Chapitre 3 : Défis de l’accès légal — Pallier les difficultés des nouvelles technologies dans le milieu de la sécurité nationale
Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement
Pallier les difficultés des nouvelles technologies dans le milieu de la sécurité nationale
73. Selon le SCRS et la GRC, pour pallier les difficultés technologiques, ils doivent mener des activités qui exigent beaucoup de ressources et comportent des risques opérationnels plus importants Note de bas de page 144 . *** Note de bas de page 145 .
74. On compte parmi les efforts visant à pallier les difficultés technologiques des investissements croissants dans les moyens de collecte de renseignements *** et dans les opérations de sources humaines en vue de recueillir des informations sur des sujets d’enquête visés par un mandat Note de bas de page 146 . L’augmentation du nombre d’opérations *** « qui sont risquées, qui exigent des efforts considérables et qui sont coûteuses *** Note de bas de page 147 » représente aussi un autre moyen d’atténuation. *** Note de bas de page 148 .
L’exploitation de réseau informatique et l’utilisation d’outils d’enquête sur appareil
75. L’une des principales méthodes qu’ont employées le SCRS et la GRC pour contourner la difficulté découlant des technologies de chiffrement au cours de la période à l’examen était l’exploitation de réseau informatique (ERI) Note de bas de page 149 . L’ERI renvoie aux outils et techniques qui exploitent les vulnérabilités dans les systèmes ou logiciels pour obtenir subrepticement des données stockées ou passant dans des réseaux de communication ***. La GRC utilise Note de bas de page 150 le terme « outil d’enquête sur appareil » (OEA) ou « outil d’enquête embarqué » (OEE) pour décrire ses outils d’ERI Note de bas de page 151 . Un OEA est « un programme informatique au sens [du paragraphe] 342.1(2) du Code criminel, installé sur un dispositif informatique ciblé et qui permet de recueillir des preuves électroniques sur ce dispositif Note de bas de page 152 . » ***
*** ce programme de collecte technique est toutefois l’un des plus complexes et coûteux actuellement en activité Note de bas de page 153 .
76. Lorsque suffisamment de vulnérabilités ont été cernées, l’ERI permet *** à la GRC de recueillir des informations directement du téléphone intelligent ou de l’ordinateur d’une personne ciblée et elle permet aux enquêteurs d’accéder non seulement aux appels et messages texte du cellulaire de la personne, mais aussi *** ses courriels, messages chiffrés *** Note de bas de page 154 . L’ERI peut aussi permettre aux enquêteurs d’activer le microphone ou la caméra du téléphone de la personne visée Note de bas de page 155 . L’étude de cas ci-dessous présente un exemple d’enquête dans le cadre de laquelle la GRC a réussi à déployer des OEA pour faire face à une menace envers la sécurité nationale.
Étude de cas : Projet Salento de la GRC
***, le Federal Bureau of Investigation (FBI) des États-Unis a transmis des renseignements à la GRC au sujet d’un Canadien (l’individu) *** Note de bas de page 156 *** Note de bas de page 157 . La GRC a enquêté sur l’individu tout au long de 2018, dans le cadre d’une enquête criminelle appelée Projet Salento Note de bas de page 158 . *** Note de bas de page 159 .
*** de l’individu : *** Note de bas de page 160 qui aurait été en train de fabriquer une bombe en vue de perpétrer un attentat terroriste au Canada, ciblant des festivités du Nouvel An du 31 décembre. *** Note de bas de page 161 .
En réponse, la GRC a pris de nombreuses mesures d’enquête, y compris le déploiement d’OEA sur les appareils de l’individu et ***. Les OEA ont révélé des messages texte et des schémas d’une bombe dans un autocuiseur Note de bas de page 162 .
Le 24 janvier 2019, la GRC a arrêté *** à Kingston, en Ontario Note de bas de page 163 . Quatre chefs d’accusation pour terrorisme ont été portés contre ***, auxquels il a plaidé coupable le 28 juillet 2020 Note de bas de page 164 . Les éléments de preuve recueillis par les OEA ont étayé les accusations portées. Selon la GRC, l’utilisation fructueuse d’OEA dans le Projet Salento peut être attribuée à plusieurs facteurs clés. Tout d’abord, la GRC disposait déjà d’une capacité pour déployer un OEA pour le modèle et le fabricant des téléphones utilisés par l’individu et ***, ce qui n’est pas toujours le cas Note de bas de page 165 . ***
77. Bien que le SCRS et la GRC emploient tous deux des outils d’ERI dans le cadre d’enquêtes sur la sécurité nationale, le CST joue un rôle principal dans la gestion des politiques entourant l’ERI et sa mise en oeuvre pour le gouvernement. Plus particulièrement, le CST gère l’exploitation des vulnérabilités de systèmes et de logiciels, connues aussi sous le nom de « nouvelles capacités », par l’entremise du Cadre de gestion du partage des nouvelles capacités, qui fournit un « processus décisionnel normalisé permettant à des spécialistes du CST d’étudier l’information disponible dans le but d’assurer une gestion responsable des nouvelles capacités associées à une vulnérabilité relevée dans un système d’information ou dans une technologie, tout en considérant la sécurité du Canada et des Canadiennes et Canadiens comme la principale priorité Note de bas de page 166 . » Le SCRS et la GRC font partie du Comité de révision des nouvelles capacités prévu dans le Cadre de gestion du partage des nouvelles capacités. *** Note de bas de page 167 .
78. Tant pour le SCRS que la GRC, l’obtention d’une autorisation judiciaire en vue de l’utilisation de l’ERI peut être complexe en fonction de l’objectif de l’activité. La GRC requiert plusieurs autorisations, notamment pour l’écoute électronique si l’OEA sert à intercepter des communications privées, ainsi qu’un mandat général et un mandat d’enregistreur de données de transmission Note de bas de page 168 *** Note de bas de page 169 *** Note de bas de page 170 *** Note de bas de page 171
79. Le SCRS indique que les mandats autorisant l’installation et l’utilisation d’OEA contiennent plusieurs mesures de protection en matière de vie privée, à l’instar de ses politiques internes, Note de bas de page 174
80. D’après le SCRS, il a commencé en 2018 à fournir à la Cour fédérale une explication sur le fonctionnement de ses OEA et leurs différentes méthodes de déploiement dans ses demandes de mandat afin que les juges désignés [traduction] « reçoivent des informations uniformes sur les pouvoirs liés aux OEA qu’ils autoriseraient Note de bas de page 175 ».
81. Les mandats délivrés à la GRC pour le déploiement d’OEA visant à intercepter des communications privées incluent aussi des mesures de protection de la vie privée. Le juge qui délivre un mandat peut imposer des modalités à l’autorisation d’écoute électronique Note de bas de page 176 , comme des restrictions sur les sujets et les catégories qui peuvent être recherchés dans les données extraites de l’appareil, ou des exigences en vue de détruire les données recueillies qui ne correspondent pas à la période autorisée ou de mettre fin à l’examen de données qui ne se rapportent pas à une cible Note de bas de page 177 .
82. *** la GRC déploient l’ERI de trois différentes manières, *** Note de bas de page 178
- ERI par accès à distance : ***
- ERI par accès proche : *** Note de bas de page 179 .
- ERI par accès direct *** : *** Note de bas de page 180 .
83. L’ERI n’est pas une solution miracle. Elle repose sur l’exploitation de vulnérabilités ***. Au cours des dernières années, le nombre d’appareils et d’applications a fait augmenter le coût et la complexité de l’ERI, car les opérateurs doivent élargir leurs recherches à plus d’appareils et applications pour trouver leurs vulnérabilités Note de bas de page 181 *** Note de bas de page 182 *** Note de bas de page 183
*** Note de bas de page 185 *** Note de bas de page 186 ***
86. En 2022, la GRC a indiqué au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) que, depuis 2017, elle avait eu recours aux OEA dans 32 enquêtes, ciblant 49 dispositifs Note de bas de page 188 . Depuis, la GRC a tenté à huit reprises de déployer un OEA en 2023, et seuls deux déploiements ont été fructueux. La GRC n’a pas déployé d’OEA en 2024 Note de bas de page 189 . De même, la GRC a indiqué que la sensibilisation accrue à la cybersécurité au cours des dernières années a entraîné une baisse considérable de son taux de réussite global des OEA Note de bas de page 190 . Le tableau 3.2 résume le nombre d’OEA déployés par la GRC depuis 2007.
| Année | Nombre d’appareils ciblés | Déploiements fructueux |
|---|---|---|
| 2017 | 2 | 2 |
| 2018 | 3 | 3 |
| 2019 | 2 | 2 |
| 2020 | 15 | 8 |
| 2021 | 16 | 9 |
| 2022 | 11 | 7 |
| 2023 | 8 | 2 |
| 2024 | 0 | 0 |
Le Comité comprend que, pour le SCRS et la GRC, un déploiement d’OEA fructueux signifie qu’un OEA a recueilli de l’information sur l’appareil ciblé et a créé un rapport, *** Note de bas de page 192
Difficultés liées à la protection des techniques d’enquête
87. La GRC déclare faire face à d’autres grandes difficultés qui rendent de plus en plus difficile l’utilisation d’OEA par les enquêteurs. Comme l’indique le chapitre 2, lors d’une poursuite, la Couronne a l’obligation de communiquer tous les renseignements pertinents et substantiels, qui ne sont pas confidentiels, à la défense afin que les accusés puissent présenter une défense pleine et entière aux accusations portées contre eux Note de bas de page 193 . La Loi sur la preuve au Canada permet au gouvernement, aux termes de l’article 37, de s’opposer à la divulgation de renseignements liés à une technique ou un outil sensible d’application de la loi et, au titre de l’article 38, de restreindre l’accès aux renseignements sensibles ou préjudiciables aux relations internationales ou à la défense ou à la sécurité nationale du Canada, y compris aux outils et aux techniques qu’utilisent les organismes de sécurité et de renseignement. D’après la GRC, bien que ces dispositions puissent s’appliquer facilement à certains outils et techniques d’enquête traditionnels, il est difficile de suivre ce processus complexe tout en respectant les échéances lorsqu’il est question d’OEA Note de bas de page 194 .
88. La GRC indique qu’elle souhaite compter sur le CST par l’entremise de demandes d’assistance pour le déploiement d’OEA, en raison des coûts et des ressources considérables que demande l’utilisation d’OEA Note de bas de page 195 . *** Note de bas de page 196 . Si un outil ou un moyen technique en particulier étaient divulgués au public devant les tribunaux, cette divulgation pourrait avoir des répercussions sur d’autres enquêtes en cours Note de bas de page 197 . La GRC indique que, par conséquent, le CST *** de plus en plus incapables d’aider la GRC ou réticents à le faire, car ils craignent que ces outils doivent être divulgués devant les tribunaux Note de bas de page 198 . D’après le CST, il n’est pas assez certain que la Couronne puisse protéger les capacités d’ERI classifiées dans les poursuites judiciaires : [traduction] « l’utilisation de l’une de ces capacités dans le cadre d’une assistance à la GRC, comportant une probabilité non négligeable d’être dévoilées lors d’une poursuite judiciaire, présente un risque inacceptable pour le CST, ses opérations et sa réputation, *** Note de bas de page 199 . »
89. La GRC soutient qu’elle se trouve alors dans une position où elle [traduction] « doit choisir entre “vendre un outil” *** ou surseoir aux accusations en raison d’un manque de divulgation » Note de bas de page 200 . »
90. *** Note de bas de page 201 *** Note de bas de page 202
91. D’après la GRC, des préoccupations en matière de divulgation ont aussi forcé le Service des poursuites pénales du Canada (SPPC) à suspendre des accusations, car la préparation pour présenter une demande de protection en application de l’article 37 ou 38 est si complexe que les retards qu’elle entraîne sont suffisamment longs pour porter atteinte au droit de l’accusé d’être jugé dans un délai raisonnable Note de bas de page 203 . *** Note de bas de page 204 . »
92. L’avocat de la défense et expert en droit sur la sécurité nationale, Anil Kapoor, a informé le Comité que les poursuites pénales ne représentaient pas toujours [traduction] « la façon la plus efficace de gérer les menaces envers la sécurité nationale » étant donné leurs coûts, la durée et le risque que « les informations que souhaitent protéger les organismes soient divulguées Note de bas de page 205 . » Il a toutefois ajouté que « lorsque des ressources du renseignement courent un risque et que l’intérêt de l’accusé ou les impératifs constitutionnels pourraient demander une divulgation, […] il s’agit là de la nature des procédures pénales et il ne faudrait pas les craindre ou y voir quelque chose d’indésirable d’une certaine façon. Cela convient totalement Note de bas de page 206 . » Selon M. Kapoor,
les lois actuellement en vigueur offrent une approche appropriée et équilibrée à la protection des renseignements tout en prévenant le risque que des innocents soient déclarés coupables. Le problème est, sauf votre respect, de nature culturelle et il est inquiétant que les organismes soient trop réfractaires aux risques lorsqu’ils décident la façon de gérer une menace en particulier et, plus précisément, le recours aux poursuites pénales Note de bas de page 207 .
93. M. Kapoor avance que des organisations comme le SCRS et le CST ne comprennent pas suffisamment la mesure dans laquelle la loi peut protéger leurs informations sensibles devant les tribunaux Note de bas de page 208 . Il convient de noter que M. Kapoor a réalisé en 2019 un projet d’amélioration des opérations classifié, à la demande du SCRS et de la GRC, qui examinait les décisions de la Cour fédérale entre 2008 et 2018 sous le régime de l’article 38 dans le cadre de poursuites relatives à la sécurité nationale Note de bas de page 209 . L’examen a révélé que le gouvernement s’est appuyé sur l’article 38 pour protéger des renseignements sensibles de la divulgation dans plus de 85 % des affaires criminelles liées à la sécurité nationale, particulièrement les renseignements obtenus de partenaires internationaux Note de bas de page 210 . L’examen a tiré comme conclusion que rien dans le critère ni les processus prévus à l’article 38 ne conduit inévitablement à la divulgation abusive de renseignements sensibles Note de bas de page 211 . L’examen n’a toutefois pas présenté une semblable analyse concernant l’article 37.
Autres difficultés liées au recours aux OEA
94. *** Contrairement aux États-Unis, le Canada ne dispose pas d’une politique claire qui établit le genre d’OEA commerciaux dont l’achat et l’utilisation par des organismes d’enquête du gouvernement peuvent être approuvés Note de bas de page 212 .
95. Les défenseurs de la vie privée, ainsi que des experts juridiques et en cybersécurité, critiquent vivement l’utilisation de l’ERI en raison de la quantité importante de renseignements personnels et privés que les personnes possèdent sur elles-mêmes et les autres sur leurs appareils numériques. Dans le contexte du cadre juridique du Canada, ils soutiennent que l’ERI brouille la distinction entre l’interception prospective de communications et l’extraction rétrospective de communications stockées, car le même outil peut être utilisé pour les deux opérations. Ils avancent que les dispositions actuelles du Code criminel et de la Loi sur le SCRS ne prévoient pas le niveau d’invasion de la vie privée que certaines fonctions d’ERI présentent, comme la capacité « d’accéder à toutes les données stockées d’une personne, peu importe qu’il s’agisse de données stockées sur l’appareil lui-même ou de données accessibles par l’entremise d’un service infonuagique auquel l’appareil est connecté Note de bas de page 213 . » Ils indiquent aussi que les processus de demande de mandat complexes et alambiqués portent atteinte à la transparence et à la reddition de comptes Note de bas de page 214 . La British Columbia Civil Liberties Association (BCCLA) a demandé que la loi prévoie des facteurs plus robustes en vue de guider l’utilisation d’OEA par les organismes de sécurité et d’application de la loi et d’assurer une transparence devant les Canadiens pour ce qui est des situations dans le cadre desquelles un tribunal pourrait accorder un tel mandat. Elle a aussi suggéré la mise en place d’une exigence faisant en sorte que les personnes qui ont été visées par une enquête employant un OEA en sont obligatoirement informées, à l’instar des interceptions prévues à la Partie VI, afin qu’elles puissent demander une réparation au tribunal pour toute irrégularité commise par l’organisme d’enquête Note de bas de page 215 .
96. Le Citizen Lab met en garde contre les risques que fait peser l’absence d’une réglementation de l’État sur les OEA en vente libre, qui permettent à l’industrie de mener des opérations sans faire l’objet d’une surveillance appropriée du public ou du gouvernement : [traduction] « L’existence de ce marché non réglementé a fourni à un nombre croissant de pays — y compris des pays hostiles au Canada ou ayant un historique de violation des droits de la personne — un accès à une technologie de surveillance hautement intrusive Note de bas de page 216 . » Les défenseurs de la vie privée pourraient aussi supposer que les organismes de sécurité du Canada utilisent des OEA commerciaux, faisant valoir que [traduction] « la clandestinité caractéristique de l’industrie du logiciel espion et son utilisation par le gouvernement représentent un obstacle considérable à une reddition des comptes significative au Canada Note de bas de page 217 . »
97. Certaines démocraties aux vues similaires ont pris des mesures pour mettre à jour leurs lois et règlements afin de mieux refléter la technologie moderne et communiquer au public de façon plus transparente les capacités en matière de surveillance. En 2017, l’Allemagne a modifié son Code de procédures criminelles pour mieux tenir compte de l’application de la loi moderne, modifiant des dispositions autorisant l’extraction de communications chiffrées stockées sur un dispositif en ligne, l’accès des organismes d’application de la loi aux systèmes informatiques pour rassembler des données stockées, et l’utilisation de l’ERI pour activer à distance le microphone et la caméra d’un dispositif électronique comme moyen de surveillance Note de bas de page 218 . En 2016, le Royaume-Uni a publié le document Equipment Interference Code of Practice (Code de pratique sur l’ingérence du matériel) destiné aux organismes d’application de la loi et de sécurité du pays pour les informer de la façon de mener l’ERI dans le respect de la loi. Le Code de pratique offre une orientation sur le besoin de prouver la nécessité et la proportionnalité des activités, met en place des règles entourant la manipulation de l’information et énonce des mesures de protection en matière de supervision, comme l’obtention d’une autorisation du secrétaire d’État et l’examen par le commissaire du Service du renseignement Note de bas de page 219 .
98. Selon le SCRS, un mandat propre aux OEA n’est pas nécessaire, car la Cour fédérale est au fait que [traduction] « les OEA entraînent un degré élevé d’intrusion et [la Cour fédérale] assure un équilibre avec les intérêts en matière de vie privée en imposant des conditions dans les mandats autorisant l’installation et l’utilisation d’OEA Note de bas de page 220 . » D’après la GRC, les dispositions actuelles du Code criminel conviennent et répondent aux besoins de la GRC, mais elle accueille toute façon de simplifier l’obtention d’une autorisation judiciaire pour le déploiement d’un OEA Note de bas de page 221 . Sécurité publique Canada souhaite analyser les OEA de façon plus approfondie Note de bas de page 222 .