Confidentialité et sécurité informatique : accès légal ou illégal

De plus en plus, les Canadiens entreposent des renseignements personnels dans leurs ordinateurs et appareils mobiles auxquels peuvent parfois avoir accès d’autres personnes, légalement ou non. La cybercriminalité, ou criminalité informatique, est de plus en plus courante. Avec l’évolution technologique, les cybercriminels recourent à des méthodes plus perfectionnées pour ne pas être démasqués.

Depuis toujours, le défi pour les législateurs consiste à favoriser l’atteinte des objectifs de sécurité publique et à protéger les Canadiens contre la cybercriminalité tout en veillant à préserver les renseignements personnels contre l’accès inapproprié, indésirable et inconstitutionnel. Il s’agit de questions complexes qui touchent un grand nombre de lois et de responsabilités.

Le Code criminel couvre de nombreux cybercrimes

Le Code criminel expose de nombreuses infractions qui peuvent englober la cybercriminalité; il comporte plusieurs dispositions interdisant de porter atteinte à la vie privée d’une personne ou d’accéder à ses renseignements personnels.

Ainsi, le paragraphe 342.1(1) proscrit l’utilisation non autorisée d’un ordinateur et rend le piratage illégal. Le paragraphe 430(1.1) sur les « méfaits à l’égard de données informatiques » s’applique aux situations dans lesquelles une personne détruit ou détériore des données sans autorisation préalable au moyen, par exemple, de la transmission de virus informatiques.

En 2014, la Loi sur la protection des Canadiens contre la cybercriminalité visant à lutter contre la cyberintimidation (projet de loi C‑13) a érigé en infraction criminelle la distribution d’images intimes telles que des photos de nus, sans le consentement de la personne.

Dispositions législatives relatives à la vie privée établissant certaines règles aux fins de la protection

Les dispositions législatives du Canada établissent des règles qui visent à protéger les renseignements personnels et à empêcher leur mauvaise utilisation. La violation de la Loi sur la protection de la vie privée ou de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), deux lois fédérales, peut déboucher sur une enquête et des recommandations de la part du commissaire à la protection de la vie privée du Canada; par contre, celui-ci n’a pas le pouvoir de prendre des décrets.

En 2015, le projet de loi S-4, qui a modifié la LPRPDE, exigeait des entreprises un avis aux individus et organisations d’atteintes à la protection de leurs renseignements personnels dont elles ont la gestion lorsque ces atteintes présentent « un risque réel de préjudice grave »; en plus, elles devaient les signaler au commissaire à la protection de la vie privée et tenir également un registre des infractions.

La LPRPDE définit aussi les modalités d’utilisation de l’information obtenue par les entreprises privées sur les activités en ligne des utilisateurs.

Loupe mettant en relief un ordinateur, avec un masque symbolisant un intrus, et une image représentant les forces de l'ordre

© Bibliothèque du Parlement

Défis pour l’application de la loi

Appréhender les personnes soupçonnées de délits informatiques peut présenter un défi pour l’application de la loi. En effet, les concepteurs de logiciels créent de meilleures technologies de chiffrement et trouvent des moyens plus sûrs de stockage des données.

Nombreux sont les utilisateurs qui voient d’un bon œil la possibilité de conserver en toute sécurité leurs données informatiques à cause, par exemple, des progrès réalisés avec l’informatique quantique; toutefois, ces mêmes progrès permettent aux criminels de dissimuler les preuves à la police.

Dans un débat d’envergure internationale [document anglais seulement], des organismes d’application de la loi ont demandé aux fabricants de technologies de trouver des moyens qui permettraient à la police de contourner le chiffrement. Cependant, des entreprises ont rétorqué qu’il n’est pas possible de fournir l’aide demandée en raison de la nature de la technologie ou parce que cela ne sert pas l’intérêt public [document anglais seulement].

Il existe un autre défi pour l’application de la loi puisque les auteurs de crimes informatiques peuvent exercer leurs activités en dehors de la juridiction canadienne en matière pénale; c’est pourquoi le Canada a signé des traités bilatéraux et multilatéraux qui visent à faciliter l’entraide juridique avec des corps policiers étrangers, notamment la Convention sur la cybercriminalité du Conseil de l’Europe, récemment ratifiée.

Des précisions s’imposent à l’égard de l’accès légal

Ces dernières années, un certain nombre de projets de loi et de lois judiciaires ont cherché à éclaircir les règles régissant l’accès de la police à l’information contenue dans les ordinateurs privés en déterminant, par exemple, l’information et les métadonnées [document anglais seulement] ainsi que les données de transmission reliées aux communications électroniques.

La Cour suprême du Canada a toujours considéré ce type de renseignements personnels comme mettant en jeu d’importants droits en matière de protection de la vie privée méritant la protection de la Charte.

L’article 8 de la Charte canadienne des droits et libertés protège les Canadiens contre les perquisitions et saisies abusives. Dans l’affaire R. c. Vu, la Cour suprême a confirmé qu’un mandat spécial est généralement requis des organismes de protection de la loi pour fouiller un ordinateur personnel ou un appareil portable semblable.

De fait, la fouille d’un ordinateur sans mandat peut contrevenir à l’article 8 si les conditions suivantes ne sont pas réunies :

  • la fouille fait suite à une arrestation légale;
  • elle est accessoire à l’arrestation au lieu d’en être le motif;
  • elle est limitée aux documents susceptibles de renfermer des éléments de preuve;
  • l’agent effectuant la fouille doit prendre des notes détaillées (R. c. Fearon).

Parfois, la police peut avoir besoin de renseignements au sujet d’un utilisateur, en particulier pour se relier à des activités en ligne ou mettre la main sur des éléments de preuve concernant un crime informatique. Cette question de savoir si un mandat est nécessaire pour obtenir des renseignements sur des abonnés auprès de fournisseurs de services Internet a été débattue au cours de la 41e législature.

Si le projet de loi C-30 avait été adopté, les fournisseurs de services de télécommunications et de services Internet auraient été tenus de fournir à la police des renseignements sur leurs abonnés sans surveillance de la part des tribunaux et d’être aussi en mesure d’intercepter des transmissions de données des utilisateurs.

Le projet de loi C-30 est mort au feuilleton mais le projet de loi C-13 a repris certaines de ses dispositions moins controversées, dont l’article 487.0195 du Code criminel. Conformément à cet article, si aucune autre loi n’interdit la communication de données, les fournisseurs de services Internet peuvent, sans s’exposer à des poursuites au civil ou au criminel, volontairement communiquer des données à la police sans aucune ordonnance de préservation ou de communication.

Décision de la Cour suprême dans l’affaire Spencer

Des commentateurs soutiennent que cette nouvelle disposition est source de confusion, compte tenu de la décision rendue par la Cour suprême en 2014 dans l’affaire R. c. Spencer. Selon cette décision, les demandes de renseignements sur des abonnés par des organismes d’application de la loi auprès de fournisseurs de services Internet constituent des fouilles et nécessitent donc un mandat.

La Cour suprême a souligné l’attente raisonnable des personnes en matière de respect de la vie privée et leur droit de garder l’anonymat dans leurs activités en ligne. Les mesures de protection prévues dans la Charte s’appliquent aux renseignements qui tendent à révéler des détails intimes sur le mode de vie et les choix personnels d’une personne.

Par contre, la Cour a jugé que, dans des « circonstances pressantes » telles que des situations présentant un danger, il n’était pas nécessaire d’obtenir un mandat ou une ordonnance. C’est ce qu’avait indiqué l’ancien ministre de la Justice Peter MacKay quand il a affirmé devant un comité sénatorial que l’article 487.0195 n’était pas incompatible avec la décision Spencer.

Les demandes de renseignements sur les abonnés, présentées par des services de police, ont été considérablement affectées par la décision Spencer. Une note de service interne de la GRC datée de 2014 indique que les fournisseurs de services Internet ont dorénavant besoin d’une autorisation judiciaire pour pouvoir fournir des renseignements sur des abonnés; cela influe sur la capacité des organismes de mener efficacement des enquêtes sur les crimes informatiques.

Voilà pourquoi des commentateurs, dont le commissaire à la protection de la vie privée du Canada, craignent qu’il n’y ait pas suffisamment de consensus sur l’accès légal au Canada, sur la façon d’interpréter la décision Spencer et sur les demandes de renseignements sur les utilisateurs présentées par la police nécessitant un mandat. Bob Paulson, commissaire de la GRC, a demandé la création d’un « cadre sensé » qui établit un équilibre entre le respect des droits prévus dans la Charte et l’accès des policiers aux renseignements sur les abonnés.

Ressources connexes

Bernal-Castillero, Miguel. Les lois fédérales du Canada sur la protection de la vie privée, publication no 2007-44-F, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 1er octobre 2013.

Lithwick, Dara, et Dominique Valiquet. Accès légal et vie privée : le cadre législatif, Notes de la Colline, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 21 octobre 2014.

Lithwick, Dara. L’affaire R. c. Spencer, la protection de la vie privée sur Internet et le Parlement, Notes de la Colline, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 25 novembre 2014.

Morris, Christine, et Tanya Dupuis. Mégadonnées et vue d’ensemble dans les enquêtes criminelles, Notes de la Colline, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 4 novembre 2014.

Nicol, Julian, et Dominique Valiquet. Résumé législatif du projet de loi C-13 : Loi modifiant le Code criminel, la Loi sur la preuve au Canada, la Loi sur la concurrence et la Loi sur l’entraide juridique en matière criminelle, publication no 41-2-C13-F, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 28 août 2014.

Porteous, Holly. Métadonnées et organismes de sécurité nationale et d’application de la loi, Notes de la Colline, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 21 novembre 2014.

Valiquet, Dominique. Cybercriminalité : les enjeux, publication no 2011-36-F, Ottawa, Service d’information et de recherche parlementaires, Bibliothèque du Parlement, 5 avril 2011.

Affaires mondiales Canada. Cybercriminalité, 9 juillet 2015. Consulté en ligne le 10 mars 2016.

Commissariat à la protection de la vie privée du Canada. Vie privée et cybersécurité – Mettre l’accent sur la protection de la vie privée dans les activités de cybersécurité.

Sécurité publique Canada. Stratégie de cybersécurité du Canada, 3 décembre 2015. Consulté en ligne le 10 mars 2016.

Auteur: Julian Walker, Bibliothèque du Parlement