Groupe national de coordination contre la cybercriminalité
Résumé
Ce rapport examine les répercussions sur la vie privée associées à la collecte, l'utilisation, la divulgation et la conservation de renseignements personnels par la Gendarmerie royale du Canada (GRC) lors de l'opération et de l'administration du Groupe national de coordination contre la cybercriminalité (GNCC). L'évaluation répond aux exigences relatives à la réalisation d'une évaluation des facteurs relatifs à la vie privée (EFVP) en vertu de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor (SCT) et aux normes relatives à la réalisation d'une EFVP telles que décrites dans la Directive sur les pratiques relatives à la protection de la vie privée du SCT.
Aperçu
Le GNCC est un service national de police géré par la GRC. Elle coordonnera et harmonisera les renseignements pour les enquêtes cybercriminelles à tous les niveaux des services de police et favorisera l'efficacité des activités d'application de la loi des partenaires policiers nationaux et internationaux en lien avec la cybercriminalité, y compris l'arrestation et l'interruption des cybercriminels. Fondamentalement, le GNCC a pour objectif de réduire la menace, les incidences et la victimisation liées à la cybercriminalité au Canada et joue un rôle dans l'atteinte de la vision à long terme du gouvernement du Canada en matière de sécurité dans l'ère numérique.
Le budget de 2018 a réservé 137,5 millions de dollars sur cinq ans et 23 millions de dollars par la suite pour la création de le GNCC. Une importante partie de l'initiative du GNCC et la majorité de son financement servent à bâtir et à acquérir un nouveau système de gestion de l'information et de technologies de l'information (GI/TI) robuste pour lui permettre de réaliser les diverses facettes de son mandat. Ce système est appelé la Solution nationale en matière de cybercriminalité (SNC). Le GNCC comportera un site Web de signalement destiné au public, une solution interne de le GNCC et un portail pour la police et les partenaires (P3).
Site Web de signalement destiné au public
Le site Web de signalement destiné au public offrira un site Web convivial, où les victimes et les entreprises pourront signaler un large éventail de cybercrimes, y compris les cybercrimes proprement dits (les logiciels malveillants et le piratage, p. ex.) et ceux motivés par l'appât du gain (la cyberfraude, le vol d'identité, la contrefaçon et l'extorsion, p. ex.). Les éléments signalés seront ingérés dans la solution interne du GNCC, où de nombreux composants d'analyse, de coordination et d'harmonisation permettront d'enrichir les données. Ils seront ensuite partagés avec les services de police appropriésNote de bas de page 1 en fonction de la géolocalisation de la personne ayant effectué le signalement et des appareils et systèmes utilisés par le suspect. La GRC adoptera plusieurs mesures pour veiller à ce que les renseignements personnels et les renseignements commerciaux de nature délicate et non personnelle soient recueillis, divulgués, conservés et éliminés de façon appropriée.
La GRC a formé un partenariat avec les Services numériques canadiens (SNC) pour concevoir le site Web de signalement destiné au public en utilisant une approche de conception dynamique axée sur l'utilisateur ainsi qu'en réalisant des évaluations continues du site Web. La méthode dynamique de développement de logiciel comprend quatre étapes clés :
- 1 - la découverte (recherche);
- 2 - la version alpha (essais et prototypage);
- 3 - la version bêta (construction et itération auprès des utilisateurs);
- 4 - le lancement (utilisation opérationnelle complète).
Les étapes de la découverte et de la version alpha ont été achevées lors de l'exercice 2019-2020. Ces étapes comprenaient des essais et la mise au point de prototypes pour le nouveau site Web de signalement. La prochaine étape, la version bêta, donnera lieu à d'autres essais et à l'itération du prototype dans un environnement de production pour surveiller et évaluer le signalement des utilisateurs par des personnes et des entreprises victimes de cybercriminalité et de fraude. Les essais bêta devraient être entamés au début de 2020 et comprendront la collecte, l'administration et l'utilisation de plaintes provenant de victimes (y compris leurs renseignements personnels) dans un environnement contrôlé pour itérer et développer le prototype du site Web de signalement destiné au public. L'étape de la version bêta impliquera l'échange de renseignements conformément au consentement éclairé de l'utilisateur. Il se peut que les renseignements personnels soient partagés avec des partenaires nationaux d'application de la loi pour aviser les opérations d'application de la loi et les enquêtes cybercriminelles potentielles. Les renseignements non personnels (les renseignements regroupés ou les renseignements de cybermenace à gravité élevée, p. ex.) pourraient être partagés avec d'autres partenaires de sécurité, tels que le Centre canadien pour la cybersécurité, pour conseiller le gouvernement du Canada sur des mesures d'intervention pour la cybersécurité. Les renseignements non personnels et regroupés (c.-à-d. analyse sommaire des résultats des renseignements soumis) pourraient être partagés avec les SNC pour permettre le développement continu du prototype du site Web de signalement destiné au public.
La collecte et l'utilisation de renseignements personnels lors des essais bêta seront conformes à la collecte et à l'utilisation actuelles des renseignements personnels dans le Système de signalement du Centre antifraude du Canada (CAFC).
Solution interne du GNCC
La solution interne du GNCC comportera un dépôt de données centralisé qui contiendra des données d'enquêtes cybercriminelles, des incidents et des renseignements, des demandes de conservation des données, ainsi que des demandes d'entraide juridique pour faciliter la coordination des activités d'application de la loi intergouvernementales. Les enquêteurs canadiens sur la cybercriminalité de n'importe quelle province ou de n'importe quel territoire pourront découvrir s'ils enquêtent sur les mêmes suspects et pourront relier les renseignements provenant de partenaires nationaux et internationaux d'application de la loi.
La solution interne du GNCC stockera, recherchera et analysera les données et renseignements portant sur la cybercriminalité, telle que les noms ou les identifiants, les signatures de logiciels malveillants, les listes d'adresses IP malveillantes, les rapports de renvoi malveillants, les indices d'éléments compromettants, ainsi que les renseignements d'authentification des ordinateurs et des réseaux selon des formats structurés, non structurés et semi-structurés. Le GNCC aura des structures de gouvernance, des instruments de politique de soutien (les politiques opérationnelles établies et les dispositions d'échange de renseignements, p. ex.) et des protocoles techniques et de sécurité (le contrôle d'accès en fonction du rôle et le déploiement de l'authentification de sécurité à deux facteurs au besoin, p. ex.) pour gérer l'accès à la solution interne du GNCC et son dépôt de données centralisé.
Portail pour la police et les partenaires
Le portail pour la police et les partenaires (P3) sera offert aux partenaires des domaines de l'application de la loi et de la sécurité pour leur donner accès à la solution interne du GNCC et à son dépôt de données centralisé selon le contrôle d'accès en fonction du rôle, des requêtes, des recherches et des capacités d'échange de renseignements. Cela sera fondé sur des modalités d'accès rigoureuses et nécessitera une formation de l'utilisateur. De plus, il sera possible de vérifier l'identité des utilisateurs qui auront accédé au dépôt de données centralisé afin de confirmer que tous les accès ont été autorisés. La fonctionnalité offerte par l'entremise du P3 sera fondée sur le rôle de l'utilisateur, c'est-à-dire qu'il s'agira d'un contrôle d'accès en fonction du rôle.
Grâce au P3, les partenaires autorisés des domaines de l'application de la loi et de la sécurité auront la possibilité d'effectuer des requêtes, de consulter et de sélectionner des signalements publics (plaintes reçues par l'entremise du site Web de signalement destiné au public), en plus d'importer des incidents signalés par des victimes dans leur système de gestion des dossiers local pour faciliter les mesures d'application de la loi, c'est-à-dire en créant un incident criminel à l'échelle locale. Les autorités policières pourront seulement importer les plaintes de victimes associées à l'administration autorisée du service de police.
Les organismes d'application de la loi et les partenaires autorisés seront tenus responsables des renseignements fournis dans le GNCC, et le GNCC sera tenu responsable de l'établissement et de l'administration de l'accès des utilisateurs et des modalités.
Résumé des risques pour la protection de la vie privée
Selon l'évaluation actuelle, les risques d'atteinte à la vie privée découlant des activités du GNCC sont jugés comme étant modérés. Cependant, si les recommandations de la présente EFVP étaient entièrement adoptées, les risques seraient réduits à un niveau acceptable ou faible.
Voici certains des risques d'atteinte de la vie privée qui ont été cernés dans le cadre de l'EFVP :
- le risque d'une attaque technique contre la Solution nationale en matière de cybercriminalité du GNCC;
- le risque d'accès non autorisé aux données;
- le risque de corruption de la base de données;
- le risque de diffusion ultérieure des données par des tierces parties;
- le risque d'identification par inadvertance des personnes;
- le risque associé à la conservation à long terme des renseignements personnels.
Le GNCC élaborera et mettra en œuvre un plan d'action de gestion pour remédier à ces risques. Le plan d'action indiquera une période précise au cours de laquelle il faudra régler ou atténuer chaque risque et, dans la mesure du possible, nommera une personne ou un poste précis qui aura la responsabilité de prendre des mesures.
La protection de la vie privée est un pilier des opérations du GNCC. Tous les efforts seront déployés au sein des procédures opérationnelles et des politiques du GNCC pour veiller à ce que les avantages opérationnels soient proportionnels aux incidences sur la vie privée et pour aider à atteindre un équilibre entre le droit à la vie privée des individus et le besoin de recueillir des renseignements personnels pour appuyer les opérations, activités et priorités en lien avec l'application de la loi. Les renseignements recueillis par le GNCC seront utilisés à des fins autorisées seulement et seront sécurisés de façon proportionnelle à leur niveau de confidentialité.
La GRC mettra en œuvre des politiques, protocoles et régulations pour veiller à la protection et au traitement adéquat des renseignements personnels par le GNCC. Une analyse complète des obligations de la GRC en vertu de la Loi sur la protection des renseignements personnels quant à l'opération et à l'administration des activités de base du GNCC a été effectuée dans le cadre de cette EFVP.
- Date de modification :