Retour à la table des matières
Dominique Peschard, comité sur la surveillance des populations
Ligue des droits et libertés
Les révélations d’Edward Snowden n’ont pas seulement porté à l’attention du grand public l’étendue de la surveillance de masse. Elles ont également mis sur la sellette les fournisseurs de services de communication et de stockage de données, en faisant ressortir le rôle trouble qu’ils jouaient dans le fonctionnement de cet appareil de surveillance. Ainsi, le conflit autour de ces données met en scène trois grands acteurs :
- Les utilisatrices et les utilisateurs des services de communication et de traitement des données, autant individuels que corporatifs, qui sont plus que jamais préoccupés par la protection de leurs données.
- Les États et leurs services de police et agences de renseignement qui tiennent à avoir accès à ces données avec un minimum de contraintes.
- Les grands fournisseurs de services à l’échelle mondiale qui se trouvent forcés de prendre position et de résister aux pressions des forces de l’ordre pour préserver leur modèle d’affaire en rassurant les utilisatrices et les utilisateurs.
Dans cette confrontation, les État – loin de protéger les citoyen-ne-s contre une surveillance abusive – ont adopté une série de mesures liberticides donnant des pouvoirs sans cesse accrus aux forces de l’ordre au nom de la lutte contre le terrorisme. Le dernier exemple au Canada étant la loi C-51 qui donne légalement le pouvoir au SCRS d’agir…illégalement!
Les enjeux de cette confrontation sont multiples :Dans cette confrontation, les États – loin de protéger les citoyen-ne-s contre une surveillance abusive – ont adopté une série de mesures liberticides donnant des pouvoirs sans cesse accrus aux forces de l’ordre au nom de la lutte contre le terrorisme. Le dernier exemple au Canada étant la loi C-51 qui donne légalement le pouvoir au SCRS d’agir… illégalement!
- L’enjeu technologique, en particulier les normes d’encryptage;
- Les pouvoirs des forces de l’ordre d’avoir accès à ces données;
- Les obligations des fournisseurs de services à l’égard des forces de l’ordre;
- Les normes juridiques qui vont encadrer tout cela, dont le degré de protection accordé aux différentes catégories de données.
À travers les différents litiges qui se retrouvent devant les tribunaux, ces derniers sont en train d’établir la jurisprudence qui délimite les pouvoirs et obligations des un-e-s et des autres et, in fine, les nouvelles limites de la protection de la vie privée.
Telus et Rogers contre la Reine[1]
Dans cette affaire, la police régionale de Peel (PRP) en Ontario sollicitait l’aide de Telus et Rogers afin d’identifier les personnes à l’origine d’une série de vols de bijouteries. La PRP a adressé une ordonnance de communications à Telus et Rogers pour un « power dump » des informations sur les utilisatrices et utilisateurs du réseau.
Les téléphones cellulaires se branchent au réseau en se connectant automatiquement à la tour de communication la plus proche. Si celle-ci n’est pas disponible pour des raisons techniques, le téléphone se connecte à d’autres tours dans le voisinage. Dans le cas de Peel, la police demandait à Telus de l’information concernant les appels pour toutes les tours dans le voisinage de 21 adresses civiques et dans le cas de Rogers celle correspondant à 16 tours. Telus estimait que cela l’obligerait à dévoiler les informations personnelles de 9000 clients. Dans le cas de Rogers l’information impliquait 200 000 données d’appel et 34 000 abonnés. Les deux compagnies considéraient que la demande était démesurée et allait à l’encontre de leur obligation fiduciaire de protéger les informations personnelles de leurs clients. Ils contestaient l’ordonnance. La couronne, quant à elle, maintenait que Rogers et Telus n’avaient pas d’intérêts à défendre.
Le juge John Sproat de la Cour supérieure de l’Ontario qui présidait l’audience a donné raison à Telus et Rogers. Le juge a statué :
-
- que les abonné-e-s pouvaient raisonnablement s’attendre à ce que leurs données de communication relèvent de la protection de la vie privée;
-
- que les compagnies avaient bel et bien l’obligation de protéger les données des abonné-e-s et le droit de contester l’ordonnance;
- que les ordonnances sollicitées constituaient des fouilles déraisonnables et violait l’article 8 de la Charte des droits et libertés.
Le juge a rappelé que la police était soumise à la Charte et a proposé une série de balises à suivre dans la demande d’ordonnance de communications :
-
- La demande doit respecter les principes d’intrusion minimale et de demande d’information par étape et démontrer qu’elle a été conçue en conséquence;
- Elle doit démontrer en quoi l’information demandée sur les données de communication est pertinente à l’enquête;
- Elle doit expliquer en quoi les autres informations demandées, par exemple concernant les cartes de crédit, sont pertinentes;
- La demande doit permettre au fournisseur de service de comprendre ce qui est recherché de manière à mieux cibler la recherche et réduire la quantité de données produite;
- La demande devrait solliciter un rapport du fournisseur sur ce qui est recherché plutôt que la masse de données sous-jacentes. Par exemple, si la police cherche à identifier un abonné qui se serait trouvé dans le voisinage de plusieurs vols, le fournisseur ne devrait fournir que les informations concernant les abonné-e-s correspondant à cette caractéristique et ne pas laisser à la police le soin d’extraire l’information pertinente d’une masse de données sous-jacentes;
- Toute demande de données sous-jacentes doit être justifiée.
Les demandes d’ordonnance de communications sont légion. Dans le cadre du procès, Telus et Rogers ont révélé qu’ils en avaient reçu 2500 et 13800 respectivement, en 2013 seulement. Mais jamais de l’ampleur de celle du PRP.
Encryptage – Apple contre le FBI
Les documents rendus publics par Edward Snowden ont révélé que l’encryptage était un obstacle majeur à la surveillance de masse pour les agences de renseignements. Ces dernières n’ont de cesse de vouloir affaiblir, contourner, et même carrément interdire l’encryptage pour certaines applications. Pourtant l’encryptage est une nécessité incontournable pour une majeure partie des communications sur Internet. Comment pourrait-on effectuer les millions de transactions commerciales et financières quotidiennes sur Internet sans un système efficace de protection de ces communications? De plus en plus d’individus, conscients de la surveillance de masse, adoptent également l’encryptage pour leurs communications personnelles.
Le débat autour de l’encryptage a pris une tournure très médiatique avec la confrontation entre Apple et le FBI sur le décryptage du téléphone du tueur de San Bernandino. Rappelons qu’Apple a conçu ses derniers téléphones de manière à ce que seulement la personne ayant le mot de passe puisse en déverrouiller l’accès. Le FBI voudrait forcer Apple à trouver une manière de contourner la protection, ce que les anglais appellent créer un « backdoor » (ou porte arrière). Ce qu’Apple refuse de faire. Évidemment, une fois créée, cette porte arrière permettrait aux forces de l’ordre de pénétrer n’importe quel autre téléphone Apple en leur possession. Apple souligne, avec raison, qu’une telle porte serait éventuellement également accessible à des personnes et groupes ayant des intentions criminelles et que cela affaiblirait la sécurité de millions d’usagères et d’usagers. Plusieurs experts maintiennent que la NSA, et peut être le FBI, ont les moyens de débloquer le téléphone, même si ce n’est pas simple, et que la démarche du FBI vise surtout à établir un précédent légal.
Il y a eu de nombreux rebondissements judiciaires à cette affaire, et ceci sur plusieurs fronts. Début mars 2016, dans une cause semblable opposant Apple au FBI dans le cadre d’un crime commis à New York, la Cour fédérale a donné raison à Apple et a déclaré que la requête du FBI « saperait complètement les principes fondamentaux de la constitution ».
La bataille se déroule également sur le terrain politique. Deux sénateurs ont déposé un projet de loi qui forcerait les grandes compagnies à aider les enquêtrices et les enquêteurs du gouvernement à décrypter les données de leurs client-e-s. Une coalition de ces compagnies incluant, entre autres, Apple, Facebook, Google, Microsoft et Twitter s’est formée en opposition au projet de loi. Ainsi, on assiste à une situation paradoxale où des compagnies qui exploitent les données personnelles de leurs client-e-s à des fins commerciales, se voient obligées de protéger ces mêmes données des velléités de l’État. En effet, ils se trouvent à la fois dans la position d’abuser de la vie privée et de la protéger.
Bibliographie
[1] Ontario Superior court, COURT FILE NO : CRIM J(P) 300/14, 14 janvier 2016