La GRC tente d’implanter en secret un système de reconnaissance faciale au Canada

Vie privée

La Gendarmerie royale du Canada a récemment mis la main sur un système sophistiqué lui permettant d’identifier des citoyens autrement que par leurs empreintes digitales, et ce, sans l’autorisation du Commissaire à la protection de la vie privée.

Selon des documents obtenus grâce à la Loi sur l’accès à l’information par le blogue Motherboard, la division de VICE spécialisée en technologie, la GRC a discrètement entrepris des démarches l’an dernier afin d’augmenter la capacité de son système d’identification automatique par empreintes digitales (Automated Fingerprint Identification System, ou AFIS).

La GRC souhaite déployer un système ayant la capacité d’analyser des empreintes digitales, des visages, des empreintes palmaires, des tatouages, des cicatrices et des iris.

C’était en novembre 2015, moment où le corps policier fédéral se voyait confronté à l’efficacité de son homologue américain, le FBI, qui bénéficiait depuis un an d’une large et controversée base de données d’informations biométriques. Aux yeux de la GRC, il était urgent d’améliorer «l’interopérabilité [de son système] avec les systèmes de ses partenaires internationaux» pour s’assurer qu’il puisse parfaitement communiquer avec les autorités étrangères, et ainsi interpréter l’ensemble des nouveaux éléments pris en compte par leurs systèmes plus modernes.

Malgré que le corps policier fédéral savait pertinemment qu’il n’avait «pas l’autorité» de mettre à jour le système AFIS implanté à l’échelle du pays, tel que mentionné dans une présentation interne datée du 24 novembre 2015, la GRC a lancé un appel d’offre afin de se munir d’un nouveau système AFIS ayant la capacité d’analyser – outre des empreintes digitales – des visages, des empreintes palmaires, des tatouages, des cicatrices et des iris, sans obtenir le feu vert du Commissaire à la protection de la vie privée du Canada.

La reconnaissance faciale «en option»

En mars dernier, la GRC avait admis à Motherboard qu’elle travaillait à implanter un système de reconnaissance faciale, en déclarant qu’il s’agissait toutefois de fonctions optionnelles.

«Il n’y a pas de plans immédiats pour utiliser les fonctions de reconnaissance faciale», a réitéré Annie Delisle, porte-parole de la GRC. «La priorité pour la GRC est de remplacer son système d’identification automatique par empreintes digitales. Une fois le nouveau système AFIS opérationnel, la GRC pourra envisager l’utilisation des fonctions de reconnaissance faciale.»

«Les photos de suspects proviendront généralement de vidéos de surveillance, de caméras en circuit fermé, de caméra mobiles, y compris les téléphones cellulaires, ou d’autres sources de mauvaise qualité.»

Toujours selon les documents obtenus par Motherboard, l’appel d’offres de la GRC précise que la reconnaissance faciale ne fait pas partie des exigences du nouveau système AFIS, mais que le fournisseur qui sera retenu pour ce mandat devra avoir démontré qu’il pourra fournir cette capacité a posteriori.

«Les photos de suspects proviendront généralement de vidéos de surveillance, de caméras en circuit fermé, de caméra mobiles, y compris les téléphones cellulaires, ou d’autres sources de mauvaise qualité. Dans bien des cas, seule une portion du visage sera visible», affirme-t-on dans les documents. «Le [système] devra être en mesure d’identifier des comparaisons faciales numériques selon une échelle d’un à un (1:1), et d’un à plusieurs (1:N).»

L’appel d’offres précise que le nouveau système AFIS devrait également avoir la capacité d’analyser des tatouages et des marques sur le corps.

Cette description minutieuse d’une capacité hypothétique qui ne fait pourtant pas partie de la liste des exigences du mandat à sans surprise semer la confusion auprès des fournisseurs intéressés. En réponse à une question d’un candidat concernant la portée des données biométriques, la GRC mentionne que les photos de cicatrices, de marques sur le corps, et de tatouages seront «captées à une date ultérieure».

Enfin, la GRC a précisé qu’elle n’évaluera pas les compétences des fournisseurs. Toutefois, leurs lecteurs d’empreinte digitale et systèmes de reconnaissance faciale «devront avoir été testés par le FBI et être inscrits sur la liste des produits certifiés par le FBI».

Un risque d’invasion de la vie privée

La base de données biométriques du FBI, appelée Next Generation Identification, a été largement critiquée par les groupes de droits civils en raison du potentiel d’abus par les agents. Mais selon Christopher Parsons, chercheur postdoctoral au centre de recherche Citizen Lab affilié avec l’université de Toronto, le projet d’étendre la capacité du système AFIS de la GRC représente un risque supplémentaire pour la population canadienne en matière de vie privée, notamment depuis l’adoption du projet de loi C-51 par la Chambre des communes l’an dernier.

cybersurveillancelight

Tamir Israel, avocat pour la Clinique d’intérêt public et de politique d’Internet du Canada de l’université d’Ottawa, partage aussi les craintes de Parsons.

«La reconnaissance faciale représente un important potentiel d’invasion de la vie privée, alors qu’il est difficile de déterminer qu’elle serait l’autorisation légale nécessaire pour en effectuer le déploiement», a-t-il déclaré à Motherboard. Concrètement, et comme l’a d’ailleurs fait remarquer Edward Snowden par le passé, les services de renseignement canadien sont dépourvus de chiens de garde ayant la capacité légale de les empêcher d’abuser de leur pouvoir de surveillance.

En ce qui concerne l’implantation du nouveau système AFIS, Israel croit que la GRC doit d’abord obtenir l’approbation du Commissaire à la protection de la vie privée du Canada.

En collaboration avec l’Agence des services frontaliers

L’appel d’offres de la GRC pour un nouveau système AFIS s’inscrit dans une collaboration avec l’Agence des services frontaliers du Canada, selon un courriel transmis au sergent Michæl Legen en janvier 2016.

Il est important de souligner que l’ASFC a demandé l’autorisation du Commissaire à la protection de la vie privée pour exécuter son projet pilote de reconnaissance faciale, nommé Faces on the Move. Comme vous l’aurez certainement deviné, le but du projet est d’identifier les personnes traversant la frontière lors de leur entrée au pays.

Vous suivez toujours? Profitons d’un avant-dernier paragraphe pour résumer les faits.

Essentiellement, la GRC a magasiné un système AFIS pouvant obtenir a posteriori des fonctions de reconnaissance faciale (y compris l’analyse de tatouages, de cicatrices, de marques sur le corps) qui seraient utilisés en option. La GRC n’a pas obtenu, ni même demandé l’autorisation du Commissaire de la vie privée du Canada, mais inscrit son initiative dans le cadre d’un projet pilote mis en branle par l’ASFC, qui elle a demandé (et visiblement obtenu) le feu vert du Commissaire de la vie privée du Canada.

À noter qu’à la fin de juin 2016, la GRC n’avait toujours pas octroyé le mandat à un fournisseur.