Dans l’optique de trouver un équilibre entre la sécurité nationale et la protection de la vie privée, plusieurs témoins ont affirmé que la meilleure option selon eux serait d’abroger la LCISC en raison de ses lacunes et de sa portée et de repartir à neuf afin de trouver une nouvelle solution[93].

Néanmoins, autant pour les témoins soutenant l’abrogation de la LCISC que pour d’autres témoins argumentant pour la modifier[94], dans l’optique de trouver des solutions, l’amendement de la LCISC afin d’y ajouter des normes juridiques qui réduisent notamment la portée de ses dispositions constitue une priorité. Effectivement, plusieurs témoins se sont dits inquiets de l’absence de normes juridiques. L’inclusion de telles normes servirait à mieux protéger la vie privée des Canadiens. En ce sens, plusieurs témoins ont suggéré des modifications afin de réduire la portée la Loi, notamment en ce qui a trait au nombre d’institutions fédérales impliquées dans la LCISC, au seuil prévu à la LCISC pour la communication d’information, à la définition d’ « activité pouvant porter atteinte à la sécurité du Canada » ainsi qu’aux effets juridiques de la LICSC et à son interaction avec d’autres lois.

5.1 Les inquiétudes en général relativement à l’absence de normes juridiques

Le commissaire Therrien s’inquiète du fait que la LCISC n’inclut pas de normes juridiques afin de protéger la vie privée des Canadiens: « L'obligation d'effectuer la communication de renseignements d'une manière conforme à la protection de la vie privée devrait donc devenir une norme juridique capable d'exécution, au même titre que les règles qui favorisent la communication des renseignements[95] ». Selon lui, afin de trouver le juste équilibre entre la sécurité nationale et la protection de la vie privée et de « s’assurer qu’on ne communique pas ni ne conserve trop d’information[96] », « il faut se doter des bons mécanismes de protection et du bon seuil[97] ». Le commissaire Therrien a affirmé que ses préoccupations ne sont pas théoriques, mais bien réelles :

Nous avons vu, au cours des dernières années, des cas de collecte ou de conservation excessives et parfois illicites d’information. Il suffit de penser au rapport du commissaire du CST où l’on révèle que le CST avait communiqué illégalement des métadonnées à d’autres pays; ou à la récente décision de la Cour fédérale selon laquelle le SCRS avait conservé de façon illicite les métadonnées d’un grand nombre de personnes respectueuses des lois qui ne menaçaient aucunement la sécurité nationale parce que le SCRS estimait devoir conserver cette information à des fins d’analyse[98].

Plusieurs témoins ont également tenu des propos similaires et ont indiqué qu’une des façons de réduire l’impact de la LCISC sur la protection de la vie privée est d’y inclure des protections adéquates[99].

Selon M. Karanicolas du CLD, la communication d’information doit se faire « selon des règles claires et bien élaborées, afin de veiller à ce que le système fonctionne et qu'il ne puisse être utilisé à mauvais escient[100] ». Selon lui, les recommandations des témoins afin de modifier la LCISC pour y ajouter des mesures de protection constituent un moyen de trouver un équilibre entre sécurité nationale et protection de la vie privée[101]. Similairement, M^me Austin a souligné que « les questions concernant la portée excessive, les seuils, les mesures de sauvegarde et de protection prennent toutes une grande importance dans l'établissement d'un juste équilibre[102] ». M^me Vonn a également soutenu que les Canadiens « souhaitent la mise en place de mesures de protection préalables visant à assurer qu'une demande de partage d'information est fondée et autorisée, et que dans ces conditions, et dans ces conditions seulement, les autorités chargées de l'application de la loi soient dotées des outils nécessaires pour faire leur travail[103] ». M. Fraser a souligné que la « LCISC laisse place à bien des abus. Nous devons veiller à mettre en place des mesures de protection adéquates autour des renseignements[104] ».

Finalement, M. Forcese a également noté que,

[à] l'ère des mégadonnées, les limites entre la collecte et l'utilisation commencent à s'estomper en raison de la quantité de renseignements qui circulent actuellement et qui peuvent être facilement obtenus dans le domaine public. En l'absence de mesures de protection quant à la façon dont les renseignements sont regroupés par un organisme et de la façon dont l'organisme peut ensuite utiliser cette information, je crois que nous courons un risque que, au bout du compte, le gouvernement en sache plus au sujet des gens qu'en d'autres circonstances[105].

5.2 Les institutions pouvant communiquer de l’information en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada et les institutions destinataires listées à l’annexe 3

Le paragraphe 5(1) de la LCISC permet à une centaine d’institutions[106] de communiquer de l’information à 17 institutions destinataires qui sont listées à l’annexe 3 de la LCISC.

D’une part, certains témoins ont indiqué que la liste d’institutions autorisées à communiquer de l’information devrait être réduite[107]. Néanmoins, selon M. Anil Kapoor, avocat, cette liste d’institutions autorisées à communiquer de l’information n’est pas problématique si le seuil de communication est modifié pour devenir celui de la nécessité[108]. Effectivement, il a indiqué que les diverses institutions autorisées à communiquer pourraient détenir de l’information utile dans le cadre d’une enquête liée à la sécurité nationale[109].

D’autre part, plusieurs témoins sont d’avis que la liste d’institutions destinataires à l’annexe 3 de la LCISC ratisse trop large et devrait être réduite[110]. Pour M. Wesley Wark, professeur à l’Université d’Ottawa, la liste d’institution à l’annexe 3 de la LCISC devrait « comprendre seulement les éléments de base du milieu canadien de la sécurité et du renseignement[111] » et au moment actuel nombre d’entités figurant sur cette liste ne jouent pas un rôle prépondérant en matière de sécurité nationale[112]. Similairement, M. Kapoor a indiqué que les principaux intervenants du milieu de la sécurité nationale sont le SCRS, la GRC, le CST, le ministère de la Défense nationale ainsi que l’ASFC et que ce sont eux qui devraient être les principaux destinataires[113]. Selon lui, l’information communiquée devrait plutôt se diriger vers les principaux intervenants. À titre d’exemple, celui-ci a mentionné que le mandat du ministère des Transports en matière de sécurité nationale pourrait être considéré comme « un mandat par extension[114] ».

M. Blais, président du CSARS, a néanmoins expliqué sa vision des choses en faisant valoir que plusieurs de ces institutions remplissent un rôle en matière de sécurité nationale :

Par exemple, le rôle de l'Agence des services frontaliers du Canada est différent de celui qu'il était il y a 15 ou 20 ans. À l'heure actuelle, l'Agence fait directement face à la possibilité que des étrangers entrent au Canada tout en représentant un danger par rapport au terrorisme. C'est la même chose pour ce qui est du crime organisé, où le ministère des Finances a un rôle à jouer à cet égard. Quant au ministère des Transports, il doit s'occuper de situations potentiellement dangereuses qui surviennent à bord des avions et des trains ou dans des gares.

C'est pour cela que le gouvernement avait décidé de mettre toutes ces institutions dans l'annexe 3, même si le pourcentage d'information en matière de sécurité qu'elles peuvent fournir est de 2 %, de 10 % ou même de 80 %. Il ne voulait pas qu'un ministère ou l'autre ayant de l'information liée à la sécurité ne soit oublié[115].

M. Evans de la CCETP a également soutenu que la sécurité nationale est un domaine vaste et que le nombre d’institutions destinataires prévu à l’annexe 3 de la LCISC pourrait même être supérieur[116].

M. Elder de l’ABC a expliqué qu’il est difficile de savoir si l’annexe 3 de la LCISC comprend trop d’institutions destinataires: « Il n'est pas évident — pour moi, du moins — de comprendre quels sont exactement les responsabilités et pouvoirs de plusieurs institutions en ce qui a trait à la sécurité nationale. Pour certaines d'entre elles, c'est plus évident; pour d'autres, ce ne l'est pas du tout[117] ». C’est pourquoi « l’ABC recommande que l’annexe 3 de la LCISC soit modifiée de manière à y indiquer, en plus des noms des institutions destinataires potentielles et de leurs responsables désignés, les articles de loi précis qui relèvent d’elles ou qu’elles mettent en application et qui pourraient s’appliquer à des questions de sécurité nationale[118] ». Ainsi, « cette spécificité accrue aiderait l’institution qui communique et celle qui reçoit l’information, ainsi que les organismes de surveillance, à déterminer si la divulgation entre institutions est la bonne chose à faire[119] ».

Dans cette optique, le Comité a demandé aux institutions listées à l’annexe 3 de la LCISC de lui faire parvenir une lettre expliquant leur rôle respectif en matière de sécurité nationale. Ces lettres sont jointes à l’Annexe A du présent rapport.

À la lumière des témoignages entendus, le Comité recommande :

Recommandation 1

Que le gouvernement du Canada étudie plus amplement quelles institutions devraient faire partie de la liste d’institutions destinataires à l’annexe 3 de la Loi sur la communication d’information ayant trait à la sécurité du Canada de façon à ce que seules les institutions ayant un lien direct avec le cadre de la sécurité nationale du Canada y soient énumérées.

Recommandation 2

Que le gouvernement du Canada modifie l’annexe 3 de la Loi sur la communication d’information ayant trait à la sécurité du Canada de manière à indiquer en plus des noms des institutions destinataires potentielles et de leurs responsables désignés, les articles de loi précis qui relèvent d’elles ou qu’elles mettent en application et qui pourraient s’appliquer à des questions de sécurité nationale.

5.3 Définition d’ « activité pouvant porter atteinte à la sécurité du Canada »

En vertu du paragraphe 5(1) de la LCISC, l’un des critères à respecter pour qu’une institution fédérale puisse communiquer de l’information est que cette information soit à l’égard d’activités portant atteinte à la sécurité du Canada, notamment en ce qui touche la détection, l’identification, l’analyse, la prévention ou la perturbation de ces activités ou une enquête sur celles-ci. Ainsi, la portée des renseignements pouvant être communiqués découle notamment de la définition d’ « activité pouvant porter atteinte à la sécurité du Canada » prévue à l’article 2 de la LCISC. Cette définition se lit comme suit : 

• activité portant atteinte à la sécurité du Canada S’entend d’une activité qui porte atteinte à la souveraineté, à la sécurité ou à l’intégrité territoriale du Canada ou à la vie ou à la sécurité de la population du Canada, notamment les activités ci-après si elles entraînent une telle atteinte :
• a) entraver la capacité du gouvernement fédéral — ou de son administration — en matière de renseignement, de défense, d’activités à la frontière, de sécurité publique, d’administration de la justice, de relations diplomatiques ou consulaires ou de stabilité économique ou financière du Canada;
• b) entraîner un changement de gouvernement au Canada ou influer indûment sur un tel gouvernement par l’emploi de la force ou de moyens illégaux;
• c) espionner, saboter ou se livrer à une activité secrète influencée par l’étranger;
• d) se livrer au terrorisme;
• e) se livrer à une activité qui a pour effet la prolifération d’armes nucléaires, chimiques, radiologiques ou biologiques;
• f) entraver le fonctionnement d’infrastructures essentielles;
• g) entraver le fonctionnement de l’infrastructure mondiale d’information, au sens de l’article 273.61 de la Loi sur la défense nationale;
• h) causer des dommages graves à une personne ou à ses biens en raison de ses liens avec le Canada;
• i) se livrer à une activité au Canada qui porte atteinte à la sécurité d’un autre État.
• Il est entendu que sont exclues les activités de défense d’une cause, de protestation, de manifestation d’un désaccord ou d’expression artistique.

De manière générale, de nombreux témoins ont soutenu que la définition d’ « activité pouvant porter atteinte à la sécurité du Canada » est beaucoup trop large[120]. Néanmoins, plusieurs représentants d’institutions fédérales ont fait valoir que cette définition large était justifiée[121].

D’abord, M^me Pillay de l’ACLC a souligné que la définition d’« activité pouvant porter atteinte à la sécurité du Canada » « peut inclure toutes sortes de renseignements inutiles et au caractère disproportionné sur des activités légitimes, reléguant ainsi en fait les Canadiens au rôle de suspects potentiels[122] ». M. Mia a soutenu que la définition d’ « activité pouvant porter atteinte à la sécurité du Canada » est vague, qu’il s’agit d’une liste non exhaustive et que l’on pourrait y ajouter d’autres éléments[123]. Ainsi, selon lui, en raison de la définition actuelle, des « Canadiens innocents vont se retrouver à tort dans le collimateur de la sécurité nationale[124] ».

M. Forcese a affirmé que la définition d’« activité pouvant porter atteinte à la sécurité du Canada » comprend de nombreux termes qui ne sont pas définis dans la LCISC et que cela constitue un danger d’application incohérente de la Loi[125].

Selon M. Roach, les Canadiens peuvent difficilement avoir confiance dans la communication d’information effectuée en vertu de la LCISC en raison de la définition actuelle d’ « activité pouvant porter atteinte à la sécurité du Canada » :

Je tiens à souligner que, pour que les Canadiens fassent confiance à cette communication d’information, il faut prévoir plus de limites dans la législation et il faut accroître la transparence au sujet de la communication d’information […]. On peut difficilement demander à la société civile ou au grand public de ne pas avoir de préoccupations et, en fait, de soupçons au sujet de la communication d’information, alors que nous avons une définition tellement radicale et générale d’« activités portant atteinte à la sécurité du Canada », y compris non seulement des sujets légitimes, comme le terrorisme, mais aussi, par exemple, une activité qui a lieu au Canada et qui porte atteinte à la sécurité d’un autre État[126].

Afin de démontrer l’étendue de la définition d’ « activité pouvant porter atteinte à la sécurité du Canada », plusieurs témoins l’ont comparé à la définition plus étroite de « menaces envers la sécurité du Canada » prévue à la Loi sur le Service canadien du renseignement de sécurité[127] (la Loi sur le SCRS)[128]. Selon, M. Forcese « il est difficile d'exagérer à quel point une telle définition ratisse large, même comparativement aux définitions de portée générale existantes en matière de sécurité nationale comme celle de « menace envers la sécurité du Canada » contenue dans la Loi sur le SCRS […][129] ».

Cette définition se lit comme suit :

• menaces envers la sécurité du Canada Constituent des menaces envers la sécurité du Canada les activités suivantes :
• a) l’espionnage ou le sabotage visant le Canada ou préjudiciables à ses intérêts, ainsi que les activités tendant à favoriser ce genre d’espionnage ou de sabotage;
• b) les activités influencées par l’étranger qui touchent le Canada ou s’y déroulent et sont préjudiciables à ses intérêts, et qui sont d’une nature clandestine ou trompeuse ou comportent des menaces envers quiconque;
• c) les activités qui touchent le Canada ou s’y déroulent et visent à favoriser l’usage de la violence grave ou de menaces de violence contre des personnes ou des biens dans le but d’atteindre un objectif politique, religieux ou idéologique au Canada ou dans un État étranger;
• d) les activités qui, par des actions cachées et illicites, visent à saper le régime de gouvernement constitutionnellement établi au Canada ou dont le but immédiat ou ultime est sa destruction ou son renversement, par la violence.
• La présente définition ne vise toutefois pas les activités licites de défense d’une cause, de protestation ou de manifestation d’un désaccord qui n’ont aucun lien avec les activités mentionnées aux alinéas a) à d)[130].

M. Davies du ministère de la Sécurité publique et de la Protection civile a convenu que la définition d’ « activité portant atteinte à la sécurité du Canada » est d’une plus grande portée que la définition de « menaces envers la sécurité du Canada » qui se trouve dans la Loi sur le SCRS[131]. Néanmoins, selon lui, « la définition fournie dans la LCISC est plus étendue afin de tenir compte du rôle non seulement du SCRS, mais aussi de tous les ministères et de tous les organismes ayant compétence ou des attributions en matière de sécurité nationale[132]». M^me Sheppard du ministère de la Justice a affirmé que la définition d’ « activité pouvant porter atteinte à la sécurité du Canada » a été conçue de cette manière, car elle « devait s'appliquer à toutes les institutions et couvrir tous les mandats des institutions destinataires et évoluer en fonction des menaces, c'est conceptuel[133] ». De plus, celle-ci a ajouté que la définition de « menaces envers la sécurité du Canada » de la Loi sur le SCRS, la Loi sur la protection de l’information et le Code criminel ont servi d’inspiration pour définir la notion d’ « activité pouvant porter atteinte à la sécurité du Canada ». Toutefois, la raison pour laquelle il a été décidé de ne pas faire de recoupement entre ces lois est qu’ils ne voulaient pas lier la nouvelle définition « à l'interprétation d'autres lois[134] ». De plus, « concernant le Code criminel, on craignait que des gens aient à prouver l'existence d'une intention criminelle avant la divulgation[135] ».

Malgré tout, selon plusieurs témoins, il serait souhaitable d’adopter une définition d’ « activité pouvant porter atteinte à la sécurité du Canada » plus restreinte[136]. Néanmoins, M. Elder[137] et M. Fraser[138], tous deux avocats, ont indiqué que la définition d’ « activité pouvant porter atteinte à la sécurité du Canada » ne posait pas problème.

M. Forcese et M. Roach recommandent

de remplacer la trop vague définition des « activités portant atteinte à la sécurité du Canada » par celle, plus restreinte et établie, de « menaces pour la sécurité du Canada » figurant à l’article 2 de la Loi sur le SCRS. On éviterait ainsi d’étendre radicalement la notion des intérêts relatifs à la sécurité comme le ferait le concept de « portant atteinte à la sécurité du Canada »[139] .

M. Karanicolas[140] du CLD, M^me Vonn[141] de l’ALCCB et M^me Austin, professeure à l’Université de Toronto[142], ont appuyé la recommandation de M. Forcese et de M. Roach. M. Wark a aussi fait des commentaires en ce sens en indiquant que la définition de « menaces à la sécurité du Canada » de la Loi sur le SCRS englobe ce qui est nécessaire pour « permettre le type de communication d'information nécessaire et appropriée pour assurer la sécurité des Canadiens[143] ». Néanmoins, M. Davies du ministère de la Sécurité publique et de la Protection civile a souligné qu’il faudrait « déterminer si les 16 autres ministères et organismes se reconnaîtraient dans la Loi sur le SCRS[144] ».

Finalement, la définition d’ « activité portant atteinte à la sécurité du Canada » comprend ce passage : « Il est entendu que sont exclues les activités de défense d’une cause, de protestation, de manifestation d’un désaccord ou d’expression artistique ». M. Forcese a expliqué que « cette liste portait initialement sur les activités “licites” de cette nature, mais, sous la pression des groupes de la société civile, le Parlement a retiré le mot “licites” […] en laissant simplement tomber le mot “licites”, la nouvelle loi semble interdire tout nouveau pouvoir lié à la communication d'information relativement à toutes sortes de manifestations, activités de défense d'une cause ou de dissidence, peu importe leur niveau de violence[145] ». M^me Pillay[146] de l’ACLC et M. Mia[147] de l’ACAM se sont également dit inquiets de cette situation. Selon M. Forcese, le Livre vert sur la sécurité nationale de 2016[148] « précise que l'exception n'englobe pas les « activités violentes[149] », mais selon, lui il s’agit « d’une prise de position politique qui n'est pas exécutoire et qui n'est nullement évidente à la lecture du texte législatif lui-même[150] ». Au moment de l’adoption de la LCISC, M. Forcese avait recommandé « de supprimer le mot “licites” pour ensuite recommander le même compromis que celui figurant dans la définition d'une activité terroriste dans le Code criminel, c'est-à-dire d'exclure à la fois les activités de protestations licites et illicites, mais seulement dans la mesure où elles n'étaient pas liées à la violence[151] ». Ainsi, M. Forcese et M. Roach ont recommandé « de reproduire l’exemption à l’égard du régime de communication des renseignements sur la division 83.01b)(ii)(E) du Code criminel, de manière à l’appliquer dans le cadre “de revendications, de protestations ou de manifestations d’un désaccord ou d’un arrêt de travail qui n’ont pas pour but de provoquer l’une des situations mentionnées aux divisions (A) à (C)” (c.-à-d. qui ne visent pas à mettre en danger la vie d’une personne, la santé ou la sécurité)[152] ».

À la lumière des témoignages, le Comité recommande:

Recommandation 3

Que le gouvernement du Canada abroge la définition d’ « activité portant atteinte à la sécurité du Canada » à l’article 2 de la Loi sur la communication d’information ayant trait à la sécurité du Canada et la remplace par une définition plus étroite telle que la définition des « menaces envers la sécurité du Canada » de la Loi sur le Service canadien du renseignement de sécurité.

5.4 Seuils établis pour la communication d’information

Au cours de l’étude, plusieurs témoins ont discuté du seuil qui doit être rempli pour la communication d’information prévu à la LCISC. Effectivement, en vertu du paragraphe 5(1) de la LCISC, l’information communiquée par une institution fédérale doit se rapporter à la compétence ou aux attributions de l’institution destinataire prévues par une loi fédérale ou une autre autorité légitime. Ainsi, le critère pour la communication d’information est celui de la « pertinence ».

Lors de sa comparution, M. Davies du ministère de la Sécurité publique et de la Protection civile a expliqué en quoi consiste le seuil de la pertinence :

En tant que seuil, le concept de la pertinence permet aux institutions de communiquer de l'information lorsqu'elle est liée au mandat de l'institution destinataire. Par ailleurs, le concept de la pertinence intègre d'importants aspects relatifs à la communication d'information de façon responsable. En particulier, afin d'établir raisonnablement si l'information est pertinente, l'institution doit en évaluer l'exactitude et la fiabilité. Le concept de la pertinence exige l'existence d'un lien réel et présent au moment de la communication de l'information. Aucune information ne peut être communiquée si elle est potentiellement pertinente ou susceptible d'être pertinente à l'avenir[153].

Or, de nombreux témoins sont d’avis que le seuil de communication de la pertinence est trop faible et que ce seuil devrait être plus rigoureux[154].

Le commissaire Therrien a expliqué ses préoccupations de la manière suivante :

L'adoption d'une norme aussi faible est l'une des principales raisons pour lesquelles les risques pour les citoyens respectueux des lois sont, à mon avis, excessifs. Si le critère de la nécessité ou de la mesure strictement nécessaire est adéquat pour permettre au SCRS de recueillir, d'analyser et de conserver des informations, comme c'est le cas depuis sa création, nous ne comprenons pas pourquoi cette norme ne peut être adoptée pour tous les ministères et organismes de sécurité nationale. Le critère de nécessité est reconnu à l'échelle internationale comme étant la norme en matière de protection de la vie privée[155].

Dans son mémoire, le commissaire a ajouté que « les principes de nécessité et de proportionnalité, que le CPVP a recommandé dans son examen de la LCISC, devraient s’appliquer à toute communication d’information à l’échelle nationale[156] ».

De même, M. Plouffe, commissaire du CST, s’est dit favorable au test de la nécessité proposé par le commissaire Therrien[157]. De la même manière, M. Evans de la CCETP est en faveur un test de la nécessité imposée à l’institution destinataire[158].

D’autres témoins ont soulevé leurs préoccupations relativement aux impacts sur la vie privée du critère de la pertinence. M. Elder de l’ABC a indiqué que « ce critère trop conciliant risque de permettre des divulgations inutiles ou de trop grande portée, ce qui mettrait à mal le droit à la vie privée des Canadiens[159] ». M. Israel de la CIPPIC est d’avis que la pertinence est une norme trop large, que « la pertinence est peut-être la norme de preuve juridique qui est la moins élevée et la moins définie[160] » et qu’elle pourrait servir « à justifier une communication d'information généralisée[161] ». M. Roach a indiqué que le critère de la pertinence « permet l'exploration de données[162] ».

Notamment, plusieurs témoins ont souligné que le critère de la nécessité et de la proportionnalité devrait constituer la norme :

• « L’ABC recommande de modifier le paragraphe 5(1) de la LCISC de façon à autoriser une institution gouvernementale à divulguer des renseignements à une institution destinataire désignée uniquement si ces renseignements sont pertinents au mandat de l’institution destinataire quant à la sécurité nationale et dans la mesure où ils sont “ strictement nécessaires ” à l’exécution de ce mandat[163] ». ABC
• « c'est la pertinence, qui ne constitue pas, à mon avis, un critère assez restreint, car il ne fournit aucune consigne rigoureuse et ne permet pas de réelle responsabilisation. La pertinence doit être remplacée par un certain libellé au sujet de la nécessité et devrait comprendre une mesure de proportionnalité qui est liée aux mandats et aux menaces[164] ». M. Wark, professeur
• « Le critère “ nécessaire ” imposerait une certaine rigueur qui pourrait au moins accroître l'efficacité plus que ne le ferait un critère de pertinence[165] ». M. Kapoor, avocat
• « OpenMedia est d'avis que les principes de nécessité et de proportionnalité sont des mécanismes avec lesquels il est possible de travailler en ce qui a trait à la communication ou à la réception de données liées à une menace, et que les définitions élargies que propose la Loi sur la communication d’information ayant trait à la sécurité du Canada dans ce contexte ne sont pas justifiées [166] », M^me Tribe, OpenMedia
• « C’est pourquoi nous recommandons à tout le moins : de modifier, comme le recommande le Commissaire à la protection de la vie privée, l’article 5 pour exiger que l’information communiquée soit “ nécessaire ” ou “ proportionnelle ” aux attributions de l’institution destinataire en matière de sécurité au lieu de seulement s’y “ rapporter ” »[167]. M. Roach et M. Forcese, professeurs
• « Je crois que l'organisation destinataire ne devrait recueillir que l'information nécessaire aux fins de ses activités, l'information qui a trait à ses obligations législatives relatives aux menaces pour la sécurité du Canada. Par exemple, dans le cas d'une demande écrite relative à des renseignements précis, si le chef de l'institution, qui fait partie de la liste de l'annexe 3 de la loi, affirme que les renseignements sont nécessaires aux fins de ses activités légitimes et que chaque demande fait l'objet d'un examen et d'un contrôle rigoureux, cela améliorerait grandement la loi[168] ». M. Fraser, avocat
• « la communication d'information est une composante essentielle de la lutte contre les activités terroristes, mais une telle communication d'information doit être efficace. Cela signifie que les renseignements recueillis doivent être fiables et assujettis aux exigences constitutionnelles de nécessité et de proportionnalité et être visés par les garanties constitutionnelles, y compris des mises en garde sur l'utilisation, la conservation, l'accès et la communication. Tous ces éléments ainsi que des dispositions ayant force exécutoire manquent dans la LCISC[169] ». M^me Pillay, ACLC
• « la CIPPIC appuie deux modifications à apporter à la LCISC pour corriger la possibilité actuelle d'une trop grande portée d'application. En premier lieu, nous remplacerions la norme de la pertinence actuellement dans la LCISC par une norme de la proportionnalité et de la nécessité. Deuxièmement, nous appuierions […] une modification de la Loi sur la protection des renseignements personnels qui permettrait d'adopter une exigence de proportionnalité et de nécessité globale qui s'appliquerait à toutes les pratiques de communication d'information à l'échelle du gouvernement, sans égard à l'exception prévue par la Loi sur la protection des renseignements personnels qui permet la communication en question. Ces modifications, comme nous l'avons mentionné dans notre témoignage antérieur, s'appliqueraient aussi à la communication d'information sous le régime de la LCISC. L'ajout d'une exigence explicite relativement à la nécessité et à la proportionnalité créerait un cadre plus précis pour la communication d'information que celui fourni aux alinéas 8(2)e) et m), car il utiliserait les normes connues de la nécessité et de la proportionnalité, que les organismes ont l'habitude d'utiliser dans le contexte de la sécurité nationale[170] ». M. Israel, CIPPIC
• « Le commissaire à la protection de la vie privée a aussi recommandé que, contrairement à la norme actuelle, qui détermine que certaines institutions relevant du gouvernement fédéral peuvent échanger des informations entre elles dans la mesure où cela permet de découvrir des menaces à la sécurité nationale, une norme voulant que cela soit nécessaire devrait être adoptée. Nous appuyons cette recommandation et nous ajoutons qu'en matière de sécurité, la limitation de la quantité de données, selon laquelle les organisations cherchent à limiter au strict nécessaire le matériel stocké, est un principe essentiel de la sécurité numérique[171] ». M. Karanicolas, CLD
• « Il a été suggéré à maintes reprises de modifier le critère de la “ pertinence ” pour un critère de nécessité. Je crois que cela représenterait certainement une amélioration, ce qui fait que j'appuierais un tel libellé[172] ». M^me Austin, professeure

Cependant, plusieurs institutions fédérales ont soulevé des inquiétudes relativement au renforcement du seuil de communication. M. Davies, du ministère de la Sécurité publique et de la Protection civile, a indiqué que « si le seuil est trop faible, il y aura évidemment des répercussions négatives sur la protection de la vie privée. Si le seuil est trop élevé, les avantages pour la sécurité nationale et la viabilité de la loi seront menacés[173] ».

M. Davies a indiqué que de passer du seuil de la pertinence à un seuil plus contraignant tel que celui de la nécessité aurait des répercussions pour les organismes qui ne sont pas dotés d’un mandat de sécurité nationale, car ces derniers seraient dans l’obligation de connaître parfaitement le mandat de l’organisme à qui l’information serait communiquée[174]. M^me Geddes du SCRS a fait valoir que le seuil actuel est un seuil adéquat. Celle-ci a indiqué que son organisme traite parfois avec des « partenaires qui ne sont pas des experts en sécurité nationale[175] » et a illustré ses propos à l’aide de sa collaboration avec Affaires mondiales Canada où il y a des agents consulaires partout dans le monde qui, bien que sensibilisés aux questions relatives à la sécurité nationale, ne sont pas des experts de la sécurité nationale : « un seuil plus élevé pourrait créer certains problèmes et faire en sorte qu'un agent consulaire subirait énormément de pression pour déterminer si tel ou tel élément est pertinent ou non. Je pense qu'on les mettrait dans une position très difficile[176] ». Ainsi, selon M. Davies, « si l'on décide d'utiliser un critère de nécessité, il est fort probable que moins de renseignements seront communiqués aux organismes de sécurité nationale. […] Il faudrait parler aux organismes qui ne sont pas des organismes de sécurité nationale, qui risquent probablement davantage ne pas comprendre ce qui constitue un critère de nécessité concernant la sécurité nationale pour les gens qui reçoivent l'information[177] ». M. Linder d’IRCC a soutenu que

Si un critère de nécessité était établi, il faudrait que nous soyons convaincus par beaucoup plus de renseignements qui étaient nécessaires, en fait, pas simplement pertinents. Et qu'est-ce cela signifierait, dans la pratique? Je pense que cela voudrait dire que nos organismes de sécurité nationale, les organismes d'enquête qui nous demandent des renseignements, pourraient avoir à nous donner beaucoup plus de renseignements sur la sécurité nationale afin que nous puissions déterminer et être convaincus que c'est effectivement nécessaire et pas simplement pertinent.

Pourrions-nous le faire? Tout à fait, mais il vaut la peine de se demander si l'avantage d'établir cette norme plus élevée serait éclipsé par le fait que davantage de renseignements de nature délicate sur la sécurité nationale seraient en circulation afin que nous puissions faire cette détermination. De façon plus générale — et je pense qu'il s'agit peut-être de l'intention —, cela aurait évidemment un effet de dissuasion quant à la quantité de renseignements que nous communiquerions au titre de la LCISC. Ce serait un résultat nécessaire[178].

M. Burt du ministère de la Défense nationale a spécifié que de soumettre les institutions destinataires à un test de nécessité, c’est-à-dire que les institutions ne puissent recevoir que l’information nécessaire à leur mandat, relèverait la barre : « Il serait plus difficile de communiquer de l'information, mais cela dépendrait de la façon dont c'est formulé[179] ».

Dans son mémoire au Comité, le commissaire Therrien a suggéré une alternative qui pourrait potentiellement répondre aux préoccupations des institutions fédérales :

Plutôt que d’adopter une norme de « nécessité et de proportionnalité » d’application générale pour l’échange d’information, on pourrait envisager l’adoption de deux seuils, l’un pour les institutions qui communiquent l’information et l’autre pour les 17 institutions autorisées à la recevoir (les institutions destinataires). Les représentants des ministères et organismes ont soulevé un point important au cours de l’examen actuel de la LCISC par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique : le personnel de première ligne des ministères ou organismes ne faisant pas partie des institutions destinataires n’ont pas nécessairement les compétences ou l’expérience requises pour prendre des décisions nuancées en temps réel afin de déterminer ce qui est nécessaire et proportionné aux fins de la réalisation d’un mandat lié à la sécurité nationale. La responsabilité du seuil plus élevé serait transférée aux 17 institutions destinataires qui ont la capacité de prendre ces décisions de façon éclairée. Le Comité a abordé la question des « deux seuils » et il semble s’agir d’une solution raisonnable, à la condition suivante : pour réduire l’écart entre ces deux seuils différents, les 17 institutions destinataires devraient être tenues de recevoir et de conserver de façon sélective uniquement l’information qui respecte les seuils plus élevés de nécessité et de proportionnalité (sous réserve de toute autre limite imposée par leurs lois habilitantes) et elles seraient tenues par la loi de retourner ou de détruire l’information qui ne respecte pas ces seuils[180].

De plus, d’autres témoins ont mentionné qu’une autre façon d’estomper les craintes des institutions serait d’offrir de la formation sur les seuils à respecter pour la communication d’information[181]. M. Israel de la CIPPIC recommande « de former des unités au sein des différentes institutions fédérales, possiblement dans le cadre de l'infrastructure liée à l'accès à l'information et à la protection des renseignements personnels déjà en place dans la plupart des institutions fédérales, afin de permettre l'acquisition à l'interne d'une expertise donnant la capacité de cerner les informations liées aux menaces[182] ».

À la lumière du témoignage entendu, le Comité recommande:

Recommandation 4

Que le gouvernement du Canada modifie le paragraphe 5(1) de la Loi sur la communication d’information ayant trait à la sécurité du Canada afin d’assujettir toute communication d’information en vertu de la Loi à un critère de nécessité et de proportionnalité.

5.5 Les effets juridiques de Loi sur la communication d’information ayant trait à la sécurité du Canada et son interaction avec d’autres autorités juridiques

Au cours de l’étude, plusieurs témoins ont soutenu que l’interaction entre la LCISC et d’autres autorités juridiques semblait avoir certains effets inattendus qui pourraient avoir un impact sur la vie privée des Canadiens. Effectivement, plusieurs témoins ont mentionné plusieurs effets de la LCISC auxquels il faudrait remédier, dont la prépondérance de la LCISC sur la LPRP ainsi que les effets de la LCISC sur le mandat des institutions inscrites à l’annexe 3 de la LCISC et le besoin pour les institutions fédérales de détenir un mandat pour obtenir certains renseignements.

D’abord, les témoins ont indiqué qu’il n’est pas clair si la LPRP a prépondérance sur la LCISC, ce qui signifie que les protections juridiques relativement à la vie privée ne s’appliqueraient pas dans le cadre de communication d’information prévu par la LCISC. Ensuite, les témoins ont mentionné que la large portée de la LCISC pourrait avoir pour effet d’étendre le mandat des institutions inscrites à l’annexe 3 de la Loi. Puis, certains témoins se sont dits inquiets de fait que la LCISC permette la communication d’information qui, auparavant, aurait dû faire l’objet d’un mandat.

5.5.1 L’interaction entre la Loi sur la communication d’information ayant trait à la sécurité du Canada et la Loi sur la protection des renseignements personnels

Tel que mentionné ci-haut, plusieurs témoins ont soulevé des inquiétudes relativement à la possibilité que la LCISC l’emporte sur la LPRP et sur les impacts potentiels sur la vie privée des Canadiens que cette situation occasionnerait.

Le paragraphe 5(1) de la LCISC emploie les termes suivants : « Sous réserve des dispositions de toute autre loi fédérale ou de tout règlement pris en vertu de l’une de celles-ci interdisant ou restreignant la communication d’information ». Ainsi, il semble que les nouveaux pouvoirs de communication d’information soient subordonnés aux autres lois fédérales ou règlement en vigueur. Néanmoins, M. Forcese et M. Mia ont affirmé que la signification de ces termes est floue et constitue une source de confusion[183].

5.5.1.1 Le point de vue de certains témoins

Plusieurs témoins ont souligné qu’il existe une ambiguïté relativement à l’interaction entre la LCISC et la LPRP et qu’il n’était pas clair quelle loi a préséance sur l’autre[184]. Selon les professeurs Forcese et Roach, on pourrait croire que la LCISC doit respecter les dispositions de la LPRP[185] : « L’article 5 de la nouvelle loi précise que la loi est assujettie à d’autres lois actuelles qui limitent ou contrôlent la communication d’information, ce qui donne à penser qu’il s’agit de la Loi sur la protection des renseignements personnels[186] ». Néanmoins, selon plusieurs témoins, le Livre vert sur la sécurité nationale de 2016[187] semble donner une interprétation différente[188]. M. Forcese l’explique comme suit : « On y lit que, puisque la nouvelle Loi sur la communication d'information ayant trait à la sécurité du Canada autorise la communication, elle correspond à l'exception portant sur l'autorité législative de la Loi sur la protection des renseignements personnels, ce qui lui accorde la préséance[189] ». La LPRP autorise une institution fédérale à communiquer des renseignements personnels d’un individu sans son consentement lorsqu’il s’agit d’une « communication aux fins qui sont conformes avec les lois fédérales ou ceux de leurs règlements qui autorisent cette communication[190] ». Ainsi, M. Forcese a expliqué que

[l]a Loi sur la protection des renseignements personnels elle-même inclut une exception selon laquelle lorsqu’une autre loi active autorise une communication, alors les règles de la Loi sur la protection des renseignements personnels ne s’appliquent pas, alors on se retrouve un peu dans un cercle vicieux. La nouvelle loi précise qu’elle est assujettie à d’autres lois et la Loi sur la protection des renseignements personnels précise qu’elle est assujettie aux permissions d’une nouvelle loi, alors quelle loi l’emporte?[191]

Dans son mémoire, l’ABC explique les conséquences de cette confusion :

La Loi sur la protection des renseignements personnels ne précise ni ce qui rend nécessaire l’information « reçue » ou « communiquée » par une autre institution gouvernementale, ni ce qui l’assujettit automatiquement aux exigences applicables à l’information « recueillie ». Il est incertain que l’information communiquée en vertu de la LCISC demeurera couverte par les dispositions de protection de la Loi sur la protection des renseignements personnels[192].

Ainsi, l’ABC « recommande de clarifier le rapport entre la Loi sur la protection des renseignements personnels et la LCISC[193] ». Lors de sa comparution, M. Elder a effectivement mentionné que « la Loi sur la protection des renseignements personnels devrait avoir préséance, mais elle comporte même des exceptions très claires pour les situations où l'autre loi devrait s'appliquer[194] ». M. Karanicolas du CLD a indiqué « qu'il est possible de régler ce problème en précisant que la Loi sur la protection des renseignements personnels s'applique effectivement à la Loi sur la communication d'information ayant trait à la sécurité du Canada[195] ».

5.5.1.2 Le point de vue des institutions fédérales

M. Davies du ministère de la Sécurité publique et de la Protection civile a expliqué l’interprétation donnée aux effets des termes « Sous réserve des dispositions de toute autre loi fédérale ou de tout règlement pris en vertu de l’une de celles-ci interdisant ou restreignant la communication d’information » en relation avec la LPRP :

[L]a LCISC ne s'applique pas s'il y a une restriction ou une interdiction, sur le plan juridique, au sujet de la divulgation de l'information.

La Loi sur la protection des renseignements personnels comprend une restriction d'ordre général sur la divulgation de renseignements personnels sans le consentement de la personne concernée. Cependant, l'article 8 de la Loi sur la protection des renseignements personnels dresse aussi une liste de situations dans lesquelles des renseignements personnels peuvent être divulgués, malgré cette restriction d'ordre général. Par exemple, des renseignements personnels peuvent être divulgués aux fins pour lesquelles ils ont été recueillis. De plus, des renseignements personnels peuvent être divulgués conformément aux autorisations de divulgation d'autres lois du Parlement, comme la LCISC.

Comme le prévoit l'article 4 de la Loi sur la protection des renseignements personnels, lorsqu'ils reçoivent des renseignements divulgués conformément à la LCISC, les ministères et les organismes doivent tout de même s'assurer que les renseignements personnels « ont un lien direct » avec un programme ou une activité avant de les recueillir[196].

5.5.1.3 Les recommandations du Comité

Considérant les témoignages reçus, le Comité recommande :

Recommandation 5

Que le gouvernement du Canada modifie la Loi sur la communication d'information ayant trait à la sécurité du Canada :

a) afin d’y clarifier que la Loi sur la protection des renseignements personnels a préséance sur la Loi sur la communication d'information ayant trait à la sécurité du Canada.

b) afin de clarifier explicitement que la Loi sur la protection des renseignements personnels continue de s’appliquer à tous les renseignements personnels communiqués en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada.

5.5.2 Élargissement du mandat des institutions fédérales et nécessité de mandat pour l’obtention de certains renseignements

5.5.2.1 Élargissement du mandat des institutions fédérales

Certains témoins ont indiqué que la LCISC pourrait avoir pour effet d’élargir le mandat des institutions listées à l’annexe 3 de la Loi[197]. Effectivement, la norme de la « pertinence » au mandat de l’institution destinataire comme seuil de communication d’information pourrait causer l’élargissement du mandat des institutions.

Ainsi, M. Roach et M. Forcese recommandent « de modifier l’article 5 pour y stipuler très clairement que l’institution destinataire doit œuvrer dans le respect de son mandat et de ses pouvoirs législatifs actuels […][198] ».

M^me Vonn de l’ALCCB a également soulevé « la grave perturbation attribuable à la possibilité que la LCISC rende flou le mandat d'institutions fédérales ayant une importance critique[199] ». Par exemple, celle-ci a affirmé que « le CANAFE [Centre d'analyse des opérations et déclarations financières du Canada] lui-même soutient depuis longtemps qu'une de ses principales mesures pour assurer la protection des renseignements personnels reste son indépendance par rapport à l'application de la loi[200] », mais que dorénavant, « l'accès sans limite à l'échange de données qu'autorise la LCISC fait que l'indépendance du CANAFE à cet égard est purement fictive[201] ». M. Plouffe[202], commissaire du CST, et M. Evans[203] de la CCETP se sont dits en faveur d’une modification de la LCISC visant à clarifier que le mandat des institutions fédérales n’est pas changé par la Loi.

Néanmoins, plusieurs représentants d’institutions fédérales ont soutenu que la LCISC ne modifie pas en quoi que ce soit leur mandat et qu’ils œuvrent constamment dans le cadre de leur mandat[204].

5.5.2.2 La nécessité d’obtenir un mandat pour l’obtention de certains renseignements

Lors de son témoignage, le commissaire Therrien a fait référence à la récente décision du juge Noël de la cour fédérale qui mentionne[205] que « le SCRS obtient maintenant, soit depuis l'adoption du projet de loi C-51, des renseignements de l'Agence du revenu du Canada qui, auparavant, nécessitaient un mandat[206] ». Selon M. Therrien, « à l'heure actuelle, le SCRS obtient ces renseignements sans mandat parce que la Loi sur la communication d’information ayant trait à la sécurité du Canada rend cette activité possible. […] Certains cas nécessitaient des mandats et, présentement, ce n'est plus le cas[207] ». Ainsi, il semble qu’il y ait des cas où certains renseignements communiqués en vertu de la LCISC pourraient soulever des intérêts protégés par la Charte canadienne des droits et libertés, telle que l’expectative de vie privée[208]. Dans son mémoire au Comité, la Coalition pour la surveillance internationale des libertés civiles a indiqué qu’ « on ne sait pas exactement en quoi la Loi a une incidence sur la nécessité, pour les divers organismes, d’obtenir un mandat pour avoir accès à certains types de renseignements qui, autrement, nécessiteraient une autorisation judiciaire[209] ».

M. Wark a expliqué cette situation de la manière suivante :

[S]i une institution visée par la LCISC est en possession d'une information obtenue dans le cadre de son mandat légal et qu'elle a des motifs, dont la définition est aussi large que possible au sens de la LCISC, pour communiquer cette information à une autre institution, alors l'institution destinataire — il s'agit peut-être du SCRS ou de la GRC — recevrait cette information en vertu de la compétence légale de l'institution initialement responsable de la collecte de l'information. Selon la LCISC, pourvu que l'institution destinataire possède un mandat lui permettant de recevoir l'information, alors ses responsables ne sont pas obligés d'obtenir un deuxième mandat pour la recevoir[210].

M. Israel de la CIPPIC a également tenté d’expliquer cette situation en indiquant ce qui suit :

[S]i le SCRS a reçu une information de façon légitime, au titre de la LCISC, alors il a reçu cette information de façon légale, et ses responsables n'ont pas besoin d'utiliser les pouvoirs conférés par la Loi sur le SCRS, qui prévoit déjà des limites fondées sur le critère de la nécessité. D'une façon ou d'une autre, je crois que cela est sujet à interprétation, mais qu'il est possible de conclure que la LCISC casse en quelque sorte cette décision et permettrait au SCRS d'obtenir de façon licite des métadonnées, qu'il ne pourrait autrement recueillir dans le cadre de son mandat, et ensuite de les conserver indéfiniment[211].

Ainsi, selon les témoins, il semble que la LCISC permettrait à des institutions fédérales d’obtenir indirectement ce qu’ils n’auraient pu obtenir directement. En ce sens, M. Kapoor a indiqué qu’une modification devrait être apportée « pour préserver les droits énoncés à l'article 8 dans le domaine des poursuites au criminel et qu'il faut stipuler qu'un mandat est nécessaire[212] ».

Néanmoins, selon M. Wark, la LCISC n’affecte pas les pouvoirs de collecte des institutions fédérales[213]. De la même manière, M^me Sheppard du ministère de la Justice a fait valoir que la LCISC « n'a aucune incidence sur la collecte de renseignements. Elle ne traite que de la divulgation. Si, par exemple, vous avez besoin d'un mandat pour recueillir de l'information, la LCISC n'empiéterait pas là-dessus. Dans les circonstances où un mandat est requis, ce sont ces règles qui auraient préséance[214] ». Elle a ajouté que

pourvu que les critères établis dans la LCISC soient respectés — pourvu que les renseignements concernent directement la compétence ou les responsabilités en matière de sécurité nationale de l'institution destinataire —, les renseignements peuvent être communiqués, mais c'est toujours sous réserve des autres lois qui limitent la divulgation. Par exemple, s'il y a une disposition dans la loi régissant les activités de l'institution divulgatrice qui interdit la communication, la LCISC n'a pas préséance. Elle ne vise que la divulgation, et les critères doivent être respectés à cet égard. La décision revient au destinataire. Que l'information soit communiquée de façon proactive ou sur demande, le destinataire doit s'assurer d'être autorisé à la recueillir[215].

Malgré tout, M. Forcese a souligné que, bien que le point de vue du gouvernement soit à l’effet que la LCISC ne crée pas de nouveaux pouvoirs de collecte, tout dépend de la façon dont on définit la notion de collecte :

Des dispositions assez générales sur la communication d'information permettent le regroupement de renseignements au sein d'un organisme. Les renseignements qui n'auraient pas pu être recueillis légalement dans un organisme lui sont maintenant accessibles. Techniquement, on ne parle pas d'une nouvelle possibilité de collecte dans la mesure où l'information n'a pas été obtenue à l'extérieur auprès d'un particulier, mais il s'agit plutôt du regroupement de renseignements dans une base de données qui appartient à un organisme[216].

5.5.2.3 Recommandations du Comité

À la lumière des témoignages entendus, le Comité recommande :

Recommandation 6

Que le gouvernement du Canada modifie l’article 5 de la Loi sur la communication d’information ayant trait à la sécurité du Canada afin d’y stipuler très clairement que l’institution destinataire doit œuvrer dans le respect de son mandat et de ses pouvoirs législatifs et de collecte actuels.