Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet de son étude sur l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et ordinateurs

Le 1er février 2024

Ottawa (Ontario)

Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)

Monsieur le Président et mesdames et messieurs les membres du Comité, je vous remercie de m’avoir invité à contribuer à votre étude sur l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et ordinateurs.

L’automne dernier, Radio-Canada/CBC a rapporté que 13 institutions fédérales avaient fait l’acquisition de tels outils. Les reportages dans les médias ont soulevé des questions sur les motifs de leur utilisation et sur la mesure dans laquelle les organisations concernées respectaient leurs obligations en matière de protection de la vie privée lorsqu’ils en faisaient usage.

Dans les premiers reportages, ces outils étaient qualifiés d’outils de surveillance secrète ou de « logiciels espions ». Depuis, il a été précisé qu’il ne s’agit pas de logiciels espions, mais plutôt d’outils d’investigation informatique.

Les outils d’investigation informatique servent à extraire et à examiner un grand nombre de fichiers stockés sur des ordinateurs portables, des disques durs ou des appareils mobiles. On les utilise généralement dans le cadre d’enquêtes ou d’analyses techniques, et le propriétaire de l’appareil en est souvent informé.

On peut les utiliser pour analyser les métadonnées d’un fichier ou pour créer une chronologie des événements, par exemple pour établir le moment où un compte a été utilisé, des sites Web ont été consultés ou un système d’exploitation a été modifié. On peut aussi les utiliser pour récupérer des données supprimées ou pour s’assurer que les données ont été correctement effacées d’un appareil avant qu’il ne soit jeté ou utilisé à d’autres fins. Ils constituent donc des outils d’enquête utiles qui peuvent contribuer à préserver l’intégrité d’une chaîne de preuves.

Les outils d’investigation informatique se distinguent des logiciels espions par le fait que ces derniers sont généralement installés à distance sur l’appareil d’une personne à l’insu de celle-ci. Les logiciels espions peuvent ensuite recueillir secrètement des renseignements personnels comme les touches utilisées sur le clavier d’ordinateur et l’historique de navigation sur le Web. On peut citer à titre d’exemple les outils d’enquête sur appareil, qui sont utilisés par les organismes d’application de la loi pour obtenir des données secrètement et à distance à partir d’appareils ciblés. Il est important de noter que dans le contexte de l’application de la loi, une autorisation judiciaire est requise avant de pouvoir utiliser ces outils.

En août 2022, j’ai comparu devant le présent Comité dans le cadre de son étude au sujet de l’utilisation des outils d’enquête sur appareil par la Gendarmerie royale du Canada, la GRC. Vous vous souviendrez que dans cette affaire, la GRC avait informé la Chambre qu’elle utilisait ce type d’outils depuis quelques années pour obtenir des données secrètement et à distance à partir d’appareils ciblés, mais qu’elle n’avait pas réalisé d’évaluation des facteurs relatifs à la vie privée et qu’elle n’avait pas informé le Commissariat.

Pendant ma comparution à cette occasion, j’ai fait remarquer que les évaluations des facteurs relatifs à la vie privée, les EFVP, étaient obligatoires selon les politiques du Conseil du Trésor, mais qu’elles n’étaient pas une obligation juridique contraignante prévue par les lois sur la protection des renseignements personnels. J’ai alors recommandé que la réalisation de telles évaluations devienne une obligation juridique pour le gouvernement au titre de la Loi sur la protection des renseignements personnels.

Dans son rapport de novembre 2022, le Comité a souscrit à cette recommandation et a également demandé que le préambule de la Loi sur la protection des renseignements personnels soit modifié afin de préciser que le droit à la vie privée est un droit fondamental, et que la Loi soit modifiée pour inclure le concept de protection de la vie privée dès la conception et des obligations de transparence explicites pour les institutions gouvernementales. J’ai accueilli favorablement ces recommandations et je les ai soutenues. Le Comité souhaitera peut-être les réitérer, car elles demeurent en suspens et sont toujours pertinentes.

Comme la technologie change de plus en plus la manière dont les renseignements personnels sont recueillis, utilisés et communiqués, il demeure important que les institutions gouvernementales portent une attention particulière aux répercussions de leurs activités sur la vie privée et les évaluent soigneusement afin d’établir si une EFVP est nécessaire et à quel moment elle doit être réalisée.

Ma vision de la protection de la vie privée en est une où le droit à la vie privée est considéré comme un droit fondamental, où la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation, et où les Canadiennes et les Canadiens ont confiance dans le fait que leurs institutions protègent leurs renseignements personnels.

Réaliser une EFVP et consulter le Commissariat avant d’utiliser une nouvelle technologie ayant une incidence sur la vie privée permettraient de renforcer la protection de la vie privée, de soutenir l’intérêt public et de susciter la confiance. C’est pourquoi les institutions gouvernementales devraient être tenues par la loi de procéder ainsi; il devrait s’agir d’une obligation au titre de la Loi sur la protection des renseignements personnels.

À l’heure actuelle, conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor, les institutions doivent effectuer des EFVP :

  • lorsque des renseignements personnels peuvent être utilisés dans le cadre d’un processus décisionnel touchant directement un individu;
  • lorsque des modifications importantes sont apportées à des programmes ou à des activités déjà en place dans lesquels des renseignements personnels peuvent être utilisés à des fins administratives;
  • lorsque la sous-traitance ou le transfert d’un programme ou d’une activité à un autre palier de gouvernement ou au secteur privé constitue une modification importante à ce programme ou à cette activité;
  • lorsque des activités ou des programmes nouveaux ou ayant subi des modifications importantes auront une incidence sur la vie privée en général, même si aucune décision n’est prise concernant les individus.

Lors de nos entretiens avec les institutions fédérales dans le cadre de consultations, nous présentons les EFVP en tant que processus efficace de gestion des risques. Ces évaluations permettent de cerner et d’atténuer les risques qui pèsent sur la vie privée, idéalement dès le départ, dans l’ensemble des programmes et des services à l’intérieur desquels des renseignements personnels sont recueillis et utilisés.

Cela dit, l’utilisation d’un nouvel outil n’entraîne pas toujours le besoin de réaliser une EFVP. Tout dépendra de la manière dont l’outil sera utilisé et de l’usage qui sera fait des renseignements qu’il permettra de recueillir.

Le Commissariat a utilisé des outils d’investigation informatique, par exemple, dans le cadre d’enquêtes sur certaines allégations d’atteinte à la vie privée afin d’établir la nature, l’envergure et la portée d’un incident, y compris ce qui a mené à l’atteinte et quels types de renseignements personnels ont été compromis, s’il y a lieu.

Les outils d’investigation informatique peuvent cependant être utilisés d’une manière qui soulève des risques importants sur le plan de la vie privée et qui mériterait la tenue d’une EFVP complète.

Par exemple, on peut les utiliser lors d’une enquête interne sur la conduite d’un employé au terme de laquelle une décision qui aura une influence directe sur cette personne sera prise ou s’en servir comme outil dans le cadre d’une enquête sur des allégations d’activités criminelles.

Dans ces types d’utilisation, il faudrait mener une EFVP. Celle-ci porterait non seulement sur l’outil précis utilisé pour recueillir les renseignements personnels, mais également sur le programme général dans le cadre duquel on a recours à l’outil.

Toutes les institutions fédérales sont tenues d’examiner leurs programmes et leurs activités en conséquence.

Lorsque des outils d’investigation informatique sont utilisés dans le contexte de la surveillance des employés, les institutions doivent prendre des mesures pour garantir le respect du droit fondamental à la vie privée et pour favoriser la transparence et la confiance en milieu de travail. Il devrait y avoir des règles claires qui régissent quand et comment les technologies de surveillance devraient être utilisées. Le Commissariat a mis à jour son document d’orientation sur la protection des renseignements personnels au travail en mai 2023, et mes collègues provinciaux et territoriaux et moi-même avons publié une résolution conjointe sur la protection de la vie privée des employés sur les lieux de travail en octobre 2023.

Dans le cas présent, à la suite des reportages de Radio-Canada/CBC concernant l’utilisation des outils d’investigation informatique au gouvernement fédéral, le Commissariat a effectué un suivi auprès des institutions qui y étaient mentionnées et de celles figurant dans la motion déposée par ce Comité afin de procéder à la présente étude.

Pour résumer ce que nous avons appris :

  • Trois organismes ont indiqué avoir réalisé et présenté une EFVP sur le programme pertinent;
  • Un organisme a indiqué qu’il avait acheté l’outil, mais qu’il ne l’avait jamais utilisé;
  • Un organisme a indiqué qu’une EFVP n’était pas requise;
  • Les huit autres organismes ont indiqué soit qu’ils avaient commencé à réaliser une nouvelle EFVP, soit qu’ils étudiaient la possibilité de réaliser une nouvelle EFVP ou de mettre à jour une EFVP existante à la lumière de leur utilisation des outils.

Nous continuerons de faire un suivi auprès des institutions afin d’insister sur la nécessité de réaliser des EFVP dans les cas où elles sont requises selon les politiques du Conseil du Trésor. Mais sans une obligation au titre de la Loi sur la protection des renseignements personnels, il y a des limites à ce que nous pouvons faire pour assurer le respect de la conformité.

Les EFVP, dans les cas appropriés, sont avantageuses pour la vie privée, avantageuses pour l’intérêt public et elles suscitent la confiance. Dans un monde de plus en plus axé sur le numérique, elles devraient être obligatoires au titre de la loi en matière de protection des renseignements personnels.

Je serai heureux de répondre à vos questions.

Merci.

Date de modification :