Sauter la navigation

La Chambre des communes dépose le projet de loi C-26 pour encadrer la cybersécurité dans certains secteurs

27 juin 2022

Le 14 juin 2022, la Chambre des communes du Canada a déposé le projet de loi C-26, lequel prévoit l’imposition de diverses obligations en matière de cybersécurité aux organisations désignées exerçant des activités dans quatre secteurs clés sous réglementation fédérale : les télécommunications, les finances, l’énergie et le transport. S'il est adopté, le projet de loi C-26 édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), laquelle établirait un cadre de protection visant les cybersystèmes qui sont considérés comme faisant partie intégrale de l’infrastructure canadienne et de la sécurité publique au Canada.

APPLICABILITÉ AUX EXPLOITANTS DÉSIGNÉS

Si a version actuelle de la LPCE est édictée, les « exploitants désignés » seraient tenus de protéger leurs « cybersystèmes essentiels » (les catégories d’exploitants assujetties à cette loi n’ayant par ailleurs pas encore été définies). S’entend de « cybersystème essentiel » tout cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité de l’un des services ou systèmes critiques présentés ci-après. L'application de la LPCE serait prise en charge par le Centre de la sécurité des télécommunications (le « CST »), soit l’organisme national de cryptologie du Canada, et, selon le secteur d’activité concerné, chacun des organismes de réglementation ci-après :

Service ou système critique

Organisme de réglementation responsable

Services de télécommunication

Ministre de l’Industrie

Systèmes bancaires

Bureau du surintendant des institutions financières (le « BSIF »)

Systèmes de compensations et de règlements

Banque du Canada

Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux

Régie canadienne de l’énergie (la « RCÉ »)

Systèmes d’énergie nucléaire

Commission canadienne de sûreté nucléaire (la « CCSN »)

Systèmes de transport sous réglementation fédérale

Ministre des Transports

FAITS SAILLANTS DE LA LPCE

Voici quelques-unes des obligations prévues à la LPCE que se verrait imposer un exploitant désigné :

  • établir et mettre en œuvre un programme de cybersécurité, et effectuer régulièrement un examen de ce dernier; ce programme doit comporter par ailleurs des mesures ayant pour but de cerner et de gérer les risques organisationnels liés à la cybersécurité;

  • atténuer les risques à l’égard de la cybersécurité qui sont associés à la chaîne d’approvisionnement de l’exploitant désigné ou aux produits et services de tiers déterminés par ce dernier;

  • aviser l’organisme réglementaire compétent de tout changement important survenu dans la propriété ou le contrôle de l’exploitant désigné, ou de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers;

  • se conformer à toute directive de cybersécurité donnée par le Cabinet fédéral ou l’organisme réglementaire compétent et ne pas en divulguer l’existence ni le contenu;

  • tenir des documents relativement à la mise en œuvre de son programme de cybersécurité et à tout incident de cybersécurité; de plus, ces documents doivent être conservés au Canada.

Les exploitants désignés seraient tenus de déclarer les incidents de cybersécurité selon un processus en deux étapes. Un « incident de cybersécurité » se veut un incident qui nuit ou qui peut nuire à la continuité ou à la sécurité d’un service ou système critique, ou encore à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel. En premier lieu, l’exploitant désigné serait tenu de déclarer « sans délai » tout incident de cybersécurité au CST conformément aux règlements pris sous le régime de la LPCE. En 

Les organismes réglementaires compétents se verraient attribuer de vastes pouvoirs en matière d’inspection et de vérification, dont l’application ne serait pas limitée aux locaux des exploitants désignés. Ils pourraient par ailleurs ordonner à un exploitant désigné d’effectuer une vérification interne de ses pratiques, de ses livres et d’autres documents afin de déterminer s’il est conforme à la LPCE.

Le projet de loi C-26 prévoit aussi l’établissement d’un régime de sanctions administratives pécuniaires en cas de non-conformité à la LPCE. Les administrateurs et dirigeants d’un exploitant désigné seraient considérés comme étant parties à la violation de la LPCE s’ils ordonnent ou autorisent la commission de cette violation, ou s’ils y consentent ou y participent. La fourchette des pénalités serait fixée par règlement, mais la LPCE autoriserait une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et dirigeants. La non-conformité à certaines dispositions de la LPCE pourrait, sur déclaration de culpabilité, donner lieu à une amende pénale et/ou à une peine d’emprisonnement.

DISPOSITIONS DU PROJET DE LOI C-26 VISANT DES SECTEURS PARTICULIERS

Télécommunications

Outre l’édiction de la LPCE, le projet de loi C-26 modifierait la Loi sur les télécommunications en y ajoutant la sécurité au nombre des objectifs de la politique canadienne de télécommunication et en attribuant au gouverneur en conseil et au ministre de l’Industrie une série de pouvoirs portant en grande partie sur l’infrastructure et l’équipement du réseau 5G au Canada. En vertu des modifications prévues, le gouvernement fédéral pourrait :

  • interdire aux fournisseurs de services de télécommunication d’utiliser dans leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise, ou leur ordonner de retirer de tels produits;

  • ordonner aux fournisseurs de services de télécommunication de faire ou de s’abstenir de faire toute chose qu’il estime nécessaire pour sécuriser le système canadien de télécommunication;

  • exiger qu’un fournisseur de services de télécommunication élabore un plan de sécurité;

  • exiger que soient menées des évaluations pour repérer toute vulnérabilité dans les services, le réseau ou les installations de télécommunication d’un fournisseur;

  • exiger qu’un fournisseur de services de télécommunication prenne des mesures visant à atténuer toute vulnérabilité dans ses services, son réseau ou ses installations.

Bien que les modifications proposées visent essentiellement les fournisseurs de services de télécommunication canadiens, tant les fournisseurs dotés d’installations que les revendeurs de services de télécommunication devraient passer en revue leur posture en matière de cybersécurité.

Pour en savoir plus sur l’application de la LPCE au secteur des télécommunications, veuillez consulter ce tableau.

Systèmes bancaires et systèmes de compensations et de règlements

En vertu de la LPCE, le Cabinet fédéral pourrait désigner une catégorie d’exploitants au chapitre des « systèmes bancaires » et des « systèmes de compensations et de règlements » qui sont d’une importance critique pour la sécurité nationale ou la sécurité publique. Bien que, pour l’instant, aucune telle catégorie n’ait été établie, une catégorie d’exploitants pourrait inclure les banques d’importance systémique nationale ou les systèmes de compensations et de règlements déjà désignés par la Banque du Canada en vertu de la Loi sur la compensation et le règlement des paiements (la « LCRP »). Or, la LPCE ne limite pas le pouvoir de désignation à ces entités. L'utilisation du terme « système bancaire » dans le projet de loi C-26 laisse entendre également que d’autres types d’institutions financières sous réglementation fédérale, tels que les assureurs, se situeraient à l’extérieur du champ d’application de ce pouvoir de désignation.

Pour les exploitants désignés de systèmes bancaires, les obligations prévues à la LPCE s’ajouteraient à la liste croissante des attentes du BSIF au chapitre de la gestion du cyberrisque, de la gestion du risque lié aux tiers et du signalement des incidents. Au nombre de ces attentes figurent les exigences prévues à la ligne directrice B-13 – Gestion du risque lié aux technologies et du cyberrisque, dont la version finale sera publiée sous peu, ainsi que les exigences établies dans la ligne directrice B-10 – Gestion du risque lié aux tiers, laquelle a été publiée en avril 2022 aux fins de consultation. Les exigences prévues à la LPCE en matière de signalement des incidents de cybersécurité viendraient s’ajouter à celles figurant déjà au préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité, lequel établit que les institutions financières sous réglementation fédérale sont tenues de signaler de tels incidents auprès du BSIF.

Pour les exploitants désignés de systèmes de compensations et de règlements, les exigences prévues à la LPCE viendraient s’ajouter à celles établies par la Banque du Canada dans son document intitulé Cyberrésilience : attentes à l’égard des infrastructures de marchés financiers, lequel a été publié en octobre 2021.

Les institutions financières sous réglementation fédérale sont déjà assujetties à des exigences en matière d’approbation relativement aux changements de contrôle, et les systèmes de compensations et de règlements doivent respecter des exigences générales en matière d’avis et d’approbation en vertu de la LCRP. La LPCE introduirait toutefois une exigence de portée considérablement large en matière d’avis relativement aux changements de contrôle, ainsi qu’aux changements apportés aux chaînes d’approvisionnement et aux produits et services fournis par des tiers. Cette exigence s’appuierait sur la norme du « changement important ». Il reste à voir si, dans les faits, le BSIF et la Banque du Canada seront en mesure de veiller à l’application de cette exigence tout en conservant la gestion de l’information à un niveau raisonnable.

Pour en savoir plus sur l’application de la LPCE aux systèmes bancaires et aux systèmes de compensations et de règlements, veuillez consulter ce tableau.

Systèmes d'énergie 

La LPCE attribuerait des pouvoirs à la RCÉ qui s’ajouteraient à ceux dont elle dispose en vertu de la Loi sur la Régie canadienne de l’énergie. La RCÉ réglemente les pipelines qui traversent les frontières interprovinciales ou la frontière canado-américaine. Notons que la LPCE ne s’applique qu’à ces pipelines et non à ceux dont le tracé se situe uniquement à l’intérieur d’une même province ou d’un même territoire.

La RCÉ a pour rôle d’évaluer si un projet de pipeline répond aux exigences établies en matière d’ingénierie et de sécurité, ainsi qu’aux exigences d’ordre environnemental. La LPCE permettrait à la RCÉ de mener des inspections et des vérifications pour déterminer si un exploitant est conforme aux dispositions de cette loi. En vertu de la Loi sur la Régie canadienne de l’énergie, la RCÉ est habilitée à prendre des règlements en matière de cybersécurité visant les pipelines interprovinciaux et internationaux, bien qu’aucun tel règlement n’ait été pris à ce jour. Les pouvoirs attribués à la RCÉ au chapitre des inspections, des vérifications et de l’infliction de sanctions administratives pécuniaires pour non-conformité à la LPCE constituent donc une expansion du rôle de cet organisme de réglementation.

Les exigences prévues à la LPCE viendraient s’ajouter aux obligations existantes établies dans le Règlement général sur la sûreté et la réglementation nucléaires (le « RGSRN ») visant les exploitants de centrales nucléaires. Ces exploitants connaissent déjà les exigences relatives aux renseignements réglementés, notamment l’obligation de prendre toutes les précautions nécessaires pour prévenir le transfert ou la communication non autorisé par la loi de renseignements réglementés. Bien que le RGSRN établisse des exigences précises en matière de conservation de documents, les exigences prévues à la LPCE sont plus rigoureuses. La CCSN surveille la conformité à ces obligations. La LPCE prévoit des pouvoirs de supervision qui viendraient s’ajouter à ceux dont la CCSN dispose déjà.

Pour en savoir plus sur l’application de la LPCE aux systèmes d’énergie, veuillez consulter ce tableau.

Systèmes de transport

Les exploitants du secteur des transports sous réglementation fédérale, tels que l’aviation, le transport ferroviaire et le transport maritime, ont déjà connaissance des pouvoirs de supervision qu’exerce le ministre des Transports. Même si les obligations préexistantes de ces exploitants comprennent expressément l’atténuation des risques liés à la cybersécurité au moyen de systèmes de gestion de la sécurité ou autrement, la LPCE constitue pour ces exploitants une directive claire pour comprendre et gérer les risques de cybersécurité liés à leurs activités.

Pour en savoir plus sur l’application de la LPCE aux systèmes de transport, veuillez consulter ce tableau.

CONCLUSION

Le projet de loi C-26 a franchi l’étape de la première lecture et pourrait être modifié à mesure qu’il suit son cours au sein du processus législatif. Il reste à voir si, à l’échelle provinciale, des lois similaires visant des secteurs sous réglementation provinciale seront adoptées.

Pour en savoir plus, communiquez avec :

Sunny Handa              514-982-4008
Sahil Kesar                  416-863-2450
John Lenz                     514-982-6308
Vladimir Shatiryan      416-863-4154

ou un autre membre de notre groupe Cybersecurité.

ANNEXE

Services de télécommunication
Portée Les services de télécommunication ont été désignés dans le projet de loi C-26 comme figurant au nombre des services critiques pour la sécurité nationale ou la sécurité publique.


La LPCE autoriserait le Cabinet fédéral à désigner une catégorie d’exploitants à l’égard de ces systèmes; ces exploitants seraient ainsi tenus de se conformer aux exigences prévues à cette loi.

Une telle catégorie d’exploitants pourrait inclure des fournisseurs de services de télécommunications dotés d’installations ainsi que des revendeurs de services de télécommunications.

Organisme de réglementation compétent Le ministre de l’Industrie serait responsable de l’application de la LPCE aux services de télécommunication. Le projet de loi C-26 prévoit également la modification de la Loi sur les télécommunications, en ajoutant la sécurité au nombre des objectifs de la politique canadienne de télécommunication et en accordant au Cabinet fédéral et au ministre de l’Industrie une série de pouvoirs portant en grande partie sur l’infrastructure et l’équipement du réseau 5G au Canada.

Le CST, soit l’organisme national de cryptologie du Canada.
Programmes de cybersécurité Un exploitant désigné serait tenu d’établir un programme de cybersécurité dans les 90 jours suivant la date à laquelle il deviendrait membre d’une catégorie d’exploitants en vertu de la LPCE. Ce programme de cybersécurité devrait :
  1. inclure des mesures raisonnables en vue de cerner et de gérer les risques organisationnels pour la cybersécurité des cybersystèmes essentiels;
  2. inclure des mesures raisonnables en vue de protéger les cybersystèmes essentiels de l’exploitant désigné contre toute compromission, de détecter les incidents de cybersécurité et de réduire au minimum les conséquences de tels incidents;
  3. faire l’objet d’un examen et d’une mise à jour sur une base annuelle, ou plus fréquemment si un règlement le requiert;
  4. être fourni au ministre de l’Industrie; ce dernier devrait par ailleurs être avisé de tout changement apporté par l’exploitant désigné à son programme de cybersécurité par suite d’un examen périodique.
Gestion de la chaîne d'approvisionnements Un exploitant désigné serait tenu de prendre des mesures raisonnables pour atténuer tout risque cerné sur le plan de la cybersécurité qui est associé à sa chaîne d’approvisionnement ou à des produits et services de tiers. Ces mesures devraient être indiquées dans son programme de cybersécurité.
Déclaration de changement de contrôle Un exploitant désigné serait tenu d’aviser le ministère de l’Industrie de tout changement important survenu à la propriété et/ou au contrôle de l’exploitant désigné, ainsi que de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers.
Signalements des incidents de cybersécurité L'exploitant désigné serait tenu de déclarer les incidents de cybersécurité selon un processus en deux étapes. Un « incident de cybersécurité » se veut un incident qui nuit ou qui peut nuire à la continuité ou à la sécurité d’un service ou système critique, ou encore à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel.

En premier lieu, l’exploitant désigné serait tenu de déclarer « sans délai » tout incident de cybersécurité au CST conformément aux règlements pris sous le régime de la LPCE. En second lieu, l’exploitant désigné serait tenu d’aviser le ministre de l’Industrie de l’incident, et ce, sans délai après l’avoir déclaré auprès du CST.
Tenue de documents L'exploitant désigné serait tenu de conserver certains documents, dont des copies des documents concernant les incidents de cybersécurité qu’il a déclarés, ainsi que des preuves des mesures de sécurité et des mesures connexes qu’il aurait prises et qui seraient requises en vertu de la LPCE.

Ces documents devraient être conservés au Canada selon les modalités pouvant être établies par le ministère de l’Industrie ou fixées par règlement.
Conformité aux directives La LPCE attribuerait au Cabinet fédéral de vastes pouvoirs pour donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure prévue dans la directive en vue de la protection d’un cybersystème essentiel.

Le ministre de l’Industrie se verrait aussi attribuer des pouvoirs pour ordonner à un exploitant désigné de cesser de faire toute chose en contravention de la LPCE, ou toute chose qui donnerait vraisemblablement lieu à une contravention à la LPCE, ou de prendre toute mesure nécessaire pour se conformer à la LPCE ou pour atténuer les effets de sa non-conformité à cette dernière.

Pour ce qui est des services, des réseaux et de l’équipement de télécommunication, le ministre de l’Industrie pourrait, entre autres :
  • interdire aux fournisseurs de services de télécommunication d’utiliser dans leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise, ou leur ordonner de retirer de tels produits;
  • ordonner aux fournisseurs de services de télécommunication d’utiliser dans leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise, ou leur ordonner de retirer de tels produits;
  • exiger qu’un fournisseur de services de télécommunication élabore un plan de sécurité;
  • exiger que soient menées des évaluations pour repérer toute vulnérabilité dans les services, les réseaux ou les installations de télécommunication d’un fournisseur;
  • exiger qu’un fournisseur de services de télécommunication prenne des mesures visant à atténuer toute vulnérabilité dans ses services, son réseau ou ses installations.
Restrictions relatives à la communication de renseignements confidentiels La LPCE interdirait la communication de certains renseignements confidentiels obtenus en vertu de cette loi relativement au cybersystème essentiel d’un exploitant désigné. Il serait aussi interdit, de façon générale, de divulguer les directives émises par le Cabinet fédéral ou le ministre de l’Industrie en vertu de la LPCE.
Inspections et vérifications En vertu de la LPCE, le ministre de l’Industrie disposerait de vastes pouvoirs en matière de vérification et d’inspection qui ne se limiteraient pas aux installations et locaux physiques de l’exploitant désigné. 

Par ailleurs, le ministre de l’Industrie pourrait ordonner à un exploitant désigné d’effectuer une vérification interne de ses pratiques, de ses livres et d’autres documents afin de déterminer s’il est conforme à la LPCE.
Application Le projet de loi C-26 prévoit un régime de sanctions administratives pécuniaires lequel s’appliquerait en cas de non-conformité à la LPCE.

Les administrateurs et dirigeants d’un exploitant désigné seraient considérés comme étant parties à la violation de la LPCE s’ils ordonnent ou autorisent la commission de cette violation, ou s’ils y consentent ou y participent.

Selon la LPCE, l’infliction d’une pénalité vise non pas à punir, mais à favoriser le respect de la loi. La LPCE prévoit que la prise des précautions voulues pourrait être invoquée par un exploitant désigné ou ses administrateurs et dirigeants dans le cadre de toute procédure en violation.

La fourchette des pénalités serait fixée par règlement, mais la LPCE autoriserait une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et dirigeants.

La non-conformité à certaines dispositions de la LPCE pourrait, sur déclaration de culpabilité, donner lieu à une amende pénale et/ou à une peine d’emprisonnement.

La LPCE autoriserait également au ministre de l’Industrie de conclure une transaction avec un exploitant désigné à l’égard des obligations de ce dernier en vertu de cette loi.
 
Systèmes bancaires et systèmes de compensation et de règlements
Portée

Les systèmes bancaires et les systèmes de compensations et de règlements ont été désignés dans le projet de loi C-26 comme figurant au nombre des services critiques pour la sécurité nationale ou la sécurité publique.

La LPCE autoriserait le Cabinet fédéral à désigner une catégorie d’exploitants à l’égard de ces systèmes; ces exploitants seraient ainsi tenus de se conformer aux exigences prévues à cette loi.

L’utilisation du terme « système bancaire » dans le projet de loi C-26 laisse entendre que d’autres types d’institutions financières sous réglementation fédérale, tels que les assureurs, se situeraient à l’extérieur du champ d’application de ce pouvoir de désignation.
Organismes de réglementation compétent Le BSIF, pour les systèmes bancaires.

La Banque du Canada, pour les systèmes de compensations et de règlements.

Le CST, soit l’organisme national de cryptologie du Canada
Programmes de cybersécurité Un exploitant désigné serait tenu d’établir un programme de cybersécurité dans les 90 jours suivant la date à laquelle il deviendrait membre d’une catégorie d’exploitants en vertu de la LPCE. Ce programme de cybersécurité devrait :
  1. inclure des mesures raisonnables en vue de cerner et de gérer les risques organisationnels pour la cybersécurité des cybersystèmes essentiels;
  2. inclure des mesures raisonnables en vue de protéger les cybersystèmes essentiels de l’exploitant désigné contre toute compromission, de détecter les incidents de cybersécurité et de réduire au minimum les conséquences de tels incidents;
  3. faire l’objet d’un examen et d’une mise à jour sur une base annuelle, ou plus fréquemment si un règlement le requiert;
  4. être fourni au BSIF et à la Banque du Canada; ces derniers devraient par ailleurs être avisés de tout changement apporté par l’exploitant désigné à son programme de cybersécurité par suite d’un examen périodique.
Pour les exploitants désignés de systèmes bancaires, les obligations prévues à la LPCE s’ajouteraient aux exigences du BSIF au chapitre du risque lié aux technologies et du cyberrisque, lesquelles sont prévues à la ligne directrice B-13 – Gestion du risque lié aux technologies et du cyberrisque, dont la version finale sera publiée sous peu, selon une lettre émise par le BSIF plus tôt ce mois-ci.

Pour les exploitants désignés de systèmes de compensations et de règlements, les exigences prévues à la LPCE viendraient s’ajouter à celles établies par la Banque du Canada dans son document intitulé Cyberrésilience : attentes à l’égard des infrastructures de marchés financiers, lequel a été publié en octobre 2021.
Gestion de la chaîne d'approvisionnements Un exploitant désigné serait tenu de prendre des mesures raisonnables pour atténuer tout risque cerné sur le plan de la cybersécurité qui est associé à sa chaîne d’approvisionnement ou à des produits et services de tiers. Ces mesures devraient être indiquées dans son programme de cybersécurité.

Bien que la LPCE introduise des obligations relativement à l’atténuation des cyberrisques liés à la chaîne d’approvisionnement d’un exploitant désigné, les institutions financières sous réglementation fédérale doivent déjà satisfaire les attentes du BSIF au chapitre de la gestion du risque lié aux tiers. Ces attentes sont indiquées dans la ligne directrice B-10 intitulée Ligne directrice sur la gestion du risque lié aux tiers, laquelle a été mise à jour récemment.
Déclaration de changement de contrôle Un exploitant désigné serait tenu d’aviser le BSIF ou la Banque du Canada, selon le cas, de tout changement important survenu à la propriété et/ou au contrôle de l’exploitant désigné, ainsi que de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers.

Les institutions financières sous réglementation fédérale sont déjà assujetties à des exigences en matière d’approbation relativement aux changements de contrôle, et les systèmes de compensations et de règlements doivent respecter des exigences générales en matière d’avis et d’approbation en vertu de la LCRP. Cela dit, la LPCE introduirait une exigence de portée considérablement large en matière d’avis; cette exigence s’appuyant sur la norme du « changement important ». Il reste à voir si, dans les faits, le BSIF et la Banque du Canada seront en mesure de veiller à l’application de cette exigence tout en conservant la gestion de l’information à un niveau raisonnable, et ce, tant pour les exploitants désignés que pour les organismes de réglementation eux-mêmes.
Signalement des incidents de cybersécurité Lexploitant désigné serait tenu de déclarer les incidents de cybersécurité selon un processus en deux étapes. Un « incident de cybersécurité » se veut un incident qui nuit ou qui peut nuire à la continuité ou à la sécurité d’un service ou système critique, ou encore à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel.

En premier lieu, l’exploitant désigné serait tenu de déclarer « sans délai » tout incident de cybersécurité au CST conformément aux règlements pris sous le régime de la LPCE. En second lieu, l’exploitant désigné serait tenu d’aviser le BSIF ou la Banque du Canada (selon le cas) de l’incident, et ce, sans délai après l’avoir déclaré auprès du CST.

Les exigences prévues à la LPCE en matière de signalement des incidents de cybersécurité viendraient s’ajouter aux exigences figurant déjà au préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité, lequel établit que les institutions financières sous réglementation fédérale sont tenues de signaler de tels incidents auprès du BSIF. Les définitions respectives d’un « incident à signaler » dans ces deux régimes sont similaires, mais elles ne sont pas identiques.
Tenue de documents L'exploitant désigné serait tenu de conserver certains documents, dont des copies des documents concernant les incidents de cybersécurité qu’il a déclarés, ainsi que des preuves des mesures de sécurité et des mesures connexes qu’il aurait prises et qui seraient requises en vertu de la LPCE.

Ces documents devraient être conservés au Canada selon les modalités pouvant être établies par le BSIF et la Banque du Canada ou fixées par règlement.
Conformité aux directives La LPCE attribuerait au Cabinet fédéral de vastes pouvoirs pour donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure prévue dans la directive en vue de la protection d’un cybersystème essentiel.

Le BSIF et la Banque du Canada se verraient aussi attribuer des pouvoirs pour ordonner à un exploitant désigné de cesser de faire toute chose en contravention de la LPCE, ou toute chose qui donnerait vraisemblablement lieu à une contravention à la LPCE, ou de prendre toute mesure nécessaire pour se conformer à la LPCE ou pour atténuer les effets de sa non-conformité à cette dernière.
Restrictions relatives à la communication de renseignements confidentiels La LPCE interdirait la communication de certains renseignements confidentiels obtenus en vertu de cette loi relativement au cybersystème essentiel d’un exploitant désigné. Il serait aussi interdit, de façon générale, de divulguer les directives émises par le Cabinet fédéral ou le BSIF/la Banque du Canada (selon le cas) en vertu de la LPCE.

Les institutions financières et les systèmes de compensations et de règlements ont déjà connaissance des restrictions relatives à la communication des renseignements relatifs à la supervision qui sont prévues à leurs régimes de réglementation respectifs. Par contre, il y a lieu de noter que le régime de la LPCE est quelque peu plus nuancé que ces derniers et qu’il prévoit plusieurs exceptions.
Inspections et vérifications En vertu de la LPCE, le BSIF et la Banque du Canada disposeraient de vastes pouvoirs en matière de vérification et d’inspection qui ne se limiteraient pas aux installations et locaux physiques de l’exploitant désigné.

Par ailleurs, le BSIF ou la Banque du Canada, selon le cas, pourrait ordonner à un exploitant désigné d’effectuer une vérification interne de ses pratiques, de ses livres et d’autres documents afin de déterminer s’il est conforme à la LPCE.
Application Le projet de loi C-26 prévoit un régime de sanctions administratives pécuniaires lequel s’appliquerait en cas de non-conformité à la LPCE.

Les administrateurs et dirigeants d’un exploitant désigné seraient considérés comme étant parties à la violation de la LPCE s’ils ordonnent ou autorisent la commission de cette violation, ou s’ils y consentent ou y participent.

Comme c’est le cas dans d’autres lois concernant les institutions financières, la LPCE indique que l’infliction d’une pénalité vise non pas à punir, mais à favoriser le respect de la loi. La LPCE prévoit que la prise des précautions voulues pourrait être invoquée par un exploitant désigné ou ses administrateurs et dirigeants dans le cadre de toute procédure en violation.

La fourchette des pénalités serait fixée par règlement, mais la LPCE autoriserait une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et dirigeants.

La non-conformité à certaines dispositions de la LPCE pourrait, sur déclaration de culpabilité, donner lieu à une amende pénale et/ou à une peine d’emprisonnement.

La LPCE autoriserait également au BSIF et à la Banque du Canada, selon le cas, de conclure une transaction avec un exploitant désigné à l’égard des obligations de ce dernier en vertu de cette loi.
 
Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux, systèmes d'énergie nucléaire
Portée Les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux et les systèmes d’énergie nucléaire ont été désignés dans le projet de loi C-26 comme figurant au nombre des services critiques pour la sécurité nationale ou la sécurité publique.

La LPCE autoriserait le Cabinet fédéral à désigner une catégorie d’exploitants à l’égard de ces systèmes; ces exploitants seraient ainsi tenus de se conformer aux exigences prévues à cette loi.

Une catégorie d’exploitants pourrait comprendre des pipelines interprovinciaux qui traversent les frontières entre des provinces et/ou des territoires au Canada, ainsi que des pipelines internationaux qui traversent la frontière canado-américaine.

Organisme de réglementation compétent La RCÉ serait l’organisme de réglementation chargé d’appliquer la LPCE à l’égard des systèmes de pipelines et de lignes électriques interprovinciaux et internationaux.

La CCSN serait l’organisme de réglementation chargé d’appliquer la LPCE à l’égard des systèmes d’énergie nucléaire.

La LPCE prévoit également une obligation de signalement auprès du CST, soit l’organisme national de cryptologie du Canada.
Programmes de cybersécurité Un exploitant désigné serait tenu d’établir un programme de cybersécurité dans les 90 jours suivant la date à laquelle il deviendrait membre d’une catégorie d’exploitants en vertu de la LPCE. Ce programme de cybersécurité devrait :
  1. inclure des mesures raisonnables en vue de cerner et de gérer les risques organisationnels pour la cybersécurité des cybersystèmes essentiels;
  2. inclure des mesures raisonnables en vue de protéger les cybersystèmes essentiels de l’exploitant désigné contre toute compromission, de détecter les incidents de cybersécurité et de réduire au minimum les conséquences de tels incidents;
  3. faire l’objet d’un examen et d’une mise à jour sur une base annuelle, ou plus fréquemment si un règlement le requiert;
  4. être fourni à la RCÉ et à la CCSN; ces dernières devraient par ailleurs être avisées de tout changement apporté par l’exploitant désigné à son programme de cybersécurité par suite d’un examen périodique.
Gestion de la chaîne d'approvisionnements Un exploitant désigné serait tenu de prendre des mesures raisonnables pour atténuer tout risque cerné sur le plan de la cybersécurité qui est associé à sa chaîne d’approvisionnement ou à des produits et services de tiers. Ces mesures devraient être indiquées dans son programme de cybersécurité.
Déclaration de changement de contrôle Un exploitant désigné serait tenu d’aviser la RCÉ ou la CCSN, selon le cas, de tout changement important survenu à la propriété et/ou au contrôle de l’exploitant désigné, ainsi que de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers.
Signalement des incidents de cybersécurité L'exploitant désigné serait tenu de déclarer les incidents de cybersécurité selon un processus en deux étapes. Un « incident de cybersécurité » se veut un incident qui nuit ou qui peut nuire à la continuité ou à la sécurité d’un service ou système critique, ou encore à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel.

En premier lieu, l’exploitant désigné serait tenu de déclarer « sans délai » tout incident de cybersécurité au CST conformément aux règlements pris sous le régime de la LPCE. En second lieu, l’exploitant désigné serait tenu d’aviser la RCÉ ou la CCSN de l’incident, et ce, sans délai après l’avoir déclaré auprès du CST.

Pour les exploitants de systèmes d’énergie nucléaire, les obligations relatives au signalement d’incidents de cybersécurité prévues à la LPCE s’ajoutent à celles précisées dans le RGSRN relativement au signalement de tout vol et de toute perte de renseignements réglementés auprès de la CCSN.
Tenue de documents L'exploitant désigné serait tenu de conserver certains documents, dont des copies des documents concernant les incidents de cybersécurité qu’il a déclarés, ainsi que des preuves des mesures de sécurité et des mesures connexes qu’il aurait prises et qui seraient requises en vertu de la LPCE.

Ces documents devraient être conservés au Canada selon les modalités pouvant être établies par la RCÉ ou la CCSN ou fixées par règlement.

Les sociétés d’énergie nucléaire ont déjà connaissance des exigences en matière de tenue de documents qui sont prévues au RGSRN, ainsi que des obligations d’aviser la CCSN de toute aliénation proposée de documents. Il y a lieu de noter toutefois que les exigences prévues à la LPCE en matière de tenue de documents surpassent de loin celles prévues au RGSRN.

Les exploitants de pipelines sous réglementation fédérale ont déjà connaissance quant à eux des exigences en matière de tenue de documents qui sont établies dans le Règlement de la Régie canadienne de l’énergie sur les pipelines terrestres (le « RRCÉPT »). Toutefois, la LPCE prévoit des obligations en matière de tenue de documents qui s’ajouteraient à celles du RRCÉPT et imposerait des exigences additionnelles en la matière.
Conformité aux directives La LPCE attribuerait au Cabinet fédéral de vastes pouvoirs pour donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure prévue dans la directive en vue de la protection d’un cybersystème essentiel.

La RCÉ et la CCSN se verraient aussi attribuer des pouvoirs pour ordonner à un exploitant désigné de cesser de faire toute chose en contravention de la LPCE, ou toute chose qui donnerait vraisemblablement lieu à une contravention à la LPCE, ou de prendre toute mesure nécessaire pour se conformer à la LPCE ou pour atténuer les effets de sa non-conformité à cette dernière.
Restrictions relatives à la communication de renseignements confientiels La LPCE interdirait la communication de certains renseignements confidentiels obtenus en vertu de cette loi relativement au cybersystème essentiel d’un exploitant désigné. Il serait aussi interdit, de façon générale, de divulguer les directives émises par le Cabinet fédéral ou la RCÉ/la CCSN en vertu de la LPCE.
Inspections et vérifications En vertu de la LPCE, la RCÉ et la CCSN disposeraient de vastes pouvoirs en matière de vérification et d’inspection qui ne se limiteraient pas aux installations et locaux physiques de l’exploitant désigné.

Par ailleurs, la RCÉ ou la CCSN, selon le cas, pourrait ordonner à un exploitant désigné d’effectuer une vérification interne de ses pratiques, de ses livres et d’autres documents afin de déterminer s’il est conforme à la LPCE.

Ces vastes pouvoirs en matière d’inspection viendraient s’ajouter à ceux qui sont déjà prévus au RRCÉPT pour la RCÉ, et à ceux prévus à la Loi sur la sûreté et la réglementation nucléaires (la « LSRN ») pour la CCSN.
Application Le projet de loi C-26 prévoit un régime de sanctions administratives pécuniaires lequel s’appliquerait en cas de non-conformité à la LPCE. Les exploitants du secteur de l’énergie nucléaire ont certes connaissance du régime des sanctions administratives prévu au Règlement sur les sanctions administratives pécuniaires de la Commission canadienne de sûreté nucléaire (le « RSAP-CCSN »), tout comme les exploitants de pipelines sous réglementation fédérale ont connaissance du régime de sanctions administratives prévu au Règlement sur les sanctions administratives pécuniaires (Office national de l’énergie) (le « RSAP-ONÉ »).

Les administrateurs et dirigeants d’un exploitant désigné seraient considérés comme étant parties à la violation de la LPCE s’ils ordonnent ou autorisent la commission de cette violation, ou s’ils y consentent ou y participent. Les dispositions de la LPCE à cet effet sont similaires à celles figurant à la LSRN et à la Loi sur la Régie canadienne de l’énergie en la matière.

Selon la LPCE, l’infliction d’une pénalité vise non pas à punir, mais à favoriser le respect de la loi. La LPCE prévoit que la prise des précautions voulues pourrait être invoquée par un exploitant désigné ou ses administrateurs et dirigeants dans le cadre de toute procédure en violation.

La fourchette des pénalités serait fixée par règlement, mais la LPCE autoriserait une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et dirigeants. Ces pénalités seraient considérablement plus élevées que celles prescrites par le RASP-CCSN et le RASP-ONÉ.

La non-conformité à certaines dispositions de la LPCE pourrait, sur déclaration de culpabilité, donner lieu à une amende pénale et/ou à une peine d’emprisonnement.

La LPCE autoriserait également à la RCÉ ou à la CCSN, selon le cas, de conclure une transaction avec un exploitant désigné à l’égard des obligations de ce dernier en vertu de cette loi.
 
Systèmes de transport sous règlementation fédérale
Portée Les systèmes de transport sous réglementation fédérale ont été désignés dans le projet de loi C-26 comme figurant au nombre des services critiques pour la sécurité nationale ou la sécurité publique.

La LPCE autoriserait le Cabinet fédéral à désigner une catégorie d’exploitants à l’égard de ces systèmes; ces exploitants seraient ainsi tenus de se conformer aux exigences prévues à cette loi.
Organismes de réglementation compétent Le ministère des Transports est l’organisme de réglementation chargé d’appliquer la LPCE à l’égard des systèmes de transport sous réglementation fédérale.


La LPCE prévoit également une obligation de signalement auprès du CST, soit l’organisme national de cryptologie du Canada.

Programmes de cybersécurité Un exploitant désigné serait tenu d’établir un programme de cybersécurité dans les 90 jours suivant la date à laquelle il deviendrait membre d’une catégorie d’exploitants en vertu de la LPCE. Ce programme de cybersécurité devrait :
  1. inclure des mesures raisonnables en vue de cerner et de gérer les risques organisationnels pour la cybersécurité des cybersystèmes essentiels;
  2. inclure des mesures raisonnables en vue de protéger les cybersystèmes essentiels de l’exploitant désigné contre toute compromission, de détecter les incidents de cybersécurité et de réduire au minimum les conséquences de tels incidents;
  3. faire l’objet d’un examen et d’une mise à jour sur une base annuelle, ou plus fréquemment si un règlement le requiert;
  4. être fourni au ministre des Transports; ce dernier devrait par ailleurs être avisé de tout changement apporté par l’exploitant désigné à son programme de cybersécurité par suite d’un examen périodique.
Pour les exploitants ferroviaires et les exploitants d’aéronefs, ces obligations viendraient s’ajouter aux exigences en matière de système de gestion de la sécurité prévues, respectivement, au Règlement de 2015 sur le système de gestion de la sécurité ferroviaire et au Règlement de l’aviation canadien.
Gestion de la chaîne d'approvisionnements Un exploitant désigné serait tenu de prendre des mesures raisonnables pour atténuer tout risque cerné sur le plan de la cybersécurité qui est associé à sa chaîne d’approvisionnement ou à des produits et services de tiers. Ces mesures devraient être indiquées dans son programme de cybersécurité.
Déclaration de changement de contrôle Un exploitant désigné serait tenu d’aviser le ministre des Transports de tout changement important survenu à la propriété et/ou au contrôle de l’exploitant désigné, ainsi que de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers.
Signalement des incidents de cybersécurité L'exploitant désigné serait tenu de déclarer les incidents de cybersécurité selon un processus en deux étapes. Un « incident de cybersécurité » se veut un incident qui nuit ou qui peut nuire à la continuité ou à la sécurité d’un service ou système critique, ou encore à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel.

En premier lieu, l’exploitant désigné serait tenu de déclarer « sans délai » tout incident de cybersécurité au CST conformément aux règlements pris sous le régime de la LPCE. En second lieu, l’exploitant désigné serait tenu d’aviser le ministre des Transports de l’incident, et ce, sans délai après l’avoir déclaré auprès du CST.
Tenue de documents L'exploitant désigné serait tenu de conserver certains documents, dont des copies des documents concernant les incidents de cybersécurité qu’il a déclarés, ainsi que des preuves des mesures de sécurité et des mesures connexes qu’il aurait prises et qui seraient requises en vertu de la LPCE.

Ces documents devraient être conservés au Canada selon les modalités pouvant être établies par le ministre des Transports ou fixées par règlement.
Conformité aux directives La LPCE attribuerait au Cabinet fédéral de vastes pouvoirs pour donner des directives enjoignant à un exploitant désigné de se conformer à toute mesure prévue dans la directive en vue de la protection d’un cybersystème essentiel.

Le ministre de l’Industrie se verrait aussi attribuer des pouvoirs pour ordonner à un exploitant désigné de cesser de faire toute chose en contravention de la LPCE, ou toute chose qui donnerait vraisemblablement lieu à une contravention à la LPCE, ou de prendre toute mesure nécessaire pour se conformer à la LPCE ou pour atténuer les effets de sa non-conformité à cette dernière.

Ces pouvoirs seraient similaires à ceux dont dispose déjà le ministre des Transports en vertu de la Loi sur l’aéronautique et de la Loi sur la sécurité ferroviaire (la « LSF »).
Restrictions relatives à la communication de renseignements confidentiels La LPCE interdirait la communication de certains renseignements confidentiels obtenus en vertu de cette loi relativement au cybersystème essentiel d’un exploitant désigné. Il serait aussi interdit, de façon générale, de divulguer les directives émises par le Cabinet fédéral ou le ministre des Transports en vertu de la LPCE
Inspections et vérifications En vertu de la LPCE, le ministre des Transports disposerait de vastes pouvoirs en matière de vérification et d’inspection qui ne se limiteraient pas aux installations et locaux physiques de l’exploitant désigné.

Par ailleurs, le ministre des Transports pourrait ordonner à un exploitant désigné d’effectuer une vérification interne de ses pratiques, de ses livres et d’autres documents afin de déterminer s’il est conforme à la LPCE.

Les exploitants d’aéronefs, les exploitants ferroviaires et les exploitants de transport maritime ont déjà connaissance des pouvoirs de portée similairement vaste en matière d’inspection dont dispose le ministre des Transports en vertu, respectivement, du Règlement de l’aviation canadien, de la LSF et de la Loi de 2001 sur la marine marchande (la « LMM »).
Application Le projet de loi C-26 prévoit un régime de sanctions administratives pécuniaires lequel s’appliquerait en cas de non-conformité à la LPCE. Les exploitants ferroviaires et les exploitants de transport maritime ont déjà connaissance des régimes de sanctions prévus, respectivement, au Règlement sur les sanctions administratives pécuniaires relatives à la sécurité ferroviaire (le « RSAPRSF ») et au Règlement sur les sanctions administratives pécuniaires et les avis (LMMC 2001) (le « RSAPA-LMMC »).

Les administrateurs et dirigeants d’un exploitant désigné seraient considérés comme étant parties à la violation de la LPCE s’ils ordonnent ou autorisent la commission de cette violation, ou s’ils y consentent ou y participent.

Selon la LPCE, l’infliction d’une pénalité vise non pas à punir, mais à favoriser le respect de la loi. La LPCE prévoit que la prise des précautions voulues pourrait être invoquée par un exploitant désigné ou ses administrateurs et dirigeants dans le cadre de toute procédure en violation.

La fourchette des pénalités serait fixée par règlement, mais la LPCE autoriserait une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et dirigeants. Ces pénalités seraient considérablement plus élevées que celles prévues au RSAPRSF pour les exploitants ferroviaires et au RSAPA-LMMC pour les exploitants de transport maritime.

La non-conformité à certaines dispositions de la LPCE pourrait, sur déclaration de culpabilité, donner lieu à une amende pénale et/ou à une peine d’emprisonnement.

La LPCE autoriserait également au ministre des Transports de conclure une transaction avec un exploitant désigné à l’égard des obligations de ce dernier en vertu de cette loi.
 
 
Plus de ressources