Projet de loi C-26 : le gouvernement fédéral se penche sur la cybersécurité et la vie privée

Les 14 et 16 juin 2022, le gouvernement fédéral a déposé les projets de loi C-26 et C-27 visant à protéger la vie privée et la cybersécurité des citoyens en plus d’encadrer l’intelligence artificielle au Canada. 

Plus particulièrement, le projet de loi C-26, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (ci-après, le « Projet de loi ») prévoit de nouvelles obligations en matière de cybersécurité que toute entreprise de compétence fédérale se doit de connaître.

Télécommunications : sécuriser le système face aux menaces externes

D’une part, le Projet de loi modifie la Loi sur les télécommunications afin de protéger davantage le système canadien de télécommunications et d’empêcher l’ingérence de menaces. La Politique canadienne de télécommunication est modifiée afin de « promouvoir la sécurité du système canadien des télécommunications. »

En pratique, cela se traduit par l’octroi de différents pouvoirs au gouverneur en conseil lorsque ce dernier est d’avis qu’il est nécessaire de sécuriser le système canadien des télécommunications face aux menaces d’ingérence, de manipulation ou de perturbation. Ainsi, le gouverneur en conseil pourra notamment prendre différents décrets pour :

• interdire aux fournisseurs de services de télécommunication d’utiliser dans tout ou partie de leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise;
• ordonner à ces fournisseurs de retirer de tout ou partie de leurs réseaux ou installations de télécommunication tous les produits fournis par toute personne qu’il précise;
• interdire ou ordonner de suspendre la fourniture des services à toute personne qu’il précise;
• imposer différentes conditions d’utilisation;
• interdire ou exiger de mettre fin à certaines ententes de service;
• exiger d’élaborer des plans de sécurité; et
• exiger des évaluations afin de repérer les vulnérabilités des réseaux ou installations et la prise de mesures visant à atténuer toute vulnérabilité.

Cela s’ajoute également à une obligation générale de renseignement alors que le ministre de l’Industrie peut exiger tout renseignement pertinent concernant la prise de décret ou leur modification ou révocation.

Des sanctions administratives et pécuniaires sont incluses afin d’assurer le respect des différents décrets pouvant être adoptés par le gouverneur général. Elles vont de 25 000 $ à 50 000 $ en cas de récidive pour une personne physique, mais sont beaucoup plus importantes dans les autres cas, allant de 10 M$ à 15 M$ en cas de récidive.

Cybersécurité : se conformer aux nouvelles obligations 

D’autre part, le Projet de loi édicte la Loi sur la protection des cybersystèmes essentiels (ci-après la « LPCE ») qui vise à assurer la sécurité et la résilience des cybersystèmes essentiels relevant du secteur privé sous réglementation fédérale. On entend par « cybersystème » un système technologique d’infrastructure servant à la réception, transmission, traitement ou collecte de données.

La LPCE vise essentiellement les quatre objectifs suivants :

• d’identifier et de gérer les risques à l’égard de la cybersécurité des cybersystèmes essentiels, notamment les risques associés aux chaînes d’approvisionnement et à l’utilisation de produits et services de tiers;
• de protéger les cybersystèmes essentiels contre toute compromission;
• de détecter les incidents de cybersécurité qui touchent ou pourraient toucher les cybersystèmes essentiels; et
• de réduire au minimum les conséquences des incidents de cybersécurité qui touchent les cybersystèmes essentiels.

Selon la LPCE, un « cybersystème essentiel » comme étant « [t]out cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique. » Les différents services et systèmes actuellement considérés comme étant critiques sont les :

• services de télécommunication;
• systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
• systèmes d’énergie nucléaire;
• systèmes de transport relevant de la compétence législative du Parlement fédéral;
• systèmes bancaires; et
• systèmes de compensations et de règlements.

Pour atteindre ses objectifs, la LCPE oblige les catégories d’exploitants désignés à l’Annexe II à se conformer aux dispositions de la loi via quatre grandes obligations et à tenir des documents concernant leur mise en œuvre.

Établir un programme de cybersécurité

Premièrement, dans les 90 jours qu’il devient membre d’une catégorie d’exploitant désigné, l’exploitant devra établir un programme de cybersécurité concernant ses cybersystèmes essentiels.

Ce programme de cybersécurité devra répondre aux différentes exigences réglementaires qui verront le jour, mais surtout en lien avec les quatre grands objectifs de la loi mentionnés ci-haut. Ce programme de cybersécurité devra être déposé à l’organisme réglementaire compétent, déterminé en fonction de la catégorie d’exploitant désigné. Le programme devra faire l’objet d’un avis advenant un changement dans la propriété ou le contrôle de l’exploitant désigné ou un changement important à la chaîne d’approvisionnement.

Protéger les chaînes d’approvisionnement

Deuxièmement, la LPCE vise la protection des chaînes d’approvisionnement des services et systèmes critiques. Conséquemment, les exploitants désignés se doivent de prendre toute mesure raisonnable, incluant celles qui seront prévues par règlement, dès que des risques à l’égard de la chaîne d’approvisionnement sont identifiés.

À noter que le Centre de la sécurité des télécommunications (ci-après le « CST ») pourrait aider tout exploitant désigné à atténuer les risques associés à une chaîne d’approvisionnement en lui prodiguant différents conseils.

Déclarer tout incident de sécurité 

Troisièmement, les exploitants désignés devront déclarer sans délai tout incident de sécurité concernant l’un de ses cybersystèmes essentiels au CST afin que ce dernier puisse l’appuyer. L’exploitant désigné se devra également d’aviser son organisme réglementaire compétent et lui remettre une copie du rapport d’incident.

Rappelons qu’un incident de cybersécurité est défini comme étant un incident pouvant soit nuire à la continuité ou à la sécurité du système ou encore à sa confidentialité et son intégrité.

Se conformer aux directives du gouverneur en conseil

Finalement, le gouverneur en conseil peut, en vue de protéger un cybersystème essentiel, donner différentes directives de cybersécurité obligeant un exploitant désigné à s’y conformer.

Le gouvernement fédéral préconise une approche robuste quant à l’application de la LPCE en prévoyant des sanctions administratives pécuniaires qui sont plafonnées à 1 M$ dans le cas d’une personne physique et à 15 M$ dans les autres cas.

À l’heure actuelle, il n’existe pas de catégories d’exploitants qui sont prévues à l’Annexe II, mais nous pouvons nous attendre à ce qu’ils relèvent de la compétence législative du Parlement fédéral et touchent aux différents services critiques mentionnés ci-haut.

L’équipe de BCF reste à l’affût des développements touchant le Projet de loi et vous tiendra au courant des éventuelles modifications, précisions ou règlements apportés par le législateur, le cas échéant, afin de bien préparer les entreprises, institutions et organismes concernés.

Pour toute question relative aux impacts que le Projet de loi pourrait avoir sur votre entreprise, n’hésitez pas à communiquer avec notre équipe qui se fera un plaisir de vous conseiller.