Correctif C-26 : le projet de loi sur la cybersécurité manque de protection des droits et de responsabilité

Le projet de loi C-26 est un autre exemple, dans une liste de plus en plus longue, d'une mesure législative qui comblerait un besoin évident si seulement elle était meilleure. C-11 (modifications à la Loi sur la radiodiffusion), C-27 (vie privée dans le secteur privé et gouvernance de l'IA), S-7 (fouille d'appareils à la frontière) et C-20 (dispositions attendues depuis longtemps pour la surveillance de la GRC et de l'ASFC), sont tous également sur cette liste.   

Avoir un cadre juridique clair pour les attentes et les responsabilités en matière de cybersécurité pour les opérateurs d'infrastructures critiques fédérales est une bonne chose, probablement attendue depuis longtemps. Et Facture C-26, Loi sur la cybersécurité, modifiant la Loi sur les télécommunications et d'autres lois en conséquence, tente de mettre en place un tel cadre.   

Il modifie la Loi sur les télécommunications et donne au gouverneur en conseil et au ministre de l'Industrie le pouvoir de donner des instructions aux fournisseurs de services de télécommunications pour les obliger à faire ou à cesser de faire tout ce qu'ils jugent nécessaire pour la sécurité des infrastructures. Il crée également un régime de sanctions administratives pécuniaires pour s'assurer que les fournisseurs se conforment à ces directives et prévoit un contrôle judiciaire de ces ordonnances. C-26 crée en outre un nouveau Loi sur la protection des systèmes informatiques critiques créer un cadre pour protéger « les cybersystèmes critiques de services et de systèmes qui sont vitaux pour la sécurité nationale ou la sécurité publique ». Ce sont des systèmes dans des secteurs sous réglementation fédérale comme les banques, les télécommunications, l'énergie nucléaire et les infrastructures, y compris les systèmes de transport. La nouvelle loi permet au gouverneur en conseil de désigner un service comme vital et d'obliger les opérateurs de services vitaux conçus à créer des plans et des programmes de cybersécurité, à partager des informations avec des organismes désignés et à imposer des conséquences en cas de non-conformité - avec des amendes allant jusqu'à $15 000 000 et emprisonnement potentiel. Autrement dit, le projet de loi c-26 a une portée ambitieuse. 

Les problèmes avec le projet de loi résident dans le fait que les nouveaux pouvoirs discrétionnaires introduits par C-26 ne sont en grande partie pas limités par des garanties pour garantir que ces pouvoirs sont utilisés, si nécessaire, de manière proportionnée, en tenant dûment compte de la vie privée et d'autres droits. L'absence de dispositions relatives à la responsabilité et à la transparence rend la situation encore plus troublante. 

Par exemple, l'article 15 des modifications à la Loi sur les télécommunications donne au ministre de l'Industrie, après consultation du ministre de la Sécurité publique, le pouvoir discrétionnaire (le libellé du projet de loi fait référence à « l'avis du ministre ») d'interdire à un fournisseur de services de télécommunications de fournir tout service à une personne déterminée (y compris une autre fournisseur de télécommunications), ou exiger d'un fournisseur de télécommunications qu'il suspende le service pour n'importe quelle durée à quiconque (encore une fois, y compris un autre fournisseur de télécommunications). Ainsi, en termes plus simples, les services peuvent être coupés de n'importe qui à tout moment, si le ministre pense qu'il est nécessaire d'empêcher une liste de menaces qui comprend, mais sans s'y limiter, l'interférence, la manipulation ou la perturbation d'un réseau. Ainsi, par exemple, si un incident de ransomware est correctement attribué à une adresse IP, la personne à cette adresse pourrait être coupée d'Internet. Mais, si un incident de ransomware est tracé de manière incorrecte, la personne mal identifiée pourrait également être coupée. Et parce que les commandes peuvent être passées en secret si le ministre le souhaite, il se peut que le FAI ne soit pas autorisé à dire à la personne pourquoi elle a été coupée, ce qui, bien sûr, rendra difficile pour cette personne de justifier la correction du Erreur. Un autre exemple serait la possibilité que des modems soient coupés d'un réseau s'ils ont été compromis par quelque chose comme un réseau de robots, ce qui aurait pour effet de déconnecter les consommateurs qui ne savent peut-être même pas que leurs appareils ont été compromis. 

Sont également préoccupantes les dispositions très générales concernant l'élargissement de l'échange d'informations avec une longue liste de destinataires potentiels, notamment les ministres des Affaires étrangères et de la Défense nationale, le Service canadien du renseignement de sécurité (SCRS) et aussi, une fois qu'une entente est signée, avec les gouvernements provinciaux, les les gouvernements ou les organisations étatiques internationales, encore une fois, à la discrétion du ministre. Le Centre de la sécurité des télécommunications (CST), l'organisme de renseignement électromagnétique du Canada, est également un destinataire clé de l'information.  

Le rôle du CST nécessite un examen attentif. Bien sûr, il est logique que le CST se voie confier un rôle central dans le projet de loi, car il a une obligation explicite dans le cadre de son mandat à plusieurs volets concernant la cybersécurité nationale et l'assurance de l'information. Cependant, la cybersécurité n'est pas le seul mandat du CST; en dessous de leur propre loi gouvernante leur mandat comprend les cyberattaques actives et défensives, c'est-à-dire le piratage d'autrui à des fins de renseignement ou de défense et la protection du Canada contre de telles attaques. Tous les renseignements que le projet de loi C-26 exigera que le CST fournisse concernant les incidents de sécurité au Canada exposeront très probablement des vulnérabilités auparavant inconnues dans les programmes que les entreprises, et nous, en tant qu'utilisateurs ordinaires d'ordinateurs, utilisons, et nous nous attendrions à ce que lorsque de tels renseignements se révèle au cours d'une action visant à protéger la cybersécurité, la priorité serait de veiller à ce qu'elle soit corrigée. Mais il y a un conflit potentiel, car le CST pourrait aussi avoir de bonnes raisons de vouloir stocker des vulnérabilités et les exploiter sous d'autres aspects de son mandat. Il devrait y avoir, mais il n'y a pas, de disposition dans le projet de loi exigeant que les informations reçues à la suite de l'échange d'informations mandaté par la nouvelle loi ne soient utilisées strictement que dans le cadre des responsabilités du CST en matière de cybersécurité. 

L'une des garanties que le projet de loi prévoit sont les dispositions relatives à un contrôle judiciaire d'une instruction en matière de cybersécurité qui offre un moyen de contester les ordonnances que l'objet de ces ordonnances juge déraisonnables ou non fondées. Cependant, les règles entourant ces révisions judiciaires permettent de garder des preuves secrètes des demandeurs et de leur avocat et permettent aux juges d'utiliser des informations qui ne sont même pas fournies au demandeur sous une forme résumée épurée pour leurs décisions. Cela rappelle d'autres types de procès où des informations préjudiciables à la sécurité nationale peuvent émerger, mais dans les cas de certificats de sécurité nationale en vertu de la Loi sur l'immigration et la protection des réfugiés (LIPR) il y a provision pour un amicus, un avocat disposant d'une habilitation de sécurité spéciale, pour entendre les preuves secrètes et représenter les intérêts de l'objet de l'ordonnance. Bien qu'avoir un amicus soit un recours incomplet, la Cour suprême de R contre Harkat a dit qu'il satisfait aux exigences d'un processus équitable. En revanche, en vertu de C-26, il n'y a pas un tel clin d'œil à un processus équitable. Bien sûr, il y a une différence dans les conséquences entre la possibilité d'être expulsé du Canada en vertu de la LIPR et les amendes et les implications d'accès en ligne en vertu de C-26, mais en principe, le droit de faire une défense pleine et éclairée est un élément très important d'une procédure régulière. Et c'est d'autant plus le cas compte tenu de la récente série d'affaires où les agences de sécurité nationale du Canada ont été averties par la Cour pour manquer à son devoir de franchise, ou en d'autres termes, ne pas dire à la Cour tout ce qu'elle doit savoir pour prendre une bonne décision. 

Il s'agit d'un long article, qui pourrait être plus long, mais même cette liste incomplète des failles du projet de loi C-26 suggère la nécessité d'un second examen objectif et d'un amendement important si ce projet de loi doit fournir les protections de cybersécurité dont le Canada a besoin, avec les protections pour les droits de l'homme et la portée excessive des agences de sécurité que nous méritons. La sécurité contre la liberté est une fausse dichotomie. La sécurité et la sûreté véritables exigent que les individus soient à l'abri des acteurs malveillants et à l'abri des intrusions déraisonnables de l'État, et bien qu'il s'agisse d'un équilibre difficile, c'est l'équilibre qu'exige la démocratie. Le projet de loi C-26 est à surveiller pour toutes les personnes concernées par la confidentialité, la surveillance et la responsabilité, et l'ACLC préconisera les réformes nécessaires pour en faire le type de loi sur la cybersécurité dont les Canadiens ont besoin. 

Écoutez notre directrice de la confidentialité, Brenda McPhail, parler de C-26 avec Michael Geist sur le LawBytes Podcast.

Lire la lettre conjointe cosignée par l'ACLC appelant à la réforme du projet de loi C-26.