Des vacances de rêve à un séjour en prison
10 novembre 2023 — Toronto (Ontario)
From dream vacation to prison nightmare
November 10, 2023 — Toronto, Ontario

Covert Access and Intercept Team privacy impact assessment

On this page

  1. Program overview
  2. Program or activity type
  3. Data type
  4. Program or activity partners
  5. Program duration
  6. Program population
  7. Technology and privacy
  8. Personal information transmission
  9. Impact on individuals in the event of a breach

Program overview

In order for the RCMP to carry out its mandate to enforce the law and investigate offences, the RCMP must conduct policing duties pursuant to section 18 of the RCMP Act by collecting evidence and personal information. Successful criminal investigations rely on relevant evidence that must be lawfully obtained to prove the elements required for each of the alleged offences. Broadly speaking, individuals who are involved in the most serious of crimes typically understand that if caught they face greater risk of incarceration and therefore make more sophisticated efforts to avoid detection. Nevertheless, as the use of digital devices has become increasingly incorporated into our day-to-day lives, those individuals are also more likely to leave a digital trail of evidence of their activities. Although police are sometimes able to collect the data sent, received, or stored on or by digital devices, protections such as end-to-end encryption are often used to render such data collection unreadable and therefore useless to investigators. As internet and telecommunication technologies have evolved, tools and techniques used by police have likewise advanced, which led to the establishment of the RCMP's Covert Access and Intercept Team in late 2016.

Search and seizure powers that permit police to collect evidence are long established practices recognised in both statute and common law as well as by the courts. The Covert Access and Intercept Team's mandate is to implement lawful technological techniques to evidence collection that respects the law for search and seizure of digital evidence.

The Covert Access and Intercept Team's primary role is to access computers and digital devices, under warrant without the owner's knowledge, where evidence of serious criminality is believed to be held and to seize that evidence in a manner compliant with the Canadian Charter of Rights and Freedoms.

The tools and techniques used may vary greatly and are dictated by the hardware, software, and network configurations of the targeted computer systems, tablets or smartphones. This class of tools is generally referred to as On Device Investigative Tools.

Information collected by the Covert Access and Intercept Team in support of investigations is described in the RCMP's Personal Information Bank PPU 005 - Operational Case Records, Treasury Board of Canada Secretariat Registration Number 000997, in Personal Information Bank PPU 015- Criminal Operational Intelligence Records (Exempt Bank), Treasury Board of Canada Secretariat Registration Number 000999 and in PPU 025 National Security Investigations Records.

Program or activity type

Description Risk level Rating
Program or activity that does not involve a decision about an identifiable individual Low
Administration of program or activity and services Medium
Compliance or regulatory investigations and enforcement High
Criminal investigation and enforcement or national security Very high Option selected

Data type

Description Risk level Rating
Only personal information, with no contextual sensitivities, collected directly from the individual or provided with the consent of the individual for disclosure under an authorized program Low
Personal information, with no contextual sensitivities after the time of collection, provided by the individual with consent to also use personal information held by another source Medium
Social insurance number, medical, financial, or other sensitive personal information or the context surrounding the personal information is sensitive; personal information of minors or of legally incompetent individuals or involving a representative acting on behalf of the individual High
Sensitive personal information, including detailed profiles, allegations or suspicions and bodily samples, or the context surrounding the personal information is particularly sensitive Very high Option selected

Program or activity partners

Description Risk level Rating
Within the institution (among one or more programs within the same institution) Low
With other government institutions Medium
With other institutions or a combination of federal, provincial or territorial, and municipal governments High Option selected
Private sector organizations, international organizations or foreign governments Very high

Program duration

Description Risk level Rating
One-time program or activity Low
Short-term program or activity Medium
Long-term program or activity High Option selected

Program population

Description Risk level Rating
The program's use of personal information for internal administrative purposes affects certain employees Low
The program's use of personal information for internal administrative purposes affects all employees Medium
The program's use of personal information for external administrative purposes affects certain individuals High Option selected
The program's use of personal information for external administrative purposes affects all individuals Very high

Technology and privacy

Note

A yes response indicates the potential for privacy concerns and risks, which will require consideration and, if necessary, mitigation.

Description Rating
Does the new or substantially modified program or activity involve implementation of a new electronic system or the use of a new application or software, including collaborative software (or groupware), to support the program or activity in terms of the creation, collection or handling of personal information? Yes
Does the new or substantially modified program or activity require any modifications to information technology legacy systems? No
Does the new or substantially modified program or activity involve implementation of new technologies or one or more of the following activities:
  • Surveillance or interception
Yes

Personal information transmission

Description Risk level Rating
The personal information is used within a closed system (that is, no connections to the Internet, Intranet or any other system and the circulation of hard copy documents is controlled) Low
The personal information is used in a system that has connections to at least one other system Medium
The personal information is transferred to a portable device (that is, USB key, diskette, laptop computer), transferred to a different medium or is printed High
The personal information is transmitted using wireless technologies Very high Option selected

Impact on individuals in the event of a breach

A breach of privacy during Covert Access and Intercept Team operations could no doubt be damaging to the individual in question. Various types of judicial authorizations are granted to support the Covert Access and Intercept Team's evidence seizure efforts. Those authorizations define what the court has deemed appropriate information to collect in pursuit of the specific investigation and how that that evidence can be collected. Presently, mobile devices and other computer systems contain a myriad of information some of which likely constitutes sensitive personal information. Law enforcement is only entitled to collect information specified in the warrant.

While the risk of a breach is minimal given the security measures put in place by the RCMP, given the nature of the information sought through Covert Access and Intercept Team services, it is possible a breach could result in serious injury to the individual. The RCMP and the Covert Access and Intercept Team recognize the need to maintain the integrity of seized data, not only for continuity and court admissibility purposes, but also to minimize the potential impacts to an individual's privacy. To that end, the Covert Access and Intercept Team manages the collected information in accordance with RCMP and Government of Canada policies for Protected B information. The evidence collected is only accessible in a human-readable format once the data is delivered to the RCMP database. Due to the precision and targeted nature of Covert Access and Intercept Team operations, in the event of a breach, only limited data from one computer system or device will be affected. That data will be encrypted and rendered unreadable. In the extremely unlikely event that Covert Access and Intercept Team operations result in a data breach and the Covert Access and Intercept Team's encryption processes also fail, the resulting data, while clearly no longer fully secure, would still not be rendered into a human-readable format without substantial effort and expertise.

When data must be removed from the database, such as for disclosure in court proceedings, the investigator will protect the information in accordance with RCMP policies on the protection of information.

Évaluation des facteurs relatifs à la vie privée de l'Équipe d'accès secret et d'interception

Sur cette page

  1. Aperçu du programme
  2. Type de programme ou d'activité
  3. Type de données
  4. Partenaires du programme ou de l'activité
  5. Durée du programme ou de l'activité
  6. Personnes concernées par le programme
  7. Technologie et vie privée
  8. Transmission des renseignements personnels
  9. Répercussion sur les personnes en cas d'atteinte à la vie privée

Aperçu du programme

Pour qu'elle mène à bien son mandat, qui consiste à appliquer la loi et à enquêter sur les infractions, la GRC doit exercer ses fonctions policières énoncées à l'article 18 de la Loi sur la Gendarmerie royale du Canada par la collecte d'éléments de preuve et de renseignements personnels. Le succès des enquêtes criminelles dépend d'éléments de preuve pertinents qui doivent être obtenus légalement en vue de prouver les points requis pour chaque infraction présumée. De manière générale, les individus qui sont mêlés aux crimes les plus graves sont habituellement conscients que s'ils se font prendre, ils courent un risque accru d'être incarcérés. Ils déploient donc des moyens très poussés pour éviter de se faire repérer. Cependant, l'utilisation d'appareils numériques étant de plus en plus courante dans nos vies quotidiennes, ces individus sont également plus susceptibles qu'avant de laisser une trace numérique de leurs activités. Même si la police arrive parfois à recueillir les données envoyées à des appareils numériques, reçues par ceux-ci ou stockées sur ceux-ci, des dispositifs de protection comme le chiffrement de bout en bout sont souvent utilisés pour rendre ces données recueillies illisibles et, de ce fait, inutiles aux enquêteurs. Parallèlement à l'évolution des technologies d'Internet et des télécommunications, les techniques et les outils utilisés par la police ont également été perfectionnés, ce qui a donné lieu à la mise sur pied de l'Équipe d'accès secret et d'interception de la GRC à la fin de 2016.

Les pouvoirs de perquisition et de saisie qui permettent à la police de recueillir des éléments de preuve sont des pratiques bien établies et reconnues par la loi, la common law ainsi que par les tribunaux. Le mandat de l'Équipe d'accès secret et d'interception est de mettre en œuvre des techniques technologiques légales pour la collecte d'éléments de preuve dans le respect de la loi en matière de perquisition et de saisie d'éléments de preuve numériques.

Le rôle principal de l'Équipe d'accès secret et d'interception est d'accéder, en vertu d'un mandat, mais à l'insu des propriétaires, à des ordinateurs et à des appareils numériques que l'on présume contenir des éléments de preuve d'actes criminels graves et de s'en saisir en conformité avec la Charte canadienne des droits et libertés.

Les techniques et les outils utilisés peuvent varier considérablement et dépendent du matériel, des logiciels et des configurations de réseau des systèmes informatiques, des tablettes électroniques ou des téléphones intelligents ciblés. Ces outils sont généralement appelés « outils d'enquête sur appareil ».

Les renseignements recueillis par l'Équipe d'accès secret et d'interception à l'appui d'enquêtes sont décrits dans les fichiers de renseignements personnels PPU 005 – Dossiers opérationnels, numéro d'enregistrement 000997 au Secrétariat du Conseil du Trésor, PPU 015 – Dossiers opérationnels de renseignements sur la criminalité (fichier inconsultable), numéro d'enregistrement 000999 au Secrétariat du Conseil du Trésor et PPU 0025 Dossier des enquêtes relatives à la sécurité national (fichier inconsultable).

Type de programme ou d'activité

Description Niveau de risque Cote
Programme ou activité ne nécessitant pas la prise d'une décision au sujet d'une personne identifiable Faible
Administration du programme ou de l'activité et des services Moyen
Enquêtes de conformité ou enquêtes réglementaires et application de la loi Élevé
Enquête criminelle et application de la loi ou sécurité nationale Très élevé Option sélectionnée

Type de données

Description Niveau de risque Cote
Seuls les renseignements personnels, qui ne sont pas de nature délicate dans le contexte, sont recueillis directement auprès de la personne ou sont fournis, avec le consentement de la personne, aux fins de divulgation, dans le cadre d'un programme autorisé Faible
Les renseignements personnels sont fournis par la personne, qui consent également à l'utilisation de renseignements personnels détenus par une autre source pourvu que ceux-ci ne soient pas, selon le contexte, de nature délicate après la collecte Moyen
Ce type de données comprend le numéro d'assurance sociale, les renseignements médicaux, financiers ou autres renseignements personnels de nature délicate ou des renseignements personnels de nature délicate en raison du contexte les entourant; les renseignements personnels des mineurs ou des personnes légalement inaptes; ou les renseignements personnels pour lesquels un représentant agit au nom de la personne concernée Élevé
Les renseignements personnels sont de nature délicate, y compris les profils détaillés, les allégations ou les soupçons et les échantillons de substances corporelles, ou alors le contexte entourant les renseignements personnels est particulièrement délicat Très élevé Option sélectionnée

Partenaires du programme ou de l'activité

Description Niveau de risque Cote
Au sein de l'institution (participation à un ou à plusieurs programmes dans la même institution) Faible
Avec d'autres institutions gouvernementales Moyen
Avec d'autres institutions ou avec une combinaison d'administrations fédérale, provinciales, territoriales ou municipales Élevé Option sélectionnée
Organismes du secteur privé, organisations internationales ou gouvernements étrangers Très élevé

Durée du programme ou de l'activité

Description Niveau de risque Cote
Activité ou programme ponctuel Faible
Activité ou programme de courte durée Moyen
Activité ou programme de longue durée Élevé Option sélectionnée

Personnes concernées par le programme

Description Niveau de risque Cote
Dans le cadre de ce programme, l'utilisation de renseignements personnels à des fins administratives internes touche certains employés Faible
Dans le cadre de ce programme, l'utilisation de renseignements personnels à des fins administratives internes touche tous les employés Moyen
Dans le cadre de ce programme, l'utilisation de renseignements personnels à des fins administratives externes touche certaines personnes Élevé Option sélectionnée
Dans le cadre de ce programme, l'utilisation de renseignements personnels à des fins administratives externes touche toutes les personnes Très élevé

Technologie et vie privée

Remarque

Une réponse affirmative à l'une ou l'autre des questions indique la présence possible de préoccupations et de risques pour la vie privée qui devront être pris en considération et atténués au besoin.

Description Cote
Est-ce que l'activité ou le programme nouvellement créé ou ayant subi des modifications importantes prévoit la mise en place d'un nouveau système électronique ou l'utilisation d'un nouveau logiciel ou d'une nouvelle application (y compris les collecticiels ou les logiciels de groupe) dans le but d'appuyer le programme ou l'activité en ce qui concerne la création, la collecte ou le traitement de renseignements personnels? Oui
Est-ce que l'activité ou le programme nouvellement créé ou ayant subi des modifications importantes nécessite l'apport de modifications aux systèmes de technologies de l'information existants? Non
Est-ce que l'activité ou le programme nouvellement créé ou ayant subi des modifications importantes nécessite la mise en œuvre de nouvelles technologies ou d'au moins une des activités suivantes :
  • Surveillance ou interception
Oui

Transmission des renseignements personnels

Description Niveau de risque Cote
Les renseignements personnels sont utilisés dans un système fermé (c'est-à-dire sans connexion à Internet, à l'intranet ou à tout autre système et dans lequel la diffusion des documents papier est contrôlée) Faible
Les renseignements personnels sont utilisés dans un système qui est connecté à au moins un autre système Moyen
Les renseignements personnels sont transférés sur un dispositif portatif (c'est-à-dire une clé USB, une disquette, un ordinateur portatif) ou sur un autre support, ou sont imprimés Élevé
Les renseignements personnels sont transmis au moyen de technologies sans fil Très élevé Option sélectionnée

Répercussion sur les personnes en cas d'atteinte à la vie privée

Si une atteinte à la vie privée se produisait au cours des opérations de l'Équipe d'accès secret et d'interception, la personne concernée pourrait assurément subir un préjudice. Divers types d'autorisations judiciaires sont accordées dans le but d'aider l'Équipe d'accès secret et d'interception à se saisir d'éléments de preuve. Ces autorisations définissent les renseignements que les tribunaux ont jugé approprié de recueillir dans le cadre de l'enquête et les manières dont ces données peuvent être recueillies. Actuellement, les appareils mobiles et les autres systèmes informatiques contiennent une myriade de données. Certaines de ces données sont probablement des renseignements personnels de nature délicate. Les autorités responsables de l'application de la loi sont seulement autorisées à recueillir les renseignements spécifiés dans le mandat.

Quoique le risque d'atteinte à la vie privée soit minime compte tenu des mesures de sécurité mise en place par la GRC, vu la nature des renseignements recherchés par l'intermédiaire des services de l'Équipe d'accès secret et d'interception, une atteinte à la vie privée pourrait causer de graves préjudices à la personne concernée. La GRC et l'Équipe d'accès secret et d'interception reconnaissent la nécessité de maintenir l'intégrité des données saisies à des fins de continuité et d'admissibilité devant les tribunaux et en vue de réduire au minimum les répercussions sur la vie privée de l'individu. À cette fin, l'Équipe d'accès secret et d'interception gère les données recueillies conformément aux politiques relatives aux renseignements Protégé B de la GRC et du gouvernement du Canada. Les éléments de preuve recueillis sont seulement accessibles dans un format lisible par l'humain une fois les données téléversées dans une base de données de la GRC. En raison de la précision et de la nature ciblée des opérations de l'Équipe d'accès secret et d'interception, en cas d'atteinte à la vie privée, seule une quantité limitée de données provenant d'un système informatique ou d'un appareil serait touchée. Ces données seront chiffrées et rendues illisibles. Dans le cas extrêmement improbable où les opérations de l'Équipe d'accès secret et d'interception entraîneraient une atteinte à la protection des données et le chiffrement de l'Équipe d'accès secret et d'interception échoueraient également, les données ne seraient manifestement plus entièrement protégées, mais elles ne seraient pas dans un format lisible par l'humain sans d'importants efforts et le recours à une expertise considérable.

Lorsque des données doivent être retirées de la base de données, par exemple pour leur divulgation au système judiciaire, l'enquêteur doit protéger les renseignements conformément aux politiques de la GRC sur la protection des renseignements.

Une Ontarienne accusée d'infraction de terrorisme
6 octobre 2023 — Toronto (Ontario)
Ontario woman charged with terrorism offence
October 6, 2023 — Toronto, Ontario
Date de modification :