Notes des comités parlementaires : Questions et réponses - Loi sur la protection des cybersystèmes essentiels

Partie 2 : Loi sur la protection des cybersystèmes essentiels

I. Généralités

Q1. Quel est l'objectif du projet de loi C-26, Loi concernant la cybersécurité?

La première partie du projet de loi vise à modifier la Loi sur les télécommunications afin d'ajouter la sécurité à titre d'objectif politique et de conférer de nouvelles compétences en matière de sécurité au gouverneur en conseil et au ministre de l'Industrie. Cela permettrait d'aligner le cadre réglementaire des télécommunications sur celui d'autres secteurs critiques.

La partie 2 du projet de loi introduit la Loi sur la protection des cybersystèmes essentiels (LPCE), qui vise à protéger les cybersystèmes essentiels qui sous-tendent les infrastructures essentielles du Canada dans les secteurs de la finance, des télécommunications, de l'énergie et des transports.

Q2. Quel est l'objectif de la Loi sur la protection des cybersystèmes essentiels?

La LPCE vise à protéger les cybersystèmes essentiels qui sous-tendent les infrastructures essentielles du Canada dans les secteurs de la finance, des télécommunications, de l'énergie et des transports.

La LPCE établirait un cadre réglementaire pour améliorer la cybersécurité des services et des systèmes qui sont essentiels à la sécurité nationale et à la sécurité publique en :

Dans la mesure du possible, cette législation s'appuierait sur les autorités existantes en matière de sécurité, les renforcerait et introduirait des outils réglementaires supplémentaires (p. ex., obligation de signaler les incidents).

Q3. Quel est le problème que cette loi vise à régler?

Cette législation vise à combler des lacunes de longue date dans la capacité du gouvernement à protéger les services et systèmes vitaux dont dépendent les Canadiens. Il s'agit notamment de :

Des infrastructures essentielles sûres et résilientes sont nécessaires à la sécurité et au bien-être des Canadiens, et elles appuient la croissance et la reprise économiques du pays.

Q4. Pourquoi le gouvernement présente-t-il deux initiatives législatives/réglementaires dans le secteur des télécommunications? Comment ces initiatives se complètent-elles? En quoi les dispositions de la LPCE diffèrent-t-elles des modifications apportées à la Loi sur les télécommunications?

Ces deux projets de loi abordent le secteur des télécommunications en fonction de buts différents.

La Loi sur la protection des cybersystèmes essentiels permettra de cerner les menaces et les risques qui pèsent sur les cybersystèmes essentiels et de renforcer leur résilience à un large éventail de menaces dans les secteurs des finances, de l'énergie, des transports et des télécommunications. Toutefois, la Loi sur la protection des cybersystèmes essentiels n'a pas pour but d'interdire l'utilisation de produits ou de services provenant de fournisseurs à haut risque.

Les modifications apportées à la Loi sur les télécommunications établiront un cadre législatif qui permettra au gouvernement de prendre des mesures pour protéger le système de télécommunications du Canada contre toute menace de perturbation, de manipulation et d'interférence. De nouveaux pouvoirs permettraient au gouvernement de prendre des mesures pour assurer la sécurité du système de télécommunications canadien. Il pourrait s'agir de mesures générales visant à atténuer les risques pour le système de télécommunications, ou d'interdire aux fournisseurs de services de télécommunications d'utiliser des produits ou des services considérés comme une menace pour le système de télécommunications du Canada.

Les modifications apportées à la Loi sur les télécommunications compléteront la Loi sur la protection des cybersystèmes essentiels en ajoutant un nouvel objectif stratégique sur la sécurité et en créant des pouvoirs liés à la sécurité pour le gouverneur en conseil et le ministre de l'Industrie, harmonisant ainsi le cadre réglementant les télécommunications avec ceux qui supervisent les secteurs des finances, de l'énergie et des transports.

Q5. Comment le financement accordé permettra-t-il la mise en œuvre de cette initiative?

Dans le budget de 2019, un montant de 144,9 M$ a été accordé pour la protection des cybersystèmes essentiels du Canada dans les secteurs des finances, des télécommunications, de l'énergie et du transport, au moyen de la mise en œuvre de cette Loi.

Le financement aidera Sécurité publique Canada, les ministères responsables et les organismes de réglementation fédéraux à mettre en œuvre ce cadre, ce qui comprendra la consultation des intervenants de l'industrie et la collaboration étroite avec le Centre de la sécurité des télécommunications (CST) et son Centre canadien pour la cybersécurité (Centre pour la cybersécurité).

Le CST, en tant que centre national des opérations en ce qui a trait à l'expertise en matière de cybersécurité, recevrait des ressources dans le cadre de cette proposition afin d'augmenter sa capacité actuelle à fournir des conseils techniques, des orientations et des services aux exploitants désignés, aux organismes de réglementation, au ministre de la Sécurité publique, ainsi qu'aux ministères responsables et à leurs ministres.

Q6. Quels nouveaux pouvoirs la LPCE conférera-t-elle au gouvernement?

La LPCE conférerait de nouveaux pouvoirs au gouvernement : en vertu de cette Loi, le gouverneur en conseil pourrait donner des directives de sécurité enjoignant à tout exploitant désigné de se conformer à une mesure prévue pour protéger un cybersystème essentiel. Avant de prendre un décret, le gouverneur en conseil doit également tenir compte de facteurs pertinents, tels que les incidences opérationnelles et financières.

Les directives de cybersécurité s'appliquent à des exploitants désignés particuliers ou à certaines catégories d'exploitants désignés et exigent de ces derniers qu'ils prennent les mesures indiquées dans les directives de cybersécurité afin de protéger un cybersystème essentiel, et ce dans un délai précis (p. ex. « l'exploitant A doit prendre la mesure X dans un délai de 30 jours »).

Un exploitant désigné qui ne se conforme pas à une directive de cybersécurité pourrait se voir infliger une sanction administrative pécuniaire ou être accusé d'une infraction à la réglementation pouvant entraîner des amendes ou une peine d'emprisonnement.

Il est important de noter que le CST n'obtiendrait pas de nouveaux pouvoirs dans le cadre de la Loi sur la protection du consommateur. Il tirerait parti du mandat qui lui a été confié en vertu de la Loi sur le Centre de la sécurité des télécommunications en matière de cybersécurité et d'assurance de l'information pour fournir des conseils techniques, des orientations et des services aux exploitants désignés et aux partenaires du gouvernement du Canada. Le CST n'évaluerait pas le respect des obligations réglementaires.

Q7. Quel est l'échéancier pour la mise en œuvre de la LPCE et de ses règlements?

Les dispositions de la LPCE entreront en vigueur à la date ou aux dates fixées par arrêté du gouverneur en conseil.

Le gouvernement adoptera une approche consultative dans l'élaboration des règlements connexes et suivra les calendriers habituels pour l'élaboration des règlements.

Q8. Les intervenants seront-ils consultés au cours de la phase d'élaboration des règlements?

Oui. Le gouvernement consultera les Canadiens, y compris les provinces et les territoires, à tous les stades du processus réglementaire, y compris avant la publication préalable dans la partie I de la Gazette du Canada et jusqu'à ce que les règlements soient approuvés et publiés dans la partie II de la Gazette du Canada.

Le processus d'élaboration de la réglementation sera un processus formel, itératif et collaboratif au cours duquel le gouvernement adoptera une approche consultative qui suivra les calendriers habituels d'élaboration de la réglementation.

En particulier, le gouvernement engagera les intervenants sur les points suivants :

Les cadres réglementaires existants, les normes et les pratiques exemplaires seront pris en compte afin d'éviter les doublons pour les administrations et les secteurs qui disposent déjà de réglementations et de normes en matière de cybersécurité.

Q9. Comment les « classes d'exploitants » seront-elles établies? Quels critères le gouvernement va-t-il utiliser?

Le gouvernement entreprendra une démarche consultative avec les intervenants pour déterminer les « classes d'exploitants » au titre de la Loi sur la protection des cybersystèmes essentiels. Dans le cadre du processus d'établissement de la réglementation, le gouvernement consultera les secteurs concernés et les intervenants avant que le gouverneur en conseil ne détermine les « classes d'exploitants » en vertu de l'Annexe 2 de la Loi.

Les travaux visant à définir les « classes d'exploitants » seront menés par Sécurité publique Canada, en collaboration avec les ministères et les organismes de réglementation concernés, et en consultation avec l'industrie, afin de fournir tous les renseignements appropriés pour étayer la décision du gouverneur en conseil.

Seuls les exploitants soumis à la réglementation fédérale qui fournissent un service ou un système vital (conformément à l'Annexe 1) seraient couverts par la Loi. Les « classes d'exploitants » seraient aussi limitées que possible ou aussi larges que nécessaire afin d'englober les exploitants dont les systèmes doivent être protégés pour assurer la continuité d'un service ou d'un système désigné.

Par exemple, une classe pourrait stipuler que les exploitants qui « fournissent un service essentiel désigné à 5 millions de personnes ou plus » sont désignés, tandis qu'une autre classe pourrait restreindre cette disposition à une certaine zone géographique, désignant de facto un seul exploitant ou un très petit nombre d'exploitants.

La publication de l'Annexe 2, « Classes d'exploitants et régulateurs correspondants » marquerait le début de l'application de la Loi à l'égard des exploitants désignés relevant de cette classe. Toutefois, lorsque des règlements sont nécessaires, la Loi ne serait pas pleinement applicable tant que ces règlements ne seraient pas entrés en vigueur.

Le gouverneur en conseil est autorisé à modifier l'Annexe 2 et les « classes d'exploitants » qui appuient les services et les systèmes essentiels, selon les besoins, afin de protéger leurs cybersystèmes essentiels.

Q10. Quelle est la différence entre la procédure de désignation prévue au titre de la LPCE et celle prévue par la Loi sur le CST?

La désignation des cybersystèmes critiques en vertu de la LPCE est un processus séparé et distinct de la désignation des renseignements électroniques et des infrastructures d'information importantes pour le gouvernement du Canada en vertu de la Loi sur le CST.

En vertu du paragraphe 21(1) de la Loi sur le CST, le ministre de la Défense nationale peut désigner des infrastructures d'information non gouvernementales comme étant importantes pour le gouvernement du Canada. Une fois qu'une infrastructure d'information est désignée en vertu de la Loi sur le CST, le CST peut mener des activités, y compris en vertu d'une autorisation ministérielle, pour soutenir cette infrastructure, sur demande.

Pour que le CST puisse fournir des avis, des conseils et des services aux exploitants désignés en vertu de la Loi sur la protection du consommateur, ces derniers doivent être désignés en vertu de la Loi sur le CST.

Q11. Pourquoi ces quatre secteurs ont-ils été choisis? Cette loi pourrait-elle s'appliquer à d'autres secteurs?

Ces secteurs sous réglementation fédérale (finance, énergie, télécommunications et transports) ont été jugés prioritaires en raison de leur importance pour les Canadiens et les autres secteurs (en raison de leur interconnexion et des conséquences d'une interruption touchant directement la sécurité et la résilience des infrastructures essentielles au sein de nombreux secteurs et entre eux).

Bien que ces quatre services soient actuellement soumis à la LPCE, le gouverneur en conseil a le pouvoir d'ajouter ou de retirer des services et des systèmes de l'Annexe 1 de la législation, ce qui les rendrait assujettis à la LPCE.

Le gouverneur en conseil peut le faire à deux conditions :

II. Considérations fédérales-provinciales

Q12. La LPCE pourrait-elle s'appliquer aux provinces et aux territoires?

Non, le cadre législatif ne s'applique qu'aux services et systèmes réglementés par le gouvernement fédéral dans les secteurs des finances, de l'énergie, des télécommunications et des transports.

Néanmoins, cette mesure législative peut servir de modèle aux provinces, aux territoires et aux municipalités pour sécuriser les infrastructures essentielles ne relevant pas de la compétence fédérale. Dans les secteurs où les normes utilisées sont les mêmes d'une administration à l'autre, la LPCE peut contribuer à renforcer les capacités et l'expertise en matière de cybersécurité afin de soutenir la résilience des systèmes employés partout au pays.

Étant donné que plusieurs services et systèmes désignés dans la LPCE dépendent de cybersystèmes qui ne relèvent pas du gouvernement fédéral, ou sont interconnectés avec ces derniers, le gouvernement continuera de mobiliser les provinces et les territoires afin de discuter de la meilleure façon de mettre à profit un cadre canadien exhaustif et collaboratif de protection de la cybersécurité pour protéger les cybersystèmes du Canada.

Q13. Qui réglemente la protection des infrastructures essentielles et la cybersécurité au Canada?

Les responsabilités à l'égard des infrastructures essentielles au Canada sont partagées entre les gouvernements fédéral, provinciaux et territoriaux, les autorités locales, ainsi que les propriétaires et les exploitants d'infrastructures essentielles; ces derniers étant les principaux responsables de la protection de leurs biens et de leurs services.

Comme les infrastructures essentielles sont souvent interconnectées et interdépendantes à l'échelle des provinces, des territoires et au-delà des frontières nationales, chaque ordre de gouvernement au Canada a des responsabilités et des rôles distincts en ce qui concerne la réglementation des différents secteurs des infrastructures essentielles.

Q14. Existe-t-il des cas où un exploitant désigné peut être assujetti à la fois à la LPCE (et à sa réglementation connexe) et à la législation provinciale (et à sa réglementation connexe)?

Il n'est pas rare que des entités liées aux infrastructures essentielles soient soumises à la fois à des règlements fédéraux et provinciaux.

Il est possible qu'une entité reconnue comme « exploitant désigné » en vertu de la LPCE et assujettie à la Loi et aux règlements fédéraux associés soit également assujettie à la réglementation provinciale.

Toutefois, il est important de noter que l'exploitant désigné ne serait soumis aux obligations découlant de la Loi et de la réglementation connexe que pour les composantes de ses infrastructures et de ses cybersystèmes essentiels qui sont sous réglementation fédérale. Les provinces et les territoires demeureraient responsables de la réglementation des infrastructures, services et systèmes relevant de leurs compétences respectives.

En outre, au cours de la phase d'élaboration des règlements, les normes internationales et les cadres réglementaires existants seront exploités afin d'éviter les chevauchements et les dédoublements pour les administrations disposant déjà d'une loi et de règlements en matière de cybersécurité.

Q15. Comment la LPCE (et sa réglementation connexe) coexistera-t-elle avec les lois et règlements des provinces en matière de cybersécurité?

La LPCE et la réglementation nécessaire à sa mise en œuvre ont pour objet de respecter et de compléter les lois et règlements provinciaux existants en matière de cybersécurité.

Q16. Comment les gouvernements fédéral, provinciaux et territoriaux, y compris les organismes de réglementation, collaborent-ils pour harmoniser les réglementations fédérales et provinciales et éviter les dédoublements et les chevauchements?

Conformément à la Directive du Cabinet sur la réglementation, le gouvernement travaillera en collaboration avec les intervenants, y compris les gouvernements provinciaux et territoriaux, pour veiller à l'harmonisation de la réglementation et éviter les chevauchements et les dédoublements avec les règlements provinciaux existants.

Le gouvernement travaillera avec les intervenants dans le cadre de ce processus afin de réduire le dédoublement des règlements et tenir compte des effets cumulatifs des différents règlements sur les intervenants.

Q17. Les provinces et les territoires participeront-ils à l'élaboration de la réglementation fédérale nécessaire à la mise en œuvre de la LPCE?

Oui. Le gouvernement consultera les Canadiens, y compris les provinces et les territoires, à tous les stades du processus réglementaire, y compris avant la publication préalable dans la partie I de la Gazette du Canada et jusqu'à ce que les règlements soient approuvés et publiés dans la partie II de la Gazette du Canada.

Le processus d'élaboration de la réglementation sera un processus formel, itératif et collaboratif au cours duquel le gouvernement adoptera une approche consultative qui suivra les calendriers habituels d'élaboration de la réglementation.

En particulier, le gouvernement engagera les intervenants sur les points suivants :

Les cadres réglementaires existants, les normes et les pratiques exemplaires seront pris en compte afin d'éviter les doublons pour les administrations et les secteurs qui disposent déjà de réglementations et de normes en matière de cybersécurité.

Q18. La LPCE prévoit-elle des mécanismes d'échange de renseignements entre les gouvernements fédéral, provinciaux et territoriaux?

Oui. Les articles 23 et 27 de la LPCE, s'ils sont adoptés, fourniront un mécanisme juridique supplémentaire pour l'échange de renseignements recueillis par le gouvernement en vertu de la Loi avec les gouvernements provinciaux et territoriaux, y compris des renseignements confidentiels.

En outre, en vertu des pouvoirs qui lui sont conférés, le CST est actuellement habilité à conclure des ententes d'échange de renseignements sur la cybersécurité avec les provinces et les territoires.

III. Conception du programme

Q19. Quelle sera l'incidence de la LPCE sur les exploitants désignés assujettis à la loi?

La LPCE exigerait des exploitants désignés les mesures suivantes :

Comme il est dans l'intérêt de tous d'éviter un incident de cybersécurité, les acteurs du secteur prennent déjà des mesures pour protéger leurs cybersystèmes essentiels. On ne s'attend donc pas à ce que la LPCE impose un fardeau excessif à l'industrie.

Par ailleurs, cette loi devrait nous permettre de mieux comprendre le panorama des cybermenaces grâce au processus de signalement obligatoire, ce qui permettra aux exploitants désignés, et en fait à tous les Canadiens, de prendre des mesures plus efficaces pour protéger leurs cybersystèmes.

Q20. Quel sera l'effet de la LPCE sur les secteurs des infrastructures essentielles réglementés par le gouvernement fédéral?

Les incidents de cybersécurité ont des effets défavorables sur la sécurité publique, la sécurité nationale et l'économie, et peuvent coûter très cher aux entreprises. Les acteurs de l'industrie prennent déjà des mesures pour protéger leurs cybersystèmes essentiels. Ainsi, la LPCE ne devrait pas imposer un fardeau excessif à l'industrie.

Néanmoins, le gouvernement s'est engagé à assurer l'intégration harmonieuse de cette mesure législative au moyen d'une collaboration et d'un engagement continus avec les partenaires gouvernementaux et les intervenants de l'industrie.

La LPCE est rédigée dans l'intention précise de limiter les charges excessives pesant sur les exploitants désignés. À cette fin, elle n'entrera en vigueur qu'après une consultation approfondie de tous les secteurs d'infrastructures essentielles concernés dans le cadre du processus d'élaboration des règlements.

Q21. La LPCE impose-t-elle des normes de cybersécurité précises?

Cette Loi n'impose pas de norme ou de méthode particulière pour assurer la cybersécurité. Elle crée plutôt un cadre réglementaire pour renforcer les protections de base en matière de cybersécurité des services et des systèmes qui sont essentiels à la sécurité nationale et à la sécurité publique des Canadiens.

De nombreux exploitants au Canada prennent déjà des mesures pour protéger leurs cybersystèmes, et leurs pratiques sont étroitement liées aux approches reconnues en matière de cybersécurité, y compris le Cyber Security Framework, largement adopté par le National Institute for Standards and Technologies des États-Unis, ou les Security of Network & Information Systems Regulations du Royaume-Uni.

L'utilisation d'un cadre déjà connu devrait réduire au minimum la nécessité pour les exploitants de modifier leur approche en matière de cybersécurité.

Q22. Un fournisseur de services tiers peut-il être reconnu comme exploitant désigné?

Oui. Un fournisseur de services tiers peut être reconnu comme exploitant désigné s'il fournit un service ou un système essentiel au sens de l'article 6 et s'il appartient à une catégorie d'exploitants désignés au sens de l'article 7 de la Loi.

De plus, la Loi exige que les exploitants désignés indiquent dans leur programme de cybersécurité les risques liés aux produits et services de tiers qu'ils utilisent, qu'ils avisent l'organisme de réglementation des changements importants dans leur utilisation de produits et services de tiers et qu'ils atténuent les risques cernés dans le cadre de leur utilisation de produits et services de tiers.

Afin de vérifier le respect de la Loi ou d'empêcher son non-respect, les organismes de réglementation peuvent demander à toute personne, société de personnes ou organisation non constituée en société de leur fournir les renseignements demandés, conformément à l'article 29 de la Loi. Cela pourrait inclure des fournisseurs de services tiers.

Q23. Cette loi créerait-elle un fardeau excessif pour les petites et moyennes entreprises?

On ne s'attend pas à ce que la LPCE crée un fardeau excessif pour les petites et moyennes entreprises (PME). Elle vise à garantir que les petites entreprises, ainsi que l'ensemble des Canadiens, puissent compter sur des systèmes et des services essentiels à leur bien-être et à leurs moyens de subsistance.

Seuls les exploitants qui relèvent de la réglementation fédérale et fournissent un service ou un système essentiel à la sécurité nationale ou à la sécurité publique, par exemple un service ou un système essentiel à la santé, à la sécurité ou au bien-être économique des Canadiens, seraient assujettis à la Loi.

Les « classes d'exploitants » seraient aussi limitées que possible ou aussi larges que nécessaire afin d'englober les exploitants dont les systèmes doivent être protégés pour assurer la continuité d'un service ou d'un système désigné.

Il est possible, mais peu probable, qu'une PME soit catégorisée dans une « classe d'exploitants », en fonction de critères de détermination et d'établissement de ces classes. Ce ne sera le cas que s'il est établi que les cybersystèmes essentiels de la PME doivent être protégés pour assurer la continuité d'un service ou d'un système désigné dans l'Annexe 1.

Q24. Un financement sera-t-il prévu pour soutenir les exploitants désignés dans la mise en œuvre de la LPCE?

Bien qu'aucun financement ne soit prévu pour aider les exploitants dans la mise en œuvre de la Loi sur la protection des cybersystèmes essentiels, il est important de noter que les coûts de récupération après un cyberincident sont bien plus élevés que les coûts d'investissement dans l'amélioration de la cybersécurité.

Les modalités n'ont pas pour but de forcer les exploitants à apporter des changements radicaux et coûteux à leur cybersécurité. Elles visent plutôt à établir un processus itératif d'amélioration de la cybersécurité de chaque exploitant désigné au fil du temps, rehaussant ainsi continuellement la cybersécurité dans l'ensemble du Canada.

Q25. La LPCE peut-elle être mise à profit pour se défendre contre les nouvelles cybermenaces comme celles qu'engendre l'intelligence artificielle?

La LPCE est conçue pour s'adapter aux nouvelles technologies comme l'intelligence artificielle et pour améliorer la capacité du Canada à se défendre et à se protéger contre les cybermenaces qui en découlent.

En vertu de la LPCE, les exploitants désignés seront tenus de mettre en place un programme de cybersécurité, d'atténuer les risques liés à la chaîne d'approvisionnement et aux services ou produits de fournisseurs tiers, de signaler les incidents liés à la cybersécurité et de se conformer aux directives de cybersécurité. Grâce à ces obligations, la Loi vise à créer un cercle vertueux en matière de cybersécurité, qui permettra aux exploitants désignés d'être en meilleure position pour prévenir et détecter les cybermenaces et les incidents, y compris ceux rendus possibles par l'utilisation de l'IA, ainsi que d'y réagir et de s'en remettre.

Q26. La LPCE peut-elle contribuer à prévenir un incident tel que la panne générale de Rogers?

Cette proposition législative est destinée à servir de base à la sécurisation des infrastructures essentielles du Canada contre les cybermenaces et les vulnérabilités. La panne de Rogers a été causée par une défaillance du système de réseau à la suite d'une mise à jour. Par conséquent, la LPCE n'aurait probablement pas été en mesure de l'empêcher.

Cela dit, cette mesure législative vise à renforcer la résilience des cybersystèmes essentiels du Canada et améliorerait la capacité des organisations à se préparer à l'égard de tous les types d'incidents de cybersécurité, à les prévenir, à y réagir et à s'en remettre.

IV. Signalement des incidents

Q27. La LPCE exigera-t-elle que les exploitants assujettis à la loi signalent les incidents de cybersécurité?

Oui, en vertu de la LPCE, les exploitants désignés seront tenus de signaler au CST certains cyberincidents touchant ou susceptibles de toucher leurs cybersystèmes essentiels, dans un délai prescrit par la réglementation et ne dépassant pas 72 heures.

Les types d'incidents à signaler seront décrits dans les règlements, conformément à l'alinéa 135c) de la Loi.

Cette nouvelle obligation quant au signalement des incidents de cybersécurité par les exploitants désignés permettra d'obtenir de précieux renseignements sur l'environnement de la cybermenace au Canada. Ce meilleur échange de renseignements sur les menaces permettra aux gouvernements et au secteur privé de prendre les mesures appropriées afin de mieux protéger les cybersystèmes, essentiels ou autres.

Conformément à l'article 17 de la Loi sur le CST, les renseignements reçus grâce au signalement obligatoire des incidents seront analysés par le Centre pour la cybersécurité et pourront être rendus anonymes et regroupés avec d'autres rapports et renseignements pour :

La divulgation de renseignements de nature délicate contenus dans les rapports d'incidents de cybersécurité, comme des renseignements susceptibles de révéler une vulnérabilité d'un cybersystème essentiel ou des renseignements susceptibles d'entraîner une perte financière importante pour l'exploitant désigné (p. ex. une atteinte à sa réputation), sera limitée afin de les protéger contre une divulgation inappropriée au titre de la LPCE.

Q28. Pourquoi le signalement obligatoire des incidents est-il nécessaire?

Le Centre pour la cybersécurité du CST reçoit actuellement des rapports d'incidents de cybersécurité fournis volontairement par des exploitants d'infrastructures essentielles et d'autres entreprises, diffuse des renseignements et des avis sur ces menaces et contribue à coordonner l'intervention en cas d'incidents graves.

Mais comme les organisations ne signalent pas systématiquement les incidents liés à la cybersécurité, le gouvernement n'a pas de visibilité sur les cyberattaques visant les infrastructures essentielles. Cela entrave la capacité du gouvernement à communiquer des renseignements sur les incidents avec d'autres secteurs vulnérables.

L'obligation imposée aux exploitants désignés de signaler les cyberincidents fournira des renseignements précieux sur le paysage des menaces de cybersécurité au Canada. Ce meilleur échange de renseignements sur les menaces permettra aux gouvernements et au secteur privé de prendre les mesures appropriées afin de mieux protéger les cybersystèmes, essentiels ou autres.

Les renseignements obtenus dans le cadre du processus de signalement obligatoire des incidents permettront au Centre pour la cybersécurité du CST de fournir aux exploitants désignés des conseils techniques et des suggestions de mesures visant à contenir la compromission ou à prévenir d'autres incidents, et à se remettre de l'incident de cybersécurité qui a été signalé.

Un tableau plus complet des menaces de cybersécurité auxquelles le Canada est confronté permettra au gouvernement d'être mieux à même de mettre au point des interventions stratégiques et opérationnelles. Les exploitants d'infrastructures essentielles bénéficieraient également de renseignements plus complets sur les menaces. Par exemple, s'ils disposent d'indicateurs de compromission, les exploitants d'infrastructures essentielles peuvent analyser leurs propres systèmes à la recherche de traces de cette même compromission.

Q29. Pourquoi la LPCE ne prévoit-elle pas d'obligation de signaler les paiements de rançon?

Cette loi vise à protéger les cybersystèmes sous réglementation fédérale qui soutiennent les infrastructures essentielles du Canada. Les rapports sur les paiements de rançon, même s'ils sont utiles pour aider les autorités à identifier les auteurs et à mieux comprendre les flux de devises illicites sur lesquels repose le modèle du rançongiciel, ne contribuent pas à améliorer la protection des exploitants désignés contre les cybermenaces.

Le projet de loi est axé sur la prévention de tous les incidents de cybersécurité, y compris, mais sans s'y limiter, les attaques par rançongiciel. C'est en adoptant une posture neutre par rapport aux différentes menaces et technologies que la loi proposée sera la mieux placée pour aider les exploitants désignés à faire face au large éventail de menaces existantes et futures.

Q30. Pourquoi le gouvernement n'a-t-il pas exigé que les incidents soient signalés aux autorités policières?

L'objectif de l'obligation de signalement est d'améliorer la capacité du Centre pour la cybersécurité, conformément à son mandat de défense contre les cyberincidents, à fournir des conseils et des orientations afin d'aider les propriétaires et les exploitants à protéger leurs cybersystèmes essentiels.

Rien dans cette Loi n'empêche le signalement aux autorités policières. De fait, toutes les victimes sont encouragées à signaler aux autorités policières les cybercrimes, y compris les attaques par rançongiciel, par l'intermédiaire de leurs services de police locaux ou à la GRC par l'intermédiaire du site Web du Centre antifraude du Canada.

Q31. La LPCE confère-t-elle de nouveaux pouvoirs au Centre de la sécurité des télécommunications?

Bien que la LPCE crée une obligation pour les exploitants désignés de signaler les incidents au CST, elle ne confère pas de nouveaux pouvoirs à ce dernier. Le CST recevra ces nouveaux rapports d'incident conformément au mandat qui lui est confié en matière de cybersécurité et d'assurance de l'information par l'article 17 de la Loi sur le CST. Le CST pourra également continuer à prendre acte des rapports d'incidents fournis volontairement, comme il le fait actuellement.

Q32. La LPCE obligerait les exploitants désignés à signaler au CST les incidents de cybersécurité. En vertu de quelle autorité le CST recueillerait-il ces rapports d'incidents?

La LPCE ne conférerait pas de nouveaux pouvoirs au CST. Le CST recevrait ces rapports obligatoires d'incidents de la part des exploitants désignés conformément au mandat qui lui est d'ores et déjà confié en matière de cybersécurité et d'assurance de l'information par l'article 17 de la Loi sur le CST.

Q33. La réception de rapports d'incidents de cybersécurité de la part d'entreprises canadiennes va-t-elle à l'encontre du paragraphe 22(1), de la Loi sur le CST, qui stipule que les activités du CST « ne peuvent viser des Canadiens ou des personnes se trouvant au Canada »?

Les activités du CST à cet égard sont conformes au paragraphe 22(1) de la Loi sur le CST, car le CST ne s'intéresse qu'à l'infrastructure électronique ayant été touchée par l'incident de cybersécurité.

Les activités du CST ne visent pas des Canadiens ou des personnes se trouvant au Canada lorsqu'il s'agit d'activités à l'appui des volets de son mandat relatifs au renseignement étranger, à la cybersécurité et à l'assurance de l'information, aux cyberopérations défensives ou aux cyberopérations actives.

Le CST est chargé de fournir des avis, des conseils et des services aux institutions fédérales et à d'autres systèmes d'importance désignés, qui peuvent comprendre des systèmes relevant d'entreprises canadiennes, conformément à l'article 17 de la Loi sur le CST.

Les activités menées à l'appui du mandat de l'organisation, y compris le signalement des incidents de cybersécurité, sont axées sur les conséquences pour un système. Le rôle du CST consiste à fournir des conseils, des orientations et des services en matière de cybersécurité pour ce système.

Q34. Les rapports d'incidents de cybersécurité adressés au CST comprennent-ils de l'information nominative sur un Canadien (INC) ou des renseignements confidentiels? Comment l'INC et les renseignements confidentiels sont-ils protégés à l'heure actuelle, et comment le seront-ils après l'entrée en vigueur de la LPCE?

À l'heure actuelle

En vertu du cadre actuel, des renseignements sont volontairement transmis au CST par des exploitants d'infrastructures essentielles de tous les secteurs, des entreprises, des professionnels des technologies de l'information et des institutions gouvernementales.

La majorité des renseignements reçus par l'intermédiaire des rapports d'incidents de cybersécurité sont de nature technique et ne contiennent pas de renseignements personnels.

Le CST a conclu des ententes de non-divulgation avec certains systèmes d'importance en ce qui concerne l'échange de renseignements. Par ailleurs, avant de soumettre de l'information au CST par l'intermédiaire de son portail Web, les utilisateurs doivent lire et accepter une clause de non-responsabilité et les modalités d'un énoncé de protection des renseignements personnels.

L'article 24 de la Loi sur le CST impose au CST de veiller à ce que des mesures soient prises pour protéger les renseignements personnels des Canadiens et des personnes se trouvant au Canada lors de l'utilisation, de l'analyse, de la conservation et de la divulgation de renseignements les concernant, acquis dans le cadre de l'exécution des volets du mandat du CST relatifs au renseignement étranger, à la cybersécurité et à l'assurance de l'information (information acquise incidemment).

Par conséquent, tout renseignement personnel fourni au CST dans le cadre de la procédure de signalement d'un incident est traité conformément aux dispositions sur la protection des renseignements personnels prévues par les lois applicables, y compris la Loi sur la protection des renseignements personnels.

De plus, les organes d'examen et de contrôle tels que l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et le commissaire au renseignement font office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'INC par le CST, ainsi que de l'application des autorisations ministérielles.

En vertu de la LPCE

En vertu de la LPCE, les exploitants désignés seraient tenus de signaler au CST tout incident de cybersécurité dans un délai prescrit par la réglementation, qui ne devrait pas dépasser 72 heures.

Les renseignements précis devant être fournis au CST dans les rapports d'incidents n'ont pas encore été déterminés. L'élaboration de la procédure de signalement des incidents, des formulaires connexes et des types de données techniques demandés, le cas échéant, ferait partie du processus d'élaboration des règlements et serait réalisée en consultation avec l'industrie.

Il est important de souligner que ces rapports ne porteront pas sur des individus, mais plutôt sur des renseignements relatifs au cybersystème essentiel ayant été touché par l'incident de cybersécurité.

Par exemple, dans le cadre du processus d'élaboration du règlement, le CST formulera des recommandations sur les types les plus pertinents d'artéfacts, de données et de fichiers journaux provenant des appareils et des réseaux en cause à inclure dans les rapports d'incidents aux fins d'analyse par le Centre pour la cybersécurité. Il pourrait s'agir de renseignements relatifs aux indicateurs de cybermenaces, aux tactiques, techniques et procédures employées par les acteurs, aux vulnérabilités exploitées, aux types d'incident, à l'actif technologique ciblé et à tout autre fait important concernant l'incident.

L'article 24 de la Loi sur le CST impose au CST de veiller à ce que des mesures soient prises pour protéger les renseignements personnels des Canadiens et des personnes se trouvant au Canada lors de l'utilisation, de l'analyse, de la conservation et de la divulgation de renseignements les concernant, acquis dans le cadre de l'exécution des volets du mandat du CST relatifs au renseignement étranger, à la cybersécurité et à l'assurance de l'information (information acquise incidemment).

Par conséquent, tout renseignement personnel fourni au CST dans le cadre de la procédure de signalement d'un incident serait traité conformément aux dispositions sur la protection des renseignements personnels prévues par les lois applicables, y compris la Loi sur la protection des renseignements personnels.

De plus, les organes d'examen et de contrôle tels que l'OSSNR et le commissaire au renseignement feraient office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'INC par le CST, ainsi que de l'application des autorisations ministérielles.

Q35. Si le CST obtient incidemment des renseignements relatifs à un Canadien ou à une personne se trouvant au Canada, peut-il les communiquer à d'autres institutions gouvernementales?

Le CST ne pourrait communiquer ces renseignements que dans des circonstances précises et limitées.

L'article 44 de la Loi sur le CST stipule que les renseignements relatifs à un Canadien ou à une personne se trouvant au Canada qui ont été acquis, utilisés ou analysés au cours d'activités menées dans le cadre du volet du mandat du CST touchant la cybersécurité et l'assurance de l'information, tel que défini à l'article 17 de la Loi sur le CST, ne peuvent être communiqués à une personne ou à des catégories de personnes désignées par le ministre que si cela est nécessaire pour assurer la protection :

Le paragraphe 46(1) de la Loi sur le CST permet au CST d'utiliser et d'analyser de l'information se rapportant à un Canadien ou à une personne se trouvant au Canada s'il a des motifs raisonnables de croire qu'il y a un danger imminent de mort ou de lésions corporelles graves pour une personne physique et que l'information est pertinente.

Le paragraphe 46(2) précise que ces renseignements peuvent être communiqués à toute personne appropriée si leur communication peut aider à prévenir le danger.

Les organes d'examen et de contrôle tels que l'OSSNR et le commissaire au renseignement feraient office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'INC par le CST, ainsi que de l'application des autorisations ministérielles.

Q36. Le CST pourrait-il utiliser l'information recueillie dans le cadre du volet de son mandat touchant la cybersécurité et l'assurance de l'information (article 17) à l'appui des volets touchant le renseignement étranger (article 16), les cyberopérations défensives (article 18), les cyberopérations actives (article 19) et l'assistance technique et opérationnelle (article 20)?

Le CST recevrait des rapports obligatoires d'incidents de la part des exploitants désignés conformément au mandat qui lui est d'ores et déjà confié en matière de cybersécurité et d'assurance de l'information par l'article 17 de la Loi sur le CST.

Les renseignements obtenus par le CST en vertu de la LPCE ont pour but de fournir des conseils et des orientations aux intervenants de tous les ordres de gouvernement, des secteurs sous réglementation fédérale et provinciale, ainsi qu'à l'ensemble des Canadiens. Le CST ne se voit pas octroyer de nouveaux pouvoirs par la LPCE.

S'il est vrai que l'information recueillie par le CST dans le cadre d'un volet de son mandat peut être utilisée par le CST dans le cadre d'un autre volet de ce dernier, ce n'est le cas que dans des circonstances particulières et limitées qui satisfont aux conditions énoncées dans la Loi sur le CST. Par exemple, le CST peut utiliser l'information sur les indicateurs de compromission pour contribuer aux activités de lutte contre les cybermenaces dans le cadre du volet de son mandat touchant le renseignement étranger, mais il doit veiller à ce que des mesures soient prises pour protéger les renseignements personnels des Canadiens et des personnes se trouvant au Canada en ce qui concerne l'information acquise incidemment.

Q37. Dans certaines circonstances, le CST est autorisé à recueillir de l'information en vertu de l'un des volets de son mandat et à l'utiliser à l'appui d'un autre volet de son mandat. Dans ce cas, comment l'information nominative sur un Canadien et les renseignements confidentiels sont-ils protégés? Y aura-t-il des changements à cet égard après l'entrée en vigueur de la LPCE?

Conformément à l'article 24 de la Loi sur le CST, le CST doit veiller à ce que des mesures soient prises pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada en ce qui concerne l'information acquise incidemment.

De plus, les organes d'examen et de contrôle tels que l'OSSNR et le commissaire au renseignement font office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'information nominative sur un Canadien par le CST, ainsi que de l'application des autorisations ministérielles.

La LPCE n'aura pas d'incidence sur les pouvoirs législatifs et les responsabilités du CST en matière de protection des renseignements personnels.

V. Confidentialité, divulgation et responsabilité

Q38. La LPCE protège-t-elle les renseignements personnels des Canadiens?

De nos jours, la protection de la vie privée dépend grandement d'une bonne cybersécurité. Aucun cybersystème n'est impénétrable, mais l'amélioration continue de la posture de cybersécurité permet de réduire considérablement la probabilité d'une atteinte à la sécurité des données.

En exigeant des exploitants canadiens d'infrastructures essentielles qu'ils maintiennent des niveaux élevés de cybersécurité, nous réduisons également la probabilité d'atteintes à la sécurité au sein de leurs systèmes, qui contiennent souvent des renseignements et des données à caractère personnel.

Comme toujours, les Canadiens sont protégés par la Charte canadienne des droits et libertés, la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques en ce qui concerne les renseignements personnels détenus par le gouvernement. Cela inclut tout renseignement personnel qui pourrait être collecté en vertu du projet de loi C-26.

Q39. La LPCE garantit-elle que les renseignements communiqués au gouvernement par les exploitants désignés sont protégés contre la divulgation?

Oui, la LPCE protège les renseignements confidentiels obtenus par le gouvernement. Il s'agit notamment des renseignements relatifs à un cybersystème essentiel qui :

Pour protéger ces renseignements confidentiels communiqués au gouvernement, la Loi prévoit des dispositions visant à gérer et à restreindre la divulgation de ces renseignements de nature délicate recueillis en vertu de la Loi. La divulgation inappropriée de renseignements confidentiels constitue une infraction aux yeux de la Loi.

Il convient également de prendre note que ces renseignements ne seraient pas divulgués en vertu de la Loi sur l'accès à l'information, et que les dispositions de la Loi sur la protection des renseignements personnels continueraient de s'appliquer.

Les dispositions relatives à la confidentialité n'empêcheraient pas la divulgation au Service canadien du renseignement de sécurité ou aux autorités policières lorsque la divulgation est par ailleurs légale.

Q40. Pourquoi les exploitants désignés n'ont-ils pas le droit de divulguer des renseignements sur le fait qu'une directive de cybersécurité a été délivrée?

Les directives de cybersécurité sont conçues pour être utilisées en vertu de la LPCE en présence de circonstances graves, lorsqu'il existe un besoin urgent de faire face à une menace ou à une vulnérabilité connue.

La non-divulgation des directives a pour but de protéger les renseignements confidentiels des exploitants désignés et d'éviter l'exploitation ultérieure de vulnérabilités.

Q41. Pourquoi les directives de sécurité ne peuvent-elles pas être divulguées au public?

Les directives de cybersécurité sont conçues pour être utilisées en vertu de la LPCE en présence de circonstances graves, lorsqu'il existe un besoin urgent de faire face à une menace ou à une vulnérabilité connue.

La non-divulgation des directives a pour but de protéger les renseignements confidentiels des exploitants désignés et d'éviter l'exploitation ultérieure de vulnérabilités. En outre, tout renseignement confidentiel partagé avec le gouvernement doit continuer à être traité comme tel.

Toutefois, afin d'assurer une certaine transparence des pouvoirs d'ordonnance du gouvernement, le ministre de la Sécurité publique est tenu de présenter un rapport annuel au Parlement, qui doit indiquer le nombre de directives de cybersécurité délivrées et révoquées au cours de l'année précédente, le nombre d'exploitants désignés soumis à une de ces directives, ainsi que d'autres détails.

Les renseignements divulgués au gouvernement peuvent être rendus anonymes et peuvent être utilisés par le Centre pour la cybersécurité afin de transmettre des alertes et des avis à l'industrie et aux Canadiens en général.

Le ministre de la Sécurité publique est également tenu d'informer l'OSSNR et le Comité des parlementaires sur la sécurité nationale et le renseignement dans les 90 jours suivant la délivrance d'une directive de cybersécurité.

Enfin, il existe également une procédure de contrôle judiciaire permettant aux entités désignées touchées de contester les ordonnances.

Q42. Pourquoi la LPCE exige-t-elle qu'un juge désigné de la Cour fédérale garde l'information secrète?

Les directives de cybersécurité sont soumises à un contrôle judiciaire, mais la Loi sur la protection des cybersystèmes essentiels prévoit que le juge désigné par la Cour fédérale doit garder secrets les éléments de preuve et autres renseignements fournis par le ministre vis-à-vis du public, du demandeur et de son avocat, si le juge estime que leur divulgation porterait préjudice aux relations internationales, à la défense nationale ou à la sécurité nationale, ou mettrait en danger la sécurité d'une personne.

Un demandeur de contrôle judiciaire a droit à un résumé des preuves et des autres renseignements gouvernementaux mis à la disposition du juge « qui permettent au demandeur d'être raisonnablement informé » des arguments du gouvernement, à l'exclusion des renseignements préjudiciables susmentionnés.

Q43. La LPCE expose-t-elle les exploitants désignés à une responsabilité légale accrue?

La Loi garantira que les exploitants désignés protègent les cybersystèmes qui appuient les infrastructures essentielles du Canada, et les aidera à mieux se préparer à l'égard des nouvelles cybermenaces, à les prévenir et à y répondre. Ainsi, cette Loi devrait aider les exploitants désignés à atténuer le fardeau et les risques liés aux incidents de cybersécurité.

La LPCE s'appuie toutefois sur un régime de sanctions administratives pécuniaires et d'infractions réglementaires pour l'application de ses dispositions, lequel peut engager la responsabilité personnelle des dirigeants et des agents ayant participé ou consenti à une infraction à l'égard de la LPCE ou l'ayant acceptée, autorisée ou dirigée.

Toutefois, les exploitants désignés ont le droit de présenter des observations et d'exercer une défense fondée sur la diligence raisonnable. Les organismes de réglementation ont le pouvoir discrétionnaire de corriger les erreurs contenues dans un procès-verbal, de l'annuler ou de conclure des accords de conformité dans les conditions qu'ils jugent appropriées, y compris la réduction partielle ou totale du montant de la sanction.

Q44. La LPCE prévoit-elle une « zone de sécurité » pour protéger les exploitants désignés lorsqu'ils signalent des incidents de cybersécurité et communiquent des renseignements au gouvernement?

Non. La Loi sur la protection des cybersystèmes essentiels ne prévoit pas de « zone de sécurité » qui aurait pour incidence de limiter ou d'éliminer la responsabilité légale ou réglementaire des exploitants désignés.

La Loi sur la protection des cybersystèmes essentiels comprend des dispositions et fournit des mesures de protection pour garantir que les renseignements confidentiels sont protégés contre la communication. Les dispositions régissant l'échange et la communication de renseignements sont adaptées de façon à prévenir toute atteinte possible au droit à la protection des renseignements personnels.

La législation garantit que la vie privée et les renseignements personnels des Canadiens seront protégés conformément à la Loi sur la protection des renseignements personnels. La Loi précise également clairement que les renseignements confidentiels doivent continuer à être traités comme tels par toute personne qui reçoit ces renseignements, lorsqu'il est nécessaire de les communiquer.

La Loi prévoit un régime de « sanctions administratives pécuniaires », mais l'objectif d'une sanction est d'encourager le respect de la Loi et non d'avoir un effet punitif.

À cette fin, un exploitant désigné peut conclure un accord de conformité avec l'organisme de réglementation dont il relève, ce qui peut entraîner une réduction partielle ou totale du montant de la sanction.

De plus, la diligence raisonnable peut être invoquée par le défendeur dans le cadre d'une procédure relative à une infraction.

Q45. La LPCE contrevient-elle à la Charte canadienne des droits et libertés?

Le projet de loi est conforme à la Charte.

La déclaration relative à la Charte a relevé quatre articles comme pouvant être concernés par la législation proposée.

Dans chaque cas, le ministre de la Justice a défini des considérations qui appuient l'uniformité du régime avec ces articles de la Charte, atténuant ainsi les préoccupations exprimées dans l'avis du ministre.

VI. Pénalités

Q46. Quel est l'objectif des sanctions prévues par la LPCE?

La Loi sur la protection des cybersystèmes essentiels s'appuie sur un régime de sanctions administratives pécuniaires et d'infractions réglementaires (ou quasi criminelles) pour l'application de ses dispositions. En vertu de la Loi sur la protection des cybersystèmes essentiels, une poursuite à la suite d'un acte ou d'une omission en tant que violation empêche la tenue d'une poursuite à la suite d'un acte ou d'une omission en tant qu'infraction, et vice versa.

La Loi sur la protection des cybersystèmes essentiels confère aux organismes de réglementation compétents le pouvoir de faire appliquer les dispositions de la Loi, ce qui comprend le pouvoir d'imposer des sanctions administratives pécuniaires. Ces mesures visent à encourager le respect de la Loi et ne sont pas punitives. Les exploitants désignés disposent aussi de portes de sortie comme la conclusion d'une entente de conformité avec l'organisme de réglementation, qui peut alors réduire la sanction en tout ou en partie.

La LPCE créerait également des infractions mixtes et des infractions punissables sur déclaration de culpabilité par procédure sommaire pour les contraventions à la Loi les plus graves, comme la non-application d'une directive de cybersécurité ou la communication de renseignements confidentiels, y compris au sujet de l'existence ou du contenu d'une directive de cybersécurité.

Ces infractions mixtes seraient passibles d'une amende, d'une peine d'emprisonnement maximale de deux ans moins un jour ou des deux en cas de déclaration de culpabilité par procédure sommaire. Ces types d'infractions sont adaptés aux objectifs législatifs et ils préservent le pouvoir discrétionnaire des juges de première instance d'imposer des peines convenables et appropriées.

Si une violation ou une infraction est commise ou se poursuit pendant plus d'un jour, cela constitue des violations ou des infractions distinctes. Ce régime de sanctions donne au juge le pouvoir discrétionnaire de prononcer une peine progressive, c'est-à-dire une sanction dont la sévérité augmente avec le nombre de violations ou d'infractions commises.

Les exploitants désignés peuvent toujours recourir à une défense fondée sur la diligence raisonnable. Aucune des infractions prévues par la Loi sur la protection des cybersystèmes essentiels ne pourrait donner lieu à une peine d'emprisonnement si l'accusé n'a pas commis, à tout le moins, une négligence.

Q47. Comment le gouvernement s'attend-il à ce que les entreprises ou les particuliers puissent payer une amende de 15 millions de dollars?

La sanction obligatoire pour chaque infraction peut être fixée par voie réglementaire. La Loi sur la protection des cybersystèmes essentiels imposerait un seuil maximum de sanctions administratives pécuniaires de 1 million de dollars pour les particuliers et de 15 millions de dollars pour les organisations.

Ces seuils ont été fixés en examinant la législation existante et en veillant à ce qu'ils soient suffisamment élevés pour pouvoir être ramenés à un niveau acceptable pour chaque secteur grâce à l'élaboration d'une réglementation sectorielle en consultation avec les partenaires.

De plus, le montant d'une sanction doit être déterminé en tenant compte d'une série de facteurs, notamment :

Date de modification :