Lettre de préoccupation conjointe concernant le projet de loi C-26

28 septembre 2022

À:

L'honorable Marco EL Mendicino, CP, député, ministre de la Sécurité publique.

CC :

L'honorable François-Philippe Champagne, CP, député, ministre de l'Innovation, des Sciences et de l'Industrie.

L'honorable Pierre Poilievre, CP, député, chef de l'opposition

Yves-François Blanchet Député, Chef du Bloc Québécois

Jagmeet Singh député, chef du NPD

Elizabeth May, députée, leader parlementaire du Parti vert

Lettre de préoccupation conjointe concernant le projet de loi C-26

Cher Ministre,

Nous, les organisations soussignées, vous écrivons pour exprimer nos sérieuses préoccupations concernant le projet de loi C-26 : Loi sur la cybersécurité, modifiant la Loi sur les télécommunications et d'autres lois en conséquence.

Dans votre communiqué de presse annonçant ce projet de loi, vous avez été cité comme ayant déclaré "Au 21e siècle, la cybersécurité est la sécurité nationale." Nous sommes d'accord et nous partageons votre objectif d'aider les secteurs public et privé à mieux se protéger contre les cyberattaques.

Cependant, dans sa forme actuelle, le projet de loi C-26 est profondément problématique et doit être corrigé. Tel qu'il est rédigé, il risque de miner nos droits à la vie privée ainsi que les principes de gouvernance responsable et d'application régulière de la loi qui constituent le tissu de la démocratie canadienne. La législation doit être modifiée en profondeur pour garantir qu'elle offre des protections efficaces en matière de cybersécurité tout en préservant ces principes démocratiques essentiels.

Comme vous le savez, le projet de loi C-26 accorde au gouvernement de vastes pouvoirs sur de vastes pans de l'économie canadienne. Nous croyons que ces pouvoirs doivent être strictement délimités et accompagnés de mesures de protection et d'exigences de déclaration significatives pour s'assurer que les Canadiens peuvent demander des comptes à leur gouvernement et à leurs agences de sécurité. En termes simples, un grand pouvoir doit s'accompagner d'une grande responsabilité.

En vue d'améliorer cette législation, nous partageons avec vous les préoccupations spécifiques suivantes :

• Ouvre la porte à de nouvelles obligations de surveillance : Le projet de loi C-26 habilite le gouvernement à commander secrètement des fournisseurs de télécommunications "faire quoi que ce soit ou s'abstenir de faire quoi que ce soit." Cela ouvre la porte à l'imposition d'obligations de surveillance aux entreprises privées et à d'autres risques tels que des normes de cryptage affaiblies - ce que le public a longtemps rejeté comme étant incompatible avec nos droits à la vie privée.
• Résiliation des services essentiels : En vertu du projet de loi C-26, le gouvernement peut interdire à une personne ou à une entreprise de recevoir des services spécifiques et interdire à toute entreprise d'offrir ces services à d'autres, par décret gouvernemental secret. Cela ouvre la porte à des entreprises ou à des particuliers canadiens qui sont coupés des services essentiels sans explication. Le projet de loi C-26 n'établit aucun régime explicite, tel qu'un organisme de réglementation indépendant doté de pouvoirs solides, pour faire face aux effets collatéraux des ordonnances de sécurité du gouvernement.
• Porte atteinte à la vie privée : Le projet de loi C-26 habilite le gouvernement à recueillir de vastes catégories de renseignements auprès des exploitants désignés, en tout temps et sous réserve de toutes conditions. Cela peut permettre au gouvernement d'obtenir des informations personnelles identifiables et anonymisées et de les distribuer ensuite à des organisations nationales, voire étrangères.
• Pas de garde-corps pour limiter les abus : Le projet de loi C-26 manque d'évaluations obligatoires de proportionnalité, de confidentialité ou d'équité, ou d'autres garde-fous, pour limiter l'abus des nouveaux pouvoirs qu'il accorde au gouvernement - des pouvoirs accompagnés d'amendes élevées ou même d'emprisonnement pour non-conformité. Ces ordonnances s'appliquent à la fois aux entreprises de télécommunications et à un large éventail d'autres entreprises et agences sous réglementation fédérale désignées en vertu de la Loi sur la protection des systèmes informatiques critiques (CCSPA). Des poursuites peuvent être engagées pour des violations présumées des ordonnances de sécurité qui se sont produites jusqu'à trois ans dans le passé.
• Le secret sape la responsabilité et la régularité de la procédure : Le projet de loi C-26 permet au gouvernement d'envelopper ses ordonnances dans le secret, sans obligation de rendre compte au public. Bien qu'il existe un besoin compréhensible d'un certain degré de confidentialité dans ce domaine, le public doit avoir une idée de la manière dont ces pouvoirs sont exercés, à quelle fréquence et à quel effet, si les décideurs doivent être tenus responsables. Les personnes et les services touchés de manière indirecte par le projet de loi C-26 doivent également avoir la possibilité de contester les ordonnances de sécurité.
• Les ordres inconnus l'emportent sur la réglementation publique : Le projet de loi C-26 fait pencher la balance jusqu'à présent vers le secret, ses ordonnances et règlements peuvent avoir préséance sur les décisions précédemment rendues par les organismes de réglementation, risquant de prêter à confusion lorsque ces décisions réglementaires sont publiques alors que les ordonnances de sécurité ne le sont pas. Cela menace l'intégrité et l'accessibilité des cadres réglementaires du Canada et rend les règles liées à la sécurité actuellement en vigueur inconnues du public.
• Preuve secrète au tribunal : Même si les ordonnances de sécurité sont assujetties à un contrôle judiciaire, le projet de loi C-26 pourrait restreindre l'accès des demandeurs à la preuve. La législation n'inclut aucune considération pour les avocats disposant d'une habilitation de sécurité à nommer au nom des demandeurs, comme cela se produit dans d'autres affaires de sécurité nationale. Bien que ces dispositions soient une solution imparfaite pour une procédure régulière, elles offrent au moins un niveau minimal de protection des droits des demandeurs. C-26 habilite même les juges à rendre des décisions fondées sur des preuves secrètes qui ne sont pas fournies, même sous forme sommaire, aux demandeurs ou à leur équipe juridique. Il incombe également à la cible des ordonnances de sécurité d'engager des poursuites judiciaires, avec le fardeau des coûts associés.
• Pouvoir sans responsabilité pour le CST : Cette ACPCS permettrait au Centre de la sécurité des télécommunications, l'organisme canadien de renseignement électromagnétique et de cybersécurité, d'obtenir et d'analyser des données liées à la sécurité auprès d'entreprises à qui les Canadiens confient leurs renseignements personnels les plus sensibles. Cela comprendrait les banques et les coopératives de crédit sous réglementation fédérale, les fournisseurs de télécommunications et d'énergie, et même certaines agences de transport en commun. L'utilisation de ces informations par le CST n'est pas limitée à l'aspect cybersécurité de son mandat, et toute utilisation serait largement soumise à un examen après coup plutôt qu'à une surveillance en temps réel, ce qui entraînerait un déficit important de responsabilité démocratique.
• Absence de justification : Bien que le gouvernement affirme que de nouveaux pouvoirs aussi étendus et secrets soient nécessaires, il n'a publié aucune donnée suffisamment complète établissant la nécessité et la proportionnalité des pouvoirs proposés.

En somme, la cybersécurité est importante et nous devons bien faire les choses : Tous les résidents du Canada peuvent s'entendre sur la nécessité de la cybersécurité. Cependant, les libertés civiles, la vie privée et la confiance dans l'état de droit et la gouvernance responsable sont fondamentales pour ce sentiment de sécurité. Il est impératif que, dans ses efforts pour offrir une cybersécurité solide aux Canadiens, le gouvernement assure également la responsabilisation et respecte les droits fondamentaux.

Alors que le projet de loi C-26 progresse dans le processus législatif, nous sommes impatients de travailler avec vous, ainsi qu'avec les parlementaires de tous les partis, pour nous assurer qu'il offre une cybersécurité solide pour tous au Canada, tout en assurant la responsabilisation et le respect de nos droits.

Sincèrement,

Association canadienne des libertés civiles

Fondation de la constitution canadienne

Groupe de surveillance internationale des libertés civiles

Dirigez maintenant

Ligue des droits et libertés

OpenMedia

Conseil d'accès et de protection de la vie privée du Canada

**

Dr Christopher Parsons, associé de recherche principal au Citizen Lab, Munk School of Global Affairs & Public Policy, Université de Toronto

Tamir Israel, avocat spécialisé dans les droits numériques

Andrew Clement, professeur émérite, Faculté d'information, Université de Toronto

**

Envoyé le mercredi 28 septembre par OpenMedia au nom des organisations et individus ci-dessus.