Le projet de loi C-26 est un autre exemple, dans une liste de plus en plus longue, d’une législation qui répondrait à un besoin évident si elle était meilleure. Les projets de loi C-11 (modification de la loi sur la radiodiffusion), C-27 (protection de la vie privée et gouvernance de l’IA), S-7 (fouille des appareils à la frontière) et C-20 (dispositions attendues depuis longtemps concernant la surveillance de la GRC et de l’ASFC) figurent également sur cette liste.
Disposer d’un cadre juridique clair sur les attentes et les responsabilités en matière de cybersécurité pour les opérateurs d’infrastructures critiques fédérales est une bonne chose, qui aurait probablement dû être mise en place depuis longtemps. En outre, le Le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et d’autres lois en conséquence, tente de mettre en place un tel cadre.
Elle modifie la loi sur les télécommunications et donne au gouverneur en conseil et au ministre de l’industrie le pouvoir de donner des instructions aux fournisseurs de services de télécommunications pour leur demander de faire ou de cesser de faire tout ce qu’ils jugent nécessaire pour la sécurité des infrastructures. Il crée également un régime de sanctions administratives pécuniaires pour veiller à ce que les fournisseurs se conforment à ces instructions et prévoit un contrôle judiciaire de ces ordonnances. La loi C-26 crée en outre une nouvelle loi sur la protection des systèmes cybernétiques critiques (Critical Cyber Systems Protection Act). Loi sur la protection des systèmes cybernétiques essentiels afin de créer un cadre pour la protection des « cyber-systèmes essentiels de services et de systèmes qui sont vitaux pour la sécurité nationale ou la sécurité publique ». Il s’agit de systèmes appartenant à des secteurs réglementés par le gouvernement fédéral, tels que les banques, les télécommunications, l’énergie nucléaire et les infrastructures, y compris les systèmes de transport. La nouvelle loi permet au gouverneur en conseil de désigner un service comme vital et d’exiger des opérateurs de ces services qu’ils élaborent des plans et des programmes de cybersécurité, qu’ils partagent des informations avec les organismes désignés et qu’ils imposent des conséquences en cas de non-conformité, avec des amendes pouvant aller jusqu’à 15 millions de dollars et des peines d’emprisonnement potentielles. En d’autres termes, le projet de loi C-26 a une portée ambitieuse.
Les problèmes posés par le projet de loi résident dans le fait que les pouvoirs nouveaux et discrétionnaires introduits par le projet de loi C-26 ne sont pas assortis de garanties permettant de s’assurer que ces pouvoirs sont utilisés, le cas échéant, de manière proportionnée, en tenant dûment compte du respect de la vie privée et des autres droits. L’absence de dispositions relatives à la responsabilité et à la transparence rend la situation encore plus inquiétante.
Par exemple, l’article 15 des amendements à la loi sur les télécommunications Le projet de loi donne au ministre de l’Industrie, après consultation du ministre de la Sécurité publique, le pouvoir discrétionnaire (le texte du projet de loi fait référence à « l’avis du ministre ») d’interdire à un fournisseur de services de télécommunications de fournir tout service à toute personne spécifiée (y compris un autre fournisseur de télécommunications), ou d’exiger d’un fournisseur de télécommunications qu’il suspende ses services pour une durée quelconque à toute personne (y compris, encore une fois, un autre fournisseur de télécommunications). En d’autres termes, les services peuvent être coupés à tout moment si le ministre estime que cela est nécessaire pour prévenir une liste de menaces qui comprend, entre autres, l’interférence, la manipulation ou la perturbation d’un réseau. Ainsi, par exemple, si un ransomware est correctement tracé jusqu’à une adresse IP, la personne qui se trouve à cette adresse peut être coupée de l’internet. Mais si un ransomware est mal localisé, la personne mal identifiée peut également être coupée du réseau. Et comme les ordonnances peuvent être rendues secrètes si le ministre le souhaite, il se peut que le fournisseur d’accès à Internet n’ait pas le droit de dire à la personne concernée pourquoi elle a été coupée, ce qui, bien sûr, compliquera la tâche de cette personne lorsqu’il s’agira de faire corriger l’erreur. Un autre exemple serait la possibilité de couper les modems d’un réseau s’ils ont été copromis par quelque chose comme un réseau de robots, ce qui aurait pour effet de déconnecter les consommateurs qui ne savent peut-être même pas que leurs appareils ont été compromis.
Les dispositions très générales relatives à l’élargissement de l’échange d’informations avec une longue liste de destinataires potentiels, dont les ministres des affaires étrangères et de la défense nationale, le Service canadien du renseignement de sécurité (SCRS) et, une fois l’accord signé, les gouvernements provinciaux, les gouvernements étrangers ou les organisations internationales d’État, à la discrétion du ministre, sont également préoccupantes. Le Centre de la sécurité des télécommunications (CST), l’agence canadienne de renseignement d’origine électromagnétique, est également un destinataire clé des informations.
Le rôle du CST doit être examiné attentivement. Il est évidemment logique que le CST se voie confier un rôle central dans le projet de loi, puisqu’il a une mission explicite dans le cadre de son mandat à plusieurs volets concernant la cybersécurité nationale et l’assurance de l’information. Cependant, la cybersécurité n’est pas le seul mandat du CST. leur propre loi son mandat comprend les cyberattaques actives et défensives – en d’autres termes, le piratage d’autrui à des fins de renseignement ou de défense et la protection du Canada contre de telles attaques. Toutes les informations que le projet de loi C-26 obligera le CST à fournir concernant les incidents de sécurité au Canada sont très susceptibles d’exposer des vulnérabilités précédemment inconnues dans les programmes que les entreprises, et nous-mêmes en tant qu’utilisateurs ordinaires d’ordinateurs, utilisons, et nous nous attendrions à ce que lorsque de telles informations sont révélées dans le cadre de l’action visant à protéger la cybersécurité, la priorité soit de veiller à ce que ces vulnérabilités soient corrigées. Mais il existe un conflit potentiel, car le CST pourrait également avoir de bonnes raisons de vouloir stocker des vulnérabilités et de les exploiter dans le cadre d’autres aspects de son mandat. Le projet de loi devrait contenir une disposition exigeant que les informations reçues dans le cadre de l’échange d’informations prévu par la nouvelle loi ne soient utilisées que dans le cadre des responsabilités du CST en matière de cybersécurité, mais ce n’est pas le cas.
Le projet de loi prévoit toutefois des dispositions relatives au contrôle judiciaire d’une directive sur la cybersécurité, qui permet de contester les ordres que la personne qui en fait l’objet estime déraisonnables ou non fondés. Cependant, les règles relatives à ces contrôles judiciaires permettent de cacher des preuves secrètes aux demandeurs et à leurs avocats et autorisent les juges à utiliser des informations qui n’ont même pas été fournies au demandeur sous forme de résumé aseptisé pour rendre leurs décisions. Cela rappelle d’autres types de procès où des informations préjudiciables à la sécurité nationale peuvent être révélées, mais dans les affaires de certificats de sécurité nationale, en vertu de la Loi sur l’immigration et la protection des réfugiés (LIPR), il existe une prévoit qu’un amicusun avocat spécial bénéficiant d’une habilitation de sécurité, pour entendre les preuves secrètes et représenter les intérêts de la personne faisant l’objet de l’ordonnance. Bien que la présence d’un amicus soit une solution incomplète, la Cour suprême dans l’affaire R c. Harkat a déclaré qu’il répondait aux exigences d’une procédure équitable. En revanche, dans le cadre du projet de loi C-26, il n’y a pas de référence à une procédure équitable. Bien sûr, il y a une différence de conséquences entre la possibilité d’être expulsé du Canada en vertu de la LIPR et les amendes et les implications de l’accès en ligne en vertu de la loi C-26, mais en principe, le droit de faire une défense complète et informée est un élément très important d’une procédure équitable. C’est d’autant plus vrai qu’il y a eu récemment une série d’affaires dans lesquelles les agences de sécurité nationale du Canada ont été mises en garde par la Cour pour avoir manqué à leur devoir de franchise. pour avoir manqué à leur devoir de franchiseou, en d’autres termes, de ne pas avoir dit à la Cour tout ce qu’elle devrait savoir pour prendre une bonne décision.
Cet article est long et pourrait l’être encore plus, mais même cette liste incomplète des lacunes du projet de loi C-26 suggère la nécessité d’une réflexion approfondie et d’un amendement important si l’on veut que ce projet de loi fournisse les protections de cybersécurité dont le Canada a besoin, ainsi que les protections des droits de l’homme et des abus des agences de sécurité que nous méritons. La sécurité contre la liberté est une fausse dichotomie. La sécurité et la sûreté véritables exigent que les individus soient à l’abri des acteurs malveillants et des intrusions déraisonnables de l’État, et bien qu’il s’agisse d’un équilibre difficile, c’est l’équilibre que la démocratie exige. Le projet de loi C-26 est à surveiller pour toutes les personnes concernées par la vie privée, la surveillance et la responsabilité, et l’ACLC plaidera en faveur des réformes nécessaires pour en faire le type de loi sur la cybersécurité dont les gens ont besoin à travers le Canada.
Lisez la lettre commune que l’ACLC a cosignée pour demander une réforme du projet de loi C-26..
About the Canadian Civil Liberties Association
The CCLA is an independent, non-profit organization with supporters from across the country. Founded in 1964, the CCLA is a national human rights organization committed to defending the rights, dignity, safety, and freedoms of all people in Canada.
For the Media
For further comments, please contact us at media@ccla.org.
