Document d’information

La protection de la vie privée et le cadre de sécurité nationale du Canada

OTTAWA, le 6 décembre 2016 – Daniel Therrien, commissaire à la protection de la vie privée du Canada, ainsi que ses homologues provinciaux et territoriaux ont présenté à Sécurité publique Canada un mémoire officiel sur l’examen du cadre de sécurité nationale du Canada par le gouvernement fédéral. Le présent document d’information reprend des thèmes et des recommandations clés de ce mémoire.

Métadonnées et droit pénal

Les métadonnées, générées sans cesse par les appareils numériques, peuvent être beaucoup plus révélatrices que l’information figurant sur une enveloppe ou dans un annuaire téléphonique, à laquelle les policiers les assimilent couramment. Par exemple, elles peuvent révéler des problèmes de santé, les croyances religieuses, l’orientation sexuelle et de nombreux autres renseignements personnels. Nous avons aussi constaté récemment qu’elles peuvent permettre d’identifier des sources journalistiques.

Les renseignements de base sur les abonnés des services d’accès Internet – entre autres le nom, l’adresse de courriel et l’adresse IP (mais non le contenu des communications) – constituent une forme de métadonnées et peuvent indéniablement être utiles aux fins des enquêtes. D’après le document de discussion du gouvernement fédéral, les forces policières devraient avoir accès à ces renseignements plus facilement. Pourtant, le projet de loi C-13, Loi sur la protection des Canadiens contre la cybercriminalité, a abaissé les seuils prévus par la loi pour l’accès aux métadonnées dès son entrée en vigueur en 2015. En vertu de cette loi, il est possible d’obtenir auprès d’un juge une ordonnance de communication visant des « données de transmission », des relevés de transaction et des données de localisation selon le critère des « motifs raisonnables de soupçonner ». Il ne nous semble pas très clair pourquoi ces dispositions n’offrent pas aux organismes d’application de la loi des outils adéquats pour faire leur travail. Les policiers ont-ils vraiment besoin d’avoir accès aux métadonnées s’ils n’ont pas de « motifs raisonnables de soupçonner »?

Recommandations :

  • Justifier un abaissement des seuils par rapport aux normes adoptées récemment en vertu du projet de loi C-13.

    Le gouvernement doit expliquer clairement pourquoi les seuils en vigueur ne peuvent être atteints et pourquoi une autorisation administrative en vue de l’obtention de métadonnées, au lieu d’une autorisation judiciaire, protège suffisamment les droits garantis par la Charte en l’absence de circonstances contraignantes.

  • Renforcer les mesures de protection de la vie privée : considérations générales

    Des cas récents de collecte de métadonnées – par exemple par le Centre de la sécurité des télécommunications, le SCRS, la Gendarmerie Royale du Canada, la Sûreté du Québec et le Service de police de la Ville de Montréal – montrent qu’il faudrait en fait resserrer les normes existantes et renforcer les mesures de protection de la vie privée. Dans de nombreux cas, la collecte de métadonnées, y compris après l’obtention d’un mandat, visait des personnes innocentes qui n’étaient soupçonnées d’aucune activité criminelle.

    Une loi modernisée doit prendre en compte que les métadonnées peuvent révéler des renseignements personnels plus sensibles que l’information pour laquelle un mandat était traditionnellement requis dans le monde prénumérique. Elle doit aussi veiller à ce que les outils d’enquête modernes ne portent pas atteinte à la vie privée des citoyens respectueux de la loi.

  • Maintenir le rôle des juges et mieux définir les conditions d’accès aux métadonnées

    Il est important de maintenir le rôle des juges dans la délivrance des mandats autorisant la collecte de métadonnées par les organismes d’application de la loi, car le système judiciaire assure l’indépendance nécessaire pour la protection des droits de la personne.

    Toutefois, il incombe aussi au Parlement de mieux définir les conditions en vertu desquelles les forces policières devraient avoir accès aux métadonnées sensibles des Canadiens.

    Dans l’ensemble, ces critères devraient permettre aux organismes d’application de la loi d’avoir accès aux métadonnées lorsque celles-ci sont nécessaires à la poursuite de leurs enquêtes, mais uniquement d’une façon qui reconnaît la nature souvent sensible de ce type d’information.

    Les conditions devraient comprendre l’adoption de seuils et de critères juridiques assez élevés pour la délivrance d’ordonnances du tribunal. Par exemple, on pourrait exiger que la collecte de métadonnées soit effectuée uniquement après avoir épuisé toutes les autres méthodes d’enquête et pour les crimes violents où les intérêts en matière de sécurité publique peuvent l’emporter sur les risques d’atteinte à la vie privée.

    Dans les cas où ces conditions sont respectées, il devrait y avoir des conditions supplémentaires pour protéger la vie privée des personnes qui sont visées accessoirement par un mandat sans toutefois être soupçonnées d’un crime. Par exemple, l’utilisation des données pourrait être limitée au crime faisant l’objet d’une enquête et les métadonnées qui n’ont pas de lien avec l’activité criminelle devraient être détruites sans délai.

  • Justifier la raison d’être de nouvelles exigences en matière de conservation des données en sus des ordonnances de préservation en place.

    À l’heure actuelle, les organismes d’application de la loi ont recours aux ordonnances de préservation pour s’assurer que les données des clients d’une entreprise de communications ne sont pas supprimées au cours d’une enquête. Le document de discussion du gouvernement suggère que les entreprises devraient être tenues de conserver les données de leurs clients en l’absence d’une ordonnance du tribunal.

    Il faudrait certainement justifier l’imposition de ce genre d’obligation et sa portée devrait être proportionnelle. La Cour de justice de l’Union européenne a d’ailleurs invalidé une directive européenne sur la conservation des données qui imposait une obligation similaire, principalement en raison de l’existence d’une ingérence appréciable dans les droits fondamentaux et de l’absence de limites suffisantes quant à l’utilisation, par les organismes d’application de la loi, de l’information recueillie.

Métadonnées et sécurité nationale

Le Government Communications Headquarters, organisme de renseignement et de sécurité du Royaume-Uni, a indiqué publiquement que les métadonnées sont plus révélatrices que le contenu des communications. Elles s’avèrent par conséquent très utiles dans les enquêtes touchant la sécurité nationale. Pourtant, les révélations dans l’affaire Snowden et divers incidents survenus au Canada ont montré que la collecte de métadonnées peut viser des citoyens respectueux de la loi. Il s’agit là d’exemples de surveillance de masse.

Au Canada, deux incidents survenus récemment méritent d’être mentionnés. D’abord, l’organisme de supervision du Centre de la sécurité des télécommunications (CST) – le Bureau du commissaire du CST – a révélé dans son rapport annuel 2014-2015 que le CST avait illégalement communiqué à ses partenaires internationaux du domaine de la sécurité des métadonnées qui n’avaient pas été suffisamment minimisées. Puis, plus récemment, la Cour fédérale a statué que le SCRS avait conservé illégalement, à des fins d’analyse, les métadonnées de personnes ne constituant pas une menace pour la sécurité nationale.

Recommandations :

  • Modifier la Loi sur la défense nationale.

    À la suite de son enquête sur la communication de métadonnées par le CST, le Commissariat à la protection de la vie privée a recommandé que l’on modifie la Loi sur la défense nationale pour préciser que les pouvoirs du CST en matière de collecte, d’utilisation et de communication de renseignements personnels doivent être assortis de mesures de protection particulières afin de protéger la vie privée des Canadiens.

  • Veiller à ce que les renseignements personnels obtenus accessoirement soient détruits.

    Il faudrait modifier la loi pour s’assurer que, dans les cas où les renseignements personnels d’individus non soupçonnés de terrorisme sont obtenus accessoirement à la collecte d’information concernant des menaces, ces renseignements sont détruits si leur analyse a permis de blanchir les intéressés de tout soupçon d’activité terroriste.

Interception et chiffrement

La bataille très médiatisée entre la société Apple et le Federal Bureau of Investigation (FBI) concernant l’accès d’enquêteurs au téléphone cellulaire verrouillé d’un tueur de masse en Californie a attiré l’attention sur la question difficile de l’interception et du chiffrement au cours des derniers mois.

Le document de discussion du gouvernement souligne que le chiffrement peut nuire grandement aux enquêtes légitimes, voire à l’application des ordonnances du tribunal. Les personnes qui ont recours au chiffrement et les entreprises qui l’offrent à leurs clients sont assujetties aux lois et aux mandats judiciaires, qui exigent parfois l’accès à des renseignements personnels pouvant être nécessaires en toute légitimité lorsque la sécurité publique est menacée.

Par ailleurs, le chiffrement constitue un outil extrêmement important, voire essentiel pour la protection des renseignements personnels et la sécurité des appareils électroniques tels que les téléphones intelligents. Malheureusement, il n’existe aucun moyen connu de donner un accès systémique au gouvernement sans exposer par le fait même la population générale à un risque important à la sécurité de ses données. En outre, les outils de chiffrement proviennent souvent de sources à l’étranger et ils sont largement accessibles, y compris pour les criminels et les terroristes, de sorte qu’une loi canadienne pourrait n’avoir aucune incidence sur les suspects tandis qu’elle atténuerait les mesures de sécurité et de protection de la vie privée dont ont besoin les utilisateurs ordinaires de services numériques.

Recommandations :

  • Chercher des solutions techniques avant d’envisager l’adoption d’une nouvelle loi.

    Le Parlement devrait faire preuve de prudence avant de prévoir des solutions par voie législative. Il serait préférable d’explorer le domaine des solutions techniques susceptibles de permettre un accès discret autorisé par la loi à des appareils chiffrés précis, au lieu d’imposer par voie législative des exigences générales.

    La Loi sur la protection des Canadiens contre la cybercriminalité confère déjà des pouvoirs au gouvernement. En vertu de cette loi, les juges sont habilités depuis 2015 à annexer une ordonnance d’assistance à un mandat de perquisition, à une ordonnance d’interception, à une ordonnance de communication ou à toute autre forme de surveillance électronique. L’ordonnance a été utilisée dans le cadre d’enquêtes pour passer outre des dispositifs de sécurité ou obtenir des clés de déchiffrement.

    Ajoutons par ailleurs qu’il existe déjà au niveau fédéral des dispositions obligeant les fournisseurs de services de télécommunications à prévoir des fonctions de surveillance, à conserver les métadonnées de communication et à fournir sur demande un contenu déchiffré au gouvernement. Ces exigences – les Normes d’application du Solliciteur général du Canada – constituent une condition d’octroi de licence depuis le milieu des années 1990.

    Comme c’est le cas pour les ordonnances d’assistance, si ces normes ne sont pas mises en œuvre ou appliquées comme il se doit, le gouvernement doit expliquer clairement quelles sont les lacunes du système.

  • Adopter une approche restrictive si le gouvernement envisage l’adoption d’une nouvelle loi.

    En l’absence d’une solution technique évidente, si le gouvernement considère qu’une solution législative s’impose, les modifications apportées devraient tenir compte des principes de nécessité et de proportionnalité, de manière à réduire la quantité d’information déchiffrée, et ces mesures extraordinaires ne devraient être utilisées qu’en dernier recours.

Communication interne d’information

Assurer la sécurité des Canadiens constitue clairement un objectif important et une communication élargie de l’information pourrait parfois permettre de détecter et d’éliminer des menaces à la sécurité.

Toutefois, l’ampleur de la communication d’information autorisée à la suite de l’adoption du projet de loi C-51, Loi antiterroriste de 2015, est sans précédent. La portée des nouveaux pouvoirs conférés par la Loi est excessive – et ces pouvoirs peuvent toucher les Canadiens ordinaires ‒, et les mesures de protection prévues pour limiter les pertes démesurées au chapitre de la vie privée laissent grandement à désirer.

Le fait que la communication d’information soit autorisée selon une norme de « pertinence » par rapport à la détection des menaces explique en grande partie pourquoi les citoyens respectueux de la loi sont exposés à un risque excessif. Par exemple, l’information concernant des voyageurs ou des contribuables ordinaires pourrait être communiquée dans le but de détecter des menaces. Et la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) n’exige pas la destruction de cette information une fois que des analyses ont permis de blanchir la grande majorité des personnes de tout soupçon de participation à des activités terroristes.

Recommandations :

  • Justifier la nécessité d’apporter des changements.

    Le gouvernement fédéral devrait justifier les nouvelles dispositions sur l’échange d’information, entre autres en expliquant clairement, avec des exemples concrets, en quoi l’ancienne loi créait des obstacles à la communication de l’information nécessaire pour assurer la sécurité nationale.

  • Relever la norme de la « pertinence » à la « nécessité ».

    Il faudrait revoir la norme de « pertinence » autorisant la communication d’information. Le Service canadien du renseignement de sécurité (SCRS) est autorisé à recueillir et à analyser uniquement l’information qui est « strictement nécessaire ». Si le critère de la nécessité est adéquat pour permettre au SCRS de recueillir, d’analyser et de conserver des informations, nous ne voyons pas pourquoi cette norme ne peut être adoptée pour tous les ministères et organismes qui jouent un rôle dans la sécurité nationale.

  • Établir des limites clairement définies quant à la période de conservation de l’information reçue ou communiquée.

    Les organismes de sécurité nationale devraient être tenus d’éliminer l’information immédiatement après que les analyses sont terminées et que la grande majorité des personnes ont été blanchies de tout soupçon de participation à des activités terroristes.

  • Exiger explicitement des ententes de communication d’information écrites.

    La Loi devrait exiger que les ententes de communication d’information définissent les éléments particuliers des renseignements personnels qui seront communiqués, les fins particulières visées par la communication ainsi que les limites concernant les utilisations secondaires et tout transfert ultérieur, et qu’elles énoncent d’autres mesures devant être prescrites par la réglementation, comme les mesures de protection, les périodes de conservation et les mesures de reddition de comptes précises.

  • Consacrer dans la loi l’obligation d’effectuer des évaluations des facteurs relatifs à la vie privée (EFVP).

    Le Commissariat à la protection de la vie privée est préoccupé par le fait qu’un petit nombre seulement d’EFVP ont été réalisées en lien avec les dispositions sur l’échange d’information prévues dans le projet de loi C-51. L’EFVP aide à déterminer si l’utilisation de renseignements personnels présente des risques d’atteinte à la vie privée et propose des solutions pour atténuer ces risques. L’obligation d’effectuer une EFVP est actuellement prévue dans une politique du gouvernement, mais non dans la Loi sur la protection des renseignements personnels.

  • Examiner la communication de l’information au-delà du projet de loi C-51.

    Les dispositions sur l’échange d’information prévues dans le projet de loi C-51 ne sont pas le seul mécanisme donnant lieu à l’échange d’information aux fins de la sécurité nationale. Les mesures de protection telles la nécessité et la proportionnalité devraient s’appliquer à toute communication d’information à l’échelle nationale.

Échange d’information à l’échelle internationale

L’échange d’information à l’échelle internationale peut entraîner de graves violations des droits de la personne, notamment la torture. Des commissions d’enquête visant à examiner les nouvelles mesures de sécurité adoptées à la suite des événements tragiques du 11 septembre 2001 l’ont montré. Il faut clarifier le cadre juridique actuel pour réduire le risque le plus possible.

Recommandations :

  • Établir des règles claires pour assurer le respect du droit international en matière de droits de la personne.

    Il faut adopter des règles claires en vertu de la loi pour empêcher que la communication d’information entraîne de graves atteintes aux droits de la personne et une violation des obligations internationales du Canada.

    Il faudrait envisager d’intégrer dans la loi certains des principes de protection de la vie privée convenus par le Canada et les États-Unis à l’appui du plan d’action Par-delà la frontière.

Surveillance

La proposition du gouvernement en vue de créer un nouveau Comité des parlementaires sur la sécurité nationale et le renseignement est un pas dans la bonne direction, mais elle ne suffit pas pour assurer une surveillance efficace. L’examen par des experts est essentiel.

Toutes les institutions gouvernementales qui jouent un rôle dans la sécurité nationale devraient faire l’objet d’un examen par des experts. Cela comprend les 17 institutions autorisées à recevoir de l’information par suite de l’adoption du projet de loi C-51 et, entre autres, le Bureau du Conseil privé.

Recommandations :

  • S’assurer que les institutions gouvernementales qui jouent un rôle dans la sécurité nationale font toutes l’objet d’une surveillance indépendante par des experts.

    Un comité composé de parlementaires garantit l’obligation démocratique de rendre des comptes. Toutefois, il serait également important de prévoir un examen par des experts ayant une connaissance approfondie des activités menées par des organismes de sécurité nationale et des domaines pertinents du droit afin d’assurer la protection efficace de ces droits.

    Les organismes d’examen composés d’experts devraient travailler en toute indépendance par rapport à l’exécutif, être impartiaux et posséder une expertise institutionnelle de même qu’une connaissance des normes et du droit nationaux et internationaux.

  • S’assurer que les organismes d’examen peuvent collaborer.

    Les organismes d’examen doivent être en mesure d’échanger de l’information afin de pouvoir mener leurs examens respectifs de façon concertée et efficace, et non en vase clos comme c’est actuellement le cas.

    À l’heure actuelle, les dispositions de la Loi sur la protection des renseignements personnels régissant la confidentialité empêchent le Commissariat à la protection de la vie privée d’échanger de l’information concernant des enquêtes en cours avec d’autres organismes d’examen, par exemple le Comité de surveillance des activités de renseignement de sécurité, le Bureau du commissaire du Centre de la sécurité des télécommunications ou la Commission civile d’examen et de traitement des plaintes relatives à la Gendarmerie royale du Canada.

  • S’assurer que les organismes d’examen disposent de ressources adéquates.

    Pour être vraiment efficaces, les organismes d’examen doivent aussi disposer de ressources adéquates. Les préoccupations du public en matière de protection de la vie privée se sont accrues au cours des dernières années et les budgets des organismes de sécurité nationale ont augmenté considérablement, mais le financement des organismes de surveillance n’a pas été majoré en conséquence. Le Commissariat à la protection de la vie privée, par exemple, a été contraint de réduire ses efforts consacrés aux autres aspects de son mandat afin de mieux contrôler les activités accrues en matière de sécurité nationale. Cette situation est loin d’être idéale et elle ne permet même pas d’effectuer les examens nécessaires des activités des organismes de renseignement.

Transparence

La question des rapports de transparence, lesquels constituent un élément important pour assurer l’équilibre et la reddition de comptes, est un point clé qui n’est pas abordé dans le document de discussion du gouvernement.

La production de rapports de transparence ne devrait pas se limiter au secteur privé comme c’est le cas à l’heure actuelle. Et il est inacceptable que les institutions gouvernementales ne soient pas tenues par la loi de présenter ce type de rapports (d’une manière qui protège les méthodes d’enquête).

Les débats publics et les décisions concernant la protection de la vie privée doivent reposer sur des faits et la réalité juridique. La publication en temps opportun de renseignements statistiques exacts sur les demandes d’accès adressées par le gouvernement et sur son accès à des renseignements personnels peut étayer ces discussions et aider les consommateurs à faire des choix éclairés.

Recommendation:

  • Exiger que le gouvernement produise des rapports de transparence.

    Il devrait y avoir des exigences en matière de présentation de rapports sur les grandes questions relatives à la protection de la vie privée auxquelles font face les organisations fédérales ainsi que des exigences de transparence particulières pour les demandes d’accès licite émanant des organismes chargés de l’application de la loi.

Voir également :

Communiqué : Ne répétez pas les erreurs du passé – Mise en garde du commissaire à la protection de la vie privée dans le contexte de l’examen du cadre de sécurité nationale par le gouvernement

Mémoire présenté dans le cadre de la consultation sur le cadre de sécurité nationale du Canada

Déclaration

- 30 -

Pour obtenir plus de renseignements, communiquez avec :

Tobi Cohen, Commissariat à la protection de la vie privée du Canada
Tobi.Cohen@priv.gc.ca

Date de modification :