Aller au contenu
SECD - Comité permanent

Sécurité nationale, défense et anciens combattants


LE COMITÉ SÉNATORIAL PERMANENT DE LA SÉCURITÉ NATIONALE, DE LA DÉFENSE ET DES ANCIENS COMBATTANTS

TÉMOIGNAGES


OTTAWA, le lundi 28 octobre 2024

Le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants se réunit aujourd’hui, à 16 h 1 (HE), avec vidéoconférence, pour étudier le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Le sénateur Tony Dean (président) occupe le fauteuil.

[Traduction]

Le président : Honorables sénateurs, avant de commencer, je demanderais à tous les sénateurs et autres participants en personne de consulter les cartes sur la table pour les directives visant à prévenir les incidents de retour de son. Je vous remercie de votre coopération.

Bienvenue à cette réunion du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants. Je m’appelle Tony Dean, sénateur de l’Ontario et président du comité. Je suis accompagné aujourd’hui par mes collègues, qui se présenteront en commençant par notre vice-président.

[Français]

Le sénateur Dagenais : Jean-Guy Dagenais, du Québec.

[Traduction]

Le sénateur Richards : Je suis Dave Richards, du Nouveau-Brunswick.

La sénatrice Patterson : Rebecca Patterson, de l’Ontario.

Le sénateur Fridhandler : Daryl Fridhandler, de l’Alberta.

La sénatrice M. Deacon : Je m’appelle Marty Deacon, de l’Ontario. Bienvenue.

Le sénateur Gold : Marc Gold, du Québec.

La sénatrice Dasko : Je suis Donna Dasko, sénatrice de l’Ontario et membre de ce comité.

La sénatrice Duncan : Pat Duncan, sénatrice du Yukon.

Le sénateur Kutcher : Stan Kutcher, de la Nouvelle-Écosse.

Le sénateur McNair : John McNair, du Nouveau-Brunswick.

Le sénateur Boehm : Je suis Peter Boehm, de l’Ontario.

Le sénateur Yussuff : Hassan Yussuff, de l’Ontario.

[Français]

Le sénateur Carignan : Claude Carignan, du Québec.

[Traduction]

La sénatrice Batters : Denise Batters, de la Saskatchewan.

Le président : Merci. La salle est pleine aujourd’hui. Ericka Paajanen est la greffière du comité. À ma droite se trouvent Anne-Marie Therrien-Tremblay et Ariel Shapiro, analystes à la Bibliothèque du Parlement.

Aujourd’hui, chers collègues, nous entamons l’examen du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Pour lancer ces travaux, j’ai le plaisir d’accueillir à nouveau l’honorable Dominic LeBlanc, ministre de la Sécurité publique, des Institutions démocratiques et des Affaires intergouvernementales, et l’honorable François-Philippe Champagne, ministre de l’Innovation, des Sciences et de l’Industrie.

Les ministres sont accompagnés aujourd’hui des fonctionnaires suivants de la Direction de la sécurité nationale et de la cybersécurité à Sécurité publique Canada : M. Patrick Boucher, sous-ministre adjoint principal; M. Colin MacSween, directeur général; et Mme Kelly-Anne Gibson, directrice par intérim. Du Secteur du spectre et des télécommunications d’Innovation, Sciences et Développement économique Canada, nous avons M. Martin Proulx, directeur général; M. Wen Kwan, directeur principal; et M. David Gibson, directeur. Nous avons aussi M. André Arbour, directeur général du Secteur des stratégies et politiques d’innovation à ISDEC.

Merci de vous joindre à nous aujourd’hui. Nous vous demandons maintenant de présenter vos remarques préliminaires, en commençant par le ministre LeBlanc. C’est un plaisir de vous revoir. Si vous êtes prêt, allez-y.

L’honorable Dominic LeBlanc, c.p., député, ministre de la Sécurité publique, des Institutions démocratiques et des Affaires intergouvernementales : Monsieur le président, je suis toujours prêt et je suis toujours heureux d’être ici. Je vous remercie, vos collègues et vous, de me donner cette occasion.

Les cybermenaces, qui émanent tant d’acteurs étatiques que non étatiques, sont de plus en plus complexes et sophistiquées. Le projet de loi C-26, dont vous êtes saisis, comme vous l’avez pertinemment fait remarquer, monsieur le président, protégera les Canadiens et renforcera la cybersécurité dans les secteurs de la finance, des télécommunications, de l’énergie et du transport, qui sont réglementés par le gouvernement fédéral. Ce sont les grands secteurs auxquels nous pensons collectivement lorsque nous parlons des secteurs de l’économie réglementés par Ottawa.

Le Centre de la sécurité des télécommunications Canada, ou CST, a déclaré que la cybercriminalité est désormais la menace la plus répandue et la plus omniprésente pour les Canadiens et les entreprises canadiennes. Le Centre canadien pour la cybersécurité du CST nous a mis en garde contre les nombreux risques, les rançongiciels figurant en tête de liste. Par exemple, nous avons déjà constaté les dégâts qu’un tel cyberincident peut causer lorsqu’une entreprise énergétique américaine a été la cible d’une attaque par rançongiciel en mai 2021. Un groupe criminel russe a extorqué 4,3 millions de dollars après avoir interrompu la plus grande canalisation de carburant des États-Unis. Cet incident a été si important qu’il a conduit le président Biden à décréter l’état d’urgence national.

[Français]

Au cours des deux dernières années, nous avons constaté une augmentation notable de ce genre de cyberattaques au Canada.

L’année dernière, le Centre de la sécurité des télécommunications Canada (CST) a déclaré qu’un cyberacteur « [...] avait le potentiel de causer des dommages physiques à des infrastructures essentielles canadiennes » . Heureusement, aucune infrastructure canadienne n’a subi de dommages physiques, mais comme l’a dit le Centre canadien pour la cybersécurité du CST : « [...] la menace est réelle ». Il ne faut pas se leurrer.

En juin de l’année dernière, le Calgary Herald a rapporté que la société énergétique canadienne Suncor avait été victime d’un grave incident cybernétique qui avait interrompu les transactions de débit et de crédit dans les stations-service de Petro-Canada dans tout le pays.

En mars dernier, la ville de Hamilton a été la dernière victime d’une attaque de rançongiciel qui a interrompu plusieurs de ses services en ligne. Ces exemples sont seulement quelques-unes des attaques récentes qui montrent clairement que le Canada doit agir de toute urgence.

Le projet de loi permettra au gouvernement de prendre des mesures de sécurité et d’interdire aux fournisseurs de services de télécommunication canadiens d’utiliser des produits ou des services provenant de fournisseurs à haut risque.

[Traduction]

De plus, cette loi renforcera le partage d’informations entre l’industrie et le gouvernement, en obligeant les opérateurs d’infrastructures essentielles désignées à signaler les incidents de cybersécurité au Centre pour la cybersécurité du CST. L’obligation de partager des informations névralgiques permettra au gouvernement de mieux connaître le paysage des cybermenaces dans l’ensemble du pays. Lorsque le gouvernement a une idée plus précise de la menace à laquelle sont confrontés les fournisseurs d’infrastructures essentielles, il peut les avertir des menaces et des vulnérabilités potentielles. Avec le projet de loi C-26, la détection au sein d’une organisation permettra de prévenir les autres. En outre, les fournisseurs désignés de services et de systèmes essentiels seraient tenus de mettre en œuvre des programmes de cybersécurité, d’atténuer les risques liés à la chaîne d’approvisionnement et aux tiers, et de se conformer aux directives en matière de cybersécurité.

Comme vous le savez, le Comité permanent de la sécurité publique et nationale de la Chambre des communes a apporté un certain nombre d’amendements notables concernant le caractère raisonnable, la surveillance et la protection de la vie privée. Le comité a amendé le projet de loi afin d’ajouter des normes liées au caractère raisonnable pour la prise d’arrêtés ministériels et de directives en matière de cybersécurité; de mettre en œuvre des dispositions d’examen solides afin de garantir que le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement aient la capacité d’examiner les arrêtés et les directives du gouvernement; et des références, comme les collègues le savent, ont été explicitement faites à la Loi sur la protection des renseignements personnels et à l’obligation du gouvernement, bien sûr, de respecter cette loi.

[Français]

Chers collègues, il s’agit d’un projet de loi qui a un grand mérite, à notre avis. Il a été adopté par l’autre Chambre de façon unanime. En guise de conclusion, le projet de loi est conforme à la législation établie par nos partenaires du Groupe des cinq.

[Traduction]

C’est une bien meilleure désignation en anglais : les Five Eyes. Quand les ministres se rencontrent, il y a toutefois 10 yeux dans la salle. Je l’ai fait remarqué lors de la première séance à laquelle je participais. D’ailleurs, le secrétaire Mayorkas répète toujours cette blague.

[Français]

Le projet de loi protégera les Canadiennes et les Canadiens, les entreprises du secteur privé et les cybersystèmes dont dépendent nos concitoyens quotidiennement. Merci beaucoup.

[Traduction]

Le président : Merci, monsieur le ministre.

Nous entendrons maintenant le ministre Champagne. Allez-y quand vous serez prêt.

[Français]

L’honorable François-Philippe Champagne, c.p., député, ministre de l’Innovation, des Sciences et de l’Industrie : Merci, monsieur le président. Merci, chers collègues. Je pense que c’est la première fois que je comparais devant ce comité du Sénat. Je vous remercie de votre accueil et de votre invitation à comparaître au sujet du projet de loi C-26, un projet de loi d’importance capitale pour la sécurité du Canada.

Le fait que je sois ici aujourd’hui avec mon collègue et ami, l’honorable ministre de la Sécurité publique, témoigne de l’intersection qui existe entre les télécommunications et la sécurité publique au 21e siècle.

Plus précisément, je vais vous parler aujourd’hui de la partie I du projet de loi qui modifiera la Loi sur les télécommunications afin de mieux sécuriser nos réseaux de télécommunications.

[Traduction]

Les Canadiens dépendent de plus en plus d’Internet et des services sans fil dans leur vie quotidienne. Ceux qui ont des enfants ou qui exploitent une entreprise dans ce pays le savent bien. Qu’il s’agisse de transactions financières, de commerce électronique, d’éducation, de soins de santé ou de services d’urgence tels que le 9-1-1, ces services essentiels doivent pouvoir compter sur un système de télécommunications robuste, moderne et sûr.

Nous savons cependant que les risques qui pèsent sur cette infrastructure critique sont en augmentation. Le ministre LeBlanc en a mentionné plusieurs, et nous en avons vu beaucoup, non seulement au Canada, mais aussi chez bon nombre de nos partenaires et alliés dans le monde. Nous devons être vigilants et déterminés lorsque nous parlons de cybermenaces et de cybersécurité, en gardant les yeux grands ouverts. Les risques dont je parle comprennent les actions malveillantes d’États étrangers hostiles qui cherchent à compromettre nos infrastructures critiques — le ministre LeBlanc a mentionné un certain nombre de menaces de rançon, dont certaines ont été très publiques ces derniers temps —, et les produits de télécommunications de fournisseurs mondiaux qui posent un risque inacceptable pour les systèmes de télécommunications canadiens.

C’est là qu’intervient le projet de loi C-26. J’aimerais faire écho au ministre LeBlanc en déclarant qu’il est urgent d’agir pour s’assurer que le gouvernement dispose des outils nécessaires pour protéger les Canadiens, notre sécurité nationale et notre sécurité économique. Il permettrait au gouvernement, si nécessaire, d’interdire aux fournisseurs canadiens de services de télécommunications d’utiliser des produits provenant de fournisseurs à haut risque. Cela contribuera à son tour à protéger nos infrastructures essentielles contre diverses menaces.

[Français]

Nous devons agir de façon rapide et décisive. C’est pourquoi je suis ravi d’un appui aussi fort de tous les partis à la Chambre des communes pour ce projet de loi. Les honorables sénateurs ont vu que l’ensemble des membres de la Chambre des communes ont appuyé l’initiative que l’on propose dans le projet de loi C-26. En effet, la protection et la sécurité de nos réseaux de télécommunication sont primordiales.

[Traduction]

J’ai également été heureux de constater que l’ensemble des partis de la Chambre ont soutenu le renforcement du projet de loi au stade du comité, en réponse aux points de vue exprimés par les parties prenantes et par un certain nombre de témoins. Par exemple, des amendements ont été apportés pour garantir la protection des informations confidentielles. En effet, le projet de loi stipule désormais explicitement que les renseignements personnels et la vie privée des Canadiens seront protégés conformément à la Loi sur la protection des renseignements personnels. Je tiens à préciser que le projet de loi C-26 n’a jamais eu pour objet de recueillir les données des Canadiens ou de surveiller leurs communications. C’est précisément la raison pour laquelle un libellé a été ajouté afin d’éliminer toute confusion à cet égard. En outre, des amendements ont été ajoutés afin d’assurer une plus grande transparence pour les parties prenantes pour les rapports, ainsi qu’un test explicite de caractère raisonnable pour les pouvoirs qui ont été conférés au ministre et au gouverneur en conseil dans le projet de loi. En résumé, le projet de loi C-26 fait l’objet d’un consensus solide et nous attendons des fournisseurs de services de télécommunications qu’ils agissent de manière décisive pour protéger le système canadien de télécommunications.

Maintenant, permettez-moi de dire quelques mots sur ce que ce projet de loi n’est pas. Tout d’abord, le projet de loi C-26 ne vise pas à punir les fournisseurs qui travaillent avec diligence pour protéger les consommateurs et se protéger eux-mêmes. C’est clairement établi par une défense explicite de diligence raisonnable. Vous avez peut-être vu qu’elle a été ajoutée à l’étape du comité. La défense de diligence raisonnable se trouve dans les pouvoirs de sanctions pécuniaires qui ont été conférés au ministre et au gouverneur en conseil, après avoir entendu et pris en compte les préoccupations des parties prenantes.

Deuxièmement, le projet de loi C-26 ne vise pas à éviter la responsabilité au nom d’une action rapide. Il s’agit plutôt de donner au ministre, dans le cas du réseau de télécommunications, la capacité d’agir de façon décisive, stratégique et conformément aux meilleures pratiques afin de protéger notre sécurité nationale. Au contraire, ce projet de loi contribuera à protéger la sûreté et la sécurité des infrastructures essentielles du Canada sans compromettre la vie privée ou les droits des personnes.

[Français]

Monsieur le président, permettez-moi de conclure en disant ceci : un pays moderne et novateur comme le Canada se doit d’avoir des systèmes de télécommunication qui sont fiables et sécurisés. Je suis fermement convaincu que le projet de loi C-26 ouvre la voie à la collaboration avec les opérateurs de télécommunication pour assurer la sécurité de nos systèmes et de nos réseaux dans l’intérêt du Canada et de ses citoyens.

En terminant, monsieur le président, merci de m’avoir donné l’occasion d’intervenir ici devant le comité. Comme mon collègue, je dirais qu’il y a urgence d’agir pour protéger nos systèmes à faire face aux menaces que l’on vit présentement au XXe siècle et assurer la santé et la sécurité des Canadiens.

Merci, monsieur le président.

[Traduction]

Le président : Merci beaucoup, monsieur Champagne.

Chers collègues, nous allons maintenant passer aux questions. Quatre minutes sont prévues pour chaque question, y compris la réponse, comme d’habitude. Nous vous demandons de poser des questions succinctes afin de permettre le plus grand nombre d’interventions possibles. Nous avons une longue liste. C’est pourquoi, lorsqu’il restera 30 secondes, je montrerai le carton rouge, pour les amateurs de football présents dans la salle. La première question revient à notre vice-président, le sénateur Dagenais.

[Français]

Le sénateur Dagenais : Ma première question s’adresse au ministre LeBlanc.

Monsieur le ministre, avec les opinions énoncées ces derniers mois par des entreprises comme Bell et Québecor sur la capacité et la lenteur du CRTC de moderniser la réglementation canadienne sur les télécommunications, dans quelle mesure pouvez-vous nous rassurer sur la capacité de cet organisme d’être efficace et rapide en matière d’application des règles de cybersécurité qui sont énoncées dans le projet de loi C-26? Quel temps de réaction exigez-vous de sa part? Puis, le CRTC a-t-il les ressources nécessaires pour ce genre de défi?

M. LeBlanc : Si vous me le permettez, sénateur, c’est une excellente question. Les aspects qui touchent le CRTC sont entre les mains de mon collègue, qui pourra vous fournir une réponse plus précise que la mienne.

M. Champagne : Cela vous convient-il, monsieur le sénateur?

Le sénateur Dagenais : Cela me convient.

M. Champagne : On fait cela en tandem, le ministre LeBlanc et moi.

Monsieur le sénateur, c’est une question fort importante que vous posez. Vous allez voir que dans le projet de loi C-26, les pouvoirs se trouvent entre les mains du ministre de l’Industrie à plusieurs égards. Pour prendre des mesures précises et décisives, on l’a dit, il y a urgence d’agir. La nature des menaces auxquelles on fait face est variée. Il y a la question de la cybersécurité, mais vous vous rappellerez aussi dans le cas d’intempéries, de catastrophes naturelles, le ministre de l’Industrie a été appelé. Vous vous rappellerez aussi dans l’épisode de Rogers, le fameux épisode où l’on a perdu la télécommunication pendant plusieurs heures au Canada, il a fallu agir de façon décisive. C’est pour cela qu’à l’époque, on a même conclu un accord entre les télécommunicateurs pour assurer l’interopérabilité des réseaux en matière d’urgence, afin qu’il y ait de la communication avec les autorités publiques et les citoyens et un programme d’assistance mutuelle, parce qu’en cas de circonstances extraordinaires, on s’attend à cela des télécommunicateurs. Dans le cas précis, vous avez vu dans le projet de loi C-26, on a été assez précis pour ces pouvoirs, comme je les ai exercés à l’époque et qu’ils puissent être entre les mains du ministre de l’Industrie.

Une chose qui, à mon sens, est un anachronisme, et je n’utilise pas ces mots à la légère, c’est qu’il s’agit d’une des rares lois qui encadre un secteur d’infrastructures essentielles pour lequel l’aspect de la sécurité ne fait pas partie des objectifs. Le projet de loi C-26 corrige cette situation. La sécurité sera au cœur des objectifs, comme on le fait aussi en matière d’énergie dans d’autres secteurs critiques en matière de transport. Je n’étais pas là quand on a adopté la loi. Quand je suis intervenu à l’époque, je vous dirais, monsieur le sénateur, je l’ai fait souvent à titre de puissance douce. À l’époque, le ministre n’avait pas nécessairement le pouvoir de diriger certaines actions de la part des télécommunicateurs. L’histoire nous a montré qu’on ne peut pas se fier uniquement sur la bonne volonté des acteurs. Il faut avoir un pouvoir législatif pour être capable de demander que certaines actions soient prises. Pensez à Internet. Quand on parlera du 5G, quand tout sera connecté, il y aura peut-être des situations extraordinaires où le ministre devra prendre des actions très rapides, ciblées et stratégiques pour protéger l’ensemble du réseau au pays.

Le sénateur Dagenais : Merci beaucoup de votre réponse.

Le sénateur Carignan : Merci, messieurs les ministres, d’être ici.

En regardant le projet de loi C-26, je me posais des questions en lien avec ce que le gouvernement fait pour lui-même, comme les gens qui pratiquent la religion qu’ils enseignent. J’aime beaucoup cela. Cependant, j’ai l’impression que le gouvernement exige plus au privé qu’il ne s’en exige à lui-même.

Je cite entre autres les fuites à l’Agence du revenu du Canada qui ont eu lieu au printemps passé, qu’on vient d’en apprendre l’existence par l’entremise d’un reportage de CBC/Radio‑Canada. N’est-ce pas le fait d’induire les gens en erreur que de dire que vous prenez cela au sérieux, alors que des fuites qui touchent quelque 30 000 personnes sont cachées et non divulguées? Les gens qui ont été identifiés comme en étant des victimes n’ont pas été avisées non plus. Si quelqu’un du secteur privé faisait cela, il serait contraint de payer des amendes de 10 millions de dollars. Pour sa part, le gouvernement du Canada et son agence du revenu se cachent derrière des systèmes et préparent des communiqués de presse pour les ministres, si cela devient public, mais on en reste là. Ne s’agit-il pas de deux poids, deux mesures?

M. LeBlanc : Merci, sénateur. J’offrirai quelques commentaires et M. Champagne pourra ajouter des éléments s’il le souhaite.

Je reconnais qu’il faut absolument éviter le double standard; il faut que l’on puisse pratiquer la même chose que l’on exige aux autres. Je suis totalement d’accord avec votre premier commentaire. Ce n’est pas la première fois qu’un gouvernement se fait accuser d’une telle chose.

Cependant, je ne suis pas expert en cybersécurité, loin de là. Je participe à des séances d’informations avec le Service canadien du renseignement de sécurité, la GRC et d’autres intervenants du gouvernement. Vous avez raison, la menace évolue très vite. Les gouvernements, que ce soit le gouvernement fédéral ou les gouvernements provinciaux et municipaux, ont eux aussi été victimes de ces attaques et de ces menaces. J’espère qu’on n’a jamais prétendu que, en tant que gouvernement, nous en étions à l’abri, et il faut d’ailleurs être très conscient que cela existe. On a des ressources assez efficaces du ministère de la Défense nationale dont je suis extrêmement impressionné, telles que le Centre de la sécurité des télécommunications Canada et d’autres organismes que vous connaissez bien. J’ai vu des gouvernements provinciaux, comme celui de Terre-Neuve-et-Labrador, où, au moment d’une attaque assez importante contre un système de soins de santé dans la péninsule d’Avalon, à St. John’s, des renseignements ont été volés, et le gouvernement fédéral a été en mesure de les aider très rapidement.

On essaie donc de s’entraider. Il ne faudra jamais créer des obligations que nous n’acceptons pas pour nous-mêmes. Je ne crois pas que ce soit le cas, mais je suis conscient du besoin continuel que nous avons d’investir dans des technologies, des experts et d’autres instruments pour nous protéger, parce que la menace est bien présente.

Là, j’ai fait ce que M. Champagne a fait avec la question de votre collègue : je l’ai empêché d’y répondre. Je sais que cela vous déçoit beaucoup, monsieur le sénateur.

Le sénateur Carignan : C’est mon député de Champlain.

M. LeBlanc : Il voudra peut-être ajouter quelque chose.

M. Champagne : Monsieur le sénateur, votre député sera toujours là pour répondre à vos questions.

Je comprends votre frustration et celle des Canadiens. C’est sûr qu’on doit faire mieux. Je pense que dans le projet de loi C-26, on prône quand même la collaboration. Je peux dire qu’en ce qui a trait aux systèmes des télécommunications, on travaille régulièrement avec les opérateurs.

Ce qui manque aujourd’hui dans la Loi sur les télécommunications, qui est assez fondamentale, c’est que le fait de promouvoir la sécurité ne fasse pas partie des objectifs de la loi. C’est un peu anachronique, compte tenu de ce que vous venez de dire et de ce qu’on voit des attaques qui touchent le privé et les gouvernements provinciaux, municipaux et fédéral. Imaginez donc quand on arrive avec l’intelligence artificielle, le quantique et Internet. Dans un cadre de cybersécurité, on rend service aux Canadiens et aux Canadiennes en matière de télécommunications en permettant à toute l’information de se transporter sur les réseaux, ce qui permet une meilleure protection.

[Traduction]

Le sénateur Boehm : Messieurs les ministres, je vous remercie d’être venus. Comme nous l’avons entendu lors du dernier échange, la nature de la menace est de plus en plus sophistiquée. Elle se multiplie plus rapidement, elle se développe et les gouvernements doivent la rattraper.

Cette question s’adresse à vous deux. Vous avez tous deux participé non seulement aux discussions du Groupe des cinq, mais aussi à celles du G7 sous l’actuelle présidence italienne. Nous reprenons le flambeau de l’Italie en janvier. En 2018, il y a eu un groupe de travail sur la cybersécurité dans le cadre du G7, et des travaux ont été menés sur l’infrastructure et la protection de celle-ci. J’ai y été un peu impliqué. On va donc au-delà du Groupe des cinq et de tous nos partenaires, amis et même ceux qui ne sont pas aussi amicaux. Voici ma question : pensez-vous que dans chacun de vos portefeuilles, le Canada sera en mesure d’exercer un leadership, d’apporter de nouvelles idées et de faire avancer les choses?

M. Champagne : Monsieur le sénateur, vous vous êtes très bien débrouillé. J’espère que nous pourrons reproduire votre leadership. Les Italiens, nos amis, attendent beaucoup de nous. Leur présidence du G7 a été couronnée de succès.

Un groupe de coordination mondiale travaille déjà sur les télécommunications avec certains pays du G7 et d’autres. Il y a deux volets. Le premier concerne les normes et, comme vous le savez, il est essentiel, sur la scène internationale, de promouvoir des normes qui soient conformes à nos valeurs, si je puis dire, pour l’infrastructure de télécommunications. Je reviens sur ce point en particulier. Dans le monde de la 5G, les choses seront différentes. D’ailleurs, nous venons de signer un protocole avec les Américains sur la 6G. Croyez-le. Nous ne travaillons pas seulement sur la 5G. Nous pensons déjà à ce que fera la 6G. Je m’arrêterai là pour que le ministre LeBlanc puisse poursuivre sur ce point.

La chaîne d’approvisionnement est plus importante. Nous avons travaillé avec un certain nombre d’alliés. Vous avez peut‑être vu qu’Ericsson a fait un investissement générationnel de près d’un milliard de dollars à Kanata. Il en va de même pour le centre de recherche de Nokia, l’un des plus grands au monde, ici à Kanata, à Ottawa.

Je dirais que nous travaillons à la fois sur les normes et la chaîne d’approvisionnement. En fait, si nous voulons avoir des fournisseurs, des chaînes d’approvisionnement et de l’équipement fiables et sûrs, nous devons travailler avec nos partenaires internationaux du Groupe des cinq et du G7 pour nous assurer d’être chefs de file en matière de recherche et développement, de norme et d’équipements dans le but de ne pas être redevables à des nations qui utiliseraient nos réseaux pour espionner nos citoyens, perturber nos activités ou collecter des informations.

M. LeBlanc : Sénateur Boehm, vous avez tout à fait raison. À titre de partenariat de sécurité, le Groupe des cinq est très sensible à ces questions. J’ai participé à plusieurs réunions du Groupe où les cybermenaces n’étaient pas du tout ignorées de l’ordre du jour.

Comme vous l’avez noté et comme l’a dit le ministre Champagne, nous avons participé à une série active de réunions ministérielles organisées par les Italiens. Il y a quelques semaines, j’ai assisté à une réunion dans la région de Naples où le ministre italien de l’Intérieur, accompagné du nouveau ministre français et de tous nos collègues du G7, a parlé du fait que la menace ne connaît pas de frontières. Certaines régions sont plus actives que d’autres. Dans le cadre de votre rôle précédent, vous auriez pu consulter les renseignements, monsieur le sénateur. Certaines régions et certains pays sont très actifs. D’autres sont eux-mêmes victimes et protègent ensuite certains de ces acteurs de la menace. Je pense qu’il faut poursuivre dans cette voie. Il est certain que ma compréhension des priorités du G7 et du domaine de la sécurité publique pour notre présidence inclurait absolument la poursuite de ce travail qui a commencé avec les Italiens.

Les services de renseignement sont actifs, notamment, comme vous l’avez mentionné, auprès de pays qui ne font peut-être pas partie de l’Union européenne, du Groupe des cinq ou du G7 — choisissez un quelconque joli nom bureaucratique pour décrire le groupe. De nombreux pays détectent eux-mêmes ce phénomène, et les échanges de renseignements sont nombreux. Je suis rassuré par les partenaires non traditionnels.

Le sénateur Gold : Bienvenue, messieurs les ministres. C’est un plaisir de vous recevoir.

Je voudrais poser une question sur les pouvoirs conférés au gouvernement dans le projet de loi et sur les garanties qui y sont intégrées. Par exemple, le gouvernement a le pouvoir, comme vous l’avez décrit, d’ordonner aux fournisseurs de services de télécommunication de faire ou de ne pas faire certaines choses. Dans certains cas, on prévoit également que les décrets ne doivent pas être divulgués. Pourriez-vous nous parler, d’une manière générale, des garanties, des limites et de la surveillance qui existeraient? Le Cabinet pourrait-il utiliser ces pouvoirs pour intercepter les communications d’adversaires politiques? La GRC pourrait-elle s’en servir comme outils d’enquête? Je n’ose le croire, mais je pose la question. Pourquoi les décrets ne seraient-ils pas divulgués et quelles sont les garanties mises en place à cet égard?

M. LeBlanc : Monsieur le président, je remercie notre ami, le sénateur Gold pour sa question. Il a tout à fait raison. J’ai beaucoup appris dans ce domaine depuis que je suis ministre de la Sécurité publique. Il est important de trouver un équilibre dans la transparence de ces mesures.

Certains témoins au comité de la Chambre, notamment des entreprises privées, sont inquiets à juste titre de ce qui se passerait si ces décrets étaient rendus publics. Le conseil que j’ai reçu, sénateur Gold, de la part des agences de sécurité et de renseignement est qu’en divulguant ces décrets que le gouvernement pourrait donner publiquement, vous peignez certainement un paysage de vulnérabilité pour les acteurs de la menace. Vous pouvez montrer la voie à des acteurs malveillants moins avertis : « Oh, puisque ce groupe s’attarde ici, nous devrions peut-être faire de même. » On peut comprendre qu’ils hésitent à rendre ces informations publiques.

Le ministre Champagne peut parler des grandes entreprises cotées en bourse. Je ne sais pas ce que cela signifie pour la confiance des investisseurs dans une grande entreprise de télécommunications, si elle a fait l’objet de quatre décrets et que son concurrent n’en a aucun. Cette situation témoigne-t-elle du manque de protection de l’entreprise?

L’exigence de transparence doit tenir compte de certaines conséquences involontaires — le comité de la Chambre des communes s’est beaucoup penché sur cette question. On peut par exemple obliger le gouvernement à divulguer chaque année le nombre de décrets émis, et faire spécifiquement référence au Comité des parlementaires sur la sécurité nationale et le renseignement ou à l’Office de surveillance des activités en matière de sécurité nationale et de renseignement. La Cour fédérale a un rôle à jouer. Il y a des juges désignés de la Cour fédérale, comme ceux qui verraient les mandats du SCRS que je pourrais signer. Ces mandats ne sont pas soumis à une procédure judiciaire publique. Il serait imprudent et dangereux de le faire. Mais il existe un contrôle judiciaire approprié avec l’amicus curiae. Il existe une procédure bien rodée et très efficace, mais nous écouterons les travaux de ce comité pour nous assurer que nous avons trouvé le bon équilibre.

M. Champagne : Je pense que vous songez peut-être aux PDG des entreprises de télécommunications qui nous regardent aujourd’hui, mais un amendement a été apporté pour que, par exemple, les ordres que le ministre de l’Industrie pourrait donner soient raisonnables. Il y a une norme de décision raisonnable. Les amendements parlent également de l’impact financier et de l’incidence sur les services de télécommunications.

Bien que le ministre et le gouverneur en conseil aient le pouvoir, nous avons mis en place des freins et des contrepoids dans le système pour garantir que nous atteignions l’objectif visé, qui est de protéger le réseau, tout en tenant dûment compte de la norme de diligence raisonnable. Si une entreprise a fait tout ce qui était en son pouvoir pour obtenir un résultat particulier, elle pourra se défendre. Je pense que nous avons trouvé le bon équilibre.

Comme l’a dit le ministre LeBlanc, il y a une raison pour laquelle les mandats sont transmis au Comité des parlementaires sur la sécurité nationale et le renseignement. À mon avis, du moins, et à celui des joueurs de l’industrie des télécommunications, il ne faut pas rendre l’information publique, car alors, comme l’a dit le ministre LeBlanc, nous pourrions attirer encore plus de menaces au moment où nous avons besoin de colmater la brèche. Si vous rendez l’information publique avant d’avoir le correctif, ce serait terrible pour le réseau.

Le président : Merci, monsieur le ministre.

Le sénateur Yussuff : Merci aux deux ministres de leur présence. J’ai deux questions, et elles sont précises.

Premièrement, quelles consultations ont été menées auprès des intérêts privés et des entreprises de télécommunications pour essayer de comprendre les mesures législatives à venir? Comment collaborent-ils et reconnaissent-ils qu’ils ont un rôle important à jouer à cet égard?

Deuxièmement, au moins trois de nos entreprises nationales de télécommunications sous-traitent une grande partie de leurs activités à l’étranger. Les données sont traitées ailleurs. Nous n’avons aucun contrôle. Les données se trouvent dans d’autres pays, dont certains que je qualifierais de pas très accommodants. Nous venons d’expulser les diplomates de l’un d’entre eux. Comment allons-nous protéger les données des Canadiens maintenant qu’elles sont traitées à l’étranger, alors que nous n’avons aucun contrôle sur ce à quoi sont assujetties ces entreprises de télécommunications dans d’autres pays?

M. Champagne : Nous travaillons avec les entreprises de télécommunications. Les catastrophes naturelles se font plus violentes et plus fréquentes, et lorsque les gens font face à une tragédie ou à une menace pour leur sécurité, par exemple, le réseau 911 et le réseau de télécommunications deviennent essentiels. C’est vrai dans nos vies au quotidien, mais c’est encore plus vrai en cas d’urgence.

Je dirais que nous avons une collaboration solide avec elles, surtout après les pannes de Rogers. Nous avons alors mis en place un protocole d’entente pour garantir l’itinérance, l’assistance mutuelle et la communication avec le public. Elles ont compris que nous devions jouer un rôle pour protéger l’intérêt public. Aujourd’hui, cela nous donne les outils nécessaires pour agir.

Beaucoup de mesures que nous avons mises en place, sénateur, reposent sur la bonne volonté et sur les efforts du gouvernement pour que nous parvenions au bon résultat. Cependant, les experts disaient qu’il faut aussi avoir des outils dans la boîte à outils, si l’on doit exiger d’un fournisseur, par exemple, qu’il fasse quelque chose, ou même le forcer à le faire.

Pour en revenir à votre exemple, si un fournisseur de réseau utilisait du matériel provenant d’un pays dont nous savons, grâce au Groupe des cinq et à d’autres organismes, qu’il pourrait compromettre l’intégralité de notre réseau, ou servir à espionner les Canadiens ou à recueillir des informations, vous voudriez que le ministre et le gouvernement aient le pouvoir de demander à ce fournisseur de cesser d’utiliser ce type de matériel. Vous avez vu que nous l’avons fait dans le cas de Huawei et de ZTE en émettant une directive. La loi nous donnera, bien sûr, les outils nécessaires pour mettre cela en œuvre. C’est le genre d’outils que l’on veut voir dans sa boîte à outils.

M. LeBlanc : M. Boucher m’a rappelé qu’il y a eu des consultations approfondies auprès d’un grand nombre de ces entreprises de télécommunications privées auxquelles vous avez fait référence dans votre question et dont le ministre Champagne a parlé.

En supposant que ce projet de loi reçoive la sanction royale et que nous passions à l’étape de la réglementation et de l’élaboration des règlements d’application de la loi, il existe également un plan global visant à inclure les provinces, les territoires et les acteurs du secteur privé. On voudra aussi entendre le point de vue des experts universitaires et autres. Et, bien sûr, il y a la surveillance exercée par le comité conjoint, etc. La consultation n’est pas terminée. Nous pensons qu’elle est également importante dans la phase de réglementation.

Le sénateur Kutcher : Merci à vous deux d’être avec nous.

Vous avez tous deux mentionné les régimes de soins de santé, et je voudrais vous poser une question à ce sujet. L’une des plus grandes atteintes à la sécurité des données de notre histoire concernait LifeLabs, un système de données sur les soins de santé. Nous avons de plus en plus d’entreprises nationales de télécommunications qui fournissent des soins de santé directs et qui recueillent ainsi une foule de données. Il faut ajouter à cela la complexité des régimes de soins de santé provinciaux. Les soins de santé ne sont pas mentionnés dans l’annexe 1. Ce projet de loi peut-il protéger les données relatives aux soins de santé, en particulier celles qui sont recueillies par une société nationale de télécommunications? Vous pouvez consulter votre médecin en ligne à partir de Telus Santé, par exemple. Aucune province ne gère ce système. Avez-vous réfléchi à la manière dont nous pourrions mieux protéger les données relatives aux soins de santé des Canadiens compte tenu de cette réalité?

M. Champagne : C’est une très bonne question, sénateur, et elle est intéressante. De plus en plus d’entreprises de télécommunications jouent maintenant un rôle dans la prestation des soins de santé. Encore une fois, je déteste revenir sur ce sujet, mais il faut songer aux 10, 20 ou 30 prochaines années, lorsque l’intelligence artificielle et d’autres technologies seront aussi à considérer. Tout cela passera par le réseau d’une manière ou d’une autre. L’époque des télécopieurs utilisés par les médecins appartiendra, je l’espère, au passé dans un avenir rapproché.

M. LeBlanc : Le sénateur Kutcher envoie encore des ordonnances par télécopieur.

M. Champagne : On vivra un jour dans un monde où l’information circulera d’une façon différente et transitera par les réseaux. C’est pourquoi l’un de nos objectifs est de protéger la vie privée. C’est l’un des amendements déposés en comité, afin de garantir que les réseaux veillent à ce que les données qu’ils recueillent — et les pouvoirs dont nous disposons — protègent la vie privée.

En ce qui concerne les secteurs désignés, je laisserai le soin au ministre LeBlanc de répondre à cette question. Vous avez raison. Nous avons parlé des secteurs financier, de l’énergie, des transports et des télécommunications. En ce qui concerne les soins de santé, je laisserai le ministre LeBlanc en parler. Je pense que ces éléments se rejoignent, et nous sommes tous les deux ici parce que toutes ces données transitent par un réseau, même lorsqu’il s’agit d’un télécopieur.

Il s’agit de protéger la sécurité et la résilience du réseau et de veiller à ce qu’il ne soit pas perméable. Lorsque tout est connecté, il faut que le maillon le plus faible n’interfère pas dans notre réseau. C’est pourquoi il faut se donner de nouveaux pouvoirs pour garantir que le maillon le plus faible ne compromette pas l’ensemble du système, de sorte que l’on puisse en fermer une partie, y apporter des correctifs et s’assurer que le reste du système n’est pas touché.

M. LeBlanc : Sénateur Kutcher, M. Boucher m’a rappelé que nous entendons utiliser le pouvoir législatif fédéral pour les secteurs réglementés par le gouvernement fédéral. Au sujet des soins de santé, je pense au dossier sur lequel le premier ministre Furey et moi avons travaillé à Terre-Neuve-et-Labrador, et il s’agissait d’une autorité sanitaire provinciale. Comme vous le savez mieux que personne, notre capacité de réglementation ne concerne pas ce secteur. Cependant, vous avez donné l’exemple d’entreprises de télécommunications telles que Telus Santé, dont je vois les publicités un peu partout. Si nous jugeons qu’il s’agit d’un élément essentiel de l’infrastructure — et je ne peux imaginer le contraire pour les raisons que vous avez évoquées, mais je ne dis pas avoir vu ce conseil —, nous pourrions assurément réglementer leurs activités et protéger les renseignements privés sur la santé des patients qu’elles traitent. Je ne peux pas imaginer que cela n’en fasse pas partie. Vous soulevez une question intéressante sur laquelle je vais me pencher.

La sénatrice M. Deacon : Je vous remercie de votre présence aujourd’hui.

J’ai eu l’occasion de participer à des discussions en Europe cet été et d’avoir une conversation très similaire à celle que nous avons aujourd’hui — principalement avec les pays du Groupe des cinq, mais aussi avec d’autres pays — pour faire le point sur la situation. L’une des conclusions que j’en ai tirées est que nous pouvons nous attaquer à ce problème, et nous savons qu’il est de taille, mais nous voulons faire les choses correctement. Comme l’a dit le ministre, nous devons regarder vers l’avenir et penser à ce qui s’en vient, pas seulement demain, mais aussi après-demain.

Compte tenu de ce que nous avons actuellement sous les yeux, de ce qui s’est dit à la Chambre et dans l’autre comité, y a-t-il des éléments qui ont été modifiés ou amendés et dont vous souhaiteriez qu’ils soient encore là? Je sais que vous avez un parti pris, mais y a-t-il quelque chose — après avoir écouté les gens et les différents experts — que vous ajouteriez pour améliorer ce projet de loi en ce moment, en sachant ce que nous voulons atteindre?

M. Champagne : Le projet de loi C-26 change la donne en matière de politique des télécommunications. Je reviens à ma déclaration préliminaire. Le fait que la sécurité ne soit même pas l’un des objectifs énumérés me semble être une lacune que nous devons combler très rapidement, parce que, de toute évidence, on veut que le ministre de l’Industrie, en vertu de la Loi sur les télécommunications, promeuve la sécurité. C’est une question de bon sens, comme vous l’avez dit. Nous serions l’une des rares nations du Groupe des cinq ou même du G7 à ne pas avoir cet objectif. On veut de la fiabilité, de la résilience et bien d’autres choses, mais à notre époque, on veut avant tout, ou tout autant, la sécurité du système.

Je suis satisfait des freins et contrepoids qui sont prévus, les normes de la décision raisonnable et la défense, parce que nous voulons travailler avec le secteur des télécommunications et les fournisseurs pour atteindre le meilleur résultat possible. Toutefois, ce qui importe le plus, c’est que le ministre — et mes successeurs dans 10 ou 20 ans, quels qu’ils soient — puisse ordonner, en cas d’urgence, de catastrophe naturelle ou de cyberattaque, dans un monde que nous pouvons à peine imaginer aujourd’hui, surtout si l’on y ajoute l’informatique quantique et l’intelligence artificielle, qu’il puisse ordonner aux entreprises de télécommunications ou à un intervenant dans le réseau de prendre une mesure précise, pour prévenir une conséquence, une menace ou un dommage plus important qui pourrait toucher le pays et l’ensemble du réseau. Je m’arrêterai là.

Votre question est très pertinente, notamment en ce qui concerne l’Internet des objets, quand on pense qu’un jour, avec la 5G, et a fortiori la 6G, tout sera interconnecté et instantané. Ce que je n’ai pas aujourd’hui, mais que j’aimerais que mon successeur ait, si vous approuvez le projet de loi et qu’il reçoit la sanction royale, c’est la capacité d’agir rapidement. Le temps presse. Il faut prendre des mesures décisives. La seule façon pour qu’un ministre le fasse aujourd’hui serait de lui accorder ces pouvoirs, et nous devons inscrire cela dans la loi. Cela change la donne aujourd’hui, et je peux m’accommoder des freins et contrepoids que le projet de loi contient.

Le sénateur McNair : Merci aux deux ministres et aux fonctionnaires d’être avec nous ce soir. Nous vous en sommes reconnaissants.

Je pense que le ministre Champagne est le mieux placé pour répondre à ma question, qui comporte deux volets. Existe-t-il une discordance entre l’objectif que s’est donné le gouvernement de garantir à la population un accès fiable aux réseaux, en particulier dans les régions rurales et éloignées du Canada, et la volonté de protéger nos réseaux 5G, compte tenu notamment de la décision consistant à empêcher nos fournisseurs de services de télécommunications de recourir à des fournisseurs présentant un risque élevé?

Deuxièmement, la décision d’exclure certains fournisseurs à haut risque tels que Huawei et ZTE, dont vous avez parlé précédemment, aura-t-elle des répercussions disproportionnées sur les petits exploitants?

M. Champagne : Merci, sénateur, de votre contribution aux travaux sur ce projet de loi.

Lorsque les investissements se chiffrent en milliards de dollars, il faut pouvoir disposer de prévisibilité et de certitude. Nous avons besoin de ces investissements importants dans l’infrastructure. Pour reprendre les propos de la sénatrice Deacon, il faut avoir des objectifs à long terme, c’est-à-dire se projeter dans 5, 10, 20 ou 30 ans. Nous avons toujours communiqué ouvertement à l’industrie le type de risque que nous considérons comme inhérent à certains fournisseurs. Vous avez pu constater que nous avons pris des mesures en mai 2022 à l’égard de ZTE et de Huawei. Cette décision se fondait sur ce que nous avions constaté dans d’autres pays du Groupe des cinq, qui avaient estimé qu’il existait un risque de préjudice.

Je n’ai pas constaté de réactions négatives de la part des exploitants, qui ont compris qu’il était dans leur intérêt de faire la transition vers des éléments plus fiables et intégrés de manière permanente dans leurs réseaux. Je pense que ce changement avait été anticipé, et les entreprises de télécommunications ont elles‑mêmes reconnu que la directive émanant du gouvernement constituait la meilleure voie à suivre. Nous avons le mandat et le devoir, tant au Sénat qu’au gouvernement, de veiller à ce que la décision d’un seul exploitant ne puisse pas nuire à tous les autres exploitants qui composent notre écosystème, surtout dans un contexte de grande interconnexion. Nous ne pouvons pas le permettre. C’est pourquoi tous ont compris qu’il fallait agir.

En ce qui concerne les petits exploitants, il n’y avait pas beaucoup de matériel provenant de Huawei et de ZTE dans le réseau 5G. Ce matériel se trouvait plutôt dans le réseau 4G, et pour lequel nous avons accordé un délai supplémentaire afin que le remplacement des éléments visés puisse se faire de manière sûre et proactive tout en veillant à assurer le bon fonctionnement de l’écosystème.

Lors de mes échanges avec les dirigeants des entreprises de télécommunications du pays, ils ont compris que nous agissions dans le but de servir au mieux les intérêts de tous. Avant toute chose, je dirais qu’aujourd’hui, la sécurité économique fait partie de la sécurité nationale. Nous ne pouvons pas permettre à un seul des maillons de la chaîne de mettre en péril tous les autres, c’est pourquoi nous avons adopté cette directive à ce moment et que nous entendons l’inscrire dans la loi par le biais du projet de loi C-26.

La sénatrice Batters : J’ai bien des questions à vous poser, mais pas assez de temps.

Monsieur le ministre LeBlanc, le projet de loi C-26 impose aux petites et moyennes entreprises canadiennes de prendre des mesures importantes en matière de cybersécurité, sans toutefois reconnaître que ces mesures pourraient être beaucoup plus onéreuses pour de petites entreprises que pour de très grandes organisations.

Permettez-moi de rebondir sur une question qu’a posé le sénateur Carignan. Aujourd’hui, nous avons appris dans les médias une nouvelle alarmante. Un organisme dirigé par votre gouvernement, l’Agence du revenu du Canada, a été la cible d’une cyberattaque de grande ampleur qui aura de graves conséquences pour les contribuables et où des millions de dollars sont en cause. Nous apprenons également que la ministre Bibeau avait été informée de cette cyberattaque majeure il y a de cela des mois. On lui a fourni des réponses toutes faites aux questions qui lui seraient posées, mais le public n’a jamais été mis au courant du stratagème employé par les malfaiteurs. Comment se fait-il, monsieur le ministre, que le gouvernement n’en ait rien dit aux contribuables? Vous êtes le ministre de la Sécurité publique et vous êtes responsable de la cybersécurité. Avez-vous été informé de cette grave cyberattaque? Et si oui, pourquoi n’avez-vous pas insisté pour que les Canadiens en soient mis au courant.

M. LeBlanc : Merci, sénatrice, de me poser cette question.

Je suis tout à fait d’accord avec vous. Il importe que ce projet de loi n’accable pas les petites et moyennes entreprises. Nous ne croyons pas qu’il ait de telles conséquences. Le projet de loi vise, pour les raisons énoncées par le ministre Champagne et d’autres, à ce que les petites entreprises et tous nos concitoyens puissent s’appuyer sur les gros fournisseurs, sans qui ces entreprises et les particuliers ne pourraient mener leurs activités commerciales. Seuls les exploitants sous réglementation fédérale, dont les services sont essentiels pour la sécurité publique ou nationale, auraient à se conformer aux nouvelles exigences. Comme l’a indiqué le sénateur Kutcher, je pense aux exploitants qui sont actifs dans les domaines de la santé, de la sécurité et du bien-être économique. Il faut effectivement veiller à ne pas imposer un fardeau aux petites et moyennes entreprises. Je suis tout à fait de votre avis. Nous serons attentifs aux conséquences de la réglementation et des éventuelles ordonnances sur les PME.

Au sujet de la cyberattaque contre l’Agence du revenu, je n’en étais pas au courant. J’en ai eu connaissance aujourd’hui dans les médias. On me dit que l’agence aurait peut-être eu des discussions avec des fonctionnaires de notre ministère, mais je ne suis pas au fait des échanges qu’auraient eus les fonctionnaires de l’agence avec ceux de notre ministère ou celui de la Défense nationale. Le Centre canadien pour la cybersécurité, le ministère de la Défense nationale et le Centre de la sécurité des télécommunications ont évidemment un rôle important à jouer dans ces circonstances.

De façon générale, et mises à part les circonstances à Revenu Canada, dont je ne peux parler, il y a plusieurs choses à prendre en considération dans de telles situations. J’en ai discuté avec des gouvernements provinciaux et municipaux et de façon informelle avec de grandes entreprises du secteur privé. Les gouvernements, qu’ils soient provinciaux, territoriaux ou municipaux, ont des comptes à rendre à leurs contribuables, et les grandes entreprises, à leurs actionnaires et partenaires. Ces entités sont toutefois soucieuses de préserver la confiance du public et de ne pas permettre au prochain acteur hostile d’exploiter une faille dans le système avant qu’elle n’ait été corrigée. J’ai assisté à des réunions où une province déclare avoir été victime d’un incident, mais décide de ne pas l’annoncer au public avant d’avoir pris des mesures correctives, pour éviter d’être de nouveau victime d’un acte malveillant. Je pense que le gouvernement provincial en question en avait ensuite parlé publiquement. C’est une situation parmi d’autres, dont j’ai été témoin.

La sénatrice Batters : Je ne vois pas en quoi ces éléments sont pertinents, étant donné que la ministre avait déjà en main des réponses aux questions des journalistes.

Monsieur le ministre LeBlanc, cela fait longtemps que nous attendons ce projet de loi. Le gouvernement Trudeau a d’abord lancé des consultations publiques en 2016. Deux ans plus tard, en 2018, votre gouvernement a annoncé une stratégie nationale de cybersécurité, puis il a fallu quatre ans de plus pour que vous présentiez ce projet de loi au Parlement, soit en 2022. La Chambre des communes a ensuite eu besoin de deux ans pour examiner ce texte de loi. Des amendements y ont été apportés en comité, ce qui a eu pour effet de changer le projet de loi du tout au tout. Même après son adoption au Sénat, il faudra attendre encore deux ans pour que les règlements soient pris et que la loi entre en vigueur. Monsieur le ministre, au bout du compte, il aura fallu une décennie à votre gouvernement pour instaurer des mesures de protection dans ce domaine d’une importance critique. Pourquoi ce délai démesuré?

Le président : Sénatrice Batters, votre temps est écoulé depuis déjà une minute. Je vais demander au ministre de réfléchir à la réponse à votre question. Monsieur le ministre, s’il reste du temps, vous pourriez y répondre plus tard. Je vais donner la parole à la sénatrice Dasko.

La sénatrice Dasko : Merci aux ministres d’avoir accepté notre invitation.

Je voudrais vous poser quelques questions sur la cybercriminalité en général. Vous avez parlé, monsieur le ministre, d’acteurs étatiques et non étatiques. J’aimerais savoir qui sont ces acteurs. Les acteurs non étatiques sont-ils surtout étrangers? Je m’intéresse aux auteurs, à ceux qui commettent ces crimes. Qu’est-ce qui les motive à les commettre? On dirait qu’ils ont plus d’un motif à la fois. Vous avez parlé d’extorsion par exemple. Est-ce la principale motivation des auteurs de ces crimes? Cherchent-ils à recueillir de l’information, à perturber nos systèmes? Il y a tout un éventail de motifs, il me semble.

Ma deuxième question porte sur les recours, puisqu’il s’agit de crimes. On dirait que la solution, c’est de protéger nos systèmes, mais qu’en est-il des sanctions? A-t-on imposé des sanctions aux auteurs de ces crimes? Est-ce une solution viable? Comment fonctionnent les sanctions et en quoi consistent-elles?

Et pour finir, peut-on repousser ces acteurs? Je pense aux guerres cybernétiques. Je m’inspire peut-être trop du cinéma, mais il est possible de les repousser, non? Ce sont les questions que je souhaitais vous poser.

M. LeBlanc : Merci, sénatrice. Vos questions sont tout à fait pertinentes et appropriées.

Votre première question portait sur les acteurs hostiles étatiques et non étatiques. Ce sont les expressions que nous entendons couramment et que j’entends dans mes réunions. Je ne peux trop vous en dire toutefois, car bien entendu ces renseignements sont classifiés ou alors ils sont entre les mains de la police si une enquête est en cours. Cela étant dit, il est bien connu du public que la Russie, par exemple, mène des campagnes de désinformation et éventuellement des cyberattaques. La Chine est également mentionnée dans les débats publics sur le sujet. Je vous dis simplement ce qui est connu du public. Je suis parfois informé de situations où d’autres acteurs étatiques sont assez actifs.

Les acteurs hostiles non étatiques, quant à eux, sont souvent des réseaux criminels organisés qui sont actifs dans les pays qui commettent eux-mêmes ces attaques ou dans des pays qui n’ont pas de traité d’extradition avec les États-Unis, le Canada et les pays d’Europe. Il est possible de trouver certains de ces réseaux criminels, qui mènent des cyberattaques pour ensuite exiger une rançon, dans des pays dépourvus de traités d’extradition.

La menace évolue constamment et devient de plus en plus souvent — et cela a été dit publiquement par le Centre de la sécurité des télécommunications — une source de financement pour le crime organisé. Les grands réseaux criminels transnationaux peuvent avoir une filiale qui se livre à ce type d’activité à partir d’un pays X, et cela peut s’avérer très lucratif, comme le rapportent les grandes entreprises ou les entités du secteur public qui ont payé des rançons. Certaines rançons sont payées sans que nous le sachions, et ne sont jamais rendues publiques pour des raisons évidemment compréhensibles. Voilà des exemples de menaces, et nous pourrions en dire plus sur les pays.

Je conclurai par ceci : vous avez demandé quelles sont leurs motivations. Je ne suis pas un spécialiste du profilage criminel, mais un grand nombre de ces acteurs étatiques hostiles agissent précisément pour ébranler la confiance des gens dans les institutions publiques, dans les banques, les télécommunications, les autorités sanitaires locales. Ils cherchent à ébranler la confiance dans les grandes démocraties occidentales. Certains de ces actes peuvent être posés par des extrémistes violents qui sont motivés par une idéologie et qui cherchent à créer un contexte leur permettant de recruter dans certaines communautés. Il peut y avoir une multitude de raisons. Je vois certains de ces éléments dans les rapports des services de renseignement, mais ils sont aussi nombreux que les attaques.

Le président : Merci beaucoup.

Messieurs les ministres, je vérifie l’heure. Il est presque 17 heures. Je vais vous demander si vous pouvez rester encore 11 ou 12 minutes pour répondre aux quatre sénateurs qui ont des questions à poser. Nous leur accorderons trois minutes chacun, si vous êtes d’accord.

M. LeBlanc : Oui, bien sûr, mais j’ai une réunion à 17 h 30 avec deux de mes collègues du Cabinet à l’hôtel Marriott, qui est prévue depuis plusieurs mois. Nous rencontrons un groupe de dirigeants autochtones de la Jay Treaty Border Alliance.

Le président : Nous ferons vite.

La sénatrice Patterson : Merci.

J’ai une question pour le ministre LeBlanc. Elle fait suite à la question du sénateur Kutcher. Nous avons un réseau de soins de santé fédéral, c’est-à-dire au sein des Forces armées canadiennes, et il dispose d’un système électronique qui est connecté comme il se doit aux provinces et aux territoires pour échanger des renseignements. Ces données sont conservées dans un répertoire, mais nous savons que des quantités massives de données ont été supprimées accidentellement. Pourquoi est-ce important? Parce que la santé de nos troupes est aussi, assurément, une cybercible pour des acteurs malveillants. Je voulais le mentionner. Ma question porte également sur Services aux Autochtones, dont le champ de compétence se situe en dehors de celui des provinces et des territoires. Comment les services et les réseaux vitaux sont-ils pris en compte dans ce projet de loi? Le ministère de la Défense nationale a également un intérêt particulier dans ce domaine.

M. LeBlanc : Sénatrice, vous avez raison. Les agents de la GRC bénéficient également de certains services médicaux, à l’instar des membres des forces armées. Service correctionnel du Canada fournit des soins de santé à 13 500 détenus sous responsabilité fédérale. Vous avez tout à fait raison. Nous avons la responsabilité de protéger ces données et leur fiabilité pour les fournisseurs de soins et de le faire d’une manière qui ne compromettrait pas leur sécurité dans le cas des membres actifs des forces armées ou de la GRC. Si vous le voulez bien, M. Boucher pourra peut-être apporter des précisions sur le fonctionnement.

Patrick Boucher, sous-ministre adjoint principal, Direction de la sécurité nationale et de la cybersécurité, Sécurité publique Canada : Comme le ministre y a fait allusion plus tôt, des discussions importantes ont été tenues avec diverses parties prenantes de tout le pays — les provinces, les territoires, les organisations autochtones et le secteur privé —, et tout cela pour obtenir des informations de base sur la manière de définir les systèmes vitaux.

Comme le ministre l’a dit plus tôt en réponse à la question sur les petites et moyennes entreprises, il y a de fortes chances que ces systèmes vitaux soient détenus par les grandes entreprises, les grandes sociétés de télécommunications. Une méthodologie a été appliquée pour commencer à recenser ces systèmes vitaux, et nous continuerons à travailler avec l’industrie et avec nos partenaires, dans le cadre du processus réglementaire, pour les inclure et avoir la flexibilité nécessaire pour mettre à jour la liste, parce que la situation évoluera. La menace évoluera. Il se peut que de nouveaux systèmes vitaux doivent être protégés dans cette loi, et le cadre réglementaire nous permettra de le faire.

La sénatrice Duncan : Je remercie les ministres d’être ici.

La menace physique dans le Nord est double. Il y a les menaces liées aux changements climatiques et aux pannes d’équipement, qui se produisent plus souvent qu’on ne le pense. On a pu le constater au printemps dernier lorsque le Yukon a perdu toutes ses communications pendant un certain temps. Le gouvernement du Yukon a fait d’importants investissements dans la redondance pour l’avenir. Existe-t-il — je pense que M. Boucher en a parlé — un rapport ou une analyse réaliste qui porte sur l’infrastructure dans tout le Nord, en particulier pour recenser les lacunes? L’une de ces menaces est l’infrastructure physique essentielle, où elle existe, à quel point elle est vulnérable, et où elle n’existe pas. Ce sont les lacunes. L’autre préoccupation est que, lorsque l’équipement est tombé en panne, de nombreux Yukonnais se sont tournés vers Starlink. Starlink est présent partout. Quel est son niveau de sécurité? Il est utilisé par les organismes gouvernementaux. Quel est son niveau de sécurité et comment entendons-nous aborder cette question? Le projet de loi C-26 aborde-t-il la question de la sécurité des communications dans le cyberespace?

M. Champagne : Je vais essayer de répondre à votre question, mais il nous faudrait une heure pour en faire le tour.

Le fait que nous allons promouvoir la sécurité, la résilience et la fiabilité du réseau est un élément clé aujourd’hui. Je suis conscient de la situation que vous décrivez, car j’ai été très impliqué lorsque les habitants du Yukon ont perdu leur connectivité. Vous avez peut-être vu les récents investissements de Télésat dans des satellites en orbite basse pour garantir la couverture. Je dirais que cela a beaucoup à voir avec la sécurité nationale et la résilience, car, pour répondre à votre question, je ne pense pas que nous devrions externaliser quoi que ce soit qui concerne le passage du Nord-Ouest, l’aviation pour les services maritimes, l’application de la loi, etc. Nous sommes chargés, évidemment, de protéger le Nord, mais nous avons aussi nos obligations envers l’OTAN. Je pense qu’il s’agit d’un investissement judicieux qui nous permettra de soutenir une entreprise canadienne et de disposer de l’équipement nécessaire pour contribuer à la résilience des communications dans le Nord. Je serais heureux de pouvoir en discuter plus longuement, mais je vois que le président souhaite que je sois bref.

Le sénateur Al Zaibak : Je vous remercie, messieurs les ministres, de votre présence et je m’excuse d’avoir manqué la première partie de vos déclarations.

M. LeBlanc : Elles étaient formidables. Vos collègues ont été totalement conquis. C’était une performance très originale.

Le sénateur Al Zaibak : Je n’en doute pas.

À mon humble avis, ni la technologie seule ni le pouvoir législatif seul ne peuvent apporter une solution viable aux questions que nous nous posons et aux menaces auxquelles nous faisons face, en particulier lorsqu’il s’agit de cybersécurité. Je crois que la cybersécurité exige un effort concerté entre le gouvernement fédéral et l’industrie privée, les parties prenantes, car les parties prenantes de l’industrie privée sont souvent propriétaires de l’infrastructure des télécommunications et des technologies de l’information.

Le projet de loi C-26 semble créer des obligations pour les fournisseurs de télécommunications, mais sa mise en œuvre optimale nécessite un partenariat public-privé solide. À votre avis, quels cadres ou incitatifs du projet de loi C-26 pourraient favoriser une collaboration efficace entre le gouvernement fédéral et les entreprises de télécommunications privées, afin de nous assurer d’avoir des solutions viables à long terme en matière de cybersécurité?

M. Champagne : Merci, sénateur.

L’un des objectifs est également d’assurer la sécurité générale du réseau des télécommunications au Canada. Il y a plusieurs façons de le faire. Comme vous l’avez dit, les pouvoirs dont nous disposons ici consistent à ordonner à des acteurs au sein de l’écosystème de faire ou de ne pas faire certaines choses.

Sénateur, je ne sais pas si vous êtes arrivé après ma déclaration et après la déclaration éloquente du très humble ministre LeBlanc, mais j’ai mentionné qu’il y a eu des investissements importants, par exemple, à Kanata. L’un des plus grands centres de recherche de Nokia se trouve ici. Ericsson a récemment investi ici. Ces deux entreprises ont investi plus de 500 millions de dollars. Pour répondre à votre question, la politique et les pouvoirs réglementaires seront utiles, mais nous devons travailler main dans la main dans le domaine de la recherche et du développement.

Nous parlons de normes et de chaînes d’approvisionnement avec nos alliés. Je ne sais pas si vous étiez arrivé au moment où je l’ai mentionné, mais croyez-le ou non, nous avons signé un accord pour collaborer avec les Américains non pas sur la 5G mais sur la 6G, alors comme vous le voyez, nous regardons déjà au-delà de la prochaine technologie. Le fait qu’une partie de cette recherche sera effectuée au Canada montre bien que nous voulons prendre les devants, sécuriser notre réseau et nous assurer que nous disposons des normes les plus élevées en matière de réseau des télécommunications, car ce sera vital pour notre sécurité et la prospérité économique du pays.

Le président : Merci, chers collègues.

Malheureusement, cela nous mène à la fin du temps prévu avec les ministres aujourd’hui. Nous avons non seulement reçu un carton rouge, mais nous avons également joué les prolongations, alors nous vous en remercions. Merci, messieurs les ministres, d’avoir pris le temps d’être avec nous aujourd’hui. Au nom de nos collègues présents dans la salle et de l’ensemble du Sénat, nous vous remercions pour le travail que vous accomplissez sans relâche en notre nom et au nom des Canadiens tous les jours et souvent en soirée et les fins de semaine. Nous vous en sommes reconnaissants. C’est toujours un plaisir de vous voir.

Chers collègues, les fonctionnaires de Sécurité publique Canada et d’Innovation, Sciences et Développement économique ont gentiment accepté de rester pour répondre aux questions jusqu’à 18 h 25. Ils seront accompagnés pendant les 75 prochaines minutes par des fonctionnaires du Centre de la sécurité des télécommunications Canada, dont nous avons beaucoup entendu parler aujourd’hui. Nous allons maintenant poursuivre notre période de questions avec les fonctionnaires de Sécurité publique Canada et d’Innovation, Sciences et Développement économique Canada, qui sont accompagnés par les fonctionnaires suivants du Centre de la sécurité des télécommunications : Sami Khoury, agent supérieur pour la cybersécurité; Daniel Couillard, directeur général, Partenariats et atténuation des risques, Centre canadien pour la cybersécurité, et Stephen Bolton, directeur général, Politique stratégique. Je vous souhaite à tous la bienvenue et vous remercie de vous joindre à nos autres témoins. Je comprends que les fonctionnaires changeront de place au besoin pour répondre à nos questions.

[Français]

Le sénateur Dagenais : Ma question s’adresse à M. MacSween.

On parle de concertation avec les pays du Groupe des cinq. Est-ce qu’il y a des actions ou des interdictions, ici au Canada, qui ne sont pas en alignées avec les actions de nos alliés? Si oui, pouvez-vous nous donner des exemples et des explications qui justifient que nous ne sommes pas solidaires de nos alliés, soit les pays du Groupe des cinq?

Colin MacSween, directeur général, Direction de la sécurité nationale et de la cybersécurité, Sécurité publique Canada : Merci de votre question.

[Traduction]

En ce qui concerne les interdictions, actuellement, en l’absence du projet de loi C-26, lorsque nous regardons nos partenaires des pays du Groupe des cinq, beaucoup d’entre eux ont mis en place des régimes semblables, en particulier aux États-Unis, au Royaume-Uni et en Australie, et je parle ici plus particulièrement de la partie 2 du projet de loi. Ces régimes présentent des ressemblances et des différences. L’une des principales similitudes est l’exigence de déclaration obligatoire que l’on retrouve dans ces trois autres pays. Je dirais que nous apprenons beaucoup de ces pays en ce qui concerne la manière dont nous voulons fixer le seuil de la déclaration obligatoire. En ce qui concerne les lacunes et les interdictions, en l’absence du projet de loi C-26, l’obligation de déclaration n’existe pas pour le secteur des infrastructures essentielles. C’est une grosse lacune pour le Canada.

La raison pour laquelle nous voulons agir, c’est en partie pour nous assurer que nous avons une vue d’ensemble de toutes les menaces qui nous parviennent. En outre, cela permet à nos collègues du Centre canadien de cybersécurité d’envoyer des conseils sur les menaces à d’autres secteurs des infrastructures essentielles touchés, et je précise qu’il ne s’agit pas seulement des secteurs sous réglementation fédérale, mais aussi de tous les secteurs des infrastructures essentielles. C’est certainement l’une des lacunes que nous voulons combler et l’une des différences que nous voyons dans la partie 2 du projet de loi.

[Français]

Le sénateur Dagenais : On parle de certaines dispositions du projet de loi C-26 qui ont été adoptées et qui peuvent avoir un effet rétroactif sur certaines actions qui menacent le Canada. Pouvez-vous nous donner des exemples de dispositions du projet de loi C-26 qui ont été adoptées et qui auraient un effet rétroactif?

[Traduction]

M. MacSween : Je pense que l’effet rétroactif est un peu plus lié à la partie 1 du projet de loi. Avec la partie 2, après la sanction royale, rien ne s’enclenche immédiatement. Afin d’établir les exigences, nous devons passer par le processus réglementaire, et ce n’est qu’alors que les exploitants désignés qui seront recensés dans le cadre de ce processus deviendront assujettis aux exigences de la loi. La partie 2 ne prévoit pas d’action rétroactive.

M. Arbour pourrait souhaiter dire quelque chose au sujet de la partie 1.

[Français]

Andre Arbour, directeur général, Secteur des stratégies et politiques d’innovation, Innovation, Sciences et Développement économique Canada : Merci.

Pour tirer les choses au clair, la politique annoncée par le gouvernement en 2022 est entièrement volontaire. C’est une entente qui explique certaines intentions en ce qui concerne l’équipement de Huawei et de ZTE, mais c’est volontaire. Sous les autorités du projet de loi, on va consulter encore une fois pour le décret en question. Ce n’est donc pas rétroactif, c’est plutôt pour l’avenir en ce qui concerne l’application de la loi spécifiquement.

Le sénateur Dagenais : Merci.

Le sénateur Carignan : J’aimerais avoir plus de précisions sur l’étendue de la loi et des pouvoirs du ministre. Ma question concerne les données GPS ou géoréférencées, tout comme en contiennent ma montre Garmin, ma voiture autonome, le taxi autonome qu’on voit de plus en plus aux États-Unis et les informations détenues par les systèmes de localisation comme Google Maps.

En vertu du projet de loi C-26, est-ce que le ministre aurait un certain pouvoir d’intervention si quelqu’un utilise ces données à des fins d’ingérence, de menace ou d’espionnage ou même de contrôle, s’il décidait de prendre le contrôle de voitures autonomes? Cela relève un peu de la science-fiction, mais on s’en approche. Quels seraient alors ses pouvoirs?

M. Arbour : Merci pour la question.

Le projet de loi touche ce qui est de compétence fédérale. Dans le contexte des télécommunications, par exemple, s’il y a un lien avec l’approvisionnement des services de télécommunications, cela pourrait comprendre les questions de données de GPS, mais s’il y a un lien avec —

Le sénateur Carignan : Il n’y a pas de lien avec l’antenne cellulaire; je parle plutôt d’un satellite, par exemple.

M. Arbour : La communication par satellite pourrait faire partie des télécommunications, mais cela dépend des circonstances. La technologie existe dans plusieurs secteurs — la santé et l’énergie, par exemple —, mais l’envergure du projet de loi porte sur les secteurs de compétence fédérale, soit les télécommunications, les finances, l’énergie et les transports.

Cela dépend donc de circonstances précises. S’il y a un lien dans un contexte de compétence fédérale quant au secteur, au service ou à l’activité en question, par exemple Bell Canada, qui est un service de télécommunications, il y a alors la possibilité d’intervenir. Toutefois, si on est dans un contexte de compétence provinciale, telle que, par exemple...

Le sénateur Carignan : Je vais être plus précis. Si on parle de voiture ou de taxi autonomes, comme on le voit de plus en plus aux États-Unis, et d’un risque de menace de prise de contrôle externe du véhicule, est-ce que le ministre a un pouvoir?

M. Arbour : Si le véhicule en question existe dans un contexte d’un secteur fédéral, il y a la possibilité de...

Le sénateur Carignan : Donc, le ministre a un pouvoir si le taxi fait du transport interprovincial ou s’il se promène entre Ottawa et Gatineau, mais s’il reste sur le territoire de Montréal, il n’en a pas? C’est ce que vous me dites?

M. Arbour : En ce qui concerne les compétences de la réglementation du secteur des transports, il existe certaines possibilités, ce dernier faisant partie de la compétence mentionnée à la partie 2. Cela dépend encore une fois des circonstances.

D’autres outils sont également à la disposition du gouvernement, par exemple si c’est une mesure économique, et cela a un impact semblable en ce qui concerne les questions de sécurité pour les impôts, par exemple, et le contrôle de la disponibilité de certains véhicules au sein du Canada.

J’ajouterais également qu’il s’agit d’une question ouverte pour le gouvernement actuel, soit la possibilité de prendre toutes les mesures nécessaires concernant les véhicules autonomes ou électroniques, et le gouvernement a souligné l’importance de cet enjeu.

[Traduction]

Le sénateur Yussuff : J’ai déjà posé la question aux deux ministres et je n’ai pas obtenu de réponse, je vais donc me répéter et j’espère obtenir une réponse cette fois-ci.

De nombreuses entreprises de télécommunications de notre pays sous-traitent actuellement des activités à des sous-traitants à l’étranger. Elles recueillent nos données et les traitent dans d’autres pays, et pourtant, nous sommes en train de débattre et de discuter d’un projet de loi qui protégera notre cybersécurité. Pouvez-vous m’assurer que ce projet de loi protégera les données que les Canadiens confient à ces entreprises de télécommunications ? Nous n’avons aucun contrôle sur ces données. On peut m’appeler de l’Inde, de l’Égypte ou de n’importe où dans le monde, et on recueille ces informations, mais nous n’avons aucun contrôle sur ce que font les entreprises de télécommunications et sur la façon dont ces données pourraient être compromises si elles se trouvaient maintenant dans un autre pays.

M. Arbour : Merci de la question.

En commençant par les mesures existantes, il existe des exigences en matière de protection de la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques qui sont conditionnelles au consentement de l’utilisateur, ainsi que des mesures volontaires que mon ministère a mises en place pour mobiliser les fournisseurs de télécommunications en ce qui concerne la protection de leurs réseaux. Je comprends que ces mesures puissent être considérées comme insuffisantes. C’est d’ailleurs l’une des raisons pour lesquelles ce projet de loi est si important.

La partie 1 prévoit un ensemble assez large de considérations. Il s’agit de protéger la sécurité du système des télécommunications dans son ensemble, contre toutes les menaces. On ne parle pas seulement d’une cyberattaque individuelle, mais d’un ensemble de risques. Il existe une marge de manœuvre pour prendre des mesures réglementaires afin de protéger ces réseaux et ces services contre ces risques.

Le sénateur Yussuff : Permettez-moi de poursuivre. Ce que les Canadiens confient à leurs fournisseurs de télécommunications — quels qu’ils soient actuellement —, c’est la responsabilité de protéger leurs données. Rien de ce que vous me dites ne m’assure que la situation sera meilleure avec ce projet de loi, car s’ils continuent à sous-traiter ces activités à l’extérieur du pays à une entité étrangère, nous n’avons aucun contrôle. En cas de violation dans un autre pays, vous me dites : « désolé, nous n’avons aucun contrôle sur ce qui s’est passé en Égypte ou en Inde, mais nous sommes ici pour vous dire que nous allons vous protéger grâce à ce projet de loi ». Nous ne pouvons pas le faire dans le cadre de la loi actuelle, alors comment ce projet de loi nous permettra-t-il de le faire à l’avenir?

M. Arbour : Pour préciser, actuellement, nous n’avons pas d’autorité légale pour agir, ce qui fait partie de l’objet du projet de loi.

Le sénateur Yussuff : N’est-ce pas ce qui inquiète la plupart des Canadiens, soit ce qui est autorisé à l’heure actuelle ? Nous parlons de la cybersécurité de certaines des entités les plus importantes auxquelles nous faisons confiance, nos entreprises de télécommunications, et nous n’avons aucun contrôle actuellement pour même leur dire : « pardon, mais vous compromettez un élément fondamental pour assurer notre sécurité nationale ».

M. Arbour : De bonnes mesures ont été prises, essentiellement par la persuasion morale et la pression exercée sur les entreprises, ainsi que par d’autres moyens, comme la façon dont le gouvernement collabore avec les fournisseurs de services de télécommunications.

Pour en revenir à ce que le projet de loi peut et ne peut pas faire, il s’agit d’instaurer un cadre qui permet au gouvernement de prendre des mesures contre un ensemble de menaces. Le projet de loi ne décrit pas en détail la question précise que vous soulevez parce qu’il se veut technologiquement neutre et souple pour contrer l’ensemble des menaces qui se présentent et pour offrir une boîte à outils efficace qui nous permet de réagir à ces risques. Il prévoit un ensemble de pouvoirs visant à surveiller le comportement des fournisseurs de services de télécommunications et à les obliger à fournir des renseignements sur leurs activités pour montrer comment ils sécurisent leur réseau et protègent les données de leurs clients. Le projet de loi prévoit également des mesures destinées à relever la barre en ce qui concerne les règles et les comportements que les exploitants devraient adopter pour mieux protéger ces données. Il s’agit de faire en sorte que nous disposions des outils nécessaires pour prendre des mesures contre les risques, au nombre desquels pourraient figurer cette menace et la vaste gamme de risques que nous connaissons aujourd’hui ou qui pourraient survenir à l’avenir.

Le sénateur Gold : Je vous remercie d’être des nôtres.

J’aimerais vous demander de commenter plus en détail une question que j’ai posée aux deux ministres. Compte tenu des pouvoirs accrus, dont nous avons besoin pour nous protéger, il faut trouver un juste équilibre.

Pourriez-vous nous donner un peu plus de détails sur les garanties, les limites et les mécanismes de surveillance qui ont été intégrés au projet de loi? S’il existe d’autres mesures législatives complémentaires, n’hésitez pas à nous en parler afin d’élargir le contexte.

[Français]

M. MacSween : Merci pour la question.

[Traduction]

En ce qui a trait aux garanties, je vais m’attarder à la partie 2, mais certaines d’entre elles s’appliquent à la partie 1, comme les ministres l’ont mentionné. Pour ce qui est de la protection de la vie privée, l’une des dispositions précises qui ont été intégrées au projet de loi constitue le renvoi explicite à la Loi sur la protection des renseignements personnels afin de rassurer les Canadiens sur le fait que la Loi sur la protection des renseignements personnels s’applique à la collecte et à l’utilisation de leurs renseignements personnels. De plus, le projet de loi C-26 n’accorde pas de nouveaux pouvoirs à des organismes comme nos amis du Centre de la sécurité des télécommunications. Ceux-ci seront toujours assujettis aux exigences actuelles en matière de protection de la vie privée prévues dans leur loi. Voilà le premier point.

Les autres dispositions qui ont été intégrées — et je pense que les ministres y ont fait allusion — portaient sur l’exercice de leur pouvoir d’ordonnance et la nécessité de garantir une certaine transparence à cet égard. Aux termes de la partie 2, le ministre de la Sécurité publique sera tenu d’aviser le CPSNR ou l’OSSNR — nos organismes de surveillance de la sécurité internationale — de la publication de directives en matière de cybersécurité. On a apporté cet amendement de façon délibérée pour faire en sorte que l’organisme de surveillance lui-même ait le pouvoir d’examiner ces directives, mais je pense que l’intention était de veiller à ce que l’organisme de surveillance soit au courant de ce qui se passe et puisse se pencher là-dessus s’il le souhaite. L’organisme de surveillance a toute la latitude voulue pour déterminer l’objet de ses examens.

Évidemment, toutes les dispositions du projet de loi prévoient un recours à la Cour fédérale, et cela s’applique absolument, dans le cas de la partie 2, à la publication de directives en matière de cybersécurité, ainsi qu’au régime de sanctions administratives pécuniaires ou aux infractions sommaires. Le projet de loi fait donc l’objet d’un contrôle judiciaire.

Il y a un autre aspect qui a été intégré — et je pense que c’est prévu dans les deux parties du projet de loi — et, encore une fois, cela rejoint la question de la transparence, mais pour s’assurer que tout le monde est au courant de l’administration de la loi, les ministres seront tenus de déposer un rapport au Parlement. Le projet de loi dresse une liste non exhaustive de tous les renseignements qui doivent figurer dans ce rapport. Il s’agit là d’une autre mesure visant à garantir une transparence et un contrôle suffisants du projet de loi.

M. Arbour : Pour poursuivre sur cette lancée, je pense qu’il y a différentes étapes à prendre en considération pour déterminer ce qui est visé et ce qui ne l’est pas. Par exemple, l’objectif stratégique est de protéger, en l’occurrence, le système de télécommunications, et non de faire progresser la sécurité nationale dans son ensemble. Cela ne veut pas dire qu’il n’y a pas d’importants objectifs en matière de sécurité nationale ou d’application de la loi, mais cela n’entre pas dans la portée du projet de loi. S’il ne s’agit pas de protéger l’infrastructure de notre réseau... cela n’a rien à voir avec la lutte de la GRC contre le crime organisé ou n’importe quoi de ce genre. Ces questions dépassent la portée du projet de loi.

Certaines dispositions ont été ajoutées pour plus de certitude. Elles concernent notamment le critère du caractère raisonnable, de sorte que les décrets doivent être raisonnablement liés à cet objectif. C’est une exigence déjà établie par la Cour suprême, mais elle est maintenant clairement énoncée dans le projet de loi. Des dispositions ont également été ajoutées en raison des préoccupations relatives à la protection de la vie privée. Par exemple, les renseignements personnels et les renseignements dépersonnalisés sont définis dans cet article. Il y a un renvoi à la Loi sur la protection des renseignements personnels. L’article sur les télécommunications contient une « précision » qui peut être invoquée pour l’interception de communications privées. Nous ne pouvions pas le faire aux termes de la version préliminaire, mais cet ajout offre une certitude supplémentaire.

Pour répondre à la question sur les décrets confidentiels, de façon générale, lorsque nous réglementons le secteur des télécommunications, nous voulons que tout le monde connaisse les règles du jeu. Nous organisons une consultation publique — nous y sommes tenus —, et cette obligation demeure inchangée dans le projet de loi en général. Le ministre a donné quelques exemples précis, comme dans le cas d’un exploitant qui présente une vulnérabilité particulière, si bien que la publication de cette information l’exposerait à des attaques. Les décrets confidentiels sont donc justifiés dans de telles circonstances exceptionnelles. Pour éviter qu’ils soient utilisés à mauvais escient dans ces circonstances précises, il existe des mécanismes de surveillance supplémentaires, en particulier les avis adressés à l’OSSNR et au CPSNR.

La sénatrice Batters : Je voudrais d’abord m’adresser aux représentants du Centre de la sécurité des télécommunications, ou CST. Les organismes de défense des libertés civiles ont exprimé de vives inquiétudes quant à l’absence de responsabilité dans le projet de loi C-26, même s’il a été amendé pour que l’OSSNR et le CPSNR soient désormais avisés lorsqu’un décret confidentiel est pris. Un mémoire mis à jour de l’Association canadienne des libertés civiles souligne en particulier que le CST a refusé à maintes reprises par le passé de se conformer aux directives de l’OSSNR. En voici un extrait :

Dans son libellé actuel, le projet de loi C-26 risque de perpétuer une situation où le Centre de la sécurité des télécommunications interprète ses mandats — maintenant surchargés de renseignements personnels sur un nombre encore plus grand de Canadiens — d’une manière qui a été jugée non conforme à la Loi sur la protection des renseignements personnels par ses organismes de surveillance.

Que répondriez-vous à ces graves préoccupations?

Sami Khoury, agent supérieur pour la cybersécurité, Centre de la sécurité des télécommunications Canada : Je vous remercie de cette question.

Nous prenons le rôle de l’organisme de surveillance très au sérieux et nous collaborons avec lui dans le cadre de tous ses examens.

Dans le contexte du projet de loi C-26, les renseignements que nous recevrons des exploitants désignés sont censés être des indicateurs de compromission. Nous ne recevons pas ou nous ne recevrons pas de renseignements personnels de la part des exploitants. Tout ce que nous voulons être en mesure de faire, c’est d’évaluer la gravité du cyberincident en comprenant comment il s’est produit et en repérant les signes révélateurs de la compromission ou de la vulnérabilité qui a été exploitée. Nous avons généralement des échanges assez techniques avec les divers exploitants afin de comprendre la gravité de l’incident, de pouvoir en saisir l’ampleur et d’avertir d’autres exploitants, s’ils disposent des technologies similaires, ou de prévenir d’autres organisations qui utilisent cette technologie. Donc, en un sens, nous recevrons des détails techniques pour comprendre ce qui s’est passé, et aucun renseignement de nature personnelle ne sera échangé entre nous, qu’il s’agisse d’un fournisseur de services de télécommunications, d’une organisation financière ou d’une société d’énergie. Nous ne recevrons rien qui soit de nature personnelle en pareil cas.

La sénatrice Batters : N’est-il pas vrai que vous pourriez tout de même recevoir des renseignements personnels, bien qu’ils soient dépersonnalisés? Les deux sont différents. N’est-ce pas le cas? Est-ce que je me trompe?

M. Khoury : Chaque incident est différent; je ne peux donc pas avancer d’hypothèses sur ce qu’un exploitant serait en mesure de nous communiquer dans le contexte d’un incident précis. S’il en tenait qu’à nous, nous voudrions comprendre comment l’incident s’est produit. Encore une fois, nous examinons les incidents de cybersécurité, et nous cherchons à comprendre comment cela s’est produit. Si l’exploitant avait une raison d’identifier un courriel ou un document contentant des renseignements personnels, le tout serait dépersonnalisé, à défaut de quoi nous avons quand même l’obligation de protéger la vie privée des Canadiens en vertu de notre loi.

La sénatrice Batters : Je m’adresse maintenant aux fonctionnaires du ministère de la Sécurité publique. Il a fallu huit ans pour que le projet de loi en arrive à ce stade, et le gouvernement fédéral n’a toujours pas produit d’analyse comparative entre les sexes plus, ou ACS Plus, à ce sujet. Le gouvernement actuel avait promis de rendre obligatoires les documents d’ACS Plus pour tous les projets de loi qu’il présenterait au Parlement. Lorsque j’ai demandé si le projet de loi C-26 avait fait l’objet d’une analyse comparative entre les sexes plus, le gouvernement a finalement répondu ce qui suit : « Si le projet de loi est adopté, une analyse ACS Plus sera effectuée dans le cadre du processus d’élaboration des règlements. » Comment le gouvernement justifie-t-il son incapacité à produire un document d’ACS Plus — comme il l’exige lui-même — pour le projet de loi C-26 longtemps après son adoption par les deux Chambres du Parlement?

M. MacSween : Je vous remercie beaucoup de cette question.

Dans le cas du projet de loi C-26, une analyse ACS Plus a été effectuée, et je crois comprendre qu’un résumé de cette analyse — en deux volets — a été fourni au comité.

La sénatrice Batters : Je suis la porte-parole pour le projet de loi. J’ai posé une question à ce sujet, et on m’a répondu : « Si le projet de loi est adopté, une analyse ACS Plus sera effectuée dans le cadre du processus d’élaboration des règlements. » On m’a dit que rien de la sorte n’avait été fait. Si vous avez une telle analyse, je serai heureuse de l’obtenir, mais je remarque qu’elle n’a toujours pas été produite après que la Chambre des communes a reçu le projet de loi il y a deux ans.

M. MacSween : Je crois comprendre que le résumé a été remis au comité aujourd’hui même.

La sénatrice Batters : Aujourd’hui même? D’accord. C’est intéressant.

Le sénateur McNair : J’aimerais approfondir un peu plus les questions ou les réponses relatives aux procédures confidentielles.

Lors de son discours à l’étape de la deuxième lecture, la porte‑parole au Sénat pour le projet de loi C-26 a soulevé des préoccupations au sujet des procédures judiciaires à huis clos. Pouvez-vous nous dire depuis combien de temps les procédures à huis clos font partie de notre système judiciaire lorsque des questions de sécurité nationale sont en cause? Pouvez-vous également préciser les facteurs qu’un tribunal pourrait prendre en compte pour déterminer si de telles procédures s’imposent dans un cas précis?

M. MacSween : Je vous remercie de cette question.

Je ne sais pas exactement depuis combien de temps ces types de procédures existent. Je travaille dans le domaine de la sécurité nationale depuis une douzaine d’années maintenant, et ces procédures ont toujours été là pendant cette période.

De façon générale, pour répondre à la deuxième partie de la question, les procédures confidentielles visent à protéger les renseignements classifiés ou, plus précisément, les renseignements jugés préjudiciables à la sécurité nationale ou aux relations internationales. Voici comment les choses se déroulent, conformément à la loi : la personne faisant l’objet d’une poursuite doit faire savoir au procureur général du Canada si elle a l’intention de s’appuyer sur des renseignements classifiés. Le cas échéant, le procureur général du Canada peut alors présenter une demande au tribunal pour que ces renseignements soient protégés. À partir de là, un juge examinerait les renseignements pertinents et déterminerait lui‑même s’il y a atteinte à la sécurité nationale, aux relations internationales ou à la sécurité publique. Cette conversation aurait lieu avec le procureur général et le ministre.

Dans le cas du régime proposé ici, je pense que nous comprenons tous que le projet de loi C-70 a été adopté et que ce régime prendra le relais. Entre autres, ce régime permet au tribunal de faire appel à un conseiller juridique spécial chargé de protéger les droits de la partie en cause lorsque les renseignements sont présentés à huis clos. Encore une fois, c’est à la discrétion du tribunal de décider si cela s’avère nécessaire, mais voilà en gros comment se déroule le processus.

Pour ce qui est des renseignements confidentiels, ils se limitent aux renseignements qui sont classifiés et qui pourraient, au bout du compte, porter atteinte aux relations internationales ou à la sécurité publique. Le principe de l’audience publique s’appliquerait à tout le reste.

Le sénateur Boehm : Mes questions s’adressent à M. Khoury. Je suis heureux de vous revoir.

Vous travaillez dans ce domaine depuis un certain temps. Vous attendiez l’adoption de ce projet de loi depuis un bon moment. De votre point de vue, quel est le défi le plus important à relever pour mettre en œuvre le projet de loi de manière efficace, en veillant à ce que les secteurs public et privé soient adéquatement préparés? S’agit-il des effectifs? S’agit-il du budget? Voilà pour ma première question.

L’autre question est la suivante : en supposant que le projet de loi soit adopté et mis en œuvre, êtes-vous prêt à faire face à des représailles de la part d’acteurs malveillants qui essaieront de mettre à l’épreuve vos systèmes et les nôtres?

M. Khoury : Je vous remercie, sénateur, de me poser cette question.

Si je peux me permettre de répondre dans l’ordre inverse, non, je ne m’attends pas nécessairement à ce que des acteurs malveillants ripostent parce que le Canada accroît sa résilience contre les cybermenaces. À tout le moins, ils seraient peut-être un peu plus déterminés. J’espère toutefois que le projet de loi nous permettra d’accroître la cyberrésilience collective non seulement des secteurs d’infrastructures essentielles, mais aussi d’autres secteurs qui ne sont pas visés par le projet de loi, et d’améliorer notre cybersécurité collective. Cela répond peut-être à la deuxième partie de votre question.

Pour ce qui est de la première partie concernant les défis, le Canada est un pays immense, très diversifié et doté d’une population dispersée. Par conséquent, le plus grand défi sera d’établir comment collaborer avec ces exploitants dans tous les secteurs visés et comment les soutenir dans leur démarche de cybersécurité. Ils n’en sont pas tous au même degré de cybermaturité. Certaines grandes entreprises participent très activement à la cybersécurité; les petites entreprises, quant à elles, auront peut-être besoin d’un peu plus de soutien.

Par ailleurs, un défi à court terme consisterait peut-être à définir le seuil à partir duquel un cyberincident doit être signalé. Nous ne voulons pas que la barre soit trop basse, à tel point que, par exemple, si vous perdez votre mot de passe, vous aurez à le signaler. Cependant, nous ne voulons pas non plus placer la barre si haut que nous finissions par ne recevoir aucun rapport de cyberincident à la fin de l’année. Nous voulons trouver un juste milieu dans la définition d’un cyberincident, mais nous voulons aussi tenir compte de l’impact de notre définition sur les activités transfrontalières. Pour une entreprise canadienne qui exerce ses activités aux États-Unis, nous devrons peut-être ne pas perdre de vue le fait que nous ne voulons pas créer de confusion en ayant une définition au Canada et une autre aux États-Unis.

Le sénateur Boehm : Pour revenir à la question précédente de la sénatrice Batters, avez-vous des plans pour les petites et moyennes entreprises, les PME, qui auront besoin d’aide? Elle a posé la question aux ministres, mais elle n’a pas obtenu la réponse que nous souhaitions tous. Envisagez-vous un plan particulier à cet égard?

M. Khoury : Pour le projet de loi C-26, nous devrons établir qui sont les entités désignées et travailler avec elles. Certaines pourraient être de grandes entreprises, d’autres pourraient être des PME, et elles seront toutes traitées aux termes du projet de loi C-26. Le centre pour la cybersécurité a un programme distinct pour collaborer avec les petites et moyennes entreprises qui ne sont pas concernées par le projet de loi afin de promouvoir les meilleures pratiques et les contrôles de sécurité en matière de cybersécurité. Ce programme est en cours. Dans un cas comme dans l’autre, il n’est pas nécessaire d’attendre le projet de loi C-26. Nous travaillons d’ores et déjà avec ces industries et ces entreprises pour nous assurer qu’elles disposent de tous les outils nécessaires pour améliorer leur cyberrésilience.

Le sénateur Kutcher : Merci de vous être joints à nous aujourd’hui.

Je vais revenir sur la question des données sur les soins de santé. En plus de ce qu’a dit le sénateur Patterson, nous constatons que de plus en plus de soins de santé sont fournis en ligne, principalement par des fournisseurs privés dans l’espace des télécommunications, mais aussi par d’autres fournisseurs privés. Les soins de santé fournis en ligne ne se limitent pas à ceux que fournit LifeLabs avec les résultats de laboratoire. Il y a aussi des services de psychothérapie qui sont fournis en ligne avec une quantité incroyable de données personnelles qui pourraient être très préjudiciables à des particuliers qui ont des rôles importants à jouer au sein du gouvernement, à des capitaines d’industrie et à toutes sortes d’autres personnes. Ne pensez-vous pas que les soins de santé devraient être ajoutés à l’annexe 1?

M. MacSween : Merci beaucoup de cette question.

Je ne conteste pas le fait que le secteur des soins de santé a été la cible de cyberactivités malveillantes. Il est certain que ce secteur détient une grande quantité de renseignements personnels très confidentiels. Toutefois, comme l’ont souligné les ministres, le projet de loi précise qu’il ne s’applique qu’aux secteurs des infrastructures essentielles sous réglementation fédérale.

Dans le cas de la partie 2, nous devrons passer par un processus de désignation des fournisseurs de services et systèmes essentiels, ce qui se fera dans le cadre du processus réglementaire. Je ne peux pas dire si les fournisseurs de services de télécommunications qui fournissent des conseils en santé seront visés. Je ne dispose pas de cette information pour l’instant. Ce processus interviendra plus tard.

M. Arbour : Pour continuer sur cette lancée, l’annexe de la partie 2 fait déjà la liste des systèmes et des secteurs de compétence fédérale les plus évidents et les plus clairement visés. Nous sommes impatients d’aller de l’avant — si ce texte reçoit la sanction royale — avec des besoins très clairs, urgents et pressants qui sont sans équivoque de compétence fédérale. Il existe une série d’activités plus coopératives dont les Samis pourraient peut-être aussi parler.

Dans la mesure où il existe des problèmes dans le secteur des télécommunications qui sont liés spécifiquement aux services de télécommunication, il y a une marge de manœuvre. Dans la mesure où ces questions ne sont pas prises en compte, mais qu’elles sont de compétence fédérale, l’annexe peut être modifiée par le gouverneur en conseil. Il n’est pas nécessaire de revenir devant le Parlement, ce qui permet une certaine flexibilité, à condition que cela soit de compétence fédérale.

Le dernier point que je voudrais soulever, c’est qu’il existe des obligations dans le domaine de la protection des renseignements personnels, c’est-à-dire des obligations généralisées pour le secteur privé quand celui-ci relève d’une compétence fédérale. Si vous êtes une entreprise privée — même dans le domaine de la santé —, vous êtes soumis aux dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques et, éventuellement, aux dispositions législatives qui seront mises en œuvre par le projet de loi C-27 afin d’instaurer des pouvoirs élargis pour veiller à ce que le secteur privé assure la protection des renseignements personnels des Canadiens.

M. Khoury : Outre le projet de loi C-26, le Centre pour la cybersécurité du Centre de la sécurité des télécommunications travaille beaucoup avec le secteur des soins de santé. Nous prenons très au sérieux la protection des données médicales des Canadiens, et nous avons malheureusement vu trop d’incidents menacer ces données et les systèmes de santé. Nous sollicitons constamment le milieu des soins de santé pour attirer son attention sur les dernières menaces que nous voyons émerger et sur la façon de promouvoir la cyberhygiène comme moyen de relever la vigilance collective. Nous publions constamment des alertes qui fournissent des conseils et des lignes directrices sur les plus récentes vulnérabilités. Il peut s’agir d’un appareil d’imagerie par résonance magnétique ou d’un système de dossiers médicaux électroniques. Nous communiquons constamment ces renseignements à tous les échelons des soins de santé, tant au provincial qu’au municipal.

M. MacSween : Les ministres ont déclaré publiquement que, même s’il s’applique aux secteurs réglementés par le gouvernement fédéral, le projet de loi C-26 est destiné à servir de modèle aux autres ordres de gouvernement — provinces, territoires et municipalités. Nous sommes intervenus officiellement auprès des provinces et des territoires en leur fournissant des conseils sur le projet de loi et sur les exigences qu’il contient. Nous avons en outre discuté avec eux de l’harmonisation des règlements, de sorte que si jamais ils se lancent dans l’adoption de mesures législatives similaires, nous serons prêts, disposés et capables d’avoir des discussions sur la façon optimale dont nous pourrions les appuyer. Nous avons vu certaines initiatives législatives au Québec et en Ontario. Elles sont nouvelles, mais elles vont dans le même sens.

La sénatrice Duncan : Merci à nos témoins.

Il y a des lacunes importantes dans le Nord canadien où la technologie des communications est très limitée. Les Rangers assurent une présence vitale dans le Nord canadien, et la GRC est chargée de faire appliquer la loi sur tout ce territoire. Les communications sont vitales pour ces deux domaines particuliers et pour les personnes concernées. C’est une question de santé, de sécurité, de sécurité personnelle et de sécurité nationale. Lorsque les systèmes de communication ne sont pas disponibles, les organisations se tournent vers ce qui est disponible, et c’est peut‑être une liaison par satellite qui n’est pas fournie par le Canada ou qui n’est pas fournie par un Canadien. Comment le projet de loi C-26 peut-il améliorer cette situation? La réponse du Canada est imminente, mais il reste encore beaucoup de chemin à faire. Ma crainte est que nous fermions la porte de l’écurie après que le cheval est parti.

M. Arbour : Merci, sénatrice, de cette question.

Ce dossier est une grande priorité pour mon ministère et pour le gouvernement. En 2022, le ministre Champagne a annoncé le programme de fiabilité des télécommunications, aux termes duquel nous allons être en mesure d’utiliser tous les outils de la boîte à outils pour promouvoir la fiabilité du système de télécommunications. Le projet de loi C-26 fait partie de ce programme, mais il n’en est qu’une partie.

Je vais vous donner quelques exemples. La Dempster Fibre Line entre Dawson et Inuvik a été financée par le fonds Brancher pour innover en collaboration avec Infrastructure Canada et le gouvernement du Yukon. Un autre exemple serait le nouveau régime réglementaire que le ministère a annoncé en juin pour faciliter les communications directes entre les appareils cellulaires moyens et les satellites. Jusqu’ici, la technologie ne le permettait pas et il fallait un téléphone satellite spécial. C’est une autre façon de permettre les communications lorsqu’il n’y a pas de réseau terrestre.

En 2023, le gouvernement a donné une instruction officielle au Conseil de la radiodiffusion et des télécommunications canadiennes, ou CRTC, aux termes de la Loi sur les télécommunications. C’était un instrument juridique à l’intention du CRTC. Elle définit une série d’attentes et couvre un large éventail de questions relatives à la concurrence et à la protection des consommateurs. Sauf que l’amélioration de la résilience est au cœur de ces efforts. Le CRTC étudie la meilleure façon de mettre à jour ses règles et ses programmes, tels que le Fonds pour la large bande, afin de mieux soutenir cette résilience.

En ce qui concerne les pouvoirs conférés par le projet de loi C-26, ce dernier garantit que les considérations de sécurité sont au premier plan des objectifs stratégiques de la loi afin qu’il soit clair que le gouvernement peut prendre des mesures. Il dispose d’un ensemble d’outils qui lui permettent d’intervenir en souplesse et contre une diversité de menaces. Il s’agit notamment des autorités chargées de la collecte de renseignements. Si nous entendons parler de préoccupations ou constatons des problèmes qui concernent un système de réseau particulier et nécessitent un examen plus approfondi, nous pouvons enquêter et, le cas échéant, imposer une obligation d’atténuer le risque. Cela peut aller jusqu’à l’interdiction pure et simple d’utiliser l’élément problématique. Dans le cas d’équipements de fournisseurs à haut risque, il existe des exemples clairs où le risque ne peut être atténué par des moyens raisonnablement intrusifs, de sorte qu’une interdiction pure et simple est indiquée. Parfois, cela peut impliquer le recours à des protocoles ou mécanismes de mise en place supplémentaires. En procédant de la sorte, nous voulons nous assurer de trouver le bon équilibre entre ce qui est logique du point de vue de la mise en œuvre et du point de vue de la gestion des risques, et la capacité de réagir. Nous n’arriverons jamais à supprimer le risque complètement. Il y aura toujours un feu de forêt ou un autre type de menace. La résilience ne consiste pas seulement à établir des règles dès le départ, mais aussi à mettre en place des règles et des procédures permettant de répondre à une crise, de sorte qu’en cas d’incident, il soit possible de réagir.

Le protocole d’entente dont le ministre Champagne a parlé avec les fournisseurs de services de télécommunications — et ceci en est un exemple — comprenait des mécanismes offerts sur une base volontaire. Ce ne sont que des mécanismes facultatifs, mais nous commençons, par exemple, par l’itinérance d’urgence. Lors des incendies tragiques qui se sont produits près de Jasper, ce mécanisme a permis à TELUS d’avoir accès au réseau de Rogers et de faire passer son trafic par ce dernier.

La sénatrice M. Deacon : Je vous remercie de votre présence.

J’ai été encouragé, monsieur Khoury, de vous entendre parler des fournisseurs et des secteurs, de ce qu’est le seuil, de ce qui est une menace et de ce qui n’en est pas une, et, bien sûr, de la nécessité d’établir qui sont les entités désignées.

C’est notre soirée. Le comité s’est attaqué à un projet de loi. Nous avons entendu nos ministres. Il y a toute une série de personnes qui vous soutiennent et qui vous apportent leur expertise. Nous continuerons à parler et à écouter d’autres témoins la semaine prochaine. Ma question est la suivante: compte tenu de la grande connaissance que vous avez à ce sujet, y a-t-il quelque chose que nous n’avons pas abordé et que nous devrions entendre pendant que vous êtes ici, vous et votre équipe? Nous posons des questions, c’est certain, mais pour combler cette lacune, y a-t-il un sujet que nous n’avons pas abordé et à propos duquel les personnes présentes dans la salle ont des connaissances expertes?

M. Khoury : Je peux commencer et, peut-être, demander à mes collègues d’intervenir au besoin.

Ce projet de loi est extrêmement important, car il nous permettra d’avoir un portrait plus précis du profil des menaces qui s’exercent sur le Canada. Aujourd’hui, le signalement des incidents se fait sur une base volontaire, de sorte que nous n’avons pas la capacité d’évaluer — non seulement dans un secteur particulier, mais dans l’ensemble des secteurs — la nature de la menace. À tout le moins, le signalement des incidents nous fournira plus de données pour que nous puissions voir si un certain secteur est attaqué ou si, dans un secteur donné, il y a soudainement un nouveau groupe cybercriminel ou un nouvel acteur parrainé par un État qui s’en prend au Canada. Nous disposerons de ces données.

Le paysage des menaces se complexifie de jour en jour. Pour nous, un partenariat serait très important, et pas seulement dans une optique sectorielle. Aujourd’hui, nous avons une bonne interaction avec les différents secteurs. Pensons entre autres au secteur bancaire, au secteur des télécommunications et à celui de l’énergie. Nous avons une très bonne interaction avec eux et nous les rencontrons sur une base régulière. Nous parlons franchement et ouvertement de ce qu’ils constatent.

Si nous pouvons entrer dans un programme particulier, je peux demander à mon collègue, M. Couillard, d’ajouter des observations plus précises sur la nature du partenariat que nous souhaitons établir avec ces différents secteurs.

Daniel Couillard, directeur général, Partenariats et atténuation des risques, Centre canadien pour la cybersécurité, Centre de la sécurité des télécommunications Canada : Merci de votre question. Il est très surprenant que vous nous demandiez de vous dire ce qu’il faut chercher. Je vais reprendre le point de vue de M. Khoury et essayer de souligner toute la valeur que le projet de loi C-26 apportera au Canada.

Les fournisseurs désignés seront notamment tenus de créer un programme de cybersécurité décrivant les contrôles de sécurité qu’ils mettent en place pour faire face à ces menaces. Ce que nous avons maintenant, c’est la capacité d’avoir une boucle de rétroaction complète. Comme l’a mentionné M. Khoury, s’ils constatent une menace, ils nous la signalent, et si nous constatons une menace, nous pouvons fournir des conseils et des orientations sur la façon de l’atténuer. Une fois que tous ces fournisseurs désignés nous auront fait rapport, nous pourrons voir si les mesures d’atténuation que nous recommandons fonctionnent, attendu qu’elles seront techniquement mises en œuvre par les fournisseurs désignés et qu’elles se retrouveront dans le programme de cybersécurité qu’ils doivent maintenir à jour. Le programme doit être mis à jour tous les ans. Nous serons en mesure de voir la valeur des contrôles de sécurité et des conseils que nous donnons. S’ils ne fonctionnent pas, nous pourrons les modifier, de sorte que nous aurons une boucle de rétroaction. Certains de nos partenaires du Groupe des cinq n’ont pas ce modèle. Ils se concentrent sur la déclaration obligatoire des incidents, mais ils n’ont pas de boucle de rétroaction pour les conseils et l’orientation qu’ils donnent. Pour moi, il s’agit d’un processus de grande valeur qui doit être mis en œuvre.

Au Canada, certains grands fournisseurs désignés sont des choix évidents. Le nombre de fournisseurs désignés sera tel qu’il nous permettra de nouer des relations plus approfondies et plus sérieuses avec eux, ce qui, en fin de compte, permettra une meilleure gestion des risques. Je pense que cet aspect ne ressort pas autant qu’il le pourrait, mais c’est l’un des grands avantages que nous fournit ce projet de loi.

La sénatrice M. Deacon : Je vous remercie.

La sénatrice Batters : Pour revenir à la question du sénateur McNair, l’auteur du projet de loi C-26, le professeur de droit Matt Malone a souligné que le manque de transparence des procédures judiciaires secrètes prévues par le projet de loi C-26 est en contradiction directe avec la loi régissant la création du Centre de la sécurité des télécommunications. Voici ce qu’il soutient :

Cela s’écarte nettement de l’orientation de la loi d’habilitation du CST, qui cherche à imposer une reddition de comptes accrue à l’égard de certaines conduites en exigeant des autorisations et des examens préalables. Par exemple, en vertu de cette loi habilitante, lorsque les activités d’espionnage du CST contreviennent à la loi fédérale ou portent atteinte aux attentes raisonnables en matière de protection de la vie privée des personnes au Canada, il doit obtenir l’approbation du Bureau du commissaire au renseignement. L’année dernière, le commissaire a accepté la moitié de ces demandes (trois sur six) dans leur intégralité. Les pouvoirs en matière de directives de cybersécurité que prévoit le projet de loi C-26 ne sont pas soumis à un examen similaire.

Pourquoi le projet de loi C-26 ne contient-il pas ce type de pouvoir en matière d’examen?

M. MacSween : Merci beaucoup de la question.

Évidemment, l’un des amendements apportés par le Comité permanent de la sécurité publique et nationale de la Chambre des communes était l’émission d’un avis à l’intention de l’Office de surveillance des activités en matière de sécurité nationale et de renseignement, ou OSSNR, et du Comité des parlementaires sur la sécurité nationale et le renseignement, ou CPSNR, parce que ces organismes eux-mêmes ont été mis sur pied pour assurer la transparence et qu’il y avait des groupes qui pouvaient examiner tous les renseignements classifiés et faire des recommandations sur la base de ce qu’ils voyaient. Les avis adressés à l’OSSNR et du CPSNR, en particulier dans le cas des directives sur la cybersécurité, sont censés être des mesures visant à garantir la transparence et l’examen de ces directives sur la cybersécurité, le cas échéant. Les deux organismes ont effectivement largement accès à tous les renseignements détenus par le Centre de la sécurité des télécommunications.

La sénatrice Batters : Puis-je vous interrompre? Je suis désolée, mais mon temps de parole est limité. Comment ces organismes assurent-ils la transparence lorsqu’ils rendent des comptes au premier ministre? Les membres de ces organismes sont nommés par le premier ministre et rendent des comptes au premier ministre. Ensuite, le cabinet du premier ministre pourrait procéder à un examen approfondi de ces rapports et communiquer au public l’information qu’il juge que le public devrait connaître. En quoi cela garantit-il la transparence?

M. MacSween : Je n’ai pas la prétention de bien connaître la loi habilitante des organismes d’examen. Je sais que, dans le cas du Comité des parlementaires sur la sécurité nationale et le renseignement, ses membres sont indépendants à la fois de l’exécutif du gouvernement et du Parlement. Je le répète, la raison d’être de ces organismes est de permettre à quelqu’un d’examiner des renseignements classifiés et de prendre une décision. Cependant, je ne peux pas parler du processus de nomination proprement dit.

En ce qui concerne la protection des renseignements classifiés, puisque vous avez posé la question, ce qui est proposé dans le projet de loi C-26 n’est pas différent de ce que nous pourrions voir dans d’autres régimes tels que le Programme de protection des passagers. Il s’agit simplement d’un mécanisme visant à protéger les renseignements classifiés contre la divulgation publique. Pour protéger les renseignements les plus secrets de l’État, qu’il s’agisse de renseignements communiqués par un allié, recueillis par une source humaine ou par des moyens techniques clandestins, il faut prévoir un mécanisme qui permet de les protéger. En ce qui concerne les directives de cybersécurité, ce mécanisme sera le régime que le projet de loi C-26 mettra en place. Toute cette information peut être examinée par la Cour fédérale. Un juge désigné de la Cour fédérale peut consulter tous ces renseignements et prendre ses propres décisions quant au préjudice qu’ils pourraient causer à la sécurité nationale et à la sécurité publique. Cela est conforme aux régimes que nous avons vus dans d’autres instances administratives.

La sénatrice Batters : Au début de sa déclaration préliminaire d’aujourd’hui, le ministre LeBlanc a parlé de la menace majeure que représentent les rançongiciels. Pourquoi le projet de loi C-26 ne mentionne-t-il pas le mot « rançongiciel »? Je n’ai trouvé aucune mention explicite de ce terme dans le projet de loi.

M. MacSween : Je suis désolé. Votre question m’a échappé.

La sénatrice Batters : Le ministre LeBlanc parlait des rançongiciels et de la menace importante qu’ils représentent, mais le projet de loi C-26 lui-même ne mentionne pas le mot « rançongiciel ». Il n’y a aucune mention explicite de ce terme dans le projet de loi.

M. MacSween : Les rapports d’incident obligatoire ne tiennent pas compte des types de menaces. Qu’il s’agisse d’un rançongiciel ou d’un autre type d’activités malveillantes, cet incident devra être signalé au centre cybernétique. Lorsque nous avons rédigé la mesure législative, nous n’avons pas voulu mentionner des menaces précises parce qu’elles peuvent changer constamment. Dans les règlements ou les programmes de cybersécurité, on pourrait trouver des allusions à ces menaces, mais la mesure législative elle-même a tendance à ne pas tenir compte des menaces et des technologies, afin de résister à l’épreuve du temps et de ne pas devenir désuète.

La sénatrice Batters : Bien entendu, une partie de votre projet de loi est déjà dépassée. Le projet de loi C-70, que nous avons adopté au Sénat en juin, contient une partie qui rend obsolète une certaine partie du projet de loi C-26.

M. MacSween : Pour être honnête, je ne suis pas un expert en ce qui concerne le projet de loi C-70, mais si j’ai bien compris, je crois que, sur le plan politique, il visait en fait à regrouper les exigences en matière de sécurité pour les poursuites administratives dans un seul texte législatif en vertu de la Loi sur la preuve au Canada, au lieu de créer des textes législatifs particuliers comme le Programme de protection des passagers ou le projet de loi C-26.

[Français]

Le sénateur Dagenais : Ma question s’adresse à M. MacSween. Monsieur MacSween, dans l’industrie des télécommunications, certaines décisions, certains jugements et certains décrets risquent d’avoir une incidence beaucoup plus large que la cybersécurité, étant donné que le Canada a des échanges peu harmonieux avec certains pays, comme la Chine, l’Inde et la Russie.

Avez-vous eu des discussions pour évaluer si l’application de la loi aura des conséquences sur nos relations commerciales? Dans l’affirmative, dans quels secteurs et comment cela sera-t-il géré?

M. Arbour : Merci de la question. Dans le contexte du secteur des télécommunications, il y a bien sûr des considérations en ce qui a trait à une rétroaction négative de certains autres pays, mais nous discutons avec nos alliés régulièrement pour arriver à une politique solide entre nous et pour protéger les Canadiens de façon générale. C’est la protection des Canadiens qui est primordiale dans le contexte de notre politique.

Cela fonctionne de façon semblable dans d’autres secteurs de l’économie. Des politiques constantes par l’entremise du Groupe des cinq ou d’autres pays alliés nous permettront d’arriver à une politique plus solide pour protéger les Canadiens.

Le sénateur Dagenais : Merci.

[Traduction]

Le sénateur McNair : J’avais une question à poser au sujet de l’accès à distance ou de la connectivité, mais elle a été abordée lorsque la sénatrice Duncan a posé sa question.

Je voudrais juste dire que j’ai aimé la question fourre-tout que la sénatrice Deacon a posée, c’est-à-dire : « Qu’aurions-nous dû demander d’autre? ». Si j’ai bien compris, la réponse à sa question était la suivante : « Posez-nous la question dans un an, deux ans et trois ans ». Le processus d’élaboration des règlements n’est pas stagnant. Il sera continu — permanent, essentiellement — pour faire en sorte que le document intègre les commentaires que vous recevez — d’après ce que vous avez dit, nous sommes une exception au sein du Groupe des cinq —, mais aussi pour faire en sorte qu’il réponde aux menaces qui seront pertinentes à ce moment-là. Cette description est-elle exacte en ce qui concerne le processus et les règlements?

M. MacSween : Oui, sénateur, je crois que cette description est exacte. Comme vous le savez, le processus de réglementation dans ce cas pourrait prendre de 18 à 24 mois. Il est évident que de nombreuses consultations seront nécessaires, en particulier dans le cas de la partie 2, pour établir le régime réglementaire. Nous devrons discuter avec nos partenaires du secteur privé, les ordres de gouvernement infranationaux, la communauté universitaire et la société civile pour nous assurer que ce que nous établissons est correct et, plus important encore, pour nous assurer en fin de compte que la réglementation peut être respectée par nos partenaires de l’industrie et qu’elle atteint les objectifs de la mesure législative.

Nous apprendrons beaucoup de choses à mesure que nous avancerons. La raison pour laquelle nous avons mis en place ce régime réglementaire est en partie attribuable à l’obligation de mener des consultations avec ces partenaires. À de nombreux égards, nous apprendrons assurément des choses à mesure que nous avancerons. Le contenu du programme de cybersécurité — et je fais allusion à ce que mon collègue, M. Couillard, a mentionné — en est un autre exemple. Une partie de l’objectif du projet de loi est de garantir un niveau de cybersécurité de base dans les différents secteurs. En travaillant avec les secteurs de la finance, des télécommunications et d’autres secteurs, nous apprendrons ce qui existe, ce qui est pratique et ce qui est réaliste. Nous ferons circuler ces informations entre les secteurs afin de les aider à mettre en place ces programmes. La réglementation évoluera certainement au fil du temps.

Comme vous le soulignez à juste titre, dans le cas de la partie 2, la mesure législative est délibérément élaborée de cette manière afin que nous puissions apprendre à mesure que nous avançons et être en mesure de nous adapter aux menaces et à la manière dont elles évoluent, ainsi qu’aux technologies, qui sont en constante évolution.

Le sénateur McNair : Heureusement ou malheureusement, il n’y aura jamais de moment où vous pourrez déposer vos plumes. Vous serez toujours en train de travailler à l’élaboration de cette réglementation.

M. MacSween : Mon emploi devrait être assuré au cours des prochaines années.

Le sénateur McNair : Il devrait l’être.

Le sénateur Kutcher : Je dois dire que je suis un peu mal à l’aise par rapport à la question des soins de santé. J’essaierai de saisir les ramifications du projet de loi au cours des prochaines semaines, en particulier parce que, comme l’a souligné le sénateur Yussuff, certains des fournisseurs de soins de santé sont désormais à l’étranger. Vous pouvez aller en ligne et obtenir des interventions auprès de quelqu’un qui se trouve dans un autre pays, mais vous n’avez aucune idée de l’endroit où se trouve ce fournisseur. J’essaierai d’y voir clair bientôt.

J’adresse ma question à M. Khoury. Les menaces évoluent très rapidement. Dans sa forme actuelle, le projet de loi peut-il nous permettre d’atténuer de manière appropriée les menaces qui pèsent sur nous à mesure qu’elles évoluent?

M. Khoury : Je vous remercie de votre question, monsieur le sénateur.

Le projet de loi peut certainement nous aider, car une fois qu’il aura été adopté et que nous aurons terminé de mettre en place la réglementation pour ces quatre secteurs d’infrastructures essentielles dont dépendent les Canadiens, nous serons en mesure d’obtenir une image réelle et précise des menaces qui pèsent sur eux au jour le jour. À l’heure actuelle, nous nous efforçons d’établir de bonnes relations de travail avec un grand nombre de ces industries et avec un grand nombre de ces sociétés, mais il y a encore des lacunes dans nos dialogues avec elles. Ce projet de loi nous donnera l’occasion de prendre le pouls de l’écosystème cybernétique canadien et d’être en mesure d’atténuer les menaces et de collaborer avec lui à cette fin. Le projet de loi établit un cadre qui résistera probablement à l’épreuve du temps, mais il nous incombera de le maintenir en vie et de travailler avec les exploitants lorsqu’ils signalent un incident, afin de nous assurer que notre réaction est rapide et que nous pouvons partager ces informations avec d’autres intervenants.

Le sénateur Fridhandler : Je vais poursuivre la tentative du sénateur Yussuff d’aborder la question des données à l’étranger, car je ne crois pas que notre compréhension à cet égard soit claire. Nous semblons pouvoir réglementer, dans une certaine mesure, l’importation d’équipements malveillants et leur utilisation par des exploitants, mais la mesure législative permet-elle au ministre ou aux autorités d’émettre des ordonnances préventives sur l’emplacement des données? Par exemple, si un exploitant décide que le stockage des données le plus économique se trouve en Corée du Nord, pourquoi ne pourrions‑nous pas l’empêcher de stocker ses données là-bas, tout comme nous empêchons l’importation d’équipements? La mesure législative le permet-elle? Si ce n’est pas le cas, j’aimerais également savoir, d’après vos connaissances, s’il existe des exigences en matière de divulgation qui sont liées à l’endroit où les données des clients sont peut-être stockées, afin que les consommateurs puissent réellement faire des choix en connaissance de cause. S’il n’y a pas de pouvoir pour limiter ce stockage, que ce soit à titre préventif ou en réaction à des événements, cet enjeu a-t-il même été discuté et, si ce n’est pas le cas, pourquoi ne l’a-t-il pas été? Je m’excuse de cette question tortueuse, mais j’essaie d’aller au fond des choses à cet égard, car cet enjeu est toujours une grande préoccupation.

M. Arbour : Je vous remercie de votre question, monsieur le sénateur.

En bref, il existe certainement des pouvoirs d’ordonnance ou de réglementation qui nous permettent d’imposer des obligations préventives pour nous protéger contre tout un ensemble de menaces. Le projet de loi a été élaboré dans le but d’essayer d’anticiper les différentes menaces qui pourraient exister, qu’il s’agisse de cybermenaces, de catastrophes naturelles ou d’autres types de mauvais comportements. Dans le secteur des télécommunications, cela nous permettrait, par exemple, d’imposer des obligations positives concernant la manière dont ils gèrent leurs réseaux. Cela pourrait inclure à la fois des considérations relatives à l’équipement, mais aussi des facteurs humains ou d’autres processus commerciaux, si cela permet de protéger le système de télécommunications canadien. Pour examiner cet enjeu, nous adopterons une approche de gestion des risques quant à la manière dont ce travail pourrait être fait. Il existe toute une série de facteurs qui pourraient être pris en considération pour déterminer la meilleure façon de protéger ce système.

Je dirais que le dernier élément concerne la LPRPDE et le projet de loi C-27, qui s’applique de manière plus générale. Il relève de la compétence en matière de commerce et d’échanges, alors il s’applique de manière générale et non de manière sectorielle. Il prévoit des obligations particulières pour le secteur privé en matière de protection des données canadiennes. Le projet de loi C-27 prévoit des pouvoirs d’exécution accrus pour veiller à ce que le secteur privé respecte ces obligations.

M. MacSween : Je pourrais probablement mentionner aussi que, dans la partie 2 de la loi, l’une des exigences auxquelles les exploitants désignés seront soumis consistera à déterminer et à atténuer les risques liés aux tiers. C’est une exigence particulière de la loi. Ces risques devront être décrits dans leur programme de cybersécurité, ainsi que les mesures d’atténuation prévues. Par « mesures d’atténuation », nous entendons ce qu’ils font pour minimiser la probabilité que le risque se matérialise ou qu’il se produise en premier lieu. Il s’agit d’une obligation rigoureuse en vertu de la partie 2, qui s’applique à ceux qui sont soumis à ces exigences.

[Français]

Le sénateur Carignan : Ma question porte sur la clause de non-indemnisation. Dans les facteurs à prendre en considération pour le décret, le gouverneur en conseil tient compte des facteurs tels que les répercussions financières sur l’entreprise de télécommunications, par exemple. Tout de suite après, une clause dit :

Nul ne peut obtenir d’indemnité contre Sa Majesté du chef du Canada pour les pertes financières subies par suite de la prise du décret.

Cela peut être extrêmement sérieux. Huawei est le fournisseur qui a actuellement le plus gros impact financier, mais d’autres entreprises qu’on pense extrêmement solides commencent à montrer des signes de fragilité avec l’ensemble des décisions prises qui touchent leurs activités. On est d’ailleurs surpris de constater l’endettement de certaines entreprises ayant un monopole dans le secteur des télécommunications.

N’y a-t-il pas un risque élevé de pousser des entreprises vers la faillite s’il n’y a pas de clause d’indemnisation? Est-ce que le ministère pense à une autre forme de compensation financière ou d’aide, de façon à éviter de nuire à la survie de ces entreprises pour une question de cybersécurité?

M. Arbour : Merci de la question.

Je vous donne un exemple. Dans le contexte de la réglementation du secteur des télécommunications, l’impact des règles, dans l’attribution des licences du spectre, a un impact énorme sur la capacité d’offrir les services sans fil. Nous constatons l’impact sur les fournisseurs de services régulièrement, et c’est essentiel de le prendre en considération.

Dans le contexte d’équipements à risque élevé, nous avons développé les dates limites qui correspondent au cycle de l’approvisionnement dans les réseaux. Par exemple, la date limite pour ce qui est de l’équipement 4G sera 2027. Nous allons également consulter pour la conception d’un décret sur ce projet de loi, pour pouvoir prendre en considération ce type d’impact. L’objectif est d’avoir des services de télécommunications fiables, mais disponibles. Nous sommes donc déjà habitués à des considérations d’ordre opérationnel. Pour être plus clair, pour avoir plus de confort, il y a des exigences spécifiques dans le projet de loi.

En ce qui concerne la possibilité de compensation ou d’indemnisation, personne n’y a droit. Toutefois, nous ne sommes pas fermés à l’idée. Si le gouvernement souhaite mettre en œuvre un programme dans le budget et subventionner le remplacement d’équipements, cette possibilité existe, mais personne n’a droit à ce type de compensation pour l’instant.

Le sénateur Carignan : Dans le cadre d’industries, de commerces, d’entreprises de télécommunications, de tours de cellulaires, par exemple, tout l’équipement est autorisé par Innovation, Sciences et Développement économique Canada et passe par votre ministère pour assurer la conformité. Cela est donc un peu particulier que vous autorisiez la pièce, qui se retrouve ensuite dans l’équipement, et deux ans plus tard, quand tout est installé, vous dites que vous l’enlevez sans indemnisation. C’est un peu particulier.

M. Arbour : Avec chaque décret ou règle dans la Loi sur les télécommunications actuelle ou la Loi sur la radiocommunication qui traite de la gestion du spectre, l’impact sur l’industrie est une situation très importante. Nous avons une variété d’objectifs. Il ne s’agit pas seulement de questions de sécurité; il s’agit aussi d’augmenter l’accès aux services dans les zones rurales et éloignées et d’augmenter la concurrence. Par exemple, avec les fournisseurs de services alternatifs ou plus petits, il existe des incitatifs pour que le ministère prenne ces risques en considération, mais pour avoir plus de confort dans le processus de la Chambre, on a ajouté des modifications pour rendre ces considérations explicites dans le projet de loi précis. C’est une habitude qui est en place depuis longtemps.

[Traduction]

La sénatrice Dasko : Je serai très brève. J’avais interrogé les ministres à propos des sanctions, des pénalités et des recours prévus dans le projet de loi. Il est évident que des rapports d’incident obligatoires sont prévus et que des sanctions administratives sont prévues en cas de non-respect de ces obligations, mais elles concernent les entreprises nationales. En ce qui concerne les auteurs de ces crimes — les acteurs étrangers ou étatiques —, le projet de loi prévoit-il des pénalités et des sanctions à leur intention, ou est-il trop difficile de les appliquer en raison de la nature de ces acteurs et du type d’entités qu’ils représentent?

M. Khoury : Je vous remercie de votre question, madame la sénatrice.

Si je prends du recul pendant une seconde, les auteurs de ces incidents cybernétiques peuvent être...

La sénatrice Dasko : Non. Il s’agit de crimes.

M. Khoury : Je qualifierais certains d’entre eux de crimes, et d’autres d’incidents cybernétiques. Il y a les acteurs parrainés par un État, et nous avons publiquement désigné la Chine, la Russie, la Corée du Nord et l’Iran comme faisant partie de la catégorie des États qui parrainent des acteurs. Il y a aussi les cybercriminels qui cherchent à gagner de l’argent, c’est-à-dire ceux qui lancent des attaques de rançongiciel ou qui volent des renseignements afin de les revendre sur le « Web invisible » et d’en tirer profit. Souvent, l’organisation cybercriminelle — ou ce sont presque des organisations de cybercriminels — se cache derrière les protections offertes par des pays comme la Russie, échappant ainsi à la loi canadienne. Il n’est pas possible de lancer un mandat d’arrêt contre eux en Russie.

Cela dit, le gouvernement canadien dispose d’un certain nombre d’outils, qu’il s’agisse de coopérer avec des organisations comme INTERPOL ou d’autres organisations en vue d’étendre la portée des poursuites engagées contre ces auteurs. De plus, le Centre cybernétique du CST a aussi le pouvoir de mener des cyberopérations pour imposer des coûts à ces acteurs.

La sénatrice Dasko : Il s’agit de représailles. Je suis désolée de l’interruption.

M. Khoury : J’appelle cela des cyberopérations pour imposer des coûts. Dans les deux cas, il s’agit d’un moyen... et il ne faut pas oublier non plus qu’Affaires mondiales Canada dispose d’outils diplomatiques pour entreprendre des démarches ou d’autres mesures si l’attribution de la responsabilité pointe dans une certaine direction. Indépendamment du projet de loi C-26, le gouvernement dispose d’un certain nombre d’outils dont il peut se prévaloir à l’heure actuelle pour imposer des coûts d’une sorte ou d’une autre.

La sénatrice Dasko : Je vous remercie de vos réponses.

Le président : Je vous remercie, monsieur Khoury.

Chers collègues, ceci met fin à la réunion de ce soir. J’ai le plaisir de remercier les hauts fonctionnaires de Sécurité publique Canada, d’Innovation, Sciences et Développement économique Canada et du Centre de la sécurité des télécommunications de s’être joints à nous aujourd’hui. Vous nous avez généreusement offert votre temps, vos conseils et vos informations, y compris celles que nous aurions pu demander, mais que nous n’avons pas demandées. Je vous remercie d’avoir déployé des efforts supplémentaires.

Vous accomplissez chaque jour un travail extrêmement important pour nous, qui siégeons dans la salle, et pour les Canadiens. Nous exigeons beaucoup de vous, et vous travaillez dans un domaine que nous avons du mal à suivre. Cependant, vous semblez ne pas vous laisser distancer. Pour avoir voyagé un peu, je dirais que le CST et les organismes connexes jouissent d’une solide réputation — vous le savez — auprès de nos alliés du Groupe des cinq et au-delà. Nous vous remercions du travail important que vous accomplissez, et nous aurons peut-être d’autres questions à vous poser au cours de la continuation de notre étude du projet de loi.

Pour l’instant, chers collègues, notre prochaine réunion aura lieu le lundi 4 novembre, à 16 heures, heure de l’Est, ici, dans la salle C128 de l’édifice du Sénat du Canada. Je termine en remerciant mes collègues de leurs questions et de leurs interventions, ainsi que du temps et des efforts qu’ils ont consacrés à l’étude de cet important projet de loi.

(La séance est levée.)

Haut de page