Notes des comités parlementaires : Déclaration de la Charte
Projet de loi C-26 : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois
Déposé à la Chambre des communes le 14 décembre 2022
Note explicative
L'article 4.2 de la Loi sur le ministère de la Justice exige que le ministre de la Justice prépare un « Énoncé concernant la Charte » pour chaque projet de loi du gouvernement afin d'éclairer le débat public et parlementaire au sujet d'un projet de loi du gouvernement. L'une des plus importantes responsabilités du ministre de la Justice est d'examiner le projet de loi afin d'évaluer s'il est incompatible avec la Charte canadienne des droits et libertés (« la Charte »). Par le dépôt d'un Énoncé concernant la Charte, le ministre partage plusieurs des considérations principales ayant informé l'examen visant à vérifier si un projet de loi est incompatible avec la Charte. L'Énoncé recense les droits et libertés garantis par la Charte susceptibles d'être touchés par un projet de loi et il explique brièvement la nature de ces répercussions, eu égard aux mesures proposées.
Un Énoncé concernant la Charte présente également les raisons pouvant justifier les restrictions qu'un projet de loi pourrait imposer aux droits et libertés garantis par la Charte. L'article premier de cette dernière prévoit que ces droits et libertés peuvent être assujettis à des limites raisonnables, pourvu qu'elles soient prescrites par une règle de droit et que leurs justifications puissent se démontrer dans le cadre d'une société libre et démocratique. Cela signifie que le Parlement peut adopter des lois qui limitent les droits et libertés garantis par la Charte. Il n'y aura violation de la Charte que si la justification de ces limites ne peut être démontrée dans le cadre d'une société libre et démocratique.
Un Énoncé concernant la Charte vise à fournir des renseignements juridiques au public et au Parlement se rapportant aux effets possibles d'un projet de loi sur les droits et libertés dans la mesure où ces effets ne sont ni négligeables ni trop théoriques. Il ne s'agit pas d'un exposé détaillé de toutes les considérations liées à la Charte envisageables. D'autres considérations constitutionnelles pourraient également être soulevées pendant l'examen parlementaire et la modification d'un projet de loi. Un Énoncé ne constitue pas un avis juridique sur la constitutionnalité d'un projet de loi.
Considérations relatives à la Charte
Le ministre de la Justice a examiné le projet de loi C‑26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois, afin d'évaluer s'il est incompatible avec la Charte, suite à l'obligation que lui impose l'article 4.1 de la Loi sur le ministère de la Justice. Cet examen comprenait la prise en considération des objectifs et des caractéristiques du projet de loi.
Voici une analyse non exhaustive des façons par lesquelles le projet de loi C-26 est susceptible de toucher les droits et libertés garantis par la Charte. Elle est présentée en vue d'aider à éclairer le débat public et parlementaire relativement au projet de loi. Elle ne constitue pas une description exhaustive de l'ensemble du projet de loi; elle est plutôt axée sur les éléments qu'il convient de prendre en compte aux fins d'un Énoncé concernant la Charte.
Voici les principaux droits et libertés protégés par la Charte qui sont susceptibles d'être touchés par les mesures proposées :
- Liberté d'expression (alinéa 2b)) – L'alinéa 2b) de la Charte prévoit que chacun a la liberté de pensée, de croyance, d'opinion et d'expression, y compris la liberté de la presse et d'autres moyens de communication. Cela inclut le « principe de transparence judiciaire », selon lequel les membres du public ont le droit d'obtenir des renseignements sur les procédures judiciaires.
- Droit à la vie, à la liberté et à la sécurité (article 7) – L'article 7 de la Charte garantit à chacun le droit à la vie, à la liberté et à la sécurité de sa personne, et il ne peut être porté atteinte à ce droit qu'en conformité avec les principes de justice fondamentale. Ces principes englobent les notions de caractère arbitraire, de portée excessive et de disproportion totale. Une loi est arbitraire lorsqu'elle touche les droits garantis à l'article 7 d'une manière qui n'est pas rationnellement liée à l'objet de la loi. Une loi d'une portée excessive touche les droits garantis à l'article 7 en ce sens que, bien que généralement rationnelle, elle va trop loin en interdisant certains actes qui n'ont aucun lien avec la réalisation de l'objectif législatif. Une loi est totalement disproportionnée lorsque ses effets sur les droits garantis à l'article 7 sont si sévères qu'ils sont « sans rapport aucun » avec l'objet de la loi. De plus, pour que l'aspect psychologique (mens rea)d'un crime soit compatible avec les principes de justice fondamentale, l'accusé doit à tout le moins pouvoir invoquer la diligence raisonnable.
- Droit à la protection contre les fouilles, les perquisitions ou les saisies abusives (article 8) – L'article 8 de la Charte protège quiconque contre les fouilles, les perquisitions ou les saisies « abusives ». L'objet de cet article est de protéger toute personne contre les intrusions abusives lorsqu'il y a une attente raisonnable en matière de respect de la vie privée. Une fouille, perquisition ou saisie sera raisonnable si elle est autorisée par une loi, si la loi elle‑même est raisonnable (en ce sens qu'elle établit un équilibre entre le respect de la vie privée et les intérêts que poursuit l'État), et si elle est menée de manière raisonnable.
- Droits qui s'appliquent à tout inculpé (article 11) – L'article 11 de la Charte garantit certains droits à toute personne qui a été accusée d'une infraction. Une personne est inculpée au sens de l'article 11 si elle est visée par une procédure de nature criminelle ou qui entraîne de « véritables conséquences pénales ». Les véritables conséquences pénales comprennent l'emprisonnement et les amendes ayant un objectif ou un effet punitif, comme cela peut être le cas lorsque l'amende ou la sanction est disproportionnée par rapport au montant requis pour atteindre les objectifs réglementaires.
Partie 1 – modifications à la Loi sur les télécommunications
Le projet de loi modifierait la Loi sur les télécommunications de manière à ajouter la promotion de la sécurité aux neuf objectifs de la politique canadienne de télécommunication énumérés dans cette loi, et à arrimer les télécommunications aux autres secteurs essentiels. Il ajouterait de nouveaux pouvoirs à la Loi sur les télécommunications, lesquels permettraient au gouvernement de prendre des mesures pour promouvoir la sécurité du système canadien de télécommunication.
Le gouverneur en conseil et le ministre de l'Industrie auraient désormais des pouvoirs d'ordonner qu'ils pourraient exercer s'ils étaient d'avis que cela est nécessaire pour sécuriser le système canadien de télécommunications, notamment face aux menaces d'ingérence, de manipulation ou de perturbation. Les arrêtés et décrets ainsi pris s'appliqueraient aux fournisseurs de services de télécommunications (FST). À titre d'exemple, les FST pourraient se voir interdire, par arrêté, d'utiliser les produits et les services fournis par toute personne ou entreprise précisée par le ministre; se voir ordonner de retirer des produits en particulier de leurs réseaux ou installations de télécommunication; se voir imposer des conditions quant à leur utilisation de produits ou de services; être tenus de soumettre leurs réseaux ou installations à des processus d'examen précisés par le ministre; être tenus d'élaborer des plans de sécurité. Le gouverneur en conseil aurait aussi le pouvoir de prendre des règlements de nature semblable.
Non-divulgation d'arrêtés ou décrets (alinéa 2b) de la Charte)
Le projet de loi permettrait au gouverneur en conseil ou au ministre de l'Industrie, par arrêté ou décret, d'interdire à toute personne de divulguer l'existence de celui-ci ou tout ou partie de son contenu. L'inclusion d'une telle condition dans un arrêté ou un décret particulier est une décision qui serait prise selon les circonstances, au moment de rédiger l'arrêté ou le décret. Quiconque contrevient à cette interdiction commet une infraction et encourt une amende ou un emprisonnement (voir ci-dessous). Étant donné que les dispositions relatives à la non-divulgation figurant dans les arrêtés ou décrets limiteraient ce qu'une personne peut communiquer à une autre, elles sont susceptibles de toucher le droit à la liberté d'expression garanti par l'alinéa 2b) de la Charte.
Les facteurs suivants militent en faveur de la conformité à la Charte des dispositions relatives à la non-divulgation dans les arrêtés ou décrets. Les arrêtés ou décrets comme tels, ainsi que les dispositions relatives à la non-divulgation qu'ils contiennent, poursuivent l'important objectif de sécuriser le système canadien de télécommunications. Les dispositions relatives à la non-divulgation pourraient être appliquées dans des situations où il est important de préserver la confidentialité des renseignements qui portent sur des vulnérabilités visées par un arrêté, ou lorsque des renseignements commerciaux de nature délicate sont en cause. Chaque arrêté ou décret ne contiendra pas nécessairement une disposition relative à la non-divulgation. Le fait d'inclure une telle disposition dans un arrêté ou un décret donné serait une décision discrétionnaire, fondée sur un examen raisonnable des circonstances et des objectifs de l'arrêté ou du décret en question. Les modalités particulières de la disposition de non-divulgation seraient rédigées en fonction du contexte. En règle générale, les dispositions relatives à la non-divulgation restreignent la communication de renseignements sur les opérations techniques des FST, qui sont des entités commerciales. Si les restrictions relatives au discours commercial sont susceptibles de toucher la liberté d'expression, elles n'impliquent habituellement pas les valeurs fondamentales du droit, à savoir la recherche de la vérité dans les affaires politiques et dans les entreprises scientifiques et artistiques, la protection de l'autonomie et de l'épanouissement personnels et la promotion de la participation du public au processus démocratique. Les limites à la liberté d'expression qui ne touchent pas les valeurs fondamentales du droit sont plus faciles à justifier. Enfin, les FST visés par un arrêté ou un décret pourraient solliciter un contrôle judiciaire s'ils souhaitent le contester, en tout ou en partie.
Pouvoirs des inspecteurs et fourniture, échange et divulgation de renseignements (article 8 de la Charte)
Le projet de loi contient plusieurs dispositions permettant au ministre de l'Industrie de réunir et de communiquer des renseignements aux fins de l'administration du régime. L'un des pouvoirs permettrait au ministre d'exiger de toute personne qu'elle fournisse les renseignements à l'égard desquels il a des motifs raisonnables de croire qu'ils sont pertinents dans le cadre de la prise, de la modification ou de la révocation d'un décret, d'un arrêté ou d'un règlement, ou de la vérification du respect ou de la prévention du non-respect de l'un ou l'autre de ces textes. Les personnes qui fournissent certains renseignements de nature délicate, dont des secrets industriels ou des renseignements techniques, peuvent désigner ces renseignements comme confidentiels. Ces derniers pourraient être assujettis à des restrictions particulières en matière de communication et d'utilisation, appuyées par les dispositions relatives aux infractions figurant dans la Loi sur les télécommunications.
Une autre disposition du projet de loi permettrait à divers ministres et fonctionnaires fédéraux d'échanger des renseignements (dont des renseignements désignés comme confidentiels), dans la mesure où cela est nécessaire pour prendre, modifier ou révoquer un décret, un arrêté ou un règlement pris à l'égard d'un FST, ou pour vérifier le respect ou prévenir le non-respect de l'un ou l'autre de ces textes. Le projet de loi permettrait également au ministre de l'Industrie de communiquer des renseignements obtenus au titre de la Loi sur les télécommunications au gouvernement d'une province ou d'un État ou encore à une organisation internationale, s'il croit que ces renseignements pourraient être utiles pour sécuriser le système canadien de télécommunications ou un système de télécommunications étranger. Aux termes du projet de loi, avant de communiquer de tels renseignements, le gouvernement fédéral devrait conclure un accord ou autre forme d'arrangement écrit avec le destinataire de ces renseignements, qu'il s'agisse d'un gouvernement d'une province ou d'un pays étranger ou encore d'une organisation internationale. Cet accord doit comprendre une restriction sur la manière dont le destinataire utilise les renseignements, à savoir qu'il doit les utiliser à des fins réglementaires ou à d'autres fins non pénales. De plus, les renseignements désignés comme confidentiels ne pourraient pas être échangés en vertu de ce pouvoir en particulier.
Enfin, la Loi sur les télécommunications a déjà un régime relatif aux inspections réglementaires menées par des inspecteurs désignés. Il autorise notamment un inspecteur à entrer dans un lieu s'il a des motifs raisonnables de croire que s'y trouvent des objets, des documents ou des renseignements permettant de vérifier le respect ou de prévenir le non-respect de cette loi. Ce régime prévoit aussi le pouvoir d'exiger qu'une personne produise des renseignements que l'inspecteur juge nécessaires pour vérifier la conformité à la Loi ou prévenir les contraventions à la Loi. Au titre du projet de loi, il serait possible d'exercer ces pouvoirs pour vérifier la conformité aux nouveaux types de décrets, d'arrêtés ou de règlements mentionnés ci-dessus, ou de prévenir leur non-respect.
Le pouvoir d'exiger la production de renseignements ou de documents est susceptible de mettre en jeu l'article 8 de la Charte, tout comme les pouvoirs relatifs à l'échange de renseignements au sein du gouvernement fédéral ou avec des entités externes. Les considérations suivantes appuient la compatibilité de ce pouvoir avec l'article 8 de la Charte. Le droit relatif à la vie privée est réduit dans les contextes réglementaire et administratif. De façon générale, les renseignements recueillis, puis échangés dans ce contexte concernent les opérations techniques des FST, qui sont des entités commerciales. Ce ne sont pas non plus des renseignements biographiques ou personnels qui suscitent des attentes élevées en matière de respect de la vie privée. Les pouvoirs conférés par la loi d'exiger la production ou la communication de renseignements pertinents à des fins réglementaires ou administratives plutôt qu'aux fins de mener une enquête sur des infractions criminelles ont été jugés raisonnables au titre de l'article 8.
De plus, le ministre de l'Industrie doit avoir des motifs raisonnables de croire que les renseignements demandés sont pertinents dans le cadre de la prise, de la modification ou de la révocation d'un décret, d'un arrêté ou d'un règlement pris à l'égard d'un FST, ou de la vérification du respect ou de la prévention du non-respect de l'un ou l'autre de ces textes. Le projet de loi comprend des limites quant aux cas où des renseignements peuvent être échangés entre des ministres fédéraux et des fonctionnaires, ainsi que des mécanismes pour protéger les renseignements confidentiels. Il limite aussi la manière dont les renseignements recueillis par le ministre de l'Industrie peuvent être communiqués à des entités ne faisant pas partie du gouvernement fédéral. Enfin, comme les dispositions ci-dessus confèrent un pouvoir discrétionnaire au ministre de l'Industrie au moment de décider s'il prendra des mesures particulières, il devrait exercer ce pouvoir conformément à la Charte. Par suite de l'examen des dispositions pertinentes, le ministre de la Justice n'a repéré aucun effet potentiel qui constituerait une entrave déraisonnable au respect de la vie privée, protégée par l'article 8 de la Charte.
Contrôle judiciaire (alinéa 2b) de la Charte)
Les personnes assujetties à un décret ou un arrêté pris par le gouverneur en conseil ou le ministre de l'Industrie, ou un règlement, pourraient solliciter le contrôle judiciaire du texte en question auprès de la Cour fédérale du Canada. Compte tenu de la nature et de l'objet de ces textes, le contrôle judiciaire pourrait impliquer des renseignements de nature délicate. Le projet de loi mènerait à la création d'un cadre de protection et d'utilisation des renseignements de nature délicate dans une telle procédure. Ce cadre est semblable à ceux qui existent dans plusieurs autres régimes législatifs.
Lorsque le juge est d'avis que la divulgation d'éléments de preuve ou d'autres renseignements pourrait porter atteinte aux relations internationales, à la défense nationale ou à la sécurité nationale, ou mettre en danger la sécurité d'une personne, le juge entendrait les observations sur la preuve ou d'autres renseignements en l'absence du public, du demandeur et de son avocat (c.-à-d. à huis clos). Le juge serait tenu d'assurer la confidentialité de la preuve ou des renseignements. Bien que ces renseignements ne pourraient être divulgués au demandeur, le juge devrait s'assurer que ce dernier obtient un résumé des éléments de preuve ou autres renseignements qui permettrait à ce dernier d'être suffisamment informé de la thèse du gouvernement du Canada. L'application de ces dispositions relatives à la confidentialité pourrait être déclenchée à tout moment au cours d'une instance, à la demande du ministre de l'Industrie.
Ces dispositions du projet de loi sont susceptibles de toucher l'alinéa 2b) de la Charte, en particulier le principe de transparence judiciaire, parce qu'elles exigeraient que les procédures de contrôle judiciaire en lien avec des décrets, des arrêtés ou des règlements soient tenues à huis clos et en l'absence du demandeur lorsque le critère établi dans la Loi est rempli.
Les considérations suivantes appuient la compatibilité de ces dispositions avec l'article 8 de la Charte. À l'instar d'autres droits garantis par la Charte, le principe de transparence judiciaire n'est pas absolu et peut être limité s'il existe des objectifs d'État plus urgents. Protéger des renseignements de nature délicate, dont la divulgation porterait atteinte aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d'autrui, est un objectif important et reconnu de l'État. Le processus d'audience prévu par le projet de loi est conçu de manière à limiter les huis clos aux seules situations où ce type de procédure est nécessaire pour protéger des renseignements de nature délicate. Le juge qui présiderait l'audience serait responsable de déterminer si la divulgation des renseignements porterait atteinte aux dommages énumérés. Plus important encore, le processus ne s'appliquerait qu'aux parties des procédures de contrôle judiciaire qui impliquent des renseignements de nature délicate. Le reste de l'audience serait ouvert au public et le demandeur pourrait y participer. Enfin, tout résumé des éléments de preuve fourni au demandeur en application de ces dispositions serait versé au dossier de la cour qui est accessible au public.
Sanctions administratives pécuniaires (article 11 de la Charte)
La Loi sur les télécommunications comprend déjà un régime de sanctions administratives pécuniaires portant sur des contraventions aux dispositions actuelles de cette loi. Le projet de loi C-26 aurait pour effet d'ajouter un autre régime de ce type à cette loidans le but spécifique de favoriser le respect des décrets, arrêtés et règlements ci-dessus pris à l'égard des FST.
Si le ministre de l'Industrie (ou une personne désignée par lui pour dresser un procès-verbal) a des motifs raisonnables de croire qu'une personne a commis une violation, il pourrait dresser un procès-verbal énonçant, entre autres choses, les faits reprochés, le montant de la pénalité et un résumé des droits de cette personne, notamment celui de demander que la pénalité fasse l'objet d'un examen. Des personnes peuvent être tenues responsables de la commission d'une violation, et les administrateurs et dirigeants d'un exploitant désigné peuvent engager leur responsabilité personnelle dans la commission d'une violation s'ils « l'ont ordonnée ou autorisée, ou [...] y ont consenti ou participé ». Ce régime serait assujetti à l'actuel article 72.17 de la Loi sur les télécommunications, selon lequel la signification d'un procès-verbal empêcherait la police de porter des accusations criminelles, et inversement.
Le projet de loi préciserait que la sanction vise à promouvoir le respect des décrets, arrêtés et règlements, et non à punir. Pour la détermination du montant d'une pénalité, il est tenu compte des divers critères, dont le comportement antérieur de l'intéressé en ce qui a trait au respect ou au non-respect de décrets, arrêtés ou règlements pris en vertu des nouvelles dispositions; la nature et la portée de la violation; tout avantage que l'intéressé a retiré de la commission de la violation. Le régime ne prévoit pas de pénalité minimale. Il limite toutefois le montant maximal d'une sanction administrative pécuniaire à vingt-cinq mille dollars pour une personne physique (ou à cinquante mille dollars en cas de récidive) et à dix millions de dollars pour une société ou une autre personne morale (à ou quinze millions de dollars en cas de récidive).
Les considérations suivantes appuient la conformité du régime avec l'article 11 de la Charte. Le régime de sanctions serait de nature administrative, et les pénalités n'auraient pas de « véritables conséquences pénales ». L'objectif des pénalités serait de favoriser le respect des décrets, arrêtés et règlements pris, et non pas de « punir » comme on l'entend à l'article 11 de la Charte. Le montant des pénalités serait déterminé en fonction des critères définis dans le régime. Même s'il est possible que de lourdes pénalités soient imposées, il est nécessaire d'établir de tels critères étant donné la taille et la nature des exploitants désignés. La possibilité qu'une importante pénalité pécuniaire soit imposée ne touche pas l'article 11. S'il est correctement interprété et appliqué, ce nouveau régime n'aura pas de « véritables conséquences pénales ». Enfin, il serait possible de faire appliquer des pénalités civilement par la Cour fédérale, mais le non-paiement d'une pénalité n'entraînerait pas d'emprisonnement.
Infractions et peines (article 7 de la Charte)
Aux termes du projet de loi C-26, constituerait une infraction le fait de contrevenir à un décret, un arrêté ou un règlement pris par le gouverneur en conseil ou le ministre de l'Industrie. Sur déclaration de culpabilité, le tribunal pourrait imposer une amende d'un montant fixé par lui. Si un particulier est déclaré coupable (plutôt qu'une société ou une personne morale), le tribunal peut imposer un emprisonnement maximal de deux ans moins un jour.
Comme les nouvelles dispositions établissant des infractions pourraient mener à une peine d'emprisonnement, le droit à la liberté garanti par l'article 7 de la Charte est touché. Lorsqu'il a examiné les dispositions relatives aux infractions, le ministre de la Justice n'a pas relevé d'incompatibilité éventuelle par rapport aux principes de justice fondamentale énoncés à l'article 7 de la Charte. La portée de l'infraction est fonction de l'objectif, et sur déclaration de culpabilité, un juge pourra imposer une peine juste et appropriée. Une personne pourra invoquer en défense qu'elle a pris toutes les précautions voulues pour prévenir la perpétration d'une infraction. Enfin, en vertu du projet de loi, nul ne peut être condamné pour contravention à un décret sauf s'il est établi qu'à la date du fait reproché, le décret ou l'arrêté avait été porté à sa connaissance.
Partie 2 – Édiction de la Loi sur la protection des cybersystèmes essentiels
La Partie 2 édicterait la Loi sur la protection des cybersystèmes essentiels, laquelle établirait un cadre pour protéger les « cybersystèmes essentiels » qui appuient les services ou les systèmes relevant de la compétence du Parlement et qui sont critiques pour la sécurité nationale ou la sécurité publique. On entend par « cybersystème essentiel » un cybersystème dont la compromission pourrait menacer la continuité ou la sécurité d'un service critique ou d'un système critique. Les services et les systèmes qui seraient initialement désignés comme « essentiels » sont les services de télécommunications, les systèmes de pipelines et de lignes directrices interprovinciaux ou internationaux, les systèmes d'énergie nucléaire, les systèmes de transport, les systèmes bancaires et les systèmes de compensations et de règlements. Par décret, le gouverneur en conseil pourrait ajouter des systèmes critiques ou des services critiques.
La Loi sur la protection des cybersystèmes essentiels viserait à garantir que les risques pour les cybersystèmes essentiels sont identifiés et gérés. Il s'agit notamment des risques associés à la chaîne d'approvisionnement et à l'utilisation de produits et services de tiers. Elle viserait aussi à garantir que les cybersystèmes essentiels sont protégés contre toute compromission et que sont détectés les incidents de cybersécurité qui touchent ou qui pourraient toucher les cybersystèmes essentiels. Enfin, la Loi viserait à réduire au minimum les conséquences des incidents de cybersécurité.
Pour atteindre ces objectifs, la Loi autoriserait le gouverneur en conseil à désigner des catégories d'exploitants (« exploitants désignés ») qui contrôlent ou exploitent un cybersystème essentiel ou qui en sont propriétaires. Les exploitants désignés seraient assujettis à des obligations précises relatives à la protection des cybersystèmes essentiels. Parmi ces obligations, mentionnons celles d'établir et de mettre en place un programme de cybersécurité, d'atténuer les risques associés à la chaîne d'approvisionnement et aux tiers ainsi que de signaler les incidents de cybersécurité. Le gouverneur en conseil pourrait, par décret, donner des directives (« directives de cybersécurité ») enjoignant un exploitant désigné de se conformer à toute mesure prévue en vue de la protection d'un cybersystème essentiel.
Interdiction de communication (alinéa 2b) de la Charte)
La Loi sur la protection des cybersystèmes essentiels interdirait aux exploitants désignés la communication de renseignements sur l'existence ou le contenu d'une directive de cybersécurité, sauf dans la mesure nécessaire pour s'y conformer. La communication de tels renseignements constituerait une infraction punissable d'une amende ou d'un emprisonnement (voir ci-dessous). Étant donné que la Loi limiterait ce qu'une personne peut communiquer à une autre, elle est susceptible de toucher le droit à la liberté d'expression garanti par l'alinéa 2b) de la Charte.
Les considérations suivantes militent en faveur de la conformité des dispositions relatives à la l'interdiction de communication avec la Charte. Ces dispositions poursuivent l'important objectif de protéger les cybersystèmes essentiels. De manière générale, elles limiteraient la communication de renseignements sur les opérations techniques d'exploitants désignés, qui sont des entités commerciales. Si les restrictions relatives au discours commercial sont susceptibles de toucher la liberté d'expression, elles n'impliquent habituellement pas les valeurs fondamentales du droit, à savoir la recherche de la vérité dans les affaires politiques et dans les entreprises scientifiques et artistiques, la protection de l'autonomie et de l'épanouissement personnels et la promotion de la participation du public au processus démocratique. Les limites à la liberté d'expression qui ne touchent pas les valeurs fondamentales du droit sont plus faciles à justifier.
Pouvoirs des inspecteurs et pouvoirs de communication et de contrainte (article 8 de la Charte)
La Loi sur la protection des cybersystèmes essentiels créerait un certain nombre de pouvoirs relatifs à la collecte et à la communication de renseignements, et ces pouvoirs seraient similaires à ceux prévus dans d'autres lois et règlements. Pour vérifier le respect ou le non-respect de la Loi ou de ses règlements, des personnes désignées seraient autorisées à entrer dans tout lieu auquel s'appliquent les exigences de la Loi et à y mener des inspections. Aux termes de la Loi, l'organisme réglementaire d'un exploitant désigné pourrait exiger que toute personne, société de personnes ou organisation non dotée de la personnalité morale lui fournisse les renseignements dont il a besoin aux fins de la vérification du respect ou de la prévention du non-respect de la Loi. Plus précisément, ce pouvoir de contrainte serait donné au ministre de l'Industrie, au ministre des Transports, au surintendant des institutions financières, à la Banque du Canada, à la Régie canadienne de l'énergie et à la Commission canadienne de sûreté nucléaire (« organismes réglementaires »).
La communication de renseignements au Centre de la sécurité des télécommunications (CST) serait autorisée dans certaines circonstances. Plus particulièrement, un organisme réglementaire compétent serait autorisé à fournir les renseignements suivants au CST : a) des renseignements concernant le programme de cybersécurité d'un exploitant désigné; b) des renseignements concernant toute mesure prise pour atténuer les risques associés à la chaîne d'approvisionnement; c) des renseignements sur l'utilisation de produits et services de tiers. Tout organisme réglementaire ne pourrait communiquer des renseignements au CST en vertu de cette disposition qu'afin que ce dernier lui prodigue des avis, des conseils ou des services concernant l'exercice des attributions qui lui seraient conférées au titre de la Loi.
La Loi sur la protection des cybersystèmes essentiels imposerait certaines obligations aux exploitants désignés qui subissent un incident de cybersécurité. Au sens de la Loi, un incident de cybersécurité est un incident qui, relativement à un cybersystème essentiel, nuit ou peut nuire soit à la continuité ou à la sécurité d'un service critique ou d'un système critique, soit à la confidentialité, à l'intégrité ou à la disponibilité du cybersystème essentiel. Un exploitant désigné qui subit un incident de cybersécurité serait tenu de déclarer sans délai cet incident au CST conformément aux règlements et d'en informer l'organisme réglementaire compétent. Ce dernier serait autorisé à recevoir un rapport d'incident, sur demande, de l'exploitant désigné ou du CST.
Le projet de loi autoriserait l'échange de renseignements, notamment des renseignements confidentiels, entre certaines parties, dans la mesure nécessaire à toute fin liée à l'établissement, à la modification ou à la révocation d'une directive de cybersécurité. Ces parties sont les suivantes : ministre de la Sécurité publique, l'organisme réglementaire dont relève l'exploitant désigné et le ministre responsable, le ministre des Affaires étrangères, le ministre de la Défense nationale, le chef d'état-major de la défense, le directeur ou un employé du Service canadien du renseignement de sécurité (SCRS) et toute autre personne ou entité prévue par règlement.
Enfin, la Loi sur la protection des cybersystèmes essentiels créerait un certain nombre de règles concernant le traitement et la protection des renseignements confidentiels, soit des renseignements obtenus sous le régime de la Loi relativement à un cybersystème essentiel et, selon le cas : a) qui portent sur la vulnérabilité des cybersystèmes essentiels de l'exploitant désigné ou sur les méthodes employées pour leur protection et qui sont traités comme étant confidentiels de façon constante par l'exploitant désigné; b) dont la divulgation risquerait de causer des pertes financières à un exploitant désigné ou de nuire à sa compétitivité; c) dont la divulgation risquerait d'entraver des négociations, notamment contractuelles, menées par un exploitant désigné.
La communication de renseignements confidentiels serait interdite sauf dans les cas suivants :
- la communication est légalement exigée;
- les renseignements sont accessibles au public;
- l'exploitant désigné concerné y consent;
- la communication est nécessaire à toute fin liée à la protection des services critiques, des systèmes critiques ou des cybersystèmes essentiels;
- la communication est faite en conformité avec toute disposition de la Loi sur la protection des cybersystèmes essentiels ou de la Loi sur la communication d'information ayant trait à la sécurité du Canada.
Les dispositions relatives à la confidentialité n'empêcheraient pas la communication de renseignements au SCRS ou à un organisme chargé du contrôle d'application de la loi si la communication est par ailleurs licite.
La Loi sur la protection des cybersystèmes essentiels permettrait d'échanger des renseignements avec le gouvernement d'une province ou d'un pays étranger, ou avec une organisation internationale, si les parties ont conclu un accord ou un arrangement écrit concernant la protection de cybersystèmes essentiels. L'échange de renseignements confidentiels ne serait autorisé qu'avec des institutions ou des organismes d'un gouvernement provincial si le ministre compétent ou l'organisme réglementaire est convaincu que ces renseignements seront traités de manière confidentielle par l'autre partie et qu'ils ne seront pas autrement communiqués sans son consentement exprès.
Étant donné que les pouvoirs des inspecteurs, ainsi que les pouvoirs de contrainte et de communication pourraient entraver le droit au respect de la vie privée, ils sont susceptibles de toucher l'article 8. Les considérations suivantes appuient la compatibilité de ces pouvoirs avec l'article 8 de la Charte. Les exploitants désignés sont des entités complexes, qui mènent leurs activités dans des domaines réglementés où les attentes en matière de protection de la vie privée sont habituellement réduites. Les pouvoirs des inspecteurs et les pouvoirs de contrainte pourraient être exercés aux fins de la vérification du respect ou de la prévention du non-respect de la Loi. Ils ne pourraient pas l'être aux fins d'une enquête pénale. Par conséquent, les pouvoirs proposés sont semblables aux pouvoirs réglementaires des inspecteurs qui ont été maintenus dans d'autres contextes.
Le pouvoir proposé relativement à l'échange de renseignements à toute fin liée à l'établissement, à la modification ou à la révocation d'une directive de cybersécurité est conçu de manière à limiter toute entrave potentielle au droit au respect de la vie privée. Ce pouvoir ne s'appliquerait qu'aux particuliers ou aux entités nommés dans la Loi ou ses règlements et ne permettrait l'échange de renseignements que dans la mesure nécessaire à toute fin liée à l'établissement, à la modification ou à la révocation d'une directive de cybersécurité.
Les dispositions régissant la communication de renseignements au CST et par lui sont aussi conçues pour limiter toute entrave potentielle au droit au respect de la vie privée à ce qui est nécessaire pour que le CST exécute son mandat, notamment en lien avec la cybersécurité, et pour permettre aux organismes réglementaires de bénéficier de l'expertise du CST dans l'exercice de leurs attributions au titre de la Loi.
Demande de contrôle judiciaire
Une personne visée par une directive de cybersécurité pourrait présenter une requête en contrôle judiciaire devant la Cour fédérale du Canada. La Loi sur la protection des cybersystèmes essentiels mènerait à la création d'un cadre de protection et d'utilisation des renseignements de nature délicate dans une procédure de contrôle judiciaire. Ce cadre est semblable à ceux qui existent dans plusieurs autres régimes législatifs.
Lorsque le juge est d'avis que la divulgation d'éléments de preuve ou d'autres renseignements pourrait porter atteinte aux relations internationales, à la défense nationale ou à la sécurité nationale, ou mettre en danger la sécurité d'une personne, le juge entendrait les observations sur la preuve ou d'autres renseignements en l'absence du public, du demandeur et de son avocat (c.-à-d. à huis clos). Le juge serait tenu d'assurer la confidentialité de la preuve ou des renseignements. Bien que ces renseignements ne pourraient être divulgués au demandeur, le juge devrait s'assurer que ce dernier obtient un résumé des éléments de preuve ou autres renseignements qui permettrait à ce dernier d'être suffisamment informé de la thèse du gouvernement du Canada. L'application de ces dispositions relatives à la confidentialité pourrait être déclenchée à tout moment au cours d'une instance, à la demande du ministre de la Sécurité publique.
Étant donné que le projet de loi précise que les procédures de contrôle judiciaire en lien avec des directives de cybersécurité doivent être tenues à huis clos et en l'absence du demandeur lorsque le critère prévu dans la Loi est rempli, les droits garantis par l'alinéa 2b) de la Charte sont en jeu.
Comme pour les procédures de contrôle judiciaire en lien avec la Loi sur les télécommunications, les considérations suivantes appuient la compatibilité de cet aspect du projet de loi avec la Charte. À l'instar d'autres droits garantis par la Charte, le principe de transparence judiciaire n'est pas absolu et peut être limité s'il existe des objectifs d'État urgents. Protéger des renseignements de nature délicate, dont la divulgation porterait atteinte aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d'autrui, est un intérêt important et reconnu de l'État. Le processus d'audience prévu par le projet de loi est conçu de manière à limiter les huis clos aux seules situations où ce type de procédure est nécessaire pour protéger des renseignements de nature délicate. Le juge qui présiderait l'audience serait responsable de déterminer si la divulgation des renseignements entraînerait les dommages énumérés. Plus important encore, les dispositions relatives au huis clos ne s'appliqueraient qu'aux parties des procédures de contrôle judiciaire qui impliquent des renseignements de nature délicate. Le reste de l'audience serait ouvert au public et le demandeur pourrait y participer. Enfin, tout résumé des éléments de preuve fourni au demandeur serait versé au dossier de la cour qui est accessible au public.
Sanctions administratives pécuniaires (article 11 de la Charte)
La Loi sur la protection des cybersystèmes essentiels établirait un régime de sanctions administratives pécuniaires pour certaines violations de celle-ci ou de ses règlements. Si l'organisme réglementaire compétent a des motifs raisonnables de croire qu'un exploitant désigné ou une autre personne a commis une violation, il pourrait dresser un procès-verbal énonçant, entre autres choses, les faits reprochés, le montant de la pénalité et un résumé des droits de l'exploitant désigné, notamment celui de demander que la pénalité fasse l'objet d'un examen. Des personnes peuvent être tenues responsables de la commission d'une violation, et les administrateurs et dirigeants d'un exploitant désigné peuvent engager leur responsabilité personnelle dans la commission d'une violation s'ils « l'ont ordonnée ou autorisée, ou [...] y ont consenti ou participé ». Si un organisme réglementaire signale un procès-verbal, alors la police ne pourrait pas porter d'accusations criminelles, et inversement.
Aux termes de la Loi sur la protection des cybersystèmes essentiels, l'infliction de pénalités pécuniaires viserait à favoriser le respect des décrets, arrêtés ou règlements, et non pas à punir. Pour la détermination du montant d'une pénalité, il est tenu compte des divers critères, dont le comportement antérieur de l'exploitant désigné en ce qui a trait au respect ou au non-respect de décrets, arrêtés ou règlements pris en vertu de la Loi; la nature et la portée de la violation; les efforts raisonnables que l'intéressé a déployés afin d'atténuer les incidences de la violation commise; les avantages concurrentiels ou économiques que l'intéressé a retirés de la violation commise. La Loi sur la protection des cybersystèmes essentiels ne prévoit pas de pénalité minimale et plafonnerait le montant maximal d'une sanction administrative pécuniaire à un million de dollars dans le cas d'une personne physique, et à quinze millions de dollars pour une société ou une personne morale.
Comme pour le régime de sanctions administratives pécuniaires prévu dans la Loi sur les télécommunications, les considérations suivantes appuient la conformité du régime avec l'article 11 de la Charte. Le régime de sanctions serait de nature administrative, et les pénalités n'auraient pas de « véritables conséquences pénales ». L'objectif des pénalités serait de favoriser le respect des décrets, arrêtés et règlements pris, et non pas de « punir » comme on l'entend à l'article 11 de la Charte. Le montant des pénalités serait déterminé en fonction des critères définis dans le régime. Même s'il est possible que de lourdes pénalités soient imposées, il est nécessaire d'établir de tels critères étant donné la taille et la nature des exploitants désignés. La possibilité qu'une importante pénalité pécuniaire soit imposée ne touche pas l'article 11. S'il est correctement interprété et appliqué, ce nouveau régime n'aura pas de « véritables conséquences pénales ». Enfin, il serait possible de faire appliquer des pénalités civilement par la Cour fédérale, mais le non-paiement d'une pénalité n'entraînerait pas d'emprisonnement.
Infractions (article 7 de la Charte)
La Loi sur la protection des cybersystèmes essentiels créerait un certain nombre d'infractions mixtes et d'infractions punissables sur déclaration de culpabilité par procédure sommaire pour quiconque contrevient à des dispositions précises de la Loi. Cela comprend des infractions mixtes pour contravention à une directive de cybersécurité, pour communication de renseignements au sujet de l'existence ou du contenu d'une directive de cybersécurité et pour communication de renseignements confidentiels dans des circonstances interdites par la Loi. Ces infractions seraient punissables d'une amende et d'une peine d'emprisonnement maximale de deux ans moins un jour sur déclaration de culpabilité par procédure sommaire et de cinq ans sur déclaration de culpabilité par mise en accusation.
Les infractions qui peuvent mener à une peine d'emprisonnement touchent le droit à la liberté et doivent par conséquent être conformes aux principes de justice fondamentale. Lorsqu'il a examiné les dispositions de la Loi sur la protection des cybersystèmes essentiels, le ministre n'a pas relevé d'incompatibilité éventuelle entre celles-ci et les principes de justice fondamentale énoncés à l'article 7 de la Charte. Les infractions sont adaptées aux objectifs législatifs et préservent le pouvoir discrétionnaire des juges de première instance d'imposer une peine juste et appropriée. Aucune des infractions prévues dans la Loi sur la protection des cybersystèmes essentiels n'entraînerait la possibilité d'un emprisonnement si l'accusé n'a pas à tout le moins commis une négligence. Enfin, la Loi préciserait qu'un exploitant désigné ne peut être reconnu coupable d'avoir contrevenu à une directive de cybersécurité sauf si cette dernière a été portée à sa connaissance, ou que des mesures raisonnables ont été prises pour que l'exploitant désigné soit informé de sa teneur.
- Date de modification :