Sommaires exécutifs 16 sept. 2022

Projet de loi C-26 : le gouvernement fédéral se penche sur la cybersécurité et la vie privée

Les 14 et 16 juin 2022, le gouvernement fédéral a déposé les projets de loi C-26 et C-27 visant à protéger la vie privée et la cybersécurité des citoyens en plus d’encadrer l’intelligence artificielle au Canada. 

Plus particulièrement, le projet de loi C-26, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (ci-après, le « Projet de loi ») prévoit de nouvelles obligations en matière de cybersécurité que toute entreprise de compétence fédérale se doit de connaître.

Télécommunications : sécuriser le système face aux menaces externes

D’une part, le Projet de loi modifie la Loi sur les télécommunications afin de protéger davantage le système canadien de télécommunications et d’empêcher l’ingérence de menaces. La Politique canadienne de télécommunication est modifiée afin de « promouvoir la sécurité du système canadien des télécommunications. »

En pratique, cela se traduit par l’octroi de différents pouvoirs au gouverneur en conseil lorsque ce dernier est d’avis qu’il est nécessaire de sécuriser le système canadien des télécommunications face aux menaces d’ingérence, de manipulation ou de perturbation. Ainsi, le gouverneur en conseil pourra notamment prendre différents décrets pour :

  • interdire aux fournisseurs de services de télécommunication d’utiliser dans tout ou partie de leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise;
  • ordonner à ces fournisseurs de retirer de tout ou partie de leurs réseaux ou installations de télécommunication tous les produits fournis par toute personne qu’il précise;
  • interdire ou ordonner de suspendre la fourniture des services à toute personne qu’il précise;
  • imposer différentes conditions d’utilisation;
  • interdire ou exiger de mettre fin à certaines ententes de service;
  • exiger d’élaborer des plans de sécurité; et
  • exiger des évaluations afin de repérer les vulnérabilités des réseaux ou installations et la prise de mesures visant à atténuer toute vulnérabilité.

Cela s’ajoute également à une obligation générale de renseignement alors que le ministre de l’Industrie peut exiger tout renseignement pertinent concernant la prise de décret ou leur modification ou révocation.

Des sanctions administratives et pécuniaires sont incluses afin d’assurer le respect des différents décrets pouvant être adoptés par le gouverneur général. Elles vont de 25 000 $ à 50 000 $ en cas de récidive pour une personne physique, mais sont beaucoup plus importantes dans les autres cas, allant de 10 M$ à 15 M$ en cas de récidive.

Cybersécurité : se conformer aux nouvelles obligations 

D’autre part, le Projet de loi édicte la Loi sur la protection des cybersystèmes essentiels (ci-après la « LPCE ») qui vise à assurer la sécurité et la résilience des cybersystèmes essentiels relevant du secteur privé sous réglementation fédérale. On entend par « cybersystème » un système technologique d’infrastructure servant à la réception, transmission, traitement ou collecte de données.

La LPCE vise essentiellement les quatre objectifs suivants :

  • d’identifier et de gérer les risques à l’égard de la cybersécurité des cybersystèmes essentiels, notamment les risques associés aux chaînes d’approvisionnement et à l’utilisation de produits et services de tiers;
  • de protéger les cybersystèmes essentiels contre toute compromission;
  • de détecter les incidents de cybersécurité qui touchent ou pourraient toucher les cybersystèmes essentiels; et
  • de réduire au minimum les conséquences des incidents de cybersécurité qui touchent les cybersystèmes essentiels.

Selon la LPCE, un « cybersystème essentiel » comme étant « [t]out cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique. » Les différents services et systèmes actuellement considérés comme étant critiques sont les :

  • services de télécommunication;
  • systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
  • systèmes d’énergie nucléaire;
  • systèmes de transport relevant de la compétence législative du Parlement fédéral;
  • systèmes bancaires; et
  • systèmes de compensations et de règlements.

Pour atteindre ses objectifs, la LCPE oblige les catégories d’exploitants désignés à l’Annexe II à se conformer aux dispositions de la loi via quatre grandes obligations et à tenir des documents concernant leur mise en œuvre.

Établir un programme de cybersécurité

Premièrement, dans les 90 jours qu’il devient membre d’une catégorie d’exploitant désigné, l’exploitant devra établir un programme de cybersécurité concernant ses cybersystèmes essentiels.

Ce programme de cybersécurité devra répondre aux différentes exigences réglementaires qui verront le jour, mais surtout en lien avec les quatre grands objectifs de la loi mentionnés ci-haut. Ce programme de cybersécurité devra être déposé à l’organisme réglementaire compétent, déterminé en fonction de la catégorie d’exploitant désigné. Le programme devra faire l’objet d’un avis advenant un changement dans la propriété ou le contrôle de l’exploitant désigné ou un changement important à la chaîne d’approvisionnement.

Protéger les chaînes d’approvisionnement

Deuxièmement, la LPCE vise la protection des chaînes d’approvisionnement des services et systèmes critiques. Conséquemment, les exploitants désignés se doivent de prendre toute mesure raisonnable, incluant celles qui seront prévues par règlement, dès que des risques à l’égard de la chaîne d’approvisionnement sont identifiés.

À noter que le Centre de la sécurité des télécommunications (ci-après le « CST ») pourrait aider tout exploitant désigné à atténuer les risques associés à une chaîne d’approvisionnement en lui prodiguant différents conseils.

Déclarer tout incident de sécurité 

Troisièmement, les exploitants désignés devront déclarer sans délai tout incident de sécurité concernant l’un de ses cybersystèmes essentiels au CST afin que ce dernier puisse l’appuyer. L’exploitant désigné se devra également d’aviser son organisme réglementaire compétent et lui remettre une copie du rapport d’incident.

Rappelons qu’un incident de cybersécurité est défini comme étant un incident pouvant soit nuire à la continuité ou à la sécurité du système ou encore à sa confidentialité et son intégrité.

Se conformer aux directives du gouverneur en conseil

Finalement, le gouverneur en conseil peut, en vue de protéger un cybersystème essentiel, donner différentes directives de cybersécurité obligeant un exploitant désigné à s’y conformer.

Le gouvernement fédéral préconise une approche robuste quant à l’application de la LPCE en prévoyant des sanctions administratives pécuniaires qui sont plafonnées à 1 M$ dans le cas d’une personne physique et à 15 M$ dans les autres cas.

À l’heure actuelle, il n’existe pas de catégories d’exploitants qui sont prévues à l’Annexe II, mais nous pouvons nous attendre à ce qu’ils relèvent de la compétence législative du Parlement fédéral et touchent aux différents services critiques mentionnés ci-haut.

L’équipe de BCF reste à l’affût des développements touchant le Projet de loi et vous tiendra au courant des éventuelles modifications, précisions ou règlements apportés par le législateur, le cas échéant, afin de bien préparer les entreprises, institutions et organismes concernés.

Pour toute question relative aux impacts que le Projet de loi pourrait avoir sur votre entreprise, n’hésitez pas à communiquer avec notre équipe qui se fera un plaisir de vous conseiller.

Restez à l’affût!

Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.

Inscrivez-vous

Vous aimeriez aussi

Deux professionnels de BCF nommés parmi les meilleurs experts en propriété intellectuelle

IAM Patent 1000 : sept associés s’illustrent parmi les professionnels en brevets les plus prestigieux

Epitopea et MSD unissent leurs forces pour faire progresser la recherche en immuno-oncologie

BCF est reconnue dans l’édition 2025 du répertoire Chambers Global

Projet de loi 82 : un pas de plus vers l’identité numérique nationale (et modifications à d’autres dispositions!)

Forum Repreneuriat

Forum Repreneuriat : Vision 2025

BCF se distingue dans Legal 500 Canada

La protection de la vie privée dans le sport : N’attendez pas d’être mis en échec!

Obligation en matière de signalement des incidents de sécurité de l’information : l’Autorité des marchés financiers suit la vague et publie un nouveau règlement

Droit à la portabilité : votre organisation est-elle prête?

Forum Tech 360

Forum Tech 360 : croissance et points d’inflexion

IAM Strategy 300: notre associé Ilya Kalnish est reconnu parmi les meilleurs stratèges en propriété intellectuelle au monde

IAM Patent 1000 : six associés s’illustrent parmi les professionnels en brevets les plus prestigieux

Prospera – Baromètre économique du Québec

Sociétés les mieux gérées au Canada : BCF reconnue pour une 17e année consécutive

BCF renforce son expertise en intelligence artificielle

Trois associés parmi les meilleurs en marques de commerce selon le World Trademark Review 1000

nouveaux-associes-2024-fr

BCF nomme trois nouveaux associés

Who’s Who Legal : 5 professionnels de BCF nommés dans le Guide

BCF poursuit son partenariat avec l’Association des avocats noirs du Canada pour une troisième année

Démystifier les Évaluations des facteurs relatifs à la vie privée (EFVP)

Le contrat de traitement de renseignements personnels : un incontournable à implanter

camera-on-a-wall

Le plan de réponse aux incidents : la base d’une gestion de crise efficace

forum-privacy

Forum stratégique sur la protection des données d’entreprise

IP Stars

Managing IP : 5 de nos professionnels reconnus parmi les étoiles en PI

Co-marquage ou co-branding: avantageux, mais sous certaines conditions

Chambers Canada : cinq de nos avocats se démarquent

Photo de Julie Doré

Julie Doré prend la direction du cabinet BCF avocats d’affaires

Prospera – Baromètre économique du Québec

IAM Patent 1000 : cinq associés reconnus parmi les professionnels en brevets les plus prestigieux

Julien Tricart, membre du « Meritas Sports Law Group »

Mois de la fierté : créons un futur inclusif

Sociétés les mieux gérées au Canada : BCF reconnue pour une 16e année consécutive

Nouvelles exigences applicables en matière de protection des renseignements personnels : votre entreprise est-elle conforme?

Chaque femme compte

Forum stratégique sur le rôle des entreprises dans la lutte aux changements climatiques

BCF s’associe avec l’Association des avocats noirs du Canada pour encourager la diversité dans les facultés de droit du Québec

Virage plus inclusif pour BCF : bonification du congé de parentalité

D’athlète de renom à avocat de prestige : cap sur un parcours juridique peu traditionnel

Shaun E. Finn nommé Juge à la Cour supérieure du Québec

Comment assurer une relève d’entreprise?

Cahiers noirs avec feuilles

Projet de loi 78 sur la transparence des entreprises : êtes-vous prêts?

Forum stratégique sur la consolidation de marché et la relève d’entreprise

BCF s’associe à la Clinique Juridique de Saint-Michel pour favoriser l’accès aux études en droit auprès des jeunes issus de la diversité

BCF accueille deux nouveaux avocats dans ses rangs

Quelles sont les pratiques à adopter pour bien gérer les incidents de confidentialité?

Shaun E. Finn, co-auteur de l’ouvrage In the Public Eye: Privacy, Personal Information, and High Stakes Litigation in the Canadian Public Sector

S’approprier des renseignements personnels sans consentement peut-il justifier l’autorisation d’une action collective?

Cinq de nos avocats s’illustrent dans l’édition 2023 du classement Chambers Canada

Projet de loi C-27 : une loi attendue en matière de cybersécurité et vie privée au Canada

La perte de renseignements personnels est-elle suffisante pour justifier le succès d'une action collective au fond?

Jocelyn Poirier, chef de la protection des renseignements personnels de BCF

Classes de maître en propriété intellectuelle

43 professionnels de BCF se distinguent avec 78 nominations dans les éditions 2023 de Best Lawyers in Canada et Ones to Watch

Sept nouveaux avocats se joignent à BCF

Adoption du projet de loi no. 96 : soyez prêts

Mois de la fierté : la richesse de la diversité

BCF, 3e plus grand cabinet juridique au Québec

Sociétés les mieux gérées au Canada : BCF reconnue pour une 15e année consécutive

BCF est reconnue par le Globe and Mail comme l’un des meilleurs cabinets d’avocats au Canada

Technologies UEAT inc. devient une filiale à part entière de Moneris Solutions Corporation

Snipcart inc. se joint à Duda inc. afin de surpasser les tendances du commerce électronique

La propriété intellectuelle, peu connue par près de la moitié des entreprises canadiennes : soyez dans la bonne moitié!

Chambers Canada 2022 : BCF s’est classée au premier rang au Québec en droit corporatif et commercial

IAM Strategy 300 : notre associé Ilya Kalnish reconnu parmi les meilleurs stratèges en propriété intellectuelle au monde

Rihanna milliardaire : cosmétiques, licences et marques de commerce

L’industrie du cannabis toujours en forte croissance

Sept avocats de la relève se joignent à BCF

Un rouge à lèvres pas comme les autres : Guerlain obtient l’enregistrement d’une marque tridimensionnelle

Quelle est la procédure à suivre pour obtenir un brevet?

Logiciels libres et gratuits : opportunités et défis

La levée des droits protégeant la PI liée aux vaccins contre la COVID-19 et les licences obligatoires au Canada

Le projet de loi sur la langue officielle et commune du Québec : quels effets sur vos marques de commerce et votre affichage public?

Vous avez inventé quelque chose, quoi faire maintenant?

Les enjeux de propriété intellectuelle du secteur aéronautique et spatial

Halston : l’homme qui a vendu son nom... et sa marque

3 raisons pour lesquelles vous devriez vous constituer un portefeuille de brevets en tant que PME

L’action collective en matière de protection de la vie privée et des données

Une action collective pour atteinte à la vie privée rejetée sur le fond : une première au pays

BCF accueille sept nouveaux avocats parmi ses rangs

Collaboration à l’ère de la COVID-19 : considérations juridiques pour des partenariats réussis entre l'IA et les soins de santé

5 raisons pour lesquelles les startups devraient investir dans un portefeuille de brevets

5 raisons pour lesquelles vous devriez vous intéresser aux brevets

Shaun E. Finn et Danielle Miller Olofsson publient un ouvrage de référence sur les actions collectives en matière de protection de la vie privée et des données

Ce que vous devez savoir sur les brevets : comment, pourquoi et où

La propriété intellectuelle : un moteur pour la création et l’innovation

Quelles sont les implications de la décision invalidant le Bouclier de protection des données UE-États-Unis sur votre entreprise?

Enquête sur une application de Tim Hortons

Le projet de loi 64 du Québec modifiant la loi sur la protection des données : un projet de loi qui a du mordant?

L’utilisation de caméras thermiques dans les commerces est-elle conforme aux lois de protection de la vie privée?

COVID-19 : des solutions pour faire face à la situation

COVID-19 : enfin une boîte à outils pour les développeurs d’applications de géolocalisation

Traquer la pandémie de la COVID-19 grâce aux cellulaires

COVID-19: n'oubliez pas la protection des données dans votre stratégie de réponse face à la crise

Terranova Security partenaire de Microsoft

BCF se classe de nouveau parmi les meilleurs employeurs à Montréal

BCF nomme 16 nouveaux associés pour son 25e anniversaire

Le contrôle conjoint et les risques liés à l’utilisation des modules de site Web

Êtes-vous précurseur ou suiveur?Résultats du sondage sur l’innovation

Chambers Canada 2020: BCF reconnue en droit corporatif et commercial

Forum stratégique sur l'innovation

Les différentes approches législatives face au 5G

Innover pour survivre: êtes-vous précurseur ou suiveur?

BCF nommé représentant exclusif du Canada au collège d’experts de l’Unifab

Les tendances technologiques passées et futures

Votre innovation a besoin de protection

Vous implantez un nouveau système technologique en entreprise? Pensez à protéger vos données

Les tendances en matière d’investissement et de brevets dans le domaine de l’intelligence artificielle

La technologie 5G est à nos portes: à quoi faut-il s’attendre?

Les enjeux juridiques de la révolution industrielle 4.0

Qu’advient-il des actions collectives québécoises en matière de vie privée?

Faire la lumière sur le Cloud Act

Ilya Kalnish, lauréat du prestigieux prix Client Choice Awards 2019

Que faut-il pour qu’une startup en technologies médicales réussisse? Le modèle et le système

Google et la CNIL, une affaire de consentements mal obtenus

Pratiques à adopter pour les entreprises québécoises recevant des données européennes

L’anonymisation ? En êtes-vous certains ?

Le Deep Web et le Dark Web démystifiés pour les entreprises

RGPD: comment vous y préparer

Nouvelles mesures de l'Union européenne en matière de protection des données

Votre entreprise collecte-t-elle trop de données et les protège-t-elle bien ?

Découvrez notre intelligence d'affaires