Notes des comités parlementaires : Débat en deuxième lecture
Projet de loi C-26, Loi concernant la cybersécurité
Résumé
Le 14 juin 2022, le gouvernement a déposé à la Chambre des communes le projet de loi C-26, Loi concernant la cybersécurité. Le débat en deuxième lecture a commencé le 1er décembre 2022 et a repris le 6 et le 23 mars 2023. Le projet de loi a été renvoyé au Comité permanent de la sécurité publique et nationale (SECU) le 27 mars 2023.
Tout au long du débat, les partis d'opposition ont exprimé un appui de haut niveau à l'intention du projet de loi de renforcer la cybersécurité et de fournir des pouvoirs qui pourraient être utilisés pour restreindre l'utilisation de produits provenant de fournisseurs à risque élevé. Cependant, ils ont également formulé des critiques sur le manque de surveillance perçu par rapport aux nouveaux pouvoirs que le projet de loi accorde au gouvernement et aux dispositions de confidentialité concernant les ordonnances et les directives. Tous les partis ont indiqué souhaiter que le projet de loi soit renvoyé au SECU afin que les membres de ce comité puissent entendre des témoins experts sur la meilleure façon de traiter ces questions au moyen d'amendements.
Questions soulevées par les partis
De nombreux députés ont participé aux trois séances de débat en deuxième lecture. Le Parti conservateur du Canada (PCC), le Bloc Québécois, le Parti libéral du Canada, le Nouveau Parti démocratique et le Parti vert ont tous fait des interventions. La grande majorité des allocutions ont été prononcées par des députés conservateurs.
Des propositions d'amélioration se divisant en deux catégories principales ont été soulevées à maintes reprises par les parlementaires : 1) veiller à ce que les nouveaux pouvoirs du gouvernement soient assortis de mécanismes de contrôle appropriés afin d'éviter leur utilisation abusive et d'améliorer la responsabilité; et 2) protéger la vie privée des Canadiens. Ces critiques ont été formulées à la suite de commentaires des intervenants de l'industrie, de la société civile et du monde universitaire. Des préoccupations assez courantes, mais qui sont moins ressorties s'inscrivaient dans une troisième catégorie, soit les répercussions possibles pour les petites et moyennes entreprises (PME).
Le résumé ci-dessous est présenté par parti politique, et quelques points se chevauchent.
Parti conservateur du Canada
Le PCC a largement soutenu le projet et a longuement parlé de la nécessité d'une législation telle que le projet de loi C-26 et du fait qu'il était plus que temps d'avoir une loi « interdisant Huawei ». Les députés ont insisté à plusieurs reprises sur les menaces que représentent les États adversaires, notamment la Chine et la Russie. Les orateurs ont clairement indiqué à plusieurs reprises que le PCC voterait en faveur du projet de loi C-26 en deuxième lecture et le renverrait à une étude en comité.
Tout en soutenant l'intention du projet de loi, les députés conservateurs ont exprimé leurs préoccupations, et plusieurs orateurs ont clairement indiqué qu'ils attendaient des amendements pour répondre à certaines des préoccupations exprimées, notamment en ce qui concerne : 1) la perception d'un manque de surveillance et de limites aux pouvoirs; 2) une meilleure protection des renseignements personnels des Canadiens; et 3) les coûts de mise en conformité pour les PME.
- Perception d'un manque de surveillance et de limites aux pouvoirs. Les députés conservateurs soutiennent le projet de loi, mais ont exprimé leurs inquiétudes quant aux nouveaux pouvoirs étendus que le projet de loi accorde au gouvernement et ont cité la formulation des modifications proposées à la Loi sur les télécommunications (TA) qui permettraient au ministre ou au gouverneur en conseil d'ordonner aux fournisseurs de services de télécommunications « de faire ou de s'abstenir de faire toute chose ». Cette citation est partielle, mais elle a néanmoins attiré beaucoup d'attention. Le projet de loi nuance cette phrase en faisant référence à tout ce qui est précisé dans l'ordonnance et « qu'il estime nécessaire pour sécuriser le système canadien de télécommunication, notamment face aux menaces d'ingérence, de manipulation ou de perturbation ». Les députés ont déclaré que cela devait être équilibré par un niveau approprié de responsabilité.
- Il a aussi été question de préoccupations quant à l'étendue des pouvoirs. Les dispositions concernant la capacité du ministre à ordonner à un fournisseur de services de télécommunications « de faire ou de s'abstenir de faire toute chose » (conçue comme une disposition fourre-tout et limitée par d'autres facteurs), et la capacité à ordonner la cessation d'un service de télécommunications, ont été citées par les intervenants ainsi que par les députés au cours du débat. Une étude importante de l'Université de Toronto a estimé que le projet de loi pourrait être modéré par l'inclusion de principes limitatifs fondés sur « la proportionnalité, la nécessité et le caractère raisonnable », et plusieurs orateurs ont cité cette étude et cette solution en particulier.
- Le texte de loi est conçu pour que le Cabinet ou le ministre prenne des mesures en cas de besoin, mais il ne cherche pas à éviter la responsabilité. Comme il est envisagé, les ordonnances seront probablement rares et exceptionnelles, et les ordonnances de confidentialité encore plus rares. Cela dit, ce point n'est pas explicitement précisé dans le texte.
- Plusieurs députés du PCC ont indiqué souhaiter qu'il y ait un examen parlementaire et ont suggéré la nécessité d'un contrôle parlementaire accru. Les ordonnances rendues en vertu de la Loi sur les télécommunications seront publiques par défaut, mais il existe des dispositions permettant de les garder confidentielles. L'idée de produire un rapport annuel a également été évoquée. Par exemple, le député Shipley a déclaré que les conservateurs aimeraient que le ministre présente un rapport annuel sur les mesures prises et qu'il rende publiques les ordonnances que le gouvernement rend en vertu de ces nouveaux pouvoirs. Nombre de ces commentaires sont liés à une méfiance à l'égard de la procédure du Cabinet ou du seul pouvoir discrétionnaire du ministre. Il est également possible qu'on propose la participation du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) à l'examen des ordonnances de confidentialité.
- Un député a suggéré que, dans un scénario extrême, un futur gouvernement pourrait utiliser le projet de loi pour abuser des libertés civiles des Canadiens ou s'immiscer dans leur vie privée. Pour y remédier, il a suggéré de mettre en place des mesures de protection, comme l'intégration dans la législation d'un ombudsman ou d'un comité de surveillance pour prévenir les abus.
- La protection des renseignements personnels doit être traitée de façon plus explicite dans le projet de loi. Le projet de loi ne mentionne ni la Charte ni la Loi sur la protection des renseignements personnels. Faisant écho aux commentaires de l'Association canadienne des libertés civiles, plusieurs orateurs ont fait remarquer que le ministre disposait de vastes pouvoirs pour demander des renseignements et les communiquer à l'ensemble du gouvernement, dont les ministères responsables de la sécurité, et éventuellement à d'autres pays. Ces pouvoirs s'inspirent de ceux du CRTC, mais leur transposition dans le contexte de la sécurité fait craindre qu'ils soient utilisés pour surveiller des personnes ou recueillir des renseignements personnels de nature délicate.
- Les députés conservateurs ont également posé des questions sur le traitement des renseignements de nature délicate obtenus auprès des fournisseurs, en particulier sur les mesures de protection concernant l'échange de renseignements entre les entreprises et le ministre responsable, des renseignements qui peuvent ensuite être transmis à d'autres ministres et organismes gouvernementaux. Ils se sont interrogés sur la sécurité des renseignements de nature délicate fournis au gouvernement par les entreprises conformément aux exigences de déclaration, y compris leurs plans de cybersécurité, étant donné que le gouvernement fédéral lui-même n'est pas à l'abri du piratage.
- Lourdeurs administratives, sanctions élevées et coûts de mise en conformité, en particulier pour les PME. Certains orateurs ont mentionné que les coûts pour les PME pourraient s'avérer inabordables et que les PME ayant subi des pertes à la suite d'un cyberincident pourraient les considérer comme une « accumulation ». Les PME pourraient avoir à assumer des coûts pour se conformer aux exigences du projet de loi ou pour payer les sanctions susceptibles de leur être imposées. Des intervenants, dont le Conseil canadien des affaires, ont soutenu que la conformité au projet de loi C-26 pourrait imposer des coûts excessifs, et ces opinions ont été citées au cours du débat. Compte tenu des ressources de certains grands exploitants, les sanctions sont élevées (jusqu'à 15 millions de dollars par jour).
- De députés ont également transmis des préoccupations exprimées publiquement par les organisations canadiennes de défense des libertés civiles, ainsi que par le Conseil canadien des affaires, en décrivant cette mesure comme des formalités administratives n'ayant aucun incitatif pour les PME, qui auraient plus de difficultés à se conformer, entre autres, à ce qu'ils considèrent comme des mécanismes de déclaration lourds. Un député a suggéré au gouvernement de faire preuve de créativité et d'envisager des déductions fiscales pour les dépenses en immobilisations, des compensations pour les pertes ou un financement supplémentaire pour les fournisseurs de services de télécommunications plus petits ou ruraux, et a laissé entendre que les coûts liés aux formalités administratives pourraient mettre les petits acteurs en faillite.
Bloc Québécois
Le Bloc Québécois a demandé pourquoi le gouvernement reste réactif en matière de cybersécurité. Les députés bloquistes ont critiqué le gouvernement pour le temps qu'il lui a fallu pour agir à l'égard de Huawei et pour le fait qu'il a été le dernier des alliés du Groupe des cinq à annoncer une position sur la sécurité de la 5G. Ils ont demandé si le principe de précaution ne devrait pas être appliqué plus systématiquement, conformément aux recommandations formulées par le Comité permanent des opérations gouvernementales et des prévisions budgétaires dans son rapport de juin 2021 intitulé Garantir un cadre de sécurité solide pour les marchés publics fédéraux (les recommandations du rapport visent à prendre davantage en compte la sécurité nationale dans le processus d'approvisionnement).
En ce qui concerne les administrations provinciales, elles s'inquiètent de l'incidence que ce projet de loi pourrait avoir sur les entreprises et les organisations québécoises comme Hydro-Québec, puisqu'il désigne les systèmes de lignes électriques interprovinciaux comme des services critiques et des systèmes critiques. Ils ont fait référence aux conservateurs et à leur « fameux grand corridor énergétique » et ont demandé si le gouvernement fédéral pourrait utiliser le projet de loi pour s'approprier des responsabilités provinciales et des infrastructures essentielles au nom de la sécurité nationale.
Les députés du Bloc ont exprimé leur inquiétude quant à l'incidence sur les petits acteurs. Ils ont déclaré que les cyberattaques contre les entreprises peuvent être soudaines et inattendues, et que toutes les entreprises n'ont pas les moyens d'investir dans la cybersécurité ou dans des mécanismes de protection.
Le Bloc s'est fait l'écho des commentaires du PCC sur la responsabilité. Ils ont posé une question sur la responsabilité : puisque les décisions seront prises par décret, cela signifie-t-il qu'en vertu de ce projet de loi, le gouvernement aura recours à des décrets pour gouverner dans ce domaine au lieu de passer par les parlementaires? Ils ont également demandé quels mécanismes existent dans le projet de loi C-26 qui aideraient à garantir la confiance du public, à la fois dans l'Internet et de manière plus générale. Les orateurs du Bloc ont vu un lien clair avec le projet de loi C-11 sur la culture numérique, et ont exprimé des inquiétudes quant à l'utilisation abusive possible de renseignements privés par Tik Tok et Facebook, qui ne sont pas couverts par le projet de loi C-26.
Nouveau Parti démocratique
Les principales préoccupations des députés néo-démocrates à l'égard du projet de loi concernaient ses pouvoirs étendus et l'absence de mécanisme de reddition de comptes, l'incidence possible sur les Canadiens ordinaires, ainsi que le manque de surveillance et de transparence. Ils ont également demandé comment seront protégés les droits d'accéder aux technologies des personnes handicapées, qui dépendent de ces technologies pour réduire leurs obstacles au quotidien.
Le NPD a demandé si le gouvernement serait disposé à travailler avec lui sur des amendements visant à ajouter des protections pour les Canadiens ordinaires. En particulier, ils veulent avoir l'assurance que les Canadiens ne feront pas l'objet d'un examen injuste ou que cette mesure ne s'appliquera pas aux Canadiens ordinaires. Avec les autres partis, ils veulent garantir aux Canadiens ordinaires que les nouveaux pouvoirs, qu'ils qualifient de vastes et d'étendus, ne seront pas appliqués pour surveiller les Canadiens ordinaires.
Sur la question de la transparence, le NPD a insisté sur la nécessité de rendre compte de la mesure dans laquelle les nouveaux pouvoirs sont utilisés et a déclaré que, de la façon dont ils sont rédigés, « il n'y aura pas de base factuelle pour évaluer si ces pouvoirs ont été utilisés de façon appropriée ou adéquate, ou s'ils doivent être modifiés à l'avenir ».
Parti vert
Le Parti vert a exprimé son inquiétude quant aux pouvoirs du Centre de la sécurité des télécommunications (CST). Il a fait référence à une lettre ouverte de groupes de défense des libertés civiles appelant à des améliorations du projet de loi, en particulier en ce qui concerne les préoccupations selon lesquelles « le secret nuit à la reddition de comptes et à l'application régulière de la loi ». Il a exprimé son intérêt pour des améliorations qui garantiraient une meilleure reddition de comptes au public et un meilleur équilibre entre la nécessité d'améliorer la cybersécurité et le maintien de la responsabilité et de la transparence.
- Date de modification :