Insights Header image
Insights Header image
Insights Header image

Le gouvernement fédéral propose une nouvelle loi pour renforcer la cybersécurité au Canada

6 juillet 2021 Bulletin sur la protection de la vie privée Lecture de 3 min

Le 14 juin 2022, le gouvernement fédéral a terminé la première lecture du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi »)[1]. Ce projet de loi modifierait la Loi sur les télécommunications[2] et édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), qui prévoit un cadre de protection des cybersystèmes essentiels liés aux infrastructures d’importance critique pour le Canada. Il a pour but de protéger les cybersystèmes essentiels pour assurer la continuité et la sécurité des services et des systèmes critiques (notamment dans les secteurs de la finance, de l’énergie, des transports et des télécommunications).

Le projet de loi comporte deux grands volets : (1) modification de la Loi sur les télécommunications; (2) édiction de la LPCE.

Modification de la Loi sur les télécommunications

Parmi les changements apportés à la Loi sur les télécommunications, un nouvel objectif serait ajouté à la politique canadienne de télécommunication : promouvoir la sécurité du système canadien de télécommunication[3]. Ainsi, le gouverneur en conseil et le ministre de l’Industrie pourront ordonner aux fournisseurs de services de télécommunication (les « fournisseurs ») de faire ou de s’abstenir de faire toute chose nécessaire pour sécuriser le système canadien de télécommunication[4]. En outre, le projet de loi établirait un régime de sanctions administratives pécuniaires pour favoriser le respect des décrets, arrêtés et règlements, ainsi que des règles relatives au contrôle judiciaire.

Les pénalités maximales seraient de 25 000 $ pour une personne physique (50 000 $ en cas de récidive) et de 10 millions de dollars pour toute autre entité (15 millions de dollars en cas de récidive)[5].

Le projet de loi confère de vastes pouvoirs de contrôle sur les fournisseurs, que le gouvernement peut invoquer s’il le juge nécessaire pour protéger la sécurité nationale. Cependant, le texte prévoit expressément l’impossibilité d’obtenir une indemnité pour les pertes financières subies par suite de la prise d’un décret en vertu de la loi[6].

Ces changements font suite à la décision du gouvernement fédéral interdisant à Huawei et à ZTE de participer au déploiement du réseau 5G et obligeant les fournisseurs à cesser d’utiliser le matériel 4G de ces entreprises d’ici la fin de 2027.

Édiction de la LPCE 

La LPCE viendrait, entre autres :

  1. créer de nouvelles obligations pour les exploitants désignés de services ou de systèmes critiques, qui devront notamment :
    • établir un programme de cybersécurité conforme à la réglementation[7];
    • prendre des mesures pour atténuer les risques associés à la chaîne d’approvisionnement identifiés par le programme de cybersécurité[8];
    • déclarer sans délai tout incident de cybersécurité concernant des cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser l’organisme réglementaire compétent[9];
    • se conformer aux directives de cybersécurité du gouverneur en conseil[10];
    • tenir certains documents conformément à la réglementation[11];
  2. autoriser le gouverneur en conseil à donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure pour protéger un cybersystème essentiel[12];
  3. permettre l’échange de renseignements entre divers organismes gouvernementaux relativement à une directive de cybersécurité[13];
  4. interdire la communication non autorisée de renseignements confidentiels relatifs à un cybersystème essentiel[14];
  5. conférer à certains organismes réglementaires (dont le Bureau du surintendant des institutions financières [BSIF], le ministre de l’Industrie, la Banque du Canada, la Commission canadienne de sûreté nucléaire, la Régie de l’énergie du Canada et le ministre des Transports) le pouvoir de faire enquête, de donner des ordres et d’infliger des pénalités aux contrevenants (jusqu’à 1 million de dollars pour une personne physique ou 15 millions de dollars pour toute autre entité)[15].

L’annexe 1 du projet de loi énumère les services critiques et les systèmes critiques qui, pour l’instant, seraient assujettis au nouveau cadre :

  • Services de télécommunication;
  • Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
  • Systèmes d’énergie nucléaire;
  • Systèmes de transport relevant de la compétence législative du Parlement;
  • Systèmes bancaires;
  • Systèmes de compensations et de règlements.

Les exploitants désignés qui seraient assujettis à la LPCE n’ont pas encore été indiqués.

Nous continuerons de suivre ce dossier et nous vous tiendrons au courant.

[1] Le texte intégral du projet présenté en première lecture se trouve ici.
[2] Loi sur les télécommunications, L.C. 1993, c. 38.
[3] Art. 7(j) de la Loi sur les télécommunications, tel que modifié par l’art. 1 du projet de loi.
[4] Art. 15.1(1) et 15.2(1) et (2) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[5] Art. 72.131 de la Loi sur les télécommunications, tel que modifié par l’art. 7 du projet de loi.
[6] Art. 15.1(6) et 15.2(7) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[7] Art. 9(1) de la Loi sur la protection des cybersystèmes essentiels [LPCE], tel qu’édicté par l’art. 13 du projet de loi.
[8] LPCE, art. 15.
[9] LPCE, art. 17-19.
[10] LPCE, art. 20.
[11] LCPE, art. 30.
[12] LCPE, art. 20.
[13] LCPE, art. 23.
[14] LCPE, art. 26.
[15] LPCE, art. 32-85 et 88-134.

par Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022

Perspectives (5 Posts)Voir Plus

Featured Insight

Introduction aux sites contaminés : comprendre les aspects clés pour assurer une gestion environnementale efficace

Nous vous invitons à assister, le jeudi 26 septembre, à un webinaire présenté par McMillan sur les aspects clés de la gestion des sites contaminés dans le contexte du droit de l’environnement au Canada.

Détails
Jeudi 26 septembre 2024
Featured Insight

Ce que les entreprises canadiennes doivent savoir sur les nouveaux droits de douane sur l’acier, l’aluminium et les véhicules électriques importés de Chine (ou : pourquoi vous pourriez payer une surtaxe sur votre prochain véhicule électrique)

Le 26 août 2024, le gouvernement du Canada a annoncé l’adoption de mesures commerciales visant les importations en provenance de Chine comme les véhicules électriques ainsi que l’acier et l’aluminium.

Lire plus
4 Sep, 2024
Featured Insight

Les cinq principales mesures que vous n’appliquez probablement pas (mais que vous devriez) pour vous conformer aux lois canadiennes sur la protection de la vie privée – MESURE Nº 2 : évaluations des facteurs relatifs à la protection de la vie privée

Les évaluations des facteurs relatifs à la protection de la vie privée constituent un outil essentiel de conformité et de gouvernance qui aide les organisations à respecter les exigences applicables en matière de protection de la vie privée et des données

Lire plus
4 Sep, 2024
Featured Insight

Tarifs douaniers, commerce et sécurité économique : aperçu de la dernière consultation du gouvernement du Canada

Le 9 août 2024, Affaires mondiales Canada a lancé un processus de consultation publique de 45 jours visant à protéger et à renforcer la sécurité économique du Canada.

Lire plus
28 Août, 2024
Featured Insight

Démystifier les politiques de protection des renseignements personnels : ce qu’elles ne sont pas; les idées reçues les plus répandues

Dans ce bulletin, nous expliquons ce qu’est une politique de protection des renseignements personnels en examinant ce qu’elle n’est pas.

Lire plus
26 Août, 2024