Document d'information - Protéger l’accès aux renseignements autorisés (projet de loi C-22 – partie 2)

L’évolution rapide des technologies a créé un écosystème numérique complexe caractérisé par un volume accru de données, d’appareils et de moyens d’interagir. L’utilisation des téléphones intelligents et des applications de messagerie instantanée, par exemple, permet de communiquer plus facilement et plus rapidement avec d’autres personnes. Les auteurs de menaces exploitent cet environnement numérique pour y mener leurs activités criminelles, comme l’exploitation sexuelle en ligne, la fraude en ligne et la radicalisation, ou pour planifier, coordonner, financer ou perpétrer des menaces transnationales et nationales pour la sécurité publique, comme le terrorisme, le crime organisé et l’ingérence étrangère.

Ces technologies permettent de générer des données uniques sur une personne qui, dans certaines circonstances, peuvent aider les organismes d’application de la loi et le Service canadien du renseignement de sécurité (SCRS) à recueillir l’information nécessaire pour enquêter efficacement sur les crimes et les menaces à la sécurité du Canada. Depuis des décennies, les organismes d’application de la loi et le SCRS doivent composer avec des lois obsolètes qui n’ont pas suivi l’évolution de notre réalité technologique et numérique. Les enquêtes manquent donc de renseignements clés pour fournir des pistes ou aider à identifier ou à traduire en justice des personnes ou des groupes impliqués dans des activités criminelles graves ou d’importantes menaces pour la sécurité nationale. Dans certains cas, les enquêtes sont abandonnées en raison de ces défis.

C’est pourquoi le gouvernement du Canada a présenté une loi visant à assurer la sécurité des Canadiens (projet de loi C‑22). Le projet de loi protégerait les Canadiens et les Canadiennes en fournissant un cadre juridique modernisé visant à garantir que le SCRS puisse enquêter sur les menaces à la sécurité du Canada et que les organismes d’application de la loi puissent détecter et dissuader la criminalité et intervenir en réponse à celle-ci.

La proposition de la Loi

La partie 2 du projet de loi C-22 n’accorde pas aux organismes d’application de la loi et au SCRS de nouveaux pouvoirs leur permettant d’intercepter les communications ou d’obtenir de l’information. Elle veille seulement à ce que les fournisseurs de services électroniques (FSE) soient en mesure de respecter les ordres juridiques existants, qui figurent dans le Code criminel et dans la Loi sur le Service canadien du renseignement de sécurité.

Cadre actuel

Actuellement, le Canada s’appuie sur une condition de licence de 1995 qui ne régit que la téléphonie vocale malgré l’évolution technologique considérable, notamment l’Internet, les satellites et les plateformes de messagerie. Les organismes d’application de la loi et le SCRS peuvent obtenir une autorisation, sous forme de mandat ou d’ordonnance de communication, pour intercepter des communications ou obtenir de l’information. Cependant, il n’existe aucune exigence correspondante obligeant un FSE à développer et à maintenir un système capable de fournir la communication/l’information en question. De plus, hormis les services de téléphonie vocale, la collaboration des FSE pour répondre aux demandes d’accès légal est entièrement volontaire.

Proposition du projet de loi

La Loi sur le soutien en matière d’accès autorisé à de l’information (LSAAI) obligerait certains FSE à développer et à maintenir les capacités nécessaires pour permettre aux organismes d’application de la loi et au SCRS d’obtenir efficacement les communications et l’information qu’ils sont légalement autorisés à obtenir dans le cadre de leurs enquêtes criminelles et de leurs enquêtes en matière de renseignement, tout en respectant les droits et libertés.

Au lieu d’obliger des secteurs complets, y compris des petites entreprises, à développer les mêmes capacités, le cadre proposé adopte une approche ciblée pour le développement des capacités techniques. En vertu du projet de loi proposé, un FSE peut être obligé de développer et de maintenir des capacités d’accès légal de deux manières : il peut être désigné comme « fournisseur principal » ou faire l’objet d’un arrêté ministériel.

Fournisseurs principaux

La catégorie de FSE désignés comme fournisseurs principaux sera définie dans le règlement et comprendra probablement les entreprises de télécommunications traditionnelles, les fournisseurs de services satellites et d’autres fournisseurs. Chaque catégorie de FSE désignés sera tenue de respecter des exigences précises énoncées dans le règlement et adaptées à la catégorie en question.

• Catégories de FSE : Les différentes catégories seraient établies selon des critères comme le type d’entreprise, le nombre d’abonnés, la technologie et le service.
• Règlement : Lors de l’élaboration du règlement, le gouverneur en conseil doit tenir compte des éléments suivants :
  • les avantages pour l’administration de la justice : en particulier dans le cas des enquêtes menées en vertu du Code criminel et en ce qui concerne l’exercice des pouvoirs et des fonctions en vertu de la Loi sur le SCRS;
  • la possibilité : la question de savoir s’il est possible pour le FSE de se conformer à l’arrêté;
  • les frais : les frais à engager par le FSE pour se conformer à l’arrêté;
  • les incidences : les incidences possibles sur la confidentialité et la cybersécurité;
  • l’évaluation des risques : les effets possibles de l’arrêté sur les personnes auxquelles le FSE fournit des services;
  • tout autre facteur que le gouverneur en conseil estime pertinent.
• Abstention : Les FSE soumis à des exigences pourront demander plus de temps pour mettre en œuvre les capacités. Les FSE doivent fournir des renseignements, notamment une justification détaillée, un plan et une échéance pour la mise en œuvre des exigences aux fins d’approbation par le ministre de la Sécurité publique.

Arrêtés ministériels

Le ministre de la Sécurité publique pourrait émettre un arrêté ministériel, sous réserve de l’approbation du commissaire au renseignement, à l’intention des fournisseurs de services électroniques (FSE), les contraignant à développer des capacités particulières. Les arrêtés ministériels seraient fondés sur les besoins opérationnels, à mesure que les menaces évoluent et que de nouvelles technologies apparaissent, et pourraient être adressés tant aux fournisseurs principaux qu’aux fournisseurs non essentiels. Pour décider d’émettre ou non un arrêté ministériel, le ministre doit tenir compte des mêmes facteurs que le gouverneur en conseil lorsqu’il établit des règlements pour les fournisseurs principaux. Les arrêtés ministériels pourraient être révisés par les tribunaux.

Pourquoi est-ce nécessaire?

À l’heure actuelle, les organismes d’application de la loi et le SCRS peuvent avoir l’autorité légale d’obtenir de l’information auprès des FSE, mais aucune loi n’oblige ces derniers à maintenir un système capable de répondre efficacement aux demandes. Cela signifie que, même si les communications et les renseignements requis se trouvent dans leurs systèmes, un FSE peut être incapable de les fournir. Ce manque de capacité technique a entraîné l’interruption d’enquêtes, voire empêché certaines d’entre elles de débuter. Le problème peut être aussi simple qu’un FSE ne disposant pas de l’infrastructure sécurisée nécessaire pour transférer l’information aux organismes concernés dans un format utilisable. Dans d’autres cas, il peut s’agir de l’incapacité de récupérer l’information dans un délai donné ou d’en garantir l’exactitude.

Infractions, administration et application de la loi

Cadre actuel

L’application de la conformité dans le cadre actuel est extrêmement limitée.

Proposition du projet de loi

Pour favoriser la conformité, la LSAAI prévoirait des sanctions pécuniaires en cas de non‑respect des obligations prévues par la Loi. La LSAAI établit les paramètres concernant l’imposition de sanctions administratives, notamment leur montant et la façon dont un FSE peut demander un examen par le ministre.

En plus des sanctions administratives pécuniaires, la LSAAI prévoit également des infractions en cas de non-respect des dispositions. 

Pourquoi est-ce nécessaire?

Des sanctions sont nécessaires pour garantir l’application efficace d’un régime réglementaire. 

Ce qui a changé depuis les propositions concernant la LSAAI en vertu du projet de loi C-2

Surveillance et transparence accrues 

Ancienne proposition (projet de loi C-2)

Les arrêtés ministériels étaient approuvés par le ministre de la Sécurité publique après consultation de la ministre de l’Industrie.

Proposition du projet de loi C-22

• Exiger que les arrêtés ministériels soient approuvés par le commissaire au renseignement avant leur émission. Le rôle de consultation du ministre de l’Industrie serait éliminé.
• Exiger que le ministre de la Sécurité publique prépare un rapport annuel obligatoire et qu’une version publique soit rendue disponible dans un délai de 60 jours.
• Exiger un examen parlementaire de la Loi trois ans après son entrée en vigueur. 

Pourquoi est-ce nécessaire?

Les arrêtés ministériels constituent un outil puissant permettant au ministre de la Sécurité publique de demander un large éventail de capacités techniques de manière confidentielle afin d’éviter d’alerter des acteurs malveillants. Le rôle du commissaire au renseignement dans l’approbation des arrêtés ministériels renforce le cadre en fournissant un mécanisme de surveillance externe. L’ajout d’un rapport annuel et d’un examen parlementaire, trois ans après l’entrée en vigueur de la loi, accroît davantage la transparence.

Pouvoirs d'inspection, obligation d'aider, confidentialité et cybersécurité 

Propositions précédentes

• Préciser que l’obligation d’aider concerne l’évaluation et la mise à l’essai de dispositifs permettant à une personne autorisée d’accéder à des renseignements. Elle ne donne pas accès à des renseignements privés et exige que de telles demandes soient faites par le ministre.
• Préciser que les rapports de vérification interne ainsi que tout renseignement obtenu au cours d’une inspection sont confidentiels et ne peuvent être divulgués sans autorisation.
• Préciser que l’élaboration des règlements doit tenir compte des mêmes facteurs que ceux considérés lors de l’émission des arrêtés ministériels.

Pourquoi est-ce nécessaire?

Il est important de clarifier l’intention des dispositions qui pourraient être mal interprétées par l’industrie.  

Rétention des données

Ancienne proposition

La mise en œuvre de certaines capacités exige implicitement la rétention des données.

Proposition du projet de loi C-22

Autoriser explicitement l’adoption de règlements concernant la conservation des métadonnées prescrites pour une période raisonnable d’au plus un an, sauf pour le contenu, l’historique de navigation Web ou l’activité sur les médias sociaux.

Pourquoi est-ce nécessaire?

Pour s’assurer que les exigences sur la rétention des données sont claires et transparentes.