Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Comparution devant le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants dans le cadre de son examen du projet de loi C-26

Le 18 novembre 2024

Ottawa (Ontario)

Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)

Monsieur le Président et mesdames et messieurs les membres du Comité, je vous remercie de m’avoir invité à comparaître dans le cadre de votre étude sur le projet de loi C-26.

Votre étude est très importante, car les personnes, les entreprises et tous les ordres de gouvernement au Canada demeurent vulnérables à un éventail de cybermenaces graves provenant de divers auteurs de cybermenace.

Dans son Évaluation des cybermenaces nationales 2025-2026, publiée en octobre, le Centre canadien pour la cybersécurité fait état d’un environnement de cybermenaces complexe et en pleine expansion, ainsi que d’un risque croissant posé par des auteurs de cybermenace étatiques et non étatiques qui ciblent les infrastructures essentielles du Canada. Le Centre pour la cybersécurité met en garde contre le fait que de tels incidents pourraient paralyser des services essentiels, perturber les opérations, détruire ou endommager des données commerciales importantes et révéler de l’information sensible.

Le projet de loi C-26 reconnaît que les infrastructures essentielles du Canada doivent être protégées contre de telles menaces, puisque celles-ci deviennent de plus en plus sophistiquées et complexes.

En plus des répercussions potentielles sur la santé, la sécurité, la sûreté et le bien-être économique de la population canadienne, les cyberincidents peuvent avoir des répercussions importantes sur la vie privée lorsqu’ils entraînent l’accès non autorisé à des renseignements personnels ou leur communication.

Aujourd’hui, la protection des renseignements personnels repose de plus en plus sur la sécurité des systèmes et des infrastructures numériques qui les hébergent et les transmettent. Des mesures de protection renforcées en matière de cybersécurité peuvent donc favoriser la protection de la vie privée en réduisant la probabilité et l’incidence des atteintes à la sécurité des données.

Parallèlement, nous devons veiller à ce que les efforts déployés pour sécuriser ces systèmes et réseaux protègent et respectent aussi le droit fondamental à la vie privée des Canadiennes et des Canadiens. Nous ne sommes pas en présence d’un jeu à somme nulle : la vie privée et l’intérêt public sont non seulement compatibles, mais ils se renforcent mutuellement.

J’appuie fermement les objectifs du projet de loi C-26 et j’ai été heureux de constater que de nombreux amendements à ce projet de loi ont été adoptés dans cet esprit. J’ai également été heureux de constater que le texte modifié du projet de loi contient de nouvelles références à la Loi sur la protection des renseignements personnels, ce qui confirme son applicabilité.

Le fait d’exiger que la collecte, l’utilisation ou la communication de renseignements personnels soient à la fois nécessaires et proportionnelles est un principe important en matière de protection de la vie privée.

Bien que le projet de loi établisse un critère de nécessité et de raisonnabilité dans certains cas, je continue de recommander que le Comité envisage d’établir dans le projet de loi C-26 un critère uniforme de nécessité et de proportionnalité qui s’appliquerait dans les situations mettant en cause des renseignements personnels.

L’adoption d’une norme uniforme selon laquelle la collecte, l’utilisation ou la communication de renseignements personnels doivent être à la fois nécessaires dans les circonstances pour réaliser les fins énoncées et proportionnelles aux avantages procurés contribuerait à tenir compte des conséquences possibles sur la vie privée.

À titre subsidiaire, si la norme reste inchangée, je recommanderais au Comité d’envisager de réintroduire l’exigence selon laquelle les renseignements ne seront conservés que le temps nécessaire. Cette exigence avait été ajoutée par le Comité SECU, mais elle a été supprimée par la Chambre des communes à la troisième lecture.

Obliger les institutions gouvernementales à réaliser des évaluations des facteurs relatifs à la vie privée (EFVP) et à consulter le Commissariat à la protection de la vie privée du Canada pour les nouveaux programmes et les nouvelles initiatives créés grâce aux pouvoirs conférés par le projet de loi C‑26 permettrait aussi de renforcer la protection de la vie privée et la confiance de la population canadienne, tout en servant l’intérêt public.

La réalisation d’une EFVP est actuellement une exigence prévue par la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada, mais elle n’est pas une obligation juridique contraignante sous le régime des lois sur la protection des renseignements personnels. L’EFVP constitue un outil important qui permet de cerner, d’analyser, de traiter et d’atténuer les problèmes relatifs à la protection de la vie privée avant de mettre en œuvre des initiatives, et ainsi permettre de réduire les préjudices involontaires à la vie privée lors du lancement de ces initiatives. C’est pourquoi j’ai recommandé que la réalisation d’une EFVP devienne une obligation juridique pour le gouvernement au titre de la Loi sur la protection des renseignements personnels.

Le projet de loi reconnaît l’importance de la collaboration entre les homologues nationaux et internationaux pour veiller à ce que les infrastructures essentielles soient protégées contre diverses menaces.

Afin de renforcer davantage cette collaboration, le Commissariat devrait également être informé des cyberincidents qui pourraient entraîner une atteinte importante à la vie privée. Il pourrait s’agir d’être informé par le Centre de la sécurité des télécommunications chaque fois que ce dernier reçoit un rapport portant sur un cyberincident qui pourrait présenter un risque réel de préjudice grave pour une personne.

Par ailleurs, les ententes internationales d’échange de renseignements personnels devraient également prévoir des mesures minimales de protection afin de renforcer la gouvernance et la responsabilité et d’assurer une norme uniforme de protection de la vie privée.

Je tiens à vous remercier de votre travail en vue d’assurer une meilleure protection de l’infrastructure cybernétique du Canada tout en protégeant le droit fondamental des Canadiennes et des Canadiens à la vie privée.

Je serai maintenant heureux de répondre à vos questions.

Merci.

Date de modification :