Agence des services frontaliers du Canada (Re), 2024 CI 43
Date : 2024-07-17
Numéro de dossier du Commissariat : 5822-03587
Numéro de la demande d’accès : A-2022-17066
Sommaire
La partie plaignante allègue que l’Agence des services frontaliers du Canada (ASFC), en réponse à une demande d’accès, a erronément refusé de communiquer des renseignements en vertu du paragraphe 16(2) (faciliter la perpétration d’une infraction) de la Loi sur l’accès à l’information. La demande vise la totalité du code source de l’application ArriveCAN. L’allégation s’inscrit dans le cadre de l’alinéa 30(1)a) de la Loi.
L’ASFC a fourni des éléments de preuve pour démontrer que la divulgation du code source pourrait être utilisée par des acteurs malveillants pour pirater l’application, prétendre être l’application dans le App Store ou le Google Play Store, ou pour exposer une vulnérabilité en matière de sécurité qui compromettrait des renseignements personnels.
L’ASFC a également fourni des éléments de preuve montrant qu’elle avait considéré des facteurs pertinents, notamment l’intérêt public de la communication, la nature sensible des renseignements recueillis par l’application et l’objet de la Loi, lorsqu’elle a exercé son pouvoir discrétionnaire en vertu du paragraphe 16(2).
La plainte est non fondée.
Plainte
[1] La partie plaignante allègue que l’Agence des services frontaliers du Canada (ASFC), en réponse à une demande d’accès, a erronément refusé de communiquer des renseignements en vertu du paragraphe 16(2) (faciliter la perpétration d’une infraction) de la Loi sur l’accès à l’information. La demande vise la totalité du code source de l’application ArriveCAN. L’allégation s’inscrit dans le cadre de l’alinéa 30(1)a) de la Loi.
Enquête
[2] Lorsqu’une institution refuse de communiquer des renseignements en vertu d’une exception, il lui incombe de démontrer que ce refus est justifié.
Paragraphe 16(2) : faciliter la perpétration d’une infraction
[3] Le paragraphe 16(2) permet aux institutions de refuser de communiquer des renseignements dont la divulgation risquerait vraisemblablement de faciliter la perpétration d’une infraction.
Pour invoquer cette exception, les institutions doivent démontrer ce qui suit :
- la divulgation des renseignements (par exemple, des renseignements sur les méthodes ou les techniques criminelles, ou des détails techniques sur les armes, comme le prévoient les alinéas 16(2)a) à c)), pourrait faciliter la perpétration d’une infraction;
- il y a une attente raisonnable que ce préjudice puisse être causé; l’attente doit être bien au-delà d’une simple possibilité.
[4] Lorsque ces critères sont satisfaits, les institutions doivent alors exercer raisonnablement leur pouvoir discrétionnaire pour décider de communiquer ou non les renseignements.
L’information satisfait-elle aux critères de l’exception?
[5] L’ASFC a refusé de communiquer la totalité du code source de l’application ArriveCAN en vertu du paragraphe 16(2). L’ASFC a fourni des éléments de preuve pour démontrer que la divulgation du code source pourrait être utilisée par des auteurs malveillants pour pirater l’application, prétendre être l’application dans le App Store ou le Google Play Store, ou pour exposer une vulnérabilité en matière de sécurité qui compromettrait des renseignements personnels.
[6] Au cours de l’enquête, la partie plaignante a confirmé qu’elle ne souhaitait pas le code source à jour de l’application ArriveCAN, mais le code tel qu’il était au moment de la demande d’accès, en août 2022. Elle indique également que l’utilisation de l’application n’est plus obligatoire.
[7] Lorsqu’il enquête sur une plainte déposée par quelqu’un à qui on a refusé l’accès à un document en vertu de la Loi sur l’accès à l’information, le Commissariat à l’information examine la décision de l’institution d’appliquer des exceptions pour prélever de l’information au moment où elle l’a prise. Il s’agit généralement du moment où l’institution a répondu à la demande d’accès, mais cela pourrait être au cours de l’enquête sur la plainte. En l’espèce, l’ASFC a pris la décision de ne pas communiquer l’information en vertu du paragraphe 16(2) au moment où elle a répondu à la demande.
[8] L’ASFC a répondu à la demande le 6 septembre 2022. À ce moment-là, le code source demandé était la version la plus à jour et l’utilisation de l’application ArriveCAN était obligatoire pour tous les voyageurs entrant au Canada. L’application recueillait les renseignements personnels très sensibles de millions de personnes.
[9] Compte tenu de ce qui précède, je conclus que les renseignements que l’ASFC a refusé de communiquer en septembre 2022 en vertu du paragraphe 16(2) satisfaisaient aux critères de cette exception, car la divulgation pouvait vraisemblablement faciliter la perpétration d’une infraction. Elle aurait permis à des acteurs malveillants de falsifier, de pirater ou de modifier l’application.
L’institution a-t-elle exercé raisonnablement son pouvoir discrétionnaire quant à sa décision de communiquer ou non l’information?
[10] Étant donné que l’information satisfait aux critères du paragraphe 16(2), l’ASFC devait exercer raisonnablement son pouvoir discrétionnaire pour décider de communiquer ou non l’information. Pour ce faire, l’ASFC devait prendre en considération tous les facteurs pertinents pour et contre la communication. L’ASFC n’a pas à fournir une analyse détaillée de chaque facteur considéré ni expliquer comment ils ont été mesurés les uns par rapport aux autres. Cependant, une déclaration générale selon laquelle l’institution a exercé son pouvoir discrétionnaire et tenu compte de tous les facteurs pertinents ne suffit pas.
[11] La partie plaignante soutient que tout risque lié à la divulgation doit être pondéré par rapport aux avantages de la transparence et de la responsabilité. Elle souligne également que les avantages du développement de logiciels libres, notamment l’amélioration de la sécurité, l’innovation et la confiance, l’emportent sur le risque potentiel.
[12] En l’espèce, l’ASFC a fourni des éléments de preuve montrant qu’elle avait considéré des facteurs pertinents, notamment l’intérêt public de la communication, la nature sensible des renseignements recueillis par l’application et l’objet de la Loi, lorsqu’elle a exercé son pouvoir discrétionnaire en vertu du paragraphe 16(2).
L’ASFC ne croyait pas que les avantages de la divulgation l’emportaient sur les risques et a choisi de ne pas divulguer les renseignements.
[13] Je conclus que l’exercice du pouvoir discrétionnaire par l’ASFC était raisonnable.
Article 25 : Prélèvements
[14] L’article 25 s’applique, nonobstant les autres dispositions de la Loi. Cet article exige que les institutions communiquent toute partie d’un document qui ne contient pas de renseignements visés par une exception à condition que le prélèvement de ces renseignements ne pose pas de problèmes sérieux. Il s’agit d’un prolongement du principe voulant que les exceptions nécessaires à l’accès à l’information soient précises et limitées.
[15] L’ASFC a fourni des éléments de preuve pour démontrer que le prélèvement du code source a été envisagé, mais qu’il n’était pas raisonnable dans ce cas, on ne sait pas où se trouvent les vulnérabilités dans le code source.
[16] J’accepte les observations de l’ASFC et je conclus que la décision de ne pas prélever les renseignements visés dans le document était raisonnable dans ce cas.
Résultat
[17] La plainte est non fondée.
Révision devant la Cour fédérale
Lorsqu’une allégation dans une plainte s’inscrit dans le cadre de l’alinéa 30(1)a), b), c), d), d.1) ou e) de la Loi, la partie plaignante a le droit d’exercer un recours en révision devant la Cour fédérale. La partie plaignante doit exercer ce recours en révision dans un délai de 35 jours ouvrables suivant la date du présent compte rendu et doit signifier une copie de sa demande de révision aux parties intéressées, conformément à l’article 43.