Une note de service met en garde concernant les données sur les véhicules électriques

OTTAWA — Les données provenant d'un véhicule électrique de pointe qui tomberaient entre de mauvaises mains pourraient être utilisées pour suivre des personnes ou effectuer de la surveillance, prévient un document interne du gouvernement.

La note de service de Sécurité publique Canada, préparée pour répondre aux préoccupations concernant les véhicules chinois, exhorte les Canadiens à être conscients des risques pour la sécurité et la confidentialité des appareils numériques qu'ils achètent et utilisent.

Plus tôt cette année, le Canada s'est engagé à réduire ses droits de douane de 100 % sur les véhicules électriques fabriqués en Chine à 6,1 % — avec un plafond annuel de 49 000 véhicules — en échange d'une réduction des droits de douane sur les produits agricoles canadiens.

La note de service indique que le Canada doit diversifier son économie pour s'adapter à un contexte géopolitique changeant — une étape essentielle pour garantir sa souveraineté économique.

«Parallèlement, l'ouverture de nos marchés à de nouveaux acteurs peut amplifier la présence de fournisseurs à haut risque. Les véhicules connectés, à l'instar d'autres appareils intelligents ou connectés à Internet, recueillent d'importantes quantités de données sur les Canadiens, lesquelles peuvent avoir une valeur en matière de renseignement, précise-t-elle. Par exemple, un accès non autorisé aux données et aux systèmes des véhicules connectés pourrait servir à établir des habitudes de vie ou à surveiller des sites sensibles.»

La Presse Canadienne a obtenu cette note de service en vertu de la Loi sur l'accès à l'information. Elle contient des messages clés ainsi que des questions et réponses sur le sujet.

La note souligne que les entreprises canadiennes doivent se conformer à la loi fédérale sur la protection des renseignements personnels, ou à ses équivalents provinciaux, qui encadrent la collecte, l'utilisation et la communication des renseignements personnels.

La note ajoute toutefois qu'il est important de se rappeler que les lois sur la sécurité nationale de certains pays, comme la Chine, peuvent obliger les fabricants et les fournisseurs à partager des données avec leur gouvernement ou leurs services de police.

«Le risque que les données canadiennes recueillies par les véhicules connectés soient consultées et exploitées augmente lorsque ces données sont envoyées vers des juridictions étrangères dotées de cadres de gestion des données plus permissifs, ou y transitent», peut-on lire.

Les véhicules fabriqués en Chine et destinés à la vente au Canada sont assujettis à la même réglementation que les voitures et les camions fabriqués dans d’autres pays, et le fabricant doit certifier que chaque véhicule est conforme aux normes de sécurité établies dans le Règlement sur la sécurité des véhicules automobiles du Canada, précise la note de service.

«Toutefois, les technologies des véhicules connectés présentent des menaces croissantes pour la sécurité, notamment tout au long de la chaîne d’approvisionnement, que le gouvernement évalue afin de déterminer la nécessité d’outils supplémentaires», dit la note.

Mesures de sécurité

Le document indique que des risques pour la sécurité sont associés à divers autres appareils connectés, téléphones mobiles, équipements de réseau, caméras vidéo et drones.

Il existe d’importantes mesures de protection — certaines déjà en place, d’autres nécessitant un développement et une mise en œuvre supplémentaires — pour minimiser ou gérer ces risques, ajoute la note de service.

«Chaque Canadien doit également tenir compte des implications en matière de cybersécurité et de protection de la vie privée, ainsi que de la fiabilité des appareils qu’il achète et utilise, précise-t-elle. À mesure que les menaces évoluent, nos outils doivent évoluer eux aussi.»

Les technologies émergentes, comme l’intelligence artificielle, sont de plus en plus intégrées aux appareils connectés partout au Canada, y compris dans l’industrie automobile, ce qui accroît la puissance et la portée des acteurs malveillants dans le cyberespace, indique le document.

Il prévient que si ces technologies sont introduites sans mesures de sécurité intégrées tout au long de leur cycle de vie, le Canada pourrait être moins apte à contrer les menaces.

De plus, la propriété étrangère de l’infrastructure — comme l’infonuagique — qui soutient les appareils connectés peut présenter un risque pour la protection de la vie privée et la cybersécurité, précise la note.

La communauté canadienne de la sécurité et du renseignement évalue les menaces et formule des recommandations sur les mesures à prendre pour les contrer, notamment en émettant des «avertissements concernant certains fournisseurs à haut risque», ajoute le document.

Le porte-parole de la Sécurité publique, Louis-Carl Brissette Lesage, a déclaré que Transports Canada a collaboré avec divers intervenants gouvernementaux, des fabricants et d’autres pays afin d’élaborer des lignes directrices et des outils sur la cybersécurité des véhicules qui établissent les pratiques exemplaires pour l’industrie.

Par exemple, Transports Canada a publié en mars 2020 les Lignes directrices sur la cybersécurité des véhicules au Canada, qui propose un ensemble de principes directeurs neutres sur le plan technologique afin d'appuyer l'industrie, a-t-il indiqué dans une réponse envoyée par courriel.

Le ministère des Transports mène également des recherches sur les technologies émergentes en matière de véhicules et collabore activement avec ses homologues internationaux par l'entremise de la Commission économique des Nations Unies pour l'Europe afin d'élaborer des normes réglementaires mondiales pour les systèmes de conduite automatisée, en tenant compte notamment de la sécurité des véhicules, a-t-il expliqué.

Jim Bronskill, La Presse Canadienne