Notes des comités parlementaires : Questions et réponses Partie 2 : Loi sur la protection des cybersystèmes essentiels

Projet de loi C-26, Loi concernant la cybersécurité

Mise à jour le 30 octobre 2023.

Table des matières

Général

Q1. Quel est l'objectif du projet de loi C-26, Loi concernant la cybersécurité?

La partie 1 du projet de loi vise à modifier la Loi sur les télécommunications en ajoutant un nouvel objectif stratégique sur la sécurité et en créant des pouvoirs liés à la sécurité pour le gouverneur en conseil et le ministre de l'Industrie. Cette modification permettrait d'harmoniser le cadre réglementant les télécommunications avec ceux qui régissent d'autres secteurs essentiels.
La partie 2 du projet de loi introduit la Loi sur la protection des cybersystèmes essentiels (LPCE), qui vise à protéger les cybersystèmes essentiels qui soutiennent les infrastructures essentielles du Canada dans les secteurs des finances, des télécommunications, de l'énergie et du transport.

Q2. Quel est l'objectif de la Loi sur la protection des cybersystèmes essentiels?

L'objectif de la LPCE est de protéger les cybersystèmes essentiels qui soutiennent les infrastructures essentielles du Canada dans les secteurs des finances, des télécommunications, de l'énergie et du transport.
La LPCE établira un cadre réglementaire visant à améliorer la cybersécurité pour les services et les systèmes qui sont essentiels à la sécurité nationale et à la sécurité publique :
- en exigeant des exploitants désignés qu'ils disposent d'un programme de cybersécurité indiquant comment ils protégeront les cybersystèmes essentiels;
- en exigeant des exploitants désignés qu'ils signalent les cyber incidents, ce qui brossera un meilleur portrait global de la menace;
- en fournissant un mécanisme (les directives de cybersécurité) pour imposer la prise de mesures face à une menace pour la cybersécurité ou à l'existence d'une vulnérabilité;
- en mettant en place une approche intersectorielle cohérente en matière de cybersécurité face à l'interdépendance de plus en plus marquée des cybersystèmes.
Autant que possible, cette mesure législative s'appuiera sur les pouvoirs existants en matière de sécurité et les renforcera, et mettra en place des outils réglementaires supplémentaires (par exemple le signalement obligatoire des incidents).

Q3. Quel est le problème que cette loi vise à régler?

Cette mesure législative vise à combler des lacunes de longue date dans la capacité du gouvernement à protéger les services et les systèmes essentiels dont dépendent les Canadiens. Ces lacunes sont notamment les suivantes :
- l'incapacité de s'assurer que les exploitants privés protègent les cybersystèmes qui sont à la base des infrastructures essentielles du Canada;
- l'incapacité à faire en sorte que les incidents de cybersécurité soient signalés;
- l'absence de pouvoir pour contraindre à l'action en réponse à une menace ou à une vulnérabilité déterminée en matière de cybersécurité;
- la nécessité d'une approche intersectorielle cohérente en matière de cybersécurité en réponse à l'interdépendance croissante des cybersystèmes.
Des infrastructures essentielles sûres et résilientes sont nécessaires à la sécurité et au bien-être des Canadiens, de même qu'au soutien de la croissance et de la reprise économiques du pays.

Q4. Pourquoi le gouvernement présente-t-il deux initiatives législatives/réglementaires dans le secteur des télécommunications? Comment ces initiatives se complètent-elles? En quoi les dispositions de la LPCE diffèrent elles-des modifications apportées à la Loi sur les télécommunications?

Ces deux projets de loi abordent le secteur des télécommunications en fonction de buts différents.
La LPCE permettra de cerner les menaces et les risques qui pèsent sur les cybersystèmes essentiels et de renforcer leur résilience à un large éventail de menaces dans les secteurs des finances, de l'énergie, du transport et des télécommunications. Toutefois, la LPCE n'a pas pour but d'interdire l'utilisation de produits ou de services provenant de fournisseurs à haut risque.
Les modifications apportées à la Loi sur les télécommunications établiront un cadre législatif qui permettra au gouvernement de prendre des mesures pour protéger le système de télécommunications du Canada contre toute menace de perturbation, de manipulation et d'interférence. De nouveaux pouvoirs permettraient au gouvernement de prendre des mesures pour assurer la sécurité du système de télécommunications canadien. Il pourrait s'agir de mesures générales visant à atténuer les risques pour le système de télécommunications, ou d'interdire aux fournisseurs de services de télécommunications d'utiliser des produits ou des services considérés comme une menace pour le système de télécommunications du Canada.
Les modifications apportées à la Loi sur les télécommunications compléteront la LPCE en ajoutant un nouvel objectif stratégique sur la sécurité et en créant des pouvoirs liés à la sécurité pour le gouverneur en conseil et le ministre de l'Industrie, harmonisant ainsi le cadre réglementaire des télécommunications avec les cadres supervisant les secteurs des finances, de l'énergie et du transport.

Q5. Comment le financement accordé permettra-t-il la mise en œuvre de cette initiative?

Dans le budget de 2019, un montant de 144,9 M$ a été accordé pour la protection des cybersystèmes essentiels du Canada dans les secteurs des finances, des télécommunications, de l'énergie et du transport par le biais de la mise en œuvre de cette loi.
Le financement aidera Sécurité publique Canada, les ministères responsables et les organismes de réglementation fédéraux à mettre en œuvre ce cadre, qui comprendra la consultation des intervenants de l'industrie et une collaboration étroite avec le Centre de la sécurité des télécommunications (CST) et son Centre canadien pour la cybersécurité (Centre pour la cybersécurité).
Le CST, en tant que centre national des opérations en ce qui a trait à l'expertise en matière de cybersécurité, recevrait des ressources dans le cadre de cette proposition afin d'augmenter sa capacité actuelle à fournir des conseils techniques, des orientations et des services aux exploitants désignés, aux organismes de réglementation, au ministre de la Sécurité publique, ainsi qu'aux ministères responsables et à leurs ministres.

Q6. Quels nouveaux pouvoirs la LPCE conférera-t-elle au gouvernement?

La LPCE confèrerait de nouveaux pouvoirs au gouvernement : en vertu de cette loi, le gouverneur en conseil pourrait donner des directives de sécurité enjoignant à tout exploitant désigné de se conformer à une mesure prévue pour protéger un cybersystème essentiel.
Les directives de sécurité visent à combler une lacune dans les pouvoirs du gouvernement pour ce qui est d'imposer l'application de mesures de cybersécurité. L'objectif est que le gouverneur en conseil examine s'il existe déjà d'autres pouvoirs permettant d'imposer ces mesures avant d'avoir recours à une directive de cybersécurité.
Les directives de cybersécurité s'appliquent à des exploitants désignés particuliers ou à certaines catégories d'exploitants désignés et exigent de ces derniers qu'ils prennent les mesures indiquées dans la directive de cybersécurité afin de protéger un cybersystème essentiel, et ce dans un délai précis (par exemple, « l'exploitant A doit prendre la mesure X dans un délai de 30 jours »).
Un exploitant désigné qui ne se conforme pas à une directive de cybersécurité pourrait se voir infliger une sanction administrative pécuniaire ou être accusé d'une infraction à la réglementation pouvant entraîner des amendes ou une peine d'emprisonnement.
Il est important de noter que le CST n'obtiendrait pas de nouveaux pouvoirs dans le cadre de la LPCE. Le Centre s'appuiera sur le mandat qui lui a été confié en vertu de la Loi sur le Centre de la sécurité des télécommunications (la « Loi sur le CST ») en matière de cybersécurité et d'assurance de l'information pour fournir des conseils techniques, des orientations et des services aux exploitants désignés et aux partenaires du gouvernement du Canada. Il n'incomberait pas au CST d'évaluer le respect des obligations réglementaires.

Q7. Quel est l'échéancier pour la mise en œuvre de la LPCE et de ses règlements?

Les dispositions de la LPCE entreront en vigueur à la date ou aux dates fixées par décret du gouverneur en conseil au terme de la phase d'élaboration des règlements.
Le gouvernement entreprendra une démarche consultative pour l'élaboration du règlement et suivra l'échéancier habituel d'élaboration des règlements.

Q8. Les intervenants seront-ils consultés au cours de la phase d'élaboration des règlements?

Oui. Le gouvernement consultera les Canadiens, notamment les provinces et les territoires, à chacune des étapes du processus réglementaire, y compris avant la prépublication dans la partie I de la Gazette du Canada et jusqu'à ce que les règlements soient approuvés et publiés dans la partie II de la Gazette du Canada.
Le processus d'élaboration des règlements constituera un processus officiel, itératif et collaboratif au cours duquel le gouvernement adoptera une approche consultative conforme à l'échéancier habituel d'élaboration de la réglementation.
Le gouvernement consultera notamment les intervenants sur les points suivants :
- la désignation des exploitants en vertu de l'annexe 2;
- les programmes de cybersécurité;
- la procédure de signalement des incidents de cybersécurité.
Les pratiques exemplaires, les normes et les cadres réglementaires existants seront pris en compte afin d'éviter les dédoublements dans le cas des administrations et des secteurs disposant déjà de règlements et de normes en matière de cybersécurité.

Q9. Comment les « classes d'exploitants » seront-elles établies? Quels critères le gouvernement va-t-il utiliser?

Le gouvernement entreprendra une démarche consultative avec les intervenants pour déterminer quelles seront les « classes d'exploitants » au titre de la LPCE. Dans le cadre du processus d'établissement de la réglementation, le gouvernement consultera les secteurs concernés et les intervenants avant que le gouverneur en conseil ne détermine les « classes d'exploitants » en vertu de l'Annexe 2 de la loi.
Le processus de définition des « classes d'exploitants » sera mené par Sécurité publique Canada, en collaboration avec les ministères et les organismes de réglementation concernés et en consultation avec l'industrie, afin d'apporter tous les renseignements appropriés pour étayer une décision du gouverneur en conseil.
Seuls les exploitants soumis à la réglementation fédérale qui fournissent un service ou un système d'importance vitale (au titre de l'Annexe 1) seraient couverts par la loi. Les « classes d'exploitants » seraient aussi limitées que possible ou aussi larges que nécessaire afin d'englober les exploitants dont les systèmes doivent être protégés pour assurer la continuité d'un service ou d'un système désigné.
Par exemple, une classe pourrait stipuler que les exploitants qui « fournissent un service essentiel désigné à 5 millions de personnes ou plus » sont désignés, tandis qu'une autre classe pourrait restreindre cette disposition à une certaine zone géographique, désignant de facto un seul exploitant ou un très petit nombre d'exploitants.
La publication de l'Annexe 2, « Classes d'exploitants et régulateurs correspondants », marquerait le début de l'application de la loi à l'égard des exploitants désignés relevant de cette classe. Toutefois, lorsque des règlements sont nécessaires, la loi ne serait pas pleinement applicable tant que ces règlements ne seraient pas entrés en vigueur.
Le gouverneur en conseil est autorisé à modifier l'Annexe 2 et les « classes d'exploitants » qui soutiennent les services et les systèmes essentiels, selon les besoins, afin de protéger leurs cybersystèmes essentiels.

Q10. Quelle est la différence entre la procédure de désignation prévue au titre de la LPCE et celle prévue par la Loi sur le CST?

La désignation des cybersystèmes essentiels en vertu de la LPCE est un processus séparé et distinct de la désignation de l'information électronique et des infrastructures de l'information d'importance pour le gouvernement fédéral en vertu de la Loi sur le CST.
En vertu du paragraphe 21(1) de la Loi sur le CST, le ministre de la Défense nationale peut désigner des infrastructures de l'information non gouvernementales comme étant importantes pour le gouvernement du Canada. Une fois qu'une infrastructure de l'information est désignée en vertu de cette loi, le CST peut mener des activités pour soutenir cette infrastructure, sur demande, y compris en vertu d'une autorisation ministérielle.
Pour que le CST puisse fournir des avis, des conseils et des services aux exploitants désignés en vertu de la LPCE, ces derniers devront être désignés en vertu de la Loi sur le CST.

Q11. Pourquoi ces quatre secteurs ont-ils été choisis? Cette loi pourrait- elle s'appliquer à d'autres secteurs?

Ces secteurs sous réglementation fédérale (finances, énergie, télécommunications et transport) ont été jugés prioritaires en raison de leur importance pour la population canadienne et pour d'autres secteurs (du fait des interdépendances entre les secteurs et de l'incidence directe d'une interruption sur la sécurité et la résilience des infrastructures essentielles de nombreux secteurs).
Bien que ces quatre secteurs soient actuellement assujettis à la LPCE, le gouverneur en conseil dispose de l'autorité requise pour ajouter des services et des systèmes donnés à l'Annexe 1 de la loi. Ce faisant, ces services et systèmes seraient également assujettis à la LPCE.
Le gouverneur en conseil peut procéder ainsi à deux conditions :
- Le service ou le système est fourni dans le cadre d'un travail, d'une entreprise ou d'un commerce placé sous l'autorité du Parlement. En d'autres termes, il s'agit d'un secteur réglementé par le gouvernement fédéral.
- Le gouverneur en conseil est convaincu que le service ou le système est essentiel à la sécurité nationale ou à la sécurité publique.

Considérations Fédérales-Provinciales

Q12. La LPCE pourrait-elle s'appliquer aux provinces et aux territoires?

Non, le cadre législatif ne s'applique qu'aux services et systèmes réglementés par le gouvernement fédéral dans les secteurs des finances, de l'énergie, des télécommunications et du transport.
Néanmoins, cette mesure législative peut servir de modèle aux provinces, aux territoires et aux municipalités pour sécuriser les infrastructures essentielles ne relevant pas de la compétence fédérale. Dans les secteurs où les normes utilisées sont les mêmes d'une administration à l'autre, la LPCE peut contribuer à renforcer les capacités et l'expertise en matière de cybersécurité afin de soutenir la résilience des systèmes employés partout au pays.
Étant donné que plusieurs services et systèmes désignés dans la LPCE dépendent de cybersystèmes qui ne relèvent pas du gouvernement fédéral, ou sont interconnectés avec ces derniers, le gouvernement continuera de mobiliser les provinces et les territoires afin de discuter de la meilleure façon de mettre à profit un cadre canadien exhaustif et collaboratif de protection de la cybersécurité pour protéger les cybersystèmes du Canada.

Q13. Qui réglemente la protection des infrastructures essentielles et la cybersécurité au Canada?

Les responsabilités à l'égard des infrastructures essentielles au Canada sont partagées entre les gouvernements fédéral, provinciaux et territoriaux, les autorités locales, ainsi que les propriétaires et les exploitants d'infrastructures essentielles; ces derniers étant les principaux responsables de la protection de leurs biens et de leurs services.
Comme les infrastructures essentielles sont souvent interconnectées et interdépendantes à l'échelle des provinces, des territoires et au-delà des frontières nationales, chaque ordre de gouvernement au Canada a des responsabilités et des rôles distincts en ce qui concerne la réglementation des différents secteurs des infrastructures essentielles.

Q14. Existe-t-il des cas où un exploitant désigné peut être assujetti à la fois à la LPCE (et à sa réglementation connexe) et à la législation provinciale (et à sa réglementation connexe)?

Il n'est pas rare que des entités liées aux infrastructures essentielles soient soumises à la fois à des règlements fédéraux et provinciaux.
Il est possible qu'une entité reconnue comme « exploitant désigné » en vertu de la LPCE et assujettie à la loi et aux règlements fédéraux associés soit également assujettie à la réglementation provinciale.
Toutefois, il est important de noter que l'exploitant désigné ne serait soumis aux obligations découlant de la loi et de la réglementation connexe que pour les composantes de ses infrastructures et de ses cybersystèmes essentiels qui sont sous réglementation fédérale. Les provinces et les territoires demeureraient responsables de la réglementation des infrastructures, services et systèmes relevant de leurs compétences respectives.
En outre, au cours de la phase d'élaboration des règlements, les normes internationales et les cadres réglementaires existants seront exploités afin d'éviter les chevauchements et les dédoublements pour les administrations disposant déjà d'une loi et de règlements en matière de cybersécurité.

Q15. Comment la LPCE (et sa réglementation connexe) coexistera-t-elle avec les lois et règlements des provinces en matière de cybersécurité?

La LPCE et la réglementation nécessaire à sa mise en œuvre ont pour objet de respecter et de compléter les lois et règlements provinciaux existants en matière de cybersécurité.

Q16. Comment les gouvernements fédéral, provinciaux et territoriaux, y compris les organismes de réglementation, collaborent-ils- pour harmoniser les réglementations fédérales et provinciales et éviter les dédoublements et les chevauchements?

Conformément à la Directive du Cabinet sur la réglementation, le gouvernement travaillera en collaboration avec les intervenants, y compris les gouvernements provinciaux et territoriaux, pour veiller à l'harmonisation de la réglementation et éviter les chevauchements et les dédoublements avec les règlements provinciaux existants.
Le gouvernement travaillera avec les intervenants dans le cadre de ce processus pour réduire le dédoublement des règlements et tenir compte des effets cumulatifs des différents règlements sur les intervenants.

Q17. Les provinces et les territoires participeront-ils à l'élaboration de la réglementation fédérale nécessaire à la mise en œuvre de la LPCE?

Oui. Le gouvernement consultera les Canadiens, notamment les provinces et les territoires, à chacune des étapes du processus réglementaire, y compris avant la prépublication dans la partie I de la Gazette du Canada et jusqu'à ce que les règlements soient approuvés et publiés dans la partie II de la Gazette du Canada.
Le processus d'élaboration des règlements constituera un processus officiel, itératif et collaboratif au cours duquel le gouvernement adoptera une approche consultative conforme à l'échéancier habituel de l'élaboration de la réglementation.
Le gouvernement consultera notamment les intervenants sur les points suivants :
- la désignation des exploitants en vertu de l'annexe 2;
- les programmes de cybersécurité;
- la procédure de signalement des incidents de cybersécurité.
Les pratiques exemplaires, les normes et les cadres réglementaires existants seront pris en compte afin d'éviter les dédoublements dans le cas des administrations et des secteurs disposant déjà de règlements et de normes en matière de cybersécurité.

Q18. La LPCE prévoit-elle des mécanismes d'échange de renseignements entre les gouvernements fédéral, provinciaux et territoriaux?

Oui. Les articles 23 et 27 de la LPCE, s'ils sont adoptés, fourniront un mécanisme juridique supplémentaire pour l'échange de renseignements recueillis par le gouvernement en vertu de la loi avec les gouvernements provinciaux et territoriaux, y compris des renseignements confidentiels.
En outre, en vertu des pouvoirs qui lui sont conférés, le CST est actuellement habilité à conclure des ententes d'échange de renseignements sur la cybersécurité avec les provinces et les territoires.

Conception Du Programme

Q19. Quelle sera l'incidence de la LPCE sur les exploitants désignés assujettis à la loi?

La LPCE exigerait des exploitants désignés les mesures suivantes :
- Mettre en place un programme de cybersécurité pour protéger leurs cybersystèmes essentiels;
- Prendre des mesures raisonnables pour gérer les risques de cybersécurité associés à des tiers ou à des éléments de la chaîne d'approvisionnement;
- Signaler les cyberincidents dont l'importance dépasse un seuil donné;
- Se conformer à d'éventuelles directives de cybersécurité.
Comme il est dans l'intérêt de tous d'éviter un incident de cybersécurité, les acteurs du secteur prennent déjà des mesures pour protéger leurs cybersystèmes essentiels. On ne s'attend donc pas à ce que la LPCE impose un fardeau excessif à l'industrie.
Par ailleurs, cette loi devrait nous permettre de mieux comprendre le panorama des cybermenaces grâce au processus de signalement obligatoire, ce qui permettra aux exploitants désignés, et en fait à tous les Canadiens, de prendre des mesures plus efficaces pour protéger leurs cybersystèmes.

Q20. Quel sera l'effet de la LPCE sur les secteurs des infrastructures essentielles réglementés par le gouvernement fédéral?

Les incidents de cybersécurité ont des effets négatifs sur la sécurité publique, la sécurité nationale et l'économie, et peuvent coûter très cher aux entreprises. Les acteurs de l'industrie prennent déjà des mesures pour protéger leurs cybersystèmes essentiels. Par conséquent, la LPCE ne devrait pas imposer un fardeau excessif à l'industrie.
Néanmoins, le gouvernement s'est engagé à assurer l'intégration harmonieuse de cette mesure législative au moyen d'une collaboration et d'un engagement continus avec les partenaires gouvernementaux et les intervenants de l'industrie.
La LPCE est rédigée dans l'intention précise de limiter les charges excessives pesant sur les exploitants désignés. À cette fin, elle n'entrera en vigueur qu'après une consultation approfondie de tous les secteurs d'infrastructures essentielles concernés dans le cadre du processus d'élaboration des règlements.

Q21. La LPCE impose-t-elle des normes de cybersécurité précises?

La LPCE n'impose pas de norme ou de méthode particulière pour assurer la cybersécurité. Elle crée plutôt un cadre réglementaire pour renforcer les protections de base en matière de cybersécurité des services et des systèmes qui sont essentiels à la sécurité nationale et à la sécurité publique des Canadiens.
De nombreux exploitants au Canada prennent déjà des mesures pour protéger leurs cybersystèmes, et leurs pratiques sont étroitement liées aux approches reconnues en matière de cybersécurité, y compris le Cyber Security Framework, largement adopté par le National Institute for Standards and Technologies des États-Unis, ou les Security of Network & Information Systems Regulations du Royaume-Uni.
L'utilisation d'un cadre déjà connu devrait réduire au minimum la nécessité pour les exploitants de modifier leur approche en matière de cybersécurité.

Q22. Un fournisseur de services tiers peut-il être reconnu comme exploitant désigné?

Oui. Un fournisseur de services tiers peut être reconnu comme exploitant désigné s'il fournit un service ou un système essentiel au sens de l'article 6 et s'il appartient à une catégorie d'exploitants désignés au sens de l'article 7 de la loi.
De plus, la loi exige que les exploitants désignés indiquent dans leur programme de cybersécurité les risques liés aux produits et services de tiers qu'ils utilisent, qu'ils avisent l'organisme de réglementation des changements importants dans leur utilisation de produits et services de tiers et qu'ils atténuent les risques cernés dans le cadre de leur utilisation de produits et services de tiers.
Afin de vérifier le respect de la loi ou d'empêcher son non-respect, les organismes de réglementation peuvent demander à toute personne, société de personnes ou organisation non constituée en société de leur fournir les renseignements demandés, conformément à l'article 29 de la loi. Cela pourrait inclure des fournisseurs de services tiers.

Q23. Cette loi créerai-t-elle un fardeau excessif pour les petites et moyennes entreprises?

On ne s'attend pas à ce que la LPCE crée un fardeau excessif pour les petites et moyennes entreprises (PME). Cette loi vise à garantir que les petites entreprises, ainsi que l'ensemble des Canadiens, puissent compter sur des systèmes et des services essentiels à leur bien-être et à leurs moyens de subsistance.
Seuls les exploitants qui relèvent de la réglementation fédérale et fournissent un service ou un système essentiel à la sécurité nationale ou à la sécurité publique, par exemple un service ou un système essentiel à la santé, à la sécurité ou au bien-être économique des Canadiens, seraient assujettis à la loi.
Les « classes d'exploitants » seraient aussi limitées que possible ou aussi larges que nécessaire afin d'englober les exploitants dont les systèmes doivent être protégés pour assurer la continuité d'un service ou d'un système désigné.
Il est possible, mais peu probable, qu'une PME soit catégorisée dans une « classe d'exploitants », sur la base des critères de détermination et d'établissement de ces classes. Ce ne sera le cas que s'il est établi que les cybersystèmes essentiels de la PME doivent être protégés pour assurer la continuité d'un service ou d'un système désigné dans l'Annexe 1.

Q24. Un financement sera-t-il prévu pour soutenir les exploitants désignés dans la mise en œuvre de la LPCE?

Bien qu'aucun financement ne soit prévu pour aider les exploitants dans la mise en œuvre de la LPCE, il est important de noter que les coûts de récupération après un incident de cybersécurité sont bien plus élevés que les coûts d'investissement dans l'amélioration de la cybersécurité.
Les modalités n'ont pas pour but de forcer les exploitants à apporter des changements radicaux et coûteux à leur approche de cybersécurité. Elles visent plutôt à établir un processus itératif d'amélioration de la cybersécurité de chaque exploitant désigné au fil du temps, rehaussant ainsi continuellement la cybersécurité dans l'ensemble du Canada.

Q25. La LPCE peut-elle être mise à profit pour se défendre contre les nouvelles cybermenaces comme celles qu'engendre l'intelligence artificielle?

La LPCE est conçue pour s'adapter aux nouvelles technologies comme l'intelligence artificielle et pour améliorer la capacité du Canada à se défendre et à se protéger contre les cybermenaces qui en découlent.
En vertu de la LPCE, les exploitants désignés seront tenus de mettre en place un programme de cybersécurité, d'atténuer les risques liés à la chaîne d'approvisionnement et aux services ou produits de fournisseurs tiers, de signaler les incidents liés à la cybersécurité et de se conformer aux directives de cybersécurité. Grâce à ces obligations, la loi vise à créer un cercle vertueux en matière de cybersécurité, qui permettra aux exploitants désignés d'être en meilleure position pour prévenir et détecter les cybermenaces et les incidents, y compris ceux rendus possibles par l'utilisation de l'IA, ainsi que d'y réagir et de s'en remettre.

Q26. La LPCE peut-elle contribuer à prévenir un incident tel que la panne générale de Rogers?

Cette proposition législative est destinée à servir de fondement à la sécurisation des infrastructures essentielles du Canada contre les cybermenaces et les vulnérabilités. La panne de Rogers a été causée par une défaillance du système de réseau à la suite d'une mise à jour. Par conséquent, la LPCE n'aurait probablement pas été en mesure de l'empêcher.
Cela dit, cette mesure législative vise à renforcer la résilience des cybersystèmes essentiels du Canada et améliorerait la capacité des organisations à se préparer à l'égard de tous les types d'incidents de cybersécurité, à les prévenir, à y réagir et à s'en remettre.

Signalement Des Incidents

Q27. La LPCE exigera-t-elle que les exploitants assujettis à la loi signalent les incidents de cybersécurité?

Oui, en vertu de la LPCE, les exploitants désignés seront tenus de signaler au CST certains cyber incidents touchant ou susceptibles de toucher leurs cybersystèmes essentiels.
Les types d'incidents à signaler seront décrits dans les règlements, conformément à l'alinéa 135c) de la loi.
Cette nouvelle obligation quant au signalement des incidents de cybersécurité par les exploitants désignés permettra d'obtenir de précieuses informations sur l'environnement de la cybermenace au Canada. Ce renforcement de l'échange de renseignements sur les menaces permettra aux gouvernements et au secteur privé de prendre les mesures appropriées afin de mieux protéger les cybersystèmes, essentiels ou autres.
Conformément à l'article 17 de la Loi sur le CST, les informations reçues grâce au signalement obligatoire des incidents seront analysées par le Centre pour la cybersécurité et pourront être rendues anonymes et regroupées avec d'autres rapports et informations pour :
- fournir aux exploitants désignés des conseils techniques et des orientations pour réagir face aux incidents de cybersécurité et s'en remettre;
- avertir sans délai les autres exploitants désignés;
- informer les Canadiens des risques et des tendances en matière de cybersécurité, sans divulguer de renseignements confidentiels.
La divulgation de renseignements de nature délicate contenus dans les rapports d'incidents de cybersécurité, comme des renseignements susceptibles de révéler une vulnérabilité d'un cybersystème essentiel ou des renseignements susceptibles d'entraîner une perte financière importante pour l'exploitant désigné (par exemple une atteinte à sa réputation), sera limitée afin de les protéger contre une divulgation inappropriée au titre de la LPCE.

Q28. Pourquoi le signalement obligatoire des incidents est-il nécessaire?

Le Centre pour la cybersécurité du CST reçoit actuellement des rapports d'incidents de cybersécurité fournis volontairement par des exploitants d'infrastructures essentielles et d'autres entreprises, diffuse des informations et des avis sur ces menaces et aide à coordonner l'intervention en cas d'incidents graves.
Mais comme les organisations ne signalent pas systématiquement les incidents de cybersécurité, le gouvernement manque d'informations sur les cyberattaques visant les infrastructures essentielles. Cela entrave la capacité du gouvernement à communiquer des informations sur les incidents avec d'autres secteurs vulnérables.
L'obligation pour les exploitants désignés de signaler les incidents de cybersécurité fournira des renseignements précieux sur le panorama des menaces de cybersécurité au Canada. Ce renforcement de l'échange de renseignements sur les menaces permettra aux gouvernements et au secteur privé de prendre les mesures appropriées afin de mieux protéger les cybersystèmes, essentiels ou autres.
Les renseignements obtenus dans le cadre du processus de signalement obligatoire des incidents permettront au Centre pour la cybersécurité du CST de fournir aux exploitants désignés des conseils techniques et des suggestions de mesures visant à contenir la compromission ou à prévenir d'autres incidents, et à se remettre de l'incident de cybersécurité qui a été signalé.
Un tableau plus complet des menaces de cybersécurité auxquelles le Canada est confronté permettra au gouvernement d'être mieux à même de mettre au point des interventions stratégiques et opérationnelles. Les exploitants d'infrastructures essentielles bénéficieraient également d'informations plus complètes sur les menaces. Par exemple, s'ils disposent d'indicateurs de compromission, les exploitants d'infrastructures essentielles peuvent analyser leurs propres systèmes à la recherche de traces de cette même compromission.

Q29. Pourquoi la LPCE ne prévoit-elle pas d'obligation de signaler les paiements de rançon?

Cette loi vise à protéger les cybersystèmes sous réglementation fédérale qui soutiennent les infrastructures essentielles du Canada. Les rapports sur les paiements de rançon, même s'ils sont utiles pour aider les autorités à identifier les auteurs et à mieux comprendre les flux de devises illicites sur lesquels repose le modèle du rançongiciel, ne contribuent pas à améliorer la protection des exploitants désignés contre les cybermenaces.
Le projet de loi est axé sur la prévention de tous les incidents de cybersécurité, y compris, mais sans s'y limiter, les attaques par rançongiciel. C'est en adoptant une posture neutre par rapport aux différentes menaces et technologies que la loi proposée sera la mieux placée pour aider les exploitants désignés à faire face au large éventail de menaces existantes et futures.

Q30. Pourquoi le gouvernement n'a-t-il pas exigé que les incidents soient signalés aux autorités policières?

L'objectif de l'obligation de signalement est d'améliorer la capacité du Centre pour la cybersécurité, conformément à son mandat de défense contre les cyber incidents, à fournir des conseils et des orientations pour aider les propriétaires et les exploitants à protéger leurs cybersystèmes essentiels.
Rien dans cette loi n'empêche le signalement aux autorités policières. De fait, toutes les victimes sont encouragées à signaler aux autorités policières les cybercrimes, y compris les attaques par rançongiciel, par l'intermédiaire de leurs services de police locaux ou à la GRC par l'intermédiaire du site Web du Centre antifraude du Canada.

Q31. La LPCE confère-t-elle de nouveaux pouvoirs au Centre de la sécurité des télécommunications?

Bien que la LPCE crée une obligation pour les exploitants désignés de signaler les incidents au CST, elle ne confère pas de nouveaux pouvoirs à ce dernier. Le CST recevra ces nouveaux rapports d'incident conformément au mandat qui lui est confié en matière de cybersécurité et d'assurance de l'information par l'article 17 de la Loi sur le CST. Le CST pourra également continuer à prendre acte des rapports d'incidents fournis volontairement, comme il le fait actuellement.

Q32. La LPCE obligerait les exploitants désignés à signaler au CST les incidents de cybersécurité. En vertu de quelle autorité le CST recueillerait-il ces rapports d'incidents?

La LPCE ne confèrerait pas de nouveaux pouvoirs au CST. Le CST recevrait ces rapports obligatoires d'incidents de la part des exploitants désignés conformément au mandat qui lui est d'ores et déjà confié en matière de cybersécurité et d'assurance de l'information par l'article 17 de la Loi sur le CST.

Q33. La réception de rapports d'incidents de cybersécurité de la part d'entreprises canadiennes va-t-elle à l'encontre du paragraphe 22(1), de la Loi sur le CST, qui stipule que les activités du CST « ne peuvent viser des Canadiens ou des personnes se trouvant au Canada »?

Les activités du CST à cet égard sont conformes au paragraphe 22(1) de la Loi sur le CST, car le CST ne s'intéresse qu'à l'infrastructure électronique ayant été touchée par l'incident de cybersécurité.
Les activités du CST ne visent pas des Canadiens ou des personnes se trouvant au Canada lorsqu'il s'agit d'activités à l'appui des volets de son mandat relatifs au renseignement étranger, à la cybersécurité et à l'assurance de l'information, aux cyber opérations défensives ou aux cyber opérations actives.
Le CST est chargé de fournir des avis, des conseils et des services aux institutions fédérales et à d'autres systèmes d'importance désignés, qui peuvent comprendre des systèmes relevant d'entreprises canadiennes, conformément à l'article 17 de la Loi sur le CST.
Les activités menées à l'appui du mandat de l'organisation, y compris le signalement des incidents de cybersécurité, sont axées sur les conséquences pour un système. Le rôle du CST est de fournir des conseils, des orientations et des services en matière de cybersécurité pour ce système.

Q34. Les rapports d'incidents de cybersécurité adressés au CST comprennent-ils de l'information nominative sur un Canadien (INC) ou des renseignements confidentiels? Comment l'INC et les renseignements confidentiels sont-ils protégés à l'heure actuelle, et comment le seront-ils après l'entrée en vigueur de la LPCE?

À l'heure actuelle

En vertu du cadre actuel, des renseignements sont volontairement transmis au CST par des exploitants d'infrastructures essentielles de tous les secteurs, des entreprises, des professionnels des technologies de l'information et des institutions gouvernementales.
La majorité des renseignements reçus par le biais des rapports d'incidents de cybersécurité sont de nature technique et ne contiennent pas de renseignements personnels.
Le CST a conclu des ententes de non-divulgation avec certains systèmes d'importance en ce qui concerne l'échange d'informations. Par ailleurs, avant de soumettre des informations au CST par l'entremise de son portail Web, les utilisateurs doivent lire et accepter une clause de non -responsabilité et les modalités d'un énoncé de protection des renseignements personnels.
L'article 24 de la Loi sur le CST impose au CST de veiller à ce que des mesures soient prises pour protéger les renseignements personnels des Canadiens et des personnes se trouvant au Canada lors de l'utilisation, de l'analyse, de la conservation et de la divulgation de renseignements les concernant, acquis dans le cadre de l'exécution des volets du mandat du CST relatifs au renseignement étranger, à la cybersécurité et à l'assurance de l'information (information acquise incidemment).
Par conséquent, tout renseignement personnel fourni au CST dans le cadre de la procédure de signalement d'un incident est traité conformément aux dispositions sur la protection des renseignements personnels prévues par les lois applicables, y compris la Loi sur la protection des renseignements personnels.
De plus, les organes d'examen et de contrôle tels que l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et le commissaire au renseignement font office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'INC par le CST, ainsi que de l'application des autorisations ministérielles.

En vertu de la LPCE

En vertu de la LPCE, les exploitants désignés seraient tenus de signaler au CST tout incident de cybersécurité.
Les renseignements précis devant être fournis au CST dans les rapports d'incidents n'ont pas encore été déterminés. L'élaboration de la procédure de signalement des incidents, des formulaires connexes et des types de données techniques demandés, le cas échéant, ferait partie du processus d'élaboration des règlements et serait réalisée en consultation avec l'industrie.
Il est important de noter que ces rapports ne porteront pas sur des individus, mais plutôt sur des renseignements relatifs au cybersystème essentiel ayant été touché par l'incident de cybersécurité.
Par exemple, dans le cadre du processus d'élaboration du règlement, le CST formulera des recommandations sur les types les plus pertinents d'artéfacts, de données et de fichiers journaux provenant des appareils et des réseaux en cause à inclure dans les rapports d'incidents aux fins d'analyse par le Centre pour la cybersécurité. Il pourrait s'agir d'informations relatives aux indicateurs de cybermenaces, aux tactiques, techniques et procédures employées par les acteurs, aux vulnérabilités exploitées, aux types d'incident, à l'actif technologique ciblé et à tout autre fait important concernant l'incident.
L'article 24 de la Loi sur le CST impose au CST de veiller à ce que des mesures soient prises pour protéger les renseignements personnels des Canadiens et des personnes se trouvant au Canada lors de l'utilisation, de l'analyse, de la conservation et de la divulgation de renseignements les concernant, acquis dans le cadre de l'exécution des volets du mandat du CST relatifs au renseignement étranger, à la cybersécurité et à l'assurance de l'information (information acquise incidemment).
Par conséquent, tout renseignement personnel fourni au CST dans le cadre de la procédure de signalement d'un incident serait traité conformément aux dispositions sur la protection des renseignements personnels prévues par les lois applicables, y compris la Loi sur la protection des renseignements personnels.
De plus, les organes d'examen et de contrôle tels que l'OSSNR et le commissaire au renseignement feraient office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'INC par le CST, ainsi que de l'application des autorisations ministérielles.

Q35. Si le CST obtient incidemment des renseignements relatifs à un Canadien ou à une personne se trouvant au Canada, peut-il les communiquer à d'autres institutions gouvernementales?

Le CST ne pourrait communiquer ces renseignements que dans des circonstances précises et limitées.
L'article 44 de la Loi sur le CST stipule que les informations relatives à un Canadien ou à une personne se trouvant au Canada qui ont été acquises, utilisées ou analysées au cours d'activités menées dans le cadre du volet du mandat du CST touchant la cybersécurité et l'assurance de l'information, tel que défini à l'article 17 de la Loi sur le CST, ne peuvent être communiquées à une personne ou à des catégories de personnes désignées par le ministre que si cela est nécessaire pour assurer la protection :
- de l'information électronique et des infrastructures de l'information desinstitutions fédérales;
- de l'information électronique et des infrastructures de l'information désignées comme étant d'importance pour le gouvernement fédéral en vertu du paragraphe 21(1).
Le paragraphe 46(1) de la Loi sur le CST permet au CST d'utiliser et d'analyser de l'information se rapportant à un Canadien ou à une personne se trouvant au Canada s'il a des motifs raisonnables de croire qu'il y a un danger imminent de mort ou de lésions corporelles graves pour une personne physique et que l'information est pertinente.
- Le paragraphe 46(2) précise que ces renseignements peuvent être communiqués à toute personne appropriée si leur communication peut aider à prévenir le danger.
Les organes d'examen et de contrôle tels que l'OSSNR et le commissaire au renseignement feraient office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'INC par le CST, ainsi que de l'application des autorisations ministérielles.

Q36. Le CST pourrait-il utiliser l'information recueillie dans le cadre du volet de son mandat touchant la cybersécurité et l'assurance de l'information (article 17) à l'appui des volets touchant le renseignement étranger (article 16), les cyber opérations défensives (article 18), les cyber opérations actives (article 19) et l'assistance technique et opérationnelle (article 20)?

Le CST recevrait des rapports obligatoires d'incidents de la part des exploitants désignés conformément au mandat qui lui est d'ores et déjà confié en matière de cybersécurité et d'assurance de l'information par l'article 17 de la Loi sur le CST.
Les renseignements obtenus par le CST en vertu de la LPCE ont pour but de fournir des conseils et des orientations aux intervenants de tous les ordres de gouvernement, des secteurs sous réglementation fédérale et provinciale, ainsi qu'à l'ensemble des Canadiens. Le CST ne se voit pas octroyer de nouveaux pouvoirs par la LPCE.
S'il est vrai que l'information recueillie par le CST dans le cadre d'un volet de son mandat peut être utilisée par le CST dans le cadre d'un autre volet de ce dernier, ce n'est le cas que dans des circonstances particulières et limitées qui satisfont aux conditions énoncées dans la Loi sur le CST. Par exemple, le CST peut utiliser l'information sur les indicateurs de compromission pour contribuer aux activités de lutte contre les cybermenaces dans le cadre du volet de son mandat touchant le renseignement étranger, mais il doit veiller à ce que des mesures soient prises pour protéger les renseignements personnels des Canadiens et des personnes se trouvant au Canada en ce qui concerne l'information acquise incidemment.

Q37. Dans certaines circonstances, le CST est autorisé à recueillir de l'information en vertu de l'un des volets de son mandat et à l'utiliser à l'appui d'un autre volet de son mandat. Dans ce cas, comment l'information nominative sur un Canadien et les renseignements confidentiels sont-ils protégés? Y aura-t-il des changements à cet égard après l'entrée en vigueur de la LPCE?

Conformément à l'article 24 de la Loi sur le CST, le CST doit veiller à ce que des mesures soient prises pour protéger la vie privée des Canadiens ou des personnes se trouvant au Canada en ce qui concerne l'information acquise incidemment.
De plus, les organes d'examen et de contrôle tels que l'OSSNR et le commissaire au renseignement font office de mesures de responsabilisation supplémentaires grâce à leur examen régulier de la collecte, de l'utilisation et de la conservation de l'information nominative sur un Canadien par le CST, ainsi que de l'application des autorisations ministérielles.
La LPCE n'aura pas d'incidence sur les pouvoirs législatifs et les responsabilités du CST en matière de protection des renseignements personnels.

Confidentialité, Divulgation Et Responsabilité

Q38. La LPCE protège-t-elle les renseignements personnels des Canadiens?

De nos jours, la protection de la vie privée dépend grandement d'une bonne cybersécurité. Aucun cybersystème n'est impénétrable, mais l'amélioration continue de la posture de cybersécurité permet de réduire considérablement la probabilité d'une atteinte à la sécurité des données.
En exigeant des exploitants canadiens d'infrastructures essentielles qu'ils maintiennent des niveaux élevés de cybersécurité, nous réduisons également la probabilité d'atteintes à la sécurité au sein de leurs systèmes, qui contiennent souvent des renseignements et des données à caractère personnel.
Comme toujours, les Canadiens sont protégés par la Charte canadienne des droits et libertés, la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques en ce qui concerne les renseignements personnels détenus par le gouvernement. Cela inclut tout renseignement personnel qui pourrait être collecté en vertu du projet de loi C-26.

Q39. La LPCE garanti-t-elle que les renseignements communiqués au gouvernement par les exploitants désignés sont protégés contre la divulgation?

Oui, la LPCE protège les renseignements confidentiels obtenus par le gouvernement. Il s'agit notamment des renseignements relatifs à un cybersystème essentiel qui :
- concernent la vulnérabilité d'un cybersystème essentiel ou les méthodes utilisées pour le protéger et qui est toujours traité de manière confidentielle par l'exploitant désigné;
- pourraient entraîner des préjudices financiers ou concurrentiels pour l'exploitant désigné si elles étaient divulguées;
- pourraient interférer avec les négociations contractuelles ou autres d'un exploitant désigné.
Pour protéger ces renseignements confidentiels communiqués au gouvernement, la LPCE prévoit des dispositions visant à gérer et à restreindre la divulgation de ces renseignements de nature délicate recueillis en vertu de la loi. La divulgation inappropriée de renseignements confidentiels constitue une infraction aux yeux de la loi.
Il convient également de prendre note que ces renseignements ne seraient pas divulgués en vertu de la Loi sur l'accès à l'information, et que les dispositions de la Loi sur la protection des renseignements personnels continueraient de s'appliquer.
Les dispositions relatives à la confidentialité n'empêcheraient pas la divulgation au Service canadien du renseignement de sécurité ou aux autorités policières lorsque la divulgation est par ailleurs légale.

Q40. Pourquoi les exploitants désignés n'ont-ils pas le droit de divulguer des renseignements sur le fait qu'une directive de cybersécurité a été délivrée?

Les directives de cybersécurité sont conçues pour être utilisées en vertu de la LPCE en présence de circonstances graves, lorsqu'il existe un besoin urgent de faire face à une menace ou à une vulnérabilité connue.
La non-divulgation des directives a pour but de protéger les renseignements confidentiels des exploitants désignés et d'éviter l'exploitation ultérieure de vulnérabilités. Nous souhaitons éviter que les exploitants désignés ne deviennent des cibles pour d'éventuels malfaiteurs.

Q41. Pourquoi les directives de sécurité ne peuvent-elles pas être divulguées au public?

Les directives de cybersécurité sont conçues pour être utilisées en vertu de la LPCE en présence de circonstances graves, lorsqu'il existe un besoin urgent de faire face à une menace ou à une vulnérabilité connue.
La non-divulgation des directives a pour but de protéger les renseignements confidentiels des exploitants désignés et d'éviter l'exploitation ultérieure de vulnérabilités. Nous souhaitons éviter que les exploitants désignés ne deviennent des cibles pour d'éventuels malfaiteurs.
Le ministre de la Sécurité publique, néanmoins, est tenu de présenter un rapport annuel au Parlement qui pourrait inclure, par exemple, le nombre de directives de cybersécurité délivrées et dans quels secteurs. Les renseignements divulgués au gouvernement peuvent être rendus anonymes et peuvent être utilisés par le Centre pour la cybersécurité afin de transmettre des alertes et des avis à l'industrie et aux Canadiens en général.
L'Office de surveillance des activités en matière de sécurité nationale et de renseignement et le Comité des parlementaires sur la sécurité nationale et le renseignement ont également des mandats d'examen qui pourraient être mis à profit.
Enfin, il existe également une procédure de contrôle judiciaire permettant aux entités désignées concernées de contester les ordonnances.

Q42. Pourquoi la LPCE exige-t-elle qu'un juge désigné de la Cour fédérale garde l'information secrète?

Les directives de cybersécurité sont soumises à un contrôle judiciaire, mais la LPCE prévoit que le juge désigné par la Cour fédérale doit garder secrets les éléments de preuve et autres renseignements fournis par le ministre vis-à-vis du public, du demandeur et de son avocat, si le juge estime que leur divulgation porterait préjudice aux relations internationales, à la défense nationale ou à la sécurité nationale, ou mettrait en danger la sécurité d'une personne.
Un demandeur de contrôle judiciaire a droit à un résumé des preuves et autres renseignements gouvernementaux mis à la disposition du juge « qui permettent au demandeur d'être raisonnablement informé » des arguments du gouvernement, à l'exclusion des renseignements préjudiciables susmentionnés.

Q43. La LPCE expose-t-elle les exploitants désignés à une responsabilité légale accrue?

Cette loi garantira que les exploitants désignés protègent les cybersystèmes qui soutiennent les infrastructures essentielles du Canada, et les aidera à mieux se préparer à l'égard des nouvelles cybermenaces, à les prévenir et à y répondre. Ainsi, cette loi devrait aider les exploitants désignés à atténuer le fardeau et les risques liés aux incidents de cybersécurité.
La LPCE s'appuie toutefois sur un régime de sanctions administratives pécuniaires et d'infractions réglementaires pour l'application de ses dispositions, lequel peut engager la responsabilité personnelle des dirigeants et des agents ayant participé ou consenti à une infraction à l'égard de la LPCE ou l'ayant acceptée, autorisée ou dirigée.
Toutefois, les exploitants désignés ont le droit de présenter des observations et d'exercer une défense fondée sur la diligence raisonnable. Les organismes de réglementation ont le pouvoir discrétionnaire de corriger les erreurs contenues dans un procès-verbal, de l'annuler ou de conclure des accords de conformité dans les conditions qu'ils jugent appropriées, y compris la réduction partielle ou totale du montant de la sanction.

Q44. La LPCE prévoit-elle une « zone de sécurité » pour protéger les exploitants désignés lorsqu'ils signalent des incidents de cybersécurité et communiquent des renseignements au gouvernement?

Non, la LPCE ne prévoit pas de « zone de sécurité » qui aurait pour incidence de limiter ou d'éliminer la responsabilité légale ou réglementaire des exploitants désignés.
La LPCE contient des dispositions relatives à la protection des renseignements confidentiels obtenus en vertu de cette loi.
La LPCE prévoit un régime de « sanctions administratives pécuniaires » et d'« infractions réglementaires » pour soutenir l'application de ses dispositions, mais l'objectif d'une sanction est d'encourager le respect de la loi et non d'avoir un effet punitif.
À cette fin, un exploitant désigné peut conclure un accord de conformité avec l'organisme de réglementation dont il relève, ce qui peut entraîner une réduction partielle ou totale du montant de la sanction.
De plus, la diligence raisonnable peut être invoquée par le défendeur dans le cadre d'une procédure relative à une infraction.

Sanctions

Q45. Quel est l'objectif des sanctions prévues par la LPCE?

La LPCE confère aux organismes de réglementation compétents le pouvoir de faire appliquer les dispositions de la loi, ce qui comprend le pouvoir d'imposer des sanctions administratives pécuniaires. Ces mesures visent à encourager le respect de la loi et ne sont pas punitives.
Le non-respect de certaines dispositions de la loi peut également donner lieu à des condamnations sommaires ou à des condamnations sur acte d'accusation. Il s'agit notamment des infractions hybrides que sont la violation d'une directive de cybersécurité, la divulgation de renseignements sur l'existence ou le contenu d'une directive de cybersécurité et la divulgation de renseignements confidentiels dans des circonstances non autorisées par la loi.
Une poursuite à la suite d'un acte ou d'une omission en tant que violation empêche la tenue d'une poursuite à la suite d'un acte ou d'une omission en tant qu'infraction, et vice versa.

Q46. Comment le gouvernement s'attend-il à ce que les entreprises ou les particuliers puissent payer une amende de 15 millions de dollars?

La sanction obligatoire pour chaque infraction peut être fixée par voie réglementaire. La LPCE imposerait un seuil maximum de sanctions administratives pécuniaires de 1 million de dollars pour les particuliers et de 15 millions de dollars pour les organisations.
Ces seuils ont été fixés en examinant la législation existante et en veillant à ce qu'ils soient suffisamment élevés pour pouvoir être ramenés à un niveau acceptable pour chaque secteur grâce à l'élaboration d'une réglementation sectorielle en consultation avec les partenaires.
De plus, le montant d'une sanction doit être déterminé en tenant compte d'une série de facteurs, notamment :
- les antécédents de l'exploitant désigné en matière de respect ou de non-respect de la loi;
- la nature et la portée de la violation;
- si des efforts raisonnables ont été déployés pour atténuer les effets de la violation;
- si l'infraction a contribué à un avantage économique ou concurrentiel.

Date de modification :: 2024-06-04