Une nouvelle ère s’ouvre en matière de cybersécurité pour les organismes sous réglementation fédérale.
Le projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (« Projet de loi C-26 »), est prêt à être adopté par le Parlement[1].
Comme l’a écrit la CBC, une erreur technique de rédaction a été décelée alors que le projet de loi était au Sénat, ce qui a entraîné son renvoi à la Chambre des communes pour un nouveau vote. L’erreur était de nature technique; la Chambre des communes et le Sénat ont tous deux approuvé le contenu réel du projet de loi. Par conséquent, le projet de loi C-26 sera probablement adopté dans sa forme actuelle, à moins de retards importants ou de la fin soudaine de cette session parlementaire. Après son adoption, le projet de loi C-26 attendra la sanction royale et entrera en vigueur à la date fixée par le gouverneur en conseil.
Comme nous l’avons écrit lorsque le Projet de loi a été présenté pour la première fois, les principaux éléments du Projet de loi sont (1) la modification de la Loi sur les télécommunications et (2) l’édiction de la Loi sur la protection des cybersystèmes essentiels (« LPCE ») qui créerait une série de nouvelles exigences en matière de cybersécurité pour certaines organisations réglementées par le gouvernement fédéral. Nous les résumerons successivement.
PARTIE 1 : MODIFICATIONS À LA LOI SUR LES TÉLÉCOMMUNICATIONS
Qui sera touché?
Les modifications apportées par le Projet de loi C-26 à la Loi sur les télécommunications donneraient au gouvernement fédéral le pouvoir d’interdire aux fournisseurs de services de télécommunications (« FST ») canadiens de faire appel à certains fournisseurs considérés comme « à haut risque ». Ces modifications permettraient au gouvernement fédéral de donner suite à son intention déclarée d’interdire à Huawei et à ZTE de participer au déploiement du réseau 5G et d’obliger les fournisseurs de services de télécommunications à cesser d’utiliser le matériel 4G de ces entreprises d’ici la fin de 2027.
Ces modifications toucheraient principalement les FST et les autres entreprises de la chaîne d’approvisionnement des services de télécommunications.
Quels seraient les effets de ces modifications?
Parmi les changements apportés par le Projet de loi C-26 à la Loi sur les télécommunications, un nouvel objectif serait ajouté à la politique canadienne de télécommunication : promouvoir la sécurité du système canadien de télécommunication.
Pour atteindre cet objectif, les modifications conféreraient au gouverneur en conseil et au ministre de l’Industrie le pouvoir (a) d’interdire aux FST d’utiliser les produits et les services fournis par toute personne qu’il précise; ou (b) leur ordonner de retirer de tout ou partie de leurs réseaux ou installations de télécommunication tous les produits fournis par toute personne qu’il précise[2]. Les modifications conféreraient également au ministre de l’Industrie le pouvoir de prendre divers autres types de décrets, s’il a des motifs raisonnables de croire que ces mesures sont nécessaires pour assurer la sécurité du système canadien de télécommunications[3].