Des outils capables d’extraire des données personnelles des téléphones utilisés par 13 ministères fédéraux, selon des documents
[ad_1]
Des outils capables d’extraire des données personnelles de téléphones ou d’ordinateurs sont utilisés par 13 ministères et organismes fédéraux, selon des contrats obtenus en vertu de la loi sur l’accès à l’information et partagés avec Radio-Canada.
Radio-Canada a également appris que l’utilisation de ces outils par ces ministères n’a pas fait l’objet d’une évaluation des facteurs relatifs à la vie privée, comme l’exige la directive du gouvernement fédéral.
Les outils en question peuvent être utilisés pour récupérer et analyser des données trouvées sur des ordinateurs, des tablettes et des téléphones portables, y compris des informations cryptées et protégées par mot de passe.
Cela peut inclure des messages texte, des contacts, des photos et un historique de voyage.
C’est un peu ridicule, mais aussi dangereux.– Evan Light, Université York
Certains logiciels peuvent également être utilisés pour accéder aux données cloud d’un utilisateur, révéler son historique de recherche sur Internet, son contenu supprimé et son activité sur les réseaux sociaux.
Radio-Canada a appris que d’autres ministères ont obtenu certains de ces outils dans le passé, mais disent ne plus les utiliser.
Evan Light, professeur agrégé de communications au campus Glendon de l’Université York à Toronto et expert en technologie de protection de la vie privée et de surveillance, se dit choqué par l’utilisation généralisée de tels logiciels au sein du gouvernement fédéral.
“C’est inquiétant et dangereux”, a déclaré Light, qui a déposé la demande initiale d’accès à l’information pour en savoir plus sur la manière dont les services de police du Canada utilisent la technologie.
“Je pensais trouver uniquement les suspects habituels utilisant ces appareils, comme la police, qu’il s’agisse de la GRC ou de l’Agence des services frontaliers du Canada. Mais ils sont utilisés par un groupe de ministères bizarres”, a-t-il déclaré.
Selon les documents que Light a partagés avec Radio-Canada, Services partagés Canada a acheté l’équipement et les logiciels pour les utilisateurs finaux auprès des fournisseurs Cellebrite, Magnet Forensics et Grayshift. (Ces deux dernières sociétés ont fusionné plus tôt cette année).
Les entreprises affirment avoir développé des contrôles stricts pour garantir que leurs technologies sont utilisées conformément à la loi, selon leurs sites Internet.
Après la publication de cet article, Cellebrite a déclaré dans un e-mail que ses « technologies ne sont pas utilisées pour intercepter des communications ou recueillir des renseignements en temps réel. Nos outils sont plutôt de nature médico-légale et ne sont utilisés pour accéder à des données privées que conformément à la procédure légale. ou avec le consentement approprié pour faciliter les enquêtes légalement après qu’un événement s’est produit. La personne/suspect sait que notre technologie obtient des données par le biais d’une autorisation judiciaire/judiciaire via un mandat de perquisition ou le consentement de l’individu.
« Normalisation » de la surveillance
Une directive du Secrétariat du Conseil du Trésor du Canada (SCT) exige que toutes les institutions fédérales effectuent ce qu’elle appelle une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant toute activité impliquant la collecte ou le traitement de renseignements personnels, dans le but d’identifier les risques liés à la vie privée. et les moyens de les atténuer ou de les éliminer.
Selon la directive, entrée en vigueur en 2002 et révisée en 2010, les ministères fédéraux doivent ensuite fournir une copie de leur EFVP au SCT et au Commissariat à la protection de la vie privée.
Radio-Canada a demandé à chacune des institutions fédérales utilisant le logiciel si elles avaient préalablement procédé à des évaluations des facteurs relatifs à la vie privée. D’après leurs réponses écrites, aucun ne l’a fait. Le ministère des Pêches et des Océans a annoncé son intention de le faire.
Le fait que ces évaluations n’aient jamais été faites “montre que c’est devenu normal, que ce n’est pas grave d’accéder au téléphone portable de quelqu’un”, a déclaré Light. “Il y a eu une normalisation de cette capacité de surveillance vraiment extrême.”
Certains ministères ont déclaré qu’une EFVP n’était pas nécessaire parce qu’ils avaient déjà obtenu des autorisations judiciaires telles que des mandats de perquisition, qui imposent des conditions strictes à la saisie d’appareils électroniques.
D’autres ont déclaré n’utiliser le matériel que sur des appareils appartenant au gouvernement, par exemple dans des cas impliquant des employés soupçonnés de harcèlement.
Utilisation avec autorisation judiciaire :
Recherche et saisie
Selon le commissaire à la protection de la vie privée du Canada, Philippe Dufresne, une autorisation judiciaire ne supprime toutefois pas l’exigence d’une EFVP.
“Lorsque ces outils sont nouveaux, très puissants et potentiellement intrusifs, même dans un système où il existe des contrôles judiciaires, il est important d’évaluer les impacts sur la vie privée”, a déclaré Dufresne devant une commission parlementaire étudiant l’utilisation des outils d’enquête intégrés aux appareils. par la GRC l’année dernière.
Une ÉFVP indiquera si un ministère peut obtenir l’information recherchée par des moyens moins intrusifs, a expliqué Dufresne.
On pourrait conclure qu’un outil est intrusif mais nécessaire, a-t-il expliqué. Mais ces questions doivent être abordées, a-t-il déclaré.
Light qualifie d’« exagérée » l’utilisation de ces outils par des organisations telles que le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), un organisme de réglementation.
“Le CRTC utilise l’arme nucléaire dans la lutte contre le spam”, a-t-il déclaré. “C’est un peu ridicule, mais aussi dangereux.”
Certains ministères affirment utiliser ces outils pour mener des enquêtes internes lorsque des employés sont soupçonnés de fraude ou de harcèlement au travail, par exemple. Ils affirment que les données ne sont extraites des appareils émis par le gouvernement que conformément aux protocoles internes qui régissent la collecte et le stockage des informations personnelles afin d’assurer leur protection.
Mais le SCT a confirmé à Radio-Canada que sa directive sur les EFVP s’applique également à de tels cas, ajoutant que le gouvernement « prend au sérieux le droit à la vie privée des Canadiens, y compris de ses employés ».
Utilisation pour les enquêtes internes :
L’Agence du revenu du Canada a déclaré qu’elle utilisait ces outils « pour analyser les données liées à des infractions fiscales présumées », tandis que le Bureau de la sécurité des transports du Canada a déclaré qu’il les utilisait « pour recueillir et analyser des données liées à un incident ». Les agences ont fourni peu d’autres détails.
Lorsqu’on leur a demandé s’ils effectuaient également des EFVP, les ministères ont référé Radio-Canada à Services partagés Canada, signataire des contrats avec les fournisseurs. Shared Services a confirmé qu’il n’avait pas effectué de telles évaluations.
REGARDER | L’analyse d’un professeur agrégé :
La confidentialité « n’est pas un concept abstrait »
La présidente du Conseil du Trésor, Anita Anand, a refusé la demande d’entrevue de Radio-Canada.
Selon son bureau, chaque institution fédérale est responsable de l’application des lois et politiques en matière de protection de la vie privée, mais son bureau n’a pas précisé ce qui se passe lorsque ces institutions ne remplissent pas ces obligations.
La protection de la vie privée devrait être un élément clé « avant d’adopter des outils technologiques à haut risque pour recueillir des renseignements personnels », a écrit le commissaire à la vie privée dans un courriel adressé à Radio-Canada.
Dufresne a également réitéré qu’il souhaite que le gouvernement fédéral fasse des EFVP « une obligation juridique contraignante » en vertu de la Loi sur la protection des renseignements personnels.
Light s’est dit déçu que personne au sein du gouvernement fédéral ne semble responsable de l’utilisation de ces outils qui pourraient avoir un impact « dramatique » sur la vie des gens.
“Nous avons droit à la vie privée. Ce n’est pas un concept abstrait”, a-t-il déclaré.
[ad_2]