La police multiplie les demandes aux fournisseurs

L'analyste en sécurité de Telus, Sergio Catoni
Photo: Philippe Papineau Le Devoir L'analyste en sécurité de Telus, Sergio Catoni

Les principaux corps de police du Québec ont fait près de 13 000 demandes d’informations sur des clients de Vidéotron, Telus et Bell Canada depuis mai 2010, selon les chiffres dévoilés jeudi par ces entreprises de télécommunication lors de la commission Chamberland sur la protection des sources journalistiques. Et c’est sans compter les nombreuses requêtes faites à Rogers, qui ne comptabilise pas ses données de la même manière.

Selon les statistiques que les quatre entreprises ont soumises au juge Chamberland, c’est la Sûreté du Québec qui est la plus active dans ses demandes, suivie du Service de police de la Ville de Montréal. Les corps policiers de Gatineau et Laval suivent, loin derrière.

Chez Bell, le gestionnaire senior responsable des enjeux légaux Alain Monfette a dévoilé que le fournisseur a dû répondre à près de 5000 demandes policières depuis le mois de mai 2010. Pour la même période, ce chiffre s’élève à 4200 demandes de transmission d’informations pour Telus et 4056 pour Vidéotron. Chez Rogers, on ne comptabilise pas les demandes, mais plutôt la quantité de clients touchés par lesdites demandes, qui s’élève à 7600.

Le contenu des SMS enregistré

Les informations transmises aux policiers dépendent du type d’autorisation judiciaire demandée au juge par les agents de police, mais peuvent inclure les numéros de téléphone, l’heure d’un appel, la durée de celui-ci et la tour cellulaire qui a permis de transmettre les données.

L’analyste en sécurité de Telus, Sergio Catoni, a même affirmé qu’avant le 20 avril 2013 l’entreprise enregistrait même le contenu des messages textes et le conservait pendant 150 jours.

« Ce qui était pitonné était sauvegardé », a-t-il imagé, avant d’ajouter que l’entreprise avait donc transmis ces contenus aux policiers qui en avaient fait la demande avec des ordonnances de communication en règle.

Même qu’avant l’entrée en vigueur de l’arrêt Spencer de la Cour suprême du Canada en décembre 2014 — qui renforçait la protection de la vie privée en ligne —, Sergio Catoni a expliqué que les corps policiers n’avaient pas besoin de mandat pour obtenir les noms des clients à partir d’un numéro de téléphone.

Pire, « les policiers avaient accès à un système [à distance], et pouvaient eux-mêmes chercher pour obtenir les informations nominatives des clients actifs chez Telus. Ce ne sont pas tous les services de police qui étaient inscrits, mais une simple demande par courriel permettait aussi d’obtenir des informations. »

Les quatre entreprises de télécommunication qui ont témoigné jeudi à la commission Chamberland ont spécifié que l’arrêt Spencer avait marqué un virage dans leurs pratiques. Désormais, un mandat ou une ordonnance est nécessaire pour chaque requête.

Critères

Le conseiller juridique principal de Vidéotron, Me Anthony Hemond, a expliqué devant la Commission que toute demande d’informations par un corps policier doit répondre à une « liste de vérification » avant d’être acceptée, une approche aussi partagée par Telus, Bell et Rogers.

« De façon générale, si vous n’avez pas de mandat ou d’ordonnance, vous n’aurez pas les informations, nous sommes stricts », a dit M. Hemond. Parmi les critères de la liste, le conseiller de Vidéotron a mentionné qu’il fallait que la date d’échéance de la demande soit valide, que le mandat ou l’ordonnance soit relié à la nature de la requête, et surtout signé par un juge.

« Tower dump »

Les représentants des quatre fournisseurs ont aussi mis en lumière devant la commission Chamberland un type de demande des policiers, appelé « tower dump »— ou déversement de tour cellulaire —, qui consiste à demander l’ensemble des données recueillies par une antenne précise, durant un laps de temps déterminé.

« Si on prend une tour au centre-ville, dans une période de 60 minutes, il peut y avoir 10 000 appels qui passent par là », a expliqué M. Catoni. Chez Telus, on reçoit ce genre de demande « deux ou trois fois par mois ».

Kristi Jackson, de l’équipe légale de Rogers, trouve ces demandes intrusives, car « elles impliquent beaucoup de clients qui ne sont pas impliqués dans un événement. On essaie le plus possible de préserver l’identité des tiers partis ».

À voir en vidéo