Laboratoires de fentanyl : Conseils aux propriétaires et aux services de location

Contrairement aux laboratoires clandestins voués à d'autres drogues, ceux où se produit du fentanyl illicite sont souvent petits, en raison de l'extrême toxicité du produit. Les laboratoires clandestins se multiplient au Canada et on en trouve dans des maisons louées et des logements, dans des chambres de motel, dans des camions loués, dans des immeubles vacants, dans des granges et dans des remises de jardin.

Soyez à l'affut des indices d'un possible laboratoire de fentanyl :

• Poudre ou poussière en quantité inhabituelle sur les murs, les planchers, les comptoirs et les meubles
• Cognements répétitifs inhabituels qui pourraient trahir l'utilisation d'une presse à comprimés
• Odeurs de produits chimiques
• Réticence du locataire à laisser entrer le propriétaire pour inspecter les lieux
• Loyer payé comptant
• Caméras de surveillance
• Rideaux continuellement tirés
• Fonctionnement de ventilateurs à des heures indues

Ces laboratoires sont des bombes à retardement. L'air y est toxique et contaminé par de grandes quantités de fines particules. Les voisins – parfois des enfants, malheureusement – peuvent voir leur santé se détériorer gravement. Le lieu contaminé peut être considéré comme un danger pour l'environnement. La décontamination et la remise en l'état seront la responsabilité du propriétaire et ne seront pas remboursées par les assurances.

Comment protéger vos propriétés :

• Consultez le dossier de crédit des futurs locataires.
• Exigez des références et consultez-les.
• Vérifiez les lieux régulièrement.
• Restez à l'affut des signes et des indices.

Seuls des agents de l'application de la loi dûment formés et équipés pour leur protection personnelle devraient intervenir sur les lieux d'un laboratoire clandestin de fentanyl. Si vous soupçonnez la présence d'un laboratoire clandestin, quittez les lieux immédiatement. N'enquêtez pas. N'entrez pas. Communiquez avec votre service de police.

Missing persons

In any given year, between 70,000 and 80,000 people are reported missing to police in Canada. While most are found within seven days, missing persons cases can be extremely stressful for family and loved ones.

Missing persons cases are an operational priority for the RCMP. We've developed a national strategy to:

• demonstrate accountability
• develop strong partnerships with other agencies
• support families of missing persons
• increase public awareness

Personnes disparues

Chaque année, de 70 000 à 80 000 personnes sont portées disparues auprès des services de police du Canada. La majorité de ces personnes sont retrouvées dans les sept jours, mais il n'en reste pas moins qu'une disparition peut être extrêmement stressante pour la famille et les proches.

Les disparitions sont une priorité opérationnelle pour la GRC, qui a élaboré une stratégie nationale visant à :

• rendre des comptes;
• forger des partenariats solides avec d'autres organismes;
• soutenir les familles;
• sensibiliser la population.

Suivi de la vérification du Commissariat à la protection de la vie privée sur la sécurité des renseignements personnels

Rapport final

Avril 2016

Acronymes et abréviations

CIPC

Centre d'information de la police canadienne

CPVP

Commissariat à la protection de la vie privée du Canada

CSSPO

Centre de service des systèmes de la Police opérationnelle

DPI

Dirigeant principal de l'Information

GRC

Gendarmerie royale du Canada

LCJ

Loi sur le casier judiciaire

PAG

Plan d'action de la gestion

PE

Protocole d'entente

PVR

Plan de vérification axé sur les risques

SCICTR

Services canadiens d'identification criminelle en temps réel

SDDA

Sous-direction du développement des applications

SDSM

Sous-direction de la sécurité ministérielle

SIRP

Système d'incidents et de rapports de police

SIRPP

Système d'incidents et de rapports de police protégé

Sommaire

En tant que service de police national, la GRC détient une grande quantité de renseignements personnels dans ses bases de données opérationnelles, ses bases de données administratives, ses bases de données du personnel et ses dossiers physiques. Dans l'exécution de son mandat, la GRC est tenue par la loi de protéger, conserver et, le cas échéant, de supprimer ces renseignements. En 2011, le Commissariat à la protection de la vie privée du Canada (CPVP) a effectué une vérification pour examiner les politiques, les systèmes, les contrôles administratifs et les mesures de protection qu'utilise la GRC pour protéger les renseignements personnels contenus dans les bases de données du Centre d'information de la police canadienne (CIPC) et du Système d'incidents et de rapports de police (SIRP). La vérification a relevé des lacunes dans la gestion des renseignements personnels entreposés dans ces bases de données. Le CPVP a formulé six recommandations, dont cinq visaient le SIRP, le système de signalement d'incidents principal de la GRC. Plus précisément, la vérification a révélé que des renseignements personnels étaient conservés plus longtemps que nécessaire dans le SIRP, la capacité de surveiller les opérations des utilisateurs et de faire enquête était limitée, les comptes d'utilisateur du SIRP ne faisaient pas l'objet d'examens réguliers, il n'existait aucun processus d'examen pour assurer le respect des politiques et des procédures régissant l'utilisation du SIRP, et il n'existait aucun processus pour retirer le droit d'accès aux dossiers liés aux condamnations ayant fait l'objet d'une réhabilitation (on parle maintenant de suspension du casier). La sixième recommandation portait sur le besoin de signer des ententes officielles avec les services externes ayant accès au CIPC.

En avril 2014, le commissaire a approuvé une vérification de la sécurité des renseignements personnels dans le cadre du Plan de vérification axé sur les risques (PVR) pour 2014-2017. Les objectifs de la mission comprenaient un suivi pour évaluer les progrès réalisés en fonction des recommandations formulées dans le rapport du CPVP de 2011 et un examen des contrôles semblables régissant l'utilisation du Système d'incidents et de rapports de police protégé (SIRPP).

La présente vérification permet de conclure que la GRC a effectivement donné suite à la majorité des constatations et recommandations du CPVP. Cependant, la GRC peut faire davantage pour renforcer la sécurité des renseignements personnels contenus dans ses bases de données opérationnelles en améliorant les activités de surveillance et de contrôle de la conformité du SIRP et du SIRPP. La GRC devrait aussi revoir les procédures existantes relatives aux dossiers ayant fait l'objet d'une suspension du casier judiciaire (réhabilitation), en ce qui a trait au caviardage des dossiers physiques, pour s'assurer que les divisions utilisent un processus efficace qui répond aux exigences prévues par les lois fédérales pertinentes.

La réponse de la direction contenue dans le présent rapport témoigne de la détermination des cadres supérieurs à donner suite aux constatations et aux recommandations qui ressortent de la vérification. Un plan d'action détaillé sera élaboré. Une fois ce plan approuvé, la Vérification interne de la GRC en surveillera la mise en œuvre.

Réponse de la direction à la vérification

Services de police contractuels et autochtones

Les Services de police contractuels et autochtones souscrivent aux constatations et aux recommandations dans le cadre du suivi de la vérification du Commissariat à la protection de la vie privée sur la sécurité des renseignements personnels. Des mesures ont été prises pour évaluer les pratiques existantes visant à surveiller l'accès des utilisateurs au SIRP et le respect des politiques régissant l'utilisation du SIRP, et un plan d'action sera élaboré pour renforcer les mesures prises pour réduire et atténuer les risques en matière d'accès non autorisé et de non-conformité. Il s'agira peut-être d'examiner la mise en œuvre éventuelle de processus automatisés ou manuels à l'échelle nationale ou divisionnaire. Un plan d'action détaillé sera élaboré d'ici juin 2016 et fera état d'échéances et de jalons précis que devra respecter la GRC.

Les Services de police contractuels et autochtones appuient la recommandation visant le retrait en temps voulu de données du SIRP de façon à respecter la Loi sur la protection des renseignements personnels. Cette recommandation exige la collaboration du sous-commissaire aux Services de police spécialisés, du dirigeant principal de l'Information et du sous-commissaire à la Police fédérale, de qui relèvent les politiques et la conformité du SIRPP depuis 2016. Une réunion sera convoquée d'ici avril 2016 pour confirmer auprès des divers intervenants leur contribution à l'élaboration du plan d'action et à l'établissement d'un outil d'examen du journal de transactions semblable à ce qui existe pour le SIRP.

Byron Boucher, s-comm. intérimaire
Services de police contractuels et autochtones

Services de police spécialisés

En général, les Services de police spécialisés (SPS) approuvent les constatations et les recommandations dans le cadre du suivi de la vérification du Commissariat à la protection de la vie privée sur la sécurité des renseignements personnels. Des mesures ont été prises pour aider les Services de police contractuels et autochtones à évaluer les exigences techniques pour la mise en place d'un processus d'examen visant la conformité des utilisateurs avec les politiques et procédures régissant l'utilisation du SIRP. En outre, les SPS travailleront directement avec les représentants de la Police fédérale pour activer et maintenir dans le SIRPP les fonctions de suppression qui existent dans le SIRP. Enfin, les SPS ont commencé à évaluer les possibilités d'améliorer le processus actuel de caviardage des dossiers physiques. De façon générale, les SPS ont entamé l'évaluation des besoins, des coûts et des défis connexes relativement à l'élaboration d'un plan d'action détaillé.

Peter Henschel, s.-comm.
Services de police spécialisés

1. Contexte

En tant que service de police national, la GRC détient une grande quantité de renseignements personnels dans ses bases de données opérationnelles, ses bases de données administratives, ses bases de données du personnel et ses dossiers physiques. Dans l'exécution de son mandat, la GRC est tenue par la loi de protéger, conserver et, le cas échéant, de supprimer ces renseignements.

On entend par « renseignements personnels » tout renseignement factuel ou subjectif au sujet d'une personne identifiable. Il peut s'agir de renseignements sous forme numérique sauvegardés dans des bases de données ou des systèmes de gestion de l'information ou de renseignements sous forme physique figurant dans des fichiers ou des dossiers. À la GRC, une quantité importante de renseignements personnels recueillis dans le cadre d'activités policières est entreposée sous forme numérique dans les systèmes opérationnels suivants : le Centre d'information de la police canadienne (CIPC), le Système d'incidents et de rapports de police (SIRP) et le Système d'incidents et de rapports de police protégé (SIRPP). Le CIPC est exploité par la GRC pour le compte de la collectivité canadienne d'application de la loi. Le CIPC fournit de l'information sur les crimes et les criminels. Il s'agit du seul système d'information national mettant en contact les partenaires du système de justice pénale et de l'application de la loi au pays et à l'étranger. Le SIRP est le principal système de gestion des dossiers opérationnels utilisé par la GRC dans toutes les provinces sauf la Colombie-Britannique.^{Note de bas de page 1} Le SIRP sert à conserver la trace de tous les aspects d'une enquête policière, depuis le signalement de l'incident jusqu'à la conclusion définitive si l'affaire est portée devant les tribunaux. Il contient de l'information sur les gens qui ont été en contact avec la police en tant que suspects, victimes, ou témoins. Le SIRPP est la base de données principale utilisée pour le stockage, la recherche et la gestion de renseignements touchant les enquêtes criminelles relatives à la sécurité nationale. On y enregistre aussi, au besoin, le renseignement criminel classifié et d'autres informations portant sur des dossiers de nature délicate.

La protection des renseignements personnels à la GRC est une responsabilité collective qu'assument activement divers groupes. Au moment du suivi, le Centre de service des systèmes de la Police opérationnelle (CSSPO), qui relève des Services de police contractuels et autochtones (SPCA), était chargé des politiques et de la gestion de l'accès des utilisateurs du SIRP et du SIRPP. Relevant du Secteur du dirigeant principal de l'Information (DPI), la Sous-direction de la gestion de l'information (SDGI) donne des conseils et des directives sur la disposition de dossiers et la conservation de dossiers ayant une valeur archivistique. Enfin, le Centre d'information de la police canadienne (CIPC), au sein des Services de police spécialisés (SPS), est responsable de la gestion du système du CIPC.

En 2011, le Commissariat à la protection de la vie privée (CPVP) a effectué une vérification pour examiner les politiques, les systèmes, les contrôles administratifs et les mesures de protection qu'utilise la GRC pour protéger les renseignements personnels contenus dans les bases de données du CIPC et du SIRP. La vérification avait relevé des lacunes dans la gestion des renseignements personnels qui y étaient entreposés. Plus précisément, la GRC n'avait pas conclu de protocoles d'entente (PE) avec tous les services externes ayant accès au CIPC pour régir l'utilisation du système et la protection de renseignements personnels qui y étaient enregistrés. En ce qui a trait au SIRP, les problèmes suivants avaient été relevés : des renseignements personnels y étaient conservés plus longtemps que nécessaire, les comptes d'utilisateur ne faisaient pas l'objet d'examens réguliers, la capacité de surveiller les opérations des utilisateurs et de faire enquête était limitée, et il n'existait aucun processus d'examen pour assurer le respect des politiques et des procédures régissant l'utilisation de renseignements personnels.

En avril 2014, le commissaire a approuvé une vérification de la sécurité des renseignements personnels dans le cadre du Plan de vérification axé sur les risques (PVR) pour 2014-2017. Les objectifs de la mission comprenaient un suivi pour évaluer les progrès réalisés en fonction des recommandations formulées dans le rapport du CPVP de 2011 et un examen des contrôles semblables régissant l'utilisation du SIRPP.

2. Objectif, portée et démarche

2.1 Objectif

La vérification visait à déterminer si les processus mis en place pour protéger, conserver et supprimer les renseignements personnels détenus à des fins opérationnelles assurent le respect des délais prescrits, s'ils sont efficaces et s'ils sont conformes aux politiques établies.

2.2 Portée

La vérification consistait à faire un suivi des mesures prises en réponse à la vérification effectuée par le CPVP en 2011. La vérification du CPVP portait sur la sécurité des renseignements personnels contenus dans le CIPC et le SIRP, mais cette vérification visait aussi les contrôles mis en place par la GRC pour protéger les renseignements personnels versés dans le Système d'incidents et de rapports de police protégé (SIRPP).

La vérification a été effectuée en fonction de la définition de renseignements personnels et des exigences législatives relatives à leur protection énoncées à l'article 6 de la Loi sur la protection des renseignements personnels. La vérification portait sur les renseignements personnels conservés à des fins opérationnelles en format électronique et papier. La vérification ne visait pas à confirmer si les renseignements personnels détenus par la GRC étaient exacts ou complets, ni à évaluer l'incidence éventuelle de ces renseignements sur la prise de décisions par la direction.

2.3 Méthode

La planification de la vérification a pris fin en juillet 2015. Au cours de cette phase, l'équipe de vérificateurs a procédé à des entrevues, à une revue générale des processus, à l'examen des politiques, directives et procédures pertinentes et à l'analyse des résultats de vérifications antérieures.

Les critères et les procédés de vérification ont été élaborés en fonction des constatations de vérifications antérieures et des exigences relatives au traitement de renseignements personnels prévues par la Loi sur la protection des renseignements personnels, la Loi sur le casier judiciaire et les politiques de la GRC. L'objectif et les critères de vérification sont présentés à l'Annexe A.

Au cours de la phase d'examen, qui s'est terminée en novembre 2015, les vérificateurs ont eu recours à diverses techniques, dont la conduite d'entrevues, l'examen de documents et l'observation physique. À la fin de la phase, l'équipe de vérificateurs s'est réunie avec le personnel pour valider les constatations et a informé la haute direction.

2.4 Énoncé de conformité

La mission de vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en font foi les résultats du programme d'assurance et d'amélioration de la qualité.

3. Constatatoins

La Vérification de certaines bases de données opérationnelles de la GRC effectuée en 2011 par le Commissariat à la protection de la vie privée (CPVP) avait relevé des lacunes dans la gestion des renseignements personnels entreposés dans les bases de données opérationnelles de la GRC. Le CPVP a formulé six recommandations, dont cinq visaient le SIRP, le système de signalement d'incidents principal de la GRC. Plus précisément, la vérification a révélé que des renseignements personnels étaient conservés plus longtemps que nécessaire dans le SIRP, la capacité de surveiller les opérations des utilisateurs et de faire enquête était limitée, les comptes d'utilisateur du SIRP ne faisaient pas l'objet d'examens réguliers, il n'existait aucun processus d'examen pour assurer le respect des politiques et des procédures régissant l'utilisation du SIRP, et il n'existait aucun processus pour retirer le droit d'accès aux dossiers liés aux condamnations ayant fait l'objet d'une réhabilitation (on parle maintenant de suspension du casier). La sixième recommandation portait sur le besoin de signer des ententes officielles avec les services externes ayant accès au CIPC.

La direction a accepté les constatations de la vérification et les recommandations formulées, et s'est engagée à prendre des mesures immédiates pour corriger les problèmes soulevés par le CPVP. Nous nous attendions donc à voir une amélioration des pratiques de gérance visant la protection des renseignements personnels. Plus précisément, nous recherchions les résultats suivants :

• la signature d'ententes officielles avec tous les services ayant accès au système du CIPC;
• l'examen régulier du droit d'accès et de l'activité des utilisateurs des bases de données opérationnelles de la GRC;
• l'examen régulier des opérations d'utilisateurs internes et externes du SIRP pour assurer le respect des politiques et des procédures;
• l'isolement ou le retrait (élimination) de renseignements du SIRP tel que prescrit par la loi.

Nous avons constaté que la GRC a donné suite à cinq des six recommandations formulées dans le rapport de vérification du CPVP de 2011. La recommandation visant l'adoption par la GRC d'un processus d'examen fournissant l'assurance que tous les utilisateurs respectent les politiques et les procédures régissant l'utilisation des renseignements personnels enregistrés dans le SIRP n'a pas encore été mise en œuvre. Outre les recommandations découlant de la vérification du CPVP, nous avons relevé d'autres possibilités d'amélioration : renforcer l'examen régulier des comptes d'utilisateur du SIRP, étendre les améliorations du SIRP à d'autres bases de données opérationnelles et élaborer une stratégie plus efficace pour l'isolement de renseignements personnels dans les dossiers physiques.

3.1 Centre d'information de la police canadienne

Lors de sa vérification de certaines bases de données opérationnelles de la GRC en 2011, le CPVP a constaté que la GRC avait élaboré et mis en œuvre des politiques et des procédures pour protéger les renseignements personnels des Canadiennes et Canadiens qui sont sauvegardés et consultés dans le système du CIPC. Puisque des partenaires externes et d'autres organismes d'application de la loi accèdent au CIPC, la GRC avait établi des protocoles d'entente (PE) pour leur souligner les modalités d'utilisation, y compris les dispositions de protection des renseignements personnels. Le CPVP a constaté que la GRC n'avait pas établi de PE officiels avec environ 25 % des services de police qui ont accès au CIPC. Le CPVP a recommandé que le CIPC établisse un échéancier clair concernant l'établissement de PE comprenant des dispositions sur la protection des renseignements personnels et les modalités d'utilisation, avec tous les services de police.^{Note de bas de page 2} La GRC a répondu que le CIPC négociait activement avec les derniers services de police (25 %) qui n'avaient pas encore signé de PE et que tous les PE seraient signés au 31 mars 2012.

Au moment du suivi, tous les utilisateurs et organismes externes, sauf un service de police, avaient signé un PE conformément aux politiques et procédures établies. En ce qui a trait au PE qui n'avait pas été signé, les personnes interviewées ont indiqué que le service de police maintient que la législation provinciale l'empêche de signer un PE avec une entité fédérale. Le CIPC poursuit les discussions avec les cadres supérieurs en vue de conclure le PE. En attendant que le PE soit signé, le CIPC continue de partager la version actuelle de l'entente avec le service de police en cause afin de respecter son obligation de communiquer les attentes de la GRC, les modalités d'utilisation et les dispositions de protection des renseignements personnels.

Les PE conclus avec les utilisateurs externes sont renouvelés aux quatre ans, ce qui permet au CIPC de confirmer périodiquement si l'organisme a toujours besoin d'accéder au système et de faire des mises à jour en cas de modification des politiques ou des procédures. Nous avons examiné les modèles de PE utilisés par le CIPC pour confirmer qu'ils communiquent efficacement les attentes de la GRC relatives au traitement de renseignements personnels. Nous avons aussi vérifié que les PE sont renouvelés de façon continue.

En ce qui a trait aux utilisateurs internes de la GRC, la vérification visait à déterminer si les employés recevaient une formation appropriée relative à leurs responsabilités quant aux politiques et aux procédures régissant le CIPC et, plus précisément, les dispositions de protection des renseignements personnels. La GRC a élaboré deux cours obligatoires, qui sont offerts régulièrement : le Cours sur les fonctions de consultation et de transmission de messages narratifs (pour les utilisateurs qui ont accès au système en mode lecture seule) et le Cours de mise à jour du CIPC (pour les utilisateurs qui contribuent directement à la mise à jour et à la tenue de renseignements et de dossiers). Le Cours sur les fonctions de consultation et de transmission de messages narratifs est offert en ligne aux organismes du CIPC par l'entremise du Réseau canadien du savoir policier (RCSP) et aux utilisateurs de la GRC par l'intermédiaire du système de gestion de l'apprentissage AGORA. En 2012, un total de 940 personnes ont suivi le cours; en 2013, il y a eu 651 inscriptions. Selon les rapports annuels du CIPC, le Cours de mise à jour du CIPC est offert aux utilisateurs internes et externes; en 2012 et en 2013, un total de 202 et de 343 utilisateurs respectivement ont suivi le cours.

Notre examen a confirmé que le CIPC a établi des processus pour bien communiquer aux utilisateurs les attentes relatives à la protection des renseignements personnels. Le CIPC a donné suite de façon satisfaisante à la recommandation du CPVP visant l'établissement avec tous les services de PE contenant des dispositions sur la protection de renseignements personnels et les attentes à leur égard.

3.2 Système d'incidents et de rapports de police

Examen des droits d'accès et de la conformité à la politique

Lors de sa vérification de 2011, le CPVP a examiné les contrôles d'accès pour déterminer si les renseignements personnels contenus dans le SIRP étaient bien protégés contre les atteintes à la vie privée. Le CPVP a constaté que les droits d'accès n'étaient pas toujours mis à jour ou révoqués en temps opportun lorsque les utilisateurs changent d'emploi.^{Note de bas de page 3} Le CPVP a indiqué que malgré la politique de la GRC exigeant la révocation du droit d'accès d'un utilisateur s'il n'est plus nécessaire ou après quatorze mois d'inactivité, il y avait au moment de la vérification plus de 1 000 utilisateurs dont les comptes actifs n'avaient pas servi depuis quatorze mois ou plus.^{Note de bas de page 4}

Le CPVP a recommandé que la GRC examine régulièrement l'état des comptes d'utilisateur du SIRP et qu'elle retire l'accès s'il n'est plus nécessaire. La GRC a répondu qu'elle prendrait immédiatement des mesures pour corriger la situation et qu'elle examinerait ses pratiques actuelles de formation des employés chargés d'examiner les comptes d'utilisateur du SIRP.

Au moment du suivi, les demandes d'accès au SIRP et au SIRPP provenant de la GRC et d'organismes partenaires étaient acheminées au CSSPO par l'entremise des coordonnateurs divisionnaires de la gestion des dossiers. Après avoir confirmé que les approbations voulues ont été obtenues et que l'utilisateur possède les certifications nécessaires, le CSSPO recommande au groupe de l'infrastructure à clés publiques (ICP), du Secteur du DPI, d'attribuer le droit d'accès. S'il s'agit d'un organisme partenaire, le CSSPO doit vérifier qu'un PE figure dans la documentation fournie par le coordonnateur. De plus, le groupe de la conformité législative externe au sein du CSSPO examine les lois et les ententes applicables à l'organisme en cause en cas de conflit éventuel.

Nous avons constaté que les contrôles liés à l'attribution de droits d'accès sont solides et que le CSSPO examine régulièrement les comptes inactifs, conformément à la politique du SIRP. Le CSSPO utilise les rapports pour dresser régulièrement la liste d'utilisateurs dont les comptes sont inactifs et recommande la suppression des comptes, au besoin.

Nous avons constaté qu'un processus semblable existe pour la suppression de comptes d'utilisateur du SIRPP qui sont inactifs.

Le fait de mener des examens plus fréquents et de supprimer les comptes inactifs donne suite à la recommandation du CPVP, mais le risque qu'un utilisateur sans besoin légitime de consulter certains dossiers opérationnels puisse continuer de ce faire persiste. Si un employé continue d'utiliser son compte pour consulter sans autorisation des dossiers, le compte demeure actif et n'est donc pas supprimé. Il faut donc des processus rigoureux pour confirmer le départ d'un employé et revalider régulièrement les besoins en matière d'accès pour assurer la conformité.

En examinant régulièrement l'état des comptes et en supprimant les comptes inactifs, la GRC a effectivement donné suite à la constatation du CPVP que le fait de laisser les droits d'accès aux utilisateurs qui ne sont plus autorisés à consulter le SIRP augmente le risque de consultations non autorisées.^{Note de bas de page 5} Cependant, il existe d'autres possibilités de limiter l'accès au SIRP et au SIRPP aux personnes dont l'accès est nécessaire pour effectuer les tâches professionnelles.

Outre l'examen des contrôles d'accès, le CPVP a examiné les capacités de journalisation des transactions dans le SIRP permettant à la GRC de relever les abus éventuels. Le CPVP a constaté que le SIRP permet de faire le suivi des opérations des utilisateurs dans les journaux de transactions, y compris les documents examinés et les modifications apportées. Cependant, la GRC ne surveille pas activement les opérations des utilisateurs puisqu'elle n'a pas recours à une méthode efficace permettant de réunir et d'examiner les entrées des journaux. Le CPVP a recommandé que la GRC active l'outil d'examen des journaux de transactions. La GRC a accepté la recommandation du CPVP et s'est engagée à activer l'outil de d'examen des journaux de transactions.

Nous avons constaté que l'outil d'examen des journaux de transactions a été activé et que les officiers responsables des Enquêtes criminelles (OREC) dans les divisions s'en servent pour examiner les abus éventuels par les utilisateurs internes et externes. Nous avons aussi constaté que le protocole régissant l'utilisation de l'outil a évolué. Par le passé, il fallait obtenir l'approbation de l'agent de la sécurité ministérielle, mais on a depuis donné plus de pouvoirs et de latitude aux OREC pour autoriser l'utilisation de l'outil. Depuis la mise en œuvre de l'outil, le CSSPO a indiqué qu'il reçoit régulièrement quelques demandes par semaine.

La Sous-direction du développement des applications, au sein du Secteur du DPI, a indiqué qu'une fonction semblable permettant l'examen des journaux de transactions n'a pas été activée dans le SIRPP. La GRC ne dispose donc pas d'une méthode efficace de relever et d'évaluer les abus éventuels. Les quelque 2 500 utilisateurs du SIRPP ont un accès illimité à tous les dossiers qui s'y trouvent. Il y a un nombre plus restreint d'utilisateurs, mais l'incidence éventuelle d'une atteinte à la sécurité est beaucoup plus sérieuse, étant donné la nature des renseignements que contient la base de données.

La vérification effectuée par le CPVP visait aussi à déterminer si la GRC a pris des mesures pour veiller à ce que les 23 services de police partenaires gèrent les renseignements personnels contenus dans le SIRP conformément aux politiques et aux procédures applicables. Le CPVP a constaté que la GRC a signé des PE avec les services de police partenaires, lesquels énoncent les modalités d'utilisation, y compris des dispositions sur la protection des renseignements personnels. Il a confirmé que les PE comprennent des clauses permettant à la GRC d'examiner l'utilisation du système par les services partenaires; cependant, la GRC n'a entrepris qu'un nombre limité d'examens. Le CPVP a recommandé que la GRC adopte un processus d'examen régulier pour confirmer que tous les utilisateurs, y compris les services partenaires, respectent les politiques et les procédures régissant l'utilisation du système. De tels examens permettraient de confirmer l'utilisation et la diffusion acceptable des renseignements contenus dans le SIRP et viseraient les clauses sur la sécurité, les exigences en matière de formation, les procédures de signalement d'incidents et les protocoles établis pour s'assurer que les renseignements contenus dans le SIRP servent uniquement à des fins légitimes d'application de la loi.

Dans sa réponse initiale à la vérification du CPVP, la GRC a indiqué que dans le cadre de son plan de refonte de la gestion de l'information, elle s'assurera que les utilisateurs du SIRP, tant à l'interne qu'à l'externe, fassent l'objet d'examens réguliers. Faute de ressources, la Sous-direction de la gestion de l'information a communiqué une nouvelle stratégie en septembre 2014, expliquant que plutôt d'établir un processus d'examen officiel, elle renforcerait les initiatives de formation et de sensibilisation pour assurer le respect des politiques et procédures par les utilisateurs.

Lors du suivi, les représentants du DPI ont indiqué que trois projets sont en cours visant la formation et la sensibilisation en matière de protection des renseignements personnels. Il s'agit entre autres de produire et de distribuer des ressources vidéo, d'élaborer du matériel de formation et d'envoyer aux employés un questionnaire pour évaluer leur niveau de connaissances. En février 2016, ces projets n'avaient pas été terminés, mais on prévoit les terminer en 2016.

Les initiatives actuelles du DPI visant le respect des politiques et procédures se limitent à augmenter les connaissances et la sensibilisation des utilisateurs internes par l'entremise d'outils de formation et de communication. Cependant, la constatation et la recommandation du CPVP visaient précisément la surveillance et la conformité via l'adoption d'un processus d'examen officiel permettant d'assurer le respect des politiques et procédures par les utilisateurs internes et externes.

En l'absence d'un processus d'examen rigoureux, la GRC ne peut garantir que les utilisateurs respectent les conditions d'utilisation et les dispositions de protection des renseignements personnels contenus dans le SIRP. Cela crée un risque organisationnel pour la GRC, en tant que responsable du système et des renseignements versés dans le SIRP.

La GRC a fait des progrès en matière de surveillance et de suppression des comptes inactifs, mais il existe d'autres possibilités de prévenir le risque d'accès non autorisé ou non légitime. La GRC a activé l'outil d'examen des journaux de transactions afin d'analyser régulièrement les opérations des utilisateurs dans le SIRP; il faudrait créer une fonction semblable dans le SIRPP. Enfin, la GRC devrait songer à intégrer une fonction d'examen à son processus de surveillance et de respect des politiques du SIRP.

Gestion des suspensions du casier

Lors de sa vérification de 2011, le CPVP a examiné si la GRC respectait les périodes de conservation prescrites par les lois fédérales dans sa gestion des renseignements personnels contenus dans le SIRP. Le CPVP a constaté que la GRC avait élaboré des politiques et des procédures, en vertu des lois en vigueur, précisant pendant combien de temps peuvent être conservés les renseignements et quand ils doivent être retirés. Cependant, le CPVP a constaté que les politiques n'étaient pas respectés et la GRC ne supprimait pas les dossiers du SIRP, tel que requis. Les renseignements qui auraient donc dû être éliminés au terme de la période de conservation prévue (selon la date de la sentence la plus longue imposée par suite de l'enquête) demeuraient accessibles dans la base de données. Le CPVP a recommandé que la GRC élimine les données du SIRP qui doivent l'être selon les périodes de conservation établies de façon à respecter la Loi sur la protection des renseignements personnels. La GRC était d'accord et s'est engagée à prendre des mesures immédiates.

La GRC a donné suite à la recommandation en 2012, éliminant la majorité des dossiers visés avant la fin de l'année. En 2013, un problème technique lors d'une mise à jour du système a causé un arriéré de plus d'un million de dossiers; cependant, nous avons confirmé que la Sous-direction du développement des applications a réglé le problème et que l'arriéré a été éliminé. Nous avons aussi constaté que la Sous-direction du développement des applications a pris des mesures pour éviter que les mises à jour ultérieures ne perturbent le processus d'élimination.

La vérification du CPVP a effectivement donné lieu à des changements au niveau de la suppression des dossiers du SIRP, mais notre examen a révélé que malgré des périodes de conservation semblables, les dossiers du SIRPP ne sont pas éliminés en temps opportun. Le SIRPP utilise la même plateforme que le SIRP et offre donc les mêmes fonctions de base; cependant, nous avons constaté que la fonction d'élimination dans le SIRPP n'a pas été activée. La GRC risque donc de ne pas respecter les dispositions de la Loi sur la protection des renseignements personnels.

Dans le cadre de son examen des procédures de suppression, le CPVP a constaté que la GRC n'avait établi aucun processus pour éliminer du SIRP les dossiers ayant fait l'objet d'une réhabilitation et les dossiers liés à des condamnations injustifiées. Le CPVP a fait remarquer que la non-suppression en temps voulu de ces renseignements risque de nuire à la vie privée des personnes en cause et de limiter leurs possibilités d'emploi, de voyage et de bénévolat.

La réhabilitation, ou la suspension du casier, permet que soient gardés à part les casiers judiciaires des personnes qui ont été déclarées coupables d'une infraction criminelle, mais qui ont fini de purger leur peine et ont démontré qu'elles sont maintenant des citoyens respectueux de la loi.^{Note de bas de page 6} On utilise aussi le terme « isolement ».

Le CPVP a recommandé que la GRC instaure des processus pour supprimer l'accès aux dossiers liés aux infractions ayant fait l'objet d'une réhabilitation et aux condamnations injustifiées qui se trouvent dans la base de données du SIRP. La GRC a accepté de prendre les mesures nécessaires.

Nous voulions donc confirmer que la GRC isole les renseignements liés aux personnes réhabilitées et aux condamnations injustifiées dans le SIRP et qu'elle limite l'accès à de tels renseignements dans les fichiers et dossiers papier.

Nous avons constaté que la Sous-direction de la gestion de l'information a élaboré des procédures détaillées sur le traitement des dossiers ayant fait l'objet d'une réhabilitation dans le SIRP. La Commission des libérations conditionnelles du Canada avise la GRC des suspensions de casiers judiciaires et des condamnations injustifiées par l'entremise des Services canadiens d'identification criminelle en temps réel (SCICTR). Les SCICTR isolent alors les dossiers visés dans le système du CIPC et en informent les divisions et les services de police partenaires qui ont contribué des renseignements aux dossiers isolés. Il incombe à ces organisations, à leur tour, d'isoler les renseignements et les dossiers pertinents dans les autres bases de données (le SIRP et le SIRPP). Selon les personnes interviewées, les SCICTR n'informent pas toujours promptement les divisions des suspensions de casiers judiciaires. Les divisions reçoivent habituellement une série d'avis à la fois, parfois avec plusieurs mois de retard.

À la réception d'avis des SCICTR, les coordonnateurs divisionnaires de la gestion de l'information consultent le SIRP et mettent les dossiers visés dans une zone protégée du système. Après la vérification du CPVP, la GRC a créé des profils d'accès spéciaux permettant uniquement aux utilisateurs identifiés de consulter les renseignements et les dossiers ainsi isolés. De manière générale, selon nos essais et nos discussions avec la direction, nous avons constaté que la GRC a donné suite à la recommandation du CPVP visant l'isolement des renseignements dans le SIRP. Le CPVP n'a pas examiné les procédures établies pour l'isolement de renseignements dans les dossiers physiques, mais nous nous y sommes penchés dans le cadre de notre suivi. Dans les quatre divisions que nous avons visitées, nous avons observé une variété de pratiques, dont certaines sont beaucoup plus efficaces que d'autres.

Des fichiers et dossiers opérationnels physiques peuvent être conservés au quartier général, dans les bureaux divisionnaires de la GI et dans les détachements – mais dans la plupart des cas, ils sont gardés dans les détachements. Les bureaux divisionnaires de la GI examinent et isolent les dossiers conservés par la division pour leurs clients, dont les groupes fédéraux (délits commerciaux, gestion des cas graves, sécurité frontalière). Les bureaux divisionnaires de la GI tentent toujours de traiter les suspensions de casiers dès leur réception, mais en raison des nombreuses tâches administratives à effectuer et du manque de ressources, les bureaux ont élaboré diverses stratégies d'atténuation des risques. Ils ont recours à des pratiques différentes, mais le but est toujours le même : veiller à ce que les renseignements isolés soient gardés à part des autres renseignements, conformément à la Loi sur le casier judiciaire. Certains bureaux divisionnaires de la GI procèdent à des examens minutieux pour déterminer les renseignements à isoler, tandis que d'autres se contentent d'un examen superficiel ou ne consultent même pas le dossier. Dans une division, où il n'existe aucun processus d'examen détaillé, des dossiers complets contenant des renseignements avec des liens éventuels à des infractions ayant fait l'objet d'une réhabilitation sont marqués et classés à part. Ces dossiers ne sont examinés en détail pour supprimer les renseignements isolés que si une personne de l'extérieur du bureau divisionnaire de la GI demande de les consulter. Cette pratique satisfait à l'exigence prévue par la Loi sur le casier judiciaire, et selon la nature du dossier et les ressources disponibles, il peut s'agir d'une pratique exemplaire à l'appui de l'administration efficace de ce processus.

En ce qui a trait aux détachements, il n'y a aucune surveillance ou contrôle à l'échelle divisionnaire ou nationale pour garantir qu'ils prennent les mesures nécessaires pour isoler les renseignements liés à des dossiers faisant l'objet de suspensions de casiers. Les gestionnaires divisionnaires se préoccupent de la capacité des détachements à bien gérer le processus, étant donné les autres fonctions essentielles qui leur incombent. Puisque la majorité des dossiers sont conservés dans les détachements, la situation présente des risques importants.

La GRC a donné suite à la recommandation visant l'isolement de renseignements liés aux personnes réhabilitées et aux condamnations injustifiées qui se trouvent dans le SIRP, mais il existe des possibilités d'accélérer le processus et d'améliorer l'efficacité et l'exhaustivité des méthodes utilisées pour isoler des renseignements dans les fichiers et dossiers physiques.

4. Recommandations

1. Le sous-commissaire aux Services de police contractuels et autochtones évalue et améliore, le cas échéant, les pratiques établies pour surveiller les droits d'accès au SIRP et les risques liés aux consultations non autorisées.
2. Le sous-commissaire aux Services de police contractuels et autochtones, en collaboration avec le sous-commissaire aux Services de police spécialisés et le dirigeant principal de l'Information, adopte un processus d'examen régulier pour assurer le respect des politiques et procédures régissant l'utilisation du SIRP.
3. Le sous-commissaire aux Services de police spécialisés, en collaboration avec le dirigeant principal de l'Information et le sous-commissaire aux Services de police contractuels et autochtones, assure l'élimination voulue des dossiers du SIRPP aux fins de conformité avec les dispositions de la Loi sur la protection des renseignements personnels. Il faudrait aussi prendre en considération l'amélioration de la capacité de surveillance des opérations des utilisateurs du SIRPP en activant un outil d'examen des journaux de transactions.
4. Le sous-commissaire aux Services de police spécialisés, en collaboration avec le dirigeant principal de l'Information, évalue les procédures existantes liées aux dossiers ayant fait l'objet d'une suspension du casier (réhabilitation), en ce qui a trait au caviardage des dossiers physiques, pour s'assurer que les divisions utilisent une méthode efficace qui satisfait aux exigences prévues par les lois fédérales.

5. Conclusion

En général, la GRC a effectivement donné suite à la majorité des constatations et des recommandations du CPVP. Cependant, il existe des possibilités de renforcer la sécurité des renseignements personnels contenus dans les bases de données opérationnelles de la GRC en améliorant les activités de surveillance et de contrôle de la conformité du SIRP.

La GRC devrait également assurer l'élimination des dossiers du SIRPP en temps voulu, conformément à la Loi sur la protection des renseignements personnels. Il faudrait aussi prendre en considération l'amélioration de la capacité de surveillance des opérations des utilisateurs du SIRPP en activant un outil d'examen des journaux de transactions.

Enfin, en ce qui a trait à la gestion de renseignements et de dossiers physiques liés aux personnes réhabilitées et aux condamnations injustifiées, la GRC devrait songer à améliorer les procédures existantes afin d'établir une méthode uniforme et simplifiée qui satisfait aux exigences prévues par les lois fédérales pertinentes.

Annexe A – Objectif et critères de vérification

Objectif : Déterminer si les processus mis en place pour protéger, conserver et supprimer les renseignements personnels assurent le respect des délais prescrits, s'ils sont efficaces et s'ils sont conformes aux politiques établies.

• Critère 1 :
  La GRC a établi et mis en œuvre des procédures régissant les droits d'accès et l'utilisation des renseignements personnels.
• Critère 2 :
  La GRC a établi et mis en œuvre des procédures, en fonction des politiques existantes, pour retirer les renseignements personnels ou les rendre inaccessibles.
• Critère 3 :
  Les mesures nécessaires sont prises pour satisfaire aux exigences techniques visant à assurer la sécurité des renseignements personnels.

Notes de bas de page

Follow-up to the Office of the Privacy Commissioner’s Audit of the Security of Personal Information

Final Report

April 2016

Acronyms and abbreviations

ADB

Application Development Branch

CRA

Criminal Records Act

CCRTIS

Canadian Criminal Real Time Identification Services

CIO

Chief Information Officer

CPIC

Canadian Police Information Centre

DSB

Departmental Security Branch

MAP

Management Action Plan

MOU

Memorandums of Understanding

OPC

Office of the Privacy Commissioner of Canada

OSSC

Operational Systems Service Centre

PROS

Police Reporting and Occurrence System

RBAP

Risk-Based Audit Plan

RCMP

Royal Canadian Mounted Police

SPROS

Secure Police Reporting and Occurrence System

Executive summary

As Canada's national police force, the RCMP holds a vast array of personal information within its operational, administrative, and employee databases and within physical files. In executing its mandate, the RCMP has a legislative obligation to properly safeguard, maintain and in some cases, destroy this information. In 2011, the Office of the Privacy Commissioner (OPC) conducted an audit that examined the policies, systems, administrative controls and safeguards implemented by the RCMP for the safeguarding of personal information within the Canadian Police Information Centre (CPIC) and Police Reporting and Occurrence System (PROS) systems. The results of that audit indicated that the management of personal information held in operational databases needed improvement. The OPC audit contained six recommendations, five of which pertained to PROS, the RCMP's primary occurrence reporting system. With respect to PROS, the audit found that: personal information was being retained longer than required; the ability to review and investigate user actions was limited; there was insufficient monitoring of PROS user accounts; there was no review process to ensure users were complying with policies and procedures; and there was no process to remove access to records related to pardoned offences (now known as records suspensions). A sixth recommendation related to a lack of formal agreements for external agencies accessing the CPIC system.

In April 2014, the Commissioner approved an assurance engagement of the Security of Personal Information as part of the 2014-17 Risk-Based Audit Plan (RBAP). The engagement objective included a follow-up to assess the progress made in addressing the recommendations included in the 2011 Office of the Privacy Commissioner report, as well as an examination of similar controls relating to the Secure Police Reporting Occurrence System (SPROS).

The current audit found that the RCMP had effectively addressed the majority of the OPC's findings and recommendations. However, opportunities exist to further enhance the security of personal information maintained within RCMP operational databases by enhancing monitoring and compliance activities associated with the PROS and SPROS databases. Additionally, the RCMP should assess existing record suspension (pardon) procedures, with respect to the vetting of physical records, to ensure divisions are following an efficient approach that meets the requirements of relevant Federal Acts.

The management response included in this report demonstrates the commitment from senior management to address the audit findings and recommendations. A detailed management action plan is to be developed. Once approved, RCMP Internal Audit will monitor its implementation.

Management's response to the audit

Contract and Aboriginal Policing

Contract and Aboriginal Policing agrees with the findings and recommendations in the follow-up to the Office of the Privacy Commissioner's Audit of the Security of Personal Information. Work has begun to assess existing practices in place to monitor user access to PROS, as well as users' compliance to the terms and conditions governing the use of PROS and an action plan will be developed to further enhance appropriate measures that minimize and mitigate risks relating to inappropriate access and non-compliance. This may include examining automated and/or manual processes which could be implemented at the National or Divisional level. A detailed action plan will be available by June 2016 and will contain specific timelines and milestones to which the RCMP will adhere.

Contract and Aboriginal Policing agrees with the recommendation that records be appropriately purged from SPROS to be in compliance with the Privacy Act. This recommendation requires collaboration with the Deputy Commissioner, Special Policing Services, the Chief Information Officer and the Deputy Commissioner Federal Policing who assumed responsibility for SPROS policy and compliance in 2016. A meeting will be convened by April 2016 to ensure that all the participants are aware of the role that is required of them in order to develop a management action plan and to establish a transaction log review tool similar to that in PROS.

Byron Boucher, Acting D/Commr.
Contract and Aboriginal Policing

Special Policing Services

Overall, SPS agrees with the findings and recommendations in the follow-up to the Office of the Privacy Commissioners Audit of the Security of Personal Information. Work has begun to assist Contract Aboriginal Policing in assessing the technical requirements relating to the establishment of a review process to ensure users' compliance to the terms and conditions governing the use of PROS. In addition, SPS will work directly with officials in Federal Policing to ensure the same disposition features available in PROS are activated and maintained in SPROS. Finally, SPS has begun to assess opportunities for improvement within the current vetting of physical records process. Overall, SPS has initiated the assessment of the requirements, associated costs and other related challenges in the development of a detailed management action plan.

Peter Henschel, D/Commr.
Special Policing Services

1. Background

As Canada's national police force, the RCMP holds a vast array of personal information within its operational, administrative, and employee databases and within physical files. In executing its mandate, the RCMP has a legislative obligation to properly safeguard, maintain and in some cases, destroy this information.

Personal information includes factual or subjective information about an identifiable individual. This information can be in digital form within information management systems or databases, or in physical form within records or files. Within the RCMP, a significant amount of personal information collected through policing activities is housed in digital form in the following operational systems: the Canadian Police Information Centre (CPIC) system; the Police Reporting and Occurrence System (PROS); and the Secure Police Reporting Occurrence System (SPROS). CPIC is operated by the RCMP on behalf of the Canadian law enforcement community. CPIC provides information about crimes and the individuals who committed crimes. It is the only national information-sharing system that links criminal justice and law enforcement partners across Canada and internationally. PROS is the primary occurrence reporting and records management system used by the RCMP in all provinces except British Columbia^{Footnote 1}. It is used to record all aspects of an incident involving police, from the moment an occurrence is reported to final disposition if the investigation proceeds to a court process. PROS contains information on individuals who have come into contact with police, either as suspects, victims, or witnesses. SPROS is the primary database for the electronic storage, retrieval and management of information relating to national security criminal investigations. It is also used, on an as required basis, to store classified criminal intelligence and other information relating to sensitive cases.

Protecting personal information within the RCMP is a collective responsibility that is actively carried out by several units. At the time of our audit, the Operational Systems Service Centre (OSSC), reporting to Contract and Aboriginal Policing (CAP), was responsible for both policy and the management of users' access associated with PROS and SPROS. Under the Chief Information Officer (CIO) Sector, the Information Management Branch (IMB) provides advice and guidance on the disposition of records and the identification of records of archival value. Finally, the Canadian Police Information Centre (CPIC), within Specialized Policing Services (SPS) is responsible for the management of the CPIC system.

In 2011, the Office of the Privacy Commissioner (OPC) conducted an audit that examined the policies, systems, administrative controls and safeguards implemented by the RCMP for the safeguarding of personal information within the CPIC and PROS systems. The results of that audit indicated that the management of personal information held in operational databases needed improvement. Specifically, the audit reported that memorandums of understanding (MOUs) communicating conditions of use and privacy provisions were not in place with all external users of the CPIC system. In the case of PROS: personal information was being held longer than required; users' access was not being adequately monitored; there was limited ability to review a user's actions; and there was no review or oversight process to provide assurance that users were complying with the policies and procedures governing the use of personal information.

In April 2014, the Commissioner approved an assurance engagement of the Security of Personal Information as part of the 2014-17 Risk-Based Audit Plan (RBAP). The engagement objective included a follow-up to assess the progress made in addressing the recommendations included in the 2011 Office of the Privacy Commissioner report, as well as an examination of similar controls relating to the SPROS system.

2. Objectives, scope and methodology

2.1 Objective

The objective of the audit was to determine whether processes in place to safeguard, maintain and destroy personal information held for operational purposes are timely, effective and meet policy requirements.

2.2 Scope

The main focus of the audit was to follow-up on the actions taken in response to the 2011 audit conducted by the Office of the Privacy Commissioner (OPC). While the OPC audit focused on personal information held within CPIC and PROS, this engagement also included review of controls in place to safeguard personal information within the RCMP's Secure Police Occurrence Reporting System (SPROS).

The audit was conducted in consideration of section 6 of the Privacy Act which defines personal information and the legislative requirements for securing it. The audit considered personal information stored for operational purposes in both digital and paper formats. The audit did not assess the accuracy or completeness of the personal information held by the RCMP and the impact this information may have had on management's decision making.

2.3 Methodology

Planning for the audit was completed in July 2015. In this phase, the audit team conducted interviews, process walkthroughs and examined relevant policies, directives, procedures and results of previous audit work performed.

Sources used to develop audit criteria and detailed audit tests included prior audit findings and requirements for handling of personal information as defined within the Privacy Act, Criminal Records Act and RCMP policies. The audit objective and criteria are available in Appendix A.

The examination phase, which concluded in November 2015, employed various auditing techniques including interviews, documentation reviews and physical observation. Upon completion of the examination phase, the audit team held meetings to validate findings with personnel and debriefed senior management of the relevant findings.

2.4 Statement of conformance

The audit engagement conforms with the Internal Auditing Standards for the Government of Canada, as supported by the results of the quality assurance and improvement program

3. Audit findings

The 2011 Office of the Privacy Commissioner's (OPC) Audit of Selected RCMP Databases found that the management of personal information held in operational databases needed improvement. The OPC audit contained six recommendations, five of which pertained to PROS, the RCMP's primary occurrence reporting system. With respect to PROS, the audit found that: personal information was being retained longer than required; the ability to review and investigate user actions was limited; there was insufficient monitoring of PROS user accounts; there was no review process to ensure users were complying with policies and procedures; and there was no process to remove access to records related to pardoned offences (now known as records suspensions). A sixth recommendation related to a lack of formal agreements for external agencies accessing the CPIC system.

Management accepted the audit findings and recommendations and committed to taking immediate action to rectify all issues identified in the OPC audit. Accordingly, we expected to find that improvements had been made that strengthened the stewardship practices in place to protect personal information. Specifically, we expected that:

• Formal agreements would be in place with all entities accessing the CPIC system;
• Regular monitoring of user access and activity would be taking place on RCMP operational databases;
• Internal and external users of PROS would be subject to regular review to ensure compliance with policies and procedures;
• Information in PROS would be removed (purged) or sequestered in accordance with governing legislation.

Overall, we found that the RCMP had addressed five of the six recommendations from the OPC's 2011 audit. The recommendation to implement a review process to provide assurances that all users are complying with the policies and procedures governing the use of the personal information in PROS had not been put into place. In addition, over and above the recommendations stemming from the OPC audit, we found further opportunities exist to: improve the monitoring of PROS user accounts; extend the enhancements applied to PROS to other operational databases; and develop a more efficient and effective strategy for sequestering personal information in physical files.

3.1 CPI Centre

In its 2011 audit of select RCMP operational data bases, the OPC found that the RCMP had developed and implemented policies and procedures to protect the personal information of Canadians being stored and retrieved from the CPIC system. Given that CPIC is accessed by external partners and other law enforcement agencies, the RCMP had established Memorandums of Understanding (MOUs) to communicate conditions of use, including privacy provisions, to all external users. The OPC audit found that the RCMP did not have agreements in place with 25% of police agencies that were accessing CPIC. The OPC recommended that the RCMP set a clear timeframe for the establishment of MOUs with all external entities to ensure terms of use and privacy provisions were effectively communicated.^{Footnote 2} The RCMP responded that it was actively in negotiations with the remaining 25% of agencies and expected that all MOUs would be in place by March 31, 2012.

With the exception of one police force, at the time of this follow-up engagement, agreements were in place with all external agencies and users in accordance with its established policies and procedures. Regarding the one outstanding MOU, interviewees reported that the police force has maintained a position that its provincial legislation precludes it from signing an MOU with a federal entity. CPI Centre has continued to hold discussions at the senior and executive management level in an effort to obtain a signed MOU. Additionally, while the MOU remains unsigned, CPI Centre has continued to share the current version of the MOU with that police force in an effort to meet its obligation to communicate RCMP expectations, conditions of use and privacy provisions.

The MOUs serving external users are renewed on a four-year cycle, which allows CPI Centre to periodically validate whether an agency has a continued need for access to the system as well as the opportunity to update the MOU to address any changes in policy and procedures. We reviewed the MOU templates used by CPI Centre to confirm that they appropriately address the RCMP expectations regarding the treatment of personal information. We also validated that the MOUs are being renewed on an ongoing basis.

For internal RCMP users, the audit examined whether training was provided to employees to ensure they are informed of their responsibilities with respect to policies and procedures governing CPIC and specifically its privacy provisions. The RCMP has developed and regularly offers two mandatory courses, the Query and Narrative course (QN) for users with read-only access and the CPIC Maintenance course for users who update and maintain CPIC records and information. The Query and Narrative course is available online to all CPIC agencies through the Canadian Police Knowledge Network and in the AGORA learning and development system for RCMP users. In 2012, 940 individuals completed the course, while 651 completed it in 2013. Information obtained from CPIC annual reports identified that the CPIC Maintenance course is provided to both internal and external users and that in 2012 and 2013 respectively, 202 and 343 users completed the course.

Our examination determined that the CPI Centre has processes in place to ensure expectations regarding privacy are communicated to all users and that the OPC recommendation to establish MOUs that communicate privacy provisions and expectations with all entities has been satisfactorily addressed.

3.2 Police Reporting and Occurrence System

Monitoring access and compliance with policy

The 2011 OPC audit examined access controls to ensure the personal information contained within PROS was adequately protected from breaches to privacy. The OPC found that access rights were not always updated or disabled in a timely fashion as users moved between jobs^{Footnote 3}. They noted that while RCMP policy requires that a user's access be revoked when no longer required or after 14 months of inactivity, at the time of their audit there were in excess of 1000 user accounts that had not been accessed in 14 months or longer^{Footnote 4}.

The OPC recommended that the RCMP undertake regular reviews on the status of PROS user accounts and disable access when it is no longer required. The RCMP responded that it would immediately address the monitoring of users' access and would also examine its current training practices for employees who carry out the review of PROS user accounts.

At the time of our audit, requests for access to PROS and SPROS, by both RCMP and partner agencies, were being submitted to OSSC via the divisional records management coordinators. OSSC verifies that the required approvals have been obtained, and ensures that the users have obtained the required certifications prior to recommending that the Public Key Infrastructure (PKI) unit within the Chief Information Officer sector grants access. OSSC also ensures that when a partner agency is involved, an MOU is included with the documentation received from the coordinator. Additionally, the external legislative conformity unit within OSSC reviews the agency's applicable acts and agreements for any concerns that might need to be addressed.

We found that the controls associated with granting access are robust and that OSSC is regularly monitoring inactive PROS accounts, in accordance with the PROS policy. OSSC utilizes reports to identify inactive users on a regular basis and recommends their de-activation when required.

We found that a similar process was in place for de-activating SPROS user accounts which had no recorded activity.

While increased monitoring and removal of dormant accounts addresses the OPC recommendation, the risk remains that users who no longer have a requirement to access specific operational records may continue to do so. If an individual continues to use their account to inappropriately access records, it will never appear dormant and be removed. It is only through robust out-clearance processes, and processes to periodically reconfirm access requirements, that strict compliance can be assured.

While the OPC observation that user accounts that remain active beyond their requirement increase the risk of unauthorized access^{Footnote 5} has been partially addressed through increased monitoring and removal of dormant accounts, there are additional opportunities to ensure only users with a continued requirement have access to the PROS and SPROS systems.

In addition to monitoring access controls, the OPC also examined the transaction logging capabilities which would allow the RCMP to assess PROS user activity in the case of incidents of potential misuse. The OPC found that transaction logs within PROS tracked individual user's activities, including the records viewed and modifications made. However, user activity was not being actively monitored, as the process to do so was not efficient, given that a tool had not been implemented to enable quick extraction and analysis of the transaction log data. Accordingly, the OPC recommended that the RCMP enable the audit (transaction) log review tool. The RCMP accepted the OPC's recommendation and committed to enabling the transaction log review tool.

We found that the transaction log review tool had been implemented and is currently being used by Divisional Criminal Operations Officers (CROPS) to review potential incidents of misuse by internal and external users. We also noted that the protocol for using the tool had evolved. Originally, use of the review tool required the approval of the Departmental Security Officer, however more authority and discretion has subsequently been given to CROPS to direct the use of the tool. Since its implementation, OSSC reported that they have been steadily receiving a few requests per week.

The Application Development Branch, within the CIO sector, reported that a similar transaction review log function has not been implemented within SPROS. As a result the RCMP does not have an efficient tool to detect and assess potential misuse of this system. SPROS has a user base of approximately 2500 users. SPROS users have unrestricted access to any file in the system. While there are fewer users, given the nature of the information contained in this database, the impact of a breach could be much greater.

The OPC also examined whether the RCMP had measures in place to ensure the 23 police partner agencies manage the personal information within PROS in accordance with applicable policy and procedures. The OPC found that MOUs were in place between the RCMP and the police partner agencies that communicate conditions of use including privacy provisions. It noted that the MOUs include provisions for the RCMP to conduct reviews of partner agencies' use of the system; however, it found that only a limited number of such reviews had been undertaken by the RCMP. Accordingly, it recommended that the RCMP adopt a consistent and regular review process to ensure that all users, including partner agencies, are complying with terms and conditions of use. Such review would assist in ensuring acceptable use and sharing of the information contained in PROS, and would examine security provisions, training requirements, breach-reporting procedures and the protocols in place to ensure the information contained in PROS is used only for legitimate law enforcement purposes.

Originally, the RCMP's response to the OPC audit indicated that as part of its Information Management Renewal Plan it would ensure that both internal and external users of PROS would be subject to a periodic review process. Due to resourcing constraints, the Information Management Branch communicated a new strategy in September 2014, advising that in place of a formal review process, training and awareness initiatives would be enhanced to address the area of user compliance.

During the current audit, CIO representatives reported that three projects were underway that would provide training and awareness with respect to the protection of information. This work included producing and distributing video material, developing training material and releasing a questionnaire to gauge the level of awareness of employees, among other actions. As of February 2016, these projects had not been completed although completion is expected in 2016.

The CIO's current initiatives to address user compliance are limited to improving internal users' knowledge and awareness through training and communication tools; however, the original OPC finding and recommendation spoke of monitoring and compliance through a formal review process that would assess compliance of all users, both internal and external.

Without a robust monitoring regime, the RCMP does not have assurance that all users are complying with the terms, conditions, and privacy provisions that govern the use of personal information within PROS. This creates an organization risk to the RCMP as the system owner and custodian of the information within PROS.

While the RCMP has improved its' monitoring and removal of dormant accounts, opportunities exist to improve the monitoring of inappropriate or unnecessary access. The RCMP has successfully implemented a transaction log review tool to enable timely review of user transactions for PROS; however, similar functionality should be implemented within SPROS. Finally, the RCMP should re-examine its approach to oversight and compliance with PROS policies to include a review function.

Management of record suspensions

In its 2011 audit, the OPC examined whether the RCMP was managing personal information retained in PROS in compliance with information retention requirements stipulated in federal acts. The OPC found that the RCMP had developed policies and procedures, in accordance with applicable legislation, concerning how long information should be retained and when it should be disposed. However, the OPC found that the policies were not being followed and the RCMP was not purging records from PROS as required. As a result, information that should have been purged because it had reached its retention limit (as determined by the date of the longest sentence imposed as a result of an investigation) was still accessible. The OPC recommended that the RCMP purge PROS data that had reached established retention dates to be compliant with the Privacy Act. The RCMP accepted the recommendation, advising it would take immediate action.

The RCMP addressed this finding in 2012 and the majority of records to be removed had been successfully purged by the end of the year. While in 2013 there was an instance where a technical issue relating to a systems update resulted in the backlog of more than a million records, we were able to confirm that Applications Development Branch had effectively resolved the issue and the backlog had been purged. We also found that Applications Development Branch had taken measures to ensure that subsequent systems upgrades would not result in similar interruptions in the purging process.

Although the OPC audit resulted in changes with respect to purging of records in PROS, our examination determined that despite having similar record retention requirements, records are not being appropriately purged from SPROS. SPROS is built on the same platform as PROS and therefore has the same basic functionality; however, we found that the purge functionality within SPROS has not been enabled. As a result, the RCMP is at risk of being non-compliant with the provisions of the Privacy Act.

The OPC also found, while examining the purging process, that the RCMP had not yet established a process to remove pardoned offences and wrongful convictions from PROS. The OPC highlighted that if this information is not removed in a timely manner it could impact the privacy of individuals and hinder their employment opportunities, international travel, and volunteer activities.

A pardon, also referred to as a record suspension, allows individuals who were convicted of a criminal offence, but have completed their sentence and demonstrated they are law-abiding citizens, to have their criminal record kept separate and apart from other criminal records^{Footnote 6}. This is also referred to as sequestering.

The OPC recommended that the RCMP implement processes to remove access to pardoned offences and wrongful convictions and the RCMP agreed to do so.

Accordingly, we expected to find that the RCMP was sequestering pardoned offences and wrongful convictions within PROS; we also expected to find that access to information relating to pardoned offences and wrongful convictions in hard copy records and files was being restricted.

We found that the Information Management Branch had developed detailed procedures on processing pardons within PROS. Within the RCMP, Canadian Criminal Real Time Identification Services (CCRTIS) receives notification of pardons or wrongful convictions from the Parole Board of Canada. CCRTIS sequesters the appropriate records in the CPIC system upon receipt of this information; it then advises the RCMP Divisions and police partner agencies that contributed information to the CPIC sequestered records. It is the responsibilities of those organizations to sequester the relevant records and information within other databases, i.e. PROS and SPROS. Information obtained through interviews revealed that CCRTIS has not always been timely in advising the divisions regarding record suspensions. The divisions typically receive the notifications in batches, and delays of several months have been noted.

Upon notification by CCRTIS, divisional information management coordinators query PROS, and sequester the appropriate records into a secure area within the system. Following the OPC audit, the RCMP created specific user-access profiles which only allow the specified users to access the sequestered records and information. Overall, based on our testing and discussions with management, we found that the RCMP had addressed the OPC's finding and recommendation concerning the sequestering of information in PROS. While the OPC did not review processes in place to sequester information in physical files, this was included as part of our audit scope. At the four visited divisions, varying practices were observed, some considerably more efficient than others.

While hard copy operational records and files can be maintained at the headquarters, divisional IM, or detachment levels, the majority of these records are held by detachments. Divisional IM offices review and sequester any divisionally-held records for their clients including federal units such as commercial crime, major case management, and border security. Divisional IM offices strive to address record suspensions promptly upon receipt, however considering the amount of administration involved and resource limitations, differing mitigation strategies had been implemented by the divisional IM offices. While the practices differed, division IM offices were all striving to ensure that the sequestered information is held separate and apart from other information as stipulated in the Criminal Records Act. We observed that while some divisional IM offices completed a detailed file review to determine what information needed to be sequestered, others completed only a cursory review or had no review process in place. In one division, where no detailed review was being done, complete files containing information that may relate to pardoned offences were flagged and stored in a separate location. These files would only be reviewed in detail to remove sequestered information if access to the file was sought by someone outside of the divisional IM organization. This observed practice does meet the Criminal Records Act requirement, and depending on the nature of the file and the availability of resources, could be a best practice in the efficient administration of this process.

In the case of detachments, there is no oversight or monitoring at either the divisional or national level, to ensure they are taking sufficient action to comply with the requirements for sequestering information related to a record suspension. Divisional Managers expressed concerns regarding the capacity of detachments to effectively manage this process given their other core duties. As the majority of the records are held at the detachment level, this poses significant risk.

Although the RCMP has addressed the issue of sequestering pardoned offences and wrongful convictions within PROS, there are opportunities to improve the timeliness of the process, and to implement more complete and efficient approaches to the sequestering of hard copy records and files.

4. Recommendations

1. The Deputy Commissioner, Contract and Aboriginal Policing, should assess, and enhance as appropriate, the practices in place to monitor user access to PROS; and the monitoring of risks relating to inappropriate access to PROS.
2. The Deputy Commissioner, Contract and Aboriginal Policing in collaboration with the Deputy Commissioner, Special Policing Services and the Chief Information Officer should establish a periodic review process to ensure users' compliance to the terms and conditions governing the use of PROS.
3. The Deputy Commissioner, Special Policing Services in collaboration with the Chief Information Officer and the Deputy Commissioner, Contract and Aboriginal Policing, should ensure that records are being appropriately purged from SPROS to be in compliance with the Privacy Act. Consideration should also be given towards enhancing SPROS user-monitoring capability by enabling a transaction log review tool.
4. The Deputy Commissioner, Special Policing Services in collaboration with the Chief Information Officer should assess existing record suspension (pardon) procedures, with respect to the vetting of physical records, to ensure divisions are following an efficient approach that meets the requirements of relevant Federal Acts.

5. Conclusion

Overall, the RCMP has effectively addressed the majority of the OPC's findings and recommendations. However, opportunities exist to further enhance the security of personal information maintained within RCMP operational databases by enhancing monitoring and compliance activities associated with the PROS database.

In addition, the RCMP should ensure that records are being appropriately purged from SPROS, in compliance with the Privacy Act. Consideration should also be given to enabling monitoring of SPROS users' activities by implementing a transaction log review tool.

Finally, with respect to the management of physical records and information that pertains to pardoned offences and wrongful convictions, the RCMP should consider enhancing existing record suspension (pardon) procedures, to establish a consistent and streamlined approach that meets the requirements of relevant Federal Acts.

Appendix A – Audit objectives and criteria

Objective: To determine whether processes in place to safeguard, maintain and destroy personal information are timely, effective and meet policy requirements.

• Criterion 1:
  The RCMP has established and implemented procedures governing the access and use of personal information.
• Criterion 2:
  The RCMP has established and implemented procedures, consistent with existing policies, to remove or make inaccessible, personal information.
• Criterion 3:
  Ongoing technical requirements to maintain the security of personal information are being addressed.

Footnotes

Fentanyl seized in 2016

The RCMP is implementing a national investigative strategy that targets fentanyl importers, distributors, manufacturers and traffickers to disrupt, dismantle and prosecute international criminal groups.

British Columbia

• March
  • Two industrial pill presses, as well as a large number of pills laced with fentanyl were seized in two clandestine drug laboratories in West Kelowna. As a result, four people were arrested.
• April
  • Two people were arrested in Nanaimo following the seizure of approximately one ounce of suspected fentanyl.
  • West Shore RCMP also arrested two people for possession of drugs, including fentanyl.
• September
  • Two people were arrested and charged for drug trafficking following a joint investigation between the Kitimat and Prince Rupert RCMP. As a result of the arrest, police seized over 1,200 tablets containing heroin and fentanyl.
• October
  • Vancouver Island RCMP seized 1 kg of fentanyl during a routine traffic stop. The investigation is continuing.
• November
  • Package of Furanyl-fentanyl from China was intercepted at the Vancouver International Mail Centre.

Yukon

• April
  • As part of Project Green Manalishi, a lengthy and complex investigation targeting the trafficking of fentanyl and other drugs in the Northwest Territories, a total of 19 people have been charged.

Northwest Territories

• December
  • A person was charged with importing, trafficking and possession of an illegal substance after furanylfentanyl was seized at a Yellowknife residence.

Alberta

• June
  • 1 kg of carfentanil from China was seized by the Canada Border Services Agency in Vancouver. A man was arrested and charged by Calgary RCMP.

Manitoba

• May
  • As part of Project DECAL, Oakbank RCMP arrested and charged eight people for the producing illegal pills containing fentanyl.

Ontario

• September
  • RCMP Greater Toronto Area Serious and Organized Crime at Toronto Airport Detachment arrested a Brampton resident for illegally importing approximately 513 grams of powdered fentanyl.

Quebec

• December
  • Canada Border Services Agency officers at Montréal-Mirabel International Airport intercepted 209 grams of carfentanil in two packages from China. The carfentanil was turned over to the RCMP and the investigation is continuing.

Nova Scotia

• June
  • RCMP South Shore Integrated Street Crime Enforcement Unit charged a man for possession of fentanyl and other drugs following the search of a home in Bayswater.

Newfoundland and Labrador

• September
  • Eight members and two associates of the Vikings Motorcycle Club, an Outlaw Motorcycle Gang were arrested and charged as part of Project BOMBARD, including for trafficking fentanyl.

Saisies de Fentanyl en 2016

La GRC met en œuvre une stratégie d'enquête nationale visant les importateurs, distributeurs, producteurs et trafiquants de fentanyl afin de perturber, démanteler et poursuivre en justice les groupes criminels internationaux.

Colombie-Britannique

• Mars
• Deux presses à comprimés industrielles ainsi qu'une grande quantité de comprimés contenant du fentanyl ont été saisies dans deux laboratoires clandestins à West Kelowna. Quatre personnes ont été arrêtées dans cette affaire.
• Avril
• Deux personnes ont été arrêtées à Nanaimo après la saisie d'environ une once de ce qu'on croit être du fentanyl.
• La GRC de West Shore a également arrêté deux personnes pour possession de drogue, dont du fentanyl.
• Septembre
• Deux personnes ont été arrêtées et une accusée de trafic de drogue à la suite d'une enquête menée conjointement par les détachements de la GRC de Kitimat et Prince-Rupert. Ces arrestations se sont soldées par la saisie de plus de 1200 comprimés contenant de l'héroïne et du fentanyl.
• Octobre
• La GRC de l'île de Vancouver a saisi 1 kg de fentanyl lors d'un contrôle routier de routine. L'enquête se poursuit.
• Novembre
• Un colis contenant du furanyl-fentanyl en provenance de Chine a été intercepté au centre de traitement du courrier international de Vancouver.

Yukon

• Avril
• Dans le cadre du projet Green Manalishi, une enquête longue et complexe sur le trafic de fentanyl et d'autres drogues dans les Territoires du Nord-Ouest, 19 personnes ont été accusées.

Territoires du Nord-Ouest

• Décembre
• Une personne a été accusée d'importation, de trafic et de possession d'une substance illégale après la saisie de furanyl-fentanyl dans une résidence de Yellowknife.

Alberta

• Juin
• L'Agence des services frontaliers du Canada (ASFC) a saisi à Vancouver 1 kg de carfentanil en provenance de Chine. La GRC de Calgary a arrêté un homme et déposé des accusations contre lui.

Manitoba

• Mai
• Dans le cadre du projet DECAL, la GRC d'Oakbank a arrêté et déposé des accusations contre huit personnes pour production illégale de comprimés contenant du fentanyl.

Ontario

• Septembre
• Des membres de l'équipe de lutte contre les crimes graves et le crime organisé de la région du Grand Toronto du Détachement de la GRC à l'aéroport de Toronto ont arrêté un résident de Brampton pour importation illégale d'environ 513 grammes de poudre de fentanyl.

Québec

• Décembre
• Des employés de l'Agence des services frontaliers du Canada (ASFC) en poste à l'aéroport international de Mirabel, à Montréal ont intercepté 209 grammes de carfentanil dans deux colis en provenance de Chine. La substance a été confiée à la GRC et l'enquête se poursuit.

Nouvelle-Écosse

• Juin
• Le Groupe de répression des crimes de la GRC de South Shore a accusé un homme de possession de fentanyl et d'autres drogues à la suite d'une perquisition effectuée dans une résidence de Bayswater.

Terre-Neuve-et-Labrador

• Septembre
• Huit membres et deux associés du club de motards Vikings, une bande de motards criminalisés, ont été arrêtés et accusés entre autres de trafic de fentanyl dans le cadre du projet BOMBARD.

Qu'est-ce que le fentanyl?

Le fentanyl est un puissant analgésique obtenu sur ordonnance qui est environ 100 fois plus toxique que la morphine.

De nos jours, le fentanyl est importé et vendu illégalement, ce qui entraîne des conséquences tragiques.

Faits

• Le fentanyl est parfois mélangé à d'autres drogues, notamment à l'héroïne et à la cocaïne.
• Il est utilisé sous forme de comprimés qui ressemblent à des médicaments vendus sur ordonnance.
• Des surdoses se sont produites chez des personnes qui ne savaient même pas qu'elles avaient consommé du fentanyl.
• Le fentanyl est difficile à détecter, car il est sans odeur et sans goût.
• Il est souvent sous forme de poudre, de pilules, de liquide ou de buvards.
• Deux milligrammes de fentanyl pur, soit l'équivalent de quatre grains de sel, peuvent suffire à tuer un adulte moyen.
• L'exposition involontaire au fentanyl pur - le fait d'en toucher ou d'en inhaler - peut causer des méfaits graves, voire la mort.
• Le nombre de décès attribuables au fentanyl est à la hausse au Canada.

Voici d'autres noms utilisés pour le fentanyl

Apache, China Girl, China White, Dance Fever, Friend, Goodfella, Green beans, Jackpot, Murder 8, Shady 80s, TNT et Tango and Cash.

Signes et symptômes d'une surdose

• Somnolence grave
• Respiration lente et superficielle
• Bleuissement des lèvres et des ongles
• Absence de réaction de la personne
• Gargouillis ou ronflements
• Peau froide et moite
• Contraction des pupilles

Naloxone

La naloxone est un médicament qui peut inverser temporairement les effets d'une surdose d'opioïdes. Ses effets se dissipent après 30 à 90 minutes. Il est donc important d'obtenir d'autres soins médicaux.

Si vous soupçonnez qu'une personne fait une surdose

Composez immédiatement le 911.

Conseils pour discuter avec les jeunes

• Renseignez-les sur les méfaits et les conséquences.
• Discutez de façon calme tout en demeurant réceptif.
• Évitez de leur faire la leçon, de les menacer ou de les juger.
• Discutez de l'influence des pairs et de moyens de refuser la drogue.

Ressources

• Laboratoires de fentanyl : Conseils aux propriétaires et aux services de location
• Opioïdes
• Saisies de Fentanyl en 2016
• Centre de prévention du crime chez les jeunes de la GRC
• Alertes et bulletins du Réseau communautaire canadien d'épidémiologie des toxicomanies (RCCET)

What is fentanyl?

Fentanyl is a powerful prescription painkiller about 100 X more toxic than morphine.

It is now being imported and sold illegally with tragic consequences.

Facts

• Fentanyl has been mixed with other drugs such as heroin and cocaine.
• It has been used in tablets made to look like prescription drugs.
• Overdoses have occurred where individuals were not aware they were consuming fentanyl.
• It is odourless and tasteless, and therefore hard to detect.
• It is often found in powder, pill, liquid and blotter form.
• 2 milligrams of pure fentanyl (the size of about 4 grains of salt) is enough to kill the average adult.
• Unintentional exposure to pure fentanyl – touching or inhaling – can cause serious harm including death.
• Fentanyl-related deaths have been increasing in Canada.

Fentanyl nicknames include

Apache, China Girl, China White, Dance Fever, Friend, Goodfella, Green beans, Jackpot, Murder 8, Shady 80s, TNT, and Tango and Cash

Overdose signs and symptoms

• Severe sleepiness
• Slow, shallow breathing
• Lips and nails turn blue
• Person is unresponsive
• Gurgling sounds or snoring
• Cold and clammy skin
• Tiny pupils

Naloxone

Naloxone is a drug that can temporarily reverse the effects of an opioid overdose. Naloxone wears off within 30 to 90 minutes, so it is important to seek further medical attention.

If you suspect an overdose

Call 911 immediately

Tips for speaking with youth

• Educate them about the harms and consequences
• Maintain a calm, two-way conversation
• Try not to lecture, threaten, or judge them
• Discuss peer pressure and ways to say no to drugs

Resources

• Fentanyl drug labs: Awareness for landlords and rental services
• Opioids
• Fentanyl seized in 2016
• RCMP Centre for Youth Crime Prevention
• Canadian Community Epidemiology Network on Drug Use (CCENDU) alerts and bulletins

Horaire de la tournée du Carrousel

En 2017, le Carrousel de la GRC fera une tournée pancanadienne pour souligner le 150^e anniversaire du Canada. La formation se produira dans les dix provinces et dans un territoire. Le calendrier de la tournée sera publié au début de l'année 2017.

Le calendrier provisoire de tournée du Carrousel :

• 2017 : tournée pancanadienne – 150^e anniversaire du Canada
• 2018 : nord de l'Ontario et Colombie-Britannique
• 2019 : Québec et Alberta
• 2020 : provinces de l'Atlantique et Saskatchewan

De l'information à propos des emplacements, prix et billets sera publiée bientôt.

Tournée de 2017 du Carrousel

Date modified:

1969-12-31