Bienvenue à tous et à toutes à la 92e réunion du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes.
[Français]
Conformément à l'alinéa 108(3)h) du Règlement et à la motion adoptée par le Comité le mardi 31 janvier 2023, le Comité reprend son étude de l'utilisation des plateformes de médias sociaux pour la collecte de données et le partage non éthique ou illicite de renseignements personnels avec des entités étrangères.
La réunion d'aujourd'hui se déroule sous forme hybride, conformément au Règlement de la Chambre. Les députés peuvent participer en personne ou au moyen de l'application Zoom.
[Traduction]
Je voudrais rappeler à tous les membres et témoins qu'il faut faire attention aux oreillettes pour l'interprétation. Veuillez ne pas placer votre oreillette à proximité du microphone, car cela peut provoquer un choc acoustique, qui pourrait à son tour blesser les interprètes.
J'aimerais maintenant souhaiter la bienvenue à nos témoins de la première heure aujourd'hui.
Nous accueillons les représentants du Service canadien du renseignement de sécurité, le SCRS, M. Peter Madou, directeur général, Évaluation des renseignements — bienvenue, M. Madou — et Mme Cherie Henderson, directrice adjointe, Exigences.
Nous accueillons aussi M. Sami Khoury, dirigeant principal, Centre canadien pour la cybersécurité, du Centre de la sécurité des télécommunications.
Nous allons commencer par les représentants du SCRS. Vous avez au plus cinq minutes pour votre déclaration préliminaire.
Madame Henderson, allez‑y, je vous prie. Merci.
Monsieur le président, mesdames et messieurs les membres du Comité, bonjour.
Je m'appelle Cherie Henderson, et je suis sous-ministre et directrice adjointe des Exigences au SCRS.
[Français]
C'est un honneur que de pouvoir me joindre à vous aujourd'hui pour contribuer à vos discussions importantes au sujet des médias sociaux et des entités étrangères. Je suis accompagnée de mon collègue Peter Madou, directeur général, Bureau stratégique.
[Traduction]
Nous espérons aujourd'hui pouvoir éclairer le Comité sur les préoccupations en matière de sécurité nationale associées aux échanges de données avec des entités étrangères telles que la République populaire de Chine, ou RPC, ainsi que le rôle que le SCRS joue pour protéger la prospérité du Canada, ses intérêts sur le plan de la sécurité nationale et la sécurité des Canadiens.
[Français]
Des acteurs étatiques étrangers mènent leurs activités d'ingérence en faisant appel à tous les moyens viables à leur disposition, dont les plateformes de médias sociaux, qui sont un outil idéal pour de telles opérations.
[Traduction]
Les auteurs de menace tels que la Fédération de Russie et la RPC exploitent les médias sociaux pour propager de la désinformation en faisant appel à des algorithmes subjectifs qui amplifient les chambres d'écho et manipulent le contenu affiché auprès du public sans susciter de suspicion. L'utilité de tels outils était notamment évidente lors de l'élection présidentielle de 2016 aux États‑Unis et continue de susciter des préoccupations au Canada. Ces caractéristiques des médias sociaux sont également utilisées par des auteurs de menace extrémistes pour radicaliser et recruter des utilisateurs.
Les auteurs de menace s'intéressent aux plateformes de médias sociaux en raison des données qu'elles génèrent et recueillent. Ces plateformes tiennent des sondages, rassemblent des ensembles de données et demandent un accès aux données personnelles des utilisateurs dans leurs conditions d'utilisation, leur permettant ainsi d'accéder aux albums photos, aux messages et aux listes de contacts sur votre téléphone. Bien que certaines de ces données soient plutôt anodines lorsqu'elles sont examinées individuellement, elles peuvent permettre de cerner précisément des tendances et d'en apprendre plus sur diverses populations, sur l'opinion publique et sur des réseaux individuels lorsqu'elles sont recueillies et réunies en volumes importants. C'est pourquoi il est essentiel pour les Canadiens d'être au courant des facteurs à prendre en compte sur le plan de la vie privée lorsqu'ils choisissent de transmettre leurs informations personnelles en ligne, en particulier lorsqu'il est question d'entreprises étrangères qui se trouvent en dehors du Canada et de pays alliés.
Les États autoritaires tels que la RPC se servent des mégadonnées, y compris celles du secteur privé, pour mener leurs activités d'ingérence étrangère. Même si l'utilisation des données par le gouvernement est rigoureusement encadrée, au Canada, selon des obligations sur le plan de l'éthique, de la loi et du respect de la vie privée, les États autoritaires ne se soumettent pas à de telles restrictions. La RPC se sert de ce libre accès pour amasser des volumes de données supérieurs aux collections combinées de tous les autres pays, et ce, tout en protégeant ses propres informations.
Les nouvelles technologies, telles que l'intelligence artificielle, ne feront que l'aider encore plus dans ses activités malfaisantes. La loi de 2017 sur le renseignement national de la RPC oblige par ailleurs les particuliers, les organisations et les institutions, y compris les plateformes de médias sociaux qui offrent des services en Chine, à fournir des informations de masse au gouvernement de la Chine. Ces informations aident ensuite les services de sécurité et de renseignement de la RPC à mener toute une gamme d'activités dans le domaine du renseignement. Les organisations établies dans la RPC et les citoyens de la RPC sont également tenus de garder dans le secret tous les travaux de l'État liés au renseignement. Cette politique appuie et reflète les tentatives audacieuses et continues de la Chine visant à mener des activités d'ingérence étrangère au Canada.
Il est essentiel que le Canada devienne plus résilient face à l'ingérence étrangère. Cela comprend notamment de sensibiliser davantage la population au sujet de l'aptitude de la RPC à recueillir et à utiliser les informations des Canadiens obtenues à partir des médias sociaux pour mener des activités d'ingérence étrangère.
Par exemple, le compte X du SCRS a récemment publié un fil de messages sur la façon dont les services de renseignement de la RPC utilisent Linkedln pour cibler les Canadiens en prétendant être des contacts d'affaires à la recherche d'experts-conseils au Canada, de sorte à les pousser à fournir à leur insu des informations confidentielles d'intérêt pour la RPC à des agents de renseignement spécialement formés.
[Français]
Pour protéger la sécurité nationale du Canada, il est plus que jamais nécessaire d'adopter une approche englobant toute la société, qui prévoirait pour commencer des discussions éclairées et franches entre les communautés, les universitaires et tous les ordres de gouvernement. Il est important que les utilisateurs de médias sociaux soient au courant des risques associés à la transmission de données personnelles sur certaines plateformes. Le SCRS demeure un partenaire engagé dans ces efforts, et son équipe de professionnels talentueux et dévoués travaille d’arrache-pied à assurer la sécurité et la prospérité de tous les Canadiens.
[Traduction]
Je me ferai un plaisir de répondre à vos questions.
Merci.
:
Bonjour, monsieur le président et chers membres du Parlement.
Je suis heureux de participer à la réunion d'aujourd'hui, et j'aimerais d'abord reconnaître que nous nous trouvons sur un territoire non cédé de la nation algonquine Anishinaabe.
Je m'appelle Sami Khoury, et je suis le dirigeant principal du Centre canadien pour la cybersécurité, ou Centre pour la cybersécurité. Le Centre pour la cybersécurité fait partie du Centre de la sécurité des télécommunications.
[Français]
En tant qu'autorité technique du Canada en matière de cybersécurité, nous mettons à profit notre expertise afin de protéger l'information et les systèmes auxquels se fient quotidiennement les Canadiennes et les Canadiens.
[Traduction]
Nous protégeons et défendons les biens électroniques précieux du Canada, nous menons les interventions fédérales du Canada lorsque se produisent des événements de cybersécurité et nous rehaussons la barre en matière de cybersécurité au Canada afin que les Canadiens et les Canadiennes puissent mener leurs activités professionnelles et personnelles en ligne en toute confiance et en toute sécurité.
Le Centre pour la cybersécurité publie des avis et des conseils à l'intention des Canadiennes et des Canadiens sur les dangers qui les guettent en ligne ainsi que sur les mesures à prendre pour assurer leur protection et celle de leurs organisations contre la menace que peuvent poser les applications de réseaux sociaux.
[Français]
Nous aidons aussi le gouvernement du Canada à prendre des décisions stratégiques en matière de cybersécurité, y compris sur l'utilisation des applications de réseaux sociaux, qui constituent un important outil de communication avec la population.
[Traduction]
En février dernier, le Secrétariat du Conseil du Trésor, le SCT, a publié une déclaration annonçant l'interdiction d'utiliser l'application TikTok sur les appareils mobiles fournis par le gouvernement. Pas plus tard que la semaine dernière, une annonce similaire a été faite concernant l'utilisation de WeChat. Les deux décisions ont été prises par la dirigeante principale de l'information du Canada, qui a évalué que les applications en question présentaient un niveau de risque inacceptable. Bien que ces interdictions s'appliquent uniquement aux appareils émis par le gouvernement, les deux déclarations du SCT ont mené les Canadiennes et Canadiens à des lignes directrices publiées par le Centre pour la cybersécurité.
Dans notre Évaluation non classifiée des cybermenaces nationales de 2023‑2024, nous avons évalué que les États étrangers utilisent les médias sociaux pour cibler des Canadiennes et Canadiens en particulier. Selon un rapport du Citizen Lab de l'Université de Toronto, des cybermenaces ciblent des activistes au Canada en ayant recours à la désinformation ou à l'intimidation sur les médias sociaux, à des attaques par déni de service contre des organisations et à la compromission de leurs dispositifs personnels.
Au‑delà du recours à des activités de cybermenace contre des citoyennes et citoyens, il est fort probable que des pays utilisent des applications de messagerie et de médias sociaux étrangers populaires auprès de la diaspora au Canada et à travers le monde pour surveiller les communications. Des pays peuvent profiter de conditions d'utilisation permissives et de leurs propres pouvoirs législatifs pour forcer le partage de données. Cette façon de faire menace la vie privée des communautés qui emploient ces applications.
[Français]
Les Canadiennes et les Canadiens qui ont des renseignements commerciaux confidentiels sur leurs appareils devraient faire particulièrement attention lorsqu'ils donnent accès à ces appareils.
[Traduction]
Les applications de messagerie instantanée et les plateformes de médias sociaux ne sont pas toutes équivalentes. Certaines plateformes sont plus responsables, et vous n'avez potentiellement pas à craindre que les données tombent entre les mains d'un État-nation. Cependant, d'autres plateformes sont trop près de cette ligne.
Le Centre pour la cybersécurité recommande fortement aux Canadiens et Canadiennes de prendre des décisions éclairées quant aux services en ligne qu'ils et elles sont prêts à utiliser.
[Français]
Effectuer ces évaluations et prendre ces décisions peut se faire facilement, et le Centre canadien pour la cybersécurité a publié des ressources en ligne afin de rendre le tout encore plus facile.
[Traduction]
Le Centre pour la cybersécurité recommande de faire des recherches sur toute application ou plateforme que vous comptez utiliser afin de déterminer si elle provient d'une source de confiance. On recommande en outre de lire les conditions générales d'utilisation. Mettez-vous au courant de ce que l'on dit d'une application en particulier dans les médias et d'autres sources fiables, et surtout, sachez ce à quoi vous consentez. Demandez-vous si une application a vraiment besoin d'accéder à vos renseignements personnels, comme votre liste de contacts. Il peut sembler inutile de consulter les fonctions de sécurité et de protection des renseignements personnels d'une plateforme, toutefois, c'est ainsi que vous éviterez d'utiliser des applications qui n'ont pas de mesures rigoureuses de protection des justificatifs d'identité, ce qui vaut amplement la peine.
[Français]
Enfin, ne sacrifiez jamais la sécurité pour la facilité. Découvrez où sont stockées vos données et quel impact cela pourrait avoir sur la protection de vos renseignements personnels.
[Traduction]
En conclusion, les médias sociaux ont changé la façon dont les Canadiennes et Canadiens communiquent, gardent contact et tissent de nouvelles relations.
[Français]
Alors que les menaces liées aux médias sociaux continuent d'évoluer, il faut s'assurer de prendre des décisions responsables et éclairées sur la meilleure façon de se protéger et de protéger ses renseignements en ligne.
[Traduction]
Renseignez-vous afin d'adopter de meilleurs moyens de protection de vos renseignements personnels et de votre sécurité, et sensibilisez les membres de votre famille et vos amis à ce sujet.
Je vous remercie encore de m'avoir invité à comparaître devant vous. Je répondrai à vos questions avec plaisir.
:
Pardon. J'ai dû chercher loin dans mes souvenirs.
Tout d'abord, je ne sais pas si je les appellerais vraiment des « postes de police ». Je pense que ce que nous avons vu, ces derniers mois, ce sont des personnes qui ont des liens avec la RPC ou qui appuient certaines des activités de la RPC. Souvent, il s'agit de personnes qui ont été récupérées. À un moment donné, il y en avait trois dans notre mire — les médias en ont parlé —, et la Gendarmerie royale du Canada, la GRC, a accordé toute son attention à ces postes de police.
Mais je ne voudrais pas commenter davantage les activités de la GRC.
:
Je trouve que c'est une question très intéressante, dont nous devons discuter.
Cela tient en grande partie à la manière dont les Canadiens — ou tout citoyen du monde, disons —, protègent leurs renseignements personnels. Si vous publiez ouvertement sur les réseaux sociaux de nombreux renseignements personnels, alors, absolument, les États hostiles pourront récolter ces données, de toute façon. Ce n'est pas seulement la Chine qui le fait. Il peut s'agir d'autres États hostiles. Je crois que c'est aussi très important. Vous perdez de vue toutes les activités hostiles menées contre les Canadiens si vous mettez l'accent seulement sur un seul acteur. Il est très important de protéger totalement l'accès à vos médias sociaux et aux données que vous y publiez.
Vous aviez absolument raison lorsque vous avez fait ce commentaire. Les États hostiles vont récupérer ces informations. Ils peuvent recueillir ces informations, traiter des données volumineuses et faire une surveillance très ciblée, s'ils le veulent.
:
Monsieur Khoury, pourriez-vous répondre à cette question‑là?
M. Sami Khoury: Non, je ne peux pas, malheureusement.
Mme Cherie Henderson: Je ne suis pas certaine de pouvoir dire que l'on a remonté la piste jusqu'à la Chine. Il faudrait que je vérifie ce que nous savons à ce sujet.
Ce que je peux dire, c'est que, une fois de plus, vous avez tout à fait raison. Des gens obtiennent des données et prennent pour cible toute personne qu'ils croient devoir opprimer, sur laquelle ils veulent plus d'informations ou sur laquelle ils veulent faire pression en lien avec certaines activités.
Absolument, on peut utiliser les médias sociaux pour recueillir de l'information à ces fins.
:
Merci, monsieur le président.
Je remercie les deux organisations du travail qu'elles font pour assurer la sécurité des Canadiens. On ne reconnaît pas suffisamment le travail qu'elles font dans l'ombre, alors je tiens à remercier les deux organisations de tout ce qu'elles font.
Nous leur avons demandé de venir témoigner précisément au sujet de TikTok. Leurs représentants nous ont dit que les seules informations recueillies sont l'adresse électronique et l'âge. Je vais poser des questions au sujet de l'âge dans un instant. D'après vous, est‑il exact de dire que ce sont bien là les informations recueillies en ligne au sujet des gens? Selon ce que je comprends, il est possible de recueillir beaucoup plus d'information en s'intéressant simplement à ce que les gens cherchent, et je les ai questionnés à ce sujet. On peut savoir qu'une personne a un problème cardiaque grâce aux recherches qu'elle a effectuées.
Je ne sais pas qui est le mieux préparé pour répondre à cette question. Monsieur Khoury, vous semblez prêt à y répondre.
:
J'aimerais parler des jeunes, parce que cela ne concerne pas seulement TikTok.
Ils ont dit qu'il existe toute sorte de mesures de protection pour empêcher les jeunes d'utiliser TikTok. Selon moi, il importe peu qu'il s'agisse de TikTok, d'Instagram ou des autres plateformes de médias sociaux; les jeunes partagent énormément de données sur leurs comptes de médias sociaux, et cela peut mener à l'exploitation.
J'aimerais tout d'abord avoir vos commentaires au sujet de l'exposition des jeunes aux réseaux sociaux et de la question de savoir si les plateformes en font suffisamment pour limiter leur exposition. De plus, que pouvons-nous faire, en tant que gouvernement, pour aider les jeunes à savoir ce qui se passe, étant donné qu'ils ne le savent pas, actuellement?
:
Merci de la question. Je vais y répondre en anglais.
[Traduction]
J'aimerais donner des explications plus détaillées sur le fait que bien des personnes vont sur les plateformes de réseaux sociaux et partagent beaucoup d'information. Comme mon collègue, M. Khoury, l'a souligné, il s'agit parfois des choses que cette personne aime, et parfois, des pages auxquelles elle est abonnée. Toutes ses vidéos ou ses photos pourraient se retrouver sur les réseaux sociaux. Les acteurs étrangers qui ont des intentions hostiles peuvent rassembler toutes ces informations et avoir une très bonne idée de qui vous êtes et de la manière dont ils peuvent vous influencer.
Par ailleurs, nous constatons que les réseaux sociaux semblent être un bon endroit pour remarquer et observer les tendances. Si un acteur étranger veut savoir quelle tendance suit une région donnée, il n'a qu'à surveiller ce qui se passe sur les réseaux sociaux: Pour qui les gens votent-ils? De quoi les gens s'inquiètent-ils ou se préoccupent-ils? Quelles informations trompeuses ou erronées consultent-ils? C'est pourquoi je dis qu'il s'agit d'outils puissants qui peuvent réellement servir à faire du tort et à mener des activités d'ingérence étrangère.
:
Je ne connais pas moi-même tous les réseaux de ces pays précis.
Une fois de plus, en tant que citoyen innocent qui crée des comptes sur des réseaux sociaux, vous devez tenter d'en connaître la provenance. Plus les Canadiens se tiennent informés, plus ils se protègent. Vous pourriez penser qu'un compte ne vient pas d'un État qui pourrait nous préoccuper, mais, si vous creusez un peu plus, il se peut que ce soit le cas.
Je vous conseillerais de toujours vérifier deux fois pour être certain de savoir exactement à quoi vous consentez et avec qui vous le faites, du mieux que vous pouvez.
:
Merci beaucoup, monsieur le président.
Je vais vous poser une série de questions.
Tout d'abord, merci d'être ici. C'est toujours un plaisir pour moi, qui vient de la classe ouvrière de Hamilton, de pouvoir poser des questions au CST et au SCRS. C'est vraiment génial.
Je vais vous poser directement des questions, et j'aimerais que vos réponses soient les plus directes possible.
Le 27 février 2023, le gouvernement du Canada a annoncé qu'il interdisait l'utilisation de l'application TikTok sur les appareils mobiles gouvernementaux. Le Centre de la sécurité des télécommunications a‑t‑il été consulté lorsque la décision a été prise?
Je m'adresse à vous, monsieur Khoury.
:
Respectueusement, je ne suis qu'une personne de la classe ouvrière de Hamilton, et il ne m'a fallu que 10 minutes de recherches sur Google pour trouver cette information. Vous travaillez pour le CST. Comment se fait‑il que, quand vous faites une analyse des menaces des médias sociaux, vous ne relevez pas la menace de ce que j'appellerais le capitalisme des algorithmes, la collecte et la vente d'informations à des fins politiques, qui saperaient les processus démocratiques? Je trouve cela stupéfiant, pour être tout à fait franc avec vous, parce que, lorsque vous parlez d'un niveau de risque acceptable, nous avons vu les conséquences du Brexit et de M. Trump.
Cambridge Analytica et Facebook, l'entreprise de Mark Zuckerberg, ont dû comparaître devant le Congrès des États-Unis et payer des amendes en Europe pour avoir interféré dans les processus politiques. Pourtant, les seules menaces dont nous parlons sont liées à des acteurs appartenant à l'État, non pas à des entreprises, lesquelles sont souvent hostiles et, franchement, beaucoup plus dangereuses lorsqu'il est question de surveiller les différentes diasporas. J'ai parlé des façons dont les régimes dictatoriaux ciblent leurs populations civiles ici.
Je vais vous poser une question. Quand vous faites vos analyses des menaces, tenez-vous compte de toutes les autres plateformes et de tous les autres moyens par lesquels le capitalisme des algorithmes peut acheter et vendre nos informations et saper les institutions démocratiques?
:
Je peux peut-être répondre. Merci.
Tout d'abord, je vais commencer par dire que l'ingérence étrangère ne se produit pas seulement lors d'une élection. Il y en a tout le temps, tous les jours, et je pense qu'il faut garder cela à l'esprit, parce que, quand vous décidez de vous pencher sur une période électorale, qui est bien définie dans le temps, vous n'allez pas toujours repérer l'ingérence étrangère sur le fait. Nous surveillons ce qui se passe tous les jours, avant une élection, et nous surveillons constamment la situation pour déceler une quelconque forme d'ingérence étrangère par un acteur hostile relevant de l'État.
Lorsque vous étudiez une période précise et que vous avez affaire avec une possible attaque sur les médias sociaux, trouver le point d'origine de l'attaque prend beaucoup de temps. Pour trouver le pays d'origine de l'attaque ou son auteur, il ne suffit pas d'appuyer sur un bouton. Cela prend beaucoup de temps aux services du renseignement pour faire le nécessaire et retracer l'origine de l'attaque.
Aussi, je dois dire que nous ne surveillons pas les médias sociaux. Vous ne voulez pas que votre service national de renseignements surveille tous les médias sociaux. Nous devons d'abord nous assurer que la menace sur les médias sociaux est réelle avant d'agir en vertu de notre mandat.
:
Merci, monsieur le président.
Merci aux témoins de s'être joints à nous aujourd'hui. J'aimerais moi aussi vous remercier pour le travail que vous faites pour protéger les Canadiens et les Canadiennes.
Madame Henderson, pour en revenir à ce dont vous avez brièvement parlé, je suis père d'un adolescent et d'un préadolescent. Nous nous préoccupons tous des jeunes de notre pays. Nous avons appris avec le temps que des pays étrangers comme la Russie travailleront longtemps pour tenter d'influencer toute une génération. Vous avez aussi mentionné que des gens déploient des efforts pour influencer toute une génération.
Est‑ce que d'autres pays hostiles suivent maintenant cette pratique dont vous avez parlé, la Chine, la Russie, l'Iran ou la Corée du Nord? Font-ils des imitations? Croyez-vous que d'autres applications sont en cours de développement et qu'elles auront autant d'influence que TikTok? Le siège social de TikTok et de tous ces autres médias sociaux sont situés à l'extérieur de l'Amérique du Nord, mais les applications sont utilisées mondialement. Surveillez-vous le développement d'autres applications que nous ne connaîtrions pas encore?
:
Merci de cette question très importante.
[Traduction]
Je pense que l'éducation doit se faire à tous les niveaux.
Encore une fois, je ne suis pas une spécialiste des politiques. Je suis une mère, et j'aimerais m'assurer que mes enfants reçoivent une éducation à l'école, dans les centres communautaires et de manière générale. Il faut commencer à avoir une plus grande participation, mais je parle en tant que mère, et non pas en tant qu'agente de sécurité.
Je pense que nous devons absolument avoir ce volet d'éducation. C'est d'une importance capitale.
:
Merci beaucoup, monsieur le président.
Merci à nos témoins d'être ici.
Dans la foulée de l'attaque du 7 octobre contre des citoyens israéliens, une organisation terroriste a diffusé une information que le , la , d'autres membres du gouvernement et d'autres partis politiques ont communiquée: les Forces de défense israéliennes avaient bombardé un hôpital. Cette information s'est répandue comme une traînée de poudre sur tous les médias sociaux, mais a très vite été considérée comme catégoriquement fausse. Nos alliés du Groupe des cinq savaient qu'il s'agissait de désinformation, mais notre gouvernement a refusé de se rétracter. C'est un exemple.
Madame Henderson, pouvez-vous nous expliquer comment ce type d'action du gouvernement contribuerait à l'érosion de la confiance et nous faire part de certains des défis associés aux médias sociaux et à l'influence que les États étrangers pourraient avoir sur la population canadienne?
:
Je n'ai besoin que de quelques secondes. Je voulais clarifier quelque chose que M. Kurek a dit.
Le gouvernement canadien a examiné lui-même l'information sur l'attentat à la bombe à l'hôpital. Le , de façon très catégorique, à la Chambre des communes et ailleurs, a confirmé que ce n'est pas Israël qui a bombardé l'hôpital. En fait, je me rappelle que les collègues conservateurs se sont levés et ont applaudi lorsqu'il a dit cela à la Chambre.
Je veux m'assurer que le compte rendu reflète bien que nous avons mené notre propre enquête, monsieur le président. Nous avons effectivement dénoncé la désinformation.
Je vais céder la parole à M. Kelloway.
:
Merci, monsieur le président, d'un ouvrier à un autre, il faut que cette tendance se poursuive.
Je suis vraiment reconnaissant du travail que vous faites. Je ne peux pas imaginer le travail que vous faites. J'ai tellement de questions à vous poser, mais dans le temps qui m'est imparti, je ne pourrais pas vous rendre justice.
L'éducation est un élément en particulier qui revient toujours. En tant qu'éducateur, j'aimerais expliquer ce que cela signifie vraiment. Comme vous l'avez mentionné, le dentifrice n'est peut-être plus dans le tube, mais que faisons-nous?
Je vais essayer de ramener tout cela à une chose fondamentale. Pour ce qui est de la radicalisation des jeunes sur TikTok ou d'autres plateformes par des entités étrangères, pouvez-vous nous donner des précisions? Pouvez-vous essayer de quantifier la gravité de ce phénomène, au mieux de vos capacités?
Cette question s'adresse à l'un d'entre vous ou aux trois.
:
Je pense qu'il s'agit d'un problème très grave.
Ce ne seront pas des États hostiles; ce sont des organisations terroristes hostiles. Ces personnes seront assises dans un autre pays. Elles sont là en train de surveiller les médias sociaux, de créer leurs propres sites Web et de rechercher des jeunes. Elles recherchent les personnes qui sont peut-être seules, assises dans leur chambre devant leur ordinateur, en train d'explorer et d'essayer de répondre à des questions. Elles sont très vulnérables. Puis, ces personnes répondent, et elles établissent une relation.
Traditionnellement, dans le monde de l'espionnage, nous appelions cela créer un pot de miel. Vous attirez ces personnes afin qu'elles viennent à vous. C'est ce qu'ils font. Une fois qu'ils les ont attirées, ils continuent de travailler sur elles. Ils continuent de leur fournir des images des médias. Ils bâtissent cette idéologie extrémiste et ils façonnent ces jeunes esprits.
C'est ce qui m'inquiète beaucoup, parce que je pense qu'il y a en ce moment beaucoup de jeunes vulnérables et beaucoup d'acteurs très hostiles qui sont prêts à profiter de ces enfants.
Je vous remercie de m'avoir invitée à présenter quelques observations sur la question de savoir si, et comment, les médias sociaux peuvent compromettre la vie privée, la sûreté, la sécurité et la démocratie.
Je suis Sharon Polsky, présidente du Conseil du Canada de l'accès et la vie privée, un organisme indépendant, à but non lucratif et non partisan qui n'est pas financé par le gouvernement ou le secteur. L'organisme est composé de membres provenant des secteurs public et privé, qui utilisent régulièrement les médias sociaux dans leur vie personnelle et professionnelle.
Plusieurs personnes se souviennent de la présentation de Google Mail. Il s'agissait d'une brillante manœuvre de marketing qui s'attaquait à la nature humaine. Seules quelques personnes triées sur le volet pouvaient posséder un compte. L'invitation conférait à ces rares personnes un statut spécial parmi leurs pairs. Cette tactique et l'attention des médias ont créé la demande. On ne parlait pas des inconvénients, des risques ou de la protection de la vie privée. Les gens voulaient simplement avoir ce compte Google. C'était de la simple psychologie qui montrait à quel point les gens peuvent être facilement manipulés.
Depuis lors, nous avons vu d'innombrables exemples de grandes entreprises technologiques qui nous manipulent pour partager en ligne les détails les plus intimes de notre existence. Les médias sociaux continuent de tirer parti de la nature humaine, et l'industrie lucrative des courtiers en données en est le principal bénéficiaire, à l'exception de ceux qui voudraient nous manipuler à leur profit, qu'il s'agisse d'entreprises, de partis politiques ou de gouvernements. Avec les récents événements géopolitiques, il est facile de penser que ce que les gens publient sur des médias sociaux pourrait être utilisé pour contraindre, extorquer de l'argent ou manipuler, mais imputer cela uniquement aux médias sociaux ou aux médias sociaux d'un autre pays est une vision à court terme.
Les risques en ligne sont le reflet de la société et proviennent de nombreuses sources, y compris des outils de communication et de collaboration familiers que de nombreuses personnes présentes dans cette salle utilisent probablement tous les jours. Chacun d'entre eux constitue une menace réelle et constante. Les applications Zoom, Teams, Slack, Facebook et les autres sont toutes étrangères.
Ce n'est un secret pour personne que de nombreuses entreprises récupèrent des données et justifient leurs actions en disant qu'elles considèrent les informations comme publiques parce que leurs systèmes d'intelligence artificielle ont été capables de les trouver sur le Web. Peut-être que le site sécurisé où vous avez publié des informations personnelles ou confidentielles, ou que le système de sécurité informatique de l'hôpital de l'Ontario que vous avez visité récemment ont été compromis et que votre état de santé ou vos conversations de nature délicate sont maintenant vendus sur le Web clandestin.
Si nous craignons que les personnes qui utilisent les médias sociaux divulguent des informations susceptibles de les rendre controversées sur le plan politique et plus susceptibles d'être influencées, j'attire votre attention sur l'enregistrement que nous entendons chaque fois que nous appelons notre fournisseur de téléphonie mobile ou la plupart des autres entreprises, qui dit: « Cet appel sera enregistré à des fins de formation ». Cela signifie généralement la formation des systèmes d'intelligence artificielle grâce à l'apprentissage automatique. L'aspect humain de cette formation est réalisé dans des pays du monde entier par des personnes qui ont accès à vos informations sensibles.
Une entreprise technologique finlandaise a récemment commencé à utiliser la main-d'œuvre des prisons pour l'étiquetage des données. Et ce n'est pas fini. Nous ne choisissons pas que l'étiquetage soit effectué par quelqu'un en Alberta ou en Albanie. Il n'y a aucun contrôle, et rien n'empêche une entreprise ou un gouvernement d'acheter les informations, parce qu'elles sont disponibles en grande partie par l'intermédiaire du réseau de courtiers de données. Elles sont facilement accessibles à l'échelle internationale. Je pourrais continuer ainsi longtemps.
Oui, l'éducation est certainement importante. Les ordinateurs sont présents dans les bureaux depuis près d'un demi-siècle. L'éducation n'est pas encore là, puisque nous voyons les grandes entreprises technologiques investir des dizaines de milliards de dollars par an pour contrecarrer et miner les efforts de réglementation du secteur, sous prétexte que cela nuirait à l'innovation. Il s'agit d'un faux-fuyant qui a été réfuté à maintes reprises au fil de l'histoire.
Nous voyons des sites de rencontre que les gens utilisent couramment et qui sont merveilleux pour une vie sociale, mais lorsque les sites comme le site de rencontre canadien Ashley Madison sont compromis, j'ose dire que beaucoup de leurs clients deviennent controversés sur le plan politique.
Lorsque des enfants ou des adultes se rendent sur un site Internet, avant même de voir le résultat, le fait qu'ils sont allés consulter le site — qu'il s'agisse de santé mentale, de toxicomanie ou de conseils médicaux — est déjà secrètement transmis à des entreprises telles que Facebook et les courtiers de données.
Ce n'est pas quelque chose que le projet de loi , ni aucun autre texte législatif, va régler. En fait, la plupart des lois introduites ici et à l'étranger ne feront qu'aggraver la situation pour tout le monde, y compris pour les enfants, et surtout pour les enfants.
Je serai heureuse de répondre à vos questions. Il s'agit d'une tâche colossale, et je vous félicite tous.
:
Merci, monsieur le président.
Merci beaucoup et bienvenue au sein du Comité.
L'un des grands défis que nous devons relever est le suivant. Lorsque quelqu'un télécharge une application, il coche la case des conditions générales. Il y a de plus en plus d'éducation sur ce qui doit ou ne doit pas être publié sur des médias sociaux. Cependant, il y a une immense zone grise quant aux informations qui sont réellement recueillies ou consultées, qu'il s'agisse de l'emplacement ou d'autres éléments. En fait, c'est le Comité qui s'est penché sur le fait que les informations relatives à l'emplacement des téléphones portables ont été partagées avec le gouvernement pendant la pandémie de la COVID‑19. Ces informations détaillaient les déplacements des personnes dans les magasins d'alcool, les épiceries et d'autres lieux publics.
Comment nous réconcilier avec ce monde de « mégadonnées », où quelqu'un télécharge une application et coche une case, et où tout d'un coup ces informations sont envoyées vers quelque chose que nous ne comprenons pas vraiment? Quelles sont les conséquences de la destination de ces données?
:
Je pense que c'est un phénomène généralisé.
Par ailleurs, au cours de la dernière demi-heure, il m'a fallu quelques minutes pour trouver les anniversaires de tous les membres du Comité, à l'exception de trois. Je vous souhaite d'avance un « joyeux anniversaire » pour la semaine prochaine.
M. Damien Kurek: Merci.
Mme Sharon Polsky: C'est très facile. Nos informations circulent, même si nous diffusons de fausses informations. Vous pouvez imaginer ce que vivent mes enfants. Ils ont leur anniversaire en ligne. Le jour de leur véritable anniversaire, leurs amis leur disent « joyeux anniversaire », et les algorithmes s'en rendent compte. Les algorithmes détectent, par le volume de vœux à la date réelle, qu'il s'agit d'un véritable anniversaire, ainsi que d'autres informations recueillies par le réseau caché de courtier de données, où nos informations sont échangées, vendues et font l'objet d'enchères instantanées.
Les moindres détails de notre vie sont disponibles à la vente dans le monde entier.
:
Je comprends et je vous remercie pour vos vœux d'anniversaire. Je suis certainement beaucoup plus jeune que j'en ai l'air.
Ce qui a déclenché cette étude, c'est en grande partie la question de TikTok, qui a été banni par le gouvernement des appareils mobiles gouvernementaux. Il y a quelques semaines, le gouvernement a interdit WeChat, qui a certainement des liens beaucoup plus directs avec la dictature communiste de Pékin. Ce sont deux exemples qui ont fait les manchettes et pour lesquels le gouvernement a pris des mesures, mais nous avons vu qu'une application météorologique était l'une des applications qui vendaient des données, que le gouvernement a achetées au cours de la pandémie de la COVID-19.
Plus généralement, pouvez-vous donner votre avis au Comité — en une minute environ, si vous le pouvez — concernant la façon d'envisager les choses sous cet angle, dans leur ensemble, en regardant au-delà de TikTok, de WeChat ou des médias sociaux, pour examiner l'accès que nous donnons à diverses entités à une quantité incroyable d'information?
:
En tant que législateurs, une chose que nous pouvons faire est de ne pas adopter le projet de loi , parce qu'il ne rendra pas les choses meilleures; il ne fera que les empirer.
Que pouvons-nous faire? La Loi sur la protection des renseignements personnels et les documents électroniques est-elle rassurante? Non, elle ne l'est pas, parce qu'elle n'est pas suffisante, comme l'a dit Jennifer Stoddart lors de ses derniers jours dans son rôle de commissaire. Elle pourrait avoir plus de mordant. C'était il y a combien d'années? La Loi a encore besoin d'un peu plus de mordant. Bien sûr, les organisations canadiennes sont responsables de la collecte, de l'utilisation, de la divulgation appropriées et de tout le reste en vertu de la LPRPDE, mais lorsque les renseignements sont transférés à l'étranger, elles en perdent le contrôle. Nous, en tant que Canadiens, n'avons aucun recours quand nos renseignements se retrouvent dans une nation étrangère et s'envolent, ou quand nous constatons des choses qui violent notre vie privée, que ce soit de la part d'Equifax, de Meta, de Google ou de toute autre organisation.
Une commission ou une autre quelque part dans le monde les frappe d'une amende de plusieurs millions de dollars ou de centaines de millions de dollars. Elles les mettent dans leur rapport financier comme un poste budgétaire, et cela réduit leur dette fiscale — c'est gentil, au suivant. C'est tout. C'est de l'argent de poche pour elles. Il s'agit de l'entreprise, pas d'une personne.
:
Je crois que les rançongiciels, comme bon nombre des problèmes que nous avons en ligne, sont un reflet de la société. Il s'agit du même type de crime que ceux qui étaient commis avant l'avènement d'Internet. Internet est un outil qui permet aux auteurs de crime de commettre ces crimes en plus grand nombre, avec une meilleure efficacité et rentabilité de leur côté, et des rendements plus élevés. C'est fantastique, mais ce n'est aucunement différent. Ce n'est vraiment pas différent.
Le problème une fois de plus est l'éducation. Vous pouvez avoir la meilleure technologie, la meilleure sécurité qui soit, mais si quelqu'un n'a pas le courage de poser des questions au patron ou d'appeler la présidente et de dire « Excusez-moi, madame, mais avez-vous réellement envoyé cela? » ou si personne n'a la curiosité ou le scepticisme, en particulier de nos jours, de remettre en question ce qui est présenté dans leur courriel — et je suis certaine que ces personnes agissent de bonne foi — et si elles cliquent sur la mauvaise chose, cela expose toute l'organisation à des rançongiciels et à des problèmes.
L'organisation peut s'en remettre, mais qu'en est‑il de toutes les personnes dont les renseignements personnels ont été compromis? Dans le cas d'Equifax, on comptait 146 millions d'Américains, et le versement, le règlement négocié, l'amende... Je me souviens de Kevin Mitnick, quand il était toujours en vie, sur LinkedIn, qui montrait le chèque de 5,42 $ qu'il a reçu. Cela devait l'aider à se rétablir. Au Canada, les Canadiens qui ont été touchés ont bénéficié d'une année ou deux de surveillance de leur crédit, qui était administrée par l'organisation américaine d'Equifax.
:
Le terme « capitalisme de surveillance », inventé par Shoshana Zuboff, est un terme merveilleux. Nous pourrions aussi dire « économie de la surveillance », puisque de nos jours la majeure partie de notre économie est fondée sur la surveillance d'une manière ou d'une autre, que nous en soyons conscients ou non.
Que pouvons-nous faire? Avant qu'un médicament ne soit autorisé pour être vendu au Canada, avant qu'un véhicule ne soit autorisé à être vendu et immatriculé au Canada, et de nombreux autres produits, ils doivent être testés par une autorité canadienne indépendante qui puisse s'assurer qu'ils sont adaptés et sécuritaires. Je crois que la même chose s'applique à la technologie que nous utilisons tous les jours, qui est maintenant vendue par des entreprises n'ayant que leurs intérêts à cœur. Elles favorisent toutes l'économie de la surveillance.
La seule manière de ne pas laisser nos renseignements être utilisés en permanence pour alimenter la surveillance... Les manipulateurs de médias disent « Eh bien, tout le monde est d'accord avec cela parce qu'ils continuent à donner leurs renseignements », malgré le fait que nous n'ayons que très peu d'options voire aucun moyen de refuser. Il revient à notre gouvernement de réglementer cela, malgré les objections des grandes entreprises technologiques.
:
Eh bien, je crois qu'il s'agit d'un pas de recul par rapport à ce que nous avons dans la LPRPDE. Tout d'abord, le premier mot est « consommateur » — la Loi sur la protection de la vie privée des consommateurs — nous désigne tous comme des consommateurs. Nous sommes des produits, et nos renseignements sont voués à être commercialisés.
Elle prévoit un droit privé d'action, une fois que nous nous sommes plaints auprès du commissaire qui — comme la plupart de ces instances — est chroniquement sous-financé. Une fois qu'ils auront enfin assigné le dossier, enquêté, décidé et tranché, le dossier sera envoyé à un nouveau tribunal qui, selon moi, devra au moins l'examiner, ou au moins procéder à une nouvelle enquête approfondie. Si le tribunal est d'accord avec le commissaire pour dire qu'une amende est justifiée, alors l'entreprise fautive a le droit de porter l'affaire devant les tribunaux.
Combien d'années cela prendra? Une fois qu'ils auront épuisé leurs recours juridiques, vous et moi pourrons faire valoir notre droit privé d'action. Nous devons alors payer un autre avocat et passer encore 7 à 10 ans.
J'apprécie certainement votre analyse très juste selon laquelle le consommateur est le produit. Je pense que cela illustre parfaitement l'essentiel de ce dont nous parlons ici.
Étiez-vous présente pendant que le précédent groupe de témoins comparaissait? Si vous l'étiez, vous aurez remarqué que, dans mes questions, j'ai soulevé fréquemment la notion selon laquelle il n'y a pas un seul responsable dans ce scénario, mais qu'en fait, toutes les plateformes sont engagées dans ce type de capitalisme de surveillance. Peu importe qu'un acteur d'un État étranger ait un accès direct grâce à ByteDance ou qu'un autre régime dictatorial l'achète à un autre en étant le plus offrant, il n'y a essentiellement pas de différence. Ils détiennent les données.
Êtes-vous d'accord avec cette analyse?
:
D'accord. Je pense que vous parlez de deux choses ici.
La première est que les entreprises ou les organisations qui sont censées obtenir notre consentement éclairé au moment de collecter nos renseignements personnels ou préalablement reconnaissent — comme l'a fait Mark Zuckerberg devant le Congrès — que peu de gens lisent ces politiques de confidentialité. À mes yeux, ils recueillent nos données en sachant pertinemment que personne ne lit les politiques sur la protection des renseignements personnels. Par conséquent, il ne s'agit pas d'un consentement éclairé. Ils violent nos lois en matière de protection de la vie privée, le RGPD et bien d'autres règles.
Que faut-il faire? Remettre les choses en ordre. Cesser de permettre aux organisations d'avoir le contrôle. Changer les choses de sorte que chacun d'entre nous soit en mesure...
M. Matthew Green: De consentir ou de refuser.
Mme Sharon Polsky: Non, il s'agit bien plus de simplement consentir ou refuser; questionnez l'entreprise. Faites en sorte qu'il y ait un index d'entreprises que les consommateurs peuvent consulter pour voir quelles entreprises se conforment à la législation. Si une entreprise le fait d'une meilleure manière qu'une autre, le consommateur peut faire un choix. J'autorise mes renseignements à être utilisés par votre compagnie dans un certain objectif. J'obtiens un reçu. Il y a un document qui précise que c'est moi qui détiens le contrôle et non l'entreprise.
:
C'est intéressant. Je comprends.
Je crois que la dernière étude à laquelle vous étiez présente, il y a quelque temps, portait sur la surveillance dans les téléphones, avec la GRC.
Mme Sharon Polsky: Les logiciels espions.
M. Matthew Green: Oui. Voilà. De nombreuses manières, qu'il s'agisse de l'utilisation de ces appareils par les gouvernements ou les entreprises qui utilisent ce type d'application, il s'agit de logiciels espions. Êtes-vous d'accord pour dire que les applications de médias sociaux sont une forme de logiciels espions?
:
Merci, monsieur le président.
Je remercie les témoins. Leurs déclarations et celles des témoins précédents m'inquiètent beaucoup.
Comme êtres humains, nous sommes devenus des produits. Ces grandes compagnies ont établi un profil pour chacun d'entre nous selon nos aspirations, ce que nous achetons et ce que nous regardons, et ce profil est revendu à des entreprises qui veulent nous vendre quelque chose.
J'ai l'impression qu'il est déjà trop tard pour notre génération et tous ceux qui utilisent les réseaux sociaux présentement. Je suis l'heureux grand-père de six petits-enfants — j'en aurai bientôt un septième —, qui sont trop jeunes pour utiliser cela. Devrait-on plutôt travailler pour protéger cette génération?
:
Nous protégeons la prochaine génération, assurément, mais nous luttons tous contre les géants du Web bien financés qui insistent sur le fait que tout le monde veut cela. Personne ne comprend cela. Bon, quelques personnes le comprennent suffisamment bien pour s'opposer à ce qu'ils nous font.
Les choses ont changé très rapidement. Je pense que c'était en 2004 qu'un ministre du gouvernement canadien était sur la sellette parce que les médias avaient découvert que le gouvernement recueillait 2 000 éléments d'information sur chacun des 33,7 millions de Canadiens, alors qu'il y avait environ 31 millions de Canadiens. Les gens ont réagi rapidement, haut et fort. Le ministre a répondu que ce n'était pas grave, que les renseignements avaient été restitués — comment faire cela avec des données électroniques, je ne sais pas —, et ils les ont apparemment retirés.
Cela a très vite changé. Au lieu de traiter avec un ministère ou un autre, nous traitons désormais avec le gouvernement, et le gouvernement déclare qu'il est propriétaire de nos renseignements. Le concept même de politique publique a changé. J'ose dire que, s'il existe un véritable intérêt à préserver et à protéger les enfants, la vie privée et les générations futures, il faut y réfléchir sérieusement. Des études, c'est formidable, mais il faut agir très vite.
:
Merci, monsieur le président.
Merci beaucoup d'être des nôtres aujourd'hui et d'apporter vos vastes connaissances à notre comité.
Je veux revenir aux jeunes. Plus tôt, quand nous avons reçu le SCRS et le CST, j'ai dit que lorsque les représentants de TikTok ont comparu, ils ont déclaré que la seule chose qu'ils recueillaient était une adresse de courriel. Ils veillent à ce que les jeunes leur donnent leur date de naissance, et tout baigne dans l'huile! Il n'y a pas, sur la plateforme, un seul jeune qui ne devrait pas être là. J'ai remis en question leurs propos à l'époque.
Je me demande si vous pourriez simplement nous expliquer un peu. Les jeunes s'inscrivent. Ils donnent une adresse de courriel. Combien de renseignements supplémentaires TikTok et Instagram, qui sont les deux plateformes les plus populaires auprès des jeunes, recueillent-ils et comment les recueillent-ils? Est‑ce que cela vous préoccupe?
:
Je n'ai pas enquêté suffisamment sur ces entreprises pour savoir ce qu'elles recueillent, mais de manière plus générale, les entreprises recueillent ces renseignements.
Normalement — et n'oubliez pas qu'on nous dit de respecter l'autorité et de répondre franchement lorsqu'on nous pose une question —, les gens fournissent leurs véritables renseignements. Il ne leur vient pas à l'esprit de donner un nom ou un anniversaire inventé ou d'utiliser une adresse de courriel à usage unique ou qui cache leur véritable adresse de courriel. Ils utilisent leur adresse de courriel, qui est connectée en arrière-plan par les courtiers en données. C'est extrêmement préoccupant.
Quant à savoir comment déterminer si une personne fournit son âge réel ou non, de nombreuses entreprises vendent ce service. Elles récupèrent votre pièce d'identité gouvernementale avec photo et la vérifient. Elles rassemblent ces renseignements, et c'est une autre menace. En ce qui concerne la loi, je sais que le Canada réfléchit à la même chose que le Royaume-Uni et l'Union européenne — ou, dans le cas du Royaume-Uni, elle a été adoptée —, c'est-à-dire exiger que les organisations recueillent ces renseignements. C'est une menace énorme.
:
L'une des choses que nous constatons dans les lois canadiennes et étrangères existantes, c'est un consentement qui n'a aucun niveau de détail. Vous devez consentir à ce que l'organisation recueille des renseignements auprès de vous et à votre sujet. Ils seront partagés avec ses partenaires commerciaux et affiliés. Vous ne savez pas qui sont ces gens, où ils se trouvent dans le monde ou ce qu'ils vont en faire.
Le projet de loi maintient le statu quo, sauf qu'il devra être rédigé dans un anglais simple et non juridique. Cela ne change rien. Ce n'est pas détaillé. Nous avons besoin d'un certain niveau de détail.
En fait, le gouvernement du Québec a adopté une nouvelle loi il y a environ un an. La partie sur le consentement est entrée en vigueur en septembre de cette année. C'est mieux, mais ce n'est pas ce que ça devrait être; on laisse encore libre cours aux organisations.
Nous devons renverser la situation afin que les organisations soient obligées de se conformer à la loi et que leur conformité soit évaluée par une organisation indépendante qui crée un répertoire accessible au public, si l'on peut dire. Nous pouvons alors tous consulter ce répertoire et déterminer si nous voulons ou non traiter avec une organisation en fonction de sa conformité avec la loi. C'est alors à nous de donner notre consentement.