Vérification des nouvelles technologies d’enquête
Rapport épuré
Septembre 2023
[CAVIARDÉ] apparaît lorsque des informations sensibles ont été soustraites conformément aux principes de la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels.
Sur cette page
- Formats substituts
- Liste des acronymes et abréviations
- Liste des tableaux
- Sommaire
- Réponse de la direction
- Renseignements généraux
- Objectif, portée et méthode
- Observations
- Conclusions générales
- Pourquoi c’est important
- Recommandations
- Annexe A – Objectif et critères de la vérification
- Annexe B – Plan d’action de la direction
- Notes en bas de page
Formats substituts
Liste des acronymes et abréviations
- ACS Plus
- Analyse comparative entre les sexes plus
- ADN
- Acide désoxyribonucléique
- AIPRP
- Accès à l’information et Protection des renseignements personnels
- AA
- Apprentissage automatique
- BNDG
- Banque nationale de données génétiques
- BNNPE
- Bureau national des normes et pratiques d’enquête
- CIN
- Comité sur les investissements numériques
- CPVP
- Commissariat à la protection de la vie privée du Canada
- CSIEP
- Comité de surveillance des investissements et d’établissement des priorités
- EDI
- Équité, diversité et inclusion
- EFVP
- Évaluation des facteurs relatifs à la vie privée
- EIA
- Évaluation de l’incidence algorithmique
- GGC
- Gestion générale et Contrôle
- GGTE
- Généalogie génétique comme technique d’enquête
- GI
- Gestion de l’information
- GRC
- Gendarmerie royale du Canada
- IA
- intelligence artificielle
- LGFP
- Loi sur la gestion des finances publiques
- MFN
- Méthodes de fonctionnement normalisées
- NTE
- Nouvelles technologies d’enquête
- PNIT
- Programme national d’intégration des technologies
- SAT
- Système d’aéronef télépiloté
- SPCA
- Services de police contractuels et autochtones
- SPS
- Services de police spécialisés
- St. ROCH
- RCMP Operational Centralized Holdings
- TI
- Technologie de l’information
Liste des tableaux
Sommaire
Contexte
L’analyse de l’environnement 2020 de la Gendarmerie royale du Canada (GRC) a permis de constater que le monde traverse une quatrième révolution industrielle : les nouvelles technologies évoluent à un rythme sans précédent grâce à l’innovation, et de plus en plus de personnes y ont accès. Ces technologies gagnent en omniprésence, fusionnant les mondes numérique et physique de façons inédites, tant pour les organismes d’application de la loi que pour les criminels.
Si ces innovations font grimper les crimes technologiques commis par des acteurs calés en la matière, elles ont aussi pour effet d’offrir de nouveaux moyens d’enquête et de prévention à la police, d’accroître la sécurité des employés et du public, ainsi que d’améliorer l’accès à l’information pour favoriser la prise de décisions opportunes.
Le concept des nouvelles technologies d’enquête (NTE) n’est pas défini de façon officielle dans les politiques du Conseil du Trésor (CT) ni dans celles de la GRC. Les NTE employées par la police peuvent comprendre les éléments suivants :
- de l’équipement (par exemple, lecteurs automatiques de plaques d’immatriculation, systèmes d’aéronef télépiloté, caméras d’intervention);
- des outils ou des logiciels de gestion de l’information (GI) et de technologie de l’information (TI) (par exemple, outils de regroupement du contenu média, intelligence artificielle [IA] et apprentissage automatique [AA], outils de déchiffrement, outils d’enquête embarqués);
- des technologies de sciences judiciaires (par exemple, généalogie génétique, profilage génétique, biométrie [reconnaissance du visage et de la voix]).
Il peut s’agir d’un produit commercial, d’une technologie élaborée à l’interne ou d’un service obtenu auprès d’un tiers.
Comme ces nouvelles technologies se succèdent rapidement et sont assez facilement accessibles au public, plusieurs ne sont pas encore régies par des lois ou des politiques.
Pourquoi c’est important
Il est important que la GRC soit adéquatement équipée pour combattre les nouvelles formes de criminalité en utilisant les NTE dans les circonstances qui s’y prêtent, d’une manière qui respecte les dispositions législatives établies et qui résisterait de façon générale à l’examen du public.
Il peut être compliqué d’établir un cadre robuste en matière d’innovation technologique pour baliser l’adoption de nouvelles techniques à l’appui des enquêtes criminelles en toute conformité à la loi. Cela suppose le recrutement, la formation et le maintien en poste de personnel possédant les compétences voulues pour utiliser, soutenir et entretenir les NTE. Tous ces besoins font plus que jamais surgir des occasions et des défis quant aux façons d’exploiter les systèmes et l’infrastructure de TI de la GRC afin de soutenir l’organisation dans la prestation de ses services fondamentaux et la réalisation de ses priorités futures.
La vérification dont il est question dans le présent rapport visait à aider la GRC à atteindre ses objectifs de modernisation à l’égard de l’équipement, des technologies et des outils utilisés à des fins opérationnelles, ce qui constitue l’une des priorités énoncées dans le document intitulé Vision150 et au-delà : Plan stratégique de la GRC, d’où son inclusion dans le Plan de vérification et d’évaluation axé sur les risques établi pour la période allant de 2021 à 2026.
Objectif et portée de la vérification
La vérification avait pour objectif de déterminer si la GRC possède les cadres de gouvernance, de contrôle interne et de gestion des risques nécessaires pour soutenir l’adoption, l’intégration et l’utilisation de certaines NTE. Il s’agissait de voir s’il existe une structure de gouvernance, de prise de décision et de surveillance pour les NTE, de comprendre comment cette structure s’applique à l’échelle de l’organisation, et de déterminer s’il existe une stratégie globale pour l’acquisition et la gestion de certaines NTE utilisées au sein de l’organisation. Les technologies visées étaient les systèmes d’aéronef télépiloté, la généalogie génétique comme technique d’enquête (GGTE) et la plateforme St. ROCH (RCMP Operational Centralized Holdings). La période visée allait du 1er avril 2019 au 31 décembre 2021.
La vérification ne s’est pas intéressée aux caméras d’intervention. Les Services nationaux d’évaluation des programmes ont mis en œuvre le Plan de mesure et d’évaluation du rendement relatif aux caméras d’intervention en 2021. Une vérification dynamique visant les caméras d’intervention a été lancée en 2022-2023, et d’autres activités de vérification sont prévues au cours des deux années qui suivront le déploiement de ces caméras. [CAVIARDÉ]
Constatations
La direction doit se pencher sur les aspects suivants du cadre visant l’adoption et la gestion des NTE. Les observations et les recommandations détaillées sont fournies plus loin dans le rapport.
- Observation 1
- La stratégie de gouvernance relative aux NTE est incomplète. Elle est fragmentée et met l’accent sur les projets ou les initiatives à coût élevé.
- Observation 2
- L’élaboration d’une stratégie globale à l’égard de la GGTE se poursuit, mais il y aurait moyen d’établir des orientations provisoires sur la planification relative aux services de GGTE, l’acquisition de ces services et l’emploi de cette technique au sein de la GRC.
- Observation 3
- Il existe une stratégie globale pour guider la planification relative aux systèmes d’aéronef télépiloté ainsi que l’acquisition et l’utilisation de ces appareils au sein de la GRC, mais il y aurait moyen d’apporter des améliorations en ce qui concerne le respect de la vie privée, la transparence et la protection des données.
- Observation 4
- Il existe une stratégie globale pour guider la planification, la conception, la mise en œuvre et la gestion du projet St. ROCH. À mesure que le projet St. ROCH progressera vers l’état de programme et après l’atteinte de ce stade, il sera essentiel d’évaluer continuellement les considérations liées à la protection de la vie privée et à l’IA.
Opinion générale de l’équipe de vérification
Il existe, à l’échelle organisationnelle, un cadre de gouvernance pour les projets relatifs aux NTE à coût élevé, mais la stratégie de gouvernance à l’égard de l’ensemble des NTE est incomplète. Les cadres établis pour soutenir l’adoption, l’intégration et l’utilisation des trois NTE examinées lors de la vérification en étaient à des stades de maturité différents. Des améliorations sont possibles.
Du point de vue de la gestion des risques et du contrôle interne, la passation de marchés avec des tiers peut soulever des risques quant à la protection de la vie privée et à la GI. Les centres de décision responsables de NTE particulières pourraient évaluer et atténuer ces risques en consultant la Sécurité ministérielle, le Programme de GI-TI, les Acquisitions et d’autres experts en la matière.
Prochaines étapes
Les réponses et le plan d’action de la direction à l’égard du présent rapport témoignent de la détermination des cadres supérieurs à donner suite aux conclusions et recommandations découlant de la vérification. La Vérification interne de la GRC surveillera la mise en œuvre du plan d’action et réalisera une vérification complémentaire au besoin.
Réponse de la direction
Les Services de police spécialisés (SPS) appuient les conclusions du présent rapport de vérification. La GRC s’est adaptée aux nouvelles technologies jusqu’à maintenant et elle doit continuer à le faire. Il faudra des ressources supplémentaires ainsi qu’un financement au titre du fonctionnement et de l’entretien pour mettre en œuvre les recommandations intégralement et pour continuer à renforcer les capacités dans toute l’organisation afin de soutenir les opérations policières.
Dans l’ensemble, les Services de police contractuels et autochtones (SPCA) appuient les conclusions et les recommandations présentées dans le rapport sur la Vérification des nouvelles technologies d’enquête. Les SPCA travailleront en collaboration avec tous les secteurs d’activité afin d’élaborer un plan d’action détaillé pour donner suite aux conclusions et contribuer à la capacité de la GRC de s’adapter aux NTE. Il leur faudra toutefois des ressources et des fonds supplémentaires pour mettre en œuvre avec succès les recommandations formulées dans le présent rapport.
La Police fédérale accepte les conclusions de la vérification et reconnaît que l’organisation doit faire un effort coordonné pour établir des comités de surveillance, des cadres stratégiques et des modalités normalisées pour l’évaluation et l’adoption des NTE, d’autant plus que toutes les recommandations ont une incidence sur l’ensemble de l’organisation.
En ce qui concerne la gouvernance des NTE, il existe, comme le souligne le rapport de vérification, une structure de gouvernance pour le projet St. ROCH qui restera en place. Nous convenons de la nécessité de mettre en œuvre un cadre organisationnel pour l’évaluation, l’adoption et la surveillance des NTE, en particulier pour les outils à faible coût. Nous reconnaissons par ailleurs l’importance d’établir un cadre de gouvernance pour atténuer les éventuels problèmes afin que les données soient recueillies avec exactitude et en conformité avec la loi.
Les responsables du projet St. ROCH ont engagé un spécialiste en évaluation des facteurs relatifs à la vie privée (EFVP) pour collaborer avec la Sous-direction de l’accès à l’information et de la protection des renseignements personnels (AIPRP) de la GRC en vue de produire une EFVP à l’intention de la Police fédérale. Les responsables du projet St. ROCH ont mis en œuvre le gestionnaire de modèle et le cadre d’évaluation de l’incidence algorithmique nécessaires pour satisfaire aux exigences du Conseil du Trésor en ce qui concerne la prise de décision automatisée. Ces mécanismes de surveillance et les contrôles s’y rapportant (lignes directrices, modalités de surveillance normalisées, formation, politique et mesures de suivi) sont en voie de mise en œuvre et seront en place lorsque la plateforme sera lancée au cours du prochain exercice. À l’approche de l’automne 2024, une stratégie de communication interne et externe sera établie pour assurer la transparence en ce qui concerne nos capacités.
Dans l’ensemble, Gestion générale et Contrôle (GGC) accepte les conclusions et les recommandations présentées dans le rapport sur la Vérification des nouvelles technologies d’enquête et appuie les améliorations proposées, notamment en ce qui concerne la gouvernance des projets et des nouveaux investissements. GGC collaborera avec les centres de décision compétents afin de soutenir l’élaboration d’un plan d’action détaillé assorti d’échéances et de jalons précis pour donner suite aux recommandations formulées dans le rapport.
Renseignements généraux
Contexte de la vérification
L’analyse de l’environnement 2020 de la GRC a permis de constater que le monde traverse une quatrième révolution industrielle : les nouvelles technologies évoluent à un rythme sans précédent grâce à l’innovation, et de plus en plus de personnes y ont accès. Ces technologies gagnent en omniprésence, fusionnant les mondes numérique et physique de façons inédites, tant pour les organismes d’application de la loi que pour les criminels.
Si ces innovations font grimper les crimes technologiques commis par des acteurs calés en la matière, elles ont aussi pour effet d’offrir de nouveaux moyens d’enquête et de prévention à la police, d’accroître la sécurité des employés et du public, ainsi que d’améliorer l’accès à l’information pour favoriser la prise de décisions opportunes.
Le concept des nouvelles technologies d’enquête (NTE) n’est pas défini de façon officielle dans les politiques du Conseil du Trésor ni dans celles de la GRC. Les NTE employées par la police peuvent comprendre les éléments suivants :
- de l’équipement (par exemple, lecteurs automatiques de plaques d’immatriculation, systèmes d’aéronef télépiloté, caméras d’intervention);
- des outils ou des logiciels de GI et de TI (par exemple, outils de regroupement du contenu média, IA et apprentissage automatique [AA], outils de déchiffrement, outils d’enquête embarqués);
- des technologies de criminalistique (par exemple, généalogie génétique, profilage génétique, biométrie [reconnaissance du visage et de la voix]).
Il peut s’agir d’un produit commercial, d’une technologie élaborée à l’interne ou d’un service obtenu auprès d’un tiers.
Comme ces nouvelles technologies se succèdent rapidement et sont assez facilement accessibles au public, plusieurs ne sont pas encore régies par des lois ou des politiques.
La vérification dont il est question dans le présent rapport visait à aider la GRC à atteindre ses objectifs de modernisation à l’égard de l’équipement, des technologies et des outils utilisés à des fins opérationnelles, ce qui constitue l’une des priorités énoncées dans le document intitulé Vision 150 et au-delà : Plan stratégique de la GRC, d’où son inclusion dans le Plan de vérification et d’évaluation axé sur les risques établi pour la période allant de 2021 à 2026.
Objectif, portée et méthode
Objectif
La vérification avait pour objectif de déterminer si la GRC possède les cadres de gouvernance, de contrôle interne et de gestion des risques nécessaires pour soutenir l’adoption, l’intégration et l’utilisation de certaines NTE.
Portée
Il s’agissait de voir s’il existe une structure de gouvernance, de prise de décision et de surveillance pour les NTE, de comprendre comment cette structure s’applique à l’échelle de l’organisation, et de déterminer s’il existe une stratégie globale pour l’acquisition et la gestion de certaines NTE utilisées au sein de l’organisation. Les technologies visées étaient les systèmes d'aéronef télépiloté, la GGTE et la plateforme St. ROCH (RCMP Operational Centralized Holdings). La période visée allait du 1er avril 2019 au 31 décembre 2021.
La vérification ne s’est pas intéressée aux caméras d’intervention. Les Services nationaux d’évaluation des programmes ont mis en œuvre le Plan de mesure et d’évaluation du rendement relatif aux caméras d’intervention en 2021. Une vérification dynamique visant les caméras d’intervention a été lancée en 2022-2023, et d’autres activités de vérification sont prévues au cours des deux années qui suivront le déploiement de ces caméras. L’outil de reconnaissance faciale de [CAVIARDÉ] a également été exclu en raison des procédures judiciaires qui y sont associées.
Méthode
La vérification s’est déroulée de novembre 2021 à octobre 2022. L’équipe qui en était chargée a eu recours à diverses techniques, notamment l’examen de dossiers, la tenue d’entrevues, la revue du fonctionnement d’une plateforme et l’analyse de documents justificatifs. À l’exception de l’étude de cas relative au projet St. ROCH, la vérification a été menée à distance, au moyen d’entrevues par visioconférence et de documents justificatifs transmis par voie électronique, en raison des restrictions de voyage découlant de la pandémie de COVID-19.
Plus précisément, l’équipe a :
- choisi un échantillon de six divisions [CAVIARDÉ] géographiquement dispersées pour obtenir des perspectives variées sur l’adoption et la gestion des NTE;
- mené des entrevues avec des employés clés dans les divisions [CAVIARDÉ], ainsi qu’au sein des Services de police spécialisés, des Services de police contractuels et autochtones, de la Police fédérale et de Gestion générale et Contrôle. Ces entrevues ont été réalisées avec des cadres supérieurs divisionnaires, des enquêteurs, le coordonnateur national et des coordonnateurs divisionnaires du programme des systèmes d’aéronef télépiloté, des utilisateurs de ces systèmes, des employés des centres de décision, des membres clés du personnel des programmes et des représentants des comités de surveillance;
- examiné des documents et des éléments justificatifs pour valider l’information fournie lors des entrevues et déterminer si les exigences des politiques de la GRC étaient respectées;
- effectué une revue générale du fonctionnement de la plateforme St. ROCH.
Aux fins du critère de vérification 2, les NTE ont été regroupées en trois catégories : (1) équipements; (2) services fournis par des tiers; et (3) GI-TI. Ces catégories sont présentées dans les listes ci-dessous. Après avoir fait une évaluation des risques et tenu des entrevues de planification, on a choisi pour chaque catégorie une NTE qui ferait l’objet d’une évaluation et d’une étude de cas. Les NTE en question sont celles qui sont marquées d’un astérisque.
- (1) Équipements
-
- lecteurs automatiques de plaques d’immatriculation
- Shotspotter
- systèmes d’aéronef télépiloté (drones)*
- capteurs
- caméras d’intervention
- systèmes vidéo dans les véhicules
- systèmes vidéo dans les blocs cellulaires
- simulateurs de station cellulaire
- appareils de radiographie
- (2) Services (fournis par des tiers)
-
- généalogie génétique comme technique d’enquête*
- analyse d’ADN
- services infonuagiques
- regroupement du contenu média
- reconstitution faciale/numérisation 3D
- profilage génétique
- Pourraient aussi comprendre les services liés aux éléments figurant dans les catégories Équipements et GI-TI.
- (3) GI-TI (outils ou logiciels)
-
- biométrie (visage, voix, ADN, empreintes, etc.)
- intelligence artificielle
- outils de déchiffrement
- informatique judiciaire
- apprentissage automatique
- analyse de données à des fins multiples
- outils d’enquête embarqués
- application Android Team Awareness Kit
- St. ROCH*
Les critères de vérification sont expliqués en détail à l’annexe A.
Énoncé de conformité
La mission de vérification est conforme aux normes applicables énoncées dans le Cadre international de référence des pratiques professionnelles de l’Institut des auditeurs internes et dans la Directive sur la vérification interne du Conseil du Trésor, comme en font foi les résultats du programme d’assurance et d’amélioration de la qualité.
Observations
Contexte
Transformation de la GRC
À l’approche de son 150e anniversaire en 2023, la plus grande priorité de la GRC est de devenir une organisation moderne, inclusive et saine à la hauteur des attentes de son personnel et de la population canadienne. Plusieurs initiatives clés prévues dans la stratégie Vision 150 sont en cours à cette fin. Deux volets de ces initiatives revêtent une pertinence pour la Vérification des NTE :
- soutenir une police moderne, ce qui consiste entre autres à appliquer l’Analyse comparative entre les sexes plus (ACS Plus) à l’ensemble des politiques, programmes et processus de la GRC pour en assurer le caractère inclusif et aider à créer un milieu de travail plus sain et plus sûr pour tous.
- améliorer la responsabilisation et la transparence, ce qui consiste notamment à équiper les policiers de caméras d’intervention pour améliorer la transparence et la responsabilité devant le public et répondre aux préoccupations des communautés racisées, y compris autochtones, concernant les services de police. Une EFVP est en cours au sujet des caméras d’intervention, et lorsque la politique interne de la GRC sur l’utilisation de ces caméras sera élaborée, elle sera publiée dans le site Web de la GRC. Bien que la Vérification des NTE n’ait pas porté sur les caméras d’intervention, les mesures de responsabilisation et de transparence prises à leur égard pourraient s’appliquer à d’autres NTE.
Les résultats de ces deux volets d’initiatives pourraient être utiles pour la suite des choses, non seulement en ce qui concerne les NTE visées par les trois études de cas dont il est question dans le présent rapport, mais aussi en ce qui concerne d’autres NTE qui sont déjà en usage ou dont l’utilisation est envisagée au sein de la GRC.
Analyse comparative
L’équipe de vérification a obtenu des données de référence sur les initiatives lancées par d’autres services de police en ce qui concerne l’adoption et l’utilisation de NTE, y compris l’élaboration de politiques et de cadres en la matière et la tenue de consultations publiques sur le sujet.
- Cadres stratégiques
- L’Association internationale des chefs de police note de bas 1 et la Police de la Nouvelle-Zélande note de bas 2 ont élaboré des cadres stratégiques et des principes semblables en ce qui concerne l’essai ou l’adoption de nouvelles technologies policières. Elles ont notamment retenu comme principes clés l’établissement de politiques, la protection de la vie privée, la transparence, la consultation du public, la proportionnalité, la gestion et la sécurité des données, l’évaluation du rendement et la responsabilisation.
- Transparence et consultations publiques
- De plus en plus de corps policiers canadiens et étrangers ont pris des mesures précises pour améliorer la transparence quant à l’utilisation qu’ils font de technologies nouvelles, en informant le public des technologies qui sont employées, de la manière dont elles peuvent l’être et des circonstances dans lesquelles cela peut se faire. La plupart de ces organismes ont également demandé l’opinion et les commentaires du public sur l’adoption de nouvelles technologies et les politiques connexes, comme on peut le voir dans le Tableau 2 ci-dessous.
| Service de police | Mesures de transparence et consultations publiques |
|---|---|
| Commission des services policiers de Toronto |
En décembre 2021, elle a invité le public à lui faire parvenir ses commentaires sur une politique provisoire note de bas 3 visant à régir la manière dont le Service de police de Toronto pourrait obtenir et utiliser de nouvelles technologies d’IA. Elle travaillait à élaborer une politique pour assurer la transparence concernant l’utilisation des technologies d’IA par le Service et pour garantir que ces technologies sont utilisées d’une manière équitable qui ne porte pas atteinte aux droits des membres du public, notamment quant au respect de leur vie privée. |
| Service de police d’Edmonton |
En 2022, il a publié un communiqué de presse note de bas 4 (y compris une foire aux questions) annonçant qu’il utilisait une solution de reconnaissance faciale dans le cadre de ses enquêtes criminelles et qu’il avait signé un contrat pour sa mise en œuvre après en avoir longuement étudié les avantages. |
| Service de police d’Ottawa |
En 2022, il a publié un communiqué de presse note de bas 5 annonçant qu’il avait constaté la nécessité de se doter de systèmes d’aéronef télépiloté et qu’il les utiliserait pour intervenir à l’égard de collisions graves ou mortelles et dans les cas de personnes disparues, ainsi que pour répondre à d’autres besoins opérationnels. Le communiqué était assorti d’une foire aux questions et de coordonnées à utiliser pour les demandes de renseignements. |
| Service de police régional de Peel |
En 2022, il a publié un communiqué de presse note de bas 6 assorti d’une foire aux questions pour faire connaître l’objectif de son projet de caméras d’intervention, à savoir améliorer de façon générale la sécurité et le bien-être de la communauté en démontrant le professionnalisme de ses membres dans un souci de transparence, de responsabilisation et de confiance. |
| Service de police régional de Waterloo |
En 2022, il a publié au sujet des NTE de nombreux communiqués de presse comprenant des foires aux questions et des coordonnées pour les demandes de renseignements. Par exemple :
|
| Service de police de New York |
Avant d’adopter d’importantes modifications à ses politiques, le Service de police de New York demande l’avis du public. note de bas 9 Pour les technologies nouvellement acquises, il publie une politique provisoire sur leur utilisation et leur incidence dans son site Web au moins 30 jours avant leur mise en œuvre. Il fournit aussi des addendas à ces politiques lorsqu’il fait l’acquisition d’améliorations à une technologie particulière ou que cette technologie est utilisée d’une manière qui n’a pas été révélée auparavant. Exemples de politiques publiées en 2021 :
|
De plus, le Plan d’action national pour un gouvernement ouvert 2022-2024 note de bas 10 du gouvernement du Canada (GC) et le rapport d’octobre 2022 du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, intitulé La technologie de reconnaissance faciale et le pouvoir grandissant de l’intelligence artificielle, footnote 11 ont aussi mis l’accent sur l’augmentation de la transparence, de la responsabilisation et de la participation citoyenne, autant d’éléments qui visent à améliorer la gouvernance et à accroître la confiance du public.
Attentes
Les publications relatives au gouvernement ouvert soulignent l’importance d’avoir une stratégie de gouvernance axée sur la transparence, la responsabilisation, l’intégrité et la participation citoyenne. Elles montrent aussi l’importance d’avoir des lois sur l’acquisition et l’utilisation de NTE, l’importance de réaliser des EFVP et de consulter les intervenants clés (dont le Commissariat à la protection de la vie privée du Canada [CPVP]) avant d’acquérir de nouvelles technologies, ainsi que la nécessité d’accroître la transparence et d’informer le public.
D’autres corps policiers ont fait des efforts pour accroître la transparence et la confiance du public. La GRC a réalisé des progrès en ce sens avec les caméras d’intervention et peut continuer à moderniser ses opérations dans cette optique.
En mai 2022, la commissaire de la GRC a donné la directive suivante aux commandants divisionnaires : « Quant à l’avenir, nous devons veiller à ce que toute technologie utilisée à des fins opérationnelles soit mise à profit dans le respect des droits et des attentes de la population canadienne, et ce, en examinant rigoureusement les nouvelles technologies d’enquête pour en évaluer l’incidence sur les plans de la protection des renseignements personnels, du droit, de l’éthique et de l’analyse comparative entre les sexes plus. »
Il est important que la GRC se conforme aux orientations établies pour l’ensemble du gouvernement et aux nouvelles façons de faire dans la collectivité policière. La Vérification interne s’attendait donc à ce que la GRC ait mis en place un cadre favorisant la responsabilisation et la transparence en ce qui concerne l’adoption, l’intégration et l’utilisation des NTE.
Gouvernance
La gouvernance favorise l’atteinte des objectifs, la prise de décision stratégique et la gestion des risques. Elle permet à l’organisation de concentrer ses efforts en fonction des orientations établies.
Au sein de la structure de gouvernance organisationnelle existe un réseau de comités nationaux composés de cadres supérieurs des secteurs d’activité de la GRC. Le rôle de ces comités consiste, d’une part, à mener des consultations, à fournir des conseils, à prendre des décisions et à assurer la supervision de dossiers pouvant influer sur la capacité de la GRC à atteindre ses objectifs, et d’autre part, à favoriser une approche uniforme à l’égard des politiques, des programmes et des services.
La surveillance, la planification stratégique, la prise de décision et la planification financière figurent parmi les fonctions de gouvernance.
Cadre de gouvernance des NTE
En interviewant des intervenants de niveau supérieur venant de partout dans la GRC, l’équipe de vérification a constaté qu’il n’existe aucun cadre ni processus organisationnel pour l’évaluation, l’adoption, l’intégration et la surveillance des NTE. Les services et les divisions peuvent généralement faire l’acquisition de NTE dans leur région, en fonction de leurs propres besoins et priorités.
La gouvernance à l’égard de l’ensemble des NTE est fragmentée. Il s’agit d’une responsabilité qui touche les divers comités de gouvernance établis, mais aucun comité de niveau 2 n’en est chargé de façon exclusive, puisque les NTE peuvent intéresser le Comité des opérations, le Comité d’orientation, le Comité de surveillance des investissements et le Comité de gestion. Des mesures de gouvernance sont établies au moins pour certains projets de NTE à coût élevé, comme celui de la plateforme St. ROCH, mais il existe des lacunes organisationnelles en ce qui concerne les NTE à faible coût, comme le révèlent les études de cas relatives à la GGTE et aux systèmes d’aéronef télépiloté. L’équipe de vérification a également constaté qu’il n’existe aucune règle officielle sur la façon d’utiliser ou de surveiller les NTE et que le suivi et la surveillance à leur égard présentent des déficiences. La surveillance qui est effectuée semble généralement viser les projets à coût élevé comme ceux de la plateforme St. ROCH et des caméras d’intervention. Les entrevues ont permis de relever des risques et des enjeux concernant la gouvernance, les rôles et responsabilités, le manque de politiques et de lois, la protection de la vie privée et la transparence, ainsi que la passation de marchés et la gestion des données.
Comités de gouvernance
Selon l’information recueillie lors des entrevues, les principaux comités qui peuvent jouer un rôle dans l’adoption et l’intégration de NTE sont l’État-major supérieur, le Comité des opérations (devenu le Conseil national des opérations intégrées en janvier 2022), le Comité sur les investissements numériques (CIN), le Comité de surveillance des investissements et d’établissement des priorités (CSIEP) et le Comité des biens et du matériel. Certains de ces comités n’étaient pas actifs pendant la période visée par la vérification. La revitalisation du CSIEP et du CIN, le nouveau Comité sur les données, l’information et l’analytique et les structures telles que le Programme national d’intégration des technologies (PNIT) devraient aider à combler les lacunes qui ont créé des risques pour l’organisation.
D’après les rapports de décisions, les NTE ont surtout fait l’objet de discussions au sein du Comité des opérations, du CSIEP et du CIN. Les discussions ont toutefois porté essentiellement sur des projets à coût élevé comme le projet St. ROCH, ou sur des initiatives touchant l’ensemble de l’organisation comme le projet pilote des caméras d’intervention et le lancement de l’application Android Team Awareness Kit.
Les personnes interviewées ont noté qu’aucun seuil n’est établi aux fins de gouvernance et que les comités ne sont pas au courant de toutes les NTE. Il y a un manque de coordination entre les comités, notamment pour déterminer qui doit prendre les décisions (État-major supérieur ou sous-commissaires et chefs des secteurs d’activité). Il faut aussi améliorer la coordination entre les mesures de gouvernance nationales et divisionnaires. Les divisions peuvent se sentir obligées d’adopter des NTE de façon indépendante en raison de la lenteur des initiatives nationales.
Programme national d’intégration de la technologie
Le Programme national d’intégration de la technologie (PNIT) a été mis sur pied par les Opérations techniques de la GRC afin de pallier l’absence de dispositions législatives claires sur l’utilisation des NTE et l’absence de procédures normalisées régissant l’intégration de celles-ci au sein de l’organisation. Créé en juin 2021 comme suite aux recommandations formulées par le CPVP note de bas 12 relativement à l’usage que la GRC avait fait de la technologie de reconnaissance faciale [CAVIARDÉ], ce programme devait avoir pour mandat général d’examiner toutes les NTE.
Le rôle du PNIT consiste à établir un cadre pour la réalisation d’évaluations en vue de l’intégration de technologies. Il :
- favorisera l’utilisation de technologies pour répondre aux besoins opérationnels en misant sur l’innovation et les acquisitions;
- fera appel aux experts internes en matière de technologie et établira un cadre d’évaluation standard;
- élaborera des cadres de politiques, des cadres juridiques et des cadres de protection de la vie privée appropriés;
- collaborera avec les secteurs d’activité internes pour sélectionner, évaluer, documenter et déployer de façon sécuritaire de nouveaux outils et techniques;
- fera le suivi des outils et technologies par la gestion d’un inventaire centralisé;
- fera preuve de transparence quant à la manière dont la GRC utilise les technologies et aux circonstances dans lesquelles elle le fait, le premier critère étant que cela doit répondre à un besoin opérationnel manifeste et servir les intérêts du public.
Le PNIT examinera les NTE en tenant compte des considérations relatives au droit, à l’éthique, au respect de la vie privée, à l’ACS Plus, aux principes d’équité, de diversité et d’inclusion (EDI), aux risques et aux préjugés.
La possibilité de faire réaliser des EFVP par le PNIT a fait l’objet de discussions au sein de l’État-major supérieur, mais cela dépendra du financement disponible. Au moment de la vérification, le PNIT n’était pas entièrement financé, il n’y avait pas de cadre, de politiques ou de procédures établies, et la participation du PNIT à l’évaluation des NTE n’était pas obligatoire. En mai 2022, la commissaire a donné comme directive aux commandants divisionnaires que quiconque envisageait l’utilisation de nouvelles technologies devait consulter le PNIT. Le succès du PNIT reposera dans une large mesure sur l’étendue et la profondeur de l’expertise qu’il peut offrir, ainsi que sur l’adhésion continue de l’organisation.
Il ressort des entrevues que même si le PNIT joue un rôle important, les divisions se concentrent habituellement sur leurs besoins immédiats en matière de technologie et ne pensent pas nécessairement à ce que le PNIT peut faire pour elles.
Rôles et responsabilités
À l’échelle organisationnelle, les rôles et les responsabilités en ce qui concerne l’adoption et l’intégration de NTE ne sont pas clairement définis. L’organisation n’a pas précisé si les NTE relèvent de la Cybercriminalité, des Opérations techniques, de la Police fédérale ou du Programme de GI-TI. La responsabilité des NTE n’est pas confiée à une seule entité, mais répartie parmi les secteurs d’activité et les divisions selon le type de technologie et les besoins des utilisateurs.
En général, les services et les divisions font l’acquisition de NTE en fonction de leurs besoins et priorités propres. Les cadres applicables aux trois catégories de NTE évaluées au cours de la vérification en sont à différents stades de maturité. La politique sur les systèmes d’aéronef télépiloté existe, et les rôles et les responsabilités en la matière y sont définis, mais elle est en cours de révision. La politique sur la GGTE est en voie d’élaboration et n’est donc ni établie dans sa version définitive ni publiée. La politique sur la plateforme St. ROCH sera élaborée à un stade ultérieur du projet.
Les personnes interviewées ont parlé de la méconnaissance des NTE qui existent ou qui sont en usage et de l’absence de mécanisme centralisé pour relever les dédoublements ou les lacunes. Chaque division met en œuvre ses propres solutions, mais le processus pourrait être rationalisé de manière à permettre le recensement des technologies utilisées par les divisions et la surveillance des résultats.
Le Bureau de l’action, de l’innovation et de la modernisation de la GRC fournit des orientations sur le processus d’ACS Plus, mais ne possède ni les ressources ni l’expertise nécessaires pour réaliser une ACS Plus sur les NTE. Il a affirmé que le PNIT pourrait peut-être inclure cette activité dans ses processus. L’équipe d’AIPRP de la GRC fournit des conseils et des orientations sur les considérations relatives à la protection de la vie privée et les exigences applicables aux EFVP, mais elle ne peut pas produire les EFVP pour les secteurs d’activité, puisque cela constituerait un conflit d’intérêts. Le Secteur de la responsabilité professionnelle, qui est chargé de l’éthique au sein de l’organisation, ne joue aucun rôle ni n’assume aucune responsabilité en ce qui concerne l’adoption ou l’utilisation de NTE.
Établissement de priorités
Au moment de la vérification, aucun processus n’était établi pour la priorisation des NTE. Il y a lieu de désigner un seul comité de direction pour prendre les décisions concernant la priorisation des NTE. À l’heure actuelle, la hiérarchisation des projets de NTE qui présentent un coût élevé ou des répercussions importantes peut être effectuée par différents comités qui transmettent des dossiers au CSIEP, tels que le CIN, le Comité consultatif des biens immobiliers, le Comité des biens et du matériel et le Comité sur les investissements dans les systèmes organisationnels. Les besoins sont cotés selon une grille d’établissement des priorités, et le CSIEP se penche sur l’ensemble des projets pour établir le Plan d’investissement. Une priorité gouvernementale peut monter plus haut dans la file d’attente du CIN si elle est liée aux objectifs d’une politique ou aux engagements pris à l’égard d’un mandat. Une fois les priorités établies, de nouveaux besoins peuvent venir en changer le classement parce que les ressources humaines disponibles sont limitées, ou certains projets peuvent être mis en suspens.
L’établissement des priorités dépend dans une forte mesure du financement, et les priorités divisionnaires ne sont pas toujours en harmonie avec les priorités nationales. Les rapports de décisions du CIN font état de discussions sur le financement des projets et la détermination de leur niveau de priorité. On y mentionne notamment le besoin de fixer les priorités en temps réel et d’assurer une meilleure coordination entre les comités de niveau 3 pour appuyer et améliorer l’outil de hiérarchisation qui est actuellement en place.
Dans les divisions, les achats relatifs aux NTE peuvent être proposés au comité divisionnaire chargé de l’équipement, et les priorités à cet égard sont déterminées par le commandant divisionnaire ou l’officier responsable des enquêtes criminelles.
Au moment de la vérification, le niveau de risque était évalué en fonction du coût du projet. Les contrats à faible coût n’atteignaient donc pas le seuil nécessaire pour qu’on les fasse examiner par les Acquisitions de la Direction générale. On peut identifier des NTE et en faire approuver l’acquisition, mais les projets les plus prioritaires ne sont pas toujours financés.
L’État-major supérieur pourrait commencer à se concentrer sur les priorités non financées des comités de niveau 2. Il est important que l’État-major supérieur ait un portrait complet des besoins. Les processus étant réactifs, il faut élaborer des propositions budgétaires pour obtenir du financement.
Transparence
L’équipe de vérification a constaté que la GRC fait preuve d’une transparence limitée dans ses efforts pour informer le public des NTE qu’elle utilise. Il est arrivé que des divisions informent les médias après l’utilisation réussie d’une NTE (par exemple, lorsque la GGTE a permis d’identifier des restes humains dans de vieux dossiers non résolus). Les reportages publiés dans les médias et les observations émanant du CPVP font toutefois surtout état de situations où la GRC a utilisé une NTE sans en informer le public, ce qui soulève des préoccupations quant au respect de la vie privée. L’adoption d’une stratégie organisationnelle de transparence sur l’utilisation des NTE pourrait contribuer à accroître la confiance du public envers la GRC et à faire progresser les efforts de modernisation de cette dernière.
En octobre 2022, les SPCA ont annoncé que la GRC a l’intention de communiquer proactivement de l’information sur la politique qu’elle adoptera prochainement au sujet de l’utilisation des caméras d’intervention.
Conclusion – gouvernance
Il y aurait moyen de resserrer la gouvernance organisationnelle à l’égard des NTE qui n’atteignent pas le seuil du coût élevé. Le PNIT peut jouer un rôle important dans l’établissement de directives opérationnelles sur l’utilisation efficace et responsable des NTE du point de vue de la collecte de renseignements personnels.
La GRC fait preuve d’une transparence limitée dans ses efforts pour informer le public des NTE qu’elle utilise. Il y aurait lieu d’accroître, dans la mesure du possible, la diffusion proactive de communiqués de presse sur le mode, les circonstances et les lieux d’utilisation des NTE ainsi que la présentation des politiques provisoires aux parties prenantes et au public à des fins de consultation, par souci d’harmonisation avec les pratiques en vigueur dans les autres services de police et avec les initiatives liées au gouvernement ouvert.
Pourquoi ces constatations sont importantes
La GRC investit dans la technologie pour faciliter ses opérations et l’exécution réussie de sa mission, qui consiste à maintenir la paix, à faire respecter la loi et à offrir un service de qualité en partenariat avec les communautés du pays entier.
L’utilisation de la GGTE, des systèmes d’aéronef télépiloté, de la plateforme St. ROCH et d’autres nouvelles technologies d’enquête procure de plus en plus d’avantages, mais le public s’intéresse aussi de plus en plus aux répercussions qui peuvent en découler relativement à la protection de la vie privée. La confiance du public risque d’être ébranlée si ce dernier perçoit l’utilisation de NTE par la police comme une intrusion injustifiée ou une atteinte aux droits et libertés individuels.
Il faut établir à l’égard des NTE un solide cadre de gouvernance comprenant des comités de surveillance, des politiques et des processus normalisés pour l’évaluation, l’adoption et l’utilisation des NTE, afin de soutenir les efforts de l’organisation pour répondre à ses besoins opérationnels tout en tenant compte des attentes en matière de transparence et de respect de la vie privée.
Aspects sur lesquels la direction doit se pencher
- Élaboration d’une politique globale sur les NTE qui définirait notamment les rôles et les responsabilités en la matière.
- Normalisation des processus relatifs à l’évaluation, à l’adoption et à l’utilisation de NTE en exigeant la participation obligatoire du PNIT.
- Stratégie organisationnelle pour assurer la transparence en ce qui concerne l’adoption et l’utilisation de NTE par la GRC.
- Stratégie organisationnelle pour aborder les considérations relatives à la protection de la vie privée que soulèvent l’adoption et l’utilisation de NTE par la GRC, y compris en réalisant des EFVP.
Acquisition et gestion de certaines NTE
Étude de cas 1 – Généalogie génétique comme technique d’enquête
La GGTE consiste à analyser l’acide désoxyribonucléique (ADN) contenu dans un échantillon de substance corporelle de source inconnue, puis à comparer le profil génétique ainsi obtenu aux profils d’ADN de source connue qui se trouvent dans les bases de données de généalogie génétique commerciales.
Cette combinaison d’analyse génétique et de recherche généalogique permet de tirer des conclusions sur les liens de parenté qui existent entre des personnes.
Dans le domaine policier, la GGTE vise les objectifs suivants :
- identifier la personne dont provient l’ADN ou un parent biologique de celle-ci;
- trouver de nouvelles pistes d’enquête;
- aider à identifier des suspects potentiels ou des personnes d’intérêt.
La Loi sur l’identification par les empreintes génétiques ne comporte actuellement aucune disposition sur la GGTE ou sur d’autres techniques d’analyse d’ADN, ni sur les profils génétiques qui ne se trouvent pas dans les fichiers de la Banque nationale de données génétiques (BNDG). Présentement, la GRC ne possède pas l’expertise, les ressources ou les technologies de criminalistique avancées dont elle aurait besoin pour effectuer le type d’analyse d’ADN ou de recherche généalogique que requiert la GGTE. Elle obtient donc ces services auprès de laboratoires à l’étranger lorsqu’elle en a besoin. Les services initiaux de GGTE comprennent l’extraction de l’ADN, l’établissement du profil génétique, la comparaison de ce profil avec ceux qui se trouvent dans une banque publique de données génétiques (qui permet à la police d’effectuer des recherches liées à des crimes graves) et un nombre prédéterminé d’heures de recherche généalogique. Certains des laboratoires privés qui offrent des services de GGTE effectuent toutes ces étapes, tandis que d’autres en confient certaines à des sous-traitants.
Bien que les étapes initiales du processus de GGTE puissent suffire à identifier la personne dont provient l’ADN, il arrive aussi qu’elles permettent seulement d’établir un lien avec des parents biologiques très éloignés. Il peut donc être nécessaire de payer des heures de recherche généalogique supplémentaires ou des frais pour faire comparer le profil génétique à ceux que contiennent d’autres banques publiques de données génétiques. Il en résulte une augmentation des coûts dans les deux cas. Lorsqu’une personne d’intérêt, un suspect ou un parent biologique est identifié grâce à la GGTE, des comparaisons directes de l’ADN doivent être effectuées par les laboratoires de la GRC.
La GRC a eu recours à la GGTE pour élucider des homicides historiques et pour identifier des restes humains non identifiés, dans des cas où :
- toutes les possibilités et les pistes d’enquête avaient été épuisées;
- les comparaisons avec les profils génétiques contenus dans les fichiers de la BNDG n’avaient relevé aucune correspondance;
- les comparaisons avec les bases de données étrangères sur les personnes disparues (dans les cas de restes humains non identifiés) n’avaient relevé aucune correspondance ou ne pouvaient être effectuées;
- le nombre de témoins diminuait avec le temps;
- l’état des preuves se détériorait.
Les entrevues menées dans [CAVIARDÉ] divisions ont permis de relever [CAVIARDÉ] dossiers où la GGTE avait été utilisée et [CAVIARDÉ] autres où son utilisation était envisagée. L’achat de services de GGTE se fait principalement au moyen de cartes d’achat ou quelquefois en réglant la facture dans le système financier de la GRC.
Cadre stratégique
Il n’existe actuellement aucun cadre législatif visant la GGTE. La Loi sur l’identification par les empreintes génétiques a été adoptée avant l’émergence de cette technique, et au moment de la vérification, les tribunaux canadiens n’avaient encore examiné aucun dossier où la GGTE avait été utilisée. Un cadre ou un mode de fonctionnement organisationnel pour le recours à la GGTE est toutefois en voie d’élaboration sous la direction du Bureau national des normes et pratiques d’enquête (BNNPE) des SPCA. [CAVIARDÉ] Aucune politique divisionnaire n’a encore été élaborée puisque le recours à la GGTE est limité et que la politique nationale n’a pas encore été publiée.
Les situations où la GGTE est utilisée ne sont pas déclarées, ni suivies, ni surveillées. La GRC ne peut donc pas confirmer combien de fois la GGTE a été utilisée, par qui et pour quelles raisons. Selon les propos recueillis lors des entrevues, la documentation consultée et les données financières examinées, l’équipe de vérification estime que la GGTE a probablement été utilisée [CAVIARDÉ], dans [CAVIARDÉ] divisions que [CAVIARDÉ] incluses dans l’étude de cas.
Bien que son personnel ne possède aucune expertise ni formation en GGTE, la GRC peut obtenir des services de cette nature auprès de laboratoires et de fournisseurs externes. Jusqu’à maintenant, une formation limitée sur la recherche généalogique à des fins judiciaires a été donnée à certains analystes de la GRC, mais cette expertise n’a pas encore été développée à l’interne.
Évaluations d’impact
Un article du Globe and Mail note de bas 13 publié le 6 décembre 2020 présente une citation du CPVP disant qu’il n’avait pas reçu d’EFVP de la GRC concernant la GGTE et qu’il avait demandé qu’une telle évaluation soit réalisée. Le BNNPE a rempli le questionnaire d’EFVP et l’a soumis à AIPRP de la GRC, qui a demandé une EFVP complète. Au moment de la vérification, l’EFVP n’avait pas encore été amorcée. En octobre 2022, le BNNPE a fait savoir qu’il était sur le point d’engager des ressources externes pour mener cette EFVP et d’autres EFVP requises au sein des SPCA, étant donné le manque de personnel possédant l’expertise voulue dans ce domaine.
À l’heure actuelle, les considérations liées à l’ACS Plus et à l’EDI ne sont pas examinées pour l’utilisation de la GGTE dans des dossiers divisionnaires individuels, mais les employés des centres de décision qui ont été interviewés ont exprimé leur intention de les intégrer à l’EFVP visant la GGTE.
Considérations juridiques et éthiques
Devant l’absence de lois régissant la GGTE, les enquêteurs font attention de ne pas outrepasser les limites de la Loi sur l’identification par les empreintes génétiques, de la Loi sur la protection des renseignements personnels et de la Charte canadienne des droits et libertés. Dans certaines divisions, les procureurs de la couronne sont consultés au sujet des dossiers en cours dans le cadre desquels s’effectuent des analyses d’ADN suspect, tandis que dans d’autres, les procureurs de la couronne peuvent seulement être consultés après la conclusion des enquêtes.
[CAVIARDÉ] Pour la suite des choses, le BNNPE propose de faire appel aux équipes du soutien aux questions juridiques des divisions et de consulter les procureurs de la couronne pour obtenir un avis juridique sur un dossier particulier. La politique provisoire de la GRC sur la GGTE spécifie par ailleurs que les résultats d’une recherche de généalogie génétique ne doivent pas constituer les principaux ou uniques motifs justifiant l’arrestation d’une personne, ni les principaux éléments de preuve justifiant le dépôt d’accusations criminelles.
Les types de dossiers où il y a recours à la GGTE sont menés selon le cadre établi pour la gestion des cas graves. Les considérations juridiques et éthiques pertinentes sont intégrées à ce cadre et font donc déjà partie du processus d’enquête suivi dans les dossiers individuels pour lesquels on en vient à utiliser la GGTE.
Transparence
Une certaine transparence a été constatée dans la mesure où des communiqués de presse divisionnaires ont annoncé que l’utilisation de la GGTE avait permis d’élucider des dossiers de restes humains non identifiés. Toutefois, du point de vue organisationnel, la GRC n’a pas communiqué de façon proactive avec le public pour l’informer du mode et des circonstances d’utilisation de la GGTE, et elle n’a pas consulté les principaux intervenants qui pouvaient être touchés par l’emploi de cette technique.
Pratiques d’acquisition
L’acquisition de services de GGTE ne se fait pas au moyen de contrats ou d’autres documents officiels, mais en obtenant des estimations de prix par courriel et en réglant la facture avec une carte d’achat, puisque les coûts initiaux approximatifs se situent bien en deçà de la limite de 10 000 $ fixée pour l’obtention de services sans contrat écrit. L’autorisation de l’achat de services de GGTE se fait au sein de la section ou peut être demandée à l’officier responsable des enquêtes criminelles de la division, selon les limites applicables aux pouvoirs financiers. Dans les [CAVIARDÉ] dossiers examinés, l’équipe de vérification a trouvé les pièces justificatives appropriées concernant les transactions relatives à la GGTE (estimations de prix, factures, relevés de compte de carte de crédit et registres) et a constaté que les employés ayant approuvé les dépenses (en vertu des articles 32 et 34 de la Loi sur la gestion des finances publiques [LGFP ]) avaient les pouvoirs financiers requis. La seule lacune à cet égard tenait au fait que la personne ayant autorisé l’engagement des dépenses (en vertu de l’article 32 de la LGFP) ne l’avait pas fait par écrit, mais avait communiqué cette décision verbalement à l’équipe d’enquête.
Dans un dossier donné, les coûts peuvent dépasser l’estimation initiale lorsqu’on doit acheter des services supplémentaires après avoir obtenu les résultats des travaux initiaux d’extraction et d’analyse d’ADN et de recherche généalogique. Ces services supplémentaires peuvent faire en sorte qu’on franchisse la limite de 10 000 $ fixée pour l’acquisition de services au moyen d’une carte d’achat sans contrat écrit. Cela peut aussi arriver lorsque l’enquêteur ne tient pas compte du taux de change applicable à une acquisition faite avec une carte d’achat lorsqu’il calcule le coût estimatif des services de GGTE. Les personnes interviewées ont mentionné deux situations où la limite de 10 000 $ avait été dépassée involontairement et où le bureau régional de la Gestion générale avait exigé l’établissement de contrats rétroactifs ainsi que la présentation de formulaires de justification du recours à un fournisseur exclusif. Les situations en question s’étaient toutefois produites en dehors de la période visée par la vérification.
Risques liés aux tiers
À l’heure actuelle, la GRC ne fournit pas certains services de criminalistique comme la GGTE en raison de l’absence de dispositions législatives en la matière, des ressources limitées dont elle dispose et de leur manque d’expertise dans le domaine. Les enquêteurs font donc appel à des laboratoires privés pour combler les lacunes et faire avancer leurs enquêtes.
Les analyses effectuées par les laboratoires judiciaires de la GRC sont entièrement distinctes de celles que font les laboratoires privés. En raison des exigences législatives en vigueur, les profils génétiques établis à l’extérieur de la GRC ne peuvent pas être comparés à ceux qui se trouvent dans les fichiers de la BNDG, et l’inverse est vrai aussi. Le recours à la GGTE suscite donc le risque que des échantillons d’ADN soient entièrement utilisés pour réaliser des analyses externes. De plus, aucune comparaison directe ne pourrait se faire en pareille situation, puisque dans les analyses de GGTE, on n’examine pas les mêmes parties de l’ADN qu’avec les méthodes d’analyse traditionnelles utilisées dans les laboratoires de la GRC.
Les laboratoires qui offrent des services de généalogie génétique ou d’extraction d’ADN à partir d’échantillons dégradés ou fragmentés se trouvent à l’étranger (aux États-Unis et en Europe), et certains confient une partie du travail à des sous-traitants. Jusqu’à maintenant, aucune évaluation n’a été faite en ce qui concerne les exigences de sécurité à respecter et les mesures de protection à prendre à l’égard des données génétiques et des pièces à conviction dans les cas où des services de GGTE sont obtenus auprès de ces fournisseurs étrangers, qui sont assujettis aux lois et règlements de leurs pays respectifs. Parce que l’acquisition de ces services ne se fait pas au moyen de contrats officiels à l’heure actuelle, il n’existe aucune entente formelle sur la protection des renseignements personnels, des données et des pièces à conviction. De plus, la plupart des personnes interviewées n’ont mentionné aucune consultation avec les Acquisitions et la Sécurité ministérielle de la GRC.
Conclusion – GGTE
Faute de dispositions législatives, de cadre de fonctionnement et de politiques, il n’existe aucune directive précisant de quelle façon, dans quelles circonstances et pour quels types de dossiers la GGTE peut être utilisée. Les enquêteurs sont donc laissés à eux-mêmes pour décider comment procéder, ce qu’ils font souvent en consultant leurs pairs, les laboratoires de la GRC et les fournisseurs de services de GGTE. Aucune surveillance n’étant assurée, la GRC ne connaît pas la fréquence d’utilisation de cette technique et n’est pas en mesure de s’assurer qu’elle s’emploie de façon appropriée. La politique provisoire en la matière vise à combler cette lacune.
L’absence de lois, de politiques et d’EFVP continue de faire planer l’incertitude et l’ambiguïté en ce qui concerne les répercussions de la GGTE sur les plans du droit, de la protection de la vie privée et de l’éthique. De plus, il y aurait moyen d’établir des paramètres relatifs à l’ACS Plus et à l’EDI pour le recours à la GGTE.
Il serait également possible d’apporter des améliorations en veillant à ce que la GRC informe le public de l’utilisation générale qu’elle fait de la GGTE et à ce qu’elle consulte les principaux intervenants qui risquent d’être touchés par l’emploi de cette technique. Une stratégie comme celle qui a été mise en œuvre pour l’initiative des caméras d’intervention pourrait aussi s’appliquer au dossier de la GGTE.
Les pratiques d’acquisition pourraient être renforcées par des mesures de consultation et de formation pour éviter l’utilisation de méthodes d’achat inadéquates, l’établissement de contrats rétroactifs, le fractionnement de marchés et la non-conformité aux exigences visant les achats auprès d’un fournisseur unique. Aucune évaluation n’a été effectuée quant à la gestion des données, de l’information et des pièces à conviction ni quant aux questions de sécurité et de respect de la vie privée, et aucune mesure de protection appropriée n’a été convenue formellement par écrit avec les fournisseurs de services étrangers.
Devant l’absence de politiques et de directives officielles, les enquêteurs font preuve d’une grande prudence dans le choix des dossiers pour lesquels ils auront recours à la GGTE, et ils ne s’engagent que rarement dans cette voie. Ils ont constaté l’utilité de la technique pour les enquêtes et sont conscients des risques qu’elle suscite pour le respect de la vie privée et sur le plan juridique. Ils espèrent pouvoir continuer à l’utiliser afin d’obtenir des réponses pour les familles des victimes et des personnes disparues.
Pourquoi ces constatations sont importantes
L’établissement d’un cadre, d’une politique et de directives peut aider à faire en sorte que les enquêteurs utilisent la GGTE dans les circonstances approuvées et que l’organisation soit en mesure d’en suivre l’utilisation et d’exercer la surveillance nécessaire pour s’assurer qu’elle est employée de façon appropriée. Ceci est particulièrement important étant donné l’absence de dispositions législatives en la matière.
La réalisation d’une EFVP peut aider à déterminer et à atténuer les répercussions négatives que les programmes et les activités peuvent avoir sur le respect de la vie privée des personnes, ainsi qu’à renforcer les liens de confiance avec la population canadienne en montrant que l’organisation fait preuve d’une diligence raisonnable et qu’elle se conforme aux exigences des lois et politiques applicables.
Il est important de tenir compte des considérations liées à l’ACS Plus et à l’EDI pour comprendre l’effet que la GGTE aura sur différents groupes de femmes, d’hommes et de personnes de diverses identités de genre et pour éviter ou pallier les inégalités et les répercussions involontaires qui peuvent découler de l’utilisation de cette technique.
La communication ouverte avec le public et la consultation des intervenants touchés amélioreraient la responsabilisation et la transparence, tout en montrant que la GRC veille à maintenir un équilibre entre, d’une part, les avantages opérationnels des NTE et, d’autre part, les droits et les attentes des Canadiens et des Canadiennes.
Finalement, l’emploi de pratiques de gestion, de protection et de confidentialité inadéquates en ce qui concerne les données, l’information et les pièces à conviction peut nuire aux enquêtes, porter atteinte à la vie privée des personnes et enfreindre la loi.
Aspects sur lesquels la direction doit se pencher
- Cadre et politique pour l’évaluation, l’adoption et l’utilisation de la GGTE.
- Évaluation des considérations liées au respect de la vie privée, à l’ACS Plus et à l’EDI.
- Transparence et consultation des intervenants touchés.
- Acquisition de services auprès de tiers situés à l’étranger, en portant une attention particulière aux éléments suivants :
- le recours à des mesures d’acquisition qui correspondent au coût prévu et qui respectent la politique sur les acquisitions;
- l’établissement d’exigences et de conditions formelles par écrit;
- les pratiques de gestion, de protection et de confidentialité relatives aux données, à l’information et aux pièces à conviction.
Étude de cas 2 – Systèmes d’aéronef télépiloté
Un aéronef télépiloté est un aéronef motopropulsé qui est doté d’éléments tels qu’une caméra et dont la conduite s’effectue sans membre d’équipage à bord. Un SAT s’agit d’un ensemble d’éléments configurables comprenant un aéronef télépiloté, un poste de commande, les liaisons de commandement et de contrôle requises et tout autre élément nécessaire pendant les opérations aériennes.
Les SAT sont aussi souvent appelés drones, petits aéronefs sans pilote, véhicules aériens sans pilote ou systèmes d’aéronef sans pilote. La terminologie privilégiée par la GRC est SAT.
Bien que la GRC utilise des SAT depuis plus de 10 ans, le programme des SAT et les capacités connexes n’ont pas été mis en œuvre de façon uniforme dans les divisions. Certaines n’ont acquis leur premier SAT qu’au cours des quatre dernières années. Les SAT servent à soutenir les opérations de la GRC en documentant une vue aérienne des lieux d’événements ou d’incidents.
La GRC utilise principalement les SAT pour l’expertise de lieux de crime, la reconstitution judiciaire de collisions, les opérations de recherche et de sauvetage, les enquêtes relatives à l’intégrité de la frontière canado-américaine et la surveillance d’incidents critiques, notamment dans les situations nécessitant le déploiement d’un groupe d’intervention tactique. Les SAT ne sont utilisés à des fins de surveillance que sur autorisation judiciaire, ou dans une situation urgente ou particulière qui fait qu’il est difficile d’obtenir un mandat de perquisition au préalable.
Les coordonnateurs divisionnaires du programme des SAT sont responsables de l’utilisation de SAT dans le cadre des activités quotidiennes et conseillent les clients sur leurs besoins à cet égard. C’est à eux que sont acheminées les demandes visant l’utilisation de drones à des fins opérationnelles ou l’achat de tels appareils. L’acquisition de SAT est décentralisée et se fait principalement dans les divisions, au cas par cas; toutefois, il faut l’autorisation du gestionnaire du programme national des SAT pour acheter de nouveaux SAT qui ne sont pas encore utilisés à la GRC. Le programme national des SAT, qui relève des SPCA, exerce des fonctions de surveillance et d’orientation. Il est responsable de la politique sur les SAT, du manuel national sur l’utilisation des SAT, des journaux de bord relatifs aux vols, de la formation ainsi que de l’élaboration et de la mise à jour des méthodes de fonctionnement normalisées (MFN) relatives aux SAT qui sont destinées aux divisions. L’utilisation des SAT est également assujettie aux règlements de Transports Canada.
Cadre stratégique
Il existe un cadre régissant l’adoption et l’utilisation de SAT, lequel comprend le Règlement de l’aviation canadien de Transports Canada, la politique de la GRC sur les SAT (chapitre 25.7 du Manuel des opérations), le manuel national sur l’utilisation des SAT, ainsi que les MFN et les directives émanant du programme national des SAT. Il existe aussi des suppléments divisionnaires, mais ils présentent certaines lacunes, puisque certains d’entre eux datent d’avant l’établissement de la politique nationale ou n’y sont pas harmonisés.
La politique de la GRC établit les exigences relatives à la formation, à l’accréditation et aux heures de vol des pilotes de SAT, ainsi que celles qui concernent l’entretien des SAT. D’après les commentaires recueillis lors des entrevues et la documentation fournie, cette politique est respectée en général, mais il peut être difficile d’atteindre le nombre d’heures de vol qu’elle exige. Les attentes énoncées dans la politique de la GRC sont plus élevées que celles de la politique de Transports Canada, qui ne fixe aucune exigence minimale quant aux heures de vol. Des dispositions informelles ont été mises en place pour réduire le nombre d’heures de vol exigé en attendant que la politique de la GRC soit mise à jour.
Bien que la version actualisée de la politique ait été rédigée, sa publication n’est prévue qu’après la réalisation de la nouvelle EFVP, ce qui fera persister les lacunes dans les consignes actuelles. [CAVIARDÉ]
Respect de la vie privée
À la suite d’une EFVP réalisée en 2018, le CPVP a exprimé des préoccupations et formulé des recommandations qui seront prises en compte dans la prochaine EFVP et dans la mise à jour de la politique sur les SAT, mais les dates d’achèvement de ces travaux restent à déterminer.
Voici les questions soulevées par le CPVP en 2019 qui restent à régler :
- L’EFVP de 2018 sur les SAT a dressé une liste incomplète des éléments de renseignements personnels que les SAT peuvent capter, tels que le visage d’une personne, la couleur de sa peau et d’autres caractéristiques physiques ou particularités qu’elle présente.
- Cette EFVP n’a pas coté de façon appropriée le caractère délicat de ces éléments, d’autant plus que les images et les vidéos sont enregistrées en temps réel.
L’actualisation de l’EFVP se fait sous la direction du centre de décision responsable des SAT, soit le Programme national de la sécurité routière et Technologies opérationnelles des SPCA. [CAVIARDÉ]
Les définitions de l’intelligence artificielle (IA) et de l’apprentissage automatique (AA) présentent des lacunes, et il en va de même pour la compréhension qu’on a de ces notions. À mesure que la technologie évolue, la GRC pourrait se tourner vers des SAT dotés de capacités d’IA. Bien que les personnes interviewées aient affirmé ne pas faire usage de capacités d’IA à l’heure actuelle, l’emploi de telles capacités est envisagé, et si la GRC décide de s’en prévaloir, cela pourrait créer des risques liés à l’ACS Plus, à l’EDI, au respect de la vie privée et à la perception du public quant à la transparence dont fait preuve la GRC.
Considérations juridiques
Les coordonnateurs divisionnaires du programme des SAT se tiennent au fait des considérations juridiques liées à l’utilisation de SAT et s’assurent d’obtenir les autorisations judiciaires requises à cette fin. Les pilotes de SAT suivent la politique nationale sur l’usage de drones (avec ou sans mandat), et les coordonnateurs divisionnaires encouragent les services qui demandent l’utilisation d’un SAT à communiquer avec l’Équipe du soutien aux questions juridiques de leur division pour obtenir des conseils sur des situations précises et sur les mandats qu’il peut être nécessaire d’obtenir à leur égard.
Gestion de l’information
Les éléments qui peuvent présenter des lacunes sur le plan de la GI sont le traitement des données enregistrées sur les cartes mémoire SD (Secure Digital) des SAT, la transmission de l’information aux enquêteurs et la suppression des fichiers des cartes mémoire SD après leur sauvegarde sur d’autres supports de stockage. Parce que la politique sur les SAT ne donne pas de consignes sur la GI et que la politique sur la GI n’aborde pas explicitement la gestion des données des SAT, les enquêteurs principaux et les utilisateurs de SAT ne connaissent peut-être pas les exigences en matière de GI qui s’appliquent aux données captées par les SAT.
Il y a des failles dans les procédures de sécurité pour la collecte, la transmission, le stockage et l’élimination des renseignements personnels. Les personnes montrées dans les images pourraient subir une atteinte au respect de leur vie privée si celles-ci étaient perdues ou traitées incorrectement. Une telle atteinte peut notamment engendrer une responsabilité légale, ébranler la confiance à l’égard du traitement des renseignements personnels, compromettre une enquête criminelle et causer des pertes financières à l’organisation si une poursuite est engagée. Les SPCA ont affirmé que la version actualisée de la politique devrait donner des consignes plus précises à ces égards.
Pratiques d’acquisition
Dans l’ensemble, l’acquisition de SAT est conforme aux pratiques d’acquisition acceptées, mais le processus comporte certains risques. Les achats à faible coût n’atteignent pas le seuil fixé pour les transactions devant être examinées par les Acquisitions de la GRC, et la manière dont les tiers gèrent l’information captée par les SAT peut susciter des risques.
Les acquisitions de moins de 10 000 $ se font souvent avec une carte d’achat, tandis que celles de plus de 10 000 $ se font par l’intermédiaire du bureau régional ou national des Acquisitions, ou de Services publics et Approvisionnement Canada. Les coordonnateurs divisionnaires du programme des SAT aident les clients à bien évaluer leurs besoins, compte tenu du fait qu’il n’est pas toujours nécessaire d’obtenir un appareil haut de gamme et tous les accessoires offerts. La sélection des drones se fonde sur les capacités dont le client a besoin pour assurer le succès des missions. Les divisions déterminent leurs propres besoins pour les achats individuels, qui se fondent sur des recherches, des dossiers de décision et des consultations, ainsi que sur les autorisations obtenues auprès des coordonnateurs divisionnaires, du gestionnaire du programme national, des chefs de service ou des officiers responsables des enquêtes criminelles. Le plafond de 10 000 $ fixé pour les achats sans contrat et la complexité des processus d’acquisition applicables aux achats de plus de 10 000 $ figurent parmi les problèmes mentionnés. Il a également été question de situations où il avait été difficile d’obtenir l’autorisation d’acheter des SAT parce que la direction ne comprenait pas en quoi ce serait avantageux pour le programme.
On constate par ailleurs un manque d’uniformité quant à savoir si les contrats relatifs aux SAT devraient être traités comme des marchés relatifs à la TI et donc être préapprouvés par la TI. [CAVIARDÉ] divisions incluses dans l’étude de cas suivaient le processus de Demande d’approbation préalable de biens et services TI (formulaire 3868). On a demandé à des dirigeants divisionnaires de l’Informatique et à des sections des acquisitions de TI de partout dans l’organisation s’ils considéraient les SAT comme des biens de TI et si leur achat nécessitait l’approbation du formulaire 3868, et la plupart [CAVIARDÉ] ont répondu par la négative. Il y aurait lieu d’examiner les répercussions dans une perspective d’intégration organisationnelle et de gestion des biens.
Risques liés aux tiers
Les SAT sont souvent achetés auprès de fournisseurs tiers à l’étranger; par exemple, certains de ces appareils sont fabriqués en Chine (dont ceux de marque DJI). L’application qui fait fonctionner le SAT appartient au fournisseur tiers. Il est donc possible qu’elle enregistre et stocke les données automatiquement. [CAVIARDÉ] Fait notable, le Pentagone a inscrit DJI sur sa liste noire le 21 octobre 2022 note de bas 14 pour des raisons de sécurité nationale. Le Federal Bureau of Investigation et le Department of Homeland Security ont reconnu qu’ils continuaient d’acheter et d’utiliser des drones fabriqués en Chine, mais ont toutefois insisté sur le fait qu’ils tentent de trouver des solutions de rechange.
Certaines incohérences ont été constatées en ce qui concerne l’autorisation d’achats auprès de fournisseurs tiers. Une division a noté que la Sécurité ministérielle lui refusait parfois des demandes qui étaient pourtant approuvées ailleurs, et une autre division a souligné que certains secteurs refusent d’acheter des drones fabriqués en Chine parce qu’ils ne respectent pas les exigences de sécurité. [CAVIARDÉ]
Les contrats de plus de 10 000 $ ne comprennent pas de dispositions sur la protection des données et des renseignements personnels à moins que des exigences de sécurité ne soient établies. Les contrats examinés ne comportaient aucune disposition sur la protection des données, et la plupart des personnes interviewées n’ont pas mentionné que les processus d’acquisition comprenaient la consultation du Programme de GI-TI et de la Sécurité ministérielle au sujet des mesures de protection des données et de respect de la vie privée. Les acquisitions de moins de 10 000 $ peuvent se faire sans contrat écrit, au moyen d’une carte d’achat. Le cas échéant, il n’existe aucun document écrit précisant la manière dont le fournisseur gérera les données de la GRC auxquelles il peut avoir accès.
Considérations liées à l’ACS Plus et à l’EDI
Bien que les considérations liées à l’ACS Plus et à l’EDI soient prises en compte dans les présentations au Conseil du Trésor visant des projets à coût élevé et qu’elles puissent être incluses dans les EFVP, elles ne sont pas intégrées aux processus d’acquisition de SAT (qu’il s’agisse d’achats inférieurs ou supérieurs à 10 000 $). Les personnes interviewées ont affirmé qu’au moment d’acheter un SAT, elles cherchent à obtenir la meilleure technologie possible, en fonction des besoins de la mission. Rien dans les dossiers d’acquisition examinés n’indiquait que des considérations liées à l’ACS Plus, à l’EDI ou à l’éthique avaient été étudiées.
Conclusion – SAT
Le cadre régissant l’adoption et la gestion des SAT est le plus étoffé de ceux qui ont été examinés dans les trois études de cas effectuées lors de la vérification, car la politique est en place, une EFVP a été réalisée et le personnel reçoit soutien et orientations de la part du programme national des SAT et de ses coordonnateurs divisionnaires. Bien que la GRC utilise des SAT depuis plus de 10 ans, le programme des SAT et les capacités connexes n’ont pas été mis en œuvre de façon uniforme dans les divisions, certaines n’ayant acquis leur premier SAT qu’au cours des quatre dernières années.
Des mesures se prennent pour donner suite aux préoccupations du CPVP dans le cadre des travaux d’actualisation de la politique et de l’EFVP sur les SAT. [CAVIARDÉ]
La connaissance des facteurs de risque liés à l’ACS Plus, à l’EDI et à la transparence pourrait être améliorée à l’échelon divisionnaire. Ces facteurs ne sont pas examinés à l’heure actuelle.
Bien que les modalités d’acquisition de SAT soient conformes aux pratiques acceptables, il peut y avoir certains risques liés à la possibilité que des tiers aient accès aux données de la GRC captées au moyen de SAT.
Pourquoi ces constatations sont importantes
La passation de marchés avec des fournisseurs tiers qui peuvent avoir accès aux données ou aux transmissions en direct de la GRC peut créer un risque d’atteinte au respect de la vie privée et avoir une incidence sur les enquêtes.
Il y a lieu de continuer à évaluer les considérations liées à l’ACS Plus, à l’EDI, au respect de la vie privée, à l’IA et à la transparence qui entourent l’utilisation de SAT afin de réduire le plus possible les risques juridiques et la méfiance du public.
Le public porte un grand respect à l’opinion du CPVP. Le défaut de donner suite aux préoccupations et aux recommandations de ce dernier a terni et continuera de ternir l’image de l’organisation.
Aspects sur lesquels la direction doit se pencher
- Mise à jour de l’EFVP concernant les SAT
- Actualisation de la politique sur les SAT en fonction des recommandations du CPVP
- Actualisation des suppléments divisionnaires au besoin pour les harmoniser à la politique nationale sur les SAT
- Consultation de la Sécurité ministérielle, du Programme de GI-TI et de GGC sur les contrats avec des tiers et les exigences de protection des données (pour les achats inférieurs et supérieurs à 10 000 $)
- Détermination de la pertinence de considérer les SAT comme des biens de TI et d’exiger la présentation du formulaire 3868 aux fins d’approbation
Étude de cas 3 – Plateforme St. ROCH
Le projet St. ROCH a pour but de permettre à la GRC de moderniser ses capacités techniques par le déploiement[CAVIARDÉ] d’une plateforme [CAVIARDÉ] à la fois sécuritaire et [CAVIARDÉ], grâce à laquelle il sera possible de gérer les problèmes liés aux données massives qui surviennent lors des enquêtes menées dans le cadre des services de police de base. [CAVIARDÉ]
Le développement de la plateforme St. ROCH se fait dans une perspective organisationnelle. Il s’agissait d’abord d’une initiative pilote, qui est devenue un projet [CAVIARDÉ] et qui passera finalement à l’état de programme national. La plateforme sera alors intégrée [CAVIARDÉ] donc accessible à toutes les divisions. Son passage à l’état de programme est prévu en 2024.
La GRC ne possédait auparavant aucun moyen technique de traiter et d’évaluer les données massives (structurées, semi-structurées, non structurées) saisies dans l’exécution de son mandat légal de fournir des services de police opérationnels. Pour combler cette lacune, elle a lancé l’initiative pilote St. ROCH, qui s’est déroulée d’avril 2018 à septembre 2019. À la fin de cette période, la GRC a élaboré l’infrastructure nécessaire pour soutenir l’outil d’analyse et en évaluer l’efficacité. L’initiative pilote a montré que la plateforme permettait de réaliser des gains d’efficacité considérables dans le traitement des mégadonnées, mais les ensembles de données utilisés pour les essais étaient limités et ne représentaient pas toute l’étendue des capacités opérationnelles de la plateforme. [CAVIARDÉ]
On peut citer plusieurs exemples de situations où la plateforme St. ROCH a été utilisée avec succès. Lors d’une enquête au cours de laquelle on avait recueilli quelque 100 000 documents de langues différentes, elle a permis de traiter et de traduire ces documents sans frais en 19 heures environ. Les services de traduction coûtent habituellement de 250 $ à 500 $ par page. De plus, dans des conditions normales, l’examen des données saisies dans le cadre d’un dossier d’enquête peut nécessiter la participation de 30 équivalents temps plein sur une période de huit semaines. La plateforme St. ROCH a pu effectuer la même tâche en 100 minutes, ce qui représente une vitesse de 0,5 Go par minute. [CAVIARDÉ]
Gestion du projet St. ROCH
L’évaluation des besoins réalisée avant et pendant le stade de l’initiative pilote a tenu compte des considérations liées à la pertinence, au financement et à la planification de la mise en œuvre de l’outil, des considérations d’ordre juridique et éthique, ainsi que des considérations relatives à l’ACS Plus et à l’EDI. Ces éléments ont tous été rigoureusement documentés.
Le projet est conforme au programme de modernisation et à la Stratégie sur la police numérique de la GRC. Il respecte aussi les protocoles du gouvernement du Canada en ce qui concerne les nouveaux projets de GI-TI. Une structure de gestion de projet a été établie à son égard. Les documents relatifs au cadre d’adoption et de gestion de la plateforme font par ailleurs état de consultations menées avec des partenaires internes et externes, dont le Groupe des cinq, le Secrétariat du Conseil du Trésor et le CPVP.
[CAVIARDÉ] Le tout s’est fait avec la participation Services publics et Approvisionnement Canada, dans le cadre d’un processus d’appel d’offres, conformément aux spécifications et normes pertinentes, aux pratiques d’acquisition acceptées et aux principes de gestion de projet.
Des données sur le rendement de la plateforme St. ROCH ont été mesurées et présentées tout au long de son développement, et leur mesure se poursuivra pendant que le projet progresse vers l’état de programme. Un mécanisme de suivi financier est établi pour le projet St. ROCH.
Toutes les exigences fonctionnelles et techniques établies pour le stade d’initiative pilote et les exigences en matière d’infrastructure établies pour le stade de projet ont été remplies. Les spécifications techniques et les mises en œuvre logicielles sont bien définies.
Au moment de la vérification, le projet St. ROCH n’avait pas encore atteint l’état de programme. Par conséquent, les mécanismes de gouvernance, les politiques, les MFN, les exigences de formation, les normes de rendement, les modalités d’évaluation continue et les exigences de surveillance sont toujours en voie d’élaboration et nécessiteront d’autres travaux. Il y a toutefois lieu de se pencher sur certaines considérations liées à l’utilisation et à la maintenance de la plateforme St. ROCH dans l’immédiat et dans l’avenir. L’équipe du projet continue à apporter des correctifs et assure la maintenance du système pendant son passage de l’état de projet à celui de programme. Les considérations juridiques, éthiques et liées à l’ACS Plus et à l’EDI sont surveillées continuellement pendant le développement du système. Les risques résiduels ont été déterminés et font l’objet d’une surveillance.
Gestion de l’information
Le cadre de GI établi pour la plateforme St. ROCH aborde la collecte des données et de l’information, l’accès à celles-ci ainsi que leur utilisation, leur protection, leur conservation et leur élimination. Des programmes et des protocoles de maintenance ont également été établis à son égard.
La propriété des données est associée aux fichiers à un niveau granulaire lorsque les données sont entrées dans le système et elle est maintenue pendant toute la période de conservation des données. La plateforme St. ROCH doit permettre de vérifier la conformité des données saisies en cours d’enquête avec les conditions énoncées dans les autorisations judiciaires, et les Services de criminalistique numérique, au sein des Services d’enquêtes techniques de la GRC, sont chargés de veiller au respect de ces conditions pendant le traitement des données.
Les données et l’information contenues dans le système sont utilisées dans le cadre d’enquêtes, et des MFN sont établies relativement à leur communication. [CAVIARDÉ] L’élimination des données et de l’information se fait conformément aux codes et aux paramètres de conservation établis pour la Déclaration uniforme de la criminalité.
Évaluation des facteurs relatifs à la vie privée
En 2019, le CPVP a conseillé à la GRC de poursuivre les discussions avec son service d’AIPRP quant à la possibilité de réaliser une EFVP sur le projet St. ROCH, et de procéder à cette évaluation s’il y avait lieu de le faire.
L’équipe de vérification a examiné les documents témoignant de la réflexion sur la nécessité d’effectuer une EFVP, ainsi que les commentaires du CPVP. Elle a constaté, en particulier, que les responsables du projet St. ROCH avaient consulté l’équipe d’AIPRP de la GRC précédemment et que cette démarche initiale leur avait laissé l’impression suivante :
- il n’est pas nécessaire de réaliser une EFVP, car aucune modification ne sera apportée à l’information de la Police fédérale recueillie par des moyens moins efficaces dans le cadre d’enquêtes criminelles légitimes;
- la réalisation d’une EFVP ne se fait pas à l’égard d’un outil et est seulement requise lorsque de nouveaux dépôts de données sont créés;
- l’intention est d’utiliser les fichiers de renseignements personnels qui existent déjà pour l’information que la GRC est autorisée à recueillir relativement à ses activités d’enquête.
Au lieu de réaliser une EFVP officielle, la GRC a accepté de produire une évaluation de la menace et des risques pour le respect de la vie privée afin de cerner les préoccupations relatives à la protection des renseignements personnels et de prendre les mesures d’atténuation pertinentes. De plus, si l’on détermine plus tard qu’une EFVP doit être réalisée, la GRC veillera à ce que ce soit fait avant la mise en œuvre intégrale de la plateforme St. ROCH.
Au moment de la vérification, aucune décision n’avait encore été prise sur la nécessité de réaliser une EFVP.
Évaluation de l’incidence algorithmique
L’équipe du projet St. ROCH a été l’un des premiers groupes à adopter le processus d’évaluation de l’incidence algorithmique (EIA). Elle collabore depuis quelques années avec le Secrétariat du Conseil du Trésor à la réalisation de son EIA, qui consiste notamment à évaluer de façon continue l’AA et les modèles de données élaborés et utilisés lors de l’initiative pilote et des phases du projet visant la plateforme St. ROCH. De plus, la réalisation de l’EIA est présentée comme un facteur qui contribuera à l’atteinte de l’objectif d’harmonisation avec les normes d’architecture du gouvernement du Canada en matière de collecte de données et avec les exigences du Conseil d’examen de l’architecture intégrée du gouvernement du Canada. Les données doivent être recueillies au moyen de pratiques conformes à l’éthique, dans le but d’en faire une utilisation appropriée axée sur les citoyens et les entreprises, et leur collecte doit s’effectuer dans l’exécution du mandat prescrit de la GRC, qui est de protéger les Canadiens et les Canadiennes. Il faudra continuer à collaborer avec le Secrétariat du Conseil du Trésor afin de rédiger l’EIA, puis afin de la modifier régulièrement au fur et à mesure que le processus évoluera au sein du gouvernement du Canada selon les politiques du Secrétariat du Conseil du Trésor.
Le CPVP a aussi exprimé l’avis que la GRC devrait continuer à collaborer avec le Secrétariat du Conseil du Trésor afin de produire une EIA, et continuer à surveiller les modèles de données utilisés pour l’AA.
Passage de l’état de projet à celui de programme
À mesure que le projet St. ROCH progresse vers l’état de programme, les risques peuvent s’accroître avec l’augmentation du nombre d’utilisateurs et la variation probable des pratiques adoptées à l’échelle divisionnaire ou locale quant à l’utilisation de la plateforme.
La formation est encore en voie d’élaboration, mais il a été souligné que le budget du projet tient compte des outils nécessaires au développement, au déploiement, à la maintenance et au soutien de la plateforme St. ROCH, et qu’il prévoit aussi une importante formation sur mesure pour les développeurs et les utilisateurs. Au moment de la vérification, un rapport d’analyse des besoins en formation avait été présenté relativement au projet St. ROCH et approuvé par le directeur des Services nationaux d’apprentissage.
Il sera important de faire preuve de prudence et de continuer à surveiller la mise en œuvre de la plateforme au moyen de contrôles internes appropriés, tels qu’une politique, des lignes directrices, de la formation, des MFN et des mécanismes de suivi.
Conclusion – plateforme St. ROCH
Une stratégie globale est en place pour orienter la planification, la conception, la mise en œuvre et la gestion du projet St. ROCH. À mesure qu’il progresse vers l’état de programme et après l’atteinte de ce stade, il sera essentiel d’évaluer de façon continue les considérations relatives à l’intelligence artificielle (IA) et au respect de la vie privée.
L’équipe du projet St. ROCH devrait poursuivre ses discussions avec l’équipe d’AIPRP de la GRC quant à la possibilité de réaliser une EFVP, et procéder à cette évaluation si elle est jugée nécessaire.
De plus, comme l’a conseillé le CPVP en 2019, la GRC devrait continuer à collaborer avec le Secrétariat du Conseil du Trésor afin de produire une EIA, et continuer à surveiller les modèles de données utilisés pour l’apprentissage automatique (AA). Ce sera particulièrement important pendant le passage de l’état de projet à celui de programme. Il en va de même pour la surveillance des nouvelles capacités et fonctionnalités.
Pour ce qui est de l’élaboration de la politique et de la formation, toutes les exigences fonctionnelles et techniques établies pour le stade d’initiative pilote et les exigences en matière d’infrastructure établies pour le stade de projet ont été remplies. La GRC devrait continuer à surveiller les considérations juridiques, éthiques et liées à l’ACS Plus et à l’EDI pendant le développement du système. À mesure que le projet avancera et avant que la plateforme soit mise à la disposition des divisions, il faudra voir à l’élaboration de la politique et des MFN ainsi qu’à la prestation de la formation.
Pourquoi ces constatations sont importantes
En 2019, le CPVP a conseillé à la GRC de poursuivre les discussions avec son service d’AIPRP quant à la possibilité de réaliser une EFVP sur le projet St. ROCH, et de procéder à cette évaluation s’il y avait lieu de le faire. Si aucune EFVP ou EIA n’est effectuée, il se peut que les risques pour le respect de la vie privée et ceux associés à l’intelligence artificielle (IA) et à l’apprentissage automatique (AA) ne soient pas bien compris, qu’ils ne soient pas relevés et que les mesures d’atténuation pertinentes ne soient pas mises en place.
À mesure que le projet St. ROCH progresse vers l’état de programme, les risques peuvent s’accroître avec l’augmentation du nombre d’utilisateurs et la variation probable des pratiques adoptées à l’échelle divisionnaire ou locale quant à l’utilisation de la plateforme. Les puissantes capacités de la plateforme suscitent des risques inhérents associés notamment à la création de liens entre les données et à la possibilité d’accéder à des quantités massives de données. Puisque bon nombre des liens entre les données se créent par l’application des principes de l’AA et de la science des données, il y aurait lieu d’exiger la participation d’une personne à la prise de décisions, comme le prévoient les modèles d’IA avec intervention humaine.
Il sera important de faire preuve de prudence et de continuer à surveiller la mise en œuvre de la plateforme au moyen de contrôles internes appropriés, tels qu’une politique, des lignes directrices, de la formation, des MFN et des mécanismes de suivi. De plus, à mesure que la plateforme St. ROCH sera dotée de nouvelles capacités et permettra de créer de nouveaux liens, il sera essentiel d’exercer une surveillance continue afin de gérer et d’atténuer les risques.
Aspects sur lesquels la direction doit se pencher
- Prise d’une décision, en consultation avec l’AIPRP de la GRC et le CPVP, quant à la nécessité de réaliser une EFVP
- Achèvement de l’EIA
- Travaux d’achèvement de la politique, de la formation et des MFN avant que la plateforme St. ROCH soit mise à la disposition des divisions
4 Conclusions générales
Il y aurait moyen de resserrer la gouvernance organisationnelle à l’égard des NTE qui n’atteignent pas le seuil établi pour les projets à coût élevé. Le PNIT peut jouer un rôle important dans la prestation de consignes opérationnelles sur l’utilisation efficace et responsable des NTE du point de vue de la collecte de renseignements personnels.
Les cadres applicables aux trois catégories de NTE évaluées au cours de la vérification en étaient à différents stades de maturité. Il n’existe aucune politique organisationnelle régissant de façon globale les NTE, mais la politique sur les SAT est en cours de révision, la politique sur la GGTE est en voie d’élaboration, et la politique sur la plateforme St. ROCH sera élaborée à un stade ultérieur du projet. Les EFVP visant les NTE ne sont pas réalisées ou mises à jour dans un délai raisonnable ou ne le sont pas du tout. Le défaut de réaliser ces EFVP ou de donner suite aux recommandations du CPVP a terni et continuera de ternir l’image de l’organisation.
La GRC fait preuve d’une transparence limitée dans ses efforts pour informer le public des NTE qu’elle utilise. Il y aurait lieu d’accroître, dans la mesure du possible, la diffusion proactive de communiqués de presse sur le mode, les circonstances et les lieux d’utilisation les NTE ainsi que la présentation des politiques provisoires aux parties prenantes et au public à des fins de consultation, par souci d’harmonisation avec les pratiques en vigueur dans les autres services de police et avec les initiatives liées au gouvernement ouvert.
Comme les progrès technologiques dénotent une tendance vers l’augmentation des capacités d’intelligence artificielle (IA), il est important que la GRC définisse l’utilisation qu’elle fait actuellement de l’IA ou celle qu’elle souhaite en faire, et qu’elle comprenne les risques qui peuvent se présenter dans le contexte de l’application de la loi afin de pouvoir les gérer.
Conclusions relatives à la GGTE et aux SAT
La GRC n’a établi aucun contrat ni aucune entente assortie de conditions pour la GGTE, et les marchés relatifs aux SAT ne comportent aucune disposition sur la protection des renseignements personnels. Ces deux lacunes soulèvent des risques pour le respect de vie privée et la GI. De plus, le Programme de GI-TI et la Sécurité ministérielle n’ont pas été consultés sur les risques relatifs aux données et au respect de la vie privée qui sont associés au recours à des fournisseurs tiers situés à l’étranger.
Lors de l’acquisition de services de GGTE, l’ajout d’éléments supplémentaires risque fort de faire augmenter les coûts au point de dépasser le plafond de 10 000 $. Finalement, les considérations liées à l’ACS Plus et à l’EDI ne sont pas intégrées à l’évaluation des besoins ni au processus d’acquisition.
Pourquoi c’est important
La GRC investit dans la technologie pour faciliter ses opérations et l’exécution réussie de sa mission, qui consiste à maintenir la paix, à faire respecter la loi et à offrir un service de qualité en partenariat avec les communautés du pays entier.
Par exemple :
- La GGTE a été utilisée avec succès pour faire avancer des enquêtes sur des homicides historiques.
- Les SAT sont des outils d’enquête qui constituent une solution de rechange économique, viable et rapide aux hélicoptères et aux avions. Leur déploiement a réduit les risques pour les membres lors d’opérations policières. Ils ont été utilisés avec succès pour enquêter sur des collisions et en faire la reconstitution, mener des activités de recherche et de sauvetage, surveiller la frontière canado-américaine et obtenir un portrait de la situation lors d’incidents critiques.
- La plateforme St. ROCH a comblé une lacune technologique en permettant de traiter efficacement les données massives saisies dans l’exécution du mandat légitime de fournir des services de police opérationnels.
L’utilisation de ces outils et d’autres technologies d’enquête nouvelles procure de plus en plus d’avantages, mais le public s’intéresse aussi de plus en plus aux répercussions qui peuvent en découler relativement à la protection de la vie privée. La confiance du public risque d’être ébranlée si ce dernier perçoit l’utilisation de NTE par la police comme une intrusion injustifiée ou une atteinte aux droits et libertés individuels.
Il faut établir à l’égard des NTE un solide cadre de gouvernance afin de répondre aux besoins opérationnels tout en tenant compte des attentes en matière de transparence et de respect de la vie privée. Le fait de porter une attention continue aux considérations liées à l’ACS Plus, à l’EDI et au respect de la vie privée qui entourent l’utilisation de NTE peut aider la GRC à faire preuve de transparence en la matière, ce qui renforcera la confiance du public envers l’organisation. Cela peut aussi favoriser la progression de ses efforts de modernisation.
Recommandations
- Afin de soutenir la gouvernance et de favoriser l’établissement d’un processus normalisé pour les NTE, la GRC devrait se pencher sur le seuil au-delà duquel la participation du PNIT à l’évaluation de l’utilisation de NTE à des fins opérationnelles devient obligatoire.
-
- Afin de soutenir l’adoption, l’utilisation et l’intégration de NTE, la GRC devrait envisager d’élaborer une politique globale sur les NTE.
- De plus, la GRC devrait élaborer, mettre à jour ou renforcer les politiques organisationnelles sur la GGTE, les SAT et la plateforme St. ROCH pour combler les lacunes relevées dans les études de cas.
- Afin d’appuyer la modernisation, la GRC devrait envisager d’adopter une stratégie organisationnelle pour prendre en compte les répercussions que l’adoption et l’utilisation de NTE peuvent avoir sur le respect de la vie privée (y compris en réalisant des EFVP).
- Afin d’appuyer la modernisation, la GRC devrait envisager d’adopter une stratégie organisationnelle de transparence à l’égard des NTE qu’elle utilise, laquelle comprendrait la diffusion d’avis au public, dans la mesure jugée appropriée.
- Afin de réduire les risques organisationnels liés à la collecte, à l’utilisation, à la conservation et à l’élimination de données, la GRC devrait, en consultation avec GGC et la Sécurité ministérielle, cerner et pallier les risques associés à la possibilité que des fournisseurs tiers aient accès à ses données, et aborder ces risques dans les contrats.
Annexe A – Objectif et critères de la vérification
- Objectif
- Déterminer si la GRC possède les cadres de gouvernance, de contrôle interne et de gestion des risques nécessaires pour soutenir l’adoption, l’intégration et l’utilisation de certaines nouvelles technologies d’enquête.
- Critère 1
- Il existe une structure de gouvernance, de prise de décision et de surveillance pour les nouvelles technologies d’enquête.
- Critère 2
- Il existe une stratégie globale pour l’acquisition et la gestion des trois nouvelles technologies d’enquête sélectionnées.
Annexe B – Plan d’action de la direction
| Recommandations | Réponse | Poste responsable | Plan d’action de la direction | Date d’achèvement |
|---|---|---|---|---|
| 1. Afin de soutenir la gouvernance et de favoriser l’établissement d’un processus normalisé pour les NTE, la GRC devrait se pencher sur le seuil au-delà duquel la participation du PNIT à l’évaluation de l’utilisation de NTE à des fins opérationnelles devient obligatoire. | Acceptée | Directeur exécutif, Opérations techniques |
1.a La GRC publiera la politique intitulée Intégration de nouvelles technologies opérationnelles (chapitre 56.1. du Manuel des opérations), qui :
|
Août 2023 |
| Directeur exécutif, Opérations techniques |
1.b Après discussion avec les cadres supérieurs de la GRC, une source de financement permanente sera trouvée pour le PNIT afin de stabiliser les opérations et de veiller à ce que le mandat actuel puisse être exécuté. |
Mars 2024 | ||
| Directeur général, Opérations criminelles de la Police fédérale, Opérations secrètes, Sources ouvertes et Science des données |
1.c Pour les initiatives de la Police fédérale, l’équipe du système St. ROCH et de Science des données deviendra le point de contact unique pour les NTE de la Police fédérale relativement aux analyses de données, pour simplifier les échanges en vue de l’évaluation par le PNIT, AIPRP, GI-TI et la Sécurité ministérielle. L’organisation continuera de mettre l’accent sur la gouvernance et la surveillance qui tiennent compte des besoins opérationnels, de la protection de la vie privée et de la divulgation. |
Mars 2024 pour l’établissement de la structure; la gouvernance sera continue | ||
| 2.a Afin de soutenir l’adoption, l’utilisation et l’intégration de NTE, la GRC devrait envisager d’élaborer une politique globale sur les NTE. | Acceptée | Directeur exécutif, Opérations techniques |
2.a La nouvelle politique globale intitulée Intégration de nouvelles technologies opérationnelles (chapitre 56.1. du Manuel des opérations), qui sera publiée sous peu, porte de façon détaillée sur l’évaluation, le suivi et la mise en œuvre des nouvelles technologies opérationnelles, y compris les rôles du PNIT, d’AIPRP, de GI-TI et de la Sécurité ministérielle. Elle précise en outre les critères et les exigences que doivent respecter les secteurs de programme de la GRC qui envisagent d’utiliser de nouvelles technologies opérationnelles. |
Août 2023 |
| 2.b De plus, la GRC devrait élaborer, mettre à jour ou renforcer les politiques organisationnelles sur la GGTE, les SAT et la plateforme St. ROCH pour combler les lacunes relevées dans les études de cas. | Acceptée | Directeur général, Opérations criminelles de la Police fédérale, Opérations secrètes, Sources ouvertes et Science des données |
2.b.1 En ce qui concerne le programme St. ROCH : Alors que la plateforme St. ROCH passe de l’état de projet à l’état de programme, des procédures seront établies pour [CAVIARDÉ] La procédure sera la suivante : |
Fin 2023 pour rendre la plateforme opérationnelle; certaines initiatives susmentionnées se poursuivront. |
|
2.b.1.1 Le PNIT, AIPRP, les Services juridiques et les procureurs de la couronne contribuent à relever, à prendre en considération et à atténuer les questions et répercussions juridiques et de protection de la vie privée. |
Décembre 2023 pour dégager les préoccupations juridiques et mettre en œuvre des stratégies d’atténuation. Cette activité sera continue et revue au fur et à mesure de l’évolution du contexte juridique. | |||
|
2.b.1.2 Des politiques et procédures tenant compte des aspects techniques, juridiques et concernant la protection de la vie privée seront établies. |
Pour la directive initiale, décembre 2023, ce qui coïncidera avec le lancement initial de la plateforme. | |||
|
2.b.1.3 Un groupe de travail d’utilisateurs finaux a été établi. Il continuera son travail pour s’assurer que les capacités répondront aux besoins et/ou que des changements seront apportés pour répondre aux besoins. |
Décembre 2023, pour coïncider avec le lancement initial de la plateforme. Cette activité se poursuivra ensuite, aux fins d’harmonisation avec les besoins opérationnels continus. | |||
|
2.b.1.4 Des procédures de gestion des données seront établies. |
Décembre 2024 | |||
|
2.b.1.5 Des processus d’examen et de vérification seront établis en vue d’une évaluation adéquate lorsque la plateforme sera opérationnelle. |
Décembre 2024 | |||
| Comme le programme des SAT passera aux SPS, du temps supplémentaire sera nécessaire pour comprendre et adéquatement attribuer la responsabilité de cette recommandation. Une décision sera prise dans les trois à six prochains mois, et discutée avec le Comité ministériel de vérification au printemps 2024. |
2.b.2 En ce qui concerne les SAT : Le programme des SAT est sur le point d’être transféré du Programme de sécurité routière des Services de police contractuels et autochtones, au Service de l’air, SPS. Une fois ce transfert (prévu pour l’été 2023) effectué, le Service de l’air commencera une évaluation complète de l’exploitation du programme, afin de dégager les pratiques exemplaires et difficultés actuelles, et de dresser une bibliothèque complète des cas d’utilisation des technologies liées aux SAT. Parallèlement, le Service de l’air commencera à harmoniser les procédures liées à l’utilisation de SAT avec celles qui existent déjà pour le reste de la flotte aérienne de la GRC, y compris la gestion des vols, la formation et la compétence des pilotes, les pratiques de GI, et la normalisation technologique. Ce travail comprendra l’évaluation et la révision des politiques nationales et divisionnaires actuelles et des évaluations des facteurs relatifs à la vie privée, et l’élaboration de nouveaux ensembles de politiques régissant l’acquisition et l’utilisation des technologies de SAT. |
À déterminer | ||
| Directeur général, Service national de la police criminelle |
2.b.3 En ce qui concerne la GGTE : Une ébauche détaillée de politique sur la GGTE a été élaborée, et sera mise au point et publiée lorsque l’EFVP sera terminée. La position du Bureau national des normes et pratiques d’enquête est que, lorsque la consultation du PNIT est terminée, l’ébauche de politique devrait servir à formuler une directive provisoire qui sera communiquée aux officiers responsables des enquêtes criminelles, ou publiée à titre de politique provisoire pouvant faire l’objet de modifications lorsque le processus d’EFVP et du CPVP sera terminé. |
Date(s) d’achèvement pour la GGTE :
Politique définitive : Décembre 2024 (dépend de la réalisation de l’EFVP). |
||
| 3. Afin d’appuyer la modernisation, la GRC devrait envisager d’adopter une stratégie organisationnelle pour prendre en compte les répercussions que l’adoption et l’utilisation de NTE peuvent avoir sur le respect de la vie privée (y compris en réalisant des EFVP). | Acceptée | Comme AIPRP relève depuis peu du dirigeant principal de l’Information, du temps supplémentaire sera nécessaire pour comprendre et adéquatement attribuer la responsabilité de cette recommandation. Une décision sera prise dans les trois à six prochains mois, et discutée avec le Comité ministériel de vérification au printemps 2024. |
3.a La GRC élaborera une approche pour la prise en considération des répercussions des nouveaux programmes et technologies sur la vie privée. Comme les cas d’utilisation de chaque technologie pourraient considérablement varier, la façon d’utiliser les technologies opérationnelles doit être examinée au niveau du programme, et non seulement en fonction de l’incidence de la technologie même. L’évaluation du PNIT doit être considérée comme un élément complémentaire à l’évaluation interne au niveau du programme entreprise dans le cadre de l’élaboration des EFVP requises par les directives du Conseil du Trésor. |
À déterminer |
| Directeur général, Opérations criminelles de la Police fédérale, Opérations secrètes, Sources ouvertes et Science des données |
3.b Le programme St. ROCH a retenu les services d’un spécialiste des EFVP qui collaborera avec la Sous-direction de l’AIPRP de la GRC pour produire une EFVP pour la Police fédérale. |
Décembre 2024 | ||
| Comme le programme des SAT sera transféré aux SPS, du temps supplémentaire sera nécessaire pour comprendre et adéquatement attribuer la responsabilité de cette recommandation. Une décision sera prise dans les trois à six prochains mois, et discutée avec le Comité ministériel de vérification au printemps 2024. |
3.c Le travail de la Sous-direction du service de l’air visant à harmoniser les procédures concernant l’utilisation des SAT avec celles qui existent déjà pour le reste de la flotte aérienne de la GRC comprendra l’évaluation et la révision de l’EFVP actuelle pour les SAT. |
À déterminer | ||
| Officier responsable, BNNPE |
3.d Les SPCA retiendront, dans le cadre d’un contrat occasionnel, les services d’un consultant externe en matière d’EFVP pour réaliser l’EFVP pour la GGTE. Malheureusement, le consultant précédent n’a pas été en mesure de terminer l’EFVP avant la fin de son contrat, et le BNNPE n’est pas parvenu à utiliser des ressources internes pour terminer l’EFVP. |
L’EFVP sera terminée d’ici septembre 2024 avec le soutien d’un contractant en EFVP. En attendant qu’elle soit terminée, des mesures d’atténuation provisoires telles qu’il est énoncé au point 2.b.3 du présent plan d’action de la direction s’appliqueront. | ||
| 4. Afin d’appuyer la modernisation, la GRC devrait envisager d’adopter une stratégie organisationnelle de transparence à l’égard des NTE qu’elle utilise, laquelle comprendrait la diffusion d’avis au public, dans la mesure jugée appropriée. | Acceptée | Directeur exécutif, Opérations techniques; directeur général, Opérations criminelles de la Police fédérale, Opérations secrètes, Sources ouvertes et Science des données; et directeur général, Service national de la police criminelle |
La GRC élabore une stratégie de transparence concernant les technologies. Cette stratégie énoncera les nouvelles initiatives d’engagement et de transparence propres aux technologies opérationnelles. Cela comprendra la création d’occasions pour un plus vaste engagement avec les parties prenantes externes et le public concernant l’utilisation par la GRC de nouveaux outils et techniques, les politiques d’utilisation potentielle, et un meilleur accès à l’information concernant l’utilisation des outils opérationnels à l’appui des enquêtes. Les Opérations techniques de la GRC travaillent actuellement à un nouveau produit basé sur la transparence, qui vise à produire un document public non classifié (par exemple, bibliothèque des technologies opérationnelles) sur certaines technologies et techniques opérationnelles utilisées à la GRC, ce qui inspirera une confiance accrue du public grâce à une transparence responsable. Les SAT seront inclus dans la première version de ce document, dans le but d’inclure toutes les technologies opérationnelles dans une bibliothèque des technologies opérationnelles ouverte au public. Les efforts de transparence doivent veiller à ne pas nuire à l’efficacité des techniques et technologies; cependant, la pertinence est clé et doit être attentivement examinée au cas par cas. Une stratégie de communication sera mise en œuvre à l’interne et à l’externe pour veiller à la transparence concernant les capacités du système St. ROCH. Un avis public sera diffusé quant à l’utilisation générale de la GGTE par la GRC, et à la consultation des principales parties prenantes qui pourraient être touchées par son utilisation. Les médias portent une grande attention à la GGTE, et reconnaître l’utilisation judicieuse de cette technique par la GRC ne nuira pas aux enquêtes, fera preuve de transparence envers le public, et apaisera dans une certaine mesure l’intérêt médiatique porté à la GRC. |
Décembre 2023 |
|
5. Afin de réduire les risques organisationnels liés à la collecte, à l’utilisation, à la conservation et à l’élimination de données, la GRC devrait, en consultation avec GGC et la Sécurité ministérielle, cerner et pallier les risques associés à la possibilité que des fournisseurs tiers aient accès à ses données, et aborder ces risques dans les contrats. |
Acceptée | Directeur exécutif, Opérations techniques; directeur général, Opérations criminelles de la Police fédérale, Opérations secrètes, Sources ouvertes et Science des données; et directeur général, Service national de la police criminelle |
Les programmes de la GRC continueront de collaborer avec GGC et la Sécurité ministérielle pour gérer les risques organisationnels fondés sur les faits liés à la collecte, à l’utilisation, à la conservation et à l’élimination de données. L’équipe du système St. ROCH et de Science des données collaborera avec la Sécurité ministérielle pour terminer le processus d’évaluation de la sécurité et d’autorisation de la GRC, afin de se conformer à toutes les mesures de contrôle de sécurité requises et d’obtenir l’autorisation de fonctionner au cours des neuf prochains moins. L’équipe du système St. ROCH et de Science des données collaborera avec le PNIT, AIPRP et le Commissariat à la protection de la vie privée pour tenir compte de la protection de la vie privée lors de la conservation et de l’élimination des informations et des données. L’équipe du système St. ROCH et de Science des données établira ses propres procédures et politiques relativement à sa plateforme, et veillera à ce que celle-ci soit harmonisée avec les pratiques établies actuelles. L’équipe du système St. ROCH et de Science des données relèvera les problèmes liés à la collecte, à la conservation et à l’élimination des données lorsqu’ils se présentent, et collaborera avec les partenaires concernés en vue de relever les risques et d’apporter les changements appropriés pour atténuer ces risques. |
Décembre 2024 |
- Date de modification :