Aller au contenu

Projet de loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois

Projet de loi modificatif--Deuxième lecture--Ajournement du débat

19 septembre 2024


L’honorable John M. McNair [ + ]

 propose que le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois, soit lu pour la deuxième fois.

 — Honorables sénateurs, je prends la parole aujourd’hui en tant que parrain du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Chers collègues, ce projet de loi est d’une importance capitale. Les cybermenaces sont devenues omniprésentes dans notre société. Ces dernières années, nous avons assisté à des cyberattaques de plus en plus sophistiquées dans tout le pays. Elles mettent en péril nos infrastructures essentielles et nuisent à la capacité des Canadiens à vaquer à leurs occupations quotidiennes. Il existe de nombreux exemples de cyberattaques, et je voudrais mentionner brièvement quelques-uns d’entre eux.

En mai dernier, une grande chaîne de pharmacies a été la cible d’une attaque par rançongiciel et a dû fermer ses 79 magasins pendant plus d’une semaine. De nombreux Canadiens se sont retrouvés dans la situation difficile de ne pas pouvoir faire exécuter des ordonnances vitales sans avoir été prévenus à l’avance. En outre, les pirates ont divulgué des données sensibles volées à des employés.

Un exemple quelque peu différent est l’attaque par rançongiciel qui a mis hors service les systèmes informatiques de la bibliothèque publique de Toronto en octobre 2023. Voici un extrait d’un article de la CBC sur l’incident :

La bibliothèque publique de Toronto est le réseau de bibliothèques publiques urbaines le plus fréquenté au monde. Les membres ont fait environ 27 millions d’emprunts dans sa collection de 11 millions de documents en 2022 [...]

Toujours selon cet article, en octobre 2023, des cybercriminels ont crypté leurs systèmes informatiques et volé les données d’employés. La bibliothèque n’a pas payé de rançon pour restaurer ses systèmes. Elle a préféré les reconstruire, tout en gardant ses portes ouvertes au public.

La bibliothèque publique de Toronto offre des services essentiels, notamment l’accès à Internet et un havre public gratuit, en plus de prêter chaque jour des livres, des disques compacts et des DVD. Il a fallu quatre mois pour rétablir les services en ligne de la bibliothèque.

Au mois de mars dernier, la Ville de Hamilton, en Ontario, a été victime d’une attaque par rançongiciel qui a paralysé plusieurs de ses services en ligne. Les services essentiels de Hamilton n’ont pas été touchés, mais les cyberattaques contre les réseaux municipaux peuvent entraîner des situations dangereuses si elles visent les systèmes d’urgence, d’approvisionnement en eau ou de traitement des eaux usées.

En 2020, le réseau informatique de la Ville de Saint John a fait l’objet d’une attaque par rançongiciel qui a forcé l’administration à se déconnecter du reste du monde. Je vivais et travaillais à Saint John à l’époque et je ne me souviens que trop bien de cette attaque. Le 13 novembre, des pirates informatiques ont lancé une attaque par rançongiciel contre les systèmes informatiques de la Ville de Saint John. Lorsqu’elle l’a découverte, la Ville a immédiatement coupé ses liens informatiques avec le monde extérieur pour empêcher la propagation du virus et a mis en place un site Web temporaire pour assurer la reprise rapide des services municipaux. Des processus informatiques de rechange ont dû être conçus rapidement, ce que Saint John a réussi à faire avec brio.

Une analyse réalisée par une société d’experts indépendants a permis de déterminer qu’aucun renseignement d’identification, notamment les numéros de carte de crédit, les coordonnées bancaires et les numéros d’assurance sociale, n’avait été divulgué ou volé. De plus, malgré la cyberattaque, presque tous les services municipaux ont été maintenus avec un minimum de perturbations. Cela comprend les interventions d’urgence, la collecte d’ordures, l’approvisionnement en eau, le traitement des eaux usées, la réfection des routes, la gestion des tempêtes hivernales, les transports en commun et les réunions du conseil municipal. La Ville a rapidement établi que la réparation des systèmes existants n’était pas une option envisageable vu le degré de pénétration du virus. Au lieu de cela, elle a décidé de suivre l’exemple de la bibliothèque publique de Toronto et de mettre en place un réseau entièrement nouveau. Ce nouveau réseau leur permettrait de tirer profit des dernières innovations en matière de cybersécurité et de conception de réseau, tout en éliminant le risque de voir subsister des vestiges du virus.

Cet incident a contraint Saint John à améliorer ses cyberdéfenses. Le directeur municipal a souligné, dans une mise à jour adressée au conseil municipal, qu’il ne s’agit plus de savoir si une société ou une entité sera attaquée, mais plutôt quand. Il a ajouté :

[...] il ne fait aucun doute que les institutions avec lesquelles quiconque interagit seront victime de violations et que, parfois, vous ne le saurez même pas [...]

C’est pourquoi la Ville a partagé les leçons qu’elle a tirées de son expérience avec de nombreuses organisations des secteurs public et privé, ainsi qu’avec des intéressés aux niveaux provincial et fédéral.

Il y a également une augmentation de l’activité et des cyberattaques à l’échelon provincial. Plus tôt cette année, de nombreux incidents de cybersécurité ont été signalés sur les réseaux du gouvernement de la Colombie-Britannique. L’an dernier, Hydro-Québec a été victime d’un cyberincident sur son site Web. En 2021, le système de santé de Terre-Neuve-et-Labrador a été ciblé, ce qui a entraîné une importante panne de ses systèmes de TI.

Au niveau fédéral, un certain nombre de ministères ont également été ciblés au cours des derniers mois. Je suis sûr que nous nous souvenons tous de l’annonce faite par le gouvernement du Canada en 2020 nous apprenant que des auteurs de cyberattaques avaient eu accès à des renseignements personnels détenus par l’Agence du revenu du Canada et Emploi et Développement social Canada qu’ils avaient modifiés pour en retirer des gains financiers. Cette attaque a compromis les renseignements personnels sensibles de dizaines de milliers de Canadiens.

Chers collègues, de nos jours, il est essentiel pour tous les Canadiens d’être branchés en ligne afin de rester en contact avec leurs proches, de faire des affaires, de payer des factures et d’accéder aux services dont ils ont besoin. Aujourd’hui plus que jamais, les Canadiens comptent sur Internet dans leur vie quotidienne. Nos infrastructures essentielles sont de plus en plus interconnectées, interdépendantes et intégrées aux cybersystèmes, et les cyberattaques comme celles que je viens de mentionner ont de vastes répercussions sur notre pays.

Ces exemples de cyberattaques indiquent clairement que tous les secteurs sont menacés : nos banques, nos services publics, nos entreprises et nos gouvernements. En termes clairs, on parle de toutes nos infrastructures essentielles. Malheureusement, le nombre et le degré de complexité des attaques sont de plus en plus élevés. Le Centre de la sécurité des télécommunications a déclaré que la cybercriminalité est désormais la menace la plus répandue et la plus omniprésente pour la population et les entreprises au Canada.

Au début de l’année, le Centre canadien pour la cybersécurité, qui relève du Centre de la sécurité des télécommunications, s’est joint aux partenaires opérationnels du Groupe des cinq pour signaler que des cybercriminels parrainés par des États étrangers cherchent à se préparer à lancer des cyberattaques perturbatrices ou destructrices contre les infrastructures essentielles des pays membres. Les cyberactivités malveillantes telles que l’espionnage, le vol de données et de propriété intellectuelle et le sabotage constituent des menaces majeures pour la sécurité nationale et la stabilité économique du Canada. Comme ce fut le cas pour la Ville de Saint John, la question n’est plus de savoir « si » nos systèmes seront attaqués, mais bien « quand » les attaques auront lieu.

Permettez-moi d’être clair au sujet des lacunes stratégiques que le projet de loi C- 26 est censé combler. Tout d’abord, les ministres de certains secteurs d’infrastructures essentielles, comme ceux qui s’occupent des secteurs de l’énergie, des finances et des transports, ont tous un mandat en matière de sécurité. Ce n’est pas le cas du secteur des télécommunications, qui est manifestement vulnérable aux cyberattaques. Il convient de combler cette lacune. Deuxièmement, lors des consultations publiques de 2016 qui ont abouti à la stratégie nationale de cybersécurité de 2018, l’industrie a souligné la nécessité d’une réglementation en matière de cybersécurité, un espace qui n’a pratiquement pas été réglementé. Troisièmement, le gouvernement ne dispose pas actuellement d’une autorité juridique claire et explicite lui permettant d’imposer des mesures pour lutter contre les menaces ou pour corriger les vulnérabilités en matière de cybersécurité. Cela entrave considérablement notre capacité à riposter. Quatrièmement, les organisations ne sont pas tenues de signaler qu’elles ont été la cible d’une cyberattaque. Rendre les signalements obligatoires viendrait améliorer l’échange d’informations sur les cybermenaces entre le secteur privé et le gouvernement du Canada, dans l’intérêt de l’industrie et des gouvernements.

Le projet de loi C-26 comprend deux initiatives complémentaires qui aideront à doter les gouvernements et l’industrie des outils dont ils ont besoin pour répondre aux cybermenaces. La partie 1 modifie la Loi sur les télécommunications afin d’ajouter la promotion de la sécurité aux objectifs de la loi et de créer de nouveaux pouvoirs qui pourraient servir à protéger le système de télécommunications du Canada contre les menaces posées par les fournisseurs à haut risque. Cela permettra au secteur des télécommunications de s’aligner sur les autres secteurs d’infrastructure essentiels que sont l’énergie, les finances et les transports.

Les modifications apportées à la Loi sur les télécommunications autoriseront le gouverneur en conseil et le ministre de l’Innovation, des Sciences et de l’Industrie à ordonner, au moyen de directives de cybersécurité, aux fournisseurs de services de télécommunication de faire ou de s’abstenir de faire toute chose nécessaire pour sécuriser le système canadien de télécommunication.

La partie 1 établit également un régime de sanctions administratives pécuniaires afin de favoriser le respect des décrets, arrêtés et règlements pris par le gouverneur en conseil et le ministre de l’Industrie pour sécuriser le système canadien de télécommunication. Surtout, elle prévoit des règles relatives au contrôle judiciaire de ces textes.

Le projet de loi permettra au gouvernement, si nécessaire, d’interdire aux fournisseurs canadiens de services de télécommunications d’utiliser des produits ou des services provenant de fournisseurs à haut risque, afin que ces risques ne soient pas transmis aux utilisateurs. Par exemple, si le projet de loi est adopté, il donnera au gouvernement la capacité d’interdire les produits ou les services provenant de fournisseurs chinois comme Huawei et ZTE.

En vertu de ces nouveaux pouvoirs, les fournisseurs de services de télécommunications pourraient se voir interdire l’utilisation de tous les produits et services provenant des fournisseurs désignés ou être obligés de retirer ces produits et services.

La partie 1 permet également au gouvernement de prendre des mesures de sécurité, tout comme d’autres organismes de réglementation fédéraux peuvent le faire dans leurs secteurs d’infrastructures essentielles respectifs.

La partie 2 du projet de loi C-26 édicte la nouvelle Loi sur la protection des cybersystèmes essentiels. Cette loi prévoit un cadre réglementaire intersectoriel qui oblige les opérateurs désignés dans les secteurs sous réglementation fédérale de la finance, des télécommunications, de l’énergie et des transports à protéger leurs cybersystèmes essentiels.

Entre autres choses, la partie 2 autorise expressément le gouverneur en conseil à désigner des services ou systèmes critiques; elle autorise le gouverneur en conseil à établir des catégories d’exploitants relativement aux services ou aux systèmes critiques; elle exige notamment que les exploitants désignés, entre autres, établissent et mettent en œuvre des programmes de cybersécurité, atténuent les risques associés aux chaînes d’approvisionnement et aux tiers, signalent les incidents de cybersécurité et, surtout, se conforment aux directives de cybersécurité. Elle prévoit aussi l’échange de renseignements entre les parties concernées. De plus, elle autorise le contrôle d’application des obligations prévues par la loi et prévoit des conséquences en cas de non-conformité.

La partie 2 apporte également des modifications corrélatives à certaines lois.

À l’heure actuelle, le moins que l’on puisse dire, c’est que le signalement d’incidents par les organisations manque de cohérence. C’est pour cette raison que le gouvernement fédéral n’a pas une idée claire de l’ampleur et de l’étendue des cyberattaques contre des infrastructures essentielles. Les Canadiens font confiance aux exploitants d’infrastructures essentielles et ils comptent sur eux pour leur offrir des services et protéger leurs données. Le signalement obligatoire des cyberincidents vise à aider les exploitants à assumer cette responsabilité.

Le gouvernement pourra fournir, en temps opportun, des renseignements sur les cybermenaces et des conseils sur l’atténuation des risques afin d’aider les exploitants à sécuriser leurs systèmes. La détection d’un risque par une organisation servira à la mise en place de mesures de prévention par une autre organisation.

De plus, cette partie du projet de loi C-26 vise également à servir de modèle aux partenaires provinciaux, territoriaux et municipaux afin qu’ils protègent les cyberinfrastructures essentielles des secteurs relevant de leurs compétences respectives. Idéalement, on pourrait ainsi éviter d’avoir un système disparate et harmoniser les programmes en cybersécurité d’un partenaire du gouvernement à l’autre.

Le projet de loi C-26 bénéficiait de l’appui de tous les partis à l’autre endroit, mais des intervenants ont tout de même suggéré quelques amendements afin de le renforcer. Le Comité permanent de la sécurité publique et nationale de la Chambre des communes a donc adopté un certain nombre d’amendements. Il s’agit notamment d’un amendement ajoutant une norme de caractère raisonnable pour l’émission des décrets ou arrêtés et des directives en matière de cybersécurité; d’un amendement mettant en œuvre des dispositions d’examen afin de garantir que le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement puissent examiner les décrets, arrêtés et directives du gouvernement; d’un amendement exigeant que le ministre de l’Industrie et le ministre de la Sécurité publique déposent un rapport annuel sur les décrets, arrêtés et directives émis; d’un amendement faisant explicitement référence aux dispositions de la Loi sur la protection des renseignements personnels; d’un amendement fixant à 72 heures le délai maximal dont disposent les exploitants d’infrastructures essentielles concernés pour signaler une attaque au Centre canadien pour la cybersécurité — ce qui, soit dit en passant, est conforme aux normes de notification américaines; et d’un amendement indiquant que le gouvernement fédéral s’engage à collaborer avec les provinces et les territoires. Par ailleurs, un amendement précise que les entreprises qui prennent toutes les mesures raisonnables pour protéger leurs cybersystèmes essentiels peuvent invoquer cette défense dans le cadre d’une procédure. Enfin, un amendement a mis à jour les dispositions relatives au partage d’informations afin de garantir que toutes les informations confidentielles fournies au gouvernement par les exploitants d’infrastructures essentielles réglementés resteront confidentielles.

Je suis d’avis que les amendements adoptés répondent de manière appropriée aux préoccupations soulevées sur la nécessité d’un contrôle et d’une transparence accrus, ainsi que sur la nécessité de protéger la vie privée.

Le projet de loi C-26 a été rédigé de manière à respecter la vie privée et les libertés civiles, tout en tenant compte de la nécessité d’assurer la sécurité des Canadiens ainsi que la sécurité nationale. Bien que la vie privée soit protégée par un certain nombre d’instruments constitutionnels et législatifs, les amendements apportés au projet de loi garantissent encore davantage que les renseignements personnels et la vie privée seraient protégés conformément à la Loi sur la protection des renseignements personnels.

Le projet de loi précise également que les renseignements confidentiels doivent continuer à être traités comme tels par quiconque les reçoit lorsqu’il est nécessaire de les communiquer. En outre, les amendements adoptés renforceront la transparence et, ce faisant, permettront aux Canadiens de demander des comptes aux autorités.

Honorables sénateurs, de l’espionnage électronique aux rançongiciels, les menaces que font peser sur les Canadiens les cyberactivités malveillantes, y compris les cyberattaques, sont plus grandes que jamais. Le projet de loi C-26 aidera les exploitants d’infrastructures essentielles à mieux se préparer aux cyberattaques, à les prévenir et à y réagir. Alors que les réseaux 5G continuent d’être installés au Canada, le gouvernement s’est engagé à profiter des possibilités qu’ils offrent tout en protégeant les Canadiens des risques qui les accompagnent. Cela implique de prendre des mesures importantes pour protéger les cybersystèmes et les infrastructures dont tout le monde dépend.

Modifier la Loi sur les télécommunications afin d’ajouter la sécurité aux objectifs de la politique alignera les télécommunications sur d’autres secteurs essentiels de notre économie. Les modifications que l’on propose d’apporter à la Loi sur les télécommunications permettront au gouvernement d’exiger la prise des mesures nécessaires pour sécuriser le système de télécommunications du Canada, y compris en interdisant aux entreprises canadiennes d’utiliser des produits et des services provenant de fournisseurs à haut risque.

En outre, la nouvelle Loi sur la protection des cybersystèmes essentiels sera un grand pas en avant pour protéger les infrastructures essentielles du Canada. Elle intensifiera les échanges de renseignements entre l’industrie et le gouvernement en exigeant que les exploitants désignés des infrastructures essentielles signalent les incidents touchant la cybersécurité au Centre de la sécurité des télécommunications, au Centre canadien pour la cybersécurité et aux organismes réglementaires de l’industrie.

Avec une meilleure connaissance des menaces en ligne dans les secteurs des finances, des télécommunications, de l’énergie et du transport, des secteurs essentiels sous réglementation fédérale, le gouvernement sera mieux en mesure de prévenir les exploitants de l’existence possible de menaces pour que ceux-ci puissent prendre immédiatement des mesures afin de protéger leurs systèmes et de protéger les Canadiens.

Au XXIe siècle, la cybersécurité est une composante essentielle de la sécurité nationale. Il incombe au gouvernement de protéger les Canadiens contre les cyberattaques qui s’intensifient.

Nous sommes tous conscients que le retour à la normale après un incident de cybersécurité demande à la fois beaucoup d’argent et beaucoup de temps. Par conséquent, l’amélioration de la cybersécurité est un enjeu qui touche autant les intérêts du gouvernement que ceux du secteur privé. Néanmoins, un cadre de sanctions administratives pécuniaires a été ajouté et des dispositions relatives aux infractions sont établies dans les deux parties du projet de loi afin d’assurer le respect des arrêtés, des décrets et des règlements. Des amendes et des peines d’emprisonnement sont prévues pour les infractions punissables sur déclaration de culpabilité par procédure sommaire et ou par voie de mise en accusation.

Par exemple, la partie 1 créerait une infraction pour le non‑respect d’un règlement, d’un décret du gouverneur en conseil ou d’un arrêté du ministre de l’Industrie. La partie 2 du projet de loi créerait un certain nombre d’infractions punissables sur déclaration de culpabilité par procédure sommaire et d’infractions hybrides pour la violation de certaines dispositions de la loi. Ces infractions comprennent le non-respect de directives de cybersécurité, la communication d’information au sujet de l’existence ou du contenu d’une directive de cybersécurité et la communication de renseignements confidentiels dans des circonstances où la communication n’est pas permise par la loi. De plus, une organisation qui ne produit pas les rapports exigés ou qui n’établit pas de programme de cybersécurité s’exposera à des pénalités.

Chers collègues, disons-le franchement, tant que ce projet de loi n’est pas adopté, le Canada demeure une cible facile pour les cybercriminels. Nos alliés du Groupe des cinq sont déjà à des années-lumière en avance sur nous en matière de renforcement de la cybersécurité. Nous devons les rattraper. En résumé, la partie 1 du projet de loi C-26 garantit que le secteur des télécommunications peut être réglementé afin de sécuriser le système de télécommunications canadien, et que le gouvernement peut agir rapidement dans un secteur où les millisecondes peuvent faire la différence entre la sécurité et le risque.

La partie 2 établit une approche intersectorielle de la cybersécurité dans quatre secteurs réglementés par le gouvernement fédéral.

En bref, ce projet de loi constituera la base de la sécurisation des infrastructures essentielles du Canada contre les cybermenaces en évolution rapide, tout en stimulant la croissance et l’innovation pour soutenir notre économie.

Soyons clairs : il ne manque pas d’acteurs malveillants qui, dans un but stratégique, financier ou criminel, cherchent à exploiter les vulnérabilités de nos cybersystèmes.

Aujourd’hui, nos cybersystèmes sont naturellement complexes et de plus en plus interdépendants avec d’autres infrastructures essentielles. Par conséquent, les failles de sécurité ont une grande portée. Les incidents tels que ceux que j’ai mentionnés précédemment ont des conséquences graves, durables et alarmantes pour les entités concernées, mais surtout pour les personnes dont la vie a été perturbée.

Une approche intersectorielle et systématique de la cybersécurité est nécessaire pour faire face à ce problème complexe. Je pense que ce projet de loi présente un bon équilibre.

Le projet de loi C-26 permettra au gouvernement de prendre des mesures contre les menaces qui pèsent sur la sécurité de nos secteurs des télécommunications, des transports, des finances et de l’énergie, et de veiller à ce que le Canada reste sûr, concurrentiel et bien connecté, tout en harmonisant nos pratiques avec celles de nos partenaires du Groupe des cinq.

Une fois de plus, chers collègues, la question n’est pas de savoir « si », mais « quand » nous prendrons une telle mesure.

J’espère que ce projet de loi sera adopté sans délai après un examen minutieux par le comité, et j’espère que mes collègues le soutiendront.

Merci, meegwetch.

L’honorable Colin Deacon [ + ]

Honorables sénateurs, je remercie le sénateur McNair de son discours convaincant à l’étape de la deuxième lecture de ce projet de loi. En effet, les acteurs malveillants sont nombreux et leurs méthodes sont plus sophistiquées que celles de la plupart des acteurs bienveillants. Vous avez présenté sous un jour favorable l’idée d’un ensemble continu et uniforme de systèmes normalisés pour assurer la cybersécurité et la sécurité nationale.

En particulier, en cas d’atteinte, l’exploitant est tenu de signaler le cyberincident au Centre de la sécurité des télécommunications dans les 72 heures, ce qui est une bonne chose. L’information concernant les atteintes à la cybersécurité serait ainsi toujours reçue par la même entité. En comparaison — et j’arrive ensuite à ma question —, en cas de communication non autorisée d’information, le projet de loi C-65 oblige les partis politiques à informer la personne concernée, non pas dans un délai précis, mais dès que possible, et ne les oblige aucunement à en aviser le Centre de la sécurité des télécommunications Canada.

Que pensez de cela? Avez-vous eu l’occasion de demander au ministre de la Sécurité, qui parraine les deux projets de loi, pourquoi les partis politiques sont traités différemment, alors qu’ils sont en possession d’un volume énorme de renseignements personnels sur tous les citoyens canadiens et sont sans doute la cible d’acteurs étrangers malveillants? Pourquoi cette disposition ne s’applique-t-elle pas à eux également? J’aimerais savoir ce que vous en pensez. Merci.

Le sénateur McNair [ + ]

Je vous remercie de la question. Je n’ai pas d’information précise à ce sujet. Je n’en ai pas discuté avec le ministre, mais je consulterai les fonctionnaires afin d’obtenir une réponse pour vous.

Le sénateur C. Deacon [ + ]

Merci.

L’honorable Denise Batters [ + ]

Honorables sénateurs, je suis la porte-parole pour ce projet de loi, mais j’ai appris que le parrain allait prononcer son discours à peine une heure avant le début de la séance aujourd’hui. Étant donné que je pensais que le discours aurait lieu plus tard, je n’ai pas encore assisté à la séance d’information pour la porte-parole. Je ne suis donc pas aussi préparée que je l’aurais aimé pour poser des questions de fond. C’est un gros projet de loi : il compte 90 pages. J’aurais voulu en savoir plus sur certains aspects du projet de loi parce que j’ai l’impression que c’est une mesure législative importante qui a une vaste portée.

Ma première question, sénateur McNair, est la suivante. Comme vous l’avez décrit dans votre discours, le projet de loi inclut de nombreuses dispositions qui accordent des pouvoirs au gouverneur en conseil, c’est-à-dire au Cabinet. Vous avez dit que la partie 1 lui accorde le pouvoir de faire toute chose nécessaire pour sécuriser le système canadien de télécommunication. C’est le Cabinet qui détient ce pouvoir. La partie 2 autorise le gouverneur en conseil à faire toutes sortes de choses. Le projet de loi accorde de vastes pouvoirs au Cabinet, à l’organe exécutif du gouvernement.

Quel type de mécanisme de surveillance le projet de loi C-26 prévoit-il pour encadrer ces grands pouvoirs dans le domaine de la cybersécurité? Je vois qu’il est question d’un contrôle judiciaire dans le sommaire du projet de loi. Toutefois, comme vous le savez grâce à votre bagage juridique, des limites très importantes restreignent souvent l’application d’un contrôle judiciaire.

Le sénateur McNair [ + ]

Je vous remercie pour votre question et votre commentaire, madame la sénatrice. Je m’excuse que vous n’ayez pas réalisé que nous allions passer à cette étape aujourd’hui. Je prends également note de vos observations sur les sections relatives au contrôle judiciaire. Il est nécessaire de présenter une demande dans ces cas.

Comme je l’ai indiqué, on peut compter sur l’examen mené par les deux organismes ainsi que sur l’ouverture ou la transparence du rapport annuel que les deux ministres déposeront. Je comprends qu’il est fait mention du gouverneur en conseil, comme vous l’avez dit, mais la loi prévoit des procédures pour soumettre une demande de contrôle judiciaire.

La sénatrice Batters [ + ]

Je vous remercie. Je vais devoir examiner de plus près les aspects concernant le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement. Vous avez mentionné que cela a été fait à la suite d’amendements proposés par le comité de la Chambre des communes. Je me serais attendue à une surveillance parlementaire encore plus grande à ce sujet. Si c’est le cas, pourriez-vous voir ce qu’il en est et me tenir au courant?

Je passe maintenant à ma deuxième question. Pourriez-vous nous en dire plus sur les infractions criminelles dont une personne pourrait être accusée en vertu de cette loi?

Le sénateur McNair [ + ]

Je vous remercie de la question. Je vais vous fournir de l’information à ce sujet. Les seuils ou les amendes maximales sont assez élevés, et il en a été question au comité de l’autre endroit, mais il y a une raison de veiller à ce qu’il y ait suffisamment de souplesse pour imposer des amendes adaptées en fonction des circonstances. Je vais obtenir l’information précise et je vous la ferai parvenir.

La sénatrice Batters [ + ]

Vous n’avez pas l’information maintenant?

Le sénateur McNair [ + ]

J’ai les dispositions législatives, mais au lieu de prendre le temps de les passer en revue maintenant, je vais fournir ma réponse plus tard.

Honorables sénateurs, je tiens à remercier le sénateur McNair d’avoir présenté ce projet de loi opportun et essentiel. Vous avez piqué ma curiosité lorsque vous avez parlé du pouvoir d’interdire des produits et des services. Vous avez cité Huawei comme exemple potentiel, et je voulais comprendre en quoi consiste l’interdiction des services. Je pense à l’article 15 du projet de loi, car je crois que c’est là que se trouvent les dispositions en question, mais j’aimerais bien comprendre. Cela pourrait-il, en principe, donner à un gouvernement le pouvoir d’interdire un service de médias sociaux comme TikTok, ou est-ce que ces dispositions ne s’appliquent qu’aux services utilisés par des exploitants désignés?

Le sénateur McNair [ + ]

Je vous remercie de votre question. Je crois comprendre que cela ne s’applique qu’aux opérateurs désignés et pas aux autres exemples que vous avez mentionnés.

La position officielle du gouvernement concernant les services de télécommunications indique clairement qu’il considère certains fournisseurs comme étant à haut risque et qu’il a l’intention d’interdire l’utilisation de certains produits et services de ces fournisseurs.

Je suis encore un peu perplexe. Cela signifie-t-il qu’une entreprise de télécommunications comme Rogers, Bell ou TELUS ne pourrait pas vendre ou proposer des téléphones Huawei, mais que les gens pourraient les acheter en tant que consommateurs indépendants? Je tiens à préciser les choses, parce que je trouve TikTok problématique. J’ai cessé d’utiliser ce service bien avant que le gouvernement ne donne ces lignes directrices aux fonctionnaires, car j’étais préoccupée par ce que j’avais lu à son sujet. Je veux comprendre de quoi nous parlons exactement quand nous interdisons l’utilisation des services.

Le sénateur McNair [ + ]

Je crois qu’il s’agit de services et non de téléphones, comme dans votre exemple. En ce qui concerne les téléphones Huawei, je ne pense pas qu’une décision ait été prise à ce stade-ci. Il s’agit du contexte plus large des services rendus par le fournisseur à haut risque.

L’honorable Pat Duncan [ + ]

Je vous remercie, sénateur McNair, pour cette présentation détaillée. Je suis heureuse d’avoir l’occasion de poser une question.

Il est question de fournisseurs à haut risque. En existe-t-il actuellement une liste? Je le demande parce que, comme tout le monde — j’en suis sûre — le sait parfaitement tant au Sénat qu’à l’autre endroit, les communications dans le Nord sont particulièrement vulnérables, et, dans certains cas, l’accès à des infrastructures comme Internet est inexistant, ou il y a une vulnérabilité particulière. Quand les réseaux existants de télécommunications tombent en panne, les gens se tournent en masse vers des solutions immédiates. Les technologies évoluent rapidement, et des solutions venant d’autres endroits et d’autres pays sont disponibles.

Existe-t-il, dans un bureau quelque part, une liste des fournisseurs à haut risque? Que se passe-t-il si le mal est fait? Quelles dispositions sont prévues pour les cas où des achats ont déjà été effectués?

Le sénateur McNair [ + ]

Je vous remercie de votre question, sénatrice Duncan. Je ne suis pas au courant de l’existence d’une liste à ce stade. Je vérifierai auprès des fonctionnaires. Nous avons assisté à une séance d’information technique le premier jour de notre retour et nous leur avons posé cette question.

N’oubliez pas que cela n’inclut que les fournisseurs et exploitants sous réglementation fédérale du système de télécommunications avec lesquels le gouvernement traite à un niveau très élevé. En ce qui concerne les plus petits fournisseurs et exploitants qui ont fait des investissements, le gouvernement en tient compte lorsqu’il s’apprête à donner des instructions en matière de cybersécurité et il peut imposer différentes conditions relatives à l’échéancier. Cependant, en ce qui concerne le matériel qui a déjà été acheté, je crois comprendre que, s’il le juge à haut risque ou à risque, il souhaite qu’il soit retiré graduellement du système, sauf s’il est essentiel qu’il soit retiré immédiatement. Dans votre cas, je suppose que le gouvernement les laisserait utiliser le matériel qui fonctionne comme une solution.

Si le sénateur McNair accepte de répondre à une autre question, j’aimerais aborder le fait que notre contexte géopolitique est en constante évolution. L’ennemi d’aujourd’hui pourrait être l’allié de demain, et un allié peut devenir bien vite un ennemi juré.

Je suis curieuse de savoir comment nous allons en tenir compte — je suis certaine que le projet de loi l’explique, et je m’excuse de ne pas l’avoir examiné plus en profondeur. Quels sont les critères pour déterminer ce qui constitue un risque élevé?

À titre d’exemple, je pense à la dépendance mondiale à l’entreprise SpaceX d’Elon Musk et au système de satellites Starlink, qui inclut de nombreux éléments des télécommunications canadiennes. Compte tenu des positions politiques de plus en plus imprévisibles de M. Musk, que ferions-nous si quelque chose d’aussi essentiel à nos infrastructures de communication devenait une source de problèmes?

Le sénateur McNair [ + ]

Bonne question, sénatrice Simons. Je n’ai pas de réponse à vous donner aujourd’hui.

Sachez que ce projet de loi, s’il est adopté, contient les pouvoirs nécessaires pour faire appliquer la loi. La prochaine étape sera la prise de règlements et la mise en place de certains des renseignements relatifs à la façon de procéder, et cela se fera en consultation, simultanément, avec les fournisseurs de services.

L’honorable Hassan Yussuff [ + ]

Sénateur McNair, je tiens d’abord à vous remercier de parrainer un projet de loi pour la première fois. Je suis conscient de l’énorme responsabilité, des nombreuses lectures et du travail préparatoire qu’une telle chose implique. Il s’agit manifestement d’une mesure législative très complexe. Nous aurons l’occasion de l’examiner au comité de manière beaucoup plus approfondie que nous le faisons actuellement au Sénat.

Toutefois, je crois qu’il est juste de dire que les Canadiens craignent beaucoup, en général, les cyberattaques contre de nombreux services qu’ils utilisent dans tout le pays, qu’il s’agisse d’une banque, de leur propre gouvernement, d’un hôpital ou d’une administration municipale. Je comprends le point que vous avez soulevé en ce qui concerne les pouvoirs qui seront accordés au Cabinet et qui lui permettront d’accomplir certaines choses qu’il pourrait avoir à faire, mais qui ne sont pas encore décrites explicitement dans le projet de loi.

Voici ma question fondamentale. Je suppose que les ministères nous ont assuré que le projet de loi est conforme à la Charte à tous égards, notamment en ce qui concerne les pouvoirs qui pourraient être accordés par décret. Ces pouvoirs ne doivent pas franchir une ligne importante qui nous protège et qui garantit que nos droits fondamentaux sont protégés au titre de cette mesure législative.

Le sénateur McNair [ + ]

Je vous remercie de la question, sénateur Yussuff. J’ai lu l’énoncé concernant la Charte, et le ministère confirme effectivement que le projet de loi est approprié. Il pourrait y avoir des contestations, mais, pour ce qui est des limites prévues dans le libellé actuel, le ministère est d’avis qu’elles sont raisonnables et justifiées dans une société libre et démocratique. Il s’agit d’atteindre un équilibre entre la protection de la vie privée et des libertés civiles et la protection des cybersystèmes et des infrastructures essentielles du pays.

La sénatrice Batters [ + ]

Sénateur McNair, j’aimerais revenir sur ce que vous venez de dire étant donné que je ne me suis pas encore penchée sur cet aspect. L’énoncé concernant la Charte indique-t-il, comme vous le disiez, qu’il y a infraction, mais qu’elle est justifiée par l’article 1? Pouvez-vous préciser ce point, s’il vous plaît?

Le sénateur McNair [ + ]

Je suis désolé si je n’ai pas été clair. Non, ce n’est pas ce que dit l’énoncé.

La sénatrice Batters [ + ]

Que dit-il?

Le sénateur McNair [ + ]

L’énoncé concernant la Charte indique que le projet de loi est approprié.

Haut de page