ARTICLE
9 July 2025

Projet de loi C-2 : La Loi visant une sécurité rigoureuse à la frontière introduit un régime en matière d'accès légal et de communication des données

FF
Fasken (French)

Contributor

Fasken (French) logo
Explore Firm Details
Le 3 juin 2025, le gouvernement a déposé le projet de loi C-2, la Loi visant une sécurité rigoureuse à la frontière (le « projet de loi »).
Canada Technology
Christopher Ferguson,Leslie Milton,Nareg Froundjian
+1 Authors

Le 3 juin 2025, le gouvernement a déposé le projet de loi C-2, la Loi visant une sécurité rigoureuse à la frontière (le « projet de loi »)1. Le projet de loi C-2 traite d'un éventail de mesures touchant la sécurité nationale, le contrôle frontalier et le partage de renseignements.

Alors que les premières parties du projet de loi portent sur les douanes, les substances désignées et la sécurité financière, les parties 14 et 15 portent sur l'« accès légal ». La partie 14 clarifie les pouvoirs en matière d'ordonnances de communication de données, de communication de renseignements en cas d'urgence, de demandes liées aux données de localisation et de production transfrontalière de données. La partie 15, quant à elle, présente la Loi sur le soutien en matière d'accès autorisé à de l'information, qui vise à clarifier l'obligation des fournisseurs de services électroniques (FSE) d'aider les autorités chargées de l'application de la loi et le service du renseignement (c'est-à-dire le SCRS) lorsqu'ils cherchent à obtenir des données numériques en vertu de pouvoirs judiciaires ou ministériels.

Partie 14 — Accès légal élargi aux données et aux renseignements

Le projet de loi propose des modifications au Code criminel et à la Loi sur le Service canadien du renseignement de sécurité (Loi sur le SCRS) afin d'élargir l'accès légal aux renseignements en la possession de « toute personne fournissant des services au public », notamment sans mandat.

Par exemple, les modifications permettent à tout agent de la paix, à tout fonctionnaire public ou à tout membre du SCRS d'ordonner à « une personne fournissant des services au public ou un abonné aux services fournis par une telle personne » de fournir les renseignements suivants :

  • si, oui ou non, elle fournit ou a fourni des services à un abonné, un client, un compte ou un identifiant en particulier;
  • dans le cas où elle fournit ou a fourni des services à l'abonné, au client, au compte ou à l'identifiant :
    1. si, oui ou non, elle a en sa possession ou à sa disposition des renseignements, notamment des données de transmission, concernant l'abonné, le client, le compte ou l'identifiant,
    2. des renseignements sur la région géographique dans laquelle les services sont ou ont été fournis,
    3. la période pendant laquelle les services ont été fournis;
  • le nom ou l'identifiant, s'il est connu, de toute autre personne fournissant des services au public qui fournit ou a fourni des services à l'abonné, au client, au compte ou à l'identifiant ainsi que tous renseignements connus visés ci-dessus concernant l'autre personne et l'abonné, le client, le compte ou l'identifiant;
  • si la personne ne peut fournir tous renseignements visés ci-dessus, une déclaration à cet effet.

De plus, le projet de loi introduit une nouvelle ordonnance d'accès légal qui oblige toute personne fournissant des services au public d'établir et de communiquer un document comportant tous les renseignements relatifs à l'abonné qui ont trait à tous renseignements précisés dans l'ordonnance, notamment des données de transmission, et qui sont en sa possession ou à sa disposition. En cas d'urgence, il n'est pas nécessaire d'obtenir un mandat pour avoir légalement accès à ces renseignements. L'expression « renseignements relatifs à l'abonné » est définie comme suit : « S'agissant d'un client d'une personne fournissant des services au public ou d'un abonné aux services fournis par une telle personne, les renseignements suivants :

  1. ceux que l'abonné ou le client a fourni à la personne afin de recevoir les services, notamment ses nom, pseudonyme, adresse, numéro de téléphone et adresse de courriel;
  2. l'identifiant que la personne a attribué à l'abonné ou au client, notamment des numéros de compte;
  3. les renseignements relatifs aux services fournis à l'abonné ou au client, notamment :
    1. les types de services fournis,
    2. la période pendant laquelle les services ont été fournis,
    3. les renseignements qui identifient les dispositifs, équipements ou choses utilisés par l'abonné ou le client en lien avec les services. »

Une disposition prévoit également des ordonnances visant des dispositifs de localisation et des moyens de télécommunication similaires, mais inconnus, et un accès élargi aux données informatiques.

Ces modifications élargissent considérablement la portée de l'accès sans mandat aux renseignements relatifs à l'abonné, ainsi que des ordonnances d'accès légal afin d'obtenir des renseignements qui sont en la possession d'entités fournissant des services au public.

Partie 15 — Loi sur le soutien en matière d'accès autorisé à de l'information

Cette nouvelle loi constitue la première tentative depuis 2009 d'établir un cadre juridique général obligeant les fournisseurs de services de télécommunications ou d'autres services à faciliter la production de demandes d'accès légal. Les tentatives précédentes de légiférer dans ce domaine n'ont pas été approuvées par le Parlement.

Par le passé, le Code criminel et la Loi sur le SCRS ont permis à la police et au SCRS d'exiger des communications ou des données des FSE, mais les cadres n'ont pas toujours suivi l'évolution de la technologie et du marché (p. ex., l'émergence de plateformes numériques mondiales, le chiffrement de bout en bout). Les changements technologiques, comme l'infonuagique, le chiffrement fort et la délocalisation informatique, ont progressé plus rapidement que les anciennes dispositions du Code criminel. Les autorités chargées de l'application de la loi ont fait part de leurs difficultés à obtenir des données des plateformes modernes, tandis que certains FSE ont évoqué l'existence d'obstacles techniques ou liés à la protection des renseignements personnels pour fournir de telles données.

La nouvelle loi proposée s'applique aux « services électroniques » et aux « fournisseurs de services électroniques », lesquels sont, de façon large, définis comme suit :

service électronique Tout service — ou fonctionnalité d'un service — qui implique la création, l'enregistrement, le stockage, le traitement, la transmission, la réception, la diffusion ou la mise à disposition d'information sous toute forme immatérielle, notamment électronique ou numérique, par tout moyen technologique — électronique, numérique, magnétique, optique, biométrique, acoustique ou autre — ou par une combinaison de tels moyens.

fournisseur de services électroniques Personne qui, seule ou au titre de son appartenance à un groupe, fournit des services électroniques, notamment en vue de permettre la communication, et qui, selon le cas : a) fournit ces services à des personnes se trouvant au Canada; b) exerce tout ou partie de ses activités commerciales au Canada.

Tous les fournisseurs de services électroniques sont assujettis à l'obligation générale de prêter toute « assistance raisonnable pour permettre l'évaluation ou la mise à l'essai de tout dispositif ou équipement ou de toute autre chose pouvant permettre à la personne autorisée d'accéder à de l'information. »

En outre, la Loi sur le soutien en matière d'accès autorisé à de l'information permettrait au gouverneur en conseil d'établir des règlements définissant les obligations des fournisseurs de services électroniques « principaux » aux fins suivantes : 1) élaborer, mettre en œuvre, mettre à l'essai et maintenir leurs capacités opérationnelles et techniques afin d'extraire, d'organiser et de fournir de l'information et l'accès à celle-ci conformément aux demandes d'accès légal; et, 2) installer, utiliser, faire fonctionner, mettre à l'essai et entretenir tout dispositif ou équipement ou toute autre chose pouvant permettre à la personne autorisée d'accéder à de l'information. Les FSE « principaux » seront identifiés par catégorie dans une annexe à la loi.

Le ministre de la Sécurité publique et de la Protection civile (le ministre) est également habilité à prendre un arrêté à l'égard d'un FSE. Au moment de prendre un tel arrêté, le ministre doit tenir compte des avantages de l'arrêté pour l'administration de la justice, de la question de savoir s'il est possible pour le FSE de se conformer à l'arrêté et des frais à engager pour s'y conformer, des effets possibles de l'arrêté sur les clients du FSE et de tout autre facteur que le ministre estime pertinent. Un arrêté peut également prévoir le versement d'une indemnité au FSE. Le ministre doit consulter le FSE et le ministre de l'Industrie avant de prendre un arrêté en vertu de la Loi sur le soutien en matière d'accès autorisé à de l'information. Bien que les arrêtés soient confidentiels, ils peuvent faire l'objet d'un contrôle judiciaire.

Il est important de noter que les FSE ne sont pas tenus de se conformer aux dispositions des règlements ou des arrêtés qui les obligeraient à introduire une vulnérabilité systémique dans les protections électroniques relatives aux services ou qui les empêcheraient de corriger une telle vulnérabilité. Les protections électroniques désignent l'authentification, le chiffrement ou tout autre type de protection de données prévu par règlement.

Vérification et exécution

Le ministre peut nommer des inspecteurs qui disposent de vastes pouvoirs pour vérifier le respect des obligations prévues par la Loi sur le soutien en matière d'accès autorisé à de l'information. Les inspecteurs peuvent inspecter les FSE et exiger qu'ils effectuent des vérifications internes. Les violations comme le fait de ne pas aider les inspecteurs ou de porter atteinte à la confidentialité peuvent donner lieu à des sanctions administratives pécuniaires. Toute violation expose son auteur à une sanction dont le montant maximal est, dans le cas d'une personne physique, de 50 000 $ et, dans le cas de toute autre entité, comme une personne morale, de 250 000 $, et il est compté une violation distincte pour chacun des jours au cours desquels se commet ou se continue la violation.

Répercussions et préparation en vue de l'entrée en vigueur de la Loi sur le soutien en matière d'accès autorisé à de l'information

En l'absence de précisions sur les critères que devront remplir les FSE pour être considérés comme des « fournisseurs principaux », sur les types de capacités et les types d'équipement et d'aide qui pourraient être nécessaires ainsi que sur le versement éventuel d'une indemnité, il n'est pas possible d'évaluer les répercussions pratiques de cette legislation. Toutefois, la legislation est rédigée en termes généraux et fournit le fondement juridique nécessaire pour l'imposition d'obligations importantes et potentiellement coûteuses aux FSE du domaine des télécommunications et aux autres FSE afin de mettre en œuvre des capacités en matière d'accès légal. Les tentatives précédentes de légiférer dans ce domaine ont échoué, en partie pour des motifs liés aux coûts.

Les parties qui font affaire avec des FSE ou des fournisseurs principaux — en amont en tant que fournisseurs ou en aval en tant que clients — devraient également être attentives à l'évolution du projet de loi C-2, compte tenu de leurs propres obligations en matière de protection des renseignements personnels et de confidentialité des renseignements. Les FSE et leurs fournisseurs doivent s'attendre à ce que divers changements soient apportés à leurs ententes et à leurs relations. Ces ajustements comprendront vraisemblablement des modifications aux ententes sur les niveaux de service établissant de nouvelles attentes en matière d'accès légal, ce qui aura une incidence sur la conservation des données, les garanties en matière de restauration et les délais de réponse. De plus, les contrats devront clarifier la répartition des nouvelles responsabilités associées à la Loi sur le soutien en matière d'accès autorisé à de l'information, par exemple en déterminant quelle partie est responsable des frais associés aux demandes des autorités chargées de l'application de la loi en ce qui a trait aux données. Les entreprises, plus particulièrement celles des secteurs réglementés comme la finance et la santé, devront également examiner les clauses relatives au chiffrement et à la souveraineté des données afin de s'assurer que la conformité d'un FSE à la Loi sur le soutien en matière d'accès autorisé à de l'information n'entre pas en conflit avec leurs propres obligations réglementaires, ce qui pourrait nécessiter l'établissement de clauses relatives au chiffrement du côté du client ou l'utilisation de centres de données exclusivement canadiens. Les FSE devraient également tenir compte des règlements ou des arrêtés qui introduiraient des vulnérabilités systémiques. Enfin, pour veiller à ce que les FSE soient prêts en vue de l'entrée en vigueur de la Loi sur le soutien en matière d'accès autorisé à de l'information, les clients fortement réglementés peuvent demander des droits de vérification accrus ou d'autres garanties en matière de conformité, comme des attestations de sécurité ou la possibilité d'examiner les journaux des demandes d'accès légal qui ont été caviardés, plus particulièrement en prévision des désignations relatives aux « fournisseurs principaux ».

Footnote

1. Ce projet de loi a franchi l'étape de la première lecture. La première lecture est la présentation officielle d'un projet de loi au Parlement; elle vise à informer les députés du projet de loi, mais ne donne pas lieu à des débats sur son contenu. Le 4 juin 2025, le projet de loi a été soumis au SECU, soit le Comité permanent de la sécurité publique et nationale

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Christopher Ferguson
Christopher Ferguson
Photo of Leslie Milton
Leslie Milton
Photo of Alex Cameron
Alex Cameron
Photo of Nareg Froundjian
Nareg Froundjian
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More