LE COMITÉ SÉNATORIAL PERMANENT DE LA SÉCURITÉ NATIONALE, DE LA DÉFENSE ET DES ANCIENS COMBATTANTS
TÉMOIGNAGES
OTTAWA, le lundi 4 mai 2026
Le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants se réunit aujourd’hui, à 16 heures (HE), avec vidéoconférence, afin d’examiner le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.
Le sénateur Hassan Yussuff (président) occupe le fauteuil.
[Traduction]
Le président : Honorables sénateurs, je déclare ouverte cette séance du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants.
Avant de commencer, chers collègues, je tiens à vous informer de ma démission de la présidence de ce comité. Ce fut bien sûr un plaisir de servir ces dernières années. J’ai beaucoup apprécié travailler avec chacun d’entre vous et je vous suis reconnaissant pour vos efforts, votre leadership et votre soutien dans toutes les actions menées au comité.
Je ne veux pas m’étendre trop longtemps, parce que le ministre et les représentants du gouvernement sont présents et que nous souhaitons passer à l’ordre du jour. Je tiens toutefois à vous remercier sincèrement. Je suis certain que la nouvelle présidente trouvera un moment à la fin de la réunion pour donner la possibilité d’intervenir à celles et ceux qui le souhaiteraient, cela pour ne pas perturber la réunion du comité. Je conclurai en vous remerciant toutes et tous.
Dans cette optique, le GSI, le Groupe des sénateurs indépendants, s’est réuni et a proposé la candidature de la sénatrice Marty Deacon pour me succéder à la présidence. Je propose donc que nous soutenions la candidature de Marty Deacon à la présidence du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants. Quels sénateurs sont en faveur?
Des voix : D’accord.
Le président : J’invite ma collègue, la sénatrice Marty Deacon, à prendre le fauteuil.
La sénatrice Marty Deacon (présidente) occupe le fauteuil.
La présidente : Merci, chers collègues. Je suis honorée d’assumer cette fonction et je me réjouis à l’idée de travailler avec vous dans ce nouveau rôle. Cela va mettre à rude épreuve mon envie régulière de poser un million de questions, mais je ferai de mon mieux pour réussir cette transition.
Le ministre est déjà là et je sais que nous voulons aborder ce point crucial de notre réunion, mais je tiens à vous remercier de m’avoir fait confiance pour présider ce comité important à ce moment précis de notre histoire.
Merci au président sortant pour son leadership et l’exemple qu’il nous a donné tandis que nous nous attelons à cette tâche.
Présider sa première réunion avec un ministre en face, c’est un peu comme piloter une Formule 1; je vous demande donc de faire preuve de bienveillance et de patience à mesure que nous avançons.
Je tiens également à prendre un moment pour saluer et remercier le ministre ainsi que les personnes présentes qui ont assisté à la cérémonie d’il y a quelques heures. Au regard de notre travail et de nos motivations, je dirais que cette participation à l’inauguration de ce monument et à l’hommage rendus à nos militaires et aux civils tombés en Afghanistan nous rappelle avec force pourquoi nous nous retrouvons ici tous les lundis après-midi. Les échanges avec les familles, les étudiants et le personnel ont été très enrichissants et ont également renforcé notre motivation dans le travail que nous accomplissons.
Avant d’enchaîner et de passer à l’audition des témoins, je vais demander à mes collègues de bien vouloir se présenter.
[Français]
Le sénateur Carignan : Claude Carignan, du Québec.
[Traduction]
La sénatrice Batters : Denise Batters, de la Saskatchewan.
[Français]
La sénatrice Youance : Suze Youance, du Québec.
[Traduction]
La sénatrice White : Judy White, de Terre-Neuve-et-Labrador.
Le sénateur Al Zaibak : Mohammad Al Zaibak, de l’Ontario.
La sénatrice Patterson : Rebecca Patterson, de l’Ontario.
La sénatrice Hay : Katherine Hay, de l’Ontario.
La sénatrice Dasko : Donna Dasko, de l’Ontario.
Le sénateur McNair : John McNair, du Nouveau-Brunswick.
Le sénateur Yussuff : Hassan Yussuff, de l’Ontario.
Le sénateur Ince : Tony Ince, de la Nouvelle-Écosse.
Le sénateur Kutcher : Stan Kutcher, de la Nouvelle-Écosse, le côté de la table qui donne sur la côte Est.
La présidente : Nous sommes heureux de vous compter des nôtres, sénateur Kutcher, et je vous remercie.
Nous allons entamer l’examen du projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.
Pour donner le coup d’envoi de ces travaux, nous avons le plaisir d’accueillir l’honorable Gary Anandasangaree, ministre de la Sécurité publique et de la Protection civile. Merci de vous joindre à nous, monsieur le ministre.
Le ministre est accompagné de fonctionnaires de Sécurité publique Canada, soit : Colin MacSween, directeur général, Direction de la sécurité nationale et de la cybersécurité, et Kelly‑Anne Gibson, directrice, Politique cybersécurité nationale, Direction de la sécurité nationale et de la cybersécurité,
D’Innovation, Sciences et Développement économique du Canada, nous accueillons André Arbour, directeur général, Direction générale des politiques des télécommunications et de l’Internet, et Wen Kwan, directeur général, Secteur du spectre et des télécommunications.
Nous commencerons par inviter le ministre à prononcer quelques mots, après quoi nos membres pourront lui poser des questions.
Bienvenue au comité, monsieur le ministre.
L’honorable Gary Anandasangaree, c.p., député, ministre de la Sécurité publique : Merci, sénatrice Deacon. Permettez‑moi tout d’abord de faire appel à votre indulgence et de commencer par saluer votre prise de fonction pour présider aux destinées de ce comité très important. Je vous en félicite. Je sais que le sénateur Yussuff laisse un vide difficile à combler, mais j’ai une confiance absolue dans le travail que vous accomplirez et ne doute pas de votre succès.
Je tiens à remercier le sénateur Yussuff pour son leadership dans tout un éventail de questions et pour avoir été une personne sur laquelle j’ai pu compter et à qui j’ai pu m’adresser en tant qu’ami pour obtenir des conseils — souvent sollicités, mais parfois spontanés. C’est toujours un plaisir d’avoir de vos nouvelles, sénateur, et je tiens à vous remercier pour votre leadership et vos nombreuses années de service.
Je tiens également à prendre un instant pour rendre hommage au sénateur Kutcher, avec qui j’ai eu le plaisir de travailler au sein de l’ancien Comité mixte spécial sur l’aide médicale à mourir. Nous avons des amis communs, et c’est quelqu’un qui, au fil des ans, s’est distingué comme un gros travailleur, un sénateur avisé et intelligent, qui a toujours demandé des comptes à ce gouvernement et aux gouvernements précédents. Il compte des décennies de service dans le milieu universitaire et dans le domaine médical. Merci donc, sénateur Kutcher, pour votre amitié et votre leadership. Je vous souhaite bonne chance dans votre... « retraite » n’est probablement pas le terme idoine, mais je dirais dans votre vie après le Sénat. Nous avons hâte de savoir à quoi vous allez consacrer votre temps.
Sur ce, madame la présidente, je vous invite à déclencher le chronomètre pour votre départ en Formule 1.
Permettez-moi d’abord de rappeler que nous nous sommes réunis sur le territoire traditionnel et non cédé du peuple algonquin anishinabe.
[Français]
Je suis heureux de vous parler aujourd’hui du projet de loi C-8, Loi concernant la cybersécurité.
[Traduction]
Beaucoup d’entre vous connaissent déjà ce projet de loi pour l’avoir étudié dans une version antérieure et comprennent que cette mesure législative est essentielle à la protection de la souveraineté, de la résilience et des infrastructures essentielles du Canada.
Selon le Centre de la sécurité des télécommunications, le CST, la cybercriminalité constitue désormais l’une des menaces les plus pressantes et les plus dangereuses pour les Canadiens et leurs entreprises.
[Français]
Le Canada se classe au second rang mondial des pays les plus touchés par les attaques de rançongiciels.
[Traduction]
Les cyberattaques coûteuses et préjudiciables se multiplient, en même temps que notre dépendance vis-à-vis des technologies qu’elles visent. Nous utilisons tous Internet, les téléphones intelligents et d’autres technologies qui sont désormais indispensables à notre mode de vie.
De plus, les technologies émergentes, comme l’intelligence artificielle, font de plus en plus partie intégrante de nos modes de travail et de communication.
[Français]
Cela signifie que nous sommes d’autant plus vulnérables aux cybermenaces.
[Traduction]
C’est pourquoi le projet de loi C-8 est fondamental. Cette version du projet de loi découle des délibérations du Sénat et des consultations menées auprès des parties prenantes.
[Français]
Le projet de loi C-8 contient deux principales parties.
[Traduction]
Premièrement, il modifie la Loi sur les télécommunications afin de renforcer la sûreté du cadre de télécommunications du Canada en ajoutant la promotion de la sûreté du système de télécommunications canadien en tant qu’objectif stratégique; en conférant au gouverneur en conseil et au ministre de l’Industrie le pouvoir de contraindre les fournisseurs de services de télécommunications à prendre des mesures face aux menaces; et en ajoutant des mesures de surveillance et d’application de la loi, notamment un cadre de réglementation des sanctions administratives pécuniaires.
Deuxièmement, il modifie la LPCE, la Loi sur la protection des cybersystèmes essentiels, en mettant en place un cadre de réglementation qui vise à renforcer la cybersécurité dans les secteurs de la finance, des télécommunications, de l’énergie et des transports, qui relèvent de la compétence fédérale; en renforçant l’échange de renseignements; en conférant au gouverneur en conseil le pouvoir d’émettre des directives en matière de cybersécurité afin de protéger un système cybercritique; en obligeant les exploitants désignés à mettre en place un programme de cybersécurité; et en établissant des pouvoirs d’application et des sanctions, comme un régime de sanctions administratives pécuniaires.
Ces mesures sont nécessaires pour protéger les Canadiens, notre économie et nos infrastructures essentielles.
Nous devons rester en phase avec nos alliés du Groupe des cinq et du G7, et veiller à ne pas prendre plus de retard par rapport à ceux qui disposent déjà d’une législation semblable en matière de cybersécurité.
Madame la présidente, le coût de la reprise après un incident est bien supérieur à celui d’un investissement dans la cybersécurité. Nous devons absolument être proactifs et mettre en place les conditions nécessaires à la réussite de nos systèmes afin de pouvoir continuer à assurer la sécurité des Canadiens dans tous les aspects de leur vie.
[Français]
Je vous remercie. Je serai heureux de répondre à vos questions.
[Traduction]
L’honorable Mélanie Joly, ministre de l’Industrie, se présentera également devant le comité à une autre occasion; ainsi, si vous avez des questions spécifiques concernant les télécommunications — même si je me ferai un plaisir d’y répondre —, vous pourrez également les lui poser, et elle sera en mesure de vous donner des précisions.
Sur ce, j’ai maintenant hâte de répondre à vos questions et de recueillir vos commentaires.
La présidente : Merci, monsieur le ministre.
Avant de poursuivre, je tiens à souhaiter la bienvenue au sénateur Cardozo, de l’Ontario, qui vient de se joindre à nous.
Je tiens par ailleurs à préciser à notre honorable assemblée que le sénateur McNair est le promoteur de ce projet de loi. Merci pour votre travail, sénateur.
Pas de pression, sénateur Kutcher. Nous espérons que vous apprécierez cette dernière réunion avec nous. C’est également très agréable à entendre.
Après avoir mentionné le promoteur du projet de loi, je veux aussi remercier la sénatrice Batters pour sa présence en tant que critique du projet de loi. Merci de vous être jointe à nous.
Passons aux questions. Je tiens à préciser que le ministre restera parmi nous jusqu’à environ 17 heures. Nous ferons de notre mieux pour permettre à tous les membres de poser une question au cours de cette première heure. Une deuxième série de questions avec les fonctionnaires aura lieu de 17 heures à 17 h 55. Dans cette optique, quatre minutes seront allouées à chaque question, réponse comprise. Je vous demanderais de formuler votre question de la manière la plus concise possible afin que nous puissions avoir le plus grand nombre d’interventions possible.
J’invite notre vice-président, le sénateur Al Zaibak, à poser la première question.
Le sénateur Al Zaibak : Merci, madame la présidente, et félicitations.
Monsieur le ministre Anandasangaree, bienvenue à nouveau devant ce comité. Je tiens à vous remercier, vous et votre équipe, pour les efforts que vous déployez afin de faire progresser le cadre de cybersécurité du Canada dans un contexte d’instabilité mondiale croissante.
Alors que les cybermenaces deviennent un outil central de la politique d’État, comment le projet de loi C-8 permet-il au Canada de mieux dissuader et de mieux réagir face aux cyberactivités soutenues par des États, en particulier celles attribuables à des acteurs hostiles?
M. Anandasangaree : Merci, sénateur Al Zaibak, pour cette question. Moi aussi, je veux remercier la sénatrice Batters de même, bien sûr, que le sénateur McNair, respectivement critique et promoteur de ce projet de loi. J’apprécie leurs points de vue respectifs et je tiens à les remercier pour le travail qu’ils ont accompli.
Nous sommes quotidiennement confrontés à de nouvelles menaces, comme celles reposant sur des rançongiciels. Nous voyons souvent des entreprises — parfois de grandes entreprises — céder et payer les rançons exigées. Ces cas sont rarement signalés. Il n’y a actuellement aucune obligation de signaler ces incidents, mais leur ampleur et leur fréquence augmentent à un rythme qu’aucun de nous n’avait prévu. La situation risque vraisemblablement de se compliquer davantage tandis que l’IA et d’autres outils se développent à une vitesse sans précédent.
Que ce soit de la part d’acteurs étatiques ou d’autres, le recours aux cyberattaques est devenu un outil essentiel pour d’autres États et parties prenantes, non seulement pour extraire de l’argent, mais aussi pour porter atteinte au droit à la vie privée des personnes canadiennes.
Il y a quelques semaines, nous avons par exemple assisté à une cyberattaque contre une grande compagnie d’assurance canadienne. Je pourrais aussi vous citer toute une série d’attaques survenues au cours des derniers mois seulement. Il suffit de dire que ces attaques se multiplient à un rythme alarmant et atteignent une ampleur que nous n’aurions probablement jamais pu imaginer il y a encore quelques années.
Le sénateur Al Zaibak : Merci, monsieur le ministre. En quoi le projet de loi C-8 permet-il de garantir l’interopérabilité avec les partenaires du Groupe des cinq, notamment pour faire face aux cybermenaces transfrontalières visant les infrastructures communes?
M. Anandasangaree : Nous participons activement aux travaux du Groupe des cinq et du G7, et je vais les grouper dans ma réponse. J’ai eu l’occasion de participer aux discussions dans les deux cas. Nous avons accueilli le G7 en octobre, et je peux vous dire que c’est l’un des enjeux les plus importants pour ses membres. Il y a beaucoup de coopération entre les partenaires du Groupe des cinq et du G7, mais notre système est effectivement en retard par rapport aux autres pays. J’espère que ce sera corrigé avec l’adoption du projet de loi C-8.
Le sénateur Al Zaibak : Merci.
La présidente : Nous allons maintenant passer aux autres membres de notre comité directeur.
[Français]
Le sénateur Carignan : Félicitations pour votre nomination, madame la présidente.
Monsieur le ministre, par définition, une loi est un ensemble de normes générales et impersonnelles. Dans ce projet de loi, on donne au gouverneur en conseil le pouvoir d’établir des directives qui peuvent être données ou d’exiger certaines mesures de la part d’un exploitant désigné individuellement. Au moyen de la directive, on peut donc viser une entreprise en particulier. Le pouvoir ou l’encadrement de la directive est assez général, en ce sens que l’on prend en considération les répercussions sur l’entreprise. Cependant, à l’alinéa 20(3)e), on dit : « tout autre facteur que le gouverneur en conseil considère pertinent [...] » et, au paragraphe 20(3.1), on précise ceci :
La portée et la teneur des dispositions de la directive sont raisonnables eu égard à l’objectif de protéger un cybersystème essentiel.
Dans la loi, on détermine déjà ce qui, selon vous, sera raisonnable. Comment croyez-vous qu’on pourra éviter les abus de pouvoir? Comment les tribunaux pourront-ils jouer leur rôle traditionnel, qui est de contrôler ces abus de pouvoir, avec un encadrement aussi large?
[Traduction]
M. Anandasangaree : Merci de la question, sénateur.
Les pouvoirs actuellement conférés par décret à l’égard de chaque exploitant visent à garantir le respect de la réglementation et la capacité opérationnelle dans les domaines réglementaires concernés au sein d’un secteur, par exemple celui des télécommunications.
Les garanties mises en place sont importantes. Les pouvoirs décisionnels renvoient à la fois au CPSNR, le Comité des parlementaires sur la sécurité nationale et le renseignement et à l’OSSNR, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement. Quand les enjeux sont de nature confidentielle... c’est parfois nécessaire, par exemple pour permettre aux entreprises de protéger certains aspects de leurs intérêts commerciaux qu’elles ne souhaitent pas divulguer. Cela dit, pour garantir que les exploitants respectent la loi, il faut absolument que, pour tel ou tel secteur d’activité, des lignes directrices assorties de certaines garanties soient appliquées.
Il est tout à fait possible de saisir la Cour fédérale. Cela relève effectivement de sa compétence. C’est au gré de chacun, mais, dans le cadre des garanties prévues, le critère du caractère raisonnable est le point de départ, et c’est un critère juridique généralement bien compris. Cela s’accompagne cependant d’un éventuel contrôle de la part du CPSNR et de l’OSSNR si ceux-ci décident de donner suite à un renvoi en vertu de la loi.
Des garanties sont donc en place, et je suis convaincu que ces dernières permettent de remédier à tout abus.
[Français]
Le sénateur Carignan : Pour ce qui est de la disposition portant sur la révision dans cinq ans, plusieurs lois en contiennent une, mais on ne fait pas cette révision. Au Comité des parlementaires sur la sécurité nationale et le renseignement, vous avez affirmé que cette disposition était contenue dans la loi et que la loi a été adoptée depuis plusieurs années, mais que la révision n’a pas encore été faite. Comment vous assurerez-vous que cette loi sera révisée dans cinq ans?
[Traduction]
M. Anandasangaree : Il y a un certain nombre de lois. Le projet de loi C-12 vient tout juste d’être examiné par ce comité. Une période de révision y est prévue. Il est d’usage, en ce qui concerne le CPSNR et l’OSSNR, de prévoir des révisions. Elles sont nécessaires, et, en l’occurrence, sont prévues dans un délai de cinq ans. Il appartient aux parlementaires et aux gouvernements de veiller à ce que ces révisions soient effectuées.
Le sénateur Cardozo : Tout d’abord, félicitations pour votre élection, madame la présidente.
Merci de votre présence, monsieur le ministre. Le projet de loi C-26 a été présenté au cours de la législature précédente, en juin 2022, il y a quatre ans. Pourriez-vous nous dire quelques mots sur l’évolution de la menace depuis et sur la façon dont le projet de loi en tient compte?
Plus précisément, concernant l’ajout de secteurs que vous pourriez envisager ou la réglementation décrite à l’article 15, les règlements sont-ils près d’entrer en vigueur ou cela prendra-t-il encore un certain temps? Au sujet des secteurs, vous n’avez pas encore examiné, par exemple, celui de l’éducation, où les universités sont parfois confrontées à des préoccupations ou à des problèmes. Je sais que cela relève de la compétence des provinces, mais pourriez-vous nous dire si ce secteur pourrait être intégré?
M. Anandasangaree : Merci. L’observation de la situation au fil du temps est d’une importance cruciale. Je peux vous fournir le nombre d’incidents qui, depuis quelques années, depuis 2022, ont eu un impact significatif sur les Canadiens. J’ai parlé des compagnies d’assurances. En août 2025, il y a eu l’affaire Wealthsimple. En juillet 2025, il y a eu le groupe Colabar. En juin 2025, il y a eu l’hôpital régional de Pembroke et WestJet. Il y a eu Nova Scotia Power en avril 2025. Il y a eu Shell en juin 2024. Ensuite, il y a eu la municipalité de Hamilton, et je pourrais continuer. La situation s’est considérablement aggravée depuis quelques années.
Les quatre secteurs visés par cette loi — les finances, les télécommunications, l’énergie et les transports — sont ceux qui sont principalement de compétence fédérale. Vous avez évoqué l’éducation, par exemple, mais c’est un secteur qui relève très largement de la compétence des provinces.
Il y a une interaction avec le secteur des télécommunications, puisque celui-ci, au sens large, est lié aux systèmes de santé ou d’éducation, qui relèvent de la compétence des provinces. Les atteintes à la sécurité dans le secteur des télécommunications auront évidemment des conséquences et seront sanctionnées par la loi.
L’évolution de la réglementation offre une certaine souplesse. Concernant les enjeux liés à l’IA, par exemple, les progrès technologiques s’accompagnent d’un cadre réglementaire évolutif qui peut être instauré pour garantir que ces enjeux — et on parle ici de l’architecture elle-même, et non pas nécessairement du contenu — puissent être abordés par le biais de règlements.
À ce stade — mes collègues pourront peut-être vous en dire davantage —, cela change le projet de loi. Nous avons apporté un certain nombre de modifications au projet de loi C-26. Je ne crois pas que les règlements soient tout à fait prêts, mais, dès que le projet de loi aura été adopté, nous pourrons progresser très rapidement. Il y a aussi les délais habituels après publication dans la Gazette. Il y a une période de 30 jours ou un certain délai pour recueillir des commentaires avant que les règlements n’entrent en vigueur.
Le sénateur Cardozo : Si d’autres secteurs doivent être couverts, êtes-vous habilité à les ajouter ou sommes-nous limités à ces quatre-là?
M. Anandasangaree : Nous nous concentrons principalement sur ces quatre secteurs, parce qu’ils sont de compétence fédérale. Nous devons travailler avec les provinces et les territoires pour voir s’il est possible d’y proposer des projets de loi semblables ou s’il y existe des mécanismes de reddition des comptes, mais, jusqu’à présent, ces quatre secteurs sont strictement de compétence fédérale.
Le sénateur Cardozo : Bonne chance. C’est urgent, et j’espère que les choses vont bientôt avancer.
La sénatrice Batters : Merci beaucoup. Monsieur le ministre, dans votre discours en deuxième lecture, vous avez fait valoir qu’il était urgent d’adopter le projet de loi C-8, parce que les cybermenaces sont de plus en plus nombreuses, complexes et omniprésentes. Après une décennie de consultations et après l’étude approfondie du projet de loi C-26 par le Sénat, et malgré les six mois écoulés depuis que ce dernier est mort au Feuilleton en raison de la prorogation, pourquoi le gouvernement a-t-il décidé de présenter à nouveau un projet de loi pratiquement identique au lieu d’y apporter d’emblée les modifications importantes qui auraient corrigé les principales lacunes relevées par d’importants témoins devant ce comité et qui auraient permis au Parlement de faire avancer ce dossier plus rapidement? N’y a-t-il pas contradiction entre l’urgence que vous invoquez et le manque de diligence dont votre gouvernement a fait preuve au moment de la préparation initiale de ce projet de loi l’année dernière?
M. Anandasangaree : Je ne suis pas de votre avis, sénatrice. Il était urgent de présenter ce projet de loi. Le projet de loi C-26 qui le précède avait franchi toutes les étapes. Il était sur le point d’être examiné par le Parlement pour un amendement technique. Le travail du sénateur McNair à cet égard mérite d’être souligné. L’objectif était de garantir que le projet de loi obtienne la sanction royale.
Quand nous avons présenté ce projet de loi, nous espérions évidemment que, si de nouveaux éléments devaient être examinés, nous pourrions travailler avec l’opposition. Environ 75 % des amendements que nous avons acceptés venaient de l’opposition, ce qui est tout à fait remarquable, car il nous semblait essentiel de travailler en collaboration. Ce projet de loi ne doit pas être politisé. La plupart du temps, nous avons travaillé avec les différents partis représentés à la Chambre pour veiller à ce que toutes les préoccupations légitimes soient prises en compte sous forme d’amendements. Nous avons réussi à faire adopter ces amendements, qui vous sont soumis aujourd’hui.
La sénatrice Batters : D’accord. Le seul problème est que beaucoup de ces préoccupations avaient déjà été soulevées auparavant et qu’elles auraient pu être traitées avant que le projet de loi soit présenté. L’amendement technique dont vous parlez aurait pu éliminer la moitié de votre projet de loi. Il était donc effectivement important de le proposer.
Mais les députés conservateurs ont proposé trois amendements importants au comité de la Chambre au sujet du projet de loi C-8, et ces amendements auraient exigé une autorisation judiciaire pour permettre l’exercice des pouvoirs ministériels et des décrets ministériels dans certains cas prévus par cette loi. Votre gouvernement libéral a décidé de s’opposer à ces amendements déterminants plutôt que d’accepter que ces modifications soient apportées au projet de loi C-8. Vous auriez pu accepter d’inclure ces amendements d’autorisation judiciaire dans le projet de loi C-8, mais vous n’aviez pas tiré les leçons des recommandations formulées par de nombreux témoins qui ont comparu devant notre comité sénatorial au cours des audiences concernant le projet de loi C-26. Presque tous les témoins, à l’exception de ceux du gouvernement, ont vigoureusement plaidé en faveur d’un renforcement de la surveillance, et c’est ce qu’aurait permis ce type d’autorisation judiciaire.
Monsieur le ministre, pourquoi votre gouvernement n’a-t-il pas accepté d’apporter ces modifications essentielles pour améliorer le projet de loi et protéger les droits des Canadiens en intégrant des mesures importantes en matière d’autorisation judiciaire dans le projet de loi C-8?
M. Anandasangaree : Sénatrice, je crois que ces amendements ont été jugés hors champ.
La sénatrice Batters : Vous auriez pu décider de les inclure.
M. Anandasangaree : Le processus qui fait passer un projet de loi par différentes étapes n’est ni un art ni une science. C’est un peu des deux. À toutes fins utiles, c’est un projet de loi qui a été adopté dans sa première version sous l’appellation de projet de loi C-26. Il a été amélioré, et ce grâce à la collaboration de tous les partis, et il est maintenant soumis à cette chambre. J’estime que ce projet de loi renforcé devrait être adopté. C’est urgent et nécessaire, et nous devons travailler en collaboration pour parvenir à son adoption.
La sénatrice Batters : Ne pensez-vous pas que des mesures d’autorisation judiciaire seraient nécessaires?
M. Anandasangaree : Comme je l’ai dit dès le départ, on a prévu des garanties. Il y a des références à l’OSSNR et au CPSNR. Certaines questions sont de nature confidentielle et nécessitent une protection, mais les entités ont la possibilité de saisir la justice si elles le souhaitent. Ces garanties sont prévues.
Le sénateur McNair : Madame la présidente, félicitations pour votre élection.
Merci au ministre et aux fonctionnaires de leur présence parmi nous. Nous vous sommes reconnaissants d’être ici. Vous avez retenu notre attention dès le début de la réunion en nous disant que le Canada est aujourd’hui au deuxième rang des pays victimes d’attaques par rançongiciel. Ce n’est pas un classement dans lequel nous souhaitons figurer — pas à ce degré en tout cas.
J’avais également l’intention de poser des questions sur les trois amendements proposés en comité parlementaire, mais la sénatrice Batters vient d’en parler. Je rappelle que 37 amendements ont été adoptés par le comité, dont il faut saluer l’esprit de collaboration.
Je sais que le commissaire à la protection de la vie privée a recommandé trois mesures au comité parlementaire. Si j’ai bien compris, deux d’entre elles ont été adoptées sous forme d’amendements, mais la troisième a été rejetée. Pourriez-vous nous expliquer pourquoi ce troisième amendement, portant sur le signalement direct de violations de confidentialité au commissaire à la protection de la vie privée, a été rejeté par le comité?
M. Anandasangaree : Merci, sénateur. Vous avez tout à fait raison : un certain nombre d’amendements ont été adoptés. Plus de 50 % des amendements ont été adoptés, et 75 % d’entre eux venaient de l’opposition, et non du gouvernement.
J’ai eu l’occasion de rencontrer le commissaire à la protection de la vie privée en octobre dernier, et je respecte tout à fait le travail qu’il fait. Quant aux mesures qu’on nous a proposées, je rappelle que deux des trois amendements ont été retenus. Le troisième relève de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, qui impose déjà à une organisation d’informer le commissaire ainsi que les intéressés. La divulgation est déjà prévue par la Loi sur la protection des renseignements personnels. C’est la principale raison pour laquelle cette proposition n’a pas été retenue par le comité.
Le sénateur McNair : C’est déjà prévu dans la LPRPDE?
M. Anandasangaree : En effet.
Le sénateur McNair : Le Comité sénatorial permanent des affaires sociales, des sciences et de la technologie est en train d’étudier le projet de loi S-5, Loi visant un système de soins de santé connecté au Canada, qui vise à éliminer le cloisonnement des données et à rendre les dossiers médicaux et les dossiers de santé électroniques connectés et interopérables. Au comité, les sénateurs se font dire qu’un système de dossiers connectés risque de constituer une cible de plus grande ampleur pour les cyberattaques. Personne n’ignore que le secteur de la santé a fait l’objet d’attaques dans les dernières années.
Le paragraphe 6(1) de la LPCSE, la Loi sur la protection des cybersystèmes essentiels, permet au gouverneur en conseil d’ajouter d’autres secteurs d’infrastructures essentielles relevant de la réglementation fédérale à l’annexe 1. Vous en avez déjà un peu parlé. Dans notre rapport sur le projet de loi C-26, nous avons recommandé d’ajouter les systèmes de santé relevant de la compétence du Parlement à l’annexe 1.
Est-ce qu’on a tenu compte de la sécurité du secteur de la santé dans le cadre du projet de loi C-8?
La présidente : Non, principalement pour la raison que j’ai exposée antérieurement. Nous restons essentiellement dans notre domaine de compétence. Comme vous le savez, les relations fédérales-provinciales peuvent souvent entraîner de longues procédures judiciaires qui finissent par confirmer le gouvernement fédéral dans son domaine de compétence et les provinces dans le leur. Sénateur McNair, nous voulons nous en servir comme modèle et travailler avec les provinces et territoires pour les amener à adopter des lois semblables dans leurs juridictions ou d’autres formes de réglementation comportant un volet sur la divulgation et le partage de renseignements à l’échelle du pays parce que nous en avons cruellement besoin.
Je crois que la solution passe par la collaboration. Si nous étions tentés de légiférer, nos conseillers juridiques m’ont assurée que ce serait contesté. Notre objectif principal est donc d’avoir un projet de loi conforme aux compétences constitutionnelles nous habilitant à légiférer dans des domaines précis, en l’occurrence les quatre qui ont été définis.
Je crois que c’est un point de départ important. Mais ce n’est pas la fin de l’histoire, à notre avis.
Le sénateur McNair : Merci.
Le sénateur Kutcher : Madame la présidente, félicitations pour votre élection. C’est une grande responsabilité.
Merci beaucoup d’être parmi nous, monsieur le ministre, et merci de vos aimables paroles au sujet du sénateur Yussuff. Je voudrais poursuivre la conversation sur les enjeux liés à la santé et attirer l’attention sur les fournisseurs de soins de santé virtuels, dont la réglementation ne m’apparaît pas claire. Certains de ces fournisseurs virtuels ne sont pas Canadiens. Une quantité considérable de données médicales est stockée au Canada par des fournisseurs virtuels qui peuvent utiliser nos réseaux de télécommunications, mais aussi par des fournisseurs virtuels installés à l’étranger. Certains de ces renseignements sont des données personnelles très importantes, et, notamment dans le domaine de la psychothérapie, il peut s’agir de données narratives.
Comment la réglementation aborde-t-elle ce type de données? C’est une question très difficile. Je la soulève non pas pour critiquer le projet de loi, mais pour essayer de comprendre en quoi il pourrait servir de socle permettant d’avancer à cet égard.
M. Anandasangaree : Merci, sénateur. Si je connaissais un sénateur à la retraite qui puisse proposer un plan pour régler cette question, je lui demanderais probablement de faire du travail supplémentaire.
Vous soulevez une question très importante. Nous sommes attentifs à l’évolution des soins virtuels. Le volet interprovincial en est un aspect, et il est probablement plus facile à gérer que le volet international.
Au final, les soins de santé doivent être conformes à la Loi canadienne sur la santé. Quant à la protection des renseignements, il est possible de réglementer l’accès à ceux qui se trouvent au Canada. La souveraineté des données est évidemment une préoccupation. On en discute actuellement, tandis que des centres de données d’IA s’étendent et que la USA PATRIOT Act s’applique à certains types de données canadiennes stockées dans des installations américaines. Ce sont des questions très actuelles, et j’avoue ne pas avoir de réponses. Mais elles font partie du travail à faire a posteriori et de l’examen permanent qu’exige la cybersécurité, puisqu’on sait bien que ces vulnérabilités persistent.
La difficulté tient au fait que beaucoup de ces données ne sont peut-être pas conformes à la Loi sur la protection des renseignements personnels. C’est déjà une limitation, qu’il s’agisse d’une loi fédérale ou provinciale, étant donné que la plupart des provinces ont une loi sur la protection des renseignements personnels.
Quand les données sont recueillies et conservées à l’étranger, l’accès à ces renseignements n’est pas assujetti aux lois canadiennes sur la protection des renseignements personnels. La situation n’est donc pas la même au départ.
Pour y remédier, on peut, outre les mesures de réglementation ici, essayer de créer des partenariats avec différents gouvernements, selon les pays en question. En même temps qu’on consolide nos relations commerciales, on pourrait instaurer des rapports de collaboration avec d’autres pays en matière de protection des renseignements personnels.
Le sénateur Ince : Merci, madame la présidente. Félicitations à vous.
J’ai de belles semelles pour vos nouvelles chaussures.
La présidente : Excellent. Je les prends.
Le sénateur Ince : Merci au ministre et à son équipe d’être parmi nous.
Monsieur le ministre, le 30 octobre 2025, Philip Stupak, directeur principal de la défense des intérêts pour ISC2 Inc., a déclaré au Comité permanent de la sécurité publique et nationale de la Chambre des communes que les secteurs d’infrastructures essentielles sous réglementation fédérale, dont les systèmes d’approvisionnement en eau, ne sont pas tous inscrits à l’annexe 1 de la LPCSE. Par ailleurs, la Stratégie nationale de 2009 sur les infrastructures essentielles du Canada circonscrit 10 secteurs d’infrastructures essentielles, dont celui de l’eau.
Pourquoi l’annexe 1 de la LPCSE ne comprend-elle pas les 10 secteurs circonscrits dans la stratégie de 2009?
M. Anandasangaree : Nous restons dans le cadre de la compétence fédérale. Nous sommes habilités à l’égard de plusieurs secteurs distincts — les finances, les télécommunications, l’énergie et les transports étant les principaux —, et les pouvoirs conférés par la LPCSE s’appliquent à ces quatre secteurs, mais pas au-delà. Cela dit, beaucoup de provinces et de municipalités, par exemple, possèdent des infrastructures essentielles, et c’est pour nous à la fois une opportunité et une difficulté. Quand nous aurons instauré un cadre efficace à l’échelle fédérale, nous pourrons collaborer avec les provinces pour les inciter à adopter des lois équivalentes ou trouver d’autres mécanismes permettant de garantir conformité et communications dans les secteurs relevant de la compétence des provinces.
Nous avons pris soin de ne pas outrepasser nos compétences. Les lois sont souvent assujetties à des contrôles judiciaires, et le risque est, entre autres, que, si la loi excède le champ d’application du mandat fédéral, une intervention judiciaire puisse invalider certains éléments du projet de loi ou annuler ses dispositions.
C’est la principale raison pour laquelle nous nous en tenons aux quatre secteurs définis.
Le sénateur Ince : Merci.
Certaines situations pourraient-elles conduire à l’ajout d’autres secteurs d’infrastructures essentielles à l’annexe 1?
M. Anandasangaree : Pour l’instant, sénateur, rien de précis n’est envisagé en dehors de ces quatre secteurs. Cependant, le gouverneur en conseil a le pouvoir d’y ajouter d’autres services et systèmes essentiels sous réglementation fédérale, les soumettant de ce fait à la LPCSE. Cela inclut les parties des services d’approvisionnement en eau dont vous avez parlé et qui sont désormais sous réglementation fédérale.
Donc, même si nous nous en sommes tenus à ces quatre secteurs, certaines situations nous permettraient d’en ajouter au fur et à mesure des besoins ou des occasions.
Le sénateur Ince : Merci.
Le sénateur Yussuff : Merci, madame la présidente, et félicitations à vous.
Monsieur le ministre, j’ai quelques questions au sujet de ce décalage, compte tenu de ce qu’on entend constamment dans l’espace public. Beaucoup d’atteintes majeures à la cybersécurité se produisent à l’échelle provinciale, là où vous n’avez aucun pouvoir de surveillance ou de contrôle.
Compte tenu des attentes des Canadiens et de l’importance du projet de loi pour corriger la législation fédérale, comment mieux collaborer avec les provinces? Elles n’ont pas d’infrastructure semblable à ce que nous avons à l’échelle fédérale pour les aider et les soutenir. Faudrait-il envisager une perspective interprovinciale en partant du principe qu’on pourrait « ignorer ce que dit la Constitution dans certains cas »? On va continuer d’entendre parler des mêmes problèmes à moins d’instaurer une certaine symétrie qui permettrait une surveillance élargie.
Si vous posez la question à des Canadiens de l’Ontario, de la Colombie-Britannique et de la Nouvelle-Écosse, vous constaterez qu’ils estiment tous que quelqu’un est censé les protéger. Or, on sait que, à l’échelle provinciale, le degré de surveillance n’est pas aussi élevé qu’à l’échelle fédérale.
Comment faire? Je crois que, après l’adoption de ce projet de loi, nous allons continuer d’être frustrés d’entendre parler de ces atteintes à la sécurité alors que nous ne comprenons toujours pas pourquoi elles se produisent.
M. Anandasangaree : Vous êtes perspicace, sénateur. C’est effectivement une source de frustration.
Notre Confédération est un système complexe. Je crois que, la plupart du temps, nous sommes très nombreux à ne pas comprendre pleinement l’étendue de nos mandats, qu’ils soient fédéraux ou provinciaux, et il est beaucoup plus difficile d’expliquer aux Canadiens les difficultés auxquelles le gouvernement fédéral est confronté, et réciproquement, puisqu’il arrive aussi que les provinces soient frustrées par le gouvernement fédéral.
Ce projet de loi est certainement imparfait, mais il traduit ce que nous souhaitons faire compte tenu de la compétence et des pouvoirs du gouvernement fédéral. Quand il sera adopté, nous pourrons l’intégrer à notre forum FPT. M. Fraser, le ministre de la Justice, et moi-même, ministre de la Sécurité publique, avons des rencontres annuelles avec les provinces et territoires. C’est un sujet que nous pourrons certainement aborder et au titre duquel nous pourrons demander leur collaboration pour envisager la possibilité de lois provinciales semblables. Il pourrait y avoir de légères variations dans les lois provinciales sur la protection des renseignements personnels, mais cela mérite discussion.
Vous avez raison : pour le Canadien moyen, que le réseau hydrique soit de compétence provinciale ou fédérale ou qu’on parle d’une coopérative de crédit ou d’une banque à charte importe peu. Nous avons tout intérêt, par souci de protection, à élargir le champ d’application. C’est un projet de loi fédéral et il le restera, mais nous devons assurer la conformité au moyen de discussions et de négociations.
Le sénateur Yussuff : Les criminels se fichent pas mal de savoir qui profitera une fois leurs objectifs atteints.
Je préférerais que cette lacune soit reconnue et non que la collaboration fédérale-provinciale soit considérée comme indispensable à la sécurité canadienne. Il est terrible de dire à quelqu’un que ses données sont entre les mains d’un criminel et qu’on ne peut rien faire parce que les administrations provinciales compétentes ne disposent pas des moyens que le gouvernement fédéral aurait à offrir pour mieux sécuriser ses données dès le départ.
Ce serait extrêmement utile.
Les Canadiens qui voient cela risquent de s’interroger sur le fait que le gouvernement fédéral ne puisse pas les protéger à l’échelle provinciale quelle que soit la situation.
M. Anandasangaree : En fait, si je peux me permettre, madame la présidente, le fait est que, s’il arrive quelque chose à l’échelle provinciale, il y a de fortes chances que cela se propage dans d’autres provinces. Il n’y aura pas qu’une seule province touchée, mais plusieurs.
Il faudrait effectivement que le gouvernement fédéral assume le leadership de ce genre de collaboration, puisque, au final, il s’agit de protéger les Canadiens, comme vous l’avez dit.
La sénatrice Dasko : Félicitations, madame la présidente. Quel plaisir de vous voir à ce poste.
Merci aux témoins et au ministre. Je voudrais aller un peu plus loin, notamment au sujet des auteurs étatiques ou autres de cybercrimes. J’aimerais savoir qui ils sont et connaître leurs motivations et leurs objectifs. Est-ce qu’ils cherchent à perturber nos systèmes ou à obtenir certains types de renseignements? À quels secteurs s’intéressent-ils?
Comprendre ce qui les intéresse et savoir quels secteurs ils visent nous aiderait à comprendre leurs objectifs. Je trouve cela un peu mystérieux — mais peut-être que ce ne l’est pas et que vous avez toutes les réponses.
Sur le plan technologique, avez-vous la capacité de recueillir des informations précises sur leur identité — sur qui, quoi, quand, où et pourquoi?
M. Anandasangaree : Vous posez toujours des questions auxquelles je pense qu’il existe d’excellentes réponses, mais qu’il vaut sans doute mieux aborder dans un cadre sécurisé.
Je vais néanmoins essayer d’y répondre.
La sénatrice Dasko : Fermons simplement...
M. Anandasangaree : Je vais essayer d’y répondre, mais j’inviterai également ce comité à recevoir un mémoire sécurisé à ce sujet, car c’est une question assez importante. Je vais vous expliquer qu’il existe plusieurs acteurs en jeu. Le rapport annuel du Service canadien du renseignement de sécurité, le SCRS, a été déposé vendredi, et on y discute de certains de ces acteurs.
Il existe plusieurs motivations. L’une d’elles est de semer une certaine instabilité au Canada...
La sénatrice Dasko : Causer des perturbations.
M. Anandasangaree : ... des perturbations au Canada, au sein des institutions canadiennes et des systèmes politiques canadiens, ce qui a motivé un certain nombre d’acteurs malveillants.
Cela tient en partie à la géopolitique et à la position du Canada sur toute une série de questions, notamment ses positions très fermes en matière de droits de la personne; la ligne générale adoptée par le Canada face aux violations des droits de la personne est cohérente dans de nombreux pays.
Il est certain que le Registre canadien pour la transparence en matière d’influence étrangère constitue une source de contrariété supplémentaire pour certains acteurs. Diverses motivations peuvent toutefois expliquer pourquoi d’autres acteurs étatiques y sont visés.
Il ne faut pas non plus sous-estimer les intérêts privés et ceux qui, par le biais des rançongiciels par exemple, agissent essentiellement pour l’argent. Ils le font pour récolter des fonds destinés à alimenter les réseaux criminels déjà existants, bien que d’une manière bien plus sophistiquée que ce à quoi nous avons pu être habitués par le passé.
La sénatrice Dasko : Il va donc de soi que les acteurs privés recherchent des informations, des gains matériels, des intérêts commerciaux, et ainsi de suite. Quant aux acteurs étatiques, veulent-ils principalement semer la perturbation ou recherchent‑ils eux aussi des informations?
M. Anandasangaree : Je reviens à mon argument initial : cela justifie, à mon avis, une discussion à huis clos.
Je pense, pour ma part, qu’il s’agit bien d’une tentative de perturbation. L’objectif consiste à remettre en cause les systèmes canadiens, qui sont bien établis, fondés sur la primauté du droit et dotés de mécanismes de protection garantissant le respect de la vie privée et des droits de la personne, d’une manière qui perturbe notre mode de vie. Ils n’y parviendront certainement pas, mais il s’agit là de tentatives visant à déstabiliser le système.
Nous sommes une démocratie solide dotée d’institutions de premier plan, comme la Gendarmerie royale du Canada, la GRC, le SCRS, l’Agence des services frontaliers du Canada, l’ASFC et le Centre de la sécurité des télécommunications, le CST, qui défendent nos frontières. Elles œuvrent sans relâche pour assurer la protection des Canadiens.
La sénatrice Dasko : Merci.
La sénatrice Hay : Monsieur le ministre, il y a quelques minutes à peine, vous avez dit qu’il s’agissait d’un projet de loi imparfait; j’ai donc une remarque à faire : si nous attendons la perfection, nous attendrons longtemps. Je tenais simplement à le signaler.
Ma question est la suivante : comment ce projet de loi aborde‑t-il ou réduit-il le risque lié aux menaces générées par l’IA, telles que la désinformation par hypertrucage, dont on a beaucoup parlé, l’hameçonnage alimenté par l’IA et les cyberattaques autonomes? Par ailleurs, aura-t-il la souplesse nécessaire pour s’adapter à ce Far West qu’est le monde de l’IA aujourd’hui?
M. Anandasangaree : C’est une excellente question. Le projet de loi s’intéresse à l’architecture qui fait l’objet d’attaques. Il ne porte pas nécessairement sur les infractions individuelles, mais plutôt sur les failles architecturales. Par exemple, l’utilisation de l’IA fait partie du champ d’application de la réglementation, bien que l’IA elle-même ne soit pas réglementée ici. Ce sont les répercussions et les résultats concrets des vulnérabilités architecturales sur la mise en œuvre de rançongiciels ou d’autres attaques qui sont abordés dans ce projet de loi.
À savoir, si le texte présente un caractère intemporel, à mesure que les technologies évoluent et que différentes formes d’IA sont pleinement mises à contribution, la loi prévoit les moyens de s’adapter à cette évolution. Il est toutefois impossible de prédire jusqu’où cela ira dans les deux, trois ou cinq prochaines années. Sur la base de ce que nous savons aujourd’hui et des informations facilement accessibles au public, nous sommes tout à fait convaincus que le projet de loi et les organismes de réglementation nous permettront de rester à la page. Toutefois, l’examen quinquennal est essentiel à cet égard.
Nous avons plusieurs autres projets de loi. Le projet de loi C-22 va être présenté à la Chambre. Nous nous efforçons tous d’assurer la conformité avec les normes actuelles et même d’anticiper un peu l’avenir, mais nous devons rester vigilants quant à ce qui nous attend.
La sénatrice Hay : Juste une petite question complémentaire : vous avez évoqué le fait que l’IA n’est pas réglementée. Pensez-vous que ce projet de loi s’inscrira dans le cadre de la stratégie en cours sur l’IA et des éventuelles mesures législatives à venir?
M. Anandasangaree : Il ne fait aucun doute que les pouvoirs réglementaires auront une incidence sur l’IA, les robots et d’autres outils. D’autres mesures législatives portant sur l’IA verront certainement le jour. Je sais que le ministre Solomon était présent lors de la période des questions il y a quelques semaines, et il sera bien placé pour exposer la vision de notre pays quant à la manière dont nous adoptons l’IA tout en la protégeant par des mesures de sécurité. C’est une stratégie à laquelle il travaille. Le premier ministre parle de l’IA depuis un certain temps déjà, et je pense que le ministre Solomon nous en dira davantage au cours des prochains mois.
La sénatrice Hay : Et ce projet de loi s’inscrira-t-il dans ce cadre?
M. Anandasangaree : Oui.
La sénatrice Hay : Merci.
[Français]
La sénatrice Youance : Bienvenue et félicitations. Merci d’être ici, monsieur le ministre.
Ma question portera sur un exemple concret, mais j’aurais aimé en avoir deux ou trois autres. Comme le projet de loi donne un nouvel outil au gouvernement afin de contraindre « au besoin » un exploitant désigné à prendre des mesures pour protéger son cybersystème, pouvez-vous nous donner un exemple — vous avez cité tout à l’heure la cyberattaque sur WestJet — du genre de mesures que le gouvernement pourrait prendre dans le cas d’une cyberattaque, si le projet de loi C-8 était déjà en place?
[Traduction]
M. Anandasangaree : Il y a deux points à retenir ici. Le premier concerne la communication d’informations en temps opportun. À l’heure actuelle, par exemple, si une entreprise comme une compagnie aérienne est victime d’une cyberattaque, que des informations sont divulguées ou qu’une demande de rançongiciel est formulée, la possibilité de partager ces informations avec d’autres entreprises du secteur confrontées à des situations similaires renforcera la vigilance et incitera ces autres acteurs à prendre des mesures proactives. Notre capacité à analyser la technologie utilisée pour cette attaque sera également utile.
Il s’agit avant tout d’une approche proactive visant à garantir que, si une attaque vise un seul acteur, elle n’ait pas de répercussions plus larges sur l’ensemble du secteur. C’est l’un des objectifs pour lesquels le projet de loi a été conçu. En voilà un exemple concret.
L’autre approche consiste à tirer des enseignements de ces situations. On a récemment observé plusieurs cas où des rançongiciels ont été utilisés dans un secteur d’activité donné, puis dans un autre, au niveau provincial. Là encore, cela nous permet de mieux comprendre quel type d’incidence cela aura sur l’ensemble des secteurs concernés.
Il s’agit, par exemple, pour le CST de continuer à jouer son rôle de défenseur dans le cyberespace, mais aussi pour que les gouvernements puissent échanger au sein du système fédéral afin de déterminer comment éviter au mieux que cela ne se reproduise.
La présidente : Il sera bientôt 17 heures, ce qui marque la fin de notre entretien avec le ministre.
Merci, monsieur le ministre, d’avoir pris le temps de nous rencontrer aujourd’hui. Merci également à l’équipe qui vous soutient, qu’elle soit au premier rang, au dernier rang ou sur les deux rangées latérales. Tout ce travail ne peut se faire sans chacun d’entre vous. Nous vous remercions de votre présence ici.
Puisque les fonctionnaires du ministère ont aimablement accepté de rester, nous allons poursuivre nos questions.
Au cours de la dernière heure, nous avons eu l’occasion et le plaisir d’entendre le ministre de la Sécurité publique et de la Protection civile à l’occasion de l’ouverture de notre examen du projet de loi C-8.
Nous allons maintenant accueillir notre deuxième groupe de témoins et poursuivre nos questions adressées à Sécurité publique Canada et à Innovation, Sciences et Développement économique Canada.
Le sénateur Al Zaibak : Merci à tous d’être ici aujourd’hui.
Le projet de loi C-8 prévoit de nouveaux pouvoirs importants en matière de prise de directives de cybersécurité. Nous avons reçu hier un mémoire indiquant qu’aucun nouveau pouvoir significatif n’est ajouté. J’aimerais que vous m’éclairiez à ce sujet.
Quels seuils ou critères de risque précis déclencheront ces interventions? Comment garantira-t-on la cohérence entre tous les secteurs?
Colin MacSween, directeur général, Direction de la sécurité nationale et de la cybersécurité, Sécurité publique Canada : Merci, sénateur, pour cette question. Si j’ai bien compris, je crois que la question portait sur le nouveau pouvoir de prise de décrets prévu à la partie 2, Loi sur la protection des cybersystèmes essentiels, connu sous le nom de « directives de cybersécurité ».
Ce pouvoir vise à permettre au gouverneur en conseil d’ordonner à un exploitant désigné de prendre toutes les mesures nécessaires pour protéger son service ou son système essentiel. Il a été conçu comme une mesure de dernier recours. Je dis cela, car de nombreuses autres options précèdent ce pouvoir de prise de décrets.
La partie 2 de la loi établit un cadre réglementaire pour les secteurs d’infrastructures essentielles relevant de la compétence fédérale dont le ministre a parlé. Elle leur impose quatre obligations : mettre en place un programme de cybersécurité, identifier et atténuer les risques liés à la chaîne d’approvisionnement, signaler obligatoirement les incidents au Centre canadien pour la cybersécurité et, si nécessaire, mettre en œuvre une directive en matière de cybersécurité.
Je le précise, car le programme de cybersécurité est en réalité une formalisation de ce que l’exploitant désigné met en œuvre pour protéger son service ou système essentiel.
C’est dans ce cadre que nous sommes en mesure — grâce à l’expertise technique du Centre canadien pour la cybersécurité — de déterminer si le propriétaire de cette infrastructure essentielle met en œuvre suffisamment de mesures pour protéger son service ou système vital.
Le pouvoir de prise de décrets s’exerce lorsque le gouvernement doit ordonner à un exploitant désigné de prendre certaines mesures. Cependant, cette procédure comporte plusieurs étapes. Par exemple, si un exploitant désigné ne respecte pas les exigences législatives, il peut conclure une entente de conformité avec l’organisme de réglementation afin de se conformer sans avoir recours à ces pouvoirs en dernier ressort. Ces pouvoirs ne sont donc qu’un mécanisme d’urgence permettant au gouvernement d’émettre des décrets, si nécessaire, pour protéger ce service ou système essentiel pour les Canadiens.
Le sénateur Al Zaibak : Selon vous, dans quelle mesure le projet de loi, tel qu’il est actuellement formulé, parvient-il à trouver le juste équilibre entre les impératifs de sécurité, la protection de la vie privée des citoyens et des entreprises, et le maintien d’une économie numérique concurrentielle pour tous les secteurs?
M. MacSween : Merci beaucoup pour votre question.
Concernant la protection de la vie privée et les pouvoirs de prise de décrets, le comité de la Chambre des communes a réaffirmé l’application de la Loi sur la protection des renseignements personnels dans le projet de loi pour assurer le respect des droits à la vie privée. De manière générale, plusieurs amendements visent aussi à établir des garde-fous dans la législation. Les pouvoirs de prise de décrets en sont un exemple. Il existe une liste non exhaustive de critères dont le gouverneur en conseil devra tenir compte s’il doit émettre une directive.
On pourrait par exemple envisager les répercussions financières pour un exploitant désigné ou les conséquences pour le service ou système essentiel si un décret lui ordonne de prendre certaines mesures.
Sur le plan de la transparence, comme l’a dit le ministre, je le répète, si un décret était pris, l’Office de surveillance des activités en matière de sécurité nationale et de renseignement, l’OSSNR, et le Comité des parlementaires sur la sécurité nationale et le renseignement, le CPSNR, en seraient automatiquement informés, pour qu’ils sachent qu’un pouvoir de prise de décrets a été exercé; et s’ils le jugeaient nécessaire, ils auraient le pouvoir, en vertu de leur propre loi, de réexaminer cette décision.
Voici quelques exemples des modifications apportées à la loi visant à équilibrer les pouvoirs octroyés et les préoccupations en matière de protection des renseignements personnels. Avez-vous quelque chose à ajouter?
La présidente : Si vous le permettez, passons à la question suivante.
La sénatrice Batters : Merci. Tout d’abord, je voudrais revenir sur quelques points. J’ai été très heureuse d’entendre le ministre indiquer que la ministre de l’Industrie se présenterait devant ce comité. C’était justement ma première question : où est la ministre? Elle s’est rendue à la Chambre des communes pour témoigner au sujet du projet de loi C-8; je pense donc que les deux ministres devraient comparaître devant le comité sénatorial permanent afin de nous témoigner le respect qui nous est dû et de permettre à ce comité de poser des questions. J’attends leur présence avec impatience.
En réponse, le ministre a indiqué que les règlements n’étaient pas encore prêts, mais il a précisé qu’ils allaient « […] progresser très rapidement […] » une fois le projet de loi adopté. Ce processus réglementaire ne risque-t-il pas plutôt de s’étaler sur deux ans? Une fois le projet de loi adopté et quand les consultations nécessaires auront été menées et tout ce qui s’ensuit, n’est-il pas vraisemblablement le cas que le règlement n’entre en vigueur que deux ans environ après l’adoption du projet de loi?
M. MacSween : Merci, madame la sénatrice, pour cette question.
Le processus réglementaire est extrêmement bien défini. Il comporte plusieurs étapes à suivre, ce qui peut allonger les délais. L’objectif, cependant, comme l’a indiqué le ministre, est évidemment de mener ces démarches aussi rapidement que possible, dans le respect de ce processus. Le processus réglementaire est établi par le Conseil du Trésor. Nous avons certaines obligations à remplir, notamment, comme vous l’avez dit, les consultations publiques.
La sénatrice Batters : Comme je dispose de peu de temps, est-ce que cela va vraisemblablement prendre environ deux ans — oui ou non?
M. MacSween : Cela pourrait être plus court.
La sénatrice Batters : De combien exactement?
M. MacSween : On pourrait facilement y parvenir en 12 à 18 mois.
La sénatrice Batters : Très bien. Par ailleurs, le ministre a déclaré avoir rencontré le commissaire à la protection de la vie privée en octobre, mais cela s’est produit plusieurs mois après le dépôt du projet de loi C-8. Pourquoi le commissaire à la protection de la vie privée et le commissaire au renseignement n’ont-ils pas été consultés avant le dépôt du projet de loi C-8? Tous deux avaient en effet exprimé de sérieuses préoccupations concernant la protection de la vie privée, les pouvoirs de l’État, la surveillance et l’absence de consultation de la part du gouvernement lors de l’examen du projet de loi C-26.
Kelly-Anne Gibson, directrice, Politique cybersécurité nationale, Direction de la sécurité nationale et de la cybersécurité, Sécurité publique Canada : Le projet de loi C-26 a été déposé, si je ne m’abuse, en juin 2022. Nous avions tenu des consultations techniques avec le commissaire à la protection de la vie privée en juin 2019, donc cela remonte techniquement à une date antérieure.
La sénatrice Batters : C’était bien avant le dépôt du projet de loi. Je parle des consultations portant sur le projet de loi en soi et des préoccupations qu’ils avaient soulevées dans le projet de loi C-26 afin qu’elles puissent être corrigées dans le projet de loi C-8. Pourquoi n’a-t-on pas mené ce genre de consultations alors que ces deux commissaires ont soulevé ces préoccupations tout au long du processus du projet de loi C-26?
Mme Gibson : Le projet de loi avait été rédigé lorsque nous leur avons parlé en 2019. Il avait été rédigé, puis il a été présenté ensuite, bien sûr.
La sénatrice Batters : Je me demande toutefois pourquoi ils n’ont pas été consultés après que le projet de loi C-26 est mort au feuilleton, au moment où vous prépariez le projet de loi C-8. Ils avaient soulevé de sérieuses inquiétudes concernant le processus en comité, tant à la Chambre des communes qu’au Sénat. Pourquoi le gouvernement ne les a-t-il pas consultés à ce moment-là pour tenter d’améliorer le projet de loi avant sa réintroduction sous la forme du projet de loi C-8?
Mme Gibson : Nous n’avons pas consulté à ce moment-là. Nous l’avions fait dans d’autres circonstances, et nous avions examiné leurs observations très attentivement. Nous avons repris les modifications qui avaient été adoptées à la Chambre des communes et au Sénat.
La sénatrice Batters : Pas celles du Sénat. Le commissaire à la protection de la vie privée avait expressément demandé une modification. C’est celle dont le sénateur McNair parlait tout à l’heure. C’était la dernière des trois modifications qu’il avait demandées, et c’était précisément celle que j’ai présentée au comité sénatorial permanent. Elle n’a pas été adoptée par le Sénat, mais c’était celle dont le commissaire à la protection de la vie privée voulait être informé, afin de savoir quels cyberincidents majeurs seraient concernés, pour pouvoir décider s’il devait enquêter et, au besoin, en informer les Canadiens.
Le sénateur McNair : Monsieur MacSween, vous avez évoqué l’impact financier sur les exploitants désignés. Cela rejoint une préoccupation que certains de mes collègues ont soulevée au sujet des petites et moyennes entreprises, les PME, qui représentent plus de 99 % des entreprises au Canada et emploient 90 % de la main-d’œuvre dans le secteur privé. Comme vous le savez, bon nombre de ces entreprises sont de plus en plus numériques et dépendent des infrastructures de télécommunications.
Étant donné que le projet de loi C-8 introduit de nouvelles exigences de conformité et des décrets potentiels affectant les systèmes de télécommunications, comment le gouvernement veillera-t-il à ce que les PME ne soient pas trop lourdement touchées, particulièrement celles qui ne disposent pas de services juridiques internes ou de capacités étendues en cybersécurité?
M. MacSween : Merci pour la question, monsieur le sénateur.
Le projet de loi a été conçu en tenant compte de cet aspect. Nous ne voulons évidemment pas qu’il ait un impact financier négatif, surtout pour les petites et moyennes entreprises. Je pense que si vous consultez l’annexe 1, actuellement, la grande majorité des exploitants désignés seraient probablement des exploitants de grande taille. Peut-être serait-il utile que je vous explique un peu comment cela fonctionnera.
L’annexe 1 établit les secteurs, faute d’un meilleur terme, auxquels la loi s’appliquerait. L’annexe 2, qui sera élaborée dans le cadre du processus réglementaire, définira les catégories d’exploitants. Elle ne désignera pas expressément un organisme en particulier, par exemple. On y visera plutôt les organismes d’une certaine taille qui desservent des clients à l’échelle nationale, et ainsi de suite. Ce n’est qu’un exemple, car cela sera développé ultérieurement. Les organismes qui relèvent de cette catégorie seront en bout de ligne soumis aux exigences de la loi.
L’un des avantages du processus réglementaire, même si nous allons l’accélérer au maximum, est qu’il nous donnera le temps de déterminer à quoi ressembleront ces catégories d’exploitants.
Pour nous aider dans cette tâche, la loi prévoit que les organismes réglementaires existants seront en fin de compte responsables de veiller à la conformité à la loi. Cela nous est utile parce que ces organismes connaissent extrêmement bien leurs secteurs, y compris les entités qui les composent. Outre les informations reçues directement des intervenants de l’industrie, nous pourrons aussi bénéficier de leurs connaissances lors de l’établissement de ces catégories d’exploitants.
[Français]
Le sénateur Carignan : Je vois qu’il y a eu plusieurs modifications au projet de loi par rapport au projet de loi C-26. J’imagine que c’est nécessaire pour conserver un équilibre en matière de protection des renseignements personnels et de protection de la vie privée. On constate qu’il y a eu de l’information ou un nouvel éclairage à ce niveau. Cependant, le paragraphe 20(1.1) prévoit cette interdiction : « Le gouverneur en conseil ne peut cependant ordonner le décodage d’une communication privée [...] » Cela n’existait pas dans le projet de loi C-26. Pourquoi a-t-on inclus cette interdiction d’ordonner le décodage pour le gouverneur en conseil? En quoi cela peut-il affecter l’efficacité des enquêtes?
[Traduction]
M. MacSween : Merci beaucoup pour la question, monsieur le sénateur.
Cette disposition était une modification proposée par le gouvernement. Elle visait à répondre à certaines préoccupations, notamment celles d’organisations de défense des libertés civiles, selon lesquelles cette législation pourrait être utilisée pour affaiblir le chiffrement ou créer une porte dérobée. Le gouvernement a décidé de présenter cette modification afin d’assurer l’existence de cette interdiction.
Il s’agit d’une disposition de précision qui n’aurait jamais dû être nécessaire. La loi vise à protéger les infrastructures sous‑jacentes; tel est son objectif. Aucun acte gouvernemental ne pourrait s’opposer à cet objectif dans la loi. Toutefois, à titre de précision, cette disposition a été ajoutée pour répondre à cette préoccupation et garantir la présence de garde-fous appropriés.
[Français]
Le sénateur Carignan : On vise l’article 183 du Code criminel, donc seulement les communications pour lesquelles une personne se trouve au Canada?
[Traduction]
Mme Gibson : Oui, vous avez raison. Il s’agit d’un renvoi à l’article 183 du Code criminel. C’est cette définition qui serait utilisée.
Le sénateur Kutcher : Je voudrais revenir sur la question du sénateur McNair concernant les petites et moyennes entreprises qui doivent se conformer à la loi.
Avez-vous envisagé d’offrir de l’aide à celles qui n’ont pas accès à un soutien juridique étendu, peut-être des organismes sans but lucratif? Avez-vous pensé à leur fournir une assistance pour les aider à se conformer?
M. MacSween : Merci pour la question, monsieur le sénateur.
Oui, cela est prévu dans le projet de loi. Quant au rôle du Centre canadien pour la cybersécurité dans ce texte, nous tirons parti de son mandat de conseil et d’orientation prévu dans la Loi sur le Centre de la sécurité des télécommunications. Cela signifie qu’il sera tenu de fournir des conseils et de l’orientation technique au gouvernement, mais aussi aux organismes réglementaires et aux exploitants désignés. Ainsi, lorsque ces exploitants désignés n’auraient pas les ressources techniques nécessaires pour expliquer leurs mesures de protection des services ou systèmes critiques, ils pourraient solliciter l’aide du Centre canadien pour la cybersécurité.
Cela dit, il est important de se rappeler qu’il s’agit de services et systèmes critiques pour les Canadiens. À première vue, les répercussions sur les petites et moyennes entreprises ne sautent pas aux yeux. Par exemple, on parle des systèmes des quatre grandes banques, du réseau de télécommunications, détenu en majorité par trois grandes entreprises au Canada, et du secteur de l’énergie. Pour ce dernier, il convient de signaler que puisque le gouvernement fédéral n’en réglemente que certains segments, il faut aussi tenir compte d’éléments interprovinciaux et transfrontaliers.
La structure de la loi nous place en bonne position pour soutenir au mieux les PME. Encore une fois, toute considération des répercussions sur les PME sera prise en compte lors de l’élaboration des règlements.
Le sénateur Cardozo : Quels seraient des exemples de PME relevant de la loi? Les organismes sans but lucratif en feraient-ils partie?
Mme Gibson : En termes de petites et moyennes entreprises, elles devraient fournir une fonction absolument critique. Le seul cas où il s’agirait d’une petite entreprise, c’est si elle fournissait un type très spécifique de service ou de produit dans le cadre d’une chaîne plus large.
Nous ne pensons pas, dans un premier temps, qu’une PME serait nécessairement désignée.
Le véritable risque pour les PME réside en fait dans la défaillance d’un service critique. Par exemple, si elles perdent l’accès au réseau de télécommunications et ne peuvent plus effectuer de transactions, c’est un risque plus grand. Cependant, nous pensons qu’il est relativement peu probable qu’elles soient effectivement désignées à moins d’avoir une fonction très spécifique dans la chaîne globale du service critique.
Le sénateur Cardozo : Concernant la question de l’ingérence étrangère au Canada, est-ce qu’il en est question dans cette loi? Je présume que oui, mais comment le lien avec ce sujet est-il établi?
M. MacSween : En ce qui concerne la partie 2 du projet de loi, elle traite effectivement de la menace d’ingérence étrangère dans la mesure où cette menace cible un service ou un système critique pour les Canadiens. Il est important de signaler que c’est le point central de la partie 2 de la loi. Nous ne l’envisageons pas tant sous l’angle du vecteur de la menace, mais plutôt par rapport à ce que nous protégeons contre une gamme de menaces.
C’est pour cela que nous revenons à l’idée que le projet de loi est centré sur la garantie de la disponibilité et de la résilience de ces services critiques pour les Canadiens.
Le sénateur Cardozo : Merci.
Le sénateur Kutcher : Merci à vous tous d’être ici. Vous êtes les quatre cavaliers — et cavalières — de ce projet de loi.
J’ai la même question pour chacun et chacune d’entre vous. Nous pouvons commencer par Mme Gibson et ainsi de suite. Maintenant que vous avez écouté les débats et entendu les témoignages à la Chambre — que je sais que vous avez étudiés attentivement — y a-t-il une chose que vous suggéreriez au Sénat de prendre en compte pour améliorer ce projet de loi?
Mme Gibson : C’est une question difficile.
Le sénateur Kutcher : Moi qui pensais qu’elle était facile.
Mme Gibson : Je participe à l’élaboration de ce projet de loi depuis qu’il s’appelait C-26, et j’ai vu les nombreuses améliorations apportées, tant à l’époque qu’aujourd’hui avec le projet de loi C-8. Honnêtement, je ne vois rien en particulier à ajouter pour l’améliorer.
Voudrais-je couvrir davantage de secteurs? Absolument, mais cela ne relève pas de la Constitution actuelle. Je souhaiterais étendre ces protections à de plus vastes champs de compétence, mais comme ce n’est pas possible à l’heure actuelle, je ne recommande rien de particulier.
M. MacSween : Je suis dans le même cas, simplement parce que le Parlement a eu deux occasions d’examiner ce projet de loi, et d’étudier des modifications proposées tant par la Chambre que par le Sénat. Cela a entraîné plusieurs changements, tous pour le mieux, à mon avis.
Je ne vois vraiment pas comment l’améliorer davantage. Cela rejoint en partie une question précédente. Le projet de loi est conçu pour s’adapter à l’évolution de la technologie.
On reproche parfois à la loi d’être vague, ce qui est, en fait, un choix délibéré, car si nous commencions à parler de technologies ou de menaces en particulier comme les rançongiciels — ce qui a été évoqué —, la loi deviendrait rapidement obsolète. Avoir une loi qui établit un cadre réglementaire permettant de développer les détails, puis d’intégrer la technicité dans les programmes de cybersécurité, est une approche très solide.
Andre Arbour, directeur général, Direction générale des politiques des télécommunications et de l’Internet, Innovation, Sciences et Développement économique Canada : Merci, monsieur le sénateur, pour cette question. Vu les études et débats déjà menés au sujet du projet de loi, rien ne me vient à l’esprit quant au contenu en soi. Ce qui m’inquiète, c’est le manque de pouvoirs pour intervenir dans ce domaine. Pendant la première heure, nous n’avons fait que survoler les questions liées à l’éventail des menaces observées. On observe une multiplication par cinq des dommages catastrophiques causés par les phénomènes météorologiques extrêmes, et une hausse astronomique des cas de rançongiciels liés au crime organisé et aux cryptomonnaies. Il y a des acteurs hostiles; le Centre de la sécurité des télécommunications a parlé publiquement de la République populaire de Chine, de la Russie et de l’Iran en particulier, les reliant à d’autres événements géopolitiques.
Pour reprendre le commentaire de mon collègue, beaucoup de détails seront réglés dans le cadre du processus réglementaire, mais nous accusons déjà un assez grand retard et, pour être franc, nous sommes impatients de passer à l’action. Merci.
Wen Kwan, directeur général, Secteur du spectre et des télécommunications, Innovation, Sciences et Développement économique Canada : Merci, monsieur le sénateur, pour la question. Comme vous devez vous y attendre, je dirais qu’il n’y a rien à ajouter au projet de loi, mais j’aimerais donner un peu plus de contexte.
Ce projet de loi présente un bon équilibre en termes de points de vue de diverses parties prenantes. Il suffit de penser aux exploitants d’infrastructures provinciales, aux membres de la société civile, au milieu universitaire et à d’autres associations, au commissaire au renseignement, au commissaire à la protection de la vie privée, et ainsi de suite.
À mon avis, rien ne viendrait modifier substantiellement le projet de loi de manière avantageuse. Nous n’atteindrons jamais la perfection. La cybersécurité n’est jamais totalement sécurisée, donc le besoin le plus urgent devant nous est de lancer le cadre afin que nous puissions passer à l’action, parce qu’il vaut mieux bouger que de ne rien faire du tout.
Le sénateur Ince : Monsieur MacSween, ce comité a reçu plus tôt dans la journée une lettre d’un intervenant de l’industrie qui semble penser que vous avez omis un aspect de la protection en cybersécurité, à savoir les appareils électroniques mis au rebut et l’effacement sécurisé des équipements et appareils. Pouvez‑vous nous dire si vous avez réfléchi à cette question? Est-ce un sujet qui devrait nous préoccuper?
M. MacSween : Merci, monsieur le sénateur, pour la question. Je ne sais pas si nous avons réfléchi à cette question en particulier. Si cela suscite une préoccupation — ce qui renvoie un peu à mon point précédent sur la structure de la législation —, lorsque les exploitants désignés devront présenter leurs programmes de cybersécurité, nous aurons la possibilité dans la réglementation d’intégrer ce qui sera requis dans ces programmes. Si la mise aux rebuts des appareils plus anciens est jugée préoccupante, cela pourra absolument être intégré comme exigence dans la réglementation des programmes de cybersécurité.
Pour répondre honnêtement à la question de savoir si nous y avons pensé expressément, la réponse est non. Mais pouvons‑nous y répondre dans le cadre de la législation? Oui, cela peut se faire. Absolument.
Le sénateur Ince : Laissez-moi essayer de comprendre. Quand on parle d’équipement de numérisation, de documents confidentiels, d’informations, de stockage, d’archivage sur support physique, de données numériques, et ainsi de suite, vous dites que c’est un sujet auquel vous pourriez réfléchir?
M. MacSween : Oui. La réserve que je dois faire, toutefois, est que cela s’applique dans la mesure où cela touche un service ou un système critique. Tout revient toujours à la protection du service ou du système critique. Comme je l’ai dit, si ces éléments doivent être pris en compte dans la protection de ce service ou système critique, alors oui, ils pourront être considérés.
Le sénateur Ince : Merci.
Le sénateur Yussuff : J’ai une série de questions. Je vais vous les poser à un rythme rapide.
Puisqu’il s’est écoulé un certain temps depuis le dernier projet de loi que nous avons étudié — nous réexaminons maintenant le projet de loi C-8 —, comment décririez-vous l’urgence de le faire adopter?
M. Arbour : Merci, monsieur le sénateur, pour la question.
Le facteur atténuant est que, dans l’intervalle, nous poursuivons des activités volontaires, coopératives et efficaces avec le secteur privé. Cela ne veut pas dire que nous ne faisons rien en attendant l’adoption du projet de loi.
Pour être franc, cependant, nous prenons un retard de plus en plus important dans notre capacité à mettre en place l’architecture de base. Beaucoup de choses restent inconnues. Lorsque nous commencerons à recevoir des rapports d’incident et des informations plus détaillées, nous serons mieux placés pour comprendre véritablement la nature des défis auxquels nous faisons face.
La séquence du programme réglementaire sera un vrai défi parce qu’il y a beaucoup de choses que nous devrons être prêts à affronter.
Pour l’instant, les premiers concernés — du moins dans le domaine des télécommunications — seront les équipements des fournisseurs à haut risque. Ensuite, il y aura toute une série d’autres considérations lorsque nous examinerons la sécurité et la résilience de nos réseaux. Nous devrons réfléchir sérieusement à la meilleure manière de séquencer cette démarche parce que l’industrie ne peut absorber qu’une certaine charge à un moment donné, et nous ferons de notre mieux pour concevoir ces règles de manière à ce qu’elles s’intègrent naturellement dans leurs cycles de provisionnement afin d’être mises en œuvre de façon raisonnable.
Il faudra toutefois pour cela mener des consultations et assurer un déploiement échelonné afin que nos partenaires du secteur privé puissent procéder à la mise en œuvre de la meilleure façon possible.
Le sénateur Yussuff : Je reviens à la question que vous a posée la sénatrice Batters, plus précisément sur le calendrier de la mise en place du régime réglementaire. Étant donné l’urgence de ce projet de loi, puisque nous accusons beaucoup de retard face aux besoins en sécurité du pays, si nous faisions observer que nous attendons du gouvernement qu’il agisse le plus rapidement possible dans les 12 prochains mois pour établir le régime réglementaire — car cette législation serait inefficace sans ce régime —, cela vous permettrait-il d’affirmer avec une plus grande autorité : « Nous avons une directive selon laquelle nous devons agir dans un délai précis »? Nous savons que la réglementation peut prendre beaucoup de temps, et nous ne pouvons pas vous contraindre une fois que ce projet de loi aura été adopté par le Sénat puis la Chambre des communes.
M. Arbour : Merci, monsieur le sénateur, pour cette question. Assurément, dans le secteur des télécommunications, l’architecture est différente, de sorte que nous envisageons plutôt un horizon de 6 à 12 mois. Cela dépendra des décisions du Cabinet, et aussi, dans une certaine mesure, des observations que nous recevrons des intervenants. Si nous recevons beaucoup d’observations inattendues, nous devrons prendre plus de temps pour faire en sorte d’agir comme il se doit.
Nous en sommes assurément saisis. En fin de compte, les décisions sont prises par le Cabinet, mais il y a une reconnaissance de la nécessité d’agir vite. Le premier ministre a d’ailleurs fait part de son insistance à ce sujet, et nous nous préparons à être opérationnels dès la sanction royale, si celle-ci est accordée.
Le sénateur Yussuff : Merci.
La sénatrice Hay : Merci à tous. J’ai été piquée au vif, probablement littéralement par un genre de trouble de stress post-traumatique, par ce qu’ont évoqué les sénateurs McNair et Cardozo à propos des PME et des organismes sans but lucratif. Cela peut être hors sujet, mais j’aimerais vous faire part d’une expérience que j’ai vécue.
Peut-être faudrait-il préciser la définition de « service ou système critique ».
Dans un organisme dont j’étais la PDG auparavant, nous avions été attaqués de manière assez importante par des logiciels malveillants, notamment des rançongiciels, par des acteurs mal intentionnés. Ils étaient dans notre système depuis un bon moment, circulant à travers nos courriels ainsi que dans nos données financières. Heureusement, notre organisation bénéficiait de précieux appuis dans le système bancaire. Nous parlons ici de centaines de milliers de dollars, ce qui est beaucoup pour un petit organisme sans but lucratif, certes, mais nous avons pu retracer les malfaiteurs et faire intervenir la GRC ainsi que d’autres forces policières.
Je dirais que les forces de l’ordre n’ont pas été particulièrement réactives; nous étions de petits joueurs. Pourtant, un organisme qui offre une solution en santé mentale en ligne accessible 24 heures par jour, sept jours sur sept, est un service critique. Il en est de même pour la ligne de prévention du suicide 9-8-8.
Cela peut être complètement hors sujet, mais c’est un exemple concret que nous avons dû gérer, et il nous a fallu des mois pour renforcer notre système et comprendre la situation. Je me demande comment ce projet de loi pourrait aider une PME ou un organisme sans but lucratif dans une situation similaire? Heureusement, cela n’a pas affecté les données relatives aux services que nous offrions.
M. MacSween : Comme le ministre l’a souligné, nous ne pouvons légiférer que dans des domaines relevant de la compétence fédérale, d’où l’accent mis sur les infrastructures essentielles sous réglementation fédérale. Cela dit, il y aura probablement des effets indirects bénéfiques pour les petites et moyennes entreprises. Les parties 1 et 2 reposent évidemment largement sur le réseau canadien de télécommunications, pour faire fonctionner vos propres systèmes et ainsi de suite.
Les pouvoirs conférés par le projet de loi visant à assurer une bonne gestion de ces éléments auront assurément un impact positif indirect sur ces plus petites entités.
Je souligne aussi que, même si ce n’est pas lié à la loi, le Centre canadien pour la cybersécurité publie beaucoup de conseils et d’orientations dont tout le monde peut bénéficier. C’est aussi pourquoi la déclaration obligatoire des incidents est prévue dans ce projet de loi. Si nous sommes informés d’un incident majeur de cybersécurité, le Centre canadien pour la cybersécurité peut recueillir les informations pertinentes, les anonymiser et diffuser des conseils techniques et recommandations — que ce soit à un petit organisme sans but lucratif, un hôpital ou une grande entreprise — sur la manière de gérer l’incident, puis de le corriger.
Comme le dit souvent mon collègue, nous voulons créer un cercle vertueux où un incident sert de moyen de défense pour tous les autres.
La sénatrice Hay : C’est très bien, mais pour le moment, ce n’est pas particulièrement utile. À un moment donné, j’en suis sûre, cela le sera. Je ne veux pas dévaluer vos conseils.
Le fait que cela soit passé par le système bancaire, cela aide‑t‑il un organisme national sans but lucratif, étant donné qu’il relève de ce pilier financier?
M. MacSween : Si cela transitait effectivement par le système bancaire, alors cela devrait aider. Encore une fois, je rappelle que, au fond, ce projet de loi vise à faire en sorte que les exploitants désignés font ce qu’il faut pour protéger ce service ou système critique. Si, grâce à cela, nous pouvons déceler ce genre de menaces, cela aura donc en bout de ligne une incidence...
La sénatrice Hay : Merci. Je pense que c’est un peu hors sujet, mais c’est très utile.
La sénatrice Dasko : Ma question porte sur la technologie. Nous savons à quelle vitesse la technologie évolue. Au Comité permanent de la défense nationale, par exemple, nous connaissons bien les drones et la rapidité avec laquelle la technologie des drones évolue, pratiquement toutes les deux semaines.
En ce qui concerne la technologie dont il est question ici, ce que j’appelle technologie de défense — c’est ma terminologie, pas la vôtre —, la technologie que les entreprises utiliseront, comment cette évolution s’inscrit-elle dans votre cadre réglementaire?
Vous exigez des industries qu’elles adoptent diverses activités et technologies. Leur demandez-vous aussi de suivre l’évolution de la technologie? Cela fait-il partie du cadre que vous mettez en place?
M. MacSween : Merci pour cette question. Oui, cela peut en faire partie. Je vais revenir un peu en arrière, puisque j’en ai déjà parlé.
Si vous lisez le texte de loi en soi, il est plutôt neutre sur le plan technologique. Vous n’y trouverez pas ces précisions. C’est bien sûr délibéré, car, comme vous le soulignez, la technologie évolue et change rapidement. Nous ne voulons pas que cette loi devienne tout de suite obsolète.
En ce qui concerne le type de technologie qu’un exploitant désigné utilisera, cela sera précisé dans son programme de cybersécurité, mais un autre point clé de ce projet de loi est qu’il devra identifier et atténuer les risques dans sa chaîne d’approvisionnement.
S’ils utilisent une certaine technologie présentant des risques de sécurité, les exploitants désignés devront identifier ces risques eux-mêmes et soit expliquer comment ils les atténuent, soit changer de technologie. S’il y avait une préoccupation suffisamment importante vis-à-vis de cette technologie, la loi prévoit évidemment des pouvoirs réglementaires pouvant les contraindre à retirer cette technologie, et ainsi de suite.
Autrement dit, c’est ainsi que nous envisageons de répondre à cette question dans le projet de loi : par l’identification dans les programmes, ainsi que par l’identification et l’atténuation des risques.
La sénatrice Dasko : Vous dites donc qu’il faut changer la technologie, mais indirectement, dans le cadre des responsabilités qui incombent à ceux qui la gèrent.
M. MacSween : Oui. Je précise aussi que les programmes de cybersécurité doivent être actualisés. Ma collègue pourra peut‑être me rappeler comment.
Mme Gibson : C’est sur une base annuelle. J’ajouterais qu’avec le signalement des incidents, nous deviendrons aussi mieux informés par rapport aux menaces, ce qui nous permettra d’affiner ces programmes et d’ajuster nos moyens de défense. Il s’agit véritablement d’un processus itératif continu.
La sénatrice Dasko : Merci.
La présidente : Lors de la deuxième partie, madame Batters et monsieur Yussuff, pourriez-vous présenter vos questions tous les deux? Notre groupe de témoins aura alors l’occasion d’y répondre.
La sénatrice Batters : L’analyse comparative entre les sexes plus du gouvernement pour le projet de loi C-8 est identique, sauf pour trois paragraphes qui figuraient dans l’ancien document du projet de loi C-26 et qui manquent dans le nouveau projet de loi C-8. À leur place, on trouve le mot « caviardé ». Pourtant, dans ce document de deux pages sur l’analyse comparative entre les sexes plus, il n’est question des « femmes et des filles » qu’une seule fois.
Pourquoi le gouvernement a-t-il censuré ces trois paragraphes dans l’analyse comparative entre les sexes plus du projet de loi C-8? C’était un passage rare qui notait expressément des effets négatifs possibles sur un certain groupe de Canadiens. Était-ce pour éviter d’attirer l’attention sur les conséquences défavorables du projet de loi, en espérant que les parlementaires ne le remarqueraient pas et ne verraient pas ce qui avait été caviardé? Pourquoi les femmes et les filles sont-elles traitées de façon presque cavalière dans un document d’analyse comparative entre les sexes plus?
Le sénateur Yussuff : Les deux grandes questions qui se posent pour savoir si ce projet de loi tient la route sont toujours les mêmes. Premièrement, existe-t-il un juste équilibre en matière de vie privée et, deuxièmement, existe-t-il un juste équilibre en matière de droits civils? Le soupçon porte sur l’intrus.
Au vu des modifications apportées à la Chambre et de ce que vous avez entendu à propos du projet de loi C-26, pensez-vous que nous ayons trouvé le juste équilibre dans ce dossier?
Ma dernière question concerne les données de télécommunications qui sont transférées à l’étranger pour être utilisées par d’autres opérateurs sur lesquels nous n’avons aucun contrôle, parce qu’ils sont dans un autre territoire. Comment pouvons-nous les tenir responsables lorsqu’ils transfèrent ces données hors du pays?
M. MacSween : En ce qui concerne la question relative à l’analyse comparative entre les sexes plus, ou ACS+, nous devrons vous revenir, car nous allons devoir examiner les passages manquants. Je n’ai pas cela en tête.
En ce qui concerne la recherche d’un juste équilibre, je pense que nous y sommes parvenus. Bon nombre des modifications apportées réaffirment clairement l’application de la Loi sur la protection des renseignements personnels et établissent de véritables garde-fous autour des pouvoirs réglementaires.
Dans la partie 2, la loi elle-même ne vise pas la collecte de renseignements personnels. Elle porte en réalité soit sur les renseignements confidentiels — dont la définition et les mesures de protection sont précisées dans la loi —, soit sur les renseignements techniques. Il s’agit des renseignements techniques nécessaires pour évaluer un incident de cybersécurité et pour déterminer la réponse technique à apporter. Le risque que cela se concrétise découle de l’obligation faite à l’opérateur désigné de signaler les incidents au Centre canadien pour la cybersécurité.
Nous devons toutefois reconnaître que, même si nous préciserons dans le Règlement le genre d’informations qu’un opérateur désigné devra fournir, lesquelles n’incluraient pas de renseignements personnels, leur inclusion reste toujours possible. Le commissaire au renseignement lui-même a déclaré publiquement que, lors de ses examens, il avait constaté des cas où les informations fournies comprenaient des renseignements personnels identifiables, des RPI; c’est là toute l’importance de trouver ce juste équilibre. Nous nous appuyons sur les mesures de sécurité existantes, soit l’application de la Loi sur la protection des renseignements personnels destinée à protéger les renseignements personnels, ainsi que la mise en œuvre de toutes les mesures de sécurité prévues dans la Loi sur le Centre de la sécurité des télécommunications.
C’est également pour cette raison qu’une notification est envoyée aux organismes chargés de l’examen, afin de les aviser de la production des ordonnances et qu’ils puissent les examiner, etc.
M. Arbour : Je vais simplement aborder la question de l’équilibre, puis celle du transfert de données à l’étranger.
Je partage l’avis de mon collègue selon lequel un équilibre très solide a été trouvé. Je vais toutefois m’écarter quelque peu de cette notion d’équilibre, car, à mon sens, les menaces auxquelles nous sommes confrontés constituent de loin le plus grand risque pour la vie privée des Canadiens. L’attaque par rançongiciel menée par ShinyHunters contre AT&T a permis à des pirates d’accéder aux données personnelles de 105 millions de clients de l’entreprise. Une attaque lancée contre SK Telecom en Corée à l’aide du logiciel malveillant BPFDoor a porté sur les données de 27 millions de clients.
J’estime que les attaques dont il est question ici constituent de loin le plus grand risque pour la vie privée des Canadiens. Cela dit, j’apprécie les questions concernant les garde-fous et la garantie du respect des libertés civiles des Canadiens dans ce contexte. À la suite de ces commentaires, une série de balises a été intégrée au projet de loi C-8. Cela commence dès la phase initiale de définition de la portée de la loi. Il ne s’agit pas ici de sécurité nationale au sens large, ce qui exclut donc les forces de l’ordre et les enquêtes menées. Il s’agit spécifiquement de la protection des infrastructures essentielles.
Je précise que ce pouvoir de prendre des ordonnances ne peut servir à intercepter des communications personnelles ni à contourner le chiffrement. Beaucoup se sont demandé si ce projet de loi pourrait porter sur l’accès légal. Or, ce n’était pas là l’intention visée, et cette précision souligne que l’accès légal fait l’objet d’un projet de loi distinct et ne correspond pas à la portée de cette mesure. Ensuite, en ce qui concerne le cas des données personnelles, si celles-ci devaient nous être transmises accidentellement ou par inadvertance, des considérations et des contrôles supplémentaires s’appliqueraient au-delà de ce qui est prévu pour les données commerciales, cela afin de garantir leur protection.
La présidente : Merci.
La sénatrice Batters : Je tiens à apporter une précision à nos fonctionnaires et leur signaler que j’ai cité intégralement les trois paragraphes manquants dans l’allocution que j’ai prononcée en deuxième lecture à la chambre du Sénat; vous pourrez donc les retrouver.
La présidente : Voilà qui met un terme à cette partie de la séance. Merci d’avoir contribué à ces deux passes de questions. Nous vous en sommes très reconnaissants et vous remercions d’avoir pris le temps de nous rencontrer.
Nous avons maintenant le plaisir d’accueillir l’honorable Simon Noël, conseiller du Roi, commissaire au renseignement, qui est accompagné de Me Justin Dubois, directeur exécutif et avocat général. Nous accueillons aussi Brendan Carley, directeur général, Division des affaires législatives et des relations stratégiques, Bureau du surintendant des institutions financières et, par vidéoconférence, nos amis de la Régie de l’énergie du Canada, Chris Finley, directeur, Direction de la gestion des urgences et de la sécurité et Robert Shepherd, spécialiste technique.
Merci à vous tous de vous joindre à nous. Cette étude est très importante et vous aurez pu constater que nous avons déjà entendu toute une diversité de points de vue aujourd’hui.
Nous commencerons par vos propos liminaires avant de passer aux questions des sénateurs. Je vous rappelle que vous disposez chacun de 5 minutes pour vos remarques.
[Français]
L’honorable Simon Noël, c.r., commissaire au renseignement, Bureau du commissaire au renseignement : Madame la présidente et honorables sénateurs et sénatrices, je vous remercie de l’invitation à comparaître devant le comité. Je suis accompagné aujourd’hui de Me Justin Dubois, directeur exécutif et avocat général au Bureau du commissaire au renseignement.
Comme plusieurs d’entre vous le savent, j’ai comparu devant ce comité pour discuter du projet de loi C-26, la version précédente de ce projet de loi. Je demeure d’avis que le Canada doit disposer des outils nécessaires pour protéger nos systèmes électroniques essentiels, mais que ces outils doivent être accompagnés de mesures de protection appropriées et d’une surveillance indépendante. Le projet de loi C-8 est un outil utile et j’appuie ses objectifs. Cependant, je suis d’avis qu’une surveillance indépendante renforcerait le projet de loi.
[Traduction]
L’une de mes attributions de commissaire au renseignement, ou CR, consiste à approuver les autorisations ministérielles pour les activités de cybersécurité. Ces autorisations accordent au CST, le Centre de la sécurité des télécommunications, la permission d’accéder aux systèmes informatiques d’entités non fédérales désignées comme étant importantes pour le gouvernement fédéral et d’y puiser de l’information. Les systèmes informatiques des gouvernements du Nunavut, des Territoires du Nord-Ouest et du Yukon en sont un exemple dans le domaine public.
Mon approbation est nécessaire parce que, pour que le CST soit efficace dans l’exécution d’activités de cybersécurité sur ces systèmes, il doit inévitablement recueillir de l’information à l’égard de laquelle les Canadiens ont une attente raisonnable en matière de vie privée. Le Parlement a donc estimé qu’une surveillance s’imposait. Avant d’approuver des activités de cybersécurité, je m’assure qu’elles sont raisonnables et proportionnelles, et que le CST dispose de mesures de protection appropriées pour protéger l’information dans laquelle les Canadiens peuvent avoir un intérêt en matière de vie privée.
[Français]
En vertu de ce projet de loi, des règlements préciseront quels renseignements les exploitants désignés devront fournir au Centre de la sécurité des télécommunications, le CST, s’ils sont victimes d’un incident de cybersécurité. Le CST est notre expert en cybersécurité. Il est dans l’intérêt national que le CST ait une compréhension plus complète des cyberincidents afin d’y répondre efficacement. Les renseignements partagés devront être suffisants pour lui donner cette compréhension.
[Traduction]
D’après mon expérience en tant que CR, même si le CST ne s’intéresse qu’aux renseignements techniques, il peut arriver qu’il doive recueillir plus que des renseignements techniques pour comprendre un incident de cybersécurité. Il peut également arriver que les renseignements techniques eux-mêmes touchent aux intérêts des Canadiens en matière de vie privée. En effet, dans ses observations écrites présentées à ce comité, le CST confirme que les données relatives aux cyberincidents peuvent inclure des renseignements comportant un intérêt pour la vie privée de Canadiens.
Par exemple, les adresses IP peuvent être des indicateurs de compromission partagés pour mieux comprendre les incidents de cybersécurité, et la Cour suprême du Canada a confirmé qu’il peut exister des intérêts en matière de vie privée à l’égard des adresses IP.
Il importe également de rappeler qu’en vertu du projet de loi proposé, la déclaration des cyberincidents sera obligatoire.
Par l’intermédiaire du CST, le gouvernement recueillerait ces renseignements.
Je considère qu’il est nécessaire de recueillir des renseignements relatifs aux incidents de cybersécurité. Le CST devrait recevoir les renseignements dont il a besoin pour être efficace. Cependant, je ne suis toujours pas convaincu qu’un règlement garantira que les renseignements communiqués à la suite d’un incident de cybersécurité ne toucheront absolument jamais aux intérêts en matière de vie privée. Si c’est le cas, la question pour ce comité est de savoir si une surveillance supplémentaire est justifiée.
Vous avez entendu la réponse du représentant de la Sécurité publique il y a quelques instants, quand il a évoqué la réglementation à la fin.
[Français]
Je serai heureux de répondre à vos questions.
[Traduction]
La présidente : Merci beaucoup.
[Français]
Brendan Carley, directeur général, Division des affaires législatives et des relations stratégiques, Bureau du surintendant des institutions financières : Bonsoir, madame la présidente et honorables sénatrices et sénateurs. Je vous remercie de votre invitation à comparaître aujourd’hui dans le cadre de votre étude du projet de loi C-8.
[Traduction]
Je suis heureux de vous présenter le point de vue du Bureau du surintendant des institutions financières, le BSIF, qui est l’organisme de réglementation des institutions financières fédérales, dont les banques font partie, qui forment l’un des secteurs des infrastructures essentielles visés par la Loi sur la protection des cybersystèmes essentiels proposée.
Le BSIF considère que le cyberrisque est de nature prudentielle. De façon plus générale, les cybermenaces font partie d’un ensemble croissant de risques liés à l’intégrité et à la sécurité qui peuvent miner la résilience opérationnelle, éroder la confiance du public et, s’ils ne sont pas gérés adéquatement, entraîner des conséquences plus vastes sur la résilience financière.
Ces risques évoluent rapidement. Ils gagnent en complexité, émanent souvent de l’extérieur du système financier et peuvent se propager par l’intermédiaire de tiers fournisseur de services, des chaînes d’approvisionnement et de l’infrastructure numérique interconnectée. C’est d’ailleurs pourquoi le BSIF a resserré sa surveillance à cet égard.
Le cyberrisque et les risques liés à l’intégrité et à la sécurité sont des axes importants dans notre Regard annuel sur le risque, qui est publié sur notre site Web. Nous avons également établi des attentes claires sur le plan de la surveillance, qui sont énoncées dans un certain nombre d’instruments de politique importants.
Il s’agit notamment de la ligne directrice B-13, Gestion du risque lié aux technologies et au cyberrisque, dans laquelle nous exposons nos attentes en matière de gouvernance, de résilience technologique, de préparation face aux cyberrisques et de reprise après un incident. Cela inclut également la ligne directrice B-10, Gestion du risque lié aux tiers, qui porte notamment sur les risques découlant du recours à des fournisseurs de services externes, y compris les dépendances technologiques qui peuvent introduire des vulnérabilités opérationnelles. Par ailleurs, la ligne directrice Intégrité et sécurité du BSIF renforce les attentes entourant la protection des institutions contre une vaste gamme de menaces qui ne cessent d’évoluer.
[Français]
De même, nous exigeons que les cyberincidents de taille soient signalés en temps opportun et nous travaillons en étroite collaboration avec les institutions financières fédérales pour évaluer leur état de préparation, accroître leur résilience et améliorer leurs connaissances sur les menaces émergentes. Nous collaborons aussi activement avec des partenaires fédéraux pour renforcer la conscience situationnelle collective et favoriser une approche coordonnée face aux cyberrisques et autres risques émergents.
[Traduction]
À nos yeux, le projet de loi C-8 serait complémentaire à notre cadre de réglementation et de surveillance. Plus particulièrement, son accent sur les programmes de cybersécurité, le signalement des incidents, l’atténuation des risques liés à la chaîne d’approvisionnement et aux tiers, et la coordination entre organismes de réglementation concorde, dans l’ensemble, à l’orientation que nous avons adoptée dans nos travaux de surveillance et d’élaboration de politiques.
Fait important, le projet de loi C-8 maintient une approche fondée sur le secteur qui tient compte du rôle des organismes de réglementation existants et qui favorise un encadrement fondé sur le risque et proportionnel. Selon nous, cet alignement est important pour réduire les chevauchements inutiles tout en renforçant la résilience dans l’ensemble des secteurs essentiels.
En matière de cybersécurité, on ne peut jamais se reposer sur ses lauriers. La cybersécurité requiert une vigilance constante, une adaptation et une collaboration étroite entre les institutions réglementées, les organismes de réglementation et les partenaires du milieu de la sécurité nationale.
Le BSIF est déterminé à participer aux efforts pour favoriser la résilience financière et la solidité du système financier canadien.
[Français]
Merci. Je serai maintenant heureux de répondre à vos questions.
[Traduction]
La présidente : Merci.
Chris Finley, directeur, Gestion des urgences et sécurité, Régie de l’énergie du Canada : Bonsoir, je m’appelle Chris Finley. Je suis le directeur de la gestion des urgences et de la sûreté à la Régie de l’énergie du Canada, plus simplement la Régie. Je suis accompagné de Robert Shepherd, spécialiste technique de la sûreté.
Je vous remercie d’avoir invité la Régie de l’énergie du Canada à comparaître devant votre comité pour discuter du projet de loi C-8.
Je tiens d’abord à souligner que je me trouve à Calgary, en Alberta, ville située sur des terres visées par le Traité no 7 qui font partie du territoire traditionnel de la Confédération des Pieds-Noirs comprenant les Premières Nations Siksika, Piikani et Kainai. Ce traité concerne aussi les Premières Nations Tsuu T’ina et Stoney Nakoda, regroupant les Premières Nations Chiniki, Bearspaw et Goodstoney. Je tiens également à rendre hommage aux Métis qui se sont établis dans le sud de l’Alberta et y ont élu domicile.
Je commencerai par vous donner un aperçu du mandat de la Régie qui est de réglementer les infrastructures énergétiques pour assurer l’acheminement sécuritaire et efficace de l’énergie au Canada.
La Régie réglemente les pipelines, les lignes de transport d’électricité, le développement des ressources énergétiques et le commerce de l’énergie au nom des Canadiens, afin de protéger le public et l’environnement tout en favorisant l’efficience des marchés énergétiques.
La sécurité est au cœur de notre mandat qui consiste à réglementer pour prévenir toutes sortes de dommages, notamment les menaces à la cybersécurité. La Régie prend au sérieux les menaces à la cybersécurité des infrastructures énergétiques du Canada.
Nous supervisons quelque 71 000 kilomètres d’oléoducs et de gazoducs. Nous réglementons les pipelines transprovinciaux ou qui franchissent la frontière canado-américaine. Les sociétés pipelinières que nous réglementons doivent se doter de mesures proactives pour protéger ces infrastructures essentielles contre les menaces à la cybersécurité.
En vertu du Règlement de la Régie sur les pipelines terrestres, les sociétés réglementées doivent disposer d’un programme de gestion de la sûreté apte à prévoir, prévenir, gérer et atténuer les conditions susceptibles d’avoir une incidence sur les personnes, les biens ou l’environnement. Dans ce programme, les sociétés doivent tenir compte des menaces physiques aux infrastructures et à la cybersécurité, et mettre en œuvre des mesures d’atténuation appropriées en fonction des résultats d’un processus d’évaluation des risques. Ces exigences sont énoncées dans la norme de l’Association canadienne de normalisation Z246.1, laquelle est incorporée par renvoi dans le Règlement sur les pipelines terrestres. Les mesures en matière de cybersécurité doivent tenir compte de la criticité des actifs informatiques, ainsi que des résultats des évaluations périodiques des menaces, des vulnérabilités et du risque global pour la sécurité.
La réglementation de la production, du transport et de la distribution d’électricité relève principalement des provinces et des territoires, mais la Régie réglemente environ 1 500 kilomètres de lignes internationales de transport d’électricité.
La population canadienne s’attend à juste titre à ce que la Régie tienne les sociétés pipelinières et les sociétés exploitant des lignes internationales de transport d’électricité responsables de la réglementation responsable de l’exploitation sécuritaire des infrastructures énergétiques relevant de son ressort.
La Régie est bien placée pour veiller à l’application des obligations prévues dans le projet de loi C-8 qui visent les sociétés qu’elle réglemente, d’autant plus que ces obligations viennent compléter celles déjà prévues dans la Loi sur la Régie canadienne de l’énergie. Par exemple, le projet de loi donne à la Régie la capacité de rendre des ordonnances et de prendre les mesures d’exécution nécessaires pour obliger les sociétés à se conformer, afin d’assurer la protection des cybersystèmes essentiels.
La Régie utilise déjà des outils similaires. Par exemple, elle délivre des avis de non-conformité et des ordonnances d’inspecteur et impose des sanctions administratives pécuniaires, au besoin, pour amener les sociétés à se conformer et assurer l’exploitation sécuritaire de leurs installations.
La Régie vérifie également que les sociétés se conforment aux exigences au moyen d’inspections, d’audits, de réunions sur la conformité et d’exercices d’intervention d’urgence et de sécurité.
Nous travaillons avec des organismes fédéraux, territoriaux, provinciaux et internationaux, ainsi qu’avec l’industrie réglementée, pour nous assurer que des mesures proactives sont prises pour protéger les infrastructures énergétiques de ressort fédéral contre les cyberrisques ou les cyberattaques.
Pour conclure, nous tenons à vous remercier de nous avoir donné l’occasion de vous parler de cet enjeu important et c’est avec plaisir que nous répondrons à vos questions.
La présidente : Merci. Nous allons maintenant passer aux questions. Nos invités resteront parmi nous jusqu’à environ 19 heures. Comme toujours, nous ferons de notre mieux pour permettre à chacun de poser ses questions. Par ailleurs, quatre minutes continueront d’être allouées pour chaque question.
Veuillez formuler vos questions de la manière la plus concise et la plus précise possible. Je vais donner la parole à notre vice‑président pour la première question.
Le sénateur Al Zaibak : Je vous remercie tous d’être ici aujourd’hui.
Monsieur le commissaire Noël, merci pour vos observations liminaires. À la lumière de celles-ci, je me demande si vous comptez sur ce comité pour proposer des amendements visant à améliorer davantage le projet de loi. Si tel est le cas, auriez-vous des recommandations ou des propositions à nous soumettre?
M. Noël : Oui. Merci pour vos aimables commentaires.
L’entité que je représente intervient lorsque, par exemple, un ministre prend la décision d’autoriser le Centre de la sécurité des télécommunications à mener certaines activités dans le but de protéger les Canadiens. Il m’incombe alors de veiller à ce que ces activités n’aient pas d’incidence négative sur les données canadiennes ni sur les informations concernant les Canadiens.
Ma recommandation à ce comité est simple : le ministre de la Sécurité publique devrait accorder chaque année au CST l’autorisation de bien faire son travail dans le cadre de ce projet de loi, s’il est adopté, et cette autorisation énoncerait les mesures à prendre ainsi que les préoccupations qui s’y rapportent. Il m’incomberait alors d’examiner cette décision une fois qu’elle aurait été prise.
Il y aurait donc deux aspects à examiner. Tout d’abord, l’esprit de la loi est-il respecté? Deuxièmement, et surtout, les politiques du CST sont-elles suffisantes pour protéger les données qui seront recueillies? Si de l’information est effectivement recueillie, combien de temps sera-t-elle conservée et dans quel but? Il m’incomberait également de veiller à ce que cette information soit détruite si elle ne s’avère pas utile.
Ce serait comme dans d’autres textes législatifs — par exemple la Loi sur le Centre de la sécurité des télécommunications. Le ministre devrait délivrer une autorisation, qui serait évaluée chaque année par le commissaire au renseignement. Étant donné que cela se ferait une fois par an, ce ne serait pas un fardeau important. Je rendrais ensuite une décision pour expliquer les mesures à prendre ou, dans le cas où une erreur aurait été commise, pour la signaler. Voilà ce que je proposerais.
Le sénateur Al Zaibak : Merci beaucoup.
Envisagez-vous ou proposez-vous également de renforcer la surveillance parlementaire?
M. Noël : Le Comité des parlementaires sur la sécurité nationale et le renseignement prévoit déjà une surveillance assurée par les députés. Ce contrôle existe déjà.
La différence par rapport au rôle du commissaire au renseignement est la suivante : le CPSNR, le comité parlementaire, évalue les faits une fois que les activités ont eu lieu, tandis que j’interviens avant même qu’elles ne commencent. C’est une garantie donnée au public canadien qu’un tiers a évalué la situation et a donné son aval ou a décidé que l’activité devrait être menée différemment.
Le sénateur Al Zaibak : Merci beaucoup.
Le sénateur Cardozo : Tout d’abord, pour poursuivre cette discussion, monsieur Noël, votre rôle consiste à superviser les activités liées à la sécurité nationale et au renseignement qui sont planifiées par le Centre de la sécurité des télécommunications et le SCRS. Ce projet de loi facilite-t-il l’exercice de votre mandat ou a-t-il une incidence sur celui-ci?
M. Noël : Cela ne me touche pas du tout; je ne suis pas impliqué. En comparaison avec les cyberactivités que le Centre canadien pour la cybersécurité est autorisé à mener, elles relèvent d’une décision du ministre de la Défense nationale, que j’ai examinée. Dans ce cas précis, si vous consultez les documents du CST qui ont été déposés — à titre de référence, je me réfère à la page 7, premier paragraphe, du document anglais —, il s’agit uniquement d’un examen qui serait effectué. Mon travail ne fait absolument pas partie de ce processus prévu dans le projet de loi.
Le sénateur Cardozo : D’accord, merci.
Monsieur Carley, je paraphrase, mais vous avez dit en substance que ce projet de loi venait compléter le cadre de sécurité dont vous disposez actuellement. Corrigez-moi si je me trompe. Quelles sont les autres lois qui définissent votre cadre de sécurité?
M. Carley : Merci pour votre question.
Notre organisme a été créé en vertu de la Loi sur le Bureau du surintendant des institutions financières, qui définit le poste de surintendant, le mandat du bureau et nos pouvoirs. Nous assurons également l’application des lois régissant les institutions financières, comme la Loi sur les banques, la Loi sur les sociétés d’assurances et la Loi sur les sociétés de fiducie et de prêt — plusieurs textes législatifs qui relèvent de la compétence du ministre des Finances. En vertu de ce projet de loi, nous serions désignés comme l’un des responsables de la réglementation des exploitants désignés du secteur bancaire.
Le sénateur Cardozo : Existe-t-il d’autres politiques en matière de cybersécurité qui ont une incidence sur votre mandat?
M. Carley : Dans le cadre de notre mandat en matière de risques, qui consiste à évaluer et à contribuer à améliorer l’efficacité prudentielle, la sécurité et l’intégrité des institutions financières fédérales au Canada, nous disposons de larges pouvoirs pour élaborer des lignes directrices en matière de gestion des risques. Nous nous attendons ensuite de nos institutions réglementées qu’elles les respectent. Cela inclut notamment la résilience cybernétique et opérationnelle ainsi que la gestion des risques liés aux tiers, ce qui revient en fin de compte à déterminer comment elles gèrent efficacement les risques liés à leurs activités en tant qu’institutions financières et comment elles préservent la confiance des Canadiens.
Nous nous inspirons de certaines pratiques internationales éprouvées, et le BSIF participe à plusieurs forums de réglementation à l’échelle mondiale, qui nous aident à définir certaines de nos attentes et approches en matière de gestion des risques. Toutefois, nous ne disposons pas de cadres législatifs spécifiques en matière de cybersécurité auxquels nous sommes assujettis.
Le sénateur Cardozo : D’accord, merci.
La sénatrice Batters : Je vous remercie tous infiniment d’être ici. Mes questions s’adressent au commissaire au renseignement, M. Noël.
Si le projet de loi C-8 a été quelque peu amélioré par rapport au projet de loi C-26, principalement grâce aux amendements apportés par la Chambre des communes, il subsiste toutefois une lacune flagrante en matière de surveillance : l’autorisation préalable pour les types de décrets autorisés par la loi. Ce projet de loi n’en prévoit pratiquement aucune. En effet, comme vous l’avez souligné, le projet de loi C-8 laisse totalement de côté le commissaire au renseignement, alors même que votre surveillance est requise dans des contextes similaires de délivrance de décrets.
Sauf erreur, la décision du gouvernement de passer outre au commissaire au renseignement va également à l’encontre d’un récent rapport faisant le point sur les développements en matière de protection des données, dans lequel le Canada présentait précisément votre bureau comme un acteur essentiel de la surveillance, ce qu’il est manifestement, mais il est choquant de constater qu’il n’est pas mis à contribution dans ce cas précis.
Pourriez-vous nous en dire davantage à ce sujet? Vous avez déjà abordé la question avec le sénateur Al Zaibak au début de la séance, mais pourriez-vous nous expliquer un peu plus en détail pourquoi vous estimez que la supervision et l’autorisation préalable sont si essentielles pour cette loi?
M. Noël : Ma position est la suivante : j’examine la décision du ministre ainsi que les mesures qu’il autorise ou permet aux agences de mettre en œuvre.
Je m’occupe de cela depuis quatre ans. Je peux vous dire que, dans le cadre de mes fonctions, il m’est arrivé à deux ou trois reprises de décider que certaines des activités que le ministre souhaitait autoriser ne devaient pas avoir lieu. Pourquoi ai-je agi ainsi? J’avais examiné les pouvoirs qui avaient été définis, sénatrice Batters, et j’étais arrivé à la conclusion que ce que l’organisme souhaitait faire n’était pas conforme à ces pouvoirs. Les activités en question n’ont donc pas eu lieu.
Permettez-moi d’aller un peu plus loin. Qu’est-ce que cela a donné? Ils sont revenus à la charge. Ils ont essayé de s’améliorer, et ils y sont parvenus dans certains cas. C’est encore ce qui se produit cette année. Voilà pour l’aspect de la cybersécurité.
Si je prends l’exemple du SCRS, il ne s’agit pas ici de cybersécurité, mais cela illustre bien mon propos. Le SCRS mène des opérations sur le terrain en s’appuyant sur des sources humaines, et ces dernières reçoivent leurs instructions de leur gestionnaire de sources. Mon rôle consiste à donner suite à la décision du ministre de la Sécurité publique, qui est d’autoriser ces activités, et j’examine s’il existe des catégories d’activités qui peuvent être mises en œuvre. Encore une fois, sénatrice Batters, à deux reprises, j’ai refusé certaines de ces activités. Elles auraient été illégales et contraires à la loi.
Permettez-moi d’aller plus loin. La grande préoccupation de tous les Canadiens concerne nos informations, qu’il s’agisse de nos données, de nos informations bancaires ou de nos dossiers médicaux. Nous protégeons avec rigueur nos informations. Lorsque je dois prendre une décision dans ma sphère d’activité, je fais preuve de prudence, mais ce faisant, j’agis dans l’intérêt de tous les Canadiens. Ceux qui souhaitent accéder aux informations personnelles des Canadiens doivent être justifiés de le faire. Cela oblige le décideur ou l’organisme à se demander sérieusement : « Pouvons-nous faire cela? Agissons‑nous conformément à la loi? »
La sénatrice Batters : Merci.
Le sénateur McNair : Monsieur le commissaire Noël, je vous remercie pour le travail que vous avez accompli au cours des quatre dernières années et pour votre témoignage concernant le projet de loi C-26, puis le projet de loi C-8. Vous avez indiqué dans vos observations que ce que vous proposez n’impose pas un trop grand fardeau et ne s’applique qu’à une fréquence annuelle. Pourriez-vous développer ce point et m’expliquer cela plus en détail? Je croyais que nous parlions de la période antérieure au décret.
M. Noël : Oui, les décisions que j’examine concernent la cybersécurité et sont valables pour une durée d’un an. Les demandeurs doivent revenir un an plus tard et demander au ministre de prolonger cette autorisation. C’est à ce moment-là que j’examine à nouveau ces décisions.
Justin Dubois, directeur exécutif et avocat général, Bureau du commissaire au renseignement : Ce que propose le commissaire au renseignement s’apparenterait à une autorisation annuelle concernant la manière dont le CST traite les informations issues d’un cyberincident. Il ne s’agirait pas d’obtenir une autorisation préalable pour chacun de ces incidents. Il s’agirait plutôt d’un cadre régissant le traitement de cette information, lequel serait ensuite examiné chaque année par le commissaire au renseignement, après avoir été autorisé par le ministre.
Le sénateur McNair : Conformément à la loi en vigueur à ce moment-là ou au projet de loi actuel.
Je suis certain que le commissaire Noël est conscient, tout comme les autres intervenants sans doute, qu’un certain nombre d’amendements ont été apportés au projet de loi au sein du comité de la Chambre des communes, amendements qui, à mon sens, l’ont renforcé. Ils portaient principalement sur les garanties en matière de protection de la vie privée et sur la pertinence d’appliquer la Loi sur la protection des renseignements personnels. Les garanties prévues par la Loi sur le CST continuent de s’appliquer dans tous les cas, et elles encadrent également le pouvoir du ministre et du Cabinet de prendre des décrets.
Nous avons entendu un des représentants du deuxième groupe de témoins déclarer que ce qui l’empêchait de dormir, c’était le manque de pouvoirs pour agir contre les cybermenaces en l’absence de dispositions législatives. Il a également indiqué que les principales menaces pesant sur la vie privée des Canadiens étaient les cyberincidents courants.
Compte tenu des modifications qui ont été apportées, pensez‑vous que le projet de loi comporte un juste équilibre à ce stade? Monsieur Carley, je serais curieux de savoir si vous adopteriez le texte tel quel ou si vous continueriez à travailler à son amélioration.
M. Carley : Merci pour cette question. Pour ce qui est du BSIF, nous assurerons la réglementation de façon responsable conformément à la loi. Nous estimons que ces dispositions législatives présentent des avantages pour l’avenir et nous les soutenons. Cela nous conférera des pouvoirs supplémentaires de dernier recours, comme l’ont mentionné les responsables de la Sécurité publique, notamment en ce qui concerne notre capacité à exiger la déclaration d’information et à infliger des sanctions en cas de non-respect de la loi.
Ce sont des mesures qui vont au-delà de ce que nous faisons déjà et des approches générales que nous adoptons en tant que responsable fédéral de la réglementation des institutions financières. Nous voyons toutefois certains avantages supplémentaires en ce qui concerne les obligations de déclaration auprès du Centre pour la cybersécurité relevant du CST. Nous pensons que la diffusion plus large de l’information provenant de différents secteurs critiques et permettant une meilleure identification des risques, ainsi qu’une meilleure vision du contexte des menaces, aidera les fournisseurs de services essentiels dans différents secteurs à renforcer leur surface d’attaque et à être plus résilients face aux risques. Nous ne pouvons pas contrôler ces risques. Il s’agit de savoir comment se préparer et atténuer les menaces qui pèsent sur les institutions.
Nous soutenons donc cette législation et restons prêts à assumer les responsabilités qui nous incombent en vertu de celle‑ci.
Le sénateur McNair : Merci.
Le sénateur Ince : Ma question s’adresse à M. Noël. Les limites prévues dans le projet de loi C-8 empêchent-elles clairement que l’information recueillie à des fins de cybersécurité soit par la suite utilisée à des fins de renseignement, au-delà de ce que le Parlement a prévu?
M. Noël : Tout dépend de la manière dont le Centre pour la cybersécurité traite cette information. Il dispose de ses propres politiques et d’un calendrier précisant la durée pendant laquelle il peut conserver l’information. Je peux vous assurer que je suis cette question de très près. Ces politiques sont les meilleures possible à l’heure actuelle.
Ce que l’avenir peut nous apprendre, c’est que les cyberattaques évoluent radicalement. Les modes d’opération changent. Ils peuvent permettre de s’emparer d’informations médicales. Ils peuvent permettre de mettre la main sur des données bancaires ou de s’emparer d’une liste d’électeurs d’une province et de décider de l’utiliser à une fin quelconque.
Il m’est difficile de répondre à cette question. Je fais de mon mieux. Les outils sont là, mais ce qui manque vraiment, c’est une deuxième instance qui vérifie si le travail a été fait correctement. Pour être juste, je dois dire que l’Office de surveillance des activités en matière de sécurité nationale et de renseignement intervient a posteriori. Il se peut qu’il remarque quelque chose, mais ce sera un, deux ou trois ans plus tard.
Le sénateur Kutcher : Je remercie sincèrement mes collègues de m’avoir cédé leur temps de parole.
Mes questions s’adressent à M. Finley, puis au commissaire Noël.
Tout d’abord, M. Finley, y a-t-il des aspects de ce projet de loi que vous amélioreriez ou sur lesquels nous devrions nous pencher, selon vous?
Ensuite, monsieur le commissaire Noël, existe-t-il dans d’autres États ou secteurs de compétence des lois que vous considérez pertinentes dans le contexte de ce que vous soulevez? Si oui, de quels secteurs de compétence et de quel type de dispositions législatives s’agit-il?
M. Finley : Merci pour la question. Sous l’égide de la Régie de l’énergie du Canada, nous disposons présentement d’une surveillance assez robuste, grâce à la Loi sur la Régie de l’énergie du Canada, au Règlement sur les pipelines terrestres et à la norme CSA Z246.1. Nous prévoyons que le projet de loi C-8 augmentera et améliorera nos exigences concernant le programme de cybersécurité, les considérations liées à la chaîne d’approvisionnement et, surtout, le signalement des incidents, pour que le Centre pour la cybersécurité soit informé de ce qui se passe dans notre industrie, et pour que nous recevions cette information nous-mêmes, afin de déterminer comment nous la mettrons en œuvre dans le cadre de notre surveillance de la conformité.
À ce stade, il ne manque rien de notre point de vue. Nous jugeons que les mesures sont assez complètes et devraient s’ajouter à ce que nous avons déjà comme responsables de la réglementation.
M. Noël : La fonction de commissaire au renseignement est véritablement un produit canadien, et il est difficile d’imaginer ce que feraient d’autres pays dans de telles circonstances.
Permettez-moi d’ajouter un autre point. Nous avons une Charte au Canada. Rares sont les pays qui en ont une, donc il est difficile de savoir si d’autres pourraient faire la même chose. Cependant, pour ma part, la Charte et les droits qu’elle contient sont toujours en tête de mes préoccupations lorsque je traite des questions au quotidien.
[Français]
La sénatrice Youance : Ma question s’adresse à la Régie de l’énergie du Canada. Si nous pensons à l’exemple de la panne majeure survenue en Espagne, quelle garantie concrète le projet de loi C-8 offre-t-il pour prévenir ou contenir une cyberattaque susceptible de provoquer une panne étendue du réseau électrique au Canada?
[Traduction]
M. Finley : Merci pour votre question. Je vais répondre et laisser la parole à mon collègue.
Il ne fait aucun doute que la réglementation existante sur les lignes internationales de transport d’électricité est complexe.
Les entreprises qui ont des activités au Canada et qui doivent franchir des frontières interprovinciales et internationales respectent généralement les normes strictes de la North American Electric Reliability Corporation. Il existe donc des normes pour les infrastructures essentielles et des normes de protection, et elles sont assez robustes. De plus, en vertu des ordonnances générales de la Régie de l’énergie du Canada, les entreprises que nous réglementons doivent aussi suivre ces normes.
Le recours additionnel à la Loi sur la protection des cybersystèmes essentiels renforcerait certainement cette protection et permettrait une meilleure compréhension du contexte des menaces, ainsi que la collaboration avec les instances fédérales, comme le Centre pour la cybersécurité, le CST, le SCRS et la GRC, dans le cadre de l’examen de notre propre infrastructure et de la façon dont nous appliquons la réglementation.
Monsieur Shepherd, avez-vous quelque chose à ajouter?
Robert Shepherd, spécialiste technique, Régie de l’énergie du Canada : Je n’ai pas grand-chose à ajouter. Je dirai seulement que, comme mon collègue l’a souligné, nous exigeons déjà que les entreprises assujetties à la réglementation disposent de programmes de gestion de la sécurité robustes, permettant d’identifier les actifs, ainsi que les menaces et vulnérabilités qui leur sont associées, et proposant ainsi que déployant des contre‑mesures proportionnées aux risques pour ces actifs.
Cela ne changera pas en vertu de la Loi sur la protection des cybersystèmes essentiels. L’ajout de plans de cybersécurité viendrait compléter ce que nous avons déjà.
L’exigence obligatoire de signalement des incidents prévue par la loi permettra, comme l’ont souligné plusieurs de mes collègues, d’améliorer notre connaissance de la situation concernant les types d’attaques ou de tentatives déployées par les acteurs malveillants et renforcera notre capacité à réagir rapidement, en structurant notre contrôle de conformité des entreprises assujetties à la réglementation, afin de nous assurer que nous sommes proactifs et que ces entreprises atténuent ces menaces du mieux possible.
[Français]
La sénatrice Youance : En ce qui a trait à la compétence requise en matière de cybersécurité pour faire face à tous ces enjeux, y aurait-il un impact disproportionné sur les petits producteurs qui œuvrent à l’échelle nationale, comparativement à de plus grandes entreprises?
[Traduction]
M. Finley : Merci pour cette question. Je dirais que la Régie de l’énergie du Canada possède une solide expérience en matière de réglementation des exploitants, petits ou grands, grâce au Règlement sur les pipelines terrestres et à la norme CSA mentionnée plus tôt. Ces outils peuvent être assez bien adaptés au type d’opérations que nous réglementons.
Il ne fait aucun doute que cette possibilité existe, et grâce à la loi et à la réglementation qui sera élaborée pour l’appuyer, nous prévoyons pouvoir poursuivre une surveillance proactive, souple et axée sur la performance.
Le sénateur Yussuff : Merci aux témoins d’être présents. J’ai quelques questions. Je vais commencer avec M. Carley. Le BSIF fait un travail remarquable, évidemment, en ce qui a trait à la surveillance des banques, mais permettez-moi d’aller un peu plus loin.
Au Québec, la plus grande institution financière n’est pas une banque, mais elle a une portée fédérale et a également des activités à l’extérieur du Québec. Quelle aide pourriez-vous lui apporter? Qui plus est, plusieurs de nos coopératives d’épargne et de crédit ne sont pas aussi grandes que les banques, mais offrent d’excellents services financiers à leurs membres.
Comment les aidez-vous, sachant que la province n’a pas de système robuste pour aider les coopératives d’épargne et de crédit à faire face aux cybermenaces auxquelles elles peuvent être confrontées régulièrement?
M. Carley : Tout d’abord, concernant le Québec, l’institution que vous avez mentionnée possède bien des filiales régies par le fédéral, qui relèvent de la surveillance du BSIF. Le BSIF et plusieurs responsables de la réglementation prudentielle — en fait, toutes les provinces —, font partie d’une association nationale qui facilite l’échange d’informations et de pratiques exemplaires.
En général, lorsque nous dévoilons de nouvelles orientations et attentes en matière de réglementation, nous les partageons avant publication et nous entretenons des dialogues continus avec plusieurs responsables provinciaux de la réglementation sur l’évolution de notre cadre politique. Cela va des normes de liquidité des banques aux risques dits non financiers, c’est-à-dire la cyberrésilience opérationnelle et la gestion du risque à l’égard des tiers.
Par ailleurs, l’organisme de réglementation québécois est aussi représenté à l’international aux côtés du BSIF et d’autres groupes. Je ne sous-estimerais donc pas les ressources ni les capacités de certains responsables de la réglementation.
Le sénateur Yussuff : Monsieur le commissaire Noël, merci encore d’être parmi nous et merci d’avoir insisté pour que vos responsabilités soient non seulement reconnues, mais aussi respectées. Votre bureau n’a pas lieu d’être s’il n’est pas traité avec respect et si ses responsabilités ne sont pas honorées.
Compte tenu de cette énorme responsabilité, je veux revenir sur quelque chose que vous avez dit, pour être sûr de bien comprendre. Vous dites simplement que vous souhaitez avoir la possibilité, pour toute ordonnance que le ministre adresserait au CST, d’en faire l’examen, afin de confirmer qu’elle est conforme à votre responsabilité de surveillance dans ce domaine.
Pouvez-vous m’expliquer simplement quelles sont les lacunes dans la loi et la façon d’y remédier?
M. Noël : Le fait que le commissaire au renseignement ne fasse pas partie du système signifie qu’avant toute décision, il n’y aura pas d’intervention d’un tiers pour examiner la situation et s’assurer que la loi est respectée.
Ensuite, lorsque des renseignements sont recueillis sur des Canadiens, ils le sont en fonction de politiques internes. Les responsables sont laissés à eux-mêmes, et s’il y a intervention, c’est après le fait.
C’est là qu’entrera en jeu l’OSSNR, l’organisme civil de surveillance. Il a été démontré que les 50 décisions rendues par notre bureau ont incité les organismes à être très méticuleux et attentifs concernant les informations touchant les Canadiens, et à veiller à ne pas dépasser les bornes lorsqu’elles gèrent ces renseignements pour, par exemple, résoudre un incident de cybersécurité.
La sénatrice Dasko : Mes questions s’adressent à M. Finley et à M. Carley. Nous parlons de dispositions législatives censées protéger les infrastructures dans ces deux secteurs. J’aimerais vous poser une question sur la prévention.
Cela va-t-il vraiment permettre de prévenir quoi que ce soit? Vous attendez-vous à devoir faire face à une vague continue de cyberattaques à l’avenir? Ces dispositions législatives comportent-elles des mesures préventives ou se limitent-elles à assurer une protection, alors que les cyberattaques se poursuivent sans relâche? J’aimerais avoir votre point de vue sur l’avenir dans le contexte de ces dispositions législatives.
M. Carley : Je vais commencer en mentionnant certaines exigences de la loi, notamment concernant les exploitants qui doivent avoir des stratégies en place pour répondre aux cybermenaces. Je peux parler de l’expérience du BSIF concernant des exigences semblables dans nos lignes directrices, même si celles-ci n’ont pas la même force exécutoire que ce qui sera dans ce texte.
Pour mettre en place une stratégie d’atténuation de risques, les exploitants doivent comprendre ces risques. Ils doivent identifier leurs vulnérabilités, disposer des ressources et de l’expertise nécessaires et mettre en place des mesures d’atténuation.
Ces types d’exigences générales dans la loi peuvent, avec le temps, provoquer des résultats concrets en matière de gestion des risques pour les exploitants. Je ne veux pas que vous partiez du principe que, dans le secteur bancaire du moins, nous n’avons pas déjà ce genre d’attentes. C’est le cas. Toutefois, la portée de ce projet de loi, qui couvre plusieurs secteurs, ainsi que le signalement des incidents et la capacité du Centre pour la cybersécurité à recueillir et à analyser ces informations intersectorielles et à fournir ce renseignement aux exploitants peuvent, à terme, avoir un impact sur la capacité à atténuer et contrer les menaces.
La sénatrice Dasko : Monsieur Finley, souhaitez-vous ajouter quelque chose à ce propos?
M. Finley : Oui, merci pour la question. C’est un peu différent sous la Régie de l’énergie du Canada. Nous avons déjà le Règlement sur les pipelines terrestres, et il y a une obligation légale pour les entreprises de développer un programme de gestion de la sécurité. Des aspects de prévention sont donc déjà là. On vise aussi à anticiper, à prévenir, à gérer et à atténuer les situations pouvant nuire aux personnes, aux biens et à l’environnement.
Avec le projet de loi C-8, nous recevrions des rapports améliorés, soit par rétroaction, soit directement, ce qui nous permettrait d’adopter une approche plus préventive lors de notre surveillance de conformité, ainsi que d’être proactifs.
Si nous savons qu’un incident s’est produit, nous pouvons analyser le secteur et publier des avis de sécurité ou entreprendre des activités de conformité ciblées.
La sénatrice Dasko : Merci.
La présidente : Pour économiser du temps et par souci d’efficacité, passons à la deuxième série de questions, sénateur Cardozo. Je suggère que les trois questions soient consignées dans le compte rendu des délibérations, et je vous invite à nous répondre par écrit.
Je souhaite que ces trois questions figurent dans le compte rendu des délibérations et que vous y répondiez.
La sénatrice Batters : Ma question s’adresse de nouveau au commissaire au renseignement, M. Noël. Lorsque vous avez témoigné devant le comité de la Chambre des communes, il y a six mois, vous avez affirmé que le projet de loi C-8 ne prévoyait toujours pas de protection contre les perquisitions sans mandat. Certains amendements ont été apportés depuis, mais un mandat n’est toujours pas requis en général pour entrer dans un bureau ou tout autre local non résidentiel et y effectuer une perquisition. Je me demande si ce vide — les perquisitions sans mandat — dans le projet de loi C-8 continue de vous préoccuper. Aujourd’hui, vous avez également réitéré votre position selon laquelle l’information technique pourrait porter atteinte aux renseignements personnels des Canadiens. Vous avez également déclaré que vous n’étiez toujours pas convaincu qu’un règlement protégera adéquatement les droits des Canadiens à cet égard.
Cela va à l’encontre de la position exprimée par les représentants du gouvernement concernant les informations techniques. J’aimerais que vous nous en disiez davantage à ce sujet et que vous nous expliquiez comment, selon vous, ces lacunes dans le projet de loi C-8 pourraient être corrigées, s’il y a lieu.
Le sénateur McNair : J’allais justement donner à M. Finley l’occasion d’indiquer si son organisme soutient le projet de loi tel quel, dans sa version modifiée. Deux points ressortent de vos commentaires : premièrement, selon M. Shepherd, l’obligation de signalement améliorera la connaissance de la situation; et, deuxièmement, l’infraction commise par une partie deviendra un moyen de défense pour une autre partie, car il sera connu qu’elle a eu lieu.
C’est précisément ce qui fait défaut actuellement. C’est l’une des préoccupations soulevées par l’un des responsables tout à l’heure.
La présidente : Cela nous amène à la dernière partie de notre séance de ce soir. Merci, commissaire Noël, monsieur Carley, monsieur Finley et monsieur Shepherd. Nous apprécions grandement votre contribution et, sincèrement, votre franchise ce soir à l’égard de ce projet de loi.
Dans le dernier groupe de témoins de la soirée, nous sommes très heureux d’accueillir Michael Powell, vice-président, Relations gouvernementales, chez Électricité Canada; Todd Warnell, directeur de la sécurité de l’information et de la résilience de l’entreprise, chez Bruce Power; et Eric Smith, vice‑président principal de l’Association canadienne des télécommunications. Merci de vous joindre à nous aujourd’hui.
Nous allons commencer par vos observations liminaires, qui seront suivies des questions des sénateurs et sénatrices. Je vous rappelle que vous disposez chacun de cinq minutes pour vos observations liminaires.
Michael Powell, vice-président, Relations gouvernementales, Électricité Canada : Bonsoir, et merci, madame la présidente.
Je m’appelle Mike Powell et je suis vice-président, Relations gouvernementales, chez Électricité Canada. Je dirige nos activités en matière de sécurité et je suis également, entre autres, responsable d’équipe au sein du comité du conseil d’administration chargé de la sécurité énergétique.
Électricité Canada est la voix nationale du secteur de l’électricité. Nos membres produisent, transmettent et distribuent de l’énergie électrique à travers le Canada, au service des ménages et des entreprises dans toutes les provinces et tous les territoires.
Les infrastructures essentielles, comme l’électricité, sont constamment ciblées par des auteurs de cybermenaces. C’est ce que souligne l’Évaluation des cybermenaces nationales, qui met régulièrement en évidence les risques pesant sur notre secteur, qu’il s’agisse de ceux liés aux cybercriminels à la recherche d’un gain financier par rançongiciel ou à des acteurs étatiques hostiles visant à se positionner dans nos systèmes dans le but de potentiellement perturber la prestation des services.
Les compagnies d’électricité comprennent ces menaces et l’importance de protéger leurs actifs contre elles. La fiabilité du secteur de l’électricité est cruciale pour la sécurité des Canadiens, et des services essentiels en dépendent. C’est pourquoi la fiabilité, la résilience et la sécurité ont toujours été les grandes priorités de notre secteur. Notre rôle est de faire en sorte que les Canadiens ne subissent pas de pannes, et cela inclut la protection du réseau contre les menaces physiques et les cybermenaces.
Notre secteur dispose de programmes de cybersécurité robustes et bien développés. Nous sommes régis — comme cela a été mentionné précisément — par les normes de protection des infrastructures essentielles de la North American Electric Reliability Corporation, ou NERC CIP, qui sont adoptées par les provinces et appliquées par l’entremise de nos membres. Ces normes font en sorte que des mesures solides et complètes sont prises pour sécuriser le réseau.
Nous collaborons régulièrement avec nos partenaires gouvernementaux, notamment Sécurité publique Canada, Ressources naturelles Canada et le Centre canadien pour la cybersécurité, avec qui nous partageons des informations, et nos membres participent déjà à des programmes comme Lighthouse, de la Société indépendante d’exploitation du réseau d’électricité de l’Ontario, qui offre un aperçu quasi en temps réel des cybermenaces pouvant affecter le système.
Nous partageons entre nous des informations qui permettent la mise en commun des pratiques exemplaires et des leçons apprises. Chez Électricité Canada, nous facilitons ces discussions et travaillons en étroite collaboration avec d’autres intervenants, comme je l’ai indiqué, pour renforcer notre résilience collective. La résilience se construit en travaillant ensemble.
Le projet de loi C-8 fait partie du débat public depuis un certain temps. Nous reconnaissons la nécessité de ces dispositions législatives, mais avons deux préoccupations clés quant à leur mise en œuvre et à ses conséquences imprévues potentielles.
Premièrement, il y a un risque de chevauchement de la réglementation. Comme il a été mentionné, nous sommes régis par les normes NERC CIP. L’adoption de nouvelles exigences fédérales potentiellement conflictuelles pourrait créer une ambiguïté, accroître le fardeau de conformité et entraîner un désalignement réglementaire, ce qui compromettrait l’objectif du projet de loi d’améliorer la sécurité. À la Chambre des communes, la loi a été modifiée pour régler ce problème. Cela renforce la cohérence avec les dispositions des programmes de réglementation et de normalisation, fait en sorte que la réglementation s’aligne sur les cadres existants et permet à des programmes équivalents d’être reconnus pour la conformité au titre de la loi. Nous exhortons ce comité à conserver ces amendements.
Notre seconde préoccupation porte sur le risque pesant sur les partenariats entre les exploitants d’infrastructures essentielles et le Centre pour la cybersécurité, qui relève du Centre de la sécurité des télécommunications. Aujourd’hui, notre secteur bénéficie d’une forte relation de partenariat collaboratif avec le Centre pour la cybersécurité, qui est fondée sur la garantie que les informations partagées ne seront pas divulguées aux organismes de réglementation, aux autorités chargées de l’application de la loi ou à des ministères du gouvernement. Le projet de loi C-8 pourrait obliger le CST à partager les rapports d’incidents avec les responsables de la réglementation, à leur fournir des conseils ou des services concernant la conformité des exploitants et l’atténuation des risques liés à la chaîne d’approvisionnement, ainsi qu’à autoriser le personnel du CST à communiquer des renseignements à d’autres entités gouvernementales pour émettre des directives en cybersécurité. Ces nouveaux rôles et responsabilités risquent de créer un effet dissuasif, puisque les exploitants pourraient hésiter à partager des informations avec le Centre pour la cybersécurité si celles-ci étaient susceptibles d’être utilisées ultérieurement à des fins d’application de la réglementation.
Pour protéger ces partenariats, nous recommandons que le projet de loi C-8 définisse plus précisément les limites de l’échange d’information entre le CST et le reste de l’administration publique et protège les renseignements fournis de manière volontaire contre toute divulgation. Si cette précision ne peut être obtenue par amendement législatif, nous invitons instamment le gouvernement à régler ces préoccupations par des politiques claires et transparentes.
Le rythme des changements, tant dans le paysage des menaces que dans le secteur de l’électricité, n’a jamais été aussi rapide. Les nouvelles tendances, notamment l’emploi de l’intelligence artificielle pour identifier et exploiter des vulnérabilités en cybersécurité, accentuent la nécessité de programmes robustes de cybersécurité et d’investissements soutenus. Alors que nous renforçons la résilience du Canada face aux cybermenaces, nous devons veiller à ce que les nouvelles mesures améliorent la sécurité et n’entraînent pas de chevauchement ni de conséquences non souhaitées pour les partenariats en matière de sécurité.
Merci de votre temps. Je suis prêt à répondre à vos questions.
La présidente : Merci, M. Powell.
M. Warnell, vous avez la parole. Je vous en prie.
Todd Warnell, directeur de la sécurité de l’information et de la résilience de l’entreprise, Bruce Power : Merci, madame la présidente, et merci aux membres de ce comité.
Bruce Power est le seul producteur privé d’énergie nucléaire au Canada. Depuis 2001, Bruce Power fournit environ un tiers de l’électricité de l’Ontario et produit des isotopes médicaux utilisés partout dans le monde pour lutter contre le cancer et stériliser le matériel médical.
Je vous remercie de m’avoir invité à comparaître devant ce comité dans le cadre de l’étude du projet de loi C-8. Comme lors de mes témoignages précédents devant des comités de la Chambre des communes et du Sénat, mes observations d’aujourd’hui vont essentiellement confirmer ce que j’ai déjà exposé, mais avec une mise à jour importante. Le contexte des risques a évolué plus rapidement que ce que nous avions prévu dans nos hypothèses initiales.
Le projet de loi C-8, notamment sa partie 2, qui édicte la Loi sur la protection des cybersystèmes essentiels, concerne essentiellement la résilience. Elle vise à garantir que les systèmes dont dépendent quotidiennement les Canadiens continuent de fonctionner de manière sûre et fiable face à un paysage de cybermenaces qui s’étend et qui est de plus en plus sophistiqué. En fait, le monde d’aujourd’hui est plus imprévisible et remis en question qu’il ne l’était il y a tout juste un an.
Nous évoluons dans une période de tensions géopolitiques accrues, où les cyberactivités ne sont pas isolées, mais s’inscrivent dans une concurrence stratégique plus large. Les agences de renseignement du Canada et de ses alliés ont été explicites : des acteurs étatiques et des organisations criminelles s’implantent activement dans les réseaux d’infrastructures essentielles. Ces risques ne sont pas abstraits. Ils sont le fruit de préparatifs réels et délibérés pour causer des perturbations, exercer des pressions ou entraîner une escalade lors de crises potentielles ou de conflits plus étendus.
Dans ce contexte, le fait de tarder à agir comporte ses propres risques. Le projet de loi C-8 est une première étape nécessaire pour établir une base nationale de cybersécurité dans l’ensemble des secteurs d’infrastructures essentielles du Canada, tout en respectant la réglementation en place. Il importe de souligner que la loi n’impose pas de contrôles techniques détaillés. Elle établit plutôt un cadre habilitant qui favorise une réglementation fondée sur les risques et axée sur les résultats, qui est adaptée aux réalités diversifiées des différents secteurs. À mon avis, cette approche représente non pas une faiblesse, mais une force.
Dans un contexte de menaces qui évolue plus rapidement que la législation ne pourrait jamais le faire, cette souplesse est une caractéristique qui permet aux gouvernements, aux responsables de la réglementation et aux exploitants de réagir rapidement à l’évolution de la situation, d’intégrer de nouveaux renseignements sur les menaces et d’adapter les attentes, sans avoir à rouvrir la loi chaque fois que le contexte change. En cybersécurité, la rigidité est une vulnérabilité.
Dans le secteur nucléaire canadien, nous avons démontré que ce modèle fonctionne. Grâce à une collaboration soutenue entre l’industrie, les responsables de la réglementation et le gouvernement, le Canada a bâti un régime mature de cybersécurité fondé sur la performance, qui continue d’évoluer en parallèle avec les menaces. Le projet de loi C-8 offre un mécanisme pour étendre ce modèle de responsabilité partagée à d’autres secteurs essentiels.
Les avantages d’aller de l’avant sont clairs. Cela renforce la sécurité nationale et la sécurité publique en protégeant les services essentiels contre des adversaires toujours plus compétents. Cela encourage une gestion proactive des risques, faisant passer la démarche des organisations d’une attitude réactive à une amélioration continue. Cela permet au gouvernement d’agir de manière décisive dans des contextes à haut risque ou urgents, ce qui aide à prévenir ou limiter les impacts en cascade. Le Canada peut ainsi demeurer aligné avec ses alliés, qui sont nombreux à moderniser rapidement leurs cadres de résilience des infrastructures essentielles. Enfin, cela protège la sécurité économique en réduisant la probabilité de défaillances perturbatrices dans les systèmes interconnectés.
J’aimerais conclure en disant que le projet de loi C-8 n’est pas une fin en soi; c’est une base. Toutefois, dans un monde marqué par une volatilité et une incertitude accrues, il est urgent d’établir cette base. Le contexte des menaces a évolué plus rapidement que notre cadre politique, et ces dispositions législatives sont une étape essentielle pour combler l’écart entre les deux.
Merci de m’avoir donné l’occasion de m’exprimer devant ce comité. Je suis prêt à répondre à vos questions.
La présidente : Merci, M. Warnell.
Eric Smith, vice-président principal, Association canadienne des télécommunications : Bonsoir. L’Association canadienne des télécommunications s’engage à bâtir un avenir meilleur pour les Canadiens, grâce à la connectivité. Nos membres comprennent des fournisseurs de services, des fabricants et d’autres organisations qui investissent dans les réseaux de télécommunications de classe mondiale du Canada, les construisent, les entretiennent et les exploitent.
Je vous remercie de me donner l’occasion de m’adresser à vous aujourd’hui pour discuter du projet de loi C-8. La sécurité du système de télécommunications du Canada est d’une importance capitale. Les réseaux de télécommunications constituent des infrastructures essentielles qui soutiennent l’économie, la sécurité nationale et la sécurité publique du Canada. Ils permettent la prestation de services essentiels, soutiennent les opérations gouvernementales et relient les Canadiens entre eux, ainsi qu’aux soins de santé, à l’éducation et aux services d’urgence.
Nos membres prennent cette responsabilité au sérieux. Ils investissent des ressources importantes pour protéger leurs réseaux contre les cybermenaces et collaborent activement à des entités comme le Comité consultatif canadien pour la sécurité des télécommunications, qui facilite l’échange d’information entre les secteurs privé et public, ainsi que la collaboration stratégique sur les enjeux actuels et émergents susceptibles d’affecter les systèmes de télécommunications, y compris les cybermenaces.
Nous saluons l’objectif du gouvernement de renforcer le cadre de cybersécurité du Canada et reconnaissons l’importance de disposer des bons outils pour faire face à l’évolution des menaces. Nous accueillons également favorablement les améliorations substantielles apportées au projet de loi C-8 au cours du processus législatif.
Il est également essentiel que le gouvernement reconnaisse que, en vertu du projet de loi C-8, les fournisseurs de services de télécommunications seront responsables de la mise en œuvre de décrets gouvernementaux qui peuvent avoir des répercussions opérationnelles et financières importantes. Il sera crucial d’en tenir compte pour assurer l’efficacité de ces dispositions législatives.
Dans cette optique, j’aimerais souligner deux domaines où nous pensons que des ajustements ciblés renforceraient le projet de loi.
Premièrement, en ce qui concerne l’indemnisation ou le recouvrement des coûts, le projet de loi C-8 précise que nul n’a droit à une indemnité pour les pertes financières résultant du respect des décrets gouvernementaux. Il est important de reconnaître les répercussions concrètes de cette approche. Les décrets émis dans ce cadre pourraient exiger que les fournisseurs déploient rapidement de nouveaux systèmes, reconfigurent des réseaux, remplacent du matériel ou prennent d’autres mesures entraînant des coûts importants et imprévus. Il ne s’agit pas de dépenses opérationnelles courantes. Il peut s’agir de coûts substantiels, immédiats et non budgétisés, qui sont engagés dans l’intérêt public plus large, en soutien aux objectifs de sécurité nationale.
Le fait de ne pas tenir compte de l’impact de ces coûts extraordinaires aura des conséquences réelles, non seulement pour le secteur, mais pour tous les Canadiens. De tels coûts imprévus importants peuvent restreindre les investissements dans l’expansion des réseaux, limiter l’innovation et réduire la capacité des fournisseurs à améliorer la qualité des services fournis aux Canadiens. L’incertitude quant à la possibilité de récupérer ces coûts peut également compliquer les décisions internes et retarder la mise en œuvre rapide des décrets gouvernementaux.
Bien que cela concerne l’ensemble du secteur, l’impact est particulièrement aigu pour les petits et moyens fournisseurs régionaux, qui ont des activités à plus petite échelle avec des marges plus étroites. Pour ces fournisseurs, le fardeau financier de la conformité peut s’avérer particulièrement lourd et, dans certains cas, menacer leur capacité à poursuivre leurs activités, entraînant des répercussions plus larges sur la concurrence, la résilience et la disponibilité des services.
C’est pourquoi nous recommandons que la loi confirme explicitement que le gouverneur en conseil et le ministre disposent du pouvoir discrétionnaire d’accorder une indemnisation destinée à couvrir tout ou partie des frais engagés pour se conformer à un décret, et qu’ils précisent clairement, lors de la promulgation d’un décret, si les parties concernées auront droit à une indemnisation.
Ce concept n’est pas nouveau. Des approches similaires existent dans d’autres lois canadiennes. Par exemple, le projet de loi C-22 comprend des dispositions qui autorisent explicitement le ministre à accorder une indemnisation discrétionnaire aux fournisseurs de services électroniques tenus de mettre en place des capacités permettant l’accès légal.
Au niveau international, des principes similaires sont appliqués. Aux États-Unis, par exemple, le gouvernement a reconnu que certaines mesures de sécurité nationale, telles que le retrait et le remplacement d’équipements réseau à haut risque, peuvent imposer un fardeau financier important aux fournisseurs de services de télécommunications. Pour y remédier, des programmes de financement ont été mis en place afin d’indemniser les transporteurs admissibles pour ces coûts. Il est important de noter que ces programmes ont été soutenus par des mécanismes de financement innovants, notamment l’utilisation des recettes issues des enchères du spectre pour financer les initiatives de remboursement.
Ces approches reflètent une réalité concrète. Lorsque les pouvoirs publics exigent des acteurs du secteur privé qu’ils prennent des mesures exceptionnelles dans l’intérêt de la sécurité nationale, il convient de mettre en place un mécanisme clair et transparent permettant d’envisager une indemnisation.
Notre deuxième point concerne la protection en matière de responsabilité.
Selon le libellé actuel, les fournisseurs de services de télécommunications pourraient engager leur responsabilité civile, réglementaire ou contractuelle pour des mesures prises de bonne foi afin de se conformer à des ordres émanant du gouvernement. Cela pourrait se produire lorsque la conformité a une incidence sur les niveaux de service, les obligations contractuelles ou d’autres exigences réglementaires.
Cela engendre un risque précisément au moment où une action décisive pourrait s’avérer nécessaire. Nous recommandons donc l’inclusion d’une disposition d’exonération visant à protéger les fournisseurs et leur personnel contre toute responsabilité lorsqu’ils agissent de bonne foi et conformément à des ordonnances légales. Cela reflète un principe juridique fondamental selon lequel les parties ne devraient pas être tenues responsables de mesures prises pour se conformer à une obligation légale.
Pour conclure, nous partageons l’engagement du gouvernement à renforcer la cybersécurité du Canada et à protéger les infrastructures essentielles. Grâce à des ajustements ciblés, notamment en matière de recouvrement des frais et de responsabilité, le projet de loi C-8 peut offrir un cadre qui soutient à la fois les objectifs de sécurité nationale et la poursuite des investissements dans des réseaux de télécommunications sûrs et résilients.
Merci.
La présidente : Merci. Nous allons maintenant passer aux questions.
Chers collègues, ce groupe de témoins sera avec nous jusqu’à 20 heures environ. Comme d’habitude, nous disposerons chacun de quatre minutes. C’est notre vice-président, le sénateur Al Zaibak, qui va poser la première question.
Le sénateur Al Zaibak : Merci à tous d’être ici.
Nous avons recueilli toute une gamme de réactions de la part des acteurs du secteur et des parties prenantes issues de divers domaines. Ma question s’adresse à M. Smith.
Les réseaux de télécommunications constituent sans aucun doute un pilier fondamental pour tous les autres secteurs. Vous avez soulevé deux préoccupations et formulé deux suggestions visant à améliorer le projet de loi. Je me demande si vous avez fait part de ces préoccupations à la Chambre des communes. Si tel est le cas, quel accueil vos suggestions ont-elles reçu?
M. Smith : Oui, certainement.
Pour ce qui est de préciser au moins dans la loi que le ministre et le gouverneur en conseil ont le pouvoir discrétionnaire d’accorder ou d’envisager une indemnisation ou un recouvrement des coûts, vous avez sans doute entendu la ministre Joly dire devant le comité de la Chambre des communes que le gouvernement considère cela comme un coût d’exploitation. Dans une certaine mesure, c’est exact. Nos membres, dans le cadre de leurs activités, prennent la cybersécurité très au sérieux. Cela fait partie de leur budgétisation et de leur gestion des risques, et ils y consacrent beaucoup d’argent.
Toutefois, ce projet de loi confère au gouvernement une marge de manœuvre très large pour imposer des ordonnances aux fournisseurs de services de télécommunications, y compris des mesures exceptionnelles. J’ai parlé des ordres de retrait d’équipements à haut risque. Nous savons que cette option est envisagée. Nous savons que le secteur coopère déjà avec le gouvernement à cet égard, mais il s’agit là de sommes considérables. Les coûts s’élèveraient probablement à plus de 1 milliard de dollars.
Si l’on prend l’exemple des États-Unis, ils ont mis en place des fonds d’environ 3 ou 4 milliards de dollars, ce qui reste insuffisant, pour indemniser les transporteurs admissibles qui prennent ces mesures. Vous avez entendu aujourd’hui M. Arbour, d’ISDE. Je crois qu’il a parlé d’une « série de mesures » qu’ils sont très impatients de mettre en œuvre dans notre secteur, notamment des mesures visant à rendre les réseaux plus résilients face aux conditions météorologiques violentes. Eh bien, si l’on regarde ce qui se passe ailleurs dans le monde et la façon dont d’autres pays abordent ces questions, comme l’Australie par exemple, on constate qu’ils ont mis en place un certain nombre de programmes pour renforcer la résilience. Dans ce cadre, ils ont débloqué des fonds pour aider le secteur à renforcer ses réseaux.
Si l’on prend l’exemple du Royaume-Uni, les autorités envisageaient d’exiger une alimentation de secours pour les stations de base de téléphonie mobile. Leur examen préliminaire a révélé que le fait d’exiger que chaque station de base dispose d’une heure d’alimentation de secours coûterait près de 2 milliards de dollars canadiens, sans compter que, pour assurer cette alimentation de secours, il faut faire appel aux autres maillons de la chaîne d’approvisionnement — par exemple, l’approvisionnement en carburant nécessaire pour alimenter les génératrices.
Tout ce que nous voulons dire, c’est que le projet de loi C-22 nous fournit un exemple où le gouvernement a reconnu que l’indemnisation et le recouvrement des coûts jouent un rôle important lorsqu’il s’agit d’imposer des obligations aux fournisseurs de services de télécommunications. Or, dans le cas présent, on nous dit qu’il s’agit simplement du coût de l’activité, ce qui a de graves répercussions. Il est important de veiller à en tenir compte.
Le sénateur Al Zaibak : Merci.
Le sénateur Cardozo : J’ai des questions à poser à M. Smith et à M. Powell, mais je tiens tout d’abord à vous dire, Monsieur Warnell, que je suis le dossier des isotopes depuis un certain temps déjà. Je vous en félicite. Il se trouve également que je suis, depuis peu, le coprésident du groupe parlementaire sur le cancer au Sénat. Je copréside ce groupe avec quelques députés. C’est un sujet que nous suivons de très près, et nous comptons sur vous pour produire ces isotopes, comme vous le faites pour le Canada, et que vous exportez également.
Monsieur Powell, si je peux me permettre de paraphraser, vous avez dit que vous souhaitiez vous assurer que les informations que vous fournissez au CST ne soient pas divulguées à des tiers. J’aimerais que vous nous en disiez un peu plus sur le type d’informations dont vous parlez. Lorsque vous dites que, s’il ne s’agit pas d’un amendement, vous souhaiteriez voir mettre en place une politique, cela signifie-t-il une réglementation?
Monsieur Smith, en ce qui concerne l’indemnisation pour les ajustements, j’ai posé la question tout à l’heure au sujet des petites et moyennes entreprises et des organismes à but non lucratif, mais je crois que vous faites référence aux grandes entreprises. J’aimerais que vous répondiez à ceci : on pourrait dire que ces mesures ne sont pas seulement des directives du gouvernement, mais qu’elles sont essentielles à votre entreprise. Si tel est le cas, pourquoi ne feriez-vous pas ces investissements dans votre entreprise?
M. Powell : Pour être clair, je pense que ce qui nous préoccupe, c’est l’échange volontaire de renseignements fournis au Centre pour la cybersécurité et à d’autres entités.
L’objectif de cette loi est d’encourager l’échange d’informations entre l’industrie et le gouvernement, et je dirais que cela se produit déjà. Comme je l’ai dit, nos membres participent à un programme appelé Lighthouse, qui est directement relié au Centre pour la cybersécurité. Lorsque nous tenons nos réunions sur la sécurité à Ottawa, celles-ci ont souvent lieu dans les locaux du Centre canadien pour la cybersécurité. Il y a un échange régulier d’informations entre les deux parties. Ce qui nous préoccupe actuellement, c’est l’ajout de mesures réglementaires pouvant donner lieu à des sanctions, ce qui pourrait créer un climat de réticence décourageant l’échange volontaire de renseignements.
Nous suggérons que l’échange volontaire de renseignements, qui est déjà une réalité, soit protégé afin de garantir qu’il reste dans ce cadre. C’est déjà la norme aux États-Unis. J’ai évoqué la North American Electric Reliability Corporation, ou NERC. Celle-ci dispose d’un organisme d’échange de renseignements appelé Electricity Information Sharing and Analysis Center, ou E-ISAC, et les renseignements qui lui sont communiqués sont conservés séparément de ceux de l’autorité de réglementation. Je pense que c’est ce dont nous voulons nous assurer.
L’objectif de cette loi devrait être de renforcer la sécurité de notre système et d’améliorer la sûreté. Je crains que le fait de créer un risque que les informations soient partagées avec moins de franchise en raison de préoccupations juridiques ne constitue un obstacle. Nous préférerions que cela figure dans la loi. Nous avons formulé des suggestions à la Chambre des communes. Toutefois, en fin de compte, si cela se faisait par voie réglementaire ou par le biais d’autres mesures, ce serait une autre solution.
Le sénateur Cardozo : D’accord. Merci.
M. Smith : Pour répondre à votre question, bien sûr, cela fait partie des coûts d’exploitation. Comme je l’ai dit, des millions de dollars sont dépensés chaque année à cette fin. Mais nous devons également tenir compte des situations où des décrets exceptionnels sont pris, par exemple pour prendre des mesures qui ne relèvent pas du cours normal des affaires. Nous avons déjà vu certains décrets concernant des fournisseurs à haut risque dans certains pays, qui vont être appliquées au Canada.
Cela n’a pas toujours été le cas. Lorsque ce matériel a été acheté pour la première fois, ces fournisseurs n’étaient pas considérés comme présentant un risque élevé. Nous assistons évidemment en ce moment à de nombreux changements dans notre environnement géopolitique. Le gouvernement pourrait, à l’avenir, décider de ne plus faire confiance à des pays qui étaient auparavant considérés comme fiables, ni aux entreprises de ces pays qui étaient des fournisseurs de confiance. Alors qu’il nous semblait tout à fait normal de dépenser des milliards de dollars pour acheter leur équipement d’une durée de vie de 20 ans, le gouvernement pourrait désormais exiger que nous le retirions et le remplacions par un autre matériel.
C’est de ce genre de choses dont nous parlons. Nous devons également garder à l’esprit que notre secteur évolue dans un environnement particulier où cette législation ne fait pas figure d’exception. D’autres textes législatifs ont été adoptés ou pourraient l’être à l’avenir, ce qui ne fera qu’alourdir les coûts d’exploitation. Parallèlement, nous nous efforçons de limiter les coûts pour les consommateurs.
La sénatrice Batters : Ma première question s’adresse à M. Powell, d’Électricité Canada. Vous avez déjà brièvement abordé ce sujet, mais je voudrais vous laisser davantage de temps pour en parler.
Lors du témoignage de votre collègue devant la Chambre des communes, une préoccupation importante a été soulevée : en raison des articles 15 à 19, les exploitants pourraient hésiter à fournir des informations au Centre canadien pour la cybersécurité s’ils craignent que celles-ci ne soient ensuite transmises aux organismes de réglementation et utilisées à des fins de vérification de la conformité.
Pourriez-vous nous donner un exemple concret des conséquences que cela pourrait avoir en pratique? Selon vous, comment faudrait-il modifier le projet de loi pour éviter cet effet dissuasif et préserver l’échange de renseignements avec le Centre pour la cybersécurité?
Je sais que dans votre introduction, vous avez également indiqué que si cela ne pouvait pas se faire par la voie législative — ce qui, bien sûr, est possible, et notre rôle ici est justement d’améliorer les lois —, cela pourrait se faire par le biais de politiques. Mais compte tenu de ce dont nous parlons ici, cela n’aurait manifestement pas la force d’action que vous recherchez.
M. Powell : Je vais procéder à rebours. Nous avons transmis à la Chambre des communes des propositions de formulation législative, que je me ferai un plaisir de vous faire parvenir par la suite.
La sénatrice Batters : Merci. Oui, s’il vous plaît.
M. Powell : L’accent est mis sur l’échange volontaire de renseignements. Nous parlons de ce que les gens pourraient voir dans leurs systèmes et de ce qui pourrait susciter des préoccupations.
Je suis sûr que nous connaissons tous cette situation dans d’autres domaines. Dès qu’une disposition réglementaire implique un risque, cela modifie la manière dont les renseignements sont échangés avec les autres parties.
À l’heure actuelle, nous entretenons une relation très collaborative et ouverte, dans laquelle certaines personnes ont une adresse courriel « .gc.ca » et d’autres une adresse « nosmembres.ca », mais nous travaillons tous au sein de la même équipe, car l’objectif est le même.
Le risque lié au respect de la réglementation — lorsqu’il y a des sanctions à la clé — fait que, si les modalités de l’échange de renseignements fournis à titre volontaire ne sont pas clairement définies, cela crée un risque supplémentaire quant à la manière dont ces renseignements peuvent être fournis à l’heure actuelle.
À l’heure actuelle — du moins dans le secteur de l’électricité —, les membres sont en mesure de partager des informations avec leurs partenaires au sein du gouvernement, du Centre canadien pour la cybersécurité et d’autres organismes, et ils le font effectivement. Nous ne voudrions tout simplement pas créer une situation où, par inadvertance, en cherchant à encourager l’échange de renseignements, on finirait par y faire obstacle.
Encore une fois, si l’on prend l’exemple de nos homologues aux États-Unis — enfin, c’est aux États-Unis, mais il s’agit d’une entité nord-américaine, le E-ISAC de la NERC. Lorsque vous vous rendez dans leurs locaux, il faut utiliser différents codes d’accès pour accéder aux différentes zones. Les personnes qui s’occupent de l’échange de renseignements ne sont pas les mêmes que celles chargées de la réglementation.
Je ne pense pas qu’il soit nécessaire d’aller aussi loin, mais il faut simplement être clair et précis, et inscrire dans la loi que, lorsque nous réfléchissons à la protection du réseau, nous nous concentrons sur cet aspect et non sur les risques potentiels liés à des questions juridiques ailleurs.
La sénatrice Batters : Merci. Monsieur Smith, de l’Association canadienne des télécommunications, je me souviens que, lors des débats sur le projet de loi C-26, le gouvernement insistait sur le fait qu’il apporterait son aide aux petites et moyennes entreprises, notamment sur le plan financier, si je ne me trompe pas. Nous essayions de lui faire préciser exactement de quoi il parlait. Mais voici un exemple, comme vous l’avez mentionné, où le refus explicite d’accorder une compensation ou un recouvrement des coûts pourrait avoir des conséquences majeures pour les petits fournisseurs et les fournisseurs régionaux de votre association.
Pourriez-vous nous en dire un peu plus à ce sujet et nous indiquer quels types de petits fournisseurs et de fournisseurs régionaux pourraient être concernés si cette situation ne change pas?
M. Smith : Tout dépend de la nature du décret et de ses répercussions. Si l’on prend l’exemple des États-Unis et de leur programme de « remplacement total » concernant certains équipements d’origine chinoise, des délais ont été fixés, et certains petits fournisseurs ont déclaré qu’ils devaient cesser de fournir leurs services; or, dans certains cas, ils sont les seuls fournisseurs dans la collectivité.
Je ne pense pas que nous en arriverons nécessairement là au Canada, en ce qui concerne les inquiétudes initiales liées à l’utilisation d’équipements chinois ici, mais nous ne savons pas ce que l’avenir nous réserve.
Il est important de garder à l’esprit l’impact non seulement de cette loi-ci, mais aussi de toutes celles que vous examinez. Dans la mesure où les lois alourdissent les coûts d’exploitation, tous les transporteurs n’ont d’autre choix que de réduire leurs coûts ailleurs. Nous avons constaté que certains des plus grands transporteurs ont réduit leurs investissements en capital de plusieurs milliards de dollars, en partie en raison de la pression réglementaire, ou qu’ils refilent ces coûts aux consommateurs.
Notre secteur apporte chaque année entre 2 et 2,5 milliards de dollars aux caisses du gouvernement canadien, et ce, de différentes manières. Nous avons versé au gouvernement environ 30 milliards de dollars au titre des droits de mise aux enchères du spectre. Tout ce que nous disons, c’est qu’une partie de cet argent pourrait servir à atténuer l’impact sur les consommateurs canadiens. Il s’agit d’une priorité nationale.
La sénatrice Batters : Merci.
Le sénateur McNair : Monsieur Powell, vous avez formulé deux remarques. La première portait sur le risque de chevauchement ou de double emploi en matière de réglementation. Si j’ai bien compris, l’amendement adopté par l’autre chambre résout ce problème. Vous proposiez donc de maintenir la disposition en vigueur à cet égard.
M. Powell : Oui, c’est bien cela.
Le sénateur McNair : Monsieur Smith, je voudrais aborder le fait que pour prendre un décret, le ministre ou le Cabinet doivent désormais tenir compte des répercussions financières pour les fournisseurs de services de télécommunications concernés.
Cela ne vous rassure-t-il pas quelque peu quant aux préoccupations que vous soulevez?
M. Smith : Cela me rassure davantage que si cette disposition n’existait pas, mais elle les oblige simplement à examiner la question. Elle n’envisage certainement pas nécessairement de contribuer au financement de certaines de ces mesures, en particulier pour les dépenses exceptionnelles. Elle stipule simplement qu’il faut examiner la question.
Nous avons entendu le ministre dire que cela faisait simplement partie des coûts d’exploitation. Je ne sais pas comment ces éléments s’équilibrent, mais nous avons entendu le ministre de l’Industrie affirmer que non, il s’agit bien des coûts inhérents à l’activité. Aucune forme de financement n’est envisagée.
Le sénateur McNair : Monsieur Warnell, lorsque vous avez témoigné devant nous au sujet du projet de loi C-26, vous aviez alors clairement indiqué qu’il s’agissait d’une question urgente et que nous devions adopter cette loi. Ce soir, vous avez souligné que tout nouveau retard constituait un risque supplémentaire et que la loi elle-même offrait un cadre habilitant à la fois souple et adaptable, ce qui est une bonne chose.
Puis-je considérer que votre position reste inchangée, à savoir qu’il faudrait adopter la loi le plus rapidement possible?
M. Warnell : Oui. C’est exact, monsieur le sénateur. Le caractère général de cette loi lui permet de s’adapter à un environnement de menaces en constante évolution, comme nous pouvons tous le constater à travers les différents titres de l’actualité et les répercussions sur les entreprises et les pays au cours des dernières années.
Je tiens à rappeler que c’est sur des bases solides que nous devons nous appuyer pour aller de l’avant. Si l’on examine d’autres pays, comme le Royaume-Uni avec son projet de loi sur la cybersécurité et la résilience, ou l’Australie avec sa loi sur la sécurité des infrastructures critiques et les capacités qui en découlent, on constate qu’ils vont bien au-delà de ce que prévoit le projet de loi C-8. Cela nous permettra au moins de disposer d’une base de départ, mais, pour être franc, il nous reste encore du travail à accomplir dans ce domaine.
Le sénateur McNair : Je comprends. Merci.
[Français]
La sénatrice Youance : Ma question s’adresse à M. Powell. Vous avez soulevé certaines préoccupations ayant trait au chevauchement du projet de loi C-8 avec les normes CIP du NERC. Pouvez-vous préciser les principaux chevauchements ou doublons entre le projet de loi C-8 et ces normes, notamment en matière de gestion des risques, de signalement des incidents et d’audit?
Sans harmonisation explicite avec le projet de loi C-8, pensez‑vous que ce nouveau projet de loi aura tendance à affaiblir plutôt qu’à renforcer la résilience des réseaux électriques en dispersant les efforts de conformité?
[Traduction]
M. Powell : Notre crainte était — et je pense que les amendements contribuent à y remédier — de voir se mettre en place une réglementation secondaire et parallèle en matière de cybersécurité. Il s’agit d’un projet de loi de grande envergure, comme l’a souligné mon collègue de Bruce Power, mais ceux d’entre nous qui évoluons dans le secteur de l’électricité avons déjà bien avancé dans notre démarche de cybersécurité. Nous sommes en première ligne. Cela fait longtemps que nous sommes sur la défensive. Ce n’est pas sans raison qu’il existe une norme nord-américaine en matière de cybersécurité pour les fournisseurs d’infrastructures critiques dans le secteur de l’électricité.
Ce que nous avons constaté — et cela ressortait lors du témoignage de la Régie de l’énergie du Canada ou REC avec le groupe de témoins précédent —, c’est que la NERC a établi une norme nord-américaine à l’intention des acteurs du système électrique à grande échelle, c’est-à-dire des acteurs qui produisent et transportent l’électricité au niveau du système, et non pas tant au niveau de votre domicile. Cette norme prévoit déjà certaines mesures de protection, des règles et des plans. Elle impose déjà des obligations de déclaration. Nous constatons donc que ce projet de loi crée un parallèle potentiel.
Notre souhait — et je pense que l’amendement adopté à la Chambre des communes va dans ce sens — est que l’on reconnaisse que l’adhésion aux normes CIP de la NERC satisfait aux obligations que cela pourrait impliquer. Bien entendu, nous devrions également rendre compte à l’organisme de réglementation de l’énergie, mais je constate que c’est là où nous en sommes.
Je pense qu’il convient de noter que des initiatives sont également en cours au niveau provincial, notamment en Ontario, où l’on étudie la mise en place d’un système de signalement par l’intermédiaire de Lighthouse et de la Société indépendante d’exploitation du réseau d’électricité ou SIERE.
Le sénateur Kutcher : J’ai deux questions. La première s’adresse à M. Warnell, et je vais la poser tout de suite. Ensuite, j’en ai une pour M. Smith. Vous pouvez réfléchir à votre réponse pendant que M. Warnell me répond.
Monsieur Warnell, vous avez indiqué que la menace évolue plus rapidement que prévu, ce que d’autres témoins ont également souligné. Y a-t-il des éléments que vous ajouteriez à ce projet de loi afin de le renforcer face à cette menace, sans pour autant retarder son adoption?
Monsieur Smith, je viens de demander à l’intelligence artificielle quelles étaient les marges bénéficiaires nettes pour ce type d’industrie au Canada. Ce n’est pas moi qui le dis; c’est simplement l’intelligence artificielle qui me le dit, donc je ne sais pas si c’est vrai ou non, mais bon, voilà.
La marge bénéficiaire nette moyenne dans le secteur des télécommunications est de 12,5 %. Dans le secteur bancaire, elle est de 30 %; on pourrait donc se dire qu’il vaudrait peut-être mieux se lancer tous dans la banque. Dans l’alimentation et le commerce de détail, elle est de 2,4 %. Dans le camionnage de gros, elle est de 6,4 %.
Votre secteur se porte en réalité plutôt bien par rapport à la plupart des secteurs d’activité canadiens. Envisagez-vous de solliciter une aide publique totale ou partielle? Pourriez-vous nous présenter — si ce n’est pas aujourd’hui, alors plus tard — les arguments financiers afin que nous puissions avoir une idée concrète des chiffres?
M. Warnell : Merci pour votre question, sénateur Kutcher.
Je recommanderais à ce comité de s’inspirer de la législation australienne, qui constitue un bon exemple. Nous discutons aujourd’hui de la loi sur la protection des systèmes cybercritiques, mais la cybersécurité ne s’inscrit pas dans le vide.
Si l’on envisage cela comme une approche globale et intégrée de la sûreté, cela englobe les risques en matière de sûreté du personnel, les risques en matière de sûreté physique et, surtout, une vision plus large de la résilience dans le cadre de ce projet de loi, que ce soit dans sa version actuelle ou dans ses versions ultérieures. Telle serait ma recommandation aux comités du Sénat et de la Chambre des communes alors que nous évoluons dans un paysage de cybermenaces en rapide évolution, provenant d’États-nations et de gangs cybercriminels mondiaux, ainsi que, pour être franc, de l’intelligence artificielle à la portée de tout un chacun. Les menaces liées aux cyberactes sont beaucoup plus importantes qu’elles ne l’ont jamais été.
M. Smith : Je vous en dirai plus par écrit. Je tiens tout d’abord à vous rappeler ceci : ne faites pas confiance à l’intelligence artificielle. Elle n’a pas toujours raison.
Le sénateur Kutcher : Je savais que vous diriez cela.
M. Smith : Il y a toutefois quelques chiffres à garder à l’esprit. J’ai mentionné que ce secteur rapportait au gouvernement fédéral entre 2 et 2,5 milliards de dollars. Cela équivaut à la moitié du bénéfice net du secteur lui‑même, pour donner un ordre de grandeur.
De plus, si l’on examine la situation de nombreux exploitants, on constate que nos plus grands exploitants exercent leurs activités dans différents secteurs. Si l’on se concentre uniquement sur le secteur des services de télécommunications, on constate que les revenus stagnent : il n’y a actuellement aucune croissance. Cela s’explique en partie par les changements démographiques, mais aussi par la concurrence, qui a notamment entraîné une baisse de 50 % des tarifs de la téléphonie mobile depuis 2020.
Lorsque les coûts liés à la réglementation augmentent et que la croissance est au point mort, il faut agir, ce qui se traduit généralement par des réductions de coûts. Nous envisageons donc, dans des circonstances exceptionnelles, que le gouvernement examine — comme il le fait en soutenant financièrement d’autres secteurs pour divers projets — les moyens de contribuer à la réalisation de ces priorités.
Le sénateur Kutcher : Je ne vais pas lire ce que l’intelligence artificielle dit à propos de votre croissance. Merci de votre prudence. Cela nous sera très utile pour mieux comprendre de quels chiffres vous parlez.
Le sénateur Yussuff : Merci à vous, mesdames et messieurs les témoins, d’être ici. Monsieur Warnell, je commencerai par vous. Je tiens à vous féliciter pour l’action remarquable menée par Bruce Power en général au service de la province, ainsi que pour le traitement vital que vous avez mis au point, qui a été une véritable bénédiction pour de très nombreuses familles confrontées au cancer et qui en ont besoin, et enfin pour le marché de l’offre auquel vous participez.
Monsieur Powell, il y a une chose que je ne comprends pas très bien. Le signalement volontaire vise à comprendre ce qui se passe et comment nous pouvons rendre le système plus résilient. Je sais que vos membres le font, et cela présente évidemment un intérêt. Cela aide le secteur, mais cela contribue aussi, en général, à déterminer comment nous pourrions empêcher que la cybersécurité ne porte préjudice à une partie de l’économie de ce pays.
Il se peut que, de temps à autre, certaines de ces mesures s’avèrent nécessaires, mais nous devons également améliorer le cadre réglementaire afin de garantir sa cohérence dans toutes les régions et zones géographiques du pays. Pourquoi seriez-vous contre cela? Je ne comprends pas.
M. Powell : Nous ne sommes pas opposés à l’obligation de signalement. L’objectif est de protéger les informations qui sont communiquées en dehors du cadre réglementaire.
Le sénateur Yussuff : Vous êtes le seul témoin qui se soit présenté ici à ne pas reconnaître que l’échange volontaire de renseignements est une bonne chose, alors que cela peut permettre d’améliorer le système.
M. Powell : Ce que nous espérons, c’est que ces informations, lorsqu’elles sont communiquées à titre volontaire et confidentiel — par exemple au Centre canadien pour la cybersécurité —, continuent d’être traitées sur cette base volontaire et confidentielle.
C’est ainsi que cela fonctionne au sein de l’organisme le plus comparable. Nous avons brièvement évoqué les normes CIP de la NERC. Le témoin de la Régie de l’énergie du Canada, qui s’est exprimé tout à l’heure, a expliqué qu’ils exigeaient des participants réglementés par la REC dans le domaine des lignes internationales qu’ils se conforment à ces normes. Ils disposent d’un système d’échange de renseignements dans lequel, là encore, lorsque les informations sont fournies volontairement, elles sont protégées contre toute divulgation aux organismes de réglementation. C’est vraiment ce sur quoi nous nous concentrons, et non pas sur les éléments qui répondraient aux exigences de la loi ou d’une future réglementation en matière de déclaration ou d’échange de renseignements obligatoires. Il s’agit davantage de savoir que vous pouvez maintenir cette libre circulation de l’information sur une base volontaire sans vous inquiéter ou avoir de préoccupations juridiques quant au fait que cela pourrait accroître le risque futur lié à l’échange de renseignements. Vos informations vous appartiennent.
Le sénateur Yussuff : Ce que je veux dire, c’est que l’échange volontaire de renseignements sur la cybersécurité est essentiel pour améliorer le système en général.
M. Powell : Oui.
Le sénateur Yussuff : En tant que législateurs et organismes de réglementation, nous disposons d’un pouvoir accru pour protéger la nation. Comment trouver le juste équilibre lorsque nous constatons parfois une faille? Si le système présente des vulnérabilités, nous voulons nous assurer de pouvoir prendre toutes les mesures nécessaires pour contribuer à le protéger. C’est dans votre propre intérêt, mais c’est aussi dans celui des consommateurs et des Canadiens en général, que nous servons.
M. Powell : Je dirais que nos membres ont toujours fait preuve d’une grande ouverture en matière d’échange de renseignements au sein du secteur. Ils participent à des systèmes d’échange de renseignements par l’intermédiaire d’Électricité Canada et de nos organisations partenaires, mais aussi avec des organismes tels que Lighthouse et l’E-ISAC de la NERC, ainsi qu’avec le Centre canadien pour la cybersécurité.
La question est la suivante : comment pouvons-nous nous assurer de continuer à offrir une incitation à l’échange de renseignements de notre côté? Rien n’empêche le gouvernement de communiquer avec nous.
Lorsqu’il y a des exigences en matière de rapports, cela ne pose aucun problème. Il s’agit simplement, en dehors du contexte d’urgence, de veiller à ce que le dialogue puisse se poursuivre.
Le sénateur Yussuff : Merci.
La sénatrice Dasko : Ma question s’adresse à M. Warnell. Vous êtes le seul représentant d’une entreprise présent ici aujourd’hui. Vous vous êtes exprimé favorablement au sujet de ce projet de loi. À quoi ressemblera Bruce Power une fois ce projet de loi mis en œuvre? Y aura-t-il des changements? Si oui, lesquels? De quelle manière?
M. Warnell : Merci pour votre question, sénatrice Dasko. En toute franchise, l’industrie nucléaire canadienne fait l’objet d’une réglementation en matière de cybersécurité — officiellement, en tant que domaine distinct — depuis 2014. Nous ne prévoyons pas de changement significatif avant ou après l’adoption du projet de loi.
Notre secteur accorde déjà la priorité à la sécurité dans tous les domaines, et nous considérons que la cybersécurité est indissociable de la sécurité et de la fiabilité de nos opérations. Pour être franc, nous ne prévoyons pas de changement significatif dans notre approche, notre raisonnement ou nos actions.
Nous sommes sans doute également ici pour souligner qu’il est important d’aller de l’avant avec ce projet de loi, car nous sommes conscients que nous ne sommes pas une île isolée. Nous évoluons au sein d’un système de systèmes. Nous sommes étroitement liés aux organismes de distribution d’électricité.
Nous adhérons aux normes CIP de la NERC en collaboration avec nos partenaires du secteur énergétique au sens large. Nous œuvrons à la maturation des organisations de ce secteur par le biais d’initiatives telles que le Comité consultatif technique sur la sécurité énergétique ou E-STAC. Je dirais que nos capacités déjà bien établies peuvent également servir à faire progresser l’ensemble du secteur.
La résilience globale du Canada, ainsi que celle du secteur énergétique dans son ensemble, peut être renforcée, car nous traversons une période de plus en plus difficile et périlleuse, dans un contexte extrêmement imprévisible.
La sénatrice Dasko : Donc, l’organisme de réglementation n’aura rien à vous imposer?
M. Warnell : Il en aura certainement la possibilité. L’organisme de réglementation actuel est la Commission canadienne de sûreté nucléaire. Il est tout à fait possible qu’elle se voie attribuer de nouveaux pouvoirs, mais nous avons déjà les exigences relatives aux programmes de cybersécurité. Nous faisons régulièrement l’objet d’audits menés par l’organisme de réglementation ainsi que par d’autres partenaires. Nous participons à des initiatives internationales d’échange de renseignements avec d’autres exploitants nucléaires et d’autres partenaires du secteur des infrastructures essentielles afin de viser l’excellence dans nos opérations, car l’excellence en matière de cybersécurité est synonyme d’opérations sûres et fiables.
Pour en venir au fait, je ne vois pas — ou nous ne prévoyons pas — de différence majeure. Cependant, encore une fois, l’une des particularités de notre approche dans le domaine nucléaire réside dans le fait que nous travaillons en collaboration avec l’industrie, les exploitants et l’organisme de réglementation, par l’intermédiaire de l’Association canadienne de normalisation — tout comme la Régie de l’énergie du Canada — afin d’élaborer conjointement les normes auxquelles nous sommes tenus de nous conformer.
Il s’agit de la norme CSA N290.7, qui porte sur la cybersécurité des installations nucléaires. Nous appliquons déjà cette norme; nous le faisons depuis plus de 10 ans. Nous nous attendons à ce que ces cadres nous permettent de continuer à améliorer sans cesse l’excellence de nos pratiques.
La sénatrice Dasko : D’accord, merci. J’ai une autre question à vous poser.
Vous avez évoqué les acteurs malveillants; plus précisément, vous avez mentionné les organisations criminelles et les acteurs étatiques.
J’ai posé une question au ministre au début. Il s’est montré un peu réticent à s’étendre sur le sujet. Pouvez-vous m’en dire davantage sur ces menaces? De quelles organisations criminelles s’agit-il? Où se trouvent-elles? D’où viennent-elles? Et qu’en est-il des acteurs étatiques? Y a-t-il des acteurs étatiques qui tentent réellement de commettre des crimes contre des installations nucléaires au Canada?
M. Warnell : Je vais parler de ce qui est déjà du domaine public.
La sénatrice Dasko : Oui, bien sûr.
M. Warnell : Je sais que le ministre a déclaré plus tôt qu’ils pouvaient aller plus loin dans un contexte plus confidentiel.
Ces deux ou trois dernières années en particulier, des informations ont été rendues publiques concernant des acteurs malveillants connus, notamment la Chine, la Russie et d’autres pays à travers le monde, dont on sait qu’ils ont réalisé un déploiement actif dans des secteurs d’infrastructures critiques, tels que l’énergie et les télécommunications, et dont il a été démontré qu’ils l’ont fait.
Vous avez peut-être entendu parler de groupes tels que « Volt Typhoon » ou « Salt Typhoon ». Ce genre de noms désignant des acteurs malveillants est généralement associé à des acteurs étatiques chinois dont l’intention explicite est de s’infiltrer dans ces réseaux afin de provoquer des perturbations ou des retards, si nécessaire.
Cela ne signifie pas que la situation a atteint un tel niveau d’impact, mais cette possibilité existe bel et bien. Encore une fois, il s’agit d’un travail qui, il y a de nombreuses années, n’aurait certainement pas été porté à l’attention du public. Mais compte tenu de l’urgence et de l’ampleur des enjeux, nos partenaires du renseignement au Canada, ainsi que nos alliés du Groupe des cinq et d’autres pays à travers le monde, ont manifestement réussi à mettre fin à cette situation, à déclassifier ces informations et à les intégrer dans le débat public.
C’est une réalité. Ce n’est plus une hypothèse. Nous ne sommes pas simplement des professionnels de la sûreté paranoïaques. Cela se produit bel et bien, et nous devons continuer à renforcer nos capacités respectives afin de développer notre résilience.
La sénatrice Dasko : Les organisations criminelles recherchent-elles de l’argent, des informations ou...
M. Warnell : Tout ce qui précède.
La présidente : Merci, Monsieur Warnell. Nous comprenons cela.
Le sénateur Al Zaibak : J’ai, en fait, deux questions à poser à M. Powell et à M. Warnell.
Selon vous, quelles sont les vulnérabilités cybernétiques les plus pressantes du réseau énergétique canadien, notamment dans le contexte des tensions géopolitiques?
Dans quelle mesure vos systèmes sont-ils prêts à se défendre contre les cyberattaques basées sur l’IA, telles que la perturbation automatisée des systèmes de contrôle? Monsieur Powell?
M. Powell : Pour faire suite à ce qu’a dit M. Warnell, il existe des menaces identifiées dont nous avons pris connaissance par l’intermédiaire du Centre canadien pour la cybersécurité dans le cadre des évaluations nationales des menaces cybernétiques. Il s’agit d’acteurs étatiques tels que la Chine et la Russie, et l’Iran figure également sur cette liste. À cela s’ajoutent les menaces émanant d’organisations criminelles, qui peuvent ou non être affiliées à des États. Tout cela est de notoriété publique.
Le sénateur Al Zaibak : Excusez-moi, juste une petite précision : je veux savoir quelles sont les vulnérabilités, et non pas qui sont les acteurs malveillants.
M. Powell : Cela tient en partie au fait que l’on ignore ce que l’on ignore. Nous disposons d’un système de plus en plus interconnecté, qui tend à être plus intégré et qui est en veille technologique.
En tant que responsable d’association, on ne me fournit pas de liste des menaces spécifiques auxquelles nous pourrions être confrontés, mais je pense sincèrement qu’il s’agit d’un domaine où les défis sont permanents, tant sur le plan opérationnel que sur le plan TI. C’est un sujet qui exige une vigilance constante.
Personne ne sait d’où viendra la prochaine menace. Ces dernières semaines, nous avons assisté à des discussions concernant des outils d’IA, tels que Mythos, qui pourraient changer la donne et révéler des vulnérabilités de type « jour zéro » bien plus tôt que nous ne l’aurions imaginé. Cela exige un niveau de vigilance sans précédent et accélère l’intensification des risques auxquels nous sommes confrontés. Comme l’a dit M. Warnell, le monde devient de plus en plus dangereux à un rythme effréné, et nous devons suivre le mouvement.
M. Warnell : Sénateur Al Zaibak, je ne suis pas sûr que ce soit l’endroit approprié pour évoquer les failles existantes, étant donné qu’il s’agit d’un forum public. Nous pourrons en discuter plus en détail ultérieurement.
Vous pouvez toutefois vous pencher sur des événements qui se sont déjà produits et qui ont retenu l’attention du grand public. Prenez, par exemple, la perturbation du pipeline Colonial aux États-Unis, il y a quelques années. Cela n’avait rien à voir avec une atteinte effective à ses systèmes opérationnels chargés de l’acheminement du pétrole et du gaz. Il s’agissait d’une attaque par rançongiciel qui a paralysé les systèmes d’entreprise et, par excès de prudence, l’exploitant a fermé ses pipelines, ce qui a ensuite eu des répercussions sur des millions d’Américaines et d’Américains de la côte Est qui se sont retrouvés privés d’énergie. De tels incidents se sont produits, et il s’agit là, je dirais, d’attaques relativement rudimentaires.
Si l’on élargit cette réflexion pour envisager toutes les possibilités, il existe des opportunités significatives qui nous permettront de renforcer notre résilience collective. Et ce projet de loi peut commencer à jeter les bases nécessaires pour réellement favoriser une amélioration intégrée de la résilience.
Le sénateur Al Zaibak : Merci beaucoup.
La présidente : Merci beaucoup. Cela conclut notre réunion et nos questions de ce soir, mais je tiens à remercier M. Powell, M. Warnell et M. Smith d’avoir pris le temps de nous rencontrer aujourd’hui. Vos témoignages nous sont précieux alors que nous examinons ce projet de loi. Je tiens également à souligner que vous représentez tous les trois des groupes très importants d’employées, et c’est là une manière tout à fait appropriée de clore cette soirée; nous vous sommes donc reconnaissants de ces témoignages pertinents.
Avant de conclure, j’aimerais céder la parole au sénateur Kutcher.
Le sénateur Kutcher : Merci beaucoup, Madame la présidente, et je suis conscient que nous sommes toujours en séance publique.
Je tiens toutefois à souligner, au nom de notre comité — et nous en avons tous déjà parlé entre nous, à titre personnel —, l’excellent travail accompli par le sénateur Yussuff en tant que président de ce comité tout au long de son mandat. Lorsqu’il a pris ses fonctions, il a déclaré qu’il ne resterait pas à ce poste toute sa vie. Je lui ai répondu que c’était sans doute vrai, mais qu’il comptait le faire pour une courte période.
Je pense que nous sommes tous d’accord pour dire qu’il nous a guidés avec équité, raison, respect et le sens des responsabilités. Il a été secondé par les membres du comité directeur — il m’a fait part de tout le travail accompli par ce comité — ainsi que par Ericka Paajanen, notre greffière, qui est une héroïne méconnue, mais qui en est bel et bien une. Je tiens simplement à ce que le document mentionne que les membres du comité reconnaissent et apprécient la contribution du sénateur Yussuff au bon fonctionnement de ce groupe. Merci, sénateur Yussuff.
Des voix : Bravo!
Le sénateur Yussuff : Je ne vais pas m’étendre sur le sujet, mais je tiens simplement à vous remercier, monsieur Kutcher, pour vos aimables paroles. Si j’avais su que mon départ de ce comité susciterait un tel applaudissement, je l’aurais fait plus tôt.
Je tiens à remercier rapidement ma formidable équipe pour son aide : Ceanray Harris-Read, qui a été présente tout au long du projet, et Joel Bowen, qui nous a aidés de temps à autre. Je tiens également à remercier Mme Paajanen. Elle m’a souvent fait rire et m’a rappelé à quel point les membres de notre comité pouvaient être loufoques, même si nous ne le leur avons pas dit. Je plaisante.
Je tiens à remercier Anne-Marie Therrien-Tremblay et Ariel Shapiro pour leurs précieux conseils en tant qu’analystes au sein du comité. Je tiens également à remercier l’équipe technique d’avoir assuré le bon déroulement des réunions. De même, je tiens à remercier les membres du comité directeur ainsi que l’ensemble de ce comité. Rares sont les comités avec lesquels j’ai travaillé où nous n’avons jamais connu de tensions au sein du comité directeur. Je peux l’affirmer sans l’ombre d’un doute. Même si nous avons parfois des désaccords, nous parvenons toujours à une conclusion qui sert l’intérêt supérieur du travail que nous accomplissons ici.
Je remercie le sénateur Carignan pour son amitié et sa gentillesse. Je tiens à remercier le sénateur Cardozo pour son amitié et sa gentillesse, ainsi que notre vice-président, le sénateur Al Zaibak, pour son travail. J’ai beaucoup appris en occupant le poste de président, mais j’ai également beaucoup appris en siégeant ici. Même si je ne suis plus au poste de président, je continuerai à siéger ici et à participer. Comme pour tout ce que nous faisons dans ce merveilleux endroit qu’est le Sénat, nous devons parfois faire de la place aux autres. Je suis heureux d’avoir cédé la place à mes collègues, et j’en suis ravi. Les gens me demandent pourquoi je pars. Je pars parce que je pense avoir fait mon travail et qu’il est temps de donner à d’autres la chance de réussir. Je souhaite à ma collègue beaucoup de succès dans ses nouvelles responsabilités. Nous ferons tous de notre mieux pour vous soutenir.
La présidente : Merci beaucoup, et merci aux témoins de s’être joints à nous pour cette partie de notre réunion.
Messieurs les sénateurs Kutcher et Yussuff, merci. Cela conclut notre réunion d’aujourd’hui. Notre prochaine réunion aura lieu le lundi 25 mai, à l’heure habituelle, soit 16 heures. Nous poursuivrons l’examen du projet de loi C-8.
Sur ce, je vous souhaite une très bonne soirée. Merci.
(La séance est levée.)