Sélection de la langue

Recherche

Fiche des enjeux, étude des outils d’enquête sur appareil utilisés par la GRC

Rôle du Commissariat par rapport au programme de l’Équipe d’accès secret et d’interception de la Gendarmerie royale du Canada

Principaux messages

  • Le Commissariat a été informé du programme de l’Équipe d’accès secret et d’interception (EASI) lors d’une demande des médias reçue le 27 juin 2022.
  • Malgré les exigences du Secrétariat du Conseil du Trésor (SCT) selon lesquelles les évaluations des facteurs relatifs à la vie privée (EFVP) doivent être réalisées avant la mise en œuvre d’un programme, et malgré les réunions régulières que le Commissariat tient avec la Gendarmerie royale du Canada (GRC), le Commissariat n’a pas reçu d’EFVP portant sur les outils utilisés dans le programme de l’EASI, et il n’a pas été consulté non plus à ce sujet par la GRC. Nous ne sommes donc pas en mesure de cerner les risques ou de soulever les préoccupations liés à ce programme.
    • À notre demande, la GRC nous fera une démonstration d’une journée sur l’utilisation des outils d’enquête sur appareil plus tard ce mois-ci.
  • Le Commissariat n’a pas reçu de plainte et n’a pas lancé d’enquête sur le sujet pour l’instant. Si de nouveaux renseignements indiquaient la possibilité d’une infraction à la Loi sur la protection des renseignements personnels, le Commissariat pourrait lancer une enquête fondée sur les risques que représente le recours à ces outils pour les Canadiens.
  • Le programme de l’EASI n’est pas le seul programme de la GRC dont nous avons entendu parler par les médias. Par exemple, en 2020, nous avons appris que la GRC utilisait la technologie de reconnaissance faciale de Clearview AI.

Contexte

  • Au point 6.3.1 de la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT on exige que les institutions amorcent des EFVP pour les programmes nouveaux ou ayant subi des modifications importantes lorsque des renseignements personnels sont utilisés dans le cadre d’un processus décisionnel touchant directement un individu.
  • Notre compréhension des outils d’enquête sur appareil nous permet de croire que l’institution qui prévoit d’y avoir recours consultera le Commissariat et soumettra une EFVP avant le lancement du programme dans lequel elle entend les utiliser, afin de nous laisser suffisamment de temps pour l’examiner et formuler des recommandations.
  • Si des inquiétudes sont soulevées lors de la démonstration sur les outils d’enquête sur appareil, le Commissariat offrira de judicieux conseils sur la façon d’atténuer les risques.

Préparé par : La Direction des services-conseils au gouvernement

En consultation avec : Le Secteur de la conformité


Conclusions d’enquête pertinentes

Principaux messages

  • En 2017, nous avons constaté que la collecte par la GRC de données de localisation de téléphones au moyen de simulateurs de sites cellulaires était de façon générale conforme à la Loi sur la protection des renseignements personnels, sauf dans 6 cas où il n’y avait ni autorisation judiciaire ni urgence. Dans ces cas, nous avons conclu que la GRC avait contrevenu à l’article 4 [sur la collecte] de la Loi sur la protection des renseignements personnels.
  • Nous avons encouragé la GRC à continuer de s’efforcer de faire preuve d’ouverture et de rendre des comptes sur les technologies qu’elle emploie et sur leurs capacités.
  • Lorsque nous avons mené une enquête sur l’utilisation de la technologie de reconnaissance faciale de Clearview AI par la GRC en 2020-2021, nous avons constaté des lacunes systémiques dans les politiques et les systèmes du service de police concernant le suivi, l’examen et le contrôle des nouvelles technologies. La GRC a enfreint l’article 4 de la Loi sur la protection des renseignements personnels en recueillant auprès de Clearview AI des renseignements que cette dernière avait recueillis en contrevenant aux lois auxquelles elle était assujettie.
  • De plus, la GRC avait d’abord affirmé au Commissariat qu’elle n’utilisait pas la technologie de Clearview AI pour ensuite confirmé qu’elle l’utilisait, après que l’information eut été rendue publique.

Contexte

  • L’année dernière, nous avons demandé à la GRC de mettre en œuvre les 8 recommandations que nous lui avons formulées suite à notre enquête sur son utilisation de la technologie de Clearview AI. Parmi ces recommandations figurait le lancement du Programme national d’intégration des technologies (PNIT). Nous examinons actuellement le rapport que la GRC nous a remis le mois dernier au sujet de ce programme.
    • La GRC a fait des progrès, mais nous craignons qu’elle ne confère pas assez de pouvoirs et de ressources au PNIT pour modifier efficacement les pratiques dans une grande organisation décentralisée.
  • Le Commissariat mène actuellement une enquête sur une plainte concernant le projet Wide Awake de la GRC (collecte de renseignements de source ouverte). Il ne s’agit pas d’outils d’enquête sur appareil. Étant donné que l’enquête est en cours, nous ne pouvons fournir aucun autre renseignement.
  • La GRC figure constamment dans la liste des 10 premières institutions fédérales à l’égard desquelles nous recevons des plaintes; au cours des 5 derniers exercices financiers, le Commissariat a reçu un total de 1 468 plaintes. La moitié d’entre elles (655) concernent des situations où le délai de réponse à une demande de renseignements personnels n’a pas été respecté.

Préparé par : Le Secteur de la conformité


NuEnergy.ai

Principaux messages

  • C’est dans un article de presse que le Commissariat a appris, en novembre 2021, que la GRC était susceptible de travailler avec NuEnergy.ai, une entreprise canadienne de gestion de l’intelligence artificielle (IA), pour élaborer un cadre d’IA. En décembre 2021, nous avons demandé à la GRC de plus amples renseignements sur ce travail.
    • On nous a dit qu’une séance d’information était en cours de coordination, mais nous n’avons pas reçu de détails supplémentaires jusqu’à présent.
  • Je fais remarquer que, bien que NuEnergy.ai figure sur la liste des fournisseurs autorisés de la Liste des fournisseurs d’intelligence artificielle du gouvernement du Canada (élaborée par Services publics et Approvisionnement Canada [SPAC]), le Commissariat ne peut pas se prononcer sur la prise de position de cette entreprise en matière de protection des renseignements personnels, car il n’a pas été consulté sur son inclusion dans la liste.
  • Nous sommes en faveur de la tenue de consultations sur les initiatives qui ont une incidence sur la vie privée, en particulier celles qui concernent l’utilisation de nouvelles technologies.

Contexte

  • Dans une lettre envoyée au Comité ETHI le 22 juin 2022, NuEnergy.ai a décrit son travail avec la GRC et a fait référence à une « enquête menée par le Commissariat ». Nous croyons que l’entreprise sous-entendait l’enquête que nous avons menée sur l’utilisation de la technologie de reconnaissance faciale de Clearview AI par la GRC.
  • Nous assurons le suivi de la mise en œuvre des recommandations que nous avons formulées à la GRC suite à cette enquête et, dans ce cadre, la GRC nous a présenté un rapport final que nous sommes en train d’analyser. Nous n’avons pour l’instant aucun commentaire à formuler. L’équipe des Services-conseils à l’entreprise du Commissariat, qui donne aux entreprises des avis en matière de protection de la vie privée dans le contexte de l’élaboration de leurs initiatives, n’a jamais traité directement avec NuEnergy.ai.

Préparé par : La Direction des services-conseils au gouvernement

En consultation avec : La Direction des services-conseils à l’entreprise et le Secteur de la conformité (Direction des admissions, du règlement et de la conformité)


Réponse de la Gendarmerie royale du Canada à notre enquête sur son utilisation de la technologie de reconnaissance faciale de Clearview AI

Principaux messages

  • Le Commissariat a déjà mené une enquête sur l’adoption par la GRC de nouvelles technologies, notamment la technologie de reconnaissance faciale de Clearview AI (2020-2021).
    • Dans le cadre de cette enquête, nous avons constaté des infractions à l’article 4 de la Loi sur la protection des renseignements personnels.
  • Le Commissariat a pris connaissance de l’existence de NuEnergy.ai (qui fournirait des produits d’IA à la GRC) en novembre 2021 à la suite d’un article de presse. Nous avons demandé de plus amples renseignements à la GRC, et on nous a dit qu’une séance d’information était en cours de coordination, mais nous n’avons pas reçu de détails supplémentaires jusqu’à présent.
  • Mes fonctionnaires poursuivent leur analyse des documents récemment présentés par la GRC. Ainsi, je ne dispose d’aucun renseignement supplémentaire à ce sujet pour le moment.
  • Nous sommes en faveur de consultations sur les initiatives qui ont une incidence sur la vie privée, en particulier celles qui nécessitent l’utilisation de nouvelles technologies.

Contexte

  • La GRC donne suite à 8 recommandations que nous lui avons formulées dans le cadre de notre enquête sur son utilisation de la technologie de reconnaissance faciale de Clearview AI, dont le lancement du PNIT.
    • La GRC a fait des progrès, mais je suis préoccupé par le fait que le PNIT ne dispose pas des ressources suffisantes pour modifier efficacement les pratiques dans une grande organisation décentralisée.
    • La portée de nos recommandations comprenait toute nouvelle technologie nécessitant la collecte ou l’utilisation de renseignements personnels. Étant donné que nous examinons actuellement la mise en œuvre de nos recommandations par la GRC, je ne peux pas formuler de commentaires sur l’utilisation qu’elle fait de ces technologies ni sur la formation connexe.
  • L’équipe des Services-conseils à l’entreprise du Commissariat, qui donne aux entreprises des avis en matière de protection de la vie privée dans le contexte de l’élaboration de leurs initiatives, n’a jamais traité directement avec NuEnergy.ai.
  • Le Commissariat n’a pas été consulté sur la liste des fournisseurs autorisés de la Liste des fournisseurs d’intelligence artificielle du gouvernement du Canada (élaborée par SPAC) sur laquelle figure NuEnergy.ai.

Préparé par : La Direction des admissions, du règlement, et de la conformité

En consultation avec : La Direction des services-conseils au gouvernement et la Direction des services-conseils à l’entreprise


Processus de consultation et attentes en matière d’évaluation des facteurs relatifs à la vie privée

Principaux messages

  • Le Commissariat s’attend à ce que les institutions l’informent de toute initiative prévue pouvant avoir une incidence sur la vie privée des Canadiens et à ce qu’une EFVP soit réalisée avant le lancement de l’initiative, comme l’exige la Politique sur la protection de la vie privée du SCT.
  • L’EFVP doit au moins comprendre les éléments de l’EFVP de base, comme l’exige la Directive sur l’évaluation des facteurs relatifs à la vie privée du SCT et elle doit :
    • traiter de l’autorisation légale de mener l’activité;
    • démontrer que l’initiative est nécessaire pour répondre à un besoin particulier, que son incidence est proportionnelle aux avantages escomptés, que le programme proposé a de bonnes chances de permettre de remplir efficacement ses objectifs et qu’il est minimalement invasif compte tenu de ses objectifs.
  • La Loi sur la protection des renseignements personnels ne donne pas au Commissariat le pouvoir d’appuyer ou d’approuver les EFVP, et nous ne pouvons pas exiger des institutions qu’elles les réalisent.

Contexte

  • D’après la section 4.2.2 de la Politique sur la protection de la vie privée du SCT, les institutions gouvernementales ou leurs délégués doivent aviser le commissaire à la protection de la vie privée de toute initiative prévue (loi, règlement, politique, programme) pouvant avoir une incidence sur la vie privée des Canadiens et des Canadiennes.
    • Cet avis doit être transmis suffisamment tôt pour permettre au commissaire d’examiner les questions et d’en discuter.
  • En consultant le Commissariat dès les premières étapes de l’élaboration d’un programme, les institutions peuvent obtenir des conseils sur la façon d’intégrer la protection de la vie privée dans la conception et la mise en œuvre du programme, ce qui permet d’obtenir des programmes qui protègent mieux la vie privée.
  • Attentes : Le Guide sur le processus d’évaluation des facteurs relatifs à la vie privée du Commissariat explique en détail les étapes à suivre par les institutions pour toute EFVP, en soulignant notamment l’importance pour les programmes présentant un risque élevé d’évaluer la nécessité et la proportionnalité.

Préparé par : La Direction des services-conseils au gouvernement


Atteintes à la vie privée

Principaux messages

  • Selon la politique du SCT, les institutions fédérales sont tenues de signaler au Commissariat et au SCT, toute atteinte substantielle à la vie privée– il ne s’agit toutefois pas d’une obligation législative.
  • Le Commissariat plaide depuis longtemps en faveur de l’inclusion d’une disposition sur les mesures de protection et d’exigences en matière de signalement des atteintes à la vie privée dans la Loi sur la protection des renseignements personnels.
  • Au cours des 5 derniers exercices financiers, la GRC a présenté au Commissariat 46 rapports d’atteintes substantielles à la vie privée, soit plus que la plupart des autres institutions chargées de la sécurité. Cette situation soulève des inquiétudes quant à ses pratiques de protection, particulièrement en raison de la nature délicate des données personnelles qu’elle détient.
  • La capacité d’une organisation à protéger les renseignements personnels qu’elle recueille devrait être proportionnelle à la nature délicate desdits renseignements.

Contexte

  • Les atteintes substantielles sont définies comme étant celles qui visent des renseignements personnels de nature sensible et qui pourraient raisonnablement causer des dommages et des préjudices à des individus.
  • Le paragraphe ci-dessous contient des renseignements qui n’ont pas été rendus publics. Sur les 46 atteintes substantielles à la vie privée signalées par la GRC au cours des 5 derniers exercices financiers, 35 concernaient des divulgations non autorisées. Au cours du présent exercice, la GRC a soumis 4 rapports d’atteintes substantielles à la vie privée : [Caviardé]. Par conséquent, le Commissariat a lancé une enquête sur une plainte déposée à l’initiative du commissaire. Comme cette enquête est toujours en cours, aucun renseignement supplémentaire ne peut être divulgué pour le moment.
Déclaration des atteintes à la vie privée par des institutions ayant des mandats similaires :
EF de 2017-2018 à 2021-2022
GRC SERVICE
CORRECTIONNEL
CANADA
ASFC MDN SCRS OSSNR
46 147 7 6 2 1

Préparé par : Le Secteur de la conformité – Direction des admissions, du règlement et de la conformité


Obligations prévues par la Loi sur la protection des renseignements personnels

Principaux messages

  • Pour se conformer à ses obligations prévues par l’article 4 de la Loi sur la protection des renseignements personnels, la GRC doit s’assurer qu’elle ne déploie ses outils d’enquête que dans le cadre d’une activité ou d’un programme opérationnel et d’une manière qui respecte le principe de la primauté du droit.
  • L’utilisation par les institutions gouvernementales de technologies de collecte perfectionnées serait mieux régie si la Loi sur la protection des renseignements personnels exigeait explicitement des institutions qu’elles tiennent compte des principes de nécessité et de proportionnalité avant de les déployer.
  • Étant donné que les outils d’enquête sur appareil ont la capacité de recueillir de grandes quantités de renseignements personnels, la GRC ne devrait déployer ces outils que lorsqu’elle dispose d’un mandat d’écoute électronique valide en vertu de la partie VI du Code criminel.

Contexte

  • Nécessité et proportionnalité : Bien qu’il ne s’agisse pas d’une exigence prévue par la loi actuelle, le Commissariat recommande depuis longtemps d’appliquer un critère de nécessité et de proportionnalité à la collecte de renseignements personnels par les institutions fédérales, une position qui a été reprise par le comité ETHI lui-même en 2016.
  • Modernisation de la Loi sur la protection des renseignements personnels : Le document de discussion de novembre 2020 de Justice Canada sur la modernisation de la Loi sur la protection des renseignements personnels va dans le sens de la codification des principes de nécessité et de proportionnalité en introduisant un seuil « raisonnablement requis », mais comme le soulignent les mémoires du Commissariat, il reste encore beaucoup de travail à faire.
  • L’autorisation judiciaire devrait être fondée sur la possibilité de collecte : Les outils d’enquête sur appareil offrent la possibilité d’intercepter des communications privées. Même si la GRC insiste sur le fait qu’elle n’utilisera les outils d’enquête sur appareil que pour recueillir des données stockées sur un appareil, elle devrait chercher à obtenir une autorisation judiciaire qui tienne compte de la possibilité pour l’outil de contrecarrer une attente raisonnable en matière de vie privée.

Préparé par : La Direction des services juridiques


Exigences actuelles en matière d’évaluation des facteurs relatifs à la vie privée

Principaux messages

  • L’obligation pour les institutions fédérales d’élaborer des EFVP est actuellement une exigence de la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétaire du conseil du trésor (SCT) (point 6.3.1).
  • Cette directive a pour but de bien définir, d’évaluer et de réduire au minimum les incidences sur la vie privée avant la mise en œuvre d’une activité ou d’un programme nouveau ou ayant subi des modifications importantes touchant les renseignements personnels.
  • La Directive exige que les institutions fédérales soumettent les versions finales et approuvées des EFVP au Commissariat et au SCT, ainsi que tout autre document que nous pourrions demander.
  • Les institutions fédérales ont la responsabilité de décider si elles doivent préparer des EFVP, ainsi que de la façon de le faire. Nous sommes au courant de nombreux cas où des programmes sont lancés avant que des EFVP ne soient effectuées (p. ex. le programme de l’EASI de la GRC).
  • Le Commissariat a recommandé de modifier la Loi sur la protection des renseignements personnels de manière à ce que les EFVP soient une obligation pour les institutions fédérales.

Contexte

  • La Directive du SCT exige au moins la réalisation d’une EFVP de base pour déterminer les niveaux et les catégories de risque d’atteinte à la vie privée et les éléments et les flux de renseignements personnels, afin de s’assurer d’être conforme aux articles 4 à 8 de la Loi sur la protection des renseignements personnels, et pour documenter les conclusions et recommandations tirées de l’évaluation de la protection de la vie privée.
  • Bien que la Directive exige que l’EFVP soit fournie au Commissariat et au SCT, elle n’indique aucun délai pour cette étape. Le Commissariat n’a pas le pouvoir d’obliger les institutions à effectuer une EFVP ni de sanctionner la non-conformité.
  • Le SCT est chargé de surveiller la conformité à la Directive. Le Commissariat a le pouvoir d’examiner la conformité aux articles 4 à 8 de la Loi sur la protection des renseignements personnels, et pourrait vérifier les processus d’EFVP des institutions et en faire rapport au Parlement.

Préparé par : La Direction des services-conseils au gouvernement


Réforme de la Loi sur la protection des renseignements personnels

Principaux messages

  • En novembre 2020, Justice Canada a publié un document de discussion sur la modernisation de la Loi sur la protection des renseignements personnels qui comprenait plusieurs propositions positives, notamment les suivantes :
    • l’ajout d’une disposition de déclaration d’objet à la Loi sur la protection des renseignements personnels afin de fournir une orientation sur la protection de la dignité humaine, de l’autonomie personnelle et de l’autodétermination des personnes;
    • une surveillance améliorée et des recours plus larges, sous la forme d’un pouvoir de rendre des ordonnances et d’un élargissement du droit de recours devant la Cour fédérale;
    • une définition plus générale de « renseignements personnels »;
    • des exigences explicites en matière de protection des renseignements personnels;
    • une déclaration obligatoire des atteintes à la vie privée.
  • Le Commissariat a formulé de nombreuses recommandations dans le but d’améliorer la réglementation dans l’environnement numérique, notamment pour l’utilisation de l’intelligence artificielle (un seuil de collecte renforcé, une définition plus précise des renseignements personnels accessibles au public, et l’élargissement des pouvoirs d’ordonnance proposés pour le Commissariat).

Contexte

  • Intelligence artificielle : Nous recommandons l’inclusion dans la Loi d’une définition de « prise de décisions automatisée », de prévoir un droit à une explication valable et à une intervention humaine, d’établir une norme quant à l’explication requise et d’imposer des obligations en matière de traçabilité.
  • Seuil justifiant la collecte : Une norme correspondant à ce qui est « raisonnablement requis » fonctionne si son but est d’ajouter de la clarté à la Loi tout en produisant des résultats semblables à ceux obtenus selon les principes de nécessité et de proportionnalité établis de longue date. Nous avons proposé des modifications importantes pour préciser les exigences en ce qui concerne les fins déterminées et la proportionnalité.
  • Cadre applicable aux renseignements personnels « auxquels le public a accès » : Nous avons recommandé que la définition proposée mentionne expressément que les renseignements personnels auxquels le public a accès ne comprennent pas les renseignements à l’égard desquels un individu a une attente raisonnable en matière de protection de la vie privée.

Préparé par : La Direction des politiques, de la recherche et des affaires parlementaires


Rôle du Commissariat à la protection de la vie privée du Canada

Principaux messages

  • La Direction des services-conseils au gouvernement formule des avis non contraignants aux institutions fédérales concernant des initiatives et des programmes particuliers mettant en cause des renseignements personnels en examinant les rapports d’EFVP et en participant à des consultations.
  • Le Secteur de la conformité mène des enquêtes sur les plaintes du public concernant des infractions possibles à la Loi sur la protection des renseignements personnels.
    • Le commissaire peut également lui-même prendre l’initiative d’une plainte sur toute question relative à la protection de la vie privée s’il a des motifs raisonnables de croire qu’une enquête devrait être menée, et peut examiner la conformité d’une institution aux pratiques de collecte, d’utilisation ou de communication des renseignements personnels prévus par la Loi.

Contexte

  • La Directive sur l’EFVP du SCT exige que les institutions amorcent des EFVP pour les programmes ou les activités qui utilisent des renseignements personnels dans le cadre d’un processus décisionnel touchant directement un individu. Les institutions fédérales doivent envoyer les EFVP réalisées au Commissariat, mais nous n’avons pas le pouvoir de les approuver ou de les entériner.
  • La Direction des services-conseils au gouvernement au Commissariat trie et examine les EFVP en fonction du risque, comme l’utilisation de renseignements personnels de nature délicate ou en grande quantité, si le programme touche des populations vulnérables ou utilise une technologie nouvelle.
  • La Direction offre également des services de consultation pour aider les institutions à cerner et à atténuer les risques. Bien que les institutions ne soient pas tenues de recourir à nos services, nous avons constaté des avantages considérables pour ceux qui choisissent de le faire.
  • Le paragraphe 29(3) et l’article 37 de la Loi sur la protection des renseignements personnels accordent au commissaire le pouvoir, à son appréciation, de tenir des enquêtes lorsque la situation le justifie.
  • Pour déterminer s’il y a lieu de mener une enquête, nous examinons le niveau de risque pour la vie privée des Canadiens et la stratégie la plus efficace pour contrer ce risque. Le risque est déterminé en fonction de l’incidence sur les Canadiens, des répercussions sur les individus touchées, des mesures prises par l’institution en cause et de la question de savoir si l’affaire comporte des enjeux nouveaux qui méritent d’être précisés.

Préparé par : La Direction des services-conseils au gouvernement

En consultation avec : Le Secteur de la conformité


Utilisation d’outils d’enquête sur appareil par la Gendarmerie royale du Canada : pouvoirs conférés par la loi

Principaux messages

  • La GRC peut recueillir des renseignements personnels dans le cadre du mandat que lui confèrent la loi et la common law, à savoir préserver la paix, prévenir le crime, appréhender les criminels et les délinquants, et exécuter tous les mandats.
  • Ces pouvoirs juridiques et de la common law ne portent pas spécifiquement sur la protection des renseignements personnels recueillis par la GRC et se révèlent particulièrement insuffisants lorsqu’il s’agit de recueillir des communications privées.
  • Le fait d’exiger de la GRC qu’elle obtienne un mandat d’écoute électronique valide en vertu de la partie VI du Code criminel pour autoriser la collecte au moyen d’un outil d’enquête sur appareil contribue grandement à donner suite aux préoccupations relatives à la protection de la vie privée en raison des garanties que ce régime d’autorisation judiciaire offre.

Contexte

  • Loi sur la Gendarmerie royale du Canada et son règlement d’application : La GRC a toujours été d’avis que l’utilisation d’outils d’enquête par la GRC pour recueillir des renseignements personnels est autorisée à la fois par l’article 18 de la Loi sur la Gendarmerie royale du Canada et l’alinéa 14(1)a) du Règlement de la Gendarmerie royale du Canada et par les pouvoirs qui sont conférés aux services de police en vertu de la common law. Le Commissariat est d’accord avec cette position.
  • Les autorisations judiciaire d’écoute électronique protègent la vie privée : Les gens ont les attentes les plus élevées en matière de vie privée lorsqu’il s’agit de leurs communications. Le régime d’autorisation judiciaire de la partie VI du Code criminel est conçu de manière à ce qu’un arbitre judiciaire neutre décide si le droit d’être laissé tranquille d’une personne est moins important que l’intérêt de l’État dans le cas de la collecte des renseignements personnels les plus délicats, sans circonstances contraignantes.
  • Les exigences en matière d’avis sont synonymes de transparence : La partie VI du Code criminel prévoit que les personnes qui ont fait l’objet d’une interception doivent en être avisées. Il s’agit d’un outil de transparence essentiel, qui permettrait aux personnes de se prévaloir des dispositions de la Loi sur la protection des renseignements personnels pour s’assurer que la GRC respecte ses obligations en vertu de cette loi en ce qui concerne la collecte, la conservation, l’usage et la communication de leurs renseignements personnels.

Préparé par : La Direction des services juridiques


Chiffrement et accès légal

Principaux messages

  • Le chiffrement est essentiel pour protéger les communications et la vie privée des Canadiens ainsi qu’accroître la confiance à l’égard du commerce en ligne et des services gouvernementaux numériques.
  • En réponse aux préoccupations des services de police concernant l’accès aux données, certains pays ont affaibli ou interdit certaines formes de chiffrement. En revanche, l’approche du Canada vise à la fois à protéger la vie privée des consommateurs et à maintenir la sécurité des réseaux.
  • Nous croyons que les dispositions permettant de contourner le chiffrement des appareils devraient être exceptionnelles (et non systémiques) et c’est ce que nous avons recommandé par le passé. Aussi, dans le contexte du maintien de l’ordre, la surveillance judiciaire est essentielle.

Contexte

  • Résolution internationale sur l’accès des gouvernements : En octobre 2021, le Commissariat a codirigé l’élaboration de la Résolution de l’Assemblée mondiale pour la protection de la vie privée sur l’accès des pouvoirs publics aux données, la protection des renseignements personnels et la primauté du droit : principes concernant l’accès des pouvoirs publics aux données personnelles détenues par le secteur privé aux fins de sécurité nationale et de sécurité publique, qui a été adoptée par toutes les autorités chargées de la protection des données qui en sont membres.
    • La résolution propose des principes sur l’accès des gouvernements aux données, notamment : la loi doit préciser clairement le pouvoir d’accès aux données, évaluer la nécessité et la proportionnalité de l’accès, assurer la transparence et la responsabilité, soutenir les droits des personnes concernées, mettre en œuvre une surveillance (p. ex. une autorisation judiciaire) et un examen (p. ex. un audit) indépendants, limiter l’utilisation et offrir un recours efficace.
  • Mémoire du Commissariat sur la sécurité des télécommunications au Canada : En janvier 2019, le Commissariat a participé à l’Examen du statut des lois fédérales relatives à la radiodiffusion et aux télécommunications du gouvernement, dont un élément portait sur la vie privée et la sécurité.
    • Nous avons indiqué que les règles et normes existantes en matière d’accès légal étaient déjà étendues et efficaces. Nous avons toutefois recommandé au gouvernement d’améliorer ses rapports publics sur les données demandées aux fournisseurs de services.

Préparé par : La Direction des politiques, de la recherche et des affaires parlementaires


Logiciels espions

Principaux messages

  • Compte tenu de la nature hautement intrusive d’un logiciel espion comme Pegasus, le Commissariat se serait attendu à ce que la GRC consulte le Commissariat avant de déployer un tel outil, au moins dans le cadre d’une EFVP.
  • Jusqu’à ce que la GRC communique avec le Commissariat à ce sujet, nous ne sommes pas en mesure d’évaluer les risques pour la vie privée que présentent les outils d’enquête sur appareil de la GRC.
  • Les logiciels espions qui accèdent à tous les renseignements d’un appareil mobile, contrôlant les microphones et les caméras, presque sans intervention de la part des utilisateurs du téléphone, soulèvent des risques très sérieux pour la vie privée.
  • Compte tenu de ses risques très réels, on pourrait plaider en faveur de directives précises dans la législation, au-delà de l’autorisation judiciaire, afin de promouvoir la transparence dans l’acquisition et l’utilisation ultérieure de la technologie de surveillance par les organismes gouvernementaux.

Contexte

  • Des modifications réglementaires pourraient porter sur les exigences d’évaluation et d’atténuation des risques avant la mise en œuvre. Ces modifications pourraient comprendre notamment : la détermination des risques pour la sécurité et l’intégrité du système ou des données cibles, l’exigence de journaux d’audit, l’établissement de délais pour la destruction des données, et la publication de renseignements sur les demandes d’autorisation de piratage approuvées et rejetées, ainsi que des infractions indiquées dans les demandes et la méthode, l’étendue et la durée des mesures de piratage autorisées.
  • Pegasus : Ce logiciel espion peut accéder à n’importe quel renseignement sur un téléphone, y compris les messages envoyés ou reçus et la géolocalisation du téléphone; il peut enregistrer les appels, allumer la caméra sans préavis et activer le microphone. La dernière version peut infecter un téléphone sans aucune intervention de la part de son propriétaire.
  • En 2021, The Guardian et un consortium de journalistes d’Amnistie internationale ont analysé une fuite de 50 000 numéros de téléphone ciblés par des clients de NSO Group et ont pu démontrer que Pegasus était utilisé pour surveiller des cibles civiles. Le Citizen Lab fait des reportages à ce sujet depuis au moins 2016.
  • Les experts des droits de la personne de l’ONU ont appelé à un moratoire mondial sur la vente et le transfert de technologies de surveillance jusqu’à ce qu’ils aient mis en place des réglementations robustes garantissant une utilisation conforme aux normes internationales en matière de droits de la personne.
  • À notre connaissance, aucun organisme gouvernemental canadien n’utilise Pegasus. En 2018, le Citizen Lab a signalé qu’un opérateur saoudien a infecté le téléphone d’un résident permanent canadien et dissident saoudien par le logiciel espion Pegasus de NSO.

Préparé par : La Direction des politiques, de la recherche et des affaires parlementaires

En consultation avec : La Direction de l’analyse de la technologie

Date de modification :