De plus en plus, dans le monde entier, les services de renseignement, y compris le Centre de la sécurité des télécommunications (CST), recueillent, analysent, utilisent et échangent de l’information accessible au public (voir la figure 1 plus bas). Compte tenu du volume des données à examiner, l’intelligence artificielle (IA) – en particulier l’apprentissage automatique – et l’infonuagique seront essentielles, de même que des définitions élargies de ce que signifie « accessible au public » en droit relatif à la protection de la vie privée. Cette Note de la Colline explique comment les progrès technologiques et la croissance explosive des informations accessibles au public ont fait du CST et de ses partenaires nationaux des parties prenantes intéressées par les changements prévus au droit relatif à la protection de la vie privée.
Le renseignement de sources ouvertes : d’hier à aujourd’hui
Récemment encore, le renseignement de sources ouvertes, ou OSINT, c’est-à-dire de l’information accessible au public transformée en données de renseignement, provenait habituellement d’émissions et de publications étrangères.
De nos jours, l’OSINT est une tout autre discipline. Les plateformes de médias sociaux, les téléphones intelligents et les dispositifs de l’Internet des objets ont fait exploser le volume et la diversité de l’information accessible. Les solutions infonuagiques commerciales ont exercé une pression à la baisse sur le coût du stockage de données et engendré la création d’un marché de l’« apprentissage automatique en tant que service ». De plus, le perfectionnement des micropuces a multiplié la puissance de traitement des données, et les ordinateurs quantiques promettent d’accroître encore plus cette puissance. Par conséquent, l’information accessible au public est désormais recueillie en vrac [en anglais], à des fins d’analyse des données massives – y compris l’apprentissage automatique – en vue de dégager certains éléments.
Le CST n’est pas le seul organisme gouvernemental qui recueille et analyse de l’information accessible au public. Le mandat que confère la loi au CST fournit cependant la seule définition explicite d’« information accessible au public », mis à part la définition donnée en droit relatif à la protection de la vie privée.
La Loi sur le Centre de la sécurité des télécommunications et l’information accessible au public
L’article 23 de la Loi sur le Centre de la sécurité des télécommunications (la Loi sur le CST) autorise le CST à acquérir, utiliser, analyser, conserver et divulguer, dans la réalisation de son mandat, de l’information accessible au public. Ce mandat consiste à fournir des renseignements étrangers, des services de cybersécurité et d’assurance de l’information, ainsi qu’une assistance technique et opérationnelle aux organismes fédéraux chargés de l’application de la loi et de la sécurité, aux Forces canadiennes et au ministère de la Défense nationale agissant dans le cadre de leurs compétences respectives.
Selon l’article 2 de la Loi sur le CST, l’information accessible au public est l’« [i]nformation publiée ou diffusée à l’intention du grand public, accessible au public dans l’infrastructure mondiale de l’information […] ou disponible au public sur demande, par abonnement ou achat. »
Pour ce qui est de l’acquisition d’information par le CST, la Loi exclut de cette définition « l’information à l’égard de laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée ». À mesure que progresse la numérisation, toutefois, il reste à établir en quoi consiste une « attente raisonnable en matière de protection de la vie privée ».
Les mesures de protection de la vie privée du Centre de la sécurité des télécommunications visant les jeux de données accessibles au public
Aux termes de l’article 24 de la Loi, le CST « veille à ce que des mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada soient en place en ce qui a trait à l’utilisation, à l’analyse, à la conservation et à la divulgation » de ses jeux de données accessibles au public. Le CST met en œuvre ces mesures au moyen d’un ensemble de solutions stratégiques et techniques. La dépersonnalisation par l’anonymisation ou la pseudo-anonymisation et le chiffrement figurent au nombre des solutions techniques possibles.
L’anonymisation des renseignements personnels consiste à supprimer les données d’identification. La pseudo-anonymisation est réversible et consiste à masquer, grâce à la substitution, les données d’identification. L’Examen des divulgations d’informations identifiant un Canadien par le Centre de la sécurité des télécommunications à des organismes canadiens et étrangers, réalisé en 2020 par l’Office de surveillance des activités en matière de sécurité nationale et de renseignement, permet de conclure, par extrapolation, que le CST semble masquer et non supprimer les données d’identification.
Qu’importe, la plupart sinon toutes les techniques de dépersonnalisation sont vulnérables aux tentatives de repersonnalisation des données [en anglais]. Les capacités de reconnaissance de formes que les technologies d’IA – et plus particulièrement l’apprentissage automatique – utilisent lors de telles tentatives augmentent le risque de repersonnalisation.
Le chiffrement des renseignements personnels assure une forte protection de la vie privée, mais cette protection disparaît lorsque le texte est déchiffré aux fins d’analyse. Le chiffrement homomorphique (CH), qui permet d’effectuer des calculs sur des données chiffrées, représente une solution possible pour le CST.
L’un des grands avantages du CH est qu’il pourrait permettre d’analyser en toute sécurité des jeux de données sensibles stockés hors site. Certains fournisseurs de services infonuagiques prévoient ou proposent déjà des CH à leurs clients. Fait à signaler, Amazon Web Services (AWS) fournit des services infonuagiques aux homologues du CST aux États-Unis et au Royaume-Uni – le National Security Agency [en anglais] et le Government Communications Headquarters [en anglais], respectivement. En 2019, AWS a conclu une entente-cadre [en anglais] avec le gouvernement du Canada pour la prestation de services infonuagiques s’appliquant aux renseignements protégés de « niveau B ».
L’information accessible au public et le droit relatif à la protection de la vie privée en vigueur au Canada
La définition de l’information accessible au public énoncée dans la Loi sur le CST est plus vaste que celle énoncée dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit la collecte et l’utilisation des renseignements personnels dans le secteur privé. Selon le Règlement précisant les renseignements auxquels le public a accès, pris en vertu de la LPRPDE, l’information « accessible au public » comprend essentiellement les renseignements figurant dans les annuaires téléphoniques et répertoires d’entreprises, les registres publics et les dossiers judiciaires, ainsi que les renseignements personnels qui figurent dans une publication et qui ont été fournis volontairement.
À titre de comparaison, la définition dans la Loi sur le CST englobe tous les renseignements qui précèdent en plus des métadonnées de réseaux dépersonnalisées ainsi que les données acquises, par abonnement ou achat, analysées et dépersonnalisées par des tiers, tels que des textes, des images, des vidéos (y compris des empreintes vocales), des données de géolocalisation et des données sur le mode de vie et les relations interpersonnelles provenant des sites de médias sociaux.
Les fournisseurs de services de communication [en anglais], les courtiers en données et les fournisseurs commerciaux d’OSINT sont autant d’exemples de tiers, de même que les organismes d’enquête sans but lucratif comme Bellingcat, le Consortium international des journalistes d’investigation [en anglais] et Distributed Denial of Secrets [en anglais]. Il est à noter que les renseignements personnels qu’obtiennent de tels organismes sans but lucratif ne sont peut-être pas toujours fournis volontairement.
Enfin, le CST peut également recevoir de l’information accessible au public d’alliés étrangers et d’autres ministères et organismes fédéraux. Lorsqu’une institution fédérale recueille de l’information accessible au public qui se rapporte directement à son programme ou à ses activités, elle n’est pas tenue d’obtenir le consentement de la personne concernée avant d’utiliser ou de divulguer cette information. Cependant, la Loi sur la protection des renseignements personnels ne définit pas le terme « information accessible au public ». La divergence entre la définition d’une grande portée que donne la Loi sur le CST de l’information accessible au public et la définition plus étroite en vertu de la LPRPDE a des conséquences pour le CST, étant donné que le secteur privé est la source d’une grande partie de l’information accessible au public dont il fait la collecte.
Une attente déraisonnable en matière de protection de la vie privée?
L’omniprésence de la numérisation soulève des questions juridiques et éthiques épineuses quant aux renseignements dont on peut raisonnablement s’attendre qu’ils restent privés, et à la mesure dans laquelle une personne peut contrôler ce qui advient de ses renseignements personnels tout en continuant à participer au sein de la société.
Un consentement véritable et éclairé, qui constitue un principe fondamental des lois de protection de la vie privée, est de plus en plus difficile à obtenir. Le fait de devoir cliquer pour répondre aux demandes de consentement aux témoins (cookies) est devenu chronophage et – de l’avis de certains observateurs – futile [en anglais]. Pressés d’accéder au contenu du site Web ou à un service en ligne, beaucoup d’utilisateurs se contentent de cliquer sur « accepter tout » sans lire les petits caractères. De plus, la capacité croissante de l’apprentissage automatique de tirer des conclusions exactes (et monnayables) des données incite les collecteurs de données à maximiser la collecte d’information.
La notion du consentement éclairé s’émousse davantage à mesure que les dispositifs intelligents connectés à Internet évincent les appareils non intelligents du marché. Le moindre dispositif informatisé, connecté à un réseau – des brosses à dents aux thermostats – offre la possibilité de recueillir des données. Une transformation comparable se produit dans les espaces publics où les infrastructures intelligentes se répandent, au point où certains parlent d’un décalage entre le droit canadien relatif à la protection des données et les environnements intelligents.
« Le droit relatif à la protection des données repose sur la notion du contrôle de la personne à l’égard des renseignements qui la concernent et est centré sur les relations entre les personnes et des organismes privés ou publics [traduction] ». C’est ce que soutiennent les experts canadiens en protection de la vie privée Lisa Austin et David Lie dans leur étude sur les fiducies de données et la gouvernance des environnements intelligents [en anglais], mais la collecte de données dans les environnements intelligents, affirment-ils en substance, « s’assimile difficilement à la communication délibérée de renseignements personnels à un organisme qui vous fournit un produit ou des services [traduction] ».
Les modifications législatives attendues
En septembre 2021, le ministère de la Justice a souligné dans un document de discussion, intitulé Principes de protection des renseignements personnels et modernisation des règles à l’ère numérique, la nécessité pour le Canada de suivre le rythme des changements technologiques en faisant savoir que le gouvernement fédéral souhaitait définir ou redéfinir une série de concepts fondamentaux, dont « information personnelle », « consentement » et « information accessible au public ».
Ce document de discussion et la lettre de mandat de 2021 du ministre de la Justice portent à croire que le gouvernement a l’intention de modifier la Loi sur la protection des renseignements personnels. Parallèlement, les modifications proposées à la LPRPDE, dont il est question dans la lettre de mandat de 2021 du ministre de l’Innovation, des Sciences et de l’Industrie, permettraient aux entités commerciales de recueillir, d’utiliser et de divulguer plus facilement des renseignements personnels sans devoir obtenir un consentement préalable.
Les modifications proposées suscitent l’intérêt du CST et de ses partenaires canadiens, car l’analyse des données massives est au cœur de leurs activités. Une des grandes questions que doivent soupeser les parlementaires est celle de la gestion du risque pour la sécurité et la vie privée associé à la conservation de jeux de données sensibles, que ce soit sur place ou dans le nuage commercial.
Figure 1 – Exemples de pays dont les services du renseignement ont des capacités en matière de collecte de renseignement de sources ouvertes (OSINT) fondée sur l’intelligence artificielle (IA)
Source : Figure préparée par la Bibliothèque du Parlement à partir de données tirées de Elliot A. Jardines, « Open Source Intelligence », dans Mark Lowenthal et Robert M. Clark, dir., The Five Disciplines of Intelligence Collection, 2016; et Institute for Human-Centered AI, « Chapter 7: AI Policy and National Strategies », Artificial Intelligence Index Report 2021, Stanford University, mars 2021.
Ressources additionnelles
Commissariat à la protection de la vie privée du Canada. Bulletin d’interprétation : Information accessible au public, mars 2014.
Gendarmerie royale du Canada. Vérification de l’information de sources ouvertes, janvier 2021.
Hammond-Errey, Miah. Big Data and National Security: A guide for Australian policymakers, Lowy Institute, 2 février 2022 [en anglais].
Harding, Emily. Move Over JARVIS, Meet OSCAR: Open-Source, Cloud-Based, AI-Enabled Reporting for the Intelligence Community, Center for Strategic and International Studies, janvier 2022 [en anglais].
Nouvelle-Zélande. Ministerial Policy Statement: Obtaining and using publicly available information, septembre 2017 [en anglais].
Review Committee on the Intelligence and Security Services (CTIVD). Review report: On bulk data sets collected using the hacking power and their further processing by the AIVD and the MIVD, rapport 70, 19 août 2020 [en anglais].
Royaume-Uni. Operational Case for Bulk Powers, 2016 [en anglais].
Secrétariat du Conseil du Trésor du Canada. Gouvernement du Canada Livre blanc : Souveraineté des données et nuage public.
Auteure : Holly Porteous, Bibliothèque du Parlement
Catégories :Information et communications, Lois, justice et droits