Fiches des enjeux consolidées sur le projet de loi C-8

Recommandations antérieures du Commissariat visant le projet de loi C‑26

Notes d’allocution

• Lorsque j’ai comparu au sujet du projet de loi C‑26, j’ai proposé différentes recommandations visant à atténuer certains des risques liés à la protection de la vie privée, notamment :
  • l’imposition d’une exigence générale selon laquelle toute collecte, utilisation ou communication de renseignements personnels devrait être à la fois nécessaire et proportionnelle (ou d’exigences selon lesquelles ces renseignements personnels ne seraient pas conservés plus longtemps que ce qui est strictement nécessaire);
  • l’inclusion de mesures minimales de protection de la vie privée dans les accords visant l’échange de renseignements avec d’autres juridictions;
  • la notification du Commissariat (possiblement par le Centre de la sécurité des télécommunications [CST]) en cas de cyberincident entraînant une atteinte substantielle à la vie privée, et ce, dans le but d’accroître la collaboration entre les organismes de réglementation.

Contexte

• Bon nombre des pouvoirs de collecte et de communication prévus dans le projet de loi C‑8 imposent un critère de nécessité (p. ex. dans la Loi sur la protection des cybersystèmes essentiels [LPCE], paragraphe 28(1)); d’autres sont fondés sur la pertinence (p. ex. dans la Loi sur les télécommunications [LT], article 15.4 et paragraphe 15.7(1)) ou sur un critère mixte (p. ex. dans la LPCE, paragraphe 23(1)). Une norme plus uniforme en matière de nécessité et de proportionnalité aiderait à réduire le risque que des renseignements personnels soient recueillis de façon excessive, ou utilisés ou communiqués de façon inappropriée.
• À l’étape de l’étude en comité, la LPCE a été modifiée afin d’indiquer que toute information recueillie ou obtenue en vertu du paragraphe 23(1) ne doit être conservée « que pendant la durée nécessaire » aux fins des décrets. Cette formulation a toutefois été supprimée à l’étape de la troisième lecture. (Une motion visant à insérer une exigence semblable dans la LT n’a pas été adoptée.)
• À la suite de ma comparution en novembre 2024 devant le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants (SECD) au sujet du projet de loi C‑26, la sénatrice Denise Batters (PCC) a proposé un amendement visant à obliger le CST à transmettre au Commissariat les rapports d’incidents de cybersécurité susceptibles d’entraîner des atteintes substantielles à la vie privée.
• Le parrain du projet de loi au Sénat a indiqué que les exploitants sont déjà tenus de signaler de tels incidents au Commissariat en vertu du paragraphe 10.1(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE); que les rapports d’incidents risquent d’être très techniques et peu utiles au Commissariat; et que cette exigence pourrait nuire au rôle de conseiller impartial du CST et ainsi décourager les exploitants désignés de signaler les incidents. La motion a été rejetée à la majorité.
• Même si la LPRPDE prévoit déjà des exigences en matière de signalement des atteintes, l’octroi au Commissariat d’un pouvoir d’obtention de renseignements sur les cyberincidents qui ont une incidence sur la vie privée lui permettrait d’en savoir plus sur les risques systémiques d’atteintes à la vie privée auxquels sont confrontés les exploitants de systèmes ou de services critiques.

Préparé par : PRAP

---

Avis du Commissariat sur les amendements au projet de loi C‑26

Notes d’allocution

• La législature précédente a adopté plusieurs amendements de fond à l’ancien projet de loi C‑26 qui ont permis d’assurer un meilleur équilibre entre les objectifs de cybersécurité et les droits et intérêts en matière de protection de la vie privée.
• Je suis heureux de constater que toutes ces améliorations ont été intégrées au projet de loi C‑8, notamment des balises supplémentaires relatives aux pouvoirs d’adopter des arrêtés et des décrets et aux obligations en matière d’avis et de déclaration.
• Toutefois, le projet de loi C‑8 comporte certains risques pour la vie privée qui existaient aussi dans le projet de loi C‑26, par exemple l’absence d’une norme uniforme concernant les critères de nécessité et de proportionnalité pour la collecte, l’utilisation et la communication de renseignements personnels.

Contexte

• Parmi les amendements dignes de mention qui ont été apportés au projet de loi C‑26 en matière de protection de la vie privée (et qui ont été conservés dans le projet de loi C‑8), mentionnons :
  • l’ajout de mesures de protection en ce qui a trait aux décrets du gouverneur en conseil et aux arrêtés ministériels pris en vertu de la LT, y compris un critère de motif raisonnable (paragraphes 15.1(1) et 15.2(1)), d’une exigence de consulter les personnes indiquées avant de prendre un décret ou un arrêté (paragraphes 15.1(1) et 15.2(1)), d’une exigence selon laquelle la portée et la teneur du décret ou de l’arrêté sont raisonnables face à la gravité de la menace (paragraphes 15.1(2) et 15.2(3)), d’une liste de facteurs dont il faut tenir compte avant de prendre un décret ou un arrêté (paragraphes 15.1(4) et 15.2(6)), d’une exigence en matière de déclaration (article 15.21) et d’une obligation d’aviser le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) ainsi que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) de la prise de tout décret ou arrêté qui comprend une disposition interdisant la divulgation de l’existence de celui-ci (article 15.22);
  • l’ajout de mesures de protection en ce qui a trait aux directives que peut donner le gouverneur en conseil au titre de la LPCE, y compris un critère de motif raisonnable de croire que les directives sont nécessaires (paragraphe 20(1)), d’une liste de facteurs dont il faut tenir compte (paragraphe 20(3)), d’une obligation d’aviser le CPSNR et l’OSSNR de la prise de tout décret (paragraphe 20(5)) et d’exigences élargies en matière de déclaration (paragraphes 147(2) et 147(3));
  • l’ajout des renseignements personnels et des renseignements dépersonnalisés comme catégories de renseignements qui peuvent être désignés comme confidentiels au titre de la LT (paragraphe 15.5(1)), ce qui offre des mesures de protection supplémentaires pour les renseignements désignés comme tels, y compris une exclusion quant à la communication internationale au titre du paragraphe 15.7(1);
  • l’ajout d’un libellé précisant que les renseignements confidentiels recueillis ou obtenus au titre des lois doivent être traités comme tels (paragraphe 15.6(2) de la LT; paragraphe 23(2) de la LPCE);
  • l’ajout de renvois à la Loi sur la protection des renseignements personnels (LPRP) dans la LT afin d’en confirmer l’applicabilité (article 15.71) et dans le préambule de la LPCE afin d’établir la protection de la vie privée en tant que principe directeur aux fins d’interprétation.

Préparé par : PRAP

---

Portée et objectifs du projet de loi C‑8

Notes d’allocution

• Le Commissariat appuie l’objectif du projet de loi C‑8 de protéger les systèmes et les services essentiels à la sécurité nationale ou à la sécurité publique contre les menaces et les vulnérabilités liées à la cybersécurité.
• Des mesures de protection renforcées en matière de cybersécurité peuvent également favoriser la protection de la vie privée en réduisant la probabilité et l’incidence des atteintes touchant les données personnelles.
• Toutefois, les nouveaux pouvoirs et les nouvelles autorisations accordés au nom de la cybersécurité doivent avoir une portée adéquate et être assujettis à des mesures de protection appropriées afin de limiter le risque de répercussions imprévues sur la vie privée.
• Plusieurs amendements à l’ancien projet de loi C‑26 ont été adoptés dans cet esprit, mais les possibles répercussions sur la vie privée du projet de loi C‑8 pourraient être limitées davantage par l’ajout d’une exigence générale selon laquelle toute collecte, utilisation ou communication de renseignements personnels devrait être nécessaire et proportionnelle.

Contexte

• Comme c’était le cas dans le projet de loi C‑26, la partie 1 du projet de loi C‑8 modifierait la LT afin d’ajouter la promotion de la sécurité du système canadien de télécommunication aux objectifs de la politique canadienne de télécommunication et, à cette fin, de conférer au gouverneur en conseil le pouvoir de prendre des décrets et au ministre de l’Industrie le pouvoir de prendre des arrêtés.
• Le projet de loi modifierait aussi la LT afin de créer de nouveaux pouvoirs relatifs à la collecte et à la communication de renseignements par le ministre de l’Industrie, le ministre de la Sécurité publique, le ministre des Affaires étrangères, le ministre de la Défense nationale, le chef d’état-major de la défense, le CST, le Service canadien du renseignement de sécurité et le Conseil de la radiodiffusion et des télécommunications canadiennes.
• La partie 2 édicterait la LPCE, qui autoriserait le gouverneur en conseil à désigner certains services ou certains systèmes de secteurs sous réglementation fédérale comme étant « essentiels »; autoriserait le gouverneur en conseil à établir des catégories d’exploitants qui seraient assujettis à des directives et à des règlements en matière de cybersécurité; autoriserait le gouverneur en conseil à donner des directives de cybersécurité; et exigerait que les exploitants désignés établissent et mettent en œuvre des programmes de cybersécurité, atténuent les risques associés aux chaînes d’approvisionnement et signalent les incidents de cybersécurité.
• La loi vise entre autres les services de télécommunication, les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux, les systèmes d’énergie nucléaire, les systèmes de transport, les systèmes bancaires ainsi que les systèmes de compensations et de règlements (p. ex. pour les obligations de paiement).
• Le projet de loi établit aussi un cadre pour l’application et la conformité, y compris des pouvoirs d’entrée, des exigences en matière de tenue de documents, des sanctions administratives pécuniaires et des règles relatives au contrôle judiciaire.

Préparé par : PRAP

---

Risques d’atteintes à la vie privée toujours présents dans le projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 comprend tous les amendements apportés au projet de loi C‑26 à la dernière législature, mais il comporte aussi certains des risques liés à la protection de la vie privée que le projet de loi C‑26 présentait.
• L’évolution de la situation depuis l’introduction du projet de loi C‑26 a également fait ressortir d’autres risques, notamment la possibilité que les décrets et les arrêtés pris par le gouvernement en vertu du projet de loi C‑8 compromettent les protections électroniques des données.

Contexte

Parmi les risques importants d’atteinte à la vie privée qui pourraient découler du projet de loi C‑8, mentionnons :

• le manque d’uniformité des critères applicables à certains pouvoirs et à certaines autorisations qui pourraient avoir une incidence sur la protection de la vie privée. Contrairement à la LT, qui prévoit que la portée et la teneur d’un décret ou d’un arrêté doivent être raisonnables eu égard à la gravité de la menace, la LPCE (paragraphe 20(1)) ne comporte aucune exigence de proportionnalité en ce qui a trait aux directives du gouverneur en conseil. En outre, certaines autorisations en matière de collecte et de communication restent vastes (p. ex. l’article 15.4 de la LT, qui permettrait au ministre de l’Industrie d’exiger qu’on lui fournisse des renseignements à l’égard desquels il a des motifs raisonnables de croire qu’ils sont « pertinents » aux fins de la prise d’arrêtés ou de règlements).
• Défis en matière de surveillance et de responsabilité. Le projet de loi C‑8 établit des pouvoirs en matière d’échange de renseignements qui requièrent des accords écrits pour la communication de renseignements à d’autres administrations (LT, paragraphe 15.7(1); LPCE, paragraphe 27(1)), mais l’absence d’exigences plus contraignantes relativement au contenu entraîne un risque que des renseignements personnels soient par la suite communiqués de façon inappropriée ou encore utilisés ou traités de façon inadéquate par les destinataires. Les exigences du projet de loi en matière d’avis et de déclaration (LT, articles 15.21 et 15.22; LPCE, paragraphe 20(5) et article 147) contribuent à atténuer les enjeux de transparence, mais les dispositions de confidentialité (LT, paragraphes 15.1(3) et 15.2(5); LPCE, article 24) peuvent empêcher que des plaintes relatives à la protection de la vie privée soient déposées dans la mesure où une personne ne peut pas exercer un recours si elle ne sait pas qu’il y a eu une possible atteinte à ses droits.
• Occasions manquées de collaboration entre les organismes de réglementation et le Commissariat. Le projet de loi C‑8 impose des obligations de déclaration aux exploitants désignés (LPCE, articles 17 et 18), mais ne permet pas aux organismes de réglementation et aux autres organismes de surveillance d’assurer une coordination et d’échanger des renseignements avec le Commissariat lorsque cela pourrait être nécessaire pour que ce dernier puisse remplir efficacement son mandat.
• Vulnérabilités systémiques découlant des arrêtés et décrets du gouvernement. Le pouvoir octroyé au ministre dans la partie 1 (paragraphe 15.2(2)) permettrait au ministre de l’Industrie d’ordonner aux fournisseurs de services de télécommunication « de faire ou de s’abstenir de faire toute chose » nécessaire pour sécuriser le système canadien de télécommunication. Malgré les mesures de protection appliquées à ce pouvoir, il pourrait donner lieu à des arrêtés qui compromettraient délibérément ou incidemment les protections électroniques des données. (Par exemple, le gouvernement britannique aurait demandé à Apple de créer une « porte dérobée » dans son service de stockage infonuagique chiffré.)

Préparé par : PRAP

---

Pouvoirs de collecte et de communication dans le projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 permettrait à plusieurs institutions gouvernementales de recueillir et d’échanger des renseignements pour respecter les décrets, les arrêtés et les règlements visant à protéger les infrastructures essentielles contre les menaces et les vulnérabilités en matière de cybersécurité.
• Même si une grande partie de ces renseignements serait probablement technique, il peut être jugé nécessaire ou pertinent de recueillir ou d’échanger des renseignements personnels dans certaines circonstances, et ceux-ci relèvent des pouvoirs conférés par le projet de loi.
• Le projet de loi C‑8 comprend des mesures de protection qui contribuent à atténuer certains des risques d’atteinte à la vie privée qu’il pourrait entraîner. Toutefois, la mise en place d’une norme uniforme ou d’une exigence générale selon laquelle toute collecte, utilisation ou communication de renseignements personnels devrait être nécessaire et proportionnelle limiterait davantage le risque de collecte excessive, ou d’utilisation ou de communication inappropriée de renseignements personnels.

Contexte

• Le projet de loi C‑8 permettrait à différentes institutions fédérales de recueillir et d’échanger des renseignements jugés nécessaires ou, dans certains cas, pertinents pour la protection des télécommunications canadiennes et des cybersystèmes essentiels au Canada et à l’étranger.
• Les exemples pertinents à ce sujet de la LT comprennent l’article 15.4 [sur la fourniture de renseignements au ministre de l’Industrie], le paragraphe 15.6(1) [sur l’échange de renseignements entre des entités fédérales] et le paragraphe 15.7(1) [sur la communication de renseignements à d’autres administrations].
• Les exemples pertinents à ce sujet de la LPCE comprennent le paragraphe 23(1) [sur l’échange de renseignements entre des entités fédérales], le paragraphe 27(1) [sur les accords visant l’échange de renseignements entre des administrations], le paragraphe 28(1) [sur l’échange de renseignements entre des organismes réglementaires et le ministre de la Sécurité publique ou le ministre responsable] et l’article 29 [sur les demandes de renseignements provenant des organismes de réglementation].
• La législature précédente a adopté plusieurs amendements au projet de loi C‑26 pour limiter certains de ces pouvoirs : elle a notamment ajouté les renseignements personnels et les renseignements dépersonnalisés aux catégories de renseignements pouvant être désignés comme confidentiels aux termes de la LT modifiée (paragraphe 15.5(1)); ajouté une exigence de nécessité pour l’échange de renseignements entre les organismes réglementaires et les ministres effectué en vertu de la LPCE (paragraphe 28(1)); et précisé le libellé de certaines dispositions de la LPCE (p. ex. à l’alinéa 26(1)d) : « [si] la communication est nécessaire à toute fin liée à la protection des services critiques […] »).
• Cependant, d’autres pouvoirs en matière de renseignements prévus dans le projet de loi demeurent relativement larges, particulièrement ceux de l’article 15.4 et du paragraphe 15.7(1) de la LT et ceux du paragraphe 27(1) et de l’article 29 de la LPCE.

Préparé par : PRAP

---

Pouvoir de prendre des arrêtés et des décrets en vertu du projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 conférerait au gouvernement de vastes pouvoirs lui permettant d’obliger les fournisseurs de services de télécommunications et d’autres exploitants désignés de cybersystèmes essentiels à prendre les mesures prescrites contre les menaces et les vulnérabilités en matière de cybersécurité.
• Afin de réduire le risque que ces pouvoirs entraînent une collecte excessive, ou une utilisation ou une communication inappropriée de renseignements personnels, j’ai déjà recommandé que des critères et des limites plus stricts soient établis pour l’utilisation des pouvoirs.
• Le projet de loi C‑8 reprend plusieurs des changements positifs apportés au projet de loi C‑26 à cet égard, mais je crois que des amendements supplémentaires, y compris l’ajout d’une norme uniforme de nécessité et de proportionnalité, permettraient d’atténuer davantage les répercussions potentielles que ces pouvoirs peuvent avoir sur la vie privée.

Contexte

• Les paragraphes 15.1(1) et 15.2(1) de la LT modifiée autoriseraient le gouverneur en conseil et le ministre de l’Industrie à interdire aux fournisseurs de services de télécommunication d’utiliser certains produits ou services et à ordonner le retrait de leurs produits ou services de leurs réseaux ou installations.
• Le paragraphe 15.2(2) de la LT autoriserait le ministre à ordonner aux fournisseurs de services de télécommunication de prendre diverses mesures, y compris « de faire ou de s’abstenir de faire toute chose qu’il précise » s’il a des motifs raisonnables de croire qu’il est nécessaire de le faire pour sécuriser le système de télécommunications face à toute menace.
• Le paragraphe 20(1) de la LPCE permettrait au gouverneur en conseil de donner aux exploitants réglementés des directives en matière de cybersécurité s’il a des motifs raisonnables de croire qu’il est nécessaire de le faire pour protéger un cybersystème essentiel.
• La législature précédente a adopté un certain nombre d’amendements afin d’assortir le pouvoir de prendre des arrêtés et des décrets de mesures de protection, y compris des critères plus rigoureux, une liste des facteurs qui doivent être pris en compte, des obligations d’avis et des exigences élargies en matière de déclaration.
• Toutefois, notre recommandation précédente en faveur d’une norme plus uniforme et plus cohérente exigeant que toute collecte, utilisation ou communication de renseignements personnels soit à la fois nécessaire et proportionnelle n’a pas été adoptée.
• Dans la mesure où les arrêtés et les décrets pourraient nuire à la sécurité des réseaux, l’ajout d’une interdiction d’introduire « une vulnérabilité systémique dans les protections électroniques » (inspirée de la Loi sur le soutien en matière d’accès autorisé à de l’information du projet de loi C‑2) pourrait contribuer à atténuer ce risque.

Préparé par : PRAP

---

Caractère raisonnable et proportionnalité

Notes d’allocution

• La nécessité et la proportionnalité sont des principes de base du traitement des renseignements personnels qui contribuent à faire en sorte que les mesures sont à la fois justifiées et non excessives. Nombre des pouvoirs d’échange de renseignements proposés dans le projet de loi C‑8 ne sont pas assortis de tels critères.
• Un critère clé pour la collecte dans les modifications qui figurent à l’article 15.4 de la LT est notamment celui des « motifs raisonnables de croire » que les renseignements sont « pertinents » aux fins de prise d’un décret ou d’un arrêté, ou de vérification de la conformité. Dans les articles 23, 26 et 28 de la LPCE, il est question en grande partie de l’exigence du critère de nécessité, mais pas de celui de proportionnalité.
• J’encourage le Comité à envisager les approches d’autres juridictions, comme le Royaume-Uni, qui, selon l’article 6 du règlement de 2018 sur les réseaux et les systèmes d’information (ou Network and Information Systems Regulations 2018), permet l’échange de renseignements seulement lorsque cela est nécessaire à des fins précises et que c’est pertinent et proportionnel de le faire à ces fins.

Contexte

• Critères pour l’échange de renseignements dans la LT : L’article 15.4 permet au ministre de l’Industrie d’exiger qu’on lui fournisse des renseignements qu’il croit, pour des motifs raisonnables, pertinents aux fins de la prise d’arrêtés, ou de la vérification de la conformité. Les « motifs raisonnables de croire » sont une norme d’enquête courante qui exige un fondement objectif pour une croyance fondée sur des renseignements convaincants et crédibles. En revanche, le paragraphe 15.6(1) de la loi, qui permet l’échange de renseignements entre les autorités gouvernementales énumérées, impose un critère de nécessité.
• Critères pour l’échange de renseignements dans la LPCE : Les articles 23 (sur l’échange de renseignements entre les acteurs gouvernementaux), 26 (sur les interdictions visant la communication des renseignements) et 28 (sur la communication de renseignements par des organismes réglementaires appropriés) contiennent tous un critère de nécessité, mais pas de proportionnalité. Les articles 27 (sur l’échange de renseignements au titre d’accords écrits) et 29 (sur la collecte de renseignements par les organismes réglementaires appropriés) ne prévoient pas de critère de nécessité ou de proportionnalité.
• La proportionnalité est absente de la LPCE, mais les modifications au pouvoir de prendre des décrets ou des arrêtés de la LT exigeraient que la portée et la teneur des décrets et des arrêtés soient « raisonnables eu égard à la gravité de la menace » (paragraphes 15.1(2) et 15.2(3)), ce qui est de façon analytique semblable à la proportionnalité.

Préparé par : Services juridiques

---

Exigences de confidentialité (non-divulgation) du projet de loi C‑8

Notes d’allocution

• Les lois qui traitent de questions de sécurité nationale doivent établir un juste équilibre entre la confidentialité et la transparence.
• C’est pourquoi la législature précédente a adopté d’importants amendements au projet de loi C‑26, notamment l’obligation d’aviser le CPSNR et l’OSSNR de la prise de décrets et d’arrêtés confidentiels ainsi que des exigences élargies en matière de déclaration.
• Les décrets et les arrêtés font également l’objet d’un contrôle judiciaire, y compris les nouvelles règles prévues par la Loi sur la preuve au Canada relativement aux instances sécurisées de contrôle des décisions administratives.

Contexte

• Certaines parties prenantes ont exprimé des préoccupations quant au fait que les dispositions de non-divulgation comprises dans le projet de loi C‑8 permettraient au gouvernement de prendre des décrets et des arrêtés secrets sans surveillance ni obligation de rendre des comptes.
• Plus précisément, les paragraphes 15.1(3) et 15.2(5) de la LT permettraient au gouvernement d’inclure dans les décrets et les arrêtés une disposition interdisant d’en divulguer l’existence ou tout ou partie de leur contenu. Toutefois, l’article 15.22 exigerait que le gouvernement avise le CPSNR et l’OSSNR de la prise de tout décret ou de tout arrêté comprenant une telle disposition dans un délai de 90 jours.
• L’article 15.21 de la LT prévoit également des obligations strictes en matière de déclaration, notamment le nombre et la nature des décrets et des arrêtés pris, le nombre de fournisseurs de services de télécommunication concernés par un décret ou un arrêté, une description de la conformité desdits fournisseurs et « une explication de la nécessité des décrets ou des arrêtés, de leur caractère raisonnable et de leur utilité ».
• La LPCE interdirait aux exploitants de communiquer l’existence ou le contenu d’une directive de cybersécurité (article 24), mais elle contiendrait en parallèle une obligation d’aviser le CPSNR et l’OSSNR (paragraphe 20(5)) et des obligations de déclaration semblables (article 147).
• Le projet de loi C‑70, qui a reçu la sanction royale en juin 2024, a modifié la Loi sur la preuve au Canada pour créer un régime général de traitement des renseignements qui concernent les relations internationales, la défense nationale ou la sécurité nationale dans le cadre d’instances fédérales, qui s’appliquerait aux demandes de contrôle judiciaire déposées au titre du projet de loi C‑8.
• Tenant compte de l’équité et de la justice naturelle, ce régime permet la nomination d’un conseiller juridique spécial pour défendre les intérêts des parties non gouvernementales lorsque des renseignements sensibles et d’autres éléments de preuve ou des observations sont présentés à huis clos et en l’absence des parties non gouvernementales et de leurs avocats.

Préparé par : PRAP

---

Accords visant l’échange de renseignements prévus par le projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 permettrait à certaines institutions fédérales d’échanger des renseignements, notamment des renseignements personnels, à l’échelle nationale et internationale.
• Si une partie désigne comme confidentiels les renseignements que le ministre l’oblige à lui fournir au titre de la LT, leur communication selon un accord écrit au titre de la LT ne serait pas autorisée. Des renseignements peuvent être désignés comme confidentiels au motif qu’ils contiennent des renseignements personnels ou dépersonnalisés. Un accord officiel serait nécessaire pour un échange intergouvernemental, mais le projet de loi ne prévoit pas de mesures de protection de la vie privée pour de tels accords.
• Afin qu’il y ait une norme uniforme de protection de la vie privée lorsque des renseignements personnels sont échangés à l’échelle internationale, la loi pourrait établir des exigences minimales de protection de la vie privée pour les ententes écrites, notamment des mesures de protection adéquates, des périodes de conservation et des limites quant à l’utilisation secondaire et au transfert subséquent.

Contexte

• Le projet de loi C‑8 n’exige pas d’accords écrits pour les échanges de renseignements entre des personnes ou des entités autorisées au sein du gouvernement fédéral (alors que c’est ce que prévoit l’article 4.2.33 de la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor [SCT]).
• La partie 1 du projet de loi C‑8 permettrait au ministre de l’Industrie de communiquer à des gouvernements provinciaux ou étrangers des renseignements relatifs à la sécurité des télécommunications, mais uniquement aux termes d’un accord écrit (paragraphe 15.7(1)). Sous réserve d’exceptions limitées (consentement requis et caractère nécessaire aux fins de cybersécurité), la communication de renseignements désignés comme confidentiels serait interdite.
• En parallèle, la LPCE exige des accords écrits pour l’échange de renseignements pertinents avec des gouvernements provinciaux ou étrangers (paragraphe 27(1)). Sous réserve d’exceptions semblables, la communication de renseignements confidentiels à des gouvernements étrangers (mais pas à des gouvernements provinciaux) serait interdite.
• La LT et la LPCE définissent différemment le concept de « renseignements confidentiels ». Au titre de la LT, différentes catégories de renseignements – y compris les renseignements personnels et les renseignements dépersonnalisés – peuvent être désignées comme confidentielles (paragraphe 15.5(1)). La LPCE comprend une définition précise qui fait mention de la vulnérabilité des systèmes et des renseignements exclusifs ou délicats sur le plan commercial.
• Ni la LT ni la LPCE ne prescrivent de mesures minimales de protection de la vie privée en ce qui a trait aux accords d’échange de renseignements.

Préparé par : PRAP

---

Contrôle judiciaire

Notes d’allocution

• Je suis conscient que le projet de loi C‑8 exigerait que, dans le cadre d’un contrôle judiciaire, le juge remette tout renseignement retiré par le ministre et en assure la confidentialité, et qu’il serait interdit au juge de fonder sa décision sur les renseignements qui ont été retirés.
• Ces dispositions, de même que les récentes modifications apportées à la Loi sur la preuve au Canada par le projet de loi C‑70, la Loi sur la lutte contre l’ingérence étrangère, semblent destinées à résoudre ce qu’on appelle le « problème lié au renseignement et à la preuve », qui a été mis de l’avant tout récemment par le CPSNR dans son rapport spécial sur l’accès légal aux communications.
• D’autres personnes sont probablement mieux placées que moi pour dire si les dispositions du projet de loi C‑8 offrent un juste équilibre en ce qui concerne les libertés civiles et l’équité procédurale. Toutefois, je tiens à souligner que ces dispositions ne s’appliquent que dans un contexte relativement limité lié à la cybersécurité.

Contexte

• Le projet de loi C‑8 exigerait que, dans le cadre d’un contrôle judiciaire, le juge remette au ministre tout élément de preuve ou tout autre renseignement dont il a déterminé qu’il n’était pas pertinent ou que le ministre a retiré, et qu’il en garantisse la confidentialité. Dans les deux cas, il serait interdit au juge de fonder sa décision sur cet élément de preuve ou sur ce renseignement (LT, articles 15.9 et 15.91; LPCE, articles 145 et 146).
• Le projet de loi C‑70 a modifié la Loi sur la preuve au Canada afin d’établir un régime régissant la communication, la protection et l’utilisation de renseignements sensibles ou potentiellement préjudiciables dans le cadre de certaines instances devant la Cour fédérale ou la Cour d’appel fédérale (Loi sur la preuve au Canada, articles 38.2 à 38.45).
• Le « problème lié au renseignement et à la preuve » fait référence au risque que des techniques sensibles de collecte, des sources confidentielles ou des renseignements obtenus de partenaires étrangers soient divulgués de façon non autorisée en cour. Le CPSNR a demandé à plusieurs reprises au gouvernement de s’attaquer au problème (rapport du CPSNR sur l’ingérence étrangère [juin 2024], paragraphes 106, 153, 180; rapport du CPSNR sur l’accès légal aux communications [septembre 2025], paragraphes 178 à 181).

Préparé par : Services juridiques

---

Conformité du projet de loi C‑8 avec la Charte canadienne des droits et libertés

Notes d’allocution

• Bien que le Commissariat se concentre sur la législation fédérale en matière de protection des renseignements personnels, la Charte protège aussi le droit à la vie privée, en particulier le droit à la protection contre les fouilles, les perquisitions ou les saisies abusives prévu à l’article 8.
• Le projet de loi C‑8 créerait de nouveaux pouvoirs d’inspection (dans la LPCE) et modifierait des pouvoirs existants (dans la LT).
• Des pouvoirs de perquisition sans mandat peuvent mettre en jeu l’article 8 de la Charte. Toutefois, ces pouvoirs seraient utilisés dans le cadre de vérifications de la conformité plutôt que d’enquêtes criminelles. Il est donc peu probable qu’ils contreviennent à l’article 8 de la Charte.
• Néanmoins, des mesures de protection supplémentaires en matière de vie privée, par exemple des examens indépendants et de la surveillance, pourraient améliorer la transparence.

Contexte

• Le ministère de la Justice a publié l’Énoncé concernant la Charte pour le projet de loi C‑8 le 26 septembre 2025. Il y est indiqué que le pouvoir prévu par le projet de loi d’exiger la production de renseignements est susceptible de mettre en jeu l’article 8 de la Charte, mais qu’il est probablement compatible avec lui, tout comme les pouvoirs relatifs à la collecte et à l’échange de renseignements au sein du gouvernement fédéral ou avec des entités externes.
• De façon générale, cette conclusion s’appuie sur le contexte réglementaire (plutôt que criminel), sur l’utilisation du critère de « motifs raisonnables de croire », sur la nature technique de la majorité des renseignements en question et sur le fait qu’il existe des limites à l’échange subséquent de renseignements.
• Concernant les nouveaux pouvoirs d’inspection prévus par la LPCE, le critère pour autoriser une perquisition sans mandat est d’avoir des « motifs raisonnables de croire » qu’une activité régie par la LPCE est exercée. Les inspections doivent également avoir pour but de vérifier le respect ou de prévenir le non-respect d’une disposition de la LPCE (articles 32, 41, 50, 59, 68 et 78).
• La LPCE ne prévoit pas de contrôle judiciaire ni de processus d’examen pour les inspections sans mandat (même si ces pratiques sont peu courantes dans les régimes d’inspection).

Préparé par : Services juridiques

---

Effet des renvois à la LPRP dans le projet de loi C‑8

Notes d’allocution

• En plus de définir le terme « renseignements personnels », le projet de loi C‑8 intègre deux renvois explicites à la LPRP.
• Le renvoi de la partie 1 confirme l’application de la LPRP (« Il est entendu »), tandis que le renvoi du préambule de la partie 2 établit la protection de la vie privée comme un principe directeur aux fins d’interprétation et d’application de la LPCE.
• Cependant, ces renvois ne créent pas en eux-mêmes de nouvelles obligations positives en matière de protection de la vie privée pour le gouvernement.
• Aussi, bien que cela ne relève pas de ce comité, il convient de rappeler que la LPRP n’a pas fait l’objet de mises à jour importantes depuis 40 ans.

Contexte

• La législature précédente a apporté au projet de loi C‑26 plusieurs amendements relatifs à la protection de la vie privée, y compris l’inclusion d’une disposition précisant qu’« il est entendu » (article 15.71) que la LPRP s’applique aux pouvoirs de prendre des arrêtés et des décrets ainsi qu’aux autorisations de collecte et de communication prévus par la LT (articles 15.1, 15.2 et 15.4 à 15.7).
• Elle a aussi adopté l’inclusion d’un renvoi à la LPRP dans le préambule de la LPCE proposée, qui vise à mettre au premier plan « la nécessité de protéger les renseignements personnels des Canadiens conformément à la Loi sur la protection des renseignements personnels ».
• Bien que le projet de loi C‑8 conserve ces deux changements, ceux-ci ne peuvent se substituer à des mesures de protection importantes en matière de protection de la vie privée, qui devraient être envisagées dans le contexte de la réforme de la LPRP.

Préparé par : PRAP

---

Absence d’exigences relatives à la conservation dans le projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 permettrait la collecte, l’utilisation et la communication de divers renseignements potentiellement très sensibles dans le but de prendre des décrets, des arrêtés et des règlements visant à protéger les infrastructures essentielles contre les cybermenaces.
• Bien qu’il soit essentiel que le gouvernement obtienne les renseignements dont il a besoin pour réaliser les objectifs de la loi, l’absence de limites quant à leur conservation crée un risque que les renseignements puissent être conservés dans les cas où le critère requis n’est pas (ou n’est plus) respecté.
• Les amendements proposés au projet de loi C‑26 auraient atténué ce risque en ajoutant des règles sur la conservation à la LPCE, mais ces règles ont par la suite été supprimées du projet de loi à l’étape de la troisième lecture.
• À mon avis, l’ajout de règles sur la conservation des renseignements personnels qui pourraient être recueillis, utilisés ou communiqués au titre de la loi favoriserait la protection de la vie privée.

Contexte

• Le Comité permanent de la sécurité publique et nationale (SECU) a ajouté une exigence selon laquelle toute information recueillie ou obtenue en vertu du paragraphe 23(1) de la Loi sur la protection des cybersystèmes essentiels ne doit être conservée « que pendant la durée nécessaire » pour prendre, modifier, révoquer des décrets, ou vérifier le respect de ceux-ci, et une exigence connexe visant à informer les exploitants désignés de la période de conservation. Ces amendements ont toutefois été supprimés à l’étape de la troisième lecture du projet de loi (aucune justification n’a été consignée).
• Au cours de l’étude article par article menée par le Comité SECU, une motion du Bloc Québécois visant à ajouter une exigence de conservation semblable dans la LT a été rejetée; selon un député libéral, l’amendement à l’article 15.71 visant à préciser que la LPRP s’applique était une « façon plus simple d’arriver au même résultat ».
• Toutefois, cette référence à la LPRP ne fait que confirmer un statu quo; elle n’impose aucune obligation de limiter la conservation au-delà de l’exigence énoncée au paragraphe 6(1) de la LPRP selon laquelle les renseignements personnels qui ont été utilisés par une institution fédérale à des fins administratives doivent être conservés « pendant une période, déterminée par règlement » (actuellement deux ans).

Préparé par : PRAP

---

Risque de « vulnérabilités systémiques »

Notes d’allocution

• Il est possible que des arrêtés ou des décrets pris en vertu de la LT ou de la LPCE puissent imposer aux exploitants des exigences susceptibles de compromettre les protections électroniques des données.
• La Loi sur le soutien en matière d’accès autorisé à de l’information proposée dans le projet de loi C‑2 reconnaît ce risque et comprend donc pour les fournisseurs de services des exemptions relatives aux arrêtés et aux règlements qui pourraient les obliger à introduire – ou qui les empêcheraient de corriger – une vulnérabilité systémique.
• Compte tenu des répercussions potentielles de ces vulnérabilités sur la vie privée, l’ajout d’une mesure de protection semblable dans le projet de loi C‑8 pourrait contribuer à atténuer les risques connexes.

Contexte

• Depuis l’introduction du projet de loi C‑26, certains développements ont mis en évidence le risque que des arrêtés ou des règlements liés à la cybersécurité puissent paradoxalement imposer des exigences qui compromettraient la sécurité de l’information et des communications.
• Par exemple, une atteinte importante aux réseaux de télécommunications américains par des pirates informatiques chinois parrainés par l’État, qui a été révélée pour la première fois en octobre 2024, aurait été réalisée en partie au moyen de systèmes conçus pour permettre aux organismes d’application de la loi et aux services du renseignement d’accéder aux données des utilisateurs en vertu de la loi américaine Communications Assistance for Law Enforcement Act (loi sur l’aide des services de communications à l’application de la loi).
• La Loi sur le soutien en matière d’accès autorisé à de l’information proposée par le gouvernement dans le projet de loi C‑2, qui exigerait que les fournisseurs de services électroniques aient les capacités opérationnelles et techniques de permettre aux personnes autorisées au titre du Code criminel ou de la Loi sur le Service canadien du renseignement de sécurité d’accéder à des renseignements et à des communications ou encore de les intercepter, reconnaît ce risque et comprend donc des exemptions relatives aux arrêtés et aux règlements qui pourraient entraîner des « vulnérabilités systémiques ».
• Plus précisément, malgré tout arrêté ou règlement pris au titre de la Loi sur le soutien en matière d’accès autorisé à de l’information, les fournisseurs de services électroniques ne seraient pas tenus de se conformer à une exigence qui les obligerait à introduire une « vulnérabilité systémique » ou qui les empêcherait de corriger une telle vulnérabilité (paragraphes 5(3) et 7(4)). Le terme « vulnérabilité systémique » n’est pas défini dans la loi, mais il pourrait l’être dans un règlement (alinéa 46(1)c)).
• Ces exemptions s’inspirent de dispositions de la Telecommunications Act 1997 (loi de 1997 sur les télécommunications) de l’Australie, dont la définition de ce qu’est une vulnérabilité systémique comprend l’élaboration d’une capacité de déchiffrement et l’affaiblissement du chiffrement.

Préparé par : PRAP

---

Rôle du Commissariat au titre du projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 ne prévoit pas de rôle pour le Commissariat, mais celui-ci a compétence en matière de traitement des renseignements personnels par le gouvernement fédéral et par le secteur privé.
• En plus de leurs obligations de signalement au titre de la LPCE, les exploitants désignés assujettis à la LPRPDE devront encore signaler au Commissariat les atteintes aux mesures de sécurité concernant les renseignements personnels dans les cas où il existe un risque réel de préjudice grave.
• Toutefois, nous restons préoccupés par la probabilité que les exploitants soient moins portés à faire des signalements.
• Bien que le projet de loi C‑8 obligerait les exploitants à signaler les incidents au CST et qu’il permettrait aux organismes de réglementation, aux ministres responsables et au ministre de la Sécurité publique d’échanger des renseignements, il ne prévoit aucun mécanisme par lequel le Commissariat serait informé des incidents entraînant une atteinte substantielle à la vie privée.

Contexte

• Compte tenu de l’objectif du projet de loi C‑8, qui est de protéger les infrastructures essentielles sous réglementation fédérale contre les menaces qui peuvent n’avoir que peu ou pas de lien avec les renseignements personnels, si le rôle du Commissariat à la protection de la vie privée du Canada est élargi, cela dépasserait probablement le mandat du Commissariat.
• Le projet de loi C‑8 ne limiterait ni nos pouvoirs de faire enquête sur les atteintes ni les exigences de la LPRPDE en matière de signalement des atteintes.
• Certains des comportements prévus dans le projet de loi C‑8 relèveraient de l’OSSNR, qui a pour mandat d’examiner l’exercice par les ministères de leurs activités liées à la sécurité nationale ou au renseignement (paragraphe 8(1) de la Loi sur l’Office de surveillance des activités en matière de sécurité nationale et de renseignement [Loi sur l’OSSNR]). Le Commissariat et l’OSSNR sont autorisés à coordonner leurs activités d’enquête respectives en vertu du paragraphe 37(5) de la LPRP et du paragraphe 15.1(1) de la Loi sur l’OSSNR.
• Le projet de loi C‑8 ferait en sorte que l’OSSNR et le CPSNR seraient informés de tout décret ou de tout arrêté confidentiel ainsi que de toute directive de cybersécurité (article 15.22 et paragraphe 20(5)). Le gouvernement pourrait aussi consulter le Commissariat au sujet des décrets, des arrêtés et des règlements qui pourraient avoir des répercussions sur la vie privée, mais il ne serait pas tenu de le faire.
• Contrairement au projet de loi C‑8, l’article 35 de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (SRI 2) de l’Union européenne oblige les autorités d’application de la loi en matière de cybersécurité à informer les autorités de protection des données lorsqu’elles prennent connaissance d’un cyberincident qui peut donner lieu à une atteinte à la sécurité des données personnelles.

Préparé par : PRAP

---

Rôle du Commissariat en matière de cybersécurité

Notes d’allocution

• La protection des renseignements personnels repose de plus en plus sur la sécurité des systèmes et des infrastructures numériques. Les incidents de cybersécurité touchant de tels systèmes peuvent avoir des répercussions importantes sur la vie privée lorsqu’ils entraînent l’accès ou la communication non autorisée de renseignements personnels.
• Le Commissariat a un rôle important à jouer quant à la prise de mesures adéquates par les organisations assujetties à la LPRPDE ou à la LPRP pour prévenir les atteintes à la vie privée et y réagir de façon appropriée lorsqu’elles ont lieu.
• En parallèle, nous devons également évaluer si les mesures prises pour améliorer la cybersécurité peuvent avoir des répercussions imprévues sur la vie privée.
• Nous sommes confrontés à plusieurs défis lors de l’exercice de ces fonctions, notamment l’absence de pouvoirs exécutoires, l’absence d’obligation légale pour les organisations d’effectuer des évaluations des facteurs relatifs à la vie privée (EFVP) et de consulter le Commissariat, et – à quelques exceptions près – aucun pouvoir explicite visant le partage des renseignements et la collaboration avec d’autres organismes de réglementation et de surveillance fédéraux.

Contexte

• Le rôle du Commissariat en matière de cybersécurité est principalement axé sur les incidents qui concernent l’accès non autorisé à des renseignements personnels ou la communication non autorisée de ceux-ci. Dans certains cas, le Commissariat peut entreprendre une enquête pour déterminer si les organisations touchées respectaient leurs obligations prévues par la LPRPDE ou la LPRP.
• Bien que la LPRP ne prévoit pas pour le Commissariat de rôle officiel visant à fournir des lignes directrices, les organisations gouvernementales sont tenues, au titre de la politique du SCT, d’aviser le Commissariat de toute initiative prévue qui comporte des renseignements personnels, ce qui pourrait comprendre de nouveaux programmes ou de nouvelles activités visant à renforcer la cybersécurité, et de fournir des EFVP approuvées.
• Conformément à son rôle prévu par la LPRPDE, soit un rôle visant à fournir des lignes directrices, le Commissariat a élaboré et publié du contenu sur la façon de se protéger contre certaines cybermenaces (p. ex. les logiciels malveillants, les pourriels, le vol d’identité, etc.).
• Le Commissariat a le pouvoir de coordonner ses activités d’enquête en vertu de la LPRP avec celles de l’OSSNR afin d’éviter tout dédoublement du travail et, dans le contexte de la Loi canadienne anti-pourriel, avec celles du Conseil de la radiodiffusion et des télécommunications canadiennes et du Bureau de la concurrence.

Préparé par : PRAP

---

Comparateurs internationaux

Notes d’allocution

• Certains régimes de cybersécurité dans d’autres pays comportent des éléments de protection de la vie privée qui sont manquants dans le projet de loi C‑8.
• En particulier, d’autres régimes prévoient une collaboration accrue entre les organismes de réglementation lorsqu’il s’agit de réagir aux cyberincidents, appliquent des critères de nécessité et de proportionnalité à l’échange de renseignements, imposent des directives à l’industrie et établissent des exigences en matière de limitation de la finalité et de minimisation des données.

Contexte

• Collaboration en matière de réglementation : Conformément à l’article 35 de la directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (SRI2), lorsque les autorités d’application de la loi en matière de cybersécurité sont mises au courant d’un cyberincident qui pourrait constituer une atteinte à la protection des données personnelles, elles doivent en informer les autorités de protection des données. Le projet de loi C‑8 ne prévoit pas un niveau comparable de collaboration en matière de réglementation.
• Critère clair de nécessité et de proportionnalité : Au Royaume-Uni, le Network and Information Systems Regulations 2018 (règlement de 2018 sur les réseaux et les systèmes d’information) exige que l’échange de renseignements liés à la cybersécurité entre les autorités d’application de la loi soit nécessaire, pertinent et proportionnel. Le projet de loi C‑8 n’établit toujours pas de critère aussi rigoureux.
• Exigences en matière d’orientation : Bien que cela ne soit plus en vigueur depuis le 30 septembre 2025 (alinéa 111a)), selon l’article 105 de la Cybersecurity Information Sharing Act (loi sur l’échange de renseignements sur la cybersécurité) des États-Unis, le procureur général et le Département de la sécurité intérieure devaient publier des directives obligatoires concernant la protection de la vie privée et des autres libertés civiles. L’inclusion dans le projet de loi C‑8 d’une exigence obligatoire concernant les orientations à l’intention du public pourrait favoriser la conformité et réduire les risques pour la vie privée. Bien que le projet de loi C‑8 ne prévoie pas d’orientation, l’alinéa 24d) de la LPRPDE fournirait au Commissariat une certaine marge de manœuvre pour établir des lignes directrices non obligatoires.
• Renforcement des mesures de protection de la vie privée : La loi sur l’échange de renseignements sur la cybersécurité des États-Unis avait également d’autres caractéristiques de protection de la vie privée qui amélioreraient le projet de loi C‑8, notamment l’exigence que l’utilisation, la conservation et la communication de renseignements sur les cybermenaces se limitent à des fins définies par la loi (articles 103 à 105) et une exigence pour les entités fédérales et non fédérales de retirer des renseignements personnels avant de communiquer des renseignements sur les cybermenaces (articles 103 et 104).

Préparé par : Services juridiques

---

Lois provinciales et territoriales sur la cybersécurité

Notes d’allocution

• La cybersécurité relève des compétences fédérales et provinciales. Certaines provinces ont adopté ou proposé des lois sur la cybersécurité, mais aucune n’est aussi complète que le projet de loi C‑8.
• En 2022, le Québec a adopté la Loi sur le ministère de la Cybersécurité et du Numérique. Au titre de cette loi, le nouveau ministre a un rôle de coordination des politiques visant la cybersécurité et la technologie numérique.
• En Ontario, le projet de loi 194 a reçu la sanction royale l’année dernière et est entré en vigueur en janvier 2025. L’annexe 1 du projet de loi a édicté la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique, qui prévoit aux articles 2 à 4 des pouvoirs réglementaires et des directives ministérielles concernant la cybersécurité dans le secteur public.

Contexte

• La LPCE s’applique aux systèmes et aux services « critiques » mentionnés à l’annexe 1 de la LPCE, par exemple les services de télécommunication ou les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux. Le gouverneur en conseil peut également, par voie de règlement, désigner comme « critiques » d’autres systèmes ou d’autres services relevant de la compétence législative du Parlement.
• Les « services critiques » relèvent de la compétence fédérale, mais sont aussi réglementés par les gouvernements provinciaux. Le gouvernement a indiqué que certains aspects du projet de loi C‑8, comme les obligations de déclaration des incidents de cybersécurité prévues par la LPCE, sont destinés à servir de modèle aux gouvernements provinciaux et territoriaux.
• Comme il l’explique en détail dans son rapport annuel 2024-2025, le ministère de la Cybersécurité et du Numérique du Québec a établi un plan stratégique 2023-2027 qui compte trois grands enjeux : 1) Un Québec cybersécuritaire en partenariat avec l’écosystème; 2) Une administration publique numérique et performante; 3) Une expertise de haut calibre dans une organisation modèle.
• Les dispositions relatives à la cybersécurité contenues dans la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique de l’Ontario confèrent au gouverneur en conseil et au ministre le pouvoir de prendre des règlements relativement à l’élaboration de programmes de cybersécurité dans le secteur public et de normes techniques liées à ce domaine (articles 2 et 3) et confèrent au ministre le pouvoir de donner des directives aux entités du secteur public relativement à la cybersécurité (article 4).

Préparé par : Services juridiques

---

Préoccupations des parties prenantes au sujet du projet de loi C‑8

Notes d’allocution

• Le projet de loi C‑8 pourrait contribuer à réduire la probabilité et l’incidence des atteintes à la vie privée en établissant des exigences de base uniformes concernant la protection de la cybersécurité au Canada.
• Toutefois, des parties prenantes de la société civile ont exprimé des préoccupations au sujet des répercussions que pourrait avoir le projet de loi sur la vie privée, notamment la possibilité que certaines attributions qu’il prévoit – et les renseignements obtenus dans le cadre de celles-ci – puissent être utilisées à des fins inappropriées.
• Certains experts ont également suggéré que les pouvoirs de prendre des arrêtés et des décrets prévus par le projet de loi pourraient faire en sorte que des vulnérabilités systémiques soient introduites dans les protections électroniques à des fins légitimes d’application de la loi, mais soient ensuite découvertes et exploitées par des tiers non autorisés.

Contexte

• Des groupes de défense des libertés civiles ont soulevé un certain nombre de préoccupations liées à la protection de la vie privée à propos de l’ancien projet de loi C‑26 et du projet de loi C‑8 :
  • le gouvernement pourrait utiliser ses vastes pouvoirs de prendre des arrêtés et des décrets pour ordonner aux exploitants de cybersystèmes essentiels d’appliquer des normes de chiffrement moins élevées dans le but de créer des « portes dérobées » permettant un accès légal;
  • le projet de loi n’établit pas de critère uniforme suffisamment strict pour la collecte, l’utilisation et la communication de renseignements personnels;
  • le Centre de la sécurité des télécommunications pourrait utiliser l’information qui lui est transmise au titre de la LPCE à des fins autres que la cybersécurité (p. ex. le renseignement électromagnétique étranger);
  • les risques en matière de protection de la vie privée que pourrait avoir le projet de loi C‑8 sont exacerbés par l’absence d’une véritable réforme des lois sur la protection des renseignements personnels au Canada.

Préparé par : PRAP

---

Obligations des secteurs public et privé en matière de signalement des atteintes

Notes d’allocution

• Les organisations du secteur privé assujetties à la LPRPDE sont tenues de signaler les atteintes à la vie privée au Commissariat à la protection de la vie privée du Canada lorsqu’il existe un risque réel de préjudice grave pour un individu.
• Les institutions fédérales ne sont tenues de signaler ces atteintes que conformément à la politique du Conseil du Trésor. J’ai recommandé que les obligations de signalement des atteintes aient force de loi en vertu d’une Loi sur la protection des renseignements personnels modernisée.
• De plus en plus, les organisations tierces qui fournissent des services aux secteurs public et privé (p. ex. des solutions et des plateformes en matière de TI) sont ciblées dans le cadre de cyberattaques qui peuvent avoir un effet d’entraînement sur plusieurs organisations clientes.
• Je crains que ces fournisseurs de services tiers ne signalent pas directement au Commissariat les atteintes à la vie privée parce que leurs obligations de signalement au titre de la LPRPDE ne sont pas claires. Je souhaite donc que des obligations de signalement plus explicites pour ces fournisseurs soient ajoutées à une version modernisée de la loi fédérale sur la protection des renseignements personnels dans le secteur privé.

Contexte

• Conformément à la section 4.2.12 de la Politique sur la protection de la vie privée du SCT, les organisations fédérales assujetties à la LPRP doivent signaler les atteintes substantielles à la vie privée au Commissariat au plus tard sept jours après la détermination qu’une atteinte est substantielle.
• Conformément au paragraphe 10.1(1) de la LPRPDE, les organisations doivent signaler les atteintes au Commissariat le plus rapidement possible après avoir déterminé qu’il y a un risque réel de préjudice grave à l’endroit d’un individu. Le risque réel de préjudice grave est déterminé en fonction du degré de sensibilité des renseignements personnels et de la probabilité que les renseignements personnels aient été mal utilisés ou qu’ils le soient.
• Le Commissariat continue de constater un écart important entre les secteurs privé et public en ce qui concerne le signalement des atteintes à la vie privée concernant des cyberincidents.
  • En 2024-2025, 429 atteintes causées par un cyberincident ont été signalées au Commissariat par le secteur privé, alors que seulement 55 atteintes de ce genre lui ont été signalées par des institutions fédérales. Cela représente tout de même une augmentation de 35 % des atteintes sous le régime des deux lois par rapport à l’exercice précédent.

Préparé par : SPCAL

---

Statistiques et tendances sur les atteintes

Notes d’allocution

• Les atteintes sont en hausse constante dans les secteurs public et privé, année après année. Il s’agit principalement de cyberincidents dans le secteur privé et de pertes de documents dans le secteur public.
• Au cours du dernier exercice, le Commissariat a reçu des signalements d’atteintes touchant près de 21 millions de comptes canadiens.
• La grande majorité des atteintes dans le secteur public (94 %) et plus de la moitié des atteintes dans le secteur privé (59 %) signalées au Commissariat l’année dernière posaient un risque réel de préjudice grave pour les personnes dont les renseignements personnels ont été interceptés.
• Depuis avril 2023, le Commissariat a constaté une augmentation du nombre de cyberincidents touchant des entreprises responsables d’infrastructures essentielles, comme des entreprises de services financiers et des entreprises de télécommunications.
• Au cours du dernier exercice, c’est le secteur financier qui a signalé le plus grand nombre d’atteintes au Commissariat (31 %).

Contexte

• Nous continuons de recevoir un fort volume de signalements d’atteinte, dont beaucoup sont complexes parce que, par exemple, ce sont des fournisseurs de services tiers qui sont ciblés ou parce que les vecteurs d’attaque sont de plus en plus sophistiqués.
• Depuis le début de l’exercice, les cyberincidents touchant des infrastructures essentielles représentent un pourcentage plus élevé (22 %) de l’ensemble des cyberincidents signalés au Commissariat que durant l’exercice précédent (14 %).
  

  Atteintes à la vie privée signalées au Commissariat

  Exercice	LPRPDE	LPRP	Total	Signalement des cyberincidents liés aux infrastructures essentielles / tous les cyberincidents liés à la LPRPDE
  2025-2026*	287	246	533	31 / 144 (22 %)
  2024-2025	686	613	1299	61 / 429 (14 %)
  2023-2024	693	561	1254	34 / 321 (11 %)
  2022-2023	681	298	979	47 / 274 (17 %)
  Total	2347	1718	4065	173 / 1168 (15 %)
  *Au 30 septembre 2025

Préparé par : SPCAL

---

Rapport sur la cybersécurité du Bureau du vérificateur général

Notes d’allocution

• Un rapport récent de la vérificatrice générale intitulé « La cybersécurité des réseaux et des systèmes du gouvernement » a révélé d’importantes lacunes dans les services de cybersécurité, la surveillance et les interventions lorsque des attaques se produisent.
• Par exemple, il fait état de problèmes relatifs à l’échange de renseignements et à la coordination entre le CST et Services partagés Canada (SPC) durant une cyberattaque visant Affaires mondiales Canada en janvier 2024, qui ont permis au pirate d’accéder de façon prolongée à des renseignements personnels.
• Comme le montrent bien les conclusions de la vérificatrice générale, les interventions tardives en cas de cyberattaque augmentent la probabilité que des renseignements personnels ou sensibles soient volés. Le projet de loi C‑8 contribuerait à atténuer ce risque dans les secteurs sous réglementation fédérale en obligeant les exploitants désignés à signaler les cyberincidents au CST dans un délai de 72 heures.

Contexte

• L’audit avait pour but d’établir si le SCT, le CST et SPC disposaient des outils nécessaires pour protéger et défendre les réseaux et les systèmes gouvernementaux contre les cyberattaques de manière coordonnée. Voici les constatations de l’audit :
  • Le gouvernement fédéral a une stratégie de cybersécurité complète.
  • Le CST et SPC ont développé des services et des capteurs de cybersécurité efficaces pour protéger les réseaux gouvernementaux. Toutefois, de nombreuses organisations n’utilisaient pas les services de cybersécurité offerts par le CST et SPC, car elles n’étaient pas assujetties aux politiques de sécurité du SCT.
  • Les outils de surveillance des événements de cybersécurité suspects présentaient des lacunes importantes, les inventaires centraux des biens de TI étaient incomplets, tout comme les procédures et protocoles de coordination et d’échange d’information pour répondre aux cyberattaques (p. ex. une initiative visant à mettre en place une plateforme de collaboration en matière de cybersécurité et un outil de gestion des incidents a été bloquée en raison d’un manque de financement).
• Le Commissariat enquête actuellement sur la cyberattaque survenue à Affaires mondiales Canada. Le rapport du Bureau du vérificateur général mentionne aussi la cyberattaque dont a fait l’objet le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) en mars 2024. Le Commissariat a collaboré avec le CANAFE au sujet de cet incident et a l’intention de se pencher sur les mesures et les contrôles qui ont été mis en œuvre à l’occasion des prochains examens bisannuels.

Préparé par : PRAP

---

Atteinte à la sécurité du réseau privé virtuel d’Affaires mondiales Canada

Notes d’allocution

• En février 2024, j’ai annoncé le lancement d’une enquête sur une atteinte à la sécurité des données survenue à Affaires mondiales Canada (AMC), et ce, à la suite de la transmission au Commissariat de plusieurs plaintes sur le sujet.
• L’atteinte concernait une cyberattaque qui s’est produite sur le réseau interne d’AMC. En conséquence, les renseignements personnels d’utilisateurs du réseau, dont des employés, ont été compromis après que des individus ont accédé sans autorisation au réseau privé virtuel du ministère.
• L’enquête porte sur le caractère adéquat des mesures de protection qui étaient en place au moment de l’atteinte pour protéger les renseignements personnels qui relèvent d’AMC.
• En raison de son mandat en matière de relations internationales, les renseignements que détient AMC sont une cible de grande valeur pour les auteurs de menace.
• Comme l’enquête est en cours, je ne peux pas fournir d’autres renseignements ou commentaires pour le moment.

Contexte

• Comme l’indique le récent rapport de la vérificatrice générale (octobre 2025) sur la cybersécurité des réseaux et des systèmes du gouvernement, l’incident survenu à AMC est une atteinte à la sécurité qui a duré un mois et entraîné le vol de renseignements personnels.
• La Société Radio-Canada a indiqué qu’elle avait obtenu une copie d’un courriel où il était écrit que les systèmes internes d’AMC avaient été vulnérables entre le 20 décembre 2023 et le 24 janvier 2024. Le Commissariat a été avisé de l’atteinte le 26 janvier 2024.
• Selon les médias, AMC aurait envoyé à ses employés une note indiquant que la transmission de courriels ainsi que les fichiers sur les lecteurs personnels et partagés pourraient avoir été compromis.
• Le rapport de conclusions définitif est en cours de rédaction.

Préparé par : SPCAL

---

Atteinte à Nova Scotia Power

Notes d’allocution

• Le 25 avril 2025, Nova Scotia Power a détecté un cyberincident sur son réseau et a lancé son protocole d’intervention avec l’aide d’experts externes en cybersécurité.
• Le Commissariat a commencé à collaborer avec Nova Scotia Power dès qu’il a été mis au courant de l’atteinte afin de veiller à ce que l’organisation prenne rapidement des mesures afin d’atténuer de façon adéquate le risque de préjudice pour les personnes touchées et les répercussions sur la population canadienne.
• Par la suite, le Commissariat a reçu des plaintes concernant cette atteinte et, le 28 mai 2025, il a ouvert une enquête. Nous travaillons de concert avec l’entreprise afin de traiter la situation de manière efficace et rapide et de veiller à ce qu’elle protège ses systèmes contre une atteinte subséquente.
• Nova Scotia Power a confirmé avoir informé les individus concernés et leur avoir offert un abonnement de cinq ans à un service de surveillance du crédit.
• Comme l’examen est en cours, je ne peux pas fournir d’autres renseignements pour le moment.

Contexte

• Nova Scotia Power a déterminé que, le ou vers le 19 mars 2025, un auteur de menace a obtenu l’accès à ses réseaux et que des renseignements personnels sur ses clients ont été exfiltrés. L’entreprise a aussi établi que les données ayant fait l’objet de l’atteinte avaient été publiées sur le Web clandestin.
• Les renseignements compromis comprennent les noms, numéros de téléphone, adresses électroniques et postales, dates de naissance, historique des comptes (incluant les données sur les paiements et la facturation, l’historique de crédit et les numéros de comptes bancaires), numéros de permis de conduire et numéros d’assurance sociale de clients anciens et actuels de Nova Scotia Power.
• L’entreprise a recensé plus de 280 000 personnes qui ont été touchées et les a avisées. Le Commissariat a reçu 77 plaintes à cet égard.
• La Commission de l’énergie de la Nouvelle-Écosse enquête sur cette atteinte. Nous avons discuté avec la Commission de nos processus respectifs, dans le respect des limites de confidentialité prévues par la LPRPDE.

Préparé par : SPCAL

---

Surveillance en milieu de travail

Notes d’allocution

• Le Commissariat a mis en œuvre un modèle de travail hybride qui vise à favoriser une culture de confiance et à définir les comportements attendus dans un environnement hybride.
• Ce modèle est communiqué par l’intermédiaire d’une charte conçue pour encourager l’autonomie, la collaboration et la mobilisation, des éléments essentiels à la réussite de notre modèle de travail hybride.
• Le suivi du respect de l’orientation par les employés est la responsabilité des gestionnaires; il est fondé sur les observations des gestionnaires et ce qui est déclaré par les employés. Le Commissariat vérifie seulement que l’organisation respecte de façon globale l’orientation à l’aide des données des tourniquets.
• Dans nos conseils aux autres institutions fédérales à ce sujet, nous avons mis l’accent sur la proportionnalité, sur la limitation de l’accès aux données de conformité individuelles et sur l’importance de permettre aux employés de prendre des recours en cas d’inexactitude des données.

Contexte

• Le Commissariat a mis en place un modèle de travail hybride conforme à l’Orientation concernant la présence prescrite au lieu de travail du SCT afin de soutenir un environnement de travail postpandémique collaboratif et de contribuer aux objectifs du gouvernement en matière de durabilité.
• Grâce à son outil interne de réservation des postes de travail, qui permet d’optimiser l’utilisation des différentes aires de travail (collaboration, transition, concentration), le Commissariat respecte ses obligations en matière de santé et de sécurité au travail. L’outil ne sert pas à surveiller la présence au bureau.
• Les gestionnaires sont responsables du suivi et de la gestion de la présence des employés; ils doivent aussi veiller au respect de l’orientation du gouvernement.
• Les données des tourniquets servent uniquement à vérifier si l’organisation respecte de façon globale l’orientation et à fournir à la direction de l’information sur le nombre d’employés présents au bureau quotidiennement. Le Commissariat n’a pas effectué de nouvelle EFVP puisque l’utilisation de données agrégées était autorisée dans le cadre des fichiers de renseignements personnels existants. Toutefois, si le Commissariat devait utiliser les données des tourniquets pour surveiller de façon systématique la présence des employés, une nouvelle EFVP serait nécessaire.
• Le Commissariat a mené neuf consultations et examiné les EFVP de sept institutions fédérales portant sur la surveillance de la présence au lieu de travail; une enquête a été ouverte par suite de la réception d’une plainte en lien avec la vérification de la conformité à l’Orientation concernant la présence prescrite au lieu de travail.

Préparé par : SE et SPCAL

---

Projet de loi C‑12 (Loi visant à renforcer le système d’immigration et la frontière du Canada)

Notes d’allocution

• Bien que le projet de loi C‑12 ne reprenne pas les dispositions concernant l’accès légal du projet de loi C‑2, certains aspects soulèvent tout de même des questions relatives à la protection de la vie privée, notamment les amendements qui créeraient ou élargiraient des pouvoirs de collecte, d’utilisation ou de communication des renseignements personnels (p. ex. au titre de la Loi sur le ministère de la Citoyenneté et de l’Immigration et de la Loi sur l’enregistrement de renseignements sur les délinquants sexuels).
• À mon avis, ces amendements ont, de façon générale, de moins grandes répercussions sur la vie privée que ceux prévus par le projet de loi C‑2.

Contexte

• Le projet de loi C‑12 compte 11 parties qui étaient initialement comprises dans le projet de loi C‑2, mais il exclut les éléments les plus controversés. Il a été présenté par le ministre de la Sécurité publique le 8 octobre 2025, peu après que les Conservateurs ont annoncé qu’ils n’appuieraient pas le projet de loi C‑2 tel qu’il était rédigé.
• Les éléments du projet de loi ayant des répercussions sur la protection de la vie privée comprennent :
  • les modifications à la Loi sur les océans selon lesquelles les services de garde côtière comprennent des activités liées à la sécurité et autorisant le ministre responsable à recueillir, à analyser et à communiquer de l’information et du renseignement (partie 4);
  • l’élargissement des autorisations relatives à l’échange de renseignements au titre de la Loi sur le ministère de la Citoyenneté et de l’Immigration (partie 5);
  • l’ajout d’autorisations relatives à la communication de renseignements au commissaire aux élections fédérales et de dispositions relatives à la collecte et à la communication de renseignements concernant un nouveau processus d’inscription, sous le régime de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (partie 9);
  • les modifications à la Loi sur le Bureau du surintendant des institutions financières qui visent à faire du CANAFE un membre du comité établi au titre du paragraphe 18(1), et les modifications à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes qui visent à permettre au CANAFE d’échanger de l’information avec les autres membres de ce comité;
  • l’élargissement des autorisations relatives à l’échange de renseignements entre les organismes d’application de la loi au titre de la Loi sur l’enregistrement de renseignements sur les délinquants sexuels (partie 11).
• Les modifications proposées à la Loi sur le ministère de la Citoyenneté et de l’Immigration intègrent les conseils donnés précédemment par le Commissariat au sujet des exigences relatives aux accords visant l’échange de renseignements.

Préparé par : PRAP

---

Projet de loi C‑2 (Loi visant une sécurité rigoureuse à la frontière)

Notes d’allocution

• Le projet de loi C‑2 soulève d’importantes questions relatives à la protection de la vie privée, notamment en raison des modifications qu’il prévoit au Code criminel et à la Loi sur le Service canadien du renseignement de sécurité, qui visent à créer ou à modifier un certain nombre de pouvoirs d’enquête, et de la Loi sur le soutien de l’accès autorisé à l’information proposée, qui exigerait que les fournisseurs de services électroniques mettent en œuvre des capacités pour faciliter l’accès à l’information par les personnes autorisées.
• Au moment d’évaluer le caractère raisonnable de ces mesures, le Commissariat examine les questions clés suivantes : Les mesures permettent-elles d’atteindre un équilibre adéquat entre la protection de la vie privée et les intérêts de l’État? Prévoient-elles une surveillance, une reddition de comptes et une transparence adéquates? Les critères établis sont-ils appropriés compte tenu du possible caractère intrusif des nouveaux pouvoirs?
• L’évaluation du Commissariat est aussi guidée par les principes de nécessité et de proportionnalité : autrement dit, l’intrusion dans la vie privée est-elle manifestement nécessaire pour atteindre un objectif légitime, et le degré d’intrusion est-il proportionnel aux avantages obtenus?
• Comme le ministre de la Sécurité publique l’a récemment reconnu, le projet de loi C‑2 ne permet pas d’atteindre le juste équilibre.

Contexte

• Le projet de loi C‑2 a été présenté à la Chambre par le ministre de la Sécurité publique en juin 2025. Le 8 octobre 2025, le ministre a présenté le projet de loi C‑12, qui compte 11 parties qui étaient initialement comprises dans le projet de loi C‑2, mais qui exclut les éléments les plus controversés, notamment :
  • les modifications à la Loi sur la Société canadienne des postes pour permettre la revendication, la saisie ou la rétention de toute chose en cours de transmission postale en conformité avec une loi fédérale et pour permettre à Postes Canada d’ouvrir des lettres;
  • les modifications au Code criminel, à la Loi sur le Service canadien du renseignement de sécurité et à un certain nombre d’autres lois afin de créer ou de modifier une série de pouvoirs d’enquête (y compris un « ordre de fournir des renseignements » sans mandat) et de faciliter l’échange transfrontalier de renseignements entre les autorités d’application de la loi;
  • la Loi sur le soutien en matière d’accès autorisé à de l’information proposée, qui exigerait que les fournisseurs de services électroniques aient les capacités opérationnelles et techniques de permettre aux personnes autorisées d’accéder à des renseignements et à des communications ou encore de les intercepter afin de soutenir des enquêtes criminelles ou en matière de renseignement.
• Ces dispositions demeurent dans le projet de loi C‑2, qui pourrait aller de l’avant ultérieurement.

Préparé par : PRAP

---

Projet de loi C‑4 (Loi visant à rendre la vie plus abordable pour les Canadiens)

Notes d’allocution

• J’ai demandé à plusieurs reprises que les partis politiques soient soumis aux lois sur la protection des renseignements personnels, comme c’est le cas en Colombie-Britannique, au Québec ainsi que dans l’Union européenne et au Royaume-Uni.
• Cela contribuerait à favoriser la confiance du public dans le processus politique, ce qui pourrait améliorer la participation électorale tout en protégeant le droit fondamental des Canadiennes et des Canadiens à la vie privée.
• En juin 2025, j’ai présenté au Comité permanent des finances (FINA) un mémoire dans lequel je proposais que le projet de loi C‑4 soit renforcé afin de mieux protéger les renseignements personnels des électeurs, que les partis politiques soient soumis à des normes précises de protection de la vie privée et que le Commissariat joue un rôle dans la protection du droit à la vie privée.

Contexte

• La partie 4 du projet de loi C‑4 maintient des éléments qui sont actuellement prescrits relativement à la politique sur la protection des renseignements personnels qu’un parti politique doit fournir au directeur général des élections lorsqu’il soumet une demande d’enregistrement (voir l’alinéa 385(2)k) de la Loi électorale du Canada).
• Elle prévoit aussi l’ajout de l’article 446.6, qui exigerait que la politique sur la protection des renseignements personnels d’un parti contienne des éléments précis (qui recoupent largement l’alinéa 385(2)k)), qu’elle soit publiquement disponible dans les deux langues officielles et qu’elle soit rédigée dans un langage clair.
• La partie 4 du projet de loi C‑4 propose également d’exempter explicitement les partis des lois provinciales ou territoriales sur la protection des renseignements personnels (voir le nouvel article 446.4).
• Le mémoire présenté au Comité FINA contenait les recommandations suivantes au sujet du projet de loi C‑4 :
  1. Établir des normes minimales de protection de la vie privée – plus précisément, obliger les partis politiques à établir les fins auxquelles les renseignements personnels sont recueillis, à obtenir le consentement (sous réserve de l’autorisation expresse de la loi), à limiter la collecte, l’utilisation et la communication et à fournir un mécanisme d’accès et de correction pour les renseignements personnels qui relèvent d’eux.
  2. Signaler les atteintes à la vie privée – Ajouter une exigence de signalement des atteintes à la vie privée, notamment pour que les atteintes soient signalées aux personnes concernées ainsi qu’à un organisme compétent et indépendant comme le Commissaire à la protection de la vie privée du Canada, Élections Canada ou le Bureau de la commissaire aux élections fédérales sans délai déraisonnable et au plus tard sept jours civils après qu’un parti politique a pris connaissance de l’atteinte.
  3. Améliorer la surveillance – Autoriser une collaboration officielle entre le Commissaire à la protection de la vie privée, le Bureau de la commissaire aux élections fédérales et Élections Canada.

Préparé par : PRAP