Le projet de loi libéral sur la cybersécurité est une « mauvaise loi », selon un rapport.
Un nouveau rapport de recherche affirme que la législation fédérale sur la cybersécurité est si imparfaite qu’elle permettrait aux gouvernements autoritaires du monde entier de justifier leurs propres lois répressives.
Le rapport de Christopher Parsons du Citizen Lab de l’Université de Toronto formule 29 recommandations pour renforcer la transparence et la responsabilité des mesures proposées en juin par le gouvernement libéral.
Le gouvernement veut établir un cadre pour mieux protéger les systèmes vitaux pour la sécurité nationale et donner aux autorités de nouveaux outils pour répondre aux dangers émergents dans le cyberespace.
En vertu du projet de loi C-26, les entreprises clés des secteurs bancaire et des télécommunications seraient tenues d’améliorer la cybersécurité et de signaler les attaques numériques, sous peine de sanctions.
Le projet de loi propose de donner aux autorités la capacité d’appliquer les mesures par le biais de pouvoirs d’audit et d’amendes, et permettrait des sanctions pénales en cas de non-conformité.
Le rapport indique que les pouvoirs recherchés par Ottawa ne sont pas suffisamment délimités, qu’ils sont assortis de clauses de confidentialité trop larges et qu’ils pourraient limiter la capacité des entreprises privées à contester les demandes, les ordres ou les règlements émis par le gouvernement.
Le rapport décrit un scénario dans lequel le régulateur fédéral de la radiodiffusion pourrait rédiger un ensemble de lois publiques par le biais de ses décisions, tandis qu’une « sorte de loi secrète » qui se déploie par le biais d’ordonnances et de règlements guiderait en fait le comportement des fournisseurs de télécommunications en matière de cybersécurité.
Elle affirme que les pouvoirs proposés dans le projet de loi C-26 doivent être réduits à certains endroits, que les clauses essentielles et la terminologie doivent être définies, et que les exigences en matière de responsabilité et de transparence doivent être » saupoudrées généreusement » dans une version modifiée de la législation.
« Si le gouvernement refuse de modifier de manière significative sa législation et de se rendre plus responsable et plus transparent envers les fournisseurs de télécommunications et le public, il aura adopté une mauvaise loi », indique le rapport.
Les gouvernements autoritaires seraient en mesure d’invoquer un projet de loi C-26 non amendé pour justifier leur propre législation sur la « sécurité », qui est secrète, répressive et ne rend pas de comptes.
M. Parsons, associé de recherche principal au Citizen Lab, qui se concentre sur les technologies de communication, les droits de l’homme et la sécurité mondiale, fait partie des personnes et des groupes qui ont écrit une lettre ouverte commune au ministre de la Sécurité publique, Marco Mendicino, le mois dernier, pour exprimer leur inquiétude au sujet du projet de loi.
Selon lui, le gouvernement doit aux citoyens et aux entreprises de justifier les raisons pour lesquelles il cherche à obtenir ces nouveaux pouvoirs et les raisons sous-jacentes à l’introduction de la législation sur la cybersécurité.
Parmi les recommandations de son rapport :
- Les décrets et les arrêtés ministériels pris pour sécuriser le système de télécommunications doivent être nécessaires, proportionnés et raisonnables ;
- les décrets doivent être publiés dans la Gazette du Canada dans les 180 jours de leur publication ou dans les 90 jours de leur mise en œuvre ;
- le ministre devrait être obligé de déposer un rapport annuel sur les ordonnances émises ;
- le gouvernement devrait expliquer comment il utilisera les informations provenant des fournisseurs de télécommunications et indiquer les organismes auxquels ces informations peuvent être divulguées ;
- un recours devrait être possible si le gouvernement traite mal les informations confidentielles ou personnelles ; et
- il devrait y avoir des périodes définies pour la durée pendant laquelle le gouvernement peut conserver les données des fournisseurs de télécommunications.
Les coûts associés à la mise en conformité avec les ordres du gouvernement pourraient avoir des répercussions importantes sur les fournisseurs de services de télécommunications, pouvant aller jusqu’au risque que certaines entreprises soient incapables de continuer à fournir des services à tous leurs clients, prévient le rapport.
Afin d’améliorer la surveillance indépendante, le gouvernement devrait préciser les rôles du commissaire fédéral à la protection de la vie privée, du Comité des parlementaires sur la sécurité nationale et les renseignements et de l’Agence de surveillance de la sécurité nationale et des renseignements à différentes étapes du processus d’élaboration des ordonnances ou des règlements, ajoute le rapport.
« La sécurité peut être, et doit être, alignée sur les principes démocratiques du Canada », écrit M. Parsons. « Il appartient maintenant au gouvernement de modifier sa législation en fonction de ceux-ci. »
Ce reportage de La Presse Canadienne a été publié pour la première fois le 18 octobre 2022.