Madame la Présidente, c'est avec grand plaisir que je m'exprime aujourd'hui sur le projet de loi C-11.
Il s'agit d'un sujet extrêmement important qui touche à la sécurité et à la protection des renseignements personnels de tous les citoyens. Comme mon collègue l'a si bien évoqué précédemment, on a vu ces dix dernières années et durant la pandémie actuelle une multitude de tentatives d'hameçonnage par téléphone, par Internet ou encore par les plateformes d'achats en ligne, qui sont de plus en plus sollicitées.
J'ai l'impression que le projet de loi C-11 arrive à point pour corriger les lacunes majeures qu'on connaît depuis un certain temps dans différents domaines. On l'a vu en ce qui a trait aux fraudes bancaires, commises notamment chez Desjardins, mais on le voit aussi au sein du gouvernement fédéral. Je sais que le projet de loi ne vise pas l'État fédéral, mais cette question reste très préoccupante.
À titre d'exemple, je vais prendre une situation survenue dans la circonscription de Terrebonne. Depuis environ un mois, on constate une multitude de plaintes en lien avec l'Agence du revenu du Canada et provenant de citoyens dont l'identité a été usurpée par des fraudeurs qui ont alors encaissé plusieurs chèques de la Prestation canadienne d'urgence. Cela nous indique qu'il existe une lacune au niveau du gouvernement, ce qui est très intéressant.
Je comprends qu'il faille se pencher sur les contraintes à établir, notamment pour les banques et pour le commerce électronique, mais j'ai l'impression qu'il y a peut-être certains éléments du projet de loi que nous pourrons retravailler. Nous n'en sommes qu'au débat en deuxième lecture de ce projet de loi, ce qui signifie que ce dernier pourra être amendé et amélioré afin d'être plus costaud, plus robuste et mieux en mesure de réagir aux diverses menaces qui pourraient surgir dans le futur. Comme il est ici essentiellement question de technologie, la nouvelle loi devra forcément pouvoir adapter ses mécanismes à l'évolution technologique qui surviendra au cours des années à venir.
Il y a cependant plusieurs éléments dont le projet de loi ne traite pas et qui sont préoccupants. Je prends l'exemple des métadonnées, absentes du projet de loi. Je ne suis pas un expert en informatique, mais les métadonnées sont quelque chose qu'on voit régulièrement. Par exemple, si l'on navigue quelques minutes sur Internet à la recherche d'une chaise de camping, il ne sera pas rare de voir apparaître une publicité nous proposant différents types d'articles de camping.
C'est un problème préoccupant, puisque les métadonnées peuvent permettre de cibler certains individus. Or, qui dit ciblage d'un groupe d'individus dit risques de menace ou d'une attaque informatique plus spécifique. Je pense donc qu'il serait intéressant de bonifier le projet de loi en y abordant la question des métadonnées.
En ce qui concerne l'usurpation d'identité, je pense qu'il y a tout un ménage à faire du côté du gouvernement fédéral, notamment à l'Agence du revenu du Canada. L'Agence a pour mandat de gérer les revenus pour le compte du gouvernement canadien.
Or, qu'advient-il dans le cas de fraude informatique recourant au vol d'identité? On tombe alors dans un domaine qui relève davantage de la sécurité publique et nationale. En effet, dans plusieurs cas, les fraudes et l'usurpation d'identité, notamment dans le domaine bancaire, s'effectuent de l'étranger en recourant à des moyens électroniques assez sophistiqués.
Encore une fois, je ne connais pas les mécanismes qui permettraient de mener enquête sur ces menaces essentiellement informatiques et de nous en protéger.
Je fais aussi allusion — je pense même que c'est un corollaire — au récent débat que nous avons tenu sur les réseaux 5G au Canada, par rapport aux moyens technologiques qui seront déployés dans les prochaines années pour protéger l'infrastructure informatique elle-même de toute menace ou d'influences étrangères.
Dans certains cas, la menace peut être une influence politique ou publique. Dans d'autres cas, il s'agit littéralement de pirates informatiques particuliers d'un peu partout sur la planète, qui vont utiliser la technologie, notamment les réseaux 5G, pour déjouer les mécanismes de sécurité et s'introduire dans différents systèmes afin d'usurper l'identité et de voler les données personnelles des différents citoyens qu'on a le mandat de protéger.
J'ai l'impression que l'intention générale du projet de loi C-11 est très intéressante et cruciale, comme je l'ai dit en préambule. Toutefois, il faudra aussi s'attaquer aux moyens techniques. J'ai l'impression que certains éléments de réflexion n'ont pas été abordés de façon suffisamment large pour s'assurer qu'on n'oublie pas de renforcer la porte arrière au même titre que la porte de la devanture.
Encore une fois, la protection de l'identité en ligne demeure l'aspect le plus fragile, que nous tentons de corriger ici. Beaucoup d'éléments liés aux mécanismes de contrôle me préoccupent, car c'est bien de cela qu'il s'agit. À l'heure actuelle, de nombreuses banques, institutions et entreprises utilisent diverses plateformes afin de sécuriser et de protéger l'identité des clients ou des consommateurs qui sont en ligne.
En naviguant un peu sur Internet, on constate à quel point les plateformes et les mécanismes de contrôle des entreprises privées sont variés dans le milieu du commerce en ligne. Il serait peut-être intéressant que le projet de loi s'attarde à la normalisation de ces mécanismes de contrôle des transactions en ligne, ce que l'État ne semble pas vouloir faire dans la version actuelle du projet de loi C-11.
Le gouvernement veut décentraliser le contrôle, la responsabilité et les obligations de protection des données des entreprises et des institutions financières. Il devrait cependant prévoir ou prescrire dans le projet de loi certaines mesures très précises pour s'assurer que toutes les entreprises peuvent s'acquitter de cette responsabilité. En effet, ce ne sont pas toutes les entreprises qui ont les moyens financiers de se doter de mécanismes de protection informatique robustes. Je crois donc que des exigences doivent être énoncées.
Comme mon collègue d'Abitibi—Témiscamingue l'a évoqué tantôt, beaucoup de petits commerçants et de petites entreprises n'ont pas non plus les moyens financiers nécessaires pour assumer les coûts liés à la bonification ou la modernisation de leur infrastructure informatique. Il faudra peut-être aussi aborder ce sujet dans le cadre de l'approche globale que nous préconisons aujourd'hui.
Il y a aussi toute la question des champs de compétence. Le champ de compétence du Québec en matière de droit civil et de protection du consommateur joue un rôle extrêmement important. Or, on le sait, les limites des lois sont les frontières où elles s'arrêtent. Le problème est non seulement québécois et canadien, mais aussi international. En l'occurrence, je pense qu'il sera nécessaire que l'État définisse très précisément ces fameux mécanismes de contrôle et fasse des choix politiques et gouvernementaux solides en lien avec les nouvelles technologies informatiques qui s'implanteront un peu partout sur le territoire.
C'est essentiellement là que cela va se jouer. On ne peut pas donner à un État étranger le contrôle d'infrastructures de télécommunications et d'informatique. C'est un élément extrêmement important. Nous touchons à un autre domaine, mais, pour pouvoir protéger nos concitoyens, nous devons nous assurer que les infrastructures ne sont pas menacées par d'autres pays ou par des étrangers, comme les pirates informatiques que j'ai évoqués tout à l'heure.
Ensuite, il faudra trouver une forme de normalisation qui permette d'assurer la protection du client ou du consommateur lors de transactions en ligne. N'oublions pas enfin toute la question des métadonnées, lesquelles sont un outil formidable pour toute personne mal intentionnée voulant cibler et attaquer des groupes plus privilégiés ou plus vulnérables.
En conclusion, le gouvernement fédéral doit s'assurer que nos concitoyens peuvent en toute circonstance avoir la garantie qu'une norme globale uniforme s'applique de façon stricte, et qu'il est possible de retrouver tout fraudeur de manière efficace, le cas échéant. La recherche des fraudeurs a toujours été un problème, dont l'Agence du revenu du Canada pourrait nous parler longuement en comité.