Logiciels espions de la GRC : le ministre défend des années d’utilisation
Le ministre de la Sécurité publique, Marco Mendicino, et des officiers supérieurs de la GRC défendent l’utilisation de logiciels espions depuis des années et auparavant non divulgués par la police nationale, capables d’accéder à distance aux microphones, caméras et autres données des téléphones portables et des ordinateurs, dans le cadre de dizaines d’enquêtes majeures.
Au cours des heures de témoignages devant le Comité de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes, une série de révélations notables ont été faites lundi sur l’utilisation par la GRC d’« outils d’enquête sur appareil » ou ODIT.
Plus précisément, il a été révélé que le nombre d’années et le nombre d’enquêtes au cours desquelles ces techniques ont été déployées s’étendent au-delà de ce qui avait déjà été signalé au Parlement, et qu’à ce jour, la GRC n’a pas consulté le commissaire à la protection de la vie privée du Canada au sujet de son utilisation de logiciels espions pour essentiellement pirater des appareils électroniques.
« Les ODIT sont extrêmement rares[ly] et dans des cas limités. Leur utilisation est toujours ciblée, elle est toujours limitée dans le temps, et ce n’est jamais pour mener une surveillance injustifiée et/ou de masse. Ces outils ne sont pas utilisés en secret… et les preuves recueillies, y compris la manière dont elles ont été recueillies, sont susceptibles d’être divulguées et examinées par les tribunaux », a déclaré le sous-commissaire des services de police spécialisés de la GRC, Bryan Larkin, aux députés, insistant sur le fait que l’utilisation de logiciels espions par la GRC relève entièrement de la compétence. la loi.
« La quantité et le type de données collectées sont déterminés au cas par cas et conformément à des conditions strictes », a déclaré Larkin, expliquant comment la police installe « secrètement » un programme informatique sur les appareils des suspects.
Le comité a entamé l’étude afin de déterminer les outils utilisés par la GRC ainsi que les modalités d’utilisation de ce logiciel, après que des documents déposés à la Chambre des communes en juin ont jeté un nouvel éclairage sur l’installation par la police de logiciels espions pour effectuer de la surveillance et collecter des données à partir d’appareils numériques.
« La police doit parfois utiliser des capacités technologiques avancées pour surmonter les obstacles aux enquêtes tels que ceux causés par le cryptage », lit-on dans le mémoire de la GRC à la Chambre des communes. L’agence a également déclaré à l’époque que ces « enquêtes sur l’appareil [sic] outils » ont été utilisés 10 fois entre 2018 et 2022, et que « dans tous les cas, une autorisation judiciaire a été obtenue » avant le déploiement des outils.
Dans une divulgation ultérieure au comité, la commissaire de la GRC, Brenda Lucki, a confirmé que la police nationale a en fait utilisé cette technologie intégrée dans 32 enquêtes pour cibler 49 appareils depuis 2017.
Lucki a également fourni une liste des types d’enquêtes pour lesquelles la GRC a utilisé cette technologie, selon la députée libérale et membre du comité Lisa Hepfner, qui a lu sa réponse lors de l’audience de lundi, citant le terrorisme, les enlèvements, le trafic de drogue et le meurtre comme exemples.
L’information a encore évolué lundi après-midi, lorsqu’un officier supérieur de la GRC a suggéré aux députés que la GRC utilisait en fait une technologie aux capacités similaires depuis deux décennies.
« Je ne sais pas d’où vient toute la technologie qui est utilisée ici, mais je peux dire que j’ai une longue histoire dans ce domaine et dans les jours de 2002 à 2015. C’était toute la technologie canadienne que nous utilisions », a déclaré le commissaire adjoint de la GRC, Mark Flynn.
« Nous n’avons jamais utilisé cet outil sans autorisation judiciaire préalable. Cependant, ceci dit, si une situation devait se présenter qui l’exigeait, il existe des dispositions qui nous permettent à certaines personnes désignées d’utiliser ce type d’outil pour l’interception de communications dans situations d’urgence, mais je ne suis au courant d’aucune situation où cela a été fait », a déclaré Flynn.
« Et, le simple fait de déployer ce type d’outil et de technique l’emporterait au-delà de la période de validité d’une telle autorisation. »
LE LOGICIEL N’EST PAS PEGASUS : MENDICINO
Apparaissant juste avant les hauts responsables de la GRC, Mendicino a déclaré qu’il était convaincu que l’utilisation par la GRC de logiciels pour effectuer une surveillance et collecter des données dans le cadre de ses enquêtes a été limitée par la loi pour n’être autorisée que dans « les infractions les plus graves ».
« Il existe des exigences strictes dans le Code criminel qui exigent la responsabilité, y compris les faits sur lesquels la GRC s’appuiera avant l’autorisation judiciaire de ce type de technique. Il existe d’autres garanties qui garantissent que seuls les agents désignés soumettent ces demandes au tribunal », a-t-il déclaré lors d’une audition dans le cadre de son étude estivale spéciale sur le sujet.
Mendicino a déclaré que le type d’outils de logiciels espions examinés par le comité est considéré comme une « nécessité d’enquête », uniquement poursuivi en dernier recours. Il a déclaré qu’en demandant l’approbation du tribunal pour utiliser ces outils, la GRC doit « trouver le juste milieu pour s’assurer que l’État dispose des outils nécessaires pour protéger la sécurité et la sûreté de tous les Canadiens, tout en respectant les droits des personnes en vertu de la Charte ». . »
Tout en refusant de fournir de nombreux détails sur le logiciel utilisé, citant « la nécessité de préserver la capacité d’utiliser efficacement les outils d’enquête sur l’appareil », le gouvernement a confirmé qu’il ne s’agissait pas de Pegasus.
Le logiciel espion controversé développé par la société israélienne NSO Group a sonné l’alarme à l’échelle internationale, par les gouvernements de plusieurs pays pour pirater les téléphones et espionner les politiciens, les journalistes, les hommes d’affaires et les militants des droits de l’homme.
« Je veux être clair avec les membres du comité que la technologie Pegasus n’est pas utilisée par la GRC », a déclaré le ministre de la Sécurité publique, suggérant que le gouvernement fédéral a interdit l’utilisation de ce logiciel spécifique.
Mendicino a également déclaré lundi que les outils n’avaient pas été utilisés pendant la période au cours de laquelle la loi sur les urgences a été promulguée en réponse aux manifestations et aux blocages du « Freedom Convoy » plus tôt cette année.
« NOUS SOMMES EN MODE RÉACTIF » : LE COMMISSAIRE
Avant le témoignage de Mendicino, le commissaire à la protection de la vie privée du Canada a témoigné devant le comité, veillant à faire valoir que la divulgation tardive de l’utilisation de ces outils est un exemple clair de la raison pour laquelle la Loi sur la protection des renseignements personnels du Canada doit être mise à jour.
« La Loi sur la protection des renseignements personnels n’oblige pas la GRC ni aucune institution gouvernementale à préparer des évaluations des facteurs relatifs à la vie privée… pour ma considération, mais le Conseil du Trésor l’exige dans ses politiques. J’espère voir cela inclus comme une obligation légale contraignante dans une version modernisée de la Loi sur la protection des renseignements personnels », a déclaré lundi le commissaire Philippe Dufresne au comité.
Le Commissariat à la protection de la vie privée du Canada réclame depuis des années que les lois canadiennes sur la protection de la vie privée soient mises à jour à plusieurs égards.
Lundi, le commissaire a cherché à faire valoir que cette instance est représentative de la raison pour laquelle il devrait devenir une obligation légale pour les ministères et organismes gouvernementaux tels que la GRC de présenter une évaluation préventive de la confidentialité de tout nouvel outil.
Il a cherché à faire valoir que cela permettrait au commissaire de fournir une contribution significative, tout en gardant à l’esprit les problèmes de confidentialité, avant qu’ils ne soient utilisés.
Dans ce cas, le commissaire a déclaré que la GRC avait commencé une évaluation des facteurs relatifs à la vie privée concernant le logiciel espion en 2021, des années après sa première utilisation.
« On voit des situations comme celle-ci, où cela se fait très tardivement, après que les outils aient été utilisés pendant un certain temps. Donc on n’est pas en position d’adresser ou de prévenir, on est en mode réactif. Et notre conseils et recommandations, j’espère que cela deviendra une obligation légale dans la Loi sur la protection des renseignements personnels, car alors, espérons-le, il y aura une conformité plus rapide à cette exigence », a déclaré Dufresne.
« Il ne s’agit pas d’en choisir un entre l’intérêt public et la vie privée des Canadiens, mais ces vérifications et évaluations devraient être faites avant le fait et cela ne devrait pas être quelque chose que nous découvrons dans un article dans les médias ou lors d’une réunion de comité par exemple. ces vérifications préliminaires devraient être effectuées et mon bureau devrait être consulté au besoin », a-t-il déclaré, suggérant que cela contribuerait également grandement à accroître la confiance des Canadiens dans les intuitions, sachant que les implications de toute nouvelle technologie sur la vie privée ont été évaluées dès le départ.
Mendicino a déclaré lundi que le gouvernement fédéral était « engagé » à travailler avec le bureau du commissaire à la protection de la vie privée sur ce dossier, affirmant qu’il était « malheureux » que la principale autorité fédérale chargée de la protection de la vie privée n’ait pas été impliquée dès le départ, mais ne s’engagerait pas à poursuivre de nouvelles exigences de confidentialité de la GRC en vertu de la loi.
LA GRC N’A PAS ENCORE PARTAGÉ L’INFORMATION
Le chien de garde de la vie privée du Parlement a déclaré qu’il avait entendu parler de ce programme de logiciels espions pour la première fois en juin après que les documents déposés à la Chambre à la demande d’un député conservateur aient été signalés pour la première fois par Politico.
À ce moment-là, son bureau a contacté la GRC pour obtenir plus d’informations. La GRC n’en a pas encore fourni, mais a indiqué qu’elle avait l’intention de fournir au commissaire une séance d’information et une démonstration plus tard ce mois-ci.
Dufresne a déclaré que son bureau examinera les informations obtenues lors de cette réunion pour « s’assurer que tout programme ou activité portant atteinte à la vie privée est légalement autorisé, nécessaire pour répondre à un besoin spécifique, et que l’intrusion dans la vie privée causée par le programme ou l’activité est proportionnée au public intérêts en jeu. »
Si le commissaire constate que l’utilisation de ces logiciels espions par la GRC présente des lacunes en matière de confidentialité, son bureau fournira à la GRC des recommandations de changement.
« Nous nous attendons à ce qu’ils fassent les changements nécessaires », a-t-il déclaré au comité.
En apprenant le manque de partage d’informations avec le commissaire à la protection de la vie privée, le député conservateur et membre du comité Damien Kurek a déclaré que c’était « décevant » et « pas un bon précédent ».
Kurek a déclaré que cela lui rappelait les comportements d’autres agences fédérales que le comité avait déjà examinées dans le cadre de leurs travaux sur les données de mobilité et les logiciels de reconnaissance faciale.
DES EXPERTS DE LA VIE PRIVÉE POUR TÉMOIGNER
Une deuxième journée complète d’audiences est prévue mardi, au cours de laquelle le comité entendra des témoins experts, dont l’ancien commissaire à la protection de la vie privée Daniel Therrien, ainsi que des représentants du Conseil canadien de la protection des renseignements personnels et de l’accès et de l’Association canadienne des libertés civiles.
L’étude a été proposée par le député du Bloc québécois et vice-président du comité, René Villemure, et a été appuyée par d’autres membres du comité, bien qu’il y ait eu une certaine réticence de la part des députés libéraux.
En plaidant auprès du comité pour commencer cette étude, Villemure a fait écho aux préoccupations exprimées par les groupes de protection de la vie privée et des libertés civiles lorsque l’utilisation de ces outils intrusifs par la police au Canada a été révélée.
Dans le cadre de ses travaux, le comité a demandé à la GRC de fournir une liste des mandats obtenus et a également demandé des informations sur l’éventuelle écoute électronique de députés, de leurs adjoints parlementaires ou de tout autre employé du Parlement du Canada.
Cette demande s’est heurtée à la résistance de la GRC et le comité étudie ses options pour exiger des informations supplémentaires dans un cadre approprié, tout en cherchant à s’assurer que tous les documents fournis au comité qui peuvent être rendus publics soient publiés sur le site Web du comité.
«Nous avons des problèmes de confiance», a déclaré le député néo-démocrate et membre du comité Matthew Green au panel d’agents de la GRC qui ont témoigné lundi.
« Des membres de votre service ont refusé de fournir des informations de base à ce comité, ce qui, à mon avis, est en contradiction avec votre devoir de franchise », a déclaré Green.
Le comité vise à finaliser son étude et à soumettre un rapport à la Chambre des communes – avec des recommandations potentielles de modifications de la loi ou des mécanismes de surveillance – d’ici le début de la séance d’automne, le 19 septembre.