Le 14 juin 2022, la Chambre des communes du Canada a déposé le projet de loi C-26, lequel prévoit l’imposition de diverses obligations en matière de cybersécurité aux organisations désignées exerçant des activités dans quatre secteurs clés sous réglementation fédérale : les télécommunications, les finances, l’énergie et le transport. S'il est adopté, le projet de loi C-26 édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), laquelle établirait un cadre de protection visant les cybersystèmes qui sont considérés comme faisant partie intégrale de l’infrastructure canadienne et de la sécurité publique au Canada.
APPLICABILITÉ AUX EXPLOITANTS DÉSIGNÉS
Si a version actuelle de la LPCE est édictée, les « exploitants désignés » seraient tenus de protéger leurs « cybersystèmes essentiels » (les catégories d’exploitants assujetties à cette loi n’ayant par ailleurs pas encore été définies). S’entend de « cybersystème essentiel » tout cybersystème dont la compromission, en ce qui touche la confidentialité, l’intégrité ou la disponibilité, pourrait menacer la continuité ou la sécurité de l’un des services ou systèmes critiques présentés ci-après. L'application de la LPCE serait prise en charge par le Centre de la sécurité des télécommunications (le « CST »), soit l’organisme national de cryptologie du Canada, et, selon le secteur d’activité concerné, chacun des organismes de réglementation ci-après :
FAITS SAILLANTS DE LA LPCE
Voici quelques-unes des obligations prévues à la LPCE que se verrait imposer un exploitant désigné :
-
établir et mettre en œuvre un programme de cybersécurité, et effectuer régulièrement un examen de ce dernier; ce programme doit comporter par ailleurs des mesures ayant pour but de cerner et de gérer les risques organisationnels liés à la cybersécurité;
-
atténuer les risques à l’égard de la cybersécurité qui sont associés à la chaîne d’approvisionnement de l’exploitant désigné ou aux produits et services de tiers déterminés par ce dernier;
-
aviser l’organisme réglementaire compétent de tout changement important survenu dans la propriété ou le contrôle de l’exploitant désigné, ou de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers;
-
se conformer à toute directive de cybersécurité donnée par le Cabinet fédéral ou l’organisme réglementaire compétent et ne pas en divulguer l’existence ni le contenu;
-
tenir des documents relativement à la mise en œuvre de son programme de cybersécurité et à tout incident de cybersécurité; de plus, ces documents doivent être conservés au Canada.
Les exploitants désignés seraient tenus de déclarer les incidents de cybersécurité selon un processus en deux étapes. Un « incident de cybersécurité » se veut un incident qui nuit ou qui peut nuire à la continuité ou à la sécurité d’un service ou système critique, ou encore à la confidentialité, à l’intégrité ou à la disponibilité du cybersystème essentiel. En premier lieu, l’exploitant désigné serait tenu de déclarer « sans délai » tout incident de cybersécurité au CST conformément aux règlements pris sous le régime de la LPCE. En
Les organismes réglementaires compétents se verraient attribuer de vastes pouvoirs en matière d’inspection et de vérification, dont l’application ne serait pas limitée aux locaux des exploitants désignés. Ils pourraient par ailleurs ordonner à un exploitant désigné d’effectuer une vérification interne de ses pratiques, de ses livres et d’autres documents afin de déterminer s’il est conforme à la LPCE.
Le projet de loi C-26 prévoit aussi l’établissement d’un régime de sanctions administratives pécuniaires en cas de non-conformité à la LPCE. Les administrateurs et dirigeants d’un exploitant désigné seraient considérés comme étant parties à la violation de la LPCE s’ils ordonnent ou autorisent la commission de cette violation, ou s’ils y consentent ou y participent. La fourchette des pénalités serait fixée par règlement, mais la LPCE autoriserait une pénalité maximale de 15 M$ CA pour les exploitants désignés et de 1 M$ CA pour les administrateurs et dirigeants. La non-conformité à certaines dispositions de la LPCE pourrait, sur déclaration de culpabilité, donner lieu à une amende pénale et/ou à une peine d’emprisonnement.
DISPOSITIONS DU PROJET DE LOI C-26 VISANT DES SECTEURS PARTICULIERS
Télécommunications
Outre l’édiction de la LPCE, le projet de loi C-26 modifierait la Loi sur les télécommunications en y ajoutant la sécurité au nombre des objectifs de la politique canadienne de télécommunication et en attribuant au gouverneur en conseil et au ministre de l’Industrie une série de pouvoirs portant en grande partie sur l’infrastructure et l’équipement du réseau 5G au Canada. En vertu des modifications prévues, le gouvernement fédéral pourrait :
-
interdire aux fournisseurs de services de télécommunication d’utiliser dans leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise, ou leur ordonner de retirer de tels produits;
-
ordonner aux fournisseurs de services de télécommunication de faire ou de s’abstenir de faire toute chose qu’il estime nécessaire pour sécuriser le système canadien de télécommunication;
-
exiger qu’un fournisseur de services de télécommunication élabore un plan de sécurité;
-
exiger que soient menées des évaluations pour repérer toute vulnérabilité dans les services, le réseau ou les installations de télécommunication d’un fournisseur;
-
exiger qu’un fournisseur de services de télécommunication prenne des mesures visant à atténuer toute vulnérabilité dans ses services, son réseau ou ses installations.
Bien que les modifications proposées visent essentiellement les fournisseurs de services de télécommunication canadiens, tant les fournisseurs dotés d’installations que les revendeurs de services de télécommunication devraient passer en revue leur posture en matière de cybersécurité.
Systèmes bancaires et systèmes de compensations et de règlements
En vertu de la LPCE, le Cabinet fédéral pourrait désigner une catégorie d’exploitants au chapitre des « systèmes bancaires » et des « systèmes de compensations et de règlements » qui sont d’une importance critique pour la sécurité nationale ou la sécurité publique. Bien que, pour l’instant, aucune telle catégorie n’ait été établie, une catégorie d’exploitants pourrait inclure les banques d’importance systémique nationale ou les systèmes de compensations et de règlements déjà désignés par la Banque du Canada en vertu de la Loi sur la compensation et le règlement des paiements (la « LCRP »). Or, la LPCE ne limite pas le pouvoir de désignation à ces entités. L'utilisation du terme « système bancaire » dans le projet de loi C-26 laisse entendre également que d’autres types d’institutions financières sous réglementation fédérale, tels que les assureurs, se situeraient à l’extérieur du champ d’application de ce pouvoir de désignation.
Pour les exploitants désignés de systèmes bancaires, les obligations prévues à la LPCE s’ajouteraient à la liste croissante des attentes du BSIF au chapitre de la gestion du cyberrisque, de la gestion du risque lié aux tiers et du signalement des incidents. Au nombre de ces attentes figurent les exigences prévues à la ligne directrice B-13 – Gestion du risque lié aux technologies et du cyberrisque, dont la version finale sera publiée sous peu, ainsi que les exigences établies dans la ligne directrice B-10 – Gestion du risque lié aux tiers, laquelle a été publiée en avril 2022 aux fins de consultation. Les exigences prévues à la LPCE en matière de signalement des incidents de cybersécurité viendraient s’ajouter à celles figurant déjà au préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité, lequel établit que les institutions financières sous réglementation fédérale sont tenues de signaler de tels incidents auprès du BSIF.
Pour les exploitants désignés de systèmes de compensations et de règlements, les exigences prévues à la LPCE viendraient s’ajouter à celles établies par la Banque du Canada dans son document intitulé Cyberrésilience : attentes à l’égard des infrastructures de marchés financiers, lequel a été publié en octobre 2021.
Les institutions financières sous réglementation fédérale sont déjà assujetties à des exigences en matière d’approbation relativement aux changements de contrôle, et les systèmes de compensations et de règlements doivent respecter des exigences générales en matière d’avis et d’approbation en vertu de la LCRP. La LPCE introduirait toutefois une exigence de portée considérablement large en matière d’avis relativement aux changements de contrôle, ainsi qu’aux changements apportés aux chaînes d’approvisionnement et aux produits et services fournis par des tiers. Cette exigence s’appuierait sur la norme du « changement important ». Il reste à voir si, dans les faits, le BSIF et la Banque du Canada seront en mesure de veiller à l’application de cette exigence tout en conservant la gestion de l’information à un niveau raisonnable.
Systèmes d'énergie
La LPCE attribuerait des pouvoirs à la RCÉ qui s’ajouteraient à ceux dont elle dispose en vertu de la Loi sur la Régie canadienne de l’énergie. La RCÉ réglemente les pipelines qui traversent les frontières interprovinciales ou la frontière canado-américaine. Notons que la LPCE ne s’applique qu’à ces pipelines et non à ceux dont le tracé se situe uniquement à l’intérieur d’une même province ou d’un même territoire.
La RCÉ a pour rôle d’évaluer si un projet de pipeline répond aux exigences établies en matière d’ingénierie et de sécurité, ainsi qu’aux exigences d’ordre environnemental. La LPCE permettrait à la RCÉ de mener des inspections et des vérifications pour déterminer si un exploitant est conforme aux dispositions de cette loi. En vertu de la Loi sur la Régie canadienne de l’énergie, la RCÉ est habilitée à prendre des règlements en matière de cybersécurité visant les pipelines interprovinciaux et internationaux, bien qu’aucun tel règlement n’ait été pris à ce jour. Les pouvoirs attribués à la RCÉ au chapitre des inspections, des vérifications et de l’infliction de sanctions administratives pécuniaires pour non-conformité à la LPCE constituent donc une expansion du rôle de cet organisme de réglementation.
Les exigences prévues à la LPCE viendraient s’ajouter aux obligations existantes établies dans le Règlement général sur la sûreté et la réglementation nucléaires (le « RGSRN ») visant les exploitants de centrales nucléaires. Ces exploitants connaissent déjà les exigences relatives aux renseignements réglementés, notamment l’obligation de prendre toutes les précautions nécessaires pour prévenir le transfert ou la communication non autorisé par la loi de renseignements réglementés. Bien que le RGSRN établisse des exigences précises en matière de conservation de documents, les exigences prévues à la LPCE sont plus rigoureuses. La CCSN surveille la conformité à ces obligations. La LPCE prévoit des pouvoirs de supervision qui viendraient s’ajouter à ceux dont la CCSN dispose déjà.
Systèmes de transport
Les exploitants du secteur des transports sous réglementation fédérale, tels que l’aviation, le transport ferroviaire et le transport maritime, ont déjà connaissance des pouvoirs de supervision qu’exerce le ministre des Transports. Même si les obligations préexistantes de ces exploitants comprennent expressément l’atténuation des risques liés à la cybersécurité au moyen de systèmes de gestion de la sécurité ou autrement, la LPCE constitue pour ces exploitants une directive claire pour comprendre et gérer les risques de cybersécurité liés à leurs activités.
CONCLUSION
Le projet de loi C-26 a franchi l’étape de la première lecture et pourrait être modifié à mesure qu’il suit son cours au sein du processus législatif. Il reste à voir si, à l’échelle provinciale, des lois similaires visant des secteurs sous réglementation provinciale seront adoptées.
ANNEXE