Cueillette et utilisation d'information de sources ouvertes provenant de l'internet

Institution fédérale

Gendarmerie royale du Canada

Responsable de l'institution fédérale ou délégué aux termes de l'article 10 de la Loi sur la protection des renseignements personnels

Danielle Golden
Directrice de la Protection des renseignements personnels
Sous-direction de l'accès à l'information et de la protection des renseignements personnels

Cadre supérieur responsable de l'Évaluation des facteurs relatifs à la vie privée

Surintendant Wallace Kennedy

Nom et description du programme ou de l'activité de l'institution fédérale

Programme de sources ouvertes de la Police fédérale

Fondement juridique du programme ou de l'activité

Article 18 de la Loi sur la Gendarmerie royale du Canada

Alinéa 14(1)a) du Règlement de la Gendarmerie royale du Canada

Renseignements personnels sur les individus

PPU 015 (Dossiers opérationnels de renseignements sur la criminalité)

PPU 025 (Dossiers des enquêtes relatives à la sécurité nationale)

PPU 005 (Dossiers opérationnels)

PPU 055 (Protection du personnel et des biens de la Couronne)

Description du projet, de l'initiative ou du changement

De nos jours, des milliards de personnes dans le monde utilisent les médias sociaux, les marchés en ligne et l'internet au sens large pour faire des affaires, socialiser et faciliter une grande diversité d'activités, généralement de nature licite. Si l'internet et les médias sociaux contribuent à mettre les gens en relation et à faciliter un large éventail d'intérêts légitimes et légaux, ils facilitent et soutiennent également la conduite d'activités illégitimes et illégales, comme la traite d'êtres humains, le crime organisé, le terrorisme, les violations des droits de l'homme, les crimes de guerre et la fraude. L'utilisation prolifique de l'internet et des sites de médias sociaux a créé de nouvelles sources d'information essentielles sur les activités criminelles et les acteurs de la menace. Cette information est à la fois nécessaire et pertinente pour le maintien de l'ordre et l'application de la loi et pour assurer la sûreté et la sécurité du Canada.

L'« Information de sources ouvertes » est un terme utilisé pour désigner l'information recueillie ou extraite de l'internet, du web profond ou du web caché (dark web), et dans certains cas, acquise commercialement. Afin d'utiliser efficacement cette information pour promouvoir la sûreté et la sécurité du Canada, la Gendarmerie royale du Canada recueille et utilise de l'information de sources ouvertes conformément à son mandat d'application de la loi et de maintien de l'ordre par l'intermédiaire d'une diversité de groupes de la GRC. Plus précisément, la GRC recueille de l'information de sources ouvertes pertinente pour les enquêtes, pour identifier les enjeux et les faits pertinents puis pour élaborer des recommandations et conseiller les partenaires de la GRC sur les questions de sûreté et de sécurité.

Afin de s'assurer que la collecte et l'utilisation de l'information de sources ouvertes par la GRC sont conformes à la Loi sur la protection des renseignements personnels, le Programme de sources ouvertes de la Police fédérale a élaboré un ensemble d'instruments de politique permettant d'établir un cadre opérationnel cohérent pour tous les praticiens du renseignement de sources ouvertes. Le programme supervise également l'intégration d'outils tiers qui facilitent la conduite de cette activité. Il travaille en collaboration avec le Programme national d'intégration des technologies, soit le premier point de contact pour tous les programmes de la GRC qui envisagent d'utiliser une technologie opérationnelle. Conformément à la politique de la GRC, il faut consulter le Programme national d'intégration des technologies avant de mettre à l'essai, d'acheter, d'élaborer ou de déployer toute technologie opérationnelle. Le Programme est chargé de réaliser des évaluations rigoureuses et objectives des nouvelles technologies opérationnelles, y compris des consultations sur les aspects juridiques et de protection de la vie privée. Tout nouvel outil de sources ouvertes dont l'utilisation est envisagée dans le cadre des opérations policières devra faire l'objet d'une évaluation approfondie de la part du programme national d'intégration des nouvelles technologies. Cette politique s'applique également à tout outil ou technologie susceptible de porter atteinte à la vie privée qui est déjà utilisé mais qui n'a pas été évalué.

Objectif et portée de l'évaluation des facteurs relatifs à la vie privée

Afin de s'assurer que l'information de sources ouvertes recueillie sur l'internet et utilisée dans le cadre d'enquêtes légales et à des fins opérationnelles soit conforme à la Loi sur la protection des renseignements personnels, la Police fédérale de la GRC a choisi d'effectuer une évaluation formelle des facteurs relatifs à la vie privée sur l'utilisation par la GRC de l'information de sources ouvertes recueillie sur internet à des fins opérationnelles. La présente évaluation porte sur l'activité de collecte d'information de sources ouvertes ans un contexte opérationnel. Elle n'évalue pas la collecte de cette information dans un contexte administratif, comme les communications, ni la collecte d'information de sources ouvertes à des fins d'enquête de sécurité.

Analyse des facteurs relatifs à la vie privée

Sur la base de cette évaluation, les incidences sur la vie privée liées à la collecte, à l'utilisation, à la divulgation et à la conservation d'informations de sources ouvertes par la GRC à partir d'internet devraient être modérées. Une fois pleinement adoptées, les recommandations découlant du processus d'évaluation des facteurs relatifs à la vie privée devraient réduire ces risques à un niveau acceptable.

Les incidences possibles sur la vie privée des personnes seront gérées par la GRC au moyen de mesures juridiques, politiques et techniques appropriées visant à protéger leurs informations personnelles.

Identification et catégorisation des secteurs de risque

A. Type de programme ou d'activité

Les informations personnelles sont utilisées pour les enquêtes et l'application de la loi dans un contexte criminel (p. ex. les décisions peuvent mener à des accusations/sanctions criminelles ou à l'expulsion pour des raisons de sécurité nationale ou d'application de la loi en matière criminelle).

• Niveau de risque pour la vie privée : Risque élevé

B. Type d'information personnelle et contexte

Renseignements personnels qui ne sont pas de nature délicate après le moment de la cueillette et qui sont fournis par une personne qui consent aussi à l'utilisation des renseignements personnels détenus par une autre source.

• Niveau de risque pour la vie privée : Risque faible

C. Partenaires du programme ou de l'activité et participation du secteur privé

Au sein de l'institution, avec d'autres institutions fédérales, le gouvernement fédéral, les gouvernements provinciaux ou territoriaux, les administrations municipales et les organisations du secteur privé, les organisations internationales et/ou les gouvernements étrangers.

• Niveau de risque pour la vie privée : Risque élevé

D. Durée du programme ou de l'activité

Programme ou activité à long terme. program or activity

• Niveau de risque pour la vie privée : Risque modéré

E. Populations ciblées par le programme

Dans le cadre de ce programme, l'utilisation de renseignements personnels à des fins administratives externes touche certaines personnes.

• Niveau de risque pour la vie privée : Risque modéré

F. Technologie et vie privée

Est-ce que l'activité ou le programme nouvellement créé ou ayant subi des modifications importantes prévoit la mise en place d'un nouveau système électronique ou l'utilisation d'un nouveau logiciel ou d'une nouvelle application (y compris les collecticiels ou les logiciels de groupe) dans le but d'appuyer le programme ou l'activité en ce qui concerne la création, la collecte ou le traitement de renseignements personnels?

• Risque pour la vie privée : Non

L'activité ou le programme nouveau ou considérablement modifié exige‑t‑il de modifier les anciens systèmes informatiques?

• Risque pour la vie privée : Non

Est-ce que l'activité ou le programme nouvellement créé ou ayant subi des modifications importantes nécessite la mise en œuvre de nouvelles technologies ou d'au moins une des activités suivantes :

• Amélioration des méthodes d'identification
  • Risque pour la vie privée : Non
• Surveillance
  • Risque pour la vie privée : Non
• Analyse automatisée des renseignements personnels, jumelage des renseignements personnels et techniques de découverte des connaissances
  • Risque pour la vie privée : Non

Niveau de risque pour la vie privée : Risque modéré

G. Transmission de renseignements personnels

Les informations de sources ouvertes recueillies par la GRC peuvent être utilisées à l'intérieur de l'organisation ou avec des partenaires chargés de l'application de la loi. La transmission de ces données se fera par le biais d'un réseau sécurisé ou par l'utilisation de dispositifs de stockage portables chiffrés.

• Niveau de risque pour la vie privée : Risque modéré

H. Risque possible d'incidence sur la personne ou l'employé en cas d'atteinte à la vie privée

L'information de sources ouvertes recueillie par la GRC est accessible au public sur l'internet. Par conséquent, l'impact sur la vie privée d'une personne en cas d'atteinte à la vie privée est considéré comme relativement faible. Les risques pour une personne pourraient comprendre des désagréments, de l'embarras ou des pertes financières. Lorsque l'information recueillie dans le cadre d'une activité de source ouverte donne lieu à une action des forces de l'ordre ou à des poursuites criminelles, l'impact sur la personne serait bien entendu plus important.

• Niveau de risque pour la vie privée : Risque modéré

Collection and use of open source information from the Internet

Government institution

Royal Canadian Mounted Police

Head of the government institution or delegate for section 10 of the Privacy Act

Danielle Golden
Director of Privacy
Access to Information and Privacy Branch

Senior official or executive responsible for the privacy impact assessment

Superintendent Wallace Kennedy

Name and description of the program or activity of the government institution

Federal Policing Open Source Program

Legal authority for the program or activity

Section 18 of the Royal Canadian Mounted Police Act

Paragraph 14(1)(a) of the Royal Canadian Mounted Police Regulations

Personal Information Banks

PPU 015 (Criminal Operations Intelligence Records)

PPU 025 (National Security Investigations Records)

PPU 005 (Operational Case Records)

PPU 055 (Protection of Personnel and Government Property)

Description of the project, initiative or change

Nowadays billions of people around the world use social media, online marketplaces and the broader internet to conduct business, socialize, and facilitate a massive variety of activities, generally legal in nature. While the internet and social media help to connect people and to facilitate a wide variety of legitimate and lawful interests, they also facilitate and support the conduct of illegitimate and unlawful activities, such as human trafficking, organized crime, terrorism, human rights abuses, war crimes, and fraud. The prolific use of the internet and social media sites has created new and critical sources of information about criminal activities and threat actors. That information is both necessary and relevant to policing and law enforcement, and for ensuring Canada's safety and security.

Open source information is a term used to denote any information gathered or retrieved from the internet, the deep or dark web, and, in certain instances, commercially acquired information. In order to effectively use this information to promote Canada's safety and security, the Royal Canadian Mounted Police gathers and uses OSI according to their law enforcement and policing mandate across a variety of RCMP Units. Specifically, the RCMP collects open source information pertinent to predicated investigations, to identify issues and relevant facts, and to develop and advise RCMP partners on security and safety matters.

In order to ensure that the RCMP's collection and use of OSI complies with the Privacy Act, the Federal Policing Open Source Program developed a set of policy instruments to enable a consistent operating framework for all open source information intelligence Practitioners. The program also oversees the integration of third-party tools that facilitate the conduct of this activity. This is in conjunction with the National Technology Onboarding Program, which is the first point of contact for all RCMP units considering the use of any operational technology. In accordance with RCMP policy, the National Technology Onboarding Program is consulted before testing, purchasing, developing, or deploying any operational technology. The program is responsible for conducting thorough and objective evaluations of all new operational technologies, which includes consultations from privacy and legal perspectives. Any new open source information tool considered for use in policing operations would have to undergo a thorough assessment by the National Technology Onboarding Program. The policy also applies to any potentially privacy-invasive tools or technologies that are already in use but have not been assessed by the Program.

Purpose and scope of the privacy impact assessment

To ensure that open source information collected from the internet and used for lawful investigations and operational purposes is compliant with the Privacy Act, the RCMP Federal Policing Program has elected to perform a formal privacy impact assessment on the RCMP's use of open source information gathered from the internet for operational purposes. The scope of this PIA is on the activity of open source information collection in an operational context. This PIA does not assess the collection of this information used in an administrative context, such as communications, nor does assess the collection of open source information for security screening purposes.

Privacy analysis

Based on this assessment, privacy impacts associated with the collection, use, disclosure and retention of open-source information by the RCMP from the internet are expected to be moderate. Recommendations from the privacy impact assessment process, once fully adopted, are expected to reduce those risks to an acceptable level.

Potential impacts on the privacy of individuals will be managed by the RCMP through appropriate legal, policy and technical measures geared at the protection of their personal information.

Risk Area Identification and Categorization

A. Type of program or activity

Personal information is used for investigations and enforcement in a criminal context (for example, decisions may lead to criminal charges/sanctions or deportation for reasons of national security or criminal enforcement

• Level of Risk to Privacy: Elevated Risk

B. Type of personal information involved and context

Personal information, with no contextual sensitivities after the time of collection, provided by the individual with consent to also use personal information held by another source.

• Level of risk to privacy: Low risk

C. Program or Activity Partners and Privacy Sector Involvement

Within the institution, with other government institutions, federal, provincial or territorial, and municipal governments and private sector organizations, international organizations and/or foreign governments.

• Level of risk to privacy: Elevated risk

D. Duration of the Program or Activity

Long-term program or activity

• Level of risk to privacy: Moderate risk

E. Program Population

The program's use of personal information for external administrative purposes affects certain individuals.

• Level of risk to privacy: Moderate risk

F. Technology and Privacy

Does the new or substantially modified program or activity involve implementation of a new electronic system or the use of a new application or software, including collaborative software (or groupware), to support the program or activity in terms of the creation, collection or handling of personal information?

• Risk to privacy: No

Does the new or substantially modified program or activity require any modifications to information technology legacy systems?

• Risk to privacy: No

Does the new or substantially modified program or activity involve implementation of new technologies or one or more of the following activities:

• Enhanced identification methods?
  • Risk to privacy: No
• Surveillance?
  • Risk to privacy: No
• Automated personal information analysis, personal information matching and knowledge discovery techniques?
  • Risk to privacy: No

Level of risk to privacy: Moderate Risk

G. Personal Information Transmission

Open source information collected by the RCMP may be used both internally or, with law enforcement partners. The transmission of that data will be effected through secured network, or through the use of encrypted portable storage devices.

• Level of risk to privacy: Moderate risk

H. Potential Risk that in the event of a privacy breach, there will be an impact on the individual or employee

Open source information collected by the RCMP is publicly available on the internet. As such, the privacy impacts on an individual in the event of a data breach are considered to be relatively low. Risks to an individual could conceivably include inconvenience, embarrassment, or financial harm. Where information collected from an open-source activity results in a law enforcement action or criminal charges, the impact on an individual would naturally be higher.

• Level of risk to privacy: Moderate risk

Date de modification :

1969-12-31