https://www.parl.ca/DocumentViewer/fr/45-1/projet-loi/C-8/premiere-lecture
Le projet de loi C-8 oblige les entreprises critiques (télécoms, banques, etc.) à transmettre au gouvernement toute information sur les cyberincidents « graves ». Or, ces incidents impliquent souvent des fuites massives de données personnelles (noms, adresses, transactions, habitudes). Le texte ne prévoit aucune obligation d’informer les citoyens concernés, ni de leur permettre de contester l’usage de leurs données par l’État.
Le ministre peut modifier unilatéralement les normes de cybersécurité par arrêté (règlement), sans passer par le Parlement. Cela signifie que des exigences techniques — potentiellement intrusives (ex. : accès en temps réel aux logs, stockage localisé de données, portes dérobées) — pourraient être imposées sans débat démocratique.
Une entreprise qui signale un incident s’expose à des inspections, des ordres, et des amendes si elle est jugée « non conforme ». Résultat : l’incitation est à cacher les failles, pas à les révéler. Les citoyens restent dans l’ignorance, tandis que le gouvernement accumule des données sur les vulnérabilités du système — sans partage, sans reddition.
En modifiant la Loi sur les télécommunications pour y inclure la « sécurité » comme objectif légal, le gouvernement se donne un levier permanent pour imposer des règles techniques aux fournisseurs Internet. Cela pourrait, à terme, justifier des mesures comme l’obligation de conserver les métadonnées, filtrer le trafic, ou bloquer des services — le tout au nom de la cybersécurité.
Le Centre canadien pour la cybersécurité (CCCS) reçoit des pouvoirs étendus, mais n’est pas un organisme indépendant : il relève directement du ministre. Il n’y a ni tribunal spécialisé, ni commissaire parlementaire, ni droit de recours individuel pour un citoyen dont les données ont été compromises ou mal utilisées dans ce cadre.