Projet de loi C-13, Loi sur la protection des Canadiens contre la cybercriminalité

Mémoire présenté au Comité sénatorial permanent des affaires juridiques et constitutionnelles

Le 19 novembre 2014

L’honorable Bob Runciman, sénateur
Président du Comité sénatorial permanent
des affaires juridiques et constitutionnelles
Sénat du Canada
Ottawa (Ontario)  K1A 0A4

Monsieur le Président,

Je remercie le Comité sénatorial permanent des affaires juridiques et constitutionnelles de m’inviter à exprimer le point de vue du Commissariat à la protection de la vie privée du Canada concernant le projet de loi C-13, Loi sur la protection des Canadiens contre la cybercriminalité. Comme en témoignent les débats en cours à la fois au Parlement et au sein de la population canadienne, ce projet de loi met en jeu des questions complexes touchant des aspects juridiques et techniques de la protection de la vie privée. J’espère que le présent mémoire vous aidera dans votre examen du projet de loi.

Contexte

Le Commissariat considère que l’objectif premier du projet de loi est louable, en particulier pour ce qui est des articles traitant des problèmes graves de cyberintimidation, de harcèlement et de distribution non consensuelle d’images intimes. La traque furtive dans les réseaux sociaux, la cyberintimidation et d’autres formes d’exploitation par Internet constituent des types de comportements abusifs et humiliants envers les Canadiens, en particulier les jeunes. La cyberintimidation et l’humiliation en ligne peuvent de toute évidence avoir des répercussions durables sur la vie privée des victimes. Et c’est à juste titre que parents, enseignants et policiers réclament une réforme.

Nous estimons par conséquent que la criminalisation de la distribution d’images intimes sans le consentement de l’intéressé et l’élargissement de la portée des dispositions du Code criminel de sorte qu’elles s’appliquent aux nouvelles voies de communication enverront un signal fort montrant que ces comportements offensants ne sont pas tolérés. Il ne fait aucun doute que les Canadiens ont le droit d’être protégés par la loi contre le harcèlement, l’intimidation et les atteintes à leur vie privée dans le monde physique. À l’ère numérique, le gouvernement doit s’assurer que ces droits sont également respectés en ligne.

Sommaire des enjeux relatifs à la vie privée

Les principaux enjeux relatifs à la vie privée soulevés dans le présent mémoire qui ressortent dans le contexte du projet de loi C-13 se rapportent aux autres dispositions proposant d’accroître les pouvoirs d’enquête dévolus aux agents de la paix et aux fonctionnaires publics en vertu du Code criminel. En sa qualité d’organe consultatif auprès du Parlement, le Commissariat souhaite mettre en relief quatre enjeux particuliers relatifs à la vie privée découlant de ces aspects du projet de loi qui méritent selon nous un examen approfondi :

  • les seuils applicables à l’exercice des nouveaux pouvoirs et à l’utilisation des nouvelles procédures;
  • l’éventail de ministères, d’organismes et de fonctionnaires qui peuvent exercer ces nouveaux pouvoirs;
  • la transparence et le cadre de responsabilisation régissant l’exercice de ces pouvoirs;
  • le besoin de clarté juridique (à la suite de l’arrêt de la Cour suprême du Canada dans R. c. Spencer) concernant les demandes sans mandat, la communication volontaire et l’immunité juridique.

Seuils applicables à l’exercice des nouveaux pouvoirs et à l’utilisation des nouvelles procédures

Un objectif du projet de loi consiste à modifier divers seuils prévus par la loi qui s’appliquent à l’exercice des nouveaux pouvoirs d’enquête et à l’utilisation des nouvelles procédures en la matière. La liste ci-après fait état des nouveaux pouvoirs, de leur durée et du seuil d’autorisation prévu par la loi :

Pouvoir d’enquête Exemple de données obtenues Seuil
Ordre de préservation – 21 jours
(art. 487.012)

Aucune donnée

Soupçon
Ordonnance de préservation – trois mois (art. 487.013)

Aucune donnée

Soupçon
Ordonnance générale de communication (art. 487.014)

Toute donnée stockée

Croyance
Ordonnance de communication en vue de retracer une communication donnée (art. 487.015) Adresse de courriel, de protocole Internet (IP) ou MAC

Soupçon

Ordonnance de communication : données de transmission (art. 487.016)

Adresse d’IP, domaines et pages de sites Web visités, protocoles de partage de fichiers et autres, numéros de paquets, termes de recherche dans les moteurs de recherche et adresse de courriel

Soupçon
Ordonnance de communication : données de localisation (art. 487.017)

Données de localisation et coordonnées GPS

Soupçon
Ordonnance de communication : données financières (art. 487.018)

Renseignements sur le titulaire du compte, types de compte, date de création du compte et adresse courante

Soupçon
Mandat pour un dispositif de localisation : opération ou chose (par. 492.1[1])

Lieux d’utilisation de la carte de crédit ou bancaire et mouvements de véhicules

Soupçon
Mandat pour un dispositif de localisation : personne physique (par. 492.1[2])

Lieu de la personne physique localisée (grâce à un appareil mobile personnel)

Croyance
Mandat pour un enregistreur de données de transmission (art. 492.2)

Voir ci-dessus

Soupçon

La plupart des nouveaux pouvoirs pourront être exercés lorsque les enquêteurs se trouveront simplement à soupçonner un acte répréhensible, et non sur la base du seuil plus élevé qui exige des motifs raisonnables de croire qu’une perquisition fera la preuve qu’un crime particulier a été commis. On observe entre ces deux seuils une différence marquée au chapitre de la protection de la vie privée.

Le degré potentiel d’intrusion du gouvernement doit être accompagné d’un contrôle judiciaire proportionné et d’une norme d’autorisation appropriée prévue par la loi. Il devrait donc y avoir une preuve plus forte de la probabilité que des actes répréhensibles soient commis avant que l’on puisse obtenir des renseignements concernant les communications privées ou les activités numériques d’une personne. L’emploi de la norme plus basse du soupçon raisonnable doit être nécéssaire et proportionnel afin de répondre de façon adéquate à un problème manifeste et il faudrait à notre avis que des arguments plus convaincants à l’appui de l’adoption d’un seuil plus bas prévu par la loi soient présentés et examinés de manière approfondie.

Les tribunaux ont maintenu la norme inférieure du soupçon raisonnable uniquement dans certaines situations où les intérêts en matière de vie privée étaient réduits ou lorsque les objectifs d’ordre public importants étaient prédominants. Le gouvernement défend les seuils inférieurs du projet de loi C-13 en partie sur la foi de l’argument voulant que l’information recherchée ne soit pas de nature très sensible et entraîne donc des attentes réduites en matière de vie privée. En toute déférence, nous pensons que cet argument n’accorde pas suffisamment d’importance aux enseignements de la Cour suprême du Canada relativement au récent arrêt prononcé dans l’affaire R. c. Spencer.  Dans cette affaire, la Cour suprême a clairement établi qu’afin d’assurer la protection de la vie privée, il ne faut pas seulement tenir compte de l’information recherchée – même si elle peut paraître inoffensive –, mais aussi de ce que l’information peut révéler.

Les pouvoirs conférés par le projet de loi C-13 donneront accès à des renseignements personnels de nature potentiellement sensible pour tous les types d’enquêtes et toutes les mesures d’application de la loi. La surveillance électronique et l’analyse des données sont devenues de plus en plus puissantes à l’ère numérique, car chaque opération, chaque message, chaque recherche en ligne et chaque appel ou mouvement sur Internet laisse une trace électronique et peut, par conséquent, faire l’objet d’un examen. Bien que d’autres ont affirmé que le seuil plus élevé devrait être réservé au contenu des communications, nous soulignons que diverses formes de données de transactions et de transmissions pourraient être de nature tout aussi sensible et révélatrice selon le contexte.

Comme la Cour suprême l’a indiqué dans l’affaire Spencer, « Internet a augmenté de façon exponentielle la qualité et la quantité des renseignements stockés concernant les internautes » et de tels renseignements peuvent permettre « d’obtenir des renseignements détaillés sur les intérêts [...] des utilisateurs ».  Pour souligner ce point, nous joignons au présent mémoire un rapport intitulé Métadonnées et vie privée, un aperçu technique et juridique publié le mois dernier par le Commissariat qui décrit les différentes formes de renseignements personnels que l’on pourrait obtenir à partir de métadonnées recueillies au seuil le plus bas proposé par le projet de loi. Vous trouverez ci-après en annexe un document infographique et un lien menant au rapport intégral.

Certains témoins ayant comparu devant le présent Comité ont affirmé qu’ils avaient besoin d’un seuil moins élevé en vue d’obtenir l’autorisation d’accéder à des renseignements lors des premières étapes d’une enquête. En effet, la norme de « soupçon raisonnable » nécessite la réalisation de moins de travaux préparatoires pour les enquêteurs et l’obtention de moins de faits avant de faire une demande de surveillance aux autorités judiciaires. Toutefois, est-ce que le choix d’un seuil plus élevé pourrait, comme il a été suggéré, faire obstacle aux enquêtes et aux poursuites efficaces des cybercrimes en transformant Internet en un endroit favorable aux actes criminels? Nous ne le croyons pas. D’ailleurs, dans l’affaire Spencer, la Cour a rejeté cet argument en affirmant que les policiers, en l’espèce, disposaient de renseignements détaillés dès le début de l’enquête leur permettant d’obtenir une ordonnance de communication afin d’accéder à ce dont ils avaient besoin. 

Si la norme du « soupçon raisonnable » est conservée, il n’y a en ce moment aucune limite juridique permettant d’empêcher les diverses autorités qui auront accès à ces nouveaux pouvoirs d’utiliser les preuves recueillies à des fins de surveillance générale ou de recherches à l’aveuglette. Par exemple, si des fonctionnaires obtiennent de l’information en vue de mener une enquête relative à un crime précis en fonction de simples soupçons, il n’existe actuellement aucune limite visant à prévenir cette catégorie ouverte de fonctionnaires d’utiliser des renseignements de nature potentiellement sensible pour une multitude d’autres circonstances moins convaincantes. Bref, les seuils appropriés ne dépendent pas, comme l’a affirmé la Cour suprême, de la question de savoir si le droit à la vie privée masque des activités légales ou illégales, ni non plus de la nature légale ou illégale des renseignements recherchés. Ainsi, l’enjeu n’est pas de tenir secrète à tout prix l’utilisation illégale d’Internet aux fins de la cyberintimidation ou de la pornographie juvénile, mais plutôt de préserver les intérêts en matière de vie privée de tous les Canadiens « relativement aux ordinateurs qu’ils utilisent dans leur domicile à des fins privées ».

Essentiellement, nous estimons que le soupçon raisonnable constitue un seuil trop bas pour permettre à différents fonctionnaires publics d’avoir accès, pour toutes sortes d’usages, à des renseignements personnels susceptibles d’être aussi révélateurs. C’est pourquoi je recommande de le remplacer par le seuil de « motifs raisonnables de croire » en ce qui a trait aux nouvelles ordonnances de communication et aux nouveaux mandats proposés. Autrement, si la norme du seuil de « motifs raisonnables de croire » demeure inchangée, le projet de loi devrait indiquer clairement que les preuves découlant d’une telle ordonnance ne doivent servir qu’à l’enquête du prétendu crime inscrit sur la demande judiciaire.

Recommandation : Bien que le « soupçon raisonnable » puisse être acceptable pour la préservation des données, la norme traditionnelle de « motifs raisonnables de croire » devrait continuer de prévaloir à titre de seuil judiciaire approprié pour l’autorisation des nouvelles ordonnances de communication et des nouveaux mandats proposés. Autrement, si le Comité appuie le seuil inférieur de « soupçon raisonnable », nous recommandons que l’information obtenue grâce à ces pouvoirs ne puisse être utilisée qu’aux fins de l’enquête sur le prétendu crime inscrit sur la demande judiciaire.

L’éventail de ministères, d’organismes et de fonctionnaires qui peuvent exercer de nouveaux pouvoirs

Le large éventail d’autorités et d’organes gouvernementaux – outre la police – qui pourront exercer de nouveaux pouvoirs d’enquête est un deuxième aspect du projet de loi qui doit faire l’objet d’un examen approfondi. Un très large éventail d’intervenants – à tous les ordres de gouvernement – pourront exercer les nouveaux pouvoirs d’enquête, à savoir exiger la préservation des données, demander la communication de dossiers personnels ou la transmission de communications privées ou encore solliciter des mandats pour recueillir des données de localisation associées à des véhicules, à des opérations ou à des personnes.

Selon le libellé de l’article 487.011 du Code criminel proposé par le projet de loi, un fonctionnaire public est un fonctionnaire « nommé ou désigné pour l’exécution ou le contrôle d’application d’une loi fédérale ou provinciale et chargé notamment de faire observer la présente loi ou toute autre loi fédérale ». Cela signifie que, outre les policiers, le projet de loi conférera des pouvoirs aux maires, aux préfets, aux shérifs et à certains pilotes de ligne, douaniers et agents des pêches ainsi qu’à tout fonctionnaire provincial dont les fonctions englobent l’application d’une loi fédérale ou provinciale.

Alors que les organismes policiers et les agences de sécurité font l’objet d’une supervision et sont tenus de rendre des comptes, d’autres intervenants qui répondent à la définition de « fonctionnaire public » ne sont pas assujettis à un examen spécifique ni tenus de rendre compte de l’exercice de leurs pouvoirs de surveillance. Compte tenu de ces différences au chapitre de la responsabilisation et de la supervision, il nous semble impératif de faire preuve de prudence pour ce qui est d’accorder à un éventail aussi large d’intervenants des pouvoirs d’enquête aussi considérables, en particulier dans les cas où, à notre avis, on n’a pas fait valoir d’arguments convaincants.

Recommandation : L’exercice des pouvoirs d’enquête proposés devrait être limité aux « agents de la paix » qui participent aux enquêtes criminelles. Ou alors, la vaste catégorie de fonctionnaires publics devrait être remplacée par une liste exhaustive de fonctionnaires publics désignés qui seraient autorisés à exercer les nouveaux pouvoirs en lien avec des fonctions législatives précises.

La transparence et la responsabilisation régissant l’exercice de ces pouvoirs

À notre avis, l’absence de dispositions obligeant à faire preuve de transparence et à rendre compte publiquement et régulièrement de l’exercice des nouveaux pouvoirs suscite des préoccupations. Dans la sphère commerciale, nombre de fournisseurs de services Internet et d’entreprises de télécommunications présentent maintenant régulièrement de leur plein gré des données agrégées sur le nombre et les catégories de cas où ils ont communiqué des renseignements à des organismes d’application de la loi. Tant les entreprises que les institutions gouvernementales doivent se préoccuper de l’ouverture, de la transparence et de la confiance du public.

En ce qui a trait aux rapports au Parlement et au public sur l’emploi de mesures de surveillance, le Canada a déjà un précédent qu’il convient d’examiner pour l’application des lois fédérales. En effet, depuis 1977, le Rapport annuel sur la surveillance électronique présenté chaque année au Parlement (aux termes de l’article 195 du Code criminel)sert de modèle pour l’établissement de rapports sur les enquêtes de nature sensible. Les dispositions à cet égard ont été mises à jour et élargies tout récemment en mars 2013 par l’adoption d’une nouvelle loi,conformément aux indications de la Cour suprême du Canada.

La présentation de rapports annuels sur les nouveaux pouvoirs cadrerait avec le processus en place prévoyant une mesure de transparence et de responsabilisation. En outre, les statistiques présentées donneraient aux parlementaires et au public une bonne idée du recours à ces pouvoirs, de leurs résultats et de leur efficacité globale. Enfin, ces rapports pourraient être utiles pour l’examen législatif des dispositions par un comité de la Chambre des communes, comme il est proposé à l’article 487.021.

Recommandation : Des rapports sur les pouvoirs énoncés aux articles 487.011 à 487.02 et sur les demandes sans mandat devraient régulièrement être présentés au public, comme l’exige l’article 195 du Code criminel pour les autres formes de surveillance électronique.

Le besoin de clarté juridique (à la suite de l’affaire Spencer) concernant les demandes gouvernementales, la communication volontaire et l’immunité juridique

Une dernière préoccupation du Commissariat porte sur le nouvel article 487.0195 du Code criminel proposé dans le projet de loi. Cette disposition sur l’immunité offrirait une immunité légale à ceux qui divulguent volontairement des renseignements personnels à la suite d’une demande du gouvernement sans mandat.  Là où l’État tente d’obtenir des renseignements personnels détenus par des organisations, y inclut des fournisseurs de service Internet, R. c. Spencer limite clairement les perquisitions sans mandat aux situations où il y a des circonstances contraignantes, une loi qui n’a rien d’abusif, ou l’information ne fait pas l’objet d’une attente raisonnable en matière de vie privée.

Il est difficile pour les organismes et les particuliers d’effectuer au cas par cas l’analyse portant sur « l’attente raisonnable en matière de vie privée », car il s’agit d’une analyse complexe étroitement lié au contexte. Cette analyse représente un lourd fardeau injuste pour les organismes et surtout lorsque ceux-ci ne disposent peut-être pas du temps, des connaissances ou des ressources nécessaires pour contester ou refuser les demandes.  À notre avis, cette disposition sur l’immunité augmenterait la confusion existante en ce qui a trait aux obligations incombant aux organisations en application de l’alinéa 7(3)c.1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Même suite à l’arrêt de la Cour suprême du Canada dans R. c. Spencer, les entreprises et le gouvernement discutent encore de la notion d’« autorité légitime » pour l’application de cet alinéaNote de bas de page 1.

Ainsi, les Canadiens ignorent toujours ce qui pourrait advenir de leurs renseignements personnels. Le gouvernement affirme qu’aucune des dispositions du projet de loi C-13 ne doit être modifiée après l’arrêt Spencer, et les Canadiens s’interrogent donc à savoir quelles sont les retombées de cette décision, s’il y en a. En réponse aux questions des députés concernant les demandes sans mandat présentées durant les dernières années à des organismes tiers, plusieurs ministères n’ont fourni que peu de données ou aucune information. Bien que quelques entreprises des télécommunications aient annoncées qu’elles ne fourniraient plus de renseignements personnels aux organismes d’application de la loi à moins de la présentation d’une autorisation judiciaire, d’une loi raisonnable ou de circonstances contraignantes, d’autres n’ont pas fait cette promesse.

Nous insistons donc pour que le Comité mette fin à cet état d’ambiguïté et qu’il précise, après l’affaire Spencer, ce qu’il reste (le cas échéant) des pouvoirs de common law des policiers leur permettant d’obtenir de l’information sans mandat. Cette démarche permettrait aux particuliers, aux organismes du secteur privé et aux représentants de l’application de la loi de mieux comprendre quand l’État peut accéder sans mandat aux renseignements personnels.  Le projet de loi C-13 devrait être modifié de manière à indiquer clairement que les communications discrétionnaires à des agents d’application de la loi à la suite d’une demande d’information ne sont permises qu’en fonction d’une loi qui n’a rien d’abusif, d’une autorisation judiciaire ou qu’en raison de circonstances contraignantes.

Certaines personnes pourraient affirmer que cela enlève aux organismes d’application de la loi un important outil d’enquête pour la collecte de données en dehors des circonstances susmentionnées, mais je ne crois pas qu’il soit nécessaire de conserver un outil qui permet de divulguer des renseignements personnels en deçà du seuil de « soupçon raisonnable », qui est déjà bas.  Autrement, pour offrir une plus grande certitude aux Canadiens relativement à ce qui peut être fait avec leurs renseignements personnels, le Parlement pourrait définir et restreindre les circonstances selon lesquelles il serait permis de communiquer l’information personnelle ne faisant pas l’objet d’une attente raisonnable en matière de vie privée.

Recommandation : L’article 487.0195 tel que proposé par le projet de loi devrait être modifié pour indiquer explicitement que les renseignements personnels ne peuvent être communiqués à des agents d’application de la loi qu’en fonction d’une loi qui n’a rien d’abusif , d’une autorisation judiciaire, ou qu’en raison de circonstances contraignantes. Si cette recommandation n’est pas adoptée, le Parlement pourrait définir et restreindre les circonstances selon lesquelles il serait permis de communiquer de l’information personnelle ne faisant pas l’objet d’une attente raisonnable en matière de vie privée.

Conclusion

En conclusion, il est important de se rappeler que ces nouveaux outils d’enquête permettraient à un groupe ouvert d’autorités d’obtenir une grande quantité de renseignements personnels pouvant être de nature sensible ainsi que de les utiliser à de nombreuses fins sans avoir à rendre compte publiquement.  Je vous remercie encore de m’avoir offert la possibilité de présenter au Comité le point de vue du Commissariat sur le projet de loi proposé. C'est avec plaisir que je poursuivrai la discussion et répondrai aux questions des membres sur le présent mémoire.

Veuillez agréer, Monsieur le Président, l’expression de ma considération distinguée.

Le commissaire à la protection de la vie privée,

(La version originale a été signée par)

Daniel Therrien

p.j.

c.c.  Shaila Anwar, greffière du Comité

Annexe – Formes et exemples de métadonnées assujetties à la consultation et à la surveillance en vertu des nouvelles dispositions du projet de loi C-13

Infographie : Qu’est ce qu’une « métadonnée »?

Qu’est ce qu’une « métadonnée »?

Une métadonnée est une « donnée qui fournit de l’information sur une autre donnée ». Il s’agit en fait des renseignements qui sont générés lorsqu’on utilise la technologie et qui permettent de situer dans leur contexte (qui, quoi, où, quand et comment) diverses activités.

D’où ça vient?

Faire un appel téléphonique

  • Numéro de téléphone de l’appelant
  • Numéro de téléphone composé
  • Numéro de série unique des appareils téléphoniques utilises
  • Heure de l’appel
  • Durée de l’appel
  • Emplacement de chaque participant
  • Numéro de carte d’appe

Utiliser un navigateur Web

  • Les pages que vous visitez, et quand
  • Les données sur l’utilisateur et peut être les détails de connexion de l’utilisateur avec la fonction de saisie automatique
  • Les adresses URL
  • Votre adresse IP, votre fournisseur de services Internet, les détails matériels de votre appareil, la version du système d’exploitation et du navigateur
  • Les témoins et données en cache provenant des sites Web
  • Vos requêtes de recherche
  • Les résultats de recherche qui s’affichent
  • Les pages que vous visitez par la suite

Envoyer un courriel

  • Nom, adresse de courriel et adresse IP de l’expéditeur
  • Nom et adresse de courriel du destinataire
  • Renseignements sur le transfert via le serveur
  • Date, heure et fuseau horaire
  • Identifiant unique du courriel et des courriels connexes (identifiant de message)
  • Type de contenu et codage
  • Dossier de connexion du client de la messagerie avec adresse IP
  • Format de l’en-tête du client de la messagerie
  • Priorité et catégorie
  • Objet du courriel
  • Statut du courriel
  • Demande de confirmation de lecture

Utiliser un site de réseautage

  • Votre nom d’utilisateur et identifiant unique
  • Vos abonnements
  • Le lieu où vous vous trouvez
  • L’appareil que vous utilisez
  • La date et l’heure de l’activité ainsi que le fuseau horaire
  • Vos activités, ce que vous aimez, le lieu où vous vous trouvez et les événements auxquels vous assistez
  • La date à laquelle vous avez créé votre compte
  • Votre nom d’utilisateur et votre identifiant unique
  • Le lieu du gazouillis, la date, l’heure et le fuseau horaire
  • Le numéro d’identification unique du gazouillis et celui du gazouillis auquel vous répondez
  • Le code d’identification des contributeurs
  • Le nombre d’abonnés, d’abonnements et de favoris
  • Votre statut en matière de vérification
  • L’application qui a servi à l’envoi du gazouillis

Qu’est-ce que cela peut révéler?

Concernant les métadonnées…


« on peut faire valoir que les métadonnées sont plus révélatrices [que le contenu] parce qu’il est en réalité beaucoup plus facile d’établir des corrélations avec des événements du monde réel en analysant les constantes dans un vaste univers de métadonnées qu’en effectuant une analyse sémantique de tous les courriels et de tous les appels téléphoniques d’un individu »

- Daniel Weitzner
Selon l’informaticien

Et puis...

Tout en prenant acte de l’importance du contexte, les tribunaux ont observé à maintes reprises que les métadonnées peuvent être très révélatrices au sujet d’une personne et appellent une protection sous l’angle de la vie privée.

www.priv.gc.ca/metadonnees

[version PDF]

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :