Le 3 juin 2025, le gouvernement du Canada a déposé le projet de loi C-2 exhaustif, la Loi visant une sécurité rigoureuse à la frontière, qui vise à protéger la sécurité aux frontières. La Partie 15 de ce projet de loi comprend de nouvelles mesures législatives regroupées sous le titre de Loi sur le soutien en matière d’accès autorisé à de l’information. Ces dernières établissent un cadre législatif qui autorise le gouvernement du Canada à obliger les fournisseurs de services électroniques (FSE) à faciliter l’accès à de l’information aux forces de l’ordre et aux agences de renseignements.

La Loi sur le soutien en matière d’accès autorisé à de l’information a une portée très large et prévoit que ses exigences les plus importantes seront définies par de futurs règlements. Elle accorde notamment un grand pouvoir discrétionnaire au ministre de la Sécurité publique et de la Protection civile et aux fonctionnaires désignés pour appliquer les nouvelles exigences, ce qui pourrait potentiellement perturber les activités des FSE et introduire des vulnérabilités dans leurs systèmes. Le manque de transparence de ce projet de loi et le libellé ambigu des définitions soulèvent des préoccupations en matière de confidentialité, de cybersécurité, et d’intégrité entourant les pratiques de partage d’information, autant d’éléments qui contribuent à la sécurité de l’Internet.

Pour vous aider à mieux comprendre la Loi sur le soutien en matière d’accès autorisé à de l’information, nous avons rédigé ce guide dans lequel nous expliquons en détail sa portée, ses exigences, ses mécanismes d’application et les sanctions qui y sont prévues.

Nous avons déterminé les aspects les plus préoccupants de ce projet de loi, et proposons certaines modifications qui pourraient l’améliorer.

Commentaires généraux

  1. Projet de loi distinct : 

La Partie 15 (Loi sur le soutien en matière d’accès autorisé à de l’information) devrait être retirée du projet de loi C-2 et repensée dans son entièreté. Cela permettrait d’examiner davantage l’ampleur de sa portée et la complexité de ses ramifications.

  1. Portée incertaine : 

Le projet de loi accorde des pouvoirs de réglementation de très grande portée, notamment en omettant de définir les termes clés comme « fournisseurs principaux » et « vulnérabilité systémique ». D’ailleurs, cet assujettissement important à la réglementation suscite une incertitude pour les parties prenantes.

  1. Discrétion ministérielle et application régulière de la loi : 

Le projet de loi accorde un grand pouvoir discrétionnaire au ministre lui permettant même de créer des règlements et d’établir des arrêtés sans faire l’objet de surveillance. De plus, de nombreuses obligations ne prévoient aucun recours garantis devant les tribunaux ou les organismes d’examen, et il est permis d’entrer dans les locaux non résidentiels sans mandat.

  1. Application générale d’obligations strictes : 

Le projet de loi pourrait s’appliquer à pratiquement tous les fournisseurs de services en raison de ses définitions vagues. L’expression « Fournisseurs principaux » n’est pas définie et pourrait inclure des fournisseurs de services de divers secteurs : télécommunications, applications de messagerie, moteurs de recherche, et plus encore.

  1. Incertitude en matière d’indemnité : 

Dans le cadre du projet de loi, l’indemnité pour compenser les frais encourus par les entités réglementées afin d’assurer leur conformité est laissée à la discrétion ministérielle, sans critères précis. Ceci empêche ces entités d’anticiper les éventuels fardeaux réglementaires et financiers.

  1. Sanctions excessives : 

Les sanctions prévues dans le projet de loi sont sévères et comprennent des amendes administratives pouvant s’accumuler chaque jour où une non-conformité est constatée, ce qui se traduit par une hausse rapide des coûts et des risques. Les dirigeants d’entreprises pourraient être tenus personnellement responsables, ce qui rend le régime d’application de la loi excessivement strict et imprévisible.

  1. Cyberrisque et vulnérabilité systémique : 

Le concept de « vulnérabilité systémique » n’y est pas défini, de sorte que les protections contre les vulnérabilités (porte dérobée) sont vagues et peu fiables. Ainsi, des règlements mal libellés pourraient compromettre la cybersécurité et augmenter les risques sectoriels.

  1. Entraves à la protection collaborative : 

Le projet de loi comporte une interdiction de communiquer des renseignements concernant les vulnérabilités d’un système qui empêche les entités de collaborer en matière de cybersécurité. Cette interdiction vient entraver le partage intersectoriel d’information, partage pourtant nécessaire pour identifier et répondre aux menaces communes.

  1. Menaces à la transparence : 

Les interdictions de communication peuvent empêcher les entreprises de faire part aux utilisateurs ou aux organismes de réglementation étrangers de vulnérabilités. Cela a pour effet de miner la confiance des utilisateurs et de compliquer la conformité transfrontalière.

Modifications proposées

  1. Définir ce qu’on entend par « vulnérabilité systémique »

Définir avec précision le terme « vulnérabilité systémique » pour assurer une meilleure compréhension des obligations et éviter que les règlements soient rédigés de manière à leur prêter une interprétation arbitraire.

  • Le fait de donner une définition précise permet d’établir des mesures de conformité qui évitent de créer des vulnérabilités (porte dérobée) ou des points faibles.

  1. Définir qui sont les « fournisseurs principaux »

Définir le terme « fournisseurs principaux » directement dans la loi, ou même dans une annexe modifiable.

  • Le fait de définir ce terme essentiel permet aux entités réglementées de savoir exactement comment la loi s’applique à elles, ce qui permet d’éliminer toute ambiguïté et d’atténuer les risques.

  • Inclure cette définition dans le projet de loi responsabiliserait les prochains gouvernements, en limitant leur capacité à en élargir la portée au moyen de règlements, et ce, sans faire l’objet de surveillance ni de consultation.

  1. Échéancier prévu par la loi pour se conformer aux arrêtés

Établir un échéancier que les parties réglementées doivent respecter pour se conformer à un arrêté pour ainsi leur permettre de planifier efficacement leurs ressources et les mesures à prendre.

  • Le fait de définir un échéancier fait en sorte que les mesures d’application sont raisonnables et transparentes, et empêche l’ajout de délais arbitraires et injustes envers les entités réglementées.

  1. Facteurs à prendre en compte dans les arrêtés – vulnérabilité systémique

Exiger du ministre qu’il prenne en compte si le FSE peut se conformer à un arrêté sans créer une vulnérabilité systémique.

  • Obliger le ministre à évaluer les vulnérabilités systémiques potentielles avant d’émettre un arrêté empêche toute action qui pourrait non intentionnellement affaiblir l’infrastructure essentielle ou introduire des risques de sécurité.

  • Imposer cette réflexion favorise une prise de décisions éclairées, qui tiennent compte des risques et des effets plus larges sur les écosystèmes numériques et la sécurité publique.

  1. Indemnité obligatoire

Obliger d’offrir une indemnité pour les frais qu’encourent les entités réglementées pour se conformer à un arrêté.

  • Une indemnité obligatoire protège les entités réglementées du fardeau financier découlant des arrêtés de conformité, en particulier lorsque le fait de devoir s’y conformer nécessite de faire des modifications opérationnelles de taille, ou d’importants changements en matière d’attribution des ressources.

  • Le fait de garantir le recouvrement des frais favorise un environnement réglementaire collaboratif, faisant en sorte que les entités seront plus disposées à répondre promptement et efficacement aux arrêtés sans peur de subir des difficultés financières.

  1. Interdiction de communication

Éliminer le paragraphe 15(g) pour permettre aux FSE de communiquer l’information à propos des vulnérabilités de sécurité.

  • Permettre aux FSE de partager de l’information concernant les vulnérabilités de sécurité favorise la collaboration des entreprises du même secteur pour identifier, répondre et empêcher les menaces au sein des systèmes interreliés.

  • Une telle communication permet aux utilisateurs, aux partenaires et aux organismes de réglementation de prendre des décisions éclairées en plus de renforcer la confiance du public dans la façon dont les fournisseurs gèrent et répondent aux risques de cybersécurité.

  1. Contrôle judiciaire – améliorer l’accès aux recours

Éliminer l’exigence de l’article 16 qui prévoit de donner un préavis de 15 jours au ministre avant de demander un contrôle judiciaire.

  • Exiger un préavis de 15 jours avant le dépôt d’une demande de contrôle judiciaire peut retarder le dépôt des contestations, ayant pour effet de compromettre le contrôle judiciaire rapide et efficace des décisions ministérielles.

  • Dans le cas de situations qui évoluent rapidement et dont les risques sont élevés, les retards causés par un préavis obligatoire pourraient exposer les fournisseurs de services à des risques opérationnels, juridiques ou de sécurité.

  1. Autorisation d’entrée – exiger un mandat

Exiger un mandat pour pénétrer dans un local, plutôt que de permettre l’entrée sans mandat dans les locaux non résidentiels.

  • Exiger un mandat pour entrer dans des locaux non résidentiels fait en sorte que l’application des règlements respecte les droits des entreprises et des individus, et permet d’éviter toute action arbitraire ou intrusive.

  • L’exigence d’un mandat introduit un contrôle essentiel du pouvoir du gouvernement en s’assurant que l’entrée est préalablement justifiée et contrôlée par une autorité indépendante.

  1. Conformité – restreindre la divulgation d’information commerciale confidentielle

Permettre aux FSE de ne pas inclure d’information commerciale confidentielle sur les rapports pouvant être requis à la suite de la mise en place de mesures de conformité.

  • Permettre aux FSE de ne pas inclure d’information commerciale confidentielle aide à éviter de divulguer des secrets commerciaux ou des données exclusives, ce qui pourrait nuire à leur position sur le marché.

  • Si elle est communiquée, l’information commerciale sensible pourrait être accédée ou utilisée de manière inappropriée, présentant des risques juridiques, réputationnels et de sécurité au FSE et à ses clients.

Pour en savoir davantage à propos du projet de loi C-2 (incluant la Loi sur le soutien en matière d’accès autorisé à de l’information) et ses incidences potentielles sur votre entreprise, veuillez communiquer avec les auteurs ou un membre de notre groupe Cybersécurité et protection des données.