Questions et réponses supplémentaires

Comparution devant le Comité permanent de la sécurité publique et nationale du 12 février 2024

---

Q 1 : Risques concernant les renseignements détenus par le gouvernement

Y a-t-il un risque lorsque le gouvernement recueille des renseignements très sensibles et confidentiels sur les vulnérabilités en matière de cybersécurité? Devrait-on s’inquiéter compte tenu des atteintes à Affaires mondiales Canada?

Réponse / Messages clés

• Les renseignements sensibles peuvent constituer une cible attrayante pour les acteurs malveillants.
• Les institutions fédérales doivent toujours s’efforcer de protéger leurs renseignements en prenant des mesures de sécurité proportionnelles à la mesure dans laquelle ils sont de nature sensible, y compris la mise en place de plusieurs niveaux de protection, le cas échéant.
• Elles peuvent également atténuer les risques en recueillant seulement les renseignements sensibles qui sont nécessaires à la poursuite d’une fin donnée et en détruisant rapidement les renseignements lorsqu’ils ne sont plus nécessaires.

Contexte

• Le 5 février 2024, le député Liepert (Parti conservateur) a posé cette question aux témoins lors de la réunion du Comité permanent de la sécurité publique et nationale (SECU) concernant le projet de loi C-26.
• Au cours de la même réunion, D. Shipley (Beauceron Security) a soulevé des préoccupations semblables dans son mot d’ouverture, c’est-à-dire le risque de créer un ensemble de vulnérabilités qui pourraient ensuite être exploitées par des États hostiles ou des criminels.

Préparé par : PRAP

---

Q 2 : Accroissement des échanges de renseignements

Seriez-vous préoccupé par des modifications qui permettent un plus grand échange de renseignements secrets entre l’industrie, les organismes et les organismes de réglementation disposant de renseignements sur des menaces actives?

Réponse / Messages clés

• Un plus grand échange de renseignements secrets pourrait engendrer des risques accrus pour la vie privée lorsque des renseignements personnels sont concernés.
• C’est pourquoi il est important d’exiger que tout échange de renseignements soit nécessaire et proportionnel aux préjudices potentiels et de créer un fondement probatoire clair pour étendre les pouvoirs.
• Le renforcement des pouvoirs devrait également être contrebalancé par des mesures correspondantes visant à appuyer la surveillance, y compris des mesures de responsabilisation et de transparence.

Contexte

• Le 5 février 2024, T. Warnell (Bruce Power) a soulevé cette question lors de la réunion du SECU concernant le projet de loi C-26.
• Dans son mémoire de 2016 sur le cadre de sécurité nationale du Canada présenté à Sécurité publique Canada, le Commissariat à la protection de la vie privée (le Commissariat) a souligné l’importance d’adopter une norme juridique élevée (c.‑à‑d. nécessité et proportionnalité) et le besoin d’un fondement probatoire clair pour un plus grand échange de renseignements secrets ainsi que des obligations strictes pour la production de rapports de transparence.
• Dans son mémoire de 2018 sur le projet de loi C-59, la Loi concernant des questions de sécurité nationale, le Commissariat a réitéré son soutien à l’égard d’une norme juridique rigoureuse relative à l’échange de renseignements aux termes de la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC).
• La LCISC, adoptée en 2019, autorise les institutions fédérales à communiquer des renseignements à un groupe de 17 ministères et organismes désignés qui ont un mandat de sécurité nationale reconnue ou des responsabilités connexes.

Préparé par : PRAP

---

Q 3 : Risques liés à l’abandon du projet de loi C-26

Y a-t-il des risques si le Comité n’adopte pas le projet de loi C-26?

Réponse / Messages clés

• Les cybermenaces présentent des risques réels et importants pour la protection de la vie privée.
• Ces risques sont mis en évidence par de récentes atteintes à la protection des renseignements personnels, lesquelles peuvent être très dommageables pour les personnes dont les données sont compromises.
• La cyberrésilience est essentielle pour la protection des renseignements personnels, car les données sont de plus en plus stockées en ligne.
• Il est important de mettre en place des mesures de protection solides en lien avec la cybersécurité, tout en accordant la priorité à la protection des renseignements personnels.

Contexte

• Le 5 février 2024, le député McKinnon (Parti libéral) a posé cette question aux témoins lors de la réunion du SECU concernant le projet de loi C-26.

Préparé par : PRAP

---

Q 4 : Consultation auprès du Commissariat

Le Commissariat a-t-il été consulté au sujet du projet de loi?

Réponse / Messages clés

• Non, nous n’avons pas été consultés.
• Au Commissariat, nous sommes toujours heureux de pouvoir offrir des avis sur les projets de loi qui peuvent avoir une incidence sur la protection des renseignements personnels, au moment de leur préparation.
• En fait, je pense que de telles consultations devraient constituer une exigence législative, comme c’est le cas dans certaines provinces et certains pays.
• En ce qui concerne le projet de loi C-26, je suis heureux de pouvoir présenter mon point de vue maintenant qu’il est examiné en comité.
• Je tiens à souligner que la capacité interne du Commissariat est bien développée dans le domaine de l’expertise technique et politique, et qu’il conseille régulièrement les institutions fédérales quant aux initiatives pouvant avoir une incidence sur la protection des renseignements personnels.

Contexte

• À l’heure actuelle, les politiques exigent qu’un avis soit donné au CPVP sur toutes les initiatives prévues, y compris les projets de loi, les règlements, les politiques et les programmes qui se rapportent à la Loi sur la protection des renseignements personnels ou qui peuvent avoir une incidence sur la protection des renseignements personnels des Canadiens.
• Plusieurs lois de provinces et d’autres pays exigent maintenant explicitement que les institutions consultent leur autorité de protection des données quand elles préparent un projet de loi. Par exemple, à Terre-Neuve-et-Labrador, l’Access to Information and Protection of Privacy Act exige que le commissaire soit consulté lorsqu’un projet de loi pourrait avoir une incidence sur l’accès à l’information ou la protection de la vie privée, et cela, dès que possible avant la date de l’avis du dépôt du projet de loi devant la Chambre d’assemblée, ou au plus tard à cette date.
• Dans le mémoire du Commissariat sur la modernisation de la Loi sur la protection des renseignements personnels, nous avons recommandé que les institutions fédérales soient tenues de consulter le Commissariat sur les projets de loi et les projets de règlement ayant des répercussions sur la protection des renseignements personnels avant qu’ils ne soient présentés.

Préparé par : PRAP

---

Q 5 : Types de renseignements personnels

Le projet de loi pourrait avoir une incidence sur de grandes quantités de renseignements personnels. Pouvez-vous donner des exemples concrets?

Réponse / Messages clés

• Il est possible de mettre en œuvre des ordonnances et des directives sans recueillir de grandes quantités de renseignements personnels. Cependant, il est difficile de prévoir comment ils seront utilisés, car les pouvoirs prévus par le projet de loi C-26 sont étendus et discrétionnaires.
• Les types de renseignements personnels qui sont détenus par des organisations et qui pourraient être visés par des directives et des ordonnances sont les suivants :
  • Renseignements du compte de l’abonné tels que le nom, l’adresse et l’emploi (fournisseurs de services de télécommunication et banques)
  • Données de communication telles que l’utilisation du téléphone et de l’Internet, les consultations de sites Web et les métadonnées connexes (fournisseurs de services de télécommunication)
  • Données de localisation comme celles provenant des stations cellulaires (fournisseurs de services de télécommunication)
  • Données financières telles que les relevés de transactions (banques)
  • Renseignements liés à la vérification et à la détection de la fraude, y compris les empreintes vocales et les numéros d’assurance sociale (fournisseurs de services de télécommunication et banques)
  • Données de déplacements personnels, c’est-à-dire les déplacements nationaux et internationaux (fournisseurs de services de transport)

Contexte

• En vertu de l’article 20 de la Loi sur la protection des cybersystèmes essentiels, le gouverneur en conseil peut ordonner à l’exploitant d’un cybersystème essentiel de se conformer à toute mesure prévue par une directive de cybersécurité dans le but de protéger un cybersystème essentiel. L’article 29 autorise les organismes de réglementation propres à une industrie à recueillir tout renseignement auprès d’une personne, d’une société de personnes ou d’une organisation non constituée en société aux fins de la vérification du respect ou de la prévention du non-respect d’une disposition de la Loi sur la protection des cybersystèmes essentiels.
• En vertu du paragraphe 15.2(2) de la Loi sur les télécommunications modifiée, le ministre de l’Industrie peut ordonner aux fournisseurs de services de télécommunication de faire tout ce qui est, selon lui, nécessaire pour sécuriser le système canadien de télécommunication.

Préparé par : PRAP

---

Q 6 : Renseignements accessibles au public

Selon le sommaire de la Bibliothèque du Parlement sur le projet de loi C-26, celui-ci comporterait la définition la plus large du terme « renseignements accessibles au public ». Quelle incidence, le cas échéant, cette définition aurait-elle sur le traitement de ces renseignements par le Commissariat sous le régime des lois sur la protection des renseignements personnels?

Réponse / Messages clés

• Le projet de loi C-26 n’aurait pas d’incidence sur le traitement des renseignements accessibles au public par le Commissariat sous le régime des lois fédérales existantes sur la protection des renseignements personnels.
• À titre de clarification, la Bibliothèque du Parlement indique que la Loi sur le Centre de la sécurité des télécommunications comporte la définition la plus large du terme « information accessible au public » en droit canadien.
• La Loi sur la protection des cybersystèmes essentiels ne définit pas le terme « renseignements accessibles au public ». La définition proposée par la Loi sur le Centre de la sécurité des télécommunications peut fournir un contexte utile qui permettra d’interpréter ce terme pour la Loi sur la protection des cybersystèmes essentiels.

Contexte

• Selon l’alinéa 26(1)b) de la Loi sur la protection des cybersystèmes essentiels, lorsque « les renseignements sont accessibles au public », ils sont soustraits de l’interdiction visant la communication de renseignements confidentiels (c.-à-d. des renseignements sensibles sur le plan commercial) (paragraphe 2). Cette loi ne définit pas le terme.
• Selon l’article 2 de la Loi sur le Centre de la sécurité des télécommunications, le terme « information accessible au public » désigne « [l’i]nformation publiée ou diffusée à l’intention du grand public, accessible au public dans l’infrastructure mondiale de l’information ou ailleurs ou disponible au public sur demande, par abonnement ou achat ». L’information à l’égard de laquelle un Canadien ou une personne se trouvant au Canada a une attente raisonnable en matière de protection de la vie privée est exclue.
• Selon la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), il est possible de recueillir, d’utiliser et de communiquer des renseignements personnels à l’insu de la personne concernée et sans son consentement s’il s’agit de renseignements réglementaires et de renseignements auxquels le public a accès. Ceux-ci sont énoncés dans une liste exhaustive, qui figure aux alinéas 7(1)d), 7(2)c.1) et 7(3)h.1) de la LPRPDE, et dans le Règlement précisant les renseignements auxquels le public a accès (DORS/2001-7). Par conséquent, le Commissariat ne tiendrait probablement pas compte de la définition de la Loi sur le Centre de la sécurité des télécommunications pour interpréter et appliquer les articles pertinents de la LPRPDE. Dans le cadre du projet de loi C-27, nous soulignons que la définition de « renseignements publics » proposée dans la Loi sur la protection de la vie privée des consommateurs (paragraphe 2) renvoie aussi à des règlements, qui ne sont pas encore élaborés.
• La Loi sur la protection des renseignements personnels stipule que ses obligations en matière d’usage et de divulgation ne s’appliquent pas aux renseignements personnels « auxquels le public a accès », une expression non définie (paragraphe 69(2)). Bien qu’il existe une jurisprudence interprétant directement cette disposition, elle ne fait pas référence à l’article 2 de la Loi sur le Centre de la sécurité des télécommunications. De plus, il est peu probable que le Commissariat ou un tribunal considérerait une définition aussi large comme pertinente aux fins de la Loi sur la protection des renseignements personnels.

Préparé par : Services juridiques

---

Q 7 : Collaboration avec le BSIF

Le Commissariat et le Bureau du surintendant des institutions financières (BSIF) collaborent-ils? Dans l’affirmative, comment et sur quoi?

Réponse / Messages clés

• Nous ne pouvons pas parler au nom du BSIF, mais le Commissariat ne peut pas collaborer avec le BSIF dans le cadre de l’examen d’une plainte en raison de nos exigences et de nos limites législatives.
• Nous avons observé des situations où une collaboration aurait pu être utile.
  • Par exemple, lorsqu’il y a eu une atteinte aux mesures de sécurité d’une institution financière et que des renseignements personnels sont compromis. Dans un tel cas, le BSIF et le Commissariat pourraient tous les deux avoir compétence.
• Le Commissariat verrait d’un bon œil des changements législatifs qui faciliteraient une telle collaboration.

Contexte

• L’article 20 de la LPRPDE stipule que le commissaire est tenu au secret en ce qui concerne les renseignements dont il prend connaissance par suite de l’exercice des attributions que la partie 1 lui confère, à l’exception de celles visées aux paragraphes 10.1(1) ou 10.3(2) (déclarations d’atteinte et registres d’atteinte).
• L’article 23 de la LPRPDE autorise le commissaire à consulter toute personne ayant, au titre d’une loi provinciale, des attributions semblables à celles du commissaire, pour veiller à ce que les renseignements personnels soient protégés de la façon la plus uniforme possible. Le commissaire peut conclure des accords ou ententes en vue de coordonner l’activité, d’effectuer des recherches ou d’élaborer des lignes directrices et de publier ces lignes directrices ou les résultats de ces recherches, d’élaborer des contrats ou autres documents, et d’élaborer la procédure à suivre pour la communication des renseignements (paragraphe 23(2)). Il peut également communiquer des renseignements qui pourraient être utiles à l’examen d’une plainte ou à une vérification en cours et qui pourraient aider le commissaire à exercer ses attributions (paragraphe 23(3)).
• L’article 23.1 prévoit la communication de renseignements à toute personne ou à tout organisme qui, au titre d’une loi d’un État étranger, a des attributions semblables à celles du commissaire. Les seuls renseignements qui peuvent être communiqués sont ceux qui pourraient être utiles à l’examen d’une plainte – en cours ou éventuelle – relative à une contravention à une loi de l’État étranger visant des comportements essentiellement semblables à ceux qui constituent des contraventions au titre de la LPRPDE, et ceux dont la communication est nécessaire afin d’obtenir des renseignements qui pourraient être utiles à l’examen d’une plainte ou à une vérification – en cours ou éventuelle – au titre de la LPRPDE (paragraphe 23.1(3)).

Préparé par : Conformité/PRAP

---

Q 8 : Recoupement entre le projet de loi C-26 et la Loi sur la protection des renseignements personnels

Pouvez-vous nous dire comment le projet de loi C-26 recoupera la Loi sur la protection des renseignements personnels et s’il y a des éléments dans le projet de loi qui pourraient avoir une incidence sur l’applicabilité de cette loi?

Réponse / Messages clés

• La Loi sur la protection des renseignements personnels s’applique à tout renseignement personnel détenu par une institution fédérale. Il peut s’agir de renseignements personnels qui relèvent aussi du champ d’application du projet de loi C-26.
• Les modifications proposées par le projet de loi C-26 visant les articles 15.6 et 15.7 de la Loi sur les télécommunications et les articles 26 et 28 de la Loi sur la protection des cybersystèmes essentiels proposée autorisent des types précis de communication, qui pourraient inclure des renseignements personnels.
• Dans la mesure où ces types de communication concernent des renseignements personnels et sont faites par une institution fédérale, elles seraient autorisées au titre de l’alinéa 8(2)b) de la Loi sur la protection des renseignements personnels, qui permet la communication de renseignements personnels relevant d’une institution fédérale « … aux fins qui sont conformes avec les lois fédérales… qui autorisent cette communication ».
• En d’autres mots, la Loi sur les télécommunications et la Loi sur la protection des cybersystèmes essentiels modifiées fourniraient un fondement législatif pour la communication de renseignements personnels en conformité avec la Loi sur la protection des renseignements personnels.

Contexte

• Les modifications proposées par le projet de loi C-26 visant les articles 15.6 et 15.7 de la Loi sur les télécommunications permettent à certaines personnes et entités (y compris les institutions fédérales) d’échanger des renseignements et au ministre de l’Industrie de communiquer des renseignements, respectivement.
• Les articles 26 et 28 de la Loi sur la protection des cybersystèmes essentiels permettent la communication de renseignements par certaines personnes, qui peuvent comprendre des institutions fédérales.
• La LPRPDE peut s’appliquer aux organisations qui communiquent des renseignements personnels à des institutions fédérales, conformément au projet de loi C-26.

Préparé par : Services juridiques

---

Q 9 : Renseignements personnels ou renseignements confidentiels

Pouvez-vous nous dire si les renseignements personnels doivent être traités comme des renseignements confidentiels?

Réponse / Messages clés

• Le projet de loi C-26 prévoit certaines mesures de protection pour les renseignements confidentiels, c’est-à-dire des renseignements sensibles sur le plan commercial qui ne comportent probablement pas de renseignements personnels.
• Les renseignements personnels qui sont traités comme des renseignements confidentiels, conformément à la Loi sur les télécommunications et à la Loi sur la protection des cybersystèmes essentiels modifiées, seraient soumis aux mêmes restrictions que les renseignements sensibles sur le plan commercial. Les restrictions et exceptions en vigueur peuvent ne pas tenir compte des considérations sous-jacentes en matière de protection des renseignements personnels (p. ex. la nature sensible des renseignements ainsi que la nécessité et la proportionnalité de l’échange).
• Le projet de loi C-26 doit plutôt protéger les renseignements personnels en imposant des limites et des mesures de sécurité supplémentaires dans le cadre de leur collecte, de leur usage et de leur communication, et ce, indépendamment du concept des renseignements confidentiels.

Contexte

• Selon les modifications proposées à l’article 15.5 de la Loi sur les télécommunications, une personne peut désigner comme confidentiels (1) les renseignements qui sont des secrets industriels; (2) les renseignements financiers, commerciaux, scientifiques ou techniques qui sont de nature confidentielle et qui sont traités comme tels de façon constante par la personne qui les fournit; et (3) les renseignements dont la communication risquerait vraisemblablement soit de causer à une autre personne ou à elle-même des pertes ou profits financiers appréciables ou de nuire à sa compétitivité, soit d’entraver des négociations menées par cette autre personne ou elle-même en vue de contrats ou à d’autres fins.
• La Loi sur la protection des cybersystèmes essentiels définit le terme « renseignements confidentiels » comme étant des renseignements qui sont obtenus sous son régime relativement à un cybersystème essentiel et, selon le cas, (1) qui portent sur la vulnérabilité et la protection des cybersystèmes essentiels de l’exploitant désigné qui sont traités comme étant confidentiels de façon constante par l’exploitant désigné; (2) dont la divulgation risquerait vraisemblablement de causer des pertes ou profits financiers appréciables à un exploitant désigné ou de nuire à sa compétitivité; (3) dont la divulgation risquerait vraisemblablement d’entraver des négociations, notamment contractuelles, menées par un exploitant désigné.

Préparé par : Services juridiques

---