Note pour la période des questions : PROJET DE LOI C-26 : LOI CONCERNANT LA CYBERSÉCURITÉ, MODIFIANT LA LOI SUR LES TÉLÉCOMMUNICATIONS ET APPORTANT DES MODIFICATIONS CORRÉLATIVES À D’AUTRES LOIS

Quel est l’objectif du projet de loi C-26?

• Le Canada doit prendre des mesures pour protéger les infrastructures essentielles, notamment la sécurité et la fiabilité des réseaux canadiens.

• Par le biais du projet de loi C-26, le gouvernement du Canada propose de renforcer le cadre canadien des télécommunications pour répondre aux risques, qu'il s'agisse de cybermenaces, de catastrophes naturelles, ou de conditions météorologiques exceptionnelles.

• Les modifications à la Loi sur les télécommunications, telles qu'elles sont prévues, donneraient au gouvernement une autorité législative pour favoriser la sécurité du système de télécommunications du Canada.

• Par exemple, la législation permettrait au gouvernement d'interdire aux fournisseurs de services l'utilisation de produits et de services provenant de certains fournisseurs, si ces fournisseurs représentent un risque pour la sécurité et la fiabilité des réseaux canadiens.

• Le 14 juin 2022, le gouvernement du Canada a déposé le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

• Le projet de loi a fait l'objet d'un examen systématique de chaque article par le Comité permanent de la sécurité publique et nationale (SECU) le 8 avril 2024.

• Le projet de loi C-26 comprend deux volets principaux :

• La partie 1 du projet de loi C-26 propose des modifications à la Loi sur les télécommunications (LT) qui établiraient de nouveaux pouvoirs permettant au gouvernement de prendre des mesures pour promouvoir la sécurité du système canadien de télécommunications, ce qui pourrait inclure la prise de mesures à l’égard des fournisseurs à haut risque, ainsi que des pouvoirs de diffusion de l’information et d’application de la loi.
o Un nouvel objectif stratégique serait ajouté pour promouvoir la sécurité du système canadien de télécommunications, permettant au ministre de l’Industrie et au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) de prendre en compte cet objectif lorsqu’ils exercent leurs pouvoirs respectifs en vertu de la LT. La Loi sur la radiocommunication, qui intègre les objectifs de la LT par référence, permettrait de faire la même chose.
o La législation permettrait au gouverneur en conseil d’imposer des interdictions sur l’utilisation de produits et de services de fournisseurs particuliers par les fournisseurs de services de télécommunications (FST) du Canada, si ces produits posent un risque pour la sécurité et la fiabilité du système de télécommunications canadien.
o Des pouvoirs supplémentaires visant à promouvoir la sécurité générale du système canadien de télécommunications seraient conférés au ministre de l’Industrie. Le ministre serait également doté de pouvoirs d’échange d’informations et d’application de la loi.
• La partie 2 du projet de loi C-26 édicte la Loi sur la protection des cybersystèmes essentiels, qui établit un cadre réglementaire visant à renforcer la cybersécurité de base des services et des systèmes essentiels à la sécurité nationale et à la sécurité publique, et donne au gouvernement un nouvel outil pour répondre aux nouvelles menaces cybernétiques. Elle introduirait également un régime de réglementation exigeant des exploitants désignés dans les secteurs des finances, des télécommunications, de l’énergie et des transports qu’ils protègent leurs cybersystèmes essentiels. La législation comble des lacunes de longue date dans la capacité du gouvernement à protéger les services et systèmes essentiels dont dépendent les Canadiens, en lui permettant de :
o désigner les services et les systèmes qui sont essentiels à la sécurité nationale ou à la sécurité publique au Canada, ainsi que les exploitants ou les catégories d’exploitants responsables de leur protection;
o veiller à ce que les exploitants désignés protègent les cybersystèmes qui sont à la base des infrastructures essentielles du Canada;
o veiller à ce que les incidents cybernétiques qui atteignent ou dépassent un seuil donné soient signalés;
o contraindre les organisations à prendre des mesures en réponse à une menace ou à une vulnérabilité détectée en matière de cybersécurité;
o garantir une approche intersectorielle cohérente de la cybersécurité en réponse à l’interdépendance croissante des cybersystèmes.

• Le Comité permanent de la sécurité publique et nationale (SECU) de la Chambre des communes a apporté plusieurs modifications au projet de loi C-26 en réponse aux préoccupations exprimées par les intervenants et le grand public.

o Les parties intéressées de l'industrie ont généralement appuyé le projet de loi et compris ses objectifs, mais ont soulevé des préoccupations au cours de l'étude en comité au sujet de la protection de la vie privée, de la transparence, de la surveillance et des coûts.
o Des modifications ont été apportées pour répondre à ces préoccupations majeures, notamment en ajoutant du texte apportant des précisions sur le traitement des renseignements personnels et confidentiels et le renforcement des mesures de protection à cet égard, et pour introduire des mesures de transparence relativement aux nouveaux pouvoirs.

o Les représentants de l'industrie se sont surtout exprimés sur le pouvoir relatif à l’imposition de sanctions pécuniaires. En réponse, la possibilité d'invoquer un moyen de défense fondé sur le respect des exigences de « diligence raisonnable » a été ajoutée, afin d'offrir une protection accrue au secteur.

o Ces changements répondent aux principales préoccupations des parties intéressées, tout en permettant d'atteindre les objectifs visés par les dispositions législatives.

En cas d'insistance sur l'état d'avancement du projet de loi C-26

• Le projet de loi a été adopté par la Chambre des communes avec le soutien ferme de membres de tous les partis.

• Nous avons particulièrement apprécié le travail acharné effectué en comité pour mener à bien l’étude du projet de loi et le renforcer davantage.

• Grâce aux commentaires judicieux des intervenants, les modifications ajoutent désormais des précisions sur le traitement des renseignements personnels et confidentiels, des mesures de transparence améliorées proposées dans le projet de loi, ainsi que la possibilité d'invoquer un moyen de défense fondé sur le respect des exigences de « diligence raisonnable » afin d'offrir une protection accrue au secteur.

• Le gouvernement du Canada attend avec impatience l'adoption de ce projet de loi important pour la protection du système de télécommunications du Canada.

En cas d'insistance sur les actions globales

• Les infrastructures essentielles du Canada sont de plus en plus interconnectées, interdépendantes et intégrées aux cybersystèmes, en particulier avec l’émergence de nouvelles technologies telles que la 5G.
• Les modifications législatives proposées s’alignent sur les mesures prises par les partenaires du Canada faisant partie du Groupe des cinq et permettront au Canada de prendre des mesures énergiques contre les menaces qui pèsent sur la sécurité de notre secteur des télécommunications.