Insights Header image
Insights Header image
Insights Header image

Le gouvernement fédéral propose une nouvelle loi pour renforcer la cybersécurité au Canada

6 juillet 2021 Bulletin sur la protection de la vie privée Lecture de 3 min

Le 14 juin 2022, le gouvernement fédéral a terminé la première lecture du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi »)[1]. Ce projet de loi modifierait la Loi sur les télécommunications[2] et édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), qui prévoit un cadre de protection des cybersystèmes essentiels liés aux infrastructures d’importance critique pour le Canada. Il a pour but de protéger les cybersystèmes essentiels pour assurer la continuité et la sécurité des services et des systèmes critiques (notamment dans les secteurs de la finance, de l’énergie, des transports et des télécommunications).

Le projet de loi comporte deux grands volets : (1) modification de la Loi sur les télécommunications; (2) édiction de la LPCE.

Modification de la Loi sur les télécommunications

Parmi les changements apportés à la Loi sur les télécommunications, un nouvel objectif serait ajouté à la politique canadienne de télécommunication : promouvoir la sécurité du système canadien de télécommunication[3]. Ainsi, le gouverneur en conseil et le ministre de l’Industrie pourront ordonner aux fournisseurs de services de télécommunication (les « fournisseurs ») de faire ou de s’abstenir de faire toute chose nécessaire pour sécuriser le système canadien de télécommunication[4]. En outre, le projet de loi établirait un régime de sanctions administratives pécuniaires pour favoriser le respect des décrets, arrêtés et règlements, ainsi que des règles relatives au contrôle judiciaire.

Les pénalités maximales seraient de 25 000 $ pour une personne physique (50 000 $ en cas de récidive) et de 10 millions de dollars pour toute autre entité (15 millions de dollars en cas de récidive)[5].

Le projet de loi confère de vastes pouvoirs de contrôle sur les fournisseurs, que le gouvernement peut invoquer s’il le juge nécessaire pour protéger la sécurité nationale. Cependant, le texte prévoit expressément l’impossibilité d’obtenir une indemnité pour les pertes financières subies par suite de la prise d’un décret en vertu de la loi[6].

Ces changements font suite à la décision du gouvernement fédéral interdisant à Huawei et à ZTE de participer au déploiement du réseau 5G et obligeant les fournisseurs à cesser d’utiliser le matériel 4G de ces entreprises d’ici la fin de 2027.

Édiction de la LPCE 

La LPCE viendrait, entre autres :

  1. créer de nouvelles obligations pour les exploitants désignés de services ou de systèmes critiques, qui devront notamment :
    • établir un programme de cybersécurité conforme à la réglementation[7];
    • prendre des mesures pour atténuer les risques associés à la chaîne d’approvisionnement identifiés par le programme de cybersécurité[8];
    • déclarer sans délai tout incident de cybersécurité concernant des cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser l’organisme réglementaire compétent[9];
    • se conformer aux directives de cybersécurité du gouverneur en conseil[10];
    • tenir certains documents conformément à la réglementation[11];
  2. autoriser le gouverneur en conseil à donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure pour protéger un cybersystème essentiel[12];
  3. permettre l’échange de renseignements entre divers organismes gouvernementaux relativement à une directive de cybersécurité[13];
  4. interdire la communication non autorisée de renseignements confidentiels relatifs à un cybersystème essentiel[14];
  5. conférer à certains organismes réglementaires (dont le Bureau du surintendant des institutions financières [BSIF], le ministre de l’Industrie, la Banque du Canada, la Commission canadienne de sûreté nucléaire, la Régie de l’énergie du Canada et le ministre des Transports) le pouvoir de faire enquête, de donner des ordres et d’infliger des pénalités aux contrevenants (jusqu’à 1 million de dollars pour une personne physique ou 15 millions de dollars pour toute autre entité)[15].

L’annexe 1 du projet de loi énumère les services critiques et les systèmes critiques qui, pour l’instant, seraient assujettis au nouveau cadre :

  • Services de télécommunication;
  • Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
  • Systèmes d’énergie nucléaire;
  • Systèmes de transport relevant de la compétence législative du Parlement;
  • Systèmes bancaires;
  • Systèmes de compensations et de règlements.

Les exploitants désignés qui seraient assujettis à la LPCE n’ont pas encore été indiqués.

Nous continuerons de suivre ce dossier et nous vous tiendrons au courant.

[1] Le texte intégral du projet présenté en première lecture se trouve ici.
[2] Loi sur les télécommunications, L.C. 1993, c. 38.
[3] Art. 7(j) de la Loi sur les télécommunications, tel que modifié par l’art. 1 du projet de loi.
[4] Art. 15.1(1) et 15.2(1) et (2) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[5] Art. 72.131 de la Loi sur les télécommunications, tel que modifié par l’art. 7 du projet de loi.
[6] Art. 15.1(6) et 15.2(7) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[7] Art. 9(1) de la Loi sur la protection des cybersystèmes essentiels [LPCE], tel qu’édicté par l’art. 13 du projet de loi.
[8] LPCE, art. 15.
[9] LPCE, art. 17-19.
[10] LPCE, art. 20.
[11] LCPE, art. 30.
[12] LCPE, art. 20.
[13] LCPE, art. 23.
[14] LCPE, art. 26.
[15] LPCE, art. 32-85 et 88-134.

par Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022

Perspectives (5 Posts)Voir Plus

Featured Insight

Nouvelles exigences de conformité pour les institutions financières du Québec : survol du Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit

Dans ce bulletin, nous passons en revue les nouvelles obligations prévues par la loi imposées aux institutions financières relativement aux incidents de sécurité de l’information.

Lire plus
21 Jan, 2025
Featured Insight

Rappel : le nouveau taux d’intérêt criminel réduit est entré en vigueur

À compter du 1ᵉʳ janvier 2025, le taux d’intérêt criminel est réduit à un plafond de 35 % sur une base du taux annuel en pourcentage (TAP).

Lire plus
21 Jan, 2025
Featured Insight

Actions collectives au Québec : une augmentation des recours privés en droit de l’environnement exerce une pression additionnelle sur le secteur du commerce de détail

Le présent bulletin traite du raisonnement de récents jugements environnementaux québécois et leurs conséquences sur les entreprises et les consommateurs.

Lire plus
21 Jan, 2025
Featured Insight

Le Projet de loi 68 et le certificat médical : nouvelles dispositions importantes pour les employeurs

Certaines dipositions du Projet de loi 68 affecte les employeurs et les circonstances leur permettant de demander un certificat médical à leur employés.

Lire plus
21 Jan, 2025
Featured Insight

Le bureau de la concurrence publie une version préliminaire de lignes directrices sur l’écoblanchiment : une approche pragmatique

Le bulletin présente les principaux éléments de la version préliminaire de lignes directrices sur l’écoblanchiment du Bureau de la concurrence qui concerne les modifications apportées à la Loi sur la concurrence en juin 2024.

Lire plus
16 Jan, 2025