Les autres sources d’information

Les traces de nos interactions avec les assistants vocaux pourraient aussi se trouver ailleurs que dans les historiques des assistants eux-mêmes. Les assistants vocaux étant, par nature, des interfaces conçus pour naviguer sur l’Internet, leur utilisation laisse d’autres traces, notamment auprès des FAI. Nous avons discuté du rôle des FAI précédemment. Observons maintenant ce que l’on pourrait obtenir d’eux et d’autres acteurs de l’IoT.

Lorsqu’ils savent où prêter l’oreille, les FAI peuvent permettre d’atteindre un degré de certitude assez élevé relativement à la navigation d’un utilisateur particulier, sous réserve cependant d’analyser le trafic Internet de cet utilisateur particulier de manière intentionnelle. S’il sait où regarder, le FAI peut techniquement tout voir. C’est donc dire que — dans le cas de la navigation Internet conventionnelle — une personne qui visite une page Web proposant du contenu illégal — de la pornographie juvénile par exemple — pourrait difficilement contester la preuve électronique montée contre elle si les forces de l’ordre peuvent montrer — au moyen des données fournies par un FAI — que l’adresse IP de l’appareil de cette personne a accédé au serveur — représenté par une autre adresse IP — où cette information illicite se trouvait être hébergée. C’est d’ailleurs de cette manière que la preuve pénale à l’endroit des cyberpédophiles

s’est généralement construite. Les forces de l’ordre ayant des soupçons relativement à un individu peuvent généralement obtenir un mandat permettant de requérir d’un FAI que celui-ci remette aux policiers les preuves qu’une personne a consulté des sites Web où se trouve hébergé du matériel illégal174_.

La question de la preuve de la navigation Internet, dans le cas des interactions avec les assistants vocaux, pourrait être d’un autre ordre. La nature du trafic lié à l’intelligence artificielle n’est généralement pas similaire à la nature du trafic conventionnel.

Dans certains cas, elle pourrait toutefois s’y apparenter. Ainsi, lorsqu’un utilisateur utilise sa voix pour effectuer une recherche qu’il aurait autrement effectuée dans un moteur de recherche — par exemple, rechercher la capitale d’un pays — la situation s’apparente à une utilisation conventionnelle de l’Internet. Dans d’autres cas, par contre, s’il s’agit de commandes destinées à déclencher des actions au moyen d’un objet connecté, par exemple demander à son téléphone de faire jouer de la musique ou d’allumer une lumière, et l’information recueillie par le FAI n’est pas de la même nature. L’information ne pourrait que difficilement être utilisée comme preuve autonome, mais pourrait appuyer une preuve existante. Si l’on reprend notre exemple, les traces en possession d’un FAI, laissées par l’utilisation d’un assistant vocal pour allumer ou éteindre une lumière, seraient selon nous surtout utiles pour corroborer l’historique d’utilisation de cet assistant vocal. Ainsi, l’information fournie par un FAI pourrait servir de preuve extrinsèque visant à prouver, par exemple, l’authenticité de l’information contenue dans l’historique d’utilisation.

174 _{R. c. Spencer, 2014 CSC 43 (Décision relative à la légalité de l’utilisation de l’adresse IP et la nécessité pour les}

forces de l’ordre d’obtenir un mandat de perquisition); R. c. Milette, 2015 QCCQ 16688 (L’adresse IP est utilisée pour révéler l’identité de l’expéditeur de courriel de menace et d’intimidation) ; R. c. Girard Lévesque, 2015 QCCQ 4509 (Le juge discute longuement de l’utilisation de l’adresse IP comme un moyen efficace de relier un utilisateur à un compte de messagerie précis.) ; R. c. Faivre, 2018 QCCQ 7467 (Un informateur de police met au jour les tactiques très élaborées d’un présumé pédophile afin de camoufler son identité sur le Web en masquant son adresse IP) ; Directeur des poursuites criminelles et pénales c. Deramchi, 2018 QCCQ 7424 (L’adresse IP est utilisée pour relier l’accusé à des cybercrimes sexuels commis à l’endroit de personnes mineures) ; R. c. L.M., [2005] CanLII 24988 (C.Q.) (Affaire datant de 2005 où le juge entend le témoignage d’un policier expliquant le fonctionnement de l’adresse IP, sa signification et la force probante qu’elle devrait avoir dans le but de relier un appareil à une utilisation particulière sur le Web) ; Voir aussi, pour d’autres techniques d’enquête R. c. Mills, 2019 CSC 22 (Utilisation d’un logiciel de capture d’écran et comparaison avec des fragments de messages retrouvés sur l’ordinateur de l’accusé) ; R. v. Levigne, 2010 CSC 25 (Utilisation d’un logiciel de capture d’écran pour enregistrer des séances de clavardage).

Lorsque l’utilisation de l’assistant vocal a pour but d’effectuer une recherche sur le Web, les traces de cette navigation — la consultation de la page Web — seront pertinentes et feront preuve en elles-mêmes.

Dans un scénario comme dans l’autre, la preuve obtenue des FAI pourrait prendre la forme de relevés d’analyse ou encore de témoignages de techniciens expliquant à la Cour le processus ayant mené à la collecte des données. Il serait possible de comparer les informations fournies par le FAI avec l’historique d’un assistant vocal. Du même souffle, une personne pourrait aussi contester l’intégrité d’un historique d’utilisation en confrontant celui-ci aux données générales issues du FAI, lesquelles ne peuvent être contrôlées par un utilisateur. L’analyse de cette preuve se fera sans doute grâce à un expert, il n’est pas certain qu’elle soit accessible à tous les justiciables, puisque les témoins experts ne sont que rarement gratuits. De fait, il se peut qu’elle se révèle disproportionnée dans certains cas. Nous aborderons ce sujet ultérieurement alors que nous discuterons de la recevabilité.

Sur un autre plan, en ce qui concerne l’information collectée par les autres acteurs de l’IoT, celle-ci peut prendre plusieurs formes. Le fabricant de produits connectés chinois Merross, lequel propose entre autres des ampoules, des commutateurs et des interrupteurs que l’utilisateur peut contrôler au moyen de différentes applications, dont l’Assistant Google et Alexa mentionne dans sa politique de confidentialité que l’entreprise recueille certaines informations :

« Whenever you interact with our Services […] we may automatically collect and store information on our servers, logs and databases from your browser, application, services or device(s). In particular, our Services are designed to allow you to connect various physical devices […] to the Services. While connected to the Services, these devices automatically report information to our servers (including information that you may have provided when setting up or configuring that device), which may include Personal Information. Such as device name, device location, model number, firmware version, hardware version, activation time, online time, app open frequency, crush logs, settings parameters.

Other information collected automatically through the foregoing means may include your IP address, MAC address, location details, ‘cookie’ information, device type, unique device identifiers, advertising identifiers, mobile device, operating system, the type of browser, demographic information, application and/or device(s) you’re using to access our Services, click-through paths, the identity of the page or feature you are requesting or

interacting with, time on page, and other indicators of how you are interacting with the Services. » 175

(Notre soulignement)

Pour ainsi dire, l’ensemble des interactions d’un utilisateur qui implique un produit Meross qu’elles aient été réalisées au moyen d’un assistant vocal ou directement au moyen de l’application du fabricant sont enregistrées par le fabricant. On peut donc conclure que l’information, si elle est détruite au sein de l’historique d’utilisation de l’assistant vocal, pourrait parallèlement se retrouver entre les mains d’un tiers, fabricant d’un autre élément de l’écosystème de l’IoT, mais qu’elle se présentera alors sous une forme moins conviviale nécessitant peut-être l’intervention d’un expert, avec toutes les conséquences que cela peut avoir.