulement avec nos conclusions relatives à l’enquête sur le recours par la GRC à la technologie de Clearview AI, mais également avec les engagements de la GRC qui en ont découlé.

Recommandation 3

78. Nous savons que la GRC a également recours à d’autres services de surveillance et de suivi du secteur privé pour recueillir ce qu’elle considère comme des RSO, notamment le service Navigator de LifeRaft (voir le paragraphe 8). Nous avons recommandé que la GRC : i) applique les recommandations précédentes à l’utilisation qu’elle fait du service Navigator, ce qui comprend une évaluation exhaustive s’il n’y en a pas déjà eu une; et ii) applique les conclusions de cette enquête aux autres services qu’elle utilise en ce moment ou qu’elle envisage d’utiliser, ce qui comprend des évaluations approfondies si aucune n’a encore eu lieu.

Réponse 3 de la GRC

79. En réponse, la GRC a souligné que sa politique prévoyait la consultation de l’équipe du PNIT lors de la prise en compte de toute nouvelle technologie opérationnelle. Elle ne s’est toutefois pas engagée à examiner le recours aux outils existants. De plus, comme il est décrit plus haut, elle n’a pas accepté de réaliser d’évaluations exhaustives.

Niveau acceptable de l’évaluation

80. Par souci de clarté, soulignons que l’objectif des évaluations dans le cas présent devrait consister à fournir une assurance raisonnable que les agents tiers auprès desquels la GRC recueille des renseignements personnels, à savoir Babel Street et ses fournisseurs de données, se conforment aux lois pertinentes sur la protection des renseignements personnels, en particulier celles qui s’appliquent aux tiers.
81. Les évaluations ne requièrent pas une vérification judiciaire ou une enquête officielle, mais elles doivent être fondées sur une compréhension approfondie de ce qui suit :
    1. les types de renseignements personnels qui sont recueillis par les fournisseurs de services (et communiqués à la GRC);
    2. les méthodes de collecte et le fondement juridique de la collecte (y compris le consentement, selon le cas);
    3. les sources des renseignements recueillis;
    4. les fins auxquelles la GRC compte utiliser les renseignements personnels qu’elle a recueillis auprès des services.
82. Les renseignements doivent être suffisamment détaillés pour favoriser une évaluation appréciable des pratiques des fournisseurs de services à la lumière des dispositions pertinentes des lois applicables, comme le règlement de la LPRPDE qui précise les renseignements accessibles au public, de même que les dispositions en matière de collecte, de consentement et de communication et celles relatives aux fins acceptables prévues dans la LPRPDE ou les lois provinciales semblables sur la protection des renseignements personnels^{Note de bas de page 12}.
83. Si les évaluations sont réalisées par les tiers en question (ou par un autre tiers), la GRC doit à tout le moins obtenir une attestation officielle des conclusions détaillées et les renseignements à l’appui doivent lui être fournis pour valider les conclusions. Les évaluations doivent aussi prendre en considération toute préoccupation importante soulevée publiquement par rapport à la protection de la vie privée ou par des autorités en matière de protection de la vie privée qui touchent le fournisseur de services ou le type de collecte en question.

Enjeu II : La GRC respecte-t-elle ses obligations en matière de transparence au titre de la LPRP en ce qui concerne la collecte de renseignements de sources ouvertes?

84. Le plaignant a soulevé de [TRADUCTION] « graves préoccupations au sujet du niveau de confidentialité et de duplicité que la GRC a appliqué pour cacher ses activités visant à acquérir et à utiliser les outils en ligne pour recueillir des renseignements sur les Canadiennes et les Canadiens ». À la suite de l’examen exposé de façon détaillée plus loin, nous avons établi qu’une infraction à l’article 11 de la LPRP avait été commise puisque les descriptions des FRP publiées dans le répertoire de renseignements personnels du gouvernement^{Note de bas de page 13} ne décrivent pas adéquatement les renseignements personnels que la GRC détient par suite de sa collecte d’OSINT ou les fins auxquelles ces renseignements peuvent servir.
85. L’article 11 de la LPRP précise que le ministre désigné (le président du Conseil du Trésor, qui est responsable du SCT) doit publier au moins une fois par année un répertoire de l’ensemble des fichiers de renseignements personnels des institutions fédérales ainsi que toutes les catégories de renseignements personnels sous l’autorité des institutions qui ne figurent pas dans les fichiers de renseignements personnels. Le répertoire doit comprendre, entre autres, les éléments suivants : i) descriptions des fichiers de renseignements personnels; ii) descriptions des catégories d’individus auxquelles les renseignements personnels se rattachent; et iii) fins auxquelles les renseignements personnels figurant dans les FRP ont été obtenus ou compilés et l’énumération des usages compatibles avec les fins auxquelles les renseignements sont utilisés ou communiqués.
86. L’article 11 de la LPRP précise que le ministre désigné est tenu de publier le répertoire. Cette procédure est actuellement exécutée au moyen de la page Renseignements sur les programmes et les fonds de renseignements du SCT, et, dans le cas de la GRC, de son propre répertoire et de sa propre page Web. Cependant, à notre avis, l’assurance de l’exactitude et du caractère opportun du contenu aux fins du respect des exigences énoncées à l’article 11 est une responsabilité partagée avec chaque institution. Pour que le SCT publie un répertoire exact de renseignements personnels, les institutions fédérales doivent lui transmettre des renseignements complets au sujet de leurs FRP et des catégories de renseignements personnels qu’elles recueillent dans leurs FRP et à l’extérieur de ceux-ci^{Note de bas de page 14}.
87. Bien que la LPRP ne décrive pas de manière explicite l’objet de l’article 11, à notre avis, lorsqu’on le lit en gardant en tête le contexte général du texte législatif, son intention consiste à promouvoir la transparence et l’accès des individus à leurs renseignements personnels.
88. Par conséquent, nous avons évalué si les renseignements recueillis par la GRC par la collecte d’OSINT, entre autres au moyen de la plateforme Babel X, figurent dans les descriptions des FRP, et, dans l’affirmative, si les descriptions sont suffisamment détaillées et transparentes. Les individus qui consultent le répertoire doivent pouvoir : i) établir clairement si leurs renseignements personnels sont détenus par la GRC; ii) déterminer clairement la nature de ces renseignements; et iii) comprendre les fins auxquelles ces types de renseignements pourraient être recueillis.

Conclusion II – Les descriptions publiées par la GRC de sa collecte de renseignements de sources ouvertes doivent être suffisamment détaillées.

89. Le niveau de détail nécessaire dans les descriptions de renseignements personnels et les catégories d’individus publiées dans le répertoire en vue de respecter les obligations énoncées à l’article 11 de la LPRP est étroitement lié au contexte. Le niveau adéquat de transparence dont les organismes d’application de la loi doivent faire preuve quant à la surveillance et au suivi des lieux, tant physiques que virtuels, qui pourraient être considérés comme publics, n’est pas un domaine où il y a des normes claires et établies. Il est évident qu’il faut trouver un équilibre entre la protection de la viabilité des techniques d’enquête policière, le maintien de la confiance du public et les échanges publics sur les limites appropriées à circonscrire dans la surveillance policière.
90. Les tendances observées récemment en Amérique du Nord mettent en relief la promotion de niveaux détaillés de transparence policière en ce qui concerne la collecte au moyen d’outils de surveillance et démontrent que la réglementation exige maintenant que certaines des forces policières les plus importantes en Amérique du Nord (p. ex., le service de police de New York et le service de police de San Francisco) publient des descriptions détaillées de tous les outils de surveillance qu’elles utilisent^{Note de bas de page 15}.
91. En ce qui concerne ce que la GRC estime être une source ouverte, à savoir les renseignements accessibles au public, nous considérons que les risques liés à la divulgation des principales techniques d’application de la loi sont faibles (bien qu’ils existent). De plus, le nombre d’individus touchés par les collectes est élevé, et les répercussions potentielles sur un individu sont importantes. Dans ce contexte, nous sommes d’avis que le niveau de détails des descriptions des renseignements personnels recueillis dans le cadre de la collecte d’OSINT devrait être, par défaut, plus approfondi, c’est-à-dire que les descriptions devraient détailler les sources individuelles et mettre particulièrement l’accent sur les collectes de renseignements auxquelles les individus pourraient ne pas raisonnablement s’attendre.
92. Cette considération concorde avec l’approche adoptée pour l’acquisition par la GRC d’outils et de services, à l’intérieur de laquelle un niveau élevé de transparence est la procédure par défaut et où les exceptions doivent être justifiées^{Note de bas de page 16}. Nous soulignons à cet égard que l’offre à commandes (accessible au public) pour l’acquisition de la plateforme Babel X dans le cadre du PWA pour la surveillance des médias sociaux présentait 14 catégories différentes de sources de données ainsi que des exemples d’entreprises pour chaque catégorie.

Conclusion III – Les descriptions par la GRC de la collecte de renseignements de sources ouvertes et des fins connexes sont inadéquates.

93. À notre avis, les fins auxquelles différents types de RSO peuvent être recueillis doivent être décrites clairement dans le répertoire de la GRC et permettre au lectorat de comprendre les limites des fins auxquelles des renseignements en particulier peuvent être utilisés ou les circonstances dans lesquelles ils peuvent l’être.
94. Dans son EFVP, la GRC a déclaré qu’elle recueillait le large éventail de renseignements personnels de types différents auxquels elle a possiblement accès dans le cadre du PWA et d’autres activités de collecte d’OSINT, principalement les activités de son programme de police fédérale, notamment celles décrites dans les FRP de la GRC, à savoir PPU 015 (Dossiers opérationnels de renseignements sur la criminalité), PPU 025 (Dossiers des enquêtes relatives à la sécurité nationale), PPU 005 (Dossiers opérationnels) et PPU 055 (Protection du personnel et des biens de la Couronne). Pour la collecte de renseignements au moyen de la plateforme Babel X, l’EFVP présente la gamme de fins suivante :
    • détection des menaces et prévention pour la tenue d’événements (p. ex., Sommet du G7 et manifestations publiques), et pour les personnes très en vue (p. ex., le premier ministre du Canada);
    • maintien d’une connaissance de la situation au cours d’une menace active, d’une crise ou d’un événement public;
    • intervention en cas de catastrophes et déploiement de secours humanitaires;
    • enquête sur des activités illégales et, ou des allégations connexes;
    • localisation de personnes disparues;
    • identification de suspects ou de personnes d’intérêt;
    • détermination des nouvelles tendances ou préoccupations en matière de sécurité dans une collectivité donnée;
    • surveillance des conditions relatives à un comportement allant à l’encontre de la loi et, ou relatif à l’extrémisme violent.

95. Nous avons examiné les descriptions des FRP figurant dans le répertoire et sur la page de la GRC, notamment les 4 FRP définis au paragraphe 94. À notre avis, aucune des descriptions des FRP ne décrivait de manière appréciable le large éventail de renseignements personnels que la GRC recueille au moyen de la plateforme Babel X et d’autres activités de collecte d’OSINT ou la gamme de fins auxquelles les renseignements de ce genre peuvent être recueillis – y compris à propos de nombreux individus innocents de tout crime et non directement en cause dans une enquête quelconque. La GRC a affiché un résumé de son EFVP sur la plateforme Babel X sur son site Web, mais comme il est mentionné plus haut, l’EFVP ne décrit pas exactement et clairement les renseignements personnels recueillis au moyen de la plateforme Babel X. Aucune des descriptions figurant dans le répertoire de la GRC ne comprend de références aux renseignements personnels recueillis à partir des médias sociaux, des services de localisation et du Web caché ou même de formulations plus génériques comme les renseignements recueillis sur Internet, accessibles au public ou de sources ouvertes.
96. De plus, les fins énumérées au paragraphe 94 ne sont pas toutes dans les descriptions du répertoire de la GRC.
97. Par conséquent, nous estimons que l’article 11 de la LPRP a été enfreint.

Recommandation

98. Dans son EFVP pour le recours à la plateforme Babel X, la GRC fait observer qu’elle s’est engagée à être [TRADUCTION] « plus ouverte et transparente au sujet de l’utilisation de la plateforme Babel X et de ses activités liées aux sources ouvertes dans les publications propres à ses activités d’application de la loi et de maintien de l’ordre ».

Recommandation 4

99. Nous avons recommandé que la GRC collabore dans les 12 mois suivants avec le SCT à l’élaboration et à la publication de nouvelles descriptions des FRP ou à la modification des descriptions existantes de manière à présenter clairement les renseignements personnels recueillis par la collecte d’OSINT. Les descriptions des FRP doivent : i) décrire clairement les renseignements personnels qui sont recueillis à partir des différents types de sources ainsi que les limites de l’étendue de la collecte; et ii) nommer et décrire de façon détaillée les sources de RSO, ce qui comprend la désignation et la description des sources de renseignements payantes, directement ou dans le cadre d’un contrat d’ensemble comme celui lié à la plateforme de Babel Street, à moins qu’un motif clair et bien établi justifiant une dérogation soit consigné. Les descriptions des renseignements recueillis doivent être accompagnées (conformément aux exigences énoncées à l’article 11 de la LPRP) d’une description détaillée des fins de la collecte.
100. Nous soulignons que cette recommandation concorde avec l’Avis de mise en œuvre sur la protection des renseignements personnels 2023-03 : Orientation relative à la collecte, à l’utilisation, à la conservation et à la divulgation de renseignements personnels accessibles au public en ligne, qui a été émis au cours de notre enquête. Dans cet avis, le SCT précise que les institutions doivent établir les éléments des renseignements personnels qu’elles recueillent à partir de sources en ligne accessibles au public dans une description des FRP. Il ajoute qu’il peut être nécessaire d’enregistrer ou de procéder à la mise à jour d’un FRP propre à une institution qui reflète le mieux les éléments de renseignements recueillis, l’objectif de la collecte et la période de conservation.

Réponse 4 de la GRC

101. La GRC a réagi à cette recommandation en reconnaissant que les descriptions de ses FRP doivent être mises à jour. Elle a indiqué qu’elle travaillerait avec le SCT à la mise à jour des descriptions pertinentes des FRP et qu’elle [TRADUCTION] « […] sout[enait] ce niveau de transparence […], [mais qu’il était] plus probable qu’elle en fasse preuve en des termes généraux – c’est-à-dire que la GRC recueille des renseignements à partir de sources ouvertes en ayant recours à divers outils conçus pour une utilisation par les organismes d’application de la loi ». À notre avis, les déclarations trop génériques de ce genre sont insuffisantes pour le lectorat et non conformes aux exigences énoncées à l’article 11 de la LPRP.
102. Par exemple, en réponse à une version préliminaire du présent rapport, la GRC a fait remarquer que certaines des sources de données payantes de la plateforme Babel X que le CPVP avait contestées ne se rattachaient plus forcément à cette plateforme (ce qu’elle n’a pas confirmé d’une façon ou d’une autre). Elle a aussi fait remarquer qu’elle pourrait avoir accès à de nouvelles sources, qui pourraient être ajoutées à Babel X de temps à autre (sans plus de détails). Comme le montre le présent rapport, les distinctions dans le large éventail de types et de sources de renseignements personnels qui pourraient se trouver sous la rubrique générale des « renseignements de sources ouvertes » sont importantes pour comprendre les effets sur la protection de la vie privée des Canadiennes et des Canadiens.
103. Nous reconnaissons que fournir plus de détails à la population canadienne nécessiterait des mises à jour plus fréquentes des descriptions des FRP pour suivre l’évolution de la technologie de même qu’un examen minutieux et documenté des exceptions au niveau de transparence attendue, dans les cas où ce serait justifié. À notre avis, s’assurer de faire preuve d’un niveau de transparence adéquat en ce qui concerne les sources et des outils individuellement peut et doit être intégrée dans les évaluations de sources et outils. En outre, la rédaction d’une ébauche de description de FRP transparente peut, en soi, être avantageuse pour l’institution qui la rédige et lui permettre de comprendre réellement les effets sur la protection de la vie privée de ses pratiques de collecte.
104. En l’absence d’engagement de la part de la GRC à mettre en œuvre les recommandations, nous estimons que l’enjeu relatif à la transparence est fondé et non résolu.

Conclusion

105. Comme nous l’avons décrit plus haut, nous n’avons finalement pas pu établir que la GRC se conforme à l’article 4 de la Loi sur la protection des renseignements personnels en recueillant des renseignements au moyen de la plateforme Babel X de Babel Street. Ce qui est clair, c’est que la GRC n’a pas fait preuve de diligence raisonnable, car elle a omis de s’assurer que les renseignements personnels qu’elle obtenait au moyen de la plateforme Babel X et de ses fournisseurs de données avaient été recueillis conformément aux lois canadiennes sur la protection des renseignements personnels.
106. La GRC a refusé de s’engager à mettre en œuvre nos recommandations, y compris celle de cesser de recueillir des renseignements personnels au moyen de la plateforme Babel X auprès de sources dont l’accès requiert une ouverture de session ou une authentification (c’est-à-dire, celles qui offrent des renseignements qui ne sont pas détectés par les moteurs de recherche traditionnels qui respectent les balises de refus de référencement) jusqu’à ce qu’elle ait réalisé un examen approfondi de leur conformité aux lois canadiennes sur la protection des renseignements personnels. Par conséquent, cet élément est non résolu, et des contraventions et des infractions aux lois canadiennes sur la protection des renseignements personnels pourraient se produire.
107. En outre, nous avons conclu que la GRC avait contrevenu aux dispositions de la LPRP en matière de collecte de renseignements personnels en omettant de tenir compte, dans ses descriptions des FRP, des renseignements qu’elle recueillait auprès de ce qu’elle considère comme des sources ouvertes, notamment les médias sociaux et le Web caché. La GRC a reconnu qu’elle devait mettre à jour ses descriptions des FRP, mais elle a refusé de mettre en œuvre nos recommandations visant à garantir que ces descriptions soient claires et significatives. Par conséquent, l’élément de la transparence de la plainte est fondé et non résolu.