(English version available here)

Lors de son annonce en 2019, la Charte numérique du Canada promettait de garantir la sécurité des Canadiens en ligne. Pourtant, il semble qu’elle soit devenue une version législative du « vaporware » – un logiciel annoncé, mais qui ne sera jamais commercialisé.

Aucun des projets de loi sous-jacents à la charte n’est devenu une loi. Le gouvernement a même refusé dans un premier temps de communiquer de nombreux amendements législatifs à la commission parlementaire chargée de les étudier.

Les décisions d’Ottawa en matière de financement et son attitude à l’égard de la transparence montrent clairement que ses priorités sont ailleurs. Le gouvernement agit souvent pour protéger ses propres intérêts – plutôt que ceux des Canadiens – lorsqu’il se pose en faveur de la sécurité en ligne.

The critical shortage of cybersecurity expertise

Canada’s fledgling cybersecurity centre must do more collaborating and educating

La cybercriminalité au temps de la COVID-19

Transformer les défis liés à la cybersécurité en opportunités économiques

Après que des cyberattaques ont compromis plus de 11 000 dossiers à l’Agence du revenu du Canada en 2020, l’agence a réagi en renforçant sa déclaration de confidentialité pour le service de déclarations électroniques des revenus IMPÔTNET afin de se dégager de toute responsabilité en cas d’atteintes futures à la sécurité des données.

Les forces de l’ordre ont également eu du mal à s’adapter aux nouvelles cybermenaces. Il y a cinq ans, le gouvernement avait promis un site de signalement centralisé pour aider à lutter contre l’augmentation des fraudes en ligne, qui atteignent de nouveaux sommets année après année. Aujourd’hui, ce site est encore dans sa phase de test bêta et a plus de deux ans de retard sur son échéancier initial.

Des ressources mal réparties

La GRC gère le Système national de signalement de la cybercriminalité et de la fraude avec seulement 105 employés pour l’ensemble du pays et ne compte aucun enquêteur en cybercriminalité en Saskatchewan, au Manitoba ou dans les Maritimes, selon une réponse du gouvernement à ma demande d’accès à l’information.

En revanche, l’annuaire en ligne des employés fédéraux indique actuellement 102 employés dont le titre de poste comprend « médias sociaux » et près de 4000 autres dont le titre de poste comprend « communications ».

Les dépenses du Canada en matière de sécurité numérique se sont également avérées inefficaces. Par exemple, le Programme gouvernemental de certification en matière de cybersécurité, doté d’une enveloppe de 28,5 millions de dollars et lancé officiellement en 2020 pour les petites et moyennes entreprises, n’avait émis que 41 certificats en août 2023 – alors qu’il en avait promis 5000.

La tendance est à la baisse : seuls deux certificats ont été attribués en 2023. Malgré ces résultats médiocres, le gouvernement a annoncé un programme de certification en matière de cybersécurité pour les contrats de défense, doté d’un budget de 25 millions de dollars.

Des mesures désuètes

Les mesures de sécurité numérique du Canada ont également été critiquées pour leur caractère obsolète et pour ne pas être à la hauteur de celles des pays pairs. Les États-Unis, l’Australie et le Royaume-Uni ont adopté des lois relatives à la cybersécurité des infrastructures critiques. Ce n’est pas encore le cas du Canada.

La proposition de loi canadienne dans ce domaine est en suspens depuis plus d’un an et s’inspire d’une loi européenne déjà remplacée. La proposition de loi ne mentionne pas les rançongiciels (ransomware), alors que plus de la moitié des signalements au système de signalement de la cybercriminalité de la GRC concernent cette cyberactivité malveillante qui bloque l’accès à des sites informatiques jusqu’à ce que de l’argent soit versé.

Quant à la proposition de loi sur la protection de la vie privée contenue dans la Charte numérique, elle ne mettrait pas à jour le modèle de consentement obsolète constamment perpétué dans les avis de confidentialité des sites web et des applications. Elle n’imposerait aucune contrainte significative sur les transferts de données à l’étranger. Elle ne prévoit pas de mesures spécifiques significatives pour la protection des enfants. Il est également déplorable qu’elle ne soumette pas la conduite des gouvernements à une réglementation plus stricte. Elle ne couvre que le secteur privé.

Une gestion contradictoire

L’ampleur des problèmes auxquels le Canada est confronté en ligne est aggravée par les contradictions dont font preuve de nombreuses institutions fédérales à l’égard de la transparence dans l’utilisation des technologies.

Plusieurs institutions fédérales ont utilisé des outils capables d’extraire des données personnelles de téléphones ou d’ordinateurs d’employés du gouvernement sans avoir procédé à des évaluations de leur impact sur la vie privée, comme l’exige la politique du gouvernement.

Le Centre de la sécurité des télécommunications, l’un des principaux organismes de sécurité et de renseignement du Canada, a pour sa part été mis en cause pour avoir ignoré des demandes d’information émanant de son propre organe de contrôle. Signe inquiétant de son manque d’engagement à respecter les droits de l’homme en ligne, l’agence n’a pas indiqué, dans une réponse à une demande d’accès à l’information, si elle avait utilisé, ou utilisait activement, des logiciels espions mercenaires.

En ce qui concerne les décisions de financement des acquisitions technologiques, le scandale concernant ArriveCAN lors de la pandémie de COVID-19 et celui sur le système de rémunération Phoenix pour les fonctionnaires parlent d’eux-mêmes. Le gouvernement fédéral débourse beaucoup en frais de consultation pour de tels projets, alors que des éléments vitaux de la démocratie canadienne sont sous-financés.

Ottawa offre également aux entreprises étrangères, telles que Stellantis et Volkswagen, des garanties de capital et des crédits d’impôt d’un montant au moins supérieur aux dépenses annuelles de défense nationale.

Tout comme la charte numérique n’a donné lieu qu’à peu d’actions, les promesses de transparence se sont révélées être un rituel politique familier. En 2014, Justin Trudeau, alors député de l’opposition, avait présenté son premier projet de loi d’initiative parlementaire, la Loi sur la transparence, afin d’attirer l’attention sur les problèmes d’accès à l’information.

Mais huit ans après le début du gouvernement Trudeau, la commissaire à l’information, Caroline Maynard, a déclaré sans équivoque qu’« il est clair que l’amélioration de la transparence n’est pas une priorité pour le gouvernement ».

Dans l’ensemble, les politiques et les priorités fédérales en matière de technologie n’assurent pas la sécurité des Canadiens en ligne, au contraire. Cela grâce à une législation sur la protection de la vie privée et des données qui prive les citoyens et les régulateurs de pouvoirs d’exécution significatifs, à des priorités de financement profondément déconnectées des besoins, et à des lacunes dans la législation et les politiques que le gouvernement ne semble pas pressé de combler.

Souhaitez-vous réagir à cet article ? Joignez-vous aux discussions d’Options politiques et soumettez-nous votre texte , ou votre lettre à la rédaction! 
Matt Malone est professeur adjoint à la faculté de droit de l’Université Thompson Rivers.

Vous pouvez reproduire cet article d’Options politiques en ligne ou dans un périodique imprimé, sous licence Creative Commons Attribution.

Creative Commons License

Recherches et événements connexes de l’IRPP

Des compromis pour réformer l'assurance-emploi

par Ricardo Chejfec et Rachel Samson 7 décembre 2022

Comment résoudre la question du financement du régime d’assurance-emploi

par IRPP Working Group 7 décembre 2022

Recherches connexes du Centre d’excellence

An Imbalanced Federation: The Unequal Distribution of Budget Constraints in Canada

par Olivier Jacques 20 septembre 2023

The Federal Spending Power in the Trudeau Era: Back to the Future?

par Peter Graefe et Nicole Fiorillo 7 juin 2023