Retour aux projets de loi

Règles cybernétiques renforcées pour les infrastructures critiques

Titre complet:
Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois

Résumé#

  • Ce projet de loi vise à renforcer la cybersécurité du Canada, en particulier pour les réseaux de télécommunications et d'autres services clés tels que la banque, l'énergie, le transport et le nucléaire.
  • Il donne au gouvernement fédéral de nouveaux pouvoirs pour ordonner aux fournisseurs de télécommunications de bloquer ou de retirer des équipements ou des services à haut risque, et d'établir des règles de sécurité.
  • Il crée une nouvelle loi (la Loi sur la protection des systèmes cybernétiques critiques) qui oblige les opérateurs dans des secteurs vitaux à mettre en place des programmes de cybersécurité solides, à signaler rapidement les incidents, à gérer les risques de la chaîne d'approvisionnement et à suivre les directives du gouvernement.

Changements clés

  • Télécommunications : Le Cabinet ou le ministre de l'Industrie peut ordonner aux fournisseurs de cesser d'utiliser, de retirer ou de ne pas acheter certains produits ou services ; ou de suspendre le service à une entreprise ou une personne nommée si nécessaire pour des raisons de sécurité. Les ordres peuvent inclure des règles de confidentialité (clauses de non-divulgation).
  • Secteurs critiques : Les banques, les systèmes de compensation et de règlement, les télécommunications, les pipelines et lignes électriques interprovinciaux/internationaux, le nucléaire et le transport réglementé par le fédéral doivent mettre en place des programmes de cybersécurité, les examiner régulièrement, atténuer les risques des tiers, tenir des registres et signaler les incidents cybernétiques (dans un délai pouvant aller jusqu'à 72 heures) au Centre de la sécurité des communications (CSE) et à leur régulateur.
  • Directives gouvernementales : Le Cabinet peut émettre des directives de cybersécurité contraignantes aux opérateurs dans des secteurs vitaux. Il doit tenir compte des impacts opérationnels, de sécurité, financiers et sur les consommateurs. Les opérateurs ne peuvent généralement pas divulguer ces directives.
  • Partage d'informations : Le projet de loi permet le partage d'informations liées à la sécurité entre les agences fédérales de sécurité et de réglementation et, dans certains cas, avec les provinces et les partenaires internationaux, avec des protections de confidentialité.
  • Sanctions : Amendes administratives importantes pour non-conformité (jusqu'à 10 à 15 millions de dollars pour les entreprises ; moins pour les particuliers) et, dans les cas graves, des sanctions pénales. Les directeurs et dirigeants d'entreprise peuvent être tenus responsables.
  • Surveillance : Rapports annuels au Parlement sur les ordres et directives ; avis aux organismes d'examen de la sécurité nationale lorsque des ordres secrets sont utilisés. L'interception de communications privées n'est pas autorisée dans le cadre de ces pouvoirs.

Ce que cela signifie pour vous#

  • Consommateurs et petites entreprises

    • Les réseaux et services clés (internet, téléphones, banque, énergie, transport) devraient être plus sécurisés et fiables, avec moins de pannes et de violations de données.
    • Si un fournisseur doit rapidement retirer un équipement à haut risque ou suspendre le service à une entreprise, il pourrait y avoir des changements ou des retards de service à court terme.
    • Les fournisseurs n'ont pas droit à une compensation fédérale pour les ordres de retrait, donc les coûts pourraient être répercutés par le biais des tarifs.

  • Travailleurs dans des secteurs vitaux (banque, énergie, télécommunications, transport, nucléaire)

    • Attendez-vous à des règles de sécurité plus strictes, à des formations, à des audits et à des rapports d'incidents.
    • Votre organisation devra mettre en place des programmes de cybersécurité formels, des examens réguliers et une vérification documentée de la chaîne d'approvisionnement.

  • Fournisseurs et vendeurs tiers

    • Plus de filtrage de sécurité et de conditions contractuelles. Les produits ou services à haut risque peuvent être interdits ou retirés.
    • Les contrats peuvent être résiliés si un risque est identifié ou si un ordre gouvernemental l'exige.

  • Fournisseurs de télécommunications

    • Doivent suivre les ordres de sécurité du gouvernement, qui peuvent exiger le retrait de certains équipements ou l'arrêt des services à des parties spécifiées. Certains ordres peuvent inclure des règles de non-divulgation.
    • Ont besoin de plans de sécurité, d'évaluations de vulnérabilité, de normes et de systèmes de sauvegarde.
    • Risquent des amendes importantes pour non-conformité ; les pénalités quotidiennes peuvent s'accumuler.

  • Confidentialité et transparence

    • Le projet de loi permet le partage d'informations liées à la sécurité entre les agences fédérales ; les informations confidentielles sont protégées, et la Loi sur la protection des renseignements personnels continue de s'appliquer à certaines parties.
    • Certains ordres et directives peuvent ne pas être publics pour éviter d'alerter les attaquants, mais le gouvernement doit rendre compte de l'utilisation agrégée au Parlement et notifier les organismes d'examen de la sécurité nationale.

Dépenses#

Coût annuel estimé : Aucune information disponible publiquement.

Point de vue des partisans#

  • Les services critiques du Canada font face à de réelles menaces cybernétiques ; ce projet de loi permet au gouvernement d'agir rapidement pour stopper les fournisseurs et pratiques à haut risque avant que des dommages ne surviennent.
  • Le signalement obligatoire des incidents et des normes communes réduisent les pannes, la fraude et les défaillances en cascade dans les secteurs.
  • Des pouvoirs clairs et des sanctions sévères poussent les entreprises à prendre la sécurité au sérieux, y compris dans les chaînes d'approvisionnement et les outils tiers.
  • Aligne le Canada avec des alliés qui ont des règles similaires en matière de sécurité des télécommunications et d'infrastructures critiques.
  • La confidentialité autour des ordres sensibles aide à prévenir l'alerte des attaquants et protège la sécurité nationale.

Point de vue des opposants#

  • Les pouvoirs sont larges et peuvent être exercés par le biais d'ordres secrets, soulevant des préoccupations concernant la transparence, le respect des droits et la capacité limitée de contester les décisions.
  • Aucune compensation pour les ordres de "remplacement" pourrait transférer de gros coûts aux transporteurs et, en fin de compte, aux consommateurs par le biais de prix plus élevés.
  • Les lourdes charges de conformité pourraient frapper le plus durement les petits opérateurs et vendeurs et pourraient réduire la concurrence ou ralentir l'innovation.
  • L'élargissement du partage d'informations pourrait soulever des préoccupations en matière de confidentialité, malgré les règles de confidentialité.
  • Des sanctions sévères et des pouvoirs d'inspection pourraient être considérés comme excessifs si les orientations et les délais ne sont pas clairs ou si les directives changent rapidement.