Notes des comités parlementaires : Parties prenantes de l'industrie et associations - Loi sur la protection des cybersystèmes essentiels

Sujet

Fournir un résumé des amendements proposés par les intervenants à la partie 2 du projet de loi C‑26, Loi sur la protection des cybersystèmes essentiels (LPCE). La Direction générale de la cybersécurité nationale de Sécurité publique Canada (SP) évalue les amendements proposés par les intervenants afin de formuler une recommandation pour aider le gouvernement à déterminer s'il les prendra en considération s'ils sont proposés à l'étape de l'étude en comité.

Contexte

Le 14 juin 2022, le gouvernement a déposé à la Chambre des communes le projet de loi C-26, Loi concernant la cybersécurité. Le projet de loi a été renvoyé au Comité permanent de la sécurité publique et nationale (SECU) le 27 mars 2023.

La loi proposée vise à protéger les Canadiens et à renforcer la cybersécurité dans les secteurs des finances, des télécommunications, de l'énergie et des transports, qui sont sous réglementation fédérale. Le projet de loi C-26 modifierait la Loi sur les télécommunications de manière à ajouter la promotion de la sécurité aux objectifs de politique, ce qui arrimerait les télécommunications aux autres secteurs des infrastructures essentielles. De plus, le projet de loi introduit la LPCE, qui établirait un cadre réglementaire pour renforcer la cybersécurité de base des services et systèmes essentiels à la sécurité nationale et à la sécurité publique, et donnerait au gouvernement un nouvel outil pour lutter contre les nouvelles menaces cybernétiques.

Depuis le dépôt du projet de loi C-26, et dans le cadre de l'engagement du gouvernement à tenir des consultations importantes, la Direction générale de la cybersécurité nationale (DGCN) de Sécurité publique Canada (SP) a rencontré un certain nombre d'intervenants intéressés de manière continue et selon les besoins, dont les provinces et les territoires, le secteur privé, le monde universitaire et les organisations non gouvernementales. Les discussions ont eu pour but de clarifier la loi proposée au besoin, ainsi que de répondre aux préoccupations des intervenants.

SP a reçu les commentaires des intervenants sur la partie 2 du projet de loi C-26, la LPCE. La DGCN a examiné ces commentaires et a relevé 42 propositions d'amendement qu'elle a divisé en cinq catégories :

  1. Conception du programme;
  2. Échange de renseignements et protection des renseignements personnels;
  3. Secret et responsabilité;
  4. Administration du programme
  5. Considérations fédérales et provinciales.

Considérations

Les intervenants de l'industrie se sont généralement montrés favorables à la LCPE et ont souligné l'importance de renforcer la cybersécurité et la résilience des infrastructures essentielles du Canada. Les commentaires reçus jusqu'à maintenant portent principalement sur des amendements visant à 1) veiller à ce que tout nouveau pouvoir du gouvernement soit assorti de mécanismes de contrôle appropriés afin d'éviter une utilisation abusive et d'améliorer la responsabilité; 2) protéger les renseignements personnels des Canadiens; 3) clarifier le régime (c'est-à-dire en ce qui concerne la conception et l'administration du programme); et 4) améliorer la collaboration et l'échange de renseignements entre les partenaires de l'industrie et du gouvernement afin d'accroître la confiance et la transparence.

Ce qui suit est un résumé des amendements proposés par les intervenants dans les cinq catégories déterminées : 1) conception du programme ; 2) échange de renseignements et protection des renseignements personnels; 3) secret et responsabilité; 4) administration du programme et 5) considérations fédérales et provinciales.

Conception du programme

Presque toutes les associations ont présenté à SP des propositions écrites liées à la conception du programme. Ces propositions ont ensuite été divisées en quatre sous-catégories. La première, «  Définitions et législation », contient les propositions voulant que la LPCE veille à ce que les exploitants désignés soient en mesure de respecter efficacement les obligations législatives, et qu'on précise davantage les définitions et la loi elle-même. La deuxième sous-catégorie, « Programmes de cybersécurité », renferme les commentaires qui indiquent que l'élaboration des programmes de cybersécurité doit s'appuyer sur les normes et les pratiques existantes (nationales et internationales) de la LPCE. La troisième sous-catégorie, « Atténuation des risques liés à la chaîne d'approvisionnement et aux tiers », contient les propositions selon lesquelles il faudrait fournir des précisions pour que les exploitants désignés comprennent mieux leurs obligations en matière d'atténuation des risques liés à la chaîne d'approvisionnement et aux tiers et soient plus aptes à les respecter. La dernière sous-catégorie, « Directives sur la cybersécurité », contient les propositions voulant que l'immunité soit accordée aux exploitants désignés qui se conforment à une directive sur la cybersécurité et que la LPCE n'empêche pas un exploitant désigné d'indiquer à son fournisseur d'assurance un changement de risque matériel résultant de l'émission d'une directive.

Échange de renseignements et protection des renseignements personnels

Environ la moitié des associations ont présenté des propositions écrites à SP dans la catégorie de l'échange de renseignements et de la protection des renseignements personnels. Ces propositions ont ensuite été divisées en deux sous-catégories. La première, « communication réciproque de renseignements », contient les propositions selon lesquelles la LPCE devrait encourager une collaboration significative et un échange réciproque de renseignements entre les partenaires de l'industrie et du gouvernement afin d'accroître la confiance et la transparence. La seconde sous‑catégorie, « Préoccupations en matière de confidentialité et renseignements de nature délicate », renferme les propositions selon lesquelles la LPCE devrait contenir des dispositions limitant la divulgation des renseignements confidentiels et de nature délicate de façon à assurer leur protection.

Secret et responsabilité

Un certain nombre d'associations ont présenté à SP des propositions écrites liées à la catégorie du secret et de la responsabilité. Les propositions des intervenants ont ensuite été divisées en deux sous-catégories. La première, « responsabilité et pouvoirs étendus », renferme les propositions qui laissent entendre que la LPCE confère au gouvernement des pouvoirs étendus qui ne sont pas assortis de responsabilité, notamment en ce qui a trait à la capacité du gouverneur en conseil d'émettre des directives sur la cybersécurité sans protections ni garanties prévues dans la loi et à la capacité d'accéder aux renseignements confidentiels ou protégés des exploitants désignés. Les propositions de la deuxième sous-catégorie, « le secret », laissent entendre que la LPCE n'assure pas un contrôle suffisant des mesures du gouvernement, et que ce secret compromet la responsabilité et l'application régulière de la loi.

Administration du programme

De plus, les associations ont également présenté des propositions écrites à SP en rapport avec la catégorie de l'administration du programme. Les propositions des intervenants ont ensuite été divisées en trois sous-catégories. La première, « sanctions et infractions », renferme les propositions qui suggèrent que les sanctions administratives pécuniaires sont trop élevées et qu'elles devraient être confidentielles en vertu de la LCPE. La deuxième, « conformité », renferme les propositions selon lesquelles les exploitants désignés devraient disposer de plus de temps pour se conformer à la LPCE. La troisième, « coûts », contient les propositions qui invitent le gouvernement à réfléchir à la manière dont il soutiendra financièrement les exploitants désignés pour qu'ils se conforment à la LPCE.

Considérations fédérales et provinciales

Les provinces supportent largement l'intention politique et les résultats souhaités de la législation proposée et reconnaissent que les gouvernements fédéral et provinciaux doivent travailler ensemble pour protéger les infrastructures essentielles contre les cybermenaces. Bien qu'elles appuient la législation proposée, certaines provinces ont exprimé des préoccupations quant au fait que, si elle était adoptée, la LPCE risquerait de créer des systèmes de réglementation doubles et potentiellement concurrents dans les cas où les organisations sont réglementées à la fois par le gouvernement fédéral et par les gouvernements provinciaux. Certaines provinces ont exprimé des inquiétudes quant à la portée de l'application de la LPCE aux entreprises relevant de la compétence provinciale, et au fait que la législation proposée pourrait réglementer des domaines qui sont déjà couverts par des normes et des règlements provinciaux existants en matière de cybersécurité. En outre, une province a demandé des éclaircissements sur les dispositions relatives au partage de l'information contenues dans la LCPE, car elle craignait que la législation proposée, telle qu'elle est actuellement rédigée, ne permette pas de partager avec les gouvernements provinciaux les informations relatives aux DCS et à la notification des incidents de cybersécurité. Une province a également indiqué qu'il pourrait être nécessaire de clarifier certaines dispositions concernant l'impact sur la population et les entreprises de la province, ce qui pourrait soulever des questions relatives aux droits de l'homme et à la fourniture de services essentiels.

Prochaines Étapes

Fidèle à son engagement de tenir des consultations importantes tout au long du processus législatif, SP continue de s'entretenir avec des intervenants du secteur privé, de l'industrie, des provinces et des territoires, ainsi qu'avec d'autres intervenants intéressés.

La DGCN de SP continue d'évaluer les amendements proposés par les intervenants afin de fournir une recommandation pour aider le gouvernement à déterminer s'il souhaite considérer l'un ou l'autre de ces amendements s'ils sont proposés en comité. Cette évaluation comprendra également un examen par les Services juridiques de SP.

Date de modification :