Notes des comités parlementaires : Questions posées lors du débat en deuxième lecture du projet de loi C-26
Ce qui suit a été préparé pour répondre aux questions posées lors du débat en deuxième lecture du projet de loi C-26, qui a eu lieu le 19 septembre 2024.
Q1.
Pourquoi les exploitants désignés sont-ils tenus de signaler les cyberincidents au Centre de la sécurité des télécommunications (CST) dans un délai réglementaire de 72 heures? Les partis politiques détiennent de nombreux renseignements personnels de citoyens canadiens et sont la cible d'auteurs de menace étrangers, mais ils doivent pourtant signaler toute divulgation non autorisée sans délai et informer la personne concernée de toute atteinte aux mesures de sécurité (projet de loi C-65). Pourquoi la même disposition ne pourrait-elle pas s'appliquer? R1.
R1.
La partie 2 du projet de loi C-26 et la sous-section C du projet de loi C-65 ont deux objectifs différents et, par conséquent, des obligations et des exigences différentes.
La partie 2 du projet de loi C-26 est axée sur la sécurité des cybersystèmes essentiels, tandis que la sous-section C du projet de loi C-65 est axée sur l'établissement d'un régime applicable aux « partis enregistrés et aux partis admissibles relativement à la collecte, à l'utilisation, à la communication, à la conservation et au retrait de renseignements personnels par ceux-ci ».
Bien que les termes « cyberincident » et « atteinte à la sécurité des données » soient souvent utilisés de manière interchangeable, il s'agit de notions différentes. Un cyberincident constitue « toute tentative non autorisée, fructueuse ou non, pour utiliser, modifier, détruire ou supprimer une ressource d'un réseau ou d'un système informatique, ou pour la rendre inutilisable ». Il est important de noter que bon nombre de cyberincidents, mais pas tous, entraînent la perte de données ou de renseignements personnels.
La partie 2 du projet de loi C-26 vise à protéger les cybersystèmes essentiels des infrastructures essentielles sous réglementation fédérale en imposant des obligations aux exploitants désignés. Elle comprend notamment l'exigence de signaler les cyberincidents au-delà d'un certain seuil. Les rapports produits porteraient sur ce qui se passe dans le cybersystème essentiel d'un exploitant désigné pour que le CST puisse fournir en temps utile des avis, des éléments d'orientation et des services en matière de cybersécurité afin de sécuriser le système touché et de protéger les autres systèmes possiblement vulnérables.
Ces rapports d'incidents visent à permettre au CST d'affecter des ressources et de prêter assistance rapidement aux victimes d'un incident, d'analyser les rapports reçus dans tous les secteurs pour repérer les tendances et de communiquer rapidement ces renseignements avec les exploitants, les secteurs des infrastructures essentielles et d'autres victimes potentielles.
Si un cyberincident entraîne également une atteinte à la vie privée, l'exploitant désigné concerné sera tenu de traiter cette atteinte conformément aux dispositions pertinentes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), de la Loi sur la protection des renseignements personnels ou des deux, le cas échéant. Cela pourrait comprendre l'envoi d'un avis au Commissariat à la protection de la vie privée du Canada (CPVP) et aux personnes concernées s'il est raisonnable de croire que l'atteinte présente un risque réel de préjudice grave à leur endroit.
Bien que la protection des renseignements personnels ne constitue pas le but principal de la partie 2 du projet de loi C-26, une réduction du nombre total de cyberincidents réduirait probablement aussi le nombre de cyberincidents qui comportent des atteintes à la sécurité des données (ce qui peut comprendre des renseignements personnels et des données personnelles). Ainsi, la partie 2 du projet de loi C-26 devrait avoir un effet positif sur la protection des renseignements personnels.
En ce qui concerne le délai de signalement d'un cyberincident, le projet de loi initial exigeait que les exploitants désignés signalent l'incident « immédiatement ». De nombreux intervenants du secteur ont fait remarquer que ce délai était à la fois irréaliste et sujet à interprétation.
Ils ont demandé un délai clairement défini qui permettrait aux exploitants désignés de recueillir les renseignements pertinents, d'évaluer l'importance d'un incident et d'établir un rapport pouvant donner lieu à des mesures.
Voilà pourquoi le comité a adopté une motion qui précise que les cyberincidents doivent être signalés dans un délai réglementaire de 72 heures.
Ce délai est en outre conforme aux exigences en matière de rapports de nos partenaires du Groupe des cinq, dont les États-Unis.
La spécificité liée aux types d'incidents, aux seuils, aux délais et aux processus de signalement des cyberincidents sera déterminée au cours de l'élaboration de règlements et en consultation avec les gouvernements, le secteur et les organismes de réglementation.
Q2.
Quel type de surveillance est prévu dans le projet de loi C-26 pour superviser les pouvoirs ministériels d'émettre des ordonnances et des directives? Comment peut-on tirer parti de la procédure de contrôle judiciaire?
R2.
Le projet de loi C-26 contient des dispositions visant à garantir la protection des droits des Canadiens, qui ont été renforcées par des modifications adoptées par la Chambre des communes.
Partie 1 : Modifications à la Loi sur les télécommunications
Modifications
L'objectif de la partie 1 de la nouvelle politique se limite à la protection du système de télécommunications plutôt qu'à l'atteinte d'objectifs généraux en matière de sécurité. Cet objectif permet d'établir un cadre de gouvernance de l'exploitation technique du réseau plutôt que de chercher à atteindre des objectifs généraux en matière de sécurité ou d'application de la loi. Les autres protections comprennent la Loi sur la protection des renseignements personnels, une limite quant à l'échange de renseignements pour ne communiquer que ceux qui ne sont pas confidentiels ainsi que l'obligation, en vertu du droit administratif, de consulter les parties concernées lors de l'établissement de règles.
Un « critère de raisonnabilité » a été ajouté, ainsi qu'une liste non exhaustive de facteurs à prendre en considération lors de l'élaboration des ordonnances.
Pour assurer une plus grande certitude, il y a des indications explicites concernant les renseignements personnels et dépersonnalisés et une confirmation supplémentaire que les ordonnances ne peuvent pas être utilisées pour l'interception d'une communication privée.
Des rapports annuels détaillés sont exigés afin d'améliorer la surveillance.
En outre, si une ordonnance confidentielle ou une directive de sécurité est émise, l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) doivent en être informés dans les 90 jours.
Les ordonnances confidentielles devraient être rares et ne s'avérer nécessaires que dans les cas où une divulgation publique pourrait révéler les vulnérabilités du système de télécommunications du Canada. Néanmoins, ces deux organismes de surveillance seront informés de toutes les ordonnances confidentielles afin de s'assurer que ces pouvoirs sont bien exercés.
Ces ajouts devraient assurer aux intervenants et au public une transparence quant à l'exercice de ces nouveaux pouvoirs par le gouvernement.
Contrôle judiciaire
Les entités réglementées disposent d'un recours au contrôle judiciaire si elles souhaitent contester une ordonnance ou une directive de cybersécurité.
Lors de sa présentation, le projet de loi C-26 comprenait également des dispositions qui permettraient le traitement sécurisé de l'information de nature sensible à l'aide des protections qui s'imposent.
Le Parlement a depuis adopté le projet de loi C-70, soit la Loi concernant la lutte contre l'ingérence étrangère. Ce projet de loi renferme des dispositions relativement aux instances sécurisées de contrôle des décisions administratives qui prévaudront, afin que les dispositions relatives à cette question soient uniformes d'une loi à l'autre.
Les dispositions du projet de loi C-70 sont similaires, mais elles offrent une plus grande protection aux entités qui contestent une règle du gouvernement, notamment en prévoyant d'offrir les services d'un avocat ayant un droit d'accès à de l'information confidentielle.
Partie 2 : Loi sur la protection des cybersystèmes essentiels
Modifications
Afin de trouver un compromis entre le besoin de confidentialité et la transparence demandée par le public, le rapport annuel comporte désormais des exigences précises en matière de production de rapports.
Le ministre de la Sécurité publique doit aviser le CPSNR et l'OSSNR dans les 90 jours suivant l'émission d'une directive.
Des balises ont été présentées concernant les pouvoirs liés à l'élaboration de directives, notamment :
- l'ajout d'une norme sur le caractère raisonnable et d'une liste non exhaustive de facteurs dont le gouverneur en conseil (GEC) doit tenir compte avant d'émettre des directives;
- les facteurs que le GEC doit prendre en considération et qui comprennent les répercussions opérationnelles et financières sur les exploitants concernés, les répercussions sur la prestation de services essentiels et la fourniture de systèmes essentiels aux consommateurs ainsi que les répercussions sur la sécurité publique de la population canadienne.
Ces ajouts devraient assurer une transparence aux intervenants et au public quant à l'exercice de ces nouveaux pouvoirs par le gouvernement.
Contrôle judiciaire
Un exploitant désigné visé par une directive de cybersécurité pourrait demander un contrôle judiciaire devant la Cour fédérale du Canada et contester la directive.
La Loi sur la protection des cybersystèmes essentiels créerait un cadre pour faciliter la protection et l'utilisation de l'information de nature sensible au cours d'un tel contrôle judiciaire.
Dans le contexte de la sécurité nationale, ce cadre est semblable à ceux qui existent dans d'autres régimes législatifs. Par exemple, les procédures d'appel énoncées au paragraphe 16(6) de la Loi sur la sûreté des déplacements aériens (LSDA) sont pratiquement identiques aux procédures de contrôle judiciaire proposées pour la Loi sur la protection des cybersystèmes essentiels. Celles-ci prévoient la non-divulgation de renseignements dans le cadre d'un appel lorsque la divulgation pourrait porter atteinte à la sécurité nationale ou mettre en danger la sécurité d'une personne.
Étant donné que ce projet de loi énonce que les procédures de contrôle judiciaire en lien avec des directives de cybersécurité doivent être tenues à huis clos et en l'absence du demandeur lorsque le critère prévu dans la Loi est rempli, les droits garantis par l'alinéa 2b) de la Charte sont en jeu.
Les éléments suivants appuient la compatibilité de cet aspect du projet de loi avec la Charte.
Comme d'autres droits garantis par la Charte, le principe de transparence judiciaire n'est pas absolu et peut être limité lorsque l'État a des objectifs urgents. La protection de l'information de nature sensible, dont la divulgation pourrait nuire aux relations internationales, à la défense nationale ou à la sécurité nationale, ou encore mettre en danger la sécurité d'une personne, constitue un intérêt reconnu et important de l'État.
La procédure d'audience prévue par le projet de loi est conçue de manière à limiter le recours aux procédures à huis clos aux seules situations où celui-ci est nécessaire pour protéger de l'information de nature sensible.
La responsabilité de déterminer si la divulgation de l'information pourrait entraîner les préjudices énumérés incomberait au juge président de l'audience. Plus important encore, les dispositions relatives au huis clos ne s'appliqueraient qu'aux parties de la procédure de contrôle judiciaire qui comportent de l'information de nature sensible.
Le reste de l'audience serait ouvert au public et au demandeur. Enfin, tous les résumés des éléments de preuve fournis au demandeur seraient intégrés au dossier du tribunal, accessible au public.
Q3.
Quelles sont les infractions criminelles pour lesquelles une personne pourrait être accusée au titre de cette Loi?
R3.
Partie 1 : Modifications à la Loi sur les télécommunications
La partie 1 du projet de loi C-26 établit un régime de sanctions administratives pécuniaires et un régime de détermination des peines afin de favoriser le respect des ordonnances et des règlements.
La sanction maximale pour les particuliers est de 25 000 $. En cas de récidive, elle s'élève à 50 000 $. Dans tous les autres cas, la sanction maximale est de 10 000 000 $. En cas de récidive, elle s'élève à 15 000 000 $.
Le montant de la sanction tient compte de plusieurs facteurs, dont les antécédents de conformité (ou de non-conformité), la nature et la portée de l'infraction ainsi que les avantages tirés de l'infraction.
Le projet de loi exige aussi explicitement que les répercussions opérationnelles et financières sur les fournisseurs de services de télécommunications soient prises en considération lors de l'évaluation des sanctions pécuniaires, ainsi que tout autre facteur jugé pertinent par le ministre.
En ce qui concerne le régime de détermination des peines pour les particuliers, les infractions peuvent être passibles d'une peine d'emprisonnement (jusqu'à deux ans moins un jour), d'une amende ou des deux, en fonction de la décision du tribunal.
Partie 2 : Loi sur la protection des cybersystèmes essentiels
La Loi sur la protection des cybersystèmes essentiels s'appuie à la fois sur un système de sanctions administratives pécuniaires et sur un système d'infractions réglementaires (ou d'infractions quasi criminelles) pour l'application de ses dispositions.
Les sanctions administratives pécuniaires (SAP) visent à encourager le respect de la Loi, et non à être punitives. Les exploitants désignés disposent aussi de portes de sortie comme la conclusion d'une entente de conformité avec l'organisme de réglementation, qui peut alors réduire la sanction en tout ou en partie.
En plus des SAP, la Loi sur la protection des cybersystèmes essentiels créerait des infractions punissables sur déclaration de culpabilité par procédure sommaire et des infractions mixtes pour les infractions les plus graves à la Loi comme ne pas mettre en œuvre une directive de cybersécurité ou divulguer des renseignements confidentiels, notamment en ce qui concerne l'existence ou le contenu d'une directive.
Ces infractions mixtes seraient passibles d'une amende, d'une peine d'emprisonnement maximale de deux ans moins un jour ou des deux en cas de déclaration de culpabilité par procédure sommaire. En cas de mise en accusation, cette peine serait de cinq ans. Ces types d'infractions sont adaptés aux objectifs législatifs et ils préservent le pouvoir discrétionnaire des juges de première instance d'imposer des peines convenables et appropriées.
Les exploitants désignés peuvent toujours recourir à une défense fondée sur la diligence raisonnable. Aucune des infractions prévues par la Loi sur la protection des cybersystèmes essentiels ne pourrait donner lieu à une peine d'emprisonnement si l'accusé n'a pas commis, à tout le moins, une négligence.
Q4.
Le projet de loi C-26 protège la Charte canadienne des droits et libertés dans son article 1, comme l'indique l'Énoncé concernant la Charte, mais va-t-il tout de même à l'encontre de la Charte?
R4.
Partie 1 : Modifications à la Loi sur les télécommunications
Le projet de loi est conforme à la Charte. L'Énoncé concernant la Charte reconnaît que certains droits risquent d'être touchés, mais il souligne également les aspects qui rendent ces dispositions compatibles avec la Charte.
Par exemple, l'obligation qu'ont les entités réglementées de se conformer à certaines demandes de collecte de renseignements peut mettre en jeu l'article 8. L'Énoncé indique toutefois que, d'une manière générale, les renseignements recueillis concernent les opérations techniques d'entités commerciales. Il ne s'agit pas de renseignements biographiques d'ordre personnel qui suscitent un intérêt accru pour la protection de la vie privée. Les pouvoirs conférés par la loi d'exiger la production de renseignements pertinents à des fins réglementaires ou administratives, plutôt qu'à des fins d'enquête sur des infractions criminelles, ont été jugés raisonnables en vertu de l'article 8.
Les modifications adoptées par la Chambre des communes renforcent l'assurance que les droits des Canadiens seront respectés. Par exemple, elles apportent une plus grande certitude quant à la protection des données personnelles et dépersonnalisées et au maintien de l'application de la Loi sur la protection des renseignements personnels.
Partie 2 : Loi sur la protection des cybersystèmes essentiels
Le projet de loi est conforme à la Charte. L'Énoncé concernant la Charte reconnaît que certains droits risquent d'être touchés, mais il souligne également les aspects qui rendent ces dispositions compatibles avec la Charte.
Le projet de loi pourrait mettre en jeu quatre dispositions de la Charte, à savoir l'alinéa 2b) et les articles 7, 8 et 11.
Au cours de son examen des dispositions du projet de loi, le ministre de la Justice a mis en évidence des facteurs qui appuient la compatibilité du régime avec l'alinéa 2b) et les articles 7, 8 et 11 de la Charte.
Interdiction de communication [alinéa 2b) de la Charte] Le ministre de la Justice n'a pas relevé d'éléments incompatibles avec les dispositions de la Charte relatives à la non-divulgation à l'alinéa 2b).
- La Loi sur la protection des cybersystèmes essentiels interdirait aux exploitants désignés de divulguer des renseignements sur l'existence ou le contenu d'une directive de cybersécurité, sauf dans la mesure où cela serait nécessaire pour s'y conformer. La divulgation de ces renseignements contreviendrait à cette Loi et constituerait une infraction passible d'une amende ou d'une peine d'emprisonnement. Étant donné que la Loi imposerait des limites à ce que l'on pourrait communiquer à d'autres personnes, elle pourrait mettre en jeu le droit à la liberté d'expression énoncé à l'alinéa 2b) de la Charte.
- Les éléments suivants appuient la compatibilité de ces dispositions relatives à l'interdiction de communication avec la Charte.
- Ces dispositions visent à atteindre l'objectif important de protéger les cybersystèmes essentiels. D'une manière générale, elles limiteraient la communication de renseignements sur les opérations techniques d'exploitants désignés, qui sont des entités commerciales.
- Les restrictions qui s'appliquent au droit à la publicité peuvent mettre en jeu le droit à la liberté d'expression. Cependant, elles ne touchent généralement pas les valeurs fondamentales de ce droit, notamment la recherche de la vérité dans les sphères politique, artistique et scientifique, la protection de l'autonomie et de l'épanouissement personnels ainsi que la promotion de la participation du public au processus démocratique. Les limites qui s'appliquent au droit à la liberté d'expression, mais qui ne touchent pas aux valeurs fondamentales du droit, sont plus faciles à justifier.
Infractions (article 7 de la Charte) Au cours de son examen des dispositions relatives aux infractions contenues dans la Loi sur la protection des cybersystèmes essentiels, le ministre de la Justice n'a relevé aucun élément incompatible entre celles-ci et les principes de justice fondamentale énoncés à l'article 7 de la Charte.
- Ces types d'infractions sont adaptés aux objectifs législatifs et ils préservent le pouvoir discrétionnaire des juges de première instance d'imposer des peines convenables et appropriées. Aucune des infractions prévues par la Loi sur la protection des cybersystèmes essentiels ne pourrait donner lieu à une peine d'emprisonnement si l'accusé n'a pas commis, à tout le moins, une négligence. Enfin, la Loi préciserait que l'on ne peut pas considérer que des exploitants désignés sont allés à l'encontre de directives de cybersécurité à moins qu'ils aient été informés des directives ou que des mesures raisonnables aient été prises pour les aviser si ces directives étaient susceptibles de les concerner.
- La Loi sur la protection des cybersystèmes essentiels créerait un certain nombre d'infractions punissables sur déclaration de culpabilité par procédure sommaire et d'infractions mixtes en cas d'infraction à des dispositions précises de la Loi. Il s'agit notamment des infractions mixtes que sont le non-respect d'une directive de cybersécurité, la divulgation de renseignements sur l'existence ou le contenu d'une directive de cybersécurité et la divulgation de renseignements confidentiels dans des circonstances interdites par cette loi. Ces infractions mixtes seraient passibles d'une amende, d'une peine d'emprisonnement maximale de deux ans moins un jour ou des deux en cas de déclaration de culpabilité par procédure sommaire. En cas de mise en accusation, cette peine serait de cinq ans.
- Les infractions qui peuvent mener à une peine d'emprisonnement touchent le droit à la liberté et elles doivent être conformes aux principes de justice fondamentale.
Pouvoirs des inspecteurs et pouvoirs de communication et de contrainte (article 8 de la Charte) Étant donné que ces pouvoirs peuvent empiéter sur la protection de la vie privée, ils peuvent toucher l'article 8. En ce qui concerne le risque de toucher l'article 8 de la Charte, les pouvoirs proposés sont semblables aux pouvoirs réglementaires des inspecteurs qui ont été maintenus dans d'autres contextes.
- Les éléments suivants appuient la compatibilité de ces pouvoirs avec la Charte.
- Les exploitants désignés sont des intervenants expérimentés qui mènent des activités dans des domaines d'activité fortement réglementés où les attentes en matière de protection de la vie privée sont généralement réduites. Les pouvoirs des inspecteurs et les pouvoirs de contrainte pourraient être exercés à des fins de réglementation pour vérifier la conformité à la Loi et prévenir la non-conformité à celle-ci.
- Ils ne pourraient cependant pas être exercés pour faire progresser une enquête pénale. Ainsi, les pouvoirs proposés sont semblables aux pouvoirs réglementaires des inspecteurs qui ont été maintenus dans d'autres contextes.
Sanctions administratives pécuniaires (article 11 de la Charte) Les éléments suivants appuient la compatibilité du régime avec l'article 11 de la Charte.
- Le régime de sanctions serait de nature administrative et ses sanctions n'auraient pas de « véritables conséquences pénales ». Les sanctions auraient pour but de favoriser le respect des ordonnances, et non de « punir » dans le sens utilisé aux fins de l'article 11 de la Charte.
- Les facteurs énoncés dans le régime seraient pris en considération dans la détermination des sanctions. Bien qu'il existe un risque de lourdes sanctions, cela est nécessaire compte tenu de la taille et de la nature des exploitants désignés.
- La possibilité qu'une lourde sanction pécuniaire soit imposée ne touche pas l'article 11.
- Correctement interprété et appliqué, ce nouveau régime ne permettrait pas de sanctions avec de « véritables conséquences pénales ».
- Enfin, les sanctions pourraient être imposées au civil devant la Cour fédérale. Cependant, elles ne pourraient pas donner lieu à une peine d'emprisonnement en cas de non-paiement.
- Date de modification :