Agence des services frontaliers du Canada – Ciblage des voyageurs fondé sur des scénarios – Sécurité nationale

Article 37 de la Loi sur la protection des renseignements personnels

Rapport final 2017

Sommaire

Éléments examinés

Le ciblage fondé sur des scénarios (CFS) est une composante du Programme national de ciblage de l’Agence des services frontaliers du Canada (ASFC). Le but du Programme national de ciblage est de repérer les personnes et les marchandises à destination du Canada qui sont susceptibles de représenter une menace pour la sécurité du pays^{Note de bas de page 1}. Le CFS utilise des algorithmes pour analyser l’information préalable sur les voyageurs/dossier passager (IPV/DP) que les transporteurs aériens commerciaux doivent envoyer à l’ASFC pour les voyageurs à destination du Canada. Cette information contient des renseignements tels que l’âge, le sexe, la nationalité, le temps passé à l’étranger, l’historique des voyages et d’autres éléments permettant de classifier les individus en fonction de scénarios pour une évaluation complémentaire des risques. Les scénarios sont créés à partir de caractéristiques personnelles extraites de l’IPV/DP, comme l’âge, le sexe, l’origine du document de voyage, l’itinéraire, la durée et l’historique des voyages.

L’ASFC utilise des scénarios pour évaluer les voyageurs en fonction de facteurs de risque prédictifs dans différents domaines, tels que la fraude à l’immigration, le crime organisé et transnational, la contrebande, le terrorisme et les crimes associés au terrorisme. Des évaluations de risque plus poussées sont effectuées manuellement par les agents du Centre national de ciblage (CNC) pour les individus qui correspondent à un scénario particulier. Les voyageurs ciblés comme présentant potentiellement un haut risque à la suite de l’évaluation par l’ASFC peuvent être soumis à un interrogatoire ou à des vérifications plus poussées à leur point d’entrée au pays.

Notre étude se concentrait exclusivement sur les scénarios établis à des fins d’évaluation de la sécurité nationale, et comprenait une analyse de la quantité et de la nature des renseignements personnels que l’ASFC recueille pour évaluer les personnes qui, d’après les scénarios, peuvent poser des risques.

Nous avons assisté à une démonstration pratique du CFS, interviewé certains agents du CNC de l’ASFC, et examiné les documents pertinents décrivant les politiques, les processus et les normes de fonctionnement. Nous avons également analysé un échantillon des dossiers d’individus qui ont été ciblés parce qu’ils présentaient un risque potentiel du fait qu’ils correspondaient aux critères d’un scénario de sécurité nationale et qui ont ensuite été désignés pour un examen complémentaire par un agent du CNC. Ces individus comprenaient des Canadiens et des ressortissants étrangers à destination du Canada. Nous avons examiné les notes de l’agent, les résultats des contrôles dans les bases de données, le rapport de ciblage produit par l’agent du CNC, les rapports remplis par les agents des services frontaliers au point d’entrée, ainsi que les traces des échanges de renseignements personnels avec les partenaires chargés de l’application de la loi et du renseignement.

Nous avons également passé en revue les scénarios de sécurité nationale, les procès‑verbaux des réunions de comités internes de l’ASFC à propos de l’initiative de CFS, les protocoles d’entente (PE) avec les partenaires visés par l’échange de renseignements, et les rapports de l’ASFC sur l’efficacité et le taux de succès de ces scénarios.

Pourquoi un examen du ciblage fondé sur des scénarios

Environ 80000 voyageurs par jour, soit 29 millions par année, entrent au Canada par la voie aérienne. La loi canadienne oblige les transporteurs aériens à fournir à l’ASFC des renseignements personnels détaillés sur tous les voyageurs avant leur arrivée afin d’évaluer le risque qu’ils représentent^{Note de bas de page 2}. L’ASFC saisit ces données dans son système d’information sur les voyageurs (SIPAX)^{Note de bas de page 3} et les utilise pour cibler les individus qu’il soupçonne sont ou pourraient être impliqués dans des actes de terrorisme ou des crimes liés au terrorisme, ou d’autres infractions graves à caractère transnational. Dans le passé, l’ASFC utilisait une méthode de quantification du risque individuel consistant à analyser des voyageurs particuliers et à leur assigner un niveau de risque sur la base de leurs données personnelles et de leur historique de voyage. Les voyageurs présentant un niveau de risque élevé étaient alors ciblés pour une vérification plus poussée.

Le ciblage fondé sur des scénarios utilise l’analytique avancée pour évaluer les données sur les passagers recueillies par les transporteurs aériens afin de les comparer à un ensemble de conditions ou scénarios, qui comprennent les caractéristiques personnelles recueillies dans l’IPV/DP, comme l’âge, le sexe et la nationalité. Les individus dont l’IPV/DP correspond aux critères d’un certain scénario sont alors ciblés pour faire l’objet d’une évaluation du risque par un agent du CNC. Dans le cadre du processus d’évaluation des risques, les renseignements personnels sont automatiquement communiqués aux autorités frontalières des États-Unis et font l’objet de recherches dans des bases de données et dans les sources ouvertes. Si des personnes ont éveillé des soupçons qui ne sont pas écartés aux stades initiaux, leurs renseignements personnels sont également communiqués aux organismes nationaux chargés de l’application de la loi et du renseignement. Il y a un risque qu’un grand nombre d’individus ne représentant aucune menace pour la sécurité nationale soient assujettis régulièrement au regard de l’ASFC et de ses partenaires chargés de l’application de la loi et du renseignement, y compris dans d’autres juridictions, simplement parce qu’ils correspondent aux paramètres d’un certain scénario.

Pour des raisons évidentes de sécurité, les scénarios ne sont pas rendus publics. Bien que cette précaution soit nécessaire, elle signifie que les personnes n’ont aucun moyen de savoir qu’elles pourraient correspondre aux paramètres d’un certain scénario et seraient donc l’objet d’une attention particulière à la frontière. Il y a un risque que des informations inexactes, périmées ou hors contexte soient recueillies et conservées par l’ASFC et les partenaires avec lesquels elle échange des renseignements.

Constatations

L’ASFC a mis en place des politiques et des procédures pour encadrer l’élaboration des scénarios, le processus d’évaluation des risques causés par les individus, et l’évaluation de l’efficacité des scénarios. Le cycle complet de l’activité de CFS, de l’élaboration et de l’activation des scénarios, jusqu’à la détermination des cibles et aux résultats des enquêtes complémentaires, fait l’objet d’un suivi; il y a des mesures en place pour peaufiner les scénarios et évaluer leur efficacité. De plus, l’ASFC reconnaît le besoin d’évaluer les scénarios pour déterminer leurs conséquences potentielles pour la vie privée, les droits de la personne et les libertés civiles.

Toutefois, les processus pourraient être améliorés. Bien que l’ASFC ait mis en place des processus pour limiter le nombre d’individus faisant l’objet du ciblage plus poussé, un grand nombre de voyageurs — environ 60 000 par an — sont ciblés par les scénarios, au début du processus, comme des menaces potentielles pour la sécurité nationale. Tous les voyageurs qui correspondent à un scénario de sécurité nationale font l’objet de recherches pour l’évaluation des risques par les agents du CNC. Ces recherches entraînent la divulgation automatique de renseignements personnels au Service des douanes et de la protection des frontières américaines (CBP) et aussi des vérifications par l’ASFC dans diverses autres bases de données et sources ouvertes. Les renseignements personnels d’un plus petit groupe d’individus sont ensuite communiqués à des organismes canadiens chargés de l’application de la loi et du renseignement qui procèdent à d’autres vérifications et consultations de bases de données au cours des stades ultérieurs du processus d’évaluation des risques. Après réception et examen de cette information, l’agent du CNC peut demander un examen plus poussé au point d’entrée. Il y a donc un risque que l’information divulguée par l’ASFC pour les besoins des recherches dans les bases de données soit conservée et utilisée par ses partenaires à leurs propres fins et, dans certains cas, ces informations peuvent faire l’objet d’une divulgation encore plus grande. Les risques pour la vie privée associés à ces divulgations n’ont pas été pris en compte par l’ajout de dispositions appropriées dans les ententes d’échange de renseignements, particulièrement pour ce qui est des implications potentielles pour les personnes à propos desquelles les soupçons ont été dissipés lors de l’évaluation des risques par l’ASFC.

Nous avons constaté que l’ASFC évalue l’efficacité et le succès des scénarios de sécurité nationale en fonction de résultats généraux qui ne sont pas limités à la détermination des risques pour la sécurité nationale et touchent aussi à des préoccupations liées à l’immigration et à la lutte contre la contrebande. Bien que nous comprenions la pertinence de telles statistiques dans le cadre du mandat global de l’ASFC, il faut admettre que ces résultats ne reflètent pas spécifiquement le succès des objectifs de sécurité nationale du CFS. De plus, l’ASFC mesure le succès des scénarios de sécurité nationale sur la base de résultats intermédiaires, comme la tenue d’une enquête plus poussée sur un dossier, ou la réception de demandes de renseignements de la part d’institutions partenaires. Ces critères ne peuvent donner une bonne indication du succès du programme de CFS du point de vue de la détermination des menaces à la sécurité nationale.

Au cours de la période d’examen, nous avons eu l’occasion de constater que l’ASFC lançait des scénarios de sécurité nationale sans avoir officiellement étudié leur incidence potentielle sur la vie privée, les droits de la personne et les libertés civiles, bien que l’Agence ait conscience de ces problèmes et se soit engagée à prendre ces aspects en considération.

Nous avons également constaté que, dans certains cas, l’ASFC conserve plus de renseignements personnels dans les dossiers du CNC et dans le Système intégré d’exécution des douanes (SIED) ^{Note de bas de page 4} que ce qui est nécessaire pour les besoins du programme. De plus, bien que les renseignements de sources ouvertes ne soient pas le seul critère de détermination des risques, nous avons constaté que des dossiers ne contenaient pas de documentation sur les démarches entreprises pour vérifier l’exactitude et la pertinence de l’information recueillie sur les médias sociaux.

En quoi consiste l’IPV/DP?

L’information préalable sur les voyageurs (IPV) et le dossier passager (DP) contiennent des données que le transporteur aérien doit, en vertu de la loi, fournir à l’ASFC pour chaque passager à destination du Canada. L’IPV contient:

nom complet;
date de naissance;
sexe;
citoyenneté ou nationalité;
type de document de voyage, numéro (du passeport ou du visa) et pays d’émission;
numéro du dossier de réservation;
numéro de référence du passager.

Les données du dossier passager proviennent des systèmes de réservation utilisés par les transporteurs aériens et leurs agents. Cette information pourrait comprendre, notamment:

renseignements sur le billet;
renseignements au sujet des bagages;
adresse postale;
numéros de téléphone de contact;
numéro de siège;
renseignements sur le paiement;
données d’identité de base.

Contexte

À propos de l’organisme

L’ASFC a été créée par décret le 12décembre2003 et relève du portefeuille de Sécurité publique Canada. Le mandat de l’Agence est établi dans la Loi sur l’Agence des services frontaliers du Canada (2005)^{Note de bas de page 5}. L’ASFC assure la prestation de services frontaliers intégrés qui appuient les priorités en matière de sécurité nationale, tout en facilitant la libre circulation des personnes et des marchandises. Elle est responsable de l’administration de plus de 90lois, règlements et accords internationaux au nom d’autres ministères et organismes fédéraux, provinciaux et territoriaux. La Loi sur les douanes fait partie des principaux textes de loi que l’ASFC a la responsabilité de faire appliquer.

À propos du Programme de ciblage fondé sur des scénarios

En vertu de la Loi sur les douanes et de la Loi sur l’immigration et la protection des réfugiés, l’ASFC est habilitée à filtrer les voyageurs entrant au Canada. Selon l’ASFC, l’objectif du CFS est de déterminer les individus pouvant poser un risque élevé et arrivant par la voie des airs^{Note de bas de page 6}. La loi canadienne^{Note de bas de page 7} oblige les transporteurs aériens commerciaux à transmettre à l’avance à l’ASFC l’information préalable sur les voyageurs (IPV), ainsi que les données du dossier passager (DP) qu’ils recueillent, sur toutes les personnes voyageant à destination du Canada. Les compagnies aériennes recueillent l’IPV avant ou au moment où les passagers s’enregistrent, alors que le DP est extrait des systèmes de réservation des vols des compagnies aériennes.
Les données IPV comprennent le nom, la date de naissance, le sexe, la citoyenneté ou nationalité, les renseignements sur le document de voyage, et le numéro du dossier de réservation. Dans le cas du DP, les renseignements personnels peuvent comprendre le nom, l’adresse, la réservation du voyageur et l’itinéraire du voyage, qui pourrait inclure le point d’origine et la destination, les dates et les heures du vol.
Actuellement, ces données doivent être communiquées à l’ASFC une heure avant le départ pour les membres de l’équipage du transporteur, et au plus tard au moment du départ pour les voyageurs censés être à bord. Un article du Règlement sur les renseignements relatifs aux passagers (douanes) applicable, mais qui n’était pas en vigueur au moment de la rédaction du présent rapport, exige que les DP soient communiqués à l’ASFC au moins 72 heures avant le départ^{Note de bas de page 8}.
Dans le cadre de l’entente Canada-États-Unis, Par-delà la frontière: une vision commune de la sécurité du périmètre et de la compétitivité économique, le Canada s’est engagé à mettre en place une méthodologie de ciblage de tous les voyageurs harmonisée avec celle des États-Unis^{Note de bas de page 9}. L’ASFC a donc dû remplacer son ancienne méthodologie d’évaluation des risques présentés par les voyageurs aériens, consistant à attribuer des cotes de risque aux voyageurs, et s’aligner sur la façon de faire de son partenaire américain, à savoir un système de ciblage automatisé^{Note de bas de page 10}.
L’utilisation par l’ASFC des données IPV/DP pour effectuer une évaluation prédictive des risques est autorisée par l’article107 de la Loi sur les douanes et l’alinéa148(d) de la Loi sur l’immigration et la protection des réfugiés. Les activités de l’Agence sont également assujetties à la Loi sur la protection des renseignements personnels et à la Charte canadienne des droits et libertés. L’ASFC doit respecter les principes fondamentaux, tels que la proportionnalité et la nécessité, dans l’exercice de son mandat prescrit par la loi.
Les scénarios de sécurité nationale sont élaborés à partir de l’information sur les nouvelles menaces, du renseignement disponible et de l’analyse comparative de l’application de la loi. Ces renseignements proviennent notamment des partenaires nationaux et internationaux de l’Agence en matière de renseignement et d’application de la loi.
Tous les voyageurs correspondant aux critères d’un scénario ou de plusieurs scénarios de sécurité nationale font l’objet d’une évaluation par un agent du CNC. Cette évaluation consiste entre autres à rechercher des renseignements sur le voyageur dans un certain nombre de bases de données nationales et internationales, à faire des recherches dans des sources ouvertes sur les réseaux sociaux et à consulter des dossiers d’impôt. Si l’agent du CNC détermine que l’individu peut représenter un risque, il est considéré comme étant une «cible» et peut faire l’objet d’un interrogatoire ou de vérifications plus poussées à son arrivée au point d’entrée.

Le processus du CFS

Version textuelle

Toutes les données d’information préalable sur les voyageurs/dossier passage (IPV/DP) sont comparées aux scénarios

Correspondance
- Examen par un agent du Centre national de ciblage (CNC)
  - Risque potentiel
    - Examen plus poussé
  - Risque écarté
    - Fin du processus du ciblage fondé sur des scénarios (CFS)
Pas de correspondance
- Fin du processus du CFS

Objet de l’examen

Les articles4 à 8 de la Loi sur la protection des renseignements personnels limitent la collecte de renseignements personnels par les institutions fédérales et régissent les modalités d’utilisation et de divulgation de ces renseignements. La Loi prend effet par l’entremise de politiques, de normes, de directives et d’orientations centralisées émises par le Secrétariat du Conseil du Trésor du Canada (SCT), ainsi que par des politiques, des processus, des procédures opérationnelles et des ententes d’échange de renseignements (EER) élaborés par les institutions. Notre examen a porté sur la manière dont l’ASFC gère les renseignements personnels recueillis, utilisés, conservés et divulgués dans le cadre du programme de CFS afin de déterminer si ses obligations en vertu de la Loi sur la protection des renseignements personnels, des politiques, directives et orientations applicables du SCT, et de ses propres politiques, directives et orientations internes de gestion des renseignements personnels sont respectées.
Nous nous attendions à constater que les renseignements personnels recueillis dans le cadre du programme de CFS étaient:

directement liés à l’objet exprimé du programme,
aussi complets, à jour et exacts que possible,
utilisés et divulgués uniquement aux fins autorisées,
gérés et éliminés conformément aux autorisations en vigueur.

Portée et approche

Nous nous sommes limités à un examen des scénarios de sécurité nationale. Nous avons étudié les dossiers des individus ciblés en vue d’un examen plus poussé à la suite d’une correspondance avec un scénario de sécurité nationale sur une période d’une année, du 31 janvier 2016 au 31 janvier 2017. Au cours de la période d’examen, 188 scénarios de sécurité nationale était en opération. Selon l’ASFC, ils ont servi à cibler initialement quelque 60 000 voyageurs et ont permis de relever 552 «cibles» de sécurité nationale, soit des individus désignés pour une vérification plus poussée. Nous nous sommes penchés sur un échantillon de 90 dossiers ciblés.
Nous avons examiné les pratiques de collecte de renseignements personnels au point d’entrée telles qu’elles étaient appliquées à des cibles de sécurité nationale détectées dans le cadre du programme de CFS. Notre vérification n’a pas porté sur les pratiques générales des agents des services frontaliers au point d’entrée ni sur les politiques et procédures des autres institutions auxquelles les renseignements sur les voyageurs peuvent être communiqués. Nous n’avons pas non plus examiné l’infrastructure informatique du programme de CFS.

Observations et recommandations

Des renseignements non directement liés à l’objet du programme sont recueillis et conservés.

L’article 4 de la Loi sur la protection des renseignements personnels stipule que les institutions gouvernementales n’ont le droit de recueillir des renseignements personnels que dans la mesure où ils ont un lien direct avec leurs programmes ou activités^{Note de bas de page 11}. La Directive sur les pratiques relatives à la protection de la vie privée du SCT va dans le sens de la Loi en exigeant que les institutions limitent la collecte de renseignements personnels à ceux qui sont directement liés et manifestement nécessaires aux programmes ou aux activités de l’institution ^{Note de bas de page 12}.
Lorsqu’un individu entrant au Canada est associé à un scénario de sécurité nationale, d’autres renseignements personnels sont recueillis par:
- les agents du CNC procédant à l’évaluation des risques pour déterminer s’il y a lieu de cibler l’individu en vue d’une vérification plus poussée au point d’entrée,
- les agents des services frontaliers au point d’entrée, pour les individus désignés par le CNC.
Au cours de notre examen par échantillonnage des dossiers de personnes ciblées sur la base des scénarios de sécurité nationale, nous avons pu constater que l’ASFC recueille et conserve des renseignements personnels qui ne sont pas directement liés ni manifestement nécessaires aux objectifs du programme. Cette situation se produit au niveau du CNC et au point d’entrée.
Sur les 90 dossiers du CNC examinés, nous avons trouvé des exemples de renseignements personnels recueillis qui n’avaient pas de lien évident avec l’évaluation des risques à l’égard de la sécurité nationale, y compris des renseignements concernant des tiers. Il s’agissait notamment de dossiers d’impôt et de renseignements issus des médias sociaux à propos de personnes vivant à la même adresse que l’individu ciblé pour une vérification plus poussée. Dans environ un tiers des cas, les dossiers examinés contenaient des éléments recueillis dans les médias sociaux et les sources ouvertes. Dans certains cas, des reproductions de pages entières de médias sociaux avaient été ajoutées aux dossiers, notamment des listes de personnes liées, des messages publiés et des photos des cibles ainsi que de leurs conjoints, enfants ou amis.
Le paragraphe 6(2) de la Loi sur la protection des renseignements personnels stipule que les institutions fédérales sont tenues de veiller, dans la mesure du possible, à ce que les renseignements personnels qu’elles utilisent à des fins administratives soient exacts, à jour et complets. Il y a un risque que les renseignements personnels publiés sur les médias sociaux soient d’une exactitude et d’une fiabilité douteuses. Les dossiers examinés qui contenaient des renseignements recueillis sur les sites des médias sociaux ne mentionnaient aucune des mesures prises par les agents des services frontaliers pour vérifier l’exactitude de l’information avant de l’utiliser et de la conserver.
Les renseignements personnels conservés dans le cadre de l’évaluation des risques menée par les agents du CNC incluent des renseignements extraits de la base de données Random Access Personal Information Data (RAPID) de l’Agence du revenu du Canada (ARC).
Dans la majorité des dossiers examinés, nous avons observé la conservation de plusieurs années de déclarations de revenus et de renseignements sur l’employeur, provenant du système RAPID de l’ARC. Cette information comprenait souvent les noms, les dates de naissance et d’autres renseignements personnels à propos de personnes résidant à la même adresse que la cible évaluée.
Pour les 90 dossiers de ciblage examinés, nous avons étudié les documents ajoutés au point d’entrée. Environ le tiers des dossiers contenaient des détails personnels sans lien évident avec une évaluation du risque pour la sécurité nationale. Parmi ces informations, il y avait des renseignements personnels détaillés, notamment des renseignements médicaux sur la cible, ses proches et des personnes liées. À titre d’exemple, dans un cas particulier, les notes de l’agent des services frontaliers contenaient une description détaillée du stress post-traumatique subit par l’individu et les médicaments pris pour traiter ce syndrome. De plus, les noms et les numéros de téléphone de tiers trouvés dans les listes de contact des téléphones ou les portefeuilles des cibles figuraient dans certains des dossiers que nous avons examinés.

Recommandation:

L’ASFC devrait s’assurer que seuls les renseignements personnels qui sont directement liés et manifestement nécessaires à l’administration du programme de CFS sont recueillis et conservés par le CNC et les agents des services frontaliers.

L’ASFC devrait clairement documenter les mesures qu’elle prend pour s’assurer que les renseignements personnels utilisés pour le programme de CFS sont aussi exacts, à jour et complets que possible.

Réponse de l’ASFC:

Acceptée. Sur la base des observations du Commissariat et en raison de l’engagement de l’Agence à assurer le plus grand respect de la confidentialité des renseignements personnels, nous allons réviser et modifier au besoin nos procédures internes et les cours de formation correspondants de manière à garantir que seule l’information liée au programme et manifestement nécessaire est recueillie et conservée. Cette mise à jour comprendra une description des étapes à suivre pour confirmer que l’information utilisée est aussi exacte, à jour et complète que possible.

Dans le contexte de l’engagement de l’Agence à l’égard de la protection des renseignements personnels, le CNC de l’ASFC a pris des mesures proactives pour cesser la consignation des renseignements transitoires de l’ARC dans les dossiers du CNC, à partir du 29 mai 2017.

Les protocoles d’entente conclus avec les partenaires chargés du renseignement et de l’application de la loi n’atténuent pas suffisamment les risques pour la vie privée associés aux renseignements personnels fournis par l’ASFC pour des vérifications dans les bases de données.

La Politique sur la protection sur la vie privée du SCT stipule que des dispositions appropriées de protection des renseignements personnels doivent être incluses dans les contrats ou ententes pouvant donner lieu à une circulation intergouvernementale ou transfrontalière de renseignements personnels^{Note de bas de page 13}. Les orientations du SCT à cet égard recommandent que ces ententes précisent des périodes de conservation et des méthodes d’aliénation de l’information^{Note de bas de page 14}.
L’ASFC divulgue des renseignements personnels sur les individus ciblés par les scénarios de sécurité nationale lorsqu’elle interroge les bases de données de ses partenaires nationaux ou internationaux chargés de l’application de la loi ou du renseignement. La consultation de ces bases de données se fait avant que les individus soient ciblés pour une vérification plus approfondie au point d’entrée. L’ASFC interroge systématiquement le programme du CBP des États‑Unis pour tous les individus qui correspondent à un scénario et peut interroger les bases de données de ses partenaires canadiens en matière de sécurité publique, si l’individu ne peut pas être blanchi de tous les risques potentiels au cours des vérifications préliminaires. Nous avons observé que les bases de données des partenaires nationaux avaient été interrogées dans la majorité des dossiers que nous avons examinés.
La divulgation de renseignements personnels à l’occasion de ces interrogations représente un risque que des organismes tiers chargés de l’application de la loi et du renseignement reçoivent et conservent les renseignements personnels d’individus que l’ASFC ne considère finalement pas comme présentant une menace pour la sécurité nationale et qui ne seront jamais ciblés. Bien que les protocoles d’entente prévoient que les institutions partenaires doivent obtenir la permission de l’ASFC avant toute nouvelle divulgation, ils ne tiennent pas suffisamment compte des risques pour la vie privée associés à la conservation et à l’utilisation interne par ces institutions des données divulguées par l’ASFC pour la consultation des bases de données. Le document d’orientation du SCT sur les ententes d’échange de renseignements ^{Note de bas de page 15} précise que ces ententes devraient indiquer comment les renseignements personnels communiqués ou échangés en vertu d’une entente seront utilisés par les organisations destinataires. Toute interdiction ou limitation de l’utilisation ultérieure ou secondaire de l’information doit être clairement stipulée dans l’entente et doit prendre en considération les principes de nécessité et de proportionnalité.

Recommandation:

L’ASFC devrait réviser les PE conclus avec ses partenaires nationaux et internationaux pour s’assurer qu’ils contiennent des dispositions explicites limitant la conservation et l’utilisation des données obtenues de l’ASFC aux fins de recherches dans les bases de données. Ces dispositions devraient viser à éliminer tous les soupçons ultérieurs pesant sur des personnes dont il a été conclu qu’elles ne représentaient pas une menace pour la sécurité nationale.

Réponse de l’ASFC:

Accepté. L’ASFC collabore déjà avec ses principaux partenaires nationaux à différentes étapes de l’élaboration des PE. Elle examinera expressément chaque document au cours du processus de rédaction ou de révision pour s’assurer qu’il prévoit des mesures de protection appropriées. De même, les partenaires internationaux participeront au processus au besoin pour améliorer les dispositions des PE et des traités existants afin de limiter la conservation et l’utilisation des données émanant de l’ASFC. L’Agence tient à s’assurer que tous les futurs PE et traités internationaux renfermeront ce type de dispositions. Entre‑temps, elle soumettra les PE clés à une analyse interne, qu’elle prévoit terminer pour le 31 mars 2018.

La façon de faire actuelle de l’ASFC, au moment où ces ententes ou arrangements entrent en vigueur ou sont renouvelés, consiste à s’assurer que ces documents contiennent des modalités de protection de la vie privée appropriées sous la forme de mises en garde sur la divulgation ultérieure, ainsi que l’obligation de corriger les informations erronées et de signaler toute atteinte à la protection de renseignements précis à l’organisme d’origine, de manière à ce que des mesures correctrices appropriées puissent être apportées. D’autres dispositions peuvent être ajoutées, notamment pour prévoir la vérification des arrangements entre les participants ou les parties à une entente.

Les scénarios de sécurité nationale ont été lancés sans étude préalable sur leurs implications potentielles pour la vie privée, les droits de la personne et les libertés civiles.

En 2014, l’ASFC avait entrepris une analyse de l’incidence du CFS sur la vie privée dans le cadre d’une évaluation des facteurs relatifs à la vie privée (EFVP) et l’avait soumise au Commissariat pour examen. À l’époque, nous avions recommandé que l’Agence mette en place un processus d’examen officiel des scénarios pour s’assurer que les risques pour la vie privée, les droits de la personne et les libertés civiles étaient pris en compte au cours de leur élaboration. L’ASFC avait accepté cette recommandation en 2016 et s’était engagée à entreprendre un examen officiel des scénarios pour donner suite à ces préoccupations.
L’ASFC a créé un Comité de gestion des scénarios dont le mandat, d’après l’Agence, est de réviser régulièrement les scénarios ainsi que d’élaborer et de gérer les scénarios de manière à garantir leur efficacité, leur cohérence et leur intégrité. Ainsi, les scénarios jugés inefficaces peuvent être désactivés ou modifiés à la suite des travaux du Comité. Une supervision est également assurée par le Comité de gestion du programme de ciblage et l’équipe de supervision du programme de l’ASFC.
Dans le cadre de notre évaluation des progrès faits par l’ASFC relativement à la mise en œuvre de ses engagements découlant de l’EFVP, nous avons passé en revue les procès-verbaux et les discussions tenues lors des réunions mensuelles du Comité de gestion des scénarios et du Comité de gestion du programme de ciblage, ainsi que les révisions trimestrielles des scénarios de l’équipe de supervision du programme. Nous avons également interrogé des membres du personnel du CNC. Nous avons constaté que, même si les responsables du programme de CFS discutent régulièrement des scénarios, y compris de la modification ou suppression de scénarios, il n’y a pas de preuve documentée qui indiquerait que des modifications ou suppressions ont été effectuées pour tenir compte de la vie privée, des droits de la personne et des libertés civiles. Au moment de notre examen, l’ASFC ne s’était pas officiellement dotée d’une procédure opérationnelle normalisée pour s’assurer que de tels examens soient tenus avant l’activation des scénarios. Nous avons trouvé des preuves selon lesquelles des scénarios avaient été mis en place sans examen préalable de ces risques.

Recommandation:

L’ASFC devrait procéder à un examen officiel de chaque scénario de sécurité nationale du point de vue des risques qu’il représente pour la protection de la vie privée, les droits de la personne et les libertés civiles, préalablement à son lancement et sur une base régulière. Les décisions prises concernant la modification ou la suppression de certains scénarios à la suite de ces examens devraient être documentées.

Réponse de l’ASFC:

Acceptée. L’ASFC procédera à un examen des scénarios de sécurité nationale du point de vue des risques pour la protection de la vie privée, les droits de la personne et les libertés civiles, avant leur lancement et sur une base régulière. Toutes les décisions seront documentées.

Le Comité de gestion des scénarios de l’ASFC a pour pratique d’examiner les scénarios chaque mois afin d’en vérifier l’efficacité et la conformité à la loi. Toutes les modifications et suppressions sont documentées. À ce jour, l’ASFC n’a relevé aucune atteinte à la vie privée, aux droits de la personne ou aux libertés civiles dans les critères de ciblage fondé sur des scénarios de sécurité nationale.

Les répercussions sur la vie privée seront étudiées dans l’évaluation des facteurs relatifs à la vie privée portant sur le ciblage des passagers aériens.

Certains scénarios de sécurité nationale sont larges, et les critères utilisés pour évaluer leur efficacité vont au-delà de la détermination des menaces pour la sécurité nationale.

L’ASFC surveille et évalue les scénarios tout au long de leur élaboration et de leur mise en œuvre. Ce processus est encadré par des politiques et plusieurs comités de travail ont été établis pour discuter des scénarios, évaluer leur efficacité et, s’il y a lieu, modifier certains facteurs ou recommander l’abandon de certains scénarios. De plus, les scénarios sont soumis à d’autres processus de contrôle de la qualité officiels et officieux qui visent à évaluer leur taux de succès.
Bien que ces efforts soient louables, certains des scénarios que nous avons examinés étaient excessivement larges et concernaient un grand nombre de voyageurs. L’ASFC indique qu’elle doit traiter les dossiers d’environ 80 000 voyageurs par jour, et que, de ce nombre, le programme de CFS cible quelque 164 individus comme présentant des risques potentiels pour la sécurité nationale. Sur une base annuelle, cela représente approximativement 60 000 individus ciblés par les scénarios de sécurité nationale. De ce nombre, une plus petite fraction est ciblée pour une vérification complémentaire à l’arrivée. Au cours de la période visée par l’examen, 552 individus ont ainsi été désignés.
L’ASFC rapporte un taux de succès élevé pour ses scénarios de sécurité nationale, mentionnant que 50,9% des cibles établies comme des menaces potentielles à la sécurité nationale par le CNC font l’objet de vérifications complémentaires. Cependant, nous estimons que la définition des résultats invoqués par l’ASFC est large et couvre diverses activités liées à son mandat, mais non directement associées à la détermination des menaces pour la sécurité nationale telles que les préoccupations liées à l'immigration et la découverte de la contrebande. Bien que nous comprenions l'envie de l'ASFC de noter tous les résultats, il s'agit d'une interprétation généreuse de la réussite dans le contexte de la sécurité nationale. De plus, les critères employés pour mesurer le succès ne font pas une distinction claire entre les résultats intermédiaires et les résultats ultimes.
Il s’agit d’une interprétation généreuse du succès dans le contexte de la sécurité nationale, et des résultats intermédiaires et donc non concluants ont été utilisés pour mesurer le succès. Étant donné que le programme de CFS va au-delà de la détermination des menaces à la sécurité nationale, nous comprenons que l’ASFC souhaite utiliser des résultats globaux. Cependant, sans un alignement précis de certains de ces critères de mesure pour confirmer des résultats en matière de sécurité nationale, l’ASFC ne peut démontrer que les renseignements personnels recueillis pour les besoins du programme de CFS sont nécessaires et proportionnels à l’évaluation des risques pour la sécurité nationale.

Recommandation:

L’ASFC devrait poursuivre ses efforts pour peaufiner ces processus d’examen et de modification des scénarios de sécurité nationale de manière à bien ajuster leurs facteurs en vue de limiter la collecte de renseignements personnels, minimiser leur caractère intrusif et garantir la proportionnalité.

Les critères de mesure du succès des scénarios de sécurité nationale devraient inclure des mesures portant précisément sur les résultats en matière de sécurité nationale et être basés sur les résultats ultimes relatifs à la cible, plutôt que sur des résultats intérimaires.

Réponse de l’ASFC:

Acceptée. L’ASFC poursuivra l’examen et le peaufinage des scénarios de sécurité nationale en vue de limiter la collecte de renseignements personnels, minimiser le caractère intrusif, et garantir la proportionnalité.

L’évaluation des risques par l’ASFC est un processus progressif à plusieurs niveaux, qui commence par une évaluation initiale des risques associés à chaque passager des vols commerciaux qui arrive au pays. L’ampleur des renseignements personnels recueillis pendant ce processus augmente à chaque étape et est proportionnelle à notre besoin de détecter et de prévenir le terrorisme ou les crimes graves transnationaux. Le ciblage fondé sur des scénarios (CFS) est une méthode qui a des répercussions minimales sur la vie privée, ce qui permet à l’ASFC de s’acquitter de son mandat en matière de sécurité nationale et de sécurité publique.

Le CFS donne l’assurance que seulement un certain nombre de voyageurs sont sélectionnés pour une évaluation des risques approfondie et qu’un nombre limité d’entre eux sont désignés pour un examen complémentaire au point d’entrée.

En 2016-2017, sur les quelque 29 millions de personnes qui sont arrivées au Canada par les vols commerciaux:

environ 60 000 voyageurs, soit 0,2 %, correspondaient à un critère du CFS pour la sécurité nationale;
552 des 60 000 voyageurs ont été désignés pour un examen complémentaire à un point d’entrée d’après l’évaluation des risques faite par un agent de ciblage du CNC, ce qui représente 0,002 % des 29 millions de voyageurs;

L’ASFC ne tient aucun registre actif de toutes les personnes correspondant à un critère du CFS qui ont par la suite été jugées à faible risque. Elle tient seulement un registre des personnes pour lesquelles un examen au point d’entrée a été demandé. Cette information est conservée pour une période d’activation de septjours, après quoi l’accès est désactivé pour tout le personnel de première ligne. Elle est conservée seulement aux fins de la gestion des dossiers, de la documentation des résultats des examens et de la détermination des risques.

Pour ce qui est de la mesure du succès, le programme de ciblage rend compte des résultats directs et indirects d’un examen mené au point d’entrée.

Tous les rapports d’examen sont revus pour déterminer les résultats du point de vue des douanes, de l’immigration et du renseignement. L’analyse de ces résultats permet à l’ASFC de continuellement modifier ou supprimer des critères du CFS pour la sécurité nationale afin d’améliorer encore plus les résultats et de faciliter davantage l’entrée des voyageurs à faible risque.

À l’avenir, l’ASFC continuera à consigner les résultats directs et indirects de tous les renvois et examens, y compris des mesures centrées sur les résultats relatifs à la sécurité nationale.

Conclusion

L’ASFC recueille et conserve certaines informations qui ne sont pas directement liées aux fins et objectifs du programme de CFS et devrait prendre des mesures pour éviter la collecte excessive de renseignements personnels.
Les ententes d’échange de renseignements conclues entre l’ASFC et ses partenaires ne comportent pas de dispositions destinées à atténuer les risques de divulgation d’informations obtenues de l’ASFC lors des recherches dans les bases de données concernant les voyageurs ciblés par les scénarios. Les ententes devraient être modifiées pour y ajouter des dispositions visant explicitement à limiter la conservation et l’utilisation de données obtenues de l’ASFC pour des recherches dans les bases de données, en vue d’atténuer les risques de soupçons à l’égard d’individus dont il a été déterminé par la suite qu’ils ne représentent pas une menace à la sécurité nationale.
Avant leur lancement, les scénarios de sécurité nationale ne font pas l’objet d’un examen officiel du point de vue des risques d’atteinte à la vie privée, aux droits de la personne et aux libertés civiles. L’ASFC devrait y remédier en entreprenant de tels examens avant la mise en place des scénarios de sécurité nationale. De plus, les décisions menant au lancement, à la modification ou à la suppression des scénarios sur la base de ces examens devraient être documentées.
Certains des critères de l’ASFC pour l’évaluation du succès et de l’efficacité des scénarios de sécurité nationale devraient être explicitement alignés sur les résultats de sécurité nationale confirmés, pour assurer le respect des principes de nécessité et de proportionnalité et l’évaluation adéquate et régulière du caractère intrusif de ce programme pour la vie privée en fonction de ses résultats en matière de sécurité nationale.
Nous reconnaissons l’importance d’un programme destiné à évaluer le risque que peuvent poser des individus pour la sécurité nationale à leur arrivée au Canada. L’ASFC a l’autorité légale de faire une évaluation des voyageurs à destination du Canada en fonction des risques qu’ils représentent et de les désigner pour une vérification supplémentaire en tenant compte des indicateurs de risque ou sur une base aléatoire. L’ASFC a élaboré des politiques et des procédures régissant la gestion des renseignements personnels dans le cadre du programme de CFS et mène des examens réguliers de l’efficacité des scénarios.
Il nous semble cependant préoccupant que certains des scénarios utilisés dans le contexte de la sécurité nationale soient larges et basés sur les données IPV/DP qui englobent des caractéristiques personnelles qui, de par leur nature, correspondent à un grand nombre d’individus respectueux de la loi. Cela crée un risque que des renseignements personnels qui ne sont pas directement associés ou nécessaires à l’administration du programme de CFS soient recueillis, utilisés, conservés et communiqués.
Bien que nous comprenions que l’application des scénarios aux renseignements des passagers n’est que la première étape d’un processus et que l’analyse ultérieure permet de réduire sensiblement le nombre d’individus ciblés pour une vérification plus poussée, nous sommes préoccupés par le fait que quelque 60 000 voyageurs par an soient ciblés comme présentant des menaces potentielles pour la sécurité. Leurs renseignements personnels sont recueillis, évalués et communiqués à d’autres agences, y compris à un partenaire à l’étranger. L’ASFC devrait apporter plus de soin à la confection de ses scénarios de sécurité nationale étant donné qu’ils augmentent le niveau de surveillance et d’atteinte à la vie privée pour les individus correspondant à un scénario. Cela est d’autant plus nécessaire, qu’au bout du compte, il sera déterminé que la grande majorité de ces personnes ne représentent aucune menace pour la sécurité nationale.
Il est important que l’ASFC traite les renseignements personnels recueillis sur les individus dans le cadre du programme de CFS d’une manière respectueuse de la vie privée et reconnaisse le risque de répercussions négatives pour des personnes innocentes qui, bien que ne posant aucune menace réelle par la sécurité nationale, peuvent être affectées par un effort d’évaluation aussi vaste. La détermination des risques potentiels associés à tous les voyageurs arrivant au Canada, bien que cruciale, porte nécessairement atteinte à la vie privée, particulièrement lorsque le processus utilisé est basé sur les données IPV/DP pouvant contenir des renseignements personnels sensibles. À notre avis, les risques pour la vie privée peuvent être atténués par des mesures telles que la limitation des données recueillies, utilisées et communiquées à celles qui sont manifestement nécessaires à l’évaluation des menaces à la sécurité nationale, le recours à des ententes d’échange de renseignements avec les partenaires qui protègent explicitement les renseignements personnels communiqués, la révision des scénarios de sécurité nationale pour tenir compte de la protection de la vie privée, des droits de la personne et des libertés civiles, et l’application de mesures du succès qui s’harmonisent avec les objectifs énoncés du programme.

Au sujet de l’examen

Autorité

En vertu de l’article 37 de la Loi sur la protection des renseignements personnels, le commissaire à la protection de la vie privée peut entreprendre l’examen de la conformité des pratiques de gestion des renseignements personnels des institutions fédérales qui figurent dans l’annexe de ladite loi.

Objectifs

Déterminer s’il existe des contrôles adéquats, notamment des politiques et des procédures, pour s’assurer que les pratiques de gestion des renseignements personnels dans le cadre du programme de CFS sont conformes à la Loi sur la protection des renseignements personnels.

Portée

Notre examen des activités liées au programme de CFS portait sur une période d’un an (31 janvier 2016 au 31 janvier 2017). Nous avons examiné le programme de CFS de l’étape de l’élaboration et de la mise en œuvre des scénarios de sécurité nationale jusqu’aux conséquences ultérieures pour les individus ciblés par cette méthodologie. Nous avons notamment examiné les données consultées pour faciliter la détermination des cibles, les documents préparés par les agents responsables du ciblage, les rapports remis aux agents des services frontaliers et les rapports sur les résultats des évaluations entreprises par ces derniers. L’examen a porté exclusivement sur les scénarios de sécurité nationale. Nous n’avons pas étudié l’infrastructure informatique qui appuie le programme de CFS. L’examen était essentiellement terminé le 31 mars 2017.

Critères

Les critères utilisés dans le cadre de l’examen découlaient des articles 4 à 8 de la Loi sur la protection des renseignements personnels ainsi que des politiques, directives, normes et lignes directrices du Secrétariat du Conseil du Trésor du Canada (SCT) en matière de gestion et de protection des renseignements personnels.

L’examen visait à déterminer la mesure dans laquelle l’ASFC s’acquittait de ses obligations en vertu de la Loi sur la protection des renseignements personnels de même que des politiques, directives, normes et lignes directrices du SCT à l’égard des renseignements personnels recueillis dans le cadre du programme de CFS. À cette fin, nous avons enquêté dans le but de déterminer si l’ASFC veillait à ce que les renseignements personnels recueillis, utilisés et conservés dans le cadre du programme de CFS:

étaient directement liés à l’objectif énoncé du programme;
étaient aussi complets, à jour et exacts que possible;
n’étaient utilisés ou divulgués qu’aux fins autorisées;
étaient gérés et éliminés conformément aux autorisations en la matière.

Normes

L’examen a été mené conformément au mandat législatif, aux politiques et aux façons de faire du Commissariat à la protection de la vie privée du Canada, en respectant l’esprit des normes de vérification recommandées par les Comptables professionnels agréés du Canada.

Notes

Note de bas de page 1

Agence des services frontaliers du Canada -- Évaluation du Programme de ciblage de l’Agence des services frontaliers du Canada, janvier2016. Description du programme.

Retour à la référence de la Note de bas de page1

Note de bas de page 2

Loi sur les douanes. Règlement sur les renseignements relatifs aux passagers (douanes) (DORS/2003-219).

Retour à la référence de la Note de bas de page2

Note de bas de page 3

Le Système d’information sur les voyageurs (SIPAX) est un système d’acquisition de données et d’analyse qui traite et présente des renseignements détaillés sur l’équipage et les passagers de tous les vols internationaux à destination du Canada

Retour à la référence de la Note de bas de page3

Note de bas de page 4

Le Système intégré d’exécution des douanes (SIED) est un système automatisé d’appui à l’application des règlements douaniers qui est utilisé par les inspecteurs de première ligne, les agents du renseignement et les enquêteurs pour recueillir, analyser et diffuser des renseignements sur les risques aux frontières. Il sert également de référentiel commun pour toutes les données qui concernent les douanes, notamment les arrestations, les saisies et les enquêtes douanières en cours.

Retour à la référence de la Note de bas de page4

Note de bas de page 5