Capacités d’enquête dans le monde numérique

Répondez à cette section ici

  • Comment le gouvernement peut-il aborder les problèmes liés aux enquêtes en matière d’application de la loi et de sécurité nationale que pose l’évolution de la technologie, d’une façon qui respecte les valeurs canadiennes, notamment le respect de la vie privée, la sécurité et la protection des intérêts économiques?

Le gouvernement devrait se conformer aux décisions de la Cour suprême et aux conclusions du Commissariat à la protection de la vie privée et s’engager de façon soutenue avec les experts juridiques et les organisations des droits de la personne et des libertés civiles pour les aider à faire face aux défis tout en respectant la Charte et les obligations internationales en matière de droits de la personne.

  • Dans le monde réel, si la police obtient un mandat de perquisition d’un juge afin d’accéder à votre domicile pour y mener son enquête, vous seriez obligés de les laisser entrer. À votre avis, les organismes d’enquête devraient-ils fonctionner de façon différente dans le monde numérique?

Le monde numérique et le monde réel sont très différents : le premier est infini et le dernier est très étroit. En tant que tel, un mandat permettant la perquisition et la saisie dans une résidence ne donnera pas accès à des informations privées telles que les informations bancaires ou médicales comme le ferait un mandat pour un appareil numérique. Si l’accès numérique est nécessaire pour une enquête, le mandat devrait précisé ce que la police recherche afin de prévenir ou prouver spécifiquement un crime, et pas seulement donner accès à un appareil dans son intégralité, ce qui pourrait conduire à d’importantes violations de la vie privée.

  • Actuellement, les organismes d’enquête possèdent des outils semblables dans le monde réel et le monde numérique. Comme nous le démontre le présent document, on craint que ces outils puissent ne pas être aussi efficaces dans le monde numérique que dans le monde réel. Pensez-vous que le gouvernement devrait mettre à jour ces outils afin d’offrir un meilleur appui aux enquêtes menées en ligne et dans le monde numérique?

Les révélations de Snowden et le travail de plusieurs journalistes et médias ont montré que les organismes d’enquête ont en fait trop d’outils pour accéder à l’information dans le monde numérique. Les capacités des organismes de sécurité nationale du Canada à mener une surveillance de masse, légalement ou illégalement, ont grandement contribué à l’érosion de la vie privée. Leurs outils et pouvoirs devraient en fait être réduits.

Par exemple, le CSTC a permis à la NSA de créer une «porte arrière» dans une clé de cryptage utilisée dans le monde entier, a espionné les Canadien.nes en utilisant les réseaux WiFi publics, a capturé des millions de téléchargements quotidiens, a eu recours à la surveillance de masse des sites internet de partage de fichiers, a développé des outils afin de pirater des ordinateurs et des téléphones partout dans le monde, et a partagé des informations sur les Canadien.nes avec ses partenaires étrangers, sans mesures appropriées pour protéger la vie privée.

Plus récemment, un rapport du CSARS a analysé un programme peu connu de collecte massive de données géré par le SCRS depuis 2006. Tout d’abord, le CSARS est en désaccord avec le SCRS sur sa classification de certaines données collectées comme «renseignements publics» et de «sources ouvertes», pour lesquelles le SCRS dit ne pas avoir à satisfaire à l’exigence de collecte que par « stricte nécessité ». Deuxièmement, et ce qui est encore plus troublant, en ce qui concerne les ensembles de données qui relèvent clairement de l’exigence de «stricte nécessité»: « Le CSARS n’a trouvé aucune preuve indiquant que le SCRS avait convenablement appliqué les exigences requises par la loi. » Ceci démontre un clair mépris du SCRS pour la nécessité de se conformer à la loi. C’est une question si grave que le CSARS a appelé à l’arrêt immédiat de l’acquisition massive de données jusqu’à ce qu’il y ait un système pour confirmer le respect de la loi. Une Cour fédérale a récemment conclu que cette collecte de données est illégale. Les médias ont rapporté que le ministre de la Sécurité publique, Ralph Goodale, prévoit peut-être changer la loi afin de permettre au SCRS d’utiliser les données collectées. Les lois ne devraient pas être modifiées afin de légaliser une pratique problématique et permettre une plus grande intrusion dans la vie privée. La collection de données doit donc cesser et le SCRS doit se conformer à la loi.

Enfin, l’utilisation par la police, y compris la GRC, depuis 2005, de capteurs IMSI – ou stingrays – qui sont des dispositifs qui peuvent identifier tous les téléphones cellulaires dans les environs, est très inquiétante. Bien qu’elle perturbe les communications cellulaires, y compris des appels au 911 qui sont interrompus 50% du temps, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) n’était pas au courant de cette pratique. Il faut plus de transparence et de réglementation en ce qui concerne l’utilisation des capteurs IMSI.

  • Votre attente en matière de vie privée diffère-t-elle dans le monde numérique que dans le monde réel?

Elle est plus élevée pour le monde numérique, pour les raisons mentionnées ci-haut.

RENSEIGNEMENTS DE BASE SUR LES ABONNÉS (RBA)

  • Depuis l’arrêt Spencer, la police et les organismes responsables de la sécurité nationale ont de la difficulté à obtenir les RBA de façon efficace et rapide. Ce qui limite leur capacité d’exécuter leur mandat, notamment les enquêtes par les organismes d’application de la loi sur les crimes. Si le gouvernement élaborait une réponse législative à ce problème, dans quelles circonstances les RBA (nom, adresse, numéro de téléphone et adresse courriel) devraient-ils être accessibles à ces organismes? Par exemple, certaines circonstances pourraient comprendre, entre autres : les situations urgentes, l’aide pour trouver une personne disparue, s’il y a soupçon d’un crime, pour suivre une piste d’enquête, etc.

La décision Spencer a limité l’accès aux RBA pour une bonne raison : protéger les droits des Canadien.nes à la vie privée. La décision doit être respectée, et les organes de police et de sécurité nationale doivent obtenir un mandat en tout temps quand ils veulent les RBA, même si les entreprises de télécommunication les donneraient volontairement. Dans certaines situations d’urgence réelle (par exemple, si une vie est en danger ou un crime sera commis sous peu), le Code criminel permet déjà à la police d’accéder aux RBA sans un mandat.

Selon les experts de la protection de la vie privée en ligne, Tamir Israel et Christopher Parsons, conformément aux tentatives passées d’introduire des pouvoirs d’identification numérique sans entrave, les documents de consultation n’ont pas permis de faire valoir que de tels pouvoirs sont nécessaires. Les documents réitèrent des allégations de longue date selon lesquelles les mécanismes d’accès actuels sont «inconsistants et lents», mais ne reconnaissent pas le fait que de telles allégations ont été discréditées à maintes reprises dans le passé.

Enfin, dans le contexte de cette consultation sur la sécurité nationale, l’accès illimité aux RBA est présenté comme une mesure de sécurité nationale destinée à traiter les questions critiques de lutte contre le terrorisme qui sont actuellement au sommet de l’attention et des préoccupations nationales. Cependant, comme dans les tentatives passées d’introduire cette législation, le pouvoir proposé est d’une portée générale, ce qui signifie qu’il sera utilisé principalement dans d’autres contextes d’investigation. En outre, aucune explication spécifique n’est fournie pour expliquer pourquoi ce pouvoir exceptionnel est nécessaire, même dans le contexte de la sécurité nationale. En effet, à la suite de la défaite de cette proposition en 2013, le directeur du SCRS a déclaré que l’accès illimité à l’information d’identification des abonnés «n’est pas absolument essentiel pour que nous puissions faire notre travail». Si, d’une part, les RBA ne sont pas «absolument essentiels» à la sécurité nationale, leur totale disponibilité à des organismes comme le SCRS et le CST peut avoir des répercussions encore plus graves et de grande portée sur la vie privée.

  • Selon vous, les renseignements de base permettant d’établir votre identité, comme les RBA (p. ex. nom, adresse du domicile, numéro de téléphone et adresse courriel), sont-ils aussi confidentiels que le contenu de vos courriels, de votre journal intime, de vos états financiers, de vos dossiers médicaux, etc.? Pourquoi ou pourquoi pas?

Oui absolument. Les RBA incluent également les adresses IP et le numéro IMSI des appareils mobiles, et peut révéler des détails intimes des contacts, réseaux, activités, préférences de style de vie, et de la localisation d’une personne, etc., lorsque liés à d’autres informations.

  • Voyez-vous une différence entre l’accès par la police à votre nom, à l’adresse de votre domicile et à votre numéro de téléphone, et l’accès par la police à votre adresse Internet, comme votre adresse IP ou votre adresse courriel? 

Oui, il y a une différence. Dans le monde numérique, une adresse IP ou une adresse électronique, lorsqu’elle est liée à d’autres informations, peut révéler une énorme quantité d’informations personnelles.

CAPACITÉ D’INTERCEPTION

  • Voyez-vous une différence entre l’accès par la police à votre nom, à l’adresse de votre domicile et à votre numéro de téléphone, et l’accès par la police à votre adresse Internet, comme votre adresse IP ou votre adresse courriel?

(Veuillez noter que cette question apparaît à deux reprises)

  • Le gouvernement du Canada a déjà tenté d’adopter des textes législatifs relatifs à la capacité d’interception. Ces textes auraient obligé les fournisseurs de services de communication canadiens à créer et à maintenir des réseaux qui permettraient, d’un point de vue technique, d’intercepter les communications si une ordonnance de la cour autorisait cette interception (capacité technique). Ces propositions législatives ont soulevé une controverse chez les Canadiens. Certains d’entre eux étaient préoccupés par les atteintes à la vie privée. De plus, les entreprises de télécommunications canadiennes s’inquiétaient de l’incidence que de tels textes législatifs pourrait avoir sur elles.

Selon Christopher Parsons, expert en droit à la vie privée en ligne, la police dispose de son propre équipement capable de s’intégrer aux équipements des opérateurs de télécommunications et ils ont la compétence pour l’installer lorsqu’une compagnie ne possède pas les capacités de surveillance souhaitées. Le fait que les autorités fédérales doivent dépenser leurs propres fonds pour lancer une telle surveillance n’est pas intrinsèquement mauvais, puisque cela oblige les autorités à procéder à une évaluation minutieuse de la meilleure façon de dépenser des fonds publics limités, plutôt que de lancer une vaste infrastructure de surveillance. Ces justifications économiques sont l’une des façons dont la société veille à ce que les policiers soient circonspects dans la façon dont ils s’engagent dans la surveillance. Le gouvernement n’a donc pas démontré que maintenir des réseaux qui permettraient, d’un point de vue technique, d’intercepter les communications est nécessaire au bon travail de la police; ainsi les préoccupations relatives aux atteintes à la vie privée et au fardeau inutile sur les entreprises de télécommunications (et les consommateurs) semblent bien fondées.

CHIFFREMENT

  • Selon vous, les textes législatifs canadiens devraient-ils aider à veiller à ce que des capacités d’interception uniformes soient disponibles par l’entremise des réseaux des fournisseurs de services de communication canadiens lorsqu’une ordonnance de la cour autorise l’interception?

(Cette question devrait normalement se retrouver sous la section précédente)

Avec une ordonnance de la cour, l’interception devrait être permise. Cependant, en plus de ce qui a été dit dans la réponse précédente, bon nombre de Canadien.nes ont perdu confiance en nos organismes de sécurité nationale et ont contesté leur manque de respect envers notre droit à la vie privée. Récemment, le public a également été informé des problèmes de diligence des juges de paix lors de l’émission de mandats d’espionnage contre des journalistes (qui ne sont pas suspectés de crimes). Par conséquent, les pouvoirs d’interception devraient être strictement limités aux communications entre les personnes soupçonnées de planifier ou d’avoir commis un crime; et non pas de donner accès à toutes les communications de ces personnes avec d’autres. Tout comme il n’est pas acceptable d’ouvrir et de lire toutes les lettres reçues par un individu, il ne devrait pas être acceptable d’ouvrir et de lire tous les courriels d’un individu. S’il y a des communications interceptées par erreur qui ne sont pas liées au crime, elles ne devraient pas être conservées ou utilisées.

  • Si le gouvernement étudiait des solutions qui permettraient d’éliminer les difficultés liées au chiffrement dans le cadre d’enquêtes des organismes d’application de la loi et de la sécurité nationale, dans quelles circonstances, le cas échéant, les enquêteurs devraient-ils pouvoir obliger les particuliers ou les sociétés à les aider à déchiffrer des communications?

Obliger le déchiffrement peut mener à l’obtention d’une clé de déchiffrement donnant accès aux données et communications des abonné.es d’une compagnie entière. Cela crée un énorme risque de violations de la vie privée, et est une dangereuse pente glissante vers l’accès du gouvernement aux informations confidentielles en général.

Cette proposition repose également sur une violation d’un de nos droits les plus fondamentaux: notre droit de ne pas s’auto-incriminer. Il est très difficile d’imaginer comment une loi qui obligerait à révéler un mot de passe pourrait être constitutionnelle. Aucune proposition ne devrait même être explorée avant que nous ayons des décisions judiciaires sur la constitutionnalité de contraindre des mots de passe dans le cadre des inspections de l’Agence des services frontaliers du Canada. Ce sont des cas qui sont déjà devant les tribunaux et qui fourniront des balises importantes. Si contraindre un mot de passe n’est pas constitutionnel dans le contexte de la sécurité à la frontière, il ne sera pas constitutionnel dans le cadre du droit pénal ordinaire. Enfin, le gouvernement n’a pas démontré la nécessité d’obliger le déchiffrement afin d’effectuer des enquêtes de façon plus efficace.

Il est aussi important de souligner qu’il est impossible de réduire l’efficacité du chiffrement pour les individus et organisations impliquées dans des activités criminelles ou menaces à la sécurité nationale du Canada sans, du même coup, limiter les usages bénéfiques du chiffrement pour les individus respectueux de la loi. Le cryptage doit fonctionner en tout temps, sinon ce n’est pas vraiment du cryptage. Il est maintenant courant d’entendre la police affirmer que le cryptage est un obstacle à leurs enquêtes. Cependant, tout notre monde digitalisé nécessite une forte sécurité, de sorte que les criminels et les gouvernements étrangers et les entreprises concurrentes soient moins en mesure de surveiller les citoyen.nes canadien.nes : le cryptage nous rend tous plus sûrs. Nous avons trop besoin de la cybersécurité pour la saper de cette manière.

En outre, les suggestions récentes dans les médias selon lesquelles le cryptage a empêché des enquêtes d’aller de l’avant ou que le décryptage de certaines données auraient été utiles, sont problématiques. En fait, plusieurs de ces enquêtes n’ont pas cessé après avoir fait face à la barrière de cryptage. De plus, sans savoir ce qui a été chiffré, rien n’indique que le cryptage était un problème important, seulement qu’il y avait des informations qui n’étaient pas facilement accessibles.

CONSERVATION DES DONNÉES

  • Croyez-vous que la loi devrait exiger des fournisseurs de services canadiens de conserver les données relatives aux télécommunications pendant une certaine période afin qu’on puisse y avoir accès au cas où les responsables de l’application de la loi ou un organisme responsable de la sécurité nationale en aurait besoin dans le cadre d’une enquête, conformément à une ordonnance de la cour?

La police a déjà le pouvoir d’obtenir une ordonnance de préservation de l’information dans des cas particuliers, ce qu’un.e juge peut émettre sur la base d’un seuil bas. Par exemple, les cas où il faudra du temps pour obtenir un mandat de perquisition et les renseignements risquent d’être détruits. Le Livre vert pose la question de savoir si les entreprises de télécommunications devraient simplement être tenues de conserver des données pendant de longues périodes, au cas où la police en aurait besoin. Plutôt comme une ordonnance de préservation globale.

La Cour de justice de l’Union européenne de 2014 a radié la «Directive sur la conservation des données» de l’UE parce que la conservation des données de personnes innocentes contrevient à la Charte des droits fondamentaux de l’UE. Il est tout au moins possible qu’elle viole également notre Charte. Il faut donc prouver que les pouvoirs actuels sont insuffisants avant d’envisager une politique qui a déjà été rejetée en Europe en tant que violation des droits fondamentaux. Et jusqu’à ce jour, le gouvernement n’a pas démontré la nécessité de la conservation des données afin d’effectuer des enquêtes de façon plus efficace.

  • Si le gouvernement du Canada édictait une exigence générale de conservation de données, quel type de données devrait viser une telle exigence? Quelle devrait être la durée de la conservation de ces renseignements?

Le gouvernement du Canada ne devrait pas édicter une exigence générale de conservation des données.