Document d’information
Le 23 août 2019, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) a présenté au Ministre de la Sécurité publique et de la Protection civile un rapport classifié sur son examen de l’utilisation des renseignements de géolocalisation par le SCRS.
Selon ce rapport, l’OSSNR a conclu que l’utilisation de ces données de géolocalisation par le SCRS sans mandat risquait de contrevenir à l’article 8 de la Charte canadienne des droits et libertés (la Charte), qui protège contre les fouilles, les perquisitions et les saisies abusives. Le 16 mars 2020, l’OSSNR a présenté un rapport en vertu de l’article 35 de la Loi sur l’OSSNR au ministre de la Sécurité publique et de la Protection civile au sujet de l’activité illégale possible.
Cet examen a soulevé des questions pressantes au sujet de l’utilisation des données accessibles au public, mais qui met néanmoins en cause l’attente raisonnable d’une personne en matière de vie privée. L’examen de l’OSSNR a examiné le processus décisionnel qui a amené le SCRS à utiliser ces données sans mandat, et a conclu que le SCRS n’avait ni les politiques, ni les procédures nécessaires pour s’assurer qu’avant d’utiliser les données, il demanderait un avis juridique pour éviter leur utilisation illégale.
Par ailleurs, l’examen a également permis de souligner de façon plus générale que, dans ce contexte, un soutien juridique continu aux activités d’exploitation de données par le SCRS est essentiel pour que l’organisme puisse fonctionner à un niveau de risque acceptable. Il a également souligné que le SCRS et le ministère de la Justice devaient faire preuve de leadership institutionnel à cet égard.
À l’avenir, l’OSSNR accordera la priorité à l’examen de l’utilisation de la technologie par le SCRS, en particulier les technologies nouvelles ou émergentes qui posent les plus grands risques.
Date de publication :
1. Autorisations
Le Comité de surveillance des activités de renseignement de sécurité (CSARS) a commencé le présent examen conformément aux dispositions du paragraphe 38(1) de la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS), qui conférait au CSARS la fonction de surveiller la façon dont le Service canadien du renseignement de sécurité (SCRS) exerce ses fonctions.
Pendant qu’il effectuait cet examen, le projet de loi C-59 – Loi concernant des questions de sécurité nationale – a reçu la sanction royale le 21 juin 2019. La partie 1 du projet de loi C-59 édictait la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (Loi sur l’OSSNR), qui est entrée en vigueur par décret de la gouverneure en conseil le 12 juillet 2019. La Loi sur l’OSSNR a abrogé les dispositions de la Loi sur le SCRS qui constituaient et régissaient le CSARS et l’a remplacé par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR ou Office). La Loi sur l’OSSNR prévoit la composition, le mandat et les pouvoirs de l’OSSNR et modifie la Loi sur le SCRS, et d’autres lois, en vue du transfert de certaines attributions au nouvel office.
La présente étude a été poursuivie conformément aux dispositions de l’alinéa 8(1)a) et du paragraphe 8(3) de la Loi sur l’OSSNR qui confèrent à l’OSSNR le mandat d’examiner toute activité exercée par le SCRS et de formuler les conclusions et recommandations qu’il estime indiquées.
2. Introduction
Dans l’exercice de sa fonction d’examen, l’OSSNR s’attend à ce que les activités du SCRS soient légales et conformes aux directives ministérielles. Le présent examen est axé sur la collecte de données de géolocalisation sans mandat par le SCRS et s’inscrit dans le cadre de l’intérêt constant que l’OSSNR porte aux activités de collecte et d’exploitation de données menées par le SCRS avec et sans mandat. Des examens antérieurs ont porté sur les activités de collecte et de conservation de métadonnées menées par le SCRS en vertu de mandats et sur les activités de collecte et d’exploitation d’ensembles de données personnelles menées par le SCRS sans mandat. La présente étude est la première que l’OSSNR consacre à la collecte de données de géolocalisation par le SCRS.
Le présent examen a été effectué dans le contexte de décisions de la Cour fédérale, plus particulièrement de la décision sur les numéros d’identité internationale de l’abonné mobile (IMSI) rendue le 27 septembre 2017, qui ont des répercussions sur la collecte, l’utilisation et la conservation de données par le SCRS, y compris des données géolocalisation. Dans la décision qu’elle a rendue sur les IMSI, la Cour fédérale a conclu que l’article 12 autorise effectivement le SCRS à obtenir des données de géolocalisation lorsque les attentes en matière de vie privée sont faibles, mais qu’il aurait besoin d’un mandat pour passer à des activités plus envahissantes, comme géolocaliser un individu.
Il convient de signaler que la portée de l’étude était plus large au départ et qu’elle visait à inclure un examen plus exhaustif de la collecte de différents types de données de géolocalisation, avec ou sans mandat. L’OSSNR tiendra compte de la portée réduite de cet examen dans de futures études.
3. Objectifs
La présente étude vise à déterminer si la collecte sans mandat de données de géolocalisation que le SCRS utilise à l’appui de ses opérations est conforme aux sources de droit applicables, dont la Charte canadienne des droits et libertés (Charte) et la Loi sur le SCRS, ainsi qu’aux directives ministérielles et aux politiques opérationnelles. Elle vise également à déterminer si le SCRS a mis en place suffisamment de garanties, sous la forme de politiques et de procédures officielles, pour être en mesure de respecter ses obligations juridiques dans une période où la technologie et le contexte juridique évoluent rapidement.
4. Portée et méthode
La portée et l’orientation de l’étude ont été définies à la suite d’un examen préliminaire des documents disponibles et d’une séance d’information avec la ████████████████████████████████████████████████████████ De plus, l'OSSNR a demandé au SCRS de recenser toutes les activités menées par la █████ susceptibles d’avoir entraîné la collecte desdonnées géographiquesdecibles qui ne sont pas visées par un mandat au cours de la périodeà l’étude.Ces informations ont servi de fondement pour
demander certains documents au SCRS.
L’OSSNR a examiné tous les documents fournis par le SCRS et a demandé, extrait et examiné des documents provenant de divers systèmes informatiques et des courriels du SCRS afin de s’assurer de disposer d’un bilan clair des activités. Parmi les documents examinés figuraient des demandes envoyées par les régions à la image ██████████████ , les réponses données à ces demandes, des notes d’information, des documents de planification, des évaluations juridiques et des documents de correspondance interne.
Pour évaluer la conformité avec la loi de l’utilisation que le SCRS fait des données de géolocalisation, l’OSSNR a décidé d’effectuer une étude de cas approfondie de ██████████████████████████████████████████ de géolocalisation. L’Office a examiné toutes les fois où le SCRS a utilisé ██████████ pendant la période à l’étude. Comme le présent examen repose sur une seule étude de cas, l’OSSNR est conscient qu’il étend ses constatations et ses conclusions à d’autres types de données de géolocalisation
L’examen visait essentiellement la période du 1er janvier 2017 au 30 juin 2018, mais l’OSSNR a également tenu compte d’informations hors de cette période pour assurer l’exhaustivité de son évaluation.
5. Critères
Exigences légales et ministérielles
L’OSSNR s’attend à ce que le SCRS mène ses activités conformément aux sources de droit
pertinentes, dont la Loi sur le SCRS, la Charte, la Loi sur la protection des renseignements
personnels et la jurisprudence. Il s’attend aussi à ce qu’il le fasse conformément aux directives
ministérielles.
Étant donné le thème de cet examen, l’analyse de la Charte, dont l’article 8 établit que chacun a
droit à la protection contre les fouilles, les perquisitions ou les saisies abusives, était
particulièrement importante. Cette analyse visait à déterminer si l’utilisation de ███████ pour
recueillir les données de géolocalisation d’une personne constitue une fouille aux fins de
l’article 8, ce qui nécessiterait un mandat.
Politiques et procédures
L’OSSNR s’attendait à ce que le SCRS se soit doté de politiques et de procédures pour orienter la collecte, l’utilisation et la conservation des données de ███████ , malgré leur caractère unique, et à ce que ces politiques et procédures soient conformes aux obligations légales du SCRS, notamment en vertu de la Charte, ainsi qu’à ses obligations découlant des instructions du ministre.
À titre de référence, les politiques pertinentes en ce qui a trait à la collecte d’informations ███████
- ███████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ En principe, cela autorise la collecte d’informations de cette nature sur un très vaste échantillon de personnes;
- les politiques sur les activités de collecte du █████████ , dont la note de service du SDO de 2015 faisant du █████████ le centre de décision national pour la █████████De plus, les procédures sur la █████████ permettent au █████ de mener █████████ une telle activité, définie comme un outil ou une technique ne nécessitant pas l’obtention d’un mandat et pouvant être utilisée contre ██████████████████████████████████████████████████████████████.
6. Contexte
La technique d’enquête – █████████
████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████ d'utilisateurs du monde entier.
█████████ garde ses données pendant trois mois. Les informations ne sont pas disponibles en temps réel. Cependant, il faut compter seulement de 24 à 48 heures entre le moment où ████ est recueilli et celui où il est disponible dans ████████.
████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
L’annexe A contient un exemple de l’utilisation de █████ contre une cible du SCRS.
Chronologie de l’utilisation de par le SCRS █████
a. Du point de départ au début du projet pilote : de juillet 2015 à janvier 2018
████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
La █████ a abondé dans le sens du █████ et s’est demandé elle aussi si l’utilisation de risquait de soulever des problèmes de nature juridique qui devraient être réglés avant la période d’essai. La █████ a demandé à connaître les règles afin de pouvoir planifier en conséquence et tirer le maximum de l’évaluation. Elle a ajouté que les données semblaient formidables, mais qu’elles devaient être assujetties à des règles de gouvernance ou de nature juridique lorsqu’elles se retrouvent entre les mains d’un organisme fédéral. Ces questions ont été soulevées dans un courriel envoyé au █████ et au ███████████.
███████████████████████████████████████████████████████████████████████████████████████████████████████████████████ Néanmoins, en septembre 2017, la █████ se préparait à évaluer █████ , c’est-à-dire à █████ ce service pour une période d’essai de deux mois.
La █████ a réuni en octobre le █████████████████████████████████████████████████████████████████████████████████████████████████████████ Cette réunion avait pour objectif de préparer une évaluation de █████ et, à cette fin, de prendre des décisions sur quelques détails visant à assurer la conformité aux lois et aux politiques.
Les questions inscrites à l’ordre du jour étaient les suivantes :
- 1 ) La politique actuelle du █████ s’applique-t-elle à l’utilisation de █████ ou doit-elle être adaptée?
- 2) Existe-t-il une attente raisonnable en matière de respect de la vie privée à l’égard des données de ███████.
- 3) Y a-t-il autre chose dont le SCRS doit tenir compte avant de pouvoir utiliser █████ Par exemple, des procédures ou des essais additionnels de █████ ?
Selon le compte rendu écrit des discussions que la █████ a diffusé à la suite de la rencontre, il a été convenu que █████ était conforme aux activités de collecte menées par le CRTI en vertu d’une autorisation générale, permettant « la recherche et l’utilisation d’informations de sources ouvertes » à l’appui d’enquêtes. Il a également été décidé que l’utilisation de █████ cadrait avec les politiques du █████ puisqu’il s’agirait de questions liées à des menaces par l’utilisation ██████████████ qui ne serait utilisé qu’avec les autorisations ██████████████ . Enfin, il a été évalué que les données de ██████████████ qui seraient intégrées dans les fichiers respecteraient le critère de la stricte nécessité applicable à la collecte et à la conservation énoncé dans la Loi sur le SCRS parce qu’elles seraient liées à une menace précise.
██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Après la réunion, le chef adjoint des ██████ a approuvé l’utilisation à l’essai de ██████ Dans le document d’approbation, qui est en fait un courriel adressé à la ███ et au ████ , le chef adjoint précise que, ██████████████████████████████████████████████████████████████████.
b. La période d’essai au SCRS – de mars à juillet 2018
Le SCRS a amorcé son projet pilote ████ le 14 janvier 2018. Ce projet devait durer deux mois initialement, mais comme le SCRS s’est heurté dès le départ à des problèmes techniques qui ont retardé son utilisation complète et ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Pendant cette période, ████████ a été utilisé environ ███ fois au total, ce qui a donné lieu à ███ messages opérationnels. Comme il a déjà été signalé, la ███ a fait des efforts pour s’assurer que ████ de ████████ était conforme aux politiques du SCRS sur la collecte et ████████ en vertu d’autorisations d’enquête ainsi qu’au critère de la stricte nécessité applicable à la collecte et à la conservation énoncé dans la Loi sur le SCRS.
La ████ a terminé son évaluation de ████████ à la fin d’avril 2018. ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████.
La première version d’une note d’information visant à obtenir l’autorisation ████████████ a été rédigée conjointement par le ████ en avril 2018. Il y était indiqué que le projet pilote d’utilisation de ████ avait été mené en vertu des autorisations accordées au ████ et, qu’après évaluation, il avait été estimé que ████ était conforme aux politiques opérationnelles actuelles. ████████████████████ étaient également mentionnés dans la note d’information : dans le premier cas, seule une quantité limitée d’informations serait recueillie, ce qui serait conforme au critère de stricte nécessité; dans le deuxième cas, ████████████████████ , qui serait alors ████████████████████.
Le ████████████ ont rédigé une autre version de la note d’information. Cette dernière était datée du 15 mai 2018 et a été envoyée au directeur général (DG) de la ████. Contrairement à la première version, cette note d’information avait le double objectif d’obtenir un avis juridique et ████████████. Dans cette version qui a finalement été envoyée au DG de la █████ , il était également indiqué que ██████ avait été jugé conforme aux autorisations accordées au ██████ , à la suite de discussions avec la Direction de l’examen externe et de la conformité (EEC) du SCRS et ██████ de la ██████ ainsi que d’une rencontre informelle avec un représentant des Services juridiques (SJ). Il était précisé que l’██████████████████ était conforme aux directives et aux autorisations existantes et que, bien que l’ ██████ ait estimé que le ████████████████ , aucun avis juridique officiel n’avait encore été reçu et que la note d’information pourrait être le mécanisme permettant d’en obtenir un.
L’OSSNR s’est informé sur la teneur des discussions tenues avec l’EEC et les SJ ainsi que sur les documents disponibles sur ces réunions. Il a appris que l’agente de conformité de l’EEC intégrée dans la ████ connaissait ████, parce qu’il avait été présenté au cours d’une assemblée générale, mais qu’elle n’avait participé à aucune discussion à ce sujet. L’OSSNR a demandé à voir les documents à l’appui des discussions avec les SJ, mais n’a rien reçu.
c. Avis juridique : de juillet 2018 à février 2019
Après avoir reçu la note d’information de mai, le 20 juillet, le DG ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Le 31 juillet, un avis juridique préliminaire a été reçu.
██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Un avis juridique officiel a été fourni le 7 décembre 2018 qui remettait en question l’utilisation de ████████sans mandat par le SCRS, sauf dans des cas très rares, par exemple, ████████████████████████████████████████████████████████████████████.
Le SCRS a demandé un nouvel avis juridique afin de savoir si████████████████████████████████████████ Dans l’avis juridique fourni en réponse à cette question, daté du 19 février 2019, les SJ ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████.
En se fondant en partie sur l’avis juridique de février 2019, le SCRS a par la suite décidé de ████████████████████████████████████████████████████████████████████████████████████████████████████████ . L’OSSNR croit comprendre qu’à l’heure actuelle ████████████ n’est utilisé que dans des circonstances très précises et conformément aux lignes directrices énoncées dans les avis juridiques.
7. Constatations
Constatation no 1 – Respect de la Loi sur le SCRS et de la Charte L’OSSNR constate qu’il y avait un risque que le SCRS contrevienne à l’article 8 de la Charte pendant la période d’essai au cours de laquelle il a utilisé █████ sans mandat.
Le SCRS a demandé aux SJ de lui fournir un avis juridique sur cette technique d’enquête, plus particulièrement de se pencher sur la question du risque juridique associé à l’utilisation de ██████████au sujet (i) de Canadiens ou de personnes se trouvant au Canada; (ii) de sources humaines ou d’employés, avec leur consentement éclairé. Dans une note de service datée du 7 décembre 2018, les SJ ont fourni l’avis juridique suivant au SCRS.
██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
L’examen du dossier effectué par l’OSSNR, dans le but de disposer d’un avis juridique indépendant, appuie l’opinion des SJ à cet égard. Plus particulièrement, l’Office croit que l’utilisation de ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████constitue une fouille au sens de l’article 8 de la Charte. Pour arriver à cette conclusion, l’OSSNR constate qu’il est très peu probable qu’un tribunal conclue que l’article 12 de la Loi sur le SCRS constitue une autorisation légale suffisante pour que l’utilisation de ██████ sans mandat ne soit pas « abusive » aux fins de l’article 8 de la Charte. Le SCRS serait donc tenu d’obtenir un mandat conformément à l’article 21 de la Loi sur le SCRS pour effectuer une telle fouille. Il convient de signaler que l’Office a fondé son analyse juridique sur le même ensemble de faits que les SJ pour fournir leur avis juridique.
Pour parvenir à cette conclusion, l’OSSNR interprète l’article 12 de la Loi sur le SCRS comme autorisant uniquement les activités de collecte dont le niveau d’intrusion est minimal. À cet égard, il est d’accord avec l’avis des SJ selon lequel, ██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Au moment de la rédaction du présent rapport, le SCRS évalue diverses façons d’utiliser █████████ dans le futur après avoir obtenu un mandat.
███████
Constatation no 2 – Gouvernance du projet pilote d’utilisation de █████████
L’OSSNR constate qu’aucun centre de décision n’était clairement responsable de l’utilisation des données de ████████.
L’OSSNR a demandé sur quelles politiques et procédures avait reposé la décision d’autoriser la période d’essai et quelle sous-section de la ████ avait été chargée d’évaluer et d’autoriser l’utilisation de ████ . Comme il a déjà été mentionné, le dossier donne à penser que trois sous-sections distinctes ont participé à ██████████ pour la période d’essai.
█████████████ avait été chargée En tant que centre de décision en ce qui a trait à a pour rôle et pour mandat de coordonner, ██████████████████ À ce titre, elle aurait été chargée d’évaluer les répercussions sur la vie privée de l’utilisation de ███████████, entre autres, si ████████ avait été considérée comme un █████ Toutefois, ███████ n’était pas ███████ , mais plutôt comme un █████████████████ n’a donc pas évalué si l’utilisation de ███████ sur les Ceci dit, il était clairement indiqué dans la note d’information du 15 mai 2018 ███████ que estimait que l’utilisation de ███████ était conforme aux directives et autorisations actuelles. Faute de dossier officiel, l’OSSNR n’a pas été en mesure d’évaluer la teneur, ou le fondement, de cette évaluation.
Le ██████ est la sous-section chargée d’assurer un soutien opérationnel à la ████████████████████████ en utilisant des ████████████████████████ L’équipe du ██████ utilise d’autres produits de ████████████ et est celle qui a assisté à la première démonstration de ██████. Il a finalement été déterminé que ce serait en vertu des autorisations du que serait utilisé. Toutefois, le ██████ n’était pas le principal utilisateur de ██████ . Il n’a pas participé non plus à l’évaluation officielle des données de ██████
Il incombait donc à la ██████ de trouver un moyen d’évaluer officiellement ██████ étant donné son expertise en données de géolocalisation. Toutefois, la ██████ ne recueille généralement pas de données, mais se contente plutôt d’utiliser celles qui lui sont fournies. Elle n’a donc pas effectué une évaluation préliminaire approfondie, et ne s’est pas fait demander de le faire, afin de déterminer si l’utilisation de ██████ soulevait des problèmes, de nature juridique ou autres, qu’il faudrait régler, même à l’étape du projet pilote. La ██████ a néanmoins préparé, de son propre chef, un document officiel afin de guider son évaluation de ██████ pendant la période d’essai. L’OSSNR constate également que la ██████ s’est conformée à la politique actuelle de n’utiliser ██████ que lorsqu’il existait une autorisation d’enquête valide.
L’OSSNR n’a reçu aucun document officiel sur la décision d’autoriser le projet pilote. L’avis de décision d’utiliser ██████ dans le cadre d’un projet pilote était un courriel, qui contenait le paragraphe suivant.
[Traduction] Je ne vois aucune raison de ne pas entreprendre une évaluation – ██████████████████ De plus, ██████████████████, ██████████████████████ par exemple, ne sont pas fournis tant que nous n’avons pas déterminé qu’ils sont « strictement nécessaires » et qu’ils présentent un intérêt dans le cadre de l’enquête – il ne s’agit donc que jusqu’à ce que nous trouvions quelque chose de pertinent.
Ultimately, NSIRA was unable to identify which of the three policy areas within ██████ should have had, according to existing policies and procedures, responsibility for the assessment of ████████████████████████████████████████████████████████████████████████████████████.
Constatation no 3 – Avis de décision
L’OSSNR constate que le document d’approbation du projet pilote d’utilisation de ██████ était un courriel, et que ce courriel n’a pas été « classé » dans le dossier officiel, comme il aurait dû l’être
Comme il a déjà été mentionné, ce qui se rapproche le plus d’un avis de décision d’utiliser ██████ dans le cadre d’un projet pilote était un courriel d’un chef adjoint de la ██████ dont le texte intégral est cité ci-dessus.
L’OSSNR constate que ce courriel n’a pas été « classé » comme il aurait dû l’être étant donné qu’il représente, de facto, l’autorisation d’acquérir ██████ afin de l’évaluer et qu’il est nécessaire à des fins de gestion des dossiers et de reddition de comptes. Il a plutôt été enregistré sur un lecteur « personnel » et n’a été présenté que dans le cadre du processus d’examen.
Constatations nos 4 et 5 – Évaluation du risque dans le dossier de ██████
L’OSSNR constate qu’étant donné que le SCRS ne dispose d’aucune politique ou procédure sur l’évaluation et la manipulation des technologies de collecte nouvelles ou émergentes, une évaluation officielle des risques juridiques associés à l’utilisation de ██████ aurait été nécessaire
L’OSSNR constate que le SCRS n’a pas tenu compte de multiples indices que l’utilisation de ██████ pourrait soulever des problèmes juridiques
Selon les directives ministérielles, le SCRS doit évaluer quatre catégories de risques liés aux activités opérationnelles (opérationnel, politique, juridique et lié à la politique étrangère). Plus particulièrement, il est indiqué dans les directives que le SCRS doit « examiner son propre niveau d’expérience ainsi que le caractère innovateur de l’activité opérationnelle».
L’OSSNR s’est fait dire qu’il n’existe aucun processus officiel d’évaluation des risques dans des dossiers comme celui de ████████████ , parce que ce logiciel était considéré comme ████████████████████████ Cette position est conforme à la lecture que fait l’Office des politiques pertinentes, citées un peu plus haut, c’est-à-dire ████████████████████████████████ , aucune de ces politiques n’exigeant une évaluation des risques juridiques avant ████████████ soit utilisé à des fins de collecte.
██████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Il a été donné à entendre à l’OSSNR qu’il n’aurait pas été possible d’effectuer une évaluation approfondie de ████████ avant le projet pilote, le raisonnement étant qu’une évaluation des risques n’est possible que lorsque les ████████. L’OSSNR accepte en principe qu’il existe des situations dans lesquelles il serait difficile de se rendre compte des risques juridiques tant que ████████ et ne les a pas pleinement évaluées. Cependant, il incombe au SCRS d’atténuer ces risques le plus possible malgré les difficultés.
De plus, dans ce cas, l’OSSNR constate qu’il y avait des indices de la nécessité de faire preuve de prudence face aux ████████ avant même le début de l’essai, notamment la décision sur les IMSI de la Cour fédérale, qui a conclu qu’il fallait un mandat pour géolocaliser une personne.
À l’interne, de multiples indices démontraient qu’il pourrait y avoir des raisons de faire particulièrement attention, dont :
deux courriels envoyés avant le début du projet pilote, l’un par le █████ le 28 juin 2017, l’autre par la █████ le 27 septembre 2017, contenant tous les deux des questions de nature juridique ou liées à la gouvernance;
la réunion organisée par la █████ afin de déterminer si les données de █████ étaient associées à une attente raisonnable en matière de respect de la vie privée;
les exemples fournis par ███████████████████████████████████████████████████████████████████████████████████████████████ et l’évaluation de █████ en avril 2018, selon laquelle cet outil soulevait des préoccupations sur le plan de la protection de la vie privée parce qu’il était possible de générer █████████ et █████████.
Il y a eu d’autres indices de la nécessité d’être prudent. ████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████████
Malgré ces signes, aucune mesure officielle n’a été prise pour évaluer la question des risques juridiques avant la note d’information de mai 2018 qui demandait un avis juridique officiel.
L’OSSNR recommande qu’une politique soit élaborée ou modifiée selon le cas exigeant une évaluation documentée des risques, juridiques notamment, dans des situations comme celle de ██████████ c’est-à-dire lorsque les informations recueillies au moyen de technologies nouvelles ou émergentes sont susceptibles de contenir des données à l’égard desquelles il peut y avoir une attente raisonnable en matière de respect de la vie privée. De plus, l’OSSNR recommande qu’un centre de décision soit clairement désigné pour ce type de collecte ██████████ , si ce n’est pas le ██████████.
Conclusion
D’entrée de jeu, █████ a été qualifié d’outil utilisant des █████ Cette affirmation figure clairement dans le courriel d’approbation. █████████████████████████████ envisagerait, il n’est pas clair que, comme il est affirmé, les données exploitées au moyen █████ de sont vraiment des ███████████████ du moins au sens où on l’entend couramment.
La façon dont █████ a été évalué n’a pas été sans conséquence, en ce sens qu’elle semble avoir justifié l’absence d’une évaluation juridique plus approfondie. Cette hypothèse s’est révélée problématique : elle a eu pour conséquence d’exposer le SCRS à un risque de contrevenir à la Charte.
L’OSSNR est conscient que des discussions ont été tenues au sein de la █████ sur la nécessité de bénéficier d’un soutien juridique constant. Plus précisément, le █████ a demandé qu’une enveloppe budgétaire sur les politiques et les dispositions législatives soit créée afin que les questions juridiques et de politique liées à l’exploitation des données soient adéquatement traitées. Il demandait notamment qu’une ressource des SJ soit affectée à ces questions à plein temps ou même un jour par semaine afin de pouvoir compter sur un soutien juridique35. L’OSSNR comprend que cette demande a été faite en partie à cause de la difficulté à obtenir un avis juridique lorsque le besoin s’en fait sentir. Il a été informé qu’aucune réponse n’a encore été donnée à la demande du █████ de bénéficier d’un soutien juridique hebdomadaire
La combinaison d’un élargissement de la portée du type, de la quantité et des sources de données recueillies par le SCRS et d’un contexte juridique en évolution constante expose ce secteur à un risque juridique élevé en permanence. Le SCRS a déclaré publiquement que le concept de l’attente raisonnable en matière de respect de la vie privée évolue au fil du temps et s’est assuré à voir à ce que ses méthodes de détermination de l’attente raisonnable en matière de respect de la vie privée demeurent cohérentes.
L’OSSNR est d’avis que, dans ce contexte, il est essentiel que la █████ puisse bénéficier d’un soutien juridique pour que le niveau de risque des activités menées par le Service soit acceptable. L’OSSNR s’attend à ce que le SCRS et le ministère de la Justice fassent preuve d’un leadership institutionnel qui permettrait la prise de décisions responsables dans un contexte d’incertitude en mettant à la disposition de la █████ le soutien juridique dont elle a besoin en priorité.