Le Projet de Loi C-59, la cybersécurité et les enjeux liés au recueil des ensembles de données par le Service canadien du renseignement de sécurité (SCRS)
(available in french only)
Ilya Berlin, M.S.L (Candidat J.D. dans le Programme de Common Law en Français, l'Université d'Ottawa)
Introduction
Le 6 juin 2013, un jeune informaticien du nom d’Edward Snowden révélait au monde l’étendue des pouvoirs de surveillance des services de renseignements américains. À travers cette divulgation d’information, Snowden dénonça le programme secret PRISM, qui permettait « au FBI et à l'Agence nationale de sécurité (« NSA ») de surveiller les internautes »1. En effet, PRISM permettait non seulement l’accès au flux d’informations privé des plus grands fournisseurs de service internet (« FSI »), mais aussi le stockage des données ainsi collectées2. Ces révélations ont choqué la société américaine3, remettant en question le cadre législatif censé protéger le droit à la vie privée aux États-Unis4. De l’autre côté de la frontière, le gouvernement canadien n’est pas épargné par les accusations d’atteintes à la vie privée; atteintes justifiées par des intérêts liés à la sécurité nationale5. Ainsi, le Service canadien du renseignement de sécurité (« SCRS ») s’est retrouvé dans le pétrin en 2016, après que la Cour Fédérale (« CF ») ait reconnu que le SCRS conservait illégalement des données personnelles recueillies via des mandats de perquisition6. Projetons-nous en 2019 : il semble que le droit positif canadien n’est capable ni de contrôler ni de surveiller le recueil ou le stockage de données7, ce qui aboutit à des violations répétées du droit à la vie privée, comme l’illustre cette affaire8. Cela dit, la complexité des enjeux – légaux, mais aussi politiques - liés à la collecte et la conservation de données par le SCRS sous couvert d’intérêt national requiert une analyse informée.
Cette contribution soutient que le droit positif canadien ne permet pas un encadrement approprié du recueil et du stockage des données recueillies à travers le recueil d’ensembles de données en masse (« REDM ») par le SCRS9. Elle est divisée en trois parties. La première partie propose un survol des principaux enjeux légaux et techniques en matière de REDM touchant à la sécurité nationale. Cette partie aura comme objet le vide juridique entourant les méthodes de surveillance moderne qui impliquent le recueil et la conservation des ensembles de données dans le cadre d’une enquête en matière de renseignement. La deuxième partie propose un bref examen du corpus juridique canadien applicable aux méthodes de recueil de données personnelles par le SCRS. Nous aborderons aussi l’enjeu des violations répétées du SCRS dans ce domaine tel qu’établi par la jurisprudence canadienne. Enfin, la troisième partie étudie le Projet de loi C-5910 (« C59 ») qui vise à encadrer les pouvoirs de la SCRS en matière de recueil et de conservation des ensembles de données. Dans cette partie nous soutenons que les précautions mises en place par le projet de loi, bien que constituant un pas dans la bonne direction, sont encore en deçà des attentes de la population en matière de protection de la vie privée.
La révolution technologique et les changements de méthodes de surveillance
Les tensions inhérentes entre la responsabilité légale et la nature des opérations des renseignements clandestines furent établies bien avant l’arrivée de la haute technologie dans le monde du renseignement11. En effet, il arrive souvent que les deux concepts soient impossibles à réconcilier. Comme l’explique le Professeur Craig Forcese (« Forcese »), « intelligence needs are fluid. Law is rigid. Intelligence needs are immediate and exigent. Law can be laborious »12. Par conséquent, l’étendue du pouvoir des services de renseignements fait souvent l’objet de critique13, surtout lorsqu’il s’agit de surveillance, du contenu des données collectées, ou encore de leur conservation14. En général, cette critique procède d’une méfiance envers le gouvernement, ainsi que de la croyance répandue selon laquelle l’octroi de pouvoirs illimités au gouvernement aboutit inéluctablement à des abus15.
De nos jours, la technologie, ainsi que la croissance exponentielle de la création de données numériques, permet aux services de renseignement de recueillir des données (qui peuvent comprendre des renseignements personnels16) de plus en plus facilement17. Selon le Professeur Shaun Spencer, deux évènements ont contribué à cette dépendance technologique permettant le REDM : 1) le « data explosion » et 2) l’évolution des techniques d’analyse prédictive18. Le premier évènement est le produit de la révolution digitale qui a supporté la croissance inarrêtable de la création et de l’utilisation des données. De plus, la possibilité d’établir des ensembles de données auparavant non quantifiables contribua également à ce phénomène19. Le deuxième évènement correspond à l’introduction de systèmes capable d’anticiper et d’identifier des tendances (surtout au niveau des renseignements personnels) à travers l’analyse de données20. Ces deux évènements ont eu une influence déterminante sur la manière dont les services de renseignements effectuent leur travail. Le Professeur Spencer définit ce phénomène comme un changement drastique de modèle de surveillance. Selon ce dernier, nous sommes passés d’une surveillance traditionnelle (i.e. où le gouvernement devrait avoir des motifs raisonnables pour individu fasse l’objet de surveillance), à une surveillance prédictive (i.e. où le gouvernement analyse et identifie des tendances au sein d’une base de données pour ensuite mettre en œuvre une surveillance traditionnelle)21. Mais alors, est-ce que le droit Canadian s’aligne sur ce changement de modèle de surveillance ? Pour répondre à cette question, il est utile d’aborder les principaux enjeux légaux sur le plan du recueil et du stockage de données par les services de renseignements, tels que le SCRS.
La séparation des données collectées par le REDM – est-ce possible?
Le Professeur Forcese définit le REDM, dénommé par certains « Bulk Power »22, de cette façon :
A bulk power is one that allows intelligence agencies access to a large quantity of data, most of which is not associated with existing targets of investigation. It is the mass access, in other words, to data from a population not itself suspected of threat-related activity23.
En effet, le REMD n’implique pas nécessairement la surveillance effective de toute la population en question, mais vise plutôt le recueil d’un ensemble de données, et donc d’informations, sur un large groupe d’individus, qui dans l’ensemble ne sont pas tous suspectés de comportements illégaux24. Cette distinction met donc l’accent sur la manière dont un cadre légal applicable devrait restreindre l’accès aux données recueillies par un REMD25. Autrement dit, l’accès à cette base de données doit être justifiable en droit, ce qui souligne la gravité d’une situation ou un service de renseignement effectue le REMD sans avoir pris les précautions nécessaires pour assurer l’élimination des données non liées à l’enquête en cours.
Dans la plupart des pays pratiquant la common law, un mandat de perquisition est nécessaire pour qu’un service de renseignement effectue un recueil de données (qui souvent contiennent des renseignements personnels) aux fins d’une opération de renseignement26. Par exemple, le recueil de données est permis avec un mandat en vertu de l’article 21 de la Loi sur le Service canadien du renseignement de sécurité27 (« loi sur le SCRS »). Néanmoins, l’obtention de mandats de perquisition en matière de surveillance est de plus en plus influencée par l’émergence de méthodes de surveillance prédictives. Ainsi, une dépendance croissante à ces méthodes justifie le recours au REMD : sans données, ces méthodes ne peuvent pas être mises en œuvre. Bien entendu, cela pose un problème sur le plan de la vie privée. D’après nous, les éléments les plus importants posant problème sont la légalité des méthodes de surveillance permettant le REDM, ainsi que son stockage subséquent.
L’utilisation de méthodes de surveillance impliquant le recueil de données n’est pas nouvelle au Canada. En effet, ces méthodes sont déjà utilisées dans le cadre d’opérations policières. Par exemple, la Gendarmerie Royal du Canada (« GRC »), ainsi que d’autres forces de l’ordre, revendique avoir utilisé les intercepteurs d’IMSI28 au cours d’opérations de renseignement29. Par voie similaire, un mandat de perquisition peut permettre à la police d’obtenir des informations relatives aux abonnées qui se situent à proximité d’une tour de transmission cellulaire30 (aussi connus sous son nom anglais : « Tower Dumps »). Dans les deux cas, le volume des ensembles de données recueillies en masse, ainsi que l’utilisation qu’en font les forces de l’ordre, n’est pas défini sur le plan légal. D’ailleurs, ces méthodes de surveillance ont mené à des condamnations à plusieurs reprises31, alors que la question du traitement des données collectées sans lien à l’enquête en cours reste encore sans réponse32. L’analyse de tous les enjeux légaux rattachés à ces méthodes de surveillance dépasse largement le propos de cette contribution. Néanmoins, les méthodes de surveillance mentionnées supra soulèvent un problème auquel le SCRS fait actuellement face: comment séparer le recueil et le stockage de données de tierces parties (collectées via le REDM) non pertinentes à l’enquête en cours, de celles qui le sont ?
Dans le cas des méthodes de surveillance du SCRS, ni le droit positif canadien ni les technologies de surveillance n’offrent encore des options permettant une séparation efficace des données33. Cette problématique se complique lorsqu’un mandat de perquisition requiert la délimitation des données faisant l’objet du REMD. Après tout, comment poser les limites alors que le ciblage est impossible et qu’il n’existe aucun moyen de contrôle34? Ainsi, le REMD semble échapper au cadre légal applicable, au sein duquel les services de renseignement sont censés opérer. Bien entendu, cela pose problème lorsque les données recueillies sont conservées et utilisées au cours d’enquêtes postérieures35. En effet, c’est bien ce cas de figure qui suscita l’attention de la Cour Fédérale (CF) en 2016 et influencera sa décision dans le cadre de l’affaire X(Re) impliquant le stockage et la conservation illégale de données par le SCRS36. Il nous semble dès lors opportun d’analyser la législation et la jurisprudence qui découlent de cette décision.
Le SRCS, le recueil et le stockage de données de tierces parties
Le mandat du SRCS est défini à l’article 12 de la Loi sur SCRS. En vertu de ce mandat, le SRCS est responsable du recueil, de l’analyse et de la conservation d’informations et de renseignements liés à des activités criminelles, dans la mesure strictement nécessaire, où il y a des motifs raisonnables de soupçonner37 que les activités en question posent une menace à la sécurité du Canada38. Si le recueil de données menace le droit à la vie privée prévu à l’article 8 de la Charte canadienne des droits et libertés39 (« Charte »), le SCRS est sous obligation d’obtenir un mandat de perquisition de la part de la CF. D’ailleurs, la CF requiert qu’il y ait des motifs raisonnables de croire qu’une activité pose une menace à la sécurité du Canada, ce qui élève le seuil de certitude prévu à l’article 12 de la loi sur le SCRS mentionnée supra40. Il s’avère que le SCRS n’est pas toujours enclin à informer la CF de ses activités, ce qui a abouti au scandale de 2016 concernant le Centre d'analyse des données opérationnelles (« CADO ») menant à la décision X (Re).
Le CADO est devenu opérationnel en 2006 à la suite d’une étude qui recommanda « que le Service conserve toutes les données recueillies au moyen d’enquêtes et en vertu de mandats en vue de les exploiter dans le cadre d’enquêtes en cours et future grâce à un programme technologique> »41. Néanmoins, le SCRS n’a révélé l’existence du CADO durant une audience en banc qu’en 2011, ce qui fut confirmé en 2016 par les avocats de SCRS42. Au centre de la controverse, la question d’établir si le recueil des données de tierces parties (« les données connexes ») via le REDM, porte atteinte au droit à la vie privée des tierces parties. Dans la décision, la CF exposa ses préoccupations quant au droit des tierces parties en matière des données connexes :
Bien que le concept de « données connexes » soit large, puisqu’il englobe en fait les informations de tiers et les informations liées à la menace et à la cible, j’entends me pencher spécifiquement sur la légalité de la conservation d’informations non liées à la menace et d’informations de tiers. Les informations de tiers, c’est-à-dire celles qui ne sont pas liées à la menace, sont fréquemment recueillies dans l’exécution de mandats. La conservation de telles informations préoccupe la Cour, parce qu’elles ne sont liées ni à la menace ni à la cible43.
Selon la cour, le SCRS n’avait pas justifié ni le recueil ni la conservation des données des tierces parties sans lien avec la cible de ses enquêtes. En effet, la CF est même allée jusqu’à affirmer que pour justifier la conservation de ces informations, le SCRS « doit avoir des motifs raisonnables de croire que les informations peuvent être liées à l’enquête sur une menace, servir dans le cadre d’une enquête de renseignement ou de poursuites ou concerner la conduite des affaires internationales ou la défense du Canada »44. Établir le lien entre un ensemble de données et la cible de l’enquête est un enjeu bien connu dans la sphère numérique. Sur le plan technique, il se peut que des données connexes à l’intérieur d’un ensemble des données puissent n’avoir aucun lien avec la cible de l’enquête. Par exemple, ces données peuvent inclure des cookies associés aux paquets d’emails d’un individu ou des métadonnées, telles que la géolocalisation et le numéro de téléphone d’un interlocuteur45. Ce qui préoccupa la cour en l’espèce est le montant de données connexes collectées à travers le REDM, et la possibilité d’utiliser ses données dans une enquête subséquente à travers une analyse de données, sans mandat. Ainsi, la CF confirma que des données connexes des tierces parties collectées, qui n’ont aucun lien avec l’objet du mandat sous lequel ils étaient obtenus, ne peuvent pas être conservées et doivent être supprimées46. Cette logique s’applique déjà dans les enquêtes classiques47, ce qui explique en partie le choix de la CF de le faire appliquer à l’espace numérique. Autrement dit, le mandat octroyé au SCRS ne comprenait pas le droit à conserver les données de tierces parties vu qu’ils n’ont pas de lien exploitable avec la menace envers la sécurité du Canada, lien qui constitue un prérequis pour que le SCRS entame une enquête48.
Selon le Professeur Forcese, cette décision appelle quelques observations. Tout d’abord, l’arrêt R c Spencer49 de la Cour Suprême du Canada confirma en 2014 que les métadonnées tombent sous la protection de l’article 8 de la Charte, ce qui pourrait également s’appliquer, mutatis mutandis, aux données connexes50. Ensuite, notre constitution oblige le SCRS à conserver toute information liée à une cible d’enquête posant une menace envers la sécurité du Canada afin de satisfaire aux protections de l’article 7 de la Charte offertes aux accusés lors d’un procès51. Néanmoins, cette obligation ne s’étend pas aux données connexes sensu stricto. Selon la CF, la conservation des données connexes ne fait pas partie de ce qui est strictement nécessaire au SCRS afin d’exercer ses fonctions52. Pour finir, même si la conservation des données connexes est interdite, son recueil au cours d’une enquête est permis étant donné qu’il est impossible de séparer les données connexes des métadonnées lors d’un REDM53. Ainsi, il est compréhensible que la CF ordonnât la destruction des données connexes conservées par le SCRS dans le CADO. Il s’avère que les deux enjeux principaux ressortant de cette affaire sont 1) l’argument selon lequel il est impossible de séparer les données connexes d’un ensemble de données et 2) que le cadre légal actuel ne fournit pas de mécanisme de supervision approprié des activités de SCRS. Il serait donc utile de voir comment le Projet de loi C-59 tente de combler ce vide juridique, et si elle réussit à répondre aux préoccupations des défenseurs des droits civils qui revendiquent que le REDM, même dans l’intérêt de la sécurité nationale, porte atteinte à la vie privée54.
Les changements proposés par le projet de loi C-59
La décision de la CF dans l’affaire X (Re) rappelle une problématique bien connue dans l’arène politique : l’utilisation de données par des services de renseignements lors d’une enquête de surveillance, et le cadre légal régulant les pouvoirs des services de renseignement, qui ne capte pas suffisamment cette réalité55. En réponse aux inquiétudes de la CF, le gouvernement proposa le Projet de loi omnibus C-59 en 2017, qui comprend des changements les plus importants dans le domaine de la sécurité nationale canadienne depuis 198456.
C59 propose un mécanisme permettant à la fois le contrôle des REDM, ainsi que la protection du droit à la vie privée. Globalement, C59 reflète les préoccupations liées aux atteintes à la vie privée, mais reconnait que « la capacité d’obtenir, de conserver et d’analyser les données est importante pour permettre au SCRS de remplir son mandat »57. À première vue, C59 semble comprendre les enjeux liés au contrôle de ce qui est appelé « Big Data »58. Ainsi, C59 introduit le concept des ensembles de données (en anglais : datasets) pour mieux définir ce qui fait l’objet d’un REDM. C59 le définit comme un « ensemble d’informations sauvegardées sous la forme d’un fichier numérique qui portent sur un sujet commun »59. Avec cette définition, C59 tente d’englober la totalité des métadonnées collectées au cours d’un REDM (y compris les données connexes) par le SCRS. Autrement dit, C59 reconnait l’utilité de l’analyse des données au cours d’une enquête, ainsi que le fait que le SCRS ne saurait pas toujours être en mesure de savoir quelle partie de ces données comprend des informations essentielles à l’enquête en cours60.
C59 aborde l’enjeu du REDM en séparant les ensembles de données en trois catégories : 1) ensembles de données canadiens61 (i.e. reliés aux Canadiens ou à un individu à l’intérieur du canada), 2) ensembles de données étrangères62 (i.e. reliés aux non-Canadiens à l’étranger) et, 3) ensembles de données accessibles au public63. Les trois catégories sont assujetties à quelques restrictions importantes. Par exemple, le régime des ensembles de données est assujetti à l’article 4 de la Loi sur la protection des renseignements personnels64 qui régit le recueil, la conservation et le retrait des renseignements personnels65. À cet égard, un mécanisme de contrôle est mis en place pour assurer que les ensembles de données en question soient pertinents à l’exercice des fonctions su SCRS66. D’ailleurs, un tel ensemble de données canadiennes doit tomber dans une catégorie des ensembles de données (comprenant des données canadiennes) approuvés à l’avance par le ministre de la Sécurité publique67. La décision du ministre est également assujettie à une approbation par le commissaire au renseignement indépendant68 (un juge à la retraite, désigné par le Premier ministre)69. En général, C59 semble offrir « au SCRS le pouvoir de recueillir, de conserver et d’utiliser les ensembles de données »70 dans le cadre de son mandat. Néanmoins, comme nous l’avons déjà mentionné, il met en place des mécanismes de protection et de contrôle afin de tenir le SCRS responsable. Cet équilibre se transpose également à la conservation des ensembles de données en question.
C59 constitue une tentative louable de combler le vide juridique dans lequel le SCRS s’est retrouvé en 2016. Cependant, la conservation des ensembles de données canadiennes est possible, sans mandat de perquisition, pendant une période de quatre-vingt-dix jours71. De plus, la conservation d’un ensemble de données étrangères est permise, avec l’accord du ministre de la Sécurité publique, ainsi que le commissaire au renseignement indépendant. Cependant, cet accord doit se conformer à l’exigence selon laquelle l’information en question doit être utile au SCRS dans l’exercice de ses fonctions prévu aux articles 12, 12.1 et 16 de la Loi sur le SCRS72. Comme l’explique Leah West, une experte en droit de la sécurité nationale, C59 octroie des pouvoirs discrétionnaires importants au ministre de la Sécurité publique, ainsi qu’au commissaire :
Both issuing authorities can impose any terms and conditions on the retention and use of a dataset that they consider advisable in the public interest. Prior to obtaining an authorization CSIS cannot use the information in the dataset to derive intelligence except in exigent circumstances where life, individual safety or perishable information of significant value to national security is at risk. Canadian datasets can be retained for up to two years, while foreign datasets authorizations are legally retained for a maximum of five years73.
Cette permission de conserver les données constitue une tentative d’établir un cadre légal applicable à la méthode d’analyse de données utilisée par les services de renseignements, tout en restant sensible au droit à la vie privée74. Par exemple, C59 prévoit également « l’exigence de supprimer tout renseignement sur la santé physique ou mentale et, pour les données portant sur les Canadiens [et] tout renseignement assujetti au privilège avocat client »75. Cette exigence procède de plusieurs considérations quant à la vie privée se trouvant dans C59, comme confirmée par Daniel Therrien, le commissaire à la protection de la vie privée76. Néanmoins, plusieurs propositions prévues dans C59 en matière de recueil et de conservation de données ont fait l’objet de critiques par les défenseurs des droits civils77. La prochaine partie aborde ces critiques en analysant l’argumentaire justifiant les atteintes à la vie privée sous couvert d’intérêt national.
Discussion : quelques critiques associés à C59
Comme nous l’avons mentionné au début de cette contribution, alors que C59 demeure un projet de loi, le SCRS continue à conserver des ensembles de données canadiennes en masse, en dépit de la décision de la CF en 201678. Cette observation est confirmée par le rapport 2017-201879 préparé par le Comité de surveillance des activités de renseignement de sécurité (« le rapport de CSARS »), qui est chargé de superviser les activités du SCRS80. Le rapport conclut que :
[Le SCRS] n’a pas pleinement pris en compte les implications plus larges de la décision sur la conservation des informations non liées à une menace. Les politiques du SCRS en ce qui a trait aux informations de tiers collectées en vertu d’un mandat et aux ensembles de données en masse établis sans mandat ne sont pas encore alignées sur la loi, telle que décrite dans la décision de la Cour fédérale81.
Cet état de fait remet en question la possibilité de trouver un équilibre entre le droit à la vie privée et les enquêtes de surveillance qui mènent au REDM. Mais alors, est-il raisonnable de demander le respect de la vie privée dans le cadre d’une enquête de sécurité nationale? Dans R c Spencer, la Cour Suprême du Canada confirme l’existence d’une attente raisonnable au droit à la vie privée dans la sphère numérique dans le cas des ensembles de données liés aux activités d’un ou d’une abonné(e) à internet82. Autrement dit, ces ensembles de données ne peuvent pas être obtenus sans mandat. Ainsi, pourquoi cette attente raisonnable ne s’étend-elle pas aux ensembles de données collectés à travers un REDM par un service de renseignement, sans mandat? Selon le SCRS et la GRC, un cadre légal qui exigerait l’obtention d’un mandat pour chaque REDM empêcherait l’exercice de leurs fonctions, et ce en raison du caractère laborieux de la procédure d’obtention d’un mandat83. C’est cet argument qui a inspiré le régime proposé dans C59, qui permet la REDM sans mandat (avec quelques restrictions84), mais qui crée un mécanisme de contrôle requérant une autorisation spécifique si les ensembles de données doivent être conservés.
Néanmoins, plusieurs critiques à l’encontre du régime de C59 survivent, surtout en matière de conservations de données par le SCRS : la plupart renvoient au droit à la vie privée. Par exemple, dans son mémoire au sujet du projet de loi C-59, l’association des barreaux du Canada (« ABC ») souligne qu’au vu des restrictions mentionnées supra imposées sur le SRCS, C59 propose en fait un seuil moins élevé pour ce qui est de la conservation des ensembles de données :
Le projet de loi C-59 rabaisse considérablement le seuil de conservation d’ensembles de données canadiens. La conservation peut être autorisée s’il est « probable » qu’elle aide le SCRS dans l’exercice de ses fonctions principales, mais la norme de la « probabilité » est moins rigoureuse que la norme de ce qui est « strictement nécessaire ».85
En outre, ce rabaissement du seuil remet en question si les mesures proposées tiennent ou non le SCRS responsable de ses actions86. Le rapport de CSARS confirme ces préoccupations en estimant « qu’il existe un risque que le SCRS puisse outrepasser ses pouvoirs législatifs actuels dans le cadre de la conservation de renseignements non liés à une menace et concernant des personnes qui ne sont pas soupçonnées de constituer une menace à l’égard de la sécurité nationale »87. Une des plus grandes préoccupations évoquées par le CSARS en matière de REDM est l’absence de lien entre l’ensemble de données et la cible de l’enquête:
Le CSARS a passé au crible 17 ensembles de données présentant un lien exploitable avec le Canada. Le CSARS n’a trouvé aucun élément de preuve permettant d’affirmer que le lien avec la menace est suffisamment solide pour que ces ensembles de données présentent un intérêt majeur en termes de génération de pistes88.
Cette observation ne fait que confirmer les préoccupations de la CF (et des défenseurs des libertés civiles) en ce qui concerne les conséquences d’un seuil moins élevé pour autoriser une REDM. Plus précisément, bien qu’il soit vrai que l’identification d’un lien exploitable avec le Canada dans les ensembles de données n’est pas facile sur le plan technique, le fait que l’existence de ce lien ne soit pas démontrée constitue une atteinte à la vie privée. Par conséquent, il serait plus désirable qu’au lieu de rabaisser le seuil d’une REDM, C59 mette en œuvre un mécanisme de contrôle judiciaire qui déterminerait l’existence de lien exploitable avec le Canada, et ce pour chaque REDM89.
Un autre problème demeure la conservation des ensembles des données accessibles au public. Il faut toutefois se rappeler que la conservation des ensembles de données accessibles au public (sauf s’ils contiennent des renseignements personnels) n’est pas assujettie à un contrôle judiciaire quelconque dans C59, et peut s’effectuer sans accord préalable90. Ceci pose problème pour plusieurs raisons. Par exemple, une des préoccupations concerne les ensembles de données mis en ligne volontairement. Il s’avère que dans le monde numérique, les individus partagent leurs informations volontairement, mais sans avoir donné leur consentement explicite et éclairé91. De plus, un utilisateur d’internet n’est pas toujours conscient que ses données s’accumulent avec le temps, laissant ainsi une empreinte digitale conséquente pouvant mener à son identification (surtout par un organisme comme le SCRS, qui a les moyens techniques appropriés)92. Par conséquent, il s’avère que C59 crée un petit vide juridique en ne reconnaissant pas les dangers liés aux ensembles de données accessibles au public. Il est encore plus inquiétant que le terme « accessible au public » (ou en anglais « publicly accessible ») ne soit pas défini par C5993. Leah West souligne que cette préoccupation fut soulevée devant un comité de la Chambre de Communes étudiant le projet de loi C59, et qu’un représentant du SCRS avait répondu qu’il ne considérait pas les ensembles de données piratées ou volées comme étant « accessible au public »94. Bien entendu, il est logique de ne pas considérer des ensembles de données piratés comme étant accessibles au public. Néanmoins, comment déterminer si des ensembles de données téléchargés sur l’internet sont piratés? Il se peut que le SCRS mette des protocoles en place afin d’établir cette distinction, mais il est moins probable qu’il les suivra de manière stricte. Ce risque pose une atteinte véritable au droit à la vie privée, étant donné que les droits des utilisateurs dont les informations personnelles se retrouvent dans des ensembles de données ne sont pas encore clairement établis au Canada95.
Enfin, est-il vraiment possible de trouver un équilibre entre sécurité nationale et droit à la vie privée? Suite aux révélations du programme PRISM, le Président américain Barack Obama commanda un rapport publié fin 2013. Le rapport, intitulé Liberty and Security Report, commence par cette déclaration: « The United States Government must protect, at once, two different forms of security: national security and personal privacy »96. Malgré les intentions de cette déclaration, l’équilibre des deux concepts n’est pas toujours possible, ce qui est d’ailleurs confirmé – indirectement - à la fin de son rapport97. Selon Craig Forcese, cet équilibre est possible que dans la mesure où un cadre légal sous contrôle judiciaire délimite clairement les REDM par les services de renseignements canadiens, tel que le SCRS98. Ainsi, il nous semble clair qu’un cadre légal approprié devrait inclure le pouvoir judiciaire comme garant d’un système de contrôle de la conservation de donnée, ce qui ne semble pas être la voie choisie par le législateur canadien, au vu du contenu de C5999.
Conclusion
D’aucuns le regretteront certainement, l’absence de définition claire du terme « ensembles de données accessibles au public » constitue un autre vide juridique, qui ne sera pas malheureusement comblé jusqu’à ce qu’une Cour se prononce sur son interprétation. Comme nous l’avons démontré, la législation – souvent lacunaire – encadrant le REDM a tendance à faire l’objet d’une interprétions assez large, ce qui, sur le plan du droit à la vie privée, pose des problèmes importants, en particulier lorsque l’on prend en compte les défis techniques propres à l’analyse de données qui empêchent de garantir un ciblage efficace. Par conséquent, il s’avère opportun de requérir la décision d’un juge, soit-elle ex post, pour chaque cas de REDM100. C59 le suggère dans certaines dispositions101, mais ne l’impose pas de manière stricte. C’est un constat alarmant étant donné qu’elle octroie des pouvoirs à un service de renseignement qui peut ainsi exploiter des ensembles de données sans surveillance ou contrôle judiciaire, ce qui pourrait mener à des abus, à de la discrimination ou même à du chantage de la part de ce service102. Sans contrôle judiciaire, il est fort probable que le cas de CADO se répètera de nouveau, et ce dans un avenir proche. Malheureusement, le Commissaire à la protection de la vie privée canadien est arrivé à la même conclusion, sans pour autant recommander des changements au contenu de C59103. D’après nous, il est possible d’établir un équilibre entre la sécurité nationale et le droit à la vie privée, mais cela nécessite la collaboration efficace des pouvoirs législatifs et judiciaires, afin que la charge de contrôle soit partagée de manière optimale, sans pour autant sacrifier notre sécurité nationale sur l’autel du droit à la vie privée.
Notes
4 Richard A Robertson, « The Unconstitutionality of Bulk Data Collection » (2017) 26 BU Pub Int L J 151 à la p 152.
7 Cette contribution fera référence aux expressions « stockage » et « conservation » des données. Nous emploierons les deux expressions de façon interchangeable (en anglais : bulk data retention or storage).
9 Il faut noter que le mandat du Centre de la sécurité des télécommunications (CST), une agence de surveillance canadienne, lui permet de recueillir des renseignements d'origine électromagnétique. Néanmoins, son rôle est plus lié à l’interception des renseignements qu’au recueil ou à la conservation. Cette contribution se concentrera seulement sur les capacités du SCRS. Voir notamment
Loi sur la défense nationale, LRC 1985, c N-5, art 274.61, 273.64(1).
10 PL C-59,
Loi concernant des questions de sécurité nationale, 1
re sess, 47e lég, 2018 [C59]
11 Robertson,
supra note 4 à la p 153.
12 Craig Forcese, « Bill C-59 and the Judicialization of Intelligence » (2018) Faculté de droit de l’Université d’Ottawa Document de travail No. 2018-13 à la p 1.
13 Kate Crawford et Jason Schultz, « Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms » (2014) 55 Boston College L Rev 93 à la p 117.
14 Voir notamment Rush Atkinson, « The Fourth Amendment's National Security Exception: Its History and Limits » (2013) 66 Vand L Rev 1343 à la p 1405.
15 Le concept d’un mandat général (general warrant) dans la common law remonte au 13e siècle (dans le droit civil, cela remonte même à l’époque romaine). Ce mandat attribuait la prérogative de perquisition à la couronne. Au début, le mandat octroyait des pouvoirs illimités à l’état, ce qui permettait son abus (comme en témoignent les injustices de la common law à travers le moyen-âge). Naturellement, ce pouvoir fut restreint avec les temps. Voir Robertson,
supra note 4 à la p 154.
16 Aux fins de cette contribution, on entend par renseignement personnel « tout renseignement concernant un individu identifiable ». Voir
Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5, art 2.
17 Shaun Spencer, « When Targeting Becomes Secondary: A Framework for Regulating Predictive Surveillance in Antiterorrism Investigations » (2015) 92 Denv U L Rev 493 à a p 509.
22 Le concept de « Bulk Power » provient de la Grande-Bretagne, qui l’avait inventé en lien avec la loi anglaise touchant les pouvoirs de services de renseignements. Voir
Investigatory Powers Act 2016 (R-U), c 24 tel que cité dans Forcese,
supra note 12 à la p 3.
23 Forcese,
supra note 12 à la p 3.
26 Voire Robertson,
supra note 4 aux pp 149-155.
27 Loi sur le Service canadien du renseignement de sécurité, LRC (1985), c C-23 [
loi sur le SCRS].
30 Shannon Kari, «
The new surveillance state » (2 octobre 2017), Canadian Lawyer (blogue), (« [t]he many individuals who were not a target in the murder investigation yet had personal phone data turned over to the police were not notified of this fact because there is no legal requirement to do so. What happened to this information and with data that is obtained from any other tower dump production order is also unknown, because unlike traditional wiretap authorizations, reporting requirements are virtually non-existent »).
31 Voir notamment
R v Ranglin, 2016 ONSC 3972, [2016] OJ No 3570 et
R c Mirarchi, 2016 QCCS 2530, [2016] QJ No 7344.
32 Voir par ex
Toronto Police Services Board (Re), 2017 CanLII 53383 (ON IPC). Dans cette affaire, la Police de Toronto prétendit être incapable de fournir des informations des ensembles de données pour des raisons techniques. Elle fut réprimandée et dû fournir les informations recueillies à travers les intercepteurs d’IMSI.
33 Forcese,
supra note 12 à la p 3.
36 Voir
X (Re),
supra note 6.
37 Les expressions « motifs raisonnables de soupçonner » et « motifs raisonnables de croire » portent de seuils différents sur le plan juridique. Voir aussi
infra note 40.
38 Forcese,
supra note 12 à la p 9.
39 Loi Constitutionnelle de 1867 (R-I), 30 & 31 Vict, c 3, reproduite dans LRC 1985, annexe II, n
o 5 [
Charte]. L’article 8 de la
Charte prévoit une protection de vie privée en matière des intrusions par le gouvernement. Voir aussi
Hunter c Southam Inc., [1984] 2 RCS 145 à la p 159, 11 DLR (4th) 641 et
R c Gomboc, 2010 SCC 55 aux paras 17,75, [2010] 3 RCS 211.
40 Forcese,
supra note 12 citant
R c Debot, [1989] 2 RCS 1140, (« “Suspects on reasonable grounds“ is a suspicion based on objectively articulable grounds that may be lower in quantity or content than the requirement or reasonable belief, but must be more than a subjective hunch… “Reasonable grounds to believe“ is a higher standard…. It is defined as “credibly-based probability“ or “reasonable probability“ » à la p 9). Voir
Chiau c Canada, 2001 2 FC 297, 195 DLR (4
e) 422 aux paras 55-60 et
R c Kang-Brown, 2008 CSC 18 aux paras 164-5.
41 Voir
X (Re),
supra note 6 au para 11.
43 X (Re),
supra note 6 au para 31
45 Forcese,
supra note 12 à la p 12. Voir aussi
X (Re),
supra note 6 au para 42.
47 R c Marakah, 2017 CSC 59 aux paras 127-31, [2017] 2 SCR 608.
49 2014 CSC 43, [2014] 2 SCR 212.
50 Forcese,
supra note 12 à la p 10.
51 Voir
X (Re),
supra note 6 au para 195.
53 Forcese,
supra note 12 à la p 11.
57 Voir Canada, Chambre des Communes, Ministère de la Justice,
Énoncé concernant la Charte - Projet de loi C-59 : la Loi concernant des questions de sécurité national (20 juin 2017), à la partie 4 [
Énoncé de Charte sur C59].
58 Voir Loic Bremme, «
Définition : Qu’est-ce que le Big Data ? » (28 juillet 2016), Le Big Data (blogue). Par « Big Data », on entend « l’explosion quantitative des données numériques a obligé les chercheurs à trouver de nouvelles manières de voir et d’analyser le monde ».
59 C59,
supra note 10, art 94.
60 Forcese,
supra note 12 à la p 12.
61 C59,
supra note 10 aux arts 11.03, 11.07(2), 11.08, 11.12(2).
62 Ibid aux arts 11.16-11.19.
65 L’article 11.02 de C59 réfère à l’article 3 de
la Loi sur la protection des renseignements personnels renseignement, supra pour définir ce qu’est un renseignement personnel.
66 La pertinence à l’exercice des fonctions du SCRS est explicitement mentionnée dans l’article 11.03 (2) de C59. Néanmoins, l’interprétation de « pertinence » au sens juridique exige un seuil moins élevé que ceux de « strictement nécessaire » qui est employé à l’article 12 de la
Loi sur la SCSR positive. Nous en discutons plus en détail
infra.
67 Forcese,
supra note 12 à la p 12.
68 Le rôle du commissaire au renseignement indépendant est une nouvelle création du C59. Voir
C59,
supra note à la partie 2.
69 C59,
supra note 10 aux arts 11.16-11.19. Voir aussi West,
supra note 55.
70 Voir notamment, Énoncé de Charte sur C59,
supra note 57 à la partie 4.
71 C59,
supra note 10, art 101 (1) (1.1).
72 Ibid, art 102 (1) (3.01).
74 Forcese,
supra note 12 aux pp 12-3.
75 C59,
supra note 10, art 11.1.
76 Canada, Chambre des Communes, Comité permanent de la sécurité publique et nationale,
Mémoire au Comité permanent de la sécurité publique et nationale (SECU) au sujet du projet de loi C-59, Loi concernant des questions de sécurité nationale (5 mars 2018), [
].
79 Canada, Comité de surveillance des activités de renseignement de sécurité, « CSARS Rapport annuel 2017-2018 : Bâtir pour demain : l’avenir de la reddition des comptes en matière de renseignement de sécurité au Canada, No de Cat PS105F-PDF », [
CSARS Rapport].
80 L’article 54 de la
loi sur le SCRS permet à un comité (telle que CSARS) de rédiger un rapport sur une activité reliée à l’exercice des fonctions du SCRS.
81 CSARS Rapport,
supra note 79.
82 R c Spencer, 2014 CSC 43 aux paras 41-2, [2014] 2 RCS 212.
84 Voir,
supra aux pp 11-12.
85 Association des Barreaux du Canada,
supra note 73 à la p 32.
86 Voir par ex Roach,
supra note 56, CCLA
supra note 54 et CSARS rapport
supra note 79.
89 Ce constat est davantage justifié suite à une décision récente de la CF impliquant le SCRS et la collecte des ensembles de données étrangères. Dans cette décision la CF affirma que le mandat du SCRS ne lui permet pas d’obtenir un mandat pour procéder au recueil de données à l’extérieur du Canada. Ainsi, il s’avère que le SCRS nécessite un mécanisme de contrôle judiciaire afin de déterminer le lien exploitable justifiant la collecte. Voir
X (Re), 2018 CF 738, 151 WCB (2
e) 762 [
X(Re) 2018].
90 C59,
supra note 10 aux arts 11.07(1)(a), 11.11(1).
91 Les enjeux du consentement clair et éclairé à travers les contrats électroniques sont bien connus. Il s’avère qu’il existe plusieurs problèmes au niveau du consentement dans la sphère numérique. Voir par ex Melissa de Zwart, Sal Humpreys et Beatrix Van Dissel « Surveillance, Big Data and Democracy: Lessons for Australia from the US and UK » (2014) 37 UNS WLJ 713 (« [d]ata collection has become almost ubiquitous - it is carried out in public spaces and in private spaces. People sometimes volunteer their information and sometimes it is harvested from their actions without them knowing. Thus a person may fill out a form online and give information about themselves to a commercial or government organisation - usually in exchange for some kind of goods or services. However, volunteering this information is not necessarily a sign that they have consented to the ways in which it is used » à la p 715).
92 Daniel Solove, « Introduction: Privacy, Self-Management and the Consent Dilemma » (2013) 26 Harv L Rev 1880 aux pp 1889-90.
95 Ce constat est fait en comparaison avec des régimes comme le Règlement général sur la protection des donnéesde l’Union européenne qui prévoit une définition élargie de renseignements personnels comprenant des éléments qui se trouve dans les ensembles de données. Voir notamment, « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE » (règlement général sur la protection des données), [2016] JO, L 19 art 4 (2).
96 É-U, « President's Review Group on Intelligence and Communications Technologies, Office of the Director of National Intelligence (US), Liberty and Security in a Changing World: Report and Recommendations of The President's Review Group on Intelligence and Communications Technologies », 105
e Cong, 2013 à la p 15.
98 Forcese,
supra note 12 à la p 12.
100 Karl Palmas, « Predicting What You'll Do Tomorrow: Panspectric Surveillance and the Contemporary Corporation » (2011) 8 Surveillance & Society J 338 à la p 349.
101 Voir
C59,
supra note 10 aux arts 11.05, 11.09(1), 11.09(2), 11.12, 11.13(1)(a).
102 Neil M Richards, « The Dangers of Surveillance » (2013) 126 Harv L Rev 1934 à la p 1961.
103 Mémoire du Commissaire,
supra note 76 à la p 12 tel que cité dans Forcese,
supra note 12 à la p 12.