Délibérations du Comité sénatorial permanent des
Affaires juridiques et constitutionnelles
Fascicule 8 - Témoignages du 14 mai 2009
OTTAWA, le jeudi 14 mai 2009
Le Comité sénatorial permanent des affaires juridiques et constitutionnelles, auquel a été déféré le projet de loi S-4, Loi modifiant le Code criminel (vols d'identité et inconduites connexes), se réunit aujourd'hui à 10 h 47 pour étudier le projet de loi.
Le sénateur Joan Fraser (présidente) occupe le fauteuil.
[Traduction]
La présidente : Le Comité sénatorial permanent des affaires juridiques et constitutionnelles poursuit l'étude du projet de loi S-4. C'est avec beaucoup de plaisir que nous accueillons notre premier témoin, M. David McMahon, qui est conseiller à Sécurité nationale de Bell Canada et qui représente l'Association canadienne de la technologie de l'information. On pourrait donc dire qu'il comprend la façon d'agir des fraudeurs et il est ici pour nous l'expliquer.
[Français]
Monsieur McMahon, nous sommes heureux de vous recevoir. Je pense que vous comprenez la procédure. Nous vous demandons de faire une déclaration d'ouverture et ensuite nous passerons à la période des questions. La parole est à vous.
David McMahon, conseiller, Sécurité nationale — Bell Canada, Association canadienne de la technologie de l'information : Je vous remercie infiniment de m'avoir invité ici aujourd'hui. Je représente l'Association canadienne de la technologie de l'information. On m'a demandé de parler de la question du vol d'identité. Je suis plus particulièrement spécialisé dans l'évolution de la cybermenace au cours des 20 dernières années et les particularités technologiques du vol d'identité.
Pour résumer le concept complexe du vol d'identité, je vous dirai que ce problème existe depuis des centaines, voire des milliers d'années. Ce qui est différent en 2009, c'est le rôle joué dorénavant par la technologie, ce qui facilite de plus en plus le vol d'identité à grande échelle.
L'argent est au cœur du vol d'identité assisté par la technologie. Il existe des types de vol d'identité qui ne sont pas associés à l'argent, mais ils sont peu nombreux et peu fréquents, compte tenu du fait que presque tous les méfaits commis de nos jours à l'aide d'Internet sont mus par des motifs pécuniaires. Il faut ajouter cependant que tous les méfaits commis dans le cyberespace n'impliquent pas nécessairement le vol d'identité. Les criminels cherchent parfois à faire de l'argent le plus rapidement possible. S'ils doivent voler des biens et des services pour parvenir à leurs fins, ils le feront. Ils n'hésiteront pas non plus à recourir au vol d'identité. S'ils sont en mesure d'usurper l'identité d'une personne, ils n'hésiteront pas à s'en servir à l'échelle mondiale.
Comment s'y prennent-ils généralement aujourd'hui? La façon la plus courante, dont vous avez peut-être entendu parler, c'est le clonage de cartes de crédit grâce aux brèches de sécurité — des brèches subreptices comme saisir les informations échangées dans des cercles ayant des intérêts communs ou les données que les gens affichent sur Internet les concernant. Un exemple typique serait Facebook, site où les gens affichent leurs renseignements personnels dont peuvent se servir les fraudeurs.
L'autre façon, qui devient de plus en plus répandue, c'est de créer des réseaux zombies, c'est-à-dire qu'on infiltre des ordinateurs personnels pour en prendre le contrôle afin de recueillir les données qui s'y trouvent et de les utiliser. Premièrement, le crime organisé se sert de cette méthode pour subtiliser de l'argent. Deuxièmement, on y a recours pour glaner toutes les données personnelles possibles qui se trouvent dans les ordinateurs infectés et qu'on vend sur le marché noir. Tout un secteur d'activité a pris de l'essor dans les entreprises criminelles : on collecte des renseignements personnels çà et là par divers moyens, et on s'en sert par après. Celui qui glane les renseignements n'est pas nécessairement l'utilisateur ultérieur.
Il faut adopter une stratégie à deux volets pour lutter contre ces réseaux criminels : surveiller d'abord les utilisateurs pour ensuite s'attaquer aux glaneurs.
Je suis disposé à répondre aux questions précises que vous voudrez me poser sur les aspects technologiques du vol d'identité.
La présidente : Aucun d'entre nous n'est ingénieur ni expert en technologie de pointe, mais je suis certaine que nous aurons des questions pertinentes à vous poser, monsieur McMahon.
Le sénateur Wallace : Je vous souhaite la bienvenue, monsieur McMahon. Je vous remercie de vos observations. Comme vous le savez, la présente séance de notre comité porte sur le projet de loi S-4. Je ne suis certes pas un expert en technologie d'Internet ni un spécialiste de tous les domaines que vous maîtrisez.
Je commencerai par une question facile, du moins en ce qui me concerne. Compte tenu de votre domaine de spécialisation, des problèmes technologiques, de l'infiltration par le crime organisé et des répercussions de cette infiltration sur le vol d'identité, véritable fléau pour notre société, je me demande ce que vous pensez du projet de loi S-4. D'après vous, de quelle façon permet-il de s'attaquer au problème que nous avons?
M. McMahon : Ayant eu l'occasion d'examiner brièvement le projet de loi et de consulter mes collègues, je pense qu'en adoptant des lois et en ayant la capacité de poursuivre les contrevenants au Canada, une partie du problème est réglée ou atténuée. L'autre partie nécessite une solution technique.
Sans vouloir aborder directement les aspects juridiques de la question, je pense qu'il est important de se doter des outils nécessaires pour demander des comptes aux gens qui ont usurpé un million d'identités ou 10 000 identités à l'aide de leur ordinateur. Il y a manifestement quelque chose qui cloche. J'utilise une analogie pour vous expliquer : il n'est pas illégal de posséder une cagoule de skieur et un pied-de-biche, qui sont essentiellement des outils utilisés pour s'introduire par effraction, mais tout policier aurait le droit d'arrêter quiconque se promènerait ainsi affublé en public en plein cœur de la nuit. Il faut adopter des lois qui donnent le pouvoir d'intenter des poursuites pour vol d'identité.
Il y a également un aspect pragmatique. Si, par exemple, l'inculpé a 10 000 identités dans son ordinateur, je crois comprendre que le tribunal doit faire comparaître ces personnes pour leur demander si elles ont donné à l'inculpé le droit d'avoir leur identité dans son ordinateur. Il faut inverser le fardeau de la preuve, de sorte qu'il incombe à l'inculpé de se justifier.
Une mesure législative n'est efficace que si les criminels visés se trouvent au Canada. Un grand nombre de cyberattaques sont commises en partie sinon en totalité à partir d'un autre pays, et les renseignements personnels sur les Canadiens se trouvent souvent à l'étranger. Si vous possédez un compte avec Hotmail ou Facebook notamment, les renseignements ne se trouvent pas nécessairement au Canada.
Le sénateur Wallace : Comme vous l'avez fait remarquer, nous pouvons tous parfois posséder des renseignements personnels de quelqu'un d'autre. Il s'agit alors de déterminer quels sont nos motifs pour les posséder et à quelles fins on s'en sert. Le projet de loi S-4 porte sur le vol d'identité aux étapes de la possession et de la collecte. Il ne s'agit pas uniquement d'avoir en sa possession des renseignements. Aux termes de l'article 402.2 du projet de loi, commet une infraction quiconque a en sa possession des renseignements identificateurs sur une autre personne dans des circonstances qui permettent de conclure raisonnablement qu'ils seront utilisés dans l'intention de commettre un acte criminel. Il faut pouvoir le conclure raisonnablement. Ce n'est pas une question facile à trancher.
Estimez-vous que ce soit un problème important par rapport à la technologie que vous utilisez quotidiennement? Le vol d'identité est-il un problème crucial auquel les parlementaires que nous sommes devraient s'attaquer immédiatement ou est-ce un problème qui n'est pas urgent?
M. McMahon : C'est, à mon avis, un problème important, qui prendra plus d'ampleur à cause d'Internet. Le clonage de cartes de crédit constitue le vol d'identité le plus facile à commettre. Les cartes de crédit sont désormais dotées de puces savantes, ce qui est à l'origine d'une grande partie des fraudes en direct. Des mesures législatives rigoureuses sont donc une partie de la solution à ce problème. Le vol d'identité et le cybercrime sont devenus extrêmement profitables à une très grande échelle.
Le sénateur Wallace : Le crime organisé contrôle-t-il le vol d'identité ou a-t-il infiltré massivement cette activité?
M. McMahon : Lorsqu'Internet a pris son élan il y a 10 ou 20 ans, les pirates informatiques ne faisaient de l'intrusion que pour contrôler des ordinateurs. Le crime organisé n'avait pas vraiment envahi le créneau d'Internet ni n'utilisait ses technologies. Au cours des cinq dernières années, il est responsable de presque tous les méfaits commis sur Internet, ce qui correspond à l'époque où il est devenu possible de faire de l'argent par le biais d'Internet.
Le sénateur Wallace : Vous avez indiqué que ce n'est pas un problème susceptible d'être circonscrit à un pays donné. C'est un problème international, qui ne connaît pas de frontières et auquel il faut s'attaquer immédiatement au Canada, selon moi.
M. McMahon : Tout à fait.
La présidente : Sauf erreur, vous avez dit que les nouvelles puces intégrées aux cartes de crédit chips accroissaient les risques ou les probabilités en ce qui concerne le vol d'identité dont le nombre augmenterait?
M. McMahon : Non, ce qui a changé, c'est le créneau qu'ont investi les agents de menace comme le crime organisé. Je m'explique : le crime organisé s'adonne au vol pendant un certain nombre dans une journée, la moitié de ces heures est utilisée pour les fraudes en direct et l'autre moitié pour le clonage des cartes de crédit. Les cartes de crédit et les cartes bancaires sont de plus en plus difficiles à cloner. En Europe, la transition s'est faite plus tôt, et on a remarqué une augmentation spectaculaire du cybercrime, ce que nous savions depuis un certain temps. C'est ce qui se passe à l'heure actuelle.
La présidente : Merci.
Le sénateur Milne : Nous avons entendu parler des méthodes employées pour voler les données des cartes de débit et de crédit. Nous avons entendu parler de fraude d'identité et, hier soir, de vols de sacs de messageries. Et vous ajoutez deux aspects nouveaux : la collecte de renseignements identificateurs et leur utilisation.
Je suppose que la collecte de renseignements identificateurs inquiète particulièrement Bell parce qu'elle se fait à l'aide des lignes téléphoniques ou d'Internet branché ou non à une ligne téléphonique. Bell emploie-t-elle des méthodes qui permettent de déceler ces intrusions?
M. McMahon : Ma réponse comportera deux volets. Premièrement, beaucoup d'actes malveillants et de transactions sont effectués chaque seconde. On parle d'un nombre faramineux et renversant. Prenons un exemple classique : vous demandez l'aide de la police pour élucider une fraude très importante de un million de dollars. Elle vous prêterait alors une oreille attentive et entreprendrait l'enquête. Par contre, supposons que vous disiez à la police : « Une fraude de un million de dollars a été commise, mais il s'agit d'une fraude de un dollar répétée un million de fois. » Ces deux enquêtes nécessiteraient des compétences complètement différentes et la capacité de poursuivre en justice.
Même s'il est possible de surveiller de telles menaces sur le plan technique, nous constatons que cela pose problème. Il faut également déterminer s'il faut consacrer son temps aux crimes qui ont été commis ou être davantage proactifs dans le domaine de la prévention.
En passant, les établissements financiers s'adonnent à la surveillance. Dans une certaine mesure, les entreprises de télécommunications surveillent les menaces possibles sur leur réseau sur le plan technologique.
Le sénateur Milne : Êtes-vous proactifs en matière de prévention?
M. McMahon : Oui. Par exemple, environ 94 p. 100 des courriels sont des pourriels ou ont un contenu malveillant. La plupart sont filtrés avant d'être acheminés aux destinataires. Les pourriels ont leur importance parce qu'ils permettent au crime organisé notamment d'introduire un code malveillant dans un ordinateur personnel pour voler des renseignements identificateurs ou contrôler cet ordinateur. Pour être proactifs, il faudrait pouvoir arrêter cela avant qu'il ne se produise.
Établir la liste noire des agents ou des groupes qui présentent une menace et identifier les organisations par leur domaine et leur adresse IP posent problème. Il faut être davantage proactif pour essayer de prévenir cela.
Cela étant dit, la fraude d'identité en direct a toujours cours, comme nous le savons. La difficulté consiste notamment à trouver un compromis entre le droit à la vie privée du citoyen et la neutralité d'Internet ainsi qu'à déterminer le degré de surveillance du contenu et des activités des utilisateurs.
Le sénateur Milne : Bell a-t-elle déjà signalé à la police que des choses suspectes se produisent dans son réseau?
M. McMahon : Je pense que tous les fournisseurs, y compris Bell, collaborent avec les corps policiers et le gouvernement ainsi qu'avec les fournisseurs dans les autres pays. C'est une collaboration constante et quotidienne.
Pour s'attaquer au problème, il faut surmonter beaucoup d'obstacles, compte tenu particulièrement que la plupart des cyberattaques émanent d'un autre pays.
Le sénateur Milne : Madame la présidente, si j'avais touché tous les millions de dollars qu'on m'a promis sur Internet. Il suffisait de communiquer avec quelqu'un en Afrique...
La présidente : Il suffit de donner son no de compte bancaire pour que les millions soient déposés.
Le sénateur Milne : J'espère que Bell sera en mesure d'enrayer cela. Prenez-vous des mesures pour mettre un terme à ce genre de pourriels?
M. McMahon : Tout à fait. Bell publie un rapport sur la responsabilité d'entreprise, dans lequel nous examinons les mesures que nous prenons : de la sécurité des enfants jusqu'à la lutte contre les pourriels. Nous siégeons à des comités internationaux qui se penchent sur les pourriels et nous adoptons des mesures technologiques exhaustives. Je dirais que nous réduisons le nombre de pourriels considérablement. Par « considérablement », j'entends de 90 à 94 p. 100 des pourriels que nous recevons.
Le sénateur Bryden : En quoi le projet de loi S-4 rendra-t-il plus efficaces les mesures de prévention que vous venez de décrire?
M. McMahon : Le projet de loi vise de toute évidence le public canadien et les auteurs d'infraction canadiens. D'après les documents que nous avons consultés, l'identité canadienne est plus facilement exploitable au Canada. Si quelqu'un avait usurpé mon identité, il pourrait probablement en faire la meilleure utilisation possible en ouvrant un compte dans une banque canadienne et en achetant des produits canadiens au lieu de s'en servir en Thaïlande, notamment.
Lorsqu'il s'agit de protéger les Canadiens, une partie de la solution — pas toute la solution cependant — consiste à intervenir au Canada. C'est pourquoi j'estime que le projet de loi est extrêmement utile en permettant de poursuivre ceux sur qui on peut mettre véritablement la main.
On peut envisager d'autres moyens afin de collaborer avec les États-Unis et d'autres pays en vue de mettre un terme au vol d'identité dans le monde.
Le sénateur Bryden : Plus particulièrement, dans quelle mesure le projet de loi permet-il plus facilement de mettre la main sur les Canadiens que les moyens dont vous disposez actuellement?
M. McMahon : Je répondrai sur le plan technologique. Selon mes collègues du domaine juridique à qui j'en ai parlé, le projet de loi permettra davantage d'intenter des poursuites dans le cas de vol d'identité ou à tout le moins de sensibiliser davantage les gens à cette question.
Il faut toujours établir si le mode de fonctionnement technologique utilisé est visé par l'esprit de la loi. C'est une partie du problème. Je pense que cette question ne relève pas de mon domaine de compétence.
Le sénateur Bryden : Je voudrais obtenir une petite précision. On a indiqué hier que les infractions figurant dans le projet de loi S-4 sont parmi les moins graves. C'est pourquoi notamment les pénalités ne sont pas très élevées. Le maximum est de 5 000 $.
Les pénalités très peu élevées comme celles du projet de loi S-4 posent également un problème aux policiers dans d'autres domaines. Ceux-ci sont occupés, et ils n'ont pas ou n'auront pas le temps de s'attaquer à ce genre d'activités alors qu'ils sont confrontés à des problèmes beaucoup plus pressants et exigeants.
Y voyez-vous là un problème? À l'heure actuelle, avez-vous de la difficulté à obtenir la collaboration régulière des corps policiers pour enquêter sur les vols d'identité?
M. McMahon : Le problème, c'est que les outils, les méthodes, les techniques et le modus operandi changent très rapidement. Il existe des moyens technologiques de commettre des crimes sur l'Internet qui ne sont peut-être pas visés par des lois ou, du moins, des lois dont l'interprétation permettrait de les mettre en échec.
L'autre problème, c'est qu'il est question de millions de petits larcins, plutôt que de grands crimes, et d'un réseau de criminels très étendu. Il est relativement plus facile d'épingler le criminel qui commet un grand vol au Canada même. Il est possible de le prendre. Par contre, quand de nombreuses personnes commettent des dizaines de milliers ou des millions de petits vols et que les victimes ne sont même pas conscientes qu'elles le sont de sorte qu'elles ne les signalent pas à la police, le problème est encore plus grand, surtout s'il n'y a pas de signalement. C'est un problème présent sur l'Internet, et vous arriverez peut-être à le cerner jusqu'à un certain point.
Ce genre de crime exige des méthodes policières inédites prévues dans des lois nouvelles. Il faudra que les procureurs fassent preuve d'un peu d'imagination dans la manière dont ils interpréteront la loi et la police, dans sa façon de l'appliquer. Ces lois reposeront certainement sur la coopération entre les intéressés, par exemple le milieu financier, les fournisseurs d'Internet, les entreprises de télécommunication et l'industrie du commerce au détail, de manière à pouvoir fournir à la police un certain contexte opérationnel qui lui permettra de dégager des pistes d'enquête.
Le sénateur Joyal : Je vais attendre mon tour puisque les explications fournies par le témoin ont répondu à certaines de mes questions.
Le sénateur Baker : La Loi sur la protection des renseignements personnels et les documents électroniques que le Parlement a adoptée récemment, isolément de la Loi sur la protection des renseignements personnels, s'applique aux entreprises de téléphonie parce qu'elles sont réputées être de compétence fédérale. Cette loi est entrée en vigueur en janvier 2001. J'ai remarqué plusieurs décisions rendues qui mettent en cause Bell et d'autres entreprises de téléphonie. Hier, le sénateur Nolin a attiré notre attention sur une disposition du projet de loi S-4 relative aux droits et à la portée des droits conférés aux policiers, en ce sens qu'ils sont exclus de certains articles de la loi.
Si je ne m'abuse, la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques prévoient également des exceptions dans le cas d'enquêtes policières. Si vous receviez l'appel du policier d'une petite localité qui vous demandait de lui fournir des renseignements personnels, la loi limiterait-elle les renseignements que vous pouvez communiquer habituellement?
M. McMahon : Oui, sénateur. Il existe des zones bien définies qui sont faciles à comprendre. Par exemple, si un organisme d'application de la loi souhaite faire de l'écoute électronique, il faut qu'il obtienne d'abord un mandat fédéral.
Le sénateur Baker : Vous parlez de mandat, mais ce n'est pas ce dont je parle.
M. McMahon : Justement. C'est là un aspect de la loi qui est très clair. Par contre, là où elle l'est moins, c'est lorsqu'une force policière demande à obtenir un tableau général illustrant la nature du cybercrime. Il s'agit alors d'une consultation professionnelle.
Ils existent une foule d'autres cas moins tranchés qui suscitent un débat sur la protection de la vie privée, sur la sécurité et ce genre de choses. Presque toujours, on arrive à une solution quelconque et à obtenir ce dont on a besoin.
Certains des problèmes sont d'ordre pragmatique. Tout dépend de la quantité d'information dont a besoin la police et du fait qu'elle dispose à priori de l'information dont nous avons besoin pour nous permettre d'aller en chercher plus ou le fait que la question soit trop vague et exige plus de soutien à l'enquête. Ainsi, il est habituellement très facile de régler les questions relatives à la sécurité et l'exploitation en ligne des enfants. Si la question est plus floue et se transforme en expédition de pêche, alors nous posons des questions. Il nous faut frapper un juste équilibre entre la protection de la vie privée de nos clients et de nos fichiers sur les abonnés et les exigences d'application de la loi.
Le sénateur Baker : Vous avez, dans votre secteur de téléphonie cellulaire et de lignes terrestres, un bureau spécial qui s'occupe de l'application de la loi.
M. McMahon : Oui.
Le sénateur Baker : En d'autres mots, lorsque la police se présente avec un mandat l'autorisant à placer un téléphone sous enregistreur de no en vertu de l'article 492.2 du Code criminel, c'est la personne qui travaille dans ce bureau qui traite avec elle. Il s'agit là d'un mandat visant à obtenir des nos de téléphone.
M. McMahon : Oui.
Le sénateur Baker : Ce serait aussi ce bureau qui s'occuperait d'un mandat d'écoute téléphonique.
Toutefois, je m'intéresse particulièrement aux aspects de la loi mettant en cause cette personne qui parle aux policiers au téléphone et leur fournit des adresses, des nos de téléphone non inscrits et ainsi de suite. La pratique semble répandue au sein de toutes les entreprises de téléphonie. Est-ce parce que, selon votre interprétation, la Loi sur la protection des renseignements personnels et les documents électroniques ne s'applique pas lorsque des policiers demandent de l'information? Avez-vous une opinion à ce sujet?
M. McMahon : La quantité d'information fournie en l'absence d'un mandat très précis serait fonction des circonstances et de l'urgence de la demande.
Le sénateur Baker : Je ne parle pas de mandat. Je parle de renseignements fournis volontairement par les entreprises de téléphonie à quiconque appelle, plus particulièrement un policier.
Prenons l'exemple du dispositif qui permet de connaître tous les nos de téléphone cellulaire dans un secteur particulier. La police appelle à votre bureau pour organiser une rencontre afin de connaître le nom, l'adresse et toute l'information détenue au sujet d'un certain no. L'information est fournie sans mandat. Je me demande comment il est possible d'accéder à une pareille demande, sans l'autorisation d'un juge.
M. McMahon : Typiquement, il faudrait qu'il y ait un mandat nous autorisant à communiquer ce genre de renseignements.
Le sénateur Baker : Êtes-vous en train d'affirmer que cela ne se produit jamais?
M. McMahon : Pas chez nous. Toutefois, je ne m'occupe pas particulièrement de ce genre de demandes ou de vol d'identité.
La présidente : Sénateur, puis-je inscrire votre nom sur la liste des intervenants pour le second tour de table?
Le sénateur Baker : J'ai une autre question à poser concernant un tout autre sujet.
La présidente : Vous pourrez la poser lors du génial second tour de table.
Le sénateur Joyal : Monsieur McMahon, vous avez mentionné dans votre déclaration que la technologie évolue rapidement. À quel point faut-il rendre le projet de loi adaptable aux nouvelles technologies, pour éviter que la loi ne soit désuète dans deux ou cinq ans? Je vous pose la question parce que le réseau aura peaufiné ses façons de faire d'ici là et se sera perfectionné, de sorte qu'il sera plus facile aux pirates informatiques d'y entrer illégalement pour voler des nos de carte de crédit ou des identités.
Vous avez, j'en suis sûr, lu le projet de loi. Y a-t-il un élément dans le texte auquel il faudrait, selon vous, réfléchir davantage et faire en sorte qu'il soit possible de l'adapter, soit dans les définitions ou ailleurs — la manière dont les infractions sont définies?
M. McMahon : On m'a posé la même question il y a quelques années au sujet des lois sur les tables d'écoute et d'autres genres de mesures prévues dans le Code criminel qui visaient la technologie.
Le meilleur conseil que je pouvais donner alors était d'essayer de laisser la porte suffisamment grande ouverte et de ne pas viser des technologies, des moyens, des modes ou des méthodes particuliers en raison de leur évolution rapide. Ainsi, les procureurs ou les avocats pourront interpréter la loi de manière rationnelle, en fonction de l'évolution de la technologie. C'est là la première partie de la solution.
L'autre, c'est qu'il existe d'autres mesures à prendre, à l'extérieur du domaine technologique, pour aider à contrer le vol d'identité. Il faudra notamment développer des contre-mesures au vol d'identité et tout inclure, des campagnes de sensibilisation à la sécurité destinées au grand public à la communication de renseignements, y compris divers partenariats publics-privés visant à développer des technologies qui offriront un environnement en ligne plus sécuritaire.
Il y a de nombreuses choses à faire. La loi ne représente qu'une partie d'entre elles, naturellement.
Le sénateur Joyal : À quel point participez-vous à la responsabilité d'élaborer, comme vous l'avez dit, des contre-mesures visant à protéger le grand public?
Une chose me préoccupe, et je vous en donne un exemple précis. Les membres du comité, préoccupés par la pornographie juvénile, ont recommandé de confier une responsabilité aux fournisseurs d'accès Internet. Pourrions-nous tenir le même raisonnement ou un raisonnement analogue et dire que nous savons qu'il y a eu accès illégal au système et qu'en tant que fournisseur d'accès, vous avez jusqu'à un certain point la responsabilité de le rendre impénétrable?
Faudra-t-il, dans le projet de loi à l'étude, inclure quelque chose d'analogue à ce que nous avons fait dans celui sur la pornographie juvénile? Ou serait-il préférable de ne pas conférer de responsabilité au fournisseur d'accès? Y avez-vous déjà réfléchi?
M. McMahon : La sécurité des enfants est un bon exemple. Nous faisons de notre mieux pour bloquer la pornographie juvénile explicite sur l'Internet. Actuellement, nous avons recours à une liste fournie par Cybertip.ca, un programme plutôt bien réussi.
La façon dont les fournisseurs et les entreprises de télécommunication du monde entier font face à la menace évoque l'image d'un énorme écosystème dans lequel il y a des prédateurs. Notre réaction aux prédateurs consiste essentiellement à les neutraliser. Nous neutralisons, de sorte que toutes les entreprises de télécommunication insèrent des mécanismes de sécurité visant à réduire la quantité de fraudes en ligne, de vols de bandes de fréquence, de pourriels et d'autres phénomènes de ce genre.
Le jour viendra où il sera difficile de purger le système davantage. Actuellement, nous bloquons 94 p. 100 environ de ces phénomènes. Il existe plusieurs explications, y compris de nature budgétaire. À un certain stade, le coût devient prohibitif. Les rendements des mécanismes de sécurité mis en place diminuent. Il devient aussi plus difficile de bloquer les quelques pourcents qui restent. Autre raison, peu de clients les demandent, en raison surtout du fait que la plupart d'entre eux ne savent pas qu'ils sont menacés. Par conséquent, les forces du marché sont aussi un facteur déterminant.
Les questions de neutralité nette et de protection de la vie privée entrent aussi en jeu. Les gens souhaitent pouvoir visiter des sites, télécharger, et ainsi de suite. Il y a une limite aux politiques de sécurité restrictives qu'une entreprise de télécommunication peut mettre en place uniformément et appliquer à tout le grand public canadien. Par exemple, il est possible qu'une banque ait des politiques très rigoureuses que nous pouvons mettre en place, de sorte que ses réseaux sont beaucoup plus sécuritaires. Il en va de même pour l'entreprise particulière. Cependant, quand on fournit des largeurs de bande au grand public, il est difficile de fournir de la sécurité sans empiéter sur le droit à la protection de la vie privée des gens et les empêcher de naviguer sur l'Internet et bien souvent de contracter des virus.
Ce débat est en cours. La législation n'est probablement pas la réponse. Nous avions proposé des crédits d'impôt qui nous permettraient d'accélérer les programmes afin d'épurer davantage les systèmes, plutôt que d'essayer de créer des programmes et de trouver des clients pour aider à les financer.
Il y a eu beaucoup d'avancées, de toute évidence. Le phénomène s'accélère en raison du coût de la largeur de bande, ainsi que de la volonté d'offrir aux clients des services à valeur ajoutée, c'est-à-dire des systèmes plus nets et une connectivité plus fiable.
Le sénateur Joyal : En ce qui concerne la première question, y a-t-il dans le projet de loi des passages où les termes techniques ont un sens trop restrictif qui empêchera une adaptation aux nouvelles avancées?
M. McMahon : Je ne le crois pas. Je crois que la loi serait davantage limitée par la créativité et par la part de risque que le procureur est disposé à assumer dans l'interprétation de la technologie — notre capacité d'énoncer ce qui se passe en temps réel dans le cyberespace, du point de vue des menaces, à des gens ayant des connaissances juridiques capables d'en faire l'interprétation.
Le sénateur Joyal : Estimez-vous que tous les domaines biométriques dont nous parlions sont décrits en termes suffisamment généraux pour permettre au projet de loi de conserver son actualité pendant plusieurs années, étant donné tous les développements de la technologie auxquels on peut s'attendre?
M. McMahon : Je le crois. Je n'ai pas examiné le projet de loi sous cet angle. À nouveau, je ne puis que vous mettre en garde contre la tentation de trop verser dans les détails techniques parce que, si vous prévoyez une solution technique, elle sera probablement désuète dans quelques mois, dans six mois ou un an.
La présidente : Je tiens à préciser que ce n'est pas par manque d'intérêt que je cède la parole à d'autres. Par contre, nous devons respecter des limites de temps et tous tiennent à pouvoir vous poser des questions, monsieur McMahon. C'est là le problème.
Le sénateur Nolin : Ma question relève davantage de la curiosité parce que vous êtes ici comme porte-parole de l'Association canadienne de la technologie de l'information. Je suis convaincu que, parmi vos membres, certains ont peut-être la réponse.
La plupart d'entre nous voyagent, et on ouvre la porte des chambres d'hôtel au moyen d'une carte. Nous avons été prévenus de prendre le plus grand soin de ces cartes, qu'elles contiennent peut-être de l'information qui pourrait être utilisée contre nous. Est-ce vrai et, dans l'affirmative, comment cela fonctionne-t-il? J'adore ma carte. Je la garde dans le tiroir de mon pupitre juste pour la mettre à l'abri des regards. Que contient-elle? Mon no de carte de crédit y figure-t-il? Quels renseignements cette carte comporte-t-elle que je devrais protéger?
M. McMahon : De quelle carte parlez-vous?
Le sénateur Nolin : De la carte qui vous ouvre la porte de votre Chambre d'hôtel. Connaissez-vous la technologie? Transmet-elle simplement un signal qui déverrouille la porte?
M. McMahon : Il m'est difficile d'y répondre parce qu'il existe tant de technologies différentes.
Le sénateur Nolin : C'est pourquoi j'ignore la réponse.
M. McMahon : Pour vous répondre très simplement, certaines cartes renferment plus d'information sur vous que d'autres. Le contenu est en réalité laissé à la discrétion de ceux qui les conçoivent et les utilisent. Il existe plusieurs cartes de base. Je les classe dans deux catégories : la carte à bande magnétique, dans laquelle vous pouvez inclure tous les renseignements désirés, et la carte à puce, qui code l'information et en permet un échange plus sécuritaire.
De plus en plus, nous observons une croissance de l'intérêt marqué à certaines cartes, par exemple les cartes bancaires et les cartes de crédit auxquelles une puce est intégrée. Elles compliquent le travail de la poursuite. Il est plus difficile de traiter ce genre de crimes que les autres. La personne malveillante va se demander s'il est rentable de voler une simple carte sans puce quand il existe d'autres moyens plus rapides de faire de l'argent. Le problème des criminels actuellement, c'est qu'ils ont l'embarras du choix.
Le sénateur Nolin : Devrais-je continuer de conserver ces cartes et de ne pas les rendre à la réception de l'hôtel?
Le sénateur Campbell : On ne le fait que pour les clés.
Le sénateur Nolin : Y a-t-il encore des hôtels qui utilisent des clés?
M. McMahon : Je ne saurais quoi vous répondre si je ne connais pas l'information précise qui est emmagasinée sur la carte.
Le sénateur Nolin : Mon autre question porte sur l'échange de renseignements. Au sein de votre association, je constate la présence d'un groupe important de sociétés. Partagez-vous des données? À Bell Canada, avez-vous une liste de renseignements que vous êtes priés de partager avec d'autres membres de l'association? Avez-vous une liste de noms et d'adresses de personnes qui ne respectent pas les règles d'utilisation des services de Bell Canada et vous demande-t-on de partager ces renseignements avec d'autres membres de votre association?
M. McMahon : Nous ne partageons pas d'information sur les abonnés avec qui que ce soit sans en avoir l'autorisation légale. Même si nous le voulions, la quantité d'information sur l'activité malveillante qui se déroule dans le cyberespace canadien est si volumineuse qu'il n'y a pas de service Internet ou d'ordinateur suffisamment puissant pour l'emmagasiner. Nous partageons effectivement, habituellement, des rapports qui résument les tendances relatives aux façons de faire, les plus récentes nouveautés dans le métier, le genre de choses que vous liriez dans un rapport de Symantec, soit une grande quantité d'information résumée pour la haute direction sous forme de grands thèmes.
Les renseignements précis sur qui fait quoi à qui représentent le genre de choses dont nous ne discutons qu'avec les organes d'exécution de la loi, et encore là, nous évoluons tous deux dans un environnement où nous avons beaucoup d'information, mais qu'elle n'est tout simplement pas pratique ou suffisamment exacte pour être communiquée. Actuellement, la plupart des échanges d'information se font de vive voix ou au moyen de rapports.
Le sénateur Nolin : Hier, nous avons demandé au ministère de la Justice s'il avait l'intention de créer une banque de données à l'usage de tous les organismes d'application de la loi au pays. Il nous a répondu par la négative. Je me demandais simplement si la technologie pouvait nous venir en aide, mais il semble que non. Ce que vous communiquez à vos membres, ce sont les tendances ainsi que les techniques d'intrusion.
M. McMahon : C'est exact. Le défi, c'est que les techniques se développent et se répandent si vite qu'il faut effectuer l'analyse au sein même des collectivités qui ont accès à ces données brutes. L'analyste du milieu financier qui examine les mesures de la fraude financière constate qu'elle se fait en un clin d'oeil. On observe le même phénomène dans le milieu des télécommunications. Vous pouvez vous imaginer l'étendue des canaux de communication et des systèmes. Il n'est pas si facile de résumer l'information en temps réel. L'analyse des renseignements, la rédaction d'un rapport et la communication de l'information que nous faisons sur une base régulière exigent beaucoup de personnel et de temps.
Le sénateur Nolin : Le projet de loi S-4 vous facilitera sûrement la tâche.
M. McMahon : Il ne nuira pas, c'est certain.
Le sénateur Dickson : En avant-propos, je tiens à faire deux déclarations : premièrement, j'ai été victime d'une fraude par carte de crédit, que je peux vous décrire rapidement et, deuxièmement, ma fille travaille chez Bell Canada. Mieux vaut le dire au départ, et j'aurais dû le faire plus tôt.
Je vous explique ce qui s'est passé. Lorsque j'ai reçu le relevé de ma carte de crédit, je me suis rendu compte qu'on avait débité mon compte de 8 700 $. Que faire? Je me rends donc à la banque, plutôt vexé, et j'explique à un employé qu'il manque 8 700 $ dans mon compte, une somme tout de même rondelette. Je savais ne pas avoir engagé de telles dépenses. L'employé me dit alors que la première étape est de me présenter au détachement local de la GRC ou de la police. Je vous épargne mon expérience de la police locale, mais la GRC s'est révélée très accessible et disponible, et c'est donc là que j'ai signalé la fraude. J'ai rappelé la compagnie émettrice de la carte pour l'aviser que j'avais signalé la fraude, et on m'a heureusement crédité le montant, de sorte que ne n'ai pas eu à assumer la dette. La banque a par la suite trouvé la succursale — située à Edmonton — grâce à un mécanisme de son système et identifié la personne à qui mes fonds ont été transférés.
D'après la greffière du comité, nous inviterons à témoigner les compagnies émettrices de cartes de crédit ainsi que les banques, probablement. Toutefois, les associations avec lesquelles vous faites affaire ont sûrement des codes de pratique à respecter lorsqu'il y a coopération entre les banques et les compagnies émettrices de cartes de crédit, de même qu'à l'égard des services bancaires en ligne. Les mécanismes techniques en place sont-ils efficaces? En existe-t-il de meilleurs?
M. McMahon : Oui, sénateur, les sociétés de télécommunications et les banques travaillent effectivement en étroite collaboration. Elles sont à la fois partenaires et clients. Nous nous occupons souvent de la gestion des réseaux des banques. Nous sommes également victimes de fraudes nous-mêmes. La plupart des attaques ciblent le secteur financier ou ses clients, et ces attaques en ligne sont souvent perpétrées au moyen des infrastructures que nous gérons. C'est donc tout à fait dans notre intérêt commun. Nous nous rencontrons effectivement pour discuter et pour échanger des renseignements, parfois en temps réel.
Il existe deux approches pour traquer les auteurs d'actes tels que la fraude d'identité : suivre l'argent ou suivre les communications. À chaque personne qui fait des opérations en ligne est associée une adresse IP — une adresse de protocole Internet — ou un nom de domaine. Il est possible d'effectuer un suivi financier du parcours des renseignements. Ce ne sont pas nécessairement des systèmes intégrés. L'interface est presque en face à face. Il y aura peut-être un jour un moyen d'établir une corrélation en temps réel pour déterminer où chemine et aboutit l'argent.
Des analyses sont en cours. Les banques analysent la fraude et le blanchiment d'argent, et nous nous intéressons aux actes malveillants commis sur Internet pour déterminer d'où provient le mal. Les deux analyses sont mises en commun à un niveau supérieur, dans un résumé. Dans certains cas, notamment lorsqu'il est question d'hameçonnage, nous communiquons des données spécifiques, telles que la personne ou le groupe à l'origine de l'attaque.
Le sénateur Dickson : Y a-t-il moyen d'améliorer le projet de loi pour mieux préciser si une banque ou Bell Canada a l'obligation ou la responsabilité d'intenter une poursuite judiciaire, de faire appel à la GRC et de porter une accusation?
M. McMahon : Ce que je m'apprête à dire n'est que mon opinion personnelle parce que je ne suis pas un juriste, et je ne parle pas au nom de Bell, mais principalement comme porte-parole de l'association.
La nature semble suivre son cours. Les principaux secteurs à risque — par exemple, les communications, les télécommunications et la finance — reconnaissent la forte interdépendance et le risque élevé qui découlent des liens entre les entreprises et ces deux infrastructures. En conséquence, la coopération se fait naturellement.
D'après moi, le plus grand obstacle à l'inclusion des organismes d'application de la loi n'est pas l'absence de dialogue; nous avons des échanges quotidiens au sujet des problèmes les plus graves et des plus grands dossiers. Le défi consiste à trouver un moyen de présenter les données recueillies sous une forme utile aux services de police, dans le cadre de leurs enquêtes. Il faut adapter les renseignements concernant les bits et les octets qui parcourent le cyberespace à une vitesse fulgurante pour qu'ils ressemblent à ceux que l'on retrouve habituellement dans le dossier d'une affaire, ce qui requiert de la main-d'œuvre, des processus et des technologies. Il faut également changer les façons de penser.
Le sénateur Campbell : La possibilité de présenter comme preuve devant un tribunal des renseignements échangés entre pairs vous préoccupe-t-elle? En d'autres mots, vous discutez simplement avec vos collègues, sans qu'il soit question de porter des accusations, au criminel ou non. Il est possible que vous échangiez des renseignements potentiellement liés à une cyberfraude. Vous inquiétez-vous du fait que ces renseignements peuvent facilement servir de preuve devant les tribunaux?
M. McMahon : Lorsque les sociétés de télécommunications traitent d'actes malveillants, elles utilisent du jargon informatique et parlent d'adresses IP, de noms de domaine, et ainsi de suite. Il n'est pas toujours évident d'identifier l'auteur du crime.
Même dans sa façon de régler les problèmes, le service de dépannage aide à résoudre des incidents de nature malveillante souvent en fonction des adresses IP et des comptes utilisateur, par exemple. L'information n'est pas nécessairement dans un format qui se prête à une accusation facile ou que la GRC peut examiner facilement pour déterminer s'il y a eu crime et comment procéder à la mise en accusation de son auteur. Il est souvent plus facile de stopper l'attaque que d'en déterminer la source. En effet, il est plus facile de contrer une attaque massive venue de l'étranger que d'enquêter sur son origine ou le motif.
Le sénateur Campbell : Ma dernière question concerne ce que nous pouvons faire à l'avenir pour arrêter les attaques. Il y a longtemps, dans les cercles d'enquête judiciaire, on utilisait une expression du genre « Je vais vous dévoiler mes renseignements si vous me rendez la pareille. » Un pareil échange d'information avait pour but principal le partage de renseignements afin de poursuivre l'enquête. Ils n'étaient pas particulièrement destinés à servir de preuve dans un procès. Vous trouvez-vous dans une situation semblable?
J'ai l'impression que vous évoluez dans une plus haute sphère, dans un monde plus virtuel de simples adresses IP et noms de domaines. Vous semblez plus intéressé à stopper une attaque contre votre réseau qu'à porter une accusation criminelle ou arrêter quelqu'un; vous êtes davantage préoccupé par la protection d'intérêts commerciaux.
M. McMahon : Je crois que vous misez juste. Si l'un de nos abonnés ou clients se conduit mal, il est plutôt facile de régler le problème parce que nous savons exactement de qui il s'agit et que nous pouvons fournir son identité aux autorités ou même nous en occuper directement avec le client.
L'autre question porte sur les renseignements criminels, à savoir la recherche de données sur l'évolution d'une situation. Prenons l'exemple d'un service de police qui demande à avoir des renseignements criminels reliés aux crimes cybernétiques. Qui sont les criminels? Nous avons besoin d'information avant de pouvoir lancer une recherche parce que nous ignorons où la commencer.
Beaucoup de discussions précèdent, par exemple, la publication d'un livre blanc ou de rapports sur la menace à grande échelle, jusqu'à ce que la GRC ait suffisamment de renseignements qu'elle peut utiliser dans le cadre d'une enquête. C'est à ce stade que notre recherche prend fin. De fait, lorsque l'on commence à demander les noms de personnes spécifiques ou de Canadiens impliqués, la GRC demande un mandat et entame son enquête.
Donc, la première partie de la recherche ne porte pas sur des renseignements privés; il est plutôt question d'identifier les moyens, les motifs et les méthodes ainsi que de cibler les groupes constituant une menace, l'endroit où ils se trouvent, et ainsi de suite.
Ce qui se passe dans l'intervalle reste matière à discussion parce que c'est là où il faut avancer avec précaution, car il faut satisfaire aux besoins de l'application de la loi tout en développant un contexte pour une enquête, en respectant les exigences en matière de vie privée des citoyens et en restant neutre. C'est autour de cette question que tournent beaucoup de discussions entre les groupes juridiques et opérationnels.
Le sénateur Bryden : J'aimerais enchainer en vous posant une question. On peut avoir accès à Internet haute vitesse par ligne terrestre, mais aussi par satellite. L'un des deux modes de connexion est-il plus vulnérable aux attaques? Est-il plus facile d'attaquer une connexion par satellite qu'une connexion par ligne terrestre ou l'inverse?
M. McMahon : C'est une excellente question. Un pirate informatique qui tente de prendre le contrôle d'un ordinateur veut avoir accès à un bon ordinateur qui est rapide. Il ne cherche pas spécialement à voler l'identité de l'usager; il utilise plutôt l'appareil comme point de lancement pour commettre une fraude rapide et envoyer des pourriels, par exemple. S'il réussit à voler l'identité de l'usager par la même occasion, c'est une prime, mais son but premier est d'utiliser l'ordinateur comme plateforme de lancement. Ainsi, il cherchera à avoir une bonne bande passante.
Cependant, il lui faut également être en mesure de prendre le contrôle de l'ordinateur. Les ordinateurs qui ont un accès Internet par réseau commuté sont souvent les moins à jour parce que le téléchargement des rustines récentes prend une éternité.
On remarque donc que beaucoup d'ordinateurs à accès commuté sont infectés, mais il semble que les connexions à large bande passante et les ordinateurs puissants sont également infectés pour deux raisons tout à fait différentes. Comme l'accès commuté tend à disparaître, les solutions à large bande passante — qui constituent la plus grande menace — augmenteront en nombre et, de ce fait, le trafic le plus malveillant. L'autre choc surviendra à l'entrée sur les marchés des systèmes 4G — offrant Internet haute vitesse à large bande — qui sont intégrés dans les appareils portatifs pour accélérer leur vitesse. Nous estimons que ces deux éléments aggraveront le phénomène actuel.
Le sénateur Bryden : Je ne crois pas que vous ayez répondu à ma question. Est-ce plus risqué d'avoir un accès commuté à la maison — ce que j'ai actuellement parce que c'est le seul service disponible chez moi — qu'un accès satellite? Le savez-vous?
M. McMahon : Je n'en suis pas certain. À mon avis, c'est probablement très semblable. Nous avons fait la comparaison entre un accès commuté et un accès à large bande passante, mais pas entre une connexion satellite et une connexion DSL.
La présidente : Je demanderais aux sénateurs et à M. McMahon d'être le plus concis possible parce que nous avons d'autres témoins à entendre ce matin et qu'il nous faudra bientôt lever la séance pour nous rendre à la Chambre du Sénat.
Le sénateur Baker : Comme notre séance est télédiffusée et que nous avons l'auteur avec nous, je voudrais rappeler que le livre s'intitule Cyber Crime. Est-ce bien le titre de votre livre?
M. McMahon : Il s'intitule Cyber Threat.
Le sénateur Baker : C'est un excellent livre, bien vulgarisé et à la portée de tous. C'est une très bonne suggestion cadeau pour Noël.
J'aimerais vous demander ceci : À chaque fois que vous avez répondu aux questions des sénateurs, vous avez parlé des répercussions du projet de loi. Dans un cas, vous avez effectivement affirmé qu'il n'y aurait pas de retombées négatives. Vous avez bien sûr fait valoir que la majorité des crimes sont perpétrés à l'extérieur des frontières du Canada, et nous le comprenons bien. Pouvez-vous proposer au comité une disposition à inclure au projet de loi qui s'appliquerait aux poursuites à l'étranger pour l'utilisation d'identités volées au Canada? Selon vous, la majeure partie des vols d'identités auxquels nous avons affaire sont commis à l'extérieur du pays?
M. McMahon : C'est une question intéressante, monsieur le sénateur. J'ai beaucoup réfléchi pour trouver un moyen de régler le problème. Je n'ai pas envisagé de mesures législatives comme principale solution, surtout parce que mon champ de compétence et d'influence se limite plutôt au domaine technologique, et non pas au domaine juridique.
Je peux cependant vous affirmer que des collègues avocats m'ont dit être dépassés ou frustrés par le peu de pouvoirs qu'ils ont de porter des accusations ou même de faire enquête à l'étranger. Il s'avère parfois plus pragmatique de tenter de stopper et de cerner la provenance des attaques au lieu de s'en prendre aux responsables après-coup. Il est par ailleurs souvent question de la façon dont on pourrait poursuivre ces dossiers à l'étranger.
Le sénateur Wallace : J'aimerais revenir à un point qu'a soulevé le sénateur Joyal un peu plus tôt. C'était une question très pertinente. Vu l'étendue de vos connaissances technologiques, je suis persuadé que vous comprendrez parfaitement de quoi il en retourne. Si nous voulons régler ce problème de vol d'identité, nous ne pouvons pas nous limiter aux technologies que nous connaissons aujourd'hui; il faut prévoir une certaine marge de manœuvre. Cela me paraît logique.
Quand je lis le projet de loi S-4, et particulièrement la définition de « renseignements identificateurs » et le rapport établi avec le vol d'identité, je n'ai pas l'impression qu'on se limite à un quelconque support de stockage des données ni à une technologie particulière. J'ai cru comprendre, d'après les propos que vous avez tenus, que vous abondiez aussi dans ce sens, mais je voulais seulement le confirmer. À votre avis, est-ce que quelque chose dans le projet de loi restreint la portée de la définition de « renseignements identificateurs »?
M. McMahon : Je ne crois pas personnellement que ce soit le cas. Je vous dirais cependant, si je me fie à mes 20 années d'expérience avec le milieu juridique, que certains avocats sauraient user d'imagination pour porter des accusations dans les limites du texte législatif; d'autres l'interpréteraient différemment et très prudemment.
Le sénateur Wallace : Je crois que nous allons suivre votre opinion.
Le sénateur Milne : Vous nous avez expliqué que le vol d'identité et la fraude par carte de crédit ou de débit laissent de plus en plus la place à des méthodes visant à voler 1 $ dans un million de comptes bancaires sur Internet, plutôt que de voler de gros montants dans quelques comptes. Je ne vois pas comment la police ou vous-même allez pouvoir détecter ce genre de crime. Les gens ou les compagnies qui auront été la cible de ces fraudes ne s'en rendront même pas compte. Un écart de plus ou moins 10 $ ne se remarque pas nécessairement; les gens peuvent oublier le montant exact qui se trouve dans leur compte.
Le projet de loi vise un genre de crime qui a tendance à diminuer plutôt qu'à augmenter. Je ne crois pas que ce million de personnes à qui on a volé 10 $ ne vont jamais se plaindre ou même réaliser ce qui s'est passé. Je commence à comprendre quel sera l'impact de ce projet de loi.
M. McMahon : C'est une observation très perspicace. Cela nous révèle en fait que la façon traditionnelle de trouver une victime — c'est-à-dire un consommateur qui se fait attaquer son compte en banque tandis qu'il est à la maison — ne sera plus la même; on préférera plutôt cibler une organisation précise au Canada. Dans une affaire désormais célèbre à Montréal, aucune des victimes ne savaient qu'elles avaient été ciblées, mais, grâce à d'autres méthodes d'enquête, la police a découvert qu'un groupe avait volé et utilisait des dizaines de milliers, voire des millions, de nos de carte de crédit.
Ce projet de loi permettrait à la police de porter des accusations dans ce dossier. Ce qui pose problème, d'après ce qu'on m'a dit, c'est que la police a de la difficulté à informer toutes les victimes et à les amener à témoigner en cour. Il serait beaucoup plus facile si elle pouvait traîner devant les tribunaux les personnes qu'elle veut poursuivre pour leur demander d'expliquer pourquoi des millions de nos de carte de crédit se trouvaient dans leur ordinateur.
J'ai l'impression que les criminels ne seront pas retracés grâce à des plaintes formulées par les victimes, mais grâce à des techniques très proactives de maintien de l'ordre.
Le sénateur Milne : Dans une législature précédente, des témoins du secteur du jeu en ligne ont dit à ce comité que les fournisseurs d'adresses IP, les fournisseurs de services et les compagnies téléphoniques étaient ni plus ni moins des facilitateurs. On soutenait que ces derniers ne parlaient pas à la police. Vous nous apprenez toutefois aujourd'hui que vous êtes continuellement en communication avec la police. Je commence à me demander ce qu'est la situation exactement.
M. McMahon : Cela varie d'une entreprise de télécommunications à l'autre, et d'un service de police à l'autre. On peut dire qu'il y a une bonne coopération entre les fournisseurs de premier niveau et les principaux corps policiers. Je ne sais cependant pas quelles sont les relations entre les fournisseurs de troisième palier et les corps policiers locaux.
La présidente : Cela devient de plus en plus intéressant, monsieur McMahon, mais notre temps est écoulé. Merci beaucoup. Votre témoignage nous sera très utile et, comme l'a fait remarquer le sénateur Baker, vous avez su vulgariser vos propos, ce qui nous aide aussi beaucoup.
C'est avec plaisir que nous accueillons maintenant, de la Clinique d'intérêt public et de politique d'Internet du Canada Samuelson-Glushko, M. David Fewer, directeur intérimaire, et M. Tamir Israel, stagiaire en droit.
Je crois que vous savez comment les choses se déroulent. Nous vous demandons de faire une déclaration préliminaire avant de répondre à nos questions.
David Fewer, directeur intérimaire, Clinique d'intérêt public et de politique d'Internet du Canada Samuelson-Glushko : Merci de nous avoir invités pour vous parler d'un grave problème qui touche directement de plus en plus de Canadiens. C'est un problème qui nous touche tous indirectement compte tenu des coûts qui se répercutent sur les consommateurs et des mesures préventives que nous devons maintenant prendre.
Nous dirigeons une clinique technologique établie à la Faculté de droit de l'Université d'Ottawa. Notre mandat est de défendre l'intérêt public, à la croisée du droit et de la technologie. Vous comprenez maintenant pourquoi nous sommes ici.
Nous avons beaucoup travaillé dans ce domaine dans le passé. Nous avons pris part à un projet de recherche multipartite sur le vol d'identité, qui est maintenant terminé et qui avait été financé par l'Ontario Research Network for Electronic Commerce, un partenariat public-privé auquel quatre grandes banques canadiennes se sont associées. Depuis quatre ans, nous examinons des initiatives juridiques et politiques dans ce domaine. Des collègues de quatre autres universités ontariennes se sont aussi penchés sur des questions touchant à la définition et à la mesure du vol d'identité, de même que sur des solutions technologiques pour contrer ce genre de vol.
Sur notre site web, au cippic.ca, nous avons publié une série de documents de travail sur différents aspects du vol d'identité. Vous y trouverez notamment une introduction et une fiche documentaire, ainsi qu'un document de travail sur les différentes techniques, un document de travail sur les approches législatives visant à cerner ce genre de vol, de même qu'un aperçu de la jurisprudence sur le vol d'identité, des approches politiques pour détecter le vol et de l'application des lois portant sur le vol d'identité.
Nous avons aussi publié un livre blanc préconisant la notification des atteintes à la sécurité, une mesure que le gouvernement canadien pourrait prendre en vue de remédier au problème du vol d'identité, en plus des moyens dont nous voulons vous parler aujourd'hui.
Nous avons par ailleurs publié une page web sur le vol d'identité qui comprend tous ces documents et bien d'autres, en plus d'une foire aux questions et des ressources à l'intention du public. Plus tard cette année, nous allons publier la version finale de notre livre blanc, qui fait la synthèse de l'ensemble de notre travail et qui formule des recommandations précises au sujet de réformes législatives et politiques.
Nous sommes heureux de venir vous parler du projet de loi S-4 aujourd'hui. Nous aborderons trois sujets : les changements que propose le projet de loi S-4 au Code criminel; des changements au Code criminel que ne prévoit pas le projet de loi S-4, mais qui contribueraient grandement, à notre avis, à remédier au problème du vol d'identité; ainsi que des propositions d'ordre général pour contrer le vol d'identité.
À la façon dont vous avez interrogé mon ami, M. McMahon, ce matin, j'en déduis que vous avez beaucoup de questions à poser sur le sujet. Je propose d'abréger mes remarques préliminaires pour que nous puissions passer plus rapidement à la ronde de questions.
Nous appuyons le projet de loi S-4. C'est très bien. Le projet de loi S-4 vise des activités frauduleuses et comble des lacunes dans la législation actuelle en ce qui a trait aux actes qui constituent la première étape du vol d'identité. Bravo. Il fournit également aux autorités responsables de l'application de la loi de biens meilleurs outils législatifs pour arrêter les voleurs d'identité et les faire déclarer coupables. Encore une fois, bravo. Nous sommes particulièrement satisfaits de l'amendement prévoyant un dédommagement des victimes.
Qu'est-ce qui fait défaut au projet de loi? Je ne voudrais pas que le gouvernement du Canada adopte ce projet de loi en se disant que cela réglera le problème du vol d'identité et qu'il a fait ce qu'il avait à faire. Ce n'est que le commencement. Ce projet de loi permettra d'accomplir beaucoup en reconnaissant qu'il s'agit d'actes frauduleux. Nous reconnaissons qu'ils sont contraires au Code criminel et nous avons des mesures en place pour faire appliquer la loi, mais nous pouvons en faire encore plus, même dans les limites du Code criminel.
Nous aimerions que des modifications soient apportées au Code criminel afin que les victimes aient le droit d'obtenir un rapport de police. C'est une mesure qui aiderait énormément les victimes à assurer un suivi auprès des organismes d'application de la loi, et qui leur permettraient de réagir plus rapidement afin de réparer les dégâts et de prévenir une nouvelle attaque. C'est une des choses intéressantes à propos du vol d'identité. C'est un crime qui n'arrête jamais de frapper.
Nous aimerions aussi que le Code criminel soit modifié pour accorder aux victimes le droit d'obtenir une ordonnance de la cour déclarant leur innocence réelle. C'est encore là pour aider les victimes à faire valoir aux créditeurs, aux banques et aux établissements avec lesquels elles font affaire qu'elles n'ont rien à voir avec les fraudes commises. Une ordonnance de la cour les aiderait grandement dans leurs démarches.
Finalement, nous aimerions que soient établies des lignes directrices régissant l'imposition de peines plus sévères dans les cas de fraudes d'identité. Nous avons remarqué, particulièrement à l'époque où l'on commençait à voir de plus en plus ce genre de crimes, que les juges imposent des peines relativement légères. Le crime organisé pourrait traiter une telle peine simplement comme un coût lié à la « conduite des affaires », ce qui est carrément inacceptable. Nous voulons que des lignes directrices soient établies pour montrer qu'il s'agit d'un crime grave et que les personnes déclarées coupables se voient imposer des peines dissuasives.
Enfin, pour ce qui ce qui est des mesures extra criminelles, nous tenons à souligner que le Code criminel ne peut régler qu'une toute petite partie du problème. Si nous voulons le combattre de façon efficace, nous devons faire beaucoup plus qu'établir des crimes pour lesquels la police peut donner des accusations contre les contrevenants. Nous croyons qu'il faut d'abord et avant tout disposer de meilleures données. Il est difficile au Canada de bien comprendre toute l'ampleur du problème, le quantum des dommages causés, et la durée sur laquelle s'étend les dommages associés au vol d'identité. Nous pensons que nous pouvons en faire beaucoup plus en ce qui a trait à la collecte de données.
La meilleure façon pour y arriver, selon moi, est d'établir un groupe spécial fédéral-provincial-territorial chargé d'étudier les questions liées au vol d'identité. Cette façon de faire a été adoptée ailleurs dans le monde et a permis d'arriver à une approche politique plus complète et cohérente pour s'attaquer au problème. Le Canada devrait suivre la même démarche. Nous l'avons fait auparavant dans d'autres contextes, notamment avec le groupe de travail anti-pourriel il y a quelques années, qui a mené au dépôt du projet de loi C-27 devant la Chambre des communes; il s'agit d'un projet de loi qui vise non seulement les pourriels, mais aussi les autres menaces liées à la confidentialité, comme les logiciels espions.
Il faut ensuite prévoir des ressources. Je présume que le comité a déjà entendu des témoins représentant des organismes d'application de la loi, ou il le fera sous peu. Ces derniers vous diront qu'ils n'ont tout simplement pas les ressources nécessaires, tant au plan de l'expertise technologique que des ressources financières, pour être en mesure de remédier à la situation et de contrer le vol d'identité.
Il ne faut pas non plus oublier de s'attaquer aux sources d'information, ce qui constitue une difficulté énorme. S'il n'était pas aussi facile d'obtenir les renseignements des consommateurs pour commettre des vols d'identité, le problème n'aurait certainement pas la même ampleur. Cela signifie, dans une certaine mesure, que les consommateurs doivent être mieux informés des mesures qu'ils peuvent prendre pour prévenir le vol d'identité. Mais il faut également regarder du côté des établissements et des organisations qui détiennent des données sur les consommateurs. Nous pourrions en faire beaucoup plus pour déjouer les atteintes à la sécurité. Les établissements ont-ils l'obligation de protéger nos renseignements personnels? Ont-ils l'obligation d'aviser les consommateurs en cas de violation de la sécurité des ordinateurs? À qui cet avis devrait-il être émis? Nous avons encore du chemin à faire dans ce domaine.
Nous devons en outre penser à l'atténuation des dommages. J'ai abordé brièvement le sujet en parlant des dispositions en ce sens à inclure au Code criminel, mais je continue de croire que ce n'est pas suffisant. Les consommateurs devraient avoir des droits les aidant à atténuer les effets du crime dont ils ont été victimes et à réduire les risques de se faire prendre. Par exemple, nous devrions avoir le droit d'être informés de toute brèche de sécurité. C'est un droit que nous n'avons pas à l'heure actuelle.
J'ai donné une entrevue à la CBC il y a quelques jours, et j'ai découvert que les compagnies émettrices de cartes de crédit ne le disent pas aux consommateurs si une brèche de sécurité s'est produite dans un commerce avec lequel elles font affaire. Les compagnies agissent ainsi parce qu'elles se retrouvent en situation de conflit d'intérêts inhérent. Elles ont une entreprise à double face. Les consommateurs sont leurs clients, mais les entreprises avec lesquelles traitent les consommateurs sont aussi leurs clientes. L'industrie des cartes de crédit n'a donc pas intérêt à divulguer lequel de ses clients a été la cible d'une telle violation. Il faut prendre des mesures à cet égard.
Finalement, nous recommandons d'établir un bureau d'aide aux victimes. Si vous en avez déjà discuté avec moi ou avec quelqu'un qui a été victime d'un vol d'identité, vous savez qu'il est extrêmement difficile de réparer les pots cassés. Nous pourrions aider grandement les victimes de ce genre de crime, mais nous sommes loin d'en faire suffisamment.
Voilà ce qui met fin à mes remarques préliminaires. Je suis disposé à répondre à vos questions, que ce soit sur les points que je viens d'aborder ou, évidemment, sur le projet de loi S-4.
La présidente : Merci beaucoup.
Le sénateur Wallace : Je vous félicite pour le travail de précision que vous avez effectué, l'examen exhaustif que vous avez fait sur le sujet, ainsi que les études qui sont affichées en ligne. Nous allons certainement les consulter.
J'ai trouvé intéressant que des banques aient pris part à votre projet. Bien sûr, les banques sont très préoccupées par ce problème, car elles se retrouvent aux premières lignes dans les cas de vol d'identité. Comme le sénateur Dickson l'a souligné plus tôt, quand vous êtes victime d'une fraude par carte de crédit, vous devez être en contact direct avec votre banque. Les établissements bancaires reçoivent les plaintes et doivent composer avec la réalité financière associée à ce genre de crime. Je suis curieux de savoir quelle a été la réaction des banques à l'égard du projet de loi S-4. J'ai discuté avec les représentants de certaines banques, et je me demandais ce que vous pensiez de leur attitude et de l'appui qu'ils témoignent à ce projet de loi.
M. Fewer : Je n'ai entendu aucune critique de la part des banques à propos de ce projet de loi, du moins pas directement, même si je dois avouer que je n'en ai pas discuté personnellement avec des représentants, pas plus que des projets de loi C-27 ou C-299, les projets de loi sur le vol d'identité qui ont précédé celui-ci.
Tamir Israel, stagiaire en droit, Clinique d'intérêt public et de politique d'internet du Canada Samuelson-Glushko : Je ne pense pas que nous ayons consulté les banques à ce sujet.
M. Fewer : Je ne peux donc pas vraiment répondre à votre question.
Permettez-moi de vous présenter Tamir Israel, employé de la CIPPIC. Il a beaucoup travaillé dans le domaine des renseignements confidentiels et personnels et s'intéresse au vol d'identité.
Le sénateur Wallace : Merci. Avez-vous analysé en profondeur ce qui se fait ailleurs dans le monde avant de formuler les nombreuses recommandations qui se trouvent dans votre mémoire? Vous êtes-vous penchés sur la façon dont les autres pays se sont attaqués à la question, et est-ce que ce sont des données sur lesquelles vous fondez l'opinion que vous nous partagez ce matin?
M. Fewer : Absolument. Nous avons mené des travaux de recherche juridique comparative. Nous sommes en retard sur le plan législatif. Par exemple, si on prend les États-Unis, qui est un pays avec lequel nous faisons beaucoup affaire et avons des questions transfrontalières en commun, on constate qu'ils ont une longueur d'avance sur nous et sont mieux en mesure de régler les problèmes de vol d'identité. La Commission du libre-échange est l'institution qui se préoccupe des vols d'identité aux États-Unis. De plus, la Californie s'est montrée particulièrement progressiste en prenant des mesures législatives à cet égard. Nous avons passé beaucoup de temps à examiner ces approches et à les comparer avec celles du Canada. Le projet de loi S-4 a néanmoins adapté bon nombre des approches que l'on retrouve en particulier dans la législation californienne.
Le sénateur Wallace : Compte tenu de vos recommandations visant à mettre en place une structure pour protéger les citoyens, ne serait-il pas préférable que ces mécanismes ne figurent pas uniquement dans le Code criminel? Est-ce ainsi dans les autres pays? Disposent-ils d'un entrepôt de données centralisé pour régler quelques-unes de ces questions? Est-il juste de dire que ces questions ne devraient pas nécessairement toutes relever du Code criminel?
M. Fewer : Tout à fait.
Le sénateur Wallace : Avez-vous observé cela dans d'autres pays?
M. Fewer : Absolument.
Le sénateur Wallace : Merci beaucoup.
Le sénateur Baker : Un des témoins précédents nous a dit que la majorité des vols d'identité dont sont victimes les Canadiens sont commis à l'étranger. Par conséquent, si nous adoptons cette loi et que celle-ci est bien fondée, nous aurons, dans une certaine mesure, remédié au problème.
Avant de poursuivre, êtes-vous le même David Fewer qui a poursuivi la commissaire à la protection de la vie privée devant la Cour fédérale et a obtenu gain de cause?
M. Fewer : Oui.
Le sénateur Baker : D'accord, excellent. Nous avons adopté la LPRPDE. En vertu de la loi, la LPRPDE a une portée canadienne. Vous avez fait une demande de contrôle judiciaire en vertu de l'article 18.1 de la Loi sur les Cours fédérales et vous avez gagné. Si ma mémoire est bonne, cela remonte à un an ou deux.
M. Fewer : Cela ne fait pas longtemps.
Le sénateur Baker : Depuis ce jugement, ce crime fait l'objet d'une enquête aux États-Unis. Pourriez-vous décrire au comité toute votre démarche? Vous êtes allé sur Internet et avez fourni le nom d'un citoyen canadien à un organisme qui vous a promis de vous révéler tout ce que vouliez savoir à son sujet, notamment son dossier criminel, son profil psychologique, et ses renseignements personnels. Pourriez-vous nous dire comment vous vous y êtes pris pour modifier la législation canadienne en ce qui a trait à la LPRPDE?
M. Fewer : Je crois que l'honorable sénateur surestime peut-être l'impact de la décision et des arguments.
Le sénateur Baker : Impossible.
Le sénateur Campbell : Le sénateur Baker n'exagère jamais.
M. Fewer : La commissaire à la protection de la vie privée a mal interprété la portée de ses pouvoirs et était d'avis que la LPRPDE ne lui conférait pas compétence pour mener une enquête. C'est ce qui nous préoccupait. La LPRPDE ne vise pas à protéger le Canada, mais plutôt les Canadiens. Nous avons enjoint la commissaire et le tribunal à s'assurer que la loi protégeait les Canadiens dans les cas de violation, surtout lorsqu'il y a des liens évidents et étroits avec le Canada.
Dans ce cas, c'était un courtier en information qui avait offert le service. Je ne me souviens pas de son nom exact, mais il se présentait comme un service de renseignements canadien et affichait un drapeau du Canada. Il disait pouvoir fournir tous les renseignements dont on avait besoin à propos de n'importe quel Canadien.
Le sénateur Baker : À l'étranger.
M. Fewer : Cette organisation était établie aux États-Unis, mais devait forcément avoir des agents ou des enquêteurs au Canada. Chose certaine, elle entretenait des liens avec le Canada. Il est difficile d'avoir accès aux relevés des appels téléphoniques d'un citoyen canadien sans faire affaire avec une compagnie de téléphone canadienne. L'entreprise doit nécessairement avoir des liens avec le Canada, à moins de n'être qu'un fraudeur qui vous soutire de l'argent et invente n'importe quoi, par exemple, sur votre profil psychologique.
Le sénateur Baker : On s'est trompé sur votre profil psychologique?
M. Fewer : Je n'ai malheureusement pas été évalué. Mon ancien collègue, l'ancien directeur de la clinique, m'a assuré que son profil ne correspondait pas du tout. Du moins, je l'espère.
Ce sont donc les circonstances entourant l'affaire. Il est difficile pour la commissaire à la protection de la vie privée d'enquêter sur des crimes à l'étranger, mais cela arrive tout le temps dans les contextes criminel, civil et réglementaire. Nous nous sommes entendus avec les États-Unis pour collaborer dans ce genre d'enquêtes. Dans ce cas, ce n'était pas difficile. La Commission de libre-échange a compétence pour faire enquête sur les questions que nous voulions que la commissaire examine; par conséquent, ceux-ci ont pu collaborer lorsque la Cour a statué que la commissaire à la protection de la vie privée avait aussi compétence. Nous savons que la commission publiera bientôt ses conclusions, et nous pensons que les Canadiens en seront satisfaits.
Le sénateur Baker : Nous vous félicitons d'avoir réussi à étendre les pouvoirs de la commissaire à la protection de la vie privée lui permettant de recueillir des renseignements aux États-Unis et ailleurs à l'étranger dans le cadre d'une enquête. C'était un cas merveilleux.
En ce qui concerne le présent projet de loi, vous avez appuyé la disposition prévoyant le paiement de dommages-intérêts. Lorsqu'une peine est imposée, une indemnisation serait accordée aux victimes de vol d'identité, si je comprends bien, en fonction des dommages causés. Dans votre mémoire, vous dites que de tels litiges sont coûteux. Aux termes de la LPRPDE et de la Loi sur la protection des renseignements personnels, dans le cas de dommages, on peut présenter une demande à la Cour fédérale.
En vertu du projet de loi et de la LPRPDE, nous avons maintenant deux voies de recours pour obtenir une indemnisation relativement aux dommages et aux coûts liés aux poursuites devant la Cour fédérale. Cependant, êtes-vous toujours d'avis que les dispositions de cette mesure législative ont préséance sur les dispositions existantes?
M. Fewer : Absolument. Cela surpasse certainement ce que la LPRPDE a à offrir.
Le sénateur Milne : Lorsque j'ai été nommée pour la première fois au Sénat, des courtiers en information des États-Unis ont comparu devant un autre comité et ont indiqué qu'ils pouvaient, moyennant de l'argent, nous fournir le nom et l'adresse de tous les moucheurs gauchers des États-Unis. Ils sont capables de tout savoir sur une personne. C'est absolument incroyable. Je vous félicite.
Le sénateur Campbell : Monsieur Fewer, sachez qu'il est rare que le Svengali de la jurisprudence au sein de ce comité, le sénateur Baker, s'incline, mais j'ai vu un léger mouvement de sa part, alors vous devriez en être honoré.
Ma question porte sur le rapport de police. Si vous faites l'objet d'une enquête et, par le fait même, d'un rapport de la police, on vous donnera un no de dossier auquel vous référer. Par conséquent, si vous voulez obtenir une copie du rapport, il vous suffit de fournir ce no.
Pourquoi est-il si important de pouvoir avoir accès à ce rapport de police? En vertu de la Loi sur la protection des renseignements personnels, vous recevrez une copie, mais elle sera en grande partie masquée. Tout sera censuré, à l'exception peut-être de votre nom. Pourquoi le no de dossier ne serait-il pas suffisant?
M. Fewer : Nous pensons que le rapport de police permettra de simplifier le processus, de sorte que les consommateurs seront mieux à même de protéger leurs dossiers — financiers, criminels, médicaux, et cetera — contre la fraude. Ce processus simplifié pourrait également aider les agences de renseignements sur les consommateurs, les entreprises et les agences de recouvrement, entre autres, qui doivent composer avec les conséquences du vol d'identité.
Le rapport est plus qu'un no. Dans une certaine mesure, le rapport est un document authentifié et fiable sur lequel les entreprises peuvent se fonder pour prendre de meilleures décisions quant aux mesures correctives.
Le sénateur Campbell : Il ne nous dit pas grand-chose. Si vous demandez un rapport de police, vous verrez qu'il ne vous apprendra rien. Vous vous retrouverez avec un document noirci contenant la date ainsi que votre nom, adresse et no de téléphone.
Je comprends la nécessité d'avoir un document qui confirme votre innocence; cependant, je ne vois pas comment le rapport de police pourrait le faire ni en quoi cela relève de la responsabilité de la police. Vous pourriez attendre plusieurs années avant qu'un rapport de police ne soit conclu. Toutefois, je comprends ce que vous dites, particulièrement si vous devez clamer votre innocence chaque fois que vous utilisez votre carte de crédit. Par contre, je ne crois pas que le rapport de police pourrait y changer quoi que ce soit.
Vous avez fait un travail remarquable sur les autres aspects.
Le sénateur Joyal : Monsieur Fewer, je pense que nous assistons à un phénomène dont nous n'avons pas encore discuté. Les entreprises recueillent de l'information sur des gens à partir de diverses sources, puis vendent cette information. C'est un phénomène grandissant et c'est devenu un outil de commercialisation. Si vous vendez des lunettes à montures bleues, la compagnie vous dira à qui vous adresser selon les données qu'elle a compilées.
C'est un libre marché de l'information. Tout le monde peut recueillir des renseignements sur n'importe qui, puis les vendre. En même temps, nous n'avons pas défini la responsabilité de ces entreprises afin de nous assurer qu'elles n'utilisaient pas ces données pour créer ou voler des identités.
Si nous voulons démontrer au public que nous savons ce qui se passe, nous devons reconnaître que c'est une réalité. Vous avez étudié la question plus que quiconque autour de cette table.
Nous voulons régler le cas des gens qui volent un passeport et se font ensuite passer pour la personne. C'est facile à faire, et je pense qu'il y a maintenant un petit nombre de cas. Ce n'est pas le plus gros problème en termes de volume.
Il y a beaucoup plus de cas de pirates informatiques qui entrent dans des bases de données et des réseaux pour commettre des fraudes avec les cartes de crédit des gens qui achètent sur eBay. Nous avons tous déjà entendu des histoires à ce sujet. Mon adjoint, qui effectue des achats sur ce site Web, m'a dit que sa carte de crédit a été utilisée de manière frauduleuse à trois reprises.
Ce sont les types de problèmes auxquels nous sommes confrontés. Il ne suffit pas de dire aux compagnies de faire preuve de prudence et de collaborer avec la police. Elles doivent assumer une nouvelle responsabilité.
Autant que ce projet de loi vise des objectifs auxquels nous souscrivons tous, j'ai l'impression que nous n'arriverons pas à suivre les développements dans les années à venir.
Tout comme vous et d'autres témoins, je suis en faveur de ce projet de loi. Toutefois, comme vous le savez, il est très difficile d'adopter une loi au Parlement, puis de l'ajuster plus tard. Dans le cas de ce projet de loi en particulier, le Parlement n'est nullement tenu de le réviser après un certain temps, puis de s'assurer qu'il atteint ses objectifs. Par conséquent, nous devrions nous employer à régler un problème de plus en plus présent en raison de l'évolution du système.
Vous y avez fait allusion dans votre mémoire lorsque vous avez parlé de la Loi sur la protection des renseignements personnels et ainsi de suite. Comme vous l'avez dit clairement, ce projet de loi ne tient aucunement compte de ce problème.
M. Fewer : Je suis entièrement d'accord avec vous. Ce projet de loi accomplit certaines choses, mais on ne devrait pas prétendre qu'il s'agit de la solution au problème des vols d'identité. Lorsqu'une organisation qui recueille et utilise des renseignements personnels n'a pas en place des mécanismes de protection adéquats ou viole involontairement la confidentialité de l'information, il y a atteinte à la sécurité. Cette situation a été mise au jour il y a un certain temps déjà. Je reproche au gouvernement de ne pas avoir pris des mesures législatives à ce chapitre. Je suis conscient que ce sont des questions difficiles, mais on a cerné le problème. Il ne reste plus qu'à s'y attaquer.
Le sénateur Joyal : Il me semble que c'est une question clé, compte tenu de l'évolution de la technologie. Des données entreposées à l'étranger représentent le pire des scénarios. L'information circule si facilement à travers le monde. Si j'étais une personne mal intentionnée, je ne m'établirais jamais dans un pays où il y a des lois à cet égard, mais plutôt dans un pays où les lois sont beaucoup plus souples. Si vous dites que les États-Unis ont adopté les meilleures lois, j'irais ailleurs. Je ne nommerai personne. Je ne voudrais pas offenser qui que ce soit.
Nous savons, par exemple, qu'aujourd'hui, les centres d'information de nombreuses entreprises canadiennes se trouvent en Asie et partout dans le monde. Il est donc facile pour une personne d'accéder à ces banques de données, particulièrement si elles se trouvent dans un pays où le système juridique et la police sont beaucoup moins rigoureux qu'ici.
Ce n'est pas comme si la personne que nous cherchions se trouvait de l'autre côté de la rue ou dans le quartier avoisinant. Il est souvent question de milliers de kilomètres. Il me semble que nous devrions nous soucier de refléter la réalité, car nous savons que cette situation prendra de l'ampleur dans le futur.
Bien qu'il s'agisse d'un bon projet de loi, je ne crois pas qu'il nous permette de lutter contre les cybercrimes en général. Il faut y accorder une certaine importance, puisque la plupart des renseignements sont volés à partir d'Internet.
M. Fewer : Cela revient à ce qui a été dit plus tôt à propos des limites du droit pénal. Les logiciels espions, les pourriels, l'hameçonnage et le détournement de domaine font tous partie des nouveaux crimes perpétrés sur Internet. Toutes ces infractions ont une composante internationale. Dans une certaine mesure, la communauté internationale s'acquitte raisonnablement bien de ses tâches en gérant quelques-unes de ces questions. Toutefois, il reste encore beaucoup de chemin à faire. Pour remédier à ces problèmes une fois pour toutes, je conviens qu'il faut miser sur la collaboration internationale, des partenariats entres les secteurs public et privé et des mesures pénales et réglementaires.
Le sénateur Joyal : À la page 3 de votre mémoire, vous mentionnez l'article 11 du projet de loi qui prévoit un paiement de dommages-intérêts aux victimes de vol d'identité — avantages d'indemnisation que vous qualifiez de minimes —, puis vous faites deux recommandations à cet égard. Dans votre conclusion, au quatrième point à la page 10, vous recommandez deux dispositions supplémentaires au Code criminel : « Ajouter au Code criminel des dispositions accordant aux victimes de crimes liés à l'identité le droit à un rapport de la police locale et à une déclaration judiciaire d'innocence. »
Comme vous êtes un homme de loi, pourriez-vous nous expliquer plus en détail comment vous formuleriez ces dispositions dans le Code criminel?
M. Fewer : Ma réponse, en quelques mots, c'est de prendre l'exemple de la Californie encore une fois. Ma recommandation en ce qui concerne le rapport de police et l'ordonnance de tribunal s'inspire de la législation californienne, et les groupes de défense des consommateurs la trouvent également utile. Je n'ai pas d'exemplaire à portée de la main. L'avez-vous, monsieur Israel?
La présidente : Si vous pouviez nous trouver le nom de la loi pertinente, nous pourrions probablement la trouver sur Internet, et je demanderais à nos attachés de recherche de s'en occuper.
Le sénateur Joyal : Pas dans une banque de données.
La présidente : Non, pas plus qu'avec n'importe quel nom que nous donnons.
M. Fewer : Je n'ai pas d'exemplaire avec moi, mais je le ferai parvenir à la greffière après la séance, et elle pourra le distribuer aux membres.
La présidente : Ce serait bien aimable.
Le sénateur Joyal : En ce qui a trait à l'autre type de crime, à savoir l'entrée par effraction dans une banque de données, avez-vous en main une mesure législative comparable à nous donner pour que nous puissions réfléchir à la nécessité d'avoir une disposition semblable ou comparable dans le Code, étant donné que c'est l'un des principaux éléments des crimes liés au vol d'identité et à d'autres crimes connexes?
Vous préconisez la création d'un bureau national d'information et d'aide aux victimes de vol d'identité. Envisagez-vous d'établir une institution nationale? Pouvez-vous nous expliquer davantage ce que vous entendez par là?
M. Fewer : Le problème avec le vol d'identité, c'est qu'il s'agit d'un crime où la victime ne cesse d'être victimisée — chaque fois qu'on se procure une nouvelle carte de crédit ou qu'on fait une demande de prêt hypothécaire, et même si on ne fait rien, on peut découvrir, une fois de plus, que nos documents ont été utilisés pour commettre d'autres fraudes. La question est de savoir comment aider les victimes dans ce contexte. En fait, les victimes ont beaucoup de mal à rétablir leur identité, à se disculper et à mettre un terme aux fraudes continues. Vous devez passer d'une institution à l'autre et, chaque fois, présenter votre cas à nouveau parce que le préposé n'a jamais eu à traiter un dossier de vol d'identité auparavant. Il ne comprend pas. Même qu'il vous soupçonne d'être le fraudeur et, une fois de plus, vous voilà victimisé.
Selon nous, ce crime est suffisamment fréquent et nuisible pour justifier l'attribution de ressources publiques en vue d'aider les victimes à se disculper et à prévenir d'autres fraudes. Il est logique de le faire à l'échelle du pays parce que bon nombre de nos institutions sont nationales. Il est également logique de ne pas faire un double emploi des ressources. Même pour les institutions qui ne sont pas nationales, les enjeux restent les mêmes. Peu importe où se trouve votre banque ou d'où votre carte de crédit est émise, les problèmes surgiront de la même manière; il serait donc très utile pour les consommateurs de pouvoir compter sur une ressource qui les épaulerait tout au long du processus de réparation et de disculpation.
Le sénateur Joyal : Comment ce bureau ou ce registre sera-t-il financé, selon vous? Serait-ce par l'entremise de contributions des compagnies de carte de crédit ou des banques ou des institutions financières qui fournissent ou recueillent cette information?
M. Fewer : Pour être honnête, je tiens à ce que l'institution soit établie. Quant à savoir comment la financer, je suis très ouvert. Elle pourrait très bien être financée par l'entremise d'organisations qui en bénéficieraient : les banques, les compagnies de carte de crédit, les prêteurs hypothécaires et d'autres institutions de ce genre.
C'est ce que nous pourrions qualifier d'investissement. Une telle institution pourrait certes avoir pour mandat de remédier au tort causé, mais on pourrait également lui confier le mandat de sensibiliser les consommateurs et de les aider à comprendre comment prévenir ces crimes en premier lieu. Elle pourrait également aider des organisations aux prises avec des problèmes d'atteinte à la sécurité, en leur montrant comment s'y prendre pour empêcher que de tels crimes se produisent.
La présidente : Juste en passant, êtes-vous au courant d'un organisme fédéral-provincial appelé le Comité des mesures en matière de consommation?
M. Fewer : Oui.
La présidente : Ce dont vous parlez, du moins en partie, ressemble beaucoup au mandat de cet organisme, d'après ce que je comprends, notamment la recherche, l'analyse et l'élaboration d'initiatives en matière de sensibilisation des consommateurs.
M. Fewer : À ma connaissance, le CMC n'a pas de bureau. Il n'y a pas d'endroit où je peux me présenter et dire : « Je suis un consommateur et j'ai un problème. » Il ne s'agit pas d'une organisation de traitement des plaintes ou d'une organisation d'aide aux consommateurs. Elle fonctionne à un niveau supérieur. C'est une excellente organisation, soit dit en passant. En tant que défenseur des intérêts des consommateurs, je serais ravi de voir son mandat élargi et son rayonnement étendu. Elle pourrait convenir à ce genre d'initiative.
Mais il y a d'autres solutions. Ce n'est pas loin du mandat de la commissaire à la protection de la vie privée. Le Bureau de la concurrence s'occupe également des plaintes déposées par les consommateurs, même si, dans bien des cas, il n'a pas pour mandat d'aider les consommateurs. Le Conseil de la radiodiffusion et des télécommunications canadiennes, le CRTC, dans une certaine mesure, traite également des plaintes. Dans le cadre du CRTC, nous avons maintenant le registre des abonnés auto-exclus, qui rejoint davantage les consommateurs. Le CRTC supervise aussi la mise en œuvre du bureau de l'ombudsman pour les plaintes relatives aux télécommunications, qui est un autre bureau d'aide aux consommateurs. Toutes ces institutions posent des problèmes. Elles ne rivalisent pas tout à fait celle que nous avons en tête.
Le sénateur Joyal : Pendant que j'écoutais les témoins, j'ai pensé à un principe : à mesure que les banques de données se développent, quelqu'un est là pour s'en occuper. À un moment ou à un autre, cette personne sera appelée à intervenir parce que le risque deviendra de plus en plus important à cause de la quantité de données en cause. Il faut un signe, quelque part, qui nous indique quand intervenir, mais on doit prendre des mesures et des initiatives supplémentaires pour être sûr que les banques sont protégées. De plus, comme on partage la responsabilité, s'il y a une atteinte à la sécurité à un moment donné, on doit faire partie du régime d'indemnisation.
Je conçois davantage le système comme un tout plutôt que d'essayer d'insérer des éléments ici et là et de modifier des articles du code chaque fois qu'un nouveau problème survient. Nous devons adopter, me semble-t-il, une approche globale qui correspond à la réalité d'aujourd'hui.
M. Fewer : Je serais d'accord. Je ne voudrais pas que vous sortiez de la réunion en pensant que notre position consiste à dire que le consommateur doit être déchargé de toute responsabilité. Cela vaut pour presque chaque catégorie de comportement préjudiciable sur Internet que nous examinons, comme le pourriel, les logiciels espions, l'hameçonnage ou le détournement de domaine. Les consommateurs doivent assumer la responsabilité de leurs actes.
Toutefois, à plusieurs égards, nous devons être raisonnables. Les consommateurs doivent être mis au courant des risques associés à ce qu'ils font. Nous pensons que la plupart des entreprises ont des incitatifs pour ne pas être aussi directes qu'elles ne pourraient l'être au moment de communiquer les risques associés aux transactions. Je dis cela pour deux raisons. Premièrement, cela pourrait dissuader les consommateurs de faire des affaires. Deuxièmement, d'un autre côté, si les entreprises font quelque chose de pas correct, quel mal y a-t-il là-dedans? Autrement dit, si elles manquent souvent à leurs obligations et qu'elles divulguent aux consommateurs la nature des données qu'elles recueillent, les fins pour lesquelles elles les utilisent et à qui elles les communiquent, quelle en serait la pénalité?
Comme vous l'avez vu dans notre mémoire, et nous l'avons dit invariablement devant d'autres comités législatifs, il faut une meilleure application de nos lois sur la protection de la vie privée afin de protéger les consommateurs contre des organisations qui recueillent, utilisent et communiquent des renseignements personnels. Selon nous, s'il y a une meilleure application de loi, en aval, il y aura de meilleures informations mises à la disposition des consommateurs, en amont, ce qui réduirait les dommages.
La présidente : Le sénateur Joyal a posé au moins deux des questions qui m'intéressaient, donc je l'en remercie.
Il y a une autre question que j'aimerais vous poser. Vous avez des réserves à l'égard de l'exigence d'aviser les gens en cas d'atteinte à la sécurité ou en cas de vol de leur identité, en tout ou en partie. Vous recommandez de recourir à des lois fédérales en matière de protection des renseignements personnels. Le projet dont nous sommes saisis touche le Code criminel, et je présume que vous ne pensez pas que les exigences de notification des atteintes à la sécurité relèvent du Code criminel.
M. Fewer : En effet.
La présidente : Pourquoi?
M. Fewer : Je ne pense pas qu'elles relèvent du code parce que le genre de comportement ou de faute dont il est question ici est de nature réglementaire ou civile; ces dispositions n'ont pas leur place dans le Code criminel. Nous disposons d'un code assez détaillé pour protéger les renseignements personnels des Canadiens dans les transactions commerciales : la LPRPDE.
Je considère la question de l'atteinte à la sécurité comme un trou béant dans ce qui constitue autrement une approche réglementaire détaillée en matière de protection des renseignements personnels. C'est pourquoi cette question est mieux traitée là-dedans.
La présidente : On a soulevé cette question hier soir, durant nos audiences, et je ne comprenais pas trop pourquoi elle ne pourrait pas être traitée tout aussi bien dans le Code criminel puisque cela cause un tort immense à la personne qui ignore que son identité est volée.
Par conséquent, si une personne, votre banque ou une institution quelconque, sait que votre identité est volée et que la victime court un risque important de préjudice, le fait de ne pas le signaler — et je n'ose pas utiliser le terme « criminel » parce que c'est technique et cela porte un jugement avant même de fournir une réponse —, mais il s'agit d'un geste si offensant et préjudiciable que je me demande où se trouve la ligne de démarcation entre ce qui est criminel et ce qui ne l'est pas.
M. Fewer : C'est une approche intéressante. N'oubliez pas qu'on parle d'un comportement dans un contexte commercial, c'est-à-dire des entités commerciales qui portent des jugements d'affaires dans leur utilisation des renseignements personnels. Nous réservons le droit criminel habituellement à ceux qui trahissent au plus haut point la confiance du public, surtout dans un cadre commercial, comme les sociétés de type Enron et les pollueurs délibérés, et cetera.
S'il s'agit d'un cas de négligence, je me demande si cela justifierait qu'on y consacre des ressources publiques du régime pénal. Heureusement, je ne pense pas que nous ayons eu des cas où des entités commerciales étaient si négligentes qu'elles ont délibérément causé du tort aux consommateurs. Si des organisations participent à ce degré de malfaisance relativement aux renseignements personnels, il y a fort à parier qu'elles font d'autres choses qui ne sont pas correctes.
La présidente : Pouvons-nous les attraper d'une autre manière?
M. Fewer : Oui, nous le pouvons, dans le cadre des infractions de fraude, de contrefaçon ou d'un autre comportement déloyal.
La présidente : Merci beaucoup. Je remercie nos deux témoins. Vous avez fait des observations très utiles et très intéressantes. Nous en tiendrons compte tout au long de nos travaux.
Notre prochaine réunion aura lieu le mercredi 27 mai, dans la même salle, à 16 heures ou quand le Sénat lèvera la séance.
(La séance est levée.)