Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiches des enjeux au sujet du projet de loi C-26

Table des matières

Portée et objectifs du projet de loi

Préoccupations concernant la Charte

Contrôle judiciaire

Surveillance du Commissariat

Transparence

Seuils et mesures de protection de la vie privée

Collecte et utilisation des renseignements personnels

Échange de renseignements

Déclaration des atteintes à la vie privée

Caractère adéquat

Décisions Schrems I et Schrems II et caractère adéquat

Autres cadres internationaux

La Security of Critical Infrastructure Act 2018 de l’Australie

Royaume-Uni

États-Unis (É.-U.)

FPT

Tendances en matière de déclarations d’atteintes

Atteinte à Affaires mondiales Canada

Portée et objectifs du projet de loi

Messages clés

  • Le Commissariat à la protection de la vie privée appuie l’objectif global du projet de loi, qui consiste à renforcer la protection de la cybersécurité pour les infrastructures essentielles.
  • Cependant, des mesures de protection plus rigoureuses et de plus fortes restrictions sont nécessaires pour veiller à ce que les nouveaux pouvoirs respectent le droit à la vie privée et minimisent les risques d’atteinte à la vie privée.
  • Les nouveaux pouvoirs proposés dans le projet de loi permettent entre autres aux gouvernements et aux organismes réglementaires de recueillir un large éventail de renseignements auprès de certaines organisations du secteur privé et de communiquer ces renseignements aux gouvernements et aux organismes de renseignement fédéraux, provinciaux et internationaux.
  • Les organisations visées par ces nouveaux pouvoirs comprennent les banques, les fournisseurs de services de télécommunication et certains services de transport.

Contexte

  • Les directives de cybersécurité peuvent s’appliquer à tout « exploitant désigné » ou à toute catégorie d’exploitants (paragraphe 20(1)). Ceux-ci sont définis aux annexes 1 et 2 de la Loi sur la protection des cybersystèmes essentiels et comprennent les exploitants de services de télécommunication, de systèmes de pipelines et de lignes électriques, et de systèmes (fédéraux) d’énergie nucléaire, de transport, bancaires et de compensations et de règlements.
  • D’autres services et systèmes peuvent être ajoutés à la liste des exploitants désignés par le gouverneur en conseil (paragraphe 6(1)).
  • Le projet de loi C-26 ne prévoit pas d’exceptions et de mesures de protection précises concernant les renseignements personnels. Il comporte toutefois des restrictions particulières concernant la divulgation de « renseignements confidentiels » (secrets industriels, renseignements sur les vulnérabilités, etc.).
  • En plus d’établir des pouvoirs d’émettre des arrêtés, des décrets et des directives, le projet de loi C-26 établit des exigences qui font en sorte que les exploitants désignés doivent mettre en œuvre des programmes de cybersécurité (avec certaines caractéristiques prévues par la loi et la réglementation), signaler les incidents touchant la cybersécurité au Centre de la sécurité des télécommunications (CST) et à l’organisme réglementaire de leur secteur, et atténuer les risques associés aux chaînes d’approvisionnement.
  • Le projet de loi C-26 établit aussi un cadre pour l’application et la conformité, y compris des pouvoirs d’entrée, des exigences en matière de tenue de documents, des sanctions administratives pécuniaires et des règles relatives au contrôle judiciaire.

Préparé par : PRAP

Préoccupations concernant la Charte

Messages clés

  • Le projet de loi C-26 confère à des organismes réglementaires précis certains pouvoirs de fouille, de perquisition et de saisie sans mandat, ce qui peut faire intervenir l’article 8 de la Charte : le droit d’être protégé contre les fouilles et les saisies abusives.
  • Pour qu’une perquisition soit raisonnable aux termes de l’article 8, la norme de référence consiste à obtenir une autorisation judiciaire préalable. Il est toutefois possible d’autoriser des perquisitions par voie législative, à condition que la loi prévoie des mesures de protection suffisantes.
  • Notamment, le projet de loi C-26 ne comporte pas de restrictions en ce qui a trait à la collecte de renseignements personnels. Il ne prévoit pas non plus de mesures de protection permettant de veiller à ce que les organismes réglementaires (ou leurs délégués) qui effectuent des perquisitions sans mandat le fassent de manière raisonnable.
  • L’absence de processus d’examen ou d’autres mesures de surveillance indépendante fait en sorte que la vérification des pouvoirs de perquisition des organismes réglementaires est limitée.

Contexte

  • Pour qu’une perquisition sans mandat soit autorisée, il faut avoir « des motifs raisonnables de croire » qu’une activité régie par la Loi sur la protection des cybersystèmes essentiels est exercée ou que des objets, des documents ou des renseignements pertinents aux fins de la vérification du respect de la Loi et de la prévention du non-respect de celle-ci se trouvent dans un lieu (articles 32, 41, 50, 59, 68 et 78). C’est approprié.
  • Dans le cas d’une maison d’habitation, un mandat de perquisition ou le consentement de l’occupant est nécessaire (articles 33, 42, 51, 60, 69 et 79 de la Loi sur la protection des cybersystèmes essentiels). C’est aussi un point positif.
  • Cependant, la Loi sur la protection des cybersystèmes essentiels ne prévoit pas de contrôle judiciaire ou de processus d’examen pour les perquisitions sans mandat.
  • En outre, les dispositions proposées autorisent la plupart des organismes réglementaires à désigner toute personne ou catégorie de personnes et à lui déléguer les pouvoirs d’effectuer des perquisitions et des saisies. En l’absence de solides mécanismes d’examen ou de surveillance, il sera difficile d’assurer la reddition de comptes lorsqu’un si grand nombre de personnes peuvent effectuer des perquisitions sans mandat.

Préparé par : Services juridiques

Contrôle judiciaire

Messages clés

  • Les directives de cybersécurité ainsi que les arrêtés et les décrets relatifs à la sécurité des systèmes de télécommunication pourraient faire l’objet d’une surveillance accrue.
  • Les directives, les arrêtés et les décrets peuvent faire l’objet d’un contrôle judiciaire, mais les audiences relatives au contrôle judiciaire peuvent se dérouler en secret, et les éléments de preuve utilisés contre les demandeurs peuvent leur être cachés.
  • Le projet de loi C-26 ne prévoit pas d’autres mesures de surveillance particulières pour les directives de cybersécurité, les arrêtés ou les décrets.
  • Cela signifie que les personnes dont les renseignements personnels ont pu être recueillis par le gouvernement, et utilisés pour étayer une directive, un arrêté ou un décret qui les concerne, ne le sauront peut-être jamais.

Contexte

  • Les règles relatives au contrôle judiciaire des arrêtés, des décrets et des directives sont énoncées à l’article 15.9 proposé de la Loi sur les télécommunications et à l’article 145 de la Loi sur la protection des cybersystèmes essentiels, respectivement.
  • Ces règles donnent aux ministres une grande latitude pour refuser de communiquer les éléments de preuve ou les renseignements aux parties concernées, y compris sur la question de savoir si des renseignements personnels ont été recueillis, utilisés ou divulgués par l’institution gouvernementale.
  • Le Commissariat à la protection de la vie privée assurerait la surveillance de toute collecte, utilisation ou divulgation de renseignements personnels en vertu de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques, le cas échéant.
  • Il existe des régimes semblables de contrôle judiciaire dans le contexte de la sécurité nationale.
  • Par exemple, les procédures d’appel prévues au paragraphe 16(6) de la Loi sur la sûreté des déplacements aériens sont presque identiques aux procédures de contrôle judiciaire proposées pour la Loi sur les télécommunications modifiée et la Loi sur la protection des cybersystèmes essentiels. Elles prévoient la non-divulgation des renseignements dans le cadre d’un appel lorsque leur divulgation pourrait porter atteinte à la sécurité nationale ou à la sécurité d’autrui.

Préparé par : Services juridiques

Surveillance du Commissariat

Messages clés

  • Le Commissariat à la protection de la vie privée peut mener des enquêtes afin de vérifier que les institutions fédérales respectent la Loi sur la protection des renseignements personnels, y compris dans un contexte de sécurité nationale, qu’il ait reçu ou non une plainte de la part de personnes.
  • Les paragraphes 29(3) et 37(1) de la Loi sur la protection des renseignements personnels permettent au Commissariat de tenir des enquêtes à son appréciation.
  • Selon le paragraphe 37(5), le Commissariat peut coordonner les enquêtes qu’il mène en vertu du paragraphe 37(1) avec celles que mène l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), le cas échéant.
  • Le Commissariat peut agir ainsi lorsque, à son avis, de nouveaux pouvoirs justifient un examen de la collecte, de l’utilisation et de la divulgation de renseignements personnels, par exemple l’examen de l’utilisation de nouveaux pouvoirs en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada effectué conjointement avec l’OSSNR.

Contexte

  • Le paragraphe 29(3) de la Loi sur la protection des renseignements personnels autorise le Commissariat à prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée.
  • L’article 37 autorise le Commissariat à tenir des enquêtes quant aux renseignements personnels qui relèvent des institutions fédérales afin d’assurer le respect des articles 4 à 8 (dispositions relatives à la collecte, à l’exactitude, à la conservation, à l’usage et à la communication des renseignements personnels) et à collaborer avec l’OSSNR dans le cadre de ces activités, bien qu’il puisse également mener des examens de manière indépendante.
    • En février 2022, en vertu de cette disposition, le Commissariat et l’OSSNR ont publié conjointement un examen de la collecte et de la communication de renseignements personnels par les institutions fédérales en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada en 2020. (Cette loi, entrée en vigueur en 2019, autorise la divulgation de nouveaux renseignements à des fins de sécurité nationale).
  • Dans le cadre des enquêtes qu’il mène, le Commissariat peut convoquer des témoins ainsi qu’exiger des preuves orales et écrites et la production de documents. À l’issue d’une enquête, le Commissariat peut produire un rapport de conclusions à l’intention des institutions concernées et, dans les limites imposées par la confidentialité, présenter des rapports au Parlement sur ces conclusions.

Préparé par : Secteur de la conformité

Transparence

Messages clés

  • Le projet de loi C-26 permet aux institutions gouvernementales d’émettre des arrêtés, des décrets et des directives, qui pourraient viser la collecte, l’analyse et la divulgation de renseignements personnels, en secret.
  • Bien qu’un certain degré de confidentialité puisse être nécessaire dans des contextes de sécurité nationale, ces mesures font en sorte qu’il est difficile pour les organismes de surveillance d’exercer leurs activités et pour le public de savoir quels renseignements sont recueillis et comment ils sont utilisés. Ces mesures réduiraient la transparence de la mise en œuvre du projet de loi pour le public.
  • Afin d’apaiser ces inquiétudes, il faudrait modifier le projet de loi C-26 pour y inclure des mesures de transparence plus rigoureuses, comme l’obligation de rendre compte publiquement du nombre, de la nature et de l’objet des arrêtés, des décrets et des directives émis en vertu de celui-ci.

Contexte

  • L’article 24 de la Loi sur la protection des cybersystèmes essentiels interdit aux organisations visées par une directive de cybersécurité d’en divulguer l’existence ou le contenu, sauf si cela est nécessaire pour se conformer à la directive.
  • Le paragraphe 15.2(3) de la modification de la Loi sur les télécommunications permet au ministre d’inclure dans un arrêté une disposition interdisant à toute personne de divulguer l’existence de celui-ci ou tout ou partie de son contenu.
  • Le paragraphe 15.3(3) de la Loi sur les télécommunications et le paragraphe 22(1) de la Loi sur la protection des cybersystèmes essentiels exemptent les arrêtés, les décrets et les directives de la publication dans la Gazette du Canada.
  • Les paragraphes susmentionnés restreindraient la divulgation au public des arrêtés, des décrets et des directives émis dans le cadre du projet de loi C-26. Les institutions gouvernementales resteraient assujetties aux mesures générales de transparence par ailleurs applicables aux organismes publics (p. ex. la Loi sur l’accès à l’information), mais celles-ci pourraient être limitées lorsque des exceptions s’appliquent dans des contextes de sécurité nationale.
  • L’article 146 de la Loi sur la protection des cybersystèmes essentiels indique que le ministre doit présenter au Parlement un rapport annuel visant l’application de la Loi, mais ne précise pas les renseignements que doit contenir ce rapport.

Préparé par : PRAP

Seuils et mesures de protection de la vie privée

Messages clés

  • Le projet de loi C-26 accorderait au gouvernement le pouvoir général de recueillir et de divulguer un grand nombre de renseignements, qui pourraient comprendre des renseignements personnels.
  • Les seuils relatifs à la collecte et à la divulgation des renseignements sont essentiellement discrétionnaires, ce qui entraîne des risques d’atteinte à la vie privée.
  • Seuls les renseignements définis comme « confidentiels » font l’objet de restrictions plus importantes en matière de divulgation. Cependant, il s’agit généralement de renseignements commerciaux, et il est peu probable qu’ils comprennent des renseignements personnels.
  • Le projet de loi C-26 accorderait également à certains organismes réglementaires des pouvoirs de perquisition sans mandat.

Contexte

  • Bien qu’il ne s’agisse pas d’une exigence prévue par la loi actuelle, le Commissariat recommande depuis longtemps d’appliquer un critère de nécessité et de proportionnalité à la collecte de renseignements personnels par les institutions fédérales.
  • Toutefois, les seuils autorisant la collecte de renseignements dans le cadre du projet de loi C-26 ne répondent pas aux attentes à cet égard et sont très subjectifs et trop larges (p. ex. le ministre doit être d’avis que cela est « nécessaire pour sécuriser le système canadien de télécommunication »; voir l’article 15.2 de la modification de la Loi sur les télécommunications).
  • Les seuils relatifs à la divulgation de renseignements sont également très faibles : les renseignements doivent uniquement être « liés à » (p. ex. voir l’article 28 de la Loi sur la protection des cybersystèmes essentiels) ou être divulgués « dans la mesure nécessaire » à diverses fins (p. ex. voir l’article 15.6 de la modification de la Loi sur les télécommunications).
  • En l’absence de seuils plus rigoureux autorisant la collecte et la divulgation de renseignements, la confidentialité des renseignements personnels de personnes qui ne sont pas du tout concernées par une cyberactivité malveillante risque d’être compromise.
  • Le seuil autorisant les perquisitions sans mandat en vertu de la Loi sur la protection des cybersystèmes essentiels serait des « motifs raisonnables de croire » (voir le paragraphe 32(1)).

Préparé par : Services juridiques

Collecte et utilisation des renseignements personnels

Messages clés

  • Le projet de loi C-26 permettrait aux organismes gouvernementaux de recueillir des renseignements, y compris des renseignements personnels, auprès des exploitants de systèmes de télécommunication et de cybersystèmes essentiels, et d’utiliser ces renseignements.
  • Ces pouvoirs généraux et discrétionnaires pourraient servir à contraindre les organisations à fournir au gouvernement des renseignements de nature très délicate ou de grandes quantités de renseignements au sujet de leurs clients (activités bancaires, activités en ligne, données de localisation, etc.).
  • Le projet de loi C-26 doit imposer des limites plus strictes quant à la façon dont ces pouvoirs peuvent être utilisés et au moment où ils peuvent l’être, notamment en exigeant que les renseignements personnels des exploitants de cybersystèmes essentiels ne soient recueillis que lorsque cela est nécessaire et proportionnel aux risques d’atteinte à la vie privée.

Contexte

  • L’article 20 de la Loi sur la protection des cybersystèmes essentiels permet au gouverneur en conseil d’ordonner à tout exploitant de cybersystème essentiel de se conformer à toute mesure prévue dans une directive de cybersécurité en vue de la protection d’un cybersystème essentiel. Les directives peuvent vraisemblablement comprendre des exigences relatives à la collecte ou à la transmission des renseignements personnels des personnes qui interagissent avec un cybersystème.
  • Le paragraphe 15.2(2) de la modification de la Loi sur les télécommunications permet au ministre de l’Industrie d’ordonner aux fournisseurs de services de télécommunication de faire toute chose qu’il estime nécessaire pour sécuriser le système canadien de télécommunication. Cela peut vraisemblablement comprendre des exigences relatives à la collecte ou à la transmission de renseignements personnels.
  • Selon l’article 29 de la Loi sur la protection des cybersystèmes essentiels, l’organisme réglementaire de l’industrie peut recueillir « les renseignements dont il a besoin » auprès de toute personne, société de personnes ou organisation non dotée de la personnalité morale aux fins de la vérification du respect ou de la prévention du non-respect de toute disposition de la Loi.
  • Compte tenu des cybersystèmes, des systèmes de télécommunication et des exploitants visés par le projet de loi, ainsi que de l’autorisation générale et discrétionnaire des pouvoirs, la portée, l’échelle et la nature de la collecte et de l’utilisation des renseignements personnels pourraient être très vastes.

Préparé par : PRAP

Échange de renseignements

Messages clés

  • Le projet de loi C-26 permettrait aux organismes gouvernementaux d’échanger des renseignements avec le gouvernement fédéral et avec des gouvernements provinciaux et étrangers.
  • Ces vastes pouvoirs pourraient conduire à un échange de renseignements étendu et persistant à l’insu des personnes ou sans leur consentement.
  • Des seuils plus élevés de nécessité et de proportionnalité devraient être requis pour l’échange de renseignements personnels.
  • La divulgation de renseignements personnels à des administrations étrangères devrait faire l’objet d’exigences plus strictes en matière de protection de la vie privée, par exemple des exigences minimales concernant le contenu des accords sur l’échange de renseignements (restrictions relatives au transfert ultérieur, exigences en matière de protection, sanctions en cas de non-respect, etc.).

Contexte

  • L’article 23 de la Loi sur la protection des cybersystèmes essentiels et l’article 15.6 de la modification de la Loi sur les télécommunications autorisent l’échange de renseignements entre divers ministres, organismes réglementaires et organismes de sécurité nationale ou de renseignement (p. ex. le Centre de la sécurité des télécommunications [CST] et le Service canadien du renseignement de sécurité [SCRS]) dans la mesure nécessaire à toute fin liée à l’établissement, à la modification ou à la révocation d’une directive de cybersécurité (ou d’un arrêté ou d’un décret en vertu de la Loi sur les télécommunications).
  • L’article 28 de la Loi sur la protection des cybersystèmes essentiels autorise l’organisme réglementaire de l’industrie, aux fins de l’application de la Loi, à fournir aux ministres concernés les renseignements liés à l’exercice des attributions qui lui sont conférées sous le régime de la Loi.
  • L’article 27 de la Loi sur la protection des cybersystèmes essentiels autorise les ministres et les organismes réglementaires concernés à conclure des accords avec des gouvernements provinciaux ou étrangers (et des organisations internationales établies par des gouvernements étrangers) sur l’échange de renseignements liés à la protection de cybersystèmes essentiels.
  • Le paragraphe 15.7(1) de la Loi sur les télécommunications autorise le ministre à communiquer, aux termes d’accords, d’ententes ou d’arrangements conclus par écrit avec des gouvernements provinciaux ou étrangers (et des organisations internationales établies par des gouvernements étrangers), des renseignements recueillis dans le cadre de la Loi sur les télécommunications, s’il croit que ces renseignements pourraient être utiles pour sécuriser le système canadien de télécommunication (ou un système de télécommunication étranger).

Préparé par : PRAP

Déclaration des atteintes à la vie privée

Messages clés

  • La prévention des cyberincidents est importante non seulement pour la sécurité des infrastructures essentielles du Canada, mais aussi pour les Canadiens, dont les renseignements personnels peuvent être compromis lors de cyberattaques.
  • Les renseignements personnels compromis des Canadiens peuvent être utilisés par des auteurs de cyberattaques à des fins de fraude, de vol d’identité, d’extorsion, etc.
  • Le projet de loi C-26 pourrait être renforcé en veillant à ce que le Commissariat à la protection de la vie privée devienne un partenaire actif dans la surveillance des incidents de cybersécurité où des renseignements personnels sont en cause.

Contexte

  • Le signalement des incidents de cybersécurité sera obligatoire au titre du projet de loi C-26.
    • Il incombe à tout exploitant désigné, notamment une banque, de déclarer sans délai tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications (CST).
    • L’exploitant désigné avise l’organisme réglementaire compétent. Des organismes réglementaires compétents sont nommés à l’égard de chaque catégorie d’exploitants dans la Loi sur la protection des cybersystèmes essentiels (p. ex. le Bureau du surintendant des institutions financières dans le cas d’une banque).
  • Le Commissariat ne figure pas sur la liste des organismes réglementaires compétents à l’égard d’une catégorie d’exploitants au titre de la Loi sur la protection des cybersystèmes essentiels.
  • Bien que le projet de loi C-26 ne modifie pas les obligations de déclaration des atteintes à la vie privée de la Loi sur la protection des renseignements personnels et les documents électroniques, les organisations pourraient hésiter à collaborer avec le Commissariat en raison de la fonction de surveillance mentionnée ci-dessus, des arrêtés et des décrets qui pourraient être émis et des sanctions pécuniaires prévues dans le cadre du projet de loi C-26.
  • Le pouvoir explicite de communiquer les rapports de cyberincidents au Commissariat et la possibilité de consulter d’autres organismes réglementaires, lorsque des renseignements personnels sont en cause, pourraient renforcer la déclaration des atteintes à la vie privée et faciliter les enquêtes.
  • Depuis le début de l’exercice, les industries ont signalé au Commissariat 29 atteintes à la vie privée qui seraient couvertes par le projet de loi C-26.

Préparé par : Direction des admissions, du règlement, et de la conformité

Caractère adéquat

Messages clés

  • Nous nous félicitons de la conclusion de la Commission européenne selon laquelle le Canada continue d’offrir un niveau de protection adéquat conformément au Règlement général sur la protection des données, ce qui permet aux organisations de continuer à transférer des données de l’Union européenne vers le Canada sans exigences supplémentaires.
  • Toute modification apportée aux activités de sécurité nationale du Canada pourrait avoir une incidence sur la prochaine évaluation du caractère adéquat, étant donné qu’il s’agit d’un point important pour la Commission.
    • Nous recommandons que toute modification des cadres canadiens de protection de la vie privée et de sécurité soit effectuée de manière à garantir le maintien du caractère adéquat.
  • La Commission recommande l’inscription dans la loi de certaines mesures de protection élaborées au niveau sous-législatif afin de renforcer la certitude juridique et de consolider les nouvelles exigences, comme celles concernant les renseignements personnels de nature délicate.
    • La Commission note que la réforme en cours de la Loi sur la protection des renseignements personnels et les documents électroniques (projet de loi C-27) pourrait offrir une telle occasion.

Contexte

  • L’article 45 du Règlement général sur la protection des données autorise le transfert de données à caractère personnel vers un pays tiers sans exigences supplémentaires lorsque la Commission européenne a déterminé que le pays tiers assure un « niveau de protection adéquat ».
  • La Loi sur la protection des renseignements personnels et les documents électroniques s’est vu accorder le statut en matière de protection adéquate en 2001, conformément au paragraphe 25(6) de la directive 95/46/CE. Lorsque le Règlement général sur la protection des données est entré en vigueur, en 2018, les décisions existantes sont restées en vigueur jusqu’à ce qu’elles soient modifiées, remplacées ou abrogées par la Commission.
  • Le 15 janvier 2024, la Commission a conclu l’examen de 11 décisions d’adéquation existantes, dont celle du Canada. L’examen de la décision d’adéquation s’est concentré sur les développements survenus depuis l’adoption de la décision, notamment le cadre canadien pour la protection des données ainsi que les questions relatives à la surveillance, à l’application de la loi, aux recours et à l’accès du gouvernement aux données.
  • La Commission a l’intention de suivre de près les développements futurs au Canada. Comme le Règlement général sur la protection des données exige que les décisions soient réexaminées tous les quatre ans, un nouvel examen devrait avoir lieu en 2028.

Préparé par : PRAP

Décisions Schrems I et Schrems II et caractère adéquat

Messages clés

  • En juillet 2023, la Commission européenne a accordé aux États-Unis le statut en matière de protection adéquate.
  • Le cadre de protection des données UE–États-Unis en vigueur limite l’accès des autorités publiques américaines aux données de l’Union européenne à ce qui est nécessaire et proportionnel pour protéger la sécurité nationale.
  • Auparavant, la Cour européenne de justice avait invalidé des accords de transfert de données à caractère personnel de l’Union européenne vers les États-Unis au motif que les lois américaines sur la sécurité nationale et la surveillance ne contenaient pas de mesures de protection minimales et ne répondaient pas aux exigences de proportionnalité (décisions Schrems I et Schrems II).
  • Les seuils autorisant la collecte de renseignements dans le cadre du projet de loi C-26 ne répondent pas aux attentes à l’égard d’une norme de nécessité et de proportionnalité et pourraient faire l’objet d’un examen du statut du Canada en matière de protection adéquate, qui sera réexaminé tous les quatre ans.

Contexte

  • Dans la décision Schrems I, la Cour européenne de justice a invalidé l’accord sur la sphère de sécurité, car en vertu du droit des États-Unis, les autorités américaines étaient en mesure d’accéder aux données personnelles transférées au-delà de ce qui était strictement nécessaire et proportionnel à la protection de la sécurité nationale. La Cour européenne de justice a également estimé que l’accord privait les personnes de la possibilité d’exercer des recours judiciaires relatifs à leurs droits en matière de données.
  • Dans la décision Schrems II, la Cour européenne de justice a invalidé le bouclier de protection des données faisant suite à l’accord sur la sphère de sécurité, pour des motifs similaires à ceux invoqués dans la décision Schrems I.
  • La Cour européenne de justice a également estimé que lorsque des clauses contractuelles types sont invoquées pour le transfert de données vers des pays à l’extérieur de l’Union européenne, si le régime juridique d’un pays tiers est en contradiction avec ces clauses, des mesures de protection supplémentaires peuvent être exigées ou le transfert doit être interrompu.
  • Les seuils autorisant la collecte de renseignements dans le cadre du projet de loi C-26 sont très subjectifs et trop larges (p. ex. ils ne sont régis que par une norme de nécessité subjective, selon laquelle le ministre doit être d’avis que cela est « nécessaire pour sécuriser le système canadien de télécommunications »).

Préparé par : Services juridiques

Autres cadres internationaux

Messages clés

  • Le projet de loi C-26 s’inscrit dans une tendance internationale selon laquelle les pays du Groupe des cinq et de l’Union européenne adoptent des cadres législatifs pour faire face aux risques croissants en matière de cybersécurité.
  • Bien que les approches varient, les cadres d’autres administrations, particulièrement les États-Unis, le Royaume-Uni et l’Australie, comportent généralement plus de restrictions et de mesures de protection que le projet de loi C-26 du Canada.
  • Ces restrictions visent notamment à minimiser la quantité de renseignements personnels échangés et à veiller à ce que l’échange de renseignements soit nécessaire, pertinent et proportionnel.

Contexte

  • Dans l’Union européenne, la directive de 2023 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2) vise à renforcer le niveau général de cybersécurité et étend le champ d’application des règles de cybersécurité à de nouveaux secteurs et entités. Elle s’appuie sur les précédentes règles européennes de 2016 en matière de cybersécurité.
  • En Nouvelle-Zélande, la réglementation relative à la cybersécurité et aux cyberincidents reste fragmentée. Par exemple, l’Intelligence and Security Act 2017 réglemente les activités de surveillance de l’État et prévoit l’établissement du Government Communications Security Bureau qui appuie la réponse aux incidents de cybersécurité touchant les organisations néo-zélandaises d’importance nationale, tandis que de nombreuses institutions financières sont assujetties à des directives sectorielles distinctes en ce qui concerne la cyberrésilience.
  • Pour en savoir plus sur l’Australie, le Royaume-Uni et les États-Unis, voir les fiches d’enjeu relatives à chaque pays.

Préparé par : Services juridiques

La Security of Critical Infrastructure Act 2018 de l’Australie

Messages clés

  • Si la Security of Critical Infrastructure Act 2018 de l’Australie prévoit un régime de gestion des risques plus général pour les infrastructures essentielles comparativement au projet de loi C‑26, elle montre que les pouvoirs de réglementation des infrastructures et des systèmes essentiels peuvent être accompagnés de mesures de protection plus rigoureuses.
  • La Security of Critical Infrastructure Act 2018 autorise le gouvernement australien à réagir aux incidents de cybersécurité et à émettre des directives relatives aux infrastructures essentielles, à l’instar des arrêtés, des décrets et des directives prévus par le projet de loi C-26.
  • Les directives font l’objet de diverses restrictions; par exemple, le ministre doit d’abord : être d’avis que la directive est raisonnablement nécessaire pour éliminer ou réduire un risque pour la sécurité; prendre des mesures pour négocier un résultat sans directive; envisager les conséquences possibles d’une directive; recevoir une évaluation de sécurité défavorable; consulter les gouvernements des États et des territoires.

Contexte

  • La Security of Critical Infrastructure Act 2018 établit un cadre de gestion des risques pour la sécurité nationale en ce qui concerne les infrastructures essentielles, qui peuvent être définies de manière très large dans le cadre de la loi. La Security of Critical Infrastructure Act 2018 s’applique aux incidents de cybersécurité, mais ne concerne pas les cybersystèmes.
  • L’article 32 de la Security of Critical Infrastructure Act 2018 autorise le ministre à exiger que les exploitants d’infrastructures essentielles accomplissent ou s’abstiennent d’accomplir un acte ou une chose s’il estime qu’il existe un risque préjudiciable à la sécurité, sous réserve de certaines conditions (voir ci-dessus).
  • La Security of Critical Infrastructure Act 2018 comprend des dispositions relatives à la collecte, à l’échange et à la divulgation de renseignements. L’article 37 autorise la collecte de renseignements auprès des exploitants d’infrastructures essentielles si le secrétaire a des raisons de croire que ces renseignements sont pertinents pour l’exercice des pouvoirs et des fonctions dans le cadre de la loi. Une fois recueillis, ces renseignements deviennent des « renseignements protégés » au sens de la Security of Critical Infrastructure Act 2018.
  • L’article 41 permet l’utilisation et la divulgation de renseignements protégés pour assurer le respect de la loi, tandis que les articles 42 et 43 permettent la divulgation de renseignements protégés à divers ministères et à d’autres organismes (organismes d’application de la loi et gouvernements sous-nationaux) pour les aider dans l’exercice de leurs fonctions.
  • La Security of Critical Infrastructure Act 2018 établit également un cadre concernant l’enregistrement des actifs essentiels et l’obligation qu’ont les exploitants de signaler les incidents liés aux actifs essentiels.

Préparé par : PRAP

Royaume-Uni

Messages clés

  • Le Royaume-Uni dispose de lois semblables au projet de loi C‑26, mais elles comportent des restrictions plus strictes quant à la collecte et à l’échange de renseignements.
  • Au Royaume-Uni, les exploitants de services essentiels (transport, énergie, etc.) et les fournisseurs de services numériques pertinents (marchés en ligne, etc.) sont assujettis à des règles de cybersécurité et à des obligations de déclaration.
  • Au titre de la loi britannique, l’échange de renseignements doit être nécessaire, mais aussi pertinent et proportionnel.

Contexte

  • Selon le Network and Information Systems Regulations 2018 du Royaume-Uni :
    • les autorités chargées de l’application de la loi sont autorisées à communiquer les renseignements qui sont nécessaires pour satisfaire aux exigences du règlement et qui sont pertinents et proportionnels (article 6);
    • les organismes réglementaires peuvent recueillir, si cela est « raisonnablement nécessaire », des renseignements auprès des exploitants de services essentiels et des fournisseurs de services numériques pertinents afin d’évaluer la sécurité des systèmes de réseau et d’information et la mise en œuvre des politiques de sécurité d’un exploitant (article 15).
  • En comparaison, la Loi sur la protection des cybersystèmes essentiels du projet de loi C-26 exige que la collecte ou la communication des renseignements soit « nécessaire » aux fins liées aux directives de cybersécurité (article 23). Elle permet également à un organisme réglementaire de fournir au ministre concerné les renseignements […] liés à l’exercice des attributions qui lui sont conférées et de demander les renseignements dont il a besoin aux fins de la vérification du respect de la Loi sur la protection des cybersystèmes essentiels (articles 28 et 29).
  • La Telecommunications (Security) Act 2021 du Royaume-Uni a modifié la Communications Act 2003 pour, entre autres :
    • permettre au secrétaire d’État de donner des ordres aux fournisseurs de services de télécommunication (article 15) et de faire des demandes proportionnelles auprès de certaines personnes pour obtenir les renseignements dont il a « raisonnablement » besoin dans l’exercice de certaines fonctions (article 23);
    • permettre à l’Office of Communications du Royaume-Uni de demander aux fournisseurs de services de télécommunication de lui fournir les renseignements nécessaires à des fins précises (paragraphe 12(3)), en plus des renseignements nécessaires à la surveillance des directives du secrétaire d’État (article 18).
  • En revanche, les modifications apportées par le projet de loi C-26 à l’article 15.4 de la Loi sur les télécommunications permettent au ministre de l’Industrie de demander les renseignements à l’égard desquels il a des motifs raisonnables de croire qu’ils sont pertinents dans le cadre d’un décret, d’un arrêté ou d’un règlement visé.

Préparé par : Services juridiques

États-Unis (É.-U.)

Messages clés

  • La Cybersecurity Information Sharing Act of 2015 des États-Unis établit un cadre pour la communication volontaire, par les entreprises, de renseignements sur les cybermenaces au gouvernement américain à des fins de cybersécurité.
  • La Cybersecurity Information Sharing Act of 2015 adopte une approche qui protège davantage la vie privée par rapport à celle du projet de loi C-26; elle impose des restrictions quant aux renseignements personnels qui peuvent être communiqués au gouvernement, ce qui exige des lignes directrices et une surveillance.

Contexte

  • Les mécanismes de protection de la vie privée et de surveillance de la Cybersecurity Information Sharing Act of 2015 sont les suivants :
    • l’exigence de suppression des renseignements personnels qui ne sont « pas directement liés » à la menace de cybersécurité : (i) par les entreprises avant de communiquer des renseignements au gouvernement (alinéa 104d)(2)) et (ii) par le gouvernement s’il reçoit néanmoins des renseignements personnels (lignes directrices requises conformément à la division 105b)(3)(B));
    • l’obligation, pour le gouvernement américain, de publier des lignes directrices relatives à la protection de la vie privée et des libertés civiles en ce qui concerne les renseignements reçus au titre de la loi (alinéa 105b));
    • l’obligation de présenter un rapport de surveillance au Congrès (article 107), y compris un rapport indépendant sur les mesures prises par le gouvernement américain pour supprimer tout renseignement personnel reçu au titre de la loi (alinéa 107c)).
  • Le projet de loi C-26 n’exige pas la suppression des renseignements personnels, la publication de lignes directrices et la présentation de rapports détaillés; il exige seulement la présentation d’un rapport annuel général.
  • Les États-Unis ont également adopté plus récemment le décret et les lois pertinents suivants :
    • un décret de 2021 qui garantit l’inclusion, dans les contrats du gouvernement américain, d’exigences en matière de signalement des cyberincidents et d’échange de renseignements;
    • la Secure Equipment Act of 2021, qui empêche l’autorisation de certains équipements et services de communication;
    • la Cyber Incident Reporting for Critical Infrastructure Act of 2022, qui exige l’élaboration de règlements obligeant les entités visées à signaler les cyberincidents couverts et les paiements de rançons. Comme aucun règlement n’a encore été publié, l’obligation de déclaration n’est pas encore en vigueur.
  • Contrairement au projet de loi C-26, ces lois américaines ne prévoient pas de pouvoir de perquisition sans mandat.

Préparé par : Services juridiques

FPT

Messages clés

  • Le projet de loi C-26 vise à réglementer les cybersystèmes et les cyberinfrastructures de compétence fédérale (télécommunications, banques, etc.).
  • Aucune province ni aucun territoire n’a adopté de loi comparable visant à réglementer les risques de cybersécurité liés aux cybersystèmes ou aux cyberinfrastructures de compétence provinciale.
  • Certains gouvernements provinciaux ont élaboré des politiques et des stratégies définissant les pratiques exemplaires en matière de cybersécurité.
  • Les lois provinciales sur la protection de la vie privée peuvent offrir une certaine protection contre les risques liés à la cybersécurité.

Contexte

  • Sécurité publique Canada a fait remarquer que le projet de loi C-26 pourrait servir de modèle aux provinces, aux territoires et aux municipalités pour les aider à sécuriser leurs infrastructures essentielles en collaboration avec le gouvernement fédéral.
  • Le projet de loi C-26 permet la conclusion d’ententes sur l’échange de renseignements avec les gouvernements provinciaux (voir l’article 15.7 proposé de la Loi sur les télécommunications et l’article 27 de la Loi sur la protection des cybersystèmes essentiels).
  • En 2022, le Québec a adopté la loi M-17.1.1 – Loi sur le ministère de la Cybersécurité et du Numérique, qui vise à coordonner les actions de l’État dans les domaines de la cybersécurité et du numérique. Conformément à cette loi, le ministre de la Cybersécurité et du Numérique est chargé de proposer les grandes orientations en ces domaines. Contrairement au projet de loi C-26, cette loi ne prévoit pas de cadre réglementaire pour les cybersystèmes essentiels.
  • La stratégie de cybersécurité du gouvernement de l’Alberta définit un cadre de pratiques exemplaires. La British Columbia Utilities Commission et la Commission de l’énergie de l’Ontario, des organismes réglementaires provinciaux, ont toutes deux créé des cadres de cybersécurité pour définir les attentes à l’égard des services publics et des fournisseurs d’énergie.
  • Lorsque des renseignements personnels sont en jeu, les lois provinciales applicables sur la protection de la vie privée peuvent prévoir des obligations de déclaration et de mise en place de mesures de protection.

Préparé par : (caviardé) / PRAP

Tendances en matière de déclarations d’atteintes

Messages clés

  • Nous restons préoccupés par la sous-déclaration des atteintes à la vie privée dans le secteur public, car de nombreuses institutions qui traitent des renseignements personnels de nature délicate ne nous ont jamais signalé d’atteinte à la vie privée.
  • En 2022-2023, le secteur public n’a déclaré qu’un seul cyberincident. Cette statistique contraste fortement avec celle du secteur privé, où 278 atteintes qui résultent de cyberincidents ont été déclarées au cours de la même période.
  • Au cours de la dernière année, nous avons remarqué une nouvelle tendance : les cyberattaques ciblent les fournisseurs de services, touchant simultanément de nombreuses organisations.
    • Ce fut le cas lors de la récente atteinte à la protection des données de BGRS, ainsi que des cyberincidents relatifs à MoveIT et à GoAnywhere.
  • Nous nous inquiétons du fait qu’au titre de la Loi sur la protection des renseignements personnels et les documents électroniques, les fournisseurs de services n’ont actuellement pas l’obligation de signaler les atteintes à la vie privée au Commissariat à la protection de la vie privée. Ils doivent plutôt informer leurs clients concernés. L’expérience nous a appris que cette approche n’est pas sans faille.

Contexte

  • Depuis le début de l’exercice, le Commissariat a reçu 467 déclarations d’atteintes à la vie privée de la part du secteur public. Ces atteintes étaient principalement liées à la perte de renseignements personnels (69 %), la divulgation non autorisée (16 %) et l’accès non autorisé (15 %) étant les autres causes les plus fréquentes d’atteintes à la vie privée.
  • Au cours de la même période, le Commissariat a reçu 573 déclarations d’atteintes à la vie privée de la part du secteur privé. Un peu moins de la moitié de ces déclarations (262) mettaient en cause divers types de cyberattaques – maliciels, identifiants compromis ou hameçonnage.
  • Nous constatons que l’écart entre le nombre de déclarations des secteurs public et privé s’est rétréci, avec 573 déclarations provenant du secteur privé et 467 du secteur public (au 30 janvier). Néanmoins, nous restons préoccupés par le fait que la plupart des déclarations du secteur public proviennent des mêmes ministères.
  • Dans le cadre du projet de loi C-27, nous proposons que les fournisseurs de services signalent les atteintes à la vie privée qui respectent le seuil du « risque réel de préjudice grave » aux clients qui contrôlent les renseignements personnels, ainsi qu’au Commissariat.

Préparé par : DARC

Atteinte à Affaires mondiales Canada

Messages clés

  • Le 26 janvier, Affaires mondiales Canada (AMC) a informé verbalement le Commissariat d’une atteinte à son réseau privé virtuel (RPV) canadien entre le 20 décembre 2023 et le 24 janvier 2024. Cette atteinte est désormais maîtrisée.
  • AMC a soumis au Commissariat un rapport préliminaire d’atteinte à la vie privée le 2 février 2024. Bien qu’il poursuive son enquête, AMC a indiqué que l’atteinte à la vie privée a été causée par une cyberattaque sur son RPV et que des données, y compris des renseignements personnels, pourraient avoir été compromises.
  • Nous travaillons actuellement avec l’institution pour obtenir plus d’informations, que nous utiliserons pour déterminer les prochaines étapes.

Contexte

  • Conformément à la politique du Secrétariat du Conseil du Trésor (SCT), les institutions sont tenues de signaler les atteintes importantes à la vie privée au SCT et au Commissariat au plus tard sept jours après qu’elles ont déterminé que l’atteinte est substantielle.
  • AMC a soumis au Commissariat un rapport préliminaire/partiel d’atteinte à la vie privée.
  • Selon son rapport d’atteinte à la vie privée, AMC a identifié 1 761 personnes concernées.
  • AMC indique que tous les renseignements stockés dans les lecteurs personnels et les lecteurs ministériels partagés des employés concernés, ainsi que toutes les communications non chiffrées, pourraient avoir été compromis lors de l’atteinte à la vie privée.
  • Au 8 février 2024, le Commissariat a reçu cinq plaintes relatives à cette atteinte à la vie privée.

Préparé par : DARC

Table des matières

Portée et objectifs du projet de loi

Préoccupations concernant la Charte

Contrôle judiciaire

Surveillance du Commissariat

Transparence

Seuils et mesures de protection de la vie privée

Collecte et utilisation des renseignements personnels

Échange de renseignements

Déclaration des atteintes à la vie privée

Caractère adéquat

Décisions Schrems I et Schrems II et caractère adéquat

Autres cadres internationaux

La Security of Critical Infrastructure Act 2018 de l’Australie

Royaume-Uni

États-Unis (É.-U.)

FPT

Tendances en matière de déclarations d’atteintes

Atteinte à Affaires mondiales Canada

Date de modification :