En juin 2022, le gouvernement fédéral introduisait sa toute première loi fédérale d'application générale sur la cybersécurité visant à protéger les infrastructures essentielles. L'accueil qui lui a d'abord été réservé a été discret, mais positif. Le projet de loi n'a pas franchi l'étape de la première lecture, et depuis l'examen initial qu'en a fait Gowling WLG, de nombreux groupes l'ont éreinté de critiques accablantes.
Que prévoit le projet de loi C-26?
Le projet de loi C-26, auparavant intitulé Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois, établit des obligations positives en faveur de la cybersécurité (et non en matière de protection de la vie privée) pour les exploitants d'infrastructures essentielles. Le projet de loi comporte deux volets :
- des amendements apportés à la Loi sur les télécommunications : le projet de loi modifie la Loi sur les télécommunications fédérale afin d'autoriser le gouvernement à imposer certaines obligations aux fournisseurs de services de télécommunications afin de « sécuriser le système canadien de télécommunication », et
- la Loi sur la protection des cybersystèmes essentiels (la « LPCE » ) : le projet de loi introduit également une loi tout à fait nouvelle qui confère au gouvernement le pouvoir de désigner certains services et systèmes comme étant « critiques » et d'imposer aux exploitants de ceux-ci des obligations en matière de protection des données, d'exiger le signalement obligatoire des incidents de cybersécurité, et de faciliter l'échange de renseignements relatifs à des menaces « entre les parties concernées ».
L'annexe 1 de la LPCE désigne comme étant critiques les services et systèmes suivants (tous les domaines de compétence fédérale existants en vertu de la répartition constitutionnelle des pouvoirs):
- Services de télécommunication
- Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux
- Systèmes d'énergie nucléaire
- Systèmes de transport relevant de la compétence législative du Parlement
- Systèmes bancaires
- Systèmes de compensations et de règlements
Les mécanismes d'application de la LPCE comprennent :
- le pouvoir d'émettre des ordres de conformité;
- le pouvoir d'ordonner à un exploitant d'effectuer des vérifications internes afin d'aider l'organisme réglementaire concerné à déterminer le degré de conformité d'un exploitant avec la LPCE et les règlements y afférents;
- le pouvoir d'effectuer des perquisitions des lieux (évidemment sans mandat, sauf lorsque la perquisition doit être effectuée dans une « maison d'habitation », c'est-à-dire une résidence privée) afin de vérifier le respect ou de prévenir le non-respect de la LPCE et des règlements y afférents, et dans le cadre de telles perquisitions, d'accéder à tout « cybersystème » se trouvant sur les lieux ainsi qu'aux renseignements qu'il contient, d'emporter des documents ou registres se trouvant sur les lieux et/ou d'en faire des copies;
- la possibilité d'obtenir des mandats ex parte afin d'effectuer des perquisitions dans des maisons d'habitation;
- lorsqu'un mandat l'autorise, le pouvoir de faire usage de la force afin d'effectuer des perquisitions dans des maisons d'habitation;
- la possibilité d'imposer des pénalités administratives pouvant s'élever jusqu'aux montants suivants :
- un million de dollars par personne physique (soit un administrateur ou un dirigeant, qui en cas d'une violation, « l'[a] ordonnée ou autorisée, ou qui y [a] consenti ou participé »), ou
- quinze millions de dollars par organisation.
La LPCE établit également des infractions punissables par procédure sommaire et des actes criminels pour les violations des dispositions de la LPCE (par exemple, le défaut d'établir un programme de cybersécurité, de le mettre en œuvre et d'en assurer la mise à jour peut constituer un acte criminel).
Lorsqu'une infraction a lieu, la loi prévoit une exemption de responsabilité pour les dirigeants et les administrateurs, si ces derniers ont rempli, de bonne foi, leurs obligations aux termes de la LPCE. En cas de contravention à la loi, il est possible d'invoquer un moyen de défense fondé sur le respect des exigences de diligence raisonnable.
Critique des droits civils
À la fin du mois de septembre 2022, l'Association canadienne des libertés civiles, ainsi qu'un collectif comprenant la Coalition pour la surveillance internationale des libertés civiles, le Conseil du Canada de l'accès et la vie privée et plusieurs autres groupes et universitaires, ont publié une « Lettre de préoccupation conjointe concernant le projet de loi C-26[1]. » Tout en exprimant son accord sur l'objectif d'améliorer la cybersécurité, la lettre conjointe poursuit en affirmant que le projet de loi « est profondément problématique et doit être corrigé », car il « risque de miner nos droits à la vie privée ainsi que les principes de gouvernance responsable et d'application régulière de la loi ».
La lettre conjointe évoque plusieurs sujets de préoccupation, dont les suivants :
- Surveillance accrue : Le projet de loi habilite le gouvernement fédéral à secrètement « ordonner aux fournisseurs de services de télécommunication de faire ou de s'abstenir de faire toute chose qu'il précise (…) et qu'il estime nécessaire pour sécuriser le système canadien de télécommunication, notamment face aux menaces d'ingérence, de manipulation ou de perturbation ». Bien que cette partie du projet de loi (art. 15.2(2)) donne plusieurs exemples de ce que « faire toute chose nécessaire » pourrait signifier – par exemple, interdire aux fournisseurs de services de télécommunications d'utiliser des produits ou des services spécifiques de certains fournisseurs, ou exiger des fournisseurs de services qu'ils élaborent des plans de sécurité – les signataires de la lettre craignent que le pouvoir d'ordonner à un fournisseur de services de télécommunications de « faire toute chose nécessaire » « ouvre la porte à l'imposition d'obligations de surveillance aux entreprises privées et à d'autres risques telles des normes de cryptage affaiblies ».
- Résiliation des services essentiels : Le projet de loi C-26 autorise le gouvernement à « interdire à une personne ou à une entreprise de recevoir des services spécifiques et interdire à toute entreprise d'offrir ces services à d'autres, par décret gouvernemental secret », ce qui augmente le risque pour « les entreprises ou […] des particuliers canadiens [d'être] coupés de services essentiels sans explication. »
- Atteinte à la vie privée : Le projet de loi permet la collecte de données auprès des exploitants désignés, ce qui pourrait autoriser le gouvernement à « obtenir des informations personnelles identifiables et anonymisées et de les distribuer ensuite à des organisations nationales, voire étrangères ».
- Absence de « garde-corps pour limiter les abus » : Le projet de loi autoriserait le gouvernement à agir, sans qu'il soit préalablement tenu de réaliser des évaluations de proportionnalité, de confidentialité ou d'équité pour se prémunir contre les abus, ce qui inquiète les signataires de la lettre, étant donné la sévérité des sanctions prévues par la loi.
- Ordres secrets minant l'imputabilité, l'application régulière de la loi et la réglementation publique : Une bonne partie des inquiétudes des signataires de la lettre tient au secret dans lequel les ordres du gouvernement, émis en vertu du projet de loi, pourraient être enveloppés, sans obligation d'en rendre compte au public. Dans de telles conditions, les groupes de droits et le public n'auraient aucun moyen de surveiller et de contrôler la façon dont les pouvoirs sont exercés dans le cadre du projet de loi. Le secret lié à ces ordres pourrait nuire à la capacité des opérateurs assujettis à ces ordres de les contester en justice, car les éléments de preuve déterminants concernant les ordres secrets (nécessaires en cas de contestation judiciaire) pourraient également être dissimulés aux exploitants.
- Risque d'abus de pouvoir du CST : La LPCE permettrait au Centre de la sécurité des télécommunications (l'organisme fédéral responsable de la cybersécurité, mais surtout du renseignement d'origine électromagnétique) d'accéder à de grands volumes de données sensibles, mais elle ne limiterait pas l'utilisation de ces données à son mandat de cybersécurité[2].
Citizen LAB, un laboratoire de recherche universitaire analysant les menaces numériques contre la société civile, a publié un rapport[3] sur la lettre conjointe. S'intéressant plus particulièrement aux amendements apportés à la Loi sur les télécommunications, le rapport soulève d'autres questions relatives au projet de loi C-26, dont les suivantes :
- Coûts de conformité : Les fournisseurs de services de télécommunications n'étant pas tous de grandes entreprises, les coûts nécessaires pour se conformer aux ordonnances rendues en vertu de la loi modifiée (lesquels pourraient inclure un changement de fournisseur de services et/ou le remplacement d'équipements déjà achetés), « pourraient menacer la viabilité des petits fournisseurs »;
- Langage vague : Le rapport souligne que :
- des termes clés du projet de loi, tels que « ingérence », « manipulation » et « perturbation » (lesquels habilitent le gouvernement à donner des ordres contraignants pour les fournisseurs de services de télécommunications) ne sont pas définis;
- l'étendue des pouvoirs du ministre de l'Industrie pour donner des ordres n'est pas précisée; et
- le projet de loi n'explique pas comment les renseignements permettant d'identifier des Canadiens (qui touchent aux obligations en vertu des lois fédérales actuelles et proposées sur la protection de la vie privée) doivent être traités et protégés.
Le Citizen Lab ne formule pas moins de 30 recommandations distinctes pour résoudre la pléthore de problèmes qu'il relève dans le projet de loi C-26.
Critique du monde des affaires
Le Conseil canadien des affaires a publié sa propre lettre, adressée au ministre de la Sécurité publique, exprimant les préoccupations du monde des affaires au sujet du projet de loi C-26. S'attardant sur la Loi sur la protection des cybersystèmes essentiels proposée, le Conseil exprime les inquiétudes suivantes :
- Absence d'une approche fondée sur le risque : La LPCE exige que tous les exploitants, relevant de la compétence de la loi, peu importe leur maturité en matière de cybersécurité adoptent les mêmes mesures. Autrement dit, de nombreux exploitants d'infrastructures critiques disposant déjà de programmes de cybersécurité solides devront supporter des coûts supplémentaires pour se conformer à la LPCE, et ce, sans qu'ils en retirent un quelconque avantage.
- L'échange d'information est à sens unique : Les exploitants sont tenus de fournir des renseignements au gouvernement, mais ne reçoivent, de lui ou d'autres exploitants, rien en retour. Ce faisant, le projet de loi rate l'occasion de mettre en place un régime d'échange d'information qui pourrait profiter à tous les exploitants régis par la loi.
- Le seuil légal pour émettre des directives est trop bas : Dans la version actuelle du projet de loi, le gouvernement peut donner aux exploitants des ordres secrets « en vue de la protection d'un cybersystème essentiel » (art. 20(1)). Le Conseil craint que ce seuil soit suffisamment flou pour que des ordres puissent être donnés, même lorsque la menace pour un système critique est négligeable et ne constitue donc pas un danger crédible pour la sécurité nationale du Canada.
- Sanctions : Le Conseil estime que les pénalités financières et les peines d'emprisonnement proposées pour encourager les exploitants à adopter les mesures qu'impose la LPCE afin d'améliorer leur posture en matière de cybersécurité, sont indûment élevées et inutiles
- Fuite des cerveaux : Que leur responsabilité personnelle puisse être engagée dans le cas de certaines infractions à la LPCE pourrait dissuader les professionnels de la cybersécurité d'accepter des emplois au Canada (le Conseil rappelle que plus de 25 000 postes dans le domaine sont vacants au Canada).
Au total, la lettre du Conseil propose 21 mesures pour améliorer la LPCE et quatre recommandations pour modifier les amendements proposés à la Loi sur les télécommunications.
Conclusion
Bien qu'au cours des prochaines semaines, d'autres groupes soient susceptibles de commenter le projet de loi C-26, les parties concernées semblent estimer qu'il comporte une multitude de failles d'ordre technique, conceptuel et fondamental. Il sera intéressant de voir si et comment le projet de loi passera l'étape de son examen en comité.
[2] Même si la lettre conjointe ne le mentionne pas, la directrice du Programme de confidentialité, de technologie et de surveillance de l'Association canadienne des libertés civiles a publiquement exprimé la crainte que le CST partage ces données avec des organisations de renseignement étrangères et qu'il ne soit pas en mesure de contrôler la façon dont celles-ci exploitent ces données. Elle évoque l'exemple historique de l'échange de renseignements conclu avec les autorités américaines, lequel a mené aux actes de torture subis par le Canadien Maher Arar. Brenda McPhail, « The Law Bytes Podcast, Episode 142: CCLA's Brenda McPhail on the Privacy and Surveillance Risks in Bill C-26. »