•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Illustration d'un homme assis devant un écran d'ordinateur. Plusieurs symboles d’applications et de réseaux sociaux semblent être inspirés vers l’écran.

Des outils potentiellement intrusifs utilisés par au moins 13 ministères fédéraux

Des outils capables d’extraire les données personnelles de téléphones ou d’ordinateurs sont utilisés par au moins treize ministères et agences du gouvernement fédéral. C'est ce que révèlent des contrats obtenus en vertu de la Loi sur l'accès à l'information. De plus, le recours à ce matériel potentiellement intrusif n'a pas fait l'objet d'évaluations des risques pour la vie privée, comme l'exige pourtant une directive fédérale.

Dans une version précédente, nous avons qualifié les outils et logiciels d'extraction de données cellulaires de logiciels espions, une expression couramment utilisée mais qui a aussi une description plus spécifique.

Les outils et logiciels en question permettent de récupérer et d'analyser toutes les données, même cryptées et protégées par des mots de passe, qui se trouvent sur les téléphones mobiles, ordinateurs ou tablettes. Ça comprend les courriels, les messages textes, les contacts, les photos et l’historique des déplacements.

Certains logiciels peuvent aussi accéder au nuage informatique d'un utilisateur et retracer ses recherches sur Internet, ses contenus supprimés et ses activités sur les réseaux sociaux.

Institutions fédérales ayant recours à ce matériel :

  • Pêches et Océans Canada

  • Environnement et Changement climatique Canada

  • Conseil de la radiodiffusion et des télécommunications (CRTC)

  • Agence du revenu du Canada (ARC)

  • Services partagés Canada

  • Bureau de la concurrence

  • Affaires mondiales

  • Bureau de la sécurité des transports du Canada

  • Ressources naturelles Canada

  • Service correctionnel Canada

  • Agence des services frontaliers du Canada (ASFC)

  • Défense nationale

  • Gendarmerie royale du Canada (GRC)

D'autres ministères se sont aussi procuré de ces produits par le passé, mais disent ne plus les utiliser.

C'est inquiétant et dangereux, affirme Evan Light, professeur agrégé en communications au Collège Glendon de l'Université York à Toronto et expert en technologies de surveillance et vie privée. Il se dit choqué par l'usage répandu de ces outils au sein du gouvernement fédéral.

Un homme et une femme appuyés sur une table en train de regarder des documents.

L’expert en technologies de surveillance et vie privée, Evan Light, examine les différents contrats d’achat de logiciels d’extraction de données avec la journaliste Brigitte Bureau.

Photo : Radio-Canada / Robert Krbavac

M. Light avait fait une demande d’accès à l’information pour en savoir davantage sur l’emploi de ce matériel par la police au Canada.

Je croyais retrouver les suspects habituels, comme la police, que ce soit la GRC ou l’Agence des services frontaliers. Mais c’est utilisé par un tas de ministères bizarres pour ce genre de logiciels et d’outils, dit-il.

Montage photo de deux appareils qui permettent la collecte de données.

Ces deux appareils qui permettent la collecte de données sont des exemples de ceux achetés par certains ministères et agences.

Photo : Cellebrite / Magnet Forensics

Les documents qu’il a partagés avec Radio-Canada indiquent que c’est Services partagés Canada qui a fait l’achat de différents outils et logiciels pour le compte de ces institutions fédérales auprès des entreprises Cellebrite, Magnet Forensics et Grayshift (ces deux dernières ont fusionné plus tôt cette année).

Les firmes soutiennent avoir mis en place des procédures rigoureuses pour s'assurer que leurs technologies sont utilisées de façon légale, selon leurs sites web.

À la suite de la parution de notre article, le 29 novembre, Cellebrite a tenu à apporter les précisions suivantes : Les technologies de Cellebrite ne sont pas utilisées pour intercepter les communications ou recueillir des renseignements en temps réel. Au contraire, nos outils sont de nature forensique et sont utilisés pour accéder aux données privées uniquement en conformité avec une procédure légale ou avec le consentement approprié pour faciliter les enquêtes de façon légale après qu'un événement s'est produit. La personne ou le suspect sait que notre technologie récupère des données en vertu d'une permission judiciaire par l'entremise d'un mandat de perquisition ou le consentement de l'individu.

Une « normalisation » de la surveillance

Une directive du Secrétariat du Conseil du Trésor (SCT) oblige toutes les institutions fédérales à effectuer ce que ce dernier appelle une évaluation des facteurs relatifs à la vie privée (ÉFVP), avant la mise en œuvre de toute nouvelle activité qui comporte la collecte ou le traitement de renseignements personnels. Il s'agit de cerner les risques d'atteinte à la vie privée et les mesures pour atténuer ou écarter ces risques.

Les ministères doivent ensuite fournir un exemplaire de leur évaluation au SCT et au Commissariat à la protection de la vie privée, selon cette directive entrée en vigueur en 2002 et révisée en 2010.

Radio-Canada a demandé à chacune des institutions fédérales qui utilisent ces logiciels si elles avaient procédé à une telle évaluation.

D'après leurs réponses écrites, aucune ne l’a fait. Le ministère des Pêches et Océans a dit qu'il prévoyait le faire.

L’absence de ces évaluations démontre que c’est devenu normal, que ce n’est rien de fouiller le téléphone de quelqu’un, a réagi le professeur Light. Il y a une normalisation de cette capacité de surveillance vraiment extrême.

Un homme souriant assis sur une chaise dans un bureau.

Le professeur Evan Light s’inquiète de l’utilisation répandue d’appareils de surveillance au sein du gouvernement fédéral.

Photo : Radio-Canada / Robert Krbavac

Selon certaines institutions, ce n’était pas nécessaire, parce qu’elles avaient obtenu des autorisations judiciaires, comme des mandats de perquisition, qui prévoient des conditions strictes pour la saisie d'appareils électroniques.

D’autres disent y avoir recours uniquement sur des appareils appartenant au gouvernement, dans le cas, par exemple, d’employés soupçonnés de harcèlement.

Perquisitions

Or, l’obtention d’une autorisation judiciaire ne supprime pas l’obligation d’effectuer une évaluation, selon le commissaire à la protection de la vie privée, Philippe Dufresne.

Quand ces outils-là sont nouveaux, qu'ils sont très puissants et potentiellement intrusifs, même si on est dans un système où il y a des contrôles judiciaires, c'est important de faire une vérification des impacts sur la vie privée, a-t-il affirmé devant un comité parlementaire qui se penchait sur l'utilisation d’outils d’enquête sur appareils par la GRC, l'an dernier.

Un homme avec un regard inquiet.

Le 8 août 2022, le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, commentait l’utilisation de logiciels espions par la GRC devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes.

Photo : La Presse canadienne / Adrian Wyld

Le commissaire a expliqué qu'une EFVP permet de vérifier, au départ, s'il existe des moyens moins intrusifs d'atteindre le même objectif.

On en arrivera peut-être à la conclusion qu’un outil est intrusif mais nécessaire, a-t-il dit. Mais on doit se poser ces questions, a-t-il rappelé.

Utilisation avec autorisation judiciaire

Institutions fédéralesLoi ou contexte cité par les ministères pour expliquer l’utilisation de ces outils lors d’enquêtes
Pêches et OcéansLoi sur les pêches
Conseil de la radiodiffusion et des télécommunications (CRTC)Loi anti-pourriel
Environnement et Changement climatique CanadaApplication de « divers lois et règlements qui protègent notre air, notre eau, et notre environnement naturel »
Bureau de la concurrenceLoi sur la concurrence
Agence des services frontaliers du CanadaLoi sur les douanes et Loi sur l’immigration et la protection des réfugiés
Gendarmerie royale du Canada (GRC)Enquêtes policières
Défense nationaleUtilisation par les Forces armées canadiennes, seulement si on leur demande d’appuyer un autre ministère et utilisation par la Police militaire

C’est excessif, affirme le professeur Light quant à certaines des raisons invoquées pour expliquer l’usage de ces outils.

Le CRTC emploie une arme nucléaire pour une bataille de pourriels, a-t-il ironisé. C'est un peu ridicule, mais aussi dangereux.

Des employés fédéraux ciblés

Certains ministères disent avoir recours à ces outils pour des enquêtes internes, par exemple, lorsque des employés sont soupçonnés de fraude ou de harcèlement en milieu de travail.

Ils affirment récupérer les données qui se trouvent uniquement sur des téléphones ou ordinateurs qui appartiennent au gouvernement fédéral, en conformité avec des protocoles internes qui encadrent la collecte et le stockage des renseignements personnels pour en assurer la protection.

Toutefois, le Secrétariat du Conseil du Trésor a confirmé à Radio-Canada que sa Directive sur les évaluations des facteurs relatifs à la vie privée s’applique aussi à de tels cas, ajoutant que le gouvernement prend au sérieux les droits à la vie privée des Canadiens, y compris de ses employés.

Utilisation pour enquêtes internes

Institutions fédéralesObjet des enquêtes cité par les institutions
Pêches et OcéansPour « des violations des politiques du gouvernement », comme « la fraude ou le harcèlement en milieu de travail ».
Services partagés CanadaQuand « on soupçonne qu’un employé a utilisé un appareil du ministère pour commettre un acte en contravention avec la politique ». Et pour « effectuer des analyses sur de grands ensembles de données sous le contrôle du ministère ».
Affaires mondiales CanadaPour « maintenir l’intégrité du réseau et du système ».
Ressources naturelles CanadaPour des « incidents de sécurité interne concernant les équipements et les données du département ».
Service correctionnel CanadaPour « extraire des données sur les objets interdits saisis dans les établissements du Service correctionnel du Canada ».

Après la parution de notre article, le Bureau de la sécurité des transports a communiqué avec Radio-Canada pour expliquer que le BST a le pouvoir légal, en vertu de l’article 19 de la Loi sur le bureau canadien d’enquête sur les accidents de transport et de la sécurité des transports, de faire la collecte de renseignements pour ses enquêtes.

Pour sa part, l’Agence du revenu du Canada a fourni peu de détails, affirmant utiliser ces outils pour analyser des données relatives à des infractions fiscales présumées.

Quant à savoir si des EFVP avaient été menées, les deux institutions nous ont dit de communiquer avec Services partagés Canada, qui a signé les contrats avec les fournisseurs.

Services partagés Canada confirme toutefois ne pas avoir mené non plus de telles évaluations.

Réactions du gouvernement

La présidente du Conseil du Trésor, Anita Anand, a refusé notre demande d'entrevue.

Son bureau soutient que chaque institution fédérale est responsable de l'application des lois et des politiques en matière de protection de la vie privée. Cependant, il n’a pas voulu dire ce qui arrive lorsque ces institutions ne respectent pas leurs obligations.

Gros plan d'Anita Anand.

Le bureau de la présidente du Conseil du Trésor du Canada, Anita Anand, n’a pas voulu dire ce qui arrive lorsque des institutions fédérales ne respectent pas leur obligation d’effectuer des évaluations des facteurs relatifs à la vie privée.

Photo : La Presse canadienne / Adrian Wyld

La protection de la vie privée devrait être un élément clé avant d’adopter des outils technologiques à haut risque pour recueillir des renseignements personnels, affirme pour sa part le Commissaire à la protection de la vie privée.

Dans un courriel à Radio-Canada, le commissaire Dufresne a aussi rappelé souhaiter que le gouvernement fédéral fasse des EFVP une obligation juridique contraignante inscrite dans la Loi sur la protection des renseignements personnels.

Le professeur Light déplore que personne au gouvernement fédéral ne semble être responsable de l'utilisation de matériel qui peut avoir un impact dramatique sur la vie des gens.

On a le droit à la vie privée. Ce n'est pas un concept abstrait, dit-il.

Vous souhaitez signaler une erreur?Écrivez-nous (Nouvelle fenêtre)

Vous voulez signaler un événement dont vous êtes témoin?Écrivez-nous en toute confidentialité (Nouvelle fenêtre)

Vous aimeriez en savoir plus sur le travail de journaliste?Consultez nos normes et pratiques journalistiques (Nouvelle fenêtre)

Infolettre Info nationale

Nouvelles, analyses, reportages : deux fois par jour, recevez l’essentiel de l’actualité.

Formulaire pour s’abonner à l’infolettre Info nationale.