Notes des comités parlementaires : Résumé des questions abordées
Sommaire
Le 14 juin 2022, le gouvernement a déposé à la Chambre des communes le projet de loi C-26, Loi concernant la cybersécurité. Le débat en deuxième lecture a commencé le 1er décembre 2022, et a repris le 6 mars et le 23 mars 2023. Toutes les parties ont exprimé le souhait d'entendre des témoins experts sur la meilleure façon de répondre aux diverses préoccupations au moyen de modifications. Le projet de loi a été renvoyé au Comité permanent de la sécurité publique et nationale (SECU, ou Comité) le 27 mars 2023. L'étude du Comité a été amorcée le 29 janvier 2024 et s'est poursuivie dans le cadre de cinq réunions entre cette date et le 12 février 2024 où ont été entendus des témoins, suivies de deux séances article par article tenues le 18 mars 2024 et le 8 avril 2024, au cours desquelles le Comité a adopté plusieurs motions répondant aux préoccupations des intervenants.
Tout au long de l'étude du Comité, les témoins ont présenté leur témoignage et ont eu l'occasion de répondre aux questions des députés. Dans l'ensemble, les intervenants et les députés ont exprimé leur soutien à l'égard de l'importance de cette loi et de la protection des infrastructures essentielles du Canada contre les cybermenaces et les vulnérabilités. Toutefois, des inquiétudes ont été exprimées quant au manque de surveillance perçu dans le cadre du projet de loi en ce qui concerne les nouveaux pouvoirs accordés au gouvernement, le traitement des renseignements confidentiels, la protection des renseignements personnels, la clarté de la conception des programmes et les dispositions relatives à la confidentialité des arrêtés, des décrets et des directives.
Résumé des questions soulevées
Plusieurs témoins issus du monde universitaire, de groupes de défense des libertés civiles, d'organismes de réglementation, de l'industrie, du gouvernement du Canada (GC) et d'experts en cybersécurité ont participé aux discussions. Des parlementaires du Parti conservateur du Canada (PCC), du Bloc Québécois, du Parti libéral du Canada (PLC) et du Nouveau Parti démocratique (NPD) ont également fait part de leur point de vue. De nombreux députés du PLC et du NPD ont posé des questions sur les risques de retarder ou de ne pas adopter le projet de loi, notamment les conséquences pour les infrastructures essentielles, l'augmentation des coûts associés aux cyberincidents et le fait d'accuser un retard par rapport aux alliés du Canada.
Le résumé des questions ci-dessous est regroupé par thèmes clés soulevés par les parlementaires et les intervenants au cours de l'étude du Comité.
Défense fondée sur la diligence raisonnable et régime de sanctions administratives pécuniaires
Le BQ, le PCC et les intervenants ont parlé des répercussions financières possibles des sanctions sur les petites et moyennes entreprises (PME) et ont affirmé que seules les grandes organisations pourraient les payer. Certains intervenants ont laissé entendre que le régime de sanctions administratives pécuniaires (SAP) constituait une double peine, car les entreprises se font infliger une amende pour avoir été piratées. Les intervenants ont suggéré d'ajouter une disposition de diligence raisonnable afin que personne ne soit puni pour les efforts déployés de bonne foi pour se conformer à la loi et peut-être pour ajouter une protection contre la responsabilité personnelle et civile.
Traitement des renseignements confidentiels
Le PLC et le PCC ont posé des questions à propos du traitement des renseignements confidentiels recueillis par le GC auprès de l'industrie. En particulier, le PCC s'est interrogé sur la sécurité et la protection des renseignements de nature délicate fournis au gouvernement conformément aux exigences en matière de rapports, étant donné que le gouvernement fédéral lui-même n'est pas à l'abri du piratage informatique. Les intervenants ont exprimé des préoccupations semblables concernant le traitement des renseignements confidentiels. Il a été suggéré de rendre plus strictes les conditions d'utilisation des données ou de limiter la quantité de données sensibles collectées. En outre, il a été recommandé que toute information obtenue par le Centre de la sécurité des télécommunications (CST) au sujet des Canadiens en vertu de ce projet de loi soit utilisée exclusivement pour la partie de son mandat relative à la cybersécurité défensive ou que le CST soit exclu du projet de loi afin d'éviter un effet « paralysant » qui amènerait les organisations à moins communiquer. Certains intervenants ont également exprimé leur intérêt pour l'ajout de dispositions assurant la sécurité afin d'encourager l'échange de renseignements et d'élargir cet échange aux organismes et ministères gouvernementaux axés sur la sécurité, y compris le Conseil de la radiodiffusion et des télécommunications canadiennes.
Protection des renseignements personnels
Les membres du PCC et du NPD ont demandé si cette loi, sans modifications, protégera la vie privée des Canadiens. Les membres du PLC ont posé des questions concernant la manière dont la Loi recoupera la Loi sur la protection des renseignements personnels. Les intervenants ont déclaré que cette loi menace la vie privée des personnes et rend difficile le respect des lois sur la protection de la vie privée par les organisations. Ils ont proposé que la Loi prévoie une protection explicite des renseignements personnels et des contrôles plus rigoureux concernant l'échange et l'utilisation de renseignements personnels et confidentiels. Les témoins ont également soutenu que les droits à la protection des renseignements personnels doivent être ancrés dans la Loi et que des critères de proportionnalité sont nécessaires, à l'instar de la législation australienne en matière de cybersécurité. OpenMedia a remis une pétition de près de 6 000 signatures de Canadiens exigeant une meilleure protection de la vie privée.
Mesures de protection supplémentaires concernant les pouvoirs d'émettre des arrêtés, des décrets et des directives
Les membres du NPD, du PLC, du PCC et du Bloc Québécois ont examiné de près l'absence de mesures de protection concernant les nouveaux pouvoirs conférés au GC, invoquant la nécessité d'une plus grande transparence. Les membres du PCC et du Bloc Québécois ont exprimé leurs inquiétudes quant aux pouvoirs étendus que le projet de loi accorde au GC, le PCC faisant remarquer que cette loi pourrait permettre au GC d'interrompre les services canadiens. Les intervenants se sont dits préoccupés par le fait que les pouvoirs étendus de la Loi permettent au GC de mettre en place des portes dérobées, d'affaiblir les normes de chiffrement et de saisir tout ce qui peut l'être. Ils ont souligné que les autorités réglementaires et les droits d'accès du GC devraient être limités dans leur champ d'application et à certaines situations critiques qui répondent à des seuils de non-respect précis. Les intervenants ont également formulé des préoccupations quant à la possession par les responsables chargés d'élaborer des directives de l'industrie des compétences nécessaires pour le faire efficacement, et au fait qu'ils devraient collaborer avec l'industrie.
Certains témoins ont suggéré d'inclure des « restrictions justes et raisonnables » aux pouvoirs d'émettre des arrêtés, des décrets et des directives, en indiquant que dans le cas contraire, le Cabinet ne serait pas tenu d'examiner les coûts encourus par les entreprises pour se conformer à un arrêté ou à un décret, s'il existe des solutions de rechange raisonnables à un arrêté ou un décret, ou les effets possibles sur la concurrence ou sur les clients. Les membres du PLC s'interrogent sur le nombre de secteurs auxquels la Loi s'applique, sur les nouveaux pouvoirs que le GC se verra confier en vertu de cette loi et sur l'inclusion d'une norme visant à assurer le caractère raisonnable des directives, des arrêtés et des décrets. Ils ont également proposé une liste de facteurs à prendre en compte avant d'émettre des arrêtés, des décrets et des directives. D'autres recommandations ont été formulées pour limiter les pouvoirs de manière proportionnée et raisonnable, par exemple en prévoyant que l'émission de directives de cybersécurité est soumise à l'article 3 de la Loi sur les textes réglementaires, ce qui permettrait de faire en sorte que tout arrêté ou décret émis par le Cabinet à l'intention des exploitants désignés en vertu de la Loi doit être examiné par le greffier du Conseil privé et le sous-ministre de la Justice.
Traitement des directives, des arrêtés et des décrets confidentiels
Les membres du PLC se sont interrogés sur le bien-fondé de l'utilisation des directives, des arrêtés et des décrets confidentiels. Pour répondre aux problèmes liés à la transparence, les intervenants ont suggéré d'éliminer les éléments de preuve secrets ou de nommer des avocats spéciaux pour s'assurer que tous les éléments de preuve sont dûment examinés lorsqu'ils font l'objet d'un contrôle judiciaire. Ils ont également proposé que les arrêtés et les décrets émis en vertu de la Loi soient publiés chaque année dans la Gazette du Canada. Toute circonstance exceptionnelle pouvant justifier la confidentialité de ces arrêtés et ces décrets devrait être expressément et strictement définie dans la Loi, et devrait être limitée dans le temps.
Précision du langage
Les membres du PCC, du PLC et du Bloc Québécois ont tous demandé de quelle manière les définitions pouvaient être davantage précisées. Les intervenants ont suggéré de définir plus précisément les termes clés, tels que « cyberincident » et « cybersystème essentiel ». Ils recommandent également de modifier la formulation afin d'encourager toutes les organisations, et pas seulement les exploitants désignés, à échanger volontairement des renseignements sur les cybermenaces.
Clarté de la conception des programmes et clarification des dispositions
Tous les partis politiques présents ont posé plusieurs questions sur la conception des programmes. Les membres du NPD et du Bloc Québécois se sont interrogés sur le coût pour les petites et moyennes entreprises de se conformer à la loi, notamment en raison de la pénurie de main-d'œuvre. Les membres du PCC ont soulevé des préoccupations semblables au sujet du coût de la conformité pour les exploitants et de l'incidence que cela pourrait avoir sur les Canadiens. Les intervenants ont suggéré de recourir à des incitations fiscales pour encourager le respect de la législation en matière de cybersécurité, plutôt que de punir le non-respect de cette loi.
Le Bloc Québécois, le NPD et le PLC ont posé plusieurs questions sur les obligations de signalement. Les intervenants ont recommandé que la Loi suive des exigences semblables à celles des États-Unis, en prévoyant un délai de 72 heures pour le signalement des cyberincidents, au lieu d'un signalement immédiat. Le PCC s'est également dit préoccupé par le fait que la Loi aura un effet « paralysant » sur l'échange de renseignements entre le GC et les exploitants, compte tenu de l'obligation de signalement. Afin de favoriser l'échange bidirectionnel de renseignements, les intervenants ont suggéré de faire figurer l'adhésion à l'Échange canadien de menaces cybernétiques parmi les dépenses des programmes du GC déductibles.
Le Bloc Québécois, le PCC et le PLC ont demandé comment cette législation pourrait modifier les exigences réglementaires préexistantes, y compris les règlements provinciaux. Les membres du PLC ont également posé des questions sur le cadre des programmes de cybersécurité et sur les mesures raisonnables que les exploitants doivent prendre pour atténuer les risques liés à la chaîne d'approvisionnement et aux services offerts par des tiers. Les intervenants ont recommandé d'aligner la Loi sur les cadres réglementaires préexistants, tels que ceux établis par les organismes de réglementation provinciaux, afin d'éviter les chevauchements réglementaires. Plusieurs députés et témoins ont également exprimé leur intérêt pour l'alignement de cette loi sur les normes internationales, en particulier celles des États-Unis, du Royaume-Uni et de l'Australie, en ce qui concerne l'adoption d'une méthodologie fondée sur le risque pour les exploitants désignés, proportionnellement à leur niveau de risque.
Modifications adoptées dans le cadre de l'étude du Comité
Les membres du Comité ont pris soin de renforcer cette législation au cours de leur étude, en tenant compte des préoccupations soulevées par divers intervenants, notamment l'industrie, les provinces et les territoires, le monde universitaire et les associations de défense des libertés civiles. Pour répondre aux questions soulevées par les intervenants, le Comité a adopté plusieurs motions qui améliorent la transparence, la surveillance et la protection des renseignements personnels, qui renforcent les dispositions du projet de loi et qui renforcent davantage la législation.
Vous trouverez ci-dessous un résumé de ces motions, y compris, mais sans s'y limiter, les suivantes :
- Disponibilité d'une défense fondée sur la diligence raisonnable et les paramètres d'application du régime des sanctions administratives pécuniaires;
- Plus grande certitude que la vie privée et les renseignements personnels des Canadiens seront protégés conformément à la Loi sur la protection des renseignements personnels;
- Assurance que les renseignements confidentiels continueront à être traités comme tels par toute personne qui les reçoit;
- La précision du contenu des rapports annuels au Parlement;
- Une obligation pour le gouvernement d'informer des organismes d'examen du fait qu'un décret a été pris ou une directive a été établie;
- Une norme de décision raisonnable et une liste non exhaustive de facteurs que le gouvernement doit prendre en considération avant de décider d'émettre un décret, un arrêté ou une directive;
- La précision que les cyberincidents doivent être signalés dans un délai établi par règlement et ne dépassant pas 72 heures; et
- Une référence explicite au fait que cette législation vise à être harmonisée avec les régimes de réglementation existants dans la mesure du possible.
Vous trouverez ci-dessous de plus amples détails sur ces modifications.
Défense fondée sur la diligence raisonnable et régime de sanctions administratives pécuniaires
Pour la partie 1, une clause du projet de loi qui aurait refusé une défense fondée sur la diligence raisonnable n'a pas été adoptée. Par conséquent, la pratique existante dans la Loi sur les télécommunications permettant une diligence raisonnable s'appliquera. Des dispositions ont été ajoutées pour prévoir un examen explicite des répercussions opérationnelles et financières qu'aurait sur les fournisseurs de services de télécommunications l'imposition de sanctions pécuniaires, ainsi qu'un examen de tout autre facteur que le ministre juge pertinent.
Traitement des renseignements confidentiels et protection des renseignements personnels
Pour les parties 1 et 2 du projet de loi, des modifications ont été apportées afin de garantir que les renseignements confidentiels continueront d'être traités comme tels. Cela devrait rassurer les secteurs quant au fait que leurs renseignements confidentiels sont et continueront d'être traités de manière appropriée. Le projet de loi précise désormais que la vie privée et les renseignements personnels des Canadiens seront protégés conformément à la Loi sur la protection des renseignements personnels. Dans la partie 1, des modifications ont également été apportées pour renforcer les considérations relatives à la protection des renseignements personnels en définissant les termes « renseignements personnels » et « renseignements dépersonnalisés ». Une proposition du NPD pour un texte spécifiant le recours à des avocats spéciaux a été jugée irrecevable ; cependant, avec l'adoption du projet de loi C-70 (Loi relative à la lutte contre les ingérences étrangères), une disposition générale permettant aux avocats spéciaux de participer dans des circonstances appropriées a été établie.
Mesures de protection supplémentaires concernant les pouvoirs d'émettre des arrêtés et des décrets
De nombreuses modifications ont été apportées afin de clarifier les pouvoirs du gouvernement et de renforcer la transparence à l'égard du public. Quant aux parties 1 et 2 du projet de loi, certaines modifications visent à rendre obligatoire l'établissement de rapports à l'intention du public. Afin de trouver un équilibre entre la nécessité de protéger la confidentialité et le désir de transparence du public, le Comité a spécifié le contenu du rapport annuel au Parlement qui rend publics certains détails des directives, des arrêtés ou des décrets émis. En précisant la fréquence à laquelle les directives sont données, le nombre d'exploitants désignés qui ont reçu des directives et d'autres renseignements pertinents, un certain niveau de transparence est offert aux Canadiens en ce qui concerne ce processus confidentiel de protection des infrastructures essentielles. Pour mieux définir l'étendue des nouveaux pouvoirs du gouvernement, des modifications ont été approuvées pour exiger une norme de décision raisonnable et une liste non exhaustive de facteurs que, pour la partie 1, le ministre de l'Industrie et le gouverneur en conseil, et pour la partie 2, le gouverneur en conseil, doivent prendre en considération avant de décider d'émettre un décret, un arrêté ou une directive. En outre, pour la partie 1, le ministre de l'Industrie doit informer le Comité des parlementaires sur la sécurité nationale (CPSNR) et le renseignement et l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) dans les 90 jours suivant l'émission d'un arrêté ou d'un décret, de même que le ministre de la Sécurité publique pour la partie 2. Ces ajouts sont censés permettre aux intervenants et au public de faire preuve de transparence en ce qui concerne le recours à ces nouveaux pouvoirs par le gouvernement.
Clarté de la conception des programmes
En ce qui concerne la partie 2 du projet de loi, le Comité a adopté plusieurs motions qui améliorent la capacité des secteurs à mettre en œuvre des programmes de cybersécurité et à s'y conformer. Des modifications ont été apportées afin d'offrir une plus grande souplesse quant au moment où doivent être signalés les changements apportés à la chaîne d'approvisionnement des exploitants désignés et les risques liés aux services ou aux produits de tiers. Le Comité a également adopté une motion spécifiant que les cyberincidents doivent être signalés dans un délai prescrit par règlement ne dépassant pas 72 heures, afin de s'assurer que les exploitants sont en mesure de fournir ces renseignements dans un délai raisonnable. Par ailleurs, une motion a été adoptée pour garantir, dans la mesure du possible, l'harmonisation des règlements avec les régimes de réglementation existants, tels que les régimes de réglementation nationaux, provinciaux ou internationaux. La partie 2 précise également que la collaboration avec les provinces et les territoires fera partie intégrante du processus réglementaire.
Dans l'ensemble, les modifications présentées et approuvées lors de l'étude du Comité répondent aux principales préoccupations des intervenants et serviront à renforcer la législation, tout en atteignant l'objectif important du projet de loi qui est de protéger les infrastructures essentielles canadiennes contre les cybermenaces et les vulnérabilités liées à la sécurité.
Liste des témoins
29 janvier 2024
Ministère de la Sécurité publique et de la Protection civile
- Colin MacSween, directeur général, Direction générale de la cybersécurité nationale
- Kelly-Anne Gibson, directrice, Division de la politique de cyberprotection
Ministère de l'Industrie
- Éric Dagenais, sous-ministre adjoint principal, Secteur du spectre et des télécommunications
- Wen Kwan, directeur principal, Résilience des technologies de l'information et des communications
- Andre Arbour, directeur général, Direction générale des politiques de télécommunications et d'Internet
Centre de la sécurité des télécommunications Canada
- Sami Khoury, dirigeant principal, Centre canadien pour la cybersécurité
- Daniel Couillard, directeur général, Partenariats et atténuation des risques, au sein du Centre canadien pour la cybersécurité
1er février 2024
Conseil canadien des affaires
- Trevor Neiman, vice-président, politique et conseiller juridique
Autorité canadienne pour les enregistrements Internet
- Byron Holland, président et chef de la direction
Canadian Constitution Foundation
- Joanna Baron, directrice générale (par vidéoconférence)
Centre pour l'innovation dans la gouvernance internationale
- Aaron Shull, directeur général et avocat général
Conseil du Canada de l'accès et la vie privée
- Sharon Polsky, présidente
5 février 2024
Beauceron Security
- David Shipley, directeur général
Chambre de commerce du Canada
- Ulrike Bahr-Gedalia, directrice principale, Économie numérique, technologie et innovation
IBM Canada
- Daina Proctor, responsable de la gamme de services de cybersécurité
- Tiéoulé Traoré, directeur des Affaires gouvernementales et réglementaires
Bruce Power
- Todd Warnell, responsable de la sécurité de l'information
Citizen Lab
- Kate Robertson, associée de recherche principale, Munk School of Global Affairs and Public Policy, University of Toronto
OpenMedia
- Matthew Hatfield, directeur exécutif (par vidéoconférence)
8 février 2024
BlackBerry
- John de Boer, directeur principal, Affaires gouvernementales et politiques publiques, Canada
Échange canadien de menaces cybernétiques
- Jennifer Quaid, directrice exécutive
Électricité Canada
- Francis Bradley, président-directeur général
Régie de l'énergie du Canada
- Chris Loewen, premier vice-président, Réglementation (par vidéoconférence)
- Christopher Finley, directeur, Gestion des urgences et sécurité (par vidéoconférence)
Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)
- Steven Harroun, chef de l'application de la Conformité et enquêtes
- Anthony McIntyre, avocat général et sous-directeur exécutif, Services juridiques
- Leila Wright, directrice exécutive, Télécommunications
12 février 2024
À titre personnel
- Andrew Clement, professeur émérite, Faculty of Information, University of Toronto
- Kate Robertson, associée de recherche principale, Citizen Lab, Munk School of Global Affairs and Public Policy, University of Toronto
Association des banquiers canadiens
- Charles Docherty, avocat en chef adjoint et vice-président, Affaires juridiques et risques
- Angelina Mason, avocate en chef et vice-présidente principale, Affaires juridiques et risques
Association canadienne des télécommunications
- Robert Ghiz, président et chef de la direction
- Eric Smith, vice-président principal
Commissariat à la protection de la vie privée du Canada
- Philippe Dufresne, commissaire à la protection de la vie privée du Canada
Bureau du surintendant des institutions financières
- Tolga Yalkin, surintendant auxiliaire, Secteur des mesures de réglementation
- Date de modification :