Le gouvernement fédéral propose une nouvelle loi pour renforcer la cybersécurité au Canada
Le gouvernement fédéral propose une nouvelle loi pour renforcer la cybersécurité au Canada
Le 14 juin 2022, le gouvernement fédéral a terminé la première lecture du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi »)[1]. Ce projet de loi modifierait la Loi sur les télécommunications[2] et édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), qui prévoit un cadre de protection des cybersystèmes essentiels liés aux infrastructures d’importance critique pour le Canada. Il a pour but de protéger les cybersystèmes essentiels pour assurer la continuité et la sécurité des services et des systèmes critiques (notamment dans les secteurs de la finance, de l’énergie, des transports et des télécommunications).
Le projet de loi comporte deux grands volets : (1) modification de la Loi sur les télécommunications; (2) édiction de la LPCE.
Modification de la Loi sur les télécommunications
Parmi les changements apportés à la Loi sur les télécommunications, un nouvel objectif serait ajouté à la politique canadienne de télécommunication : promouvoir la sécurité du système canadien de télécommunication[3]. Ainsi, le gouverneur en conseil et le ministre de l’Industrie pourront ordonner aux fournisseurs de services de télécommunication (les « fournisseurs ») de faire ou de s’abstenir de faire toute chose nécessaire pour sécuriser le système canadien de télécommunication[4]. En outre, le projet de loi établirait un régime de sanctions administratives pécuniaires pour favoriser le respect des décrets, arrêtés et règlements, ainsi que des règles relatives au contrôle judiciaire.
Les pénalités maximales seraient de 25 000 $ pour une personne physique (50 000 $ en cas de récidive) et de 10 millions de dollars pour toute autre entité (15 millions de dollars en cas de récidive)[5].
Le projet de loi confère de vastes pouvoirs de contrôle sur les fournisseurs, que le gouvernement peut invoquer s’il le juge nécessaire pour protéger la sécurité nationale. Cependant, le texte prévoit expressément l’impossibilité d’obtenir une indemnité pour les pertes financières subies par suite de la prise d’un décret en vertu de la loi[6].
Ces changements font suite à la décision du gouvernement fédéral interdisant à Huawei et à ZTE de participer au déploiement du réseau 5G et obligeant les fournisseurs à cesser d’utiliser le matériel 4G de ces entreprises d’ici la fin de 2027.
Édiction de la LPCE
La LPCE viendrait, entre autres :
- créer de nouvelles obligations pour les exploitants désignés de services ou de systèmes critiques, qui devront notamment :
- établir un programme de cybersécurité conforme à la réglementation[7];
- prendre des mesures pour atténuer les risques associés à la chaîne d’approvisionnement identifiés par le programme de cybersécurité[8];
- déclarer sans délai tout incident de cybersécurité concernant des cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser l’organisme réglementaire compétent[9];
- se conformer aux directives de cybersécurité du gouverneur en conseil[10];
- tenir certains documents conformément à la réglementation[11];
- autoriser le gouverneur en conseil à donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure pour protéger un cybersystème essentiel[12];
- permettre l’échange de renseignements entre divers organismes gouvernementaux relativement à une directive de cybersécurité[13];
- interdire la communication non autorisée de renseignements confidentiels relatifs à un cybersystème essentiel[14];
- conférer à certains organismes réglementaires (dont le Bureau du surintendant des institutions financières [BSIF], le ministre de l’Industrie, la Banque du Canada, la Commission canadienne de sûreté nucléaire, la Régie de l’énergie du Canada et le ministre des Transports) le pouvoir de faire enquête, de donner des ordres et d’infliger des pénalités aux contrevenants (jusqu’à 1 million de dollars pour une personne physique ou 15 millions de dollars pour toute autre entité)[15].
L’annexe 1 du projet de loi énumère les services critiques et les systèmes critiques qui, pour l’instant, seraient assujettis au nouveau cadre :
- Services de télécommunication;
- Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
- Systèmes d’énergie nucléaire;
- Systèmes de transport relevant de la compétence législative du Parlement;
- Systèmes bancaires;
- Systèmes de compensations et de règlements.
Les exploitants désignés qui seraient assujettis à la LPCE n’ont pas encore été indiqués.
Nous continuerons de suivre ce dossier et nous vous tiendrons au courant.
[1] Le texte intégral du projet présenté en première lecture se trouve ici.
[2] Loi sur les télécommunications, L.C. 1993, c. 38.
[3] Art. 7(j) de la Loi sur les télécommunications, tel que modifié par l’art. 1 du projet de loi.
[4] Art. 15.1(1) et 15.2(1) et (2) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[5] Art. 72.131 de la Loi sur les télécommunications, tel que modifié par l’art. 7 du projet de loi.
[6] Art. 15.1(6) et 15.2(7) de la Loi sur les télécommunications, tels que modifiés par l’art. 2 du projet de loi.
[7] Art. 9(1) de la Loi sur la protection des cybersystèmes essentiels [LPCE], tel qu’édicté par l’art. 13 du projet de loi.
[8] LPCE, art. 15.
[9] LPCE, art. 17-19.
[10] LPCE, art. 20.
[11] LCPE, art. 30.
[12] LCPE, art. 20.
[13] LCPE, art. 23.
[14] LCPE, art. 26.
[15] LPCE, art. 32-85 et 88-134.
par Robbie Grant
Mise en garde
Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.
© TRC-Sadovod S.E.N.C.R.L., s.r.l. 2022
Perspectives (5 Posts)Voir Plus
Les ACVM et l’OCRI font le point sur l’examen du cadre réglementaire de la vente à découvert
Le 16 novembre, les ACVM et l’OCRI ont publié l’Avis conjoint 23-332 du personnel des ACVM et de l’OCRI, qui résume les commentaires reçus pour l’Avis 23-329.
Le régime des dessins industriels au Canada
Un survol du régime des dessins industriels du Canada.
Taxe sur le luxe applicable aux aéronefs : ce que doivent savoir les vendeurs et les courtiers non canadien
Implications possibles de la taxe sur le luxe du Canada lors d’opérations courantes touchant des aéronefs qui font intervenir des parties non canadiennes.
AECG, ACC, PTPGP et ALECRU – l’écheveau d’accords commerciaux entre le Canada et le Royaume-Uni
Le Canada et le Royaume-Uni maintiendront une étroite relation commerciale et un accès privilégié au marché grâce à un écheveau d’accords commerciaux.
Webinaire de FPC pour conseillers juridiques en entreprise pratiques | essentielles en matière de leadership : favoriser la résilience, l’engagement et l’impact de votre équipe
Joignez-vous à Marla Warner, accompagnatrice professionnelle et éducatrice certifiée en gestion du stress, pour un programme stimulant (présenté en anglais) qui vous aidera à vous concentrer sur l’amélioration du rendement, tout en soutenant l’engagement et le bien-être de votre équipe. Vous apprendrez comment favoriser la confiance et le respect au sein de votre équipe, les avantages de l’accompagnement, et pourquoi la gratitude, l’empathie et la compassion sont les superpouvoirs des leaders en 2023 et dans le futur.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.