Accès légal et vie privée : le cadre législatif

Dara Lithwick et Dominique Valiquet,
Division des affaires juridiques et sociales

Cette Note de la Colline est la première d’une série de quatre.(Also available in English: Lawful Access and Privacy: The Legislative Framework)

L’accès légal est une technique d’enquête employée par les organismes chargés de la sécurité nationale ou du contrôle d’application des lois. Il suppose l’interception de communications privées et la saisie d’information, lorsque la loi l’autorise. Le présent document examine la façon dont le cadre législatif canadien établit l’équilibre entre les exigences de l’accès légal et le respect de la vie privée.

La primauté de la Charte canadienne des droits et libertés

Au Canada, les dispositions principales en matière de vie privée et d’accès légal sont contenues dans la Loi sur la protection des renseignements personnels, la Loi sur la protection des renseignements personnels et les documents électroniques, le Code criminel, la Loi sur le Service canadien du renseignement de sécurité et la Loi sur la défense nationale. Or, toutes ces lois sont soumises à l’application des articles 7 et 8 de la Charte canadienne des droits et libertés.

L’article 7 de la Charte énonce que « chacun a droit à la vie, à la liberté et à la sécurité de sa personne ». On trouve dans de plus en plus de précédents l’idée selon laquelle l’article 7 garantit la protection constitutionnelle de la vie privée, puisque le citoyen qui a droit à la liberté aura l’attente raisonnable que sa vie privée soit respectée par l’État.

L’article 8, qui énonce que « chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives », exprime avec plus de clarté la même idée : le citoyen a l’attente raisonnable que l’État respecte sa vie privée.

La Loi sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels du Canada est entrée en vigueur en 1983, et elle n’a pas connu de modifications importantes depuis.

Son objet est de « [protéger les] renseignements personnels relevant des institutions fédérales » et le « droit d’accès des individus aux renseignements personnels qui les concernent » (article 2). On entend par « renseignements personnels » « les renseignements, quels que soient leur forme et leur support, concernant un individu identifiable » (article 3).

Les quelque 250 ministères et organismes fédéraux énumérés en annexe de la Loi ne peuvent recueillir, utiliser et divulguer des renseignements personnels qu’aux fins de leurs programmes et de leurs activités. Autant que possible, ils doivent obtenir les renseignements avec le consentement de l’individu (articles 4 à 9).

La Loi confère aussi aux particuliers le droit d’accéder aux renseignements personnels à leur sujet qui se trouvent dans les fichiers des ministères et organismes fédéraux énumérés dans l’annexe. De plus, ils ont le droit d’en exiger la correction. Enfin, la Loi a créé le poste de commissaire à la protection de la vie privée du Canada, un ombudsman indépendant chargé de contrôler l’observation de la législation.

La Loi sur la protection des renseignements personnels et les documents électroniques

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s’applique globalement à la collecte, à l’utilisation et à la divulgation des renseignements personnels à des fins commerciales. Les renseignements personnels y reçoivent une large définition : « tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail » (article 2).

La LPRPDE s’applique dans toutes les provinces, sauf celles qui ont une loi essentiellement semblable concernant les renseignements recueillis, utilisés ou divulgués dans ses frontières. Jusqu’à ce jour, le Québec, la Colombie‑Britannique, l’Alberta et, en ce qui concerne la santé, l’Ontario, le Nouveau-Brunswick et Terre‑Neuve‑et‑Labrador ont adopté une loi essentiellement semblable à la LPRPDE.

Cette loi, qui est entrée en vigueur en trois étapes, de 2001 à 2004, est divisée en deux parties. La partie 1 – celle qui nous intéresse ici – concerne la protection des renseignements personnels dans le secteur privé, tandis que la partie 2 traite des documents électroniques. La LPRPDE reconnaît le rapport qui existe entre les deux objectifs que sont la protection des renseignements personnels et l’utilisation de ces renseignements dans un monde de plus en plus dominé par la technologie de l’information (article 3).

La LPRPDE se fonde sur le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation. Le Code, qui est incorporé à l’annexe 1 de la Loi, énonce 10 principes d’utilisation équitable, dont la responsabilité, le consentement et l’accessibilité. Tous ces principes ont été établis conjointement par les représentants du gouvernement, du grand public et du secteur privé. Le commissaire à la protection de la vie privée contrôle l’observation de la LPRPDE.

Le projet de loi S-4, Loi sur la protection des renseignements personnels numériques, déposé au Sénat le 8 avril 2014, propose d’apporter à la LPRPDE plusieurs modifications importantes, dont les suivantes :

  • permettre la communication des renseignements personnels à l’insu de l’intéressé dans certaines circonstances supplémentaires;
  • exiger des organisations qu’elles prennent diverses mesures en cas d’atteinte à la sécurité des données;
  • créer des infractions relatives à la contravention à certaines obligations en matière d’atteintes à la sécurité des données;
  • permettre au commissaire à la protection de la vie privée de conclure avec une organisation un accord de conformité.

Le Code criminel

La partie VI du Code criminel (« Atteintes à la vie privée », art. 183 à 196) est la pièce maîtresse en matière d’écoute électronique par les organismes d’application de la loi. Elle établit, pour la délivrance d’une autorisation judiciaire, des mesures de protection de la vie privée plus strictes que pour l’obtention d’un mandat traditionnel.

Comme la plupart de ces dispositions remontent aux années 1970, les tribunaux doivent souvent les interpréter pour les appliquer correctement aux nouvelles technologies de communication.

En 2013, dans l’affaire Telus, par exemple, la Cour suprême a décidé que les policiers doivent respecter les exigences d’accès légal de la partie VI pour obtenir des messages textes stockés chez un fournisseur de services Internet. Récemment, dans l’arrêt R. c. Spencer, elle a affirmé l’existence d’une attente raisonnable de vie privée à l’égard du nom et de l’adresse d’un abonné de services Internet.

D’autre part, le projet de loi C-13, Loi sur la protection des Canadiens contre la cybercriminalité, vise à moderniser les dispositions sur l’accès légal.

La partie VI contient aussi deux mesures spéciales de reddition de comptes :

La Loi sur le Service canadien du renseignement de sécurité

Selon la Loi sur le Service canadien du renseignement de sécurité, le directeur du Service canadien du renseignement de sécurité (SCRS) doit, en matière d’accès légal, demander la délivrance d’un mandat à un juge de la Cour fédérale. Le mandat doit servir à faire enquête sur les « menaces envers la sécurité du Canada » ou à prêter assistance aux ministères de la Défense nationale et des Affaires étrangères (art. 21).

Les mesures de reddition de comptes prévues à la partie VI du Code ne s’appliquent pas à l’écoute électronique effectuée par le SCRS. Le Comité de surveillance des activités de renseignement de sécurité examine toutefois les opérations passées du SCRS, enquête sur les plaintes et présente des recommandations au Ministre.

Le Comité exerce certaines des responsabilités assumées jusqu’en 2012 par l’inspecteur général du SCRS, mais n’est pas chargé de surveiller les activités opérationnelles du SCRS « en temps réel ».

La Loi sur la défense nationale

Édictée en 2001 par la Loi antiterroriste, la partie V.1 de la Loi sur la défense nationale (« Centre de la sécurité des télécommunications », art. 273.61 à 273.7) encadre l’accès légal effectué par le Centre de la sécurité des télécommunications (CST).

L’interception de communications privées doit avoir pour but d’acquérir des « renseignements étrangers » ou de protéger les infrastructures canadiennes. Elle ne peut viser des Canadiens ou une personne au Canada, sauf pour fournir une assistance à des organismes comme la Gendarmerie royale du Canada ou le SCRS.

Contrairement aux règles applicables aux policiers et au SCRS, les interceptions effectuées par le CST ne requièrent pas la délivrance d’un mandat judiciaire. C’est plutôt le ministre de la Défense nationale qui les autorise, pourvu qu’elles visent des entités étrangères situées à l’extérieur du Canada et qu’existent des mesures satisfaisantes pour protéger la vie privée des Canadiens.

Le commissaire du CST effectue un examen indépendant de ces activités et présente un rapport annuel au Ministre. L’Association des libertés civiles de la Colombie-Britannique conteste actuellement la validité constitutionnelle de la partie V.1 devant les tribunaux de la province.