Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Lettre au Comité permanent de la sécurité publique et nationale au sujet du projet de loi C-8

14 novembre 2025

PAR COURRIEL

L’honorable Jean-Yves Duclos, C.P., député
Président
Comité permanent de la sécurité publique et nationale
131, rue Queen, 6e étage
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

Je vous remercie pour la récente invitation à comparaître devant le Comité afin d’exprimer mon point de vue concernant le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Dans ma déclaration, j’ai formulé les recommandations suivantes à soumettre à l’examen du Comité :

  • Que la loi impose l’adoption d’une norme uniforme selon laquelle la collecte, l’utilisation ou la communication de renseignements personnels doivent être à la fois nécessaires dans les circonstances pour réaliser les fins énoncées et proportionnelles aux avantages procurés.
  • Que les ententes d’échange de renseignements personnels conclues au titre de la loi prévoient des mesures minimales de protection de la vie privée afin de renforcer la gouvernance et la responsabilité et d’assurer une norme uniforme en la matière lorsque les renseignements sont échangés avec des pays étrangers;
  • Que le Centre de la sécurité des télécommunications Canada soit tenu d’aviser le Commissariat lorsqu’il est informé d’incidents de cybersécurité qui entraînent une atteinte importante à la vie privée, afin que nous puissions collaborer et coordonner nos efforts pour protéger la vie privée des Canadiennes et des Canadiens.

De plus, j’ai réitéré mon conseil de longue date – qui ne vise pas uniquement le projet de loi C-8 – selon lequel les institutions gouvernementales devraient être légalement tenues de réaliser des évaluations des facteurs relatifs à la vie privée dans les situations à haut risque et de consulter le Commissariat lorsqu’elles élaborent de nouveaux programmes ou de nouvelles initiatives qui ont des répercussions sur la vie privée des Canadiennes et des Canadiens.

Lors de ma comparution, on m’a demandé de fournir par écrit une liste des dispositions précises du projet de loi qui, à mon avis, gagneraient à être modifiées dans un souci de protection de la vie privée. Dans cette optique, j’ai le plaisir de vous faire part de l’annexe ci-jointe, qui présente des exemples de modifications que le Comité pourrait envisager afin de donner effet aux recommandations susmentionnées.

Je vous remercie encore une fois de m’avoir donné l’occasion d’exprimer mon point de vue. J’espère que les observations ci-jointes seront utiles au Comité dans la poursuite de ses travaux sur cet important projet de loi.

Je vous prie d’agréer, Monsieur le Président, l’expression de ma très haute considération.

Document original signé par

Philippe Dufresne
Le Commissaire

c.c. Andrew Wilson, greffier du Comité

Annexe : Dispositions qui pourraient faire l’objet de modifications dans le projet de loi C-8, préparées à la demande du Comité permanent de la sécurité publique et nationale

Recommendation 1 : Que la loi exige une norme uniforme selon laquelle la collecte, l’utilisation ou la communication de renseignements personnels doivent être à la fois nécessaires dans les circonstances pour réaliser les fins énoncées et proportionnelles aux avantages procurés.

Afin de donner effet à cette recommandation, le Comité pourrait envisager ce qui suit :

  • Ajouter une obligation générale à cet effet, qui serait limitée et spécifique aux renseignements personnels, dans les parties 1 et 2 du projet de loi; ou, à défaut,

  • Apporter des modifications ciblées à différentes dispositions du projet de loi relatives à la collecte et à la communication de renseignements qui peuvent, directement ou indirectement, concerner des renseignements personnels, notamment les articles 15.4 et 15.6 et le paragraphe 15.7(1) de la Loi sur les télécommunications (LT) et les paragraphes 20(1), 23(1) et 27(1) de la Loi sur la protection des cybersystèmes essentiels (LPCE).

    À titre d’exemple, le Comité pourrait envisager de modifier l’article 15.4 comme suit :

    • Établir une norme de nécessité plutôt que de pertinence (p. ex. « … […] à l’égard desquels [le Ministre] a des motifs raisonnables de croire qu’ils sont pertinents nécessaires dans le cadre de […] »);

    • Ajouter une obligation selon laquelle la portée et la teneur des renseignements demandés doivent être raisonnables eu égard à la gravité de la menace (afin d’assurer la cohérence avec les pouvoirs de prise de décrets prévus à la partie 1); ou, à défaut, une obligation analogue selon laquelle l’institution qui communique les renseignements doit être convaincue que l’incidence de la communication sur le droit à la vie privée d’une personne sera limitée à ce qui est raisonnablement nécessaire dans les circonstances (sur la base de l’alinéa 5(1)b) de la Loi sur la communication d’information ayant trait à la sécurité du Canada).

Recommendation 2 : Que les ententes d’échange de renseignements personnels conclues au titre de la loi prévoient des mesures minimales de protection de la vie privée afin de renforcer la gouvernance et la responsabilité et d’assurer une norme uniforme en la matière lorsque les renseignements sont échangés avec des pays étrangers.

Afin de donner effet à cette recommandation, le Comité pourrait envisager ce qui suit :

  • Modifier le paragraphe 15.7(1) de la LT et le paragraphe 27(1) de la LPCE afin d’établir des mesures de protection minimales qui doivent être incluses dans les ententes d’échange de renseignements, par exemple, en fonction du libellé de la partie 5 du projet de loi C-12 (article 28, paragraphe 5.5(1)).

Recommendation 3 : Que le Centre de la sécurité des télécommunications Canada (CST) soit tenu d’aviser le Commissariat lorsqu’il est informé d’incidents de cybersécurité qui entraînent une atteinte importante à la vie privée, afin que nous puissions collaborer et coordonner nos efforts pour protéger la vie privée des Canadiennes et des Canadiens.

Afin de donner effet à cette recommandation, le Comité pourrait envisager ce qui suit :

  • Modifier l’article 19 de la LPCE afin d’exiger que le CST informe le Commissaire à la protection de la vie privée de tout incident de cybersécurité qui lui est signalé au titre de l’article 17 et qui concerne des renseignements personnels s’il est raisonnable, dans les circonstances, de croire que l’atteinte crée un risque réel de préjudice grave, au sens des paragraphes 10.1(7) et 10.1(8) de la Loi sur la protection des renseignements personnels et les documents électroniques.

Enfin, outre les recommandations susmentionnées, le Comité pourrait également envisager les modifications suivantes afin de garantir que le projet de loi C-8 n’ait pas d’incidences imprévues ou inutiles sur la protection de la vie privée :

  • Ajouter des obligations en matière de conservation afin de garantir que tout renseignement personnel recueilli en vertu des pouvoirs conférés par le projet de loi ne soit conservé que pendant la durée nécessaire à la réalisation des fins pour lesquelles il a été recueilli (p. ex. au titre des articles 15.4 et 15.6 de la LT et de l’article 23 de la LPCE);

  • Ajouter « renseignements personnels », comme défini à l’article 3 de la Loi sur la protection des renseignements personnels, à la définition de « renseignements confidentiels » dans la LPCE; et,

  • Ajouter la protection de la vie privée comme facteur que le ministre et le gouverneur en conseil doivent prendre en considération au titre du paragraphe 15.2(6) de la LT et du paragraphe 20(3) de la LPCE, respectivement (p. ex. « les répercussions potentielles sur la protection de la vie privée, le cas échéant »).
Date de modification :