Lettre de préoccupation commune concernant le projet de loi C-26

28 septembre 2022

A :

L’honorable Marco E. L. Mendicino, C.P., député, ministre de la Sécurité publique.

CC :

L’honorable François-Philippe Champagne, C.P., député, ministre de l’Innovation, de la Science et de l’Industrie.

L’honorable Pierre Poilievre, C.P., député, chef de l’opposition

Yves-François Blanchet, député, chef du Bloc Québécois

Jagmeet Singh, député, chef du NPD

Elizabeth May, députée, chef de file parlementaire des Verts

Lettre de préoccupation commune concernant le projet de loi C-26

Monsieur le Ministre,

Nous, les organisations soussignées, vous écrivons pour vous faire part de nos vives inquiétudes concernant le projet de loi C-26 : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Dans votre communiqué de presse annonçant cette législation, vous avez déclaré : « Au 21e siècle, la cybersécurité est la sécurité nationale ». Nous sommes d’accord et nous partageons votre objectif d’aider les secteurs public et privé à mieux se protéger contre les cyberattaques.

Cependant, dans sa forme actuelle, le projet de loi C-26 est profondément problématique et doit être corrigé. Telle qu’elle est rédigée, elle risque de porter atteinte à nos droits en matière de protection de la vie privée, ainsi qu’aux principes d’une gouvernance responsable et d’une procédure judiciaire régulière, qui constituent la trame de la démocratie canadienne. La législation doit être modifiée sur le fond afin de garantir des protections efficaces en matière de cybersécurité tout en préservant ces principes démocratiques essentiels.

Comme vous le savez, le projet de loi C-26 accorde au gouvernement de nouveaux pouvoirs étendus sur de vastes pans de l’économie canadienne. Nous pensons que ces pouvoirs doivent être strictement délimités et accompagnés de garanties significatives et d’exigences en matière de rapports, afin que les Canadiens puissent demander des comptes à leur gouvernement et aux agences de sécurité. En d’autres termes, un grand pouvoir doit s’accompagner d’une grande responsabilité.

En vue d’améliorer cette législation, nous partageons avec vous les domaines de préoccupation spécifiques suivants :

• Ouvre la porte à de nouvelles obligations de surveillance : Le projet de loi C-26 permet au gouvernement d’ordonner secrètement aux fournisseurs de télécommunications « de faire quelque chose ou de s’abstenir de faire quelque chose ». Cela ouvre la porte à l’imposition d’obligations de surveillance à des entreprises privées et à d’autres risques tels que l’affaiblissement des normes de cryptage – ce que le public rejette depuis longtemps comme étant incompatible avec nos droits à la vie privée.
• Cessation des services essentiels : En vertu du projet de loi C-26, le gouvernement peut interdire à une personne ou à une entreprise de recevoir des services spécifiques, et à toute entreprise d’offrir ces services à d’autres, sur ordre secret du gouvernement. Cela ouvre la porte à ce que des entreprises ou des individus canadiens soient coupés de services essentiels sans explication. Le projet de loi C-26 ne prévoit pas de régime explicite, tel qu’un régulateur indépendant doté de pouvoirs solides, pour traiter les impacts collatéraux des ordonnances de sécurité du gouvernement.
• Porte atteinte à la vie privée : Le projet de loi C-26 autorise le gouvernement à collecter de vastes catégories d’informations auprès d’opérateurs désignés, dans n’importe quel délai et sous n’importe quelles conditions. Cela peut permettre au gouvernement d’obtenir des informations personnelles identifiables et dépersonnalisées et de les distribuer ensuite à des organisations nationales, voire étrangères.
• Aucun garde-fou pour limiter les abus : Le projet de loi C-26 ne prévoit pas d’évaluation obligatoire de la proportionnalité, de la protection de la vie privée ou de l’équité, ni d’autres garde-fous pour limiter les abus des nouveaux pouvoirs qu’il accorde au gouvernement – pouvoirs assortis d’amendes élevées, voire de peines d’emprisonnement, en cas de non-respect. Ces ordonnances s’appliquent à la fois aux entreprises de télécommunications et à un large éventail d’autres entreprises et organismes réglementés par le gouvernement fédéral et désignés en vertu de la loi sur la protection des systèmes cybernétiques critiques (Critical Cyber Systems Protection Act – CCSPA). Des poursuites peuvent être engagées pour des violations présumées d’ordonnances de sécurité qui se sont produites jusqu’à trois ans auparavant.
• Le secret nuit à l’obligation de rendre des comptes et à la régularité des procédures : Le projet de loi C-26 permet au gouvernement d’entourer ses ordonnances de secret, sans obligation de rapport public. Bien qu’il soit compréhensible qu’un certain degré de confidentialité soit nécessaire dans ce domaine, le public doit avoir une idée de la manière dont ces pouvoirs sont exercés, de leur fréquence et de leurs effets, si l’on veut que les décideurs soient tenus de rendre des comptes. Les personnes et les services concernés par le projet de loi C-26 doivent également avoir la possibilité de contester les ordonnances de sécurité.
• Les ordonnances inconnues l’emportent sur les réglementations publiques : Le projet de loi C-26 fait tellement pencher la balance vers le secret que ses ordonnances et réglementations peuvent prévaloir sur des décisions prises antérieurement par des organismes de réglementation, ce qui risque de créer une confusion lorsque ces décisions réglementaires sont publiques alors que les ordonnances de sécurité ne le sont pas. Cela menace l’intégrité et l’accessibilité des cadres réglementaires du Canada et rend les règles relatives à la sécurité actuellement en vigueur inconnues du public.
• Des preuves secrètes devant les tribunaux : Même si les ordonnances de sécurité font l’objet d’un contrôle judiciaire, le projet de loi C-26 pourrait restreindre l’accès des demandeurs aux preuves. La législation ne prévoit pas la désignation d’avocats ayant une habilitation de sécurité au nom des demandeurs, comme c’est le cas dans d’autres affaires liées à la sécurité nationale. Bien que de telles dispositions constituent une solution imparfaite pour le respect des droits de la défense, elles offrent au moins un niveau minimal de protection des droits des demandeurs. La loi C-26 autorise même les juges à prendre des décisions basées sur des preuves secrètes qui ne sont pas fournies, même sous forme de résumé, aux demandeurs ou à leur équipe juridique. Il incombe également à la personne visée par l’ordonnance de sécurité d’intenter une action en justice, avec les coûts que cela implique.
• Pouvoir sans responsabilité pour le CST : La LCSPC permettrait au Centre de la sécurité des télécommunications – l’agence canadienne de renseignement sur les transmissions et de cybersécurité – d’obtenir et d’analyser des données relatives à la sécurité provenant d’entreprises auxquelles les Canadiens confient leurs informations personnelles les plus sensibles. Il s’agit notamment des banques et des coopératives de crédit sous réglementation fédérale, des fournisseurs de télécommunications et d’énergie, et même de certaines agences de transport en commun. L’utilisation de ces informations par le CST n’est pas limitée à l’aspect cybersécurité de son mandat, et toute utilisation serait largement soumise à un examen a posteriori plutôt qu’à un contrôle en temps réel, ce qui entraînerait un déficit important en matière de responsabilité démocratique.
• Absence de justification : Bien que le gouvernement affirme que de nouveaux pouvoirs aussi étendus et secrets sont nécessaires, il n’a pas publié de données suffisamment complètes établissant la nécessité et la proportionnalité des pouvoirs proposés.

En résumé, la cybersécurité est importante et nous devons faire ce qu’il faut : Tous les habitants du Canada peuvent s’accorder sur la nécessité de la cybersécurité. Cependant, les libertés civiles, le respect de la vie privée et la confiance dans l’État de droit et dans une gouvernance responsable sont des éléments fondamentaux de ce sentiment de sécurité. Il est impératif que, dans ses efforts pour assurer une cybersécurité solide pour les citoyens du Canada, le gouvernement garantisse également la responsabilité et le respect des droits fondamentaux.

Au fur et à mesure que le projet de loi C-26 progresse dans le processus législatif, nous nous réjouissons de travailler avec vous, et avec les parlementaires de tous les partis, pour veiller à ce qu’il garantisse une cybersécurité solide pour tous les Canadiens, tout en assurant la responsabilité et le respect de nos droits.

Je vous prie d’agréer, Monsieur le Président, l’expression de mes sentiments distingués,

Association canadienne des libertés civiles

Fondation constitutionnelle canadienne

Coalition pour la surveillance internationale des libertés civiles

Leadnow

Ligue des droits et libertés

OpenMedia

Conseil canadien de la protection de la vie privée et de l’accès à l’information

**

Christopher Parsons, chercheur associé principal au Citizen Lab, Munk School of Global Affairs & Public Policy, Université de Toronto

Tamir Israel, avocat spécialisé dans les droits numériques

Andrew Clement, Professeur émérite, Faculté d’information, Université de Toronto

**

Envoyé mercredi 28 septembre par OpenMedia au nom des organisations et des personnes susmentionnées.