Les messages textes des employés interceptés sans autorisation à l’Établissement de Warkworth

Plainte présentée en vertu de la Loi sur la protection des renseignements personnels

Le 4 juin 2018

Résumé

1. Nous avons reçu plusieurs plaintes selon lesquelles Service correctionnel Canada (SCC) aurait contrevenu aux dispositions de la Loi sur la protection des renseignements personnels lorsque des conversations et des messages textes ont été recueillis sans autorisation à proximité de l’Établissement de Warkworth (l’Établissement). Puisque les plaintes sont similaires, nous les avons regroupées dans un seul rapport.
2. SCC a confirmé qu’il a intercepté six messages textes, mais a indiqué qu’il n’avait pas intercepté ou enregistré de conversations téléphoniques. SCC a affirmé qu’il n’avait pas eu l’intention d’intercepter les messages textes recueillis.
3. Après avoir examiné les observations soumises par toutes les parties, nous avons déterminé que les plaintes étaient fondées. Les raisons menant à cette conclusion sont énoncées ci-dessous.

Contexte

4. Les allégations portent sur l’utilisation par SCC d’un simulateur de site cellulaire. Un simulateur de site cellulaire est un appareil électronique qui, lorsqu’il est activé, imite une tour de téléphonie cellulaire afin d’inciter tous les téléphones cellulaires et autres appareils cellulaires à proximité à s’y connecter. Des numéros d’identification uniques sont obtenus par ces dispositifs et peuvent ensuite être utilisés pour suivre l’emplacement d’appareils ou pour identifier le propriétaire de l’appareil.
5. Les simulateurs de site cellulaire peuvent recueillir des métadonnées, des données qui fournissent des renseignements sur d’autres données. Dans le contexte des communications par téléphone cellulaire, les métadonnées fournissent certains détails sur la création, la transmission et la distribution d’un message. Les métadonnées recueillies par les simulateurs de site cellulaire peuvent inclure :
   • Le numéro d’identification d’un téléphone cellulaire (IMEI);
   • Le numéro d’identification de la carte SIM du téléphone cellulaire (IMSI);
   • Le réseau du fournisseur de service du téléphone cellulaire;
   • La distance qui sépare un téléphone cellulaire du simulateur de site cellulaire.
6. Certains simulateurs de site cellulaire peuvent également intercepter le contenu d’un message, comme un message texte ou une conversation.
7. L’appareil dont il est question dans le cadre de cette enquête était en mesure d’intercepter des métadonnées ainsi que le contenu des messages.

Faits et enjeux pertinents

Les allégations

8. Du personnel de l’Établissement et des membres du public font partie des plaignants. Ils allèguent que SCC a intercepté et enregistré leurs conversations téléphoniques cellulaires et leurs messages textes sans autorisation, de février à septembre 2015. Ils se sont dits préoccupés par le fait que SCC surveillait leurs communications privées par téléphone cellulaire.

Le courriel

9. Les plaintes découlent d’un courriel envoyé au personnel par le directeur de l’Établissement. Dans ce courriel, le directeur a informé le personnel qu’il avait autorisé l’utilisation d’un simulateur de site cellulaire pour détecter l’utilisation de téléphones cellulaires par les détenus à l’intérieur et autour de l’Établissement. Le directeur a également informé le personnel qu’en plus de recueillir des renseignements sur l’emplacement et l’utilisation des téléphones cellulaires, le simulateur de site cellulaire « enregistrait toutes les conversations vocales et les messages textes » [traduction].

La position de SCC

10. Selon SCC, le courriel du directeur contenait plusieurs inexactitudes. Bien qu’un simulateur de site cellulaire ait été utilisé pour recueillir certains renseignements, dont six messages textes, SCC a nié avoir intercepté ou sauvegardé des conversations. De plus, SCC a affirmé ne pas avoir autorisé la collecte de messages textes ou de conversations.
11. Pour justifier l’utilisation d’un simulateur de site cellulaire au sein de l’Établissement, SCC a soutenu que les responsables avaient des raisons de croire qu’une série d’incidents liés à la sécurité avaient impliqué l’utilisation de téléphones cellulaires par les détenus^{Note de bas de page 1}. Afin de régler ce problème, les responsables de SCC ont embauché un entrepreneur pour détecter la présence et l’utilisation de téléphones cellulaires à l’intérieur et autour de l’Établissement. SCC a affirmé avoir autorisé l’entrepreneur à recueillir des métadonnées des téléphones cellulaires en son nom, mais ne pas avoir autorisé la collecte du contenu des communications par téléphone cellulaire.
12. Le simulateur de site cellulaire a été utilisé de la mi-mai à la mi-septembre 2015. Pendant ce temps, l’entrepreneur a signalé que le nombre de téléphones cellulaires utilisés dans l’Établissement permettait de croire que le personnel et les détenus utilisaient des téléphones cellulaires^{Note de bas de page 2}. L’entrepreneur a également indiqué qu’il avait intercepté le contenu de certains messages textes. Le contenu des messages portait à croire qu’ils provenaient des téléphones cellulaires du personnel.
13. SCC a affirmé ne pas avoir utilisé l’information recueillie par l’appareil à quelque fin que ce soit et que l’entrepreneur était la seule personne qui avait accès à l’information. Lorsqu’il a été avisé de l’enquête par le Commissariat, SCC a sécurisé l’ordinateur qui contenait l’information recueillie par l’appareil. SCC nous a fourni une copie des renseignements.

L’appareil

14. Nous avons obtenu un exemplaire du manuel d’utilisation du simulateur de site cellulaire. Nous avons confirmé que l’appareil est capable de recueillir des métadonnées, y compris les numéros IMEI et IMSI, le réseau du fournisseur du téléphone cellulaire, l’heure et la durée des communications par téléphone cellulaire, et la distance entre le téléphone cellulaire et le simulateur de site cellulaire.
15. Nous avons aussi confirmé que le simulateur de site cellulaire est capable d’intercepter le contenu des communications par téléphone cellulaire, comme les messages textes et les conversations.
16. La portée de l’appareil était suffisante pour couvrir les bâtiments et les terrains de l’Établissement ainsi que le stationnement.

Les données

17. Nous avons examiné l’information recueillie et confirmé que les métadonnées de nombreux téléphones cellulaires utilisés à l’intérieur et autour de l’Établissement ont été recueillies.
18. Nous avons également confirmé que six messages textes ont été interceptés et recueillis.
19. Nous n’avons trouvé aucune preuve montrant que SCC a utilisé les métadonnées recueillies pour identifier les utilisateurs des téléphones cellulaires. Cependant, les représentants de SCC ont indiqué que l’un des messages textes révélait l’identité de deux membres du personnel (mais pas celle de l’expéditeur). Nous n’avons également trouvé aucune preuve montrant que SCC a pris des mesures en se basant sur ces renseignements.

Le contrat

20. Nous avons examiné le contrat entre SCC et l’entrepreneur. En février 2015, l’entrepreneur a été embauché pour colliger les métadonnées des téléphones cellulaires utilisés à l’intérieur et autour de l’Établissement et en faire rapport au directeur. L’interception et la collecte du contenu des messages n’étaient pas prévues au contrat.

Application de la loi

21. Pour rendre notre décision, nous avons tenu compte des articles 3 et 4 de la Loi.
22. L’article 3 de la Loi définit les renseignements personnels comme les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable, notamment : les renseignements relatifs à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à des opérations financières auxquelles il a participé, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.
23. Selon l’article 4 de la Loi, les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités.

Analyse des faits et des enjeux

Les renseignements en cause sont-ils de nature personnelle?

24. Les renseignements en question comprennent les métadonnées des téléphones cellulaires, les messages textes et, dans un cas précis, les pseudonymes qui permettent d’identifier des personnes en particulier.
25. Les métadonnées peuvent être révélatrices de l’identité et de l’emplacement de l’utilisateur du téléphone cellulaire. La collecte de ce type de renseignements personnels au moyen d’un simulateur de site cellulaire comprend des renseignements sur tous les téléphones cellulaires de tiers qui se trouvent dans la portée du simulateur de site cellulaire. Il s’agit donc de renseignements personnels d’individus identifiables au sens de la Loi.
26. Les messages textes peuvent révéler des renseignements sur l’expéditeur, le destinataire et les tiers qui peuvent faire l’objet des messages. Les messages textes recueillis par le simulateur de site cellulaire constituent des renseignements personnels au sens de la Loi.
27. Bien que nous ayons examiné l’information recueillie par le simulateur de site cellulaire, nous n’avons pas cherché à établir une corrélation entre les métadonnées et l’identité des utilisateurs. De plus, nous n’avons pas tenté d’identifier les personnes liées aux messages textes. Par conséquent, nous savons que les renseignements en question concernent des personnes identifiables, mais nous n’avons identifié aucune des personnes dont les renseignements ont été recueillis.

La collecte de métadonnées était-elle conforme aux dispositions en matière de collecte de la Loi?

28. L’article 4 de la Loi stipule que les renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. SCC est responsable de la gestion des établissements correctionnels de divers niveaux de sécurité. Dans le cadre de son mandat, SCC doit prendre des mesures pour assurer la sécurité des établissements qu’il gère.
29. SCC a démontré de manière satisfaisante qu’il y avait des raisons de croire que l’utilisation non autorisée de téléphones cellulaires à l’intérieur et autour de l’Établissement de Warkworth présentait un risque sérieux pour la sécurité des détenus et du personnel. Compte tenu de ce risque, nous reconnaissons que la détection de l’utilisation non autorisée de téléphones cellulaires à l’intérieur et autour de l’Établissement est directement liée au mandat de SCC. De plus, nous reconnaissons que la collecte des métadonnées des téléphones cellulaires est un moyen efficace de détecter l’utilisation non autorisée des téléphones cellulaires. Étant donné la gravité des risques et le fait que SCC n’avait pas l’intention d’identifier des utilisateurs particuliers au moyen des métadonnées recueillies, nous considérons que la mesure est proportionnelle. À notre avis, la collecte des métadonnées des téléphones cellulaires était, par conséquent, conforme aux dispositions en matière de collecte de la Loi.

L’interception et la collecte du contenu des messages textes étaient-elles conformes à la Loi?

30. Notre enquête a confirmé que l’entrepreneur avait été embauché par SCC pour détecter l’utilisation de téléphones cellulaires à l’intérieur et autour de l’Établissement. Ce faisant, l’entrepreneur a également intercepté et sauvegardé six messages textes.
31. Dans les observations soumises au Commissariat, SCC a soutenu qu’à son avis, l’interception et la collecte des messages textes n’étaient pas autorisées par la Loi.
32. SCC a affirmé ne pas être responsable de l’interception et de la collecte des messages textes parce qu’il n’avait pas explicitement autorisé l’entrepreneur à le faire. Nous avons enquêté sur d’autres cas où des personnes agissant au nom d’une organisation sont allées à l’encontre des règles ou procédures de celle-ci. Dans de tels cas, nous avons déterminé que l’organisation était responsable de la conduite de ceux qui agissaient en son nom.
33. Nous n’avons trouvé aucune preuve selon laquelle SCC aurait demandé à l’entrepreneur d’intercepter et d’enregistrer le contenu des communications par téléphone cellulaire, mais nous constatons que la collecte des messages textes a été effectuée dans le cadre des travaux effectués pour le compte de SCC. Au cours de l’exécution de ces travaux, l’entrepreneur a eu accès à l’Établissement et a été autorisé à exploiter un simulateur de site cellulaire. À notre avis, l’interception et la collecte des messages textes n’étaient pas le résultat des mesures prises par l’entrepreneur, mais plutôt le résultat de mesures entreprises et réalisées pour le compte de SCC. Par conséquent, nous arrivons à la conclusion que SCC a contrevenu, dans le présent cas, aux dispositions de la Loi en matière de collecte.

Conclusion

34. À la lumière de ce qui a été mentionné précédemment, nous sommes d’avis que les plaintes sont fondées.

Autre

35. Au cours de notre enquête, SCC a informé le Commissariat qu’il ne comptait plus utiliser de simulateur de site cellulaire. Par conséquent, aucune politique ou procédure n’a été mise en place pour encadrer l’utilisation de tels appareils.
36. Nous profitons de l’occasion pour rappeler à SCC que s’il songe à utiliser des simulateurs de site cellulaire à l’avenir, il est tenu de remplir et de soumettre une évaluation des facteurs relatifs à la vie privée (EFVP) conformément à la Directive sur l’évaluation des facteurs relatifs à la vie privée^{Note de bas de page 3} du Secrétariat du Conseil du Trésor. De plus, étant donné la nature technique des simulateurs de site cellulaire, SCC serait tenu d’effectuer une évaluation de la menace et des risques et d’inclure cette évaluation, ou un résumé de ses résultats, dans l’EFVP au moment de sa présentation.