(Ottawa) Accès instantané aux caméras et aux micros d’appareils mobiles, aux photos, vidéos, textos, entrées de calendrier, documents financiers : la GRC utilise depuis plus de cinq ans des logiciels espions lui donnant accès à ces données pour des personnes faisant l’objet d’enquêtes.

La police fédérale vient de discrètement dévoiler qu’elle a recours à ces méthodes – et qu’elle le fait sans avoir consulté le commissaire à la protection de la vie privée du Canada au préalable.

Créé en 2016, le programme est géré par l’Équipe d’accès secret et d’interception (EASI) de la Gendarmerie royale du Canada (GRC).

Cette division est munie d’« outils d’enquête sur appareil ». Installés sur « un appareil informatique ciblé », ces outils permettent « la collecte de preuves électroniques à partir de l’appareil […] secrètement et à distance », est-il expliqué dans des documents déposés à la Chambre des communes avant l’ajournement des travaux, et dont l’existence a d’abord été rapportée par le média web Politico.

Que l’on ne s’y trompe pas : un « outil d’enquête sur appareil », c’est un logiciel espion.

« Je ne suis pas étonné d’apprendre que les agences de renseignement canadiennes ont recours à des logiciels malveillants [spyware] pour pirater des appareils. J’aurais été plus étonné du contraire », commente Ronald Deibert, directeur du Citizen Lab de la Munk School of Global Affairs de Toronto.

Ce qui est impératif, selon lui, est d’obtenir davantage de transparence de la GRC sur les fournisseurs de ces technologies.

« Il est dans l’intérêt public de savoir avec qui les agences font affaire. Pourquoi ? Parce qu’il existe des compagnies, comme le NSO Group, qui sont associées avec certains des pires régimes au monde en matière de droits de la personne, et qui utilisent les logiciels pour traquer des dissidents, des journalistes, des avocats, des membres de la société civile – y compris ici au Canada », expose-t-il.

Le NSO Group a développé le logiciel espion Pegasus, qui a été utilisé exactement à ces fins dans plusieurs pays à travers le monde.

Selon les documents fournis aux élus – ils ont été préparés en réponse aux questions d’un conservateur –, les données pouvant être recueillies comprennent textos, courriels et communications privées envoyées ou reçues au moyen de l’appareil ciblé ; photographies, vidéos et fichiers audio enregistrés sur l’appareil ou accessibles à celui-ci ; ainsi que notes et entrées de calendrier.

« Sérieux risques » individuels et collectifs

La GRC n’a pas répondu aux questions de La Presse, mardi, même si elle avait été sollicitée par Politico pour les mêmes motifs il y a près d’une semaine.

Impossible, donc, de savoir quel logiciel est dans sa boîte à outils, ou s’il y en a plus d’un.

Un silence auquel l’Association canadienne des libertés civiles (CCLA) s’attendait.

Mais ce qu’elle reproche peut-être par-dessus tout à la GRC, c’est d’avoir mené ses opérations à l’aide de ces outils « extrêmement invasifs », en l’absence de « toute forme de débat public ou de consultation », et sans juger bon de solliciter l’avis du commissaire à la protection de la vie privée du Canada.

« Il doit être consulté et avoir la possibilité de fournir des recommandations avant que de tels outils ne soient déployés, avant qu’une potentielle invasion de la vie privée ne se produise », s’est désolé Brenda McPhail, directrice du programme de technologie et de surveillance de protection de la vie privée de la CCLA.

Dans les documents, la GRC reconnaît qu’elle « n’a pas communiqué avec le Commissariat » avant la mise en œuvre du programme, en 2016, mais qu’en 2021, elle « a commencé à rédiger une évaluation des facteurs relatifs à la vie privée », et qu’elle attend une rétroaction dans le cadre de ce processus de rédaction.

La police fédérale y note aussi que les outils et techniques de l’EASI « ne sont pas utilisés pour effectuer une surveillance de masse » et que leur utilisation est « ciblée et limitée » pour des « enquêtes criminelles et de sécurité nationale sérieuses […] seulement après avoir obtenu une autorisation judiciaire ».

Il n’y a pour autant rien de bien rassurant là-dedans, estime la CCLA.

Les gens qui sont moindrement informés sur ces outils savent qu’ils entraînent de sérieux risques pour ceux qui font l’objet de surveillance, mais aussi plus largement pour notre société, car ils modifient l’équilibre du pouvoir entre les policiers et les citoyens, qui ont le droit d’être présumés innocents.

Brenda McPhail, directrice du programme de technologie et de surveillance de protection de la vie privée de la CCLA

Au bureau du nouveau commissaire à la protection de la vie privée, Philippe Dufresne, on souligne que « l’utilisation de ce type de technologie soulève d’importantes considérations en matière de protection de la vie privée ».

Et on « attend avec impatience » que la police fédérale explique « comment cette technologie sera utilisée, ainsi que les mesures que la GRC prévoit de prendre pour s’assurer que son utilisation reste conforme à la Loi sur la protection des renseignements personnels », a écrit le porte-parole Vito Pilieci.

Le gouvernement se fait rassurant, l’opposition s’inquiète

« Ces outils sont utilisés extrêmement rarement », insiste-t-on au cabinet du ministre de la Sécurité publique, Marco Mendicino.

PHOTO PATRICK DOYLE, ARCHIVES LA PRESSE CANADIENNE

Marco Mendicino, ministre de la Sécurité publique

Le gouvernement s’attend toutefois « à ce que la GRC travaille avec tous les agents du Parlement concernés pour s’assurer qu’ils respectent leurs obligations envers les Canadiens en ce qui concerne les outils d’enquête sur appareil et les autres technologies de ce genre », a noté Alexander Cohen, directeur des communications.

Justement : chez les conservateurs, le député Pierre Paul-Hus dit être « extrêmement préoccupé par le fait que la GRC utilise de nouveaux pouvoirs d’enquête sans consulter ni le commissaire à la protection de la vie privée ni les parlementaires ».

PHOTO SEAN KILPATRICK, ARCHIVES LA PRESSE CANADIENNE

Pierre Paul-Hus, député conservateur

Et ces révélations, a-t-il ajouté, ne font que soulever d’autres questions : « Quels types d’enquêtes sont menées avec ce pouvoir, et pourquoi le commissaire à la protection de la vie privée n’en a-t-il pas été informé ? »

Dans le camp néo-démocrate, le député Alistair MacGregor affirme que cela justifie « le besoin d’assurer un meilleur contrôle de ce qui se passe au sein de la GRC », qui a la « mauvaise habitude » de reconnaître ainsi les faits après coup.

Le Bloc québécois n’a pas souhaité commenter le dossier.

S’il n’est pas « illégitime » pour la GRC et d’autres agences de renseignement de déployer de telles méthodes d’enquête, le gouvernement doit cesser de « dormir au gaz » et encadrer l’industrie de la surveillance, insiste Ronald Deibert, du Citizen Lab.