La numérisation de la sécurité nationale : technologie, transparence et confiance
Table des matières
- Membres du Groupe consultatif sur la transparence de la sécurité nationale (GCT-SN) au moment de la publication de ce rapport
- Sommaire
- 1. Introduction
- 2. La sécurité nationale et l'expansion du paysage numérique
- 3. Conclusions et recommandations
- Annexe A : Infographie sur la diversité et l'inclusion au sein du milieu de la sécurité nationale
- Annexe B : Réponse de l'ASFC au deuxième rapport du GCT-SN, « Comment les institutions de sécurité nationale et de renseignement collaborent avec les communautés racialisées »
- Annexe C : Aperçu des réunions du GCT-SN d'octobre 2022 à mai 2023
- Annexe D : Cadres de transparence
Membres du Groupe consultatif sur la transparence de la sécurité nationale (GCT-SN) au moment de la publication de ce rapport :
John Ariyo, directeur général, Secrétariat de la Charte de Scarborough, Université de Toronto
Chantal Bernier, avocate-conseil au sein du groupe sur la vie privée et la sécurité de Dentons Canada
Amira Elghawaby, représentante spéciale du Canada pour la lutte contre l'islamophobie
Mary Francoli (coprésidente), doyenne associée et directrice, Collège des affaires publiques Arthur Kroeger
Daniel Jean, ancien conseiller auprès du premier ministre en matière de renseignement et sécurité nationale
Stéphane Leman-Langlois, professeur de criminologie à l'Université Laval et membre du Centre de sécurité internationale de l'École supérieure d'études internationales de l'Université Laval
Rizwan Mohammad, chercheur, spécialiste de l'engagement civique et responsable de la défense des droits au sein du Conseil national des musulmans canadiens
Jeffrey Roy, professeur à l'École d'administration publique de la Faculté de gestion de l'Université Dalhousie
Patrick Boucher (coprésidente gouvernementale), sous-ministre adjoint principal du Secteur de la sécurité et de la cybersécurité nationale de Sécurité publique Canada
Jillian Stirk, ancienne ambassadrice et sous-ministre adjointe à Affaires mondiales Canada
Lorelei Williams, militante autochtone et fondatrice de Butterflies in Spirit
Sommaire
Le Groupe consultatif sur la transparence de la sécurité nationale (GCT-SN) a été créé en 2019 en tant qu'organe indépendant et externe. Il a pour rôle de conseiller le sous-ministre de la Sécurité publique, et toute la communauté de la sécurité nationale et du renseignement, sur les mesures à prendre pour intégrer la transparence dans les politiques, les programmes et les activités du Canada en matière de sécurité nationale de manière à accroître la responsabilité démocratique et la sensibilisation du public.
Les consultations que nous avons menées au cours des quatre dernières années ont été largement ponctuées de références à l'évolution du paysage technologique. Outre l'explosion de la quantité d'information et de données à la disposition du milieu de la sécurité nationale et des Canadiens, les capacités accrues en matière de numérisation ont engendré de nouvelles possibilités et de nouveaux défis qui doivent être abordés avec beaucoup de prudence et dans une optique de transparence afin de ne pas miner davantage la confiance fragile que les Canadiens accordent aux organismes chargés de la sécurité nationale.
S'il était déjà question de la numérisation dans les trois premiers rapports du GCT-SN, ce quatrième rapport l'aborde plus en profondeur. Cela dit, il faut reconnaître que la numérisation est un sujet vaste et complexe. Il est difficile de rendre compte d'une telle complexité dans le cadre d'un rapport. Le présent rapport n'entend donc pas être exhaustif. Il présente plutôt un échantillon des risques, défis et possibilités liés à la numérisation qui ont été soulevés par de multiples intervenants au fil du temps.
Ce rapport est divisé en trois sections. La première section est une introduction qui vise à mettre en contexte la numérisation en ce qui a trait à la transparence, la confiance et l'ouverture. La deuxième section aborde certains des principaux risques, des principaux défis et des principales possibilités issus de l'expansion du paysage numérique dans le domaine de la sécurité nationale. Enfin, la troisième section revient sur l'Engagement de transparence en matière de sécurité nationale du gouvernement du Canada et propose quelques recommandations spécifiques aux organismes chargés de la sécurité nationale en vue de leur adoption.
Le Groupe consultatif sur la transparence de la sécurité nationale (GCT-SN) a été créé en 2019 en tant qu'organe indépendant et externe. Il a pour rôle de conseiller le sous-ministre de la Sécurité publique, et toute la communauté de la sécurité nationale et du renseignement, sur les mesures à prendre pour intégrer la transparence dans les politiques, les programmes et les activités du Canada en matière de sécurité nationale de manière à accroître la responsabilité démocratique et la sensibilisation du public.
Dans notre premier rapport, publié en 2020, nous avons présenté un survol de l'état de la transparence dans le milieu de la sécurité nationale du Canada et avons souligné les éléments à améliorer.
Dans notre deuxième rapport, publié en 2021, nous avons exposé les principes relatifs à la définition, à la mesure et à l'institutionnalisation de la transparence dans la communauté de la sécurité nationale et du renseignement.
Dans notre troisième rapport, publié en 2022, nous nous sommes penchés sur la manière dont les institutions de sécurité nationale et de renseignement collaborent avec les communautés racialisées et avons formulé diverses recommandations visant à combler le manque de confiance qui existe entre les institutions de sécurité nationale du pays et les Canadiens.
1. Introduction
L'omniprésence croissante des technologies numériques dans la société engendre plus que jamais des défis pour les gouvernements qui doivent d'une part répondre aux nouvelles menaces et aux risques accrus, et d'autre part chercher à tirer parti des nouvelles possibilités offertes par la numérisation. La numérisation de la sécurité nationale découle essentiellement de l'augmentation exponentielle des capacités technologiques permettant de renforcer la protection de la sécurité nationale ainsi que de la nécessité d'actualiser la protection contre les cybermenaces actuelles et futures que pourraient entraîner des technologies émergentes, notamment l'intelligence artificielle, le moissonnage du Web, la reconnaissance faciale et l'analyse prédictive. Dans ce contexte dynamique qui connaît une évolution rapide, l'objectif principal du présent rapport est d'examiner le caractère essentiel de l'ouverture et de la transparence en tant qu'agents d'habilitation essentiels de l'innovation, de la responsabilité et de la confiance du public, alors que la sécurité nationale et la numérisation sont de plus en plus inextricablement liées. Ce faisant, nous cherchons à demander au gouvernement du Canada de rendre compte du respect et de l'application de ses propres principes inscrits dans l'Engagement de transparence en matière de sécurité nationale.
L'expansion massive de l'information et des données, tant au sein du secteur public que dans l'ensemble de notre société interconnectée et en ligne, se trouve au cœur de la transformation numérique de la sécurité nationale qui en est encore à ses balbutiements. Étant donné que les appareils mobiles et les plates-formes numériques sont le moteur de cette expansion, de nombreux aspects des gouvernements traditionnels sont mis à l'épreuve, notamment les principes directeurs du contrôle de l'information et du secret. Comme nous l'avons observé dans notre premier rapport du GCT-SN :
Dans le milieu de la sécurité nationale, le réflexe dominant consiste à garder l'information aussi secrète que possible; l'approche par défaut est habituellement de protéger l'information. Bien que cela soit parfois nécessaire, les efforts visant à améliorer la transparence doivent s'accompagner de changements apportés à cette culture du secret. […] Ce manque de transparence peut avoir des conséquences imprévues, car le manque d'information risque davantage d'être comblé par de la désinformation ou d'éveiller les soupçonsNote de bas de page 1.
Depuis la publication de notre premier rapport, un rapport sur les conclusions d'une enquête du Commissariat à la protection de la vie privée du Canada (CPVP) a mis en lumière l'utilisation par la GRC, jusque-là non divulguée, de la technologie de reconnaissance faciale de Clearview AINote de bas de page 2. Il confirme nos préoccupations en matière de transparence liées à l'expansion des capacités technologiques des organismes chargés de la sécurité nationale.
La désinformation et la haine en ligne, l'ingérence électorale et le nombre croissant d'atteintes à la protection des renseignements personnels et de cyberattaques dans tous les secteurs témoignent de cet environnement dangereux dans lequel les données et l'information sont utilisées comme arme à petite et grande échelle. En effet, à la fin du mois d'août 2023, le Centre canadien pour la cybersécurité (CCCS) a sonné l'alarme, indiquant que les pirates informatiques s'attaquent tout particulièrement à l'éducation, à l'énergie, aux services publics et aux établissements de soins de santéNote de bas de page 3. Le CCCS a également prévenu que de nébuleux acteurs en ligne constitueront « très probablement une menace pour la sécurité nationale et la prospérité économique du Canada au cours des deux prochaines annéesNote de bas de page 4. »
En réaction, le gouvernement du Canada a souhaité renforcer ses propres moyens de cyberdéfense tout en cherchant à acquérir de nouvelles capacités offensives. Comme nous l'avons souligné dans des rapports précédents, la plupart des organismes et des entités chargés de la sécurité développent de manière significative leurs systèmes numériques et fondés sur les données. L'intelligence artificielle (IA) est également devenue une priorité croissante pour les gouvernements du monde entier, et le gouvernement du Canada ne fait pas exception. Notre rapport précédent a aussi abordé le lien entre la sécurité nationale et l'intelligence artificielle, ainsi que l'importance des garanties de transparence dans le contexte du déploiement à plus grande échelle de tels systèmes par les gouvernements et l'industrie. En outre, l'absence de telles garanties minera la confiance du public et la numérisation doit être conçue dans un souci d'ouverture.
1.1 Confiance du public et réponse du gouvernement
Selon le Baromètre de confiance Edelman 2023, le pourcentage moyen de confiance envers les ONG, les entreprises, les gouvernements et les médias est passé de 54 % en 2022 à 52 % en 2023Note de bas de page 5. En ce qui concerne la police et le Parlement fédéral, selon l'enquête de Statistique Canada de 2023, les Canadiens ont un niveau de confiance élevé à l'égard de la police (67 %), les communautés racialisées ont un niveau de confiance nettement inférieur, et le niveau de confiance général envers le Parlement est faible (36 %)Note de bas de page 6. Pour ce qui est des technologies émergentes telles que l'intelligence artificielle, une étude mondiale sur les niveaux de confiance à l'horizon 2023 menée par KPMG et l'université du Queensland a révélé que la plupart des citoyens sont divisés sur la question de savoir si les avantages escomptés l'emportent sur les risques probables, et que seulement 40 % des personnes interrogées dans l'ensemble des pays estiment que la réglementation, les lois et les mesures de protection actuelles sont suffisantes pour rendre l'utilisation de l'intelligence artificielle sûreNote de bas de page 7 . Une enquête d'Ipsos de 2022 sur la connaissance de l'intelligence artificielle et la confiance à son égard a révélé que les Canadiens sont plus sceptiques envers l'intelligence artificielle que la moyenne mondiale. Seul un tiers (34 %) des personnes interrogées ont déclaré faire autant confiance aux entreprises qui utilisent l'intelligence artificielle qu'aux autres entreprisesNote de bas de page 8.
À tout le moins, il est encourageant de constater que de nombreux gouvernements reconnaissent la nécessité d'adopter un état d'esprit plus ouvert en termes de cyberpréparation interne et de résilience numérique. À titre d'exemple, le 30 octobre 2023, le président Biden a signé un décret présidentiel sur la sûreté, la sécurité et la confiance en matière d'intelligence artificielleNote de bas de page 9. Il comprend des mesures visant à « garantir une utilisation responsable et efficace de l'intelligence artificielle par les pouvoirs publics. » Le Canada y est mentionné comme étant l'un des pays consultés par les États-Unis au sujet des cadres de gouvernance de l'intelligence artificielle. En ce qui concerne la nécessité spécifique de faire preuve de transparence par rapport à l'utilisation de la technologie par le gouvernement, le décret présidentiel signé le 12 mai 2021 sur l'amélioration de la cybersécurité de la nation souligne qu'« en fin de compte, la confiance que nous accordons à notre infrastructure numérique devrait être proportionnelle au degré de confiance et de transparence de cette infrastructure, et aux conséquences que nous subirons si cette confiance est mal placéeNote de bas de page 10. »
Le gouvernement du Canada a adopté ses propres outils internes, qui régissent le développement des applications d'intelligence artificielle. Ceux-ci incluent la Directive sur la prise de décisions automatisée du Secrétariat du Conseil du TrésorNote de bas de page 11, une série de politiques sur l'utilisation de l'intelligence artificielle qui s'inscrit dans le guide de l'utilisation de l'intelligence artificielle générativeNote de bas de page 12. Elle comprend l'outil d'évaluation de l'incidence algorithmique et aborde, entre autres, la nécessité de mettre en place des « mesures de transparence prévues pour la diffusion de l'information sur l'initiative à la clientèle et au publicNote de bas de page 13. » Étant donné que l'utilisation équitable et transparente de l'intelligence artificielle par le gouvernement ne peut être dissociée de son développement éthique au sein du secteur privé, le gouvernement du Canada a présenté en juin 2022 le projet de loi C-27, qui propose, entre autres modifications législatives, la Loi sur l'intelligence artificielle et les données. Ce projet de loi est toujours à l'étude à la Chambre des communes.
Malgré ces sentiments et ces initiatives louables, le gouvernement du Canada a également reconnu que les progrès réalisés étaient limités et que certains défis systémiques devaient être relevés – et qu'il restait encore beaucoup à faire. Alors que les gouvernements cherchent à renforcer leurs capacités numériques (de nombreuses entités telles que le Centre de la sécurité des télécommunications [CST], l'Agence des services frontaliers du Canada [ASFC] et la Gendarmerie royale du Canada [GRC] se sont explicitement engagées à le faire), ces efforts donnent lieu à d'importantes questions quant aux moyens et aux conséquences, voulues ou non, qui permettent d'établir l'efficacité et la responsabilité. Et c'est là que l'ouverture et la transparence revêtent une importance cruciale.
Outre les conséquences profondes en matière de protection des renseignements personnels (un thème clé de nos rapports précédents et du présent rapport), la numérisation et les processus gouvernementaux de plus en plus fondés sur les données posent des problèmes de transparence à bien des égards. En voici quelques exemples importants :
- Dissimulation : la transparence peut être entravée par le déploiement dissimulé d'outils numériques;
- Complexité : les technologies numériques et les configurations algorithmiques dépassent l'entendement de la plupart des citoyens et des intervenants;
- Inintelligibilité : de nombreuses technologies numériques, notamment les systèmes d'intelligence artificielle, reposent sur des éléments qui sont souvent inintelligibles, même pour de nombreux experts;
- Imprévisibilité : la technologie numérique, notamment l'utilisation de l'intelligence artificielle dans des systèmes décisionnels automatisés, produit souvent des conséquences imprévues, ce qui vient compliquer davantage les questions de la transparence et de la responsabilité.
1.2 Ouverture envers la numérisation
Lorsqu'il est question de relever ces défis, tout en cherchant à reconnaître les possibilités d'importance essentielle offertes par l'innovation numérique et fondée sur les données, l'enjeu de la transparence est important. Il doit être considéré comme central dans la mise en œuvre de réformes de la gouvernance numérique et de la sécurité nationale. Les nouveaux partenariats internes et externes demandés par les gouvernements eux-mêmes exigent un engagement en faveur de l'ouverture systémique et de la mobilisation publique afin d'inverser l'érosion de la confiance qui peut grandement entraver les capacités d'innovation et d'adaptation des gouvernements, en particulier compte tenu de l'accélération du rythme de l'évolution technologique.
L'ouverture et la mobilisation sont également essentielles à l'atténuation des possibles préjugés inhérents aux systèmes numériques qui comportent des risques accrus pour les communautés les plus vulnérables et stigmatisées (un thème clé de notre rapport précédent). Un effectif diversifié et inclusif est également un moteur essentiel d'innovation numérique au sein du secteur public, comme l'ont reconnu les organismes chargés de la sécurité nationale du Canada, qui peinent pourtant à cet égard.
Sur la base de cette première section d'introduction, le présent rapport est organisé de la manière suivante :
- la deuxième partie vise à expliquer certains risques, certains défis et certaines possibilités clés issus de l'expansion du paysage numérique dans le domaine de la sécurité nationale. Il convient de noter d'emblée que cette section ne présente qu'un échantillon des risques, des défis et des possibilités; elle n'est pas exhaustive sur le plan de l'étendue ou de la profondeur;
- la troisième partie propose des recommandations spécifiques que les organismes chargés de la sécurité nationale devraient envisager d'adopter. Celles-ci concernent les principes de gouvernance et les mesures de protection permettant d'équilibrer l'innovation numérique et la responsabilité publique à l'avenir.
Nos recommandations sont formulées en tenant compte des principes de transparence du gouvernement du Canada, qui ont été élaborés pour étayer l'Engagement de transparence en matière de sécurité nationaleNote de bas de page 14. Nous espérons donc que les discussions et les orientations contenues dans le présent rapport contribueront à renforcer l'état de préparation du gouvernement en matière de sécurité nationale et ses qualités numériques en exploitant mieux la transparence à titre de base de l'innovation continue, de la responsabilisation systémique et de la confiance du public.
2. La sécurité nationale et l'expansion du paysage numérique
La signification du mot « transparence » diffère d'une personne à l'autre. Comme nous l'avons expliqué dans notre deuxième rapport, publié en novembre 2021, la transparence peut être définie de manière étroite et passive, et correspondre à la décision du gouvernement de divulguer ou non certains renseignements ou certaines données. Dans ce rapport, nous avons vivement encouragé les institutions de sécurité nationale et de renseignement à rejeter une telle approche. Nous avons plutôt recommandé l'adoption d'une approche plus large et plus proactive, fondée sur la reconnaissance de l'importance des échanges entre le gouvernement et les Canadiens. Selon ce point de vue, les institutions de sécurité nationale et de renseignement ont à la fois la responsabilité d'être ouvertes et un intérêt à l'être. Dans le cadre d'une telle approche, l'ouverture va au-delà du flux unidirectionnel de l'information et des données et inclut une mobilisation marquée par un dialogue continu (plutôt qu'uniquement en période de crise), dynamique (plutôt qu'unidirectionnel) et complet avec les Canadiens.
Cette section porte sur le croisement entre la sécurité nationale et le paysage numérique dynamique en pleine expansion. Comme indiqué dans la section précédente, cette discussion n'est pas exhaustive. Elle propose plutôt un aperçu et un échantillon des risques, des défis et des possibilités de notre époque auxquels le milieu de la sécurité nationale est confronté du fait de la technologie numérique. La rapidité de l'évolution, associée à de longues et complexes histoires, rend difficile d'établir une vue d'ensemble plus détaillée. De même, des limites pratiques, notamment le temps dont dispose le GCT-SN pour procéder à la collecte de données pour chaque rapport, rendent encore plus complexe une étude plus large et plus approfondie. Cela dit, le GCT-SN a recueilli les commentaires d'un certain nombre de membres de la communauté représentant les médias, le milieu de la sécurité nationale, le milieu universitaire, la société civile et le secteur privé (voir l'annexe). Un certain nombre de thèmes en sont ressortis. Ils correspondent aux sous-sections suivantes :
- 2.1. Cybersécurité et protection des renseignements personnels;
- 2.2. Sécurité et haine en ligne, et extrémisme violent à caractère idéologique;
- 2.3. Intelligence artificielle;
- 2.4. Surveillance et chiffrement;
- 2.5. Équité, diversité et inclusion.
Chaque thème est examiné tour à tour et constitue la base des recommandations formulées dans la troisième section.
2.1 Cybersécurité et protection des renseignements personnels
La dépendance croissante du monde envers les infrastructures numériques fait de la cybersécurité une préoccupation croissante dans l'ensemble des secteurs. Les cyberattaques deviennent des problèmes de sécurité nationale lorsqu'elles visent nos infrastructures essentielles. Le gouvernement du Canada doit relever un double défi consistant à garantir la mise en place de cyberdéfenses sans porter atteinte à la protection des renseignements personnels dans le cyberespace. Le développement des cybercapacités offensives qui se présentent de plus en plus sous la forme d'outils de sécurité nationale et d'opérations de renseignement qui obligent souvent les autorités canadiennes et leurs alliés à faire face à des menaces extérieures communes fait croître les risques pour la protection des renseignements personnels.
En ce qui concerne la gouvernance de la cybersécurité et l'importance de la transparence lorsqu'il s'agit de relever certains des principaux défis et de saisir les possibilités qui se présentent au secteur public, trois sous-thèmes spécifiques seront examinés ici : i) l'infrastructure numérique et les capacités en matière de données; ii) la collaboration et la mobilisation externes pour acquérir une résilience collective dans l'ensemble des secteurs; et iii) l'ingérence électorale et la stabilité démocratique.
A) Complexité de l'infrastructure numérique et transparence
L'Engagement de transparence en matière de sécurité nationale du gouvernement du Canada vise une plus grande ouverture quant au fonctionnement et aux conséquences de l'appareil de sécurité nationale, qui dépend de plus en plus de la technologie numérique et des capacités sans cesse croissantes de collecte et d'analyse de données. Au sein d'une telle communauté organisationnelle et stratégique dont le fonctionnement se veut traditionnellement insulaire et secret, la complexité de l'infrastructure numérique, qui ajoute à l'inintelligibilité des opérations de sécurité nationale, peut renforcer ces tendances et paralyser encore davantage le contrôle, la responsabilité, l'apprentissage et l'innovation.
En revanche, la transparence systémique peut être un important moteur pour la confiance indispensable aux fonctionnaires qui dépendent de cette infrastructure et aux intervenants et citoyens touchés par son fonctionnement et son utilisation.
La question complexe qui se pose alors est la suivante : comment s'assurer au mieux que l'infrastructure numérique est à la fois fiable et transparente? L'un des principaux défis à relever consiste à trouver un juste équilibre entre d'une part les solutions et les outils propriétaires, c'est-à-dire l'infrastructure numérique dont le code est soigneusement protégé, et d'autre part les principes et les solutions à source ouverte. Alors que les gouvernements cherchent à développer à l'interne des cyberdéfenses de plus en plus spécialisées, le risque lié à une dépendance excessive à l'égard de fournisseurs externes dont les méthodes et la propriété intellectuelle sont protégées est de limiter la compréhension collective et la capacité d'adaptation au sein du gouvernement, tout en protégeant davantage les mécanismes de contrôle et d'examen. Pour faire face à ce risque, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a élaboré une « feuille de route pour la sécurité des logiciels à source ouverte » qui explique comment l'Agence assurera une utilisation sécurisée des logiciels à source ouverte au sein du gouvernement fédéral et appuiera un écosystème mondial de logiciels à source ouverte sain, sûr et durableNote de bas de page 15. Du point de vue de la transparence, il s'agit d'une avancée notable.
Si les logiciels à source ouverte peuvent contribuer à améliorer la transparence, la responsabilité doit tout de même être considérée avec soin. L'industrie du logiciel pourrait toujours profiter de la possibilité de migration vers l'infonuagique pour se décharger de toute responsabilité par le biais de clauses contractuelles de non-responsabilité complexes.
La protection des renseignements personnels est un autre défi important, croissant et étroitement lié à la numérisation de la sécurité nationale. Alors que les autorités chargées de la sécurité nationale cherchent à recueillir, analyser et éventuellement partager des données personnelles provenant d'une multitude de sources internes et en ligne, l'inintelligibilité de ces processus doit être un sujet de préoccupation. La publication de protocoles et de lignes directrices concernant l'utilisation des données et la protection des renseignements personnels est un aspect essentiel de l'ouverture et de la responsabilité. Les efforts actuels de l'ASFC visant à faciliter la mise en place de mécanismes de passage frontalier et de protection des frontières plus harmonieux et numérisés en sont un exemple. Le GCT-SN a eu le plaisir de collaborer avec l'Agence des services frontaliers du Canada dans ses efforts de mobilisation proactive des intervenants quant aux questions d'utilisation et de protection des données.
Le Canada n'est pas le seul à numériser le contrôle aux frontières; Singapour a récemment annoncé son intention de remplacer les passeports par des données biométriques afin d'automatiser davantage les formalités d'immigration sans passeport. Comme l'explique un article de CNN : « un jeton d'authentification unique sera généré à l'aide des données biométriques et sera utilisé à différents points de contact automatisés – du comptoir de dépôt de bagages au passage à l'immigration et à l'embarquement – éliminant ainsi la nécessité d'avoir en main des documents de voyage physiques tels que les cartes d'embarquement et les passeportsNote de bas de page 16. »
Ces avancées technologiques soulignent l'urgence de moderniser les obligations du secteur public en matière de protection des renseignements personnels. Nous nous joignons au Commissariat à la protection de la vie privée du Canada (CPVP) pour soutenir la proposition du ministère de la Justice consistant à moderniser la Loi sur la protection des renseignements personnels, notamment en introduisant l'obligation de tenir un registre des atteintes à la vie privée, de les déclarer au CPVP et d'aviser les personnes de toute atteinte à la vie privée qui présente un risque réel de préjudice grave à l'endroit d'un individu, comme c'est déjà le cas dans le secteur privé.
À mesure que ces services innovants se développent, les défis en matière de transparence et de confiance liés aux fondements cybernétiques de l'infrastructure numérique prennent de l'importance et deviennent plus complexes. Les objectifs stratégiques, les mécanismes de gouvernance et l'état de préparation au numérique doivent tous être conformes et faire l'objet d'un examen et d'une adaptation continus.
B) Collaboration transparente avec le secteur privé
Alors que les gouvernements s'efforcent de trouver un équilibre entre les questions d'ouverture, de complexité et de secret au sein de leurs propres organisations, il est également dans l'intérêt du public de déterminer le niveau approprié de transparence qui devrait s'appliquer au fonctionnement du secteur privé. Qu'il s'agisse des services financiers, de la vente au détail, des voyages, des divertissements ou des services médicaux, la cybersécurité est de plus en plus présente dans la vie de tous les jours, ce qui donne lieu à une augmentation des risques due à une préparation et à des défenses insuffisantes, ainsi qu'à des menaces plus malveillantes. Le CCCS a souligné que ces défis ne concernent pas seulement les organisations individuelles, mais constituent également des menaces pour l'ensemble de la sécurité nationale en raison des interdépendances entre les systèmes et les secteurs, et de l'instabilité qui peut en résulter.
En s'appuyant sur la Stratégie nationale de cybersécurité de 2018, le gouvernement du Canada a récemment présenté le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois, qui vise à répondre à ces préoccupations en établissant un cadre afin de « mieux protéger les systèmes qui sont vitaux pour la sécurité nationale et offrir aux autorités de nouveaux outils pour répondre aux dangers émergents dans le cyberespaceNote de bas de page 17. » Cette nouvelle loi permettrait ainsi au gouvernement de réglementer les entreprises privées (en particulier celles de secteurs clés, notamment des banques et des télécommunications) et de procéder à des vérifications auprès de celles-ci en ce qui a trait à leurs pratiques et réponses en matière de cybersécurité, et même, dans certains cas, d'imposer des sanctions pénales en cas de non-conformité.
Le projet de loi a suscité un débat important en ce qui concerne la transparence, le contrôle et l'examen. Un rapport du Citizen's Lab de l'université de Toronto s'est montré particulièrement critique à l'égard des limites de la législation en ce qui concerne ces éléments, appelant à des réformes significatives avant l'adoption du projet de loiNote de bas de page 18. Pour trouver un équilibre entre la sécurité nationale et les principes démocratiques, le rapport recommande notamment au gouvernement de « préciser les rôles du commissaire fédéral à la protection de la vie privée, du Comité des parlementaires sur la sécurité nationale et le renseignement et de l'Office de surveillance des activités en matière de sécurité nationale et de renseignement aux différents stades du processus d'élaboration des ordonnances ou des règlementsNote de bas de page 19. »
Bien que nous reconnaissions la complexité des questions en jeu, nous sommes d'avis que des mesures et des mécanismes plus enracinés en matière d'ouverture et de contrôle sont indispensables. Nous notons également qu'une telle approche est conforme aux efforts déployés par le gouvernement visant à être plus transparent en ce qui a trait au développement et au déploiement des systèmes d'intelligence artificielle, un sous-thème sur lequel nous reviendrons plus loin dans le présent rapport.
Nous notons également que l'élargissement et le renforcement des formes de collaboration avec le secteur privé constituent une dimension essentielle de la cyberpréparation pour l'ensemble du pays et sont reconnus comme tels dans la Stratégie nationale de cybersécurité de 2018 du gouvernement et par le CCCS dans son récent rapport de 2023 sur l'aggravation des cybermenaces. Un examen interne de la stratégie de 2019 réalisé par Sécurité publique Canada a révélé que ces relations ont connu une évolution lente et qu'une plus grande collaboration est nécessaire à l'avenir. Il est donc essentiel pour l'apprentissage et la responsabilité, parallèlement aux mesures spécifiques du projet de loi C-26 qui pourraient éventuellement être mises en œuvre, de garantir un certain degré de transparence en ce qui concerne l'objectif et le fonctionnement de ces relations de collaboration.
C) Ingérence électorale et intégrité démocratique
Face aux préoccupations croissantes concernant l'ingérence électorale d'entités étrangères, l'enquête publique en cours sur ces questions constituera une occasion importante d'examiner cette question en profondeur. Comme l'ont clairement indiqué le CCCS et l'ancien gouverneur général David Johnston dans son étude portant sur l'ingérence électorale, ces menaces et préoccupations comportent d'importantes dimensions « cybernétiques » qu'il convient de comprendre et d'examiner à fond. La cyberattaque sophistiquée menée par la Russie contre l'administration centrale de l'Agence mondiale antidopage (AMA) à Montréal et son partenaire canadien, le Centre canadien pour l'éthique, les mêmes éléments du GRU (service russe du renseignement militaire) qui se sont immiscés dans les élections américaines en utilisant des tactiques semblables et l'affaire récente concernant une campagne de désinformation par « Spamouflage » visant les législateurs canadiens, prétendument menée par la Chine, appuient leurs recommandations.
Le rapport du comité ETHI sur l'ingérence étrangère et les menaces entourant l'intégrité des institutions démocratiques, de la propriété intellectuelle et de l'État canadienNote de bas de page 20 comprend plusieurs recommandations visant directement à améliorer la transparence des opérations de sécurité nationale. La recommandation no 3 est peut-être la plus pertinente pour le mandat du GCT-SN : que le gouvernement du Canada demande un partage accru et régulier d'information pertinente au public par le Service canadien du renseignement de sécurité (SCRS) afin d'augmenter la littéracie en matière de sécurité nationaleNote de bas de page 21. Nous avons constaté que le SCRS et le CST renseignaient activement les Canadiens sur les menaces d'ingérence étrangère, y compris les risques pour les institutions démocratiques bien avant l'attention récente portée à l'ingérence étrangère, bien que la désignation de certains pays tels que la Chine soit récente (2020 dans la version non expurgée du rapport annuel 2019 du Comité des parlementaires sur la sécurité nationale et le renseignement). Si l'intention de la recommandation no 3 est d'inviter à communiquer des détails plus précis sur la nature de la menace, nous notons que de nombreux témoins experts qui ont comparu pour parler de ce sujet ont décrit les limites de la loi actuelle sur le SCRS.
De plus, nous recommandons vivement d'intégrer de manière active et cohérente les résultats des activités de mobilisation dans les processus d'élaboration des politiques et les processus opérationnels. Les communautés racialisées ont souvent l'impression que la mobilisation est largement considérée comme un exercice de « case à cocher » au sein des institutions de sécurité nationale, et que les rapports se basant sur les conversations qui ont eu lieu dans le cadre de ces activités sont par la suite mis au rancart. Il incombe ici aux institutions de sécurité nationale de faire preuve de transparence et de convaincre les intervenants que ce n'est pas le cas.
Certains intervenants ont fait part au GCT-SN d'une préoccupation concernant les efforts passés visant à garantir l'état de préparation démocratique pendant les élections, soit le caractère relativement secret du mécanisme interne d'examen de ces menaces pendant les périodes électorales. L'approche déployée jusqu'à présent consiste en un petit groupe de quatre ou cinq hauts fonctionnaires chargés d'assurer le suivi de l'évolution de la situation et de déterminer toute mesure d'intervention appropriée (y compris tout appel public). Leurs efforts sont orientés par le protocole public en cas d'incident électoral majeur et, à la suite de l'élection de 2021, un examen indépendant a été préparé par un ancien sous-ministre (Morris Rosenberg) et les conclusions ont été rendues publiquesNote de bas de page 22. Il s'agit d'un élément d'un plan intégré visant à renforcer le système électoral canadien contre les cybermenaces et autres menaces. Bien que le mécanisme ait été conçu pour garantir que le comité indépendant n'interviendrait pas à moins que la nature de l'ingérence étrangère ne soit telle qu'il serait dans l'intérêt du public d'en être informé, des questions ont été soulevées concernant le seuil de partage et à savoir s'il est actuellement trop élevé.
Comme l'a clairement mis en évidence l'examen par David Johnston concernant les allégations d'ingérence électorale de la Chine, il existe d'importantes distinctions entre les formes analogiques et numériques des menaces en jeu qu'il faut bien comprendre. Pourtant, les menaces numériques se multiplient, tant au Canada que dans les démocraties du monde entier. L'International Cyber Policy de l'Australian Strategic Policy Institute (ASPI) a recensé 41 élections et sept référendums de janvier 2010 à octobre 2020 susceptibles d'avoir fait l'objet de cyberactivités d'ingérence étrangère sous la forme de cyberopérations, d'opérations d'information en ligne ou d'une combinaison de ces deux types d'opérations. L'ASPI décrit plus en détail cet ensemble croissant de menaces et le rôle central des médias sociaux à titre de vecteur d'ingérence électorale :
[Traduction] La prolifération des acteurs participant aux élections et la numérisation des fonctions électorales ont considérablement élargi la surface d'attaque que peuvent viser les acteurs étatiques étrangers. Cette évolution a été en grande partie facilitée par la croissance omniprésente et persistante des médias sociaux et des plates-formes de réseautage, qui ont rendu les populations ciblées plus accessibles que jamais aux acteurs étatiques étrangersNote de bas de page 23.
Le renforcement de la transparence devra être considéré comme une occasion essentielle de sensibiliser davantage le public et de mobiliser davantage les intervenants dans le cadre de la révision continue des institutions démocratiques pour les adapter aux nouveaux environnements numériques. Le rapport Rosenberg formule de nombreuses recommandations utiles visant à accroître l'ouverture et la mobilisation des intervenants dans cet esprit. La recommandation no 14 en est un exemple important. Elle porte sur l'amélioration de la sensibilisation politique et de la connaissance en matière de technologie numérique des élus par le biais des organismes chargés de la sécurité nationale et d'efforts de sensibilisation : « Les organismes de sécurité nationale devraient élaborer un programme de séances d'information non classifiées pour sensibiliser les députés et les sénateurs à l'ingérence étrangère et à l'ingérence dans les élections, ainsi qu'aux mesures qu'ils peuvent prendre pour se protéger et protéger leurs informations en ligneNote de bas de page 24. »
Comme l'indique clairement le rapport, la cybersécurité et l'intégrité électorale sont également des éléments interdépendants de préoccupations plus vastes concernant le déroulement démocratique des élections dans un monde de plus en plus branché. Ces préoccupations influencent également le discours démocratique et la participation entre les élections. La désinformation et la haine en ligne provenant de sources nationales et étrangères sont de plus en plus répandues et ont un impact croissant. C'est pourquoi nous nous intéressons à présent à ces préoccupations et à nos propres observations dans ce domaine.
2.2 Sécurité et haine en ligne, et extrémisme violent à caractère idéologique
Si les médias sociaux et les autres plates-formes en ligne offrent une multitude de possibilités en éliminant les obstacles de l'échelle, de l'espace et du temps pour permettre aux gens de se retrouver, d'acquérir et de diffuser des connaissances et de coopérer à des causes communes, ces possibilités peuvent être éclipsées par la désinformation, des efforts visant à radicaliser et à recruter des personnes vulnérables à l'aide de visions du monde idéologiques ou religieuses poussées à l'extrême, voire l'incitation à la violence au sein de groupes ou chez des acteurs isolés.
Ces comportements indésirables ne sont pas tous pris en compte par les cadres juridiques actuels. En effet, le concept de « sécurité en ligne » englobe souvent des questions qui se situent en marge de la cybersécurité traditionnelle ou qui lui sont totalement étrangères. Il est également utilisé pour indiquer que de nombreux domaines où surviennent des problèmes de sécurité ou de vulnérabilité échappent à la plupart des types de réglementation explicite. Au minimum, la sécurité est simplement une question de sensibilisation personnelle et de circonspection lors de la navigation et des interactions en ligne.
A) La transparence dans la réponse du gouvernement du Canada
Même les infractions clairement définies telles que le discours haineux, les menaces et le harcèlement se sont révélées difficiles à prévenir ou à sanctionner. Nombre de comportements évoqués dans les discussions sur la sécurité en ligne ne répondent souvent pas aux normes requises pour faire l'objet de poursuites pénales. Pourtant, au cours des dernières décennies, de nombreux citoyens, experts et groupes communautaires ont réclamé un contrôle et une réglementation accrus des comportements en ligne. Le gouvernement du Canada a donc tenté à plusieurs reprises de s'attaquer à ces enjeux. La Loi modifiant le Code criminel et la Loi canadienne sur les droits de la personne et apportant des modifications connexes à une autre loi (propagande haineuse, crimes haineux et discours haineux) (projet de loi C-36), qui est morte au Feuilleton lors de la dissolution du Parlement en 2021, porte sur les préjudices en ligneNote de bas de page 25. Elle visait à s'attaquer à des enjeux habituellement associés à la sécurité nationale, notamment le terrorisme, la propagande, l'ingérence dans les institutions démocratiques, et à mobiliser le SCRS et la GRC. Le SCRS devait être habilité à demander des renseignements sur les abonnés aux fournisseurs de services et de plates-formes, et un « commissaire à la sécurité numérique » spécial aurait eu le pouvoir d'exiger le retrait d'Internet de contenus et d'utilisateurs contrevenants. Toutefois, le projet de loi a été critiqué parce qu'il ne définissait pas clairement la limite entre préjudice et désagrément, entre haine et liberté d'expression, et parce qu'il chargeait des entités privées de maintenir l'ordre sur leurs plates-formes. Le projet de loi C-36 a rapidement fait ressortir la complexité de la sécurité en ligne lorsque l'on considère l'intersection des droits et idéologies contradictoires, où l'introduction d'exigences légales strictes, telles que celles incluses dans le projet de loi C-36, génère beaucoup plus de problèmes que de solutions.
Le fait que le gouvernement a gardé secrets tous les documents de consultation publique relatifs au projet de loi C-36, faisant preuve d'un manque total de transparence, est tout aussi important et notable aux fins du présent rapport et des travaux du GCT-SN. Les documents n'ont été divulgués qu'en réponse à une demande d'accès à l'information. Un bon résumé des points de vue exprimés lors des consultations a par la suite été fourni. Cela a démontré que s'il est assez facile de parvenir à un consensus sur l'adoption de nouvelles mesures pour protéger les enfants, il est beaucoup plus difficile de parvenir à un consensus sur les mesures nécessaires pour répondre à d'autres préoccupations.
Lors de la consultation ultérieure d'experts, visant à relancer le projet de loi, il est devenu évident qu'une part importante des comportements jugés préjudiciables par certains étaient protégés par la Charte canadienne des droits et libertés et qu'une intervention gouvernementale n'était peut-être pas justifiée. En bref, le gouvernement ne semble pas avoir trouvé une voie claire pour contrôler les comportements criminels en ligne. Les efforts continus qu'il déploie à cet égard doivent bénéficier de la sécurité et de la mobilisation du public. La transparence sera nécessaire à tous les stades du processus lors de toute éventuelle tentative de changement législatif.
B) Transparence de l'application de la loi
Si l'on part du principe que les discours haineux et la propagande extrémiste ou terroriste constituent des menaces réelles pour la sécurité nationale et font partie du mandat des organismes de sécurité nationale, la question de la transparence revêt une signification légèrement différente : assurer le contrôle de ce type de propagande, le cerner et agir pour y donner suite requière une certaine forme de surveillance sur Internet. La transparence est donc essentielle à la protection des droits de la personne dans le cadre de ces opérations de sécurité nationale. Un aspect préliminaire important de cette question est que les groupes extrémistes ne publient pas nécessairement des discours extrémistes (ils « assainissent » souvent délibérément leur visage public) et qu'en même temps, tout discours extrémiste n'indique pas nécessairement que ceux qui le prononcent sont de véritables extrémistes : les cas de propos malavisés, enthousiastes ou mal informés abondent. En d'autres termes, l'approche axée sur les « préjudices en ligne » pourrait plus facilement cibler ces individus moins dangereux, ce qui ne constituerait pas un moyen efficace de protéger la sécurité nationale.
Par le passé, le CST et le SCRS ont tous deux assuré une surveillance des actes de parole, jetant essentiellement leurs filets sur de soi-disant terroristes dits « djihadistes » ou « extrémistes islamistes », en partie en raison d'une conviction que de tels actes sont précurseurs d'activités illicites dans le monde physique. Depuis 2002, les rapports annuels du SCRS désignent toujours dans l'ensemble les réseaux islamistes internationaux comme la principale menace pour le Canada. À tel point que de nombreuses associations musulmanes et de défense des libertés civiles au Canada ont dénoncé cette attention exagérée et ses conséquences. Aujourd'hui, les nouvelles catégories, plus larges et plus vagues, que sont l'extrémisme violent à caractère idéologique (EVCI), l'extrémisme violent à motivation raciale (EVMR) et l'extrémisme violent à caractère politique (EVCP) peuvent donner lieu à des questions semblables, à beaucoup plus grande échelle. Les Canadiens voudront savoir :
- Quelle est l'étendue de la surveillance sur les plates-formes publiques, par quel organisme est-elle exercée, en vertu de quel ensemble de directives? Que fait-on des données, pendant combien de temps les différents types de données sont-ils conservés?
- Concrètement, comment cette surveillance permet-elle de cerner et d'atténuer
les menaces réelles?
- Les nouvelles catégories EVCI, EVMR et EVCP correspondent-elles réellement à des groupes et/ou à des individus objectivement réels, statistiquement significatifs et discrets (p. ex. où se situeraient l'islam politique ou les suprémacistes blancs chrétiens dans cette répartition, et est-il utile d'en décider)?
- Dans quelle mesure les activités en ligne de ces entités sont-elles répréhensibles et constituent donc de bonnes cibles pour le contrôle par le gouvernement?
- Étant donné que la plupart des discours surveillés se trouvent sur les médias sociaux et que les relations entre le gouvernement canadien et les exploitants de ces plates-formes sont actuellement très conflictuelles, de quelles façons spécifiques la coopération de ces derniers sera-t-elle assurée?
Nous encourageons les organismes chargés de la sécurité nationale à poursuivre et à élargir les efforts qu'ils ont déployés pour mieux décrire les menaces en ligne et les partenariats actifs avec des organisations indépendantes mieux placées pour contrer certaines de ces menaces. Comme toujours, ces descriptions doivent contenir des renseignements clairs et complets afin d'aider les citoyens à comprendre l'importance relative des différentes formes de menaces et de vulnérabilités. De simples listes de menaces possibles ou potentielles, ne comportant aucune indication quant à leur importance, probabilité ou fréquence, ne permettent pas d'atteindre cet objectif primordial. De plus, en raison de la nature fluide et dynamique de cet environnement, ces renseignements doivent être mis à jour régulièrement. Le gouvernement doit également mieux décrire aux Canadiens la nature de la menace en ligne dans les divers environnements, y compris ceux du Web clandestin, afin de justifier et de soutenir les instruments et outils mesurés susceptibles d'atténuer la menace sans compromettre nos valeurs démocratiques.
2.3 Intelligence artificielle
Dans son rapport de 2022, le GCT-SN a adopté une définition large du terme « intelligence artificielle », en se basant sur les lignes directrices de l'OCDE, qui inclut tout processus machine utilisé pour produire ou aider à produire des décisions organisationnelles ou individuelles. De tels processus sont actuellement utilisés dans la production de renseignements par de nombreux organismes liés à la sécurité nationale. Il peut s'agir de la surveillance d'énormes ensembles de données (surveillance individuelle, reconnaissance de formes, analyse de réseaux, analyse géographique), de l'identification et l'authentification d'individus et d'objets (reconnaissance biométrique et comportementale, scanneurs de colis et de bagages), de la prédiction spatio-temporelle se basant sur de multiples sources de données (maintien de l'ordre prédictif) ou de la désanonymisation de données et du rapprochement de bases de données (analyse de données provenant de sources ouvertes).
Depuis lors, la Loi édictant la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l'intelligence artificielle et les données et apportant des modifications corrélatives et connexes à d'autres lois (projet de loi C-27) a été déposée, introduisant la Loi sur l'intelligence artificielle et les données pour réglementer l'utilisation de l'intelligence artificielle dans le commerce et les échanges internationaux et interprovinciaux. Le projet de loi définit un système d'intelligence artificielle comme un « système technologique qui, de manière autonome ou partiellement autonome, traite des données liées à l'activité humaine par l'utilisation d'algorithmes génétiques, de réseaux neuronaux, d'apprentissage automatique ou d'autres techniques pour générer du contenu, faire des prédictions ou des recommandations ou prendre des décisionsNote de bas de page 26. »
Comme l'explique le troisième rapport de 2022 du GCT-SN (section 4 sur l'intelligence artificielle), il existe trois types de dommages qui peuvent découler de la conception et du déploiement des systèmes d'intelligence artificielle : les dommages intentionnels, les dommages involontaires et les dommages systémiques. Les dommages intentionnels peuvent être le reflet d'efforts militaristes, d'une série de cyberintrusions ou même d'exercices de collecte de renseignements ayant des objectifs perturbateurs ou offensifs. Les dommages involontaires reflètent souvent des défauts de conception algorithmique (souvent non prévus) qui peuvent avoir des effets pervers sur des individus ou des groupes d'individus; un exemple fréquemment cité est celui d'une institution financière qui déploie un programme d'intelligence artificielle qui exclut par inadvertance davantage d'individus appartenant à une minorité racialisée. Les dommages systémiques sont souvent étroitement liés aux dommages involontaires, mais l'échelle est souvent plus générale et les problèmes plus profondément enracinés et difficiles à rectifier. Il est important de reconnaître ces trois types de dommages dans le cadre de la dépendance croissante du milieu de la sécurité nationale à l'égard des systèmes d'intelligence artificielle dans ses divers programmes et services (en gardant à l'esprit les objectifs en matière de sécurité et de service). La transparence de l'intelligence artificielle pose un nouveau défi discret pour les opérations de sécurité nationale en matière de transparence et de responsabilité.
Dans le contexte de l'accent plus large et plus direct mis dans le présent rapport sur la numérisation, nous nous attachons ici à mieux comprendre les nouvelles frontières entre sécurité nationale et intelligence artificielle, ainsi que certaines des principales tensions entre la transparence et le secret qui façonnent cette évolution. Nous examinons ensuite ces tensions et les situons par rapport aux réponses spécifiques du gouvernement du Canada – y compris les entités de sécurité nationale actuelles et les politiques et mécanismes proposés en cours d'élaboration.
A) Sécurité nationale et intelligence artificielle
En ce qui concerne les capacités des gouvernements à répondre aux défis en matière de sécurité nationale, l'utilisation de l'intelligence artificielle dans ce domaine est justifiée par deux moteurs fondamentaux : la pénurie de compétences humaines d'une part, et l'amélioration des performances de l'intelligence artificielle grâce à l'automatisation des processus, l'analyse des schémas et l'apprentissage et l'innovation guidés sur les données, d'autre part. Ces derniers éléments sont incontestablement nécessaires dans un monde où les menaces pour la sécurité nationale sont passées d'États hostiles clairs et avoués à des acteurs individuels dispersés et cachés.
De manière générale, les organismes chargés de la sécurité publique et nationale utilisent de plus en plus des solutions d'intelligence artificielle pour analyser un volume sans précédent de données non structurées, qu'il s'agisse de textes, d'images ou de données sur la mobilisation, et pour améliorer la reconnaissance des formes et des images ainsi que l'interprétation des tendances et des comportements. Par exemple, les caméras de télévision en circuit fermé (CCTV) utilisant l'intelligence artificielle peuvent aller au-delà de la capture d'images et relever les activités anormales et les comportements suspects.
En ce qui concerne la cybersécurité, selon le Centre canadien pour la cybersécurité (CCCS) du gouvernement fédéral, « l'intelligence artificielle fait appel à l'automatisation pour détecter les nouvelles menaces qui pèsent sur les organisations. Grâce à des algorithmes sophistiqués, l'intelligence artificielle peut automatiser la détection des menaces, comme les maliciels, procéder à la reconnaissance des schémas pour déterminer les liens entre les différents vecteurs d'attaque et fournir des renseignements prédicatifs supérieursNote de bas de page 27. » Lors d'une entrevue accordée aux médias en 2023, le dirigeant principal du CCCS a confirmé que l'intelligence artificielle est utilisée « dans des courriels d'hameçonnage, ou pour produire des courriels plus ciblés, dans des codes malveillants [et] dans la désinformation et la mésinformationNote de bas de page 28. »
Le développement et le déploiement de systèmes d'intelligence artificielle par d'autres entités entraîne également d'autres risques en matière de cybersécurité, qui s'ajoutent aux menaces malveillantes croissantes émanant d'acteurs hostiles, étatiques ou non étatiques (une réalité soulignée par le CCCS dans son rapport d'août 2023). Selon un expert américain : « Les experts en sécurité ont noté que les courriels d'hameçonnage générés par l'intelligence artificielle présentent un taux d'ouverture plus élevé que les courriels d'hameçonnage créés manuellement [par exemple] en incitant les victimes potentielles à cliquer sur ces courriels qui génèrent ainsi des attaques. […] L'intelligence artificielle peut également être utilisée pour concevoir des logiciels malveillants qui évoluent constamment, afin d'éviter la détection par les outils de défense automatisésNote de bas de page 29. »
Toutefois, l'étendue réelle de l'utilisation de l'intelligence artificielle dans divers contextes de sécurité nationale n'est pas connue. Il ne s'agit pas nécessairement d'un manque typique de transparence, car souvent les organisations elles-mêmes ne sont pas entièrement au fait des outils d'intelligence artificielle utilisés par leurs membres, en particulier en raison de la souplesse de la catégorie. Par exemple, nous ne savons pas si les fonctionnaires utilisent des outils tels que ChatGPT ou d'autres outils d'intelligence artificielle générative automatisée (y compris des outils de génération d'images). Le gouvernement fédéral a récemment publié des lignes directrices sur l'utilisation de l'intelligence artificielle générative dans ses activités. Il sera intéressant de voir dans quelle mesure elles seront appliquées au cours des mois à venir; toutefois, ces données pourraient être difficiles à recueillir, étant donné que l'application des lignes directrices est facultative.
Au fur et à mesure que ces types de défis se multiplient, les tensions entre la transparence et le secret s'intensifieront probablement en raison d'une combinaison de complexité technologique (due notamment aux éléments à source ouverte et de nature exclusive), de cadres juridiques et politiques régissant les efforts de sécurité nationale (qui font souvent écran à la transparence), et de nouvelles formes plus proactives d'ouverture et de mobilisation recherchées par les gouvernements à divers degrés. Nous examinons donc les défis en matière de transparence propres à l'intelligence artificielle et, plus loin, nous étudions certains des contours changeants des réponses du gouvernement du Canada – avant de formuler des recommandations spécifiques en vue d'accroître l'ouverture dans la troisième section du présent rapport.
B) Défis
Les raisons pour lesquelles il est essentiel de contrôler et de surveiller étroitement les outils décisionnels automatisés sont devenues évidentes lorsque nous avons consulté des experts en intelligence artificielle. Premièrement, comme nous l'avons indiqué dans notre rapport de 2022, les applications d'intelligence artificielle peuvent être biaisées parce qu'elles ont été entraînées à l'aide de données biaisées ou qu'on leur a fourni des données biaisées. Sachant, par exemple, que les données des services de police sont le produit d'organisations aux prises avec des problèmes de discrimination systémique, il apparaît probable que les résultats décisionnels automatisés seront tout aussi biaisés. Qui plus est, au fil du temps, ces résultats sont intégrés aux données analytiques, s'additionnent et croissent à un rythme accéléré s'ils ne sont pas contrôlés. Deuxièmement, les processus décisionnels faisant appel à l'intelligence artificielle sont presque toujours opaques, en partie parce qu'ils contiennent des secrets industriels des entreprises qui les commercialisent. Mais en réalité, l'opacité est une propriété inévitable de tous les processus avancés d'intelligence artificielle, en particulier de ceux fondés sur des modèles d'apprentissage profond. Comme l'ont souligné nos experts, leur complexité et leur pouvoir analytique sont proportionnels à leur opacité, à tel point que même leurs créateurs ne peuvent plus comprendre le lien entre les produits analytiques et les données d'entrée.
i) La transparence, un défi majeur pour l'intelligence artificielle
En ce qui concerne l'utilisation de l'intelligence artificielle par les organismes chargés de la sécurité nationale, la transparence entre en jeu principalement de deux manières : renseigner la population canadienne sur l'utilisation de l'intelligence artificielle à des fins de sécurité nationale et garantir la transparence algorithmique afin de maintenir l'« explicabilité » du fonctionnement interne de l'intelligence artificielle. Bien que le principe de transparence des gouvernements, en ce qui a trait à la responsabilité, soit établi depuis longtemps, il est soumis à un défi sans précédent lié à l'intelligence artificielle : l'opacité des algorithmes et des modèles d'apprentissage automatique, que l'on appelle désormais la « boîte noire ». L'utilisation de l'intelligence artificielle et de ses données de sortie à des fins de sécurité nationale pourrait devenir inexplicable si les organismes chargés de la sécurité nationale eux-mêmes en arrivent à perdre toute visibilité des processus de leurs propres applications d'intelligence artificielle.
Le rapport intérimaire du Comité de la science, de l'innovation et de la technologie du Parlement britannique (comité britannique) désigne l'effet « boîte noire » comme l'un des « douze défis posés par la gouvernance de l'intelligence artificielle ». Il cite la société à responsabilité limitée Burges Salmon qui a déclaré que « le défi est encore compliqué par le fait que plus l'outil d'intelligence artificielle est performant, moins il est susceptible d'être explicableNote de bas de page 30. » Essentiellement, pour produire des renseignements, l'apprentissage automatique fait des associations qui dépassent les capacités humaines. Plus la machine apprend, plus ces associations deviennent impénétrables pour l'humain.
L'effet « boîte noire » a en fait donné naissance à une nouvelle discipline, la « recherche sur l'explicabilité ». Malheureusement, elle accuse un retard important par rapport au développement de l'intelligence artificielle, d'une part parce que pour expliquer, il faut que le produit existe, et d'autre part parce que les budgets sont en comparaison microscopiques. De plus, ce type de recherche pourrait très probablement produire des comptes rendus de processus qui ne peuvent être compris que par des informaticiens et qui sont axés sur un ensemble d'objectifs différents de ceux qui sont habituellement associés à la gouvernance et au contrôle. Par exemple, les informaticiens s'intéresseront à la manière dont certains algorithmes sont optimisés à des fins de traitement efficace, tandis que les responsables de la surveillance civile voudront savoir quelle variable de données a été utilisée, pourquoi et avec quelle pondération.
ii) L'effet cumulatif du manque de transparence
Les défis en matière de transparence s'ajoutent à trois autres risques cernés par le comité britannique : les biais, car l'intelligence artificielle associe des données compilées par des humains, eux-mêmes biaisés, ce qui peut aggraver la discrimination; les atteintes à la protection des renseignements personnels dues à la capacité sans précédent de collecte et de génération de données personnelles, à l'insu de l'individu ou sans son consentement; et les fausses déclarations, c'est-à-dire la création de fausses données, de façon malveillante, en manipulant des individus, ou accidentelle, en saisissant des données erronées ou des « hallucinations en matière d'intelligence artificielle », c'est-à-dire le déraillement des systèmes d'intelligence artificielle au moyen de fausses associations.
Deux autres aspects doivent être pris en compte. Premièrement, les applications actuelles d'intelligence artificielle sont reconnues pour de courantes fuites de données d'entrée, ce qui constitue clairement un problème de sécurité nationale. Deuxièmement, nous devrons bientôt envisager la possibilité que des intelligences artificielles entièrement malveillantes soient introduites dans divers systèmes. Dans le contexte de la sécurité nationale, on entend par intelligence artificielle malveillante tout processus automatisé qui produit des résultats détournés (c.-à-d. profitant à un tiers), perturbateurs ou autrement dommageables, contre la volonté de l'utilisateur immédiat ou à son insu. Comme d'autres applications, elle peut se cacher dans les systèmes ou se présenter comme un outil légitime ou une partie d'un outil légitime. Le premier cas relève du paradigme de la cybersécurité, mais le second est clairement une question de gestion organisationnelle et de surveillance des utilisations de l'intelligence artificielle. Et compte tenu du problème de la « boîte noire » évoqué plus haut, cela s'annonce comme un défi.
iii) Réponses du gouvernement du Canada et initiatives proposées
Comme indiqué dans notre rapport de 2022, le gouvernement du Canada a cherché à faire de la transparence un élément central de ses activités de développement, de déploiement et de gouvernance de l'intelligence artificielle. Cinq principes fondamentaux ont été adoptés en vue d'une telle ouverture :
- comprendre et mesurer l'incidence de l'utilisation de l'intelligence artificielle en concevant et en diffusant des outils et des façons de faire;
- faire preuve de transparence quant à la façon et au moment d'utiliser l'intelligence artificielle, en se fondant sur un besoin clair des utilisateurs et l'intérêt du public;
- fournir des explications claires sur le processus décisionnel en matière d'intelligence artificielle tout en offrant des occasions d'examiner les résultats et de remettre en question les décisions;
- être le plus ouvert possible en communiquant le code source, les données sur la formation et d'autres renseignements pertinents, et ce, en protégeant les renseignements personnels, l'intégrité du système, ainsi que la sécurité et la défense nationales;
- offrir une formation adéquate pour que les employés du gouvernement qui conçoivent et utilisent des solutions liées à l'intelligence artificielle aient les compétences nécessaires en matière de conception, de fonctionnement et de mise en œuvre responsables pour améliorer les services gouvernementaux fondés sur l'intelligence artificielleNote de bas de page 31.
En se basant sur ces principes, le gouvernement a élaboré des outils et présenté un projet de loi, soit le projet de loi C-27 mentionné plus haut, et des organismes individuels ont adopté des initiatives.
Le cadre d'évaluation de l'incidence algorithmique du gouvernement du Canada a également fourni des outils importants à des fins d'évaluation interne et de contrôle externe de l'utilisation et de l'incidence de l'intelligence artificielle. Notre rapport de 2022 a également approuvé deux recommandations clés issues d'un récent rapport publié conjointement par les commissaires à l'information et à la protection de la vie privée de la Colombie-Britannique et du Yukon, qui examinent les répercussions de l'intelligence artificielle sur l'utilisation et les services gouvernementaux :
- La nécessité pour les organismes publics de s'engager à respecter des principes directeurs pour l'utilisation de l'intelligence artificielle qui intègrent la transparence, la responsabilité, la légalité, l'équité procédurale et la protection des renseignements personnels. Ces principes devraient s'appliquer à tous les programmes et à toutes les activités, existants et nouveaux, être inclus dans tout document d'appel d'offres des autorités publiques pour des contrats avec des tiers ou des systèmes d'intelligence artificielle fournis par des prestataires de services, et être utilisés pour évaluer les projets existants afin qu'ils soient mis en conformité dans un délai raisonnable.
- La nécessité pour le gouvernement de promouvoir le renforcement des capacités, la coopération et la mobilisation du public en matière d'intelligence artificielle. Cela devrait se faire par le biais d'initiatives d'éducation du public, en perfectionnant les connaissances et l'expertise en matière d'intelligence artificielle dans tous les ministères, en développant la capacité à soutenir la transmission des connaissances et l'expertise entre le gouvernement et les développeurs et vendeurs d'intelligence artificielle, et en établissant ou en développant la capacité à élaborer des ensembles de données de haute qualité en source ouverte pour former et tester ces systèmesNote de bas de page 32.
Dans un contexte où l'innovation axée sur l'intelligence artificielle tourne à plein régime au sein du secteur privé – et où l'industrie et les organisations gouvernementales se disputent un nombre limité de compétences spécialisées en intelligence artificielle, cette dernière recommandation est selon nous particulièrement importante pour souligner l'importance de renforcer les capacités du gouvernement plutôt que d'externaliser excessivement cette expertise en ayant recours à des entreprises privées pour des raisons de transparence. De plus, les aspects de la sensibilisation et de la mobilisation du rôle du gouvernement par rapport à une prise de conscience collective croissante et une meilleure compréhension, ainsi que le renforcement des connaissances politiques, sont aussi particulièrement importants.
Comme il est indiqué plus haut, des textes législatifs ont été proposés pour concevoir de nouveaux mécanismes politiques et réglementaires en vue d'une meilleure surveillance de l'industrie, comme le propose le projet de loi C-27 avec la création de la Loi sur l'intelligence artificielle et les données. L'un des objectifs louables de cette loi est d'interdire certaines conduites relativement aux systèmes d'intelligence artificielle qui peuvent causer un préjudice sérieux aux individus ou à leurs intérêts. Le champ d'application de la loi proposée n'est toutefois pas encore défini et se limite aux « systèmes à incidence élevéeNote de bas de page 33 », la définition de « système à incidence élevée » devant être établie dans la réglementationNote de bas de page 34. Le projet de loi prévoit également la création d'un poste de commissaire à l'intelligence artificielle et aux données au sein du ministère de l'Industrie (également connu sous le nom d'Innovation, Sciences et Développement économique Canada ou ISDE) qui, à défaut de désignation, contribuerait à l'application de la loi (au moyen de pouvoirs délégués par le ministre lui permettant de demander qu'on lui fournisse des documents, d'exiger des organisations qu'elles effectuent des vérifications, et d'ordonner la prise de mesures pour résoudre des problèmes et la cessation de l'utilisation de certains systèmes à incidence élevée lorsqu'il existe un risque grave de préjudice imminentNote de bas de page 35). Ce faisant, les capacités gouvernementales internes de compréhension et de réglementation de l'intelligence artificielle dans l'ensemble de la société doivent être considérablement renforcées, dans un souci d'ouverture et d'examen. Comme dans le cas du projet de loi sur la cybersécurité (projet de loi 26) qui y est étroitement lié, les questions de transparence sont essentielles pour comprendre et surveiller la portée et l'exécution de ces pouvoirs élargis.
En ce qui concerne l'exploitation et l'utilisation des systèmes d'intelligence artificielle par les acteurs du milieu de la sécurité nationale, nous observons que les principes fondamentaux du gouvernement du Canada contiennent des termes visant à « protéger » la sécurité et la défense nationales, ce qui pourrait nuire à l'ouverture. En effet, dans notre rapport de 2022, nous avons recommandé que les organismes canadiens chargés de la sécurité et de la défense adhèrent aux six principes directeurs de l'utilisation de l'intelligence artificielle définis par l'Organisation du traité de l'Atlantique Nord (OTAN) en 2021 (étroitement liés aux principes du gouvernement du Canada, mais conçus spécifiquement pour l'utilisation dans le domaine de la sécurité et de la défense).
Dans sa réponse publique à notre rapport de 2022, le SCRS déclare ce qui suit à propos de l'intelligence artificielle :
Le Service se rend pleinement compte de la puissance considérable de l'intelligence artificielle, y compris des risques et des possibilités qui y sont associés. Voilà pourquoi il a examiné attentivement cette partie du rapport et s'efforcera de collaborer activement avec des Canadiennes et des Canadiens et de tirer parti de leurs points de vue et de leur savoir-faire sur la questionNote de bas de page 36.
Cet engagement correspond étroitement à l'importance accordée à la mobilisation et à la sensibilisation du public par les commissaires à l'information et à la protection de la vie privée de la Colombie-Britannique et du Yukon (voir ci-dessus), et nous encourageons et saluons les efforts du SCRS et d'autres acteurs dans ce domaine important.
L'utilisation passée par la GRC de logiciels de reconnaissance faciale a suscité de vives controverses et témoigne à nouveau de l'importance de l'ouverture et de la mobilisation proactives, comme nous l'avons noté dans notre rapport de 2022, notamment en ce qui concerne les outils de Clearview AI et les préoccupations soulevées par le commissaire à la protection de la vie privée, qui ont entraîné la suspension de ces programmes.
Par conséquent, la GRC a mis au point un « programme national d'intégration des technologies » (en réponse directe à l'affaire Clearview) qui vise à « rendre plus transparents les processus qui régissent la façon dont la GRC […] approuve l'utilisation des technologies nouvelles et émergentesNote de bas de page 37. » Bien qu'il soit encourageant d'apprendre qu'une approche plus réfléchie et proactive est en cours d'élaboration, il sera important que la GRC fournisse de l'information transparente au public quant aux particularités du nouveau programme d'intégration qui aurait été créé en 2021 (outre une simple mention dans son plan ministériel 2022-2023Note de bas de page 38). Si toutes les activités menées dans le cadre du programme d'intégration sont secrètes, la transparence continuera à en pâtir.
En résumé, à mesure que l'utilisation de l'intelligence artificielle s'étend invariablement au sein du milieu de la sécurité nationale, il est essentiel que le public en sache plus sur les objectifs et les activités des diverses entités publiques (notamment le CST, le CCCS, l'ASFC, le SCRS et la GRC). Des mécanismes appropriés doivent être conçus et mis en œuvre pour renforcer l'ouverture systémique et proactive au sein du gouvernement, tout en permettant un contrôle et un examen externes. Si le gouvernement cherche à favoriser une plus grande transparence en ce qui a trait à l'utilisation de l'intelligence artificielle dans le secteur privé, il doit également le faire à l'interne. Les deux secteurs collaborant à l'atteinte d'objectifs communs en matière de sécurité nationale, l'ouverture et la mobilisation sont des moteurs essentiels d'innovation, d'adaptation et de confiance du public.
En revanche, le secret engendre la suspicion, et l'inertie bureaucratique interne entraîne des risques accrus de dysfonctionnement et de corruption, ainsi que des conséquences imprévues et des dommages systémiques découlant du déploiement de l'intelligence artificielle. L'Engagement de transparence en matière de sécurité nationale se veut donc un mécanisme permettant de renforcer l'ouverture et la mobilisation. Certaines recommandations spécifiques établissent un lien entre le développement de l'intelligence artificielle et les principes de l'Engagement de transparence en matière de sécurité nationale énoncés dans la troisième section du présent rapport.
2.4 Surveillance et chiffrement
Les techniques d'analyse de données reposant sur l'intelligence artificielle et d'autres techniques en constante évolution requièrent logiquement plusieurs autres pratiques qui méritent d'être examinées de plus près. L'une d'entre elles a retenu l'attention du public : la collecte de données de plus en plus vastes auprès de sources de plus en plus nombreuses, une pratique encouragée et facilitée par la numérisation massive de la vie quotidienne survenue au cours de la dernière décennie. Une autre est la conservation des données pour une durée indéterminée. Après avoir rencontré l'ASFC, le CST et le SCRS au cours des derniers mois, le GCT-SN a constaté qu'il est difficile d'obtenir des renseignements sur l'une ou l'autre de ces pratiques, en particulier sur la dernière. Il est nécessaire de faire preuve d'une plus grande transparence quant aux calendriers de conservation des données.
Le gouvernement du Canada a jugé bon d'élargir le pouvoir accordé aux institutions de sécurité et de leur permettre de recueillir et de conserver des données par le biais de la Loi concernant des questions de sécurité nationale, entrée en vigueur en 2019, ce qui a eu pour effet d'accroître la taille de l'espace marqué par un besoin de transparence. Cela dit, les modifications législatives de 2019 ont imposé quelques garde-fous, en particulier au SCRS. Ces mesures, associées à la création du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) (par l'entremise du projet de loi C-22), à la création de l'Office de surveillance des activités en matière de sécurité nationale et de renseignement et à l'établissement du poste de commissaire au renseignement, ont démontré un certain engagement en faveur de la transparence et de la responsabilité.
A) Transparence sur la gestion des données
Le GCT-SN est convaincu que les Canadiens bénéficieraient grandement d'information détaillée sur la façon dont la gestion des « ensembles de données » par le SCRS s'inscrit dans le mandat du Service et dans la politique de sécurité nationale du Canada. Au-delà des exigences strictes en matière de communication d'information au sein des canaux gouvernementaux ou aux organismes de surveillance, il existe toujours un besoin de transparence directe des politiques publiques et des pouvoirs exécutifs. La transparence des renseignements exige également de meilleurs liens entre la collecte, la conservation et l'analyse des données et l'environnement opérationnel objectif du Service. Les rapports annuels du SCRS contiennent actuellement des définitions et des classifications des menaces, mais aucune indication claire de la manière dont les menaces sont évaluées, comparées ou liées aux décisions stratégiques. Les rapports contiennent également peu d'information sur les activités du Service. Nous comprenons que le fait de révéler trop de choses sur les tâches, les méthodes ou les résultats des activités du Service nuirait à la sécurité nationale, une objection qui est d'ailleurs souvent entendue. Toutefois, la transparence des politiques et des pouvoirs exécutifs exige davantage que des considérations abstraites concernant les menaces ou des cas illustratifs spécialement sélectionnés.
B) Lumière sur les métadonnées
Un autre aspect essentiel de la surveillance des données est la notion de « métadonnées ». Une analogie souvent utilisée pour expliquer la différence entre les données et les métadonnées est que les premières s'apparentent au contenu de l'enveloppe, et les secondes sont les renseignements d'acheminement écrits à l'extérieur. Deux aspects clés de cette analogie sont inexacts. Premièrement, comme cela a été souligné à plusieurs reprises, la fréquence, la quantité et la nature des métadonnées n'ont rien à voir avec les simples adresses municipales figurant sur une enveloppe. Nos appels téléphoniques, nos courriels et nos textos quotidiens génèrent à eux seuls une quantité considérablement supérieure de (méta)données utilisables. Les métadonnées contiennent également des renseignements plus divers, notamment le lieu, l'heure, la durée ou la longueur du message, la présence et le type de pièces jointes, la langue, le sujet, etc. Deuxièmement, ces riches métadonnées permettent de multiples formes d'analyse et de déductions sur les personnes qui envoient, reçoivent et transfèrent diverses communications. Les recherches montrent que les prédictions et les déductions faites grâce à une analyse efficace des métadonnées ne sont pas améliorées par l'ajout au modèle du contenu réel des communications.
Dans cette optique, le GCT-SN a interrogé le CST sur son utilisation des métadonnées et sur la possibilité d'expliquer plus clairement aux Canadiens comment et dans quelle mesure leurs métadonnées sont recueillies, conservées et analysées. À l'heure actuelle, il semble impossible de rendre publique l'information sur ces deux questions d'une quelconque façon. Le GCT-SN estime que ces réponses ne sont pas conformes aux lignes directrices sur la transparence des renseignements et des pouvoirs exécutifs de l'Engagement de transparence.
C) Transparence sur la surveillance
D'autres formes de surveillance ont donné lieu à des préoccupations du public au cours des dernières années. De nombreuses Premières Nations et minorités, ainsi que des groupes environnementaux, se sont dites inquiètes de faire l'objet de diverses formes d'observation, de collecte et, vraisemblablement, d'analyse. Des efforts continus et intenses visant à recruter des informateurs confidentiels au sein de diverses populations ciblées ont été relevés. Parallèlement, le rapport de l'Enquête publique sur l'état d'urgence déclaré en 2022 (Commission Rouleau), portant sur l'occupation d'Ottawa en 2022, a amplement révélé les sous-performances de la communauté du renseignement du Canada en matière d'analyse, de prévision et de communication des menaces et des vulnérabilités : « il existe une lacune dans l'autorité et la capacité du gouvernement fédéral de surveiller l'environnement d'information numérique et […] cette lacune a nui à sa capacité à anticiper le convoi et à comprendre et mesurer la situation au fil des événementsNote de bas de page 39. » Cet état paradoxal de surveillance qui apparaît simultanément excessive et insuffisante doit être mieux expliqué pour maintenir la confiance des Canadiens envers le gouvernement. En ce qui a trait à la transparence, il semble y avoir au moins une lacune en matière de transparence des politiques. En effet, les priorités stratégiques de la communauté du renseignement sont difficiles à saisir. Au point, en fait, que certains commencent à douter de leur existence ou, si elles existent, de leur respect dans la pratique.
Voici quelques domaines dans lesquels les Canadiens ont besoin de davantage de transparence en matière de surveillance gouvernementale :
- Quelle quantité de métadonnées canadiennes est recueillie, pendant combien de temps sont-elles conservées, dans quel but, et comment sont-elles communiquées au Canada et à l'étranger aux partenaires stratégiques du Canada?
- Pour quels objectifs stratégiques en matière de sécurité nationale les ensembles de données du SCRS sont-ils utilisés? Comment ces ensembles de données sont-ils utilisés, pendant combien de temps sont-ils conservés et comment sont-ils communiqués au Canada et à l'étranger, pour quelles raisons et dans quelles conditions?
- Quelles sont les priorités des organismes en matière de données et de surveillance et comment s'inscrivent-elles dans la stratégie de sécurité nationale du Canada?
- Quelle est l'efficacité des différentes formes de surveillance entreprises, à des fins de protection objective et réelle de la sécurité nationale? Par exemple, ont-elles permis de prévenir des incidents, de procéder à des arrestations ou de mener des poursuites?
D) Information sur le chiffrement
Le chiffrement des données est un autre enjeu lié au déploiement de la surveillance gouvernementale. En 2022, le ministre de la Sécurité publique a signé la Déclaration internationale sur le chiffrement de bout en bout et la sécurité publique, indiquant au public canadien le soutien du gouvernement au chiffrement public. On entend spécifiquement par chiffrement « de bout en bout » la protection des données de communication entre l'expéditeur et le destinataire, notamment le long du parcours et aux nœuds de réseau que les données doivent suivre d'un appareil à l'autre. S'il est suffisamment robuste, le chiffrement annule totalement toute forme d'interception, qu'elle soit l'œuvre de réseaux de fraude organisée, de pirates informatiques, d'agents de collecte de données étrangers, etc., ou d'organismes d'application de la loi légitimes. Le chiffrement est également utilisé pour protéger les données stockées et les appareils. En supposant que les utilisateurs choisissent des mots de passe adéquats, un chiffrement robuste réduit, voire annihile, toute tentative non autorisée d'accès aux données, y compris, ici encore, par des organismes d'application de la loi ou de renseignement.
Dans les deux cas, bien entendu, le chiffrement contribue à protéger toute forme d'activité criminelle en ligne et hors ligne, y compris la pornographie juvénile, les marchés illicites, les transferts financiers illicites, l'espionnage, les complots criminels et terroristes, etc. Cela fait partie de ce que certains services de police appellent « devenir invisible », où des formes de données traditionnellement accessibles deviennent irrémédiablement hachées et donc inutilisables, que ce soit en tant que renseignements ou en tant qu'éléments de preuve.
Les forces de l'ordre peuvent essayer de contourner ou d'empêcher le chiffrement de plusieurs façons :
- Demandes de mots de passe : un service de police peut être habilité à obliger les utilisateurs à révéler leurs mots de passe.
- Découverte de mots de passe : il est possible de deviner les mots de passe ou de les découvrir au moyen d'« attaques par dictionnaire », c'est-à-dire en utilisant une série de lexiques, en commençant par les mots de passe les plus courants, et en incluant de véritables dictionnaires dans différentes langues. Les mots de passe peuvent également être devinés « qualitativement » en explorant les autres données sur un utilisateur, notamment ses publications sur les médias sociaux (p. ex. de nombreuses personnes utilisent le nom de leur animal de compagnie comme mot de passe). Les médias ont appris que la GRC tentait peut-être de se procurer des outils d'intelligence artificielle pour découvrir des mots de passe individuels afin d'accéder à des appareils tels que des téléphones intelligentsNote de bas de page 40.
- Les listes de mots de passe hachés peuvent également être déchiffrées « de force », c'est-à-dire au moyen des capacités informatiques dont disposent les organismes spécialisés. Le délai de traitement peut alors être extrêmement long, ou du moins d'une durée suffisante pour permettre aux utilisateurs de modifier leurs mots de passe. Cela pourrait changer à l'ère de l'informatique quantique. Cependant, l'informatique quantique permettra également le chiffrement quantique. La course à l'armement en matière de chiffrement pourrait ainsi simplement s'accélérer, et les gagnants seront déterminés par la propagation de l'informatique quantique pratique au sein de la société.
- Il est reconnu que les services de renseignement et les organismes d'application de la loi influent sur le développement et la conception des logiciels de chiffrement à la source afin d'en affaiblir la puissance et de les rendre éventuellement déchiffrablesNote de bas de page 41.
- Les « portes dérobées » sont des clés spéciales destinées aux organismes d'application de la loi que les fournisseurs de services de chiffrement doivent transmettre aux organismes autorisés. Elles se présentent sous de multiples formes et peuvent être utilisées pour intercepter des communications en temps réel ou pour contourner diverses protections par mot de passe. L'inconvénient est qu'elles se sont toujours révélées peu sûres et qu'elles finissent presque toujours par faire l'objet d'une fuite « dans la nature », c'est-à-dire qu'elles se retrouvent entre les mains de divers acteurs malveillants canadiens et étrangers. Même la National Security Agency américaine perd régulièrement des données classifiées, ce qui semble indiquer qu'aucune organisation n'est à l'abri.
Deux questions distinctes doivent être examinées. Premièrement, la sécurité personnelle des Canadiens contre la fraude, le vol d'identité, etc., dépend fortement du chiffrement de multiples formes d'interaction en ligne et hors ligne (p. ex. lors de la simple utilisation d'une carte de crédit). Le chiffrement est également essentiel pour protéger les droits fondamentaux au Canada et à l'étranger, ainsi que pour protéger les lanceurs d'alerte, les sources journalistiques et, il faut le souligner, pour protéger les sources policières et les sources des organismes de renseignement de sécurité au Canada et à l'étranger. Par conséquent, tout affaiblissement du chiffrement entraîne irrémédiablement l'accroissement des risques pour les Canadiens, individuellement et en tant que nation.
La deuxième question est le corollaire de la première : si le chiffrement doit être affaibli aux fins de la sécurité nationale, en le rendant déchiffrable ou au moyen de portes dérobées, un certain nombre de mesures de protection devront être mises en place, notamment la diffusion rapide, voire automatique, d'information au public sur les atteintes et la surveillance étroite et le signalement de leur utilisation par les organismes d'application de la loi; une justification appropriée devra être fournie au public et une transparence totale devrait être exigée quant aux personnes officiellement autorisées à déchiffrer les données des citoyens, la manière de le faire, dans quelle mesure et à quelle fin.
Le GCT-SN estime que la population canadienne est disposée à accorder aux organismes d'application de la loi une plus grande marge de manœuvre dans la lutte contre les activités illicites, mais pas à n'importe quel prix, ni sans condition ou, plus important encore, sans information adéquate et proportionnellement satisfaisante. Les préoccupations au sujet d'exceptions possibles au chiffrement pour permettre l'accès aux autorités doivent être prises en compte. Le GCT-SN reconnaît que les énoncés tels que la Déclaration internationale sur le chiffrement de bout en bout et la sécurité publique pourraient constituer des tentatives de présenter une position nuancée sur des questions complexes. Toutefois, l'effet du message peut parfois se perdre dans la formulation. Étant donné l'importance de la question, il est essentiel d'adopter un langage clair et directNote de bas de page 42.
Voici nos réflexions concernant le chiffrement :
- Bien qu'il s'agisse d'un problème complexe qui évolue rapidement (notamment avec l'avènement du chiffrement quantique), davantage d'information sur le chiffrement et le déchiffrement, et surtout de l'information plus claire, devrait être publiée; cette information devrait préciser les avantages et les inconvénients du chiffrement pour les Canadiens dans leur vie quotidienne.
- Le gouvernement doit renseigner les Canadiens sur les besoins en matière de capacités de déchiffrement de la police ou des services de renseignement de sécurité et les risques connexes.
- Le gouvernement doit mobiliser ouvertement et publiquement des experts indépendants en cryptographie, en sécurité et en technologie.
- Des justifications pleinement intelligibles devraient être fournies pour les décisions politiques en matière de cryptographie, et devraient inclure des renseignements complets sur l'incidence réelle du chiffrement sur la sécurité nationale, bien au-delà de mots à la mode tels que « devenir invisible ».
- Les organismes chargés de la sécurité nationale qui travaillent au déchiffrement, aux portes dérobées ou à la conception initiale des logiciels et algorithmes de chiffrement devraient faire preuve de transparence par rapport à leurs activités afin de calmer les inquiétudes. Les Canadiens doivent être rassurés sur le fait que toute atteinte à la sécurité est immédiatement rendue publique.
- Tandis que la technologie de chiffrement et de déchiffrement se développe, un débat national doit avoir lieu sur le cadre réglementaire qui sera appliqué : le déchiffrement deviendra-t-il illégal? Le cas échéant, dans quelles circonstances? Son utilisation sera-t-elle sanctionnée?
2.5 Équité, diversité et inclusion
Dans nos trois précédents rapports, nous avons souligné l'importance pour les organisations de sécurité nationale d'intégrer l'équité, la diversité et l'inclusion (EDI) dans leur culture et de l'intégrer de manière continue et transparente dans leurs activités afin d'accroître la confiance, en particulier chez les groupes sous-représentés tels que les femmes, les communautés noires, racialisées, marginalisées et les autres communautés minoritaires.
Par exemple, dans notre rapport de 2020, le GCT-SN a déclaré que « les organismes de sécurité nationale doivent admettre la présence de racisme systémique et de préjugés inconscients en leur sein et reconnaître que ces préjugés se manifestent dans leurs interactions avec certains membres du public. Si les organismes de sécurité nationale ne reconnaissent pas l'existence de ces préjugés et ne s'y attaquent pas vigoureusement, ils risquent, individuellement ou collectivement, de ne pas détecter les risques réels qui menacent la société et de ne pas agir en conséquenceNote de bas de page 43. »
Dans notre rapport de 2021, nous avons recommandé aux ministères et organismes de sécurité nationale qui cherchent à accroître leur transparence d'établir des indicateurs précis pour mesurer les progrès accomplis vers une plus grande transparence. Ceux-ci doivent être en rapport avec le mandat de chaque ministère et organisme, bien que certains indicateurs puissent également être communs à toute la communauté. La publication régulière de données ventilées sur la diversité, y compris sur la race, était l'un des indicateurs proposésNote de bas de page 44.
A) EDI, innovation et intelligence artificielle
Les documents commerciaux et sur l'innovation en disent long sur l'importance de la diversité pour favoriser l'innovation et l'utilisation responsable de la technologie. Cela est particulièrement vrai pour la transition essentielle entre l'invention de nouvelles technologies, telles que l'intelligence artificielle, et la conception d'applications novatrices et leur adoption réussie par les utilisateursNote de bas de page 45. Un article paru en mars 2022 dans le magazine Options politiques souligne que si la bataille fait rage pour recruter des spécialistes en technologie de l'intelligence artificielle profonde, « le besoin le plus pressant demeure la formation de personnes capables de soutenir l'adoption et la transformation numériques, et que l'on nomme les hybrides. Ces personnes comprennent le potentiel de la technologie et savent également comment l'adapter aux besoins des organisationsNote de bas de page 46. » Un récent article de l'Observatoire OCDE des politiques de l'intelligence artificielle décrit comment des femmes tirent parti des technologies d'intelligence artificielle pour relever certains défis parmi les plus importants auxquels est confrontée l'humanité (p. ex. la sécurité alimentaire, les soins de santé, la lutte contre l'esclavage moderne)Note de bas de page 47 . Pourtant, selon cet article et d'autres publications récentes, les femmes sont sous-représentées au sein de l'effectif ou des entrepreneurs spécialisés en innovation en matière d'intelligence artificielle. Un rapport du Forum économique mondial de 2020 a révélé que les femmes n'occupent que 26 % des postes liés aux données et à l'intelligence artificielle sur le marché du travail et l'OCDE nous rappelle que « les femmes sont 13 fois moins susceptibles de déposer une demande de brevet technologique que les hommes » et « qu'on estime que les femmes n'obtiennent que 7 % des brevets en TIC dans les pays du G-20 et ne fondent que 10 % des jeunes entreprises technologiques à la recherche de capital-risqueNote de bas de page 48. » Selon une étude d'AINow, malgré la présence de programmes de diversité et d'inclusion, la composition de l'effectif à la tête d'entreprises numériques comme Google et Facebook (Meta) n'est pas rassurante. « Les femmes ne représentant que 15 % des chercheurs en intelligence artificielle chez Facebook (Meta) et 10 % chez Google » et les personnes noires représentent moins de 5 % du personnel américain de Google, Facebook (Meta) et Microsoft, ce qui correspond à moins de la moitié de leur disponibilité sur le marché de l'emploi (12 %)Note de bas de page 49.
Au Canada, malgré des années de plaidoyer, le nombre d'inscriptions des femmes dans le domaine de l'ingénierie informatique n'a pas augmenté et connaît même une diminutionNote de bas de page 50. Dans la fonction publique, malgré des progrès importants dans leur participation aux postes de direction, les femmes n'occupent que 27 % de l'ensemble des postes en informatique, et ce pourcentage est également en baisseNote de bas de page 51. Le taux de participation des Autochtones et des personnes handicapées dans ce domaine reste très faible, tant dans le secteur privé que dans le secteur public. « Alors que les immigrants et certaines personnes racialisées sont surreprésentés dans le secteur des TIC, plus de 40 % des ingénieurs formés à l'étranger sont sous-employés Note de bas de page 52», c'est-à-dire que nombre d'entre eux occupent un emploi qui n'exige pas de diplôme d'ingénieur, même s'ils en ont un. Cela met en évidence les obstacles qui entravent l'utilisation de leur talent et de leur productivité. « Les Canadiens noirs et les Autochtones sont nettement sous-représentés, et les Autochtones représentent un peu plus d'un pour cent des travailleurs des TICNote de bas de page 53. »
D'une part, l'incapacité à accroître la participation des femmes, des personnes racialisées, des Autochtones et des personnes handicapées et à utiliser tout le potentiel de l'effectif dans le secteur des TIC compromet la capacité du Canada et de sa fonction publique à exploiter le plein potentiel d'un bassin de talents diversifié et inclusif en tant que contributeur clé à l'innovation. D'autre part, l'inclusion et la diversité dans la conception et le développement de l'intelligence artificielle par les chercheurs et les ingénieurs sont encore plus essentielles pour éviter la propagation à grande échelle des préjugés. C'est pourquoi la transparence dans la mise en œuvre de l'EDI au sein du milieu de la sécurité nationale est essentielle pour garantir la responsabilité de nos efforts en faveur d'une innovation permettant d'atteindre une plus grande égalité.
Dans notre rapport de 2022, nous avons décrit comment « les systèmes d'analyse prédictive et d'aide à la décision (l'un des sept cas d'utilisation potentiels de l'intelligence artificielle recensés par l'OCDE) sont devenus des éléments essentiels de la sécurité nationale et des capacités de renseignementNote de bas de page 54. » Comme nous l'ont indiqué des fonctionnaires, ces nouvelles capacités permettent d'améliorer considérablement la productivité et les services dans des activités à fort volume telles que l'immigration (IRCC) et l'inspection à la frontière (ASFC). Elles peuvent également aider les services de renseignement à mieux cerner les menaces. Toutefois, la conception et l'utilisation de ces applications d'intelligence artificielle doivent être soigneusement évaluées afin d'éviter tout préjudice involontaire susceptible de créer, de reproduire ou de perpétuer des biais, systémiques ou autres, qui désavantagent des personnes et des groupes de la société tels que les femmes, les Autochtones, les personnes handicapées, les personnes noires et racialisées et d'autres communautés minoritaires, y compris les membres de la communauté 2ELGBTQI+. La protection des renseignements personnels doit également rester au cœur de cette capacité croissante d'analyse et de traitement des données.
Notre rapport de 2022 s'est fait l'écho de nombreux experts qui estiment que la meilleure façon d'éviter les préjudices ou résultats involontaires est de garantir la participation active de talents divers sous toutes ses formes à la conception et à la mise en œuvre d'initiatives en matière d'intelligence artificielle et à la recherche connexe, ainsi qu'une mobilisation ouverte et transparente des communautés par rapport à l'utilisation de la technologie. Deux de nos recommandations portaient spécifiquement sur l'avantage d'avoir recours à un effectif plus diversifié et mieux informé, sensibilisé aux préjugés systémiques :
- Dans le cadre de la recherche de compétences en matière d'intelligence artificielle et de la sélection de partenaires privés pour les systèmes d'intelligence artificielle, nous recommandons vivement l'adoption d'un critère d'équité, de diversité et d'inclusion (EDI) comme perspective centrale de la planification des ressources humaines;
- Nous recommandons donc que les observations faites ci-dessus concernant les capacités de formation qui traitent de l'incidence potentielle sur les communautés racialisées soient explicitement appliquées dans le domaine de la préparation et de la gestion de l'intelligence artificielle.
Dans nos rapports de 2021 et de 2022, nous avons également encouragé les organisations du milieu de la sécurité nationale à faire preuve de plus d'ouverture et de transparence en ce qui concerne 1) leurs données et stratégies d'EDI et 2) leur matériel de formation afin de favoriser une plus grande sensibilisation aux risques de biais systémiques.
B) L'EDI au sein des organisations de sécurité nationale
Pour que les différentes organisations de sécurité nationale puissent compter sur un effectif qui reflète mieux la diversité du Canada et puisse contribuer à l'établissement d'une intelligence artificielle responsable qui atténue les biais systémiques, deux éléments clés sont nécessaires. Premièrement, un effectif globalement équitable et diversifié, qui adopte les avantages de la diversité en saisissant les possibilités offertes par les nouvelles technologies telles que l'intelligence artificielle, tout en se protégeant contre les biais systémiques. Deuxièmement, un effectif équitable et diversifié dans les domaines clés de la recherche, de la conception et de la mise en œuvre de nouvelles technologies numériques telles que l'intelligence artificielle.
Dans notre rapport de 2022, nous avons noté que « malgré de récentes améliorations, les Canadiens racialisés sont toujours sous-représentés dans les institutions de sécurité nationale et de renseignement, surtout aux échelons supérieurs », ce qui nous a amenés à formuler la recommandation suivante :
Nous recommandons aux organisations de sécurité nationale non seulement de poursuivre et d'intensifier leurs efforts pour diversifier leurs ressources humaines, mais aussi d'être plus transparentes sur des questions telles que les données sur l'emploi et les obstacles existants pour les personnes racialiséesNote de bas de page 55.
Notre observation a principalement porté sur les conclusions du rapport annuel 2019 du CPSNR sur la diversité et l'inclusion au sein de la communauté de la sécurité et du renseignement. La plupart des ensembles de données utilisés par le CPSNR à l'époque concernaient les années 2017 et 2018. Nous avons essayé d'actualiser notre évaluation à l'aide de données plus récentes. Nous y sommes arrivés grâce à une mise à jour consolidée des données jusqu'en 2020-2021 de la plupart des organisations clés de la sécurité nationale fournies par Sécurité publique Canada (voir l'annexe 1). Nous avons également pu accéder aux données de 2021-2022 de nombreuses organisations en consultant les statistiques pangouvernementales sur la diversité et l'inclusion publiées par le Conseil du Trésor (CT) et certaines des publications sur l'EDI des ministères et organismes chargés de la sécurité nationale, en particulier de ceux qui ne font pas partie de la publication du CT parce qu'ils sont des employeurs distincts ou une organisation distincte, comme les Forces armées canadiennesNote de bas de page 56. Cet examen nous a permis de constater les améliorations réalisées par la plupart des organismes chargés de la sécurité nationale dans la publication de données générales sur l'EDI, ainsi qu'à leurs objectifs et stratégies visant à rendre leurs effectifs plus représentatifs du Canada. Nous accueillons favorablement ces progrès, mais comme nous le décrivons ci-dessous, un accès transparent à des données plus détaillées est nécessaire pour évaluer l'EDI au sein des groupes d'emploi qui participent les plus à la recherche, la conception et le déploiement de nouvelles applications technologiques telles que l'intelligence artificielle.
Cet examen des données jusqu'en 2021-2022 nous a permis d'évaluer les progrès réalisés au cours de cette période (2018-2018 à 2021-2022). À l'exception du groupe désigné des « personnes handicapées », la plupart des organisations ont continué de réaliser des progrès dans les trois autres catégories désignées au titre de l'EDI et leur effectif, dans l'ensemble, devient plus représentatif du Canada. Ce résultat est encourageant, sachant que les employés désignés ne choisissent pas tous de s'identifier. Les données réelles sont donc probablement plus élevées. En ce qui concerne la catégorie des « personnes handicapées », nous constatons que le taux de la disponibilité au sein de la population active (DPA) a doublé chez la plupart des organismes au cours de cette période. Certains des rapports que nous avons consultés font état d'un changement de méthodologie quant à la définition de la DPA qui a entraîné une augmentation des taux de la DPA, mais les données recueillies par les ministères ne reflètent pas encore ce changement. Voici quelques faits saillants de notre analyse :
- Un certain nombre de ministères et d'organismes – Sécurité publique Canada (SP), l'Agence des services frontaliers du Canada (ASFC), le Service canadien du renseignement de sécurité (SCRS), Affaires mondiales Canada (AMC) et le Centre intégré d'évaluation du terrorisme (CIET) – atteignent ou dépassent relativement les cibles dans les trois catégories désignées des femmes, des Autochtones et des membres des minorités visiblesNote de bas de page 57. Les progrès réalisés dans la représentation des membres des minorités visibles sont particulièrement importants à SP, à l'ASFC, au SCRS, à AMC et au CIET.
- Bien que les données les plus récentes sur la DPA pour 2020-2021 ne soient pas disponibles pour les Forces armées canadiennes (FAC), nous constatons, en nous basant sur les données sur la DPA de 2019, qu'elles semblent également atteindre ou dépasser la DPA dans ces trois mêmes catégories et qu'elles ont également réalisé d'importants progrès dans la catégorie désignée des « membres des minorités visibles ». Ces progrès pourraient être en partie attribuables à la réussite de leurs efforts de recrutement auprès des immigrants récents (résidents permanentsNote de bas de page 58). Nous avons observé qu'elles n'en sont pas encore au stade des objectifs fixés dans leur propre plan ministériel en matière de diversité et d'inclusion, qui sont plus ambitieux que le seuil de la DPA.
- En ce qui concerne le Centre de la sécurité des télécommunications (CST), il atteint ou dépasse la DPA pour les catégories désignées des « femmes » et des « Autochtones », mais se situe sous la DPA pour les catégories des « membres des minorités visibles » et des « personnes handicapées ». Bien que le CST ait vu son pourcentage de membres issus de minorités visibles passer de 11,4 % à 12,9 % entre 2019 et 2022, la DPA applicable au CST pour la même période a bondi de 21,5 % à 25,3 %, ce qui illustre à quel point il est difficile pour une organisation comme le CST de faire face à la croissance rapide de la DPA due à la surreprésentation des diplômés en TIC au sein de l'afflux de nouveaux immigrants, alors que toute la croissance nette du marché du travail provient de la migrationNote de bas de page 59.
- Les taux de représentation au sein du ministère de la Défense nationale (MDN) étaient légèrement inférieurs dans toutes les catégories désignées, mais son taux de représentation dans la catégorie des membres des minorités visibles a augmenté de près de 3 % au cours de la période 2019-2022Note de bas de page 60.
- La conception de la publication de la Gendarmerie royale du Canada (GRC) sur la diversité et l'inclusion est très différente de celle des autres organismes et les taux de DPA ne sont pas disponibles. D'après les données que nous avons pu consulter, la GRC semble dépasser la DPA dans la catégorie désignée des « Autochtones », mais se situer en dessous dans les trois autres catégories désignéesNote de bas de page 61.
Nous n'avons pas eu accès à des données à jour pour la catégorie des cadres (EX), bien que la plupart des organismes nous aient fait savoir qu'ils faisaient des progrès chez les cadres supérieurs afin qu'ils soient plus représentatifs du Canada. Le fait d'avoir des cadres supérieurs conscients des biais potentiels et prédisposés à les remettre en question est un élément important de l'utilisation de l'EDI pour garantir une utilisation responsable de l'intelligence artificielle.
Comme nous l'avons décrit ci-dessus, bien que les organisations de sécurité nationale aient réalisé d'importants progrès dans la communication des données sur l'EDI et de leurs plans visant à combler les lacunes de manière plus transparente, la plupart de ces rapports restent au niveau moins détaillé des effectifs. La quasi-absence de données désagrégées sur l'EDI qui nous permettraient d'évaluer la diversité de l'effectif des fonctions les plus pertinentes pour l'intelligence artificielle (chercheurs, concepteurs, analystes d'affaires) limite notre capacité à formuler des commentaires. Comme il est décrit précédemment, la documentation actuelle laisse penser que les femmes sont particulièrement sous-représentées (moins de 20 à 25 % dans les secteurs privé et public) et que les Autochtones et les personnes noires du groupe des « membres de minorités visibles » sont significativement sous-représentés au sein de l'effectif dédié à ces tâches clés de l'intelligence artificielle. Bien que notre échantillon soit très petit, la Stratégie d'équité, de diversité et d'inclusion du SCRS offre une petite quantité de données ventilées par spécialités de l'effectif qui semblent correspondre aux données globales de la fonction publique, les femmes représentant 16,1 %, les Autochtones 1,3 % et les personnes handicapées 3,4 % des employés du SCRS dans le domaine des sciences et de la technologieNote de bas de page 62.
3. Conclusions et recommandations
La protection de la sécurité nationale doit être la priorité absolue de tout gouvernement national. Il est grand temps d'engager un dialogue avec les Canadiens sur les défis en matière de sécurité nationale et sur les compromis entre sécurité et transparence. D'aucuns pourraient affirmer que les Canadiens sous-estiment la nature des menaces pesant sur la sécurité nationale, et il est clair qu'il n'y a pas de consensus quant à ce qui constitue une menace. La nature des menaces et des risques devenant de plus en plus complexe, notamment en raison du développement et de la prolifération de nouvelles technologies, le moment est peut-être venu d'engager un dialogue avec les Canadiens sur la sécurité nationale d'une manière qui soit significative et en faisant appel à des non-spécialistes. Si les Canadiens appuient largement les efforts déployés pour protéger la sécurité nationale, et s'inquiètent même lorsque des défaillances apparaissent, ils attendent également du gouvernement qu'il rende des comptes sur la manière dont les menaces sont traitées et sur les cas où elles ne le sont pas. Dans le cadre du dialogue avec les Canadiens, le gouvernement devrait faire preuve de transparence quant aux mesures mises en place pour garantir la responsabilité et aux types de mécanismes de recours disponibles en cas de plainte. Les mécanismes de plainte et de recours doivent être bien compris, accessibles et fonctionner de manière transparente et dans un délai convenable.
Nos recommandations visent à ouvrir la voie à une mobilisation significative des Canadiens à l'égard des défis et des stratégies de sécurité nationale. Toutefois, comme l'ont fait remarquer d'autres personnes, dont Jody Thomas, la mobilisation à elle seule ne suffit pas à accroître la confiance dans les organismes chargés de la sécurité nationale. Elle doit s'accompagner de changements dans les politiques et les pratiques. L'introduction d'une politique de déclassification et l'adoption d'un état d'esprit « d'ouverture par défaut » en sont de bons exemples.
Les dimensions numériques et fondées sur les données de la gouvernance de la sécurité nationale devenant de plus en plus prononcées et conséquentes, nous avons cherché à poursuivre deux grands objectifs dans le présent rapport : premièrement, mieux comprendre l'évolution et l'approfondissement des interrelations entre la sécurité nationale et la numérisation; et deuxièmement, fournir des conseils sur la façon dont le gouvernement du Canada peut mieux tirer parti de la transparence pour renforcer la sensibilisation du public et sa compréhension – et, en fin de compte, accroître la confiance collective, dans le cadre de l'affrontement de nouvelles menaces et de conception de nouvelles réponses.
À notre avis, ce dernier objectif est également étroitement lié à la genèse de nos trois rapports précédents et aux tensions profondément ancrées entre l'ouverture et le secret qui sous-tendent la formation de l'Engagement de transparence du gouvernement du Canada (et l'existence même du GCT-SN). C'est pourquoi, en nous appuyant sur notre propre examen et notre analyse dans la section précédente de ce rapport portant sur certains des domaines numériques les plus importants de la sécurité nationale, nous avons cherché ici à formuler des recommandations qui correspondent aux six principes de l'Engagement de transparence et à leurs trois paires thématiques : la transparence des renseignements, la transparence des pouvoirs exécutifs et la transparence des politiques.
Transparence des renseignements
La transparence des renseignements, dans le cadre de l'Engagement de transparence en matière de sécurité nationale, comprend deux principes visant à communiquer clairement ce que les ministères et les organismes du gouvernement du Canada font pour assurer la sécurité nationale. Le principe 1 est le suivant : « Les ministères et les organismes diffuseront de l'information expliquant les principaux éléments de leurs activités de sécurité nationale et la portée de ces activités. » Le principe 2 est le suivant : « Dans toute la mesure du possible, les ministères et les organismes aideront et appuieront les Canadiens qui souhaitent accéder à de l'information touchant la sécurité nationale, à condition que l'intérêt national, l'efficacité des opérations ou la sécurité d'une personne ne soit pas compromis. »
Recommandation 1 : Mise en œuvre des recommandations issues de l'évaluation à mi-parcours de la Stratégie nationale de cybersécurité
Compte tenu de l'importance croissante des menaces et des défis liés à la cybersécurité et de l'évaluation à mi-parcours de la Stratégie nationale de cybersécurité (SNCS) réalisée par le gouvernement du Canada en 2022, il convient de faire preuve de plus de transparence quant à la suite donnée aux quatre recommandations adressées au sous-ministre adjoint principal, Secteur de la sécurité et de la cybersécurité nationale (SSCN), à savoir :
- Améliorer les efforts de leadership et de coordination en établissant des priorités dans le programme d'action, notamment résoudre les problèmes d'échange de renseignements et tisser des liens avec d'autres ordres de gouvernement, plus particulièrement les provinces et territoires;
- Concevoir et mettre en place des processus de suivi afin de recueillir des données sur l'instauration de mesures d'atténuation par les participants ayant pris part à des activités destinées aux secteurs des infrastructures essentielles (IE);
- Élaborer une approche afin d'utiliser les conclusions des projets du Programme de coopération en matière de cybersécurité (PCCS) pour orienter le programme d'action et la prise de décisions du SSCN;
- Informer les intervenants sur l'application des volets diversité et inclusion inhérents à l'ACS Plus à la cybersécuritéNote de bas de page 63.
Recommandation 2 : Transparence des plans d'utilisation de l'intelligence artificielle
Nous recommandons à toutes les entités chargées de la sécurité nationale de publier des plans détaillés décrivant leurs utilisations actuelles et prévues de systèmes et d'applications logicielles d'intelligence artificielle, ainsi que des mécanismes de protection et d'examen visant à atténuer les risques tels que les biais fondés sur l'ethnie, le sexe et autres, l'opacité des algorithmes et d'autres conséquences imprévues.
Recommandation 3 : Transparence du Programme d'intégration des technologies
Nous recommandons également à la GRC d'être beaucoup plus disposée à communiquer de l'information sur les limites, l'utilisation et les résultats spécifiques de son Programme d'intégration des technologies. Cela signifie notamment de fournir des renseignements précis et détaillés expliquant en quoi son Programme d'intégration des technologies (créé en grande partie pour répondre aux préoccupations liées à l'intelligence artificielle) correspond aux valeurs canadiennes, y compris celles exprimées dans la Charte.
Recommandation 4 : Transparence à l'égard de la diversité et de l'inclusion au sein du personnel
Nous recommandons à Sécurité publique Canada de fournir une analyse et des renseignements plus détaillés sur ses défis en matière de développement des ressources humaines (notamment sur les pénuries de compétences, les efforts de recrutement et les jalons d'EDI), tout en donnant suite à l'une des recommandations de l'évaluation à mi-parcours du SSCN de 2022, qui demande au ministère d'« informer les intervenants sur l'application des volets diversité et inclusion inhérents à l'ACS Plus à la cybersécuritéNote de bas de page 64. »
Recommandation 5 : Transparence de l'évaluation des menaces
Les Canadiens comprennent que l'information liée à la sécurité nationale ne peut pas toute être diffusée. Toutefois, des événements récents, par exemple dans le domaine de l'ingérence étrangère, suscitent des questions sur les politiques et pratiques mises en place pour faire face aux menaces et en informer les Canadiens. Le gouvernement pourrait accroître la communication proactive des politiques régissant l'évaluation des menaces dans le monde numérique et au-delà, y compris les cadres juridiques et réglementaires régissant les outils ou les moyens utilisés pour cerner les menaces et y faire face.
Transparence des pouvoirs exécutifs
La transparence des pouvoirs exécutifs inclut les communications qui visent à expliquer la structure juridique nécessaire pour assurer la sécurité nationale et la façon dont les décisions sont prises selon cette structure. Ici encore, deux principes y sont liés. Le principe 3 de l'Engagement de transparence est le suivant : « Les ministères et les organismes expliqueront comment leurs activités de sécurité nationale sont autorisées par la loi, et comment ils interprètent et appliquent leurs pouvoirs dans le respect des valeurs canadiennes, dont celles qui sont énoncées dans la Charte. » Le principe 4 est le suivant : « Les ministères et les organismes expliqueront, pour ce qui touche à la sécurité nationale, les fondements de leurs processus décisionnels et comment ces processus respectent les valeurs canadiennes, y compris celles qui sont énoncées dans la Charte. »
Recommandation 6 : Transparence du Centre de coordination stratégique sur la communication d'information
Compte tenu des tensions perçues et réelles entre les efforts de sécurité nationale fondés sur les données et la protection des renseignements personnels, nous recommandons à Sécurité publique Canada de faire preuve de plus d'ouverture et de transparence en ce qui concerne les objectifs, les activités et l'incidence de son Centre de coordination stratégique sur la communication d'information.
Recommandation 7 : Consultation sur les évaluations des facteurs relatifs à la vie privée de l'intelligence artificielle
En ce qui concerne les incidences sur la protection des renseignements personnels de l'utilisation de l'intelligence artificielle et des applications d'intelligence artificielle, nous recommandons à Sécurité publique Canada de collaborer avec le commissaire à la protection de la vie privée et d'autres intervenants afin de mettre sur pied des mécanismes pour établir des normes ouvertes et vérifiables en matière de conception et de déploiement d'algorithmes, ainsi qu'à des fins d'examen indépendant.
Recommandation 8 : Ouverture à l'égard du chiffrement et de l'accès légal
Nous recommandons une plus grande ouverture, une meilleure sensibilisation et davantage de mobilisation lorsque Sécurité publique Canada entreprend l'élaboration d'une politique interne axée sur le chiffrement numérique et cherche à respecter ses engagements pris lors de l'adoption de la « Déclaration internationale : chiffrement de bout en bout et sécurité publique » (notamment de « tenir des consultations avec les gouvernements et d'autres intervenants afin de faciliter l'accès légal de manière concrète et de façon à véritablement influencer les décisions en matière de conception » et de « travailler de concert avec l'industrie à l'élaboration de propositions raisonnables qui permettront aux entreprises de technologie et aux gouvernements de protéger le public et ses renseignements personnels, de défendre la cybersécurité et les droits de la personne, et de soutenir l'innovation technologiqueNote de bas de page 65 »).
Recommandation 9 : Mobilisation et transparence pour atténuer le racisme systémique
Nous recommandons à Sécurité publique Canada d'atténuer le racisme systémique, qui peut conduire à une sécurisation excessive de certaines communautés ethniques et à une utilisation biaisée des outils numériques, grâce à une mobilisation continue des communautés concernées et à la transparence auprès de ces dernières.
Recommandation 10 : Mobilisation afin de lutter contre la désinformation et la haine en ligne
Nous recommandons à Sécurité publique Canada de respecter l'engagement pris dans le Plan d'action pour un gouvernement ouvert 2022-2024Note de bas de page 66, et d'intensifier les efforts de sensibilisation et de mobilisation du public, en particulier auprès des communautés vulnérables, en concevant des moyens innovants et significatifs de lutter contre la désinformation et la haine en ligne. Ce faisant, puisqu'il s'agit d'un domaine particulièrement préoccupant et urgent, nous encourageons fortement toutes les entités chargées de la sécurité nationale à examiner les conclusions du récent rapport du Sénat sur l'islamophobie qui met l'accent sur la hausse des niveaux de haine et d'abus en ligne et à y répondreNote de bas de page 67, ainsi qu'à surveiller et répondre aux tendances croissantes en matière d'antisémitisme, d'antiféminisme et de haine anti-2ELGBTQSI.
Recommandation 11 : Contrôle de l'utilisation de l'intelligence artificielle par le gouvernement
La Loi sur l'intelligence artificielle et les données (LIAD) proposée dans le projet de loi C-27 exclut les institutions gouvernementales de son champ d'application et le commissaire à l'intelligence artificielle proposé n'aurait pas compétence sur les institutions gouvernementales. Nous recommandons au gouvernement du Canada d'examiner la possibilité d'étendre la LIAD aux institutions gouvernementales, y compris les obligations de transparence.
Transparence des politiques
La transparence des politiques est le troisième aspect de la transparence décrit dans l'Engagement de transparence en matière de sécurité nationale. Il s'agit notamment de faciliter le dialogue avec les Canadiens sur les questions stratégiques ayant des répercussions sur la sécurité nationale. Comme pour la transparence des renseignements et la transparence des pouvoirs exécutifs, la transparence des politiques comprend également trois principes. Le principe 5 de l'Engagement est le suivant : « Le gouvernement informera les Canadiens des enjeux stratégiques ayant une incidence sur la sécurité nationale, et des mesures en cours et des plans prévus pour donner suite à ces enjeux. » Enfin, le principe 6 est le suivant : « Dans la mesure du possible, le gouvernement consultera les intervenants et les Canadiens pendant l'élaboration de propositions de politiques d'importance, et il enchâssera la transparence dans la conception des programmes et activités relatifs à la sécurité nationale. »
Recommandation 12 : Transparence à l'égard des menaces à la cybersécurité
En nous appuyant sur les efforts du Centre canadien pour la cybersécurité (CCCS) et en particulier sur son rapport d'août 2023, nous recommandons la mise en place par le CCCS d'un mécanisme de suivi régulier et d'information du public afin de répertorier et de classer les menaces à la cybersécurité et de mieux expliquer et actualiser de façon continue les efforts déployés par le gouvernement du Canada pour améliorer la cyberrésilience du secteur public et de l'ensemble du pays.
Recommandation 13 : Mobilisation à l'égard des infrastructures essentielles
Conformément au mandat du Centre canadien pour la cybersécurité, aux conclusions et recommandations de l'évaluation à mi-parcours de la Stratégie nationale de cybersécurité de Sécurité publique Canada de 2022, ainsi qu'à notre rapport précédent, nous recommandons également une plus grande ouverture envers les propriétaires des infrastructures essentielles du Canada, tous les échelons gouvernementaux, le milieu universitaire et l'industrie privée, et une mobilisation accrue de ces derniers, afin d'accroître l'état de préparation et la résilience et de lutter contre les cybermenaces susceptibles de compromettre les technologies, les réseaux, les biens et les services essentiels à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens.
Recommandation 14 : Promouvoir la transparence de la sécurité nationale au niveau international
En collaboration avec d'autres démocraties et en nous appuyant sur la Stratégie en matière d'intelligence artificielle de 2021 de l'OTAN (y compris sur les principes d'utilisation responsable), nous recommandons à Sécurité publique Canada de chercher à se doter de capacités d'anticipation afin de mieux comprendre les liens croissants entre l'intelligence artificielle et la gouvernance de la sécurité nationale, et d'améliorer la transparence des stratégies et des mesures de protection à l'échelle internationale.
Recommandation 15 : Examiner de l'Engagement de transparence en matière de sécurité nationale et produire des rapports à ce sujet
À l'exception de nos rapports du GCT-SN et de la réponse publique du SCRS à notre troisième rapport, nous constatons que plus de cinq ans après l'introduction de l'Engagement de transparence en matière de sécurité nationale T2017 de Sécurité publique Canada, aucun rapport public n'a été produit sur les progrès, les réalisations, le contrôle ou l'évaluation liés à cet engagement. Nous recommandons donc de réaliser en 2024 un examen officiel de l'Engagement de transparence et de produire des rapports publics sur les initiatives entreprises, les incidences à ce jour et les activités à venir.
Recommandation 16 : Publication d'un plan semestriel d'établissement de rapports sur l'Engagement de transparence en matière de sécurité nationale
Nous recommandons également à Sécurité publique Canada de s'engager à rédiger et à publier un plan semestriel pour l'Engagement de transparence, en utilisant comme modèle les plans d'action pour un gouvernement ouvert des dernières années. Le cas échéant, ces plans d'action devraient être harmonisés et enrichis mutuellement (en s'appuyant sur l'inclusion de deux initiatives de sécurité nationale liées à la désinformation incluses dans l'actuel Plan d'action pour un gouvernement ouvert). Notre prochain rapport en 2024 complétera cet effort d'examen en faisant le point sur les activités du GCT-SN et leurs incidences, et sur la volonté des entités de sécurité nationale de répondre à nos recommandations passées et actuelles au cours des cinq dernières années.
Annexe A : Tableaux sur la diversité et l'inclusion au sein du milieu de la sécurité nationale
Plans et stratégies publics
Sécurité publique Canada (SPC)
Interne : « Cadre stratégique sur la diversité et inclusion pour Sécurité publique Canada » (2020)
Externe : Symposiums annuels sur les biais, la sensibilité, la diversité et l'identité dans le domaine de la sécurité nationale (2020 à aujourd'hui)
Gendarmerie royale du Canada (GRC)
Interne : « Stratégie d'équité, de diversité et d'inclusion » (2021)
Externe : Création du Bureau de collaboration, d'élaboration conjointe et de responsabilisation GRC-Autochtones (bureau de CERGA) afin d'établir des relations de collaboration avec les collectivités autochtones (2021)
Agence des services frontaliers du Canada (ASFC)
Interne : « Plan d'action sur l'équité en matière d'emploi, la diversité et l'inclusion 2021-2024 » (2021)
Externe : Processus de dotation ciblés pour des postes EX-01 et EX-02 visant les membres des groupes visés par l'équité en matière d'emploi (2021)
Service canadien du renseignement de sécurité (SCRS)
Interne : Nouvelle stratégie du SCRS en matière de diversité, d'équité et d'inclusion, assortie d'un plan d'action, publiés en 2022 et se basant sue les expériences et les recommandations des employés, plan provisoire de recrutement et de dotation en personnel (2022)
Externe : Mobilisation continue des intervenants tenant compte des considérations intersectionnelles et des points sensibles en matière d'équité (2022)
Centre de la sécurité des télécommunications Canada (CST)
Interne : Nouvelle stratégie du SCRS en matière de diversité, d'équité et d'inclusion, assortie d'un plan d'action, publiés en 2022 et se basant supérieures (2021)
Externe : Publication d'un cadre sur la diversité et l'inclusion comprenant des principes généraux, une stratégie et un plan d'action permanent d'équité
Forces armées canadiennes (FAC)
Interne : « Plan d'équité en matière d'emploi 2021-2026 des FAC » (2021)
Externe : Recrutement ciblé et priorité aux candidatures des membres des groupes visés par l'équité en emploi (2021)
Ministère de la Défense nationale (MDN)
Interne : « Outil d'optique axée sur la diversité et l'inclusion » pour compléter l'ACS+ en adoptant un processus normatif d'analyse des politiques, des processus, des produits de communication, des documents de recherche et d'autres initiatives (2021)
Externe : Séances avec des intervenants externes pour soutenir le travail du Secrétariat de lutte contre le racisme (2021)
Affaires mondiales Canada (AMC)
Interne : « Plan d'action sur la réconciliation avec les peuples autochtones » (2021)
Externe : Embauche d'un expert-conseil pour effectuer une analyse de l'environnement dans le contexte actuel et face aux défis liés à l'équité, à l'inclusion et au racisme systémique (2021)
Bureau du Conseil privé (BCP)
Interne : Plan d'équité en matière d'emploi, de diversité et d'inclusion (EEDI) pour 2020-2023 (2020)
Externe : Recours à des services de recrutement externes par l'intermédiaire de Black, Indigenous and People of Colour (BIPOC) Executives Search et des services de recherche de cadres d'Odgers Berndtson afin de maintenir un inventaire des membres qualifiés des groupes visés par l'équité en emploi (2021)
Transports Canada (TC)
Interne : Plan d'action pour la diversité et l'inclusion 2020-2023 (2020)
Externe : Mobilisation de groupes autochtones, noirs et 2ELGBTQIA
Diversité et inclusion au sein de l'effectif de la sécurité nationale
Femmes |
Autochtones |
|||||||
---|---|---|---|---|---|---|---|---|
DPA 2019* |
2019 |
DPA 2020-2021** |
2020-2021 |
DPA 2019 |
2019 |
DPA 2020-2021 |
2020-2021 |
|
SPC |
55,3 % |
61,1 % |
61,6 % |
59,1 % |
3,1 % |
4,2 % |
4 % |
4,8 % |
GRC |
48 % |
39,5 % |
S.O. |
S.O. |
4 % |
6,8 % |
S.O. |
S.O. |
ASFC |
44,4 % |
47,5 % |
43,5 % |
47,4 % |
4,1 % |
3,3 % |
3,8 % |
3,8 % |
SCRS |
47,3 % |
48,5 % |
S.O. |
49 % |
2,6 % |
2,3 % |
S.O. |
2 % |
CST |
36,7 % |
37,3 % |
S.O. |
36,8 % |
1,8 % |
2 % |
S.O. |
1,9 % |
FAC |
14,5 % |
15 % |
S.O. |
16,1 % |
3,4 % |
2,8 % |
S.O. |
3,4 % |
MDN |
39,5 % |
40 % |
44,3 % |
41,3 % |
2,6 % |
3,1 % |
4,1 % |
3,5 % |
AMC |
57,6 % |
55,3 % |
55,9 % |
56,3 % |
3,1 % |
4,6 % |
3,5 % |
7 % |
BCP |
52,2 % |
57 % |
53,1 % |
53,6 % |
1,8 % |
2,9 % |
3,3 % |
3,6 % |
CIET |
47,3 % |
68 % |
S.O. |
53,6 % |
2,6 % |
5 % |
S.O. |
1,9 % |
TC |
42 % |
46,7 % |
S.O. |
45,7 % |
3 % |
3,5 % |
S.O. |
3,2 % |
*DPA - La disponibilité au sein de la population active
**Les données de 2019 sont extraites du rapport du CPSNR de 2019 (à l'exception des données de TC). Pour les données de 2020-21 (et les données de TC pour 2019), les sources comprennent les informations disponibles sur les sites Web individuels, les rapports annuels, les données internes des RH, ainsi que le rapport sur l'équité en matière d'emploi dans la fonction publique du Canada pour l'exercice 2020-2021. Veuillez noter que les données sur le pourcentage global de la GRC ne sont pas disponibles pour 2020-21. De plus, la DPA pour 2020-21 n'est pas disponible. La DPA pour 2020-21 est basée sur les estimations les plus récentes de la disponibilité de la main-d'œuvre dans les ministères (Recensement de 2016 et Enquête sur l'incapacité de 2017). Veuillez également noter que les données de TC pour 2020-21 sont également indisponibles.
Membres des minorités visibles |
Personnes en situation de handicap |
|||||||
---|---|---|---|---|---|---|---|---|
DPA* 2019 |
2019 |
DPA 2020-2021 |
2020-2021 |
DPA 2019 |
2019 |
DPA 2020-2021** |
2020-2021 |
|
SPC |
15.1% |
11% |
16.7% |
18.3% |
3.9% |
5.9% |
8.8% |
7.3% |
GRC |
18% |
12% |
n/a |
n/a |
5% |
2.4% |
n/a |
n/a |
ASFC |
11.9% |
14.7% |
15.6% |
18.7% |
4.4% |
3.4% |
9.4% |
4.2% |
SCRS |
18.5% |
16.5% |
n/a |
19% |
4.6% |
4.2% |
n/a |
5% |
CST |
21.5% |
11.4% |
n/a |
12.9% |
4.2% |
3.7% |
n/a |
3.9% |
FAC |
6% |
7.2% |
n/a |
9.6% |
n/a |
n/a |
n/a |
5.5% |
MDN |
8.7% |
7.8% |
11.8% |
10.5% |
4.6% |
5.4% |
9% |
5.6% |
AMC |
13.9% |
20.3% |
16.1% |
25.7% |
3.9% |
3.6% |
9.1% |
3.8% |
BCP |
12.7% |
13% |
16.8% |
19.9% |
4% |
3.4% |
8.7% |
3.8% |
CIET |
18.5% |
13% |
n/a |
21.1% |
4.6% |
n/a |
n/a |
4.6% |
TC |
17.5% |
15% |
n/a |
15.6% |
8.2% |
3.8% |
n/a |
3.5% |
*DPA - La disponibilité au sein de la population active
**Les données de 2019 sont extraites du rapport du CPSNR de 2019 (à l'exception des données de TC). Pour les données de 2020-21 (et les données de TC pour 2019), les sources comprennent les informations disponibles sur les sites Web individuels, les rapports annuels, les données internes des RH, ainsi que le rapport sur l'équité en matière d'emploi dans la fonction publique du Canada pour l'exercice 2020-2021. Veuillez noter que les données sur le pourcentage global de la GRC ne sont pas disponibles pour 2020-21. De plus, la DPA pour 2020-21 n'est pas disponible. La DPA pour 2020-21 est basée sur les estimations les plus récentes de la disponibilité de la main-d'œuvre dans les ministères (Recensement de 2016 et Enquête sur l'incapacité de 2017). Veuillez également noter que les données de TC pour 2020-21 sont également indisponibles.
Recherche sur l'opinion publique de 2021
- Plus de 1/3 des Canadiens sont préoccupés par le fait que :
- le personnel chargé de la sécurité nationale pourrait avoir des biais à l'égard de certains groupes (37 %)
- les mesures de sécurité pourraient porter atteinte aux droits de la personne et au droit à la vie privée (34 %)
- les politiques de sécurité nationale pourraient cibler injustement des personnes appartenant à certaines communautés (33 %)
- Les tendances:
- Âge :
- Les 18 à 29 ans étaient systématiquement plus préoccupés que les plus de 45 ans
- Handicap :
- 48 % des personnes interrogées en situation de handicap étaient plus préoccupées
- Race:
- 58 % répondants noirs et 53 % des répondants d'Asie de l'Est et du Sud-Est craignaient que les personnes travaillant dans le domaine de la sécurité nationale aient des préjugés
- Les personnes qui s'identifient comme de race blanche ont tendance à être moins préoccupées par ces enjeux
- Âge :
Annexe B : Réponse de l'ASFC au deuxième rapport du GCT-SN, « Comment les institutions de sécurité nationale et de renseignement collaborent avec les communautés racialisées »
Agence des services frontaliers du Canada
Présidente
Ottawa, Canada
K1A 0L8
Groupe consultatif sur la transparence de la sécurité nationale
18 août 2023
Bonjour,
Au nom de l'Agence des services frontaliers du Canada (ASFC), je tiens à vous remercier pour vos commentaires sur l'initiative de modernisation des services aux voyageurs de l'Agence. À mesure que nous progressons, l'ASFC est consciente de la nécessité de trouver un juste équilibre. Notre mandat, qui consiste à assurer la sécurité des Canadiens, est primordial, et nous ne pouvons pas divulguer de renseignements qui donneraient à des acteurs de menace un avantage pour contourner les mesures de sécurité aux frontières du Canada. L'adoption par l'Agence d'une approche de gestion des frontières plus efficiente et fondée sur les données sera plus efficace si les Canadiens sont convaincus que l'ASFC gère leurs données personnelles de manière sûre, responsable et sensible.
Afin de parvenir à un juste équilibre, l'Agence s'appuie de plusieurs façons sur les travaux du Groupe consultatif sur la transparence de la sécurité nationale (GCT-SN) pour moderniser ses efforts dans le cadre de l'initiative de modernisation des services aux voyageurs :
- L'ASFC a examiné les recommandations de votre rapport intitulé Comment les institutions de sécurité nationale et de renseignement collaborent avec les communautés racialisées. À la lumière de ces recommandations, l'ASFC s'efforce de renforcer ses relations avec les communautés autochtones et racialisées souvent touchées par nos programmes de gestion des frontières. L'Agence envisage également d'autres moyens de faire participer directement ces voix à sa gouvernance.
- Immédiatement après notre collaboration en janvier 2023, nous avons entrepris d'intégrer votre avis dans notre planification en matière de mobilisation modernisation des services aux voyageurs.
- L'Agence a examiné attentivement les autres points soulevés dans vos remarques écrites de mars 2023, et intègre ces conseils dans les prochaines phases de la modernisation des services aux voyageurs, qui comprendront des activités de mobilisation des intervenants, de sensibilisation du public et d'éducation.
Vous trouverez ci-joint un tableau indiquant les domaines des commentaires que vous avez formulés pour lesquels nous prenons déjà des mesures. Nous avons fait beaucoup de progrès, mais il y a encore des aspects de vos commentaires que nous devrons examiner dans l'avancement de l'initiative de modernisation des services aux voyageurs. Au fur et à mesure que nous poursuivons ces travaux, nous pourrions demander l'apport des membres du GCT-SN dans des domaines spécifiques qui bénéficieraient d'un examen indépendant.
Je tiens à réitérer nos remerciements pour votre soutien continu à nos efforts de transparence et de mobilisation au sein de l'ASFC et de manière plus générale, pour vos précieux conseils sur ces efforts dans l'ensemble de notre milieu de la sécurité nationale.
Cordialement,
Erin O'Gorman
Pièce jointe
Garantir la transparence, la protection des renseignements personnels et l'atténuation des biais dans le cadre de l'initiative de modernisation des services aux voyageurs : État d'avancement en date d'août 2023
Transparence :
Outre les activités de mobilisation externe prévues, y compris la publication de trois documents de consultation, les membres du GCT-SN estiment que l'ASFC n'atteindra véritablement ses objectifs de transparence que si elle échange de manière proactive avec les voyageurs, notamment des façons suivantes :
Expliquer la motivation derrière l'initiative de modernisation des services aux voyageurs :
Messages recommandés aux Canadiens : Grâce à des initiatives qui permettent aux voyageurs de choisir de lui donner accès à leurs renseignements personnels, l'ASFC a pu mettre en place d'autres formes de contrôle aux points d'entrée, qui se sont révélées essentielles pour faire face à l'augmentation du nombre de voyageurs, réduire leur temps d'attente et protéger l'intégrité des frontières. L'initiative de modernisation pour faire face à l'augmentation du nombre de voyageurs, réduire leur temps d'attente et protéger l'intégrité des frontières. L'initiative de modernisation des services aux voyageurs est une nouvelle initiative volontaire dans le cadre de laquelle vous pouvez choisir de permettre à l'ASFC d'accéder à certains de vos renseignements personnels et de les conserver afin qu'elle puisse procéder à votre contrôle avant même que vous n'arriviez au point d'entrée. Nous nous engageons à protéger vos données personnelles lors de leur stockage et utilisation. Vous pouvez également opter pour un examen traditionnel en personne, tout en sachant que les délais pourraient être plus longs.
Mesures prises par l'ASFC
L'Agence intégrera ce message dans les communications actuelles sur la modernisation des services aux voyageurs et dans les documents s'adressant aux intervenants. Il sera notamment intégré aux messages clés, au contenu Web et aux plans de mobilisation des intervenants internes et externes.
Diffuser de l'information auprès des voyageurs :
Étant donné que l'initiative de modernisation des services aux voyageurs sera mise en œuvre par étapes au cours des prochaines années, l'ASFC pourrait fournir de l'information aux points d'entrée avant la mise en œuvre complète de l'initiative. Des dépliants, des affiches aux points d'entrée et des annonces sur les portails Internet des aéroports, par exemple, pourraient être utilisés pour annoncer l'initiative et fournir des renseignements clés (p. ex. le fait que l'utilisation de l'initiative de modernisation des services aux voyageurs est facultative, qu'elle fait appel à la reconnaissance faciale et que l'objectif est d'améliorer à la fois l'expérience des voyageurs à la frontière et l'efficacité de l'ASFC) et des liens Internet vers les documents de consultation.
Mesures prises par l'ASFC
L'Agence collabore avec des intervenants clés de l'industrie pour diffuser de l'information auprès des voyageurs par le biais de divers moyens (application mobile d'Air Canada, affiches sur la Déclaration faite à l'avance, etc.).
Faciliter l'accès à l'ensemble de l'information sur l'initiative de modernisation des services aux voyageurs :
En ce qui concerne les renseignements personnels utilisés dans le cadre de l'initiative de modernisation des services aux voyageurs, les documents de consultation doivent rendre « facilement accessibles, dans un langage clair, des renseignements sur les politiques et les pratiques [de l'ASFC] », pour reprendre les termes exacts utilisés par le gouvernement canadien dans sa proposition d'obligations en matière de transparence pour les organisations du secteur privé dans le projet de loi C-27, qui modifie la loi fédérale sur la protection des renseignements personnels dans le secteur privé.
Mesures prises par l'ASFC
L'Agence a commencé à intégrer un langage clair dans la page Web sur la modernisation des services aux voyageurs, qui permet au public d'accéder à la fois à de l'information sommaire et à des renseignements plus détaillés pour ceux qui souhaitent mieux comprendre les politiques et les procédures de l'ASFC.
Faire preuve de transparence en ce qui concerne les obligations juridiques de l'ASFC relatives à l'initiative de modernisation des services aux voyageurs :
Les consultations publiques doivent porter sur le critère juridique imposé au gouvernement du Canada en ce qui a trait à la restriction légitime des droits et libertés. Les consultations publiques doivent fournir les explications suivantes :
- les motifs d'intérêt public pour lesquels l'ASFC doit être en mesure de vérifier à l'avance, de manière précise et efficace, l'identité des voyageurs cherchant à entrer au Canada, au-delà de la simple explication selon laquelle cette vérification est fondamentale pour une gestion efficace des frontières et la protection des Canadiens (p. ex. les risques liés à l'autorisation de l'entrée de certains voyageurs, les risques liés à une identification erronée des voyageurs, la nécessité de libérer les agents des services frontaliers afin qu'ils s'occupent de tâches liées à des risques plus élevés, la nécessité d'utiliser la reconnaissance faciale à titre de seule technologie offrant un niveau acceptable d'exactitude de l'identification sans intervention d'un agent des services frontaliers) ainsi que la nécessité de recourir à la reconnaissance faciale en l'absence de rapport direct avec un agent des services frontaliers;
- la proportionnalité entre l'initiative de modernisation des services aux voyageurs et l'intérêt public (p. ex. les renseignements sur le voyageur ne seront pas utilisés à d'autres fins que la gestion de l'entrée aux frontières, les renseignements ne seront pas utilisés au-delà de ce qui est nécessaire à cette fin, les renseignements seront stockés en toute sécurité au Canada);
- l'efficacité des outils numériques proposés dans le cadre de l'initiative de modernisation des services aux voyageurs (p. ex. l'utilisation généralisée de la reconnaissance faciale par les applications et appareils à des fins d'identification sécurisée);
- l'existence d'une alternative en ce sens que les voyageurs ne seront jamais obligés d'utiliser les outils numériques de la modernisation des services aux voyageurs et auront toujours la possibilité d'opter pour la procédure d'entrée plus longue, en se présentant à un agent des services frontaliers, nécessaire à l'identification précise des voyageurs.
Mesures prises par l'ASFC
L'Agence s'efforcera de fournir aux Canadiens de l'information en langage clair sur la collecte et l'utilisation de leurs renseignements personnels tout au long du continuum des voyageurs. Dans le cadre de ces efforts, l'ASFC élabore un cadre complet de protection des renseignements personnels, qui comprend des évaluations globales des facteurs relatifs à la vie privée consolidant les fonctions existantes du programme des voyageurs et qui permettra l'intégration de nouvelles initiatives. Le cadre de gestion de la protection des renseignements personnels prendra en charge la protection des renseignements sur les voyageurs et utilisera des protocoles pour s'assurer que la collecte, le stockage, l'utilisation et la conservation des renseignements personnels sont faits dans le respect de la vie privée et conformément aux exigences législatives. Enfin, l'efficacité des outils numériques proposés dans le cadre de l'initiative de modernisation des services aux voyageurs sera soulignée lors de la mobilisation du public et des intervenants et les raisons pour lesquelles il est dans l'intérêt du public de moderniser les frontières du Canada seront expliquées.
Recueillir de la rétroaction :
Les Canadiens devraient avoir la possibilité de formuler des commentaires et de poser des questions par l'intermédiaire d'une personne-ressource dédiée. Par exemple, l'information sur la modernisation des services aux voyageurs devrait toujours comporter une option « Dites-nous ce que vous pensez » avec un lien direct vers une adresse courriel permettant d'envoyer à l'ASFC des commentaires et des questions.
Cette option « Dites-nous ce que vous pensez », dans un souci de transparence, devrait s'accompagner de l'engagement de l'ASFC à utiliser ces commentaires et à en rendre compte d'une manière ouverte et significative.
Mesures prises par l'ASFC
L'Agence a intégré une fonction d'aide dans l'outil numérique actuel qui permet aux utilisateurs de demander directement l'aide de l'ASFC. L'Agence produira un rapport « Ce que nous avons entendu » dans le cadre de ses efforts de mobilisation publique afin de résumer les commentaires reçus d'une manière ouverte et significative et d'assurer une plus grande transparence.
Dans le cadre de la collecte de commentaires, permettre l'auto-identification en fonction d'un groupe d'intérêt pertinent :
L'initiative de modernisation des services aux voyageurs n'offrira pas la même expérience à tous les groupes démographiques. Par exemple, certaines considérations religieuses pourraient ne pas être prises en compte dans une initiative faisant appel à la reconnaissance du visage complet. Il a également été prouvé que la race avait une incidence sur la précision de la reconnaissance faciale. Il sera essentiel de faire preuve de transparence par rapport aux différentes incidences que l'initiative de modernisation des services aux voyageurs peut imposer à divers groupes et à la manière dont elles seront atténuées pour atteindre pleinement les objectifs de transparence.
Mesures prises par l'ASFC
L'Agence utilise la biométrie dans ses bornes d'inspection primaire dans les aéroports depuis 2017 et, en nous basant sur cette expérience, nous poursuivons l'évaluation de l'incidence des attributs démographiques tels que le sexe, l'âge et le pays de naissance sur le rendement global de nos systèmes biométriques afin de garantir la précision de la reconnaissance faciale pour divers groupes.
Pour permettre la mise en place des capacités biométriques dans le cadre de la modernisation des services aux voyageurs, nous assurons aussi activement un suivi de la recherche et du développement dans le domaine de la biométrie afin de nous assurer que les nouvelles technologies n'introduisent pas d'obstacles systémiques ou d'inégalités, et nous veillons à ce que l'utilisation de la reconnaissance faciale aux frontières du Canada demeure facultative.
De plus, l'Agence étudie en quoi les technologies biométriques pourraient permettre de supprimer les obstacles actuels et de promouvoir l'égalité pour toutes les personnes qui se présentent aux frontières du Canada.
Protection des renseignements personnels :
S'assurer que la transparence est intrinsèquement liée à l'objectif du respect de la vie privée dans le cadre de l'initiative de modernisation des services aux voyageurs. La transparence de l'initiative de modernisation des services aux voyageurs est essentielle à la validité du consentement à fournir des renseignements personnels pour y adhérer, ce qui est un enjeu de la protection des renseignements personnels, et la transparence de la protection des renseignements personnels est essentielle à la responsabilité à cet égard. L'ASFC peut atteindre ces objectifs des façons qui suivent.
Aborder les questions liées à la protection des renseignements personnels dans un contexte de diversité :
Comme indiqué ci-dessus, l'utilisation de renseignements personnels envisagée dans l'initiative de modernisation des services aux voyageurs n'a pas la même incidence sur toutes les notions de la protection des renseignements personnels. Si certaines d'entre elles doivent ou peuvent être prises en compte, elles doivent l'être. La fonction « Dites-nous ce que vous pensez » devrait constituer une source supplémentaire d'opinions diverses et d'information sur les besoins variés en rapport avec la mise en œuvre de la modernisation des services aux voyageurs.
Mesures prises par l'ASFC
L'Agence se prépare à mobiliser diverses communautés, non seulement en ce qui a trait à la question de la protection des renseignements personnels, mais aussi la modernisation des services aux voyageurs dans son ensemble. Cela prendra la forme d'une recherche publique auprès des utilisateurs et de discussions animées en groupes.
Permettre le retrait du consentement :
Lorsque l'utilisation de renseignements personnels est facultative, sa légalité repose sur la validité du consentement. Sous la rubrique « Transparence » ci-dessus, nous mentionnons les exigences en matière de transparence pour assurer la validité du consentement à fournir des renseignements personnels. En vertu du droit à la vie privée, selon lequel la collecte de renseignements personnels est sujette au consentement, il doit être aussi facile de retirer ce consentement que de le donner. De plus, les personnes qui donnent leur consentement doivent être clairement informées de leur droit de le retirer à tout moment. Les renseignements personnels utilisés avec le consentement avant son retrait doivent être détruits, à moins qu'il ne soit encore possible de démontrer qu'ils demeurent nécessaires. Comme pour la fonction « Dites-nous ce que vous pensez », la procédure de retrait du consentement devrait comporter un lien permettant aux personnes qui le souhaitent de fournir des explications ou des commentaires.
Mesures prises par l'ASFC
Certains renseignements personnels doivent être fournis en vertu de la législation frontalière à des fins de vérification de l'identité du voyageur à la frontière. Pour les renseignements allant au-delà de ces derniers, l'Agence intègre le consentement dans l'initiative de modernisation des services aux voyageurs en tant qu'élément fondamental, comprenant le suivi des commentaires, le retrait du consentement et l'incidence de ces facteurs sur la conservation et l'utilisation des données personnelles.
Créer des mécanismes internes de surveillance de la protection des renseignements personnels :
L'ASFC dispose déjà d'un mécanisme de plainte. Sa portée devrait être clairement étendue aux plaintes relatives à la protection des renseignements personnels déposées dans le cadre de l'initiative de modernisation des services aux voyageurs.
Mesures prises par l'ASFC
Le mécanisme de plainte de l'Agence prendra en charge les plaintes liées à l'initiative de modernisation des services aux voyageurs et l'Agence utilisera cette information pour cerner les problèmes et modifier la prestation de ses services, comme elle le fait dans le cadre d'autres programmes.
L'Agence collabore également étroitement avec le Commissariat à la protection de la vie privée pour résoudre les plaintes des voyageurs concernant la protection des renseignements personnels, et cette collaboration s'étendrait aux outils utilisés dans le cadre de l'initiative de protection des renseignements personnels.
Le Parlement est également saisi d'un projet de loi visant à créer un nouvel organe de contrôle externe qui examinerait les plaintes déposées contre l'ASFC. Ce nouvel organe offrirait une autre voie d'examen indépendant pour les plaintes déposées contre l'ASFC, et constituerait un niveau supplémentaire de garantie publique.
Renseigner d'emblée les personnes sur leurs droits en matière de protection des renseignements personnels :
Lorsqu'elles donnent leur consentement, les personnes devraient recevoir de l'information sur leur droit à la vie privée, y compris sur le droit de demander l'accès à leurs renseignements personnels (en plus ou par le biais du mécanisme d'accès direct proposé ci-dessus); le droit de faire corriger leurs renseignements personnels s'ils ne sont pas exacts; le droit de retirer leur consentement et de faire supprimer leurs renseignements personnels à moins qu'ils ne soient encore nécessaires; et le droit de porter plainte auprès de l'ASFC en cas d'atteinte perçue à la vie privée et de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada si elles ne sont pas satisfaites de la réponse de l'ASFC. Une fonction permettant de poser des questions devrait être ajoutée sous forme de lien.
Mesures prises par l'ASFC
L'Agence convient que les personnes devraient être informées d'emblée de leurs droits en matière de protection des renseignements personnels, et tout outil numérique élaboré dans le cadre de la modernisation des services aux voyageurs comprendra une déclaration sur la protection des
renseignements personnels et la divulgation des modalités de collecte, d'utilisation et de conservation des données afin de renseigner les personnes sur leurs droits en matière de protection des renseignements personnels.
Les voyageurs peuvent présenter une demande de renseignements personnels et accéder aux données que l'ASFC conserve à leur sujet en vertu de la Loi sur l'accès à l'information. La Loi sur l'accès à l'information permet également aux personnes de faire corriger les renseignements que l'ASFC détient à leur sujet au moyen d'une demande de correction de dossier.
Atténuer les biais :
Voici les éléments considérés comme des pratiques exemplaires en ce qui a trait aux biais algorithmiques :
Garantir la transparence des algorithmes :
La transparence des algorithmes est principalement confrontée au défi de la complexité technologique (l'application de l'algorithme par la machine échappe souvent même à ses créateurs) et du secret nécessaire à l'efficacité. Les pratiques exemplaires incluent les suivantes :
- permettre à un organisme de réglementation ou au Conseil consultatif en matière d'intelligence artificielle d'accéder à la composition de l'algorithme, de manière confidentielle, ce qui crée une « certaine transparence », selon les termes de Craig Forcese;
- faire preuve d'ouverture en ce qui concerne les mesures de protection contre les biais (p. ex. comment l'ASFC s'est-elle assurée de ne pas introduire de biais dans ses algorithmes d'identification des voyageurs à risque élevé?)
Mesures prises par l'ASFC
L'Agence intègre des mesures de protection et des garde-fous pour la mise en œuvre, l'opérationnalisation, la surveillance et l'établissement de rapports pour les outils qui intègrent l'intelligence artificielle.
L'ASFC met l'accent sur la transparence des algorithmes par le biais de multiples canaux, y compris, sans toutefois s'y limiter :
- les principes et les lignes directrices en matière de données et de numérique;
- la transparence publique;
- les évaluations des répercussions;
- les vérifications et révisions;
- les organes de surveillance internes et externes qui fournissent l'examen par les pairs et des orientations;
- les efforts d'atténuation des biais;
- des conditions d'acquisition claires.
L'ASFC s'emploie activement à cerner et atténuer les biais dans les données et les analyses. L'Agence a mis sur pied une équipe chargée de l'éthique des données et des biais de données afin de mener des recherches et des analyses sur les pratiques exemplaires, d'élaborer des outils permettant de procéder à des essais et d'atténuer les biais, et de remplir la fonction interne de remise en question afin de s'assurer que les considérations éthiques sont au cœur des analyses.
L'ASFC a également créé un Bureau de la biométrie et de la gestion de l'identité pour orienter l'utilisation de la biométrie par l'Agence dans le cadre de la modernisation des services aux voyageurs. Le Bureau de la biométrie et de la gestion de l'identité jouera un rôle clé dans l'évaluation des capacités techniques et dans l'orientation de la conception, de la mise en œuvre et du fonctionnement des initiatives de l'Agence faisant appel à la biométrie, de manière à améliorer la transparence et à renforcer la confiance du public.
Produire des rapports sur l'incidence des algorithmes :
Il s'agit de rapports de fin d'année sur l'incidence des algorithmes afin de vérifier l'absence de biais.
Mesures prises par l'ASFC
L'ASFC veille à ce que tous les aspects de la modernisation des services aux voyageurs soient conformes à la Directive sur la prise de décisions automatisée du Conseil du Trésor et harmonisés avec celle-ci.
L'ASFC se conforme à toutes les politiques et directives actuelles et s'efforce d'être un chef de file en matière d'utilisation éthique des données. Dans le cadre de cet effort, l'ASFC se conforme aux exigences en matière de rapport sur les facteurs relatifs à la vie privée et de gouvernement ouvert (en l'absence de considérations liées à la sécurité ou lorsqu'il est possible d'atténuer les risques pour la sécurité).
En ce qui concerne les efforts d'harmonisation avec la Directive sur la prise de décisions automatisée du Conseil du Trésor déployés par l'ASFC, nous avons entamé les travaux suivants :
- L'une des cinq exigences de la directive est d'effectuer une évaluation de l'incidence algorithmique pour tout système automatisé développé ou acquis après le 1er avril 2020 à l'aide de l'outil fourni à cet effet. Le respect de la directive est l'un des objectifs fondamentaux de la stratégie de données 2.0 de l'ASFC (approuvée en février 2023).
- L'ASFC dispose d'une stratégie de conformité qui a été examinée et approuvée en mars 2023 par le Comité d'analyse et de données d'entreprise (CADE) de l'Agence, un comité de gouvernance composé de cadres supérieurs qui supervisent les efforts de l'Agence en matière de données. Ces efforts incluent la conformité à la directive du Secrétariat du Conseil du Trésor du Canada et l'harmonisation avec cette dernière de la modernisation des services aux voyageurs.
- La modernisation des services aux voyageurs a fait l'objet d'un exercice approfondi de socialisation et d'une évaluation des systèmes décisionnels automatisés du programme. Les équipes de projet responsables devront également rendre des comptes au sous-ministre adjoint par le biais de mécanismes de conformité de l'ensemble de l'Agence.
- L'ASFC étudie également la mise en œuvre de rapports systématiques aux organes de gouvernance internes et externes pour tous les secteurs de programme liés à l'intelligence artificielle et aux données.
Un programme de recherche a été élaboré sous l'autorité du Bureau de la biométrie et de la gestion de l'identité afin de comprendre l'incidence des attributs démographiques tels que le sexe, l'âge et le pays de naissance sur le rendement biométrique global.
Annexe C : Aperçu des réunions du GCT-SN d'octobre 2022 à mai 2023
Réunion en personne – 23 et 24 octobre 2022
Thème/sujet : Séances d'information et planification à long terme
Des représentants de divers ministères et organismes chargés de la sécurité nationale ont rencontré les membres du GCT-SN pour discuter de leurs mandats et responsabilités respectifs dans la protection de la sécurité et des intérêts du Canada et des Canadiens, des mécanismes de surveillance en place, ainsi que de leurs diverses initiatives de transparence.
Réunion virtuelle – 19 janvier 2023
Thème/sujet : Discussion avec l'ASFC sur son initiative de modernisation des services aux voyageurs
Le GCT-SN a accueilli l'Agence des services frontaliers du Canada (ASFC) pour discuter de son initiative de modernisation des services aux voyageurs, qui vise à doter les agents des services frontaliers des outils nécessaires pour repérer les voyageurs à risque élevé, tout en accroissant l'efficacité de l'expérience des voyageurs aux frontières.
Réunion virtuelle – 10 mars 2023
Thème/sujet : L'utilisation d'outils numériques et de nouvelles technologies pour la protection de la sécurité nationale – Première partie
Le GCT-SN a accueilli des invités du Diversity Institute et d'Open AI pour examiner des mesures qui peuvent aider les ministères et organismes chargés de la sécurité nationale à s'assurer qu'ils améliorent leurs connaissances des outils numériques en cette ère de changements technologiques rapides, ainsi que leur capacité à les utiliser.
Réunion virtuelle – 4 avril 2023
Thème/sujet : L'utilisation d'outils numériques et de nouvelles technologies pour la protection de la sécurité nationale – Deuxième partie
Des conférenciers de l'Association canadienne des libertés civiles ont rencontré les membres du GCT-SN afin d'examiner l'importance de la protection de la vie privée dans le domaine de la sécurité nationale et le recoupement entre le respect de la vie privée, les politiques et la loi.
Réunion en personne – 26 et 27 mai 2023
Thème/sujet : L'utilisation d'outils numériques et de nouvelles technologies pour la protection de la sécurité nationale – Troisième partie
Les membres du GCT-SN ont rencontré des membres de la société civile, du milieu universitaire et de certains ministères et organismes chargés de la sécurité nationale pour discuter du thème de cette année : Nouvelles technologies et outils numériques pour la protection de la sécurité nationale. Pendant deux jours, les membres du GCT-SN ont discuté avec les invités des modes d'utilisation de la technologie dans le domaine de la sécurité nationale et des problèmes possibles qui peuvent en découler. Ils ont également étudié comment intégrer la transparence dans le cadre de la sécurité nationale du Canada.
Liste des conférenciers qui ont participé aux réunions du GCT-SN :
- Alex Boutilier – journaliste à l'échelle nationale, Global News
- Wendy Cukier – fondatrice et directrice des études, Diversity Institute, directrice des études, Women Entrepreneurship Knowledge Hub, et responsable de la recherche, Centre des Compétences futures
- Sergent Dave Cobey – conseiller technique stratégique et membre du Programme national d'intégration des technologies de la GRC
- Nahib Eldebs – chef adjoint, Centre de la sécurité des télécommunications
- Craig Forcese – vice-président, Office de surveillance des activités en matière de sécurité nationale et de renseignement
- Benjamin Fung – chaire de recherche du Canada en exploration de données pour la cybersécurité
- Tricia Geddes – sous-ministre déléguée, Sécurité publique Canada
- Sébastien Aubertin Giguère – sous-ministre adjoint, Secteur de la sécurité et de la cybersécurité nationale
- Nicole Giles – directrice adjointe et sous-ministre adjointe principale, politiques et partenariat stratégique du SCRS
- Lisa-Marie Inman – directrice générale du Secrétariat, Comité des parlementaires sur la sécurité nationale et le renseignement
- Thomas Juneau – professeur agrégé, Université d'Ottawa
- David MacIntyre – conseiller principal en politiques, Sécurité publique Canada
- Christopher Martin – gestionnaire, Sécurité publique Canada
- Florian Martin-Bariteau – professeur agrégé de droit et chaire de recherche de l'Université en technologie et société, Université d'Ottawa; chercheur invité du Berkman-Klein Center for Internet and Society, Université Harvard
- L'honorable David McGuinty – président, Comité des parlementaires sur la sécurité nationale et le renseignement
- Brenda McPhail – directrice du projet Vie privée, technologie et surveillance de l'Association canadienne des libertés civiles (ACLC)
- Scott Millar – vice-président, Direction générale des politiques stratégiques, Agence des services frontaliers du Canada
- L'honorable Marco Mendicino – ministre, Sécurité publique Canada
- Erin O'Gorman – présidente, Agence des services frontaliers du Canada
- John Ommanney – vice-président associé, Direction générale des voyageurs, Agence des services frontaliers du Canada
- Christopher Parsons – conseiller principal en matière de technologies et de politiques, Commissaire à l'information et à la protection de la vie privée de l'Ontario (à titre individuel)
- Mark Penney – directeur exécutif intérimaire des opérations techniques
- Gaudys Sanclemente – chercheuse scientifique au laboratoire des sciences, des technologies et de la société de la Faculté latino-américaine de sciences sociales
- Sarah Shoker – chercheuse scientifique chez OpenAI
- Gregory Smolynec – sous-commissaire, Secteur des politiques et de la promotion du Commissariat à la protection de la vie privée du Canada
- Mercedes Stephenson – chef du bureau d'Ottawa, Global News
- Shawn Tupper – sous-ministre, Sécurité publique Canada
- Wesley Wark – chercheur principal, Centre pour l'innovation dans la gouvernance internationale
- David Murakami Wood – professeur en surveillance critique et études sur la sécurité à l'Université d'Ottawa
- Caroline Xavier – chef, Centre de la sécurité des télécommunications
- Lisa Young – professeure de sciences politiques à l'Université de Calgary
Annexe D : Cadres de transparence
La présente annexe donne un aperçu complet des initiatives en matière de transparence qui régissent le milieu de la sécurité nationale et du renseignement au Canada. Elle fournit également une comparaison des cadres de transparence des pays du Groupe des cinq. Elle se veut une ressource permettant aux Canadiens de se renseigner sur la transparence dans le cadre du thème du Groupe consultatif sur la transparence de la sécurité nationale, à savoir l'utilisation des outils numériques pour la protection de la sécurité nationale.
Le tableau A présente un résumé des principaux cadres et des principales politiques en matière de transparence au Canada. Cette section comprend de l'information sur des politiques, des lois et des mécanismes de gouvernance et fournie des liens vers ces documents.
Le tableau B porte sur les évaluations des facteurs relatifs à la vie privée (EFVP). L'EFVP est un processus de gestion des risques qui permet aux institutions de s'assurer qu'elles respectent les exigences législatives et de déterminer les incidences des programmes et des activités sur la protection des renseignements personnels.
Le tableau C donne des précisions sur la manière dont la transparence est intégrée dans les cadres de sécurité nationale des pays du Groupe des cinq.
Cadres régissant la sphère de la sécurité nationale
Projet de loi C-59 : Loi concernant des questions de sécurité nationaleNote de bas de page 68
Le projet de loi C-59 proposait d'apporter des modifications à la Loi sur la communication d'information ayant trait à la sécurité du Canada. Les modifications comprenaient une obligation relative à la tenue de dossier et l'obligation pour toutes les institutions divulgatrices de fournir annuellement des dossiers à l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR). L'OSSNR est désormais tenu de rendre compte annuellement des activités menées par les institutions divulgatrices en vertu de la Loi sur la communication d'information ayant trait à la sécurité du Canada. Ces rapports sont publiés et déposés au Parlement par le ministre de la Sécurité publique.
Projet de loi C-58 – Loi modifiant la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnelsNote de bas de page 69
L'objectif de cette loi est d'accroître la responsabilité et la
transparence des institutions de l'État afin de favoriser une société ouverte et démocratique et de permettre le débat public sur la conduite de ces institutions. Ce texte a modifié la Loi sur l'accès à l'information en donnant au responsable d'une institution gouvernementale, avec l'autorisation du commissaire à l'information, le pouvoir de refuser de donner suite à une demande de communication de documents pour divers motifs. Il permet au commissaire à l'information d'ordonner la divulgation de documents et de publier des rapports, et autorise les parties à exercer devant la Cour fédérale un recours en révision de l'affaire.
Projet de loi C-27 : Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur l'intelligence artificielle et les donnéesNote de bas de page 70
La Loi sur la protection de la vie privée des consommateurs a abrogé certaines parties de la Loi sur la protection des renseignements personnels et les documents électroniques et les a remplacées par un nouveau régime législatif sur la collecte, l'utilisation et la communication des renseignements personnels. Cela maintient, modernise et élargit les règles actuelles, et en impose de nouvelles aux organisations du secteur privé à l'égard de la protection des renseignements personnels.
La Loi sur l'intelligence artificielle et les données réglemente les échanges et le commerce internationaux et interprovinciaux en matière de systèmes d'intelligence artificielle. Elle a établi des exigences communes pour la conception, le développement et l'utilisation des systèmes d'intelligence artificielle, notamment des mesures visant à atténuer les risques de résultat biaisé.
Directive sur la prise de décisions automatiséeNote de bas de page 71
Cette directive a pour objet de veiller à ce que les systèmes décisionnels automatisés soient déployés d'une manière qui permet de réduire les risques pour les clients, les institutions fédérales et la société canadienne. Les systèmes décisionnels automatisés sont des programmes informatiques ou des algorithmes qui prennent des décisions ou formulent des prédictions en se basant sur des règles et des données prédéfinies, souvent sans supervision humaine directe. Les décisions prises par les institutions fédérales doivent pour cela être appuyées par des données et être conformes à l'équité procédurale et aux exigences d'application régulière de la loi. Le cas échéant, les données et les renseignements sur l'utilisation des systèmes décisionnels automatisés dans les institutions fédérales sont mis à la disposition du public et les incidences des algorithmes sur les décisions administratives sont évaluées afin d'atténuer les résultats négatifs dans toute la mesure du possible.
Tableau B : Évaluations des facteurs relatifs à la vie privée et verifications
La plate-forme Babel X est un logiciel américain qui permet aux utilisateurs de localiser et d'isoler de l'information publiquement accessible sur des chaînes en ligne. La GRC utilise Babel X pour analyser et organiser les sources de données dans le cadre de ses priorités nationales en matière d'application de la loi. Cette évaluation des facteurs relatifs à la vie privée a été entreprise par la GRC pour s'assurer qu'elle respecte les exigences que lui impose la Loi sur la protection des renseignements personnels.
Les résultats ont révélé que l'utilisation par la GRC de Babel X a une incidence modérée sur la vie privée. L'évaluation a recommandé à la GRC de continuer à veiller à ce que l'utilisation de Babel X demeure conforme à la Loi sur la protection des renseignements personnels.
Le système vidéo numérique de bordNote de bas de page 73
Le système vidéo numérique de bord (système ICDVS) est utilisé par les organismes d'application de la loi dans le cadre d'enquêtes pour capter des enregistrements audio-vidéo d'incidents et des interactions avec le public. La GRC a lancé une évaluation des facteurs relatifs à la vie privée afin de déterminer comment les renseignements personnels étaient recueillis et communiqués aux organismes fédéraux.
Les résultats de l'évaluation des facteurs relatifs à la vie privée ont révélé que les renseignements recueillis au moyen du système ICDVS sont conformes aux exigences législatives.
ClearviewNote de bas de page 74
Clearview AI est un système de reconnaissance faciale capable de comparer des images de personnes à une vaste base de données de photos accessibles au public. La technologie de l'entreprise permet aux organismes d'application de la loi, ainsi qu'à des organisations privées, d'identifier et de suivre des personnes en comparant des images à sa base de données. La vérification a été lancée par la GRC en raison de l'inquiétude croissante suscitée par les politiques de Clearview qui ne requièrent pas d'obtenir le consentement des particuliers pour la collecte et le partage de leurs images et renseignements personnels.
La vérification a permis de conclure que la collecte et la communication de renseignements personnels par Clearview par le biais de son application de reconnaissance faciale avaient lieu à des fins qu'une « personne raisonnable jugerait inappropriées. » Il a donc été recommandé que la GRC mette immédiatement fin à son utilisation de Clearview et que Clearview cesse d'offrir des services à des clients au Canada. Il a également été recommandé à Clearview de supprimer toutes les images et toutes les matrices faciales biométriques recueillies auprès d'individus au Canada figurant dans sa base de données.
Frontière mobileNote de bas de page 75
L'application Frontière mobile est utilisée pour fournir un outil de déclaration plus pratique et plus accessible aux voyageurs qui ne remplissent pas toutes les conditions d'entrée au Canada. Cette initiative réduit les délais de traitement et améliore les niveaux d'assurance de l'identité. Les personnes qui souhaitent utiliser cette technologie doivent en faire la demande en créant un profil de voyageur et en fournissant leurs renseignements personnels.
L'ASFC a procédé à une évaluation des incidences sur la vie privée afin d'évaluer le risque d'atteinte à la vie privée. L'évaluation a révélé que la technologie recueille des renseignements personnels d'une manière conforme à la Loi sur les douanes et à la Loi sur la protection des renseignements personnels.
Borne d'inspection primaireNote de bas de page 76
La technologie de la Borne d'inspection primaire permet aux voyageurs de présenter volontairement leur déclaration de douane et d'immigration à l'ASFC avant leur arrivée au Canada. Les renseignements recueillis sont versés dans la base de données qui se trouve sur le nuage Protégé B de l'ASFC. Ils y sont chiffrés, puis extraits lors de l'arrivée du voyageur au Canada. À l'arrivée du voyageur, sa déclaration est attestée, ce qui facilite le processus d'inspection de son document de voyage. Afin d'éviter d'éventuelles atteintes à la vie privée, une évaluation des incidences sur la vie privée a été réalisée et a révélé que la borne d'inspection primaire était conforme à la Loi sur la protection des renseignements personnels.
Tableau C : Évaluations des facteurs relatifs à la vie privée et vérifications
Royaume-Uni
La stratégie nationale du Royaume-Uni en matière de données vise à promouvoir l'ouverture et la responsabilité pour l'utilisation des donnéesNote de bas de page 77. Elle a pour objectif de garantir la transparence des pratiques en matière de données et des processus décisionnels en accroissant la visibilité de la collecte, de l'utilisation et du partage des données.
Le gouvernement britannique cherche à répondre aux questions en pleine évolution liées à la mesure de l'incidence et à la gouvernance efficace en examinant les processus de publication de données ouvertes et de prise de décisions connexes afin d'en assurer la cohérence.
La norme d'enregistrement algorithmique de transparence est un élément fondamental de la stratégie nationale en matière de donnéesNote de bas de page 78. La stratégie comporte un engagement à chercher un moyen efficace d'assurer davantage de transparence dans la prise de décisions à l'aide d'algorithmes dans le secteur public au moyen de plusieurs approches clés :
- Intelligibilité : la stratégie encourage le développement de systèmes d'intelligence artificielle capables de fournir des explications claires sur leurs décisions et leurs actions. Les algorithmes et les modèles d'intelligence artificielle doivent à cette fin être plus compréhensibles pour les utilisateurs, les organismes de réglementation et le grand public.
- Évaluation de l'incidence des algorithmes : la stratégie encourage l'utilisation d'évaluations de l'incidence des algorithmes afin de cerner les biais potentiels, les risques et les conséquences imprévues associés aux systèmes d'intelligence artificielle. Ces évaluations permettent de s'assurer que les technologies de l'intelligence artificielle ne perpétuent pas d'inégalités ou de pratiques discriminatoires existantes. Elles encouragent également les développeurs à concevoir des modèles d'intelligence artificielle transparents, équitables et exempts de biais.
- Transparence des données : la stratégie souligne l'importance de la transparence des pratiques en matière de données, notamment en ce qui concerne la provenance, la qualité et le traitement des données. La transparence des pratiques en matière de données contribue à la crédibilité des systèmes d'intelligence artificielle et permet aux utilisateurs de comprendre les sources et les caractéristiques des données utilisées pour la formation et la prise de décision.
- Cadres réglementaires : la stratégie suggère la mise en place de cadres réglementaires qui imposent des normes de transparence et de responsabilité aux systèmes d'intelligence artificielle. Des lignes directrices réglementaires peuvent fixer des normes pour la divulgation de renseignements sur les technologies d'intelligence artificielle, leurs processus de prise de décision et les biais potentiels.
En intégrant ces approches, la stratégie nationale du Royaume-Uni en matière d'intelligence artificielle vise à créer un écosystème dans lequel les technologies de l'intelligence artificielle sont développées, déployées et utilisées de manière transparente.
Australie
L'Australie fait partie du Partenariat pour un gouvernement ouvert, une initiative internationale dans le cadre de laquelle des gouvernements locaux et mondiaux et des organisations de la société civile travaillent ensemble pour promouvoir une gouvernance transparente, responsable et inclusiveNote de bas de page 79. À ce jour, l'Australie a publié deux plans d'action nationaux pour un gouvernement ouvert et travaille actuellement au troisième.
Son deuxième Plan d'action national pour un gouvernement ouvert 2018-2020 comprend huit engagements visant à améliorer l'accès à l'information, la participation civique, la responsabilité publique, ainsi que l'ouverture de la technologie et de l'innovationNote de bas de page 80.
Ces engagements incluent notamment l'engagement en faveur de l'accès aux données gouvernementales qui combine diverses initiatives visant à accroître l'accessibilité et l'utilisation des données gouvernementales ouvertesNote de bas de page 81. Il consiste notamment en l'amélioration de la fonctionnalité de la plate-forme data.gov.au (le dépôt de données ouvertes du gouvernement australien); en la création de GrantsConnect, un portail Web qui fournit un référentiel central d'information sur les subventions gouvernementales; et en l'accroissement de l'utilisation des pratiques de gestion de l'information numérique.
L'Australie a également mis en œuvre un régime pour les atteintes aux données qui doivent être signalées (Notifiable Data Breaches SchemeNote de bas de page 82) dans le cadre de sa Privacy Act. En vertu de ce régime, les personnes concernées et le Commissariat à l'information de l'Australie doivent être informés lorsqu'une entité soumise à la Privacy Act est victime d'une atteinte aux données touchant des renseignements personnels susceptible de causer un préjudice grave.
Nouvelle-Zélande
La Charte réglementant l'utilisation d'algorithmes en Aotearoa Nouvelle-Zélande (Algorithm Charter for Aotearoa New Zealand) repose sur l'engagement du gouvernement néo-zélandais à maintenir la transparence en expliquant comment les décisions sont éclairées par les algorithmesNote de bas de page 83. Elle exige notamment la documentation des algorithmes en anglais clair et la publication d'information sur la manière dont les données sont recueillies, sécurisées et stockées.
Elle aborde également le respect des engagements au titre des traités en intégrant les principes de la vision du monde Te Ao Māori au développement et l'utilisation d'algorithmes conformes aux principes du traité de WaitangiNote de bas de page 84. La charte engage les pouvoirs publics à garantir que les données sont adaptées à leur usage en comprenant leurs limites, en cernant et en gérant les biais, et en veillant à ce que la protection des renseignements personnels, l'éthique et les droits de la personne soient préservés au moyen d'examens réguliers par les pairs. Enfin, la charte maintient une surveillance humaine constante afin qu'une personne-ressource soit désignée pour les demandes de renseignements du public sur les algorithmes et pour expliquer le rôle des êtres humains dans les décisions fondées sur des algorithmes.
États-Unis
La Loi sur la liberté de l'information (Freedom of Information Act [FOIA]) accorde au public américain le droit d'accéder aux documents du gouvernement américainNote de bas de page 85. Il convient toutefois de noter que cette loi a été modifiée à de nombreuses reprises. La Government in the Sunshine Act de 1976 impose aux organismes gouvernementaux de rendre leurs réunions accessibles au publicNote de bas de page 86. En 1982, un décret de l'administration Reagan a créé de nouvelles règles de classification qui ont facilité la rétention d'information gouvernementale potentiellement sensible en réponse aux demandes présentées en vertu de la FOIA. En 1996, les modifications apportées à la Loi sur la liberté d'information électronique (Electronic Freedom of Information Act Amendments) ont exigé des organismes qu'ils rendent les documents disponibles en version électronique et qu'ils les distribuent numériquement sur demandeNote de bas de page 87. En 2007, l'administration Bush a signé la Loi sur le gouvernement ouvert (OPEN Government Act) qui a créé le bureau des services d'information du gouvernement (Office of Government Information ServicesNote de bas de page 88). En 2016, l'administration Obama a adopté la Loi améliorant la FOIA (FOIA Improvement Act) qui oblige les organismes fédéraux à créer un portail central en ligne permettant à quiconque de présenter une demande, et qui limite à 25 ans la capacité des organismes fédéraux à ne pas divulguer les documents classifiésNote de bas de page 89.
En ce qui concerne la transparence de l'intelligence artificielle, le Bureau de la politique sur les sciences et technologies de la Maison-Blanche a publié le projet de déclaration des droits relatifs à l'intelligence artificielle (Blueprint for an AI Bill of Rights) en octobre 2022Note de bas de page 90.
Le Bureau des sciences et de la technologie indique que les mesures de protection décrites dans le document devraient être appliquées à tous les systèmes automatisés afin d'assurer la responsabilité et l'utilisation responsable de l'intelligence artificielle par le gouvernement fédéral américain et la société civile. Le projet de déclaration énonce quatre grands principes qui servent de guide pour empêcher les systèmes d'intelligence artificielle de limiter les droits des résidents américainsNote de bas de page 91:
- Données : garantir la qualité, la fiabilité et la représentativité des sources et du traitement des données;
- Gouvernance : promouvoir la responsabilité en établissant des processus de gestion, de fonctionnement et de supervision de la mise en œuvre;
- Suivi : garantir la fiabilité et la pertinence dans le temps;
- Rendement : produire des résultats conformes aux objectifs du programme.
- Date de modification :