Projet de loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois
Deuxième lecture--Ajournement du débat
21 avril 2026
Propose que le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois, soit lu pour la deuxième fois.
— Honorables sénateurs, je prends la parole aujourd’hui à titre de parrain du projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.
Le projet de loi a été initialement présenté lors de la 44e législature, en juin 2022, sous le numéro C-26. Il a été adopté par la Chambre des communes, puis par le Sénat, avec des amendements, mais il est mort au Feuilleton avant que la Chambre n’ait pu examiner les amendements du Sénat, quand le Parlement a été prorogé en décembre 2024.
Le projet de loi dont nous sommes maintenant saisis présente quelques modifications mineures, que je présenterai plus loin dans mon discours.
Chers collègues, le Centre de la sécurité des télécommunications, ou CST, a déclaré que la cybercriminalité constitue désormais la menace la plus répandue et la plus omniprésente pour les Canadiens et les entreprises d’ici, et que les rançongiciels, en particulier, représentent une menace importante. Dans l’Évaluation des cybermenaces nationales 2025-2026, le Centre canadien pour la cybersécurité du CST indique ce qui suit :
Le Canada affronte un environnement de cybermenaces complexe et en pleine expansion comptant un éventail croissant d’auteures et auteurs de cybermenace étatiques et non étatiques malveillants et imprévisibles, comme les cybercriminelles et cybercriminels et les hacktivistes, qui ciblent ses infrastructures essentielles et compromettent sa sécurité nationale.
Il ajoute ceci :
Les États adversaires du Canada sont plus agressifs dans le cyberespace [...] Les auteures et auteurs de cybermenace parrainés par des États tentent sans doute d’être perturbateurs, par exemple, en rendant un service inaccessible, en supprimant ou en divulguant des données et en manipulant des systèmes de contrôle industriels, afin de favoriser la réalisation d’objectifs militaires ou de campagnes d’information. Nous estimons que nos adversaires considèrent très probablement les infrastructures civiles essentielles comme une cible légitime de cybersabotage advenant un conflit militaire.
Chers collègues, le Canada est de plus en plus vulnérable aux cyberattaques.
Selon le Centre canadien pour la cybersécurité :
Le Canada se retrouve dans une nouvelle ère de cybervulnérabilité, où les cybermenaces sont omniprésentes et où les Canadiennes et Canadiens ressentiront de plus en plus les répercussions des cyberincidents qui s’enchaînent et perturbent leur vie quotidienne.
Les progrès réalisés au chapitre des technologies informatiques et des communications ont ouvert la voie à un monde de connectivité omniprésente pour la population canadienne. Dans cet environnement, les plateformes en ligne et les technologies numériques continuent de façonner et d’influencer les interactions des Canadiennes et Canadiens avec le monde physique — leur façon de travailler, de faire des courses, de voyager, de se rencontrer, de s’informer et d’accéder à des services critiques. Ces systèmes enregistrent et traitent de grandes quantités de données à leur sujet [...] Ces systèmes sont également interconnectés et fragiles : les cyberincidents, qu’il s’agisse de cyberattaques ou de mises à jour logicielles déficientes, peuvent faire en sorte que les compagnies aériennes, les hôpitaux, les banques et les détaillants partout dans le monde se retrouvent hors ligne.
Les Canadiens doivent être prêts à faire face à ces menaces afin de protéger notre population, nos infrastructures essentielles et notre économie, tout en préservant la sécurité, la compétitivité et la connectivité du Canada.
Le projet de loi C-8 vise à mettre en œuvre des exigences de base en matière de cybersécurité pour que les exploitants d’infrastructures essentielles sous réglementation fédérale au Canada soient résilients face aux cybermenaces.
Sénateurs, la menace est réelle, elle est omniprésente et elle pèse sur nous en ce moment même. Des acteurs étatiques et non étatiques ciblent des appareils qui ont accès à Internet pour exploiter des vulnérabilités de base, comme des logiciels d’accès à distance non sécurisés ou l’utilisation de mots de passe par défaut. Nous savons qu’ils tentent probablement, quand l’occasion se présente, de perturber les systèmes de technologies opérationnelles vulnérables connectés à Internet dans les infrastructures essentielles canadiennes. Ces perturbations peuvent entraîner le mauvais fonctionnement des systèmes, ce qui peut les endommager ou les détruire et nuire à la sécurité publique.
Permettez-moi de vous donner quelques exemples récents. En avril 2025, Nova Scotia Power a été la cible d’une attaque sophistiquée par rançongiciel qui a touché 280 000 clients. La fuite de données a touché des renseignements personnels et a entraîné une perturbation opérationnelle des systèmes de communication des compteurs intelligents de l’entreprise de services publics.
En juin 2025, WestJet a été la cible d’une cyberattaque qui a touché ses systèmes de TI internes et a restreint l’accès des utilisateurs de l’application WestJet. Les opérations aériennes n’ont pas été perturbées, mais l’atteinte à la protection des renseignements personnels a entraîné la divulgation des renseignements personnels sensibles et des données liées aux déplacements de 1,2 million de passagers.
Il y a à peine un mois, Telus a déclaré qu’elle enquêtait sur un incident de cybersécurité qui a entraîné le vol de 700 téraoctets de données provenant de ses systèmes. Le groupe de pirates informatiques ShinyHunters a revendiqué l’attaque. Rien n’indique que la connectivité ou les services aux clients ont été perturbés, mais ShinyHunters a déclaré que les données volées comprenaient des renseignements relatifs à au moins une vingtaine d’entreprises, y compris des renseignements personnels, des données et des enregistrements d’appels, des renseignements liés à la vérification des références et des codes sources couvrant de nombreuses divisions commerciales.
Heureusement, aucune de ces attaques n’a porté atteinte à la sécurité publique, mais elles mettent en évidence les risques croissants pour nos infrastructures essentielles.
Honorables sénateurs, pour vous donner une idée de l’ampleur de la menace, le Centre pour la cybersécurité bloque en moyenne 6,6 milliards d’actes potentiellement malveillants chaque jour, qui vont des balayages de routine aux tentatives d’intrusion sophistiquées. Lorsqu’un seul de ces actes malveillants parvient à contourner ses défenses, cela peut mener à une cyberattaque, comme dans les exemples que j’ai mentionnés, ou pire encore.
Les coûts financiers sont également stupéfiants. On estime que les cyberincidents coûtent 5 milliards de dollars par année à l’économie canadienne et que les entreprises canadiennes paient en moyenne près de 7 millions de dollars par atteinte à la protection des données.
Chers collègues, le projet de loi C-8 comprend deux initiatives législatives distinctes et complémentaires.
La partie 1 modifie la Loi sur les télécommunications pour ajouter la sécurité aux objectifs stratégiques de la loi et pour créer de nouveaux pouvoirs qui serviraient à sécuriser les systèmes canadiens de télécommunications contre les menaces, y compris celles posées par les fournisseurs à risque élevé, conformément à l’énoncé de politique du gouvernement publié en mai 2022.
Les pouvoirs proposés dans la partie 1 du projet de loi C-8 permettront au gouvernement de renforcer le cadre canadien des télécommunications afin de répondre aux risques, qu’ils soient causés par des fournisseurs à risque élevé, des cybermenaces ou des catastrophes naturelles et événements météorologiques extrêmes.
Plus précisément, la partie 1 vise à modifier la Loi sur les télécommunications pour ajouter l’objectif stratégique de « promouvoir la sécurité du système canadien de télécommunication ». Cet objectif serait assorti d’un pouvoir de prendre des arrêtés pour que le gouverneur en conseil et le ministre de l’Industrie puissent obliger les fournisseurs canadiens de services de télécommunication à prendre des mesures, au besoin, pour sécuriser le système canadien de télécommunications contre les menaces, y compris les menaces d’ingérence, de manipulation, de perturbation ou de dégradation. Le fait de définir le champ d’application en fonction de la sécurité du système de télécommunications plutôt que des questions de sécurité en général constitue un facteur limitant important. Cela signifie que les pouvoirs ne pourront être utilisés que pour enjoindre aux fournisseurs de services de télécommunication de sécuriser leurs réseaux; ils ne pourront pas l’être pour faire avancer des objectifs généraux en matière d’application de la loi ou de sécurité.
Le projet de loi exigerait que le gouverneur en conseil et le ministre de l’Industrie consultent avant de prendre un décret. Il prévoit une série de facteurs dont le gouverneur en conseil et le ministre de l’Industrie devront tenir compte, y compris les répercussions du décret sur les finances et activités opérationnelles des exploitants, et ses répercussions sur la fourniture de services de télécommunications au Canada.
Le projet de loi accorde également de nouveaux pouvoirs de collecte de renseignements à l’égard des fournisseurs de services de télécommunication pour favoriser l’atteinte des objectifs. Une fois de plus, les renseignements recueillis doivent être raisonnablement liés à la protection du système de télécommunications, en particulier les renseignements et les détails sur l’équipement des réseaux. Par ailleurs, le projet de loi établit un régime de sanctions administratives pécuniaires pour encourager le respect des décrets et des règlements.
Si le projet de loi est adopté par le Parlement, ces pouvoirs deviendront un outil essentiel en vue de garantir la fiabilité, la résilience et la sécurité des réseaux du Canada. Ces nouvelles dispositions fourniront également un pouvoir juridique clair et explicite permettant d’interdire aux fournisseurs canadiens de services de télécommunication d’utiliser des produits et des services posant un risque élevé, comme le gouvernement s’est engagé à le faire dans son énoncé de politique de 2022.
Grâce à ces nouveaux pouvoirs, le gouverneur en conseil et le ministre de l’Industrie pourraient prendre des mesures liées à la sécurité, comme les autres organismes de réglementation fédéraux peuvent le faire pour les infrastructures essentielles de leur secteur respectif. Ces pouvoirs pourraient aussi être utilisés pour prendre des mesures visant à gérer les risques liés aux erreurs humaines et aux perturbations climatiques qui peuvent causer des pannes dans des réseaux de télécommunications essentiels.
Chers collègues, je tiens à être clair : dans la partie 1, la portée du pouvoir d’édicter des ordres est délimitée. Le libellé du projet de loi indique que le pouvoir d’édicter des ordres vise à promouvoir la sécurité du système de télécommunication. Les pouvoirs du gouvernement ne peuvent pas être utilisés pour des questions de sécurité, de façon plus générale, et ils ne peuvent pas être utilisés pour espionner les Canadiens.
La partie 2 du projet de loi édicte la Loi sur la protection des cybersystèmes essentiels. L’objet de ce projet de loi est d’établir un cadre réglementaire intersectoriel afin de renforcer la cybersécurité de base pour les services et les systèmes qui sont d’une importance critique pour la sécurité nationale et la sécurité publique. Cette nouvelle loi obligerait les exploitants désignés des secteurs de la finance, des télécommunications, de l’énergie et des transports sous réglementation fédérale à prendre des mesures précises pour protéger leurs cybersystèmes essentiels. Une fois désignés, les exploitants seraient tenus d’établir un programme de cybersécurité, d’atténuer les risques associés à la chaîne d’approvisionnement et aux services ou produits de tiers, de signaler les incidents de cybersécurité et de se conformer aux directives de cybersécurité.
Le projet de loi donne au gouvernement un nouvel outil afin de contraindre, au besoin, un exploitant désigné à prendre des mesures pour protéger son cybersystème essentiel contre les menaces ou les vulnérabilités.
Comme dans la partie 1, la Loi sur la protection des cybersystèmes essentiels exige que le gouverneur en conseil tienne compte d’une série de facteurs avant d’émettre une directive en matière de cybersécurité. Ces facteurs sont : les répercussions opérationnelles sur les exploitants désignés touchés; les répercussions sur la sécurité publique des Canadiens; les répercussions sur les activités opérationnelles des exploitants désignés; les répercussions sur la sécurité publique des Canadiens; les répercussions sur la protection de la vie privée des Canadiens; les répercussions financières sur les exploitants désignés; les répercussions sur la fourniture des services critiques et des systèmes critiques aux consommateurs; tout autre facteur que le gouverneur en conseil juge pertinent. Enfin, la Loi sur la protection des cybersystèmes essentiels confère aux organismes de réglementation de l’industrie les pouvoirs nécessaires pour appliquer la loi et prévoit des conséquences en cas de non-conformité.
Une fois le projet de loi mis en œuvre, les exploitants désignés élaboreraient des programmes de cybersécurité en tenant compte des menaces actuelles. Le signalement obligatoire des incidents en cours au Centre canadien pour la cybersécurité permettrait d’évaluer la situation en se fondant notamment sur des renseignements classifiés afin de mieux comprendre l’évolution des cybermenaces. Le Centre canadien pour la cybersécurité offrirait ensuite des conseils d’experts, non seulement aux exploitants désignés, mais à tous les Canadiens, ce qui nous permettrait d’adapter nos mesures de défense en fonction des menaces précises auxquelles nous sommes confrontés.
En permettant au gouvernement d’être mieux renseigné sur les cybermenaces et de tirer parti de l’expertise du Centre canadien pour la cybersécurité, qui a pour mandat de fournir des conseils et des avis, on peut essentiellement tirer des leçons des incidents qui touchent une organisation pour prévenir les incidents dans d’autres organisations. Ainsi, on renforce la cybersécurité partout au Canada, on assure la confidentialité et la protection des renseignements stockés dans ces systèmes et on atténue les répercussions économiques de la cybercriminalité.
Autrement dit, cette partie du projet de loi fournit au gouvernement les outils nécessaires pour prendre des mesures visant à remédier à un large éventail de failles en matière de cybersécurité. À l’heure actuelle, rien n’oblige légalement le secteur privé à divulguer l’information sur les incidents de cybersécurité, et il n’existe aucun mécanisme juridique permettant au gouvernement d’imposer des mesures pour répondre à des menaces ou à des failles connues.
Chers collègues, quand il est question de sécurité nationale, nous ne pouvons pas nous contenter de compter sur la bonne volonté du secteur privé; nous devons inscrire dans la loi un cadre de cybersécurité plus solide.
La partie 2 du projet de loi C-8 sert également de modèle à nos partenaires provinciaux, territoriaux et municipaux pour protéger les cyberstructures essentielles dans les secteurs relevant de leurs compétences respectives.
Chers collègues, bien que les deux parties du projet de loi C-8 soient distinctes — l’une visant à renforcer notre cadre réglementaire actuel en matière de télécommunications et l’autre à créer un nouveau cadre favorisant la sécurité des cybersystèmes essentiels —, prises ensemble, elles répondent au besoin urgent de garantir que les infrastructures essentielles dont dépendent les Canadiens au quotidien restent sécuritaires, résistantes et protégées.
Je veux souligner brièvement en quoi le projet de loi C-8 diffère de sa version précédente, le projet de loi C-26. Comme je l’ai déjà dit, quand le projet de loi C-8 a été déposé en 2025, son libellé était pratiquement identique à celui du projet de loi C-26 qui avait été adopté par la Chambre et le Sénat avec des amendements, mais qui n’avait pas reçu la sanction royale. Le projet de loi C-8 tient compte des travaux parlementaires antérieurs et intègre les amendements apportés pour renforcer l’ancien projet de loi C-26.
En plus des amendements au projet de loi C-26, quelques modifications de nature administrative ont été apportées à la mesure législative avant sa présentation en 2025. Plus important encore, les dispositions du projet de loi C-26 qui auraient modifié la Loi sur la preuve au Canada afin de prévoir un contrôle judiciaire ont été entièrement supprimées. Elles ont été remplacées par un cadre unique et uniforme d’instances sécurisées de contrôle des décisions administratives qui a été établi par le projet de loi C-70, Loi concernant la lutte contre l’ingérence étrangère.
Le régime des instances sécurisées de contrôle des décisions administratives est beaucoup plus robuste en ce qui concerne les orientations et les pouvoirs qu’il donne aux tribunaux quand des renseignements potentiellement préjudiciables sont divulgués au cours d’un contrôle. Citons notamment la possibilité de désigner un conseiller juridique spécial chargé de représenter les intérêts des parties qui ne peuvent pas consulter les renseignements protégés, la capacité pour le juge de rendre toute ordonnance nécessaire pour garantir l’équité de la procédure, ainsi que des procédures claires pour la délivrance des certificats et la gestion des notifications.
Toutes les autres modifications apportées au projet de loi sont de nature technique et visent à garantir la cohérence de la numérotation des articles, des traductions et de certaines formulations concernant le champ d’application et le fond du texte de loi, selon les besoins.
Le projet de loi C-8 a fait l’objet d’une étude approfondie au Comité permanent de la sécurité publique et nationale de la Chambre des communes. Le comité de la Chambre a consacré cinq séances à l’étude article par article du projet de loi C-8 et y a apporté 37 amendements. À la suite de l’étude du projet de loi par le comité, on a apporté plusieurs amendements aux deux parties, qui se divisent globalement en deux catégories : la nécessité d’ajouter des garde-fous au pouvoir de rendre des ordonnances et la nécessité de renforcer les mesures de protection de la vie privée.
Plus précisément, dans la partie 1, le gouvernement a proposé de manière proactive des amendements visant à ajouter une nouvelle liste exhaustive de facteurs que le ministre ou le gouverneur en conseil doit prendre en considération avant de rendre le contenu d’un décret confidentiel, ainsi qu’un amendement précisant que les décrets ne peuvent pas être utilisés pour obtenir le décryptage des communications privées. Un certain nombre d’amendements confirment ou clarifient ce qu’Innovation, Sciences et Développement économique Canada considère déjà comme l’état actuel du projet de loi. Par exemple, les arrêtés pris au titre de la partie 1 visent les menaces de nature technique qui ne sont pas liées aux effets de l’expression licite d’opinions.
Les amendements précisent également que le gouvernement doit informer toute personne nommée dans un décret ou un arrêté lorsque celui-ci est pris, ce qu’exigent déjà les principes du droit administratif. On a également apporté des amendements pour veiller à ce que la collecte de renseignements liés au pouvoir de rendre des ordonnances, la communication des renseignements recueillis et l’échange de renseignements entre les autorités fédérales soient tous raisonnables au regard de la gravité de la menace que les ordonnances visent à contrer.
La majeure partie des amendements adoptés concernent la collecte, la protection et la communication de renseignements, surtout en ce qui concerne les renseignements personnels et dépersonnalisés. Des amendements ont été adoptés afin d’assurer la confidentialité de tous les renseignements personnels et dépersonnalisés recueillis; d’établir des conditions plus strictes concernant la communication de renseignements personnels et dépersonnalisés comparativement à d’autres types de renseignements confidentiels, comme les renseignements financiers et opérationnels d’entreprises; de faire en sorte que tous les renseignements personnels et dépersonnalisés recueillis soient retirés une fois qu’ils ne sont plus nécessaires à toute fin liée à la prise d’un décret, conformément aux exigences déjà prévues dans la Loi sur la protection des renseignements personnels; et, enfin, de faire en sorte que l’échange de renseignements avec un autre gouvernement soit visé par un accord écrit, un protocole d’entente ou tout autre document du même ordre et que ce document stipule que les renseignements doivent être retirés lorsqu’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été partagés.
En réaction à des commentaires formulés par des parties prenantes et des parlementaires, un certain nombre d’amendements ont été adoptés pour renforcer la partie 2, la Loi sur la protection des cybersystèmes essentiels. Comme pour la partie 1, la majeure partie des amendements visent l’ajout de garde-fous pour encadrer la prise de décrets et le renforcement de la protection des renseignements personnels. D’autres amendements concernent les dédoublements de réglementation et la responsabilité personnelle.
Pour faire en sorte que les nouveaux pouvoirs du gouvernement ne soient utilisés qu’aux fins prévues, la Loi sur la protection des cybersystèmes essentiels exige dorénavant que la portée et la teneur des dispositions de toute directive de cybersécurité soient raisonnables eu égard à l’objectif de protéger un cybersystème essentiel.
Par ailleurs, comme à la partie 1, le projet de loi précise dorénavant que les directives de cybersécurité ne peuvent servir à ordonner le décodage d’une communication chiffrée. Les amendements précisent également la portée et les modalités d’utilisation des décrets dans la partie 2.
En réponse aux préoccupations soulevées par des associations de défense des libertés civiles et du commissaire à la protection de la vie privée, le projet de loi comprend maintenant une définition de « renseignements personnels » et précise que les renseignements personnels doivent être retirés conformément à la Loi sur la protection des renseignements personnels lorsqu’ils ne sont plus nécessaires.
Un autre amendement visant à renforcer la protection des renseignements personnels apporte une précision indiquant que la Loi sur la protection des renseignements personnels et les documents électroniques continue de s’appliquer, l’objectif de cet amendement étant que faire en sorte que les exploitants désignés comprennent que la Loi sur la protection des cybersystèmes essentiels ne les dégage pas de leurs responsabilités au titre de la Loi sur la protection des renseignements personnels et les documents électroniques, comme de déclarer les atteintes à la sécurité des données.
Il est également précisé que les dispositions relatives à la protection des renseignements personnels de la Loi sur le Centre de la sécurité des télécommunications demeurent en vigueur. Le but de cet amendement est de préciser que le projet de loi ne donne au Centre de la sécurité des télécommunications aucun nouveau pouvoir d’accès aux renseignements personnels.
Pour donner suite aux préoccupations exprimées par des parties prenantes de l’industrie concernant le dédoublement de la réglementation, un amendement a été apporté pour exiger que le gouverneur en conseil veille, dans toute la mesure du possible, à ce que les règlements qu’il prend soient compatibles avec les régimes de réglementation ou de normes en vigueur. Cet amendement permet également au gouverneur en conseil de déterminer si les régimes respectent les exigences de la Loi sur la protection des cybersystèmes essentiels.
Une nouvelle disposition prévoit que le Centre de la sécurité des télécommunications peut élaborer des lignes directrices sur l’atténuation des risques associés aux chaînes d’approvisionnement et à l’utilisation de produits et services de tiers, en tenant compte des cadres internationalement reconnus. En soi, ce n’est pas un nouveau pouvoir, puisque le Centre de la sécurité des télécommunications le fait déjà pour l’ensemble de l’industrie en fonction des besoins.
Un autre amendement visait à atténuer la responsabilité personnelle. Certains intervenants ont dit craindre que la Loi sur la protection des cybersystèmes essentiels ne dissuade des personnes d’assumer des rôles de direction, comme celui de chef de la sécurité, en raison des risques liés à la responsabilité personnelle. En réponse, le montant maximal pour les particuliers en vertu du cadre des sanctions administratives pécuniaires a été réduit de 1 000 000 $ à 500 000 $. À cet égard, le projet de loi précise maintenant explicitement que le secret professionnel continue de s’appliquer aux renseignements communiqués au gouvernement.
Enfin, un amendement a été apporté pour que le ministre soit tenu de procéder à un examen de la loi cinq ans après sa mise en œuvre. Après l’examen, un rapport sur son efficacité doit être déposé devant les deux Chambres du Parlement.
Tout comme le projet de loi C-26, le projet de loi C-8 maintient l’obligation d’aviser le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement dans les 90 jours suivant la prise d’un décret relatif à la confidentialité.
De plus, les rapports annuels au Parlement devront inclure des renseignements tels que le nombre de décrets pris et une explication de leur nécessité, de leur caractère proportionnel et raisonnable et de leur utilité. Ensemble, ces dispositions clarifient les nouveaux pouvoirs du gouvernement et lui permettent de s’en prévaloir de façon plus équitable.
Bref, chers collègues, les amendements à la partie 1 du projet de loi présentés à la Chambre des communes à la suite de l’étude en comité améliorent la clarté du programme, renforcent les mesures de protection relatives au pouvoir exécutoire, aux renseignements personnels et aux communications chiffrées et augmentent la transparence grâce à de nouvelles exigences en matière de rapports.
Les amendements apportés à la partie 2 renforcent toutes les mesures de protection de la vie privée, clarifient les exigences en matière de surveillance, limitent les pouvoirs d’application de la loi et introduisent de nouvelles mesures de reddition de comptes dans la Loi sur la protection des cybersystèmes essentiels.
Les protections et les garde-fous clairs qui sont établis dans les deux parties du projet de loi C-8, tant dans sa forme initiale que dans sa version modifiée, garantissent aux Canadiens que les pouvoirs proposés dans ce projet de loi seront utilisés comme ils doivent l’être. Autrement dit, il s’agit de soutenir et d’assurer la sécurité et la résilience de nos cybersystèmes et réseaux de télécommunications essentiels.
Le projet de loi C-8 n’est pas un moyen détourné de surveiller les communications, de restreindre la liberté d’expression ou d’autoriser l’exercice injustifié du pouvoir de prendre des décrets.
Chers collègues, les amendements apportés par la Chambre des communes sont le fruit d’un travail de collaboration entre tous les partis, et je suis fermement convaincu qu’ils renforcent le projet de loi.
Je me réjouis tout particulièrement de constater que deux des trois recommandations formulées par le commissaire à la protection de la vie privée lors de son témoignage devant le comité ont été adoptées.
J’espère que nous pourrons confier au comité la tâche de poursuivre comme il se doit l’étude du projet de loi C-8, qui jette des bases solides, selon moi, afin de protéger les infrastructures essentielles du Canada contre des cybermenaces en constante évolution.
De nos jours, il ne manque pas de gens malintentionnés qui cherchent à exploiter la vulnérabilité de nos systèmes informatiques, un peu partout au pays.
Qu’il s’agisse des systèmes financiers, des réseaux de télécommunications, du secteur de l’énergie, des transports ou d’autres infrastructures critiques, nous vivons aujourd’hui dans un monde où les cybermenaces sont monnaie courante et où elles sont plus graves et plus complexes que jamais.
Les particuliers, les pouvoirs publics, les entreprises ainsi que les propriétaires et exploitants d’infrastructures critiques doivent tous affronter quotidiennement cette nouvelle réalité.
Les cyberattaques qui atteignent leur objectif ont des conséquences graves, durables et de grande ampleur pour toutes les entités affectées, mais surtout pour le bien-être des personnes dont la vie est bouleversée et dont les données sont compromises.
Le projet de loi C-8 propose une approche intersectorielle cohérente et grandement nécessaire concernant la cybersécurité. Il permettra au gouvernement et aux entreprises d’en faire davantage pour prévenir les attaques dévastatrices et de riposter plus vigoureusement lorsqu’elles se produisent.
Chers collègues, j’espère que nous adopterons cet important projet de loi, qui est important pour protéger la sécurité nationale, l’économie et la souveraineté du pays.
Merci. Meegwetch.
Sénateur McNair, trois sénateurs se lèvent pour poser des questions. Acceptez-vous de répondre à une question ?
Bien sûr.
Merci. Sénateur McNair, je serai à nouveau la porte-parole de l’opposition pour ce projet de loi, et vous en êtes à nouveau le parrain. Nous nous retrouvons donc au même point qu’il y a un an et demi. L’expérience du projet de loi C-26 — le prédécesseur du projet de loi C-8 — nous a fait prendre conscience du danger d’adopter trop rapidement un projet de loi, car, à l’automne 2024, le gouvernement a en effet été contraint de modifier son projet de loi à la dernière minute en raison d’une erreur dans un amendement de coordination avec le projet de loi C-70, un projet de loi sur l’ingérence étrangère que le gouvernement libéral avait également fait étudier à la hâte par le Parlement au cours de l’année. Si cette erreur n’avait pas été détectée, elle aurait pratiquement vidé le projet de loi C-26 de sa substance. Les principales dispositions destinées à protéger la cybersécurité du Canada, dans les systèmes critiques réglementés par le gouvernement fédéral, auraient été supprimées.
Peu après la découverte de cette grave erreur, j’ai demandé aux représentants du gouvernement devant le Comité sénatorial de la sécurité nationale et de la défense quelles mesures le gouvernement avait prises pour qu’un tel problème ne se reproduise plus jamais. Les représentants du gouvernement n’avaient aucune réponse à m’offrir.
Alors, sénateur McNair, je vous demande maintenant, 18 mois plus tard, quels mécanismes le gouvernement libéral a établis pour que ce genre de gâchis ne se reproduise plus jamais.
Je vous remercie de la question. Je ne parle pas au nom du gouvernement libéral aujourd’hui, mais je peux dire que des fonctionnaires ont examiné attentivement le document. Je me souviens des exemples que vous citez et de ce « gâchis », comme vous dites, mais des fonctionnaires m’ont assuré qu’ils ont examiné le document et qu’une telle situation ne devrait pas se reproduire.
Merci. En effet, comme vous êtes le parrain du projet de loi du gouvernement, c’est à vous que je dois poser ces questions. Vous pourriez demander au gouvernement quels processus il a mis en place à l’échelle de l’administration fédérale pour que ce genre de situation ne se reproduise pas.
Sénateur McNair, les députés conservateurs qui siègent au comité de la Chambre des communes ont présenté trois amendements importants au projet de loi C-8, qui auraient exigé une autorisation judiciaire avant que les pouvoirs ministériels et les arrêtés ministériels soient autorisés dans certains cas en vertu du projet de loi. Le gouvernement libéral a décidé de s’opposer à ces amendements importants plutôt que d’accepter que ces changements soient apportés au projet de loi C-8, de sorte que ces amendements ont été jugés irrecevables par le président libéral du comité. Même après avoir été réintroduits dans le projet de loi et adoptés au comité, ces amendements ont été écartés par le Président de la Chambre des communes.
Le gouvernement aurait quand même pu accepter ces amendements au projet de loi C-8, mais il n’a pas tenu compte des messages clairs transmis par les nombreux témoins qui ont comparu devant le comité sénatorial chargé d’étudier le projet de loi C-26.
Sénateur McNair, si je me souviens bien, vous et moi avons assisté à presque toutes, sinon à toutes, les réunions du comité sénatorial sur le projet de loi C-26 à l’automne 2024. Parmi les témoins entendus, les représentants du gouvernement étaient les seuls qui ne s’opposaient pas à ces dispositions du projet de loi. Tous les autres témoins dont je me souviens recommandaient fortement une surveillance accrue, ce que permettrait précisément ce type d’autorisation judiciaire.
Pourquoi le gouvernement n’a-t-il pas accepté d’inclure dans le projet de loi C-8 ces amendements importants liés aux mesures sur l’autorisation judiciaire?
Merci pour votre question, sénatrice Batters. L’évaluation que vous faites de la situation ne correspond pas tout à fait à ce que je retiens des témoignages sur le projet de loi C-26.
Quoi qu’il en soit, d’après ce que j’ai compris, les trois amendements ont été jugés irrecevables par le Président et ont été retirés du projet de loi. Ces amendements auraient obligé le gouverneur en conseil à obtenir une autorisation judiciaire avant de pouvoir prendre un arrêté ou une directive. Le pouvoir de prendre des arrêtés prévu dans le projet de loi C-8 relève du ministre de l’Industrie et du gouverneur en conseil, car les arrêtés sont essentiellement fondés sur des décisions politiques qui doivent concilier les intérêts publics et privés. Le fait d’exiger l’approbation de la Cour fédérale avant la prise d’un arrêté place cette dernière dans une position où elle doit prendre une décision politique plutôt que de vérifier la légalité de l’arrêté. D’autres garde-fous sont prévus, et la surveillance judiciaire est maintenue, car on peut demander à la Cour fédérale d’examiner un arrêté après coup pour vérifier que le gouvernement respecte les limites fixées par la loi.
Merci, sénateur McNair, de votre travail sur cet important projet de loi, le projet de loi C-8, et sur son prédécesseur, le projet de loi C-26. Près de la moitié des petites entreprises canadiennes — de 48 à 50 % — considèrent la réglementation comme une préoccupation majeure. Les données d’Innovation, Sciences et Développement économique Canada montrent également que, dans les faits, l’intensité du fardeau réglementaire est deux fois supérieure pour les petites entreprises que pour celles de plus de 100 employés.
Étant donné que le projet de loi C-8 introduit de nouvelles attentes en matière de conformité et de possibles ordres en matière de télécommunications, comment le gouvernement s’assure-t-il que ces exigences sont proportionnées et n’imposent pas un fardeau démesuré aux petites entreprises ou aux entreprises en démarrage au Canada? A-t-on effectué une analyse officielle de l’incidence que les pouvoirs d’édicter des ordres prévus dans le projet de loi C-8 pourraient avoir sur l’innovation, les décisions d’investissement ou le développement des entreprises canadiennes?
Je vous remercie de votre question, sénatrice Ross. C’est une bonne question et je la soulèverai auprès des fonctionnaires au comité. Je peux dire que, à ma connaissance, le ministère de l’Industrie a l’habitude de travailler avec les petites entreprises. De toute évidence, les grands acteurs du monde des télécommunications sont exposés à un certain degré de risque systémique que n’a pas un petit fournisseur qui est au service, par exemple, de 500 ou 750 clients ou consommateurs. Je crois que le ministère est très conscient des défis auxquels font face les petites entreprises, et je suis convaincu qu’il adaptera ses règles pour qu’elles correspondent aux compétences des fournisseurs de services, quelle que soit leur taille. Je soulèverai toutefois la question auprès des fonctionnaires au comité.
Je vous remercie de votre discours, sénateur McNair. La partie 2 du projet de loi C-8 édicte la Loi sur la protection des cybersystèmes essentiels afin de fournir un cadre pour la protection des cybersystèmes essentiels qui sont critiques pour la sécurité nationale.
Je dirais, comme d’autres personnes, que la sécurité sanitaire est un pilier crucial de la sécurité nationale, mais qu’elle est souvent négligée. Le Comité des affaires sociales, des sciences et de la technologie étudie actuellement le projet de loi S-5, Loi visant un système de soins de santé connecté au Canada, qui a pour but de supprimer le blocage de données et de faire en sorte que les dossiers médicaux et de santé électroniques soient connectés et interopérables. Au comité, certains intervenants nous disent qu’un système de dossiers de santé interconnectés risque d’offrir une plus grande cible aux cyberattaques et que le secteur de la santé a souvent été la cible d’attaques au cours des dernières années. Des laboratoires, des hôpitaux et des systèmes de santé ont été attaqués; ils ont alors été soumis à un chantage ou se sont retrouvés dans l’impossibilité d’utiliser leur système.
Ce système de santé plus vaste et interconnecté crée des effets négatifs et offre une cible plus vaste, ce qui signifie que les effets en cas de pépin seront aussi plus vastes.
Voici donc ma question : la sécurité sanitaire a-t-elle été prise en compte dans le contexte du projet de loi C-8? Y a-t-il eu des discussions sur la possibilité de désigner les systèmes d’information sur la santé, comme les dossiers de santé électroniques, en tant que systèmes critiques, de sorte qu’ils soient visés par les protections en matière de cybersécurité prévues dans le projet de loi?
Je vous remercie de votre question. Je n’ai pas connaissance, à ce stade, de discussions allant dans ce sens. On espère que les provinces s’inspireront de cette loi. Je suis certain que, du côté fédéral, on serait disposé à entamer des discussions, mais je vais en parler avec les responsables et je vous tiendrai au courant.
Si vous pouviez lancer une discussion à ce sujet ou, à tout le moins, en parler aux responsables, ou encore si cette question pouvait être abordée par le comité, je vous en serais reconnaissante. Je me demande si c’est possible.
C’est tout à fait logique, et je suis prêt à le faire.
Sénateur McNair, assurément, le document sur l’analyse comparative entre les sexes plus, ou ACS Plus, préparé par le gouvernement pour le projet de loi C-8 a un point en commun avec celui du projet de loi C-26. Ce document de deux pages ne mentionne les femmes et les filles qu’une seule fois. Voici tout ce qu’on dit dans le document sur l’ACS Plus du projet de loi C-8 :
Cependant, les données probantes indiquent que les femmes et les filles sont plus susceptibles d’être victimes d’activités criminelles liées aux progrès de l’intelligence artificielle et à la cybercriminalité, y compris la cyberviolence.
Sénateur McNair, s’il tient tant à se livrer à cet exercice, pourquoi le gouvernement libéral ne rédige-t-il pas des documents sur l’ACS Plus pertinents?
D’après ce que je comprends, l’ACS Plus est annexée à un mémoire au Cabinet et n’est pas censée être un document public. Un résumé de l’analyse a été préparé et fourni aux membres du comité; c’est du moins ce qu’on a fait par le passé, et je suppose qu’on a encore procédé ainsi dans ce cas-ci. Je vais m’informer auprès des fonctionnaires pour savoir pourquoi il n’y a pas plus de mentions comme vous l’indiquez.
Oui, j’ai récemment entendu parler du fait que cela relève de la confidentialité des délibérations du Cabinet. Qu’il s’agisse d’un résumé ou d’un autre document, pour avoir lu ce genre de documents du gouvernement pendant 10 ans, et compte tenu des sujets dont il est question ici, je dirais bien franchement que je ne comprends pas pourquoi on prétendrait que cela relève de la confidentialité des délibérations du Cabinet.
Le ministère de la Justice nous fournit généralement non seulement un résumé, mais un vrai document sur l’analyse comparative entre les sexes plus. Comme je n’ai pas vu le document original, je ne peux pas savoir si on y mentionne les femmes et les filles beaucoup plus souvent. Tout ce que je vois ici, c’est une seule mention qui ressemble à une simple parenthèse. Si vous le pouvez, je vous prie de leur demander pourquoi ils prétendent que cela relève de la confidentialité des délibérations du Cabinet. Il ne me semble pas y avoir quoi que ce soit qui soit le moindrement confidentiel.
Cette question pourrait peut-être également être posée aux représentants du gouvernement dans le cadre de l’examen en comité.
