Chapitre 3 : Défis de l’accès légal — Nature transfrontalière des données numériques : répercussions et activités d’atténuation
Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement
Nature transfrontalière des données numériques : répercussions et activités d’atténuation
121. Le SCRS et la GRC affirment que la nature mondiale d’Internet entraîne d’importants défis sur le plan des compétences et retards. Alors que les plateformes sur Internet et les services de communication en temps réel ont [traduction] « joué un grand rôle dans la facilitation de services de communication sur réseau », ils sont « rarement établis au Canada, utilisent différents niveaux de chiffrement, peuvent mettre en place des normes divergentes pour la communication aux organismes d’application de la loi et publient fréquemment des rapports exhaustifs sur la transparence Note de bas de page 282 . »
122. Bon nombre des services de communications les plus populaires utilisés par les Canadiens sont établis aux États-Unis (comme Google, Facebook et Apple), comme le montre la figure 3.5 Note de bas de page 283 . Au titre de la Stored Communications Act des États-Unis, il est illégal pour les entreprises américaines de divulguer le contenu de communications à des gouvernements étrangers à moins d’une ordonnance signifiée par les tribunaux américains Note de bas de page 284 .
Figure 3.5 : Bon nombre des services de messagerie les plus populaires utilisés par les Canadiens sont établis aux États-Unis Note de bas de page 285
Longue description
Diagramme illustrant les résidents du Canada qui utilisent des services de messagerie aux États-Unis. Les communications passent par les réseaux d’entreprises américaines comme Facebook, Google et Microsoft et sont versées dans des centres de données situés aux États-Unis.
123. Si elle doit obtenir des informations numériques de la part d’une entreprise établie à l’extérieur du Canada, la GRC peut en faire la demande par l’entremise d’un traité d’entraide juridique (TEJ), lorsqu’un tel traité a été conclu Note de bas de page 286 . Par exemple, si la GRC requiert des informations d’une entreprise comme Facebook ou Apple, elle envoie une demande au ministère de la Justice du Canada, qui l’envoie au département de la Justice américain. Lorsque le département de la Justice américain accepte une demande, un procureur adjoint des États-Unis présente la demande à un juge américain pour qu’il délivre un mandat en vue de l’obtention des informations. Le Federal Bureau of Investigation (FBI) peut ensuite exécuter le mandat délivré par le juge américain Note de bas de page 287 . Lorsque l’entreprise fournit les informations au FBI, elles sont envoyées à la GRC par l’entremise du département de la Justice et du ministère de la Justice. Même si la procédure judiciaire se déroule sans heurts, le contenu demandé par un enquêteur pourrait être supprimé avant la réception de la demande juridique si l’entreprise n’applique pas une politique de rétention des données Note de bas de page 288 .
124. Selon la GRC, le processus lié au TEJ peut prendre de trois à six mois, et ce laps de temps peut nuire aux enquêtes Note de bas de page 286 . En 2016, le département américain de la Justice a décrit le processus lié au TEJ comme étant [traduction] « un mécanisme important, mais qui exige souvent une main-d’oeuvre abondante pour la facilitation de la coopération avec les organismes d’application de la loi, [et il] doit faire face aux difficultés qu’entraîne la hausse considérable de la quantité et de la complexité des demandes d’aide présentées aux États-Unis à l’ère d’Internet » alors que de nombreux FSC mondiaux de premier plan s’y sont établis Note de bas de page 290 . *** le processus lié au TEJ n’a pas été conçu pour traiter [traduction] « une très grande quantité de demandes d’éléments de preuve électroniques à vive allure Note de bas de page 291 . »
125. Le SCRS ne peut pas se prévaloir des TEJ. *** Note de bas de page 292 *** Note de bas de page 293 *** Note de bas de page 294
126. La GRC et le SCRS estiment tous deux qu’il existe une solution possible aux défis sur le plan des compétences se rapportant aux États-Unis, soit en tirant parti de la Clarifying Lawful Overseas Use of Data Act des États-Unis, ou la CLOUD Act. Adoptée en 2018, la CLOUD Act cherche à accélérer l’accès aux informations électroniques détenues par des FSC mondiaux établis aux États-Unis Note de bas de page 295 . Le Canada et les États-Unis négocient actuellement un accord sur l’accès aux données afin de permettre à leurs organismes d’application de la loi et de sécurité respectifs de demander des données, y compris le contenu de communications, auprès des fournisseurs de services de chaque pays (le point est abordé plus en détail au chapitre 4).
127. Apple, Facebook, Google et Microsoft soutiennent publiquement l’approche de la CLOUD Act relativement à l’échange transfrontalier de données, soulignant que [traduction] « elle permettrait aux organismes d’application de la loi de mener des enquêtes sur le terrorisme et la criminalité transfrontalière sans créer de conflits juridiques internationaux Note de bas de page 296 . » *** Note de bas de page 297 *** Note de bas de page 298
128. Certains FSC du Canada ont soulevé des préoccupations concernant la façon dont ils pourront répondre aux éventuelles demandes des États-Unis si et quand un accord bilatéral sur l’accès des données est conclu, surtout compte tenu de l’absence d’un cadre juridique régissant la capacité d’interception Note de bas de page 299 .