A) Type de programme ou d'activité

Les renseignements personnels sont extraits et traités à partir d'appareils électroniques conformément aux autorisations judiciaires et filtrés selon les modalités de l'autorisation. L'information obtenue légalement n'est pas conservée par les unités criminalistiques numériques. Elle est remise aux enquêteurs, qui peuvent alors l'utiliser à des fins d'enquête et d'application de la loi dans un contexte criminel ou pénal. Par exemple, les décisions peuvent mener à des accusations ou à des sanctions criminelles, ou à une mesure de renvoi pour des raisons de sécurité nationale ou d'application de la loi.

Niveau de risque pour la vie privée : élevé

B) Type de renseignements personnels recueillis et contexte

Les renseignements personnels sont de nature délicate, y compris les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou alors le contexte entourant les renseignements personnels est particulièrement délicat.

Les Services de criminalistique numérique (SCN)

Niveau de risque pour la vie privée : élevé

C) Partenaires de l'activité ou du programme et l'implication du secteur privé

Les activités de criminalistique numérique de la GRC sont autorisées par la GRC lorsque des demandes de soutien à des régions du monde sont présentées par l'intermédiaire d'Affaires mondiales Canada (AMC). Les évaluations de déploiement sont effectuées en vertu d'une directive ministérielle. Il n'y a pas de restriction sur le partage des données ou des informations numériques acquises par le biais de l'analyse des Services de criminalistique numérique (SCN), mais toute l'information (y compris les renseignements personnels) extraite et traitée demeure avec le partenaire international.

Les SCN ne déterminent pas si des renseignements personnels canadiens ont été extraits. Le travail de criminalistique numérique est effectué strictement en soutien au partenaire international qui en fait la demande, avec l'autorisation judiciaire canadienne de l'organisme gouvernemental canadien approprié. Toute organisation privée ou internationale qui souhaite obtenir les services des SCN de la GRC doit obtenir une autorisation judiciaire et présenter une demande par l'intermédiaire d'une agence gouvernementale ou d'un service de police compétent.

Niveau de risque pour la vie privée : modéré

D) Durée du programme ou de l'activité

Programme ou activité à long terme

Niveau de risque pour la vie privée : modéré

E) Personnes concernées par le programme

Le programme n'utilise pas les renseignements personnels à des fins administratives externes.

Niveau de risque pour la vie privée : modéré

F) Technologie et vie privée

1. L'activité ou le programme nouveau ou ayant subi des modifications importantes comprend-il la mise en œuvre d'un nouveau système électronique ou l'utilisation d'un logiciel ou d'une d'application, y compris un collecticiel (ou logiciel de groupe), afin de créer, de recueillir ou de traiter des renseignements personnels à l'appui du programme ou de l'activité?

   Risque pour la vie privée : non

2. L'activité ou le programme nouveau ou ayant subi des modifications importantes nécessite-t-il la modification d'anciens systèmes des technologies de l'information?

   Risque pour la vie privée : non

3. L'activité ou le programme nouveau ou ayant subi des modifications importantes comprend-il la mise en œuvre de nouvelles technologies ou une ou plusieurs des activités suivantes :
   • Méthodes d'identification améliorées;

     Risque pour la vie privée : non

   • Surveillance;

     Risque pour la vie privée : non

   • Analyse automatisée des renseignements personnels, mise en correspondance des renseignements personnels et techniques de découverte de connaissances?

     Risque pour la vie privée : non

4. Niveau de risque pour la vie privée : faible

G) Transmission des renseignements personnels

L'information extraite par la GRC à l'aide d'outils d'accès criminalistique numérique n'est pas partagée ou transmise entre les groupes à l'interne. Une partie de l'information extraite sera communiquée aux enquêteurs conformément aux modalités d'une autorisation judiciaire. La transmission de ces données se fera par l'intermédiaire d'un réseau sécurisé ou par l'utilisation de dispositifs de stockage portables chiffrés, qui sont soumis à des règles et à des politiques strictes.

Niveau de risque pour la vie privée : faible

H) Risque de répercussions sur la personne ou l'employé en cas d'atteinte à la vie privée

Une atteinte à la vie privée pendant les activités des SCN pourrait causer un préjudice à la personne qui fait l'objet d'une enquête policière ou qui est accessoire à l'enquête. Divers types d'autorisations judiciaires sont accordés pour appuyer les efforts de saisie de données numériques des SCN. Ces autorisations définissent les informations que le tribunal a jugé appropriées d'extraire dans le cadre de l'enquête spécifique et la manière dont ces données numériques peuvent être extraites. Les appareils électroniques contiennent une myriade de données numériques (qui peuvent contenir des renseignements personnels). Les organismes d'application de la loi n'ont le droit de divulguer que les renseignements précisés dans le mandat.

Le risque d'atteinte à la vie privée est minime en vertu des mesures de sécurité mises en place par la GRC. Compte tenu de la nature des données saisies par l'intermédiaire des SCN, il est possible qu'une atteinte puisse causer un préjudice grave à la personne. La GRC et les unités divisionnaires des SCN reconnaissent la nécessité de maintenir l'intégrité des données saisies, non seulement à des fins de continuité et d'admissibilité devant les tribunaux, mais également pour réduire les répercussions potentielles sur la vie privée d'une personne. À cette fin, les Services de criminalistique numérique gère les renseignements extraits conformément aux politiques de la GRC et du gouvernement du Canada concernant les renseignements « Protégé B ».

Niveau de risque pour la vie privée : modéré

A) Type of program or activity

Personal information is extracted from electronic devices and processed in accordance with judicial authorizations. Information is filtered by the terms and conditions of the authorization. The legally obtained information is not retained by the digital forensics units. It is provided to the investigators and may be used for investigations and enforcement in a criminal context. For example, decisions can result in criminal charges, sanctions or removal orders for reasons of national security or criminal enforcement.

Level of risk to privacy: Elevated risk

B) Type of personal information involved and context

Sensitive personal information, including detailed profiles, allegations or suspicions, bodily samples and/or the context surrounding the personal information is particularly sensitive.

National Digital Forensics Program

Level of risk to privacy: Elevated risk

C) Program or activity partners and private sector involvement

RCMP digital forensics activities are authorized by the RCMP when support requests from international partners come through Global Affairs Canada. Deployment assessments are done under Ministerial Directive. There are no restrictions on sharing digital data/information acquired through Digital Forensics Services (DFS) analysis. Any information (including personal information) extracted and processed remains within the supported international partner.

DFS does not determine if Canadian personal information was extracted. RCMP Digital Forensics Examiner's work is conducted strictly to support the international partner requesting assistance. Everything is done with Canadian judicial authorization from the appropriate Canadian government agency. Private sector or international organizations wanting RCMP DFS services, require judicial authorization and must make the request through the proper government or police agency.

Level of risk to privacy: Moderate Risk

D) Duration of the program or activity

Long-term program or activity

Level of risk to privacy: Moderate Risk

E) Program population

The program does not use personal information for external administrative purposes.

Level of risk to privacy: Moderate Risk

F) Technology and privacy

1. Does the new or substantially modified program or activity involve implementation of a new electronic system or the use of a new application or software, including collaborative software (or groupware), to support the program or activity in terms of the creation, collection or handling of personal information?

   Risk to privacy: No

2. Does the new or substantially modified program or activity require any modifications to information technology legacy systems?

   Risk to privacy: No

3. Does the new or substantially modified program or activity involve implementation of new technologies or one or more of the following activities:
   • Enhanced identification methods;

     Risk to privacy: No

   • Surveillance;

     Risk to privacy: No

   • Automated personal information analysis, personal information matching and knowledge discovery techniques?

     Risk to privacy: No

4. Level of risk to privacy: Low risk

G) Personal information transmission

Information extracted with the RCMP using Digital Forensics Access tools are not shared or transmitted between groups internally. A portion of the extracted information will be shared with investigators in accordance with the terms and conditions of a judicial authorization. The transmission of that data will be done through secured network, or through the use of encrypted portable storage devices, which are subject to strict rules and policies.

Level of risk to privacy: Moderate risk

H) Potential risk that in the event of a privacy breach, there will be an impact on the individual or employee

A privacy breach during DFS operations could be damaging to the subject of a police investigation or an individual who is incidental to the investigation. Various types of judicial authorizations are granted to support the DFS' digital data seizure efforts. Authorizations define what the court has deemed appropriate information to extract for the investigation and how it can be extracted. Electronic devices contain countless amounts of digital data (which may contain personal information). Law enforcement is only entitled to disclose the information specified in the warrant.

The risk of a breach is minimal given the security measures put in place by the RCMP. Given the nature of the data extracted by DFS, a possible breach could result in serious injury to the individual. The RCMP and the divisional DFS units recognize the need to maintain the integrity of seized data, not only for continuity and admissibility in court, but also to minimize potential impacts to an individual's privacy. To that end, the National Digital Forensics Program manages the extracted information in accordance with RCMP and Government of Canada policies for Protected B information.

Level of risk to privacy: Moderate risk