Lettre conjointe de préoccupation concernant le projet de loi C-26

28 septembre 2022

À :

L’honorable Marco E. L. Mendicino, P.C., M.P., ministre de la Sécurité publique.

CC :

L’honorable François-Philippe Champagne, P.C., M.P., ministre de l’Innovation, de la Science et de l’Industrie.

L’honorable Pierre Poilievre, P.C., M.P., chef de l’opposition

Yves-François Blanchet, député, chef du Bloc québécois

Jagmeet Singh député, chef du NPD

Elizabeth May, députée, chef parlementaire du Parti vert

Lettre conjointe de préoccupation concernant le projet de loi C-26

Cher ministre,

Nous, les organisations soussignées, écrivons pour exprimer nos sérieuses préoccupations concernant le projet de loi C-26 : Loi relative à la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications importantes à d’autres lois.

Dans votre communiqué de presse annonçant cette législation, vous avez été cité disant : « Au 21e siècle, la cybersécurité est la sécurité nationale. » Nous sommes d’accord, et nous partageons votre objectif d’aider le secteur public et privé à mieux se protéger contre les cyberattaques.

Cependant, sous sa forme actuelle, le projet de loi C-26 est profondément problématique et doit être corrigé. Tel qu’il est rédigé, il risque de miner nos droits à la vie privée ainsi que les principes de gouvernance responsable et de procédure régulière judiciaire qui sont le tissu de la démocratie canadienne. La législation doit être modifiée de manière substantielle afin de garantir qu’elle offre des protections efficaces en cybersécurité tout en protégeant ces principes démocratiques essentiels.

Comme vous le savez, le projet de loi C-26 accorde au gouvernement de vastes pouvoirs sur de vastes pans de l’économie canadienne. Nous croyons que ces pouvoirs doivent être strictement délimités et accompagnés de garanties significatives et d’exigences de déclaration afin de garantir que les Canadiens puissent tenir leur gouvernement et leurs agences de sécurité responsables. En termes simples, un grand pouvoir doit venir une grande responsabilité.

Dans le but d’améliorer cette législation, nous partageons avec vous les domaines de préoccupation spécifiques suivants :

• Ouvre la porte à de nouvelles obligations de surveillance : Le projet de loi C-26 donne au gouvernement le pouvoir d’ordonner secrètement aux fournisseurs de télécommunications « de faire quoi que ce soit ou de s’abstenir de faire quoi que ce soit ». Cela ouvre la porte à l’imposition d’obligations de surveillance aux entreprises privées, ainsi qu’à d’autres risques comme l’affaiblissement des normes de chiffrement — ce que le public rejette depuis longtemps comme étant incompatible avec nos droits à la vie privée.
• Résiliation des services essentiels : En vertu du projet de loi C-26, le gouvernement peut interdire à une personne ou une entreprise de recevoir des services spécifiques, et interdire à toute entreprise d’offrir ces services à d’autres, par ordre secret du gouvernement. Cela ouvre la porte à des entreprises ou des particuliers canadiens qui se voient couper des services essentiels sans explication. Le projet de loi C-26 ne prévoit aucun régime explicite, comme un régulateur indépendant doté de pouvoirs robustes, pour traiter les impacts collatéraux des décrets de sécurité gouvernementaux.
• Compromet la vie privée : Le projet de loi C-26 habilite le gouvernement à recueillir de larges catégories d’informations auprès des opérateurs désignés, en tout temps et sous réserve de toutes conditions. Cela pourrait permettre au gouvernement d’obtenir des renseignements personnels identifiables et désidentifiés, puis de les distribuer à des organisations nationales, et peut-être étrangères.
• Pas de garde-fous pour limiter les abus : Le projet de loi C-26 manque d’évaluations obligatoires de proportionnalité, de vie privée ou d’équité, ni d’autres garde-fous, pour limiter l’abus des nouveaux pouvoirs qu’il confère au gouvernement — pouvoirs accompagnés d’amendes élevées voire d’emprisonnement en cas de non-respect. Ces ordonnances s’appliquent à la fois aux entreprises de télécommunications et à un large éventail d’autres entreprises et agences réglementées au niveau fédéral désignées en vertu de la Loi sur la protection des systèmes cybernétiques critiques (CCSPA). Des poursuites peuvent être intentées pour des violations présumées des ordonnances de sécurité survenues jusqu’à trois ans auparavant.
• Le secret sape la responsabilité et la procédure régulière : Le projet de loi C-26 permet au gouvernement de cacher ses ordonnances dans le secret, sans obligation de déclaration publique. Bien qu’il y ait un besoin compréhensible d’un certain degré de confidentialité dans ce domaine, le public doit comprendre comment ces pouvoirs sont exercés, à quelle fréquence et dans quel sens, si les décideurs doivent être tenus responsables. Les personnes et services touchés de façon collatérale par le projet de loi C-26 doivent également avoir la possibilité de contester les ordonnances de sécurité.
• Les ordres inconnaissables l’emportent sur la réglementation publique : Le projet de loi C-26 penche la balance jusqu’à ce point vers le secret, ses ordonnances et règlements peuvent primer sur les décisions précédemment émises par les agences réglementaires, ce qui risque de confusion lorsque ces décisions réglementaires sont publiques alors que les décrets de sécurité ne le sont pas. Cela menace l’intégrité et l’accessibilité des cadres réglementaires canadiens, et rend les règles de sécurité actuellement en vigueur inconnues pour le public.
• Preuves secrètes devant le tribunal : Même si les ordonnances de sécurité sont soumises à un contrôle judiciaire, le projet de loi C-26 pourrait restreindre l’accès des demandeurs aux preuves. La législation n’inclut aucune considération de défenseurs habilités en sécurité à nommer au nom des demandeurs, comme c’est le cas dans d’autres affaires de sécurité nationale. Bien que de telles dispositions soient une solution imparfaite pour la procédure régulière, elles offrent au moins un niveau minimal de protection aux droits des demandeurs. Le C-26 donne même aux juges le pouvoir de rendre des décisions fondées sur des preuves secrètes qui ne sont pas fournies, même sous forme sommaire, aux demandeurs ou à leur équipe juridique. Elle place aussi la charge sur la cible des ordonnances de sécurité d’engager des poursuites judiciaires, avec le fardeau des coûts associé.
• Pouvoir sans responsabilité pour le CSE : La CCSPA permettrait à l’Établissement de la sécurité des communications — l’agence canadienne de renseignement des signaux et de cybersécurité — d’obtenir et d’analyser des données liées à la sécurité provenant d’entreprises en qui les Canadiens confient leurs renseignements personnels les plus sensibles. Cela inclurait les banques et coopératives de crédit réglementées au niveau fédéral, les fournisseurs de télécommunications et d’énergie, et même certaines agences de transport. L’utilisation de ces informations par le CSE n’est pas limitée à l’aspect cybersécurité de son mandat, et toute utilisation serait largement soumise à un examen a posteriori plutôt qu’à une surveillance en temps réel, ce qui entraînerait un déficit important de responsabilité démocratique.
• Manque de justification : Bien que le gouvernement affirme que de tels pouvoirs étendus et secrets sont nécessaires, il n’a publié aucune donnée suffisamment complète établissant la nécessité et la proportionnalité des pouvoirs proposés.

En somme, la cybersécurité est importante et nous devons bien faire les choses : tous les résidents du Canada peuvent s’entendre sur la nécessité de la cybersécurité. Cependant, les libertés civiles, la vie privée et la confiance en l’état de droit et la gouvernance responsable sont fondamentales pour ce sentiment de sécurité. Il est impératif que, dans ses efforts pour assurer une cybersécurité solide pour les populations canadiennes, le gouvernement assure également la reddition de comptes et défende les droits fondamentaux.

Alors que le projet de loi C-26 progresse dans le processus législatif, nous avons hâte de travailler avec vous, ainsi qu’avec les parlementaires de tous les partis, pour garantir qu’il offre une cybersécurité solide à tous au Canada, tout en assurant la reddition de comptes et le respect de nos droits.

Cordialement,

Association canadienne des libertés civiles

Fondation de la Constitution canadienne

Groupe international de surveillance des libertés civiles

Leadnow

Ligue des droits et libertés

OpenMedia

Conseil de la vie privée et de l’accès du Canada

**

Dr Christopher Parsons, chercheur principal associé au Citizen Lab, Munk School of Global Affairs and Public Policy, Université de Toronto

Tamir Israel, avocat spécialisé en droits numériques

Andrew Clement, professeur émérite, Faculté de l’information, Université de Toronto

**

Envoyé le mercredi 28 septembre par OpenMedia au nom des organisations et individus mentionnés ci-dessus.