Brent J. Arnold
Associé
Article
7
Le 14 juin 2022 a marqué un tournant dans l'histoire de la protection des données au Canada, grâce à l'introduction d'une loi fédérale d'application générale sur la cybersécurité visant à protéger les infrastructures essentielles. Le Canada dispose actuellement d'un régime de protection adéquat (voire exemplaire) de la vie privée, mais n'est pas doté d'une loi d'application générale portant sur la cybersécurité en dehors du régime de protection de la vie privée. Le projet de loi C-26, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois, franchit deux étapes importantes qui vont bien au-delà des exigences des lois actuelles visant la protection de la vie privée :
Selon l'annexe 1 de la LPCE, les services et systèmes suivant sont désignés comme étant critiques :
La LPCE comprend de solides mécanismes d'application de la loi, notamment les suivants :
Sachant que le montant exact de toute pénalité imposée doit être déterminé conformément à la LPCE et aux règlements y afférents, il est à prévoir que des précisions additionnelles seront fournies ultérieurement quant à la procédure de détermination du montant en fonction de circonstances particulières.
La LPCE établit également des infractions punissables par procédure sommaire et des actes criminels pour les violations des dispositions de la LPCE. Par exemple, le défaut de répondre à des demandes d'information constitue une infraction punissable par procédure sommaire, tandis que le défaut d'établir un programme de cybersécurité, de le mettre en œuvre et d'en assurer la mise à jour peut constituer un acte criminel. La LPCE confère les pouvoirs susmentionnés aux organismes existants chargés de la réglementation des systèmes et services désignés comme étant « critiques » à l'annexe 1, à savoir :
Les dirigeants et les administrateurs d'exploitants de systèmes et de services critiques seront soulagés d'apprendre que la LPCE prévoit une exemption de responsabilité lorsque ces derniers remplissent leurs obligations de bonne foi aux termes de la LPCE, et qu'en cas de violation de la cette loi, il est possible d'invoquer un moyen de défense fondé sur le respect des exigences de diligence raisonnable.
La LPCE ne semble pas imposer d'obligations directement aux fournisseurs de services et de systèmes critiques. Cependant, elle vise manifestement à atténuer les « risques associés aux chaînes d'approvisionnement et à l'utilisation de produits et services de tiers » en tenant les exploitants de services et de systèmes critiques responsables des vulnérabilités des fournisseurs, notamment en imposant les obligations suivantes aux exploitants :
En ce qui concerne le degré de préparation des fournisseurs en matière de cybersécurité, même si la loi ne le mentionne pas explicitement, il semble raisonnable de s'attendre à ce que des obligations contractuelles leur soient imposées pour s'assurer qu'ils veillent à la gestion des risques. Les exploitants, pour leur part, se verront vraisemblablement conférer le droit d'effectuer des vérifications auprès des fournisseurs afin de vérifier leur conformité avec la loi. Les mesures du genre sont assez courantes dans les lois sur la protection de la vie privée.
S'il est adopté avec peu de modifications, le projet de loi C-26 permettra au Canada de se positionner encore plus clairement en tant que pays prenant des mesures législatives sérieuses pour protéger ses infrastructures essentielles contre les cyberattaques[1].
Notons, pour conclure, que le Canada pourrait être en voie d'adopter d'autres mesures législatives visant la cybersécurité. En effet, dans son communiqué de presse accompagnant le dépôt du projet de loi C‑26, le gouvernement fédéral a exprimé le souhait que, s'il est adopté, ce projet de loi « [puisse] aussi servir de modèle pour les provinces, territoires et municipalités qui veulent sécuriser leurs infrastructures essentielles en partenariat avec le gouvernement fédéral[2]. »
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.