Mexique : information sur l’accès aux bases de données de renseignements personnels par la police ou par de tierces parties, y compris information indiquant qui dispose d’un tel accès; les récentes atteintes à la protection des données; l’utilisation de logiciels espions; la réponse de l’État (2017-juillet 2021) [MEX200740.EF]

Direction des recherches, Commission de l'immigration et du statut de réfugié du Canada

1. Plataforma México
1.1 Aperçu

Dans un rapport de programme budgétaire d’octobre 2018, le ministère de l’Intérieur (Secretaría de Gobernación - SEGOB) du Mexique signale que Plataforma México est un système d’information conçu pour [traduction] « appuyer les activités des institutions chargées de la sécurité publique au pays » (Mexique oct. 2018, 3). La même source souligne que, en date de septembre 2018, la plateforme contenait plus de 100 bases de données, 793 millions de dossiers et 60 systèmes d’information, et comptait 900 organismes gouvernementaux connectés, 13 254 usagers actifs et 203,5 millions de recherches effectuées par les trois ordres de gouvernement (Mexique oct. 2018, 3-4).

D’après un article paru en décembre 2018 dans Capital México, un quotidien mexicain, si une personne se fait arrêter, par exemple, pour une infraction au code de la route, [traduction] « il est possible de savoir grâce à Plataforma México si cette personne fait l’objet d’une accusation criminelle ailleurs au pays, si elle a déjà été arrêtée, si elle est actuellement visée par [des injonctions] ou si elle a d’autres antécédents criminels » (Capital México 8 déc. 2018). Selon le manuel relatif à l’organisation générale du Secrétariat de la sécurité et de la protection civile (Manual de Organización General de la Secretaría De Seguridad y Protección Ciudadana) publié dans le journal officiel de la Fédération (Diario Oficial de la Federación - DOF) du Mexique en décembre 2020, le sous-secrétaire de la sécurité publique (Subsecretaría de Seguridad Pública - SSC) est chargé de développer l’interconnectivité de Plataforma México (Mexique 4 déc. 2020, 25).

1.2 Intégration des bases de données de la sécurité publique

Selon le site Internet du gouvernement de l’État de San Luis Potosí, Plataforma México comprend notamment les bases de données suivantes :

[traduction]

  • le rapport de police standardisé (Informe Policial Homologado);
  • le registre des permis de conduire (Registro de Licencias de Conducir);
  • le registre national des armes et de l’équipement (Registro Nacional de Armamento y Equipo);
  • le registre national des renseignements pénitentiaires (Registro Nacional de Información Penitenciaria);
  • le registre national du personnel de la sécurité publique (Registro Nacional de Personal de Seguridad Pública);
  • les données sur les véhicules volés et retrouvés (Vehículos Robados y Recuperados);
  • le système automatisé d’identification par empreintes digitales (Sistema Automatizado de Identifi cación Dactilar);
  • le système automatisé de reconnaissance vocale (Sistema Automatizado de Identificación de Voz);
  • les données sur l’ADN (San Luis Potosí s.d.).

D’après le rapport du Mexique sur sa stratégie nationale en matière de sécurité publique, le pays dispose d’un système de surveillance des véhicules (Puntos de Monitoreo Vehicular - PMV), un outil permettant de [traduction] « repérer les véhicules volés », dont 80 p. 100 des appareils de surveillance des véhicules étaient « opérationnels et connectés à Plataforma México » (Mexique avr. 2021, 147). La même source signale que, depuis 2005, le registre public des véhicules compte plus de 56 millions de véhicules immatriculés (Mexique avr. 2021, 147).

Le rapport du Mexique sur sa stratégie nationale en matière de sécurité publique signale que le registre national du personnel de la sécurité publique compte 2 286 274 inscriptions, incluant les employés d’entreprises de sécurité privées, dont 38,6 p. 100 font partie du personnel actif (Mexique avr. 2021, 146-147). Sur le site Internet du gouvernement de l’État de San Luis Potosí, on peut lire que la base de données du système automatisé de reconnaissance vocale comprend des échantillons de tout le personnel et de tous les postulants des services de sécurité publics et privés, ainsi que de toutes les personnes accusées, traduites en justice ou condamnées (San Luis Potosí s.d.).

1.3 Accès autorisé

Selon un bulletin de 2007 publié sur le site Internet du SEGOB, Plataforma México a été créée pour fournir les renseignements requis aux services de sécurité publique des trois ordres de gouvernement (Mexique 29 mars 2007). Le site Internet du gouvernement de l’État de San Luis Potosí précise que Plataforma México englobe les institutions suivantes :

[traduction]

des organismes et institutions de la Sécurité publique des trois ordres de gouvernement;

les bureaux fédéraux et étatiques du procureur général;

les centres de détention fédéraux, étatiques et municipaux;

les centres de certification, d’accréditation et de surveillance, ou leurs homologues;

les conseils de la sécurité publique des États;

les académies et instituts de la sécurité publique et de l’administration de la justice;

les organismes et institutions du gouvernement fédéral qui doivent obtenir une autorisation pour accéder aux outils ou aux applications de Plataforma México (San Luis Potosí s.d.).

Dans un article d’octobre 2017 publié par Abogacia.mx, un portail en ligne permettant d’accéder à des services juridiques dans huit pays incluant le Mexique (Abogacia.mx s.d.), on signale que les institutions gouvernementales sont les seules entités qui ont accès à Plataforma México (Abogocia.mx 2 oct. 2017). La même source précise, en citant les propos du gouvernement du Mexique, que la plateforme [traduction] « est conçue de manière à ce qu’aucun particulier n’ait accès à toutes les données » (Abogacia.mx 2 oct. 2017). Parmi les sources qu’elle a consultées dans les délais fixés, la Direction des recherches n'a pas trouvé d'autres renseignements allant dans le même sens.

Dans son rapport sur la stratégie nationale en matière de sécurité publique, le Secrétariat de la sécurité et de la protection civile (Secretaría De Seguridad y Protección Ciudadana - SSPC) déclare que, en date de mars 2021, les systèmes de la police et du bureau du procureur public étaient connectés avec le registre national des détentions (Registro Nacional de Detenciones) et que 522 045 comptes s’y sont vu accorder l’accès (Mexique avr. 2021, 142-143). La même source ajoute que le registre national des détentions [traduction] « permet au public de connaître, à l’échelle nationale, le statut de toute personne détenue pour avoir présumément commis un délit de droit commun » et est « accessible en ligne au public » (Mexique avr. 2021, 143, 146). De même, Milenio, un quotidien mexicain, écrit que le registre national des détentions compte deux portails connectés à Plataforma México : un premier qui est réservé à l’usage exclusif de la police et des ministères publics partout au Mexique, et un deuxième auquel le public a librement accès, [traduction] « où tout citoyen peut vérifier si une personne a été détenue et peut se renseigner sur l’organe de sécurité publique ou de maintien de l’ordre concerné, ainsi que sur l’endroit exact où se trouve la personne » (Milenio 30 nov. 2019). D’après le site Internet officiel du registre national des détentions du SSPC, l’information requise pour interroger le registre au sujet d’une personne inclut le prénom et le nom de famille de cette personne (Mexique [2021]).

1.4 Accès non autorisé

Parmi les sources qu’elle a consultées dans les délais fixés, la Direction des recherches n’a trouvé aucun renseignement sur l’accès non autorisé à Plataforma México, y compris par de tierces parties.

2. Atteintes à la protection des données

Parmi les sources qu’elle a consultées dans les délais fixés, la Direction des recherches n’a trouvé aucun renseignement sur les atteintes à la protection des données liées à la sécurité publique, y compris Plataforma México et d’autres systèmes et bases de données intégrés.

Selon le réseau de défense des droits numériques (Red en Defensa de los Derechos Digitales - R3D), une organisation mexicaine qui milite pour les droits de la personne dans la sphère numérique (R3D s.d.), le 22 janvier 2021, une base de données de l’Institut mexicain de la sécurité sociale (Instituto Mexicano del Seguro Social - IMSS) qui comptait 42 millions de dossiers renfermant des données telles que le nom, [le code unique d’enregistrement de la population (Clave Única de Registro de Población - CURP)] et le salaire de base, de même que le nom et l’adresse de l’employeur, a été mise en vente dans un forum en ligne (R3D 26 janv. 2021). La même source souligne que, le 25 janvier 2021, un vendeur dans un autre forum vendait les bases de données d’organisations telles que la Commission fédérale de l’électricité (Comisión Federal de Electricidad), l’Institut électoral national (Instituto Nacional Electoral - INE), l’Institut de la sécurité et des services sociaux des travailleurs de l’État (Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado) et l’Institut du fonds national du logement pour les travailleurs (Instituto del Fondo Nacional de la Vivienda para los Trabajadores) (R3D 26 janv. 2021). Sans fournir de précisions additionnelles, une mise à jour de février 2021 ajoutée à ce même article de R3D précise que les ventes de bases de données affichées le 25 janvier ont été retirées (R3D 26 janv. 2021). Parmi les sources qu’elle a consultées dans les délais fixés, la Direction des recherches n'a pas trouvé d'autres renseignements allant dans le même sens.

3. Utilisation de logiciels espions

Selon un communiqué publié sur le site Internet du gouvernement du Mexique, la secrétaire du SSPC a tenu une conférence de presse pour exposer les activités d’espionnage menées par les précédents gouvernements mexicains de 2012 à 2018 à l’aide du logiciel Pegasus, développé par l’entreprise NSO Group (Mexique 28 juill. 2021). Au dire de la secrétaire du SSPC, [traduction] « [l]e droit à la vie privée de journalistes, de politiciens, de militants sociaux, de gens d’affaires, de défenseurs des droits de la personne, de fonctionnaires et de législateurs ont été violés » (Mexique 28 juill. 2021). D’après une enquête publiée en juillet 2021 par le Washington Post, fondée sur un projet d’enquête commun appelé le projet Pegasus (Pegasus Project) [1], entrepris par le collectif de journalistes Forbidden Stories en collaboration avec de multiples organisations médiatiques et avec l’expertise technique d’Amnesty International, le NSO Group est [traduction] « une entreprise israélienne considérée comme un chef de file mondial en matière de cybersurveillance » qui a accordé des licences d’utilisation de Pegasus à de multiples « agences de renseignement, organismes militaires et forces de l’ordre dans 40 pays », dont le Mexique (The Washington Post 18 juill. 2021). Dans sa conférence de presse, la secrétaire du SSPC a signalé que des organismes des gouvernements mexicains précédents, y compris la police fédérale, le bureau du procureur général et le Centre national du renseignement (Centro Nacional de Inteligencia - CISEN), avaient conclu [traduction] « 31 contrats » avec des entreprises directement ou apparemment associées au NSO Group (Mexique 28 juill. 2021). Par ailleurs, une enquête réalisée par les plateformes mexicaines de nouvelles en ligne Proceso et Aristegui Noticias dans le cadre du projet Pegasus attire l’attention sur d’autres entités liées à l’achat du logiciel espion Pegasus au Mexique, dont la Commission nationale des eaux (Comisión Nacional del Agua - Conagua), le Service de la protection fédéral (Servicio de la Protección Federal - Seprofe), la Police fédérale, l’Institut national des migrations (Instituto Nacional de Migración), le Secrétariat aux communications et aux transports (Secretaría de Comunicaciones y Transportes - SCT), ainsi que les Secrétariats de la marine et de l’armée (Secretarías de Marina-Armada de México - Semar) et la Défense nationale (Defensa Nacional - Sedena) (Proceso 21 juill. 2021).

Le Washington Post écrit que plus de 15 000 numéros de téléphone au Mexique, notamment les numéros de personnalités politiques, représentants syndicaux, journalistes et détracteurs du gouvernement, figuraient sur la liste des numéros associés à des appareils infectés par le logiciel (The Washington Post 18 juill. 2021). D’après Al Jazeera, le président Andrés Manuel López Obrador a également été la cible du logiciel espion à l’époque où il était candidat à la présidence en 2016 et 2017, de même que 50 personnes dans son entourage, y compris son épouse, ses enfants, ses chauffeurs et son cardiologue (Al Jazeera 29 juill. 2021).

Le Washington Post signale qu’un ancien dirigeant du CISEN (de 2006 à 2011) a dit à propos du logiciel qu’il était [traduction] « "très utile pour lutter contre le crime organisé" », mais a souligné que « "l’absence totale de mécanismes de contrôle [au sein des organismes mexicains] fait en sorte que le logiciel aboutit dans les mains de particuliers et sert à des fins politiques et personnelles" » (The Washington Post 18 juill. 2021). Une enquête sur l’utilisation du logiciel espion contre des journalistes mexicains réalisée par le collectif Forbidden Stories cite les propos d’un [traduction] « cadre supérieur [de l’Administration de la lutte antidrogue (Drug Enforcement Administration - DEA) des États-Unis] » selon lesquels « les policiers ayant accès à la technologie de cybersurveillance la vendent aux cartels » (Forbidden Stories s.d.a). Selon le volet du projet Pegasus mené par Proceso et Aristegui Noticiasas, le Bureau du procureur général (Fiscalía General de la República - FGR) a signalé qu’il y avait aussi des preuves de l’utilisation du logiciel espion Pegasus par des sociétés privées (Proceso 21 juill. 2021).

4. Réponse de l’État
4.1 Protection des données

Selon des sources, l’organisme chargé de la protection des données au Mexique est l’Institut fédéral d’accès à l’information et de protection des renseignements personnels (Instituto Nacional de Acceso a la Información y Protección de Datos Personales - INAI), qui veille à la fois à l’accès à l’information publique sur les affaires gouvernementales et au respect des droits des citoyens en matière de vie privée et de protection des renseignements personnels (CMS 19 févr. 2021, 3; CREEL [2017]; HRW 28 janv. 2021). Milenio écrit que, entre octobre 2018 et novembre 2019, le gouvernement du président López Obrador a lancé [traduction] « au moins 30 » poursuites contre l’INAI pour empêcher que des informations soient rendues publiques par des entités telles que le Bureau du procureur général et la Défense nationale, à la suite de résolutions de l’INAI (Milenio 11 mars 2020).

D’après CMS, un cabinet d’avocats international qui offre ses services à des organisations et des entreprises (CMS s.d.), les lois actuelles en matière de protection de données au Mexique contraignent les entités gouvernementales, mais pas les parties du secteur privé, à signaler à l’INAI toute atteinte à la protection des données (CMS 19 févr. 2021, 7). La même source souligne que les parties du secteur privé doivent toutefois aviser les personnes concernées de toute atteinte aux données à caractère personnel (CMS 19 févr. 2021, 7).

4.2 Logiciels espions

Selon l’Associated Press (AP), depuis son arrivée au pouvoir en 2018, le président López Obrador s’est engagé à mettre fin à l’utilisation de logiciels espions et, au dire du chef du Service du renseignement financier du Mexique, aucune transaction [liée à l’achat de logiciels espions] n’a été relevée en lien avec le gouvernement actuel (AP 28 juill. 2021). D’après le communiqué du SSPC, le gouvernement actuel a pour [traduction] « principe fondamental » la protection des valeurs de liberté et de transparence, et déclare révolue l’époque où les adversaires politiques étaient pris pour cible et où l’espionnage était courant (Mexique 28 juill. 2021). Un article de Reuters signale que les procureurs d’État qui dirigent l’enquête sur l’utilisation du logiciel espion Pegasus n’ont toujours pas identifié les parties responsables et que [traduction] « le service qui dirige l’enquête figurait parmi les entités qui avaient initialement acheté le logiciel espion israélien de classe militaire » (Reuters 9 août 2021). La même source fait observer que, jusqu’à présent, personne n’a été arrêté ou congédié pour avoir utilisé le logiciel espion, et cite les propos d’un militant des droits numériques mêlé à l’affaire selon lesquels [traduction] « en quatre ans, l’enquête n’a pas produit le moindre résultat significatif » (Reuters 9 août 2021). Selon un expert en cybersécurité interviewé par Al Jazeera, les lois et les règlements visant à contrôler l’utilisation des logiciels espions par des parties du secteur privé sont à peu près inexistants et [traduction] « pratiquement tout le monde est vulnérable » (Al Jazeera 29 juill. 2021). La même source cite les propos d’un expert en sécurité selon lesquels [traduction] « il n’y a pas eu de sanctions, ni de lois ou règlements clairs qui pourraient faire en sorte que les responsables aient à rendre compte de leurs actes dans une certaine mesure; or cela est d’autant moins envisageable que c’est le gouvernement qui commet ces actes » (Al Jazeera 29 juill. 2021).

Cette réponse a été préparée par la Direction des recherches à l'aide de renseignements puisés dans les sources qui sont à la disposition du public, et auxquelles la Direction des recherches a pu avoir accès dans les délais fixés. Cette réponse n'apporte pas, ni ne prétend apporter, de preuves concluantes quant au fondement d'une demande d'asile. Veuillez trouver ci-dessous les sources consultées pour la réponse à cette demande d'information.

Note

[1] Le projet Pegasus est une enquête coordonnée réalisée par Forbidden Stories, un consortium médiatique, en collaboration avec 17 organisations médiatiques, dont le Guardian, le Washington Post et Proseco (Forbidden Stories s.d.b). Le projet disposait également du soutien technique du laboratoire de sécurité d’Amnesty International (Forbidden Stories s.d.b). Forbidden Stories est [traduction] « un réseau mondial de journalistes d’enquête ayant pour mission de poursuivre le travail des journalistes qui sont menacés, censurés ou assassinés » (The Guardian 7 déc. 2020). Le projet s’est amorcé lorsque Forbidden Stories a eu accès à une fuite de renseignements recensant plus de 50 000 numéros de téléphone de plus d’une cinquantaine de pays, dont le Mexique (Forbidden Stories s.d.b).

Références

Abogacia.mx. 2 octobre 2017. « ¿Qué es Plataforma México? ». [Date de consultation : 25 août 2021]

Abogacia.mx. S.d. « Quiénes Somos ». [Date de consultation : 31 août 2021]

Al Jazeera. 29 juillet 2021. Jihan Abdalla. « Rights Group Calls for Moratorium on the Use of Spyware in Mexico ». [Date de consultation : 17 août 2021]

Associated Press (AP). 28 juillet 2021. « Mexico Says Officials Spent $61 Million on Pegasus Spyware ». [Date de consultation : 17 août 2021]

Capital México. 8 décembre 2018. « Para qué sirve la Plataforma México ». [Date de consultation : 17 août 2021]

CMS. 19 février 2021. Cesar Armando Lechuga Perezanta. Data Protection and Cybersecurity Laws in Mexico. [Date de consultation : 4 août 2021]

CMS. S.d. « About Us ». [Date de consultation : 31 août 2021]

CREEL. [2017]. « General Law for the Protection of Personal Data ». [Date de consultation : 26 août 2021]

Forbidden Stories. S.d.a. « Spying on Mexican Journalists: Investigating the Lucrative Market of Cyber-Surveillance » [Date de consultation : 10 sept. 2021]

Forbidden Stories. S.d.b. « About the Pegasus Project ». [Date de consultation : 2 sept. 2021]

The Guardian. 7 décembre 2020. Nina Lakhani et Cecil Schillis-Gallego. « 'It's a Free-for-All': How Hi-Tech Spyware Ends up in the Hands of Mexico's Cartels ». [Date de consultation : 2 sept. 2021]

Human Rights Watch (HRW). 28 janvier 2021. « Mexico: Public Accountability, Privacy Under Threat ». [Date de consultation : 24 août 2021]

Mexique. 28 juillet 2021. Secretaría de Seguridad y Protección Ciudadana (SSPC). « Contrator de software espía afectaron al erario por mil 970 mdp, además de 61.3 mdd ». [Date de consultation : 12 août 2021]

Mexique. Avril 2021. Secretaría de Seguridad y Protección Ciudadana (SSPC). Estrategia Nacional de Seguridad Pública. Segundo Informe Anual. [Date de consultation : 11 août 2021]

Mexique. [2021]. Secretaría de Seguridad y Protección Ciudadana (SSPC). « Consulta detenciones ». [Date de consultation : 13 sept. 2021]

Mexique. 4 décembre 2020. Manual de Organización General de la Secretaría de Seguridad y Protección Ciudadana. [Date de consultation : 11 août 2021]

Mexique. Octobre 2018. Secretaría de Gobernación (SEGOB), Comisionado Nacional de Seguridad (CNS). Libro Blanco del Programa Presupuestario R903 "Plataforma México". [Date de consultation : 9 août 2021]

Milenio. 11 mars 2020. Rafael Montes. « Al menos 30 amparos 'frenan' resoluciones del INAI durante ultimo año ». [Date de consultation : 24 août 2021]

Milenio. 30 novembre 2019. Verónica Díaz. « Registro Nacional de Detenciones tiene 413 altas a una semana de lanzamiento ». [Date de consultation : 24 août 2021]

Proceso. 21 juillet 2021. Carmen Aristegui, Juan Omar Fierro et Sebastián Barragán. « Pegasus Project: la red de empresas que vendió Pegasus al gobierno de Peña Nieto ». [Date de consultation : 24 août 2021]

Red en Defensa de los Derechos Digitales (R3D). 26 janvier 2021. « A la venta, bases de datos de BBVA, Santander e IMSS con millones de registros ». [Date de consultation : 24 août 2021]

Red en Defensa de los Derechos Digitales (R3D). S.d. « Quiénes Somos ». [Date de consultation : 31 août 2021]

Reuters. 9 août 2021. Avi Asher-Schapiro et Christine Murray. « INSIGHT-Pegasus Spyware Scandal: Years of Questions, no Answers for Mexico Victims ». [Date de consultation : 30 août 2021]

San Luis Potosí. S.d. Secretariado Ejecutivo del Consejo Estatal de Seguridad Pública del Estado de San Luis Potosí. « Plataforma México ». [Date de consultation : 8 sept. 2021]

The Washington Post. 28 juillet 2021. Leo Schwartz. « Mexico's Shockingly Broad Use of Spyware Is a Revelation. Nothing Will Change ». [Date de consultation : 24 août 2021]

The Washington Post. 18 juillet 2021. Dana Priest, Craig Timberg et Souad Mekhennet. Private Israeli Spyware Used to Hack Cellphones of Journalists, Activists Worldwide. [Date de consultation : 10 août 2021]

Autres sources consultées

Sources orales : cabinet d’avocats au Mexique; International Crisis Group; professeur adjoint dans une université américaine dont les recherches portent notamment sur les institutions d’accès à l’information au Mexique; professeur agrégé de science politique dans une université américaine qui compte des publications sur l’accès à l’information et aux données au Mexique; professeur auxiliaire dans une université américaine dont les recherches portent entre autres sur la gouvernance démocratique et les droits de la personne en Amérique latine ainsi que la réforme policière au Mexique.

Sites Internet, y compris : Amnesty International; Committee to Protect Journalists; Council on Foreign Relations; ecoi.net; El Universal; Factiva; Freedom House; The Guardian; Justice in Mexico; La Jornada; The Law Reviews; Mexique – Dirección General de Transparencia y Archivos, Fiscalía General de la República, Instituto Nacional de Acceso a la Información y Protección de Datos Personales, Policía Federal, Secretaría de la Función Pública; National Security Archive; Nations Unies – Office contre la drogue et le crime, Refworld; NewTechMag.net; The New York Times; Organisation de coopération et de développement économiques; Privacy International; Scientific American; SDP Noticias; Time.