droitdu.net

Un site utilisant Plateforme OpenUM.ca

Cour Suprême du Canada – L’adresse IP et l’attente raisonnable au respect de la vie privée

10 mars 2024
Commentaires
Permalien

(Le présent billet a été rédigé dans le cadre du cours DRT6929 (Vie privée + numérique (hiver 2024)))

Le 1er mars 2024, dans R. c. Bykovets une décision difficile à cinq juges contre quatre, la plus haute instance du pays nous donne un outil essentiel pour mieux comprendre le concept d’attente raisonnable au respect de la vie privée en droit canadien et comment sont considérées les adresses IP, des données numériques dépersonnalisées.

Dans cet article nous nous intéresserons seulement à l’avis de la majorité rédigé par la Juge Karakatsanis.

Cette décision en droit pénal clarifie le cadre juridique que doit respecter l’enquête et nous en apprend davantage sur la vision des juges des renseignements personnels des citoyens, en l’occurrence leur adresse IP.

Une adresse IP (internet protocol) est, pour simplifier, un numéro qui permet d’identifier un appareil connecté à internet. L’appareil peut ensuite permettre d’identifier l’individu derrière celui-ci. C’est un protocole de communication qui permet de relier ensemble des réseaux transportant des données sur internet.

Avons-nous une attente raisonnable au respect de notre vie privée sur ce numéro, que nous n’avons, le plus souvent, même pas conscience d’émettre lorsque l’on navigue sur internet ? C’est ce que la Cour a tranché ce 1er mars 2024.

Soulevant l’argument constitutionnel de l’art. 8 Charte canadienne des droits et libertés protégeant chacun contre les fouilles, les perquisitions et les saisies abusives, la majorité soutient :

« Une adresse IP est le lien crucial entre un internaute et son activité en ligne. Considérée de manière normative, elle est la clé donnant accès à l’activité Internet d’un utilisateur et, ultimement, à son identité. Une adresse IP suscite donc une attente raisonnable au respect de la vie privée. »

En conséquence, une demande pour obtenir l’adresse IP d’un individu, même à un tiers, constitue une fouille, et donc afin de faire cette demande il faut un mandat.

Cette décision vient prolonger la décision R. c. Spencer, rendue à l’unanimité, qui explique qu’un individu a une attente raisonnable au respect de sa vie privée en ce qui concerne ses renseignements personnels comme son nom, numéro de téléphone, adresse etc., lorsqu’ils sont couplés à son adresse IP. Dans un scénario où l’on voulait récupérer les données repersonnalisées d’une adresse IP, il fallait un mandat.

La nouvelle décision en la matière va plus loin en ce qui concerne la protection de l’identité numérique de l’individu et requière donc un mandat pour la seule obtention d’une adresse IP.

La Juge Karakatsanis, pour la majorité, tient ces propos forts en faveur de la vie privée :

« En l’espèce, le caractère éminemment privé des renseignements que peut révéler une adresse IP suggère fortement que le droit du public de ne pas être importuné devrait l’emporter sur le droit du gouvernement de réaliser ses objectifs d’application de la loi. »

Pour remettre en contexte, dans cette affaire en appel de la Cour d’appel de l’Alberta, M. Bykovets avait été déclaré coupable de 14 infractions d’utilisation de cartes de crédit obtenues frauduleusement pour l’achat de cartes-cadeaux en ligne sur le site d’un vendeur d’alcool afin de les utiliser en personne, en magasin.

Dans le cadre de l’enquête, la police de Calgary a appris que c’était la société Moneris, une société de traitement des paiements, qui avait la charge de gérer les ventes en lignes du magasin d’alcool. Les évènements suivants seront la cause du débat. En effet, la police contacte directement Moneris, sans mandat, et leur demande l’adresse IP utilisée lors des opérations frauduleuses. Moneris, volontairement, donne cette information à la police. La police obtient ensuite une ordonnance de communication Spencer afin d’obtenir du fournisseur de services internet relié à ces adresses IP le nom et l’adresse de l’utilisateur. En l’occurrence, les noms et adresses de M. Bykovets et de son père. La police a ensuite utilisé ces informations pour solliciter et exécuter un mandat de perquisition aux deux adresses résidentielles. Lors de ces perquisitions ils trouveront les éléments nécessaires pour prouver la culpabilité de M. Bykovets au procès.

L’analyse des motivations de la majorité révèle que la protection des renseignements personnels, notamment en ce qui concerne le respect de la vie privée et la crainte de la perte de contrôle sur ces données, occupe une place centrale dans la décision.

La Juge Karakatsanis, dans un argumentaire étayé par des sources scientifiques, s’éloignant du domaine strictement pénal, dit :

« Non seulement Internet garde un registre permanent précis, mais il a concentré cette masse de données entre les mains de tiers et investi ces derniers d’un immense pouvoir informationnel. Il a donné à de grandes sociétés privées la capacité de recueillir de vastes quantités de renseignements relatifs à l’utilisateur et d’agréger ces données en images claires de l’activité en ligne de leurs utilisateurs afin de savoir ce que veulent ceux‑ci et à quel moment ils le veulent. En échange, ces sociétés « bâtissent ce qui représente peut‑être l’objet culturel le plus durable, le plus lourd et le plus important dans l’histoire de l’humanité […] En concentrant cette masse de renseignements entre les mains de tiers du secteur privé et en donnant à ces derniers les outils nécessaires pour agréger et disséquer ces données, Internet a essentiellement modifié la topographie de la vie privée sous le régime de la Charte. Il a ajouté un tiers à l’écosystème constitutionnel, et a fait de la relation horizontale entre l’individu et l’État une relation tripartite. Bien que l’art. 8 ne s’applique pas aux tiers eux‑mêmes, ceux‑ci « joue[nt] le rôle de médiateur[s] dans une relation directement régie par la Charte — celle entre le défendeur et la police »

La Juge évoque une relation tripartite avec les grandes entreprises du numérique, les qualifiant comme faisant partie de l’écosystème constitutionnel. Cette dynamique confère à l’État une capacité accrue à obtenir des renseignements sur ses citoyens, risquant le déséquilibre du rapport de force avec l’individu. Cette décision semble être une tentative de rétablissement de cet équilibre des pouvoirs. La Juge cite A. J. Cockfield à ce sujet :

« Les progrès technologiques permettent aux acteurs gouvernementaux d’étendre considérablement leurs pouvoirs de surveillance, notamment en exploitant des renseignements détaillés recueillis par le secteur privé »

On peut extraire de cette décision des principes larges de protection des renseignements personnels de l’individu et de son attente raisonnable au respect de sa vie privée, utiles dans d’autres cas d’application de la protection des renseignements personnels.

La récente brèche dans la sécurité interne chez Google résonne coïncidemment avec les propos de la Juge Karakatsanis. Le 5 mars dernier, Linwei Ding, employé du géant américain, a été inculpé pour avoir volé des secrets commerciaux au profit de sociétés chinoises. Cet incident, a été traité par le gouvernement américain et le FBI comme une question de sécurité nationale, mettant en lumière les liens étroits, chez nos voisins, entre l’État et les grandes entreprises.

Concernant la qualification de l’adresse IP, la Juge fait appel au droit européen qui reconnaît que l’adresse IP est un renseignement privé qui mérite d’être protégé. Dans l’arrêt Breyer c. Bundesrepublik Deutschland, la Cour européenne de justice a conclu qu’une adresse IP était une donnée à caractère personnel concernant une « personne […] identifiable » même s’il fallait recourir à un tiers pour rendre cette personne « identifiable ». En Angleterre, une Cour a estimé qu’il était clairement possible de soutenir que des « renseignements générés par un navigateur », tel qu’une adresse IP, constituaient des données à caractère personnel car elles « ‘individualisent’ l’individu, en ce sens qu’il est distingué de tous les autres ».

Enfin, la Juge est consciente des répercussions futures de cette décision, notamment en ce qui concerne la cyberpédocriminalité, cependant dans une balance proportionnelle :

« [E]xiger que la police obtienne une autorisation judiciaire préalable avant d’obtenir une adresse IP ne constitue pas une lourde mesure d’enquête, et ne porterait pas indûment atteinte à la capacité des forces de l’ordre de s’occuper de ce crime. »

La décision, consciente de son imperfection, est rendue au nom du bien de la société canadienne pour la protection des renseignements personnels et de l’attente raisonnable au respect de la vie privée, en ligne, de tous ses citoyens.

En conclusion, bien que cette décision soit rendue dans un contexte pénal, elle reflète une problématique plus générale. Au Canada, la justice brandit plus souvent le bouclier de la protection des renseignements personnels contre les grandes entreprises. Cependant, dans cette décision, la plus haute instance du pays reconnaît également que l’individu se doit d’être protégé contre l’État.

Cette décision est l’occasion pour la Cour suprême du Canada de reconnaître l’implication des grandes entreprises dans l’amoindrissement de nos droits constitutionnels et de la protection de notre vie privée. Les grandes entreprises sont placées au rang d’acteur principal au même titre que l’État et les citoyens. La Cour démontre qu’elle est bien consciente des problèmes de protection des données au-delà de ceux traités dans cette affaire.

La qualification de l’adresse IP, et par extension, les renseignements générés par un navigateur et les données numériques dépersonnalisées, a été précisée. Le caractère individuel et la facilité pour dépersonnaliser l’information, même s’il est nécessaire d’avoir recours à un tiers, a été mis en avant faisant évoluer la perception juridique de ce type de donnée. Une adresse IP est une information personnelle en soi. Il faudra désormais à la police une autorisation judiciaire avant de faire la demande pour une adresse IP a une entreprise détenant cette information.

Cette décision redéfinie l’attente raisonnable au respect de la vie privée et exercera une influence très probable sur les prochaines décisions et les prochaines lois à être adoptées en matière de protection de renseignements personnels, on pense notamment à la loi C-27, du fait de la profondeur de la réflexion et de la vision d’ensemble de la Juge Karakatsanis.

 

 

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets