Mégadonnées et vue d’ensemble dans les enquêtes criminelles

Tanya Dupuis et Christine Morris
Division des affaires juridiques et sociales

Cette Note de la Colline est la deuxième d’une série de quatre. (Also available in English: Big Data and the Big Picture in Criminal Investigations)

Compte tenu de l’omniprésence des technologies de communication et du risque qu’Internet soit utilisé à des fins criminelles, les données de télécommunication prennent de plus en plus d’importance dans les enquêtes criminelles nationales et internationales.

Le projet de loi C-13 (Loi sur la protection des Canadiens contre la cybercriminalité) propose que les agents de la paix et les fonctionnaires publics qui participent à des enquêtes puissent donner des ordres ou obtenir des ordonnances judiciaires afin d’obliger les sociétés de télécommunication à préserver des données informatiques. Dans le projet de loi, ces données sont définies vaguement de façon à inclure toutes les représentations qui sont sous une forme en permettant le traitement par un ordinateur.

Les ordres et les ordonnances de préservation seraient de nature temporaire, et ils exigeraient des sociétés qu’elles « bloquent » sur-le-champ des données informatiques en attendant l’obtention d’un mandat de perquisition ou d’une ordonnance de communication par l’organisme d’application de la loi.

De tels ordres et ordonnances de préservation se fonderaient sur la possibilité raisonnable (à savoir, des motifs raisonnables de soupçonner) – plutôt que sur la probabilité – que la personne ou l’entité ciblée faisant l’objet d’une enquête se livre à des activités criminelles et que les données informatiques recherchées aideront les organismes d’application de la loi dans le cadre de leurs enquêtes.

Les mesures de préservation des données prévues dans le projet de loi visent à accélérer la préservation des données mémorisées. Pour que les données soient conservées et, par conséquent, disponibles au moment où on veut qu’elles soient préservées, les mesures de conservation des données énoncées dans d’autres lois visent généralement à exiger des sociétés de télécommunication qu’elles conservent les métadonnées générées par l’utilisation des services de réseau. En ce sens, la conservation des données constitue l’étape préalable à la préservation des données.

En ce qui concerne les obligations internationales relatives à la surveillance policière de la cybercriminalité, le Canada a signé, sans toutefois la ratifier, la Convention sur la cybercriminalité du Conseil de l’Europe. La Convention prévoit l’adoption de mesures législatives qui aideront les autorités à composer avec les nouvelles technologies et leur permettront d’ordonner ou d’obtenir la préservation accélérée des données informatiques spécifiées.

Conséquences pour la protection de la vie privée

Les mesures de préservation des données que propose le projet de loi C-13 visent les enquêtes et répondent à des objectifs internationaux. Toutefois, sur le plan des politiques, leur objet et leur raison d’être devraient aussi être évalués à la lumière de leurs conséquences potentielles, notamment l’érosion des droits relatifs à la vie privée. Un élément fondamental de cette question consiste à examiner les obligations existantes relatives à la conservation des données, c’est-à-dire établir dans quelle mesure et de quelle façon les sociétés de télécommunication sont tenues de conserver les données informatiques des consommateurs.

L’actuel cadre législatif national qui régit les lois canadiennes relatives à la protection des renseignements personnels dans le secteur privé – plus précisément, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et les lois provinciales essentiellement similaires à la loi fédérale – ne vise pas spécifiquement la conservation des données par les sociétés de télécommunication à des fins d’enquêtes criminelles.

En fait, le cinquième principe à l’annexe 1 de la LPRPDE impose l’obligation légale selon laquelle les « renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige ». Aux termes de cette obligation générale, les renseignements personnels ne doivent être conservés « qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées ».

Sous le régime de la LPRPDE, les données personnelles d’un client utilisées à des fins telles que la transmission de communications, le marketing et les paiements pourraient être conservées indéfiniment par les sociétés de télécommunication.

Certaines données informatiques qui semblent inoffensives peuvent en réalité révéler de l’information sensible. Par exemple, les métadonnées téléphoniques peuvent cerner des habitudes d’utilisation, telles qu’une série de communications avec des fournisseurs de soins de santé, des avocats, ou encore des organisations religieuses ou politiques.

En juin 2014, dans l’arrêt R. c. Spencer, la Cour suprême du Canada a fixé des limites aux demandes sans mandat que peuvent présenter les services de police pour obtenir des renseignements sur les clients des sociétés de télécommunication. La Cour a tenu compte du fait que de tels renseignements pourraient révéler des détails intimes sur le style de vie et les choix personnels d’un particulier.

Vie privée, sécurité : le contexte européen

En avril 2014, la Cour de justice de l’Union européenne (UE) s’est penchée sur la validité de la directive européenne sur la conservation de données. Aux termes de la directive, les États membres de l’UE sont tenus d’adopter des lois obligeant les sociétés de télécommunication à conserver les données des utilisateurs pendant une période allant jusqu’à deux ans. La Cour a invalidé la directive, principalement pour les motifs suivants :

  • l’absence de limites quant à la capacité des autorités d’accéder aux données conservées;
  • la vaste portée des données dont elle entraînerait la conservation;
  • l’omission de faire des distinctions au sein des données à conserver afin d’établir leur utilité et leur pertinence dans le cadre d’une enquête sur des crimes graves et des actes de terrorisme.

Dans son arrêt, la Cour a convenu que « constitue un objectif d’intérêt général de l’Union la lutte contre le terrorisme international en vue du maintien de la paix et de la sécurité internationales », et elle a reconnu que la conservation des données de télécommunication est un moyen d’atteindre cet objectif. En ce qui concerne la protection des intérêts privés, la Cour a déclaré que

la réglementation de l’Union en cause doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données.

Préoccupations en matière de sécurité au Canada

Au Canada, les préoccupations actuelles sur le plan de la sécurité nationale portent au premier plan la question de l’accès par l’État aux données de télécommunication. Michel Coulombe, directeur du Service canadien du renseignement de sécurité, a récemment expliqué au Comité permanent de la sécurité publique et nationale en quoi consiste la menace contre la sécurité nationale du Canada découlant de l’utilisation des technologies de télécommunication par certains groupes ou individus.

En parlant de la nature de la menace, M. Coulombe a déclaré :

[L]a menace qui pèse sur nous à l’heure actuelle [… est] plus diffuse. Elle se développe beaucoup plus rapidement. L’utilisation – et l’utilisation plus avancée – des médias sociaux, par exemple, fait en sorte que la radicalisation peut se produire très rapidement. La mise au point d’une attaque peut aussi se dérouler très rapidement. Il y a des mouvements de population.

« La menace est différente. Le phénomène des combattants étrangers, comme on l’appelle, plus particulièrement dans le cadre des événements qui se déroulent en Irak et en Syrie, est […] bien réel », a-t-il conclu.