Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Comparution devant le Comité permanent de la sécurité publique et nationale au sujet du projet de loi C-26

Le 12 février 2024

Ottawa (Ontario)

Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)

Bonjour Monsieur le Président et mesdames et messieurs les membres du Comité.

Je suis heureux d’être ici pour aider le Comité dans son étude du projet de loi C-26 : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Au Canada et ailleurs, la cybersécurité est un domaine très important. Les services numériques offerts au moyen de cybersystèmes et de réseaux de télécommunication sont au cœur de notre façon de vivre, de travailler et d’interagir et ils ont une incidence sur une grande quantité de données et de renseignements personnels. C’est pourquoi il est essentiel de protéger la cyberinfrastructure du Canada contre d’éventuelles menaces.

Parallèlement, nous devons veiller à ce que les efforts déployés pour sécuriser ces systèmes et réseaux protègent et respectent aussi le droit fondamental à la vie privée des Canadiennes et des Canadiens. Nous ne sommes pas en présence d’un jeu à somme nulle : la vie privée et l’intérêt public sont non seulement compatibles, mais ils se renforcent mutuellement.

J’appuie fortement les objectifs du projet de loi C-26 et j’estime qu’en tant que société, il est essentiel que nous disposions des outils et de la capacité nécessaires pour satisfaire à ces importants objectifs d’intérêt public. Au cours de mon témoignage, je vous exposerai les moyens par lesquels je recommande que le projet de loi soit renforcé afin de protéger davantage le droit fondamental à la vie privée et de tenir compte des conséquences possibles sur la vie privée tout en atteignant les importants objectifs du projet de loi.

Selon ce projet de loi, toute personne ou entité désignée pourrait recueillir et analyser un large éventail de renseignements, dont des renseignements personnels de nature délicate détenus par des banques, des exploitants de télécommunications et des fournisseurs de services énergétiques.

Le projet de loi permettrait aussi l’échange de ces renseignements avec des organisations, comme des organismes de renseignement, des gouvernements provinciaux et étrangers ainsi que des organisations établies par des États étrangers.

Selon le projet tel qu’il est rédigé, ces pouvoirs sont larges. Afin de s’assurer que les renseignements personnels sont protégés et que la vie privée est traitée comme un droit fondamental, je recommanderais au Comité d’envisager de resserrer les seuils qui encadrent l’exercice de ces pouvoirs et d’imposer des limites plus strictes à l’utilisation de ces pouvoirs.

Pour ce faire, on pourrait exiger que toute collecte, utilisation et communication des renseignements personnels respecte les principes de nécessité et de proportionnalité. Il s’agit de principes de base du traitement des renseignements personnels qui sont reconnus à l’échelle internationale.

Obliger les institutions gouvernementales à réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) et à consulter le Commissariat pour les nouveaux programmes et les nouvelles initiatives créés grâce aux pouvoirs conférés par le projet de loi C‑26 permettrait aussi de renforcer la protection de la vie privée et la confiance de la population canadienne, tout en servant l’intérêt public. La réalisation d’une EFVP est actuellement une exigence prévue par la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor du Canada, mais elle n’est pas une obligation juridique contraignante sous le régime des lois sur la protection des renseignements personnels. L’EFVP constitue un outil important qui permet de cerner, d’analyser, de traiter et d’atténuer les problèmes relatifs à la protection de la vie privée avant de mettre en œuvre des initiatives, et ainsi permettre de réduire les préjudices involontaires à la vie privée lors du lancement de ces initiatives. C’est pourquoi j’ai recommandé que la réalisation d’une EFVP devienne une obligation juridique pour le gouvernement au titre de la Loi sur la protection des renseignements personnels.

Le projet de loi C‑26 permettrait aussi au ministre de l’Innovation, des Sciences et de l’Industrie d’interdire la communication publique de certaines décisions et de certains décrets rendus sous le régime de la Loi proposée (en tout ou en partie). Il importe que ce type de disposition relative à la confidentialité, qui a pour effet de réduire la possibilité d’un examen critique de la part du public concernant la mise en œuvre du projet de loi, notamment toute collecte, utilisation ou communication de renseignements personnels, soit accompagné de mesures appropriées de transparence.

Il pourrait s’agir d’exiger du gouvernement qu’il rende compte régulièrement au Parlement ou au Commissariat du nombre, de la nature et de l’objet de tels décrets et décisions, en particulier lorsqu’ils portent sur des renseignements personnels de nature délicate. Cela donnerait l’assurance aux Canadiennes et aux Canadiens que leur vie privée est protégée à tout moment.

Je recommanderais aussi que le projet de loi soit amendé afin d’inclure des mesures de responsabilité plus rigoureuses en vue d’assurer la protection des renseignements personnels qui sont communiqués à l’extérieur du Canada. Ces mesures pourraient comprendre, par exemple, des mécanismes de contrôle supplémentaires et des critères établis qui doivent être inclus dans les ententes sur les échanges de renseignements avec des juridictions étrangères, comme des restrictions sur tout transfert ultérieur de renseignements personnels, les mesures de protection établies qui doivent être appliquées et les conséquences en cas de non‑conformité. 

Pour terminer, si le projet de loi C-26 est adopté, il sera important que le Commissariat dispose de la souplesse dont il aura besoin pour coordonner, le cas échéant, ses activités avec celles des autres organismes de réglementation et de surveillance qui participent aux interventions en cas d’incidents liés à la cybersécurité, dans les cas où il pourrait y avoir une atteinte à la sécurité des renseignements personnels.

Je serai heureux de répondre à vos questions.

Merci.

 

 

Date de modification :