Projet de loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois

Propose que le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois, soit lu pour la troisième fois.

 — Honorables sénateurs, je prends la parole aujourd’hui à l’étape de la troisième lecture du projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Je tiens tout d’abord à remercier mes collègues du Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants pour leur examen approfondi du projet de loi.

Chers collègues, tous les aspects de notre vie quotidienne dépendent des infrastructures numériques, de notre façon de communiquer avec nos proches et de chauffer notre maison jusqu’à notre manière d’accéder aux soins de santé et de gérer nos finances. L’espace numérique n’est plus seulement un outil de commodité : c’est un élément fondamental de notre société moderne, de l’économie et de la sécurité nationale. Bien que cette interconnexion offre d’immenses possibilités, elle nous expose aussi à des vulnérabilités sans précédent.

Pour comprendre pourquoi nous sommes saisis du projet de loi C-8, nous devons d’abord examiner les menaces auxquelles le Canada est confronté. Nos infrastructures essentielles, y compris les réseaux de télécommunications, les systèmes financiers, les réseaux énergétiques et les pipelines de transport, fonctionnent toutes au moyen de voies numériques grandement interconnectées. Ces systèmes essentiels sont désormais la cible quotidienne de cybercriminels, de pirates informatiques et d’acteurs parrainés par des États étrangers. Ces agresseurs cherchent, collectivement, à perturber notre mode de vie, à voler notre propriété intellectuelle et à saper nos institutions démocratiques.

Comme nous l’avons entendu au cours de notre examen du projet de loi C-8, ces menaces qui pèsent sur la cybersécurité du Canada ne sont plus de simples avertissements abstraits, mais se mesurent en heures, voire en minutes, c’est-à-dire le temps qu’il faut à un pirate pour paralyser un réseau. Elles constituent des risques réels et pressants pour la sécurité publique, la sécurité nationale et l’économie du Canada, et c’est pourquoi nous devons agir.

En effet, comme nous l’avons déjà entendu, les données confirment l’ampleur de cette menace. Rien que l’année dernière, nous avons constaté une augmentation significative du nombre d’incidents visant les infrastructures essentielles du Canada. En 2024-2025, on a dénombré plus de 1 400 cyberincidents visant ces infrastructures, ce qui représente une moyenne stupéfiante de près de quatre incidents par jour et une augmentation de près de 20 % par rapport à l’année précédente.

Les rançongiciels restent la principale menace cybercriminelle qui pèse sur nos infrastructures essentielles. Les opérateurs sont fréquemment pris pour cible, car les cybercriminels savent qu’ils sont tout à fait disposés à payer une rançon pour éviter toute interruption de service pour leurs clients. Les chiffres sont eux aussi stupéfiants. En 2023, les incidents liés aux rançongiciels ont explosé de 159 % dans le secteur des technologies de l’information, de 157 % dans le secteur financier et de 67 % dans le secteur de l’énergie, par rapport à l’année précédente.

Au cours des derniers mois seulement, nous avons assisté à des incidents nationaux très médiatisés, notamment une attaque par rançongiciel contre Nova Scotia Power ainsi qu’une intrusion dans les serveurs de WestJet. Il ne s’agit pas là de simples pannes informatiques isolées. Ce sont des attaques directes visant les services essentiels et les renseignements personnels de Canadiens ordinaires.

Nous avons également vu le potentiel dévastateur de ces attaques à l’échelle mondiale. L’attaque par rançongiciel de 2021 contre Colonial Pipeline aux États-Unis a montré exactement comment une attaque contre des infrastructures essentielles peut déclencher une panique bien compréhensible. Une seule brèche a entraîné des pénuries généralisées de carburant, des flambées de prix et la déclaration de l’état d’urgence national par le président.

Le Centre de la sécurité des télécommunications a explicitement prévenu que les secteurs canadiens du pétrole, du gaz et de l’énergie en général sont exposés à cette même menace.

Chaque cyberincident a également un coût direct pour les Canadiens, les entreprises canadiennes et l’économie nationale. Ces perturbations coûtent 5 milliards de dollars par année à l’économie canadienne.

Chers collègues, nous vivons à une époque où notre sécurité nationale n’est plus uniquement liée aux frontières physiques. Aujourd’hui, notre souveraineté, notre économie et la vie quotidienne des Canadiens sont liées à l’architecture numérique qui soutient notre pays. Une cyberattaque réussie et coordonnée contre notre réseau énergétique pendant un hiver canadien ou une perturbation généralisée de nos systèmes bancaires n’est plus un scénario hypothétique. Il s’agit d’une menace claire et immédiate pour la stabilité nationale.

Aaron Shull, directeur de recherche au Centre pour l’innovation dans la gouvernance internationale, a décrit le contexte de la menace dans son témoignage devant le comité :

Il est certes banal de dire que nos réseaux électriques, nos pipelines, nos infrastructures de télécommunications, nos réseaux d’approvisionnement en eau et nos réseaux financiers constituent les artères de la vie moderne, mais le fait est qu’ils sont tous de plus en plus automatisés et soumis à une pression constante de la part d’adversaires avancés soutenus par des États, qui ne se contentent plus de voler des données; ils effectuent un déploiement en vue de provoquer des perturbations.

Il ne s’agit pas là d’une simple préoccupation théorique. L’opération Salt Typhoon nous a montré ce qui se passe lorsque les réseaux de télécommunications sont infiltrés à grande échelle. L’opération Volt Typhoon nous a démontré que le déploiement dans les technologies opérationnelles n’est plus une hypothèse, et tous les exploitants avec lesquels je travaille ont des exemples à citer concernant l’intensification des intrusions visant les systèmes de contrôle industriels.

Il a ajouté ceci :

Le problème, c’est que trop souvent, nous ne pouvons pas déterminer si une panne est due à une défaillance ou à une intrusion étrangère. En toute honnêteté, nous n’en savons tout simplement rien. C’est une situation que ce pays ne peut plus endurer.

À mon avis, le projet de loi C-8 constitue le fondement nécessaire pour changer cet état des choses. Il établit un cadre unifié pour l’ensemble des secteurs essentiels relevant de la compétence fédérale et donne aux gouvernements les outils nécessaires pour imposer le renforcement des systèmes dont dépendent les Canadiennes et Canadiens.

Le projet de loi C-8 prévoit un cadre complet, proactif et solide visant à protéger l’écosystème numérique du Canada.

Je ne répéterai pas aujourd’hui ce que fait le projet de loi, mais je vais parler brièvement des travaux du comité sénatorial et d’une partie des témoignages que nous avons entendus.

Les intervenants étaient généralement favorables au projet de loi dans sa forme amendée. Les intervenants de l’industrie qui ont toujours été en faveur du projet de loi ont souligné que l’évolution rapide de la technologie rend le projet de loi d’autant plus nécessaire.

Todd Warnell, directeur de la sécurité de l’information pour Bruce Power, a dit ceci :

[...] le projet de loi C-8 n’est pas une fin en soi; c’est une base. Toutefois, dans un monde marqué par une volatilité et une incertitude accrues, il est urgent d’établir cette base. Le contexte des menaces a évolué plus rapidement que notre cadre politique, et ces dispositions législatives sont une étape essentielle pour combler l’écart entre les deux.

Philip Stupak, ancien directeur adjoint de la cybersécurité nationale pour l’administration Biden, a dit ceci :

Le projet de loi qui vous est soumis envoie deux messages sans équivoque, c’est-à-dire à nos adversaires communs d’abord, à savoir que le prépositionnement d’armes cybernétiques dans les infrastructures civiles essentielles ne sera pas toléré, et à tous ceux qui assurent la cyberdéfense du Canada ensuite, à savoir qu’ils ne sont pas seuls et que le gouvernement canadien répondra à leur appel pour vous aider à assurer notre sécurité.

En adoptant le projet de loi C-8, vous réagissez à cette période d’incertitude accrue et vous protégez les Canadiennes et Canadiens contre la prochaine menace.

Mon expérience m’a permis de comprendre que le processus ardu et lent d’adoption de la législation cybernétique implique que nous devons répondre à la fois à la crise du moment et à celles inconnues des 20 prochaines années. Le projet de loi C-8 offre la souplesse nécessaire pour s’adapter à l’évolution du monde numérique, et cette souplesse est importante. Elle permettra aux Canadiennes et Canadiens de se défendre contre les menaces et les adversaires d’aujourd’hui et de demain.

M. Stupak a ajouté ceci :

Le projet de loi C-8 maximise aussi les droits à la vie privée des Canadiennes et Canadiens. Le Centre canadien pour la cybersécurité a une longue expérience opérationnelle de la protection de la sécurité et de la vie privée des Canadiennes et Canadiens. Ses responsables savent quoi faire, et ils le font bien.

La plus grande menace persistante à la vie privée ne vient pas du gouvernement canadien, mais de tous les gouvernements que les Canadiennes et Canadiens n’élisent pas. Des adversaires étrangers peuvent exploiter des failles pour accéder à vos appels, vos courriels et vos messages textes. Le projet de loi C-8 met fin à cette atteinte à la vie privée en donnant au gouvernement les moyens nécessaires pour sécuriser le secteur des télécommunications, et ce, en ajoutant expressément des dispositions favorisant la protection de la vie privée dans ce projet de loi sur la sécurité.

David Shipley, directeur général de Beauceron Security inc. a déclaré :

Divers groupes ont émis des objections bien intentionnées à l’égard du projet de loi C-8, pour des raisons liées à la protection de la vie privée. Je pense que les mises à jour apportées par rapport au projet de loi C-26 ont largement contribué à y répondre. Certains pourraient toutefois ne pas partager cet avis.

Cependant, l’idée que les données des Canadiens puissent être concernées par un signalement lié au projet de loi C-8 est tout à fait accessoire. Alors que nous débattons des risques potentiels liés à des cas limite, des criminels et des États-nations décident si les Canadiens bénéficieront de soins de santé rapides et vitaux ou d’un accès sûr à l’eau potable.

Même les personnes qui ont exprimé des préoccupations quant à la façon dont le projet de loi traite le droit à la vie privée ont reconnu la nécessité de cette mesure législative et ont admis que le projet de loi C-8, même s’il n’est pas parfait, est absolument nécessaire.

Aaron Shull a parlé de l’importance d’adopter le projet de loi et d’entamer le processus de réglementation :

Les exploitants attendent désormais deux choses du Parlement. La première est la certitude qu’une loi est en vigueur. La seconde est un règlement qui leur précisera ce que signifie concrètement la conformité. Chaque semaine supplémentaire passée sans cette certitude est une semaine durant laquelle les investissements sont reportés, les discussions difficiles sur la gouvernance sont retardées et les adversaires poursuivent leurs activités sans rencontrer d’opposition.

Certes, le projet de loi C-8 n’est pas parfait, mais les menaces évoluent de toute façon plus vite que les lois. C’est précisément pour cette raison que l’examen quinquennal revêt une importance particulière et que les règlements qui découleront de la loi auront au moins autant d’importance que le libellé de la loi en soi.

À mon humble avis, les travaux menés par la Chambre ont abouti à un cadre applicable et fondé sur des principes qui comble une lacune urgente en matière de sécurité nationale. Les exploitants d’infrastructures essentielles du Canada et les Canadiennes et Canadiens qui dépendent des systèmes qu’ils gèrent attendent que le Parlement mène à bien ce qu’il a commencé.

Comme l’a déclaré M. Shull, la mise en œuvre rapide de la réglementation sera essentielle.

Dans une lettre adressée à notre comité, le ministre de la Sécurité publique a dit ce qui suit au sujet du processus réglementaire :

En ce qui concerne la partie 1 du projet de loi C-8, les premières ordonnances pourraient être élaborées dans un délai approximatif de 6 à 12 mois suivant la sanction royale. Ce calendrier favoriserait un processus robuste d’élaboration des ordonnances, incluant des occasions pour les parties prenantes de fournir de l’information et de présenter des observations, et pour le ministre ou le gouverneur en conseil de tenir compte des facteurs pertinents prévus dans la loi. Il permettrait également aux parties prenantes de revoir et d’aligner leurs plans d’investissement et leurs opérations sur les nouvelles exigences.

Les règlements nécessaires à la mise en œuvre de la [Loi sur la protection des cybersystèmes essentiels] devraient être élaborés sur une période d’environ 12 à 24 mois, conformément à la Directive du Cabinet sur la réglementation. Conformément à l’engagement du gouvernement à consulter tout au long de l’élaboration des règlements, ce processus comprendra des échanges avec les gouvernements provinciaux et territoriaux, les intervenants de l’industrie, les organisations non gouvernementales, le Commissariat à la protection de la vie privée, le commissaire au renseignement ainsi que les Canadiens dans leur ensemble.

Personnellement, je suis heureux de constater que le gouvernement s’est engagé à consulter le commissaire à la protection de la vie privée et le commissaire au renseignement dans le cadre du processus réglementaire.

Alors que nous débattons du projet de loi à l’étape de la troisième lecture, notre responsabilité en tant que Chambre de second examen objectif est d’établir un équilibre entre la nécessité absolue de la sécurité nationale et les droits fondamentaux, les libertés et les garanties en matière de protection de la vie privée dont bénéficie chaque citoyen canadien.

Le projet de loi contient des garde-fous solides. Il ne vise ni à permettre la surveillance des gens par des moyens détournés ni à limiter la liberté d’expression. Il vise plutôt à assurer la sécurité et la résilience des réseaux numériques du pays.

Chers collègues, le projet de loi C-8 est axé sur les données techniques et opérationnelles, ainsi que les données de réseau. Il limite la collecte de données à ce qui est strictement nécessaire à des fins réglementaires, comme la configuration du matériel, les protocoles de mise à jour des logiciels et les détails sur les menaces.

Le Centre de la sécurité des télécommunications a présenté un mémoire au comité pour clarifier ce point. Il a indiqué ceci :

Les exigences précises en matière de signalement des incidents n’ont pas encore été finalisées. La conception du cadre de signalement, y compris la structure et les types de données recueillies, sera élaborée dans le cadre d’un processus réglementaire qui comprend des consultations et des engagements auprès des parties prenantes de l’industrie.

Ce processus garantira que seule l’information technique nécessaire et appropriée est recueillie. Les éléments de données pourraient comprendre les indicateurs de compromission, les vulnérabilités exploitées, les tactiques, techniques et procédures employées par les auteurs de menace et d’autres informations techniques pertinentes à l’analyse des incidents.

Ces données pourraient inclure de l’information présentant un intérêt sur le plan de la vie privée de Canadiennes ou Canadiens, comme des adresses IP présumées malveillantes ou des noms d’utilisateur. Il n’y aurait pas d’information comme le contenu de courriels, des numéros de cartes de crédit, des relations ou des dates de naissance.

Toute l’information recueillie sera traitée conformément à la Loi sur le [Centre de la sécurité des télécommunications] et aux autres lois applicables, comme la Loi sur la protection des renseignements personnels. La protection de la vie privée des Canadiennes et des Canadiens est une exigence légale qui sous-tend toutes les activités du [Centre de la sécurité des télécommunications].

Chers collègues, afin d’assurer une certitude absolue, le projet de loi stipule explicitement que toute donnée personnelle doit être détruite conformément aux dispositions de la Loi sur la protection des renseignements personnels lorsqu’elle n’est plus nécessaire. Il précise désormais également que les pouvoirs fédéraux ne peuvent pas être utilisés pour faciliter une enquête des forces de l’ordre ou pour intercepter une communication privée.

Veiller à ce que les exploitants d’infrastructures respectent des normes de sécurité élevées devrait permettre de renforcer la protection des renseignements personnels des Canadiens, car cela réduira le risque de fuites de données chez les entreprises qui détiennent des renseignements personnels de nature délicate à leur sujet.

En réalité, le plus grand risque pour nos renseignements personnels à l’heure actuelle est justement l’absence d’un tel cadre. Andre Arbour, directeur général de la Direction générale des politiques des télécommunications et de l’Internet au sein d’Innovation, Sciences et Développement économique Canada, a déclaré ce qui suit devant le comité :

Ce qui m’inquiète, c’est le manque de pouvoirs pour intervenir dans ce domaine. Pendant la première heure, nous n’avons fait que survoler les questions liées à l’éventail des menaces observées. On observe une multiplication par cinq des dommages catastrophiques causés par les phénomènes météorologiques extrêmes, et une hausse astronomique des cas de rançongiciels liés au crime organisé et aux cryptomonnaies. Il y a des acteurs hostiles; le Centre de la sécurité des télécommunications a parlé publiquement [de ceux-ci], les reliant à d’autres événements géopolitiques.

[B]eaucoup de détails seront réglés dans le cadre du processus réglementaire, mais nous accusons déjà un assez grand retard et, pour être franc, nous sommes impatients de passer à l’action.

M. Shull nous a donné un exemple illustrant la situation actuelle, en l’absence de ce projet de loi. Il a déclaré :

Imaginons qu’il s’agisse d’un pipeline interprovincial en hiver. Imaginons, en outre, qu’il existe un État hostile [qui] injecte un code malveillant dans l’infrastructure et coupe l’approvisionnement en gaz. Supposons, en outre, que le gouvernement sache comment y remédier. Il doit injecter un certain code dans l’infrastructure afin de résoudre le problème. À l’heure actuelle, rien n’oblige légalement le fournisseur de cette infrastructure à accepter ce code. En vertu de ce projet de loi, ce serait le cas.

De plus, les organismes de réglementation chargés d’appliquer cette loi seront soumis à des structures de reddition de comptes, qui veilleront à ce que leurs pouvoirs soient exercés de manière raisonnable, proportionnelle et conforme à la loi.

Ce projet de loi établit un équilibre vital entre la rapidité d’intervention du pouvoir exécutif et la responsabilité démocratique. Chaque décret pris en vertu de cette loi doit répondre à des normes strictes en matière de raisonnabilité et de nécessité.

Pour assurer une surveillance rigoureuse, le gouvernement doit aviser le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement dans les 90 jours suivant la publication de tout décret confidentiel.

De plus, le ministre déposera des rapports annuels expliquant en détail pourquoi ces pouvoirs sont utiles et nécessaires, lesquels seront également soumis à un examen obligatoire cinq ans après la sanction royale.

Ensemble, ces règles strictes assurent la transparence, protègent la confidentialité et, à mon avis, donnent aux Canadiens l’assurance que ces pouvoirs seront exercés de manière responsable.

Honorables sénateurs, les menaces numériques auxquelles nous sommes confrontés évoluent à un rythme alarmant, et nos lois doivent évoluer en conséquence. Nous ne pouvons pas nous permettre d’attendre qu’un cyberincident catastrophique révèle les lacunes de nos défenses; nous devons agir dès maintenant. Adopter le projet de loi C-8 est une étape essentielle pour assurer notre défense nationale.

Il ne s’agit pas d’encombrer les entreprises de tracasseries administratives inutiles, mais bien d’assurer un minimum de résilience.

Nous vivons maintenant dans un monde où les cybermenaces sont une réalité quotidienne. Des acteurs malveillants s’attaquent sans cesse à nos systèmes financiers, à nos secteurs énergétiques et à nos réseaux de télécommunications. Quand les systèmes d’un hôpital sont pris en otage, les soins aux patients s’en trouvent compromis. Quand il y a des perturbations au réseau électrique, les foyers sont privés d’électricité et les entreprises sont paralysées. Quand notre système bancaire est pris pour cible, les Canadiens ne peuvent plus accéder à leur argent, et la confiance dans nos institutions financières est ébranlée.

Ces attaques sont plus importantes et plus complexes que jamais. Quand une cyberattaque atteint son but, les conséquences sont graves et durables. En effet, ce sont les Canadiens eux-mêmes qui souffrent quand on leur vole leurs données et quand on perturbe leur vie quotidienne. Comme nos infrastructures essentielles sont étroitement interconnectées, une atteinte à un secteur peut rapidement en perturber un autre.

Chers collègues, quand on élabore des politiques pour protéger les Canadiens, il y a inévitablement une tension entre la protection de la vie privée et la protection de la sécurité nationale. Je pense que le comité de la Chambre des communes a su trouver un juste équilibre entre ces priorités contradictoires tout en veillant à ce que nos organismes de sécurité disposent des outils nécessaires pour protéger les Canadiens. Il y est parvenu en proposant 37 amendements.

Nos alliés ont déjà pris des mesures pour protéger leurs frontières numériques. Le Canada doit suivre le rythme. Nous ne pouvons pas nous permettre de laisser nos systèmes critiques sans protection un jour de plus.

En tant que législateurs, nous avons le pouvoir de garantir la sécurité de notre économie numérique. Nous pouvons veiller à ce que nos banques et nos réseaux de télécommunications restent fiables et sécurisés. Ce projet de loi protège les Canadiens, leurs entreprises et les systèmes essentiels dont ils dépendent aujourd’hui et ils dépendront demain.

Pour toutes ces raisons, j’espère que l’ensemble des sénateurs se joindront à moi pour appuyer ce projet de loi. Cette mesure est urgente et attendue depuis longtemps. Travaillons ensemble pour sécuriser nos frontières numériques, pour protéger les citoyens et pour garantir que le Canada demeure une société sûre, libre et prospère à l’ère numérique.

Merci. Meegwetch.

Sénateur McNair, accepteriez-vous de répondre à une question?

Certainement.

Sénateur McNair, vous avez commencé votre discours... Nous sommes ravis d’examiner le projet de loi à cette étape. Nous en étions déjà là il y a un an et demi. En décembre, nous l’avons renvoyé à la Chambre en raison d’une erreur très grave que vous aviez relevée. Je suis ravi d’entendre que, selon vous, des progrès notables ont été réalisés depuis.

Je veux me concentrer sur l’une des premières choses que vous avez dites : le projet de loi représente la première étape d’un long parcours. Le pays a encore beaucoup de travail à faire pour protéger les Canadiens dans un domaine où ses adversaires redoublent d’efforts parce qu’ils parviennent à leurs fins.

Pouvez-vous nous donner une idée de la suite des choses, selon ce que vous avez entendu? Il est crucial que ce projet de loi ne soit que le début d’un travail qui se poursuivra.

Je vous remercie de votre question. C’est une bonne question.

Les prochaines étapes concernent le processus réglementaire, qui permettra de donner du mordant au projet de loi afin de pouvoir agir. J’ai évoqué la lettre que le ministre de la Sécurité publique a adressée au comité. L’une des sections de cette lettre — qui compte environ deux pages — traite de la collaboration entre le gouvernement fédéral, les provinces et les territoires. Je pense que cela fait partie des prochaines étapes.

J’attends avec impatience le lancement du processus réglementaire. Je me réjouis que le ministre ait confirmé par écrit que cela pourrait avoir lieu dans un délai de 12 mois pour la partie 1 du projet de loi, et dans un délai de 12 à 24 mois pour la partie 2 du projet de loi.

Merci.

Y a-t-il eu des discussions sur l’importance de l’incorporation par renvoi, c’est-à-dire de l’incorporation par renvoi de normes de l’industrie issues d’un consensus, afin d’accélérer le processus réglementaire? Je ne parle pas ici d’élaborer un règlement distinct pour faire avancer le projet de loi, mais plutôt, lorsque c’est possible, de reconnaître les normes de l’industrie comme équivalentes à l’intention du législateur. Une telle démarche pourrait nettement accélérer les choses, surtout si le travail se fait en collaboration avec des experts du secteur.

Le gouvernement en a-t-il tenu compte dans ses discussions, car la période de deux ans est encore loin?

Je n’ai pas connaissance de discussions à ce sujet, mais votre proposition est logique. Je ne manquerai pas d’en glisser un mot au ministre à la prochaine occasion.

Merci.

Oui. Merci.

Dans votre discours à l’étape de la troisième lecture aujourd’hui, vous avez dit que les intervenants se sont montrés généralement favorables au projet de loi. Cependant, qu’en est-il des témoins qui ont formulé des critiques importantes à l’égard du projet de loi devant le comité et qui ont suggéré des améliorations et des amendements jusqu’à la fin de la période prévue pour l’étude du projet de loi C-8, qui a été écourtée par le gouvernement? Je pense notamment au commissaire au renseignement, à Kate Robertson, du Citizen Lab, au professeur Matt Malone et à Sharon Polsky.

Vous avez également dit dans votre discours d’aujourd’hui que vous étiez « heureux de constater que le gouvernement s’est engagé à consulter le commissaire à la protection de la vie privée et le commissaire au renseignement [...] ». Toutefois, sénateur McNair, c’est trop peu, trop tard pour ce projet de loi. Les hauts fonctionnaires du gouvernement ont déclaré au comité que le gouvernement n’avait pas consulté le commissaire à la protection de la vie privée ni le commissaire au renseignement pendant ce délai de six mois — entre le moment où la Chambre a reçu le projet de loi C-26 amendé et le moment où le gouvernement a essentiellement présenté de nouveau un projet de loi inchangé, le projet de loi C-8, à la Chambre des communes au cours de la nouvelle législature. Le gouvernement n’a consulté aucun de ces hauts fonctionnaires. Puis, lorsque le commissaire au renseignement, Simon Noël, a témoigné devant le Comité de la sécurité nationale, de la défense et des anciens combattants, au sujet du projet de loi C-8, il nous a dit, à propos des mécanismes que le gouvernement libéral a prévus dans le projet de loi C-8, que cela ne le « touchait pas du tout ».

Pensez-vous que ce soit approprié?

Il est encourageant d’entendre le ministre s’engager à tenir des discussions avec le commissaire à la protection de la vie privée et le commissaire au renseignement au cours du processus d’élaboration de la réglementation. Le commissaire au renseignement est une personnalité très respectée, tout comme le commissaire à la protection de la vie privée.

Le commissaire à la protection de la vie privée a formulé trois recommandations à l’intention du comité de l’autre endroit. Deux de ces recommandations ont fait l’objet d’un suivi et ont été mises en œuvre. Quant à la troisième, il s’agit en réalité d’une divergence d’opinions quant à la nécessité d’informer le commissaire à la protection de la vie privée des atteintes à la sécurité, alors que la Loi sur la protection des renseignements personnels et les documents électroniques impose déjà cette obligation aux particuliers.

Je me réjouis de constater qu’ils poursuivent leurs discussions.

Je sais qu’ils ne se sont pas rencontrés pendant la période dont vous avez parlé, mais ils avaient déjà rencontré le commissaire à la protection de la vie privée et le commissaire au renseignement avant cette période pour des discussions d’ordre général. Je pense que les propos tenus de part et d’autre seront désormais beaucoup plus ciblés lors des discussions.

En ce qui concerne le calendrier dont vous venez de parler, ils nous ont indiqué avoir officiellement rencontré le commissaire à la protection de la vie privée en 2019. Le premier projet de loi — le projet de loi C-26 — n’a été présenté qu’en 2022. C’est de cela qu’ils parlaient lorsqu’ils évoquaient le calendrier de leurs rencontres.

Vous venez de dire, dans l’une de vos réponses à notre collègue ici présent, que vous vous attendiez à ce que le règlement complet entre en vigueur dans un délai de « 12 à 24 mois ». Je pensais qu’ils allaient essayer de le finaliser dès le début — ce qui aurait représenté 18 mois lorsque j’ai posé la question au comité —, mais on en est maintenant revenu à 24 mois. On se rapprochera plutôt d’un délai de 12 ans entre le début et la fin de leurs consultations sur ce projet de loi.

Parle-t-on vraiment d’un délai de 24 mois?

Dans la lettre, on parle d’une durée de 12 à 24 mois.

Il y a un sentiment d’urgence, non seulement à l’échelon du ministre, mais aussi à l’échelon des fonctionnaires. Comme le ministre Anandasangaree l’a clairement montré, ils attendent avec impatience que cela se fasse. Comme vous le savez, dix-huit mois, c’est à mi-chemin entre 12 et 24 mois.

L’objectif est de donner un grand coup dans ce dossier. Je crois comprendre que les fonctionnaires sont prêts à commencer dès qu’ils seront informés de la promulgation.

Sénateur McNair, accepteriez‑vous de répondre à une question?

Bien sûr.

Tout d’abord, permettez-moi de vous remercier une deuxième fois de tenter de faire adopter ce projet de loi au Sénat. Je sais que nous avons suivi un processus exhaustif la dernière fois, car nous avons dû corriger des lacunes, et des élections ont eu lieu.

La grande majorité des témoins qui ont comparu devant le comité au sujet de ce projet de loi ont souligné qu’il n’est pas parfait au sens strict du terme, mais ils ont également insisté sur l’importance de l’adopter le plus rapidement possible afin que nous puissions protéger les Canadiens en général. Sans ce projet de loi, ils demeurent vulnérables aux risques de cyberattaques au Canada.

Sénateur Yussuff, c’est exactement la position qu’a adoptée la grande majorité des personnes qui ont comparu devant le comité, tout comme en 2024. En fait, le sentiment d’urgence est aujourd’hui encore plus vif, comme vous le dites, car nous nous trouvons dans une situation où nous ne pouvons pas protéger correctement les Canadiens.

M. Shull a dit : « S’il y a une chose que je dois vous dire, c’est qu’il faut adopter le projet de loi sans plus attendre. »

Chers collègues, nous savons tous que nous vivons dans une fédération appelée le Canada et que la grande majorité des mesures de cybersécurité au pays relèvent des autorités locales, c’est-à-dire des provinces, des territoires et des municipalités.

Sénateur McNair, nous avons bien sûr soulevé directement cette question auprès du ministre, à savoir comment mieux intégrer les responsabilités du gouvernement fédéral, collaborer avec les provinces et les territoires, et inclure les municipalités dans le cadre de ce travail important, sans oublier le secteur privé. Il a donné une réponse que j’ai jugée importante : il a reconnu que nous vivons dans une démocratie constitutionnelle et que le partage des pouvoirs s’applique au pays.

Pourriez-vous nous donner votre avis afin que le Sénat puisse saisir l’importance de cette question et comprendre pourquoi il est essentiel de bien faire les choses en collaborant avec les provinces, les territoires et les municipalités de tout le pays?

Merci, sénateur Yussuff. Le ministre a mentionné la collaboration continue avec les provinces, les territoires et les municipalités. Il en est un fervent défenseur, et, dans sa lettre au comité, il consacre une page et demie exclusivement aux recoupements et à la manière dont il s’en sert pour encourager la collaboration et la coopération.

Je suis convaincu qu’il continuera de faire pression dans ce sens. Le scénario idéal, du point de vue du gouvernement fédéral, serait que les provinces et territoires s’inspirent de la partie 2 du projet de loi pour élaborer leur propre loi. L’idéal serait qu’une loi sur la protection des cybersystèmes essentiels s’applique dans chaque province et territoire, ainsi qu’à l’échelle nationale.

Sénateur McNair, permettez-moi tout d’abord de vous souhaiter un joyeux anniversaire. C’est en partie pour cette raison que je voulais poser une question.

Sénateur McNair, au cours de l’élaboration de ce projet de loi, y a-t-il eu des discussions concernant les ordinateurs quantiques et la grave menace qu’ils représentent, notamment la possibilité d’utiliser la technologie quantique pour contourner le chiffrement classique? Comment pouvons-nous nous prémunir contre cela à l’avenir? Merci.

Le comité n’a pas abordé directement cette question, mais certaines discussions ont eu lieu entre participants sur l’intelligence artificielle et l’informatique quantique.

Ce que je veux dire, c’est que le projet de loi établit un cadre suffisamment robuste, sans être trop précis pour l’instant, afin que les règlements puissent traiter des enjeux liés à l’intelligence artificielle et à l’informatique quantique.