Évaluation des facteurs relatifs à la vie privée - Identification en temps réel (ITR)

Le système d’ITR est la solution envisagée par la GRC pour aplanir les difficultés attribuables à l’ancien système d’identification dactyloscopique et de casiers judiciaires par le remaniement et l’automatisation des processus en place. Transformer l’infrastructure actuelle basée sur le papier en un système électronique transparent permettra à la GRC d’accomplir en quelques heures ou en quelques jours des tâches qui prenaient auparavant des semaines et des mois. Voici les objectifs préliminaires de prestation des services à l’aide de l’ITR :

• Deux heures pour toutes les recherches décadactylaires à des fins pénales : L’identification décadactylaire est généralement requise quand un policier entreprend la mise en détention d’un délinquant. Auparavant, cela pouvait prendre jusqu’à 10 semaines;
• Vingt-quatre heures pour toutes les recherches d’empreintes digitales latentes : Les empreintes digitales latentes sont les empreintes relevées sur les lieux d’un crime. Auparavant, une recherche d’empreintes latentes ordinaire pouvait nécessiter jusqu’à six semaines;
• Soixante-douze heures pour tous les services civils : Il s’agit de vérifications des empreintes digitales et du casier judiciaire exigées pour accorder une habilitation sécuritaire à des membres du grand public qui postulent un emploi ,qui demandent l’autorisation de voyager, ainsi que pour l’immigration. Ce type de vérification pouvait prendre auparavant plusieurs mois à effectuer;
• Vingt-quatre heures pour toutes les mises à jour de casier judiciaire : La mise à jour du casier judiciaire comprend l’ajout de chefs d’accusation, de condamnations et d’information sur la libération conditionnelle au casier judiciaire d’un sujet.

Bien que la modernisation et l’automatisation complètes du système d’ITR ne soient pas encore terminées, les objectifs de prestation des services sont atteints pour la plupart des demandes de recherche décadactylaire à des fins pénales, de recherche d’empreintes latentes et de vérification des antécédents judiciaires. Les travaux se poursuivent en vue de l’atteinte des objectifs fixés pour les mises à jour du casier judiciaire.

La GRC utilise le système ITR pour maintenir à jour  le dépôt national des empreintes digitales des criminels, des réfugiés et des employés de la GRC. Le système ITR  englobe le nouveau Système automatisé d’identification dactyloscopique (SAID) et le serveur NIST (National Institute of Standards and Technology) des Services nationaux de police (SNP). Le nouveau SAID améliore considérablement la rapidité et la précision des recherches dactylaires. Le serveur NIST des SNP est une interface normalisée sur laquelle de nombreux fournisseurs se fondent pour développer des dispositifs de saisie, comme des Livescan et des serveurs NIST distants, destinés à l’usage des corps de police, des ministères et des organismes assurant des services de triage sécuritaire à des fins civiles pour interagir avec l’ITR. Cette interface établit un environnement ouvert concurrentiel dans lequel les fournisseurs peuvent faire certifier des dispositifs en fonction de la norme NIST des SNP.

Le système ITR élargira la capacité des services de police canadiens, des ministères et des organismes d’application de la loi à l’échelle internationale de s’acquitter de leur mandat en matière de sécurité publique, de sécurité nationale et de prospérité économique. Il s’agit d’un élément important de la sécurité des foyers et des collectivités. L’ITR profitera également aux citoyens canadiens qui requièrent une habilitation sécuritaire pour l’emploi ou des voyages à l’étranger.

L’ITR est un système Protégé-B qui utilise l’implantation Entrust de l’Infrastructure à clés publiques (ICP) approuvée par le gouvernement du Canada. La GRC gère sa propre infrastructure ICP et son autorité de certification; elle applique un mécanisme rigoureux de contrôle de l’accès en fonction des rôles (CAFR) dans le cadre duquel les utilisateurs ne peuvent accéder qu’aux seules données autorisées pour leur rôle. Les renseignements personnels enregistrés dans le système d’ITR ne sont accessibles qu’aux personnes et aux systèmes autorisés, conformément aux accords concernant les employés (Loi sur la Gendarmerie royale du Canada). Seuls les dispositifs certifiés par la GRC peuvent être utilisés avec l’ITR; l’installation et la configuration de chacun des dispositifs certifiés dans un site doivent en outre être approuvées par la GRC.De plus, chaque organisme ayant une interface avec l’ITR doit signer un protocole d’entente (PE) et se conformer aux modalités et conditions sur la conservation des renseignements personnels. Les organismes ayant une interface avec l’ITR sont assujettis à une vérification par la GRC, qui s’assure ainsi que toutes les modalités et conditions du PE sont respectées.

Les articles 10 et 11 de la Loi sur la protection des renseignements personnels exigent des institutions gouvernementales qu’elles incluent dans des fichiers de renseignements personnels toute information dont elles assurent le contrôle et qu’elles publient un index de tous les fichiers de renseignements personnels qu’elles détiennent. Les renseignements sont enregistrés dans les fichiers de renseignements personnels CMP PPU-030, PPU-065, PPE-810 et PPE-811. Les dispositions de la Loi sur la protection des renseignements personnels concernant l’accès aux données, la collecte, l’exactitude et l’intégralité des données ainsi que la modification des données erronées sont applicables. Les interfaces avec les clients seront toutes régies par un PE. Nous nous assurerons ainsi que tous les échanges de renseignements judiciaires seront faits conformément à la Loi sur la protection des renseignements personnels.

Le consentement de l’individu n’est exigé que pour la collecte d’empreintes digitales à des fins civiles; il est signifié au moyen d’une formule de consentement distincte. Il incombe à la partie qui collecte les empreintes de le faire conformément au protocole d’entente (PE) qui régit les transactions d’envoi d’empreintes et aux lois pertinentes. Les images dactylaires utilisées dans les transactions à des fins civiles ne sont pas conservées dans l’ITR. De plus, les résultats des vérifications des empreintes digitales civiles et des vérifications des antécédents judiciaires ne sont fournis qu’aux destinataires auxquels la personne a consenti. Habituellement, les résultats sont envoyés à la personne ou à l’organisation auprès de laquelle la personne sollicite un emploi. L’organisme contributeur des empreintes civiles ne reçoit les renseignements que si la personne y a consenti. Les résultats des vérifications relatives au secteur vulnérable sont envoyés au service de police d’origine et ceux des demandes en vertu de la Loi sur la protection des renseignements personnels sont envoyés directement aux postulants.

En vertu des lois gouvernementales, la collecte des empreintes de criminels et de réfugiés ne nécessitent pas de consentement. Ces empreintes sont conservées dans l’ITR. De même, les personnes qui postulent un emploi dans la GRC sont tenues de signer un formulaire de consentement aux termes duquel on précise que leurs empreintes feront l’objet de recherches et seront conservées. L’obtention, la conservation, l’utilisation et la destruction des empreintes sont conformes aux lois et politiques applicables, notamment celles-ci :

• Charte canadienne des droits et libertés;
• Loi sur la protection des renseignements personnels/Règlement sur la protection des renseignements personnels;
• Loi sur la protection des renseignements personnels et les documents électroniques (Partie II);
• Loi sur l’accès à l’information/Règlement sur l’accès à l’information;
• Loi sur la Bibliothèque et les Archives nationales du Canada;
• Loi sur l’immigration et la protection des réfugiés/Règlement sur l’immigration et la protection des réfugiés;
• Loi sur l’identification des criminels;
• Code criminel du Canada;
• Loi sur le casier judiciaire;
• Décret 1992-1354 du Conseil privé -- Décret sur les mensurations et autres opérations de dactyloscopie, de palmiscopie et de photographie (18 juin 1992; reproduit à l’annexe I);
• Loi sur la Gendarmerie royale du Canada/Règlement de la Gendarmerie royale du Canada;
• Loi sur la preuve au Canada;
• Loi sur le système de justice pénale pour les adolescents;
• Loi sur l’identification par les empreintes génétiques;
• Politique d’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor du Canada;
• Politique et lignes directrices sur la protection des renseignements personnels du Secrétariat du Conseil du Trésor du Canada;
• Politique et lignes directrices sur l’accès à l’information du Secrétariat du Conseil du Trésor du Canada;
• Politique et lignes directrices sur la sécurité du Secrétariat du Conseil du Trésor du Canada;
• Politique sur la gestion de l’information gouvernementale du Secrétariat du Conseil du Trésor du Canada;
• Manuel d’administration de la GRC;
• Directive ministérielle du Solliciteur général concernant la divulgation par la Gendarmerie royale du Canada de renseignements sur les antécédents judiciaires signée le 26 mai 1987, annexe I-3-1 du Manuel des opérations, révisée le 3-8-1990;
• Manuel des opérations de la GRC;
• Manuel de référence du Centre d’information de la police canadienne (CIPC).

L’ITR est un système hautement sécurisé doté de fonctions et de modalités de sécurité rigoureuses. Toute fonction mise en production est assujettie à des tests exhaustifs visant à déterminer que les résultats produits par l’ITR sont conformes aux politiques sur les empreintes digitales et les données des casiers judiciaires. En outre, des procédures manuelles et des vérifications régulières permettent de veiller à ce que l’information communiquée aux personnes est précise et envoyée aux seuls destinataires autorisés.

Bien que cela soit peu probable, il est possible que le document sur papier ou une de ses pages soit envoyé au mauvais destinataire. Afin d’atténuer ce risque,on utilise des enveloppes à fenêtre dans tous les cas où cela est possible. L’adresse est imprimée directement sur la première page de la réponse qui est insérée dans l’enveloppe à fenêtre. Des procédures sont en place pour vérifier que les bonnes informations sont insérées dans l’enveloppe avec la réponse.

Il est aussi peu probable, mais possible que des utilisateurs de l’ITR et des employés des technologies de l’information (TI) internes contreviennent aux dispositions relatives à la vie privée. Une série de processus techniques et de procédures, de même que la formation contribuent à atténuer ce risque. Toutes les activités d’ITR sont suivies à partir de journaux de vérification et autres mécanismes de sécurité. L'Accès à l'information et la Protection des renseignements personnels de la GRC donne des conférences à tous les employés sur leurs devoirs et leurs responsabilités aux termes de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information. Tous les employés de la GRC signent un serment professionnel et un serment du secret portant spécifiquement sur la divulgation. La Sous-direction de la sécurité ministérielle (SDSM) de la GRC fait enquête sur tous les cas éventuels d’atteinte à la sécurité, évalue les dommages, prends les mesures nécessaires et, au besoin, définit des processus ou procédures supplémentaires pour atténuer le risque de récidive.

En conclusion, les questions relatives à la vie privée mentionnées dans le présent résumé peuvent être abordées par l’élaboration et la documentation de procédures et processus pertinents conformes à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels.