Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches des enjeux consolidées sur le projet de loi C-26

Table des matières

Recommandations antérieures du Commissariat visant le projet de loi C-26 (comité SECU)

Position du Commissariat sur les amendements du comité SECU au projet de loi C-26

Recommandations actuelles du Commissariat sur le projet de loi C-26

Rôle du Commissariat au titre du projet de loi C-26

Rôle du Commissariat en matière de cybersécurité (général)

Préoccupations des parties prenantes au sujet des répercussions sur la vie privée que pourrait avoir le projet de loi C-26

Pouvoir du gouvernement de prendre des arrêtés et des décrets en vertu du projet de loi C-26

Pouvoirs de collecte et de communication dans le projet de loi C-26

Accords visant l’échange de renseignements prévus par le projet de loi C-26

Exigences de conservation prévues par le projet de loi C-26

Désignation des renseignements personnels et des renseignements dépersonnalisés comme étant des renseignements confidentiels

Caractère raisonnable et proportionnalité

Contrôle judiciaire

Obligations des secteurs public et privé en matière de signalement des atteintes

Statistiques et tendances relatives aux atteintes

Atteintes à la vie privée à l’Agence du revenu du Canada

Incidence du projet de loi C-26 sur les atteintes concernant l’Agence du revenu du Canada

Comparaisons avec d’autres pays

Lois provinciales et territoriales sur la cybersécurité

Comparution devant le Comité permanent sénatorial de la Sécurité nationale, défense et anciens combattants (SECD)

Recommandations antérieures du Commissariat visant le projet de loi C‑26 (comité SECU)

Notes d’allocution

  • Lorsque j’ai comparu devant le Comité permanent de la sécurité publique et nationale au sujet du projet de loi C‑26, j’ai exprimé mon appui à l’objectif global du projet de loi, qui consiste à protéger les systèmes essentiels contre les menaces à la cybersécurité.
  • J’ai toutefois recommandé qu’il y ait des critères plus rigoureux pour l’utilisation des nouveaux pouvoirs qu’il accorderait au gouvernement, que les organisations soient tenues d’effectuer des évaluations des facteurs relatifs à la vie privée avant de mettre en œuvre de nouveaux programmes ou de nouvelles initiatives découlant des pouvoirs accordés par le projet de loi, et qu’il y ait une plus grande transparence.
  • J’ai également demandé à ce que des mesures de responsabilisation plus rigoureuses soient prises lorsque des renseignements sont communiqués à l’extérieur du Canada, et à ce que le Commissariat dispose d’une plus grande souplesse pour coordonner ses activités avec celles d’autres organismes de réglementation et de surveillance.
  • Il est évident que le Comité s’est sérieusement penché sur bon nombre des recommandations qu’il a reçues et a apporté plusieurs changements positifs au projet de loi. Cependant, à mon avis, certains risques d’atteinte à la vie privée sont toujours présents.

Contexte

  • Les recommandations précises du Commissariat à la protection de la vie privée du Canada au Comité permanent de la sécurité publique et nationale (SECU) étaient les suivantes :
    • que des critères plus rigoureux et des limites plus strictes soient établis quant à l’exercice des nouveaux pouvoirs qui seraient accordés au gouvernement dans le cadre du projet de loi, notamment l’exigence que toute collecte, utilisation ou communication de renseignements personnels soit nécessaire et proportionnelle (mise en œuvre en partie);
    • que les organisations soient tenues de réaliser des EFVP et de consulter le Commissariat pour les programmes ou les initiatives créés au titre des nouveaux pouvoirs conférés par le projet de loi qui concernent les renseignements personnels (non mise en œuvre);
    • que les dispositions du projet de loi qui concernent la confidentialité soient compensées par des exigences appropriées en matière de transparence (mise en œuvre);
    • que des mesures de responsabilisation plus rigoureuses soient établies pour promouvoir la protection des renseignements personnels communiqués à l’extérieur du Canada, notamment des exigences précises pour les ententes sur les échanges de renseignements (non mise en œuvre);
    • que le Commissariat dispose de la souplesse nécessaire pour coordonner ses activités avec celles d’autres organismes de réglementation et de surveillance lorsqu’un incident lié à la cybersécurité vise une atteinte à la vie privée, et ce, afin que le Commissariat puisse exercer sa compétence et remplir son mandat (non mise en œuvre).

Position du Commissariat sur les amendements du comité SECU au projet de loi C‑26

Notes d’allocution

  • Il est évident que le Comité permanent de la sécurité publique et nationale (SECU) s’est penché sérieusement sur bon nombre des recommandations qu’il a reçues dans le cadre de son étude du projet de loi.
  • Plusieurs des amendements visent à atténuer certains des risques d’atteinte à la vie privée que pourraient avoir le projet de loi, notamment les nouvelles limites de pouvoirs de prendre des décrets ou des arrêtés, les nouvelles obligations élargies en matière d’avis et de déclaration ainsi que l’inclusion des renseignements personnels et des renseignements dépersonnalisés comme des catégories pouvant être désignées comme étant confidentiels aux termes de la Loi sur les télécommunications.
  • Toutefois, malgré ces amendements et d’autres changements positifs, des limites supplémentaires à certains des pouvoirs conférés par le projet de loi contribueraient aussi à atténuer les répercussions potentielles qu’elles auraient sur la protection de la sur la vie privée, notamment à l’exigence que toute collecte, utilisation ou divulgation de renseignements personnels soit à la fois nécessaire et proportionnelle.

Contexte

  • En matière de protection de la vie privée, les amendements dignes de mention adoptés par le comité SECU comprennent ce qui suit :
    • en ce qui concerne les décrets et les arrêtés, l’établissement d’un critère de motif raisonnable, d’une liste des facteurs qui doivent être pris en considération, d’une exigence d’aviser le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement, de nouvelles obligations en matière de déclaration, d’une exigence de nécessité pour les décrets et les arrêtés pris au titre de la Loi sur la protection des cybersystèmes essentiels, et d’une exigence que la portée et le contenu des décrets et des arrêtés pris au titre de la Loi sur les télécommunications soient raisonnables et que les personnes appropriées soient consultées;
    • l’ajout des renseignements personnels et des renseignements dépersonnalisés comme catégories pouvant être désignées comme des renseignements confidentiels aux termes de la Loi sur les télécommunications modifiée;
    • l’ajout d’un libellé précisant que les renseignements confidentiels recueillis ou obtenus au titre des lois doivent être traités comme tels;
    • l’ajout de renvois à la Loi sur la protection des renseignements personnels dans la Loi sur les télécommunications et le préambule de la Loi sur la protection des cybersystèmes essentiels;
    • l’utilisation d’un libellé plus restrictif pour limiter certains pouvoirs de la Loi sur la protection des cybersystèmes essentiels [p. ex. aux paragraphes 26(1) et 28(1)];
    • l’exigence que les renseignements recueillis ou obtenus en vertu du paragraphe 23(1) de la Loi sur la protection des cybersystèmes essentiels ne soient conservés que pendant la période nécessaire pour établir, modifier, révoquer ou vérifier le respect des décrets (bien qu’elle ait été supprimée par la suite à l’étape de la troisième lecture).

Recommandations actuelles du Commissariat sur le projet de loi C-26

Notes d’allocution

  • Le Comité permanent de la sécurité publique et nationale (SECU) a apporté un certain nombre de changements positifs au projet de loi, dont plusieurs qui concordent avec mon avis précédent.
  • Je recommanderais que le Comité envisage d’établir ce qui suit pour atténuer davantage les risques d’atteinte à la vie privée découlant du projet de loi :
    • une obligation explicite que toute collecte, utilisation et communication des renseignements personnels respecte les principes de nécessité et de proportionnalité;
    • les exigences pour la conservation des renseignements personnels;
    • les exigences minimales prescrites en matière de contenu pour les ententes sur les échanges de renseignements conclues avec d’autres juridictions;
    • l’obligation pour le Centre de la sécurité des télécommunications de transmettre au Commissariat une copie des rapports sur les incidents de cybersécurité et les renseignements connexes pouvant avoir des répercussions importantes sur la protection de la vie privée.

Contexte

  • Bon nombre des pouvoirs de collecte et de communication prévus dans le projet de loi C-26 établissent un critère de nécessité (p. ex. « [s]’il s’avère nécessaire ») et d’autres sont fondés sur la pertinence (p. ex. « s[i le ministre] croit qu[e les renseignements] pourraient être utiles pour ») ou un critère mixte (p. ex. « dans la mesure nécessaire à toute fin liée à »).
  • Des exigences plus uniformes en matière de nécessité et de proportionnalité dans l’ensemble des lois aideraient à réduire le risque que des renseignements personnels soient recueillis de façon excessive, ou utilisés ou communiqués de façon inappropriée.
  • Par ailleurs, il serait possible d’intégrer à la Loi sur les télécommunications et à la Loi sur la protection des cybersystèmes essentiels une exigence selon laquelle les renseignements personnels ne doivent pas être recueillis, utilisés ou communiqués au titre de l’une ou l’autre des lois, à moins que la collecte, l’utilisation ou la communication ne soit nécessaire [pour sécuriser le système canadien de télécommunications OU pour protéger un cybersystème essentiel] et qu’elle soit proportionnelle à une menace ou à une vulnérabilité décelée.
  • Le comité SECU a amendé la Loi sur la protection des cybersystèmes essentiels pour exiger que tous les renseignements recueillis ou obtenus conformément au paragraphe 23(1) ne soient conservés « que pendant la durée nécessaire » pour prendre, modifier, révoquer ou vérifier le respect des décrets, mais cet amendement a été supprimé à l’étape de la troisième lecture.
  • Le comité SECU n’a pas adopté notre recommandation visant l’établissement d’exigences minimales pour les ententes sur les échanges de renseignements.

Rôle du Commissariat au titre du projet de loi C-26

Notes d’allocution

  • Bien que le projet de loi C-26 ne prévoit pas de rôle explicite pour le Commissariat à la protection de la vie privée du Canada, c’est le Commissariat qui a compétence en matière de traitement des renseignements personnels par le gouvernement fédéral et le secteur privé, notamment dans le contexte de la cybersécurité.
  • En plus de leurs obligations de signalement au titre de la Loi sur la protection des cybersystèmes essentiels, les exploitants désignés assujettis à la Loi sur la protection des renseignements personnels et les documents électroniques devront encore signaler au Commissariat les atteintes aux mesures de sécurité concernant les renseignements personnels dans les cas où il existe un risque réel de préjudice grave.
  • Cependant, je recommanderais que le Centre de la sécurité des télécommunications soit également tenu de communiquer au Commissariat les signalements de cyberincidents et les renseignements connexes qui pourraient avoir des répercussions importantes sur la protection de la vie privée.
  • Selon moi, le Commissariat devrait également disposer de la marge de manœuvre qu’il lui faut pour collaborer et échanger des renseignements avec d’autres organismes de réglementation et de surveillance lorsque c’est nécessaire pour remplir son mandat.

Contexte

  • Compte tenu de l’objectif du projet de loi C-26, qui est de protéger les infrastructures essentielles sous réglementation fédérale contre les menaces qui peuvent n’avoir que peu ou pas de lien avec les renseignements personnels, si le rôle du Commissariat à la protection de la vie privée du Canada est élargi, cela dépasserait probablement la compétence institutionnelle du Commissariat.
  • Rien dans le projet de loi ne limiterait les pouvoirs du commissaire à la protection de la vie privée d’entreprendre ou de mener des enquêtes en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou de la Loi sur la protection des renseignements personnels, et rien ne nuirait aux obligations de signalement des atteintes des fournisseurs de services de télécommunications et des autres exploitants désignés qui sont assujettis à la LPRPDE.
  • De même, certains des comportements prévus dans le projet de loi relèveraient de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), qui a pour mandat d’examiner l’exercice par les ministères de leurs activités liées à la sécurité nationale ou au renseignement (paragraphe 8(1) de la Loi sur l’OSSNR).
  • Le Commissariat et l’OSSNR sont autorisés à coordonner les activités (art. 37 de la Loi sur la protection des renseignements personnels et 15.1 de la Loi sur l’OSSNR), par exemple pour éviter les enquêtes menées en double.
  • Dans sa version modifiée, le projet de loi ferait également en sorte que l’OSSNR et le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) soient avisés des arrêtés ou décrets confidentiels pris en vertu de la Loi sur les télécommunications (article 15.22) et des directives de cybersécurité formulées par le CPSNR (article 20).
  • Bien qu’il soit possible pour le gouvernement de consulter le Commissariat au sujet des décrets, des arrêtées et des règlements qui peuvent avoir des répercussions sur la vie privée, il n’est pas tenu de le faire.

Rôle du Commissariat en matière de cybersécurité (général)

Notes d’allocution

  • La protection des renseignements personnels repose de plus en plus sur la sécurité des systèmes et des infrastructures numériques. Les incidents de cybersécurité touchant de tels systèmes peuvent avoir des répercussions importantes sur la vie privée lorsqu’ils entraînent la communication non autorisée de renseignements personnels.
  • Le Commissariat a un rôle important à jouer quant à la prise de mesures adéquates par les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques ou à la Loi sur la protection des renseignements personnels pour prévenir les communications non autorisées et y réagir de façon appropriée lorsqu’elles ont lieu.
  • Parallèlement, nous devons également surveiller et évaluer si les mesures prises en réponse aux menaces à la cybersécurité ont des répercussions imprévues sur la vie privée.
  • Malheureusement, nous sommes confrontés à plusieurs défis lors de l’exercice de ces fonctions, notamment l’absence de pouvoirs exécutoires, l’absence d’obligation légale pour les organisations d’effectuer des évaluations des facteurs relatifs à la vie privée et de consulter le Commissariat, et – à quelques exceptions près – aucun pouvoir explicite visant le partage des renseignements et la collaboration avec d’autres organismes de réglementation et de surveillance fédéraux.

Contexte

  • Le rôle du Commissariat en matière de cybersécurité se limite aux incidents qui concernent la communication non autorisée de renseignements personnels. Dans certains cas, le Commissariat peut entreprendre une enquête pour déterminer si les organisations touchées respectaient leurs obligations prévues par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou la Loi sur la protection des renseignements personnels (LPRP).
  • Bien que la LPRP ne prévoit pas pour le Commissariat de rôle officiel visant à fournir des lignes directrices, les organisations gouvernementales sont tenues, au titre de la politique du Secrétariat du Conseil du Trésor, d’aviser le Commissariat de toute initiative prévue qui comporte des renseignements personnels, ce qui pourrait comprendre de nouveaux programmes ou de nouvelles activités visant à renforcer la cybersécurité, et de fournir des évaluations des facteurs relatifs à la vie privée approuvées.
  • Conformément à son rôle prévu par la LPRPDE, soit un rôle visant à fournir des lignes directrices, le Commissariat a élaboré et publié du contenu sur la façon de se protéger contre certaines cybermenaces (p. ex. les logiciels malveillants, les pourriels, le vol d’identité).
  • Le Commissariat a le pouvoir de coordonner ses activités avec celles de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement afin d’éviter tout dédoublement du travail et, dans le contexte de la Loi canadienne anti-pourriel, avec celles du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et du Bureau de la concurrence.

Préoccupations des parties prenantes au sujet des répercussions sur la vie privée que pourrait avoir le projet de loi C-26

Notes d’allocution

  • Un certain nombre de témoins et de spécialistes des libertés civiles ont exprimé des préoccupations au sujet des répercussions sur la vie privée que pourrait avoir le projet de loi C-26.
  • Bon nombre de ces préoccupations concernent l’étendue de certains pouvoirs et de certaines autorisations prévus dans le projet de loi et la possibilité que ceux-ci – ou les renseignements obtenus dans le cadre de ceux-ci – puissent être utilisés à des fins inappropriées en l’absence de restrictions supplémentaires.
  • Selon moi, ces préoccupations sont légitimes. Toutefois, la probabilité et l’incidence de tels risques devraient être évaluées par rapport aux avantages que pourrait avoir le projet de loi; l’établissement de conditions de base plus strictes pour la protection de la cybersécurité pourrait notamment aider à réduire la probabilité et l’incidence des atteintes à la vie privée.
  • Cela dit, je suis aussi d’avis que le projet de loi comporte toujours des risques évitables en matière de protection de la vie privée. L’une des façons les plus efficaces d’atténuer ces risques serait d’exiger que toute collecte, utilisation ou communication de renseignements personnels soit nécessaire et proportionnelle.

Contexte

  • Depuis la présentation en juin 2022 du projet de loi C-26, des groupes de défense des libertés civiles, des représentants de l’industrie et d’autres parties prenantes ont soulevé des préoccupations, dont certaines ont maintenant été prises en compte au moyen d’amendements adoptés à la Chambre.
  • Le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants (SECD) a tenu deux réunions sur le projet de loi. À ce jour, les témoins ont réitéré les préoccupations suivantes en matière de protection de la vie privée :
    • le gouvernement pourrait utiliser les pouvoirs de prendre des arrêtés et des décrets en vertu de la Loi sur les télécommunications pour ordonner aux fournisseurs de services de télécommunications d’appliquer des normes de chiffrement moins élevées dans le but de créer sur leurs réseaux des portes dérobées permettant un accès légal;
    • le projet de loi n’établit pas de critère uniforme suffisamment strict pour la collecte, l’utilisation et la communication de renseignements personnels;
    • le Centre de la sécurité des télécommunications pourrait utiliser l’information qui lui est transmise au titre de la Loi sur la protection des cybersystèmes essentiels à des fins autres que la cybersécurité (p. ex. le renseignement électromagnétique étranger);
    • l’absence d’une véritable réforme des lois sur la protection des renseignements personnels au Canada exacerbe les risques en matière de protection de la vie privée que pourrait avoir le projet de loi.

Pouvoir du gouvernement de prendre des arrêtés et des décrets en vertu du projet de loi C-26

Notes d’allocution

  • Le projet de loi C-26 conférerait au gouvernement de vastes pouvoirs lui permettant de prendre des arrêtés et des décrets pour obliger les fournisseurs de services de télécommunications et d’autres exploitants désignés de systèmes essentiels à prendre les mesures prescrites contre les menaces et les vulnérabilités en matière de cybersécurité.
  • Afin de réduire le risque que ces pouvoirs entraînent une collecte excessive, ou une utilisation ou communication inappropriée de renseignements personnels, j’ai déjà recommandé que des critères et des limites plus stricts soient établis pour l’utilisation des pouvoirs.
  • Le projet de loi amendé comporte plusieurs changements positifs à cet égard.
  • Toutefois, la mise en place d’une exigence générale selon laquelle toute collecte, utilisation ou communication de renseignements personnels devrait être nécessaire et proportionnelle limiterait davantage la portée des pouvoirs de prendre des arrêtés et des décrets, et atténuerait leurs répercussions potentielles sur la vie privée.

Contexte

  • Les paragraphes 15.1(1) et 15.2(1) de la Loi sur les télécommunications modifiée autoriseraient le gouverneur en conseil et le ministre de l’Industrie à interdire aux fournisseurs de services de télécommunication d’utiliser certains produits ou services et à ordonner le retrait de certains produits ou services de leurs réseaux ou installations.
  • Le paragraphe 15.2(2) de la Loi sur les télécommunications modifiée autoriserait le ministre à ordonner aux fournisseurs de services de télécommunication de prendre diverses mesures, y compris « de faire ou de s’abstenir de faire toute chose qu’il précise » s’il a des motifs raisonnables de croire qu’il est nécessaire de le faire pour sécuriser le système de télécommunications face à toute menace.
  • Le paragraphe 20(1) de la Loi sur la protection des cybersystèmes essentiels permettrait au gouverneur en conseil de donner aux exploitants réglementés des directives en matière de cybersécurité s’il a des motifs raisonnables de croire qu’il est nécessaire de le faire pour protéger un cybersystème essentiel.
  • Le Comité permanent de la sécurité publique et nationale (SECU) a amendé le projet de loi pour restreindre ces pouvoirs, notamment par l’ajout d’un critère de motif raisonnable, d’une liste de facteurs qui doivent être pris en considération, de l’obligation pour le gouverneur en conseil et le ministre de consulter les personnes appropriées au sujet des arrêtés et des décrets pris au titre de la Loi sur les télécommunications, d’une exigence selon laquelle la portée de le contenu des arrêtés et des décrets pris au titre de la Loi sur les télécommunications doivent être raisonnables, et d’une exigence de nécessité pour les arrêtés et les décrets pris au titre de la Loi sur la protection des cybersystèmes essentiels.
  • Le comité SECU n’a toutefois pas suivi notre conseil d’ajouter une exigence selon laquelle toute collecte, utilisation ou communication de renseignements personnels doit être nécessaire et proportionnelle.

Pouvoirs de collecte et de communication dans le projet de loi C‑26

Notes d’allocution

  • Le projet de loi C‑26 permettrait à plusieurs institutions gouvernementales de recueillir et d’échanger des renseignements pour respecter les décrets, les arrêtés et les règlements visant à protéger les infrastructures essentielles contre les menaces et les vulnérabilités en matière de cybersécurité.
  • Même si une grande partie de ces renseignements serait probablement de nature technique, il peut être jugé nécessaire ou pertinent de recueillir ou d’échanger des renseignements personnels dans certaines circonstances, et ceux-ci relèvent des pouvoirs conférés par le projet de loi.
  • Tel qu’il a été amendé, le projet de loi comprend plusieurs changements positifs qui atténuent certains de ses risques pour la vie privée. Toutefois, la mise en place d’une exigence générale selon laquelle toute collecte, utilisation ou communication de renseignements personnels devrait être nécessaire et proportionnelle limiterait davantage le risque de collecte excessive, ou d’utilisation ou de communication inappropriée de renseignements personnels.

Contexte

  • Le projet de loi C‑26 permettrait à différentes institutions fédérales de recueillir et d’échanger des renseignements jugés nécessaires ou, dans certains cas, pertinents pour la protection des télécommunications canadiennes et des cybersystèmes essentiels au Canada et à l’étranger.
  • Les exemples pertinents à ce sujet de la Loi sur les télécommunications comprennent l’article 15.4 [sur la fourniture de renseignements au ministre de l’Industrie], le paragraphe 15.6(1) [sur l’échange de renseignements entre des entités fédérales] et le paragraphe 15.7(1) [sur la communication de renseignements à d’autres administrations].
  • Les exemples pertinents à ce sujet de la Loi sur la protection des cybersystèmes essentiels comprennent l’article 23 [sur l’échange de renseignements entre des entités fédérales], le paragraphe 27(1) [sur les accords visant l’échange de renseignements entre des administrations], le paragraphe 28(1) [sur l’échange de renseignements entre des organismes réglementaires] et l’article 29 [sur les demandes de renseignements provenant des ministres responsables].
  • Le Comité permanent de la sécurité publique et nationale (SECU) a adopté plusieurs amendements pour limiter certains de ces pouvoirs, il a notamment ajouté les renseignements personnels et les renseignements dépersonnalisés comme des catégories pouvant être désignées comme étant confidentielles aux termes de la Loi sur les télécommunications modifiée; ajouté une exigence de nécessité pour l’échange de renseignements entre les organismes réglementaires et les ministres effectué en vertu de la Loi sur la protection des cybersystèmes essentiels; et précisé le libellé de certaines dispositions de la Loi sur la protection des cybersystèmes essentiels (p. ex. « [si] la communication est nécessaire à toute fin liée à la protection de »).
  • Cependant, d’autres pouvoirs prévus dans le projet de loi demeurent relativement larges et permissifs [p. ex. ceux de l’article 15.4 et du paragraphe 15.7(1) de la Loi sur les télécommunications et ceux du paragraphe 27(1) et et de l’article 29 de la Loi sur la protection des cybersystèmes essentiels].

Accords visant l’échange de renseignements prévus par le projet de loi C‑26

Notes d’allocution

  • Le projet de loi C‑26 permettrait à certaines institutions fédérales d’échanger des renseignements, notamment des renseignements personnels, à l’échelle nationale et internationale.
  • Bien que la loi exige l’existence d’accords écrits pour de telles communications, elle ne prescrit pas de mesures minimales pour la protection de la vie privée.
  • Afin de veiller à ce qu’il y ait une norme uniforme de protection lorsque des renseignements personnels sont échangés à l’échelle internationale, l’exigence relative aux ententes écrites pourrait être élargie pour inclure des mesures minimales de protection de la vie privée, notamment des mesures de protection adéquates, des périodes de conservation et des limites quant à l’utilisation secondaire ou au transfert subséquent.

Contexte

  • Les modifications visant la Loi sur les télécommunications comprennent le pouvoir d’échanger des renseignements avec les gouvernements provinciaux et étrangers, à condition que ce soit fait au titre d’un accord écrit. La communication de renseignements désignés comme confidentiels – qui peuvent maintenant comprendre les renseignements personnels et les renseignements dépersonnalisés – ne serait pas autorisée au titre de ce pouvoir (article 15.7).
  • La Loi sur la protection des cybersystèmes essentiels autoriserait la communication de renseignements aux gouvernements provinciaux et étrangers dans les cas où elle est effectuée au titre d’ententes écrites. Des renseignements confidentiels pourraient être fournis à des gouvernements provinciaux, mais pas à des gouvernements étrangers (article 27).
  • La Loi sur les télécommunications et la Loi sur la protection des cybersystèmes essentiels définissent différemment le concept de « renseignements confidentiels ». La Loi sur les télécommunications exige que les renseignements soient désignés comme étant des renseignements confidentiels par les parties réglementées. Les motifs d’une telle désignation comprennent le fait qu’il s’agit de renseignements personnels ou de renseignements dépersonnalisés (article 15.5). Dans la Loi sur la protection des cybersystèmes essentiels, la définition établie n’exige pas de désignation. Les renseignements personnels ou dépersonnalisés pourraient être inclus, mais ne constituent pas à eux seuls un motif de confidentialité (article 2).
  • Le comité SECU a amendé le projet de loi pour ajouter les renseignements personnels et les renseignements dépersonnalisés comme des catégories pouvant être désignées comme des renseignements confidentiels aux termes de la Loi sur les télécommunications, ce qui ferait en sorte qu’ils ne pourraient pas être communiqués à d’autres administrations, sauf dans certaines circonstances (paragraphe 15.5(3)). Le comité SECU n’a toutefois pas apporté d’amendement semblable pour la Loi sur la protection des cybersystèmes essentiels.
  • La Loi sur les télécommunications (article 15.5) et la Loi sur la protection des cybersystèmes essentiels (article 26) contiennent des interdictions relatives à la communication de renseignements confidentiels, sous réserve de certaines exceptions, notamment lorsqu’un consentement est fourni et lorsque la communication est jugée nécessaire à certaines fins liées à la cybersécurité.

Exigences de conservation prévues par le projet de loi C‑26

Notes d’allocution

  • Le projet de loi C‑26 permettrait la collecte, l’utilisation et la communication de divers renseignements potentiellement très sensibles dans le but de prendre des décrets, des arrêtés et des règlements visant à protéger les infrastructures essentielles contre les cybermenaces.
  • Bien qu’il soit essentiel que le gouvernement obtienne les renseignements dont il a besoin pour atteindre les objectifs de la loi, l’absence de limites quant à leur conservation crée un risque que les renseignements puissent être conservés dans les cas où le critère requis n’est pas (ou n’est plus) respecté.
  • Les amendements apportés à un autre endroit du projet de loi auraient atténué ce risque en ajoutant des règles sur la conservation à la Loi sur la protection des cybersystèmes essentiels, mais ces règles ont par la suite été supprimées du projet de loi à l’étape de la troisième lecture.
  • À mon avis, l’ajout de règles sur la conservation des renseignements personnels qui pourraient être recueillis, utilisés ou communiqués au titre de la loi favoriserait la protection de la vie privée.

Contexte

  • Le Comité permanent de la sécurité publique et nationale (SECU) a ajouté une exigence selon laquelle toute information recueillie ou obtenue en vertu du paragraphe 23(1) de la Loi sur la protection des cybersystèmes essentiels ne doit être conservée « que pendant la durée nécessaire » pour prendre, modifier, révoquer des décrets, ou vérifier le respect de ceux-ci, et une exigence connexe visant à informer les exploitants désignés de la période de conservation. Ces amendements ont toutefois été supprimés à l’étape de la troisième lecture du projet de loi (aucune justification n’a été consignée)
  • Au cours de l’étude article par article par le comité SECU, une motion du Bloc Québécois visant à ajouter une exigence de conservation semblable dans la Loi sur les télécommunications a été rejetée; selon un député libéral, l’amendement à l’article 15.71 visant à préciser que la Loi sur la protection des renseignements personnels (LPRP) s’applique était une façon plus simple d’arriver au même résultat.
  • Toutefois, cette référence à la LPRP ne fait que confirmer un statu quo; elle n’impose aucune obligation de limiter la conservation au-delà de l’exigence énoncée au paragraphe 6(1) de la LPRP selon laquelle les renseignements personnels qui ont été utilisés par une institution fédérale à des fins administratives doivent être conservés « pendant une période, déterminée par règlement » (actuellement deux ans).

Désignation des renseignements personnels et des renseignements dépersonnalisés comme étant des renseignements confidentiels

Notes d’allocution

  • Le Comité permanent de la sécurité publique et nationale a amendé le projet de loi C‑26 pour ajouter les renseignements personnels et les renseignements dépersonnalisés comme des catégories pouvant être désignées comme des renseignements confidentiels aux termes de l’article 15.5 de la Loi sur les télécommunications.
  • Comme cet amendement établira l’obligation que les renseignements désignés comme confidentiels soient traités comme tels, il favorise la protection de la vie privée. Par exemple, selon le paragraphe 15.5(2) de la Loi sur les télécommunications, les renseignements confidentiels ne peuvent pas être communiqués, sauf dans certaines exceptions.
  • En revanche, les renseignements personnels et les renseignements dépersonnalisés n’ont pas été ajoutés à la définition de « renseignements confidentiels » qui figure à l’article 2 de la Loi sur la protection des cybersystèmes essentiels, où le terme se rapporte principalement aux vulnérabilités des cybersystèmes essentiels, aux méthodes employées pour leur protection et aux renseignements commerciaux sensibles.
  • Compte tenu de cela, une option que le Comité pourrait envisager serait d’exiger que les renseignements personnels et les renseignements dépersonnalisés soient, dans la mesure du possible, supprimés avant toute communication effectuée au titre de la Loi sur la protection des cybersystèmes essentiels.

Contexte

  • L’ajout des renseignements personnels et des renseignements dépersonnalisés comme motifs de confidentialité dans la Loi sur les télécommunications répond à la recommandation d’une coalition de groupes de défense des libertés civiles qui a également demandé à au Comité permanent de la sécurité publique et nationale (SECU) d’interdire la communication à l’étranger de ces renseignements.
  • Les exceptions à l’interdiction de communiquer des renseignements confidentiels concernent en grande partie les communications au Canada par des acteurs gouvernementaux. Cependant, elles pourraient également s’appliquer aux communications à des administrations étrangères, par exemple, lorsque la personne qui a désigné les renseignements comme confidentiels consent à leur communication ou, au besoin, pour sécuriser le système de télécommunication face à certaines menaces (paragraphe 15.5(3)).
  • Les groupes de défense des libertés civiles ont également recommandé d’ajouter les renseignements personnels et les renseignements dépersonnalisés en tant que catégories de renseignements confidentiels au titre de la Loi sur la protection des cybersystèmes essentiels, ce qui ferait en sorte que l’interdiction de communication prévue par l’article 26 s’appliquerait à eux (sous réserve d’exceptions).
  • L’option de rechange proposée pour exiger le retrait des renseignements personnels avant de faire une communication au titre de la Loi sur la protection des cybersystèmes essentiels est fondée sur des exigences sembables figurant dans la loi sur l’échange de renseignements sur la cybersécurité (Cybersecurity Information Sharing Act) des États-Unis (p. ex. au paragraphe 103b)(1)).

Caractère raisonnable et proportionnalité

Notes d’allocution

  • Bien qu’il ne s’agisse pas actuellement d’une exigence dans les lois fédérales sur la protection des renseignements personnels, le Commissariat a toujours préconisé les critères de nécessité et de proportionnalité pour la communication de renseignements. Ni les modifications proposées à la Loi sur les télécommunications ni celles proposées à la Loi sur la protection des cybersystèmes essentiels de cybersécurité n’exigeraient systématiquement ce double critère.
  • Un critère clé pour la collecte de renseignements dans les modifications qui figurent à l’article 15.4 de la Loi sur les télécommunications est notamment celui des « motifs raisonnables de croire » que les renseignements sont « pertinents » aux fins de prise d’un décret ou d’un arrêté, ou de vérification de la conformité. Dans les articles 23, 26 et 28 de la Loi sur la protection des cybersystèmes essentiels, il est question en grande partie de l’exigence du critère de nécessité, mais pas de celui de proportionnalité.
  • J’encourage le Comité à envisager les approches d’autres juridictions, comme le Royaume-Uni, qui selon l’article 6 du règlement de 2018 sur les réseaux et les systèmes d’information (ou Network and Information Systems Regulations 2018) permet l’échange de renseignements seulement lorsque cela est nécessaire à des fins précises et que c’est pertinent et proportionnel de le faire à ces fins.

Contexte

  • Les motifs raisonnables de croire sont une norme d’enquête courante qui exige un fondement objectif pour une croyance fondée sur des renseignements convaincants et crédibles.
  • L’article 15.4 de la Loi sur les télécommunications permet au ministre de l’Industrie d’exiger qu’on lui fournisse des renseignements qu’il croit, pour des motifs raisonnables, pertinents aux fins de la prise de décrets ou d’arrêtés, ou de la vérification de la conformité. Pour sa part, l’article 15.6 de la Loi, qui permet l’échange de renseignements entre les autorités gouvernementales énumérées dans l’article sous forme de liste, impose un critère de nécessité.
  • Critères pour l’échange de renseignements dans la Loi sur la protection des cybersystèmes essentiels : Les articles 23 (sur l’échange de renseignements entre les acteurs gouvernementaux), 26 (sur les interdictions visant la communication des renseignements) et 28 (sur la communication de renseignements par des organismes réglementaires appropriés) contiennent tous un critère de nécessité, mais pas de proportionnalité. Les articles 27 (sur l’échange de renseignements au titre d’accords écrits) et 29 (sur la collecte de renseignements par les organismes réglementaires appropriés) ne prévoient pas de critère de nécessité ou de proportionnalité.
  • La proportionnalité est absente de la Loi sur la protection des cybersystèmes essentiels, mais les modifications au pouvoir de prendre des décrets de la Loi sur les télécommunications exigeraient que la portée et la teneur des décrets soient « raisonnables à la gravité des menaces » (articles 15.1 et 15.2), ce qui est de façon analytique semblable à la proportionnalité.

Contrôle judiciaire

Notes d’allocution

  • Bien que les directives, les décrets et les arrêtés concernant la cybersécurité puissent faire l’objet d’un contrôle judiciaire, les audiences de contrôle judiciaire peuvent être tenues en secret.
  • Même si le projet de loi C‑26 contient des règles uniques régissant les contrôles judiciaires, celles-ci seront abrogées lors de l’entrée en vigueur du projet de loi en coordonnant les amendements contenus dans le projet de loi C-70 sur la Loi concernant la lutte contre l’ingérence étrangère, une loi qui a reçu la sanction royale en juin dernier.
  • La section 3 de la partie 2 du projet de loi C-70 a modifié la Loi sur la preuve au Canada afin de créer un régime général pour traiter les renseignements qui concernent les relations internationales, la défense nationale ou la sécurité nationale dans le cadre de certaines « instances fédérales ».
  • Les amendements relatifs au contrôle judiciaire dans les deux projets de loi concernent des droits protégés par la Charte canadienne des droits et libertés, comme la liberté d’expression (qui figure à l’alinéa 2b)) et le droit de présenter une défense pleine et entière (qui figure à l’article 7 et à l’alinéa 11d)). Du point de vue de la protection de la vie privée, ils soulèvent également des enjeux de transparence et d’accès.
  • Cela dit, même si je crois que les dispositions des deux projets de loi sont défendables compte tenu des intérêts stratégiques pressants, je préfère le régime général créé par le projet de loi C-70 à celui précis proposé dans le projet de loi C‑26 (qui,au titre du projet de loi, s’appliquerait exclusivement à certains décrets, arrêtés et directives concernant la cybersécurité).

Contexte

  • Dispositions du projet de loi C‑26 (qui seront abrogées) : Les règles relatives au contrôle judiciaire des arrêtés, des décrets et des directives sont énoncées à l’article 15.9 proposé de la Loi sur les télécommunications et à l’article 145 de la Loi sur la protection des cybersystèmes essentiels, respectivement. Elles prévoient le refus de communiquer des renseignements aux parties concernées, notamment si des renseignements personnels ont été recueillis, utilisés ou communiqués.
  • Modifications découlant du projet de loi C-70 : Au lieu de ce qui précède, le projet de loi C-70 a modifié la Loi sur la preuve au Canada afin d’établir un régime d’application générale régissant la communication, la protection et l’utilisation de renseignements sensibles ou potentiellement préjudiciables dans le cadre de procédures administratives devant la Cour fédérale ou la Cour d’appel fédérale (articles 38.2 à 38.45).
  • Ce régime prévoit, entre autres, la nomination d’un conseiller juridique spécial dont le rôle est de protéger les intérêts des parties non gouvernementales lorsque des instances doivent faire l’objet d’une confidentialité accrue (articles 38.34 à 38.35).

Obligations des secteurs public et privé en matière de signalement des atteintes

Notes d’allocution

  • Les organisations du secteur privé assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques sont tenues de signaler les atteintes à la vie privée au Commissariat à la protection de la vie privée du Canada lorsqu’il existe un risque réel de préjudice grave pour un individu.
  • À l’inverse, les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels ne sont tenues de signaler ces atteintes que conformément à la politique du Conseil du Trésor. J’ai donc recommandé que les obligations de signalement des atteintes aient force de loi en vertu d’une Loi sur la protection des renseignements personnels modernisée.
  • De plus en plus, les organisations tierces qui fournissent des services aux secteurs public et privé (p. ex. des services informatiques, de stockage infonuagique ou de réinstallation) sont ciblées dans le cadre de cyberattaques qui peuvent avoir un effet d’entraînement sur plusieurs organisations clientes. C’est ce qui s’est produit, par exemple, dans le cas de l’atteinte concernant BGRS et Sirva, et des incidents visant MOVEit et GoAnywhere.
  • Le Commissariat à la protection de la vie privée du Canada estime qu’il est préoccupant que, au titre de la Loi sur la protection des renseignements personnels et les documents électroniques, les fournisseurs de services n’ont pas toujours signalé directement au Commissariat les atteintes à la vie privée, ce qui a entraîné une diminution de la transparence globale. Nous avons recommandé l’ajout d’une obligation de signalement plus explicite pour les fournisseurs de services dans le projet de loi C-27.

Contexte

  • Conformément à la section 4.2.12 de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor, les organisations fédérales assujetties à la Loi sur la protection des renseignements personnels doivent signaler les atteintes substantielles à la vie privée au Commissariat au plus tard sept jours après la détermination qu’une atteinte est substantielle (une « atteinte substantielle à la vie privée » s’entend d’une atteinte qui pourrait vraisemblablement entraîner un risque réel de préjudice grave pour une personne).
  • Conformément au paragraphe 10.1(1) de la Loi sur la protection des renseignements personnels et les documents électroniques, les organisations doivent signaler les atteintes au Commissariat le plus rapidement possible après avoir déterminé qu’il y a un risque réel de préjudice grave à l’endroit d’un individu. Le risque réel de préjudice grave est déterminé en fonction du degré de sensibilité des renseignements personnels et de la probabilité que les renseignements personnels aient été mal utilisés ou le seront.
  • Le Commissariat continue de constater un écart important entre les secteurs privé et public en ce qui concerne les atteintes à la vie privée impliquant des cyberincidents. En 2023-2024, 321 atteintes ont été signalées au Commissariat à la protection de la vie privée du Canada par le secteur privé, et seulement 37 atteintes lui ont été signalées par des institutions fédérales, dont 33 concernaient un seul incident survenu à BGRS, un fournisseur de services de réinstallation du gouvernement.

Statistiques et tendances relatives aux atteintes

Notes d’allocution

  • Les signalements d’atteintes à la vie privée transmis au Commissariat à la protection de la vie privée du Canada sont en hausse, notamment des atteintes causées par des cyberincidents.
  • En 2023-2024, 561 atteintes ont été signalées au Commissariat par des institutions assujetties à la Loi sur la protection des renseignements personnels et 693 atteintes ont été signalées au titre de la Loi sur la protection des renseignements et les documents électroniques. Ce total de 1 254 atteintes signalées représente une augmentation de 28 % par rapport à l’exercice précédent.
  • Les atteintes à la vie privée signalées en 2023-2024 ont touché près de 25 millions de comptes canadiens, soit deux fois plus de comptes que l’année précédente.
  • Au cours des six premiers mois de 2024-2025, le Commissariat a constaté une augmentation de 15 % du nombre total signalements d’atteinte reçus des secteurs public et privé combinés par rapport à la même période l’an dernier, si l’on exclut les quelques 31 000 incidents de l’Agence du revenu du Canada ayant fait l’objet d’un même signalement en mai 2024.
  • En ce qui concerne les cyberincidents dans les secteurs visés par le projet de loi C‑26, 26 atteintes nous ont été signalées à ce jour cette année et 107 atteintes ont été signalées au total depuis 2022. Ces 107 signalements représentent 14 % de tous les cyberincidents signalés au Commissariat au titre de la Loi sur la protection des renseignements personnels et les documents électroniques depuis 2022.

Contexte

Atteintes à la vie privée signalées au Commissariat
Exercice LPRPDE LPRP Total Signalement des cyberincidents liés aux infrastructures essentielles et de tous les cyberincidents liés à la LPRPDE
2024-2025* 354 370 724 26 sur 170 (15 %)
2023-2024 693 561 1 254 34 sur 321 (11 %)
2022-2023 681 298 979 47 sur 274 (17 %)
Total 1 728 1 229 2 957 107 sur 765 (14 %)
* En date du 30 septembre 2024.
  • Les infrastructures essentielles, telles qu’elles sont définies dans le projet de loi C‑26 comprennent les services de télécommunications, les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux, les systèmes d’énergie nucléaire, les systèmes de transport qui relèvent de la compétence législative du Parlement, les systèmes bancaires, et les systèmes de compensations et de règlements.

Atteintes à la vie privée à l’Agence du revenu du Canada

Notes d’allocution

  • En mai 2024, l’Agence du revenu du Canada a signalé au Commissariat à la protection de la vie privée du Canada plus de 31 000 atteintes à la vie privée liées à des cyberattaques.
  • Les atteintes auraient eu lieu sur une période prolongée, et certaines remonteraient à 2020.
  • Depuis que les atteintes ont été signalées, le Commissariat communique régulièrement avec l’Agence du revenu du Canada pour en savoir plus sur la façon dont celle-ci intervient et pour orienter les prochaines étapes du Commissariat. L’Agence a collaboré.
  • Le 29 octobre, après avoir reçu une plainte, j’ai lancé une enquête sur les atteintes à la vie privée à l’Agence du revenu du Canada. L’enquête porte sur des cyberattaques qui ont mené à plus de 31 000 atteintes à la vie privée, dont certaines qui remontent à 2020.
  • Les ministères et les organismes fédéraux détiennent des renseignements de nature sensible, y compris les renseignements personnels de millions de Canadiennes et de Canadiens, faisant de ces derniers une cible de choix lors de cyberattaques. C’est pourquoi le Commissariat s’attend à ce qu’ils aient en place des mesures de protection rigoureuses et des processus adéquats d’intervention en cas d’atteinte.

Contexte

  • L’enquête, qui a été lancée à la suite de la réception d’une plainte, visera à déterminer si l’Agence du revenu du Canada (ARC) a respecté ses obligations prévues par la Loi sur la protection des renseignements personnels.
  • Les institutions fédérales sont tenues de signaler les atteintes conformément aux politiques et aux directives du Secrétariat du Conseil du Trésor, notamment à la Politique sur la protection de la vie privée (article 4.2.12) – il ne s’agit pas actuellement d’une exigence légale prévue par la Loi sur la protection des renseignements personnels.
  • Le Secteur de la conformité a tenu plusieurs réunions avec l’ARC afin de mieux comprendre les atteintes et d’obtenir des précisions sur comment l’ARC avise les personnes touchées et sur les efforts continus qu’elle mène pour corriger et atténuer la situation.

Incidence du projet de loi C‑26 sur les atteintes concernant l’Agence du revenu du Canada

Notes d’allocution

  • La Loi sur la protection des cybersystèmes essentiels vise à protéger les cybersystèmes qui, s’ils sont compromis, pourraient nuire à la continuité ou à la sécurité des services de télécommunications, des systèmes bancaires, des systèmes d’énergie, des systèmes de transports et d’autres systèmes et services essentiels qui relèvent de la compétence législative du Parlement.
  • Bien que la Loi sur la protection des cybersystèmes essentiels ne s’applique pas aux organisations fédérales comme l’Agence du revenu du Canada, elles sont tenues de signaler les atteintes substantielles à la vie privée au Commissariat à la protection de la vie privée du Canada et au Secrétariat du Conseil du Trésor conformément à l’article 4.2.12 de la Politique sur la protection de la vie privée du Secrétariat du Conseil du Trésor.
  • Le Commissariat a récemment lancé une enquête sur l’Agence du revenu du Canada relativement à des cyberattaques qui auraient mené à plus de 31 000 atteintes à la vie privée, dont certaines remonteraient à 2020. Comme l’enquête est en cours, je ne peux pas fournir d’autres commentaires pour le moment.

Contexte

  • La Loi sur la protection des cybersystèmes essentiels s’intéresse aux cybersystèmes dont l’importance est si cruciale pour d’autres systèmes et services essentiels que leur perturbation pourrait avoir de graves conséquences pour la sécurité nationale ou la sécurité publique.
  • La Loi sur la protection des cybersystèmes essentiels autorise le gouverneur en conseil à désigner les services ou les systèmes des secteurs sous réglementation fédérale comme « critiques » et à établir les catégories d’exploitants de ces systèmes et services qui seront assujettis à la Loi (« exploitants désignés ») (article 6).
  • Conformément à l’article 17 de la Loi sur la protection des cybersystèmes essentiels, les exploitants désignés seraient tenus de déclarer les incidents de cybersécurité au Centre de la sécurité des télécommunications dans les délais réglementaires (ne devant pas dépasser 72 heures).
  • Conformément à l’article 18, les exploitants désignés devraient également aviser l’organisme réglementaire qui supervise leur secteur (p. ex. le ministre de l’Industrie, le ministre des Transports, le surintendant des institutions financières, la Banque du Canada, la Commission canadienne de sûreté nucléaire ou la Régie de l’énergie du Canada).
  • Comme il est indiqué à l’annexe 1 de la Loi sur la protection des cybersystèmes essentiels, les systèmes et services critiques qui sont actuellement visés comprennent 1) les services de télécommunications, 2) les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux, 3) les systèmes d’énergie nucléaire, 4) les systèmes de transport, 5) les systèmes bancaires et 6) les systèmes de compensations et de règlements.
  • De nombreux exploitants désignés au sens de la Loi sur la protection des cybersystèmes essentiels seraient également assujettis aux obligations de la Loi sur la protection des renseignements personnels et les documents électroniques en matière de signalement des atteintes (article 10.1), mais le Commissariat à la protection de la vie privée du Canada n’a aucun rôle à jouer à cet effet au titre de la Loi sur la protection des cybersystèmes essentiels.

Comparaisons avec d’autres pays

Notes d’allocution

  • Certains régimes de cybersécurité dans d’autres pays comportent des éléments de protection de la vie privée qui sont manquants dans le projet de loi C‑26. Par exemple :
  • Collaboration en matière de réglementation : Conformément à l’article 35 de la directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (SRI2), lorsque les autorités d’application de la loi en matière de cybersécurité sont mises au courant d’un cyberincident qui pourrait constituer une atteinte à la protection des données personnelles, elles doivent en informer les autorités de protection des données. Le projet de loi C‑26 ne prévoit pas un niveau comparable de collaboration en matière de réglementation.
  • Critère clair de nécessité et de proportionnalité : Au Royaume-Uni, le règlement de 2018 sur les réseaux et les systèmes d’information (ou Network and Information Systems Regulations 2018) exige que l’échange de renseignements liés à la cybersécurité entre les autorités d’application de la loi soit nécessaire, pertinent et proportionnel. Le projet de loi C‑26 n’établit toujours pas de critère aussi rigoureux.
  • Exigences en matière d’orientation : Selon l’article 105 de la loi sur l’échange de renseignements sur la cybersécurité (Cybersecurity Information Sharing Act) des États-Unis, le procureur général et le Département de la sécurité intérieure doivent publier des directives obligatoires qui traitent de la protection de la vie privée et des autres libertés civiles. L’inclusion dans le projet de loi C‑26 d’une exigence obligatoire concernant les orientations à l’intention du public pourrait favoriser la conformité et réduire les risques pour la vie privée.
  • Renforcement des mesures de protection de la vie privée : La loi sur l’échange de renseignements sur la cybersécurité des États-Unis a également d’autres caractéristiques de protection de la vie privée qui amélioreraient le projet de loi C‑26, notamment l’exigence que l’utilisation, la conservation et la communication de renseignements sur les cybermenaces se limitent à des fins définies par la loi (articles 103 à 105) et une exigence pour les entités fédérales et non fédérales de retirer des renseignements personnels avant de communiquer des renseignements sur les cybermenaces (articles 103 et 104).

Contexte

  • Exigences en matière d’orientation : Bien que le projet de loi C‑26 ne prévoie pas d’orientation, l’alinéa 24d) de la Loi sur la protection des renseignements personnels et les documents électroniques fournirait au Commissariat à la protection de la vie privée du Canada une certaine marge de manœuvre pour établir des lignes directrices non obligatoires.

Lois provinciales et territoriales sur la cybersécurité

Notes d’allocution

  • La cybersécurité relève des compétences fédérales et provinciales. Certaines provinces ont adopté ou proposé des lois sur la cybersécurité, mais aucune n’est aussi complète que le projet de loi C‑26.
  • En 2022, le Québec a adopté la Loi sur le ministère de la Cybersécurité et du Numérique. Au titre de cette loi, le nouveau ministre a un rôle de coordination des politiques visant la cybersécurité et la technologie numérique.
  • En Ontario, le projet de loi 194 a récemment été présenté à l’Assemblée législative et a été renvoyé à un comité. L’annexe 1 du projet de loi édicterait la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique, qui prévoit aux articles 2 à 4 des pouvoirs réglementaires et des directives ministérielles concernant la cybersécurité dans le secteur public.

Contexte

  • Selon son rapport annuel, au cours de l’exercice 2023-2024, deux grands objectifs liés à la cybersécurité du ministère de la Cybersécurité et du Numérique du Québec étaient 1) de réduire l’efficacité des attaques de rançongiciels par l’adoption de comportements cybersécuritaires; 2) de rehausser le niveau de protection des actifs informationnels de l’État contre les cyberattaques.
  • Le 29 octobre 2024, le projet de loi 194 de l’Ontario a été renvoyé au Comité permanent de la justice. Il a également fait l’objet d’un mémoire, que la commissaire à l’information et à la protection de la vie privée de l’Ontario a présenté le 24 juin 2024.
  • En ce qui concerne le volet sur la cybersécurité du projet de loi 194, la commissaire a formulé les recommandations générales suivantes :
    • harmoniser le projet de loi avec le projet de loi C‑26 en définissant les exigences de base en matière de cybersécurité dans la loi (plutôt que dans les règlements ou les directives);
    • exiger qu’en cas d’incident de cybersécurité mettant en cause ou pouvant mettre en cause des renseignements personnels, le commissaire à l’information et à la protection de la vie privée soit informé de ces incidents;
    • établir une exigence ministérielle de signalement (pour le ministre des Services au public et aux entreprises).

Table des matières

Recommandations antérieures du Commissariat visant le projet de loi C-26 (comité SECU)

Position du Commissariat sur les amendements du comité SECU au projet de loi C-26

Recommandations actuelles du Commissariat sur le projet de loi C-26

Rôle du Commissariat au titre du projet de loi C-26

Rôle du Commissariat en matière de cybersécurité (général)

Préoccupations des parties prenantes au sujet des répercussions sur la vie privée que pourrait avoir le projet de loi C-26

Pouvoir du gouvernement de prendre des arrêtés et des décrets en vertu du projet de loi C-26

Pouvoirs de collecte et de communication dans le projet de loi C-26

Accords visant l’échange de renseignements prévus par le projet de loi C-26

Exigences de conservation prévues par le projet de loi C-26

Désignation des renseignements personnels et des renseignements dépersonnalisés comme étant des renseignements confidentiels

Caractère raisonnable et proportionnalité

Contrôle judiciaire

Obligations des secteurs public et privé en matière de signalement des atteintes

Statistiques et tendances relatives aux atteintes

Atteintes à la vie privée à l’Agence du revenu du Canada

Incidence du projet de loi C-26 sur les atteintes concernant l’Agence du revenu du Canada

Comparaisons avec d’autres pays

Lois provinciales et territoriales sur la cybersécurité

Date de modification :