Chapitre 5 : Évaluation — Technologie
Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement
Technologie
168. Le Comité n’a pas observé de données claires et empiriques démontrant les défis importants d’accès légal auxquels les organismes de sécurité et de renseignement du Canada affirment faire face en raison de l’évolution rapide de la technologie. Le SCRS et la GRC ne consignent pas systématiquement la fréquence à laquelle ils font face à des difficultés technologiques dans le cadre d’enquêtes sur la sécurité nationale, par exemple des situations où ils n’auraient pas pu accéder à des communications, car elles étaient chiffrées. Par conséquent, ils ne sauraient quantifier les répercussions et l’importance réelles de ces défis. Pour cette raison, le Comité ne disposait d’aucune donnée à analyser pour dégager les tendances au fil du temps. Il s’agit d’une omission importante, car ces organisations informent le gouvernement et tentent de convaincre les Canadiens (surtout ceux concernés par une possible atteinte à leur vie privée) qu’il faut mettre en place de nouvelles dispositions législatives et des ressources pour suivre le rythme de l’évolution de la technologie, mais sont seulement en mesure de fournir des anecdotes et non des données concrètes.
169. De hauts fonctionnaires de Sécurité publique Canada, du SCRS et de la GRC ont indiqué à plusieurs reprises que dans les situations où le SCRS et la GRC n’étaient pas en mesure d’accéder au contenu de communications, ils ont trouvé d’autres moyens d’obtenir l’information recherchée. Toutes les organisations ont indiqué que les métadonnées, lorsqu’elles sont connues, disponibles et suffisamment précises, sont également utiles dans le cadre d’enquêtes, ce qui confirme que le SCRS et la GRC ne perdent pas l’accès aux informations, mais qu’ils se heurtent à ce que le Citizen Lab qualifie de « friction Note de bas de page 373 » dans le cadre des enquêtes.
170. Cependant, le Comité a entendu un témoignage détaillé et convaincant concernant la façon dont le rythme rapide des changements technologiques a augmenté la complexité, le risque opérationnel et les coûts des enquêtes sur la sécurité nationale. Un plus grand nombre d’appareils numériques, d’applications de communication et de systèmes d’exploitation signifie que les enquêteurs ont besoin de trouver des méthodes d’accès supplémentaires, ce qui a une incidence sur le temps et les ressources. l’ERI est dispendieuse et n’est pas toujours efficace (voir ci-dessous). D’autres mesures d’atténuation *** d’accéder au contenu de communications chiffrées*** sont maintenant complexes***. (Le Comité note qu’aucun organisme de sécurité et de renseignement n’a soulevé de préoccupation concernant l’intelligence artificielle du point de vue de l’accès légal, outre le fait qu’une utilisation accrue de l’intelligence artificielle pourrait appuyer la préparation de rapports médicolégaux.)
171. En résumé, malgré le fait que le SCRS et la GRC n’ont pas systématiquement recueilli de données sur les défis technologiques rencontrés pendant la période visée par l’examen, le Comité croit tout de même disposer de suffisamment d’information pour confirmer qu’ils ont bel et bien de la difficulté à accéder aux renseignements et aux éléments de preuve numériques en temps opportun.
C1
Les organismes de sécurité et de renseignement du Canada ne consignent pas systématiquement la fréquence à laquelle ils font face à des difficultés technologiques dans le cadre d’enquêtes sur la sécurité nationale, et s’ils ont pu pallier ces difficultés.
C2
La GRC et le SCRS ont de la difficulté à accéder au contenu de communications, que les métadonnées ne peuvent pas nécessairement remplacer.
R1
Sous la direction du ministre de la Sécurité publique, le gouvernement élabore et met en oeuvre une stratégie exhaustive visant à remédier aux défis d’accès légal du Canada, en s’appuyant sur l’examen et les conclusions du Comité. La stratégie devrait :
- établir les principes clés, comme la légitimité, la nécessité et la proportionnalité;
- cerner et consigner les principaux défis d’accès légal et les risques connexes et en rendre compte;
- comprendre des communications, la mobilisation des intervenants et des engagements en matière de transparence;
- prendre en compte les défis que peuvent poser les technologies émergentes, par exemple l’intelligence artificielle.
172. L’utilisation très répandue du chiffrement représente un dilemme important. Après avoir examiné la réponse stratégique du gouvernement au chiffrement, malgré les défis grandissants dans le cadre des enquêtes sur la sécurité nationale, le Comité estime que la décision du gouvernement en 2020 de ne pas aller de l’avant avec de nouvelles consultations sur le chiffrement était raisonnable, car il était en effet peu probable que le point de vue des principaux intervenants ait changé depuis les consultations sur la sécurité nationale menées par Sécurité publique Canada en 2016. Le Comité constate que presque aucun travail stratégique concerté sur le chiffrement n’a été réalisé depuis. Les ministères et les organismes fédéraux semblent s’être entendus sur une position de travail interne commune : le chiffrement est essentiel dans une société qui se veut numérique par défaut, et toute mesure visant à dégrader son intégrité n’est pas compatible avec la cybersécurité. Il convient de noter qu’aucun fonctionnaire n’a indiqué au Comité vouloir qu’une loi obligeant la création d’un accès exceptionnel ou d’une porte dérobée pour contourner le chiffrement soit mise en place.
173. Les déclarations publiques du gouvernement à ce jour portent toutefois à confusion. La signature par le Canada du communiqué conjoint de la Conférence des cinq nations sur le chiffrement de 2019 et de la Déclaration internationale : chiffrement de bout en bout et sécurité publique pilotée par le R.-U. peut porter à croire que le gouvernement envisage toujours une telle mesure législative. En effet, le rapport publié récemment, à l’été 2024, par le Groupe consultatif sur la transparence de la sécurité nationale (GCT-SN) dans lequel il dit s’inquiéter qu’il s’agisse de la position du gouvernement, alors que le Comité n’a aucun doute que ce n’est pas le cas, porte à croire qu’il serait important de fournir des explications publiquement compte tenu des préoccupations du public en matière de cybersécurité et de vie privée.
174. Selon le Comité, lorsque le gouvernement exposera la position du Canada sur le chiffrement, il devra expliquer clairement que ***accéder au contenu de communications chiffrées est bien plus qu’une simple « friction » dans les enquêtes. Le Comité a été informé que l’ERI ne constitue pas une panacée, et que l’accès aux métadonnées connexes n’est pas équivalent à l’accès au contenu de communications en temps réel. Par conséquent, le Comité estime que de mettre de nouvelles lois et ressources ainsi que de nouveaux outils à la disposition de l’appareil de la sécurité et du renseignement est nécessaire pour atténuer ce risque, mais que ceux-ci doivent faire abstraction du chiffrement.
175. Le Comité a également constaté que les défenseurs de la vie privée et de la cybersécurité ainsi que les praticiens de la sécurité nationale semblent communiquer à sens unique lors des débats sur le chiffrement et l’accès exceptionnel pour les organismes d’application de la loi et de renseignement. À mesure que les intervenants discutent d’initiatives stratégiques et de lois, il sera essentiel que les deux parties s’assurent d’avoir une compréhension commune des principaux concepts. En ce qui concerne le gouvernement, le Comité affirme qu’une stratégie de communication robuste et transparente, dans laquelle on explique des concepts techniques en détail, est essentielle.
C3
Lors des comparutions, il y avait consensus qu’une loi obligeant la création d’un accès exceptionnel ou de portes dérobées sur les plateformes de chiffrement n’était ni nécessaire, ni souhaitée.
C4
La position publique du Canada concernant l’accès légal aux communications chiffrées n’est pas claire. Les praticiens de la sécurité nationale, les experts en cybersécurité et les défenseurs de la vie privée n’ont pas une compréhension commune du problème.
R2
Le gouvernement précise publiquement sa position concernant l’accès exceptionnel à l’information sur les communications protégée par chiffrement.
176. Le Comité a appris que l’utilisation du chiffrement et de technologies d’anonymisation a également une incidence sur la façon dont la GRC et le SCRS peuvent obtenir l’information de base requise au début d’une enquête, ***. À cet égard, le Comité a appris que la décision de la Cour suprême en 2014 dans l’affaire Spencer selon laquelle une ordonnance de la cour est requise pour obtenir des RBA a entraîné des retards et demande une augmentation significative des efforts de la part des organismes de sécurité lorsqu’ils enquêtent sur une possible menace envers la sécurité nationale. Les mesures prises par le ministère de la Justice pour résoudre cette question n’ont pas progressé depuis de nombreuses années. En outre, le Comité comprend que l’absence d’un régime entourant la conservation des données a entraîné des conséquences considérables compte tenu de la durée de certaines enquêtes complexes.
C5
L’inaction du gouvernement quant à l’élaboration et à la mise en oeuvre d’une solution pour donner suite à la décision de la Cour suprême dans l’affaire Spencer nuit à la capacité du SCRS et de la GRC de répondre aux menaces envers la sécurité nationale.
C6
Sans une exigence légale générale obligeant les FSC à conserver des métadonnées pendant une période précise, les données demandées en vertu d’un mandat pourraient ne pas être disponibles.
R3
Le gouvernement présente un projet de loi visant à établir de nouveaux pouvoirs dans la Loi sur le Service canadien du renseignement de sécurité et le Code criminel permettant la communication de renseignements de base sur les abonnés, et le gouvernement examine un projet de loi concernant la conservation des données.
177. Selon les praticiens de la sécurité et du renseignement, les défenseurs de la vie privée et les experts en cybersécurité, l’ERI, y compris le déploiement d’un outil d’enquête sur appareil (OEA), est une *** solution possible pour accéder au contenu de communications dans le contexte de l’utilisation très répandue du chiffrement. Le Comité a appris que ces outils sont dispendieux et souvent peu fiables, car les cibles sont de plus en plus habiles avec la cybersécurité et les entreprises s’efforcent de cerner et de corriger les vulnérabilités des systèmes d’exploitation et des plateformes de chiffrement ***.
178. Le recours à l’ERI soulève également des questions importantes concernant la protection des techniques d’enquête. Le Comité a appris qu’en raison de la complexité de l’ERI, ***. Le Comité a été informé que la GRC fait face à certaines difficultés quant à l’utilisation d’OEA à l’appui de ses enquêtes, car des *** renseignement canadien *** n’ont pas confiance que le système juridique du Canada saura les protéger adéquatement de la divulgation lors d’instances judiciaires.
179. ***. ***, ainsi que des experts en droit, soutiennent plutôt que des dispositions de la Loi sur la preuve au Canada ont permis de protéger de tels renseignements lors de poursuites judiciaires, et avancent qu’il se peut que ce ne soit pas le cadre juridique du Canada qui pose problème, mais plutôt une aversion pour le risque institutionnelle. Le Comité a également été informé que, pour répondre aux menaces envers la sécurité nationale, il se pourrait que les poursuites judiciaires ne constituent pas le moyen le plus efficace, et que la perturbation sans poursuite pourrait être plus viable lorsqu’il est question de techniques sensibles.
180. Tandis que la technologie continue de changer et de gagner en complexité, le Comité suppose que les organismes de sécurité et de renseignement du Canada ***. Le SCRS et le CST semblent être à l’abri, car le risque de divulgation est faible, mais le Comité s’inquiète que la capacité de la GRC *** soit limitée. Le Comité convient que, dans certains cas, la perturbation est une réponse plus prudente à une menace envers la sécurité nationale, mais ne dispose d’aucune information qui porte à croire que les Canadiens préfèrent un système juridique où les organismes d’application de la loi ont régulièrement recours à la perturbation plutôt qu’à la poursuite en réponse à une menace envers la sécurité nationale.
181. Le Comité fait remarquer que cette difficulté est un aspect perpétuel du débat plus vaste et de longue durée au sujet du dilemme entourant le renseignement et la preuve au Canada. Le Comité s’inquiète que, comme le débat sur le chiffrement, cette question ait également atteint une impasse. Le Comité est conscient qu’il n’existe pas de solution simple au défi de l’utilisation de renseignements, ou d’outils et de techniques sensibles, dans le cadre d’une poursuite criminelle; et souligne les efforts déployés par le SCRS et la GRC pour améliorer la coopération et la collaboration par le biais du Projet d’amélioration des opérations de 2019. Toutefois, peu importe si le problème est de nature législative ou découle d’une aversion pour le risque institutionnelle, le Comité estime que la lenteur à laquelle le gouvernement aborde le problème lié au renseignement et à la preuve d’un point de vue stratégique entraîne des conséquences imprévues sur la primauté du droit au Canada en ce qui concerne la réponse aux menaces envers la sécurité nationale.
C7
L’incapacité du gouvernement de faire progresser le dilemme entourant le renseignement et la preuve, surtout en ce qui concerne la protection des techniques d’enquête, a contribué à mettre la GRC dans une situation où elle doit choisir entre ne pas pouvoir utiliser d’outils et de techniques sensibles dans le cadre d’une enquête en raison des possibles enjeux de divulgation, ou risquer de ne pas pouvoir s’appuyer sur des éléments de preuve obtenus par le biais de ces outils et techniques devant les tribunaux, ou qu’une poursuite soit suspendue en raison d’une ordonnance de divulgation.
R4
Pour donner suite à la recommandation du Comité en 2024 dans son Rapport spécial sur l’ingérence étrangère dans les processus et les institutions démocratiques du Canada, à savoir que le gouvernement s’emploie à résoudre les difficultés liées au renseignement et à la preuve, le gouvernement élabore et met en oeuvre une solution visant à répondre aux préoccupations concernant la protection des outils d’enquête, ce qui pourrait nécessiter la modification des dispositions pertinentes de la Loi sur la preuve au Canada.
182. En plus de se pencher sur le besoin pressant d’améliorer la protection des techniques d’enquête, le Comité estime que de plus amples travaux stratégiques doivent être réalisés concernant l’utilisation d’OEA. Le Comité était satisfait d’apprendre que le SCRS et la GRC veillent à ce que les mandats autorisant l’installation et l’utilisation d’OEA contiennent plusieurs mesures de protection en matière de vie privée. Toutefois, le Comité constate l’absence d’une orientation stratégique sur l’achat d’OEA commerciaux destinés aux organismes d’application de la loi et de renseignement, au-delà de l’exigence générale de réaliser une évaluation des facteurs relatifs à la vie privée. Le Comité estime qu’une politique serait également nécessaire pour aborder les préoccupations en matière de transparence entourant l’utilisation d’OEA, notamment en ce qui concerne la complexité du processus de demande de mandat.
C8
Le gouvernement ne dispose pas de politiques officielles sur l’achat, la réglementation et l’utilisation d’outils d’enquête sur appareil commerciaux, ainsi que sur la production de rapports transparents concernant leur utilisation par les organismes d’application de la loi et le SCRS.
R5
Le gouvernement élabore des politiques et des lignes directrices concernant l’achat et l’utilisation d’outils d’enquête sur appareil commerciaux, ainsi que sur les exigences en matière de production de rapports à cet égard.