Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Mémoire au Comité permanent de la sécurité publique et nationale dans le cadre de son étude du projet de loi C-22, la Loi concernant l’accès légal

Le 21 mai 2026

PAR COURRIEL

L’hon. Jean-Yves Duclos, C.P., député
Président, Comité permanent de la sécurité publique et nationale
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

Je vous remercie de m’avoir invité à comparaître devant le Comité permanent de la sécurité publique et nationale (le Comité) le 26 mai 2026 dans le cadre de son étude du projet de loi C-22, la Loi concernant l’accès légal. En prévision de cette comparution, le Commissariat a préparé le présent mémoire, qui décrit certains des risques pour la vie privée que je considère comme étant les plus importants dans ce projet de loi. Aux fins des délibérations du Comité, j’ai également proposé des modifications connexes. Je serai heureux de discuter davantage des modifications et de toute autre question soulevée lors de ma prochaine comparution.

La question de savoir ce qui constitue un équilibre approprié entre le droit fondamental à la protection contre les intrusions déraisonnables dans la vie privée d’un individu et le besoin légitime de l’État d’accéder à des renseignements privés aux fins d’application de la loi et de protection de la sécurité nationale fait l’objet d’un débat important.

Comme l’a reconnu le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) dans son Rapport spécial sur l’accès légal aux communications par les organismes de sécurité et de renseignement publié en 2025, l’interception des communications ainsi que la fouille, la perquisition et la saisie de renseignements sont parmi les pouvoirs les plus intrusifs de l’État. Il en est ainsi, d’une part, en raison de l’attente raisonnable en matière de vie privée que ces renseignements peuvent susciter et, d’autre part, en raison des répercussions que la collecte et l’utilisation de ces renseignements par des acteurs étatiques peuvent avoir sur la capacité des individus d’exercer et de jouir d’autres droits fondamentaux en tant que membres d’une société libre et démocratique.

Il ne fait aucun doute que le projet de loi C-22 améliore de manière significative celui qui l’a précédé, soit le projet de loi C-2, la Loi visant une sécurité rigoureuse à la frontière. Cependant, à mon avis, il serait pertinent d’apporter d’autres changements pour trouver l’équilibre approprié entre les besoins en matière d’accès légal et le droit à la vie privée.

Partie 1 : Accès aux données et aux renseignements en temps opportun

1. Renseignements relatifs à l’abonné

La définition proposée de « renseignements relatifs à l’abonné » au paragraphe 4(2) (art. 487.‍011) comprend des catégories comme « les renseignements permettant d’identifier » un client ou un abonné et « les renseignements relatifs aux services fournis ». Selon la nature des services en question, un tel renseignement peut susciter une attente raisonnable en matière de protection de la vie privée.

Les problèmes liés à la définition sont amplifiés par les autres dispositions de la partie 1 qui en dépendent. Par exemple, l’ordonnance de communication proposée pour les renseignements relatifs à l’abonné (article 6; article 487.0142) pourrait être signifiée à toute « personne fournissant des services au public ». Compte tenu de l’étendue de la définition, les fournisseurs de services pourraient, du moins dans certains cas (par exemple, fournisseurs de soins de santé, avocats, institutions financières, certaines applications et certains services en ligne) se voir ordonner de produire des renseignements très sensibles sur leurs clients ou leurs abonnés selon un seuil de motifs raisonnable de soupçonner seulement. Contrairement à l’ordre de confirmer la fourniture de services (proposé à l’article 487.‍0121 du Code criminel et à l’article 20.‍22 de la Loi sur le Service canadien du renseignement de sécurité), l’ordonnance de communication des renseignements relatifs à l’abonné ne comprendrait pas d’exclusions pour les renseignements médicaux et privilégiés.

De plus, la disposition sur l’ordonnance de communication prévoit qu’une personne qui reçoit une ordonnance devrait communiquer « un document comportant tous les renseignements relatifs à l’abonné qui ont trait à tous renseignements précisés dans l’ordonnance » (soulignement ajouté). Le destinataire de l’ordonnance serait donc tenu de communiquer tout renseignement relatif à l’abonné qu’il détient ou contrôle, pourvu qu’il soit « lié » à ce qui est précisé dans l’ordonnance. Bien que le juge de paix ou le juge qui délivre l’ordonnance puisse préciser les renseignements auxquels doivent avoir trait les renseignements relatifs à l’abonné (par exemple, nom d’une personne, adresse IP, données de transmission), il ne pourrait autrement limiter les renseignements relatifs à l’abonné qui doivent être communiqués. Par conséquent, les fournisseurs de services pourraient être contraints de communiquer beaucoup plus de renseignements relatifs à l’abonné qu’il n’est nécessaire aux fins d’une enquête donnée.

Recommandation 1 : Restreindre la définition de « renseignements relatifs à l’abonné » à une liste limitée d’identificateurs discrets, comme le nom, l’adresse, le numéro de téléphone, l’adresse courriel, le numéro de compte, l’adresse IP et le numéro de série de l’appareil de l’abonné et l’identifiant du fournisseur de services local (semblable au paragraphe 16(1) du projet de loi C-30 [41-1, 2012]).

Recommandation 2 : Restreindre l’éventail de personnes ou entités auxquelles on peut demander des renseignements relatifs à l’abonné aux « fournisseurs de services de télécommunications ».

Recommandation 3 : Modifier le paragraphe 487.0142(1) proposé et la formule 5.0052 connexe afin de prévoir que le destinataire d’une ordonnance de communication des renseignements relatifs à l’abonné doive établir et communiquer un document comportant les renseignements relatifs à l’abonné précisés dans l’ordonnance et qui, au moment où il reçoit l’ordonnance, sont en sa possession ou à sa disposition (soulignement ajouté).

2. Renseignements accessibles au public

L’article 11 ajouterait un nouveau paragraphe (4) à l’article 487.0195 du Code criminel pour préciser qu’il est entendu « qu’aucun ordre de confirmer la fourniture de services […], qu’aucune ordonnance de communication ou qu’aucun mandat n’est nécessaire pour que l’agent de la paix ou le fonctionnaire public puisse recevoir ou obtenir des renseignements accessibles au public et y donner suite ». Cependant, le concept de renseignements « accessibles au public » continue d’évoluer : il n’est pas toujours clair si, ou dans quelle mesure, les renseignements personnels qui sont techniquement accessibles en ligne sont accessibles au public, et un individu ne renonce pas automatiquement à toute attente raisonnable en matière de protection de la vie privée à l’égard de ces renseignements (par exemple, lorsqu’ils ont été communiqués à la suite d’une atteinte à la sécurité des données ou publiés à l’insu de l’individu ou sans son consentement).

La Loi sur le Centre de la sécurité des télécommunications (Loi sur le CST) le reconnaît dans sa définition d’« information accessible au public », qui exclut expressément « l’information à l’égard de laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée ». Comme le projet de loi C-22 (et le Code criminel) ne définit actuellement pas ce terme, celui-ci pourrait être interprété au sens large comme incluant les renseignements à l’égard desquels un individu a des intérêts raisonnables en matière de vie privée.

Recommandation 4 : Définir « information accessible au public » de manière à exclure les renseignements à l’égard desquels une personne a une attente raisonnable en matière de protection de la vie privée, comme c’est le cas à l’article 2 de la Loi sur le CST.

Partie 2 : Loi sur le soutien en matière d’accès autorisé à de l’information

3. Nécessité et proportionnalité

La Loi sur le soutien en matière d’accès autorisé à de l’information (LSAAI) obligerait le gouverneur en conseil et le ministre de la Sécurité publique à tenir compte de plusieurs facteurs lorsqu’ils prennent des règlements ou des arrêtés, respectivement (par. 5(3) et 7(3)). Toutefois, il n’existe aucune obligation générale selon laquelle les obligations imposées au titre de la LSAAI doivent être nécessaires et proportionnelles. L’ajout d’une obligation à cet effet contribuerait à faire en sorte que toute obligation de ce type, y compris celles liées à la conservation des métadonnées, soit adaptée pour réduire au minimum les répercussions sur la vie privée.

Recommandation 5 : Exiger que toute obligation imposée au titre des paragraphes 5(2) et 7(1) soit nécessaire et proportionnelle.

4. Vulnérabilité systémique

Les règlements et les arrêtés pris au titre de la LSAAI pourraient contraindre un large éventail de « fournisseurs de services électroniques (FSE) » à mettre en place les capacités pour permettre aux personnes autorisées d’accéder à des renseignements et à des communications ou encore de les intercepter afin d’appuyer les activités d’enquête criminelle ou liée au renseignement. Il existe une possibilité que de telles capacités soient découvertes et exploitées par des personnes non autorisées ou compromettent autrement les mesures de protection des données électroniques. Le projet de loi vise à atténuer ce risque au moyen d’exemptions à toute disposition d’un règlement ou d’un arrêté qui obligerait les FSE à introduire une « vulnérabilité systémique » (au sens du paragraphe 2(1)) ou qui les empêcherait de corriger une telle vulnérabilité. Toutefois, telles qu’elles sont rédigées, ces exemptions n’interdisent pas strictement le respect ou la prise de règlements ou d’arrêtés qui introduiraient une telle vulnérabilité; elles prévoient plutôt que les FSE « ne sont pas tenus de s’y conformer » (par. 5(5) et 7(5)).

De plus, la définition actuelle de ce terme essentiel peut être trop imprécise pour réduire au minimum les risques liés à la protection de la vie privée et à la cybersécurité. Par exemple, elle n’exclut pas explicitement les actions qui pourraient réduire l’efficacité des méthodes systémiques d’authentification ou de chiffrement. Il s’agit d’une caractéristique importante de la définition de « vulnérabilité systémique » (« systemic vulnerability ») dans la loi équivalente de l’Australie (loi de 1997 sur les télécommunications [Telecommunications Act 1997]).

Recommandation 6 : Modifier les paragraphes 5(5) et 7(5) de la LSAAI pour préciser que les règlements et les arrêtés pris au titre des paragraphes 5(2) et 7(1) « ne doivent pas avoir pour effet » d’exiger qu’un FSE introduise une vulnérabilité systémique ou d’empêcher un FSE de corriger une vulnérabilité systémique.

Recommandation 7 : Modifier la définition de « vulnérabilité systémique » afin d’y inclure toute action qui réduirait l’efficacité des méthodes systémiques d’authentification ou de chiffrement.

5. Signalements des atteintes à la vie privée au Commissariat

L’article 15 imposerait des obligations de confidentialité aux FSE, limitant leur capacité de communiquer des renseignements relatifs à un arrêté ministériel pris au titre du paragraphe 7(1). En l’absence d’une exemption expresse dans la LSAAI permettant aux FSE de communiquer des renseignements aux organismes de réglementation ou de surveillance appropriés, ces restrictions pourraient limiter la capacité du Commissariat à réaliser son mandat en cas d’atteinte à la sécurité des données liée à la LSAAI. Par exemple, on pourrait interdire à un FSE de fournir des détails au Commissariat au sujet d’une atteinte à la sécurité des données découlant de l’exploitation par un tiers non autorisé d’une capacité d’interception mise en œuvre au titre d’un arrêté ministériel. L’absence de tels détails pourrait limiter la capacité du Commissariat à recommander des mesures correctives efficaces.

Recommandation 8 : Ajouter une exemption aux règles de confidentialité énoncées à l’article 15 pour permettre expressément aux FSE de communiquer des renseignements relatifs aux arrêtés pris au titre du paragraphe 7(1) aux organismes de réglementation appropriés aux fins de l’exercice des attributions qui leur sont conférées.

J’espère que ces renseignements seront utiles aux membres du Comité.

Je vous prie d’agréer, Monsieur le Président, l’expression de ma considération distinguée.

Le Commissaire,

(Document original signé par)


Philippe Dufresne

c.c. : Paul Cardegna, greffier du Comité

Date de modification :