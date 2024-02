Trois institutions fédérales ont fait leur mea culpa, mardi, devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.

Ce comité se penche sur l’emploi au fédéral d’outils capables de déverrouiller les cellulaires et les ordinateurs, même s’ils sont protégés par un mot de passe ou une empreinte digitale, et d’accéder à leurs données, même si elles sont cryptées.

Services partagés Canada, le Bureau de la concurrence et le Bureau de la sécurité des transports ont reconnu qu’ils utilisent ces instruments depuis plusieurs années sans avoir effectué ce qui s’appelle une évaluation des facteurs relatifs à la vie privée (ÉFVP).

Une directive fédérale exige qu’une telle évaluation soit réalisée pour toute nouvelle activité ou nouveau programme comportant la collecte ou le traitement de renseignements personnels, ou pour un programme existant ayant subi des modifications importantes.

Franchement, c'est une bonne pratique que nous aurions dû mettre en œuvre, et c'est pourquoi nous en faisons une maintenant , a reconnu Scott Jones, président de Services partagés Canada.

Scott Jones, le président de Services partagés Canada

Le comité a entrepris cette étude à la suite d’un reportage de Radio-Canada en novembre dernier qui a révélé l’absence de telles évaluations avant le déploiement de ces dispositifs potentiellement intrusifs par plusieurs ministères.

Tout ça aurait pu être évité, selon moi, si ces institutions avaient tout simplement respecté leurs directives , a affirmé le député néo-démocrate, Matthew Green.

Les agences ont expliqué que leurs programmes d’enquête étant en vigueur depuis plusieurs années, elles n’avaient pas jugé nécessaire de mener une évaluation en lien avec les outils en question.

La capacité d'action des outils d'aujourd'hui est vraiment différente , a lancé le député bloquiste René Villemure. Il a aussi fait valoir que les téléphones intelligents contiennent maintenant beaucoup plus de données personnelles que par le passé.

Les députés autour de la table ne contestent pas la nécessité pour certains ministères de recourir à ces instruments dans le cadre d’enquêtes. Mais certains parlementaires ont laissé entendre qu’il faudrait peut-être faire de ces évaluations une obligation juridique.

Les trois institutions ont maintenant entrepris une ÉFVP .

Des évaluations qui arrivent après les faits

Jusqu’à maintenant, douze agences et ministères fédéraux ont été appelés à comparaître devant le comité pour expliquer leur usage d’outils d’extraction de données.

Plusieurs d’entre eux ont aussi reconnu ne pas avoir mené des ÉFVP .

C’est le cas entre autres de l’Agence des services frontaliers du Canada.

L’agence dit avoir utilisé ces outils sur 712 composantes électroniques saisis, comme des cartes SIM, dans le cadre de 119 enquêtes criminelles pour la seule année 2023.

L'Agence des services frontaliers du Canada dit utiliser les outils d'extraction de données dans le cadre d'enquêtes approfondies et non à la frontière.

L’agence ne les déploie pas à la frontière, mais plutôt dans le cadre d’enquêtes plus poussées et après avoir obtenu un mandat, a expliqué Aaron McCrorie, vice-président de la Direction générale du renseignement et de l’exécution de la loi.

Selon lui, ces outils sont devenus indispensables.

Si on a un appareil verrouillé par un mot de passe, nous avons besoin de cette technologie pour l’ouvrir. À une autre époque, on aurait demandé à un serrurier d'ouvrir une boîte qui contenait des reçus, par exemple , a-t-il dit. Maintenant, quand il est question de contrebande d'armes à feu, les reçus électroniques se trouvent dans un téléphone portable ou un ordinateur.

Nous parlons de centaines et de centaines d'enquêtes utilisant ce logiciel et pas une seule fois votre ministère n'a effectué une évaluation des facteurs relatifs à la vie privée? , a demandé le député conservateur Larry Brock.

M. McCrorie a expliqué qu’une telle évaluation était en cours pour l’ensemble du programme d’enquête criminelle de l’agence, qui comprend l’usage de ces instruments.

Vous comprenez, monsieur, que cette évaluation n’est pas une option. C’est une directive du Conseil du Trésor , a lancé le député Brock.

Réponses évasives

L’absence de réponses claires de la part de certaines institutions a provoqué des moments tendus entre députés et témoins.

Par exemple, quand des députés ont demandé à tour de rôle aux dirigeants de la Défense nationale si une évaluation avait été faite avant l’usage de ces outils, la dirigeante principale de l’information par intérim, Sophie Martel, a répété que son ministère avait un certain nombre d’évaluations des facteurs relatifs à la vie privée en cours .

Avez-vous ou pas complété une évaluation avant d'utiliser cet outil? Vous l'avez fait ou pas? , a insisté le député conservateur Michael Barrett.

Je ne suis pas certaine en toute franchise , a finalement répondu Mme Martel.

Nous ne l’avons pas fait , a tout de suite enchaîné son collègue, le brigadier-général Dave Yarker, directeur général de la cybersécurité.

La Défense nationale dit avoir recours à ces outils pour assurer la sécurité de son réseau informatique.

La Défense nationale a affirmé devant le comité qu’elle utilisait ces outils pour assurer la sécurité de ses systèmes informatiques et veiller à ce qu’ils ne soient pas compromis notamment par des États ennemis et des groupes criminels.

Toutefois, en réponse à Radio-Canada en novembre dernier, la Défense nationale avait aussi mentionné leur usage, entre autres, par la police militaire. Celle-ci est responsable notamment de faire enquête sur les membres des Forces armées canadiennes accusées d’infractions militaires ou criminelles.

Des versions divergentes

Quelques institutions ont tenu des propos différents devant le comité par rapport aux réponses qu’elles avaient fournies à Radio-Canada.

Par exemple, Radio-Canada a communiqué avec le CRTC en novembre dernier pour savoir si une ÉFVP avait été effectuée en lien avec ces outils et, si tel était le cas, de lui en fournir une copie.

Le CRTC a alors répondu qu’une telle évaluation n’avait pas été nécessaire.

Les outils mentionnés sont uniquement utilisés suite à l’obtention d’un mandat de perquisition selon les modalités [...] de la Loi anti-pourriel du Canada, conséquemment une analyse supplémentaire des facteurs relatifs à la vie privée n'est pas de mise , a alors écrit une porte-parole du CRTC .

Pourtant, devant le comité parlementaire, le CRTC a invoqué l’existence d’évaluations qui remontent à 2014 quand la Loi canadienne anti-pourriel est entrée en vigueur et que la collecte de données personnelles était prévue.

L’Agence du revenu du Canada a tenu un discours semblable.

Devant le comité parlementaire, les représentants de l'Agence du Revenu ont déclaré qu'ils venaient tout juste de mettre à jour leur évaluation de 2016.

L’Agence du revenu n’avait partagé aucune ÉFVP avec Radio-Canada et avait référé les questions à ce sujet à Services partagés Canada, à titre de signataire des contrats avec les fournisseurs des outils en question.

Devant le comité, l’Agence du revenu a soutenu que l’utilisation de ces outils faisait partie d’une ÉFVP qui a été réalisée pour l’ensemble de son programme d’enquêtes criminelles en 2016. Elle a aussi dit qu’elle venait tout juste d’en compléter la mise à jour.

Même en l’absence d’une évaluation, toutes les institutions qui utilisent ces outils disent avoir mis en place des protocoles internes rigoureux qui encadrent la collecte et le stockage des renseignements personnels pour en assurer la protection.