:
La séance est maintenant ouverte.
Bienvenue à tous à la réunion numéro 32 du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Conformément à l'article 108(3)h) du Règlement et à la motion adoptée par le Comité le mardi 26 juillet 2022, le Comité se réunit pour étudier les outils d'enquête sur appareil utilisés par la Gendarmerie royale du Canada.
La réunion d'aujourd'hui se déroule sous forme hybride, conformément à l'ordre de la Chambre adopté le jeudi 23 juin 2022.
Je viens tout juste de réaliser en lisant l'avis que nous accueillons deux témoins pour la réunion de ce matin. Je vais séparer la réunion en deux parties, pour chaque témoin. Il s'agit des témoins qui étaient prévus dans la motion que nous avons adoptée. Pour la réunion de cet après-midi, nous allons accueillir, dans une partie de la réunion, les trois témoins que nous présentent les partis.
Nous allons commencer par M. Therrien, pour la première heure, puis pour la deuxième heure, nous allons accueillir Mme Polsky.
Sur ce, je souhaite la bienvenue à l'ancien commissaire, M. Therrien, qui n'en est pas à son premier témoignage devant le Comité. Nous avons tenu de nombreuses réunions du Comité avec lui. Je veux donc lui dire que nous sommes heureux de le revoir, et je l'invite à amorcer la première partie de la séance en nous présentant sa déclaration préliminaire.
Monsieur Therrien, vous avez un maximum de cinq minutes.
:
Je vous remercie beaucoup, monsieur le président.
Cela me fait plaisir d'être ici.
Je vous remercie de m'avoir invité à témoigner dans le cadre de votre importante étude, qui fait suite à la publication du 22 juin de la réponse du gouvernement à une question posée par le député Van Popta. Celle-ci portait sur la surveillance d'appareils mobiles.
Dans cette réponse, la Gendarmerie royale du Canada, ou GRC, révélait avoir colligé secrètement, à l'aide d'outils d'enquête sur appareil, des renseignements se trouvant sur le téléphone mobile ou d'autres appareils électroniques de Canadiens, toujours avec une autorisation judiciaire et en vertu du Code criminel.
[Traduction]
Je ne connais rien des faits, mis à part ce qui a été rapporté par la GRC en réponse à la question de . Mes commentaires seront donc surtout axés sur le contenu du droit applicable. Je sais que la GRC a réitéré, hier, qu'elle n'utilise pas d'outils d'enquête sur appareil sans autorisation judiciaire, car cela constituerait une infraction au Code criminel.
Il va sans dire que la collecte secrète par l'État de renseignements personnels ou d'autres informations qui se trouvent dans les appareils numériques des Canadiens est une pratique des plus indiscrètes. Malgré tout, même un tel niveau d'indiscrétion peut être légal et conforme aux principes de protection des renseignements personnels si la collecte de l'information est autorisée par la Loi et pourvu qu'elle soit nécessaire et proportionnelle à l'atteinte des objectifs impérieux de l'État.
La GRC soutient que son utilisation d'outils d'enquête sur appareil dépend toujours d'une autorisation judiciaire, conformément aux dispositions du Code criminel, lesquelles comprennent plusieurs mécanismes de protection des renseignements personnels. Ces outils peuvent seulement être utilisés lorsqu'il s'agit d'un crime grave. Une autorisation judiciaire est exigée, et la norme applicable est souvent élevée: celle des motifs raisonnables de croire qu'un crime a été ou sera commis et que des éléments de preuve concernant ce crime seront trouvés sur l'appareil qui sera fouillé. Les juges peuvent imposer des modalités à la collecte d'informations, y compris des conditions pour limiter l'atteinte à la vie privée.
[Français]
Ces dispositions me semblent raisonnables, ou, du moins, elles constituent un bon point de départ pour la protection de la vie privée dans le contexte d'enquêtes criminelles où l'État a des motifs impérieux d'agir et où ses actions sont contrôlées par le pouvoir judiciaire.
Est-ce que ces dispositions sont perfectibles? C'est possible, et le gouvernement y semble ouvert. Pour arriver à la conclusion que des changements législatifs s'imposent, il serait important, selon moi, de savoir comment les dispositions actuelles ont été appliquées et, le cas échéant, y trouver des motifs de préoccupation. Vous avez posé certaines questions à la GRC en ce sens, entre autres sur la teneur des mandats obtenus.
Votre étude porte ultimement sur les conditions préalables afin de donner aux Canadiens la confiance que leurs droits sont protégés lorsque des méthodes intrusives sont utilisées par les forces de l'ordre. L'existence d'un cadre juridique rigoureux et d'une surveillance indépendante est au cœur de cette question de confiance. L'équilibre entre la transparence et la protection des méthodes policières sont aussi en cause. Cela me fera plaisir de parler plus longuement de ces thèmes en répondant à vos questions.
Finalement, la GRC justifie l'utilisation d'outils d'enquête sur appareil et d'autres méthodes intrusives, entre autres pour contrer les difficultés que lui pose le chiffrement des données. Dans la mesure où le recours à ces méthodes reçoit l'autorisation judiciaire, au cas par cas, et que la protection offerte à la population générale par le chiffrement n'est pas autrement compromise, cela me semble acceptable. Je vous renvoie à ce sujet au mémoire publié par le Commissariat à la protection de la vie privée le 5 décembre 2016 lors d'une consultation gouvernementale sur le cadre de sécurité nationale du Canada.
Cela me fera plaisir de tenter de répondre à vos questions.
:
Je l'admets. J'admets que le chiffrement, même s'il peut avoir de nombreux avantages sociétaux pour protéger le droit à la vie privée des Canadiens et des Canadiennes ordinaires par rapport à leurs communications, à leurs transactions commerciales, etc., peut être un obstacle très difficile pour les organismes d'application de la loi. Je l'admets.
Comme je l'ai dit dans ma déclaration, je crois que le fait de posséder une technologie adaptée aux difficultés que pose le chiffrement, moyennant une autorisation judiciaire décidée au cas par cas, n'empêche pas d'autres personnes de bénéficier du chiffrement. Je crois que c'est acceptable.
Je dirais qu'une partie de ce qui m'a surpris, c'est le débat public qui se poursuit sur l'accès légal dans ce cas précis et sur la mesure dans laquelle la police peut utiliser des moyens pour surmonter les obstacles que pose le chiffrement, même s'il n'est jamais ressorti du débat public que les outils d'enquête sur appareil étaient utilisés pour cela.
Je ne dis pas que c'est inacceptable d'utiliser des outils d'enquête sur appareil, mais ce qui m'a surpris, dans les nombreux débats publics sur les difficultés que pose le chiffrement, à l'époque où j'étais commissaire à la protection de la vie privée, c'est qu'on ne m'a jamais dit qu'il existait un outil pour déjouer le chiffrement.
:
Je vous remercie, monsieur le président.
Monsieur Therrien, je vous remercie de venir témoigner devant nous une fois de plus.
Nous vous sommes toujours reconnaissants de vos commentaires éclairés.
Hier, le commissaire Dufresne a déclaré avoir été surpris en apprenant les faits. Je crois que vous avez également été surpris, à moins que je ne me trompe.
Notre débat vise à préserver la confiance du public envers les institutions. Je crois que le Bureau du Commissariat à la protection de la vie privée du Canada est l'une des institutions de choix, l'une des institutions privilégiées, pour accomplir cette tâche.
Des représentants de la GRC nous ont dit qu'ils vous avaient consulté. Dans le cas d'autres mandats, nous avons également appris que vous aviez été consulté sans pouvoir regarder sous le capot. Il me semble que la GRC vous consulte sur des sujets banals afin de dire qu'elle vous a consulté, alors qu'elle s'abstient pour d'autres sujets.
Suis-je dans l'erreur en affirmant cela?
:
Je pense que cette question est au cœur de votre étude. C'est peut-être plus compliqué qu'il n'y paraît.
Hier, il a été question de la possibilité de modifier la loi pour faire des évaluations des facteurs relatifs à la vie privée, ou EFVP. Il s'agit d'une obligation juridique, et je pense que c'est une très bonne idée. Présentement, cette obligation relève d'une norme, ou politique, du Conseil du Trésor. Il y a un certain flou pour ce qui est de savoir quand les évaluations en question doivent être faites et à quel moment le commissaire doit être consulté.
Je reviens un peu sur ce que j'ai dit tantôt. Je répète que les conditions préalables à la confiance sont des règles juridiques claires, des normes juridiques élevées et une surveillance indépendante.
La partie VI du Code criminel donne tout cela. Ce n'est pas comme s'il y avait une absence de règles; il y a des règles. Les règles peuvent-elles être bonifiées? Cela est probable.
Hier, il a été question d'une possible bonification qui préciserait que la GRC ou d'autres institutions fédérales doivent consulter le Commissariat à la protection de la vie privée, et cela serait une obligation juridique. C'est une bonne idée, mais, si vous recommandez d'en faire une obligation juridique, je vous encourage à préciser les circonstances dans lesquelles ces évaluations doivent être faites. Selon la norme du Conseil du Trésor, il doit y avoir une évaluation lorsqu'un programme ou une activité, nouvelle ou modifiée de façon considérable, a des répercussions sur la vie privée. La GRC vous a dit, hier, qu'il n'y avait rien de nouveau quant au fait qu'elle utilise cette technologie en particulier. Il ne faut pas se concentrer sur la technologie, il faut se concentrer sur l'atteinte à la vie privée. Selon la GRC, des arguments justificatifs soutiennent cette question. Personnellement, je ne suis pas d'accord sur cela, mais je ne trouve pas qu'il s'agit d'une position déraisonnable.
Je pense que, en plus de dire que le fait de mener une évaluation est une obligation juridique, vous avez la responsabilité de préciser, en termes généraux, le moment où ces évaluations doivent être faites et dans quel but elles doivent l'être. Ainsi, on pourrait s'assurer, de façon proactive, que la loi est respectée. Il n'y aurait pas seulement un examen ex post facto, mais aussi un examen préalable pour s'assurer que la loi est respectée. Idéalement, il vous faudrait également reconnaître la vie privée comme un doit fondamental, comme M. Dufresne l'a suggéré hier.
J'aimerais poursuivre et entrer dans ce qui est, pour moi, le vif du sujet, c'est‑à‑dire le renforcement des cadres juridiques.
Nous avons entendu le commissaire à la protection de la vie privée, plus tôt, dans son témoignage dire que des évaluations des facteurs relatifs à la vie privée devraient faire partie du processus. Selon le sous-commissaire, du moins, d'après les documents que nous avons reçus, il y aurait un processus pour l'intégration des nouvelles technologies.
Compte tenu de votre expérience dans ce domaine et puisqu'une grande partie de notre travail, en tant que comité de l'éthique, consiste à suivre les situations après coup d'une façon très réactive, quels seraient les éléments d'un cadre juridique que vous recommanderiez au Comité pour aider à combler l'écart qui existe manifestement entre ce qui est légalement, éthiquement et technologiquement faisable, compte tenu du rythme auquel la technologie avance par rapport aux lois existantes?
:
Je vais passer à un autre sujet maintenant. Nous avons parlé de directives stratégiques et, espérons‑le, des recommandations pour la Loi, et nous sommes passés à ce que je crois être une lacune actuellement dans la surveillance; mes collègues en ont parlé: le fait que c'est la police qui surveille la police.
Dans le spécimen de mandat que vous avez fourni, il y avait une section sur les interceptions au moyen d'outils d'enquête sur appareil, et il était question des communications de vive voix interceptées au moyen d'un tel outil. La personne chargée de la surveillance qui examine ensuite la communication « doit cesser de l'examiner dès qu'il détermine qu'aucune personne visée au paragraphe 3a n'est partie à la communication ».
Essentiellement, cela donne une situation où l'outil est installé sur un appareil, l'appareil est surveillé, et nous sommes censés faire confiance à la GRC aveuglément, même si, comme l'a décrit la GRC, il n'y a aucun processus en place pour des audits ou une évaluation du rendement par rapport à cela. Ce qui me préoccupe, c'est que, si on laisse cela ainsi, sans qu'il y ait explicitement des garde-fous quant au moment et à la façon dont l'outil peut être utilisé, la façon dont les données sont recueillies de façon globale fait que cela est susceptible d'entraîner des perquisitions ou des saisies illégales de personnes et de documents qui ne sont pas visés par le mandat.
Avez-vous des commentaires à faire à ce sujet et sur des façons dont nous pourrions mettre en place une surveillance?
:
Respectueusement, je ne pense pas que ce soit un exemple de « faites-nous confiance », quand on dit que les cours donnent seulement les autorisations après examen et que c'est donc légal. Vous dites, « faites-nous confiance ». La confiance dépend de deux choses: un cadre juridique clair et rigoureux et une surveillance indépendante. Les cours fournissent cette surveillance indépendante.
Nous avons un bon point de départ avec la partie VI du Code criminel. Est‑ce qu'on peut l'améliorer? Probablement.
Le CPVP a certainement une expertise particulière qu'il peut mobiliser, et réaliser des évaluations des facteurs relatifs à la vie privée est très probablement une bonne idée, dans les circonstances. Il y a aussi l'Office de surveillance des activités en matière de sécurité nationale et de renseignement, l'OSSNR, qui joue un rôle et qui est aussi un organisme de surveillance indépendant.
Il y a au moins trois organisations en tout qui fournissent un certain niveau de confiance: les cours, le CPVP et l'OSSNR, qui sont indépendants de l'organe exécutif.
Votre étude vise à établir, compte tenu du caractère indiscret de cette technologie, si les mécanismes de protection pourraient être améliorés. Il se pourrait bien que la réponse soit oui.
:
Je vous encouragerais à nouveau à clarifier la Loi. Si vous voulez plus de transparence, faites‑en une exigence juridique, en plus d'en définir le concept. En ce qui concerne la GRC, par exemple, son principe de base, et peut-être aussi celui du ministre, quand il a répondu hier, est d'essayer d'être transparent, mais de protéger ses méthodes d'opération, afin que les criminels ne puissent pas savoir comment la GRC fonctionne parce que cela nuirait bien sûr aux enquêtes. Quand la police et les fonctionnaires du gouvernement répondent à ce genre de questions, ils ont toujours en tête la nécessité de protéger les méthodes d'opération.
Hier, j'ai entendu quelque chose qui m'a fait penser à une norme, que vous devriez peut-être prendre en considération. Ce serait que le gouvernement et la police aient l'obligation d'être transparents, excluant seulement ce qui est nécessaire pour protéger les méthodes de la police et l'intégrité des enquêtes. En d'autres mots, la norme serait la transparence.
L'exception s'appliquerait uniquement à ce qui est nécessaire. Peut-être que si cela était plus clair... non, pas peut-être. C'est clair, pour moi, parce qu'à de nombreuses occasions... et ce que je dis ne s'applique pas au ministre; je parle des discussions que j'ai eues au cours des années avec les organismes d'application de la loi et de la sécurité nationale, parce que leur principe de base n'est pas de divulguer les choses qui pourraient nuire à leurs enquêtes. Parfois, elles sont excessivement prudentes pour ce qui est de trouver l'équilibre entre la transparence et la protection de leurs méthodes.
Si la Loi était plus claire quant au fait que la transparence est la règle, et qu'il est seulement acceptable de ne pas être transparent quand cela est nécessaire pour protéger les méthodes de la police, alors peut-être que les choses progresseraient.
:
Merci, monsieur le président.
Bonjour de Calgary.
Je vous remercie, vous et les membres du Comité, de m'avoir invitée à comparaître devant vous aujourd'hui.
En 1964, Ronald Reagan a dit: « La liberté n'est jamais à plus d'une génération de l'extinction. »
En 1992, notre Cour suprême a déclaré: « La surveillance électronique est à ce point efficace qu'elle rend impossible, en l'absence de réglementation, l'anéantissement de tout espoir que nos communications restent privées. » La Cour suprême a aussi dit que nous avons le droit de savoir lorsque l'État porte atteinte à notre vie privée.
La nécessité de cette étude nous indique que la déclaration de la Cour est restée lettre morte.
Comme nous l'avons vu avec Clearview AI, la police a parfois échantillonné des outils policiers axés sur les données sans trace écrite de l'approvisionnement, des outils dont elle dit avoir besoin pour assurer la sécurité publique afin de se protéger contre les menaces perçues ou, comme le prévoit le projet de loi , d'apporter des avantages à la société. Autrement dit, la technologie elle-même est moralement neutre. La façon dont son utilisation est justifiée change tout, et c'est pourquoi il est si important que cette étude ne soit pas cachée derrière des portes closes, à l'abri du regard du public.
Nous savons que la Stasi espionnait secrètement ses citoyens, mais nous ne nous attendons pas à ce que les gouvernements démocratiques espionnent les leurs. Pourtant, cela se produit maintenant au Canada et dans le monde entier, où des journalistes, des cadres, des militants sociaux et des représentants élus dont les opinions diffèrent de celles du parti au pouvoir sont espionnés.
Or, jusqu'à récemment, lorsque les gens pensaient à la GRC, c'était pour évoquer Dudley Do‑Right et le sergent Preston, des défenseurs de la justice et du franc jeu dans leur poursuite incessante des contrevenants, qui respectaient l'intention dans la lettre de la loi, la Charte et la vie privée des Canadiens, plutôt que d'utiliser un programme de surveillance non signalé pour espionner les comptes de médias sociaux des Canadiens.
Il est vrai que les logiciels espions peuvent aider la police à faire son travail. Mais le plus souvent, ils sont téléchargés par centaines de milliers et utilisés par les trafiquants d'êtres humains pour contrôler les esclaves sexuels et, dans les conflits familiaux, terroriser les partenaires.
Ils font aussi partie d'un nouveau secteur lucratif qui fait que notre vie privée, notre liberté et notre démocratie ne sont pas à plus d'une crise ou d'une élection de l'extinction. Comment un député ou un bureaucrate peut‑il être certain que les documents confidentiels du Cabinet, les stratégies militaires, les plans électoraux ou quoi que ce soit d'autre peuvent être discutés en privé alors qu'il existe une chance bien réelle qu'une application cachée permette à quelqu'un, quelque part dans le monde, d'écouter, de regarder et d'enregistrer chacun de vos messages textes, de vos courriels et chacune de vos photos, de siphonner vos contacts et vos mots de passe et d'activer silencieusement le microphone et la caméra pour vous observer et vous écouter, vous et votre environnement, sans être détecté?
Pour ce qui est de la question de savoir si les logiciels espions présentent des avantages sociaux, la réponse est un oui retentissant, même si cela peut paraître contradictoire. C'est la Ford Pinto de la technologie, un danger caché du public en général et de certaines personnes en particulier, avec de nombreuses retombées socialement bénéfiques sur le plan de l'emploi, du commerce et des taxes.
L'industrie mondiale de la cybercriminalité génère plus de 1,5 billion de dollars américains par an. L'industrie mondiale de la cybersécurité se chiffre à 1,7 billion de dollars et, au Canada, elle représente actuellement 3,5 milliards de dollars américains.
Pegasus n'est que le dernier logiciel espion à faire les manchettes. Il nous rappelle que les logiciels d'espionnage sont une entreprise non partisane, qui offre des chances égales à tous, et que les outils de lutte contre le terrorisme mis en place après le 11 septembre ont fait de nous tous des proies faciles pour les attaques et l'utilisation de nos propos contre nous. Peut-être qu'ils l'ont déjà fait.
Pour perturber l'industrie de la surveillance mercenaire, il faudra une volonté politique multipartite, un effort coordonné à l'échelle nationale et internationale et un changement d'approche afin de prévenir d'emblée les dommages en réglementant l'exploitation de la vie privée. Il faut tenir pour responsable qui il se doit.
Les développeurs, les producteurs et les distributeurs de logiciels espions, les investisseurs et la technologie intrinsèquement défectueuse font que le risque est plus grand que la récompense, car la réglementation du contenu d'Internet n'arrêtera pas les logiciels espions ou les prédateurs d'enfants, et les lois interdisant les sociétés de piratage informatique et permettant d'attraper occasionnellement un criminel n'ont rien changé.
L'utilisation de logiciels espions doit être rendue illégale, sauf dans des situations exceptionnelles particulières et pour la durée la plus courte possible nécessaire à l'atteinte d'un objectif d'enquête particulier, et leur utilisation doit être approuvée à l'avance par une tierce partie indépendante, bien informée et apolitique, afin que les Canadiens puissent retrouver la confiance dans le gouvernement et le secteur public et avoir une raison de voir les agents de la Police montée comme Dudley Do‑Right, et non pas comme Snidely Whiplash.
:
Je pense que le problème est plus grand que cela, car il ne s'agit pas seulement d'interdire l'utilisation par la police d'un outil qui peut être utilisé à des fins légitimes, que ce soit par la police ou par d'autres organismes d'application de la loi. Le problème, c'est que ces outils, si avancés soient-ils techniquement, sont tous disponibles sur le marché pour quiconque dispose d'une connexion Internet et veut les télécharger. C'est là que réside le problème, car sinon, nous ne faisons que travailler après coup pour essayer d'attraper celui qui les utilise.
Notre Code criminel, pour autant que je sache, ne parle pas de quelqu'un qui met un logiciel espion sur mon téléphone ou le vôtre, comme un conjoint, un partenaire intime ou un étranger. S'il prend des photos intimes et les distribue sans mon consentement, le Code criminel en parle, mais pas du logiciel espion lui-même. Personne ne parle d'empêcher les logiciels espions d'être utilisés en premier lieu. Personne ne parle de la façon dont le logiciel espion est capable de tirer parti des lacunes et des déficiences de tant de programmes logiciels.
La semaine dernière, en une seule journée, Google a apporté 37 correctifs, y compris des correctifs critiques. Cette société et d'autres continuent de poser des rustines sur des logiciels défectueux. Il faut exiger que les logiciels soient testés correctement afin de réduire au minimum les possibilités pour les logiciels espions de tirer parti dès maintenant des déficiences intégrées.
:
Eh bien, des gens m'ont dit: « Je n'ai rien à cacher », mais quand j'ai répondu: « Montrez-moi votre relevé bancaire », cela les a rendus mal à l'aise. Les gens ont effectivement des choses à cacher, mais il s'agit plutôt de l'idée que, lorsque je souhaite communiquer une information particulière à mon sujet, je devrais avoir le choix de le faire.
Ceux qui veulent afficher leur vie en ligne, les moindres détails de leur vie, c'est leur choix, mais pour paraphraser la sénatrice Simons, les gouvernements ne sont pas toujours bienveillants. Je regarde la Hongrie et la Pologne, mais la Hongrie en particulier, qui a changé ces dernières années pour devenir plutôt autoritaire. Son autorité de protection des données, dont on pourrait s'attendre à ce qu'elle joue un rôle semblable à celui de notre commissaire à la protection de la vie privée, a statué que l'utilisation de Pegasus contre les journalistes du pays ne violait pas la loi, parce qu'il y avait un élément de sécurité nationale.
Les choses qui sont acceptables aujourd'hui peuvent être changées sur un coup de tête, utilisées contre vous et sorties de leur contexte. Ce n'est pas nouveau, cela existe depuis des temps immémoriaux, mais nous devons avoir le choix. Le fait que nos renseignements ou les renseignements nous concernant soient recueillis, pris, assemblés, évalués et analysés par quelqu'un que nous ne connaissons pas, que nous n'avons jamais rencontré et à qui nous n'avons jamais donné la permission — que vont-ils en faire? — nous ramène aux audiences de McCarthy. C'est effrayant.
Je suis là depuis longtemps, et il n'y a pas grand-chose qui m'effraie. Ce qui se passe maintenant est effrayant, et c'est ce dont les gens doivent se rendre compte. Ce n'est pas seulement de la bienveillance.
:
Tout d'abord, je pense que si les logiciels espions sont réglementés par la GRC et les organismes fédéraux, cela ne concerne pas les agences d'application de la loi municipales et provinciales, et il faut donc que ce soit global.
Je pense qu'il s'agit de rédiger des lois — encore une fois, sans l'influence directe ou indirecte de l'industrie — qui font porter la responsabilité en premier lieu sur les entreprises de matériel et de logiciels et sur leurs dirigeants, qui vendent des produits pleins de vulnérabilités permettant des attaques par des logiciels espions, des rançongiciels et des maliciels. Il faudrait interdire l'achat ou l'utilisation par le gouvernement fédéral, directement ou indirectement, de logiciels espions par une loi, un règlement ou un décret, avec des interdictions équivalentes dans chaque province et territoire, et travailler avec les gouvernements étrangers pour interdire la vente, l'exportation, la distribution et l'utilisation de logiciels espions commerciaux et l'investissement dans ceux‑ci.
Nous avons déjà des accords internationaux de libre-échange qui comportent des dispositions obligatoires sur l'échange transfrontalier d'information et toutes sortes d'autres dispositions. Ils doivent inclure des dispositions dans le cadre desquelles les signataires acceptent de criminaliser et de poursuivre les personnes et les organisations qui créent, mettent à l'essai, commercialisent, financent et distribuent des logiciels espions, ainsi que les dirigeants et les investisseurs. Il doit y avoir des sanctions parce que, autrement, c'est comme une politique: c'est dans les livres, mais si quelqu'un d'autre dans un pays peut utiliser ces produits contre nous, ses propres gouvernements doivent intervenir pour l'arrêter, parce que c'est dans ce pays, bien sûr. C'est hors de notre portée.
:
Une des différences les plus importantes, à mon avis — une distinction — que le RGPD en Europe a fait ressortir, c'est que lorsqu'une évaluation des facteurs relatifs à la vie privée est effectuée, lorsqu'une organisation a un responsable de la protection des données, ce qui est obligatoire, en vertu du RGPD, c'est mettre l'accent sur le risque pour la personne dont les renseignements sont recueillis, utilisés, etc. Ce n'est pas le risque pour l'organisation. D'après mon expérience, c'est trop souvent ainsi que les organisations canadiennes voient les choses.
D'abord, s'ils ont une EFVP préliminaire — parce que nous sommes occupés, nous sommes une grande organisation —, les rares personnes qui comprennent vraiment la situation sont trop occupées pour faire une EFVP pour tout le monde, alors ils la renvoient au ministère et disent: « Voilà, faites une EFVP préliminaire, et vous me direz si vous pensez que nous devons faire une EFVP. » Ils ne savent pas ce qu'ils regardent, alors bien sûr, c'est facile de dire: « Nan, cela n'a aucune incidence sur les renseignements personnels, donc nous n'avons pas besoin d'une EFVP. » C'est là que cela s'arrête. C'est un système défectueux.
Lorsqu'ils font une EFVP... certaines d'entre elles sont très superficielles. On parle des avantages d'un produit ou d'un nouveau système, mais on ne parle pas du risque pour la personne. C'est comme si leur rôle était de protéger contre le risque pour l'organisation. Il faut que cela change.
:
Merci, monsieur Kelly. Je suis heureux d'être de retour et de vous voir.
Je suis particulièrement heureux de vous revoir, monsieur Therrien. J'ai aimé recevoir vos conseils et votre orientation au fil des ans, lorsque je siégeais au Comité.
Je vais commencer par ce que j'ai jugé être le point de vue de la GRC: « Nous ne pouvons pas divulguer le fournisseur en raison de la sécurité nationale. » Pourtant, du point de vue des marchés publics gouvernementaux, c'est assez inquiétant pour moi, car je vois que certaines de ces technologies — et je sais que la GRC a dit qu'elle n'utilisait pas Pegasus, mais Pegasus est un exemple — ont été utilisées pour porter gravement atteinte aux droits de la personne dans le monde, en attaquant des journalistes et d'autres défenseurs de ces droits.
Dans l'intérêt public, ne devrions-nous pas savoir qui est le fournisseur afin de pouvoir exercer une certaine diligence raisonnable en matière de marchés publics?
:
Parlons de cette surveillance dans le temps qu'il me reste.
Je suis réconforté par le fait que la GRC a déclaré qu'elle n'a utilisé cette technologie que dans le cadre d'une surveillance judiciaire, mais bien sûr, il aurait été bon qu'elle soit plus proactive dans la divulgation de son utilisation de la technologie. Nous avons maintenant un modèle, je pense, lorsque nous regardons les Stingray, Clearview AI, et maintenant, cette technologie d'espionnage, et encore une fois, nous ne savons pas qui est le fournisseur.
Pensez-vous que le commissaire à la protection de la vie privée devrait intervenir? Quand je vois la GRC nous dire que 9 demandes sur 10 n'ont pas reçu d'approbation interne, je ne sais pas quel est ce cadre d'approbation interne, très franchement. Je pense que si j'étais responsable de la GRC, je m'engagerais de manière proactive avec le commissaire à la protection de la vie privée pour établir ce cadre interne. Cela vous paraît‑il logique?
:
Merci beaucoup, monsieur le président.
Encore une fois, merci aux témoins.
Monsieur Therrien, si vous le voulez bien, je poursuivrai avec vous.
Maintenant, nous avons entendu parler de la portée du logiciel espion, de son utilisation et de sa nature intrusive, non seulement dans le cas des Canadiens, mais des gens en général. L'Union européenne a été impliquée par exemple dans la mise en place de Pegasus... disant qu'il viole des droits. Pensez-vous que des Canadiens doivent pouvoir vendre à quiconque un logiciel espion comme Pegasus? Par exemple, j'ai mentionné dans mes précédentes questions le groupe Awz. Des organisations comme celles‑ci devraient-elles pouvoir vendre cette technologie extrêmement intrusive? Le gouvernement devrait‑il réglementer non seulement l'utilisation de cette technologie dans notre pays, mais également la vente de celle‑ci à l'étranger?
:
Nous reprenons nos travaux; j'invite donc tout le monde à retourner à sa place.
J'ai ici quelques notes concernant cette étude qui pourraient même toucher la façon dont nous poursuivrons le reste de notre journée aujourd'hui.
Les analystes m'ont informé des contraintes de production liées à la préparation d'un rapport pour se conformer aux délais énoncés dans la motion que nous avons adoptée en juillet, alors nous terminerons l'étude aujourd'hui. Ce sera le dernier jour pour entendre les témoignages concernant cette étude.
Le délai le plus court pour obtenir une ébauche du rapport en vue d'un examen par le Comité est le 12 septembre. Nous nous sommes engagés dans notre motion à déposer le rapport la semaine suivante.
La semaine du 12 septembre est une semaine très difficile pour au moins quatre des membres du Comité en ce qui concerne la disponibilité. Autrement, je suis sûr que ce serait une excellente semaine pour nous. En fait, je pense qu'il nous sera très difficile de présenter ce rapport dans le respect des délais de la motion. Mon intention, en tant que président, serait de convoquer, à ma discrétion, les réunions appropriées pour que nous puissions faire de notre mieux pour présenter le rapport au Parlement dès que possible, compte tenu des contraintes qu'auront les analystes et l'équipe de production ainsi que les services de traduction et, peut-être des contraintes de certains des membres du Comité cette semaine‑là.
Nous devrions peut-être tenir une réunion la semaine du 12 avant la reprise des travaux du Parlement. Nous verrons.
En ce qui concerne les instructions relatives à la rédaction, je demanderai aux membres de communiquer aux analystes, par l'intermédiaire du greffier, toute instruction particulière qu'ils pourraient avoir. De cette façon, nous pouvons peut-être nous passer d'une réunion consacrée à la production de documents.
Je ne suis pas sûr que l'on puisse débattre de ce sujet. Je sais que les membres pourraient vouloir se prononcer sur la façon de traiter les motions également.
Je vois que c'est le cas de M. Green et de Mme Khalid.
Allez‑y, monsieur Green.
Je pense que nous recevons de très bonnes informations ici. En fait, dans son témoignage d'hier, le sous-commissaire de la GRC s'est porté volontaire pour nous fournir l'évaluation des facteurs relatifs à la vie privée, et il en est même ressorti qu'ils seraient disposés à nous communiquer plus d'information à huis clos.
Vous remarquerez dans ma réponse d'hier qu'il pourrait être utile à notre étude de permettre que l'évaluation nous parvienne et que nous ayons la possibilité de réexaminer la discussion à huis clos pour apprécier la transparence et la franchise des décisions qui ont été prises et la façon dont les responsables sont arrivés à ces décisions.
Monsieur le président, je pense que, sans cela, il nous manquera une importante composante de cette étude, et nous devrions alors revenir avec une sorte d'amendement ou la reprendre. Sur le plan de la procédure, je pense qu'il serait plus facile de trouver un moyen d'ajourner, d'interrompre ou de suspendre la séance, quel que soit le terme approprié sur le plan de la procédure, jusqu'à ce que nous recevions cette information et que nous soyons en mesure de formuler nos dernières conclusions en ce qui concerne la rédaction du rapport final.
:
Merci beaucoup, monsieur le président.
Bien que je comprenne l'importance de cette motion, j'aimerais proposer un amendement. L'amendement a été envoyé par courriel aux adresses électroniques personnelles de tous les membres. Je le lirai aux fins du compte rendu:
Que la motion soit modifiée par adjonction, après les mots « motion initiale », de ce qui suit : « à l'exception des mandats sous scellés ».
Monsieur le président, la raison pour cela, c'est que l'ordonnance de mise sous scellés est faite par un juge. Si un juge a pris la décision de mettre sous scellés un mandat, la GRC ne pourra pas le contester ou nous fournir cette information. Par conséquent, il n'est pas logique que nous essayions de tenir la GRC responsable d'une chose qu'elle ne peut simplement pas faire.
C'est une motion pratique. Évidemment, tous les documents énoncés par M. Bezan s'appliquent toujours. Je pense simplement que cet amendement est un détail technique visant à garantir que nous ne demandons pas à la GRC de faire une chose qu'elle ne peut pas faire.
:
D'accord, je demanderais alors au greffier de mettre la motion aux voix.
Il y a égalité. Je vote en faveur de la motion.
(La motion est adoptée par 6 voix contre 5 [Voir le Procès-verbal]).
Le président: Il nous reste deux ou trois minutes, mais je pense, ou j'espère, que nous avons fini pour le moment. Nous serons de retour cet après-midi.
En fait, permettez-moi d'être clair à propos de cet après-midi. Nous aurons trois témoins qui comparaîtront ensemble dans un seul groupe. Selon le temps et si les membres ont épuisé toutes leurs questions, nous pourrions avoir un peu de temps à la fin. Nous nous arrêterons à 17 heures, si vous me le permettez, au cas où quelqu'un devrait voyager ou autre chose et partir à 17 heures.
Sur ce, la séance est levée.