Chapitre 5 : Commentaires des commissaires à la protection de la vie privée et à l’information du Canada

Nombre total de mémoires reçus : 5

A. Généralités

1. L’interception et la surveillance des communications privées constituent de graves atteintes à la vie privée des individus. C’est à ceux qui affirment qu’une nouvelle atteinte ou restriction au droit à la vie privée est nécessaire qu’il incombe d’en faire la preuve.

2. Toute mesure proposée en ce sens doit satisfaire au critère à quatre volets suivants :

• Il faut démontrer que la mesure proposée est nécessaire pour pouvoir répondre à un besoin précis
  
• Il faut démontrer qu’elle est susceptible de permettre d’atteindre efficacement l’objectif visé
  
• L’atteinte à la vie privée doit être proportionnelle aux avantages qu’elle comporte sur le plan de la sécurité
  
• Il faut démontrer qu’aucune autre mesure portant moins atteinte à la vie privée ne serait suffisante pour atteindre le même objectif

3. Les mesures proposées risquent de causer de la méfiance de la part du public à l’égard des technologies de l’information et des communications en général, en confirmant leur croyance qu’elles font constamment l’objet d’une interception ou du moins qu’elles sont susceptibles de l’être.

4. Les pouvoirs proposés pour accéder aux communications privées des Canadiens vont beaucoup plus loin que le maintien des capacités et des pouvoirs dont disposaient les organismes d’application de la loi et de sécurité nationale par le passé.

5. Le document de consultation ne renferme pas suffisamment d’éléments pour pouvoir conclure à l’existence de problèmes assez graves pour préconiser une solution qui passe par une telle immixtion dans la vie privée des Canadiens. Il s’ensuit qu’il n’est pas possible de savoir si les mesures proposées constituent une solution efficace et proportionnée au problème, en plus d’être la solution susceptible de porter le moins atteinte à la vie privée.

6. Il incombe aussi aux responsables de l’application de la loi de protéger la confidentialité de cette information, notamment lorsqu’il est démontré qu’elle n’a aucun rapport avec leurs enquêtes.

7. Les trois ministères qui ont participé à l’élaboration de la proposition devraient exposer clairement les problèmes auxquels ils sont confrontés, ainsi que des documents opérationnels étayant le besoin d’augmenter les pouvoirs d’interception et de surveillance proposés dans le document de consultation.

8. L’inquiétude au sujet de l’érosion inutile de la protection accordée à la vie privée devrait aller au-delà des propositions énoncées dans le document de consultation. Au cours de l’année écoulée, les Canadiens ont été confrontés à une série de lois susceptibles comme jamais auparavant de porter atteinte à leur vie privée : la loi antiterroriste, le projet de loi omnibus 42³⁴, et la création de la base de données sur les voyageurs aériens de l’Agence des douanes et du revenu du Canada. Cette législation a été introduite de manière fragmentée, sans que le contexte ne soit clairement articulé et à la suite de consultations et de discussions limitées.

9. Le respect de la vie privée est un droit protégé par la Constitution. La protection de la confidentialité des communications électroniques ne devrait céder le pas aux besoins des organismes d’application de la loi et de sécurité nationale que lorsque ces besoins l’emportent nettement sur le droit à la protection de la vie privée et, dans ce cas, seulement dans la mesure minimale nécessaire. Les dispositions actuelles du Code criminel relatives à l’interception des communications privées créent un juste équilibre entre le droit des particuliers à la protection de leur vie privée et le droit du public à une application efficace de la loi.

10. Le gouvernement du Canada ne devrait donner suite aux propositions formulées au sujet de l’accès que si la nécessité d’adopter les modifications proposées est clairement démontrée. Le gouvernement du Canada ne doit pas agir de la sorte simplement en raison du climat de peur et d’insécurité engendré dans la foulée des événements du 11 septembre 2001.

11. Il vaut la peine de signaler que l’Australie, l’Afrique du Sud et le Royaume-Uni ont récemment été témoins d’une forte opposition à l’adoption et à la mise en œuvre de nouvelles mesures législatives sur l’accès légal dont les objectifs étaient semblables à ceux qui sont exposés dans le document de consultation canadien.

12. Malgré une réglementation sévère et le fait que l’accès non autorisé au système sera sanctionné par la loi, le gouvernement ne pourra pas dans les faits empêcher les abus.

13. Les criminels s’apercevront rapidement qu’ils font l’objet de surveillance et utiliseront d’autres moyens de communication, tandis que la majorité des citoyens seront les victimes du système, incapables de débrancher tous leurs téléphones et autres moyens de communication.

14. Il n’est pas démontré que les lois actuelles en matière d’interception, de perquisitions et de saisies ne parviennent pas à traiter efficacement des communications électroniques modernes, ni que la Convention sur la cybercriminalité du Conseil de l’Europe offre une base solide pour les propositions. Celles-ci affaibliraient les protections actuelles en matière de respect de la vie privée au Canada sans justification claire et convaincante.

15. Les Canadiens ont le droit d’être assurés que leurs communications et activités en ligne ne seront pas arbitrairement interceptées et passées au peigne fin.

16. Le Canada n’a pas encore ratifié la Convention, de sorte que les obligations légales qui sont invoquées pour en faire appliquer les dispositions n’ont en réalité aucune existence.

17. Si la Convention autorise une violation injustifiable du droit à la vie privée des Canadiens qui serait incompatible avec nos valeurs et nos droits, le gouvernement canadien doit refuser de la ratifier.

18. Le gouvernement dans son document n’a pas démontré comment il respecterait l’article 15 – Conditions et sauvegardes – de la Convention sur la cybercriminalité, notamment comment il assurera une protection adéquate des droits de l’homme et des libertés et comment il respectera le principe de proportionnalité. Il y a d’ailleurs lieu de se demander comment l’application de la convention pourrait répondre à son propre article 15.

B. Obligation de garantir la capacité d’interception

1. Toute nouvelle loi destinée à permettre l’interception et la saisie du contenu des communications sur Internet et des données relatives au trafic devrait avoir une portée aussi étroite et limitée que possible. On ne doit pas autoriser la surveillance électronique généralisée ou exploratoire. Des mesures législatives top vagues porteraient atteinte au droit à la vie privée et violeraient l’article premier de la Charte des droits et libertés.

2. Les nouvelles technologies et les nouveaux services de communications risquent fort de poser des problèmes en ce qui concerne les méthodes actuelles d’interception et d’obliger les FSC à assurer que leurs systèmes ont une capacité technique suffisante pour assurer un accès légal aux organismes chargés de l’application de la loi en matière d’interception et de surveillance.

3. Comme il est expliqué dans le document de consultation, ces capacités devraient servir à maintenir le statu quo et permettre une application efficace des pouvoirs actuels de l’État aux nouveaux services de communications. Autrement dit, les organismes d’application de la loi et de sécurité nationale devraient avoir la même capacité d’intercepter et de surveiller le courrier électronique et les communications par téléphone cellulaire, par exemple, que celle dont ils disposent actuellement en ce qui concerne les envois postaux et les communications téléphoniques conventionnelles avec fil.

4. Avant que cette question ne puisse être raisonnablement évaluée, de plus amples renseignements devraient être communiqués sur la façon dont on procéderait à l’interception, sur les responsables de cette interception et sur les fins auxquelles elle serait effectuée; des propositions devraient aussi être présentées sur le niveau de preuve, les mesures de surveillance et les garanties.

5. En obligeant les fournisseurs de services à acquérir la capacité technique leur permettant d’offrir un accès légal, on contraint le secteur privé à faire de la surveillance pour le compte de l’État. Les coûts que les fournisseurs de services devront ainsi assumer se répercuteront sur les prix facturés aux consommateurs et risquent de nuire à la compétitivité des fournisseurs canadiens de services Internet. Le développement et la mise en application de la technologie Internet seront influencés par les intérêts des services de surveillance plutôt que par les besoins ou la réalité des entreprises canadiennes et de leurs clients.

6. L’interception de communications sur un système téléphonique traditionnel ne peut se comparer à la surveillance des systèmes de communications sans fil ou l’Internet car celle-ci peut fournir un plus grand nombre de renseignements personnels et être beaucoup plus envahissante. Il faut trouver une nouvelle approche pour traiter des nouvelles technologies, plutôt que de simplement prolonger les anciennes.

7. L’infrastructure, les outils et les bases de données qui seront nécessaires pour permettre l’accès légal tel que proposé exciteront la convoitise de plusieurs dont des organisations criminelles et des services d’espionnages de pays non signataires de la Convention. Dans ces cas, les auteurs de délits se gausseront des sanctions imposées à ceux qui violent les règles.

C. Stockage des données et ordonnances de conservation

1. Le gouvernement doit continuer à refuser toute suggestion voulant que les exigences générales relatives au stockage des données fassent partie de l’initiative relative à l’accès légal.

2. Les ordonnances de conservation sont tout aussi dangereuses et mal adaptées du point de vue du droit à la vie privée que les ordonnances de stockage de données. Le concept d’ordonnance de conservation n’existe pas en droit canadien. L’affirmation suivant laquelle ce type de pouvoirs est nécessaire pour « maintenir » la capacité actuelle d’accès légal ne tient donc pas.

3. Le document de consultation ne permet pas de savoir avec certitude quel niveau de preuve de l’infraction soupçonnée devrait être respecté pour obtenir du juge qu’il prononce une ordonnance de conservation en faveur d’un FSC. Dans certains cas, il semble qu’aucune preuve ne serait nécessaire. L’ordonnance serait simplement émise par les organismes d’application de la loi et de sécurité nationale.

4. Le juge à qui l’on demande d’approuver une ordonnance de conservation peut être moins enclin à exiger une preuve rigoureuse, étant donné que les renseignements ne seront pas transmis à ce moment-là aux organismes chargés de l’application de la loi. De la même façon, le second juge à qui il est demandé d’ordonner la production effective des renseignements peut tenir pour acquis que la justification de toute l’atteinte a déjà été établie devant le premier juge.

5. Il est possible qu’une ordonnance de conservation puisse être signifiée et vise le contenu du message plutôt que les données sur le trafic. Les organismes chargés de l’application de la loi pourraient ensuite accéder au message conservé par le FSI grâce à un mandat de perquisition, lequel est beaucoup plus facile à obtenir qu’une ordonnance d’interception.

6. L’ordonnance qui exige la conservation de données stockées chez un FSI pose des risques supplémentaires en ce qui concerne le respect de la vie privée, notamment en ce qui a trait à la sécurité des données au niveau du FSI de même qu’au risque d’un accès illégal notamment de la part de pirates informatiques.

7. On ne doit pas adopter de dispositions qui obligeraient les FSI à stocker toutes les données relatives au trafic et tous les messages pendant un laps de temps donné aux fins d’une action policière hypothétique. De telles dispositions auraient une portée excessive et pourraient sérieusement porter atteinte au droit à la vie privée ainsi qu’à la santé commerciale des FSI canadiens. En effet, les Canadiens pourraient se tourner vers des FSI situés à l’extérieur du Canada pour préserver leur vie privée et ainsi causer des torts considérables à une industrie qui est à la base du commerce électronique canadien.

8. Le principe des ordonnances de conservation des données ne présente pas de problème, mais la portée des articles 16 et 17 de la Convention sur la cybercriminalité³⁵ en soulève certainement un et les délais proposés de 90, 120 ou 180 jours sont trop longs.

9. Les ordonnances de conservation ne devraient s’appliquer qu’aux données informatiques stockées dans les ordinateurs (et non aux documents papier). Elles ne devraient servir qu’à faciliter le déroulement d’une enquête en cours sur une possible contravention aux lois criminelles.

10. Conformément à l’article 487.11 du Code criminel, les organismes chargés de l’application de la loi ne devraient pouvoir obtenir une ordonnance de conservation que lorsque l'urgence de la situation rend difficilement réalisable l'obtention d’une ordonnance judiciaire.

11. Si les FSI étaient tenus d’assurer le suivi de toutes les activités en ligne de leurs abonnés, afin que cette information puisse éventuellement servir de preuve devant les tribunaux, il leur faudrait consentir des investissements massifs pour se doter des capacités de stockage requises. Ils pourraient alors devoir augmenter considérablement leurs tarifs, ce qui nuirait au développement des services en ligne au Canada. L’industrie pourrait également être obligée de procéder à des consolidations, ce qui aurait des impacts négatifs pour le droit à la vie privée et la liberté de parole.

12. Cette concentration massive de données sera peu utile pour les organismes d’application de la loi à moins qu’ils ne disposent des ressources nécessaires pour examiner et analyser la très grande quantité de données qui seraient recueillies chaque jour.

D. Ordonnances générales de production

1. Le document de consultation ne justifie pas le recours aux ordonnances de production. Leur nécessité n’a pas été démontrée. On propose toutefois une ordonnance générale de production, qui ressemble à un mandat de perquisition mais qui ne nécessite pas la présence d’un agent de la paix.

2. On ne devrait pouvoir obtenir une ordonnance générale de production qu’en s’adressant à une autorité judiciaire qui applique les normes en vigueur. On ne sait toutefois pas avec certitude pourquoi il serait nécessaire de prévoir des pouvoirs pour forcer les fournisseurs de services à communiquer ces renseignements alors que les organismes chargés de l’application de la loi ont jusqu’ici toujours été en mesure de les obtenir.

E. Ordonnances spécifiques de production

1. Il y a lieu de s’interroger sur l’hypothèse du document de consultation suivant laquelle les données sur le trafic impliquent nécessairement des attentes moins élevées en matière de respect de la vie privée. Dans le cas de la téléphonie avec fil conventionnelle, les données sur le trafic se limitent en règle générale aux numéros de téléphone composés par un abonné et aux numéros de téléphone des autres personnes qui ont appelé cet abonné. Toutefois, dans le cas des courriels ou des communications par Internet, ces données peuvent comporter une foule de renseignements intimes sur la vie privée des Canadiens.

F. Ordonnances spécifiques de production de données sur le naa et l’ifsl

1. Les auteurs du document de consultation suggèrent la création d’une base de données nationale contenant le nom et l’adresse de l’abonné (NAA) client et des renseignements au sujet de l’identité du fournisseur de services locaux (IFSL) pour tous les abonnés canadiens, parce qu’il est difficile pour les organismes d’application de la loi et de sécurité nationale de repérer le fournisseur de services locaux associé à un numéro de téléphone ou à un abonné déterminé.

2. Si la mise sur pied de cette base de données suppose qu’ils doivent entreprendre certaines des démarches pour obtenir des renseignements NAA/IFSL, les organismes chargés de l’application de la loi y penseront à deux fois avant de tenter de les obtenir. De plus, lorsqu’il est associé au nom et à l’adresse d’une personne, un identificateur unique comme un numéro de téléphone vaut la peine d’être protégé en vertu du principe du respect de la vie privée. Il n’est nullement nécessaire de changer les lois et les pratiques actuelles en ce qui a trait à l'accès à ce type de renseignements.

3. On ne devrait pas non plus créer de base de données contenant un registre centralisé des abonnés d’Internet. Autrement, on permettrait aux organismes chargés de l’application de la loi de retracer systématiquement les abonnés inscrits au moyen de leur adresse  IP au lieu de s’adresser directement au FSI pour obtenir ces renseignements. Si l’on y donne suite, cette proposition aurait pour effet d’anéantir toute attente en matière de respect de la vie privée et tout anonymat sur Internet.

4. Bien des gens ont plusieurs abonnements de courrier électronique, à la maison et au travail. Il n’est pas inhabituel qu’ils annulent leur abonnement chez un fournisseur pour en souscrire un autre chez un FSI concurrent qui leur offre un meilleur prix ou un meilleur service. La création et le maintien d’une base de données pancanadienne qui soit complète et à jour semble présenter des problèmes de logistique insurmontables, sans compter que les ressources requises serviraient des fins plus utiles ailleurs.

5. Outre le fait que l’on estime que la création d’une telle base de données forcerait davantage le secteur privé à faire de la surveillance, il y a lieu de signaler que l’on craint la prolifération des bases de données gouvernementales renfermant des renseignements au sujet des Canadiens.

6. Cette proposition ne devrait pas être adoptée pour le moment, étant donné que sa nécessité n’a pas été clairement démontrée en établissant que les moyens présentement utilisés pour recueillir des renseignements au sujet des abonnés sont insuffisants ou qu’une telle base de données serait vraiment efficace et que les criminels ne la déjoueraient pas.

7. Dans le document de consultation, il est suggéré aussi que tous les fournisseurs de services soient forcés par la loi de recueillir, vérifier et conserver des renseignements au sujet de l’identité et de l’adresse de tous leurs abonnés. Cette obligation s’étendrait à ceux qui vendent des téléphones cellulaires ou des cartes d’appel prépayées : ils seraient tenus de recueillir (et de communiquer au FSI) des renseignements confidentiels sur l’acheteur, comme son numéro de permis de conduire ou de carte de crédit, ce qui constituerait une grossière ingérence dans la vie privée de ce dernier.

G. Interception du courrier électronique

1. Les questions suivantes auraient dû être posées directement aux Canadiens durant le processus de consultation :

• Un client devrait-il pouvoir légalement souscrire un abonnement de courrier électronique au Canada sans fournir des renseignements personnels de base pour chaque adresse de courriel ?

• Quels types de renseignements personnels les FSI canadiens devraient-il recueillir ?

• Quel degré d’anonymat en ligne devrait-on permettre en vertu de la nouvelle législation ?

• La réexpédition anonyme de courriels au Canada devrait-elle demeurer légale ?

• Le courriel crypté devrait-il être permis à l’intérieur des frontières du Canada, et si oui, à quelles conditions ?

2. Un courriel, qui peut contenir du texte, des sons et des graphiques, constitue une riche source de renseignements intimes au sujet de l’expéditeur, et possiblement aussi au sujet du destinataire. Les tribunaux albertains ont confirmé que le destinataire d’un message électronique, en raison de la Charte, pouvait raisonnablement s’attendre à ce que soit respectée la confidentialité de cette communication³⁶. Les règles actuelles touchant l’interception des communications privées devraient s’appliquer à l’interception du courrier électronique. L’arrêt Weir ne précise pas à quel degré est diminuée l’attente de vie privée dans le cas de l’entête d’un courriel.

H. Autres sujets abordés par les personnes interrogées

1. Le document de consultation n’indique nulle part que des mesures de reddition de compte sont envisagées.

2. Les propositions contenues dans le document de consultation demandent aux Canadiens d’avoir un niveau élevé de confiance à l’égard des organismes d’application de la loi et du renseignement sans offrir en contrepartie la preuve que ce type de changement à la loi est nécessaire.

3. Il y aurait lieu de prévoir de solides mécanismes de contrôle judiciaire ou autres dans la nouvelle loi sur l’accès légal afin de garantir la transparence, la reddition de compte et l’examen public.

4. Il faudrait créer un organisme de surveillance pour accroître la confiance du public. Il devrait obliger les organismes d’application de la loi à régulièrement produire des rapports sur les mesures d’accès légal qu’ils ont prises ainsi qu’une évaluation de l’efficacité de ces mesures.

5. Un contrôle indépendant de la nature et de la fréquence d’utilisation de tout nouveau pouvoir en matière d’accès légal est essentiel, bien que les intérêts en matière d’application de la loi doivent aussi être protégés. Le recours au Comité de surveillance des activités de renseignement de sécurité du Parlement devrait être envisagé en ce qui concerne tout nouvel accès légal au courrier électronique et aux autres données de communications électroniques.

[ Précédente | Table des matières | Suivante ]