Le projet de loi C-26 est un autre exemple, dans une liste de plus en plus longue, de législation qui répondrait à un besoin clair si seulement elle était meilleure. C-11 (modifications à la Loi sur la radiodiffusion), C-27 (vie privée et gouvernance de l’IA), S-7 (fouilles d’appareils à la frontière) et C-20 (dispositions attendues pour la surveillance de la GRC et de l’ASFC) figurent aussi sur cette liste.
Avoir un cadre juridique clair pour les attentes et responsabilités en cybersécurité des exploitants d’infrastructures critiques fédérales est une bonne chose, probablement attendue depuis longtemps. Et le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications conséquentes à d’autres lois, tente de mettre en place un tel cadre.
Elle modifie la Loi sur les télécommunications et donne au gouverneur en conseil et au ministre de l’Industrie le pouvoir de donner des instructions aux fournisseurs de services de télécommunications pour qu’ils exigent ou cessent de faire tout ce qu’ils jugent nécessaire à la sécurité des infrastructures. Elle crée également un régime de pénalité monarquière administrative pour s’assurer que les fournisseurs respectent ces directives et prévoit un contrôle judiciaire de ces ordonnances. Le C-26 crée en outre une nouvelle Loi sur la protection des systèmes cybernétiques critiques afin de créer un cadre pour protéger « les systèmes cybernétiques critiques de services et systèmes essentiels à la sécurité nationale ou publique ». Ce sont des systèmes situés dans des secteurs réglementés au niveau fédéral comme la banque, les télécommunications, l’énergie nucléaire et les infrastructures, y compris les systèmes de transport. La nouvelle loi permet au gouverneur en conseil de désigner un service comme vital et d’exiger que les exploitants de services essentiels conçus élaborent des plans et programmes de cybersécurité, partagent des informations avec des organismes désignés, et imposent des conséquences en cas de non-conformité — avec des amendes allant jusqu’à 15 000 000 $ et un risque potentiel d’emprisonnement. En d’autres termes, le projet de loi c-26 a une portée ambitieuse.
Les problèmes du projet de loi résident dans le fait que les nouveaux pouvoirs discrétionnaires introduits par le C-26 ne sont en grande partie pas soumis à des garanties visant à garantir que ces pouvoirs soient utilisés, lorsque nécessaire, de manière proportionnelle, avec une considération due à la vie privée et à d’autres droits. Le manque de dispositions sur la reddition de comptes et la transparence rend tout cela encore plus préoccupant.
Par exemple, l’article 15 des amendements à la Loi sur les télécommunications donner au ministre de l’Industrie, après consultation avec le ministre de la Sécurité publique, le pouvoir discrétionnaire (le texte du projet de loi fait référence à « l’opinion du ministre ») d’interdire à un fournisseur de services télécoms de fournir un service à une personne spécifiée (y compris un autre fournisseur de télécommunications), ou d’exiger qu’un fournisseur de télécommunications suspende son service pour n’importe quelle durée à quiconque (encore une fois, y compris un autre fournisseur de télécommunications). Donc, en termes plus simples, les services peuvent être coupés de n’importe qui à tout moment, si le ministre juge nécessaire d’empêcher une liste de menaces qui inclut, sans s’y limiter, l’interférence, la manipulation ou la perturbation d’un réseau. Par exemple, si un incident de rançongiciel est correctement tracé jusqu’à une IP, la personne à cette adresse pourrait être coupée d’Internet. Mais, si un incident de rançongiciel est mal tracé, la personne mal identifiée pourrait aussi être coupée. Et comme les ordres peuvent être donnés en secret si le ministre le souhaite, il pourrait ne pas être permis au fournisseur d’accès Internet d’expliquer à la personne pourquoi elle a été coupée, ce qui rendra bien sûr difficile pour cette personne de justifier la correction de l’erreur. Un autre exemple serait la possibilité que des modems coupent un réseau s’ils ont été copromis par quelque chose comme un réseau de bots, ce qui aurait pour effet de déconnecter des consommateurs qui pourraient même ignorer que leurs appareils ont été compromis.
Sont également préoccupantes les dispositions très générales concernant l’élargissement du partage d’information avec une longue liste de bénéficiaires potentiels, y compris les ministres des Affaires étrangères et de la Défense nationale, le Service canadien du renseignement de sécurité (SCRS), et aussi, une fois un accord signé, avec les gouvernements provinciaux, étrangers ou les organisations étatiques internationales, encore une fois, à la discrétion du ministre. L’Établissement de la sécurité des communications (CSE), l’agence canadienne de renseignement sur les signaux, est également un destinataire clé de l’information.
Le rôle du CSE exige une réflexion approfondie. Bien sûr, il est logique que le CSE ait un rôle central dans le projet de loi, puisqu’il a un devoir explicite dans son mandat multifacet concernant la cybersécurité intérieure et l’assurance de l’information. Cependant, la cybersécurité n’est pas le seul mandat du CSE; sous leur propre acte de gouvernance leur mandat inclut les cyberattaques actives et défensives — en d’autres termes, pirater d’autres personnes à des fins de renseignement ou de défense et protéger le Canada contre de telles attaques. Toute l’information que le projet de loi C-26 exigera que le CSE soit fournie concernant les incidents de sécurité à travers le Canada est très susceptible de révéler des vulnérabilités jusque-là inconnues dans des programmes que les entreprises, et nous, en tant qu’utilisateurs ordinaires d’ordinateurs, utilisons, et nous nous attendons à ce que lorsque de telles informations sont révélées dans le cadre d’une action pour protéger la cybersécurité, la priorité soit de s’assurer qu’elles soient corrigées. Mais il y a un conflit potentiel, car le CSE pourrait aussi avoir de bonnes raisons de vouloir accumuler des vulnérabilités et les exploiter dans d’autres aspects de son mandat. Il devrait y avoir, mais il n’y a pas, une disposition dans le projet de loi exigeant que les informations reçues à la suite du partage d’informations imposées dans la nouvelle loi ne soient utilisées strictement que dans le cadre des responsabilités de cybersécurité du CSE.
Une garantie que le projet de loi prévoit est la possibilité d’un examen judiciaire d’une directive sur la cybersécurité, qui offre une voie pour contester les ordonnances que l’objet de ces ordonnances jugera déraisonnables ou infondées. Cependant, les règles entourant ces contrôles judiciaires permettent de cacher des preuves secrètes aux demandeurs et à leurs avocats, et permettent aux juges d’utiliser des informations qui n’ont même pas été fournies au demandeur sous forme de résumé élucidé pour leurs décisions. Cela rappelle d’autres types de procès où des informations nuisibles à la sécurité nationale peuvent émerger, mais dans des dossiers de certificats de sécurité nationale en vertu de la Selon la Loi sur l’immigration et la protection des réfugiés (IRPA), il existe une disposition pour qu’un amicus, un avocat spécialement habilité par la sécurité, puisse entendre des preuves secrètes et représenter les intérêts de la personne visée par l’ordonnance. Bien qu’avoir un amicus soit un recours incomplet, la Cour suprême dans l’affaire R c. Harkat a déclaré qu’il répond aux exigences d’un processus équitable. En revanche, selon le C-26, il n’y a pas de tel clin d’œil à un processus équitable. Bien sûr, il y a une différence de conséquences entre une possible expulsion du Canada en vertu de l’IRPA et les implications des amendes et de l’accès en ligne prévues par le C-26, mais en principe, le droit à une défense complète et éclairée est un élément très important de la procédure régulière. Et c’est d’autant plus vrai compte tenu de la récente série de cas où les agences de sécurité nationale du Canada ont été averties par la Cour pour avoir manqué à leur devoir de transparence, ou en d’autres mots, pour avoir omis de tout dire à la Cour pour prendre une bonne décision.
C’est un long article, et cela pourrait être plus long, mais même cette liste incomplète des défauts du projet de loi C-26 suggère la nécessité d’une réflexion sérieuse et d’un amendement important si cette législation proposée vise à offrir les protections en cybersécurité dont le Canada a besoin, ainsi que les protections pour les droits humains et l’excès des agences de sécurité que nous méritons. Sécurité vs liberté, c’est une fausse dichotomie. Une véritable sécurité et sûreté exigent que les individus soient à l’abri des acteurs malveillants et des intrusions déraisonnables de l’État, et même si c’est un équilibre difficile, c’est celui que la démocratie exige. Le projet de loi C-26 est un projet à surveiller pour tous ceux qui s’intéressent à la vie privée, à la surveillance et à la responsabilité, et la CCLA défendra les réformes nécessaires pour en faire le genre de loi sur la cybersécurité dont les gens du Canada ont besoin.
Lisez la lettre conjointe que la CCLA a cosignée appelant à la réforme du projet de loi C-26.
À propos de l’Association canadienne des libertés civiles
La CCLA est une organisation indépendante à but non lucratif avec des partisans de partout au pays. Fondée en 1964, la CCLA est une organisation nationale de défense des droits humains engagée à défendre les droits, la dignité, la sécurité et les libertés de toutes les personnes au Canada.
Pour les médias
Pour plus de commentaires, veuillez nous contacter à media@ccla.org.
Pour des mises à jour en direct
Veuillez continuer à consulter cette page et nos plateformes de médias sociaux. Nous sommes sur Instagram, Facebook, Twitter et Blue Sky.
