J'aimerais souhaiter à tous la bienvenue à la 33e séance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique. Conformément à l'alinéa 108 (3)h) du Règlement et à la motion adoptée par le Comité le mardi 26 juillet 2022, le Comité se réunit pour étudier les outils d'enquête sur appareil utilisés par la Gendarmerie royale du Canada.
La réunion d'aujourd'hui se déroule sous forme hybride, conformément à l'ordre de la Chambre du jeudi 23 juin 2022.
Aujourd'hui, nous recevons un groupe d'experts composé de trois témoins. Nous avons le plaisir d'accueillir Ronald Deibert, professeur en science politique et directeur, Citizen Lab, Munk School of Global Affairs and Public Policy, Université de Toronto. Nous accueillons également Brenda McPhail, directrice du Programme de la vie privée, de technologie et de surveillance, Association canadienne des libertés civiles. Nous attendons également Michel Juneau‑Katsuya, chercheur sur les questions de sécurité nationale et de renseignement. Je crois savoir que nous sommes en train de régler quelques problèmes techniques que rencontre ce témoin. Nous allons donc entendre les déclarations préliminaires des deux autres témoins. Nous espérons bien sûr que notre troisième témoin se joindra à nous à temps pour pouvoir faire sa déclaration préliminaire.
Cela dit, je demanderais au professeur Deibert de commencer sa déclaration.
Vous avez la parole pendant un maximum de cinq minutes.
:
Merci, monsieur le président.
Je m'appelle Ron Deibert. Je suis professeur en science politique, ainsi que fondateur et directeur du Citizen Lab à la Munk School of Global Affairs and Public Policy de l'Université de Toronto.
Depuis 2001, les membres du Citizen Lab étudient les questions de sécurité de l'information, et l'un de leurs principaux domaines de recherche est l'industrie des logiciels espions mercenaires, dans laquelle des acteurs privés vendent des services de piratage aux gouvernements. Nous sommes largement reconnus comme l'une des principales autorités mondiales dans ce domaine.
Mon personnel et moi-même avons témoigné ou donné des séances d'information portant sur ce sujet à de nombreuses reprises à la Maison‑Blanche des États-Unis, au Département d'État, au Congrès américain, au Parlement européen et à d'autres gouvernements. Je suis très heureux de m'exprimer à ce sujet pour la première fois devant un comité de la Chambre des communes du Canada.
Aujourd'hui, je souhaite mettre en lumière plusieurs thèmes qui ressortent de nos recherches.
Premièrement, l'industrie des logiciels espions mercenaires est très peu réglementée et s'étend rapidement. Le secteur manque de responsabilisation publique et de transparence. Elle prospère dans l'ombre du monde clandestin et s'élargit rapidement sans contrôle approprié.
Deuxièmement, nous avons documenté des préjudices et des abus importants dans presque toutes les administrations où des logiciels espions sont déployés. Les gouvernements utilisent de façon routinière des logiciels espions pour pirater la société civile, l'opposition politique, les journalistes, les avocats, les militants, les membres de leur famille et d'autres victimes innocentes, tant dans leur pays qu'à l'étranger, y compris des victimes qui vivent ici, au Canada.
Troisièmement, l'industrie des logiciels espions mercenaires n'est pas seulement une menace pour la société civile et les droits de la personne; elle menace aussi la sécurité nationale. Nous avons remarqué que les téléphones de certains chefs d'État et hauts fonctionnaires avaient été piratés par des logiciels espions. Il y a peu de temps, nous avons informé les autorités britanniques du piratage d'un appareil utilisé au 10, Downing Street, c'est‑à‑dire la résidence du premier ministre du Royaume-Uni. En bref, nos quelque 10 années de recherche montrent que l'industrie des logiciels espions est aujourd'hui l'une des menaces les plus graves qui pèsent sur la société civile, les droits de la personne et la démocratie.
La récente révélation de l'utilisation de logiciels espions par la GRC provoque de sérieuses inquiétudes.
Tout d'abord, les logiciels espions ne ressemblent pas à une mise sur écoute traditionnelle, mais plutôt à une mise sur écoute à la puissance mille. Les logiciels espions avancés sont à la surveillance ce que la technologie nucléaire est aux armes; ils représentent un bond en avant du point de vue du perfectionnement et de la puissance. Les dernières versions de ces logiciels permettent d'accéder silencieusement et sans entrave à l'ensemble du mode de vie d'une cible. Malgré les capacités de niveau nucléaire de ces logiciels, il est remarquable qu'ils n'aient fait l'objet d'aucun débat public au Canada, avant la récente révélation de la GRC.
Deuxièmement, le seuil d'utilisation, de surveillance, de transparence et de responsabilisation publique doit être beaucoup plus élevé que pour une écoute électronique traditionnelle. Cela est d'autant plus important que la GRC et d'autres organismes de sécurité au Canada ont un passé bien documenté en matière d'emplois abusifs de la surveillance et de pratiques discriminatoires.
Troisièmement, nous avons besoin de transparence quant aux fournisseurs auprès de qui les organismes canadiens se procurent cette technologie. Hier, le n'a pas voulu reconnaître devant notre comité le ou les fournisseurs auprès de qui le gouvernement canadien a acheté des logiciels espions. Il n'y a absolument aucune raison de ne pas divulguer cette information, et il y a un grand nombre de bonnes raisons de le faire. Notre approvisionnement devrait être transparent et régi par des règles relatives aux fournisseurs, afin que nous ne traitions pas avec des entreprises dont les clients comprennent des gouvernements étrangers qui menacent les valeurs et la sécurité du Canada — et que nous ne contribuions pas à enrichir ces entreprises.
Quatrièmement, l'existence même de cette technologie pose de graves problèmes de sécurité publique. Les logiciels espions mercenaires reposent sur la découverte de failles logicielles dont les fournisseurs de logiciels eux-mêmes ne sont pas conscients ou qu'ils n'ont pas corrigées. L'utilisation même de cette technologie alimente un marché qui exploite l'insécurité collective de tous nos appareils. Dans sa forme actuelle, le processus global que le Canada met en œuvre pour évaluer les enjeux de ces compromis est faible et opaque.
Cinquièmement, la révélation discrète de la GRC donne un très mauvais exemple au reste du monde. Le gouvernement canadien prétend protéger les droits de la personne et défendre la primauté du droit et la démocratie dans le monde entier. En adoptant cette technologie sans lancer un débat public ni imposer des limites appropriées, nous signalons essentiellement au monde entier que nous ne nous soucions pas vraiment de ces principes.
Je terminerai mon intervention en formulant sept recommandations précises.
Premièrement, il faut tenir des audiences publiques sur les dangers liés à l'industrie des logiciels espions mercenaires, d'autant plus que des Canadiens ont été victimes de ces dangers.
Deuxièmement, si des organismes canadiens doivent utiliser des logiciels espions, une consultation publique devrait être organisée et le gouvernement devrait élaborer un cadre juridique qui respecte la Charte et le droit international en matière de droits de la personne.
Troisièmement, le Canada devrait mettre en place de solides contrôles des exportations pour l'industrie canadienne de la surveillance. À l'heure actuelle, il n'y en a aucun.
Quatrièmement, le Canada devrait pénaliser les fournisseurs de logiciels espions qui sont connus pour faciliter les violations des droits de la personne à l'étranger, et ces pénalités devraient suivre le modèle américain.
Cinquièmement, des membres des plus hauts échelons du gouvernement canadien, comme le premier ministre, le ministre de la Sécurité publique et la ministre des Affaires étrangères, doivent faire des déclarations claires et fermes indiquant que nous prenons cette menace au sérieux.
Sixièmement...
:
Je vous remercie d'avoir invité l'Association canadienne des libertés civiles à comparaître devant vous aujourd'hui. Je suis reconnaissante au Comité d'avoir entrepris cette étude sur l'utilisation par la GRC de la technologie d'enquête sur appareil, car il s'agit d'une question d'intérêt national qui est aussi le symptôme d'un problème plus vaste de surveillance et de responsabilisation inadéquates de la police lorsqu'elle acquiert et utilise une technologie de surveillance avancée.
Les révélations concernant les outils d'enquête embarqués (OEE) ne sont que les dernières d'une série de révélations semblables provoquées par les médias qui concernent des techniques invasives, allant de la surveillance des médias sociaux aux simulateurs de sites cellulaires, en passant par une reconnaissance faciale illégale effectuée à l'aide de produits de la société Clearview AI. Il ne s'agit pas d'un cas isolé, mais plutôt d'un modèle qui révèle une crise en matière de responsabilisation.
Le secret opérationnel est un besoin légitime dans le cadre d'enquêtes particulières. Le secret entourant les politiques qui s'appliquent à des catégories de technologies de surveillance dangereuses n'est pas légitime au sein d'une démocratie. Nous ne devons pas permettre aux organismes chargés de l'application de la loi de confondre l'un avec l'autre afin d'éviter de rendre des comptes.
Pourquoi ces technologies sont-elles dangereuses du point de vue de la société civile? Comme le Comité est conscient des risques fondamentaux qu'elles présentent pour le droit à la vie privée, je vais donc me concentrer sur trois autres raisons.
Premièrement, nos organismes gouvernementaux encouragent une industrie qui est connue pour privilégier les profits au détriment des droits de la personne et pour alimenter les pires impulsions des gouvernements autoritaires. Je travaille avec un réseau d'organisations mondiales de défense des libertés civiles dans lequel nombre de mes collègues considèrent le Canada comme un modèle à suivre en ce qui concerne les questions d'application de la loi et les procédures établies. Ce genre de révélations nuit à notre réputation internationale, non seulement au niveau des gouvernements, mais aussi sur le terrain.
Deuxièmement, comme l'a fait remarquer le professeur Deibert, l'utilisation de ces outils encourage les forces de l'ordre à exploiter les vulnérabilités des technologies dont nous dépendons tous, au lieu de contribuer à corriger ces vulnérabilités. Nous savons depuis un certain temps que le CST a des responsabilités contradictoires en ce qui concerne son mandat cybernétique actif et sa responsabilité en matière de protection de notre cyberinfrastructure. Nous savons maintenant que la GRC fait face à un conflit semblable. Cela rend la vie de tous un peu moins sécuritaire chaque jour, au nom de la sécurité publique.
Enfin, il y a une question de procédure établie. Vos témoins d'hier ont fait remarquer que l'une des conditions d'utilisation de la technologie est la signature d'une entente détaillant les façons dont la technologie doit être protégée. Quelle est l'incidence de cette entente sur les divulgations judiciaires? Est‑ce qu'il arrive que des procès ne soient pas intentés parce qu'ils révéleraient des détails de la technologie? En d'autres termes, comment le secret opérationnel compromet‑il la quête de la justice?
Ce sont là quelques-uns des problèmes posés par la technologie. Quelles sont les éventuelles solutions à ces problèmes?
Tout d'abord, je crois vraiment que nous avons besoin d'un moratoire. Cette étude n'est que le début d'une importante conversation publique que nous devons avoir au Canada. S'il est vrai que cette technologie est une option de dernier recours, une brève interruption de son utilisation ne peut constituer un grand risque pour la sécurité publique — certainement pas si l'on compare ce risque aux droits à la vie privée et à l'application régulière de la loi qui sont en jeu, ainsi qu'aux répercussions sociales et diplomatiques qui découlent du fait que le gouvernement canadien tolère la vente et l'utilisation de logiciels espions.
Il faut donc revenir à l'essentiel, et la question fondamentale n'est pas de savoir « Comment s'assurer que la GRC ou tout autre organisme utilise ces outils de façon légale? » Il faut plutôt se poser la question suivante: « L'utilisation de ces outils est-elle nécessaire, proportionnée et conforme aux valeurs canadiennes? »
Vous ne serez probablement pas surpris d'apprendre que je pense que ce n'est pas le cas. Je crois que, comme l'Europe et les États-Unis l'ont fait, nous devrions inclure la possibilité d'interdire la vente de ce type de technologie d'espionnage à des États dans les conversations que nous devons avoir, mais s'il est démocratiquement débattu et déterminé que l'utilisation de la technologie est adaptée à un objectif étroit, la deuxième question que nous devrons alors nous poser est celle de savoir comment nous pouvons rendre la notion d'utilisation légale de la technologie plus significative en mettant à jour nos lois en vue de régir de manière appropriée les décisions d'achat et d'utilisation de ces technologies, et de fournir une transparence et une responsabilisation suffisantes pour gagner la confiance du public.
Pour que ces lois soient suffisantes, nous devons avoir des contrôles et des limites d'importation et d'exportation rigoureux et appliqués efficacement. Nous avons besoin d'un système dans lequel les décisions relatives à l'utilisation de technologies controversées susceptibles de porter atteinte aux droits ne peuvent plus être prises en coulisses. Pour ce faire, nous avons besoin non seulement d'évaluations obligatoires des facteurs relatifs à la vie privée, mais nous devons également envisager de créer un organe consultatif véritablement indépendant, qui travaille avec une transparence appropriée et qui est précisément chargé de fixer et d'évaluer des normes nationales pour l'acquisition et l'utilisation des technologies de surveillance, comme cela a été fait dans l'État de New York.
Nous devons également créer des obligations de produire des rapports publics sur l'utilisation des OEE. Le « Rapport annuel sur la surveillance électronique », qui a été mentionné à plusieurs reprises à titre de mesure de responsabilisation, est insuffisant. Les outils utilisés pour assurer cette surveillance sont importants. C'est la raison pour laquelle nous discutons actuellement de cette question. Pourtant, dans ce rapport, on se contente de fournir des statistiques sur toute surveillance audio ou visuelle. Cela nous amène à un dernier point.
Entre 2016 et 2020, une seule demande de mandat, parmi les 331 demandes mentionnées dans ce rapport, a été refusée. Cela laisse entendre que nous avons besoin qu'un amicus d'intérêt public soit présent pendant le traitement de ces demandes, afin de fournir une contrepartie aux positions de la police. Il y a d'autres problèmes et d'autres solutions à aborder, mais mes cinq minutes sont écoulées, alors j'attends vos questions.
Bien que je n'aperçoive pas Michel Juneau‑Katsuya à l'écran, permettez-moi de demander s'il s'est joint à nous.
Non? Communiquons-nous cependant avec lui?
Nous communiquons avec lui. D'accord.
Eh bien, il se peut que nous n'entendions pas la déclaration préliminaire du témoin Michel Juneau‑Katsuya.
Nous allons devoir amorcer nos séries de questions.
Monsieur Bezan, je vous demanderais de lancer le processus.
:
Certainement. Je vous remercie de votre question.
En 2018, nous avons constaté que l'Arabie saoudite entreprenait des activités d'espionnage. Nous avons pu observer, compte tenu de notre surveillance du réseau, qu'il y avait un appareil piraté au Québec. Nous avons finalement découvert que la personne dont l'appareil avait été piraté était un résident permanent canadien, nommé Omar Abdulaziz, qui était un ami très proche et un confident de Jamal Khashoggi. Nous avons publié notre rapport le 1er octobre 2018. Malheureusement, dès le lendemain, Jamal Khashoggi a été appréhendé et brutalement exécuté au consulat saoudien de Turquie.
Nous avons également documenté en détail le fait que les téléphones d'autres réfugiés et immigrants canadiens ont été ciblés ou piratés à l'étranger par des gouvernements étrangers, dans le cadre d'un nombre croissant de cas que nous qualifions de « répression numérique transnationale ».
En résumé, les Canadiens ne sont certainement pas à l'abri de ce risque mondial qui ne cesse de croître, et c'est précisément la raison pour laquelle je pense que nous devons entamer cette conversation très sérieuse, avec une approche beaucoup plus complète que celle que nous avons adoptée jusqu'à maintenant.
:
Je vous remercie, monsieur le président.
Je m'adresserai d'abord à M. Deibert, puis à Mme McPhail.
Nous entreprenons cette étude afin de maintenir la confiance de la population, envers la GRC dans ce cas-ci. Comme nous l'étions un peu hier, la population est obligée de croire ce que la GRC nous a dit, parce qu'il n'y a pas de moyen de creuser davantage la question.
Afin de pouvoir mieux informer la population, j'aimerais vous poser une question, M. Deibert.
Pouvons-nous faire confiance lorsque nous sommes obligés de faire confiance?
:
Ma réponse à cette question consisterait à évoquer quelqu'un dont vous vous souviendrez — et nous montrons notre âge en ce moment —, à savoir Ronald Reagan, qui, en réponse à Mikhaïl Gorbatchev, a déclaré: « faisons confiance, mais vérifions ». Je pense que cela s'applique à tous nos organismes de sécurité. Dans une démocratie libérale, il est essentiel de disposer de garanties solides, de mécanismes de surveillance et d'un processus public de reddition de comptes, ainsi que de faire preuve de transparence.
Ce que nous voyons en ce moment est clairement un échec. Si vous comparez cela avec ce qui se passe dans d'autres pays, nous ne donnons pas un très bon exemple. Ce comportement cadre avec celui de certaines des démocraties imparfaites du monde entier.
Je pense que nous devons tendre un filet beaucoup plus robuste sous l'ensemble de ces outils si nous voulons utiliser ce type de technologie, qui, soit dit en passant, est comme un pas de géant en matière de capacités. Ce dont nous parlons en ce moment est très différent d'une mise sur écoute, parce qu'un tel dispositif permet de surveiller tous les aspects de la vie d'une personne et de son entourage.
Comme je l'ai dit au cours de ma déclaration, il s'agit d'une technologie de surveillance de niveau nucléaire. Nous avons donc besoin de mesures de protection appropriées à la hauteur de ce perfectionnement et de cette puissance.
[Français]
Je vous prie de m'excuser pour le retard, qui a été occasionné par des problèmes techniques.
Je vous remercie, monsieur le président et membres du Comité, de m'avoir invité à comparaître devant vous et de me donner l'occasion de m'adresser à vous au sujet d'une question importante, qui en engendre beaucoup d'autres.
D'entrée de jeu, j'aimerais résumer ma pensée. Celle-ci est basée sur mon expérience, qui s'échelonne sur plus de 40 ans au service de cette nation et dans le secteur privé. Cela fait aussi partie de mes recherches et du travail que j'ai fait dans le domaine de la sécurité nationale.
Ce qui est présenté au cœur de votre réflexion, c'est la pertinence, la légalité, la légitimité et la reddition de comptes en ce qui a trait à l'utilisation d'une ou des technologies permettant d'intercepter des conversations ou d'obtenir des informations qui peuvent être protégées par la Loi sur la protection des renseignements personnels et la vie privée.
Je tiens, dès maintenant, à souligner l'importance de la protection de la vie privée telle qu'elle est définie par la Charte et les lois canadiennes. Cette protection est l'une des pièces centrales d'une saine démocratie et, sans elle, il n'y a pas de démocratie possible.
Cela dit, je tiens à mettre en avant trois points qui sont au centre de mon témoignage, et sur lesquels je vais revenir.
Premièrement, en matière d'enquête dans le domaine de la criminalité ou de la sécurité nationale, on ne peut faire valoir l'adage selon lequel « la fin justifie les moyens ».
Deuxièmement, les joutes partisanes n'ont pas leur place dans un tel débat, et c'est le fruit de votre travail collectif qui apportera une meilleure protection à notre démocratie et à nos concitoyens.
Troisièmement, il a été conféré à ce comité une grande responsabilité morale et éthique pour ce qui est de fournir dans le cadre juridique les outils nécessaires pour que les hommes et les femmes qui sont chargés de nous protéger puissent le faire adéquatement dans le respect des fondements de notre système juridique.
[Traduction]
Mon premier point est que toute personne responsable de la sécurité collective tombe dans un piège majeur si elle croit que la fin justifie les moyens. C'est la tromperie la plus dangereuse que les agents chargés de l'application de la loi affrontent dans le dédale de la bureaucratie et des systèmes judiciaires. Soucieux d'accomplir leur travail de protection et désireux d'arrêter les criminels et les terroristes prêts à nous nuire, certains agents peuvent être tentés de contourner la loi.
Notre propre histoire du Canada nous enseigne les erreurs des années 1960 et 1970, lorsque la GRC a été chargée d'arrêter des agents communistes ou des séparatistes fanatiques. Au nom de notre protection, les agents de la GRC ont enfreint la loi, croyant faire ce qu'il fallait. Ils ont été induits en erreur, et ils ont eu tort.
J'ai écouté et prêté attention aux témoignages qui vous ont été apportés au cours des derniers jours. Je n'ai pas vu ni entendu l'histoire se répéter. J'ai vu des agents qui, selon moi, tout en subissant la pression de ne pas mettre en péril des capacités opérationnelles ou tactiques, répondaient à vos questions du mieux qu'ils pouvaient et dans la mesure du possible. Grâce à votre important travail, il est évident que nous pourrons renforcer le processus d'approbation en améliorant la consultation avec le commissaire à la protection de la vie privée, les mécanismes de rapport et d'évaluation, et la Loi elle-même.
En outre, j'ai été heureux d'entendre dire que le système judiciaire a maintenu en place les freins et les contrepoids. C'est une bonne nouvelle, et cela nous permet d'espérer que nous sommes sur la bonne voie en vue d'améliorer notre système démocratique et notre processus de reddition de comptes.
[Français]
Le deuxième point, que j'ai évoqué plus tôt, m'inquiète davantage, car j'ai observé des comportements de certains membres du Comité qui sont préoccupants. Poser des questions, et même des questions difficiles, c'est le travail et la responsabilité des membres du Comité. Cependant, un principe directeur doit dominer: vous vous devez de protéger et de promouvoir les intérêts de cette nation, et non pas les intérêts partisans de vos visées politiques. Si vous avez des questions qui touchent les capacités techniques, tactiques ou stratégiques, il faut les poser à huis clos.
[Traduction]
N'oublions pas que les audiences du Comité sont publiques. Certains malfaiteurs, qu'ils soient des criminels ou des agents étrangers, écoutent ces délibérations et prennent des notes. En posant des questions dans lesquelles on insiste pour obtenir, par exemple, le pays d'origine d'une technologie qui doit rester secrète, on sert sur un plateau d'argent les moyens pour les malfaiteurs de contrer les capacités tactiques. De plus, en continuant de faire de fausses allégations de surveillance de masse, alors que rien ne prouve que cette surveillance existe, on induit les Canadiens en erreur, et on divise notre société. Trente-neuf cas et 41 dispositifs répartis sur plus de cinq ans ne constituent pas une surveillance de masse.
[Français]
Comme je l'ai mentionné au début de mes remarques, j'observe et j'analyse les menaces dirigées contre la société et nos citoyens et citoyennes depuis plus de 42 ans. J'ai été l'un de ceux et celles qui se sont engagés corps et âme afin de protéger notre pays et ses habitants en servant dans les rangs. J'ai vécu les frustrations et les succès relativement à nos enquêtes et à nos efforts pour empêcher les criminels, les espions et les terroristes de nous faire du mal individuellement ou collectivement. Je ne peux pas vous décrire avec assez de justesse et de rigueur les vagues d'émotions qui habitent les enquêteurs lorsqu'un « pas bon » gagne parce qu'il a profité d'une imperfection de notre système démocratique ou légal.
Hier, M. Philippe Dufresne, vous a parlé de...
:
Nous étudions de nombreux types de logiciels espions, et les plus perfectionnés permettent un accès permanent à l'appareil d'une cible, ce qui permet aux personnes qui utilisent le logiciel de faire tout ce qu'elles veulent sur l'appareil, et même plus que ce qu'un utilisateur peut faire, à l'insu de ce dernier. Certaines des versions les plus récentes de ces logiciels espions utilisent ce que l'on appelle des versions « zéro clic », ce qui signifie qu'il n'est pas nécessaire de piéger une cible en la faisant cliquer sur un lien dans un faux message. Un organisme gouvernemental client du logiciel espion peut simplement lancer une commande pour prendre le contrôle de n'importe quel appareil dans le monde qui est vulnérable à ce type d'exploitation.
Une fois que vous avez pénétré dans un appareil, vous pouvez intercepter et écouter n'importe quel appel téléphonique. Vous pouvez lire les courriels et les messages texte, même ceux qui sont chiffrés. Vous pouvez activer silencieusement la caméra et le microphone de l'appareil, voir tous les contacts, modifier des fichiers, accéder au nuage de données d'une personne et la localiser. Il s'agit d'une technologie de surveillance extraordinairement puissante.
N'oubliez pas que nous vivons à une époque différente de celle d'il y a 20 ans, lorsque la mise sur écoute consistait à placer un dispositif sur une ligne fixe, ou à installer un microphone ou un localisateur GPS dans la voiture d'un suspect. Ces dispositifs vous permettent de faire tout cela et plus encore, car ils sont conçus par leurs fabricants pour être aussi intrusifs que possible. Ils sont conçus, ainsi que les applications qu'ils contiennent, pour espionner tous les aspects de notre vie, et constituent donc une mine d'or de renseignements à la disposition des clients des logiciels espions.
:
On sait très peu de choses sur cette industrie, qui opère dans l'ombre par définition. Elle est semblable au commerce de la technologie des armes ou du renseignement privé. Ces entreprises n'aiment en général pas divulguer publiquement ce qu'elles font ou qui sont leurs clients, ce qui rend la responsabilisation et la transparence très difficiles. Le Citizen Lab, ainsi que plusieurs autres organismes, ont passé plus de 10, voire 15 ans, à enquêter sur cette industrie en s'appuyant sur diverses méthodes techniques et médicolégales.
Nous avons constaté qu'il n'existe pratiquement aucune réglementation internationale applicable à cette industrie; ces membres vendent leurs produits à n'importe quel client gouvernemental. Malheureusement, la plupart des gouvernements dans le monde sont autoritaires ou antilibéraux, et naturellement, ils n'utilisent pas cette technologie de la manière dont nous espérons qu'elle sera utilisée ici, mais pour s'en prendre à l'opposition politique, à la société civile, aux journalistes, aux militants et autres. Ils gagnent ainsi des millions de dollars et dissimulent leur infrastructure institutionnelle aux enquêteurs comme nous.
Il s'agit d'un problème de sécurité nationale et de droits de la personne très grave à l'échelle mondiale. Il suffit de regarder les réactions aux plus hauts échelons du gouvernement des États-Unis. La Maison‑Blanche de Biden, le Département de la Justice, le Département d'État et le Département du Commerce ont tous déclaré exactement ce que je suis en train de vous dire. Nous avons pris du retard face aux menaces posées par l'industrie mondiale des logiciels espions mercenaires, et nous devons de toute urgence remédier à cette situation.
:
Merci pour cette question.
Je pense que le professeur Deibert a abordé cette question, mais je vais la développer.
Hier, un témoin de la GRC a déclaré, pour paraphraser, qu'ils n'envisagent pas d'effectuer une évaluation des facteurs relatifs à la vie privée simplement parce qu'ils utilisent une nouvelle technologie. Ils se demandent si la technologie permet un nouveau type d'intrusion.
Cette approche semble assez logique jusqu'à ce que vous l'analysiez, car cette définition de la nature de la recherche ne tient pas compte de la réalité d'un OEE, qui permet toutes les intrusions en même temps sur un appareil que nous — et non eux — possédons.
Pratiquaient‑ils des écoutes auparavant? Bien sûr. Ces écoutes permettaient-elles d'accéder au contenu de toute forme de communication écrite et orale, professionnelle et privée, rétrospectivement et prospectivement, y compris les données qui ne se trouvent pas sur l'appareil même, mais dans le nuage? Bien sûr que non. S'agit‑il du même niveau d'intrusion? Non. La police a‑t‑elle installé des caméras cachées dans des maisons et des lieux d'affaires après avoir obtenu un mandat par le passé? Bien sûr. Une seule caméra avait-elle la capacité de se déplacer avec un sujet d'enquête du travail à la maison, de la chambre à la salle de bain, 24 heures sur 24? Bien sûr que non. S'agit‑il du même niveau d'intrusion? Non.
Un OEE peut en faire plus. Il peut enregistrer des sons en direct. Il peut surveiller les emplacements. Il recueille les identifiants des appareils. Il enregistre les recherches sur Internet. Il suit l'utilisation des applications.
Une EFVP aurait-elle dû être exigée? Bien sûr. Mais, comme le dit le professeur Deibert, même une EFVP ne suffit pas face à l'énormité de cette intrusion.
:
Merci beaucoup, monsieur le président.
Je suis heureuse de comparaître à nouveau devant ce comité. La dernière fois que j'ai comparu devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique, c'était pour l'étude sur Cambridge Analytica et Facebook, et j'ai trouvé que nous avions fait un très bon travail non partisan sur cette question.
Il s'agit, bien entendu, d'une question qui me préoccupe très profondément. J'aimerais adresser ma première question au professeur Deibert. Comme vous le savez — et je pense que nous faisons tous les deux partie du comité directeur de World Movement for Democracy —, j'admire depuis longtemps une grande partie du travail effectué par le Citizen Lab dans le monde, à la fois sur la désinformation et sur le cyber-harcèlement des militants des droits de la personne. Je pense que vous avez soulevé des points très préoccupants quant à la manière dont les régimes autoritaires utilisent ce type d'outils.
Pour ce qui est de l'objet précis de l'étude de ce comité, je sais que certains des éléments que vous avez mentionnés, en particulier lorsque vous parlez de la répression numérique transnationale et autres, pourraient être abordés de manière plus appropriée par le comité des affaires étrangères ou même par le Sous-comité des droits internationaux de la personne, dont je fais partie. Je pense que ces thèmes susciteraient un grand intérêt, notamment le contrôle des exportations.
La question que je souhaite vous poser est plus précise. Je pense que vous conviendrez que lorsque la GRC utilise ces outils dans un cadre très étroit — il me semble que vous avez utilisé des termes comme « proportionné » et « nécessaire » — avec une surveillance judiciaire et des mandats, cette utilisation est très différente de celle qu'en font des régimes comme la Chine ou l'Iran. Si l'on met de côté les questions telles que celles des fournisseurs et des contrôles de l'exportation, vous avez mentionné quelque chose qui me semble intéressant. Vous avez parlé de seuils. Pourriez-vous nous en dire un peu plus sur ce à quoi ressembleraient ces seuils destinés à empêcher les abus de ce type de pouvoir?
:
Je pense que dans l'ensemble, il est rassurant d'avoir entendu hier le témoignage de la GRC et du indiquant que les cas d'utilisation de ce type de technologie ont été entrepris avec une autorisation judiciaire. Cependant, comme je l'ai déjà dit, je pense que le fait que la GRC nous dise qu'il y a eu une autorisation judiciaire ne doit pas être considéré comme une sorte de baguette magique qui fait disparaître tout le reste: « Circulez, il n'y a rien à voir. »
Tout d'abord, nous savons qu'il existe un passé bien documenté d'abus au sein des forces de l'ordre dans ce pays. Il existe un passé documenté de pratiques discriminatoires. Je m'inquiète également de la nature de la technologie même et je me demande, avec tout le respect que je dois aux juges en qui j'ai confiance, s'ils comprennent vraiment la portée, l'échelle, le degré de sophistication et la puissance du type de technologie intrusive dont nous parlons et que Mme McPhail vient de décrire avec précision.
Je pense également que nous devons également aborder certaines questions d'équité. Mon équipe et moi‑même procédons régulièrement à des analyses judiciaires des victimes de logiciels espions. Dans plusieurs cas, nous avons récupéré des copies du logiciel espion et fait des divulgations responsables aux distributeurs, contrairement à ce que font les organismes gouvernementaux. Ces divulgations ont donné lieu à des correctifs de sécurité qui ont touché plusieurs milliards de personnes dans le monde. Si le gouvernement refuse de communiquer ces renseignements aux fournisseurs et met en péril notre sécurité à tous, il doit mettre en place une procédure adéquate. Cette procédure est généralement nommée « procédure d'évaluation des vulnérabilités ». À l'heure actuelle, comme je l'ai dit dans mon témoignage, le processus mis en place dans ce pays est faible. Il est opaque. Pour être honnête, il est loin d'être au niveau qu'exige une démocratie libérale mûre.
Ce sont là quelques-unes de mes préoccupations, qui vont bien au‑delà du fait que la GRC nous a simplement dit que ces utilisations avaient été autorisées par un juge.
:
Je vous en remercie du fond du cœur.
Je veux attirer votre attention sur le fait que, malheureusement, notre société, en particulier notre démocratie, est en état de siège. Nous sommes confrontés à une menace énorme. Probablement depuis les années 1600 et 1700, lorsque le concept initial de démocratie a commencé à apparaître, nous n'avons jamais été menacés comme nous le sommes actuellement. L'extrême droite, la droite alternative, se développe. On entend un discours populiste. Certaines personnes utilisent la démagogie pour essayer de convaincre les gens et provoquer de l'insécurité.
De ce point de vue, je soutiens complètement l'idée de créer plus de contrôle, plus de responsabilité et plus de transparence. Ce que je veux, c'est parvenir à un équilibre, un équilibre qui ne nuise pas à la capacité d'attraper les malfaiteurs. Malheureusement, les beaux discours, les théories et les débats philosophiques — ils ne s'en soucient pas.
Cette idée fait écho à une recommandation que j'ai formulée lors de la récente étude sur les technologies de reconnaissance faciale. Pour contrer la tendance persistante de la police à acquérir et à utiliser des technologies de surveillance sophistiquées et potentiellement controversées sans en informer le public, nous devrions suivre l'exemple de lieux comme l'État de New York et la Nouvelle-Zélande, et mettre sur pied un comité consultatif indépendant qui serait composé d'intervenants pertinents de la communauté juridique, du gouvernement, de la police et de la sécurité nationale, de la société civile et, bien entendu, de nos organismes de réglementation pertinents, comme le Commissariat à la protection de la vie privée.
Il pourrait servir d'organisme national d'établissement de normes, d'organisme consultatif, et examinerait de manière proactive les types de technologies que nos forces de police souhaitent utiliser pour moderniser leurs techniques d'enquête et les étudier en tenant compte de toute une série de considérations, y compris des considérations éthiques et juridiques, et des considérations liées aux normes et valeurs canadiennes. Il pourra ensuite recommander des normes, des normes d'excellence, aux organismes policiers, non seulement à l'échelle nationale, mais aussi à l'échelle provinciale et territoriale — car, bien entendu, le maintien de l'ordre est aussi une question provinciale et territoriale — afin d'assurer une certaine uniformité et de garantir au public que les droits sont respectés et que les policiers disposent des outils dont ils ont besoin pour accomplir leur travail difficile.
:
Merci beaucoup, monsieur le président.
Professeur Deibert, un membre de mon personnel a suivi un certain nombre des cours que vous avez donnés à titre de professeur à l'Université de Toronto, et il avait de très bonnes choses à dire sur votre rôle et votre expertise dans ce domaine. Je vous remercie sincèrement d'être ici aujourd'hui. Merci beaucoup. Le lien est personnel.
Je sais que les députés ont posé des questions auxquelles vous n'êtes pas vraiment en mesure de répondre parce que vous ne disposez pas des renseignements directs. Une grande partie de ce dont nous discutons au sein de ce groupe repose sur des hypothèses et des suppositions, et s'inscrit davantage dans une perspective politique que dans une perspective basée sur des faits ou sur des preuves.
Je vais commencer par le professeur Deibert, si vous le permettez, et poser une question sur la désinformation.
Nous parlons des institutions qui nous gouvernent et de la confiance du public. Comment le concept selon lequel la GRC et les institutions policières contrôlent et surveillent les Canadiens...? Quel genre de répercussions cette situation entraîne‑t‑elle? Jusqu'à présent, la GRC et le commissaire à la protection de la vie privée nous ont dit exactement combien d'enquêtes ont été menées grâce à une surveillance utilisant des OEE. Quelle est l'incidence de ces méthodes sur la façon dont le public perçoit la GRC et nos institutions dirigeantes en général, étant donné le climat de désinformation et les théories du complot colportées lors des récents événements? Professeur Deibert, souhaitez-vous formuler des commentaires à ce sujet?
:
J'aime beaucoup, comme je l'ai dit, la nécessité d'exercer un contrôle, le fait d'exiger une responsabilisation et une transparence optimales. Ce sont les pierres angulaires de notre démocratie. En même temps, nous avons la responsabilité de lutter contre certaines menaces très graves et de protéger les Canadiens contre ces menaces qui ne se soucient pas du débat philosophique portant sur ce qui est bien et ce qui est mal. Ces personnes agissent, un point c'est tout.
Je suis entièrement et totalement en faveur de cette capacité à trouver le bon équilibre, à nous remettre en question et à travailler de manière constructive pour que les agents soient en mesure de remplir leurs fonctions, tout en veillant, comme je l'ai dit, à ce que la fin ne justifie pas les moyens. Nous devons être en mesure de trouver cet équilibre pour être efficaces.
On en revient aussi aux responsabilités des élus. La police travaille à la résolution d'un problème qui existe déjà. Nous essayons de régler les situations lorsque nous sommes confrontés au problème. Parfois, les problèmes, comme le terrorisme, découlent du fait que les politiciens n'ont pas pris de mesures plus tôt, lorsque le grief a été porté à leur attention. La question n'est pas nécessairement de croire au grief ou de l'accepter, mais vous devez être capable d'agir. Voilà pourquoi le travail de ce comité est si important.
J'aimerais commencer par poser une question à Mme McPhail. Lorsque je faisais mes études supérieures, je siégeais au conseil d'administration de l'Alberta Civil Liberties Association, alors j'applaudis l'excellent travail que vous faites.
Dans votre témoignage, vous avez notamment déclaré, à la toute fin, qu'il y avait plus de problèmes, mais aussi plus de solutions, et que vous n'aviez pas le temps de toutes les exposer.
Je pense que ce qui intéresse beaucoup ce comité, ce sont les solutions. Pourriez-vous nous en dire un peu plus sur ce que vous considérez comme des solutions et sur la manière dont l'utilisation légale et légitime de ce type de technologies pourrait être faite sans abus et avec une responsabilisation adéquate?
:
Je pense qu'il existe un certain nombre de façons de procéder à une réforme juridique de tout un éventail de lois, qui permettrait d'améliorer la base de référence de la responsabilisation et de la transparence.
Les témoins précédents ont parlé hier de rendre obligatoires les évaluations des facteurs relatifs à la vie privée, et j'appuie cette recommandation à titre d'exigence de base. On a également mentionné l'idée, que j'appuie, d'inclure l'existence de la vie privée en tant que droit fondamental de la personne dans nos lois sur la protection de la vie privée dans les secteurs public et privé. Cette inclusion changerait la nature de l'exercice consistant à trouver un équilibre pour déterminer si les entreprises ou les gouvernements sont autorisés à mener des pratiques intrusives pour la vie privée. Elle place le droit au centre des préoccupations, soit à la place qu'il devrait occuper dans cette équation.
Il convient également d'examiner la partie VI du Code criminel qui, à ma connaissance, n'a pas subi de modifications significatives depuis un peu plus de 20 ans. Des avocats de la défense expérimentés, en particulier, pourraient être très utiles à ce comité pour recommander des modifications à cette partie, en se fondant sur leur expérience de ce genre de technologies modernes à mesure que leur utilisation se répand dans les affaires criminelles.
Enfin, dernier point concret, les États-Unis ont créé une liste d'entités de fournisseurs de logiciels espions interdits. Le Canada devrait absolument envisager d'en faire de même, ce qui offrirait au public une certaine assurance que l'argent de nos impôts ne va pas soutenir ces entreprises dangereuses et mercenaires.
:
Je pense que nous disposons de mécanismes qui nous permettent — parfois à huis clos — d'entendre et de poser des questions difficiles. La Chambre des communes a créé un comité permanent sur la sécurité et le renseignement, qui est capable d'aller dans tous les ministères pour remonter la piste de certaines affaires. C'est extrêmement important.
La difficulté que nous rencontrons est que les députés en fonction sont élus — tout comme les membres de ce comité — et qu'à chaque élection, de nouveaux députés arrivent avec une nouvelle équipe, un nouveau groupe qui n'a pas nécessairement l'expérience, les connaissances ou le réseau nécessaires pour approfondir la question autant que nécessaire.
Devrions-nous disposer d'un plus grand nombre de comités comme le CSARS, le comité sur la sécurité et le renseignement, qui était un chien de garde et qui, au fil du temps, a fini par devenir un chien de poche? Il ne fait pas vraiment tout le travail nécessaire pour observer et critiquer certains problèmes, et pour y apporter des solutions.
Voilà le problème: parfois, les systèmes politiques interfèrent avec le travail du comité et minent son indépendance.
Vous avez mentionné dans l'un de vos commentaires précédents que vous appréciez le caractère non partisan du Comité et le travail qui a été accompli. Voilà ce qu'il faut chercher à maintenir autant que possible, car, en fin de compte, nous devrions travailler pour cette nation, et non pour nos intérêts partisans.
:
Il y a deux raisons. Premièrement, rien ne prouve qu'il existe une surveillance de masse. L'autre élément concerne le coût.
L'une des façons d'évaluer à quel point il est possible ou plausible qu'une technologie ait été déployée consiste à faire une analyse de coût. Une seule opération peut facilement coûter un demi-million de dollars; je parle ici d'une opération visant à faire une interception sur une cible, peut-être à partir d'un seul appareil. Il faut beaucoup de temps et de ressources pour installer le logiciel, assurer un suivi, fournir des renseignements à propos du logiciel, et parfois traduire ou expliquer l'information obtenue. Quand on additionne tous ces éléments, on voit le budget qui serait requis, et on constate qu'on ne peut pas déployer la méthode en question à grande échelle parce que cela coûterait trop cher.
Pour ce qui est de ce que M. Snowden a révélé à propos des capacités de l'agence de sécurité nationale des États-Unis, la NSA, ce serait comparer des pommes et des oranges. Le budget, les capacités et les intentions de la NSA sont fort différents de ce que la GRC, le SCRS ou le MDN seraient en mesure de déployer ici au Canada.
C'est une transition parfaite, monsieur le président. Je souhaite profiter des quelques minutes qu'il me reste pour présenter une motion. Je souhaite le faire parce qu'il y a eu, au Comité, un peu trop de sous-entendus, trop d'accusations à propos d'une surveillance de masse, et même des comparaisons farfelues entre la GRC et la Stasi allemande. Nous devrions, en tant que comité, exprimer notre soutien envers le travail important qu'accomplit la GRC tout en veillant à ce qu'elle rende des comptes en vertu de la Charte canadienne des droits et libertés.
Je vais lire ma motion, et je la ferai aussi circuler parmi les membres du Comité dans les deux langues officielles. Elle se lit comme suit:
Que le comité affirme qu'il est satisfait que la GRC n'utilise pas la technologie de Pegasus ou de l'organisme NSO; que l'utilisation des « outils d’enquête sur l’appareil » est réservée aux cas les plus graves; que l'approbation d'une demande d'utilisation des « outils d’enquête sur l’appareil » est assortie de conditions strictes et doit être approuvée en dernier ressort par un juge de la cour supérieure; que l'utilisation de ces outils sans autorisation judiciaire constituerait une infraction criminelle; et que le comité appuie la GRC dans son mandat de protéger les Canadiens contre le terrorisme, le trafic de personnes et de drogues, le blanchiment d'argent et le meurtre, tout en assurant la responsabilisation.
Il y a une petite répétition ici, je m'en excuse. La fin est répétée:
le comité appuie la GRC dans son mandat de protéger les Canadiens contre le terrorisme, le trafic de personnes et de drogues, le blanchiment d'argent et le meurtre, tout en assurant la responsabilisation.
Je m'excuse de cette répétition. Nous enverrons le texte exact à tous les membres du Comité. J'attends avec intérêt les questions que mes collègues pourraient avoir.