Journée d’apprentissage du portefeuille de la sécurité publique, de la défense et de l’immigration 2022
Allocution prononcée lors de la Conférence annuelle du Portefeuille de la sécurité publique, de la défense et de l’immigration du ministère de la Justice Canada
Le 2 février 2022, par vidéoconférence
Allocution de Daniel Therrien
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Introduction
Je vous remercie de m’avoir invité aujourd’hui.
J’aimerais aborder la question des répercussions des nouvelles technologies sur la vie privée, le tout dans une perspective qui couvrira mes huit années comme commissaire à la vie privée.
Certains d’entre vous savent qu’avant de devenir commissaire, j’étais sous-procureur général adjoint de votre portefeuille, celui de la sécurité publique, de la défense et de l’immigration.
Je pense que mon travail sur les questions de sécurité publique m’a bien préparé à exercer mon présent rôle. Il existe assurément des points communs entre ces rôles qui, à la base, consistent à veiller au respect de la loi.
À première vue, la sécurité publique et la protection de la vie privée peuvent sembler inconciliables, mais il est possible de garantir les deux en même temps. Ce n’est pas un jeu à somme nulle.
Je comprends bien que votre rôle est de « veiller au respect de la loi dans l’administration des affaires publiques ».
En tant que commissaire à la protection de la vie privée du Canada, mon rôle est de veiller à ce que les activités du gouvernement et des organisations commerciales respectent nos lois fédérales sur la protection des renseignements personnels.
Essentiellement, nous partageons le même objectif : assurer à la fois la sécurité publique et la protection des droits.
À cet égard, la technologie joue un rôle de plus en plus important.
Je comprends que les organismes d’application de la loi et les agences de sécurité nationale ont besoin d’outils modernes pour faire leur travail efficacement, mais les nouvelles approches et stratégies pour y parvenir doivent être nécessaires et proportionnelles.
Autrement dit, les risques pour la vie privée doivent être atténués, et les nouvelles technologies doivent être déployées de manière à protéger la vie privée.
Nous avons fait beaucoup de chemin en ce sens et je crois que nous sommes dans une meilleure situation en 2022 que nous ne l’étions au lendemain des attentats du 11 septembre 2001.
Évidemment, tout n’est pas parfait et je parlerai donc de certains enjeux actuels et de la façon dont nos lois devraient s’adapter à la situation, maintenant et dans les années à venir.
L’évolution de la communication d’information et de la surveillance des activités de sécurité nationale
Le contexte de la protection de la vie privée a changé de façon très importante au cours des dernières années.
À la suite des attentats du 11 septembre 2001, la nécessité de se protéger contre d’autres attaques terroristes a semblé l’emporter sur le droit à la vie privée.
Ce point de vue a commencé à changer au fil du temps, en partie à cause des révélations d’Edward Snowden.
Au cours de mon mandat, le Commissariat a contribué à faire en sorte de mieux réglementer certains des pouvoirs les plus vastes accordés à l’État par le projet de loi C-13, qui a élargi les pouvoirs en matière de collecte de renseignements prévus au Code criminel, et par le projet de loi C-51, qui a élargi les pouvoirs relatifs à la communication d’information, par l’intermédiaire de la Loi antiterroriste (2015).
Le projet de loi C-59, adopté plus tard en 2019, a permis d’atténuer certaines des dispositions les plus préoccupantes du projet de loi C-51.
Plus précisément, des modifications ont été apportées à ce projet de loi pour s’assurer que des normes plus élevées soient fixées avant que des renseignements personnels puissent être communiqués à des agences de sécurité nationale.
Au cours de ces débats, la nécessité d’une surveillance indépendante est également devenue évidente, ce qui a entraîné la création de nouveaux organismes de surveillance importants : l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et le Bureau du commissaire au renseignement.
Le projet de loi C-22, quant à lui, a permis de constituer le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR).
L’expertise du Commissariat est complémentaire à celle de ces organismes de surveillance.
Par exemple, mes collègues de l’OSSNR sont des spécialistes du droit de la sécurité nationale, et nous sommes des spécialistes du droit de la vie privée.
La mise en commun de nos expertises apporte une valeur ajoutée aux examens que nous menons conjointement et permet d’approfondir l’analyse.
Je tiens à souligner que nous collaborons régulièrement avec l’OSSNR, en vertu d’un protocole d’entente dont les modalités et les objectifs ont été rendus publics en juillet dernier.
Justement, dans les jours à venir, le ministre de la Sécurité publique présentera le premier rapport conjoint d’examen de la Loi sur la communication d’information ayant trait à la sécurité du Canada.
Nous travaillons avec divers organismes gouvernementaux et continuerons de le faire.
Par exemple, nous avons récemment communiqué avec le ministère de la Défense nationale et les Forces armées canadiennes.
Nous voulions leur offrir notre appui alors qu’ils étudiaient les recommandations du Secrétariat du CPSNR dans son rapport spécial sur la collecte, l’utilisation, la conservation et la diffusion de renseignements sur les Canadiens dans le contexte des activités du renseignement de défense.
Plus précisément, nous avons fourni nos observations sur la nouvelle directive fonctionnelle du Chef du renseignement de la Défense, intitulée Directive sur la protection et la gestion de l’information des citoyens canadiens, qui régit ces activités. Cette directive a été revue et mise à jour en réponse aux recommandations formulées dans ce rapport.
Nous avons notamment recommandé de remanier le texte pour mettre davantage l’accent sur l’importance de la norme de la nécessité pour la collecte des renseignements personnels des citoyens canadiens.
Nous avons également demandé au ministère de la Défense nationale de préciser que les exigences en matière de documentation s’appliquent également à l’information qu’il communique à ses partenaires canadiens oralement et par écrit.
Le ministère de la Défense nationale a accepté d’effectuer plusieurs modifications en fonction de nos recommandations.
Nous prévoyons poursuivre sous peu notre collaboration avec le ministère de la Défense nationale et les Forces armées canadiennes en ce qui concerne les activités du renseignement de la défense.
Fouilles d’appareils électroniques à la frontière
Comme je le disais, des progrès ont été réalisés pour que l’utilisation de nouvelles technologies servant à atteindre des objectifs de sécurité publique se fasse d’une façon qui respecte le droit à la vie privée.
En 2019, nous avons publié nos conclusions au sujet d’un certain nombre de plaintes contre l’Agence des services frontaliers du Canada (ASFC) concernant la fouille des appareils numériques personnels par les agents des services frontaliers aux points d’entrée, en particulier les téléphones cellulaires, les tablettes électroniques et les ordinateurs portables.
Plus précisément, nous avons fait valoir qu’il faudrait mettre à jour la Loi sur les douanes afin de reconnaître que les appareils numériques renferment des renseignements personnels sensibles, et qu’ils ne sont pas une simple « marchandise » pouvant faire l’objet de fouilles à la frontière sans motifs juridiques.
Il s’agit manifestement d’une idée dépassée qui ne reflète pas les réalités de la technologie d’aujourd’hui.
Nous avons aussi affirmé que cette loi devrait comprendre un cadre législatif clair quant à l’examen des appareils numériques. Nous avons recommandé que l’examen des appareils numériques ne soit permis que lorsque les agents ont des « motifs raisonnables de soupçonner » une infraction à la loi.
En 2017, j’ai soutenu que les tribunaux canadiens en viendraient à juger que les fouilles sans motifs d’appareils électroniques sont inconstitutionnelles, même si elles sont faites à la frontière.
L’an dernier, la Cour d’appel de l’Alberta a effectivement jugé inconstitutionnelles les dispositions de la Loi sur les douanes qui autorisaient les agents de l’ASFC à effectuer des fouilles d’appareils sans mandat et a ordonné au gouvernement de modifier la Loi.
L’automne dernier, le gouvernement a obtenu une prolongation de six mois à cette fin.
Nous espérons voir prochainement le dépôt d’une loi modifiée, qui permettra d’imposer un seuil minimum pour les fouilles d’appareils électroniques à la frontière. Ce serait là une autre indication que les choses évoluent dans le bon sens.
La technologie de reconnaissance faciale, Clearview AI et la GRC
La reconnaissance faciale est une autre technologie relativement nouvelle qui est sous la loupe au pays et à l’étranger. Elle fait l’objet d’un examen minutieux du public et des milieux politique et juridique, en particulier en ce qui concerne son utilisation par les services de police.
Contrairement à d’autres formes de données biométriques recueillies et utilisées par les organismes d’application de la loi, comme les empreintes digitales, la technologie de reconnaissance faciale au Canada est réglementée par une mosaïque de lois et de jurisprudence qui, pour la plupart, ne tiennent pas compte des risques propres à cette technologie.
Cela crée de l’incertitude quant aux utilisations de la reconnaissance faciale qui peuvent être acceptables, et dans quelles circonstances.
Comme vous le savez sans doute, le Commissariat a mené une enquête conjointe sur Clearview AI avec ses homologues du Québec, de l’Alberta et de la Colombie-Britannique.
Cette enquête a révélé que l’entreprise a recueilli des données biométriques très sensibles à l’insu et sans le consentement des personnes concernées.
Clearview AI a fait valoir qu’elle n’avait pas à obtenir de consentement, puisque les renseignements étaient accessibles au public.
De plus, elle a affirmé que les avantages associés aux services qu’elle offre aux organismes d’application de la loi et de sécurité nationale l’emportaient sur toute atteinte potentielle à la protection de la vie privée.
Nous avons rejeté ces arguments.
Au final, nous avons conclu que les pratiques de Clearview AI représentaient une surveillance de masse. Il est illégal et totalement inacceptable que des millions de personnes qui ne seront jamais impliquées dans un crime se retrouvent constamment dans des séances d’identification policière.
En lien avec cette enquête, le Commissariat a reçu une plainte en vertu de la Loi sur la protection des renseignements personnels, portant sur l’utilisation par la Gendarmerie royale du Canada (GRC) des services de Clearview AI.
Au terme de l’enquête sur cette plainte, nous avons conclu que la GRC avait contrevenu à la Loi lorsqu’elle a recueilli des renseignements personnels auprès de cette entreprise.
Nous avons souligné qu’une institution fédérale ne peut pas recueillir de renseignements personnels auprès d’un tiers si ce dernier les a recueillis de façon illégale.
Il s’agit là d’un facteur essentiel qui, selon nous, devrait être pris en considération chaque fois qu’une institution publique passe un contrat avec une entreprise du secteur privé pour fournir un produit ou un service à la population canadienne.
Nous comprenons que les criminels ont recours à de nouvelles technologies pour commettre leurs crimes. Les organismes d’application de la loi et de sécurité nationale doivent donc moderniser leurs façons de faire.
Mais évidemment, les institutions fédérales doivent utiliser la technologie dans le respect des lois en vigueur, y compris celles sur la protection des renseignements personnels.
Nous avons constaté des lacunes graves et systémiques dans les politiques et les systèmes de la GRC concernant le suivi, l’identification, l’examen et le contrôle des nouvelles collectes de renseignements personnels.
À tout le moins, nous nous attendons à ce qu’une institution ayant des programmes de collecte de renseignements personnels qui pourraient présenter un risque élevé pour la vie privée des gens mette en place un certain nombre de mesures.
Il peut s’agir de programmes de formation ou d’un recours à de l’expertise juridique ou à d’autres types d’expertise afin de s’assurer que les décideurs connaissent leurs obligations.
Cette institution devrait aussi disposer de systèmes et de procédures permettant d’effectuer le suivi de nouvelles collectes effectives et de nouvelles collectes éventuelles de renseignements personnels.
Il devrait y avoir des processus permettant de déceler les éventuels problèmes de conformité et d’autres permettant de réaliser des évaluations en temps voulu lorsque cela est justifié.
Finalement, il devrait y avoir des contrôles efficaces pour limiter la collecte de renseignements personnels par les employés.
Nous avons trouvé des lacunes dans tous ces domaines en ce qui concerne les pratiques de la GRC.
Par exemple, en ce qui a trait à la connaissance des obligations, la GRC a défendu les mesures prises par ses décideurs qui ont utilisé les services de Clearview AI sans mener des évaluations des facteurs relatifs à la vie privée en affirmant qu’ils se sont fiés aux affirmations de Clearview AI selon lesquelles les images de la société provenaient toutes de renseignements accessibles au public.
À notre avis, il devrait être clair pour des décideurs que la collecte de renseignements au moyen de la technologie de reconnaissance faciale exige une évaluation rigoureuse, plutôt que de se fier aux affirmations d’un fournisseur commercial.
Nos recommandations visaient à combler ces lacunes, et je suis heureux de dire que la GRC prend des mesures concrètes en ce sens.
Par exemple, la GRC a commencé à mettre sur pied le Programme national d’intégration des technologies, qui lui permettra de déterminer et d’évaluer les répercussions des nouvelles technologies d’enquête sur le plan juridique et sur celui de la protection de la vie privée.
Il s’agit d’une étape encourageante et nécessaire.
Le document d’orientation relatif au recours à la technologie de reconnaissance faciale
Au moment où les conclusions de notre enquête sur le recours par la GRC aux services de Clearview AI ont été rendues publiques, nous avons lancé, en collaboration avec nos homologues provinciaux et territoriaux, une consultation sur un projet de document d’orientation au sujet du recours à la technologie de reconnaissance faciale par les services de police au pays.
Ce document d’orientation vise à préciser les responsabilités juridiques des services de police dans le cadre juridique actuel, afin de veiller à ce que toute utilisation de la reconnaissance faciale soit conforme à la loi, limite les risques d’atteinte à la vie privée et respecte le droit fondamental à la vie privée.
Le Commissariat a lancé une consultation sur ce document d’orientation afin de solliciter la rétroaction des intervenants sur le sujet, notamment les services de police, le milieu universitaire, l’industrie, la société civile et le grand public.
Une analyse préliminaire des observations qui ont été reçues révèle que les intervenants s’entendent sur plusieurs thèmes, dont la nécessité d’établir des règles juridiques plus claires, de limiter l’utilisation de la reconnaissance faciale à des fins appropriées, de prévoir des dispositions en matière de responsabilité, de transparence et de surveillance externe et, enfin, de garantir l’exactitude des données et des logiciels.
Un certain nombre d’intervenants, dont la Commission canadienne des droits de la personne, ont demandé un moratoire sur l’utilisation de la technologie de reconnaissance faciale par les services de police jusqu’à ce qu’un nouveau cadre juridique et de politique soit mis en place.
Cette approche a déjà été adoptée dans d’autres pays. Par exemple, aux États-Unis, certaines villes ont interdit le recours à la reconnaissance faciale aux fins d’application de la loi.
La Commission européenne n’est pas allée aussi loin. Mais, dans un projet de règlement sur l’intelligence artificielle, elle propose de restreindre l’utilisation de la reconnaissance faciale en temps réel dans les espaces publics, par les organismes d’application de la loi, aux cas relatifs au terrorisme, à la criminalité grave ainsi qu’aux recherches ciblées pour aider des victimes d’actes criminels et retrouver des enfants disparus.
Le règlement prévoit aussi d’autres normes importantes, notamment le critère de stricte nécessité, l’examen des répercussions sur les droits et libertés de toutes les personnes concernées, le respect de mesures de protection nécessaires et proportionnelles, ainsi que l’autorisation préalable par une autorité judiciaire ou une autre autorité administrative indépendante, entre autres protections.
Même si les intervenants sont en accord sur un certain nombre de thèmes, ils ne le sont pas sur d’autres, notamment sur l’imposition d’un moratoire.
Devant cet état de fait, nous pourrions bien recommander au Parlement d’étudier davantage cette question, d’entendre les points de vue divergents et, à titre d’élus, de fixer les conditions d’utilisation de la technologie de reconnaissance faciale.
Dans l’intervalle, nous publierons notre document d’orientation sous le régime de la loi actuelle au printemps.
La vie privée et la pandémie
La pandémie a aussi démontré à quel point les technologies numériques créent des risques supplémentaires sur le plan de la protection de la vie privée.
Depuis le début de la pandémie de la COVID-19, le Commissariat insiste sur le fait que même durant une grave situation d’urgence sanitaire, il est toujours possible de protéger les renseignements personnels, en adoptant une approche souple et contextuelle du droit à la vie privée. Depuis 2020, nous avons pu démontrer que la protection de la vie privée n’est pas un obstacle à la santé publique.
Le gouvernement du Canada a été en contact avec le Commissariat dans de nombreux dossiers, dont ceux portant sur le suivi et le traçage des cas de COVID-19, les contrôles frontaliers et les initiatives d’aide financière pendant une période de crise économique.
Par exemple, le Commissariat a formulé des avis et des recommandations portant sur l’application mobile ArriveCAN.
Cette application permet aux voyageurs entrant au pays de déclarer leur conformité aux mesures d’isolement obligatoire prévues par la Loi sur la mise en quarantaine.
Restreindre les entrées au Canada en raison de la COVID-19 constituait un nouveau défi pour l’ASFC et l’Agence de la santé publique du Canada (ASPC).
Le recours à des formulaires papier a commencé en février 2020 afin de permettre aux autorités de santé publique de faire le traçage des contacts. Mais le nombre de documents dont les données devaient être saisies et traitées manuellement est devenu trop important.
Pour mettre en œuvre ses restrictions frontalières, le gouvernement a commencé à recueillir, en vertu des pouvoirs qui lui sont conférés par la Loi sur la mise en quarantaine, les coordonnées des voyageurs, des précisions sur leur voyage au Canada, l’information sur leur auto-évaluation des symptômes de la COVID-19 et des renseignements sur leur projet de quarantaine.
Au fur et à mesure que la pandémie prenait de l’ampleur, la collecte s’est élargie pour inclure les résultats de tests de dépistage de la COVID-19 et de l’information sur la preuve de vaccination.
Chaque fois que le gouvernement a ajouté de nouvelles activités de collecte, l’ASPC a consulté le Commissariat.
Conformément au principe de minimisation de la collecte de données, nous avons souligné à l’ASPC l’importance de ne recueillir que les renseignements personnels dont elle a besoin pour assurer le respect de ses restrictions frontalières et de ne les utiliser qu’à cette fin.
Les attentes raisonnables des individus en matière de vie privée sont peut-être réduites au cours d’une crise de santé publique, mais il ne serait pas raisonnable de s’attendre à ce que des renseignements sensibles (par exemple leur état de santé, les endroits où ils sont allés ou les personnes qu’ils ont rencontrées) puissent être utilisés à d’autres fins gouvernementales ou commerciales.
Nous avons également recommandé à l’ASPC et à ses partenaires de mettre en place des mesures pour prévenir la collecte excessive de renseignements personnels auprès des voyageurs.
L’ASPC a accueilli favorablement notre recommandation et y a répondu en limitant les zones de texte libre et en éliminant les sections qui n’étaient pas nécessaires dans son application.
Alors que nous nous dirigeons vers une phase post-pandémique, nous croyons comprendre que l’ASFC examine à quoi pourrait servir l’application ArriveCAN à l’avenir. Elle pourrait, par exemple, servir à simplifier d’autres déclarations obligatoires, comme la déclaration de renseignements relatifs aux douanes et à l’immigration.
Simultanément, l’ASFC se penche sur d’autres moyens de tirer parti des technologies mobiles, comme les titres de voyage numériques aux fins d’identification des voyageurs.
Le Commissariat continuera à collaborer avec le gouvernement en ce qui concerne ses outils numériques pour les voyages.
La réforme du droit : approche proposée
Si nous voulons protéger adéquatement la population canadienne et renforcer la confiance dans l’économie numérique et envers les institutions fédérales, nous devons avoir des lois adaptées au 21e siècle.
Dans les lettres de mandat publiées en décembre, le premier ministre a demandé au ministre de l’Innovation, des Sciences et de l’Industrie de présenter un projet de loi visant à « renforcer la protection de la vie privée des consommateurs » et au ministre de la Justice de « poursuivre l’examen approfondi de la Loi sur la protection des renseignements personnels » afin « d’assurer que la Loi est conforme aux répercussions des changements technologiques et à l’évolution des valeurs canadiennes ».
J’espère que ces réformes essentielles seront bientôt adoptées.
Nous avons besoin de lois fédérales qui permettent une innovation responsable, mais qui s’inscrivent dans un cadre fondé sur les droits qui reconnaît le droit fondamental à la vie privée.
Il faut aussi établir des principes communs dans les deux lois fédérales.
Par exemple, la nécessité et la proportionnalité doivent être prises en considération avant de recueillir, d’utiliser et de conserver l’information.
Cela signifie que les organisations ne devraient adopter des mesures intrusives que s’il est possible de démontrer qu’elles sont nécessaires pour atteindre un objectif important, et que l’atteinte à la vie privée est proportionnelle aux avantages escomptés.
Cela est d’autant plus important dans un contexte où le gouvernement dépend de plus en plus de technologies mises au point par le secteur privé pour mener à bien ses activités.
Conclusion
Cela ne fait aucun doute : le monde numérique présente autant de possibilités intéressantes que de difficultés pour les organismes d’application de la loi, de sécurité nationale et de renseignement.
Si elles sont utilisées de manière inappropriée, les technologies comme la reconnaissance faciale peuvent avoir des effets graves et durables sur la vie privée et d’autres droits fondamentaux.
On ne parle pas que de préjudices pour les individus, mais de préjudices pour la société en général, qui découlent de la capacité accrue des autorités de surveiller les espaces physiques et numériques dans lesquels les citoyens interagissent.
Les limites de l’utilisation acceptable de ces technologies dépendent en partie de nos valeurs, et des attentes que nous établissons maintenant pour la protection de la vie privée à l’avenir, face à l’augmentation constante des capacités technologiques permettant de s’immiscer dans la vie privée.
Lorsque des organisations cherchent à ajouter de nouvelles technologies aux moyens dont elles disposent, elles ne doivent pas oublier de tenir compte de la vie privée dès la conception.
Cela signifie qu’il faut intégrer des mesures de protection de la vie privée aux initiatives proposées avant de les mettre en œuvre.
Qu’il faut effectuer des évaluations des facteurs relatifs à la vie privée pour veiller à ce que les programmes se conforment à la loi.
Et qu’il faut surveiller et évaluer constamment les risques et l’efficacité des mesures de protection.
Je suis également conscient que les lois actuelles ne sont pas à la hauteur.
L’intégration d’un cadre fondé sur les droits dans nos lois sur la protection des renseignements personnels permettrait de favoriser une innovation responsable et de susciter la confiance envers le gouvernement.
Cela permettrait aux gens de participer pleinement et en toute confiance à l’économie numérique.
Comme société, nous devons projeter nos valeurs dans nos lois sur le numérique. Nos citoyens ne s’attendent à rien de moins de leurs institutions publiques.
Ce n’est que par le respect de la loi et des valeurs qui nous sont chères que nous serons en mesure de profiter en toute sécurité des avantages que recèlent les nouvelles technologies, tout en préservant les droits et libertés dont nous sommes si fiers à titre de Canadiens.
Je vous remercie. Je crois que nous avons le temps de répondre à des questions.
- Date de modification :