Mémoire au Comité permanent de la sécurité publique et nationale (SECU) au sujet du projet de loi C-59, Loi concernant des questions de sécurité nationale

Le 5 mars 2018, le commissaire à la protection de la vie privée, Daniel Therrien, a transmis la lettre ci‑dessous au Comité permanent de la sécurité publique et nationale dans le cadre de l’examen du projet de loi C-59, Loi concernant des questions de sécurité nationale. La lettre fait suite à la comparution à ce sujet devant le comité en décembre 2017. Le 19 mars dernier, le commissaire a envoyé une seconde lettre à cet égard afin d’apporter d’autres précisions.

Le projet de loi C-59 a été proposé par le gouvernement du Canada à la suite de consultations publiques sur le cadre de sécurité national. En décembre 2016, le commissaire Therrien et ses homologues provinciaux et territoriaux ont déposé un mémoire officiel en réponse à ces consultations.

Le 5 mars 2018

L’honorable John McKay, député
Président, Comité permanent de la sécurité publique et nationale
Chambre des communes
Ottawa (Ontario) K1A 0A6

Monsieur le Président,

Je vous écris aujourd’hui pour exprimer mon point de vue sur le projet de loi C-59, Loi concernant des questions de sécurité nationale, qui propose de très nombreuses mesures visant à renforcer le cadre de sécurité nationale du Canada tout en protégeant les droits et libertés des Canadiens.

Comme je l’ai mentionné lors de ma comparution, dans l’ensemble, le projet de loi C-59 constitue selon moi un pas dans la bonne direction. Toutefois, surtout en ce qui concerne les dispositions relatives au partage d’information, il ne permet pas de satisfaire aux normes qui me semblent nécessaires pour s’assurer que les activités liées à la sécurité nationale sont menées et supervisées de façon à respecter le droit à la vie privée des Canadiens. Je profiterai de l’occasion pour en dire davantage sur les points qui me préoccupent encore et répondre aux questions en suspens que l’on m’a posées au cours de ma comparution devant vous en décembre dernier. Je présenterai aussi une liste de recommandations à jour qui comprend des recommandations se rapportant aux parties du projet de loi que je n’ai pas abordées en décembre.

Dans de précédents mémoires présentés au Parlement sur le projet de loi C-51, Loi antiterroriste de 2015, et dans un mémoire que j’ai présenté avec mes homologues provinciaux et territoriaux dans le cadre de la consultation du gouvernement fédéral sur la sécurité nationale, j’ai souligné la nécessité d’adopter des normes juridiques rigoureuses pour la collecte et la communication de renseignements personnels, la surveillance efficace et la réduction des risques d’atteinte à la vie privée des Canadiens ordinaires respectueux des lois (en partie grâce à des pratiques prudentes de conservation et de destruction). Plus précisément, j’ai indiqué que « la loi devrait établir des normes claires et raisonnables pour régir la communication, la collecte, l’utilisation et la conservation des renseignements personnels et la conformité à ces normes devrait faire l’objet de mécanismes d’examen indépendants et efficaces, y compris par les tribunaux ». C’est en gardant cette analyse à l’esprit que je formule les observations et les recommandations qui suivent.

Examen et surveillance efficaces

Comme je l’ai expliqué en décembre, le projet de loi C-59 créerait un nouvel organisme de surveillance composé d’experts doté d’un vaste mandat pour examiner les activités de tous les ministères et organismes chargés de la sécurité nationale. Récemment, le Parlement a également créé, par l’intermédiaire du projet de loi C-22, un nouveau Comité des parlementaires sur la sécurité nationale et le renseignement. Ces deux organismes seront en mesure de se communiquer des renseignements confidentiels et, de façon générale, de collaborer afin de produire des examens bien informés et exhaustifs qui prendront en compte les considérations des experts et des représentants élus.

Ces changements sont les bienvenus, mais ils sont nettement insuffisants. À mon avis, un examen efficace des activités liées à la sécurité nationale doit comprendre un examen parlementaire et un examen par des spécialistes, et ce dernier doit comprendre non seulement des experts en sécurité nationale mais aussi des experts en protection de la vie privée. Pourquoi des experts en protection de la vie privée? Parce que les organismes de sécurité nationale ont besoin pour leur travail de traiter une foule de renseignements, notamment personnels. C’est leur « matière première »^{Note de bas de page 1}. Le Commissariat à la protection de la vie privée est le centre d’expertise fédéral en matière de protection de la vie privée et des données personnelles. Les Canadiens s’inquiètent que les efforts antiterroristes déployés par le gouvernement nuisent à leur vie privée, et ils s’attendent à ce que le Commissariat joue un rôle pour garantir un juste équilibre entre la sécurité publique et le droit à la vie privée.

Le projet de loi C-59 ne modifie pas la Loi sur la protection des renseignements personnels, de sorte que mes pouvoirs actuels ne semblent pas avoir été touchés. Toutefois, le seul organisme ayant le pouvoir explicite de jouer un rôle en ce qui a trait à la partie 5 est l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSASNR), comme l’indiquent l’article 9 de la partie 5 et l’article 39 de la partie 1. Le projet de loi C-59 est totalement silencieux sur mon rôle, ce qui soulève des questions sur son interprétation.

Dans le rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) intitulé Assurer la sécurité nationale du Canada tout en protégeant le droit à la vie privée des Canadiens : Examen de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC), publié en mai 2017, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) demandait plus de clarté en ce qui concerne l’interaction de la LCISC et de la Loi sur la protection des renseignements personnels. Il recommandait que le gouvernement du Canada apporte des modifications « afin de clarifier explicitement que la Loi sur la protection des renseignements personnels continue de s’appliquer à tous les renseignements personnels communiqués en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada »^{Note de bas de page 2}. L’Association du Barreau canadien^{Note de bas de page 3} a réitéré cette demande et j’abonde aussi dans ce sens. Toutefois, le Comité ETHI a aussi recommandé que le gouvernement du Canada apporte des modifications afin de préciser que la Loi sur la protection des renseignements personnels a préséance sur la LCISC^{Note de bas de page 4}. Dans les faits, cela revient à dire que la protection de la vie privée a préséance sur la sécurité. Je ne suis pas d’accord avec cette recommandation, car le Commissariat affirme depuis toujours que la protection de la vie privée et la sécurité peuvent et doivent coexister et qu’il doit y avoir un juste équilibre entre les deux.

Donc, nous recommandons ce qui suit :

Toutefois, il n’y a aucune ambiguïté quant à savoir si le Commissariat serait autorisé à communiquer des renseignements confidentiels à l’OSASNR et au nouveau comité des parlementaires. Il est clair que nous ne serons pas autorisés à le faire de cette façon. En fait, les dispositions actuelles de la Loi sur la protection des renseignements personnels nous interdiraient de partager de tels renseignements. Autrement dit, les mécanismes de surveillance prévus dans le projet de loi C-59, dont la portée large est un élément fondamental pour assurer l’équilibre entre la sécurité et le respect des droits de la personne, ne permettraient pas d’atteindre l’objectif visé, puisque les experts en protection de la vie privée seraient exclus d’un examen intégré. J’ai du mal à comprendre pourquoi. Si on craint un chevauchement entre notre travail et celui des autres organismes d’examen, permettez-moi d’expliquer comment le fait d’intégrer fermement le Commissariat dans la famille des organismes de surveillance aurait l'effet inverse, soit d’accroître l’efficacité et de réduire les chevauchements.

Le Commissariat, en tant que centre d’expertise fédéral en matière de protection de la vie privée, ne s’attend pas à superviser tous les aspects des activités liées à la sécurité nationale. Loin de là. Nous n’affirmons pas non plus que les organismes de surveillance et d’examen proposés dans le projet de loi C-59 ne connaîtront pas le droit relatif à la protection de la vie privée. Toutefois, notre examen de programmes dans l’ensemble du gouvernement nous a permis d’acquérir une solide expertise dans le domaine de la protection de la vie privée et des renseignements personnels. Nous estimons que nous pouvons apporter une valeur ajoutée et que les autres organismes surveillance, de même que les organismes de sécurité nationale, pourraient bénéficier de notre expérience.

Concrètement, cela signifie que le Commissariat pourrait discuter de dossiers avec d’autres organismes de surveillance, y compris de renseignements classifiés, ce qui donnerait lieu à un examen pleinement intégré reposant sur des faits pertinents plutôt qu’à des discussions théoriques sans lien avec l’information factuelle – comme c’est le cas à l’heure actuelle. Le fait d’autoriser le Commissariat à échanger des renseignements classifiés avec d’autres organismes de surveillance accroîtrait aussi l’efficacité en nous permettant de déterminer d’entrée de jeu qui est le mieux placé pour examiner une question donnée et comment diviser les rôles de façon efficace. En outre, les organismes de sécurité nationale n’auraient peut-être plus à répondre plusieurs fois aux mêmes questions provenant des organismes de surveillance, ce qui constitue un autre avantage.

Permettez-moi de vous donner un exemple pour illustrer mes propos : notre examen des mesures prises par le Service canadien du renseignement de sécurité (SCRS) pour se conformer à la décision rendue en octobre 2016 par le juge Noël concernant le Centre d’analyse des données opérationnelles du SCRS^{Note de bas de page 5}. Le juge avait alors conclu que le SCRS avait agi sans autorité en conservant des métadonnées de tiers qui n’étaient pas liées à une menace ni visés par une enquête du SCRS. Le ministre Goodale a alors chargé le Comité de surveillance des activités de renseignement de sécurité (CSARS) de déterminer si les mesures prises par le SCRS à la suite de la décision du juge Noël étaient adéquates. De notre côté, le Commissariat a décidé d’examiner lui aussi ces mesures, car la décision mettait clairement en cause des questions liées à la protection de la vie privée. En fait, le directeur du SCRS à l’époque nous avait invités à nous pencher sur ces questions.

Sachant qu’il y avait des risques de chevauchement entre notre travail et celui du CSARS, nous avons tenté de déterminer ensemble, au début du processus, si nous pouvions trouver un moyen de partager notre approche respective, de définir les rôles et de réduire les chevauchements. Nous avons conclu que nous ne pourrions y parvenir dans le respect des lois. À la fin de notre processus d’examen, nous nous sommes rencontrés pour déterminer si nous pourrions comparer nos observations et éviter les contradictions dans les conclusions. Cela a donné lieu à une discussion très abstraite au cours de laquelle nous avons emprunté bien des détours de façon à ne pas manquer à nos obligations en matière de confidentialité.

Il est essentiel que le gouvernement lève les interdictions actuelles relativement à l’échange de renseignements entre les organismes de surveillance afin de s’assurer que les mécanismes d’examen fonctionnent efficacement et d’atteindre un juste équilibre entre la sécurité et le respect des droits de la personne. Par conséquent, je recommande que l’on donne au Commissariat la souplesse juridique pour partager des renseignements et déterminer dans quelles situations et de quelle manière il pourrait collaborer avec d’autres organismes pour éviter les chevauchements et accroître l’efficacité des examens. En outre, il faudrait permettre la communication bilatérale de l’information entre le Commissariat et l’OSASNR ainsi qu’avec d’autres organismes de surveillance pertinents.

Nécessité d’adopter des normes juridiques rigoureuses

LOI SUR LA COMMUNICATION D’INFORMATION AYANT TRAIT À LA SÉCURITÉ DU CANADA (LCISC)

Lorsque le projet de loi C-51 a édicté la LCISC, j’ai mentionné que je m’inquiétais, entre autres, que la norme de partage de la pertinence est trop basse, de l’absence d’exigences claires en matière de conservation des données et de la tenue de documents, et de l’absence d’ententes sur l’échange de renseignements et d’évaluations des facteurs relatifs à la vie privée.

Le critère de pertinence est trop permissif. Il a une trop grande portée et crée des risques indus pour les citoyens ordinaires qui ne posent aucune menace pour la sécurité nationale. Le gouvernement semble reconnaître qu’une norme de pertinence ne protège pas suffisamment la vie privée, car il propose des modifications à l’article 5 de la LCISC. Dans sa réponse au rapport du Comité ETHI, il a mentionné ce qui suit : « Le principal enjeu concernant le seuil de communication a trait à la nécessité d’établir des paramètres précis pour la prise de décisions concernant la communication de l’information qui viendront protéger la vie privée des particuliers sans entraîner des retards injustifiés dans le processus de communication »^{Note de bas de page 6}. Le nouvel article 5 proposé, en particulier l’alinéa 5(1)b), prévoit certains aspects d’un critère de nécessité pour la communication d’information, mais sans adopter le critère de ce qui est « strictement nécessaire » selon les fonctionnaires.

Le relèvement du critère pour la communication d’information constitue un progrès limité. Pour protéger adéquatement le droit à la vie privée, il devrait être accompagné de modifications plus complètes à la norme applicable aux institutions destinataires. Toutefois, plutôt que d’imposer des normes rigoureuses aux institutions destinataires, le projet de loi C-59 les soustrait à l’application de la LCISC. Cette mesure a des répercussions non seulement sur la question du critère, mais aussi sur la conservation, la tenue de documents et d'autres normes de protection de la vie privée. Le partage de renseignements implique deux parties et, pour protéger les droits, des règles sont également nécessaires pour les institutions destinataires. Si le critère de pertinence n’est pas adéquat pour les institutions communiquant de l’information, il ne l’est pas non plus pour les institutions destinataires parce que: d'une part, elles connaissent les paramètres de leur mandat respectif; et, d'autre part, compte tenu du travail d’analyse qu’elles effectuent, elles auront souvent plus de temps pour évaluer la nécessité – temps dont les institutions communiquant l’information ne dispose pas nécessairement dans une situation d’urgence. Ces institutions destinataires sont donc parfaitement en mesure d’appliquer le critère de nécessité classique, qui est bien établi à l’échelle internationale, et elles devraient être tenues de le faire.

Nous comprenons que le gouvernement veut faire en sorte que les institutions destinataires continuent d’être régies par la Loi sur la protection des renseignements personnels ou leurs lois habilitantes particulières, le cas échéant. Le critère actuel de la Loi sur la protection des renseignements personnels est le « lien direct ». Comme votre comité l’a fait dans son rapport de mai 2017 sur le cadre de sécurité nationale du Canada, nous recommandons aussi l’adoption d’un double critère pour le partage de renseignements, celui de la nécessité et de la proportionnalité s’appliquant aux institutions destinataires.

Je remarque que le SCRS a une norme de stricte nécessité en vertu de la Loi sur le Service canadien du renseignement de sécurité et que la partie 3 du projet de loi C-59 réfère au caractère essentiel de la communication d’information. Par conséquent, je ne vois pas pourquoi on ne pourrait intégrer une norme de nécessité dans la partie 5, ce qui serait aussi conforme aux normes internationales. C’est pourquoi je réitère ici ma recommandation :

Conservation et destruction

La question des critères pour la communication d’information nous amène directement à la question connexe de la conservation et de la destruction des renseignements personnels qui ne satisfont pas ou ne satisfont plus au critère du destinataire pour la collecte, particulièrement lorsque les renseignements visent des citoyens respectueux des lois qui ne représentent pas une menace. Si le critère pour la collecte est plus élevé que la norme de divulgation de l’information (ce qui est actuellement le cas, du moins pour le SCRS), des règles de conservation sont nécessaires pour s’assurer que l’institution destinataire élimine sans délai les renseignements qui n’atteignent pas ses seuils.

Et même si l’on admet que le partage de renseignements gouvernementaux liés aux citoyens respectueux des lois peut mener à l’identification de nouvelles menaces à la sécurité nationale, une fois que ces renseignements sont analysés et que l’on conclut qu’une personne n’est pas une menace, ils ne devraient plus être conservés. Sinon, les organismes de sécurité nationale pourront conserver un profil sur nous tous. Cela va dans le sens de la décision rendue par la Cour de justice de l’Union européenne dans l’affaire des dossiers passagers mettant en cause le Canada, sur laquelle elle a statué en juillet 2017^{Note de bas de page 7}. Dans cette affaire, la plus haute cour de l'Union européenne a jugé que la conservation de renseignements portant sur les personnes qui ne représentent aucun rique pour la sécurité nationale ne respectait pas les exigences de nécessité et de proportionnalité et qu'elle était incompatible avec les droits fondamentaux.

La vérification, par le Commissariat, du Programme de ciblage des voyageurs fondé sur des scénarios (CFS) de l’Agence des services frontaliers du Canada (ASFC) en 2017^{Note de bas de page 8} est un exemple récent qui illustre mes propos. Elle est résumée dans notre dernier rapport annuel au Parlement. Le programme de CFS a pour but de repérer, en utilisant des algorithmes, les personnes et les marchandises à destination du Canada qui sont susceptibles de représenter une menace pour la sécurité du pays. Le ciblage fondé sur des scénarios utilise l’analytique avancée pour évaluer les données sur tous les passagers, recueillies par les transporteurs aériens, afin de les comparer à un ensemble de conditions ou scénarios, comme l’âge, le sexe et la nationalité, en effectuant des recherches dans des bases de données et dans les sources ouvertes.

Nous avons constaté qu’un grand nombre de passagers – environ 60,000 par année – sont identifiés par les scénarios, au début du processus, comme menaces potentielles à la sécurité nationale. Bien que l’ASFC ait mis en place des processus, dont le partage de renseignements avec ses partenaires nationaux et internationaux, pour limiter le nombre de personnes faisant l’objet d’un ciblage plus poussé, nous avons aussi constaté que les protocoles d’entente conclus avec ces partenaires ne limitent pas la conservation de données afin d’atténuer le risque de soupçons continus à l’égard des personnes considérées comme ne représentant aucune menace . Nous avons recommandé à l’ASFC de s’assurer que seuls les renseignements personnels qui sont directement liés et manifestement nécessaires à l’administration du programme de CFS soient recueillis et conservés. Nous lui avons aussi recommandé de réviser les protocoles d’entente conclus avec ses partenaires nationaux et internationaux pour s’assurer qu’ils contiennent des dispositions explicites limitant la conservation et l’utilisation des données obtenues de l’ASFC aux fins de recherches dans les bases de données.

Par conséquent, nous recommandons ce qui suit :

Tenue de documents

En ce qui concerne la tenue de documents par les institutions qui communiquent l’information, dans l’ensemble, nous sommes satisfaits des éléments mentionnés au paragraphe 9(1) de la LCISC. Ces éléments concordent avec les éléments concernant la tenue de documents figurant dans les recommandations de notre mémoire au sujet du projet de loi C-51, ainsi qu’avec notre examen des pratiques de communication d’information en vertu de la LCISC (dont les résultats ont été présentés dans notre dernier rapport annuel au Parlement)^{Note de bas de page 9}. La prise en compte de l’exigence laisse entendre que le gouvernement reconnaît que la tenue de documents est nécessaire à un examen efficace. Selon nous, les mêmes obligations en matière de tenue de documents devraient s’appliquer également aux institutions destinataires, du fait qu’elles peuvent prendre des mesures qui touchent de façon plus directe les droits de la personne.

Par conséquent, nous recommandons ce qui suit :

Par ailleurs, en vertu du paragraphe 9(2) de la LCISC, seul l’OSASNR peut obtenir copie de ces dossiers. Pour permettre au Commissariat de jouer en parallèle un rôle utile dans la surveillance de la communication de renseignements personnels dans le contexte de la sécurité nationale, les institutions devraient être tenues de lui fournir sur demande une copie de ces dossiers. Cette mesure, qui va dans le sens des recommandations n^os 1 et 2, confirmerait le maintien de l’application de la Loi sur la protection des renseignements personnels et la compétence du Commissariat.

Ententes d’échange de renseignements EER et évaluations des facteurs relatifs à la vie privée (EFVP)

Le projet de loi C-59 propose des mesures visant à améliorer la gouvernance et la reddition de comptes en lien avec le cadre de sécurité nationale du Canada. Pour mettre en œuvre ces mesures, il est essentiel de considérer les EER et les évaluations des facteurs relatifs à la vie privée (EFVP) comme faisant partie intégrante de ce cadre.

Les EFVP décrivent et quantifient les risques d’atteinte à la vie privée et proposent des solutions dans le but d’éliminer ces risques ou de les ramener à un niveau acceptable. Leur préparation demeure toutefois une exigence politique et non juridique, qui n’est pas suivie de façon uniforme dans l’ensemble du gouvernement (comme nous l’avons constaté au cours d’enquêtes et d’examens antérieurs). En fait, nous avons reçu très peu d’EFVP provenant d’institutions gouvernementales dont le mandat est principalement la protection de la sécurité nationale.^{Note de bas de page 10} Il est pour le moins remarquable que, presque trois ans après l’adoption de la loi, nous n’avons reçu aucune EFVP visant précisément la LCISC. Rappelons-nous que cette loi a fait l'objet de nombreuses critiques et craintes d'atteintes à la vie privée. Malgré cela, le gouvernement n'a pas jugé utile de procéder à une évaluation formelle, comme l'exigent ses politiques, de son impact pour la vie privée des Canadiens. Dans ces circonstances, on peut se demander ce que vaut la politique sur les EFVP.

Quant à elles, les EER apporteraient plus de précisions que les normes de base énoncées dans la législation, et, si elles étaient bien rédigées, contribueraient grandement à une plus grande transparence et à s'assurer que seule l’information appropriée et exacte est communiquée. Au cours de notre examen de la LCISC, nous avons constaté que des EER avaient généralement été mises en place, mais que la plupart ne comportaient pas le type de dispositions sur la protection des renseignements personnels auxquelles on pourrait s’attendre. Comme il a été mentionné dans un mémoire concernant le Livre vert sur la sécurité nationale intitulé Notre sécurité, nos droits publié par Sécurité publique Canada et lors de ma comparution devant votre comité sur le Livre vert^{Note de bas de page 11}, nous continuons de demander que la Loi exige que les EER comprennent les éléments clés suivants : les éléments particuliers des renseignements personnels qui seront communiqués; les fins précises visées par la communication; les limites concernant les utilisations secondaires et tout transfert ultérieur, et énoncent d’autres mesures devant être prescrites par réglementation, comme les mesures de protection, les périodes de conservation (au-delà des mesures prévues à la recommandation 5) et les mesures de reddition de comptes précises^{Note de bas de page 12}.

Nous réitérons notre recommandation pour que ces mécanismes importants deviennent des exigences prévues par la loi. Ils deviendraient ainsi véritablement efficaces pour permettre l’échange de renseignements d’un point de vue opérationnel tout en atténuant les risques graves d’atteinte à la vie privée, en particulier pour les citoyens respectueux des lois.

Règles et normes en dehors du cadre de la LCISC

Il est important de souligner que l’échange de renseignements aux fins de la sécurité nationale ne se fait pas uniquement sous les auspices de la LCISC. Cette loi vise à combler des lacunes, dans ce que le gouvernement a appelé le "cadre de sécurité nationale" (c'est-à-dire l'ensemble des lois régissant les activitiés de sécurité nationale) en ce qui a trait aux pouvoirs des institutions gouvernementales de s'échanger des renseignements. Il est tout aussi important de combler les lacunes de ce cadre quant aux garanties juridiques qu'il offre. Il est généralement admis que seulement une fraction (probablement bien moins de 1 pour cent) des activités d’échange de renseignements à des fins de sécurité nationale se fait en vertu de cette loi. En fait, dans notre examen de la mise en œuvre et du mode d’application de la LCISC présenté dans notre dernier rapport annuel, nous avons constaté qu’au cours de la période à l’étude, seulement cinq des 17 institutions désignées à l’annexe 3 de la LCISC avaient reçu ou communiqué de l’information en vertu de cette loi^{Note de bas de page 13}. La plus grande partie de l’échange de renseignements a lieu en dehors du cadre de la LCISC. Si cette loi vise à établir un juste équilibre du point de vue des politiques, les mêmes principes devraient s’appliquer à toutes les activités d’échange de renseignements. C’est pourquoi nous recommandons ce qui suit :

LES MESURES DE PROTECTION DE LA VIE PRIVÉE EXIGÉES DU CENTRE DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS ET LE CONCEPT « D’INFORMATION ACCESSIBLE AU PUBLIC »

En établissant ses mandats dans un texte législatif distinct, la partie 3 du projet de loi C-59 apporte des précisions grandement nécessaires concernant les activités du Centre de la sécurité des télécommunications (CST) en lien avec le renseignement étranger, la cybersécurité et l’assurance de l’information. Le système d’autorisation proposé, en vertu duquel le commissaire au renseignement – un juge à la retraite indépendant du pouvoir exécutif – doit donner son approbation, constitue une importante amélioration. En outre, je reconnais que le projet de loi C-59 exige la mise en place de mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada dans le cadre de l’utilisation, de l’analyse, de la conservation et de la communication de renseignements recueillis par le CST. Cette exigence est formulée de façon assez générale à l’article 25, mais on la précise de façon utile dans des dispositions ultérieures (les articles 35 et 44) qui sont rédigées selon des normes élevées en matière de protection de la vie privée, soit le caractère nécessaire ou même essentiel de l'utilisation des renseignements pour la sécurité nationale.

En vertu de l’alinéa 24(1)a), le CST peut acquérir, utiliser, analyser, conserver et divulguer de l’information accessible au public et il doit mettre en place à cet égard des mesures de protection des renseignements personnels. Cependant, la collecte de cette information ne semble faire l’objet d’aucune restriction. Selon nous, même si l’attente raisonnable en matière de protection de la vie privée est moindre lorsqu’il s’agit d’information accessible au public, il subsiste quand même une attente raisonnable qu’il faut protéger. Par conséquent, nous recommandons ce qui suit ^{Note de bas de page 14}:

Une autre mesure susceptible d’améliorer la protection de la vie privée a trait à la définition de l’expression « information accessible au public », qui se lit comme suit à la partie 3 du projet de loi C-59 : « Information publiée ou diffusée à l’intention du grand public, accessible au public dans l’infrastructure mondiale de l’information ou ailleurs ou disponible au public sur demande, par abonnement ou achat ». Il s’agit selon moi d’une définition très large^{Note de bas de page 15}. Je comprends que les organismes chargés de la sécurité nationale puissent vouloir utiliser de telles informations, mais j’ai des préoccupations concernant la légalité des moyens utilisés par d'autres acteurs pour rendre l’information accessible au public. Par exemple, même si l'on accepte les explications du CST selon lesquelles il n’achètera pas d’information piratée, l’information accessible au public sera-t-elle toujours créée ou obtenue en toute légalité par un vendeur, en conformité notamment avec l'obligation d'obtenir un consentement éclairé en vertu de la Loi sur la protection des renseignements personnels s’appliquant au secteur privé au Canada (LPRPDE)? Il est important dans un pays régi par la règle de droit que ses agences de sécurité nationale ne puissent utiliser les fruits d'activités qui, sans être criminelles, sont néanmoins illégales. Nous faisons donc la recommandation suivante^{Note de bas de page 16} :

Par ailleurs, dans le mémoire qu’il a présenté au Comité permanent le 6 décembre 2017, le commissaire du CST a recommandé que le commissaire au renseignement « approuve les cyberopérations actives en plus des cyberopérations défensives autorisées par le ministre suivant les paragraphes 30(1) et 31(1) de la Loi sur le Centre de la sécurité des télécommunications proposée »^{Note de bas de page 17}. Nous sommes d’accord avec cette recommandation, qui comblerait ce qui nous apparaît comme une lacune puisque le commissaire au renseignement ne semble pas avoir pour mandat d’approuver cette autorisation.

SERVICE CANADIEN DU RENSEIGNEMENT DE SÉCURITÉ

La partie 4 du projet de loi C-59 crée un nouveau régime pour la collecte et l’utilisation d’ensembles de données. Cette mesure a été prise en grande partie en réponse à la décision de la Cour fédérale rendue en octobre 2016, dans laquelle la Cour a conclu que le SCRS n’avait pas le pouvoir de conserver des données au sujet de personnes considérées comme n’étant pas une menace. Dans sa décision, la Cour a néanmoins indiqué qu’il fallait offrir aux services canadiens de renseignement les outils nécessaires pour qu’ils exercent leurs activités^{Note de bas de page 18} et que « la preuve produite a établi que le traitement et l’analyse de données connexes apportent des résultats utiles en matière de renseignement. Dans certains cas, l’analyse de données conservées relativement à d’anciennes affaires a effectivement permis de dégager des pistes d’enquête et a mené à d’autres informations pertinentes et utiles »^{Note de bas de page 19}.

Ce nouveau régime donnera de nouveaux pouvoirs au SCRS pour la collecte et l’utilisation de renseignements, mais il comprend aussi l'obligation, pour plusieurs activités clés, d'obtenir l'autorisation du Commissaire au renseignement, qui est indépendant du gouvernement, et, dans le cas des ensembles de données canadiens, de la Cour fédérale. En fait les ensembles de données canadiens sont soumis à divers filtres, dont l’approbation du commissaire au renseignement pour leur création, l'obligation de demander l'atorisation de la Cour fédérale dans un délai court (90 jours) pour ce qui est de leur conservation et finalement, l’application d’un critère de « nécessité » pour l’interrogation des ensembles de données, avec l’obligation d’obtenir l’autorisation du commissaire au renseignement en situation d’urgence. Pour ce qui est des ensembles de données étrangers, leur conservation doit être autorisée par le commissaire au renseignement, ce qui répond à l'exigence d'un examen indépendant.

LOI SUR LE SYSTÈME DE JUSTICE PÉNALE POUR LES ADOLESCENTS

Au cours de ma comparution, on m’a demandé si j’avais des préoccupations concernant les modifications proposées à la Loi sur le système de justice pénale pour les adolescents, notamment en ce qui concerne la protection du droit à la vie privée de jeunes Canadiens à risque de radicalisation. La partie 8 du projet de loi C-59 propose, entre autres mesures, de clarifier la compétence des tribunaux pour adolescents et de renforcer l’interdiction de détention en tant que mesure sociale. Elle propose aussi d’autoriser l’accès aux dossiers des adolescents pour les fins de l’administration du Programme des passeports, qui prévoit la révocation des passeports dans certains cas de criminalité ou de préoccupations concernant la sécurité nationale. Étant donné que cette information doit uniquement servir pour l’administration du Décret sur les passeports canadiens, on pourrait faire valoir qu’il s’agit d’un équilibre approprié entre la protection de la vie privée et la sécurité.

Pour ce qui est de la question plus vaste de la protection de la vie privée des jeunes, le Commissariat a récemment publié un document sur la réputation en ligne^{Note de bas de page 20}. Ce document se penche notamment sur les défis particuliers pour les enfants et les adolescents, qui n’ont souvent guère d’autre choix que d’aller en ligne (p. ex. en raison des pressions sociales ou des exigences imposées par l’école). Ils sont aussi dans une période d’expérimentation au cours de laquelle ils testent les limites. Il est donc essentiel de donner aux jeunes un moyen de se réinventer à mesure qu’ils évoluent et entrent dans l’âge adulte – fait reconnu par l’existence du principe de la « table rase » et d’autres mécanismes de protection au Canada et ailleurs^{Note de bas de page 21}.

CONTRÔLE JUDICIAIRE DES DÉCISIONS DU COMMISSAIRE AU RENSEIGNEMENT

Au cours de ma comparution devant vous en décembre, on m’a demandé si les décisions prises par le commissaire au renseignement devraient faire l’objet d’un contrôle judiciaire. Après réflexion, je ne suis pas convaincu du bien-fondé de cette proposition. Pour qu’il y ait un contrôle judiciaire, les intérêts de la personne directement touchée par une décision particulière doivent être en jeu. Or, de par leur nature, les décisions prises par le commissaire au renseignement en vertu de la partie 2 du projet de loi C-59 ne touchent pas directement les droits d’une personne. On ne sait pas non plus comment une personne serait au courant d’une décision prise par le commissaire au renseignement compte tenu du secret entourant ces décisions. Cela dit, lorsque des actions autorisées par le commissaire au renseignement ont une incidence sur des personnes, le caractère légal de ces conséquences devrait, au besoin, faire l’objet d’un examen par l’OSASNR, le Comité des parlementaires sur la sécurité nationale et le renseignement, les tribunaux et le Commissariat à la protection de la vie privée du Canada.

CONCLUSION

Le projet de loi C-59 constitue un pas dans la bonne direction à bien des égards, notamment pour ce qui est des améliorations aux mécanismes d’examen et de supervision. Je soutiens toutefois que les dispositions concernant la LCISC en sont l’aspect le plus faible. Pour ce qui est de l’échange et de la conservation des renseignements personnels, nous estimons que le projet de loi C-59 ne répond pas aux normes de protection de la vie privée nécessaires afin de protéger adéquatement les Canadiens. Le gouvernement doit selon nous adopter nos recommandations afin d’atteindre l’équilibre auquel les Canadiens s’attendent – à juste titre – entre la protection de la vie privée et la sécurité. Si vous le souhaitez, je suis disposé à vous donner plus de détails sur les questions abordées ici.

Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.

Le commissaire ,

p.j.

ANNEXE A : Liste des recommandations

RECOMMANDATION N^o 1 : Modifier la partie 5 pour y préciser que la Loi sur la protection des renseignements personnels continue de s’appliquer à tous les renseignements personnels communiqués en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada.

RECOMMANDATION N^o 2 : Modifier la partie 1 pour clarifier toute ambiguïté concernant le rôle du commissaire à la protection de la vie privée et ajouter une disposition à l’effet suivant : « Aucune disposition de la présente loi ou d’une autre loi du Parlement ne devrait être interprétée comme limitant les pouvoirs du commissaire à la protection de la vie privée de mener une enquête pour assurer la conformité aux articles 4 à 8 de la Loi sur la protection des renseignements personnels. »

RECOMMANDATION N^o 3 : Le Commissariat devrait faire partie des organismes d’examen qui ont le pouvoir et la souplesse nécessaires sur le plan juridique pour se communiquer les renseignements confidentiels obtenus dans le cadre de leur travail et de déterminer quand et comment coopérer afin d’éviter les chevauchements, d’accroître l’efficacité et de produire des rapports plus complets. Les articles 22 et 23 de la Loi sur le Comité des parlementaires sur la sécurité nationale pourraient servir de modèle pour donner à tous les organismes de surveillance le même pouvoir de partager les renseignements « relatifs à la réalisation du mandat » des autres organismes de surveillance. Ces dispositions pourraient être transposées sous la forme de modifications parallèles à :

1. la Loi sur la protection des renseignements personnels;
2. la partie 1 du projet de loi C-59, qui crée et habilite l’OSASNR;
3. la Loi sur le Comité des parlementaires sur la sécurité nationale.

RECOMMANDATION N^o 4 : Modifier le projet de loi C-59 afin d’exiger que le critère de nécessité et de proportionnalité s’applique aux institutions destinataires, soit par une modification à la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC), soit par une modification corrélative à l’article 4 de la Loi sur la protection des renseignements personnels. Ainsi, un double critère s’appliquerait à communication d’information ayant trait à la sécurité nationale : le nouvel article 5 de la LCISC s’appliquerait aux institutions communiquant de l’information et un critère de nécessité et de proportionnalité s’appliquerait aux institutions destinataires.

RECOMMANDATION N^o 5 : Modifier le projet de loi C-59 afin d’imposer aux institutions destinataires des règles de conservation et de destruction des renseignements personnels qui ne satisfont pas ou ne satisfont plus au critère du destinataire pour la collecte de renseignements. Plus précisément, ajouter une disposition explicite pour l’élimination des documents par les institutions destinataires dans ces trois cas :

1. tout renseignement personnel qui n’atteint pas le seuil de collecte;
2. tout renseignement personnel qui, selon l’institution destinataire, ne contribuera pas « à l’exercice de sa compétence ou à l’exercice de ses responsabilités »;
3. tout renseignement personnel qui, après analyse, donne lieu à l’opinion que la personne visée n’est pas une menace pour la sécurité nationale.

RECOMMANDATION N^o 6 : Modifier la Loi sur la communication de renseignements sur la sécurité du Canada afin que les obligations qui y sont faites aux institutions qui divulguent des renseignements en vertu du paragraphe 9(1) s’appliquent également aux institutions destinataires.

RECOMMANDATION N^o 7 : Ajouter à l’article 9 de la LCISC un nouveau paragraphe qui se lirait généralement comme suit : « Il est entendu que l’institution du gouvernement du Canada doit également, à la demande du commissaire à la protection de la vie privée en vertu de l’article 34 de la Loi sur la protection des renseignements personnels, lui fournir une copie de tout document demandé qu’elle a préparé en vertu du paragraphe (1) ».

RECOMMANDATION N^o 8 : Prendre des mesures afin que les ententes de partage de renseignements et les évaluations des facteurs relatifs à la vie privée deviennent des exigences juridiques, soit en modifiant le projet de loi C-59 dans le contexte de la sécurité nationale, soit, plus généralement, en modifiant la Loi sur la protection des renseignements personnels.

RECOMMANDATION N^o 9 : Étendre les règles et les normes de la Loi sur la communication d’information ayant trait à la sécurité du Canada, modifiées comme proposé ci-dessus, à tous les échanges de renseignements intragouvernementaux nationaux sur la sécurité nationale.

RECOMMANDATION N^o 10 : Modifier l’article 24 afin d’y ajouter une limite pour les activités énumérées au paragraphe 24(1), en indiquant entre autres que les mesures de protection de la vie privée doivent être raisonnables et proportionnelles dans les circonstances compte tenu des conséquences raisonnables prévisibles pour les Canadiens et les personnes se trouvant au Canada, notamment sur leur droit à la vie privée.

RECOMMANDATION N^o 11 : Modifier la définition de l’expression « information accessible au public » afin de préciser que cette information est publiée ou diffusée en conformité à la loi et que l’information disponible par abonnement ou par achat a été obtenue ou créée par le vendeur de la même manière.