Droit canadien en matière de cybersécurité : Le projet de loi C-26 franchit une autre étape

Le 1^er février 2024, le Comité permanent de la sécurité publique et nationale (le « comité ») a commencé son examen du projet de loi C-26 : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi C-26 »), près d’un an après que ce dernier eut franchi l’étape de la deuxième lecture à la Chambre des communes.

Le projet de loi C-26 a été présenté par le gouvernement le 14 juin 2022. S’il est adopté, il édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE » ou la « Loi »), laquelle imposerait une série d’obligations en matière de cybersécurité aux entités du secteur privé dans quatre secteurs sous réglementation fédérale : les télécommunications, les finances, l’énergie et les transports. La LPCE s’appliquerait aux secteurs d’activités qui fournissent les « services critiques » ou les « systèmes critiques » désignés à son annexe 1, de même qu’aux catégories d’exploitants désignées à son annexe 2.

Les services et systèmes critiques visés à l’heure actuelle à l’annexe 1 seraient les suivants :

• services de télécommunication;
• systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
• systèmes d’énergie nucléaire;
• systèmes de transport relevant de la compétence législative du Parlement;
• systèmes bancaires;
• systèmes de compensations et de règlements.

En vertu de la LPCE, le gouverneur en conseil (c.-à-d. le Cabinet fédéral) aurait le pouvoir d’ajouter ou de retirer des services et des systèmes critiques visés à l’annexe 1 dans chacun des secteurs.

Pour le reste, la LPCE imposerait cinq principales obligations de conformité en matière de cybersécurité aux exploitants désignés :

1. Les exploitants désignés seraient tenus de mettre en œuvre un programme de cybersécurité comportant des mesures d’atténuation des risques et un cadre de gouvernance afin d’identifier et de gérer les risques organisationnels en ce qui a trait à leurs cybersystèmes essentiels. Les cybersystèmes essentiels sont définis dans la LPCE comme des cybersystèmes qui, si leur confidentialité, leur intégrité ou leur disponibilité étaient compromises, pourraient menacer la continuité ou la sécurité de l’un des services ou systèmes critiques visés à l’annexe 1.
2. Les exploitants désignés seraient tenus de cerner les risques liés à la cybersécurité associés à leur chaîne d’approvisionnement ou à leur utilisation de produits et de services de tiers, et de prendre des mesures raisonnables pour atténuer ces risques, ce qui comprendrait les mesures prescrites par règlement à venir.
3. Les exploitants désignés seraient tenus de signaler tout « incident de cybersécurité » en suivant un processus en deux étapes. Notons qu’un « incident de cybersécurité » s’entendrait d’un incident qui nuit ou peut nuire à la continuité ou à la sécurité d’un service ou d’un système critique, ou à la confidentialité, à l’intégrité ou à la disponibilité d’un cybersystème essentiel. D’une part, les exploitants désignés seraient tenus de déclarer « sans délai » un incident de cybersécurité au Centre de la sécurité des télécommunications (« CST ») de la manière prescrite par règlement à venir. D’autre part, les exploitants désignés seraient tenus d’aviser leur organisme réglementaire compétent, comme le ministre de l’Industrie ou la Banque du Canada, « sans délai après avoir déclaré un incident de cybersécurité » au CST.
4. Les exploitants désignés seraient tenus de se conformer à toute mesure visant à protéger un cybersystème essentiel éventuellement énoncée dans une directive exécutoire du gouverneur en conseil. Il serait par ailleurs interdit aux exploitants désignés de divulguer le contenu ou l’existence d’une telle directive.
5. Les exploitants désignés auraient l’obligation de tenir des documents concernant toute mesure qu’ils ont prise pour mettre en œuvre leur programme de cybersécurité et tout incident de cybersécurité qu’ils ont déclaré, le cas échéant. Ces documents devraient être conservés au Canada.

L’application de la LPCE serait renforcée par un régime de sanctions administratives pécuniaires, sur lequel des précisions seraient vraisemblablement données dans la réglementation à venir. Dans sa forme actuelle, la LPCE prévoit une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et les dirigeants. De plus, le non-respect de certaines dispositions de la LPCE pourrait donner lieu à une amende ou à un emprisonnement, ou les deux. Enfin, les organismes réglementaires compétents disposeraient de pouvoirs accrus leur permettant d’exiger que leur soient fournis certains renseignements, d’inspecter les locaux des exploitants désignés et d’émettre des avis de non-conformité afin de veiller à ce que la LPCE soit respectée.

Pour un survol complet du projet de loi, consultez notre Bulletin Blakes intitulé La Chambre des communes dépose le projet de loi C-26 pour encadrer la cybersécurité dans certains secteurs.

Avant de devenir loi, le projet de loi C-26 doit être examiné par le comité, franchir l’étape de la troisième lecture à la Chambre des communes et être lu trois fois au Sénat. Bien que l’adoption de ce projet de loi demeure incertaine, les obligations de conformité énoncées dans la LPCE représentent des pratiques exemplaires en matière de cybersécurité que la plupart des organisations devraient mettre en œuvre afin de renforcer leur système de défense en matière de cybersécurité, de protéger leurs actifs essentiels et de se prémunir contre les risques liés aux tiers.

Pour en savoir davantage, communiquez avec :

ou un autre membre de notre groupe Cybersécurité.