Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Déclaration du Commissaire à la protection de la vie privée du Canada devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes au sujet du projet de loi C-22

Le 26 mai 2026
Ottawa (Ontario)

Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi.)

Monsieur le Président et Mesdames et Messieurs les membres du Comité, je vous remercie de m’avoir invité à exprimer mon point de vue sur le projet de loi C-22, la Loi de 2026 sur l’accès légal.

La semaine dernière, j’ai présenté au Comité une communication écrite que j’aborderai de façon plus détaillée ici aujourd’hui.

Le projet de loi C-22 réintroduit des dispositions sur l’accès légal, qui ont initialement été proposées dans le projet de loi C-2 mais avec plusieurs changements qui reflètent des commentaires que le gouvernement a reçus. Certains de ces changements concordent avec des recommandations écrites sur le projet de loi C-2 que j’ai présentées au ministre de la Sécurité publique en novembre dernier.

Le projet de loi C-22 améliore celui qui l’a précédé, soit le projet de loi C-2. Plus précisément, je me réjouis de la formulation plus précise de l’ordre de confirmer la fourniture de services. Je suis heureux de voir l’ajout des répercussions potentielles sur la protection de la vie privée et la cybersécurité parmi les facteurs à prendre en compte au moment d’élaborer des règlements et des ordonnances au titre de la Loi sur le soutien en matière d’accès autorisé à de l’information (LSAAI). Je suis également heureux de constater le nouveau rôle de surveillance confié par la Loi au commissaire au renseignement en ce qui concerne les arrêtés ministériels.

Cela dit, dans ma communication écrite présentée au Comité, j’ai noté certains aspects du projet de loi C-22 qui, à mon avis, devraient faire l’objet de nouvelles modifications visant à renforcer et à assurer la protection de la vie privée des Canadiennes et des Canadiens.

Plus particulièrement, je recommande de restreindre la définition de « renseignements relatifs à l’abonné » à une liste fermée d’identificateurs discrets, comme le nom, l’adresse, le numéro de téléphone et l’adresse IP de l’abonné. Cette approche permettrait d’éviter de recueillir des renseignements qui pourraient susciter des attentes accrues en matière de protection de la vie privée.

Je recommande également de limiter aux fournisseurs de services de télécommunications l’éventail de personnes ou d’entités qui pourraient être contraintes de communiquer des renseignements sur les abonnés ainsi que de veiller à ce que le juge de paix ou le juge qui rend l’ordonnance puisse préciser les renseignements relatifs à l’abonné qui doivent être communiqués.

En outre, je recommande de définir « information accessible au public » de manière à exclure les renseignements à l’égard desquels une personne a une attente raisonnable en matière de protection de la vie privée, conformément à la définition figurant dans la Loi sur le Centre de la sécurité des télécommunications.

Le concept de renseignements « accessibles au public » continue d’évoluer, et un individu ne renonce pas automatiquement à toute attente raisonnable en matière de protection de la vie privée à l’égard de renseignements qui peuvent être accessibles en ligne. On peut penser, par exemple, à une situation où les renseignements d’un individu ont été communiqués à la suite d’une atteinte à la sécurité des données ou publiés à son insu ou sans son consentement.

Une autre modification recommandée consisterait à ajouter une obligation générale selon laquelle les obligations imposées au titre de la LSAAI doivent être nécessaires et proportionnelles. Cet ajout contribuerait à faire en sorte que toute obligation de ce type, y compris celles liées à la conservation des métadonnées, soit adaptée pour minimiser les répercussions sur la vie privée.

En ce qui concerne l’accès à de l’information sécurisée, je recommanderais de modifier la définition de « vulnérabilité systémique » afin de préciser qu’elle inclut toute action qui réduirait l’efficacité des méthodes systémiques d’authentification ou de chiffrement, comme dans la loi équivalente de l’Australie. De plus, je recommande de préciser que les règlements et les arrêtés ne doivent pas avoir pour effet d’exiger qu’un fournisseur de services électroniques introduise une vulnérabilité systémique ou d’empêcher un fournisseur de services électroniques de corriger une vulnérabilité systémique.

Enfin, je recommande d’ajouter une exemption aux règles concernant la confidentialité énoncées dans la LSAAI qui autoriserait expressément les fournisseurs de services électroniques à communiquer des renseignements aux organismes de réglementation appropriés, comme le Commissariat, afin de permettre à ces derniers d’exercer leurs attributions comme il se doit.

Je vous remercie et il me fera plaisir de répondre à vos questions.

Date de modification :