Le 29 janvier 2021

Le très honorable Justin Trudeau
Premier Ministre du Canada
80 rue Wellington
Ottawa, ON K1A 0A2

L’honorable Bill Blair
Ministre de la Sécurité publique
269 av. Laurier ouest
Ottawa, ON K1A 0P8

Par courriel

Objet: Liste d’entités terroristes et lutte contre la violence basée sur la haine et le suprémacisme blanc

Premier Ministre Trudeau et Ministre Blair :

Nous vous écrivons au sujet de vos récents commentaires sur l’ajout d’organisations nationalistes blanches violentes à la liste des entités terroristes du Canada.

Nous saluons l’engagement de votre gouvernement à combattre la violence fondée sur la haine, le racisme et le suprémacisme blanc. Ces questions ont été trop longtemps ignorées par les gouvernements et les forces de l’ordre à tous les niveaux. Il est nécessaire d’agir immédiatement et concrètement.

Nous sommes cependant inquiets que votre parti préconise le recours aux lois antiterroristes comme une partie de la solution, incluant la Liste d’entités terroristes. Ces lois ont été dénoncées par des juristes expert.es, des organisations de défense des libertés civiles et des militant.es pour la justice raciale à cause de la menace qu’elles représentent pour les droits fondamentaux et parce qu’elles perpétuent le racisme, la xénophobie et l’islamophobie inhérentes à la « guerre au terrorisme ».

Les listes d’entités terroristes on été critiquées parce qu’elles sont le fruit d’un processus liberticide qui sert des fins politiques. Les décisions sont prises derrière des portes closes sur la base d’informations secrètes qui ne rencontrent pas les normes légales de preuve et, de plus, on peut refuser de divulguer ces informations à l’entité concernée sous prétexte du risque de « préjudice à la sécurité nationale ».

La manière discrétionnaire avec laquelle des organisations sont placées sur la liste est un sérieux problème ayant comme conséquence l’idée pernicieuse que le terrorisme et la violence sont avant tout le fait de communautés non-blanche, non-occidentale et non-chrétienne.

La réponse réside plutôt dans les appels lancés par les expert.es du droit, des libertés civiles et de la lutte contre le racisme depuis 2001 : il existe des outils dans le code pénal canadien qui peuvent être utilisés pour protéger notre sécurité et lutter contre la violence organisée sans avoir à recourir à des lois antiterroristes qui portent atteinte à l’application régulière de la loi et violent nos droits en vertu de la Charte des droits et libertés.

Bon nombre d’entre eux ont été inclus dans les mémoires concernant la Loi antiterroriste de 2001, ainsi que dans l’examen de cette Loi trois ans plus tard. Ceux-ci étaient bien documentés dans l’opinion dissidente relative au rapport de 2007 sur l’examen de la Loi, « Droits, restrictions et sécurité : Un examen complet de la Loi antiterroriste et des questions connexes ». Dans leur opinion dissidente, les députés de l’époque, Joe Comartin et Serge Ménard, écrivent :

L’Association du Barreau canadien avait déjà, dans le mémoire qu’elle a déposé lors de l’adoption du projet de la loi antiterroriste, rappelé que « le gouvernement canadien dispose déjà de nombreux outils légaux pour réprimer les infractions terroristes » et que « …le Code criminel renferme un solide arsenal de dispositions destinées à lutter contre les organisations terroristes. »

Il en donnait la liste suivante qui fut reprise par la Ligue des droits et libertés devant nous :

• • L’article 2 : les définitions relatives aux gangs, actes de gangstérisme et biens « infractionnels » (fruits d’infractions); […]
  • L’article 17 : l’exclusion de la défense de contrainte pour certaines infractions, notamment la piraterie, l’infliction de lesions corporelles, le rapt, la prise d’otage, etc.;
  • L’article 21 : la participation à l’infraction de ceux qui aident ou encouragent, le complot;
  • L’article 22 : la participation de ceux qui conseillent la commission d’une infraction;
  • L’article 23 : la complicité après le fait;
  • L’article 24 : la tentative. […]

Enfin, les infractions relatives aux armes à feu et autres armes énoncées à la Partie III :

• • L’article 430 (2) : le méfait causant un danger réel pour la vie des gens, passible de l’emprisonnement à perpétuité;
  • L’article 431 : l’attaque contre les locaux officiels, les logements privés ou les moyens de transport d’une personne jouissant d’une protection internationale, passible de 14 ans d’emprisonnement;
  • L’article 433 et suivants : les crimes d’incendies;
  • L’article 495 : le pouvoir des agents de la paix de procéder à une arrestation sans mandat, lorsqu’il existe des motifs raisonnables de croire que le prévenu a commis ou est sur le point de commettre une infraction.

On peut évidemment ajouter toutes les dispositions qui concernent les divers types d’homicides.[1]

Les experts juridiques Kent Roach et Craig Forcese avance un argument puissant dans un article de 2018 qualifiant la Liste des entités terroristes de «loi d’hier», et écrivant :

La liste exécutive soulève des doutes constitutionnels non résolus au Canada, ce qui fait craindre que le recours à la proscription puisse être plus problématique qu’il n’en vaut la peine. La liste a également été utilisée pour les particuliers, mais ces inscriptions au Canada ont déjà produit de faux positifs, peut-être en raison des lacunes quant à l’application régulière de la loi de ces listes d’inscription par l’exécutif. À bien des égards, la liste des groupes terroristes est donc la loi d’hier, problématique et d’une utilité marginale.[2]

Depuis 2002, notre coalition de 45 organisations canadiennes demande de mettre fin aux lois antiterroristes qui permettent l’utilisation de preuves secrètes et la tenue d’audiences secrètes. Les groupes juridiques et de défense des libertés civiles comme la BC Civil Liberties Association, la Canadian Civil Liberties Association, la Ligue des droits et libertés et l’Association du Barreau canadien ont tous dénoncé la Liste des entités terroristes, plusieurs réclamant son abolition, exposant dans de multiples mémoires au Parlement les façons dont les organisations violentes peuvent être tenues responsables tout en garantissant l’intégrité de notre système judiciaire.

Nous devons nous opposer fermement à la montée de la violence haineuse des suprémacistes blancs. Cependant, nous craignons que le recours à des moyens qui violent les droits fondamentaux ne continue d’alimenter les narratifs racistes et xénophobes de ces groupes. L’ajout d’un groupe suprémaciste à la liste n’effacera pas les torts causés par ces lois et minera la capacité de s’y opposer, alors qu’elles continueront d’être utilisées à des fins politiques qui alimentent le racisme et la xénophobie. À l’avenir, d’autres gouvernements pourraient facilement profiter de cette légitimation de la Liste des entités terroristes pour y ajouter des organisations qui s’opposent à leur intérêt politique, comme par exemple des organisations autochtones ou environnementales, ou pour la justice raciale. Et nous n’aurons alors plus la crédibilité de s’y opposer.

Il y a d’autres options, y compris des propositions fortes pour utiliser et améliorer les dispositions existantes du code pénal et la législation contre la haine, sans recourir aux lois antiterroristes.

Nous exhortons donc votre gouvernement à lutter contre la violence basée sur la suprématie blanche et la haine en se concentrant sur les lois et règlements qui augmentent la sécurité des personnes au Canada tout en protégeant leurs droits, et en refusant l’utilisation des lois antiterroristes telles que la Liste des entités terroristes.

Nous réitérons également notre appel de longue date à l’abolition de la Liste des entités terroristes, en faveur d’autres mesures interdisant les activités criminelles, les organisations criminelles et les crimes violents.

Nous vous remercions de prendre en considération nos préoccupations et serions heureux de discuter de cette question avec vous.

Cordialement,

Tim McSorley
Coordinateur national
Coalition pour la surveillance internationale des libertés civiles

 

[1] Comartin, J. et Serge Ménard. “Droits, restrictions et sécurité : Un examen complet de la Loi antiterroriste et des questions connexes – opinion dissidente sur la Loi antiterroriste,” Comité permanent de la sécurité publique nationale, 2007, 39^e législature, 1^re session, pp. 134-137. Disponible en ligne: https://www.noscommunes.ca/Content/Committee/391/SECU/Reports/RP2798914/sterrp07/sterrp07-f.pdf

[2] Craig Forcese et Kent Roach (2018), “Yesterday’s Law: Terrorist Group Listing in Canada,” Terrorism and Political Violence, 30:2, 259-277, DOI: 10.1080/09546553.2018.1432211 [traduction par la CSILC]

TÉLÉCHARGER LE PDF

L’année 2020 a été très difficile compte tenu de l’impact de la pandémie, mais nous avons continué à travailler dur pour protéger nos libertés civiles. Ci-dessous, vous trouverez ce que nous avons accompli durant la seconde moitié de l’année, mais voici d’abord un aperçu de ce que nous prévoyons faire en 2021:

• Nous continuerons de protéger nos libertés civiles et nos droits humains contre la surveillance, y compris la menace de la reconnaissance faciale, les tentatives répétées des gouvernements d’affaiblir le chiffrement, et la surveillance de masse en ligne, notamment par la GRC qui espionne les activistes et défenseur.es autochtones des territoires sur les médias sociaux et autres sites web.
• Nous continuerons de faire pression pour une responsabilisation et transparence accrues de l’Agence des services frontaliers du Canada, y compris la mise en place d’un mécanisme d’examen solide, efficace et indépendant.
• Nous continuerons de lutter pour abolir les certificats de sécurité et mettre fin à la déportation vers la torture. Au cœur de cette action se trouve notre travail pour arrêter la déportation de Mohamed Harkat vers la torture.
• Nous continuerons de surveiller la mise en œuvre de la Loi de 2017 sur la sécurité nationale (anciennement le projet de loi C-59), en particulier en ce qui concerne la surveillance de masse et l’immunité des employé.es du SCRS.
• Nous continuerons de plaider pour l’abrogation de la liste d’interdiction de vol du Canada et la fin de l’utilisation de la liste d’interdiction de vol des États-Unis par les transporteurs aériens au Canada pour les vols ne survolant pas ou n’atterrisant pas au Canada – incluant la production d’une vidéo sur le sujet.
• Nous continuerons d’exiger la justice pour le Dr Hassan Diab et la réforme de la loi sur l’extradition, y compris avec la production d’une vidéo sur le sujet.
• Nous continuerons de faire pression sur les législateurs et législatrices afin de protéger nos libertés civiles contre les effets négatifs de la sécurité nationale et de la «guerre contre le terrorisme», et de tenir informé.es nos lecteurs et lectrices ainsi que nos 45 organisations membres via la Revue de l’actualité.

Aidez-nous à atteindre nos buts!

---

Ce que nous avons fait de juillet à décembre 2020!

Analyse de l’impact sur la vie privée d’Alerte COVID Grâce à notre lettre ouverte collective, le gouvernement fédéral a retardé la publication de l’application nationale de traçage numérique jusqu’à ce que le commissaire à la protection de la vie privée l’ait examinée et approuvée. Notre campagne d’écriture de courriels et notre vidéo ont appelé le gouvernement à protéger nos droits en créant cette application de traçage numérique. Notre communauté a envoyé 1 600 lettres, ce qui a conduit à l’adoption de plusieurs de nos principes clés. Nous avons rédigé une analyse des problèmes de l’application Alerte COVID en lien avec la vie privée lors de sa sortie et avons rencontré la directrice de la Division de la gestion de la protection des renseignements personnels de Santé Canada pour discuter de nos inquiétudes. Nous continuons à surveiller l’impact de l’application.

Des agent.es du SCRS enfreignent la loi et mentent aux tribunaux Deux décisions judiciaires récentes ont révélé de nouveaux cas où le Service canadien de sécurité et de renseignement (SCRS) aurait commis des activités potentiellement illégales et menti aux tribunaux. Le SCRS ne peut pas être autorisé à agir comme s’il était au-dessus de la loi. Nous avons publié une déclaration et envoyé une lettre au ministre de la Sécurité publique, Bill Blair, lui demandant de prendre des mesures immédiates pour mettre fin à cet abus de pouvoir et tenir responsable les agents du SCRS impliqués. Nous avons créé une campagne d’envoi de courriels pour que le public envoie le même message au ministre Blair et au ministre de la Justice, David Lametti. Plus de 1100 courriels ont été envoyés à ce jour!

Nous avons besoin de votre aide pour continuer de lutter
pour la justice et les droits humains!

Arrêtez la déportation vers la torture de Moe Harkat! Nous avons poursuivi notre plaidoyer pour les droits et la vie de Mohamed Harkat en: Partageant notre campagne de rédaction de courriels dans notre Revue de l’actualité et sur les médias sociaux. Participant à un panel en ligne, «Racisme domestique et détention indéfinie», organisé par la First Unitarians Congregation of Ottawa en septembre. Visionnez ici.

Protégez nos droits contre la reconnaissance faciale! Nous avons produit une vidéo détaillée sur les dangers de la reconnaissance faciale et les raisons pour lesquelles la police canadienne ne devrait pas être autorisée à l’utiliser, et l’avons largement distribuée. Nous avons créé une campagne de lettres liée à la vidéo appelant le gouvernement à protéger nos droits contre la reconnaissance faciale, et plus de 3000 courriels ont été envoyés jusqu’à présent!

La CSILC dans les médias Nous avons été inclus dans: Q&A on human rights and COVID-19 par le Just Governance Group Unpublished TV sur le projet de loi C-3 PM’s ‘Tiger Team’ meant to address diversity, inclusion in Canada’s national intelligence and security community hasn’t met since 2018, par Mike Lapointe dans The Hill Times Entrevue sur la reconnaissance faciale sur 770 CHQR à Calgarie Group urges feds to ban facial recognition tools citing a violation of Canadian rights + Re: CSIS and privacy reforms + Trudeau govt appeals ruling that spy service breached duty to court, par Jim Bronskill dans The Canadian Press Sur l’interdiction de la technologie de reconnaissance faciale, par Bernise Carolino dans Canadian Lawyer

Lettres d’opinion et Revue de l’actualité Nous avons publié plusieurs articles d’opinion, communiqués de presse et déclarations, y compris: “Time to end Canada’s No Fly List once and for all“ “New Revelations of RCMP Online Mass Surveillance Raise Troubling Privacy, Civil Liberties Concerns“ Nous continuons de publier notre Revue de l’actualité que vous recevez tous et toutes, et qui est distribuée à des milliers de personnes toutes les deux semaines. Consultez les archives de la Revue de l’actualité si vous avez manqué une édition. Si vous connaissez quelqu’un.e qui s’intéresse à l’impact de la sécurité nationale et de la «guerre contre le terrorisme» sur les droits au Canada et à l’étranger, envoyez-leur une invitation à s’inscrire!

Soutenez notre travail mensuellement sur Patreon et
obtenez des récompenses!

MISE À JOUR (27/08/2020): Depuis la publication de cette analyse, nous avons effectué un suivi auprès de Santé Canada et des Services numériques du Canada. Les informations sont ajoutées ci-dessous. Nous attendons toujours quelques informations finales de Santé Canada et mettrons à jour l’analyse quand nous les aurons reçues.

MISE À JOUR (03/09/2020): Nous avons reçu plus de clarifications de Santé Canada. La mise à jour est ci-dessous.

---

Plusieurs personnes sur nos fils d’actualité supportent l’utilisation de la nouvelle application fédérale Alerte COVID sous prétexte que notre vie privée est déjà violée par Facebook. Nous ne croyons pas que cet argument devrait être utilisé pour justifier l’utilisation de l’application, et ce n’est pas parce que les gouvernements ont échoué à assurer la protection de nos données et de notre vie privée lorsque nous utilisons Facebook – une plateforme très importante, y compris pour les activistes – que nous devrions accepter d’autres violations de notre vie privée,  surtout lorsque le Commissariat à la protection de la vie privée du Canada a publié un Examen des répercussions sur la vie privée de l’application.

Liens importants

Version abrégée de l’examen:
https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2020/nr-c_200731/

Version complète de l’examen (il n’est pas très long, nous encourageons tout le monde à le lire)
https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/renseignements-sur-la-sante-renseignements-genetiques-et-autres-renseignements-sur-le-corps/urgences-sanitaires/rev_covid-app/

Voici la page du gouvernement sur l’application:
https://www.canada.ca/fr/sante-publique/services/maladies/maladie-coronavirus-covid-19/alerte-covid.html

Et voici sa Politique de confidentialité Alerte COVID (notification d’exposition): https://www.canada.ca/fr/sante-publique/services/maladies/maladie-coronavirus-covid-19/alerte-covid/politique-confidentialite.html

Notre analyse

Voici notre compréhension de l’application basée sur les infomations fournies ci-haut – si vous êtes intéressé.es:

• D’après l’analyse du commissaire à la protection de la vie privée: “Les provinces participantes [seulement l’Ontario aux dernières nouvelles] devront attribuer un code unique aux utilisateurs de l’application qui auront reçu un résultat positif suite à un test de dépistage. Ce code servira à aviser d’autres utilisateurs en leur communiquant de façon désidentifiée l’information stockée dans l’application au sujet de l’exposition. Ainsi, certaines personnes au gouvernement provincial sauront qu’un individu a reçu un résultat positif, mais elles n’auront pas accès à l’information de notification.”
• L’application ne trace pas votre emplacement, ne collecte pas votre nom ou les contacts de votre téléphone. Selon le Commissaire à la vie privée: Des solides techniques de cryptage sont utilisées dans la création et le partage des codes à usage unique et la plupart des données utilisées par l’application sera directement stockée sur votre appareil et supprimée de l’appareil après 14 jours. Toutes les données envoyées et reçues sont désidentifiées et anonymisées, c’est-à-dire que vous serez incapable de savoir qui a testé positif et où, et si vous testez positif, les personnes qui seront notifiées ne sauront pas qu’il s’agit de vous ou le lieu où vous êtes entré en contact avec elles. Le Commissaire à la vie privée stipule qu’il n’est pas impossible qu’il y ait réidentification, mais le risque est très faible.
• Le Commissionnaire à la vie privée est heureux du niveau de coopération et transparence du gouvernement, et il a passé en revue le design de l’app et la manière dont elle interagit avec les serveurs fédéraux. Le code de l’app est public mais bien entendu seulement les expert.es le comprendront. L’application n’est pas supposée utiliser de données à d’autres fins que la notification de personnes lorsque celles-ci ont été en contact avec quelqu’un qui a testé positif.
• Ce n’est pas idéal qu’il n’y ait pas eu de loi ou de procédure parlementaire pour déployer l’application mais nous sommes content.es que le gouvernement ait retardé le déploiement jusqu’à ce que le Commissaire à la vie privée ait eu le temps d’y jeter un coup d’oeil.
• L’utilisation de l’application est volontaire ce qui est une bonne chose. Nous avons été agréablement surpris.es d’apprendre qu’une étude menée par des épidémiologistes à l’université d’Oxford démontre que l’application pourrait être efficace pour empêcher une certaine propagation même si elle n’est pas utilisée par la majorité de la population. Elle pourrait prévenir une nouvelle infection pour un ou deux personnes utilisant l’application. Dans tous les cas, l’application est seulement efficace si elle est utilisée en combinaison avec les autres mesures préventives telles que le dépistage, le traçage des contacts manuel, l’utilisation de masques, la distanciation sociale et le lavage des mains.
• Nous sommes également content.es qu’il y aura une évaluation de l’efficacité et des impacts sur la vie privée de l’application dans le dernier trimestre de 2020, et heureux.ses de voir un conseil consultatif d’experts externes pour fournir des conseils et des conseils pour assurer l’efficacité de l’application.
• Comme le Commissaire à la vie privée l’a mentionné, il serait important pour le gouvernement d’interdire aux entreprises d’exiger des client.es qu’iels montrent la preuve qu’iels ont l’application et qu’iels n’ont pas testé.es positif ou n’ont pas été en contact avec des personnes positives, sinon le caractère volontaire de l’application disparaîtra.
• Santé Canada s’est engagé à fermer définitivement l’application – ce qui effacera les numéros à usage unique partagés entre téléphones et les données stockées sur les serveurs du Gouvernement canadien (sauf si les adresses IP sont retenues pour une enquête) – dans les 30 jours suivant la fin de la pandémie. Même si la pandémie pourrait perdurer longtemps, c’est une importante limitation dans la durée.

Quelques préoccupations à retenir

• En avril, avec OpenMedia, BCCLA, CIPPIC et BC FIPA, nous avons rassemblé 7 principes à suivre pour les applications de traçage de contacts afin de protéger les droits humains. La nouvelle application répond à certains de nos principes mais pas tous : l’application n’est pas réglementée par une loi et n’a pas été soumise à la procédure parlementaire; il n’y a pas de recours prévu en cas de violation de la vie privée ou d’autres problèmes ou violations de droits; et le gouvernement ne s’engage pas à interrompre l’application si elle est jugée inefficace (ou s’il y a des violations détectées) – seulement un engagement à prendre en considération la recommandation du Conseil consultatif.
• D’après l’analyse du commissaire à la protection de la vie privée: “l’adresse est saisie lorsque l’utilisateur tente de vérifier les codes à usage unique donnant accès au serveur. Si le code à usage unique n’est pas valide, le serveur conserve l’adresse de l’utilisateur pendant 60 minutes; ce temps de rétention permet de prévenir l’utilisation frauduleuse des codes à usage unique. De plus, en temps normal, l’adresse de l’utilisateur est conservée jusqu’à trois mois dans les journaux d’enregistrement du système chaque fois qu’une demande est faite au serveur (vérification du code à usage unique, versement d’une clé de diagnostic, etc.). S’il y a des activités suspectes, le système conservera l’adresse de l’utilisateur jusqu’à deux ans. Dans ce cas, nous comprenons qu’il est possible que les journaux visés du système soient partagés avec des organismes d’application de la loi dans le cadre d’une enquête. Ces caractéristiques de sécurité posent un risque de réidentification, car, jumelée à d’autres informations, l’adresse peut permettre d’identifier des individus. Toutefois, grâce à l’adoption de mesures de protection rigoureuses, nous estimons que le risque de réidentification demeure faible. Le gouvernement du Canada a indiqué au Commissariat que l’accès à ces journaux d’enregistrement sera limité à des utilisateurs autorisés liés par des obligations de sécurité à protéger l’information et à ne pas y accéder ou à l’utiliser à des fins déshonorables.”
• Il semblerait qu’il ne devrait pas être nécessaire de garder les adresses IP au-delà d’une heure, pendant que la validité des codes est en cours de vérification. «Activité suspecte» et le type d’enquête qui pourrait être lancé, et pour laquelle nos adresses IP seraient partagées avec les forces de l’ordre, devraient également être définis. Actuellement, selon l’évaluation de la vie privée du gouvernement, «Les adresses IP peuvent être divulgués pour l’application de la Loi dans le cas où un acteur malveillant a tenté de gain, ou acquis, l’accès au serveur où ils sont conservés.» Cependant, nous manquons d’informations sur la question de savoir si «l’activité suspecte» qui déclencherait une rétention plus longue des adresses IP est limitée uniquement à cette définition, et si la divulgation d’adresses IP aux forces de l’ordre est strictement liée aux tentatives malveillantes d’accéder aux serveurs.
• De plus, nous remettons en question encore plus fortement la nécessité de stocker pendant trois mois les adresses IP des personnes qui ne reçoivent que des codes pour voir si elles sont entrées en contact avec des personnes testées positives, et n’ont pas envoyé de codes vers ou via l’application. Cela ne nous semble pas nécessaire, mais nous avons contacté le gouvernement pour plus d’informations. Nous notons, au moins, que les adresses IP seront stockées sur un serveur distinct du serveur de clés, offrant au moins une couche de sécurité supplémentaire.
• Mise à jour (27/08/2020): Après avoir discuté avec les représentant.es de Santé Canada et du Service numérique canadien, certaines de nos préoccupations ont été abordées :
  • En ce qui concerne la période de conservation de trois mois pour toutes les adresses IP, nous avons été informés que ce délai avait été choisi suite à de profondes délibérations entre le personnel impliqué à la fois dans la cybersécurité et dans la protection de la vie privée. En fait, la proposition initiale était de conserver les adresses IP pendant une période plus longue. On nous a dit que la conservation des adresses IP sur une période de trois mois vise à garantir que l’application fonctionne normalement et afin de surveiller et repérer les modèles récurrents d’activité suspecte. Les responsables se sont également engagé.es à revoir et éventuellement à réduire cette période de conservation s’il apparaît clairement qu’un délai plus court est suffisant pour assurer la sécurité du système. Ceci est également expliqué en ligne ici, et comprend l’engagement de revoir la période de conservation.
  • Au cours de notre conversation, les responsables ont également réaffirmé qu’ils surveillaient les activités suspectes qui porteraient atteinte à la sécurité ou à l’intégrité du système et des utilisateurs. L’activité considérée comme suspecte et les mesures à prendre sont décrites dans le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC), y compris dans quelles circonstances l’activité doit être signalée au Centre canadien pour la cybersécurité ou aux forces de l’ordre. Plus de détails se trouvent dans les sections 5.2.3 et 5.2.4 du PGEC GC. Bien que nous préférions toujours voir une législation spécifique concernant le traitement des informations liées à Alerte COVID, les documents ci-dessus fournissent des directives écrites claires concernant les potentiels incidents de cybersécurité.
  • Nous avons également reconfirmé que les adresses IP sont conservées sur un serveur distinct de celui qui gère les codes et les clés à usage unique. C’est positif. Cependant, nous sommes d’accord avec l’OPC et maintenons notre préoccupation que les adresses IP présentent toujours un risque de ré-identification. Cela est d’autant plus vrai que le serveur IP tient également à jour des registres de l’activité associée à cette adresse IP. Par conséquent, lorsque l’activité de téléchargement d’un code à usage unique dans l’application est associée à une adresse IP, on peut en déduire que le propriétaire de cette adresse IP a testé positif pour COVID-19. Nous reconnaissons que des mesures importantes et significatives ont été prises pour protéger ces informations, notamment des limites strictes d’accès et de solides protections de cybersécurité. Cependant, nous avons également demandé s’il avait été envisagé de limiter davantage le type d’informations stockées à côté des adresses IP, par exemple en n’associant pas un type d’activité (comme le téléchargement d’un code à usage unique ou le téléchargement de clés) à une adresse IP, et en notant uniquement s’il y a eu une tentative de téléchargement d’un code frauduleux à partir d’une adresse IP (ou si tout est normal). Nous mettrons ce texte à jour lorsque nous aurons une réponse.
  • Enfin, nous avons également été informés que les responsables sont en train de rassembler des documents à ajouter à la page d’Alerte COVID du gouvernement qui expliquerait davantage les mesures de sécurité et de confidentialité. C’est positif pour la transparence et la responsabilité, et nous ajouterons un lien ici une fois que cela aura été publié.
• MISE À JOUR # 2 (03/09/2020): Nous avons reçu d’autres clarifications et informations de Santé Canada concernant nos préoccupations:
  • Ils ont confirmé que le partage d’informations avec les forces de l’ordre «se ferait spécifiquement en cas d’attaque de cybersécurité contre le système de notification d’exposition (par exemple, en faisant appel aux forces de l’ordre pour aider à répondre), plutôt que dans des situations où les forces de l’ordre recherchent des informations de la part de Service numérique canadien et Santé Canada pour poursuivre une autre enquête. »
  • Ils ont également confirmé que toute information divulguée – y compris les adresses IP – serait considérée comme un «renseignement personnel» et qu’ils agiraient donc conformément à la Loi sur la protection des renseignements personnels et à la Charte des droits et libertés.
  • Enfin, ils sont prêts à réduire la quantité et le type d’informations conservées sur le serveur IP, mais ne prévoient pas d’apporter de modifications prochainement. Il peut également y avoir des limitations à ce qui peut être modifié sur le système où les adresses IP et les registres sont stockés. Bien que ces systèmes aient mis en place de solides mesures de sécurité, cela laisse encore place à certains problèmes de confidentialité. Nous chercherons à faire un suivi à nouveau avec les fonctionnaires dans les mois à venir pour vérifier s’ils sont disposés à réduire davantage la quantité d’informations conservées.
• De plus, les services cloud utilisés par le gouvernement du Canada sont détenus et exploités par Amazon. Il y a des serveurs Amazon situés à Montréal et c’est probablement là que les données seront stockées puisqu’il s’agit d’une application canadienne. Pour votre information, de nombreuses entreprises comme la Banque Nationale du Canada, utilisent également ces serveurs. Le Commissaire à la protection de la vie privée dit: ‘’les Services Web Amazon fourniront l’infrastructure d’infonuagique sous-jacente qui hébergera le serveur. Cette entreprise a été retenue par l’intermédiaire d’une entente sur l’infonuagique déjà conclue par Services partagés Canada. D’après notre analyse préliminaire de cette entente, des mesures protègent l’information stockée sur le serveur. Toutefois, compte tenu de la complexité de l’entente et du temps limité dont nous disposions, nous nous réservons le droit de l’examiner à nouveau dans le cadre plus général de la stratégie d’adoption de «l’informatique en nuage d’abord» mise en place par le gouvernement du Canada’’
• Finalement, le Commissaire à la vie privée affirme: ‘’En plus de vérifier le développement de l’application et comment elle interagit avec les serveurs fédéraux, nous avons analysé l’information publique à propos de l’interface de programmation d’application (IPA) développée par Google et Apple. Toutefois, nous n’avons pas été en mesure d’analyser complètement le code de l’IPA, qui n’est pas public. Une évaluation complète de tout l’écosystème technique dans lequel opérera l’application est au-delà de la portée de cet examen. À ce sujet, nous sommes conscients que l’incertitude au sujet de l’environnement dans lequel l’application et l’IPA interagiront a soulevé des inquiétudes chez certains analystes.’’ La recommandation du Commissaire à cet effet est: ‘’En ce qui touche Alerte COVID, le gouvernement du Canada devrait surveiller et évaluer les risques potentiels relatifs au système d’exploitation de Google et d’Apple de manière continue. Afin de conserver le même degré de transparence, le gouvernement du Canada devrait communiquer au public tout nouveau risque potentiel relatif à la vie privée associé à ce composant de l’application Alerte COVID.’’

Nous espérons que cela vous aidera à prendre votre décision d’utiliser ou non l’application. Nous discutons toujours avec des collègues dans les domaines des libertés civiles et de la vie privée, et attendons des nouvelles du Commissaire à la vie privée et du gouvernement sur nos préoccupations, et prendrons peut-être des mesures additionnelles à une date ultérieure.

Voici de l’info supplémentaire fournie par le gouvernement : https://www.canada.ca/fr/sante-publique/services/maladies/maladie-coronavirus-covid-19/alerte-covid/politique-confidentialite/evaluation.html

PS: Nous n’avons pas abordé les considérations relatives à l’efficacité et à la nécessité de l’application car elles sortent du cadre de notre mandat et de notre expertise. Nous vous encourageons à également rechercher ces informations pour prendre une décision en toute connaissance de cause.

Puisque vous êtes ici… … nous avons une faveur à vous demander. À la CSILC, nous travaillons sans relâche afin de protéger et promouvoir les droits humains et les libertés civiles dans le contexte de la soi-disant “guerre au terrorisme” au Canada. Nous ne recevons aucune aide financière des gouvernements municipaux, provinciaux et fédéral, ni d’aucun parti politique.Vous pouvez devenir notre mécène sur Patreon et recevoir des récompenses en échange de votre soutien. Vous pouvez donner aussi peu que 1$ par mois (c’est seulement 12$ par année!) et vous pouvez vous désabonner en tout temps. Tout don nous aidera à poursuivre notre travail.Vous pouvez également faire un don unique ou donner mensuellement par Paypal en cliquant sur le bouton ci-dessous. Vous hésitez à donner? Consulter la page sur nos nombreuses Réalisations et Acquis depuis 2002. Merci de votre générosité!