Chapitre 3 : Défis de l’accès légal — Les répercussions des nouvelles technologies sur les enquêtes sur la sécurité nationale
Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement
Les répercussions des nouvelles technologies sur les enquêtes sur la sécurité nationale
63. D’après le SCRS, le plus grand obstacle à l’exécution de son mandat [traduction] « sur le plan de sa capacité de détecter et d’atténuer les menaces est le changement technologique rapide qui dépasse ses autorisations et ses outils Note de bas de page 109 . » Le SCRS et la GRC affirment tous deux que les techniques d’interception traditionnelles servant à la collecte de communications sont devenues de moins en moins utiles à mesure que le chiffrement s’est répandu, ce qui aide les auteurs de menace à ne pas être découverts et faire l’objet d’enquêtes et de poursuites, *** Note de bas de page 110 . Le SCRS et la GRC ajoutent que ces technologies ont posé d’importantes difficultés pour les enquêtes sur le terrorisme, l’espionnage, l’ingérence étrangère et le crime organisé Note de bas de page 111 .
64. Ni le SCRS ni la GRC ne recueille systématiquement de données sur le nombre d’enquêtes sur la sécurité nationale comportant un élément de chiffrement. Cela dit, une étude moins récente de la GRC fait exception. Elle portait sur les difficultés technologiques de l’obtention d’éléments de preuve numériques autorisés judiciairement dans ses 57 enquêtes majeures de la Police fédérale actives en 2014, dont 25 étaient des enquêtes sur la sécurité nationale. Toutes les enquêtes ont comporté des difficultés sur le plan technologique dans l’acquisition d’éléments de preuve autorisés judiciairement, mais aucune n’a été close pour cette raison. *** Note de bas de page 112 . La GRC n’a réalisé aucune autre étude de ce genre depuis. Devant le Comité, le SCRS a souligné la difficulté de quantifier les réussites et les échecs pour ce qui est de surmonter les défis du chiffrement, tandis que Sécurité publique Canada a indiqué que les organismes de sécurité parviennent facilement à trouver des solutions de rechange Note de bas de page 113 .
65. Le SCRS indique aussi que même si les nouvelles technologies et les nouveaux types de données présentent des possibilités de collecte de renseignements, les défis l’emportent sur les avantages, puisqu’il existe trop d’applications et de types d’appareils pour rester à jour Note de bas de page 114 . *** Note de bas de page 115 .
Étude de cas : ***
*** Note de bas de page 116 . *** Note de bas de page 117 . ***
Pour faire enquête sur cette menace envers la sécurité du Canada aux termes de l’article 12 de la Loi sur le SCRS, le Service a obtenu une série de mandats en vertu de l’article 21 de sa loi habilitante. *** Note de bas de page 118
*** Note de bas de page 119 . *** Note de bas de page 120
*** Note de bas de page 121 . *** Note de bas de page 122 . ***
66. Alors que les cibles de la sécurité nationale choisissent des applications chiffrées de bout en bout et des réseaux privés virtuels pour dissimuler leurs activités, la GRC et le SCRS ont indiqué au Comité ***, une difficulté exacerbée par de récentes décisions judiciaires Note de bas de page 125 . Le SCRS et la GRC se servent des renseignements de base sur les abonnés (RBA) pour déterminer qui se cachent derrière un identifiant numérique (c’est-à-dire une adresse de protocole Internet) en vue d’enquêter sur des menaces possibles. Comme l’indique le chapitre 2, compte tenu de la décision de la Cour suprême en 2014 dans l’affaire Spencer voulant que les organismes de sécurité doivent posséder une autorisation judiciaire pour obtenir des RBA, le SCRS et la GRC doivent prendre des mesures additionnelles pour accéder à ce qu’ils considéraient être des renseignements constitutifs des premières étapes d’une enquête. D’après le SCRS, l’exigence relative à l’autorisation judiciaire pour l’obtention de ce type de renseignements entraîne des retards et demande au SCRS de déployer des efforts importants pour enquêter sur une menace possible, d’autant plus qu’il cherche à écarter des personnes afin que les enquêteurs puissent se concentrer sur les réels auteurs de menace. Les partenaires du Canada membres du Groupe des cinq n’ont pas à posséder une autorisation judiciaire pour obtenir des RBA Note de bas de page 126 .
67. La GRC affirme qu’il est aussi difficile pour elle d’exploiter au maximum les métadonnées qu’elle saisit, précisant que la quantité astronomique de données liées aux métadonnées, qui ne sont en majorité pas pertinentes, peut submerger les enquêteurs Note de bas de page 127 . En outre, il n’existe aucune exigence légale obligeant les FSC à conserver certaines métadonnées pour une période donnée Note de bas de page 128 . Par conséquent, même si la GRC ou le SCRS pouvait demander une ordonnance de conservation pour forcer un fournisseur à conserver des données précises, les enquêteurs pourraient découvrir que le fournisseur a déjà supprimé les données avant de recevoir l’ordonnance en raison de ses propres politiques de gestion des données. Selon la GRC, l’absence d’un régime entourant la conservation des données entraîne des conséquences considérables étant donné que certaines enquêtes complexes durent des années, tandis que d’autres enquêtes commencent des années après la création initiale des données Note de bas de page 129 .
La conservation des données renvoie à une exigence légale générale obligeant les FSC à conserver certaines métadonnées pour une période précise. Il n’existe aucune loi au Canada prévoyant de telles dispositions Note de bas de page 130 .
La préservation des données renvoie à des dispositions de la Loi sur le SCRS et du Code criminel qui permettent aux enquêteurs d’obliger une personne ou une entité à préserver des données qu’elles auraient autrement supprimées (c’est-à-dire en raison de sa pratique ou de sa politique organisationnelle habituelle). Les ordres et les ordonnances de préservation sont délivrés dans l’optique que l’enquêteur obtiendra un mandat ou une ordonnance de communication en vue d’obtenir les données en soi. Dans le Code criminel, un ordre de préservation permet à un agent de la GRC d’obliger la préservation sans autorisation judiciaire Note de bas de page 131 . La Loi sur le SCRS ne prévoit aucun ordre de préservation. Les ordonnances de préservation, prévues dans la Loi sur le SCRS Note de bas de page 132 et le Code criminel Note de bas de page 133 ., exigent une autorisation judiciaire.
68. Les défenseurs de la vie privée affirment que les métadonnées représentent une source d’information précieuse, souvent non chiffrée, pour les enquêteurs qui a peut-être été sousexploitée Note de bas de page 134 . Selon le Citizen Lab, le SCRS et la GRC ne perdent pas accès à l’information. Plutôt, une « friction » gêne leurs enquêtes et ils doivent développer leur expertise, augmenter leurs dépenses et redoubler d’ingéniosité pour enquêter sur les menaces à la sécurité nationale Note de bas de page 135 . Les défenseurs de la vie privée indiquent également que les organisations du secteur privé recueillent de grands ensembles de renseignements personnels possiblement révélateurs dans le cadre de la « surveillance commerciale » générale Note de bas de page 136 , donnant l’occasion aux organismes de sécurité et de renseignement de recueillir de l’information. Ils soutiennent aussi que [traduction] « nous sommes loin de “nous retrouver dans le noir”, car il y a beaucoup plus d’informations disponibles sur la vie privée des personnes aujourd’hui qu’à n’importe quelle époque Note de bas de page 137 . »
69. Le SCRS proteste qu’il n’est pas en mesure d’accéder à ces données ou de les recueillir étant donné les limites actuelles du Canada sur le plan technologique et légal. Les entités commerciales qui recueillent ces données sont principalement situées à l’extérieur du Canada (les défis sur le plan des compétences sont traités plus loin dans le présent chapitre) Note de bas de page 138 . Le SCRS souligne également que l’État ne peut recueillir l’information disponible à tous sur Internet, comme les adresses IP, sans autorisation judiciaire en raison des décisions de la Cour suprême dans les affaires Spencer et Bykovets Note de bas de page 139 .
70. Les experts en droit à la vie privée soulignent également que les organismes de sécurité exagèrent les obstacles qu’ils doivent franchir :
[l]e stockage numérique est si abordable aujourd’hui que n’importe quelle donnée recueillie pour une enquête peut être conservée indéfiniment. De plus, les outils numériques tels que la reconnaissance vocale, la traduction automatique et les analyses alimentées par l’intelligence artificielle peuvent éplucher automatiquement pour les organismes gouvernementaux des tonnes de données numériques interceptées et relever les éléments qui vaudraient la peine d’être analysés par leur personnel Note de bas de page 140 .
71. Le SCRS avance que la réalité est plus complexe, soulignant que ses mandats lui imposent des restrictions strictes qui précisent les périodes de conservation des données recueillies (c’est-à-dire que le SCRS ne peut pas conserver indéfiniment les données) et des exigences indiquant que les données doivent être examinées par des employés désignés du SCRS (c’est-à-dire non pas par un programme automatisé) Note de bas de page 141 .
72. Se penchant sur les prémisses du débat de 2011 soutenant que les gouvernements vivaient dans un « âge d’or de la surveillance », le SCRS indique qu’à l’époque, les communications sur Internet étaient plus vulnérables que les appels téléphoniques traditionnels, à moins d’être chiffrées, et que, même alors, les organismes d’application de la loi indiquaient avoir été en mesure d’extraire les communications lisibles dans les rares cas où ils ont fait face à cette situation Note de bas de page 142 . Or, le SCRS déclare que cette situation a grandement changé, car le trafic Internet est désormais majoritairement chiffré par défaut *** Note de bas de page 143 .