La GRC utilise des logiciels espions depuis au moins dix ans, mais pas Pegasus - La Nouvelle Union et L’Avenir de l’Érable

OTTAWA — La Gendarmerie royale du Canada (GRC) utilise des logiciels espions, et ce, depuis au moins dix ans, mais pas Pegasus.

«La GRC peut confirmer qu’elle n’a jamais acheté ou utilisé le logiciel Pegasus ou tout autre produit NSO», écrit la commissaire Brenda Lucki dans une lettre datée de vendredi et rendue publique lundi par le comité permanent de l’Accès à l’information, protection des renseignements personnels et éthique de la Chambre des communes.

Dans sa réponse à une motion du comité, la commissaire mentionne qu’une technologie semblable, que le corps policier qualifie d’«outils d’enquête embarqués», a été utilisée dans 32 enquêtes depuis 2017 et cela a ciblé 49 appareils.

«Leur utilisation est toujours ciblée, limitée dans le temps, et ne sert jamais à effectuer une surveillance injustifiée ou de masse», insiste-t-elle.

Il s’agit d’enquêtes sur du terrorisme, du trafic de drogue «majeur», des meurtres et des bris de confiance, dont une qui portait sur les activités d’un policier, a précisé le sergent Dave Cobey de la GRC lors d’une comparution devant ce même comité lundi après-midi.

En réponse à des questions du député bloquiste René Villemure, il a confirmé que la GRC est en mesure d’installer un logiciel espion sur un téléphone cellulaire à l’insu de son utilisateur, de capter ou d’écouter une communication sur l’appareil, de capter ou de visionner avec les caméras, de consulter les photos et messages textes.

L’utilisation de ce type de technologie remonte «à avant 2012», a précisé le commissaire adjoint Mark Flynn, à ses côtés.

«Alors que le cryptage a commencé à être utilisé par des cibles que nous avions l’autorisation judiciaire d’intercepter et que nous n’avons pas pu entendre l’audio, entendre les appels téléphoniques ou voir les messages qu’ils envoyaient, c’est à ce moment-là que nous avons développé l’outil et la technique permettant d’intercepter ces communications», a-t-il raconté.

Le logiciel espion israélien Pegasus peut être installé à distance sur un appareil sans que la personne visée ait à cliquer sur un lien ou à télécharger un logiciel. Il permet de recueillir une foule de données, dont les contacts et les messages, en plus d’activer la caméra ou le microphone.

L’entreprise qui fabrique Pegasus est dans l’eau chaude depuis qu’il a été révélé que son logiciel a notamment servi à espionner des militants des droits de l’homme, des journalistes et des politiciens dans de nombreux pays.

En novembre 2021, les États-Unis ont mis son fabricant dans leur liste des entités interdites. Et le Canada pourrait bien faire de même, le ministre de la Sécurité publique, Marco Mendicino, ayant répondu durant sa comparution plus tôt en après-midi que «oui» il serait prêt à interdire Pegasus au Canada.

La séance estivale du comité a été organisée après que la GRC eut reconnu l’emploi de moyens pour obtenir secrètement des données provenant d’un cellulaire ou d’un ordinateur.

En réponse à une question écrite déposée aux Communes en juin dernier, la GRC s’est défendue en affirmant qu’elle avait obtenu des mandats pour utiliser ces outils permettant d’obtenir des messages textes et des courriels ou de mettre en marche à distance des caméras et des microphones.

M. Mendicino a soutenu que les autorisations sont accordées par un juge d’un tribunal supérieur après un examen «rigoureux» et que les autorités doivent démontrer qu’elles ne peuvent pas obtenir l’information autrement.

«Ce n’est pas une chose facile à obtenir, a-t-il dit. Il y a de nombreuses étapes à suivre (…) Il faut une demande qui est soumise à un juge de la cour supérieure. Ce juge qui doit examiner les faits dans un détail très méticuleux qui offrira des preuves ou des informations sur une infraction très spécifique qui est enfreinte.»

De plus, la technique peut être utilisée uniquement dans «un nombre limité d’infractions très graves répertoriées dans la partie 6 du Code criminel».

Études d’impacts obligatoires

Philippe Dufresne, qui a témoigné en matinée, a demandé aux élus de rendre obligatoire la préparation d’évaluations d’impacts sur la vie privée lorsque sera modernisée la Loi sur la protection des renseignements personnels.

«Pour générer de la confiance, il serait préférable, de loin préférable que l’évaluation de l’impact sur la vie privée soit effectuée en amont, que mon bureau soit consulté et que cela puisse être communiqué d’une manière ou d’une autre aux Canadiens», a-t-il déclaré au comité parlementaire.

En ce moment, la Loi sur la protection des renseignements personnels ne force pas la GRC ou toute institution gouvernementale à réaliser pour le commissaire des évaluations des facteurs relatifs à la protection de la vie privée, a noté M. Dufresne. Cependant, le Conseil du trésor les rend obligatoires en vertu d’une politique.

Le Commissariat à la protection de la vie privée du Canada n’a pas été informé ou consulté à propos du logiciel avant sa mise en œuvre ou depuis, a affirmé lundi M. Dufresne. En fait, son bureau en a appris l’usage à la fin juin lorsque les médias ont diffusé l’information.

La GRC dit avoir commencé à préparer une évaluation d’impact en 2021, mais le commissaire indique qu’il n’en a toujours pas vu la couleur.

«On voit des situations comme celle-ci où cela se fait très tardivement après un certain temps d’utilisation de l’outil. Nous ne sommes donc pas dans une position où nous pouvons examiner ou prévenir. Nous sommes en mode réactif», a déploré M. Dufresne.

Le comité a prévu une seconde et dernière réunion mardi. Parmi les témoins qui comparaîtront devant le comité figurent l’ancien commissaire à la protection de la vie privée du Canada Daniel Therrien et l’Association canadienne des libertés civiles.

– Avec des informations d’Émilie Bergeron