Le gouvernement fédéral propose une nouvelle loi pour renforcer la cybersécurité au Canada

Le gouvernement fédéral propose une nouvelle loi pour renforcer la cybersécurité au Canada

Le 14 juin 2022, le gouvernement fédéral a terminé la première lecture du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi »)[1]. Ce projet de loi modifierait la Loi sur les télécommunications[2] et édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), qui prévoit un cadre de protection des cybersystèmes essentiels liés aux infrastructures d’importance critique pour le Canada. Il a pour but de protéger les cybersystèmes essentiels pour assurer la continuité et la sécurité des services et des systèmes critiques (notamment dans les secteurs de la finance, de l’énergie, des transports et des télécommunications).

Le projet de loi comporte deux grands volets : (1) modification de la Loi sur les télécommunications; (2) édiction de la LPCE.

Modification de la Loi sur les télécommunications

Parmi les changements apportés à la Loi sur les télécommunications, un nouvel objectif serait ajouté à la politique canadienne de télécommunication : promouvoir la sécurité du système canadien de télécommunication[3]. Ainsi, le gouverneur en conseil et le ministre de l’Industrie pourront ordonner aux fournisseurs de services de télécommunication (les « fournisseurs ») de faire ou de s’abstenir de faire toute chose nécessaire pour sécuriser le système canadien de télécommunication[4]. En outre, le projet de loi établirait un régime de sanctions administratives pécuniaires pour favoriser le respect des décrets, arrêtés et règlements, ainsi que des règles relatives au contrôle judiciaire.

Les pénalités maximales seraient de 25 000 $ pour une personne physique (50 000 $ en cas de récidive) et de 10 millions de dollars pour toute autre entité (15 millions de dollars en cas de récidive)[5].

Le projet de loi confère de vastes pouvoirs de contrôle sur les fournisseurs, que le gouvernement peut invoquer s’il le juge nécessaire pour protéger la sécurité nationale. Cependant, le texte prévoit expressément l’impossibilité d’obtenir une indemnité pour les pertes financières subies par suite de la prise d’un décret en vertu de la loi[6].

Ces changements font suite à la décision du gouvernement fédéral interdisant à Huawei et à ZTE de participer au déploiement du réseau 5G et obligeant les fournisseurs à cesser d’utiliser le matériel 4G de ces entreprises d’ici la fin de 2027.

Édiction de la LPCE 

La LPCE viendrait, entre autres :

1. créer de nouvelles obligations pour les exploitants désignés de services ou de systèmes critiques, qui devront notamment :
   • établir un programme de cybersécurité conforme à la réglementation[7];
   • prendre des mesures pour atténuer les risques associés à la chaîne d’approvisionnement identifiés par le programme de cybersécurité[8];
   • déclarer sans délai tout incident de cybersécurité concernant des cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser l’organisme réglementaire compétent[9];
   • se conformer aux directives de cybersécurité du gouverneur en conseil[10];
   • tenir certains documents conformément à la réglementation[11];
2. autoriser le gouverneur en conseil à donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure pour protéger un cybersystème essentiel[12];
3. permettre l’échange de renseignements entre divers organismes gouvernementaux relativement à une directive de cybersécurité[13];
4. interdire la communication non autorisée de renseignements confidentiels relatifs à un cybersystème essentiel[14];
5. conférer à certains organismes réglementaires (dont le Bureau du surintendant des institutions financières [BSIF], le ministre de l’Industrie, la Banque du Canada, la Commission canadienne de sûreté nucléaire, la Régie de l’énergie du Canada et le ministre des Transports) le pouvoir de faire enquête, de donner des ordres et d’infliger des pénalités aux contrevenants (jusqu’à 1 million de dollars pour une personne physique ou 15 millions de dollars pour toute autre entité)[15].

L’annexe 1 du projet de loi énumère les services critiques et les systèmes critiques qui, pour l’instant, seraient assujettis au nouveau cadre :

• Services de télécommunication;
• Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
• Systèmes d’énergie nucléaire;
• Systèmes de transport relevant de la compétence législative du Parlement;
• Systèmes bancaires;
• Systèmes de compensations et de règlements.

Les exploitants désignés qui seraient assujettis à la LPCE n’ont pas encore été indiqués.

Nous continuerons de suivre ce dossier et nous vous tiendrons au courant.

[1] Le texte intégral du projet présenté en première lecture se trouve ici.
[2] Loi sur les télécommunications, L.C. 1993, c. 38.
[3] Art. 7(j) de la Loi sur les télécommunications, tel que modifié par l’art. 1 du projet de loi.
[4] Art. 15.1(1) et 15.2(1) et (2) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[5] Art. 72.131 de la Loi sur les télécommunications, tel que modifié par l’art. 7 du projet de loi.
[6] Art. 15.1(6) et 15.2(7) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[7] Art. 9(1) de la Loi sur la protection des cybersystèmes essentiels [LPCE], tel qu’édicté par l’art. 13 du projet de loi.
[8] LPCE, art. 15.
[9] LPCE, art. 17-19.
[10] LPCE, art. 20.
[11] LCPE, art. 30.
[12] LCPE, art. 20.
[13] LCPE, art. 23.
[14] LCPE, art. 26.
[15] LPCE, art. 32-85 et 88-134.

par Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022