Le commissaire à la protection de la vie privée du Canada a comparu jeudi devant un comité parlementaire qui entreprend une étude approfondie de l’usage au fédéral d’outils capables de récupérer des données de téléphones et d’ordinateurs.
C'est en lisant un article de Radio-Canada en novembre que le commissaire Philippe Dufresne dit avoir appris qu'au moins 13 agences et ministères fédéraux se servent de ces instruments.
Or, son bureau ne devrait pas l’apprendre après coup, c'est-à-dire une fois que les technologies ont déjà été déployées, a-t-il affirmé devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique.
Les outils qu'utilisent divers ministères se branchent directement au téléphone ou à l’ordinateur d'un usager et peuvent en retirer toutes les données, même celles qui sont cryptées ou protégées par un mot de passe. Certains logiciels peuvent aussi accéder au nuage informatique d'un utilisateur et retracer ses activités sur les réseaux sociaux, ses recherches sur Internet et les contenus supprimés.
Les outils d'extraction de données peuvent être utilisés d'une manière qui soulève des risques importants sur le plan de la vie privée
, affirme le commissaire.
Une directive fédérale exige des ministères qu'ils effectuent une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant toute nouvelle activité comportant la collecte ou le traitement de renseignements personnels. Il s'agit de cerner les risques d'atteintes à la vie privée et les mesures pour atténuer ou pour écarter ces risques.
Aucun des 13 ministères en question n'a effectué une telle évaluation en rapport avec les outils d'extraction de données.
À lire aussi :
Le commissaire Dufresne déplore que cette exigence ne soit toujours pas inscrite dans la Loi sur la protection des renseignements personnels afin d'en faire une obligation juridique contraignante.
Il estime que c’est d’autant plus nécessaire dans un contexte où les technologies deviennent de plus en plus puissantes.
Ça va être encore plus important de rassurer les Canadiennes et les Canadiens
, ajoute-t-il.
M. Dufresne dit avoir communiqué avec les 13 institutions fédérales dans la foulée du reportage de Radio-Canada pour les inciter à mener une telle analyse.
Toutefois, il soutient qu'il n'a pas les pouvoirs nécessaires pour les contraindre à le faire.
Huit organismes ont indiqué au Commissaire qu’ils avaient commencé à réaliser une ÉFVP ou qu’ils étudiaient la possibilité d'en effectuer une. Ces organismes sont les suivants :
- Agence des services frontaliers du Canada
- Défense nationale
- Affaires mondiales Canada
- Pêches et Océans Canada
- Environnement et Changement climatique Canada
- Services partagés Canada
- Bureau de la sécurité des transports du Canada
- Service correctionnel Canada
Quant aux quatre organismes suivants, ils estiment que ce n'était pas nécessaire, entre autres parce qu'ils avaient réalisé une évaluation il y a plusieurs années pour l'ensemble de leurs programmes d'enquête :
- Conseil de la radiodiffusion et des télécommunications canadiennes
- Gendarmerie royale du Canada
- Agence du revenu du Canada
- Bureau de la Concurrence Canada
Enfin, le ministère des Ressources naturelles du Canada a dit au commissaire qu’il avait acheté l'outil mais qu'il ne l’a jamais utilisé.
Le commissaire à la protection de la vie privée reconnaît que les outils d’extraction de données peuvent être utiles dans certaines circonstances.
L'idée, ce n'est pas de refuser la technologie, c'est de la baliser
, dit-il.
Les 13 ministères en question auront l’occasion d’expliquer leur utilisation de ces instruments devant le comité au cours des prochaines semaines. Certains disent les utiliser dans le cadre d’enquêtes internes ou pour faire appliquer des lois.
Un des membres du comité, le député néo-démocrate Matthew Green, s’inquiète qu’un plus grand nombre encore de ministères n’utilisent ces technologies sans qu’on le sache. Le comité s’est entendu pour communiquer avec chacune des 137 institutions fédérales pour exiger des comptes.