Le 14 juin 2022 a marqué un tournant dans l'histoire de la protection des données au Canada, grâce à l'introduction d'une loi fédérale d'application générale sur la cybersécurité visant à protéger les infrastructures essentielles. Le Canada dispose actuellement d'un régime de protection adéquat (voire exemplaire) de la vie privée, mais n'est pas doté d'une loi d'application générale portant sur la cybersécurité en dehors du régime de protection de la vie privée. Le projet de loi C-26, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois, franchit deux étapes importantes qui vont bien au-delà des exigences des lois actuelles visant la protection de la vie privée :

  1. Il modifie des parties de la Loi sur les télécommunications (loi fédérale) afin d'autoriser le gouvernement à imposer certaines obligations aux fournisseurs de services de télécommunications afin de « sécuriser le système canadien de télécommunication », et de manière plus générale,
  2. Il met en application la Loi sur la protection des cybersystèmes essentiels (la LPCE), laquelle confère au gouvernement le pouvoir de désigner certains services et systèmes comme étant critiques et d'imposer aux exploitants de ceux-ci des obligations en matière de protection des données, d'exiger le signalement obligatoire des incidents de cybersécurité, et de faciliter l'échange de renseignements relatifs à des menaces « entre les parties concernées ».

Selon l'annexe 1 de la LPCE, les services et systèmes suivant sont désignés comme étant critiques :

  1. les services de télécommunication;
  2. les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
  3. les systèmes d'énergie nucléaire;
  4. les systèmes de transport relevant de la compétence législative du Parlement;
  5. les systèmes bancaires;
  6. les systèmes de compensations et de règlements.

La LPCE comprend de solides mécanismes d'application de la loi, notamment les suivants :

  1. le pouvoir d'émettre des ordres de conformité;
  2. le pouvoir d'ordonner à un exploitant de mener des vérifications internes afin d'aider l'organisme réglementaire concerné à déterminer le degré de conformité d'un exploitant avec la LPCE et les règlements y afférents;
  3. le pouvoir d'effectuer des perquisitions des lieux (évidemment sans mandat, sauf lorsque la perquisition doit être effectuée dans une « maison d'habitation », c'est-à-dire une résidence privée) afin de vérifier le respect ou de prévenir le non-respect de la LPCE et des règlements y afférents, et dans le cadre de telles perquisitions, d'accéder à tout « cybersystème » se trouvant sur les lieux ainsi qu'aux renseignements qu'il contient, d'emporter des documents ou registres se trouvant sur les lieux et/ou d'en faire des copies;
  4. la possibilité d'obtenir des mandats ex parte afin d'effectuer des perquisitions dans des maisons d'habitation;
  5. lorsqu'un mandat l'autorise, le pouvoir de faire usage de force afin d'effectuer des perquisitions dans des maisons d'habitation;
  6. la possibilité d'imposer des pénalités administratives pouvant s'élever jusqu'aux montants suivants :
    1. un million de dollars par personne physique (soit un administrateur ou un dirigeant, qui en cas d'une violation, « l'[a] ordonnée ou autorisée, ou qui y [a] consenti ou participé »), ou
    2. quinze millions de dollars par organisation.

Sachant que le montant exact de toute pénalité imposée doit être déterminé conformément à la LPCE et aux règlements y afférents, il est à prévoir que des précisions additionnelles seront fournies ultérieurement quant à la procédure de détermination du montant en fonction de circonstances particulières.

La LPCE établit également des infractions punissables par procédure sommaire et des actes criminels pour les violations des dispositions de la LPCE. Par exemple, le défaut de répondre à des demandes d'information constitue une infraction punissable par procédure sommaire, tandis que le défaut d'établir un programme de cybersécurité, de le mettre en œuvre et d'en assurer la mise à jour peut constituer un acte criminel. La LPCE confère les pouvoirs susmentionnés aux organismes existants chargés de la réglementation des systèmes et services désignés comme étant « critiques » à l'annexe 1, à savoir :

  • le Surintendant des institutions financières;
  • le ministre de l'Industrie;
  • la Banque du Canada;
  • la Commission canadienne de sûreté nucléaire;
  • la Régie canadienne de l'énergie; et
  • le ministre des Transports.

Les dirigeants et les administrateurs d'exploitants de systèmes et de services critiques seront soulagés d'apprendre que la LPCE prévoit une exemption de responsabilité lorsque ces derniers remplissent leurs obligations de bonne foi aux termes de la LPCE, et qu'en cas de violation de la cette loi, il est possible d'invoquer un moyen de défense fondé sur le respect des exigences de diligence raisonnable.

La LPCE ne semble pas imposer d'obligations directement aux fournisseurs de services et de systèmes critiques. Cependant, elle vise manifestement à atténuer les « risques associés aux chaînes d'approvisionnement et à l'utilisation de produits et services de tiers » en tenant les exploitants de services et de systèmes critiques responsables des vulnérabilités des fournisseurs, notamment en imposant les obligations suivantes aux exploitants :

  1. Établir des programmes de cybersécurité afin « d'identifier et de gérer » les risques « associés à la chaîne d'approvisionnement de l'exploitant désigné et à l'utilisation par celui-ci de produits et services de tiers »;
  2. Fournir un avis à l'organisme réglementaire concerné si un changement important est apporté à la chaîne d'approvisionnement de l'exploitant ou à l'utilisation par celui-ci de produits et services de tiers;
  3. Prendre des « mesures raisonnables » afin d'atténuer les risques associés aux chaînes d'approvisionnement et à l'utilisation de produits et services de tiers; et
  4. Tenir des documents concernant les mesures prises en ce sens.

En ce qui concerne le degré de préparation des fournisseurs en matière de cybersécurité, même si la loi ne le mentionne pas explicitement, il semble raisonnable de s'attendre à ce que des obligations contractuelles leur soient imposées pour s'assurer qu'ils veillent à la gestion des risques. Les exploitants, pour leur part, se verront vraisemblablement conférer le droit d'effectuer des vérifications auprès des fournisseurs afin de vérifier leur conformité avec la loi. Les mesures du genre sont assez courantes dans les lois sur la protection de la vie privée.

S'il est adopté avec peu de modifications, le projet de loi C-26 permettra au Canada de se positionner encore plus clairement en tant que pays prenant des mesures législatives sérieuses pour protéger ses infrastructures essentielles contre les cyberattaques[1].

Notons, pour conclure, que le Canada pourrait être en voie d'adopter d'autres mesures législatives visant la cybersécurité. En effet, dans son communiqué de presse accompagnant le dépôt du projet de loi C‑26, le gouvernement fédéral a exprimé le souhait que, s'il est adopté, ce projet de loi « [puisse] aussi servir de modèle pour les provinces, territoires et municipalités qui veulent sécuriser leurs infrastructures essentielles en partenariat avec le gouvernement fédéral[2]. »