Projet de loi C-26 : l’importance accrue de la cybersécurité au Canada

Le 14 juin, la Chambre des communes a présenté le projet de loi C-26 : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (projet de loi C-26). Ce projet de loi comporte deux parties : 

• la première partie modifie la Loi sur les télécommunications pour promouvoir la sécurité du système canadien de télécommunication; 
• la deuxième partie édicte la Loi sur la protection des cybersystèmes essentiels (LPCE), qui a pour objet de protéger les cybersystèmes et les cyberservices essentiels qui sont d’une importance critique pour la sécurité nationale ou la sécurité publique ou qui sont assurés ou exploités dans le cadre de la compétence législative du Parlement (collectivement, les Lois). 

En vertu des deux Lois, le gouverneur en conseil (gouverneur) et le ministre de l’Industrie (ministre) se verront accorder des pouvoirs additionnels. Bien qu’il semble que l’application générale du projet de loi C-26 et les pouvoirs qui y sont conférés incomberont au ministre, le gouverneur aura aussi le pouvoir d’intervenir directement pour sécuriser les systèmes et les services essentiels pour le Canada, ce qui pourra être utile lorsqu’une situation nécessitera une réponse rapide. 

Partie I : modification de la Loi sur les télécommunications

Le gouvernement canadien a prévu que les rançongiciels continueront de poser une menace à la sécurité et à la prospérité économique du Canada. Pour protéger le Canada contre ces menaces, et pour assurer un équilibre entre l’intégration des nouvelles technologies et le besoin continu en matière de cybersécurité, la Loi sur les télécommunications sera modifiée pour promouvoir la sécurité du système canadien de télécommunication comme objectif stratégique. Les modifications auront une incidence sur toutes les installations de transmission des entreprises canadiennes, notamment les fournisseurs de services téléphoniques locaux, les fournisseurs de services de voix sur IP, les fournisseurs de services Internet, les fournisseurs de services interurbains et les fournisseurs de services sans fil et de téléphones publics.

Sécurité du système canadien de télécommunication

Ces modifications accordent au gouverneur des pouvoirs spécifiques lui permettant de sécuriser le système canadien de télécommunication. Si le gouverneur estime que la sécurité du système de télécommunication est menacée, soit par ingérence, manipulation ou perturbation, il peut interdire aux fournisseurs de services de télécommunication d’utiliser ou de fournir certains produits et/ou services, que l’autre partie en question soit un particulier ou un fournisseur de services. De même, le gouverneur peut interdire aux fournisseurs de services de télécommunication de fournir des services à une personne en particulier, notamment un fournisseur de services de télécommunication, ou suspendre les services pendant une période donnée.

Le ministre peut de même, par décret : 

• interdire aux fournisseurs de services de télécommunication d’utiliser, ou leur ordonner de retirer, tout produit donné de leur offre de services; 
• interdire aux fournisseurs de services de télécommunication de fournir des services à une personne en particulier, y compris un autre fournisseur de services de télécommunication, leur ordonner de suspendre la fourniture de services à une telle personne ou leur imposer des conditions à cet égard; 
• interdire aux fournisseurs de services de télécommunication de conclure des ententes de service visant leur réseau ou leurs installations de télécommunication, ou exiger qu’ils mettent fin à des ententes de service en particulier; 
• exiger que les fournisseurs de services de télécommunication élaborent un plan de sécurité lié à leurs services de télécommunication, notamment mener des évaluations pour repérer toute vulnérabilité et prendre des mesures pour atténuer toute vulnérabilité; 
• exiger que les fournisseurs de services de télécommunication mettent en œuvre des normes réglementaires relativement à leurs services, à leurs réseaux ou à leurs installations, entre autres. 

De plus, le gouverneur aura le pouvoir d’adopter des règlements relatifs aux ordonnances susmentionnées.

Pour favoriser la conformité, les fournisseurs de services de télécommunication peuvent être assujettis à des sanctions administratives pécuniaires (SAP) pouvant atteindre 10 M$ CA pour chacun des jours au cours desquels se continue une violation, et pouvant atteindre 15 M$ CA en cas de récidive. 

Partie II : édiction de la LPCE

La LPCE a pour objet la protection de cybersystèmes essentiels dans le secteur privé sous réglementation fédérale. Un « cybersystème essentiel » désigne un cybersystème dont la compromission pourrait menacer la continuité ou la sécurité d’un service critique ou d’un système critique. Selon l’annexe 1 à la LPCE, ces services critiques ou systèmes critiques sont les suivants : i) services de télécommunication; ii) systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux; iii) systèmes d’énergie nucléaire; iv) systèmes de transport relevant de la compétence législative du Parlement (de compétence fédérale); v) systèmes bancaires; et vi) systèmes de compensations et de règlements. 

La LPCE a pour objet ce qui suit :

• permettre d’identifier et de gérer les risques à l’égard de la cybersécurité, notamment les risques associés aux chaînes d’approvisionnement et à l’utilisation de produits et services de tiers; 
• protéger les cybersystèmes essentiels contre toute compromission; 
• permettre de détecter les incidents de cybersécurité; 
• réduire au minimum les conséquences des incidents de cybersécurité qui touchent les cybersystèmes essentiels.

Si elle est adoptée, la LPCE s’appliquera à une catégorie d’exploitants qui exercent un travail sous réglementation fédérale et à l’organisme réglementaire pour cette catégorie. Sous réserve de toute prolongation accordée par l’organisme réglementaire, tous les exploitants visés par cette définition auront 90 jours pour établir un programme de cybersécurité qui répond aux quatre objectifs énoncés ci-dessus et pour en aviser l’organisme réglementaire et lui fournir son programme. En vertu de la LPCE, les exploitants doivent examiner leur programme tous les ans, ou comme il est autrement prescrit par la réglementation, et aviser l’organisme réglementaire de toute modification qui y est apportée.

En vertu de la LPCE, le gouverneur peut, par décret, donner des directives enjoignant aux exploitants de se conformer à toute mesure prévue dans la directive en vue de la protection d’un cybersystème essentiel. Les exploitants ne sont pas autorisés à communiquer le contenu de la directive, sauf dans certains cas limités. 

Si des risques à l’égard de la cybersécurité associés à la chaîne d’approvisionnement de l’exploitant ou à son utilisation de produits et services de tiers ont été identifiés, l’exploitant doit prendre des mesures raisonnables afin d’atténuer ces risques. Bien que la Loi ne donne aucune indication quant aux mesures qui seront requises de la part des exploitants, ces mesures pourraient être prescrites ultérieurement dans les règlements.

Pour obtenir des conseils ou des services du Centre de la sécurité des télécommunications (CST) ou en ce qui concerne l’exercice des obligations d’un organisme réglementaire, l’organisme réglementaire compétent peut fournir au CST tous les renseignements, y compris confidentiels, concernant le programme de cybersécurité d’un exploitant.

La Loi traite également des incidents de cybersécurité, qui s’entendent, relativement à un cybersystème essentiel, d’un incident, notamment acte, omission ou situation, qui nuit ou peut nuire soit à la continuité ou à la sécurité d’un service critique ou d’un système critique, soit à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel. Aucune indication n’est donnée quant à ce qui constituerait une nuisance en vertu de la Loi. En cas d’incident de cybersécurité, un exploitant désigné doit déclarer sans délai l’incident au CST et à l’organisme réglementaire approprié. À l’heure actuelle, la Loi ne prescrit aucun échéancier ni ne donne d’autre indication quant à l’interprétation du terme « sans délai ». 

Points à retenir

Le secteur de la cybersécurité canadienne évolue constamment, et la présentation du projet de loi C-26 tient compte de cette réalité. À mesure que le projet de loi C-26 franchira les prochaines étapes, il sera intéressant de voir comment les modifications apportées aux deux Lois façonneront le secteur de la cybersécurité au Canada. 

Même s’il est évident que la propension du Canada au risque lié à la cybersécurité est faible, compte tenu de l’absence de réglementation, des incertitudes subsistent quant au caractère détaillé à donner aux programmes de cybersécurité ou quant à la manière dont les secteurs d’activité devront modifier leurs ententes et leurs politiques existantes pour tenir compte de ces modifications. Néanmoins, le projet de loi C-26 présenté par le gouvernement canadien s’inscrit dans la foulée de certaines initiatives prises par le gouvernement américain et d’autres pays relativement à la sensibilisation à la cybersécurité et aux réponses à cet égard en ce qui concerne les infrastructures essentielles, et il reflète plusieurs exigences mises en place dans ces autres pays.  

Pour le moment, le projet de loi C-26 a franchi l’étape de la première lecture à la Chambre des communes. Tandis qu’il suit son cours dans le processus législatif, nous continuerons de fournir des mises à jour sur sa mise en œuvre.