Monsieur le Président, c’est un honneur pour moi de prendre la parole aujourd’hui à la Chambre au sujet du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives a d’autres lois.
Il s’agit d’un projet de loi crucial, et je suis très heureuse de voir que la Chambre tient aujourd’hui ce débat. Je sais que la cybersécurité est importante pour le ministre de la Sécurité publique, alors je lui attribue le mérite d’avoir présenté ce projet de loi. Tous les ministres de tous les ordres de gouvernement devraient en apprécier l’importance. Il est essentiel que nous tenions ce débat aujourd’hui.
Il y a un peu moins d’un an, j’ai assisté à une séance d’information d’experts en cybersécurité du ministère. J’en ai beaucoup appris sur les risques auxquels le Canada fait face en matière de cybersécurité. J’ai tout simplement demandé aux experts ce qui serait, dans le pire des cas, un moment « Pearl Harbor » pour le Canada. Ils m’ont répondu qu’il s’agirait d’une attaque de cybersécurité contre nos infrastructures électriques ou contre notre réseau d’oléoducs en plein hiver. S’il y avait une cyberattaque ou une attaque par rançongiciel contre les infrastructures qui tiennent les Canadiens au chaud en plein hiver, ce serait absolument dévastateur, surtout dans les provinces, les régions et les territoires les plus froids du pays.
Pour donner aux Canadiens une idée de la gravité et de l’importance de cette question, je dirai qu’il est indispensable non seulement de présenter un projet de loi sur la cybersécurité qui renforce nos capacités, mais aussi de s’assurer de le faire de la bonne façon. Plusieurs questions qui ont été posées avant mon intervention faisaient état d'un certain nombre de problèmes dans le projet de loi.
Je vais énumérer quelques-unes des cyberattaques qui se sont produites récemment au Canada et aux États‑Unis. Nous savons que l’Agence du revenu du Canada a subi une attaque de ce genre en août 2020, et que près de 13 000 Canadiens en ont été victimes. En octobre 2020, c’est un hôpital de Terre‑Neuve qui a été attaqué, et les pirates informatiques ont dérobé les renseignements personnels d’un certain nombre d’employés et de patients de quatre régions sanitaires, ainsi que les numéros d’assurance sociale de plus de 2 500 patients. Ce sont donc des renseignements très personnels qui ont été volés à cette occasion.
En janvier 2022, c’est Affaires mondiales Canada qui a été attaqué, à peu près au moment de l’invasion illégale de l’Ukraine par la Russie. Selon certaines sources, les pirates responsables de cette cyberattaque étaient peut-être russes ou parrainés par la Russie.
Il s’agissait là d’une attaque extrêmement grave contre un deuxième ministère du gouvernement. Manifestement, le gouvernement n’est pas à l'abri de ce genre de cyberattaques.
L’attaque la plus spectaculaire, si j’ose dire, a été une attaque par rançongiciel dirigée contre des infrastructures clés des États‑Unis, en mai 2021. Il s’agissait d’un pipeline. Le président Biden a dû déclarer l’état d’urgence, et 17 États lui ont emboîté le pas. C’était une attaque très grave, qui montre à l’évidence ce dont sont capables certains de ces pirates et la menace qu’ils représentent au quotidien pour les Canadiens et pour l’ensemble du Canada, ainsi que pour nos alliés.
Ce projet de loi est présenté dans la foulée de l’annonce faite récemment, dans la dernière année, par le gouvernement disant qu'il avait décidé d’exclure Huawei de notre infrastructure 5G. C'est d'ailleurs ce que réclamaient les conservateurs et la Chambre des communes depuis déjà un certain temps. Ce projet de loi permettra de mettre en œuvre, concrètement, cette interdiction. Encore une fois, c’est une décision qui a beaucoup tardé. Si elle avait été prise il y a plusieurs années, on aurait évité beaucoup de difficultés et beaucoup de dépenses inutiles à nos entreprises de télécommunications et, par le fait même, aux consommateurs. Je me demande quel a été l’impact financier sur les factures de téléphone des Canadiens, par exemple, d’une décision qui aurait dû être prise il y a bien longtemps.
Je suis la vice-présidente du comité de la sécurité publique et nationale. J'ai été l'instigatrice d'une étude que nous avons entreprise, et qui est sur le point d'être finalisée, sur la position de sécurité du Canada par rapport à l'agression russe. Une grande partie de cette étude porte sur la cybersécurité. Les témoins experts ont invariablement tiré la sonnette d'alarme en affirmant que la cybersécurité relève de la plus haute importance. C'est une question que le gouvernement du Canada, le secteur privé, les gouvernements provinciaux et, bien franchement, les administrations municipales doivent prendre extrêmement au sérieux. La situation évolue rapidement. Je me permets de fournir des citations de quelques-uns des experts pour donner une idée du contexte auquel nous sommes confrontés en tant que Canadiens.
Le professeur Robert Huebert de l'Université de Calgary a déclaré:
En ce qui concerne les autres cybermenaces, nous savons également que les Russes ont démontré une capacité croissante d'interférence dans divers systèmes électroniques et cybersystèmes d'autres États. Nous l'avons vu avec leur capacité d'influencer le système électrique ukrainien avant le début de la guerre en 2014.
C'est l'autre guerre que la Russie livre ces dernières années. M. Huebert a aussi dit que nous voyons la même chose ailleurs dans le monde.
Il a ensuite ajouté ceci:
Encore une fois, il est difficile de savoir exactement à quel point [le Canada est] bien défend[u] en étant capabl[e] de renforcer cet aspect de la cyberguerre. Il ne fait aucun doute que les Russes et les Chinois accordent de plus en plus d'attention à cette question [...]
Il a mentionné les rapports de nos amis et alliés américains et britanniques, qui indiquent que les Russes et les Chinois sont très actifs dans le dossier de la cybersécurité et qu'ils font appel à des acteurs parrainés par l'État pour lancer des attaques contre des pays comme le Canada et les États‑Unis.
Le comité a aussi reçu Jennifer Quaid, qui est directrice exécutive d'Échange canadien de menaces cybernétiques, un organisme du secteur privé qui aide diverses entreprises à renforcer leur cybersécurité. Elle a beaucoup parlé des cybercriminels. C'est un aspect important. Même la ministre en a parlé.
D'abord et avant tout, Mme Quaid a signalé que la ministre de la Défense nationale du gouvernement actuel avait déclaré ceci: « La cybersécurité est l’un des enjeux les plus sérieux auxquels nous faisons face sur le plan de l’économie et de la sécurité nationale. » Nous discutons donc d'un sujet très sérieux aujourd'hui.
Mme Quaid a ensuite dit que « les cybermenaces sont de plus en plus raffinées et omniprésentes. Propulsée par la croissance des technologies novatrices et leur adoption à l'échelle mondiale, la cybercriminalité est lucrative ».
Ce qu’elle voulait dire, c’est qu’on peut diviser les pirates informatiques en deux catégories: les États-nations qui s’engagent dans des activités d’espionnage et d’influence sur les gouvernements au moyen d’Internet, et les criminels qui pratiquent la cybercriminalité pour en retirer des gains financiers.
Elle a aussi ajouté que c’est cet élément criminel qui a commercialisé la cybercriminalité, c’est-à-dire que les cybercriminels et la cybercriminalité sont maintenant devenus une industrie prospère. Elle a également fait remarquer qu’il est de plus en plus facile de devenir un pirate informatique, car l’expertise technique nécessaire est de moins en moins pointue, et que plusieurs pays autorisent des groupes de cybercriminels à opérer sur leur territoire.
Elle a aussi parlé de ce qu’on appelle les « hacktivistes », c’est-à-dire les cyberpirates qui, au nom de la justice sociale, s’attaquent à une entreprise de combustibles fossiles, par exemple. Imaginez si l’un d’entre eux attaquait l’un de nos gazoducs en plein hiver. Cela aurait des effets dévastateurs et créerait certainement des victimes, d’où la nécessité, selon elle, de surveiller très étroitement ces pirates informatiques.
Mme Quaid a fait remarquer que 25 % des organisations établies au Canada ont rapporté une intrusion informatique sous une forme ou sous une autre. Une sur quatre, c’est beaucoup. Selon elle, les petites et moyennes entreprises qui représentent 98 % de notre économie sont aussi impactées, et près de 100 % de toutes les entreprises font l’objet d’attaques sous une forme ou sous une autre.
C’est particulièrement important lorsqu’on pense aux grandes banques et aux grandes sociétés qui ont de bonnes infrastructures de cybersécurité et qui ont les moyens de les financer. Le fait est que ces grandes entreprises dépendent de fournisseurs sous-traitants qui, s’ils sont touchés, mettent également en danger l’entreprise principale. Elles sont donc également vulnérables. De plus, si le fournisseur d’une grande entreprise de télécommunications est attaqué, par exemple, cette entreprise risque de ne plus être en mesure de fournir un service adéquat aux Canadiens.
Elle a ajouté que 44 % des PME ne sont pas protégées. Autrement dit, près de la moitié de nos petites et moyennes entreprises, qui sont pourtant l’épine dorsale de notre économie, ne sont absolument pas protégées et n’y pensent même pas. C’est la raison pour laquelle le projet de loi dont nous discutons aujourd’hui est particulièrement important, surtout à la lumière de ce que nous ont dit les experts.
J’aimerais rapporter ce qu’a dit Ken Barker, professeur à l’Institute for Security, Privacy and Information Assurance à l’Université de Calgary. S’agissant de cybersécurité, il a dit que les infrastructures critiques étaient très vulnérables parce qu’elles étaient protégées par des systèmes traditionnels antérieurs à Internet. Ainsi, quand ces systèmes sont mis en ligne, il se produit inévitablement des failles que les pirates s’empressent d’exploiter, ce qui rend les infrastructures particulièrement vulnérables. Cela, nous l’avons entendu maintes et maintes fois en comité. Il a aussi fait remarquer que les entreprises privées et les banques canadiennes investissaient beaucoup dans la cybersécurité, mais que, comme l’a dit aussi Mme Quaid, ce sont les PME qui sont les plus vulnérables.
Je vais conclure mes citations avec Caroline Xavier, directrice du Centre de la sécurité des télécommunications du ministère de la Défense nationale. C’est l’agence gouvernementale responsable de la cybersécurité. Autrement dit, Mme Xavier est responsable de la cybersécurité du gouvernement canadien.
Elle a dit: « Le cybercrime est la menace la plus courante et la plus répandue contre les Canadiens et les entreprises canadiennes. Des cybercriminels cherchent à s’infiltrer dans les systèmes canadiens. Ils proviennent, entre autres, de la Russie, de la Chine et de l’Iran. [Ils] s’appuient sur diverses techniques, comme le rançongiciel. » Ils visent précisément nos infrastructures essentielles et, comme elle l’a dit, ils représentent certainement la plus importante menace stratégique pour le Canada.
Le projet de loi dont nous sommes saisis propose plusieurs mesures. C’est un projet de loi assez volumineux, alors je n’entrerai pas dans tous les détails, mais il se divise essentiellement en deux parties. La première modifierait la Loi sur les télécommunications. Il est particulièrement important de souligner qu’il accorderait de vastes pouvoirs au ministre de l’Industrie pour qu’il puisse prendre un certain nombre de mesures. Diverses organisations ont critiqué une partie précise du projet de loi qui se trouve dans le sommaire: le ministre et le gouverneur en conseil pourraient « ordonner aux fournisseurs de services de télécommunication de faire ou de s’abstenir de faire toute chose nécessaire ».
Ce sont là de très vastes pouvoirs à accorder à un seul ministre, ce qui devrait immédiatement déclencher des signaux d’avertissement. Personne ne devrait avoir d’aussi vastes pouvoirs sur nos télécommunications. Je le répète, j’ai fait valoir que nous avons besoin d’une meilleure cybersécurité, mais un énorme point d’interrogation persiste: donnons-nous trop de pouvoirs à un seul ministre, à une seule personne, dans l’ensemble du Canada.
Le projet de loi comporte aussi tout un enjeu financier. Comme mentionné, tout geste pourrait entraîner des répercussions financières énormes. Les grandes entreprises comme Telus peuvent peut-être se le permettre, mais ce n’est pas le cas de nos petites entreprises de télécommunications. Elles pourraient déclarer faillite. Ce n’est pas une bonne nouvelle, et il n’y aurait pas de compensation financière pour ces pertes. Il y a donc là un gros point d’interrogation.
Par ailleurs, je trouve très préoccupant que la structure du projet de loi permette un échange important de renseignements entre les entreprises de télécommunications et le ministre; renseignements qu’il pourrait transmettre à divers ministres et organismes gouvernementaux. S’agit-il de renseignements très confidentiels? Il s’agit certainement de plans de cybersécurité. Y trouve-t-on des secrets d’État? Est-il prudent de formuler de telles demandes à nos entreprises de télécommunications?
La deuxième partie du projet de loi concerne toutes les entreprises d’infrastructures essentielles au Canada, comme l’a dit le ministre, y compris les sociétés provinciales et les sociétés d’État. Le projet de loi propose un processus selon lequel toutes les entreprises devront soumettre rapidement au ministre leur plan de cybersécurité, ainsi que des rapports annuels très rigoureux. Si une entreprise change de fournisseur tiers, elle devra immédiatement en informer le ministre de l’Industrie.
Le projet de loi propose également des mécanismes de rapport très contraignants, et même si je pense que certains d’entre eux sont nécessaires, il n’en reste pas moins, comme je l’ai dit tout à l’heure, que le gouvernement n’est pas immunisé contre des attaques de pirates informatiques. J’ai cité trois ou quatre exemples de ce genre d’attaque récemment. Le projet de loi propose que toutes les entreprises soumettent au gouvernement leur plan de cybersécurité, accompagné d’innombrables documents contenant des renseignements personnels de Canadiens. Que ce soit ou non nécessaire, je me demande dans quelle mesure tous ces renseignements vont être protégés. Comment le gouvernement peut-il nous garantir que ces renseignements ne se retrouveront pas entre les mains de cybercriminels?
À mon avis, cela représente une menace importante, que le ministre doit prendre en compte. Pour autant, ce qu’il a dit pendant son intervention ne m’a pas convaincue que c’était l’une de ses priorités.
Je dois dire également qu’un certain nombre d’organisations de défense des libertés civiles se sont dites très préoccupées par certaines dispositions du projet de loi. L’Association canadienne des libertés civiles, la Canadian Constitution Foundation, la Coalition pour la surveillance internationale des libertés civiles, Leadnow, la Ligue des droits et libertés, OpenMedia et le Conseil du Canada de l'accès et de la vie privée ont fait parvenir une lettre ouverte au ministre. Dans cette lettre, toutes ces organisations, qui sont les principaux organes de recherche et de défense des libertés civiles au Canada, se disent très préoccupées par un certain nombre de dispositions du projet de loi et font remarquer au ministre un certain nombre de choses.
Elles disent, en gros, que le projet de loi donne au gouvernement de vastes pouvoirs, non seulement sur des pans entiers de l’économie canadienne, mais aussi sur la vie privée des Canadiens. Bref, je pense qu’elles ont parfaitement résumé la situation en disant que plus on a de pouvoirs, plus on doit rendre des comptes. Or, le projet de loi octroie beaucoup de pouvoirs au gouvernement, mais celui-ci n’a guère de comptes à rendre.
Avant de parler des problèmes soulevés par ces organisations, j’aimerais dire quelques mots sur ce que d’autres pays font. Aux États-Unis et dans l’Union européenne, on a adopté des lois similaires au cours des derniers mois. Celle de l’Union européenne prévoit des sanctions plus nombreuses et plus lourdes, tandis que celle des États-Unis impose des mécanismes de production de rapports plus normatifs et plus stricts. Par exemple, si une entreprise américaine d’infrastructures essentielles fait l’objet d’une attaque par rançongiciel, la loi l’oblige à la signaler au gouvernement dans les 24 heures.
C’est peut-être une disposition que nous devrions envisager pour ce projet de loi. Si nous le faisons, nous ferions aussi bien de nous aligner sur ce que font nos alliés américains et resserrer les règles. Je crois qu’un mécanisme de production de rapports est l’un des éléments les plus importants de ce projet de loi.
J’aimerais revenir à la question des libertés civiles. Compte tenu du bilan du gouvernement en ce qui concerne les projets de loi de réglementation d'Internet, comme le projet de loi C-11 et d'autres, beaucoup de gens ont raison de s’inquiéter pour leurs libertés personnelles en ligne et pour la confidentialité de leurs données. Les associations de défense des libertés civiles soulèvent certaines préoccupations auxquelles le gouvernement ou le ministre de la Sécurité publique n’a pas encore répondu.
Les auteurs de la lettre ouverte affirment que cela « ouvre la porte à de nouvelles obligations de surveillance », ce qui est très préoccupant. À leur avis, et cela n’a pas été prouvé, le projet de loi C-26 habilite le gouvernement à commander secrètement à des fournisseurs de télécommunications « de faire ou de s’abstenir de faire toute chose », comme je l’ai mentionné. Ils croient que, s’il y avait abus de ce pouvoir extrême, il pourrait être utilisé par un gouvernement mal intentionné — je ne dis pas que c’est l’intention du gouvernement libéral —, mais qu’il pourrait être utilisé pour surveiller les citoyens canadiens. C’est très préoccupant.
Ces personnes continuent dans la même veine en disant que les pouvoirs octroyés par le projet de loi permettent au gouvernement d’interdire à des entreprises de télécommunication de fournir leurs services à certaines organisations, voire à certaines personnes. Elles se disent aussi que, si le gouvernement voulait punir un groupe de gens, il lui suffirait, et je le dis sans détour, de dire à Telus qu’elle ne doit pas fournir de services à ces gens-là, qu’elle doit leur couper Internet et les empêcher d’utiliser leur téléphone cellulaire.
C’est vrai que c’est un scénario extrême, mais je pense qu’il est bon de signaler que ce projet de loi permet cela, et que c’est donc un risque si jamais un gouvernement malveillant arrivait au pouvoir et décidait de bafouer les libertés civiles des Canadiens. J’aimerais donc que des mesures de protection soient prévues dans la loi pour éviter ce genre d’abus, même si cela reste très hypothétique.
Les auteurs de la lettre disent aussi que le projet de loi nuit au respect de la vie privée et qu’il n’y a pas de mesures de sécurité pour éviter les abus. Sur ce sujet, je pense que les députés de l’opposition et, je l’espère, ceux du gouvernement qui siégeront à ce comité pourront se mettre d’accord pour proposer la nomination d’un médiateur ou la création d’un organe de surveillance. Il est en effet nécessaire d’avoir un mécanisme qui permet de protéger les droits des entreprises et, surtout, ceux des citoyens contre les abus que j’ai évoqués, et ce ne sont pas les seuls, loin de là.
Le Conseil canadien des affaires a, lui aussi, émis beaucoup de réserves au sujet de ce projet de loi. Il a adressé une lettre ouverte au ministre au nom de plusieurs petites, grandes et moyennes entreprises. Il a dit, en substance, que le projet de loi exigerait beaucoup de paperasserie, et que cela nuira particulièrement aux petites et moyennes entreprises.
Pour l’ensemble du milieu des affaires, ce projet de loi n’est qu’un bâton sans carotte, pour le dire franchement. Selon ce milieu, il y aura des dommages, et ces gens seront obligés de s'y conformer. J’espère avoir l’occasion d’y revenir plus en détail au moment des questions, mais le projet de loi ne leur offre aucun incitatif.
Par exemple, il n’encourage pas les entreprises à s’échanger leurs pratiques exemplaires. Or, j’estime que le gouvernement devrait donner l’exemple en encourageant l’échange des bonnes pratiques visant à protéger la confidentialité des entreprises, afin que d’autres entreprises soient encouragées à s’équiper correctement pour que nous formions tous une famille heureuse et adéquatement protégée contre les cyberattaques.
Pour le Parti conservateur du Canada, la sécurité nationale est la priorité absolue, et le gouvernement fédéral se doit d’affirmer son leadership au Canada pour ce qui est de la lutte contre toute menace ou toute éventualité, comme se plaît à dire la ministre de la Défense nationale.
Nous constatons de graves lacunes dans nos forces armées. Nous pourrions avoir des alliances plus solides dans le cadre de nos échanges de renseignements avec le Groupe des cinq et d’autres accords. Cela concerne certainement la cybersécurité. Le Canada est vulnérable, comme le sont de nombreux pays du monde. En fait, la plupart des pays font face à ces problèmes. Le Parti conservateur du Canada veut un cadre plus solide pour appliquer des mécanismes de signalement afin que notre cybersécurité soit protégée et que nous ne subissions pas, en plein hiver, une attaque par rançongiciel contre nos pipelines qui pourrait faire mourir de froid des milliers de Canadiens, par exemple.
Nous chercherons à appuyer le renvoi du projet de loi au comité, mais je tiens à ce qu’il soit très clair que, si l’on n’aborde pas les questions soulevées dans ce projet de loi, et j’en ai mentionné quelques-unes concernant la protection de la vie privée et les répercussions sur les entreprises, le Parti conservateur est prêt à retirer immédiatement son appui et à présenter des arguments très fermes pour empêcher que ce projet de loi aille au-delà de l’étape de l’étude en comité. Je tiens à le dire très clairement au ministre et au gouvernement libéral.
Ce projet de loi sera renvoyé au comité pour que nous puissions entendre des experts, car nous croyons que c’est important, mais il doit être corrigé. Il y a de graves problèmes à régler et des amendements à apporter. Je demanderais aux membres libéraux du comité de collaborer avec nous afin que nous puissions faire de ce projet de loi ce qu’il doit être et l’améliorer pour assurer la protection de la cybersécurité au Canada aujourd’hui et pour les années à venir.