SECU Réunion de comité

    La séance est ouverte.

    Depuis la dernière réunion, nous nous interrogeons sur la question de savoir si nous avons mis fin au débat ou si nous l'avons suspendu. Le président — en l'occurrence moi-même — estime que nous avons suspendu le débat jeudi dernier. À la dernière réunion, nous avons obtenu le consentement unanime pour poursuivre le débat à la prochaine réunion, alors nous allons donc continuer le débat. La parole est à M. Motz.

    J'invoque le règlement, monsieur le président. Premièrement, pouvez-vous retrouver la décision concernant la motion demandant le consentement unanime?

    Deuxièmement, j'aimerais demander au greffier, par votre intermédiaire, ce qui figure dans le procès-verbal qu'il a préparé. Est‑ce qu'il indique que nous avons suspendu le débat à la dernière réunion ou que nous y avons mis fin? Que dit le procès-verbal?

    La dernière séance a été levée, mais nous avons tous voté en faveur de la motion demandant le consentement unanime pour poursuivre le débat à la prochaine réunion.

    Je vois que M. Julian a levé la main. Je vous remercie d'avoir poliment levé la main pour demander la parole. Je vous en suis reconnaissant.

    Merci, monsieur le président.

    Nous avons des témoins qui sont ici, et je crois que nous devons les entendre. Vous vous souviendrez que la dernière réunion a été écourtée et que nous n'avons pas pu interroger à fond les témoins. Nous accueillerons également des témoins à 16 h 30, alors je propose que nous ayons cette discussion à huis clos et que nous passions aux questions que nous avons à poser aux témoins.

    Sommes-nous d'accord pour dire qu'à la dernière réunion, nous avons obtenu le consentement unanime pour poursuivre le débat?

    Vous secouez la tête. N'avons-nous pas voté pour poursuivre le débat? Quelqu'un veut‑il débattre de la question de savoir si nous en avons discuté et avons voté là‑dessus?

    J'invoque le Règlement, monsieur le président.

    Je me souviens bien avoir entendu M. Motz dire, lors de la dernière rencontre, qu'il voulait qu'on ajourne le débat sur la motion qu'il avait présentée. C'est ce que je me rappelle. Je me trompe peut-être, mais je ne me souviens pas d'un vote à l'unanimité ou d'un consentement unanime pour poursuivre la discussion sur cette motion. De plus, nous avions aussi à questionner les témoins qui étaient là.

    Aujourd'hui, nous avons de nouveaux témoins. Je pense que nous pourrions les laisser faire leur allocution d'ouverture.

    Le greffier pourrait nous éclairer sur la façon dont la dernière rencontre s'était terminée, mais, à mon souvenir, M. Motz avait demandé lui-même l'ajournement du débat sur la motion qu'il avait proposée.

    Je vois d'autres mains levées concernant le rappel au Règlement. J'étais assis dans la salle, et je me souviens très bien que nous avons tous voté en faveur d'une motion de consentement unanime visant à permettre à M. Motz de poursuivre ultérieurement et à suspendre le débat pour permettre aux témoins…

    Monsieur Motz, vous aviez levé la main.

    J'ai deux ou trois choses à dire. Premièrement, l'avis de convocation initial pour la présente réunion, qui a été publié vendredi après-midi, indiquait qu'elle porterait sur les travaux du Comité, précisément sur la reprise du débat sur ma motion. Une heure plus tard — en fait, 61 minutes plus tard — un nouvel avis de convocation a été publié. Je ne sais pas pourquoi on y a supprimé les travaux du Comité. Je soupçonne que des pressions ont été exercées sur le greffier, malheureusement, pour qu'il modifie l'avis de convocation.

    Je vous renvoie aux bleus de la dernière réunion. M. Julian a fait une intervention au sujet des témoins, et j'ai d'abord proposé de mettre fin au débat. Je me suis ensuite corrigé en disant que j'acceptais de suspendre le débat. Voilà où nous en étions. Il n'a pas été proposé de mettre fin au débat. Le débat a été suspendu. Je vous encourage à consulter les bleus. C'est là où nous en sommes aujourd'hui, compte tenu de ce qui s'est passé à la réunion de la semaine dernière.

    Le président a dit « Plaît‑t‑il au Comité de procéder ainsi? », et les membres du Comité ont répondu oui. Il a dit ensuite « D'accord. Nous allons passer aux témoins. Nous allons suspendre la séance pendant deux minutes pour permettre aux témoins de s'installer. » C'est ce qui s'est passé. C'est tout ce que je peux vous dire sur ce qui s'est produit à la dernière réunion.

    C'est maintenant au tour de M. Lloyd, et ensuite, la parole sera à Mme O'Connell.

    Je voudrais simplement répéter que M. Motz a les bleus en main, et qu'ils sont très clairs. Après que M. Julian eut proposé de suspendre le débat, il y a eu consentement unanime pour suspendre le débat. C'est ce dont je me souviens quant à la façon dont cette partie de la réunion s'est terminée, et je m'attends à ce que nous reprenions exactement là où le débat s'est arrêté à la dernière réunion.

    Merci.

    La parole est à Mme O'Connell.

    Merci, monsieur le président.

    M. Motz vient de le dire. Il a proposé de suspendre le débat. Nous n'avons pas précisé quand le débat se poursuivrait. Nous sommes passés au projet de loi C‑26. La séance n'a pas été suspendue; elle a été levée.

    Il y a un nouvel avis de convocation. Par conséquent, si vous voulez reprendre le débat suspendu, vous devez présenter une motion dilatoire. Le débat ne se poursuit pas simplement, car la séance a été levée et le débat a été suspendu. Toutefois, nous n'avons pas précisé quand le débat se poursuivrait, et nous n'avons pas convenu qu'il reprendrait au début de la présente réunion. Si vous trouvez cela dans les bleus, j'aimerais bien que vous lisiez les passages en question, mais je sais qu'ils n'existent pas.

    Par conséquent, vous devez présenter une motion visant à reprendre le débat suspendu. Autrement, nous allons respecter ce qui figure dans l'avis de convocation parce que la séance précédente a été levée.

    Je le répète, nous avons des témoins ici. Les conservateurs ne semblent pas se soucier de la sécurité. Monsieur le président, nous assistons aujourd'hui à des chutes de neige historiques dans les provinces de l'Atlantique, et les Canadiens là‑bas, en particulier au Cap-Breton, s'inquiètent de ne pas pouvoir sortir, de ne pas pouvoir accéder à des ressources. Une partie du projet de loi C‑26 vise à assurer la pérennité des télécommunications afin qu'en cas de catastrophe naturelle, comme ce que nous voyons actuellement dans les provinces de l'Atlantique, il y ait des bouées de sauvetage...

    Madame O'Connell, nous en sommes toujours au rappel au Règlement, et non au débat.

    C'est exact, et j'ai la parole. Je parle de...

    Je sais, mais cela ressemblait à un débat. Pouvez-vous procéder à votre rappel au Règlement, s'il vous plaît?

    Oh, je suppose que le président et les conservateurs pensent qu'il s'agit d'un débat si l'on parle de la sécurité des Canadiens de l'Atlantique et du projet de loi que nous essayons d'étudier, qui créerait un système pour veiller à ce que, lors d'événements comme celui‑ci, les télécommunications soient protégées.

    J'invoque le Règlement, monsieur le président.

    Il y a déjà un rappel au Règlement.

    Si vous voulez proposer une motion dilatoire pour que nous ne passions pas au projet de loi C‑26, alors je pense que vous devez expliquer cela aux Canadiens de l'Atlantique aujourd'hui.

    Il y a encore quelques mains levées.

    Je peux peut-être interroger le greffier, car je suis un peu embrouillé moi aussi. Comment se fait‑il que ces deux avis de convocation aient été publiés de façon si rapprochée et qu'ils soient si différents? Pouvez-vous nous donner des précisions à ce sujet?

    Monsieur le président, au sujet du même rappel au Règlement...

    Je vous inscris sur la liste, monsieur McKinnon.

    Les greffiers suivent les instructions du président, à moins que le Comité ne leur indique quoi inscrire sur l'avis de convocation.

    Alors, on vous a demandé de diffuser un deuxième avis de convocation.

    Oui, j'ai suivi les instructions du président en ce qui concerne l'avis de convocation.

    M. Motz, la parole est à vous.

    Merci, monsieur le président.

    Je veux simplement clarifier encore une fois ce qui figure dans les bleus. Lorsque nous cherchions à savoir s'il s'agissait de la suspension ou de la clôture du débat, j'avais la parole au sujet de la motion. J'ai dit: « Je n'ai pas proposé de motion. Je suis d'accord avec lui [M. Julian] pour que nous passions au projet de loi C‑26 pour le reste de notre réunion d'aujourd'hui et que nous y revenions à la prochaine réunion. » C'est ce que j'ai dit. Ensuite, le président a demandé: « Plaît‑il au Comité de procéder ainsi? » La motion a donc été adoptée.

    D'après ce que je comprends des règles, la motion, ainsi que la conversation et le débat sur cette motion ont été suspendus à la dernière réunion, et nous sommes passés à l'audition des témoins.

    Aujourd'hui, afin de clore le débat sur cette motion, j'aimerais faire quelques observations qui ne devraient pas prendre plus d'une quinzaine de minutes. Ensuite, il y a d'autres intervenants sur cette liste. S'ils souhaitent continuer à parler, c'est certainement leur choix. D'après ce que je comprends de la situation à la dernière réunion, nous avons suspendu le débat sur la motion, et en raison de l'intervention de M. Julian, j'ai accepté de laisser les témoins qui étaient présents... J'ai cédé la parole en acceptant de revenir à la motion plus tard.

    Merci, monsieur le président.

    Merci.

    Si nous étions passés directement à vos commentaires, nous serions probablement en train de conclure et de passer à autre chose.

    Monsieur McKinnon, vous avez la parole.

    Je ne sais pas ce que le président avait en tête lorsqu'il a établi le calendrier provisoire, mais je pense qu'il a bien réfléchi à ce qui s'est passé et qu'il a décidé que c'était la façon logique de procéder.

    Il importe peu si le débat sur la motion a été suspendu ou clôturé, car M. Motz ou quelqu'un d'autre pourra proposer de nouveau la motion le moment venu. Pourrions-nous nous mettre d'accord pour entendre d'abord les témoins et leur poser au moins une série de questions avant de relancer le débat sur la motion?

    La suggestion est destinée à M. Motz.

    Cela me semble probablement un bon compromis, mais nous verrons ce que Mme O'Connell en dira.

    Monsieur le président, je propose que nous passions à l'étude du projet de loi C‑26.

    Vous n'êtes donc pas d'accord avec le compromis de M. McKinnon.

    Je propose que nous passions à l'étude du projet de loi C‑26.

    Je vais demander au greffier de procéder à un vote par appel nominal.

    (La motion est adoptée par 6 voix contre 4.)

     Le vice-président (M. Doug Shipley): Nous allons commencer par le projet de loi C‑26.

    J'avais un beau préambule pour présenter tout le monde, mais afin d'avancer et vous donner un peu plus de temps, je vous prie de vous présenter au début de votre intervention de cinq minutes. Vous gagnerez ainsi un peu de temps, parce que le temps file. Je sais que c'est une façon de faire informelle, par contre.

    Nous allons commencer l'audition des témoins.

    Monsieur Shipley, voulez-vous ouvrir le bal? Quel joli nom.

    Bonjour.

    Je m'appelle David Shipley, et je suis directeur général et cofondateur de Beauceron Security Inc. Je suis également coprésident du conseil cybernétique de la Chambre de commerce du Canada. Je suis un fier ancien combattant des Forces canadiennes, ayant servi au sein de la Réserve de l'Armée canadienne dans les 8 ^e Canadian Hussars.

    Je ne suis pas informaticien. Mon expertise et mon point de vue aujourd'hui sont fondés sur mon expérience en tant que directeur général et cofondateur de Beauceron. Je ne vois pas la cybersécurité comme un enjeu technologique. C'est une question de ressources humaines et de risques commerciaux.

    J'ai fondé Beauceron Security en 2016. Nous comptons parmi nos clients plus de 750 organisations au Canada, aux États-Unis, en Europe et en Afrique. Nous avons aidé plus de 650 000 personnes à apprendre à repérer, à arrêter et à signaler les cyberattaques. Beauceron Security réussit à réduire les cyberrisques individuels et organisationnels. Notre solution canadienne est utilisée par les banques mondiales, les entreprises nationales de télécommunications, les établissements d'enseignement et de santé, les organisations gouvernementales et les petites entreprises.

    Nous vivons dans un monde où les pirates nord-coréens volent des milliards de dollars en cryptomonnaie pour financer leurs programmes d'armes nucléaires. Une chose qui, il y a 25 ans, aurait semblé trop farfelue pour même figurer dans le scénario d'un film de James Bond est une réalité bien trop réelle et contribue à l'instabilité mondiale actuelle. C'est aussi un monde où un informaticien du gouvernement fédéral canadien devient un des plus riches bandits de rançongiciel du jour au lendemain, gagnant des millions de dollars en tant que racketteur numérique pour un gang criminel international.

    Je vous donne ces exemples concrets parce qu'ils mettent en évidence mon premier constat. Lorsqu'il est question de cybersécurité, les scénarios les plus invraisemblables, même les plus bizarres, sont non seulement possibles, mais deviennent la norme. Le défi de la gestion des cyberrisques consiste à trouver un équilibre entre l'incroyable créativité des humains et l'imprévisibilité des systèmes numériques complexes.

    Je sais que le sujet peut être accablant pour de nombreuses personnes. Beaucoup ont l'impression de ne pas avoir les connaissances techniques nécessaires pour réfléchir à la question. Vous avez peut-être aussi l'impression, en tant que législateurs, que l'étude du projet de loi est une tâche ardue.

    Sachez qu'il ne s'agit pas d'une question purement technologique. Tout au long de ma carrière en cybersécurité et en tant que directeur général de Beauceron, chaque cyberincident chez nos clients sur lequel nous avons enquêté a toujours été attribuable à une combinaison de facteurs, soit les gens, les processus, la culture et la technologie. La cybersécurité n'a jamais été une simple question de technologie, et elle ne peut jamais être résolue par la technologie à elle seule. Le problème a toujours été et continuera d'être celui de la relation entre la technologie, les gens et le contrôle — qui est, soit dit en passant, le sens réel du mot « cyber ».

    La réduction des cyberrisques pour les Canadiens nécessitera des lois et un régime de réglementation adaptés et élaborés en collaboration avec l'industrie. La réglementation et les directives doivent tenir compte des personnes, des processus, de la culture et des moyens de gestion des risques fondés sur la technologie.

    Je suis d'accord pour dire que ce projet de loi est nécessaire. Nous avons besoin de cette loi plus que jamais. Nous accusons beaucoup de retard par rapport à nos alliés, et nous mettons en péril la sécurité et la prospérité des Canadiens chaque jour que nous tardons à agir. La loi et son régime de réglementation doivent faire en sorte qu'une culture de la sécurité proactive et positive soit insufflée et maintenue au sein des entreprises d'infrastructures essentielles du Canada. Moyennant quelques modifications, je crois que nous pouvons atteindre ces objectifs.

    J'appuie les recommandations formulées par la Chambre de commerce du Canada pour améliorer le projet de loi afin d'en assurer l'équité, l'efficacité et la proportionnalité. De plus, j'exhorte le Comité à se pencher sur les questions suivantes.

    Premièrement, ajouter des moyens de défense fondés sur la diligence raisonnable aux sanctions administratives pécuniaires proposées. Nous devons créer des raisons positives d'investir dans la sécurité et le respect de la loi, et pas seulement des conséquences négatives en cas d'échec.

    Deuxièmement, il faut éliminer la responsabilité des particuliers. À un moment où la pénurie de main-d'œuvre en cybersécurité est la plus aiguë et où jusqu'à 75 % des plus hauts dirigeants en cybersécurité envisagent de changer de carrière, le fait de les cibler par de telles mesures ne fera qu'empirer les choses et contrecarrer les objectifs de cette mesure législative.

    Troisièmement, il faut veiller à ce que les organismes de réglementation chargés d'élaborer des directives en matière de cybersécurité propres à l'industrie aient les compétences nécessaires pour le faire efficacement. Même si les organismes de réglementation comme le Bureau du surintendant des institutions financières ont de l'expérience, d'autres se voient confier la responsabilité de la cybersécurité pour la première fois. Le projet de loi devrait exiger une collaboration entre le gouvernement et l'industrie, comme cela a déjà été fait avec le Comité consultatif canadien sur la sécurité des télécommunications.

    Enfin, en ce qui concerne l'incident survenu récemment à Affaires mondiales, le projet de loi devrait limiter la quantité de données sensibles recueillies par les organes de réglementation sur les défenses en matière de cybersécurité des infrastructures critiques canadiennes, de façon à éviter de créer une belle ouverture pour les criminels et États-nations hostiles de se renseigner sur la façon d'attaquer les acteurs et les secteurs jouant un rôle vital.

    Le projet de loi C‑26 vous donne l'occasion de...

    Monsieur Shipley, aurez-vous bientôt terminé?

    Oui.

    Le projet de loi permet aux Canadiens, par l'entremise du Parlement, de prendre le contrôle des technologies qui sont nécessaires au fonctionnement de notre société, plutôt que de le céder à la technologie, aux entreprises ou, Dieu nous en garde, à nos ennemis.

    Merci.

    Merci.

    Au tour maintenant de Mme Barh-Gedalia.

    À vous la parole.

    Monsieur le président, mesdames et messieurs, bonjour. Je m'appelle Ulrike Bahr‑Gedalia et je suis la directrice principale de l'Économie numérique, de la technologie et de l'innovation à la Chambre de commerce du Canada. Je suis également l'architecte et la responsable des politiques de la Chambre de commerce du Canada pour l'avenir du comité de l'économie numérique du conseil de l'intelligence artificielle et du conseil « La Cybersécurité. Dès. Maintenant. »

    En tant que réseau d'entreprises le plus important et le plus actif du Canada, représentant plus de 400 chambres de commerce et plus de 200 000 entreprises de toutes tailles de tous les secteurs de l'économie et de toutes les régions du pays, la Chambre de commerce du Canada est heureuse d'avoir l'occasion de formuler des commentaires sur le projet de loi C‑26.

    Notre conseil « Cyber. Dès. Maintenant. » demande au gouvernement d'accorder la priorité à la cybersécurité et de se concentrer sur une approche axée sur la prévention et sur l'amélioration de l'échange de renseignements depuis près de trois ans. Aujourd'hui, j'aimerais vous faire part de quelques recommandations clés et vous expliquer pourquoi la cybersécurité est importante pour la Chambre de commerce du Canada et ses membres au sein de l'économie canadienne.

    Plus de 98 % des entreprises canadiennes sont des petites ou moyennes entreprises. Les PME doivent être plus sensibilisées et bénéficier d'une meilleure protection et d'une meilleure formation en matière de cybersécurité afin d'utiliser l'ensemble des outils à leur disposition et de protéger les Canadiens contre les mauvais acteurs. Comme d'autres pays, le Canada fait face à un paysage numérique de plus en plus complexe et risqué. Avec un manque de compétences en cybersécurité de quelque quatre millions de personnes dans le monde et un nombre croissant d'appareils connectés — au moins 67 milliards et plus —, les défis et les coûts associés à la sécurité de notre monde numérique augmentent. Cependant, même si toutes les organisations de toutes les tailles et de tous les secteurs risquent une cyberatteinte, peu d'entre elles ont le même risque réel de cyberattaque paralysante que celles du secteur des infrastructures essentielles. Cette menace ne fera que croître, car notre infrastructure essentielle dépend de plus en plus des logiciels et de la technologie connectée pour alimenter et soutenir son fonctionnement.

    Nous sommes heureux que le projet de loi C‑26 soit renvoyé au Comité et nous l'appuyons dans son ensemble. Cependant, certains amendements sont nécessaires pour que le projet de loi soit optimal. Plus précisément, nos membres du secteur des télécommunications ont exprimé leurs préoccupations concernant quelques dispositions de la Loi sur les télécommunications, comme l'absence d'une défense fondée sur la diligence raisonnable pour les violations en vertu de l'article 15 de la partie 1, qui prévoit des sanctions pécuniaires, et l'étendue des pouvoirs exécutoires du ministre. Je tiens à souligner que cette défense est présente ailleurs dans le projet de loi C‑26, notamment en ce qui concerne les directives de cybersécurité dans la partie 2, la LPCE, ainsi que l'application régulière de la loi et la surveillance parlementaire complète des arrêtés ministériels. J'encourage le Comité à communiquer avec les fournisseurs de services de télécommunications, car il est important de les entendre.

    En ce qui concerne la LPCE, nos membres demandent les améliorations suivantes.

    La première est d'ajouter une définition plus claire d'un incident de cybersécurité à signaler. Cela fera en sorte que l'industrie ne sera pas obligée de signaler des événements qui ne constituent pas une menace matérielle pour un système vital. Le fait de ne pas définir clairement les paramètres d'un incident à signaler minera l'objectif du projet de loi C‑26 et submergera de travail les autorités gouvernementales, qui devront traiter et évaluer chaque cyberincident signalé.

    La deuxième consiste à prévoir une période de signalement de 72 heures pour les incidents de cybersécurité, par opposition au signalement immédiat. Le fait de permettre aux organisations de faire rapport dans un délai de 72 heures leur donne le temps d'enquêter et sera conforme aux régimes existants, comme ceux des États-Unis, l'un de nos principaux partenaires commerciaux.

    Enfin, la transmission de renseignements dans les deux sens est cruciale. Dans sa forme actuelle, la LPCE ne prévoit que la communication de renseignements à sens unique entre les exploitants désignés et le gouvernement. Nous croyons qu'il s'agit d'une occasion ratée et d'une faiblesse potentielle, et cela met en évidence l'approche axée sur la prévention dont j'ai parlé plus tôt. Plus nous avons d'information, plus nous pouvons travailler ensemble et mieux nous pouvons aider à prévenir les incidents.

    Je vous remercie de m'avoir écoutée et de me donner l'occasion de participer à l'étude du projet de loi C‑26.

    Merci.

    Nous passons maintenant aux représentants d'IBM Canada. Il s'agit de Mme Daina Proctor et de M. Tiéoulé Traoré.

    Je ne sais pas qui de vous deux fera la déclaration préliminaire, mais vous disposez de cinq minutes.

     Merci, monsieur le président.

    Je m'appelle Tiéoulé Traoré. Je suis le directeur des affaires gouvernementales et réglementaires à IBM Canada. Au nom d'IBM Canada, j'aimerais remercier le Comité de nous donner l'occasion de témoigner au sujet du projet de loi C‑26 et plus particulièrement de la partie 2, sur laquelle portera notre exposé.

     La numérisation de l'économie mondiale a fait en sorte que les gouvernements et les entreprises doivent se protéger davantage contre les cybermenaces en constante évolution. Pour toute entité qui cherche à maximiser la puissance d'outils comme le nuage, l'intelligence artificielle et l'informatique quantique, la mise en place de solides protocoles de cybersécurité devrait être considérée comme un élément fondamental du numérique.

    IBM Canada souscrit pleinement aux principes du projet de loi C‑26.

    En effet, le Canada doit veiller à ce que ses infrastructures essentielles soient robustement protégées contre les cybermenaces. La croissance vertigineuse du nombre de cyberattaques est un phénomène mondial qui n'épargne pas notre pays. Il est donc crucial d'agir.

    Cependant, pour que l'incidence réelle du projet de loi C‑26 soit maximale, nous soutenons que celui-ci devrait être modifié par ce comité. L'accent devrait être mis sur trois points, soit clarifier les définitions, aligner le projet de loi sur les normes internationales et éviter les excès potentiels.

    Ma collègue, Daina Proctor, va maintenant présenter chaque recommandation.

    Merci.

    Je m'appelle Daina Proctor. Je suis responsable de la gamme de services de cybersécurité d'IBM Canada. Je suis ravie d'être avec vous aujourd'hui pour parler du projet de loi C‑26.

     J'aimerais parler de trois éléments aujourd'hui.

    Premièrement, il y a la nécessité de clarifier les définitions de base dans le projet de loi C‑26. Dans sa forme actuelle, le projet de loi renvoie en grande partie à l'étape de la réglementation le travail qui consiste à délimiter la portée de la mesure législative. Nous croyons qu'il est essentiel de préciser la portée et les définitions dans le projet de loi plutôt que de s'en remettre aux processus de réglementation. Les termes clés utilisés dans la loi proposée, tels que « exploitants désignés », « renseignements confidentiels » et « incident de sécurité », sont décrits de façon trop générale ou ne sont pas assez clairs et précis. Nous pensons que ce comité devrait se pencher sur la question des définitions dans la mesure du possible afin de permettre une compréhension commune, de renforcer le caractère exécutoire de la mesure législative et d'accélérer le processus d'examen lorsque viendra le moment de rédiger les règlements qui en résulteront.

     Deuxièmement, il faut aligner la mesure législative sur les normes internationales. La stratégie et l'approche du Canada doivent s'inscrire dans les efforts qui sont déployés par notre communauté internationale. Tel qu'il est rédigé, le projet de loi C‑26 prévoit diverses dispositions qui ne sont pas cohérentes avec celles d'autres régimes de cybersécurité bien établis. Le projet de loi ne fait pas de distinction entre les niveaux de sécurité quant aux violations. En outre, les incidents possibles y sont inclus dans le champ d'application de l'obligation de signaler des incidents, ce qui pourrait avoir pour effet d'inonder les organismes réglementaires de renseignements qui ne sont d'aucune utilité et d'imposer un fardeau inutile à l'industrie.

     La déclaration « sans délai » des incidents de cybersécurité qui est prévue par la mesure législative, sans définition du terme « sans délai », pose également problème. La plupart des pays prévoient une période de 72 heures pour permettre aux parties lésées de comprendre ce qui s'est passé, ce qui garantit que les organismes réglementaires reçoivent un rapport complet sur les faits constatés.

     Le tribunal a une compétence illimitée et trop vaste lorsque, en vertu d'une loi, il peut infliger une condamnation, imposer des peines d'emprisonnement, des amendes non plafonnées et une responsabilité personnelle, avec des sanctions administratives pécuniaires d'un montant de 15 millions de dollars qui peuvent s'accumuler. Il s'agit là d'un régime entièrement nouveau et de sanctions importantes bien supérieures à celles qui sont prévues par d'autres textes législatifs comparables. La sévérité de ces sanctions et les mesures d'exécution qui peuvent être prises auront invariablement un effet néfaste. Nous estimons que les mesures d'exécution qui peuvent être prises contre des individus devraient être supprimées ou, dans la mesure où une telle responsabilité est considérée comme nécessaire et proportionnée, il devrait y avoir minimalement une norme définie pour que la culpabilité soit démontrée de façon objective.

     Enfin, on doit éviter que le gouvernement n'aille trop loin. Bien qu'IBM reconnaisse que la surveillance de la conformité est nécessaire, nous recommandons de clarifier les pouvoirs appartenant à l'autorité chargée de la réglementation ou aux personnes qui ont la capacité de faire respecter les dispositions, à savoir la capacité de visiter les installations, d'examiner les documents et les dossiers et d'exiger la tenue d'audits internes, et qui ont un vaste pouvoir discrétionnaire unilatéral d'imposer des mesures correctives — tous ces éléments. Nous recommandons vivement que la portée des pouvoirs de réglementation et des droits d'accès du gouvernement soit limitée et que ces pouvoirs et droits ne s'appliquent qu'à certaines situations critiques dans lesquelles des seuils de non-conformité spécifiques sont atteints.

    En conclusion, IBM croit qu'en clarifiant les principales définitions, en harmonisant mieux la mesure législative avec les normes internationales et en incluant des balises claires pour éviter de possibles excès de la part du gouvernement, on renforcerait le mandat du projet de loi C‑26.

    Je vous remercie pour le temps que vous nous avez accordé. Nous serons heureux de répondre à vos questions.

     Merci.

    Vous avez sûrement répété votre déclaration préliminaire un peu, car elle a duré presque exactement cinq minutes. Bravo.

    Nous allons passer aux questions.

    Monsieur Motz, je crois que vous êtes le premier à prendre la parole.

    Merci beaucoup.

    Je remercie les témoins de leurs déclarations préliminaires et de leur présence ici aujourd'hui.

     Une chose que vous avez probablement remarquée au début de la présente réunion, c'est que nous avons été saisis de la décision de la Cour fédérale, qui a jugé que le recours à la Loi sur les mesures d'urgence par le gouvernement Trudeau était illégal et inconstitutionnel. Nous en discutons donc ici.

     Je sais que cela risque de nous empêcher de poser des questions aux témoins, mais j'aimerais proposer une motion, s'il vous plaît, monsieur le président, qui soit dûment consignée au compte rendu et présentée au Comité.

    Je propose:

    Monsieur le président, je pense qu'il est important que les Canadiens aient au moins un aperçu...

    J'invoque le Règlement, monsieur le président.

    Oui, monsieur McKinnon.

    Je m'excuse auprès de M. Motz, mais je réitère la préoccupation que j'ai exprimée la dernière fois que cette motion a été présentée, à savoir que la motion outrepasse les pouvoirs de ce comité. Je crois savoir que la question a été prise en délibéré et qu'on en fera rapport à un moment donné lorsque des esprits plus sages auront pu l'examiner.

     J'aimerais le signaler.

    Étant donné que nous avons un président différent aujourd'hui, je ne sais pas exactement où il en est par rapport à cette décision.

    Nous allons laisser M. Motz poursuivre.

    Merci.

    Merci, monsieur le président.

    Comme je le disais, je pense qu'il est important que les Canadiens aient au moins un aperçu...

    J'invoque le Règlement.

    Allez‑y, madame O'Connell.

    Merci.

     Puis‑je avoir une précision au sujet de la motion que M. Motz propose? S'agit‑il de la même que l'autre jour ou d'une nouvelle motion?

    Si c'en est une nouvelle, pouvez-vous m'indiquer de quelle motion il s'agit? Environ six motions ont été déposées.

    Le greffier m'indique qu'il s'agit de l'avis de motion de M. Motz qui est daté du mardi 30 janvier. Il s'agit de la motion 1.1 intitulée « Loi sur les mesures d'urgence ».

    S'agit‑il de la même motion que celle que M. Motz a présentée lors de la dernière réunion?

    Non, il s'agit d'une motion différente.

    D'accord. C'est ce que je voulais clarifier.

    Merci.

    Allez‑y, monsieur Motz.

     Merci, monsieur le président.

    Comme je le disais, et la troisième fois sera peut-être la bonne, les Canadiens ont besoin de comprendre la décision et méritent qu'on leur en fasse un résumé, au moins pour aujourd'hui. Il s'agit de savoir quelle est la décision et quelles sont les conséquences de la décision que le juge Mosley a rendue pour le gouvernement.

    Comme nous le savons, le 23 janvier de cette année, la Cour fédérale du Canada a rendu sa décision historique dans le cadre du contrôle judiciaire visant le recours à la Loi sur les mesures d'urgence par le gouvernement Trudeau et au règlement d'application de la Loi en réponse au « convoi de la liberté » de 2022.

     Nous savons tous que la Loi sur les mesures d'urgence est une loi d'exception qui bouleverse notre ordre constitutionnel normal et qui accorde de vastes pouvoirs au premier ministre et au Cabinet, y compris le pouvoir de créer de nouvelles lois criminelles d'un simple trait de plume. La Loi sur les mesures d'urgence n'avait jamais été invoquée avant le 14 février 2022. Son utilisation contre des manifestants, qui étaient pour la plupart non violents et préoccupés par les politiques et les obligations liées à la COVID‑19 qui avaient été mises en œuvre par le gouvernement fédéral, était et demeure troublante.

    De nombreux Canadiens, moi y compris, ont toujours cru que cette décision était illégale. Nous étions d'avis que le seuil élevé permettant d'invoquer la Loi, un outil de dernier recours, n'avait pas été atteint. Nous pensions que les nouvelles lois criminelles créées par le Cabinet en vertu de la Loi, qui interdisaient la participation à des manifestations du convoi et qui permettaient même que l'on gèle des comptes bancaires sans avoir de raisons de soupçonner qu'un crime avait été commis, étaient inconstitutionnelles.

     Le juge Mosley a statué que le seuil élevé exigé pour invoquer la Loi n'avait pas été atteint, car il n'y avait pas de crise nationale ni de menaces envers la sécurité du Canada telles que définies par la Loi. Le règlement violait les droits et la liberté d'expression et le droit à la sécurité garantis par la Charte par rapport aux perquisitions et aux saisies abusives, et ces limites n'étaient pas justifiées.

     Je vais reprendre quelques-uns des points que le juge Mosley a soulevés. Essentiellement, dans sa décision, il a indiqué qu'il n'y avait pas lieu de faire preuve d'une très grande déférence envers le Cabinet dans l'interprétation de la Loi. L'une des affirmations les plus exaspérantes qu'a faites le gouvernement était que l'on devait faire preuve d'une déférence presque totale envers le Cabinet pour tout ce qui a trait à une situation de crise. Le juge Mosley a rejeté la proposition du gouvernement; il a estimé que, bien que l'on doive faire preuve de déférence envers le Cabinet parce qu'il doit réagir rapidement à des situations changeantes, il ne dispose pas d'un pouvoir discrétionnaire illimité et il est tout de même restreint par les critères objectifs inscrits dans la Loi.

     Ensuite, il n'y a pas eu de crise nationale au sens de la Loi. Pour invoquer la Loi, il doit y avoir une crise nationale. Si l'état d'urgence ne touche pas tout le Canada, la zone touchée doit être précisée. Le gouvernement Trudeau a affirmé que l'état d'urgence se produisait dans tout le pays. Le juge Mosley a indiqué que cette affirmation était une « exagération » et a estimé que les provinces étaient en mesure de faire face à la situation sous le régime des lois en vigueur, comme le Code criminel.

    Au paragraphe 248 de sa décision, le juge Mosley dit: « [...] la Proclamation précise que l'état d'urgence “se produit dans tout le pays”. Il s'agit, à mon point de vue, d'une exagération de la situation dont le gouvernement avait connaissance à l'époque. » Le juge dit également que « [...] la majorité des provinces étaient en mesure de faire face à la situation en appliquant d'autres lois fédérales, comme le Code criminel, et leurs propres lois. »

     Il ajoute que la Loi sur les mesures d'urgence constitue une solution de dernier ressort. Le juge Mosley a confirmé la décision de la Cour fédérale selon laquelle la Loi sur les mesures d'urgence constitue une solution de dernier ressort. Au paragraphe 253 de sa décision, il déclare:

     Le juge Mosley a ensuite dit qu'il n'y avait pas de « menaces envers la sécurité du Canada » au sens de la Loi sur les mesures d'urgence. Il a conclu qu'il n'y avait aucune menace envers la sécurité du Canada au sens de la Loi. La Loi précise que « menaces envers la sécurité du Canada » a la même signification que dans la Loi sur le SCRS, ce qui inclut les « menaces de violence [grave] contre des personnes ou des biens ». Le juge Mosley a indiqué que le chef du SCRS ne croyait pas que la situation répondait à cette définition. Le seul exemple de menaces de violence grave fourni concernait la découverte d'armes, à Coutts, mais la GRC avait déjà géré la situation en appliquant le Code criminel avant que le règlement extraordinaire ne soit créé.

    Le juge Mosley parle ensuite des préjudices économiques. Il affirme que le préjudice économique n'était pas un élément du seuil permettant d'invoquer la Loi. Pendant la Commission Rouleau, les audiences de la Cour fédérale et les conférences de presse qui ont suivi sa défaite, le gouvernement a soutenu qu'un préjudice économique, comme la perturbation des chaînes d'approvisionnement, peut constituer une menace envers la sécurité du Canada. Le juge Mosley a conclu que bien qu'ils étaient préoccupants, les préjudices causés à l'économie et aux échanges commerciaux du Canada ne constituaient pas des menaces ou l'usage de la violence grave contre des personnes ou des biens, comme l'exige la définition de la Loi sur le SCRS.

     Au paragraphe 296 de sa décision, il poursuit:

    Le juge Mosley poursuit en parlant de la participation et des questions qui sont illégales non seulement en vertu de la Loi, mais aussi en vertu de la Constitution. Interdire la simple participation à des manifestations viole la liberté d'expression garantie par la Charte. Le juge Mosley a indiqué que le règlement limitait le droit à la liberté d'expression garanti par l'alinéa 2b) de la Charte en interdisant à toute personne d'assister à des assemblées « dont il est raisonnable de penser qu’elles auraient pour effet de troubler la paix » plutôt qu'en interdisant simplement, par exemple, les blocages et les coups de klaxon excessifs.

    Le juge Mosley a conclu que la violation de la liberté d'expression n'était pas une limite raisonnable. Il a statué que les mesures qui empiétaient sur l'alinéa 2(b) ne pouvaient pas être respectées en vertu de l'article premier de la Charte...

     J'invoque le Règlement, monsieur le président.

    Monsieur Motz, veuillez attendre un moment.

    Madame Michaud, vous avez un rappel au Règlement.

    Merci, monsieur le président.

    M. Motz semble vouloir lire tout le texte de la décision du juge. Lors de notre dernière réunion, il n'a pas laissé à ses collègues l'occasion de s'exprimer sur sa motion. Je ne sais pas s'il a l'intention de faire la même chose aujourd'hui. J'imagine que nous n'aurons pas le temps de poser nos questions aux témoins.

    Je me demande s'il peut dire au Comité combien de temps il compte parler à ce sujet. Il ne faut pas que les témoins perdent leur temps. Ils ont fait l'effort de se déplacer ici afin de nous faire part de leurs commentaires au sujet du projet de loi C‑26.

    Sinon, je vais proposer que nous passions au vote sur la motion de M. Motz, afin que nous puissions revenir à l'étude du projet de loi. Cela dit, je ne sais pas s'il est d'accord sur ma proposition.

    Merci pour ce rappel au Règlement.

    Je vais demander à M. Motz.

    Monsieur Motz, avez-vous une idée de combien de temps encore il vous faudra?

    Ce sera probablement de cinq à huit minutes maximum.

    D'accord. Nous allons vous laisser poursuivre.

    Monsieur le président.

    Oui, monsieur Julian.

    J'invoque le Règlement. Je pense que dans le passé, le Comité a réglé des questions en discutant hors ligne pour ensuite reprendre. J'aimerais proposer des amendements à la motion, peut-être. Je pense que c'est une chose à laquelle nous pourrions consacrer toute une réunion du Comité.

    Je suis conscient du fait que des coûts ont été assumés par les contribuables canadiens et que des personnes ont offert des témoignages importants sur ce projet de loi essentiel qui traîne depuis maintenant presque deux ans. Je crois que nous avons la responsabilité de poser des questions aux témoins. J'aimerais savoir si M. Motz peut interrompre ses discussions pour que nous puissions parler hors ligne et poser des questions aux témoins, ce qui était vraiment le but de la réunion d'aujourd'hui.

    Je pense que nous pourrions probablement parvenir à un consensus au cours des prochains jours, avant la prochaine réunion.

    Monsieur Julian, merci beaucoup de ces observations.

    Malheureusement, M. Motz n'a pas la parole. Je répète que M. McKinnon a proposé une belle concession plus tôt, mais on l'a rejetée.

    Monsieur Motz, je ne peux pas vous donner de directives à ce sujet, mais si vous pouviez conclure d'ici environ cinq minutes, il serait bien de revenir aux témoins. C'est à vous de voir, et vous avez la parole.

    Merci beaucoup.

    À propos du point soulevé par M. Julian, je pensais être parvenu à une entente à l'amiable avec le Comité la dernière fois que cela a été proposé, et ce n'est certainement plus le cas. Je vais terminer d'ici cinq à sept minutes, monsieur le président, et merci.

    Comme je l'ai dit, la violation de la liberté d'expression n'était pas une limite « raisonnable », comme l'a statué le juge Mosley. Ces mesures qui empiètent sur l'alinéa 2b) ne pouvaient pas être respectées en vertu de l'article premier de la Charte, qui dit: « dans des limites qui soient raisonnables et dont la justification puisse se démontrer dans le cadre d'une société libre et démocratique. »

    Il a constaté que les mesures n'étaient pas « une atteinte minimale » de deux façons. Premièrement, elles ont été appliquées partout au Canada alors qu'elles auraient dû être limitées à l'Ontario, et peut-être à l'Alberta. Deuxièmement, il y avait des mesures portant une atteinte plus restreinte que le gouvernement était obligé de privilégier conformément à la Constitution.

    Il a parlé du gel des comptes bancaires et statué que cela violait le droit à la protection contre les fouilles et les perquisitions abusives. Le juge Mosley a également statué que les mesures pour ordonner aux banques de divulguer les renseignements personnels de personnes désignées par la GRC et geler leurs comptes bancaires violaient le droit à la protection contre les fouilles et les perquisitions abusives en vertu de l'article 8 de la Charte.

    Les fouilles de dossiers bancaires étaient abusives parce qu'on a exigé que les banques informent la GRC lorsqu'elles avaient une raison de croire que quelqu'un appuyait matériellement les manifestations, alors que pour faire une fouille, il faut normalement que la police prouve à un tiers, en se fondant sur une norme objective comme des motifs raisonnables de soupçonner ou de croire, qu'un crime a été commis avant que la fouille ait lieu.

    Au paragraphe 337 de sa décision, le juge Mosley dit que: « L'absence de toute norme objective a été confirmée par le surintendant Beaudoin, qui [...] a en effet reconnu en contre-interrogatoire que la GRC n'avait pas appliqué de norme fondée sur des motifs raisonnables de croire ou de soupçonner, étant donné qu'il lui suffisait d'avoir une [..] "simple croyance". » Au paragraphe 341, le juge Mosley ajoute: « À mon avis, l'omission d'appliquer une norme objective quelconque au gel des comptes portait atteinte au droit protégé à l'article 8. »

    Enfin, je soulignerais dans un bref survol que la violation du droit à la protection contre les fouilles et les perquisitions ne pouvait pas plus être justifiée en vertu de l'article premier de la Charte. Le juge Mosley a constaté qu'il n'y avait pas de menace envers la sécurité du Canada au sens de la loi. La loi dit que ces mots ont la même signification que dans la Loi sur le Service canadien du renseignement de sécurité, ou SCRS, qui comprend la menace de « violence grave ou de menaces de violence contre des personnes ou des biens ». Le juge Mosley souligne que le directeur du SCRS ne croyait pas que la définition était respectée. Les armes trouvées à Coutts sont le seul exemple précis de menaces de violence grave, comme je l'ai dit plus tôt, mais la Gendarmerie royale du Canada avait déjà géré la situation à l'aide du Code criminel avant la mise sur pied des mesures extraordinaires.

    Je vais terminer en disant ce qui suit, monsieur le président. Je pense qu'il est important que les Canadiens reconnaissent que le gouvernement — même si beaucoup de Canadiens étaient du même avis — a outrepassé son autorité légitime. Il ne peut pas changer la loi pour parvenir à ses fins lorsque c'est pratique pour lui. Enfin, la Cour fédérale a statué qu'il a effectivement dépassé les limites de la loi et violé la Charte.

    Je pense qu'il incombe au Comité de se pencher là‑dessus ou de s'entendre sur la meilleure façon de traiter la question à l'avenir.

    Sur ce, monsieur le président, je cède la parole au prochain intervenant.

    Merci, monsieur Motz.

    J'ai ensuite Mme O'Connell sur la liste d'intervenants.

    Merci, monsieur le président.

    Je propose de mettre fin au débat.

    D'accord.

    Voulez-vous un vote par appel nominal, madame O'Connell?

    Oui.

    Je demanderais au greffier de tenir un vote par appel nominal, s'il vous plaît.

    (La motion est adoptée par 6 voix contre 4.)

    Le vice-président (M. Doug Shipley): Nous allons poursuivre et revenir au projet de loi C‑26.

    Nous allons commencer par des interventions de six minutes.

    Je crois que M. McKinnon est le premier.

    Merci, monsieur le président.

    J'aimerais souhaiter la bienvenue à nos témoins. Merci d'être ici et de tout le temps et de tous les efforts que vous avez consacrés au projet de loi jusqu'à maintenant.

    Je vais commencer par M. Traoré et Mme Proctor. Vous avez dit que cette mesure législative devrait se conformer aux normes internationales. Y en a‑t‑il une que vous pouvez nommer plus précisément?

    Je vous remercie de la question, monsieur McKinnon.

    Il y a un certain nombre de normes internationales sur lesquelles nous pourrions compter. Si je peux me permettre, je me réjouirais de l'occasion de vous présenter ces normes internationales pendant une séance de travail. Pour le débat et la discussion que nous avons actuellement, les points que je soulignerais, ce sont certainement les définitions, les délais d'intervention et le caractère punitif des réponses.

    Le délai de 72 heures pour signaler un incident — ce serait toutefois en fonction d'une gravité établie — serait particulièrement intéressant. Puis il y a les aspects punitifs. Je pense qu'on va trop loin en infligeant une punition à une personne pour les infractions, et je n'ai vu aucune autre réglementation internationale le faire; on punit plutôt les entreprises. L'aspect cumulatif va tout aussi loin.

    Ces observations portent-elles sur les normes internationales, ou font-elles partie de votre autre...? Nous les avons déjà entendues. Est‑il question d'adhérer à ces normes pour préciser ces définitions et ces obligations?

    Je suis désolée. Pouvez-vous répéter la question, monsieur McKinnon?

    À un moment donné, nous devrons présenter des amendements à ce projet de loi. Vous avez dit que nous devrions adhérer aux normes internationales. Il nous serait utile de savoir précisément à quelles normes nous devrions adhérer. Ces normes sont-elles assez exhaustives, ou vont-elles trop loin? Il serait utile que vous apportiez des éclaircissements sur ces deux aspects.

    Nous allons nous assurer de vous présenter des propositions d'amendement et des exemples de ce que nous voyons comme des cadres à établir.

    Vous êtes préoccupée par les définitions. L'adhésion à ces normes apaiserait-elle vos préoccupations?

    Je pourrais peut-être également donner des précisions à ce sujet. Je m'excuse si, dans ma déclaration liminaire, j'ai indiqué le contraire. L'adhésion n'est pas nécessairement l'encouragement qui serait offert. Ce qu'il faut surtout retenir, c'est qu'un certain nombre d'aspects du projet de loi C‑26 vont beaucoup plus loin que les normes internationales établies pour les régimes de cybersécurité bien établis, en particulier ceux de nos alliés.

    Il n'est pas nécessairement question de l'adhérence à ces normes, mais plutôt d'une reconnaissance que nous ne devons pas nécessairement aller au‑delà de ce qu'ils cherchent déjà à accomplir dans leur partenariat privé et public et dans l'habilitation de l'industrie.

    J'espère que cela éclaircit un peu les choses. L'idée n'est pas nécessairement de se conformer aux normes internationales, mais plutôt de ne pas aller plus loin, alors que nous essayons de travailler ensemble pour renforcer nos infrastructures essentielles.

    Ces normes établissent essentiellement une limite que nous ne devons pas dépasser.

    C'est une bonne façon de le dire.

    Pouvons-nous préciser quels sont les risques auxquels nous nous exposerions encore si cette mesure législative n'est pas adoptée?

    Je pose la question à tout le monde.

    Allez‑y, monsieur Shipley.

    J'attire votre attention sur le mois d'avril 2023, lorsqu'un groupe de pirates lié à la Russie a réussi a pénétré le système d'un fournisseur de pipelines de gaz naturel pour ensuite augmenter la pression de valves, désactiver des alarmes et faire des arrêts d'urgence. En passant, cette équipe de pirates russes n'était même pas la meilleure du pays, et c'est donc ce que nous risquons lorsque nous jouons du violon pendant que Rome brûle au lieu de légiférer dans le domaine de la cybersécurité.

    Je ne dis pas que la société sera totalement paralysée comme dans un film hollywoodien. Je dis que des gens pourraient se faire tuer, que des entreprises pourraient en payer le prix, que des gens veulent nous frapper en plein visage. Nous leur montrons le visage, sans être en mesure de nous défendre, et ce sera douloureux.

    De quelle façon ce projet de loi pourrait‑il mettre fin à ce genre d'attaque?

    D'abord, nous devons marcher avant de pouvoir courir. Soyons très clairs: le Canada ne rampe même pas quand il s'agit de se défendre. Si vous voulez voir un leader en ce moment, regardez l'Australie. Nous accusons un retard, et ce ne sont pas les entreprises qui en paieront le prix. Ce seront les Canadiens ordinaires.

    Chaque fois qu'il y a un cyberincident, cela alimente la crise du coût de la vie au pays. Nous devons passer à l'action dans ce dossier, et nous devons bien faire les choses. Les lacunes qui ont été indiquées dans cette mesure législative sont importantes. Nous allons régresser. Plutôt que d'améliorer les choses, nous allons les empirer.

    Je ne sais pas combien de temps il me reste.

    Il vous reste un peu plus d'une minute.

    Nous allons voir si nous pouvons en avoir deux, madame Bahr‑Gedalia, si vous voulez également vous prononcer sur ces questions.

    M. Shipley a commencé à donner un exemple.

    À propos des cyberincidents et des menaces, je pense que nous ne pouvons même pas faire un suivi du nombre de cas signalés chaque jour. Madame O'Connell, vous avez mentionné le Canada atlantique, les infrastructures de soins de santé de Terre-Neuve qui ont également été touchées. C'est un effet boule de neige. Lorsqu'une partie des infrastructures essentielles est touchée, il y a une incidence sur notre économie et la société, ainsi que sur la façon dont les investissements étrangers directs se feront à l'avenir. Comment les entités étrangères nous perçoivent-elles? Veulent-elles s'installer au Canada? Veulent-elles se bâtir un avenir ici en tant qu'entreprises, en tant que communautés et sources de talent?

    Je le vois comme une voie à double sens... Nous avons des difficultés chez nous, au sein du pays, mais il y en a aussi à l'échelle mondiale. Comment sommes-nous perçus et quelle est la meilleure façon de nous adapter et de nous assurer que...? À l'heure actuelle, le cyberslogan est: dirigeons l'avenir de la cybersécurité mondiale et soyons le pays le plus sûr au monde. Le Canada peut l'être, et je pense que le projet de loi C‑26 est un pas dans la bonne direction, mais nous devons accélérer un peu le processus, car les discussions se poursuivent depuis longtemps.

    Merci.

    Le Parlement procède à son propre rythme.

    Je pense que je n'ai plus de temps.

    Merci.

    Madame Michaud, c'est à votre tour, pour six minutes.

     Merci, monsieur le président.

    Je vous remercie, chers témoins, de votre présence et de votre patience.

    Madame Proctor et monsieur Traoré, vous avez mentionné trois éléments importants qui vous apparaissent essentiels dans le cadre de ce projet de loi. M. McKinnon a parlé un peu de la nécessité de s'aligner sur les normes internationales, et je souhaiterais aussi en savoir plus là-dessus. Cela nécessitera une discussion un peu plus longue.

    Par ailleurs, vous avez parlé de la nécessité de clarifier les définitions dans le projet de loi, parce qu'on laisse beaucoup de place à la réglementation, en ce moment. C'est un peu ce que je comprends du projet de loi: il donne beaucoup de pouvoirs au ministre de l'Industrie et au gouverneur en conseil pour prendre des arrêtés et des décrets, et quand je le lis dans sa forme actuelle, j'ai l'impression que cela pourrait aller dans tous les sens. Il donne beaucoup de pouvoirs, mais on ne sait pas vraiment ce que les ministres pourraient invoquer ou ce qu'ils pourraient demander aux entreprises ou les obliger à faire.

     Vous proposez donc de clarifier certaines définitions, ce qui pourrait aider à encadrer un peu les agissements du gouvernement par la suite. J'aimerais que vous nous en parliez davantage.

    Il y a deux aspects à cette question. Le premier est la mise en œuvre du projet de loi et du cadre réglementaire. Nous voulons tous que le projet de loi soit appliqué de la meilleure façon possible, bien entendu. Nous trouvons, par contre, que certaines définitions laissent place à l'interprétation. Dans les cas où il s'agit d'un sujet majeur, nous préférerions que le cadre soit beaucoup plus clair pour qu'on puisse s'y conformer plus facilement. Des termes comme « incident majeur » ou « brèche de cybersécurité » sont assez larges et génériques. On se retrouve dans une impasse. Nous trouvons qu'il est beaucoup plus simple de préciser maintenant ces termes que d'attendre de se rendre à l'étape de la réglementation pour établir des définitions et de se retrouver dans une sorte de capharnaüm au moment de déterminer ce qu'il faut faire. C'est toujours mieux de clarifier les choses dès le début.

    Le deuxième aspect concerne l'intervention du gouvernement. Soyons clairs: nous avons à cœur de voir l'essence du projet de loi se manifester, puisque les brèches de cybersécurité sont un problème majeur. Chez IBM, nous produisons un rapport annuel, et nous avons établi que le coût d'une brèche en cybersécurité était de 7 millions de dollars par compagnie touchée, un chiffre qui augmente à 12 millions de dollars lorsque le secteur financier est en cause. Il est donc important d'agir, et le gouvernement doit faire preuve de leadership à cet égard. Encore faut-il que son action soit être bien réglementée, codifiée et prévisible pour les acteurs du système.

     Merci.

    Monsieur Shipley, vous avez parlé de créer des raisons positives pour inciter les entreprises à instaurer un cadre de cybersécurité et à en informer le gouvernement. Ce dernier veut obliger les entreprises à le faire sous peine de pénalités pécuniaires.

    La semaine dernière, un témoin nous a dit qu'il fallait des incitatifs fiscaux. Je lui ai demandé s'il fallait interchanger les choses, à savoir qu'à la place d'imposer des pénalités pécuniaires, on devrait instaurer des incitatifs fiscaux. Il a répondu que non, qu'il était intéressant de tout de même garder les pénalités pour les entreprises qui ne se conformaient pas aux demandes du gouvernement. Certaines entreprises craignent peut-être que cela engendre beaucoup de paperasse. Ces entreprises n'ont donc pas un manque de volonté de se conformer à ces demandes, mais elles craignent les retards et les coûts que l'établissement d'un tel cadre pourrait entraîner.

    J'imagine que vous avez consulté des entreprises. Que vous ont dit leurs dirigeants? Un incitatif fiscal pourrait-il être intéressant pour elles?

    Je vous remercie de cette question.

    Je m'excuse, mon français laisse à désirer, alors je vais répondre en anglais.

    Le moyen de défense pour les sanctions administratives pécuniaires est la première mesure qui devient une chose positive. Si je montre que nous avons respecté l'esprit de la loi, en tentant de défendre notre organisation, que nous avons fait ce que nous devions faire, c'est une étape positive qui m'encourage à investir, et je peux donc le montrer. C'est la raison pour laquelle il est si important d'aborder la question dans la Loi sur les télécommunications.

    Pour être très clair, je mentionne que le secteur privé canadien dépense déjà 9 milliards de dollars par année en cybersécurité, et nous ne demandons donc pas un cadeau au Parlement, nous ne demandons pas au gouvernement de régler tous les problèmes. Cependant, ce qui est intéressant, c'est que ce projet de loi porte précisément sur les très grandes entreprises et l'infrastructure essentielle. Une proportion de 98 % des entreprises canadiennes n'est pas concernée. Ce sont de petites entreprises, dont la moitié ne dépense actuellement rien en cybersécurité, et elles ont donc absolument besoin d'aide. En tant que parlementaires, vous avez entendu parler de l'incidence de la COVID‑19 sur les petites entreprises, de leur endettement et ainsi de suite. Elles ne peuvent pas se permettre autre chose. Soyons très clairs: le projet de loi pour la cybersécurité des petites entreprises et des grandes entreprises est nécessaire parce qu'à l'échelle nationale, nous ne les protégeons pas contre d'autres pays et les criminels. Donc, oui, je vous encourage fortement à prendre d'autres mesures.

    Mon point concernant la vitesse avec laquelle nous devons faire adopter cette mesure législative... Ce n'est que la première étape législative que vous devez considérer, et nous devons procéder comme il se doit.

    Je vais être honnête. À l'heure actuelle, l'endroit où les Canadiens en subissent les conséquences — et elles sont graves —, c'est dans le domaine de la santé. Il y a actuellement cinq hôpitaux ontariens qui se remettent encore d'une attaque par rançongiciel. Nous ne savons toujours pas ce qui s'est produit à Terre-Neuve ni pourquoi, et nous n'en avons pas tiré de leçon. Nous savons, d'après l'étude américaine non revue par des pairs...

    Excusez-moi, mais je dois vous demander de conclure, s'il vous plaît.

    ... que de 40 à 60 Américains sont morts à cause d'attaques par rançongiciel contre des hôpitaux. Donc, oui, nous avons besoin d'aide. Nous devons d'abord faire adopter cette loi, et la première chose à faire pour l'améliorer, c'est avoir un moyen de défense.

    Merci, monsieur Shipley.

    Merci, madame Michaud.

    Monsieur Julian, vous avez six minutes.

    Merci beaucoup, monsieur le président.

    Je vais commencer par M. Shipley et Mme Bahr-Gedalia.

    Nous sommes saisis de cette mesure législative depuis maintenant 20 mois. Elle a été présentée en juin 2022. Nous approchons du deuxième anniversaire de son dépôt, et à vrai dire, nous ne faisons que commencer les délibérations à ce sujet.

    À quel point est‑il important que nous procédions rapidement, compte tenu des problèmes que tous nos témoins ont énumérés? Que proposez-vous comme échéancier, vu le temps qu'il a fallu pour arriver où nous en sommes?

     Je vais commencer.

    Pendant le temps que le dossier a traîné, l'Australie a publié une cyberstratégie exhaustive en lien avec des attaques horribles contre ses citoyens et leurs renseignements médicaux personnels, l'Europe a adopté un projet de loi et les États-Unis sont allés de l'avant grâce à des mesures exécutives et législatives audacieuses. Nous sommes la dernière cible facile en Occident, et nous allons donc continuer d'attirer beaucoup d'attention malsaine, ce qui continuera de nuire à la prospérité et à la sécurité des Canadiens.

    Je dirais donc qu'il faut faire vite, car la réalité, c'est que nous allons faire adopter cette mesure législative, et que nous allons ensuite passer au moins un an, voire deux ans à débattre de la réglementation. Cela renvoie plus particulièrement au point de Mme Proctor concernant l'importance d'avoir dans le projet de loi les définitions les plus claires possible pour faire avancer le dossier.

    Nous accusons beaucoup de retard. Je sais que le Parlement est saisi de nombreuses questions, mais nous vivons dans un monde numérique et nous agissons comme si nous étions au XX^e siècle.

    Avant de passer à Mme Bahr‑Gedalia, serait‑il juste de supposer, compte tenu du fait que d'autres pays ont pris les devants, que plus nous prenons de temps avant de bien faire les choses avec ce projet de loi et avant de le renvoyer à la Chambre puis au Sénat, plus nous risquons d'avoir de graves incidents compte tenu de notre vulnérabilité?

    Oui, tout à fait.

    Je vous remercie.

    Madame Bahr-Gedalia, je vous pose la même question. Dans quelle mesure est‑il impératif que nous agissions?

    C'est tout à fait impératif. Oui, nous devons certainement agir rapidement.

    J'aimerais également insister sur le fait que nous devons faire les choses correctement et ne pas nous précipiter d'une manière qui… J'hésite un peu à établir un calendrier, car nous devrions nous concentrer sur tous les défis que nous avons soulignés et les relever de façon adéquate.

    Des commentaires ont également été formulés sur les stratégies et les plans nationaux en matière de cybersécurité qui ont été adoptés dans d'autres pays, etc. Nous n'avons pas encore lancé notre stratégie nationale en matière de cybersécurité. Nous avons très hâte de connaître la contribution de la Chambre de commerce du Canada, car nos membres et moi-même pourrons ainsi avoir une vue d'ensemble de la cybersécurité en tant que telle. Le projet de loi C‑26 représenterait un élément de cette stratégie. Il s'agit d'une vision holistique et d'une approche détaillée.

    Enfin, je voulais faire un commentaire au sujet du temps, mais j'ai perdu le fil de ma pensée. Je crois que vous avez posé une autre question de suivi à M. Shipley. Pourriez-vous me rappeler de quoi il s'agissait?

    Il s'agissait de la vulnérabilité à laquelle s'expose le Canada lorsqu'il n'emboîte pas le pas aux autres pays qui adoptent des lois dans ce domaine.

    Oui. Je voulais mentionner un autre point soulevé par nos membres.

    Nous avons vécu la même chose avec un autre projet de loi. Si nous attendons trop longtemps, les provinces risquent de mettre en place leurs propres lois dans ce domaine. Ainsi, certains de nos membres craignent que notre retard par rapport à d'autres pays et notre manque d'uniformisation à bien des égards se reproduisent au niveau national ou provincial. Une approche fragmentée finit toujours par nuire aux entreprises.

    Je vous remercie.

    Madame Proctor et monsieur Traoré, vous avez parlé de la question de la réglementation et de la mise en place d'une période de signalement moins contraignante. Est‑ce que la modification de ces éléments du projet de loi permettrait de répondre à ces deux préoccupations?

    J'aimerais demander à tous les témoins s'ils ont des amendements précis à proposer qui permettraient d'améliorer le projet de loi à l'extérieur du cadre réglementaire pour que nous puissions en discuter ici en vue de leur adoption par le Parlement.

    Je vous remercie de votre question.

    Pour faire le lien entre les deux questions dans lesquelles vous vous vous interrogiez sur le risque de ne pas agir, je vous répondrais que chez IBM, nous travaillons avec plus de 1 700 organismes avec lesquels nous avons établi des partenariats et auxquels nous fournissons des conseils stratégiques. Certes, ils ne sont pas tous directement concernés par les questions à l'étude, mais ils seraient tous touchés par l'adoption du projet de loi C‑26. Un grand nombre de ces organismes éprouvent des difficultés. Un grand nombre d'entre eux se concentrent sur le Canada et un grand nombre d'autres ont des visées internationales. En ne faisant rien, nous encourageons essentiellement ces organismes à ne pas considérer le Canada.

    Nous n'avons pris aucun règlement et nous n'avons élaboré aucune définition dans ce domaine. Nous n'avons pas mis en œuvre les lois qui leur permettraient de bien comprendre les règles auxquelles ils seraient soumis au Canada. Il s'ensuit que plus le projet de loi stagne, plus ces organismes se tiennent à l'écart.

    Sur le plan collectif et individuel, cela se répercute également sur l'attitude de nos ressources, de nos équipes et de nos voisins. Nos diplômés — nos enfants qui terminent leurs études — remettent en question la position du Canada en matière de cyberrisque et de cybersécurité, non seulement en ce qui concerne l'infrastructure essentielle que nous devons maintenir et exploiter, mais aussi les possibilités d'emploi que nous et nos organismes pouvons offrir.

    Je vous remercie.

    J'espère que cela vous permet de prendre un peu plus de recul sur la question, de sorte que lorsque nous considérons la période de signalement, le risque est également pris en compte. L'une des meilleures choses que nous faisons…

     Madame Proctor, je vais devoir vous demander de conclure votre intervention, car le temps imparti est écoulé. Je suis désolé.

    Le Comité dispose de la salle et de ses ressources jusqu'à 18 heures. Je pense que nous avons obtenu des renseignements très intéressants, et je vais donc donner à tout le monde une dernière…

    J'invoque le Règlement.

    Oui, monsieur. Vous avez la parole.

    J'aimerais suggérer que nous passions plutôt au groupe suivant. J'ai peut-être mal compris…

    Vous allez lu dans mes pensées. J'allais justement donner deux minutes à chaque parti…

    Deux minutes pour chaque parti, cela fait huit minutes en tout. Nous allons empiéter sur le temps prévu pour le groupe de témoins suivant. J'aimerais beaucoup continuer d'entendre les témoins actuels, mais nous devons aussi entendre le groupe suivant.

    Quelqu'un souhaite peut-être présenter une motion demandant le consentement unanime.

    Monsieur Julian, je ne connais pas la volonté du Comité. Nous pouvons continuer d'en parler, mais nous gaspillons du temps.

    Monsieur le président, j'aime votre suggestion d'accorder une série de questions supplémentaire de deux ou trois minutes à chaque parti. Je pense que c'est une bonne idée.

    Nous n'avons pas le consentement unanime sur ce point, et nous devons terminer rapidement. Je vais limiter le temps de parole de chaque intervenant à deux minutes. Si vous voulez renoncer au temps qui vous est imparti, nous passerons à l'intervenant suivant.

    Chaque intervenant aura donc deux minutes. Nous entendrons d'abord M. Lloyd.

    Je vous remercie, monsieur le président.

    J'aimerais d'abord offrir mes pensées et mes prières et, je l'espère, celles du Comité, à la suite de la terrible nouvelle du diagnostic de cancer de Sa Majesté le Roi du Canada, le roi Charles III. Je sais que nos pensées accompagnent sa famille, ainsi que les familles du Canada atlantique, y compris, je crois, celle de notre président, car la région reçoit actuellement d'énormes quantités de neige. Je tenais donc à offrir les pensées et les prières du Comité à ces familles.

    J'aimerais également présenter un avis de motion. Je ne proposerai pas la motion, mais je souhaite présenter un avis de motion sur les vols de voitures. Comme nous le savons, au cours des huit dernières années, le nombre de vols de voitures a connu une augmentation spectaculaire dans notre pays. Au cours des trois dernières années en particulier, nous avons observé une augmentation spectaculaire du nombre d'indemnités versées par les compagnies d'assurances. En 2022…

     J'invoque le Règlement, monsieur le président.

     Oui, vous avez la parole, madame Michaud.

    Merci.

     Je m'explique mal pourquoi le Parti conservateur veut déposer un avis de motion sur les vols d'automobiles au Comité permanent de la sécurité publique et nationale, alors que celui-ci a déjà voté en faveur d'une motion sur les vols d'automobiles que j'ai déposée il y a quelques semaines. Je ne comprends pas cela. De plus, nous sommes censés étudier ce sujet dans quelques semaines, possiblement après l'étude du projet de loi C‑26. Je me questionne donc sur la nécessité de déposer un nouvel avis de motion sur ce même sujet.

    Merci.

    Je vous remercie, madame Michaud.

    Je ne peux pas vraiment me prononcer sur la pertinence d'une telle motion. M. Lloyd dispose de deux minutes. Il aurait probablement déjà terminé son intervention, mais la motion est recevable et je vais donc devoir permettre à M. Lloyd de la présenter.

    Au sujet du même rappel au Règlement, j'aimerais souligner que lors de l'avant-dernière réunion, nous avons eu un débat sur une motion concernant les vols de voitures. Cela me semble donc excessif et redondant.

    La motion est recevable.

    Monsieur Lloyd, vous avez la parole.

    Je vous remercie, monsieur le président.

    Il me reste une minute.

    Il y a eu une augmentation spectaculaire du nombre de vols de voitures, surtout au cours des trois dernières années. Mon avis de motion demandera au gouvernement de prendre des mesures immédiates…

    J'invoque le Règlement.

    Vous avez la parole, monsieur Julian.

    Monsieur le président, cela me trouble beaucoup. Nous avons décidé de bonne foi d'avoir une dernière série de questions. J'ai une tonne de questions à poser aux témoins.

    Demain, les conservateurs consacreront toute la journée de l'opposition à la question des vols de voitures. Comme Mme Michaud l'a dit, elle a déjà présenté une motion sur la question et elle a été adoptée par le Comité.

    Je ne considère pas qu'il s'agit d'une motion légitime présentée de bonne foi. J'y vois plutôt une tactique d'obstruction, que je ne crois pas appropriée, étant donné que des témoins ont utilisé leur temps et des contribuables canadiens ont dépensé leurs ressources pour tenir ces audiences sur un projet de loi qu'il est essentiel d'adopter, comme nous venons de l'entendre.

    Je ne pense pas que ce soit approprié. Cette motion est redondante. Si le député persiste à tenter de faire de l'obstruction au Comité, je devrai contester votre décision d'autoriser la présentation de cette motion, monsieur le président.

    Je vous remercie, monsieur Julian.

    Je vais présumer que M. Lloyd agit de bonne foi. Il a dit qu'il ne lui restait que 30 secondes. Ce n'est pas de l'obstruction. Il dispose de deux minutes et il peut les utiliser comme il le souhaite. Bien honnêtement, nous avons passé plus de temps à discuter de cette question.

    Monsieur Lloyd, nous allons présumer que vous êtes de bonne foi, et nous allons terminer cette discussion.

    Je vous remercie, monsieur le président.

    Je suis troublé par le fait qu'on m'ait empêché si souvent de présenter cette motion de bon sens. Il s'agit d'un problème immédiat. On m'a volé mon véhicule. On a tenté de me le voler. J'ai empêché un vol de voiture en Alberta pendant les vacances de Noël, car ce vol s'est produit juste devant mon domicile. Il s'agit donc d'un problème immédiat. Ces récidivistes doivent être tenus responsables de leurs actes.

    Nous pouvons mener une étude sur le sujet, mais les Canadiens veulent que des mesures immédiates soient prises à cet égard. Nous devons sévir contre ces récidivistes. Il en coûte à chaque famille canadienne 500 $ de plus par année en primes d'assurance. Je suis consterné qu'on m'ait empêché si souvent de présenter une motion de bon sens afin que nous puissions discuter du sujet à la Chambre et prendre des mesures concrètes à cet égard.

    Je vous remercie, monsieur le président.

    Je vous remercie, monsieur Lloyd.

    La parole est maintenant à Mme O'Connell. Elle a deux minutes.

    Je vous remercie, monsieur le président.

    Une fois de plus, les conservateurs font semblant de s'indigner devant les caméras. Après l'adoption du projet de loi C‑26, nous entamerons l'étude sur les vols de voitures, car c'est l'étude proposée par Mme Michaud que nous devions aborder après celle‑ci de toute façon. Je trouve aussi incroyablement ironique que…

    Monsieur le président, j'invoque le Règlement.

    J'ai la parole.

    C'est un rappel au Règlement, comme celui qui a eu lieu pendant son intervention.

    Monsieur Lloyd, vous avez la parole.

    Nous avons des témoins ici. Je pense qu'il est très important que nous les entendions, monsieur le président.

    Je vous remercie.

    Madame O'Connell, vous avez toujours la parole.

    Il vous reste une minute et demie.

    Je suis en fait très heureuse que mon collègue ait agi de la sorte, car cela montre l'immaturité dont les conservateurs font preuve chaque jour depuis que nous étudions le projet de loi C‑26. Ils n'ont pas posé une seule question.

    M. Brock a fait de l'obstruction l'autre jour, et je l'ai ensuite entendu demander en quoi consistait le sujet à l'étude et si c'était le premier jour de l'étude.

    Ils ne se soucient pas des questions liées à la sécurité.

    J'invoque le Règlement.

    Vous avez la parole, monsieur Brock, pour un rappel au Règlement.

    Je n'ai fait aucun commentaire lors de la dernière réunion. Je ne sais pas de quoi parle Mme O'Connell.

    Mme Jennifer O'Connell: Non, j'ai entendu…

    M. Larry Brock: Le compte rendu indiquera...

    Je vous remercie.

    Madame O'Connell, vous avez la parole.

    Je vous remercie

    Oui, laissons certainement le compte rendu indiquer, monsieur le procureur, que je l'ai entendu dire à M. Lloyd qu'il ne savait pas de quoi il était question.

    Monsieur le président, j'invoque le Règlement.

    Vous avez la parole.

    J'ai entendu toutes sortes de discussions en coulisses entre Mme O'Connell, M. Bittle et les membres de leur équipe. Si nous voulons laver notre linge sale en famille, allons‑y.

    Je vous remercie. Je ne suis pas certain qu'il s'agissait d'un rappel au Règlement.

    Madame O'Connell, vous avez la parole.

    J'invoque le Règlement.

    Je veux seulement savoir…

    Mesdames et messieurs, je vais prendre la parole.

    Tout le monde se plaint de ne pas avoir assez de temps. Nous perdons maintenant encore plus de temps avec les rappels au Règlement.

    Je comprends, mais il faut faire ces rappels au Règlement.

    C'est moi qui ai la parole, monsieur McKinnon. Le président est en train de parler. Je m'adressai à vous dans un instant.

    M. Ron McKinnon: Je m'excuse.

    Le vice-président (M. Doug Shipley): Je vous remercie.

    Mesdames et messieurs, si nous souhaitons conclure cette discussion... Le chronomètre est arrêté pour l'instant.

    Madame O'Connell, il vous reste un peu plus d'une minute.

    Nous allons d'abord entendre M. McKinnon, qui souhaite faire un rappel au Règlement.

    Vous avez la parole.

    Je me demandais simplement lesquels de nos quatre collègues conservateurs sont membres du Comité et lesquels sont des membres suppléants.

    J'aimerais savoir si les personnes qui ne sont pas membres du Comité peuvent faire des rappels au Règlement.

    Pour l'instant, le greffier m'informe que M. Lloyd, M. Motz et M. Brock font partie du Comité aujourd'hui.

    Madame O'Connell, vous avez la parole.

    Je vous remercie, monsieur le président.

    Une fois de plus, les conservateurs parlent de sévir contre la criminalité. M. Brock peut bien évoquer toute conversation qu'il prétend avoir entendue, car je vous garantis qu'elle ne s'est pas produite, mais je l'ai entendu dire qu'il ne savait même pas dans quel comité il venait faire de l'obstruction ou sur quelles questions la discussion portait.

    Il a été démontré très clairement que les conservateurs ont eu le temps de poser des questions, mais qu'ils ne se sont pas donné la peine de le faire.

    Je vais maintenant m'adresser aux témoins au sujet du projet de loi C‑26.

    Monsieur Shipley, vous avez parlé de l'importance de ce projet de loi. Vous avez donné l'exemple du piratage d'un gazoduc et de ce que cela implique pour les infrastructures essentielles, y compris pour les travailleurs de l'industrie de l'énergie. Que se passera‑t‑il si le Canada n'est pas prêt à faire face à une cyberattaque contre son industrie de l'énergie?

    Nous avons eu de la chance au cours de cette dernière attaque. C'est tout ce qu'on m'a dit publiquement. Nous ne sommes au courant de cette attaque que parce qu'un soldat américain l'a divulguée. Autrement, le public canadien ne serait pas au courant…

    Monsieur Shipley, je vais devoir vous demander de conclure rapidement, s'il vous plaît, car j'ai précisé que je n'accorderais pas plus de deux minutes.

    Vous avez la parole.

    Je voudrais revenir sur un point qui a été soulevé à propos des voitures.

    Les voitures modernes sont essentiellement des logiciels. Elles sont très faciles à voler parce qu'elles sont très faciles à pirater. Si vous voulez parler de quelque chose qui devrait vous empêcher de dormir, vous devriez mentionner qu'Elon Musk, de Tesla, fait des mises à jour par transmission sans fil et que chaque Tesla qui se trouve dans notre pays pourrait être bloquée. Il n'y a aucune loi, dans notre pays, pour les tenir responsable de prendre des mesures en matière de cybersécurité pour empêcher les vols ou, de façon plus générale, pour empêcher la cause réelle d'un accident majeur.

    Nous devons agir.

    Merci, monsieur Shipley.

    Je déteste interrompre les intervenants, mais nous disposons de très peu de temps.

    Madame Michaud, vous avez deux minutes. Veuillez débuter.

     Merci, monsieur le président.

    Madame Bahr‑Gedalia, vous avez parlé tout à l'heure d'instaurer un délai de 72 heures pour laisser aux entreprises le temps de signaler un incident au gouvernement.

    Dans la version actuelle du projet de loi C‑26, on dit que les incidents doivent être signalés dès qu'ils se produisent. Vous croyez que le délai que vous proposez pourrait donner un coup de pouce aux entreprises. Je pense aussi que ce délai de 72 heures serait bien, notamment pour gérer la paperasse supplémentaire qu'occasionnera ce projet de loi.

    En tant que représentante d'une chambre de commerce, vous parlez sûrement aux entreprises et devez connaître leur avis sur ce projet de loi. Qu'entendez-vous de leur part?

    Quels sont les arguments derrière la proposition de leur laisser un peu plus de temps?

    Je vous remercie de la question.

    Tout d'abord, lorsqu'une attaque survient, il faut du temps pour déterminer sa nature et sa portée. Cela ne peut se faire dans l'immédiat. Les 72 heures envisagées par nos membres commencent en fait à partir du moment où on est au courant de l'attaque.

    Cette proposition se fonde sur les recommandations des États-Unis, dans la Cyber Incident Reporting for Critical Infrastructure Act, ou CIRCIA, qui date de 2022. Elle est appliquée. Nous aimons tirer des leçons de nos partenaires qui appliquent les pratiques exemplaires.

    J'espère avoir répondu à votre question.

     Oui, merci beaucoup.

    Monsieur Shipley, tout à l'heure, vous avez donné l'exemple de l'Australie. Les représentants d'IBM Canada ont aussi parlé des normes internationales.

    Pouvez-vous nous donner un exemple de loi relative à la cybersécurité qui a été adoptée par un pays et que nous devrions lire? À mon avis, tout le monde s'entend pour dire que le Canada accuse un petit retard en matière de cybersécurité.

    Madame Michaud, vous avez eu vos deux minutes. Je suis désolé.

    Les témoins pourraient peut-être fournir cette réponse par écrit ou communiquer avec Mme Michaud après la réunion.

    Monsieur Julian, vous avez deux minutes.

    Je vais revenir à la question posée par Mme Michaud au sujet des pays qui ont adopté des modèles. Sur quels modèles devrions-nous nous pencher?

    Ma deuxième question s'adresse à M. Traoré et concerne la protection des informations confidentielles des commerçants. À quel point est-ce important que le projet de loi permette de protéger ces informations?

    C'est extrêmement important, et ce, à plusieurs égards.

    On peut penser à l'aspect socioéconomique. On connaît l'importance des données; on connaît leur valeur. Ce sont bien évidemment des données qu'il faut protéger. En effet, on ne veut pas qu'elles se retrouvent entre les mains de personnes qui ne sont pas autorisées à y avoir accès.

    Il s'agit effectivement de quelque chose que nous soutenons, en tant que compagnie et en tant qu'entité du Canada. C'est très important.

    Merci beaucoup.

    Je vais commencer par Mme Proctor.

    Quels pays ont les meilleurs modèles dont nous devrions nous inspirer?

    Nous pouvons nous inspirer d'un certain nombre de pays en fonction de leurs réactions à diverses activités, tout en étant conscients que la cybersécurité est un enjeu mondial. Bien que chaque pays ait ses champs de compétence, bon nombre des sociétés qui ont leur siège social au Canada et qui exercent leurs activités à partir d'ici sont sans contredit des multinationales. Je pense donc qu'il est tout à fait souhaitable de s'inspirer d'autres pays. Je vous encourage à commencer par tous nos alliés du Groupe des cinq.

    Merci.

    Madame Bahr-Gedalia, qu'en pensez-vous?

    Je ne peux que me faire l'écho de ces commentaires, car à peu près tout a été souligné et dit à cet égard. Cependant, j'aime toujours rappeler qu'il faut replacer la situation dans le contexte canadien tout en cherchant à harmoniser nos pratiques avec celles d'autres administrations.

    Merci.

    Allez‑y, monsieur Shipley.

    Nous faisons surtout des affaires avec les États-Unis, qui représentent la majeure partie du volume de nos échanges commerciaux. Nous avons intérêt à être sur la même longueur d'onde que notre principal partenaire commercial.

    Merci, monsieur Shipley.

    Le temps est écoulé.

    Je remercie les témoins. Je vous remercie de votre patience aujourd'hui.

    Chers collègues, notre temps est limité. Faisons une courte pause de cinq minutes, pendant que nous nous préparons pour la deuxième partie.

    Merci à tous.

    Je pense que nous sommes prêts à recommencer.

    Je veux simplement rappeler à tout le monde que le personnel est disponible jusqu'à 18 heures. Je tiens également à mentionner que nous ne nous fions pas à l'heure de cette horloge. Comme M. McKinnon le sait, elle n'est jamais exacte. Il est 17 h 24, mais nous devons nous arrêter à 18 heures pile, alors il nous reste environ 35 minutes.

    Je remercie les témoins d'être ici aujourd'hui. Nous accueillons Todd Warnell, chef de la sécurité de l'information chez Bruce Power; Kate Robertson, associée de recherche principale du Citizen Lab, à la Munk School of Global Affairs and Public Policy de l'Université de Toronto; et Matthew Hatfield, directeur général d'OpenMedia, qui se joint à nous par vidéoconférence.

    Merci à tous d'être parmi nous. Vous aurez cinq minutes chacun.

    Nous allons commencer par M. Warnell.

    Merci, monsieur le président et mesdames et messieurs les membres du Comité.

    Je m'appelle Todd Warnell et je suis le responsable de la sécurité de l'information à Bruce Power.

    Fondée en 2001, Bruce Power est la seule centrale nucléaire du secteur privé au Canada. Chaque année, elle produit environ le tiers de l'électricité de l'Ontario ainsi que des isotopes médicaux qui sauvent des vies et qui sont utilisés partout dans le monde pour lutter contre le cancer et stériliser le matériel médical.

    Je vous remercie de m'avoir invité à participer à votre examen du projet de loi C‑26. Aujourd'hui, je vais me concentrer sur la partie 2 du projet de loi, à savoir la Loi sur la protection des cybersystèmes essentiels.

    Je comparais devant le Comité pour faire valoir que la mise en œuvre du projet de loi C‑26 est d'une importance vitale pour la sécurité de tous les Canadiens. Le Canada a prospéré au cours des quatre dernières décennies grâce à des relations mondiales relativement stables et prévisibles. Cependant, cette période de stabilité et de prévisibilité est en train de changer dans un contexte de tensions géopolitiques mondiales et de dynamiques mondiales en évolution. La prestation sûre et fiable des services essentiels sur lesquels les Canadiens comptent au quotidien n'est pas, et ne peut pas devenir, un enjeu politique.

    L'industrie nucléaire canadienne a constaté et démontré que, grâce à la collaboration avec les gouvernements, les organismes de réglementation, le secteur privé, le milieu universitaire et les Canadiens, nous pouvons parvenir à établir et à réglementer des cybersystèmes cruciaux pour la prestation sûre et fiable des services essentiels.

    La Loi sur la protection des cybersystèmes essentiels établirait un cadre général à partir duquel tous les secteurs essentiels, en collaboration avec le gouvernement et les organismes de réglementation, pourraient élaborer et mettre en œuvre une réglementation fondée sur le risque et le rendement afin d'améliorer la fiabilité et la résilience des services essentiels. Le Comité devrait envisager des mécanismes garantissant que des freins et contrepoids appropriés seront intégrés à toute directive visant à remédier aux risques ou aux menaces pour les cybersystèmes essentiels du Canada.

    L'harmonisation du cadre de cybersécurité du Canada dans les secteurs essentiels, par l'entremise du projet de loi C‑26, ferait également concorder notre approche avec celle de nos alliés les plus proches. Nous éviterions ainsi d'accuser du retard alors que nos alliés prennent des mesures pour améliorer leurs programmes nationaux respectifs de cyberrésilience et pour stimuler l'innovation qui peut améliorer nos capacités collectives à nous protéger, à détecter de nouvelles menaces et à y réagir.

    Parallèlement au projet de loi C‑26, nous exhortons les législateurs à examiner les modifications à la Loi sur le SCRS, et à en tenir compte, afin de permettre à la communauté canadienne du renseignement d'échanger des renseignements sur les cybermenaces et de coopérer en la matière avec les exploitants des secteurs public et privé du Canada de manière proactive et préventive.

    Je vous remercie de me donner l'occasion de m'adresser au Comité aujourd'hui.

    Je me ferai un plaisir de répondre à vos questions.

    Merci, monsieur Warnell.

    La prochaine intervenante sera Mme Robertson.

    Bonjour.

    Je m'appelle Kate Robertson. Je suis chercheuse au Citizen Lab, qui est basé à la Munk School de l'Université de Toronto.

    Mes commentaires d'aujourd'hui s'appuient sur les recherches du Citizen Lab sur la politique de cybersécurité et de télécommunications, la sécurité des données, ainsi que les mécanismes de transparence et de reddition de comptes dans la relation entre les gouvernements et les fournisseurs de services de télécommunications. Mon mémoire, qui a été présenté au Comité, a été rédigé avec Lina Li, du département de droit de l'Université McGill, et fournit une analyse du projet de loi C‑26 selon la Charte. La troisième partie de notre mémoire énonce les amendements que nous recommandons, en nous appuyant sur un rapport sur le projet de loi C‑26 rédigé par mon ancien collègue, M. Christopher Parsons.

    Nous recommandons des amendements clés qui offriraient des garanties constitutionnelles dans le texte de loi. Je ne les aborderai pas tous dans ma déclaration.

    Pour protéger la primauté du droit et la liberté d'expression, les décrets adoptés en vertu de la loi doivent être publiés dans la Gazette du Canada. Toute circonstance exceptionnelle qui pourrait justifier la confidentialité de ces décrets devrait être définie expressément et rigoureusement dans le texte de loi et être limitée dans le temps.

    Pour garantir les droits à la vie privée, le projet de loi doit prévoir des mesures de protection explicites pour les renseignements personnels, des exigences en matière d'avis et un contrôle resserré de la communication et de l'utilisation des renseignements personnels et confidentiels. Vous trouverez les libellés proposés pour ces amendements dans les recommandations 13, 14, 16, 19, 28 et 29 de notre mémoire.

    Nous réitérons également, comme d'autres l'ont fait, que les décrets adoptés doivent être proportionnels et raisonnables. En particulier, le texte devrait préciser explicitement qu'un décret forçant l'adoption de normes particulières ne peut servir à compromettre l'intégrité d'un service de télécommunications, par exemple en compromettant les normes de chiffrement. Les libellés pour ces amendements figurent aux recommandations 1 et 5 de notre mémoire.

    Il convient de souligner que ces amendements sont compatibles avec l'objectif du gouvernement de jouer un rôle actif dans la protection des réseaux canadiens. Il ne s'agit pas d'un bras de fer entre des intérêts publics contradictoires. C'est important, car les tribunaux n'ont pas tendance à trouver raisonnable la violation inutile des droits constitutionnels. Le désir de faire adopter le projet de loi rapidement par le Parlement est compréhensible, mais si ces questions ne sont pas réglées maintenant par les législateurs, le projet de loi pourrait bien être retardé pendant des années par des litiges devant les tribunaux, ce qui, au bout du compte, nécessitera plus de temps pour rectifier le tir par la voie législative.

    Les amendements visant à limiter le secret et à exiger la proportionnalité renforcent également l'objectif du gouvernement de protéger nos réseaux. Je souscris à l'affirmation entendue la semaine dernière, selon laquelle la cybersécurité est un sport d'équipe, et je suis d'accord avec M. Warnell sur le même sujet. Une cybersécurité efficace intègre l'expertise de divers intervenants, y compris les organismes de réglementation, le secteur privé, la société civile, les chercheurs universitaires et en sécurité, ainsi que les journalistes spécialisés dans les données.

    Le rapport de l'an dernier de M. Parsons sur le projet de loi C‑26, ainsi que l'étude de ce comité, montre que le secteur privé et les experts indépendants peuvent indiquer une voie à suivre pour améliorer le projet de loi sans effriter son mandat principal. La transparence publique sera un moyen efficace d'obtenir l'expertise de ces intervenants au fur et à mesure que la loi sera mise en œuvre.

    Le récent rapport du Citizen Lab, Finding You, qui se trouve à l'annexe C de notre mémoire, souligne à quel point le secret réglementaire a mené à de graves « menaces liées à la géolocalisation associées aux réseaux contemporains. » Le rapport documente des faiblesses persistantes au cœur des réseaux de communication mobile mondiaux. On peut y lire que « la réglementation, la reddition de comptes et la transparence défaillantes sont une bénédiction pour la surveillance de la géolocalisation en réseau. » Autrement dit, lorsque les normes et la réglementation visant les réseaux sont tenues inutilement secrètes, l'insécurité du réseau s'envenime.

    De même, faute de proportionnalité et de transparence, le projet de loi C‑26, s'il n'est pas amendé, pourrait permettre à des gouvernements successifs de miner la sécurité des réseaux et, en fin de compte, la sécurité humaine, au moyen de décrets qui fragiliseraient les normes de cryptage des réseaux de télécommunications.

    Madame Robertson, puis‑je vous demander de conclure? Votre temps est écoulé.

    Avez-vous encore beaucoup d'observations à faire, ou avez-vous presque terminé?

    Mon horloge est en retard par rapport à la vôtre. Je croyais qu'il me restait 20 secondes, mais je vais garder le reste de mes commentaires pour la période de questions.

    Je suis désolé. Merci.

    Nous allons maintenant entendre M. Hatfield, par vidéoconférence.

    Bonjour. Je m'appelle Matt Hatfield, et je suis le directeur général d'OpenMedia, une communauté de 230 000 personnes au Canada qui travaillent ensemble pour un Internet ouvert, accessible et sans surveillance. Je me joins à vous depuis le territoire non cédé des nations Stó:lō, Tsleil-Waututh, Squamish et Musqueam.

    J'aimerais nous poser à tous une question: qu'est‑ce que la cybersécurité signifie pour vous dans votre rôle de personne, de membre d'une famille et de citoyen? Pour moi, et pour de nombreuses personnes partout au Canada, notre cybersécurité est indissociable de notre vie privée, car une grande partie de notre vie quotidienne se déroule en ligne — beaucoup plus depuis la COVID. Aucun d'entre nous ne se sent en sécurité à l'idée d'être espionné dans notre vie quotidienne, que ce soit par des pirates informatiques, des États hostiles ou notre propre gouvernement. Pour la plupart des Canadiens, la cybersécurité est intimement liée au sentiment de sécurité personnelle.

    L'ébauche du projet de loi C‑26 que vous avez devant vous menace cette sécurité. Elle crée d'énormes risques pour notre vie privée, puisqu'elle ne prévoit aucune reddition de comptes ou surveillance de base pour garantir que les décideurs qui se voient accorder ces pouvoirs ne les utilisent pas à mauvais escient contre nous. Vous devez rectifier le tir.

    La première pièce à conviction est l'article 15.2 proposé pour la Loi sur les télécommunications, qui accorde au gouvernement le pouvoir d'ordonner aux entreprises de télécommunications « de prendre toute mesure ou de s'abstenir de prendre toute mesure. » Rien ne balise ces décisions: aucun critère de nécessité, de proportionnalité et de caractère raisonnable ne doit être appliqué, et aucune exigence de consultation n'est prévue. Le gouvernement pourrait se servir de ces pouvoirs pour ordonner aux entreprises de télécommunications de décoder le chiffrement dont nous avons besoin pour nous protéger contre les pirates, les fraudeurs et les voleurs. Ces pouvoirs pourraient même servir à déconnecter indéfiniment les citoyens ordinaires d'Internet, peut-être parce que notre grille-pain intelligent ou un vieux téléphone donné à nos enfants est détourné par un réseau de zombies hostile. Si rien n'exige que ces arrêtés soient proportionnels ou limités dans le temps, les risques seront bien réels.

    Il y a pire. Le gouvernement serait autorisé à tenir ces arrêtés — en plus de leur contenu, cela va de soi — très secrets indéfiniment. En outre, même si ces décrets sont contestés dans le cadre d'un contrôle judiciaire, le ministre pourrait présenter des preuves secrètes à des audiences secrètes, ce qui va à l'encontre de la transparence judiciaire fondamentale.

    Rien ne justifie un tel système. Nos proches alliés en Australie et au Royaume-Uni ont montré qu'on peut renforcer la cybersécurité sans compromettre les droits fondamentaux. Pourquoi les Canadiens mériteraient-ils moins de garanties?

    Ce débat a lieu alors que le Parlement s'efforce de renforcer nos lois sur la protection des renseignements personnels au moyen du projet de loi C‑27. Je dois vous poser cette question: les représentants du gouvernement savent-ils ce sur quoi leurs collègues travaillent?

    Nous reconnaissons toutefois qu'il existe des problèmes très réels que le projet de loi C‑26 tente de résoudre. Nous appuyons les principes derrière les objectifs énoncés par le gouvernement. Devrions-nous protéger l'infrastructure numérique? Bien sûr. Devrions-nous priver les États hostiles de leur équipement représentant des risques? Oui. Devrions-nous forcer les grandes banques et les entreprises de télécommunications à mieux protéger leurs clients? Sans contredit. Cependant, nous pouvons atteindre ces objectifs sans sacrifier nos droits ni une gouvernance équilibrée et efficace. Parlons de la façon de procéder.

    Premièrement, il faut limiter les nouveaux pouvoirs du gouvernement. Des critères de nécessité, de proportionnalité et de raisonnabilité solides sont une nécessité absolue. Un chiffrement indécodable est la base sur laquelle repose toute notre vie privée, et il faut donc formellement interdire au gouvernement d'utiliser ces pouvoirs pour décoder le chiffrement.

    Deuxièmement, les droits à la vie privée doivent être garantis. Les renseignements personnels doivent être clairement définis comme étant confidentiels et il doit être interdit de les communiquer à des États étrangers, qui ne sont pas assujettis aux freins et contrepoids prévus dans le projet de loi C‑26.

    Troisièmement, le gouvernement ne doit pas avoir l'autorisation de dissimuler l'utilisation de ses nouveaux pouvoirs sous un voile permanent de mystère.

    Quatrièmement, lorsque l'utilisation de ces pouvoirs sera contestée devant les tribunaux, aucune preuve secrète ne devra être autorisée. Des avocats spéciaux devraient être nommés pour évaluer toutes les preuves rigoureusement.

    Cinquièmement, tout renseignement que le Centre de la sécurité des télécommunications, ou CST, obtient au sujet des Canadiens en vertu du projet de loi C‑26 devrait être utilisé exclusivement pour le volet défensif de son mandat relatif à la cybersécurité. J'espère que vous vous rappelez tous que l'Office de surveillance des activités en matière de sécurité nationale et de renseignement, ou OSSNR, l'organisme explicitement établi par le Parlement pour surveiller le CST, se plaint depuis des années du fait que le CST ne lui rend pas de comptes. Comme il est extrêmement difficile de tenir les représentants du CST responsables de leurs pouvoirs existants, je vous demande de ne pas leur accorder de nouveaux pouvoirs étendus sans exigences strictes et claires pour l'utilisation des renseignements et pour des mécanismes de reddition de comptes.

    Comme d'autres l'ont dit, lorsque la cybersécurité fonctionne, c'est un sport d'équipe. Elle nécessite que nous y adhérions tous. Nous devons tous faire partie de l'équipe du Canada et nous devons tous faire confiance au cadre réglementaire qui nous régit. Il n'y a aucune chance que cette confiance règne avec le projet de loi C‑26 dans sa forme actuelle. Pour que le projet de loi donne les résultats escomptés, il doit reposer sur une base alliant une transparence, une proportionnalité et des vérifications indépendantes adéquates.

    Nous allons vous remettre sous peu une pétition signée par près de 10 000 Canadiens, des signataires qui demandent cette protection de base. Nous vous exhortons à écouter ces électeurs et à adopter l'ensemble des amendements que la société civile vous a suggérés pour que ce projet de loi prenne la forme qui s'impose.

    Merci. Je me ferai un plaisir de répondre à vos questions.

    Je remercie tous les témoins.

    Nous allons commencer par M. Lloyd avec un tour de six minutes.

    Merci, monsieur le président.

    Je remercie les témoins d'être des nôtres aujourd'hui.

    Mes questions s'adresseront principalement à Mme Robertson et à M. Hatfield.

    Votre témoignage d'aujourd'hui me préoccupe énormément, compte tenu du fait que le gouvernement a lui-même été victime de piratage. Affaires mondiales a été la cible de pirates récemment.

    Je pense que c'est l'un des dilemmes de la centralisation croissante des renseignements. L'objectif du projet de loi C‑26 consiste à recueillir des renseignements sur les plans de cybersécurité des opérateurs désignés. Est‑il garanti que, lorsque le gouvernement recueille tous ces renseignements très confidentiels et puissants, il est mieux équipé que certaines des meilleures entreprises du monde pour protéger ces renseignements contre les pirates informatiques?

    L'accumulation de données dans une base de données comporte des risques de sécurité. Je ne peux pas me prononcer sur l'ampleur de ces risques.

    Vos préoccupations sont liées aux amendements que nous avons soulevés dans notre mémoire concernant le traitement des données. À l'heure actuelle, les pouvoirs d'échange de renseignements au sein du gouvernement canadien qui seraient conférés par le projet de loi C‑26, s'il est adopté sans amendement, sont extrêmement vastes.

    Nous avons proposé diverses limites. Nous avons notamment recommandé que l'utilisation des renseignements partagés soit limitée aux objectifs de cybersécurité, et non à des objectifs superposés après coup. Les limites de conservation devraient être strictement définies pour répondre à la préoccupation que vous soulevez.

    Il est certes compréhensible qu'il soit nécessaire de procéder à un certain examen de renseignements critiques pour remplir le mandat établi, mais il faudrait définir cet examen de façon très stricte dans le cadre du projet de loi.

    Souhaitez-vous ajouter quelque chose, monsieur Hatfield?

    J'abonde dans le même sens que Mme Robertson.

    Je pense que la transparence est l'alliée d'une cybersécurité efficace. Beaucoup d'erreurs sont commises lorsque le stockage se fait dans l'obscurité. Plutôt que de permettre à nos services de sécurité d'aspirer le maximum de renseignements et de s'asseoir dessus, je pense que le fait de fixer des limites en matière de conservation des renseignements strictement nécessaires et de suppression des autres renseignements à un certain moment permet de minimiser le risque de transfert de renseignements.

    Pensez-vous que le projet de loi tel que rédigé renvoyé à notre comité sans amendement protégera la vie privée des Canadiens et la sécurité de notre secteur de la cybersécurité?

    Je pense que ce projet de loi compromettra nettement plus notre vie privée, en fait.

    Voilà qui est très préoccupant.

    Vous avez énuméré les amendements que vous proposez. Quels seraient, selon vous, les amendements les plus efficaces pour garantir la protection du droit à la vie privée des Canadiens et la sécurité de tous les renseignements que le gouvernement prétend recueillir?

    Je pense que les tests de nécessité et de proportionnalité utilisés sont très importants pour veiller à ce qu'on recueille des renseignements qu'à des fins appropriées. Je pense que l'adoption de telles mesures, qui s'apparentent à ce qui se fait en Australie, permettra d'atténuer considérablement certains des préjudices potentiels du projet de loi.

    Merci, monsieur Hatfield.

    Allez‑y, madame Robertson.

    En fin de compte, les tribunaux s'appuient sur un mécanisme efficace de responsabilité et d'examen en vertu de la Constitution. Dans le cas présent, il est difficile de cibler un amendement en particulier. Les tribunaux cherchent à bénéficier d'un système imbriqué qui permet de mener des examens efficaces pour protéger la vie privée des Canadiens.

    J'ai énuméré divers amendements qui viendraient soutenir ce mécanisme d'examen dans mes remarques liminaires. N'importe lequel ne saurait fonctionner seul, cela dit. Nous estimons notamment que les exigences en matière de notification sont un outil important. Elles permettent aux personnes dont les renseignements personnels et confidentiels ont été partagés de savoir que cela s'est produit afin de pouvoir le contester efficacement devant un tribunal.

    Ce n'est qu'un exemple des amendements que nous avons soulevés dans notre rapport pour cette raison.

    Merci.

    Monsieur Hatfield, l'une de vos remarques m'a profondément troublé.

    Le gouvernement a proposé des mesures législatives afin de se doter de nouveaux pouvoirs considérables à la suite d'incidents de cybersécurité. Récemment, le gouvernement a utilisé les pouvoirs législatifs à sa disposition pour geler les comptes bancaires de citoyens.

    Je crains fort que si nous ne mettons pas en place les freins et contrepoids nécessaires dont vous parlez, nous puissions donner au gouvernement des pouvoirs extraordinaires. Il pourrait décider d'exclure des citoyens d'Internet, qui, comme nous le savons, est devenu si essentiel au XXI^e siècle non seulement pour participer à notre société démocratique et à notre économie, mais aussi pour être en contact avec nos proches et pour travailler. Cela m'inquiète gravement. Je tiens à vous dire que nous partageons vos inquiétudes et que nous examinerons la question de plus près.

    J'aimerais partager mon temps de parole avec mon collègue, M. Motz, monsieur le président.

    Merci.

    Merci, monsieur le président.

    Je sais que je vais agacer le Comité, mais les Canadiens sont plus agacés par le problème de la Loi sur les mesures d'urgence. Nous en avons déjà parlé.

    J'aimerais déposer la motion suivante, monsieur le président:

    J'invoque le Règlement.

    Un instant, je vous prie, monsieur Motz. Nous avons un rappel au Règlement.

    Allez‑y, monsieur McKinnon.

    À première vue, cette motion semble être essentiellement la même que celle que M. Motz vient de proposer. Cette motion a déjà été proposée et nous avons voté pour l'ajournement du débat à ce sujet.

    Je ne pense pas que suffisamment de temps se soit écoulé depuis. J'estime que cette motion est répétitive et redondante, et qu'elle devrait donc être déclarée irrecevable.

    Merci, monsieur McKinnon.

    Je ne l'ai même pas lue, alors je ne peux pas me prononcer là‑dessus pour le moment.

    Souhaitez-vous ajouter quelque chose, monsieur Brock?

    M. McKinnon pourrait peut-être permettre à notre collègue de lire la motion en totalité avant de donner son opinion à son sujet.

    Oui. Nous ne savons pas à quel point elle diffère de l'autre motion, monsieur McKinnon.

    Allez‑y, monsieur Motz.

    Merci.

    Je poursuis:

    Comme je l'ai déjà dit, monsieur le président...

    J'invoque le Règlement.

    Nous avons un rappel au Règlement, monsieur Motz. Un instant, je vous prie.

    Allez‑y, madame O'Connell.

    Maintenant que nous avons entendu l'intégralité de la motion, je partage l'avis de M. McKinnon. Même s'il s'agit d'une motion différente de celle qu'il a déjà présentée, la seule différence réside dans l'échéancier. J'estime donc qu'elle est trop semblable à une motion sur laquelle nous avons déjà tranché et qu'elle devrait donc être déclarée irrecevable.

    Merci, madame O'Connell.

    Pourriez-vous nous donner un moment, je vous prie? Le greffier tente de... De quelle motion s'agissait‑il?

    Je ne crois pas que de tels commentaires désobligeants soient nécessaires, madame O'Connell.

    J'ai ri parce que vous ne savez pas quelle motion vous déposez.

    Je ne dépose rien. Je suis le président.

    Le greffier est en train de chercher la motion, car il ignore la réponse. Qu'y a‑t‑il de si drôle, madame O'Connell?

    Je trouve cela drôle que vous soyez si désorganisés dans votre propre obstruction.

    Est‑ce nous qui sommes désorganisés ou vous qui tentez de camoufler des choses?

    Camoufler quoi exactement? Vous ne voulez pas parler de cyber...

    À l'ordre.

    Vous ne voulez pas que les Canadiens en apprennent davantage sur la Loi sur les mesures d'urgence.

    Voulez-vous que je lise ce que votre mairesse a dit...

    À l'ordre, je vous prie.

    La journée a été longue pour tout le monde. À l'ordre, je vous prie.

    Cette nouvelle motion est-elle la motion 1.2, monsieur Motz?

    Je n'ai pas cette information sous les yeux, mais il s'agit de la motion qui prévoit une étude de six réunions.

    Et votre dernière motion était...

    C'était la motion 1.1.

    Vous demandez donc essentiellement un nombre différent de réunions.

    Oui.

    D'accord. Je crois qu'il s'agit d'une différence suffisante.

    Poursuivez, monsieur Motz.

    J'invoque le Règlement.

    Je conteste la décision de la présidence et je demande un vote par appel nominal.

    Nous allons procéder à un vote par appel nominal.

    Monsieur le président, avant de commencer, pouvez-vous rappeler à tout le monde que, si j'ai bien compris, un « non » signifie qu'on ne souhaite pas maintenir la décision de la présidence?

    Je vais demander au greffier de clarifier les choses.

    J'ai déclaré que la motion était recevable.

    La question est la suivante: Plaît‑il au Comité de maintenir la décision de la présidence?

    (La décision de la présidence est cassée par 7 voix contre 3.)

    Allez‑y, monsieur Julian.

    J'invoque le Règlement, monsieur le président.

    Il ne nous reste que 11 minutes. Je sais que nous devons conclure nos travaux à 18 heures. C'est du moins le cas pour la majorité d'entre nous. Je propose que nous divisions le temps qu'il nous reste entre les trois partis qui n'ont pas encore pu poser de questions. Peut-être pourrions-nous leur donner trois minutes chacun.

    D'accord. Je vois qu'il reste 10 minutes. Il est 17 h 50, alors nous allons donner cinq minutes à chaque parti.

    Cela vous semble‑t‑il juste, monsieur Julian?

    Eh bien, cela nous amènerait à 18 h 5...

    Oh, pardonnez-moi. Je reconnais bien là mes bons calculs conservateurs.

    Chaque parti disposera donc de deux minutes et demie ou de trois minutes.

    Nous commençons par vous, madame O'Connell.

    Merci, monsieur le président. J'aimerais également remercier les témoins d'être des nôtres.

    Malheureusement, nous constatons à nouveau à quel point les conservateurs ne prennent pas la cybersécurité au sérieux...

    J'invoque le Règlement, monsieur le président.

    Un instant, je vous prie, madame O'Connell.

    Allez‑y, monsieur Motz.

    Vous savez, il est plutôt intéressant d'entendre les collègues d'en face...

    [Inaudible]

    Votre tour viendra si vous souhaitez prendre la parole, monsieur Bittle.

    Vous n'avez pas la parole, monsieur Bittle.

    Vous non plus.

    À l'ordre, je vous prie, messieurs. La séance est presque terminée.

    Rendons-nous au fil d'arrivée.

    Vous pouvez demander à la présidence de vous donner la parole si vous voulez vous exprimer.

    Je reviens sur mon rappel au Règlement, monsieur le président. Les commentaires de Mme O'Connell quant à notre degré de préoccupation sur la cybersécurité sont vraiment surprenants. Je pense qu'ils ne sauraient être plus éloignés de la vérité. Le fait est que...

    Ceci est un point de débat, monsieur le président.

    Non, pas du tout. Je fais un commentaire. Je vous prie...

    Il s'agit littéralement d'un point de débat.

    À l'ordre, je vous prie, monsieur Motz. Venez‑en rapidement au fait.

    Souhaitez-vous soulever un point en particulier?

    Oui.

    Le fait que Mme O'Connell parle en notre nom est une honte pour le Parti conservateur du Canada. Elle ne parle pas en notre nom. Nous prenons cet enjeu très au sérieux et nous verrons...

    Merci, monsieur Motz.

    Allez‑y, madame O'Connell.

    Merci.

    Je n'ai dépensé que 12 secondes de mon temps. J'ai regardé l'heure.

    À nouveau, j'aimerais m'excuser auprès des témoins par l'entremise de la présidence...

    Un instant, je vous prie, madame O'Connell. Nous nous étions entendus pour diviser les neuf dernières minutes également, alors nous continuerons à les diviser au fur et à mesure.

    Combien de minutes reste‑t‑il?

    J'ai pris 22 secondes de mon temps, que l'on a interrompu avec des rappels au Règlement, alors j'ai trois minutes.

    Que dites-vous, exactement? Souhaitez-vous prendre le temps du Bloc et du NPD, ou souhaitez-vous diviser le temps qu'il reste?

    Je dispose de trois minutes. C'est ce dont nous avions convenu. Si votre parti souhaite continuer à m'interrompre pour m'empêcher de parler...

    Je suis le président, madame O'Connell. Je n'ai pas de parti pris.

    ... alors cela prouve ce que j'ai dit. Votre parti se fiche éperdument de la cybersécurité et des enjeux liés à la criminalité et à la sécurité au pays.

    Allez‑y. Prenez de mon temps. Interrompez-moi. Faites-moi taire.

    Vous ne faites que gaspiller votre temps. Je n'essaie pas du tout de vous faire taire. Je vous laisse parler librement. Tout le monde vous écoute.

    Alors je vais continuer. J'ai utilisé 22 secondes de mes trois minutes. Si vous essayez de me faire taire...

    Quelqu'un ici pense‑t‑il que j'essaie de la faire taire?

    Tout le monde se fiche de votre sondage, monsieur le président. Veuillez diriger cette réunion comme un président digne de ce nom. On m'a donné trois minutes...

    J'invoque le Règlement, monsieur le président.

    Vous avez la parole, monsieur Brock.

    C'est absolument répugnant et antiparlementaire à bien des égards. Ces attaques ad hominem contre notre président et les membres du parti conservateur sont déplorables, et les Canadiens observent le comportement de Mme O'Connell et de M. Bittle. La seule personne pour laquelle nous avons du respect en ce moment est M. McKinnon. Il prend réellement les choses au sérieux.

     Merci, monsieur Brock.

    Allez‑y, madame O'Connell. Vous pouvez poursuivre.

    Merci. Je vais continuer.

    Les conservateurs font le travail à ma place en montrant à quel point ils manquent de sérieux.

    Monsieur Warnell, je vais essayer de poser au moins une question pour qu'elle figure au compte rendu. J'aimerais dire à tous nos témoins que nous sommes très intéressés par les amendements. Certaines personnes ont affirmé que des changements pourraient être apportés pour améliorer ce projet de loi, mais globalement, nous devons élaborer un plan de cybersécurité pour les infrastructures essentielles. Nous sommes tout à fait ouverts à l'apport d'amendements et à la tenue de discussions sur les moyens d'améliorer ce projet de loi. Toutefois, si nous n'entendons pas de témoignages, si nous ne suivons pas ce processus, si aucune question n'est posée et si aucun amendement n'est proposé, nous ne pourrons pas proposer ces amendements au gouvernement. Cette petite manifestation, cette fausse indignation, est très décevante, car les infrastructures essentielles sont en danger.

    Monsieur Warnell, je viens moi‑même d'une collectivité qui héberge une centrale nucléaire et ses habitants partagent les inquiétudes relatives au risque pour les infrastructures essentielles, au nucléaire et aux chaînes d'approvisionnement. Au tout début, vous avez évoqué le risque pour les patients atteints de cancer lié à la production d'isotopes essentiels. Pourriez-vous parler non seulement de l'infrastructure essentielle, mais aussi des éléments situés en amont de la chaîne d'approvisionnement, si le manque de maturité de certains députés ne nous permet pas de mener à bien la procédure visant à autoriser les amendements et les témoignages?

    Madame O'Connell, pourrions-nous rester professionnels et cesser les attaques personnelles contre les personnes présentes dans cette salle?

    Monsieur le président, vous n'êtes pas l'arbitre de mes propos. Il s'agit d'une question parlementaire.

    Je pense, en fait, que c'est mon rôle.

    Il me reste une minute et j'aimerais que le témoin réponde.

    Le vice-président (M. Doug Shipley): Non, il vous reste 18 secondes, selon le greffier. Il surveille le temps.

    Mme Jennifer O'Connell: Non, j'ai parlé pendant deux minutes. Vous décomptez les interruptions des conservateurs de mon temps de parole.

    J'aimerais que M. Warnell, qui est resté assis là pendant toute la durée de cette réunion, réponde à ma question sur la sûreté et la sécurité des infrastructures essentielles dans les collectivités qui hébergent une centrale nucléaire.

    Restons civilisés entre nous, s'il vous plaît.

    Bon sang, je n'ai que faire de votre opinion sur les commentaires que j'ai formulés pour que nous puissions parler de l'infrastructure essentielle dans les communautés qui hébergent une centrale nucléaire.

    Je m'adressais à tout le monde, madame O'Connell. Si vous pensez que mes propos étaient dirigés contre vous, il y a peut-être un problème, mais je m'adressais à l'ensemble de notre comité pour que...

    Vous avez peut-être un problème avec moi en particulier.

    Pourriez-vous cesser de m'interrompre, madame O'Connell?

     Vous avez interrompu mon temps.

    Le vice-président (M. Doug Shipley): Silence, s'il vous plaît.

    Mme Jennifer O'Connell: Vous avez interrompu mon temps de parole, monsieur le président, à maintes reprises.

    Le vice-président (M. Doug Shipley) Silence, s'il vous plaît.

    Mme Jennifer O'Connell: Il est curieux que vous n'interrompiez pas les députés conservateurs masculins, mais la seule femme qui pose des questions de ce côté...

    D'accord, cette réunion devient tout simplement ridicule.

     La séance est levée.