Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Mémoire au Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants sur le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois

Le 22 mai 2026

PAR COURRIEL

L’honorable Marty Deacon, sénatrice 
Présidente du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants
Sénat du Canada
Ottawa (Ontario)  K1A 0A4

Objet : Mémoire sur le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois

Madame la Présidente,

Je vous remercie de me donner l’occasion d’exprimer mon point de vue au Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants (le Comité) concernant le projet de loi C-8, une initiative législative importante qui vise à promouvoir la cybersécurité dans les infrastructures essentielles du Canada. Dans le présent mémoire, je reconnais certaines des améliorations importantes que le Parlement a apportées au projet de loi. Je propose ensuite deux recommandations supplémentaires à l’attention du Comité, que j’ai mises de l’avant par le passé, et plus récemment dans un mémoire sur le projet de loi C-8 présenté en novembre 2025 au Comité permanent de la sécurité publique et nationale de la Chambre des communes. Selon moi, ces propositions favoriseraient davantage la promotion et la protection du droit à la vie privée sans nuire aux objectifs importants liés à la cybersécurité que vise ce projet de loi.

Lors de ma comparution devant le Comité au sujet de l’ancien projet de loi C-26 (qui a précédé le projet de loi C-8) le 18 novembre 2024, j’ai fait remarquer que le Parlement avait apporté à ce projet de loi plusieurs amendements visant à protéger la vie privée. Je suis heureux de constater que ces amendements ont été repris dans le projet de loi C-8, et que, de plus, les autres amendements visant à protéger la vie privée ci-dessous ont été apportés depuis son dépôt :

  • Des exigences de proportionnalité plus cohérentes : Tant pour les pouvoirs de prise de décrets ou d’arrêtés que pour les pouvoirs d’échange de renseignements, le projet de loi C-8 a été amendé pour inclure une exigence selon laquelle les mesures d’échange de renseignements doivent être « raisonnables eu égard à la gravité de la menace [de cybersécurité] », ce qui est similaire au principe de proportionnalité. [Voir, en particulier, l’article 2 du projet de loi, aux articles 15.1, 15.2, 15.4 et 15.6 de la Loi sur les télécommunications, L.C. 1993, ch. 38 (LT), et l’article 11 du projet de loi, au paragraphe 20(3.1) de la Loi sur la protection des cybersystèmes essentiels (LPCE)]. En plus de protéger la vie privée, l’ajout de ce seuil permettra de centrer l’intervention réglementaire sur les risques évidents en matière de cybersécurité et contribuera ainsi à l’efficacité globale de la réglementation dans ce domaine.
  • Désignation de la protection de la vie privée comme facteur à prendre en considération dans la prise de décrets et d’arrêtés en matière de cybersécurité : Les décrets pris par le gouverneur en conseil (GEC) et les arrêtés pris par le ministre en vertu de la LT [article 2 du projet de loi, aux articles 15.1 et 15.2] et les décrets pris par le GEC en vertu de la LPCE [article 11 du projet de loi, au paragraphe 20(3)] exigent maintenant que l’on tienne compte des répercussions possibles du décret ou de l’arrêté sur la protection de la vie privée des Canadiennes et des Canadiens.
  • Augmentation de la transparence : Les décrets et les arrêtés pris en vertu de la LT seraient désormais visés par une obligation de communication d’un avis après coup (sous réserve d’exceptions) applicable à toute personne qui est précisée dans un décret ou un arrêté [article 2 du projet de loi, à l’article 15.211]. Le ministre de la Sécurité publique (ou un autre ministre désigné) serait en outre tenu de procéder à un examen des dispositions édictées par le projet de loi C-8 dans les cinq ans suivant sa sanction, et d’établir un rapport sur cet examen qui serait déposé devant le Parlement [article 17 de la partie 3 du projet de loi].
  • Protections relatives au traitement des renseignements personnels : Tout renseignement personnel exigé en vertu de l’article 15.4 de la LT serait désormais réputé confidentiel [article 2 du projet de loi, au paragraphe 15.5(2.1)]. De plus, la LT et la LPCE incluraient des dispositions expresses visant le retrait des renseignements personnels lorsque leur rétention n’est plus nécessaire [article 2 du projet de loi, à l’alinéa 15.7(1)b) et à l’article 15.701; article 11 du projet de loi, à l’article 29.1].

Du point de vue de la protection de la vie privée, ces amendements améliorent de manière importante le projet de loi C-8. Je tiens à profiter de l’occasion pour attirer l’attention du Comité sur deux recommandations supplémentaires que j’ai formulées dans mes précédents mémoires sur ce projet de loi et l’ancien projet de loi C-26 :

  1. Que la référence aux « renseignements personnels » soit ajoutée à la définition de « renseignements confidentiels » contenue dans la LPCE [article 11 du projet de loi, à l’article 2].

Je constate que le Parlement a modifié la LPCE pour y ajouter une disposition de « précision » qui indique que rien dans la LPCE n’a pour effet de porter atteinte aux dispositions de la Loi sur la protection des renseignements personnels relatives à la protection des renseignements personnels [article 11 du projet de loi, à l’article 26.1]. Cette disposition pourrait clarifier que la Loi sur la protection des renseignements personnels continue de s’appliquer, mais l’objectif de ma recommandation est de veiller à ce que les renseignements personnels soient traités de la même manière que les renseignements confidentiels au titre de la LPCE.

Le fait d’ajouter les renseignements personnels à la définition de « renseignements confidentiels » dans la LPCE n’aurait pas pour effet d’empêcher l’échange de renseignements. Cet ajout imposerait plutôt des contrôles plus stricts, comme une interdiction assortie d’exceptions limitées [article 11 du projet de loi, à l’article 26], ainsi que des seuils plus élevés et des mesures de protection supplémentaires pour l’échange de renseignements extraterritorial [article 11 du projet de loi, à l’article 27]. Cette recommandation permettrait également de faire en sorte que la définition de « renseignements confidentiels » fournie dans la LPCE corresponde davantage à celle de la LT, qui a été modifiée par le projet de loi C-8 [article 2 du projet de loi, à l’alinéa 15.5(1)d) et au paragraphe 15.5(2.1)].

  1. Que le Centre de la sécurité des télécommunications (CST) soit tenu de fournir au Commissariat des copies des rapports d’incidents de cybersécurité qu’il reçoit lorsque ceux-ci font état d’enjeux graves ou systémiques liés à la protection de la vie privée.

Cette recommandation permettrait au Commissariat de tirer parti de l’expertise en matière de cybersécurité du CST. Le Commissariat reçoit déjà des avis d’atteinte à la vie privée au titre de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), mais ceux-ci se limitent généralement à des incidents distincts. En revanche, les rapports d’incident de cybersécurité peuvent permettre de cerner rapidement les risques systémiques pour la vie privée. Par exemple, un risque de cybersécurité causé par une vulnérabilité systémique dans les infrastructures de télécommunications pourrait générer de nombreux signalements d’atteinte distincts au titre de la LPRPDE sans que le Commissariat ne prenne connaissance de la vulnérabilité sous-jacente.

Un rapport d’incident de cybersécurité pourrait fournir au Commissariat un aperçu plus clair et rapide d’une vulnérabilité émergente (par exemple, une compromission plus large perpétrée par l’auteur d’une menace persistante sophistiquée). Ainsi, le Commissariat serait en mesure d’agir rapidement afin d’atténuer les risques pour la vie privée des Canadiennes et des Canadiens, notamment par l’entremise de la sensibilisation proactive et de la publication de documents d’orientation à l’intention du public. Bien que les rapports d’incidents de cybersécurité puissent contenir des renseignements sensibles, le Commissariat est prêt à travailler avec le CST et Sécurité publique Canada pour trouver des approches mutuellement acceptables visant à atténuer les risques, notamment au moyen du caviardage, de l’établissement d’exigences strictes en matière de confidentialité et de sécurité ainsi que de la coordination des approches réglementaires dans des circonstances appropriées.

Je vous remercie de m’avoir invité à exprimer mon point de vue sur cet important projet de loi. J’espère que le présent mémoire sera utile au Comité dans l’examen qu’il mène actuellement des dispositions du projet de loi.

Je vous prie d’agréer, Madame la Présidente, l’expression de ma considération respectueuse.

Le Commissaire,

(Document original signé par)


Philippe Dufresne

c.c. : Ericka Paajanen, greffière du Comité

Date de modification :