Projet de loi C-8 (anciennement le projet de loi C-26) : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois

L’article 7 de la Loi sur les télécommunications est modifié en remplaçant le point final de l’alinéa i) par un point-virgule et en ajoutant l’alinéa suivant après l’alinéa i) :

j) pour promouvoir la sécurité du système canadien de télécommunication.

La même loi est modifiée par adjonction, après l’article 15, de ce qui suit :

Décret — sécurité du système canadien de télécommunication

15.1(1) S’il estime que cela est nécessaire pour sécuriser le système canadien de télécommunications, notamment face aux menaces d’interférence, de manipulation ou de perturbation, le gouverneur en conseil peut, par décret :

15.‍1 (1) S’il a des motifs raisonnables de croire que cela est nécessaire pour sécuriser le système canadien de télécommunication face à toute menace, notamment aux menaces d’ingérence, de manipulation, de perturbation ou de dégradation, le gouverneur en conseil peut, par décret, après consultation des personnes qu’il estime indiquées :

a) interdire aux fournisseurs de services de télécommunication d’utiliser dans tout ou partie de leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, tous les produits et les services fournis par toute personne qu’il précise;

b) leur ordonner de retirer de tout ou partie de leurs réseaux ou installations de télécommunication tous les produits fournis par toute personne qu’il précise.

Portée et teneur

(2) La portée et la teneur des dispositions du décret sont raisonnables eu égard à la gravité de la menace, notamment d’ingérence, de manipulation, de perturbation ou de dégradation.

Non-divulgation

(3) Le décret peut aussi comprendre une disposition interdisant à toute personne de divulguer l’existence de celui-ci ou tout ou partie de son contenu.

Facteurs

(4) Avant de prendre le décret, le gouverneur en conseil tient compte des facteurs suivants :

a) l’effet de la prise du décret sur les activités des fournisseurs de services de télécommunication touchés;

b) ses répercussions financières sur ces derniers;

c) son effet sur la fourniture de services de télécommunication au Canada;

d) tout autre facteur qu’il juge pertinent.

Prépublication

(5) Le gouverneur en conseil peut faire publier dans la Gazette du Canada tout projet de décret.

Publication

(6) Le décret est publié dans la Gazette du Canada dans les quatre-vingt-dix jours suivant sa prise, à moins que le gouverneur en conseil ne l’en ordonne autrement dans le décret.

Arrêté — sécurité du système canadien de télécommunication

15.2(1) S’il estime que cela est nécessaire pour sécuriser le système canadien de télécommunications, notamment face aux menaces d’interférence, de manipulation ou de perturbation, le ministre peut, par arrêté, après consultation du ministre de la Sécurité publique et de la Protection civile :

15.‍2 (1) S’il existe des motifs raisonnables de croire que cela est nécessaire pour sécuriser le système canadien de télécommunication face à toute menace, notamment aux menaces d’ingérence, de manipulation, de perturbation ou de dégradation, le ministre peut, par arrêté, après consultation du ministre de la Sécurité publique et de la Protection civile et des personnes qu’il estime indiquées :

a) interdire aux fournisseurs de services de télécommunication de fournir des services à toute personne qu’il précise, notamment un fournisseur de services de télécommunication;

b) leur ordonner de suspendre, pendant la période précisée dans l’arrêté, la fourniture de services à toute personne qu’il précise, notamment un fournisseur de services de télécommunication.

Arrêté

(2) Le ministre peut, par arrêté, ordonner à un fournisseur de services de télécommunications de faire ou de s’abstenir de faire tout chose qu’il précise, à l’exception d’une chose prévue aux paragraphes (1) ou 15.1(1), qui est prévue dans l’arrêté et qu’il estime nécessaire pour sécuriser le système canadien de télécommunications, notamment face aux menaces d’interférence, de manipulation ou de perturbation. Le ministre peut, par arrêté :

(2) S’il a des motifs raisonnables de croire que cela est nécessaire pour sécuriser le système canadien de télécommunication face à toute menace, notamment aux menaces d’ingérence, de manipulation, de perturbation ou de dégradation, le ministre peut, par arrêté :

a) interdire aux fournisseurs de services de télécommunication d’utiliser dans tout ou partie de leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci, les produits ou les services qu’il précise;

b) leur ordonner de retirer de tout ou partie de leurs réseaux ou installations de télécommunication les produits qu’il précise;

c) leur imposer des conditions quant à leur utilisation de produits ou de services, notamment ceux fournis par toute personne qu’il précise, notamment un fournisseur de services de télécommunication;

d) leur imposer des conditions relativement à la fourniture de leurs services à toute personne qu’il précise, notamment un fournisseur de services de télécommunication;

e) leur interdire de conclure des ententes de service visant un produit ou un service qu’ils utilisent dans tout ou partie de leurs réseaux ou installations de télécommunication, ou en lien avec ceux-ci;

f) exiger qu’ils mettent fin aux ententes de service visées à l’alinéa e);

g) leur interdire de mettre à niveau les produits et les services qu’il précise;

h) exiger que leurs réseaux ou installations de télécommunication, ainsi que les projets d’approvisionnement qui s’y rapportent, fassent l’objet des processus d’examen qu’il précise;

i) exiger qu’ils élaborent des plans de sécurité liés à leurs réseaux ou installations de télécommunication ou à leurs services de télécommunication;

j) exiger que soient menées des évaluations pour repérer toute vulnérabilité de leurs réseaux ou installations de télécommunication, de leurs services de télécommunication ou des plans de sécurité visés à l’alinéa i);

k) exiger qu’ils prennent des mesures visant à atténuer toute vulnérabilité de leurs réseaux ou installations de télécommunication, de leurs services de télécommunication ou des plans de sécurité visés à l’alinéa i); ou

l) exiger qu’ils mettent en œuvre des normes qu’il précise relativement à leurs réseaux ou installations de télécommunication ou à leurs services de télécommunication;

m) leur ordonner de faire ou de s’abstenir de faire toute chose qu’il précise, à l’exception d’une chose prévue aux paragraphes (1) ou 15.‍1(1);

n) exiger qu’ils utilisent un système d’appoint dans leurs installations de télécommunication.

Portée et teneur

(3) La portée et la teneur des dispositions de l’arrêté visé aux paragraphes (1) ou (2) sont raisonnables eu égard à la gravité de la menace, notamment d’ingérence, de manipulation, de perturbation ou de dégradation.

Précision

(4) Il est entendu que, malgré le paragraphe (2), le ministre ne peut ordonner aux fournisseurs de services de télécommunication d’intercepter, au sens de l’article 183 du Code criminel, une communication privée ou une communication radiotéléphonique, au sens de cet article.

Non-divulgation

(5) L’arrêté visé aux paragraphes (1) ou (2) peut aussi comprendre une disposition interdisant à toute personne de divulguer l’existence de celui-ci ou tout ou partie de son contenu.

Facteurs

(6) Avant de prendre l’arrêté visé aux paragraphes (1) ou (2), le ministre tient compte des facteurs suivants :

a) l’effet de la prise du décret sur les activités des fournisseurs de services de télécommunication touchés;

b) ses répercussions financières sur ces derniers;

c) son effet sur la fourniture de services de télécommunication au Canada;

d) tout autre facteur qu’il juge pertinent.

Prépublication

(7) Le ministre peut faire publier dans la Gazette du Canada tout projet d’arrêté.

Publication

(8) L’arrêté visé aux paragraphes (1) ou (2) est publié dans la Gazette du Canada dans les quatre-vingt-dix jours suivant sa prise, à moins que le ministre ne l’en ordonne autrement dans l’arrêté.

Rapport sur les décrets et arrêtés

15.‍21 (1) Le ministre fait déposer devant chaque chambre du Parlement, dans les trois mois suivant la fin de chaque exercice ou, si l’une ou l’autre des chambres ne siège pas, dans les quinze premiers jours de séance de celle-ci, un rapport sur les décrets visés au paragraphe 15.‍1(1) et les arrêtés visés aux paragraphes 15.‍2(1) et (2).

Contenu du rapport

(2) Le ministre incorpore au rapport, pour l’exercice visé :

a) le nombre de décrets et d’arrêtés pris et leur nature;

b) le nombre de décrets et d’arrêtés révoqués;

c) le nombre de fois, au cours de l’exercice précédent, où les dispositions d’un décret ou d’un arrêté l’ont emporté, au titre du paragraphe 15.2(6), sur des dispositions incompatibles d’une décision prise par le Conseil en vertu de la présente loi;

d) le nombre de demandes présentées à la Cour fédérale en vue d’interdire la divulgation d’un décret ou d’un arrêté, et le nombre de demandes que cette dernière a accueillies;

c) le nombre de fournisseurs de services de télécommunication concernés par un décret ou un arrêté;

d) une description de la conformité des fournisseurs de services de télécommunication qui se sont partiellement conformés à un décret ou à un arrêté;

e) une description de la conformité des fournisseurs de services de télécommunication qui se sont complètement conformés à un décret ou à un arrêté;

f) une explication de la nécessité des décrets et des arrêtés, de leur caractère proportionnel et raisonnable et de leur utilité.

Contenu du rapport  — conflits

(3) Le rapport fait état du nombre de fois, au cours de l’exercice précédent, où les dispositions d’un décret ou d’un arrêté l’ont emporté sur des dispositions incompatibles d’une décision prise par le Conseil en vertu de la présente loi.

Avis obligatoire

15.‍22 Le ministre avise le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement de la prise de tout décret visé à l’article 15.‍1 qui comprend une disposition interdisant à toute personne de divulguer l’existence de celui-ci ou tout ou partie de son contenu ou de tout arrêté visé à l’article 15.‍2 qui comprend une telle disposition dans les quatre-vingt-dix jours suivant la prise du décret ou de l’arrêté, selon le cas.

Loi sur les textes réglementaires

(3) La Loi sur les textes réglementaires ne s’applique pas aux décrets pris en vertu de l’article 15.‍1 ni aux arrêtés pris en vertu de l’article 15.‍2.

Fourniture de renseignements

15.‍4 Le ministre peut exiger de toute personne qu’elle fournisse, selon les modalités qu’il précise, à la personne qu’il désigne ou à lui-même les renseignements à l’égard desquels il a des motifs raisonnables de croire qu’ils sont pertinents dans le cadre de la prise, de la modification ou de la révocation d’un décret visé à l’article 15.‍1, d’un arrêté visé à l’article 15.‍2 ou d’un règlement visé à l’alinéa 15.‍8(1)a) ou de la vérification du respect ou de la prévention du non-respect de l’un ou l’autre de ces textes.

Renseignements confidentiels — désignation

15.‍5 (1) La personne qui fournit des renseignements en application de l’article 15.‍4 peut désigner comme confidentiels :

a) les secrets industriels;

b) les renseignements financiers, commerciaux, scientifiques ou techniques qui sont de nature confidentielle et qui sont traités comme tels de façon constante par elle;

c) les renseignements dont la communication risquerait vraisemblablement soit de causer à une autre personne ou à elle-même des pertes ou profits financiers appréciables ou de nuire à sa compétitivité, soit d’entraver des négociations menées par cette autre personne ou elle-même en vue de contrats ou à d’autres fins;

d) les renseignements personnels et les renseignements dépersonnalisés.

Définitions

(2) Les définitions qui suivent s’appliquent à l’alinéa (1)d).

dépersonnaliser Modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement.‍ (de-identify)

renseignements personnels S’entend au sens de l’article 3 de la Loi sur la protection des renseignements personnels.‍ (personal information)

Interdiction

(3) Sous réserve du paragraphe (4), nul ne peut, sciemment, communiquer des renseignements désignés comme confidentiels, ni en autoriser la communication.

Exception

(4) La communication et l’autorisation visées au paragraphe (3) peuvent être faites dans les cas suivants :

a) la communication est légalement autorisée ou exigée;

b) la personne qui a désigné les renseignements comme confidentiels consent à leur communication;

c) le ministre estime que la communication est nécessaire pour sécuriser le système canadien de télécommunication, notamment face aux menaces d’ingérence, de manipulation ou de perturbation.

Échange de renseignements

15.‍6 (1) Malgré l’article 15.‍5, dans la mesure nécessaire à toute fin liée à la prise, à la modification ou à la révocation d’un décret visé à l’article 15.‍1, d’un arrêté visé à l’article 15.‍2 ou d’un règlement visé à l’alinéa 15.‍8(1)a) ou à la vérification du respect ou à la prévention du non-respect de l’un ou l’autre de ces textes, les personnes ou entités ci-après peuvent recueillir les unes auprès des autres ou se communiquer les unes aux autres des renseignements, notamment des renseignements confidentiels :

a) le ministre;

b) le ministre de la Sécurité publique et de la Protection civile;

c) le ministre des Affaires étrangères;

d) le ministre de la Défense nationale;

e) le chef d’état-major de la défense;

f) le chef ou un employé du Centre de la sécurité des télécommunications;

g) le directeur ou un employé du Service canadien du renseignement de sécurité;

h) le président ou un employé du Conseil;

i) toute personne désignée en vertu de l’article 15.‍4;

j) toute autre personne ou entité prévue par règlement.

Renseignements confidentiels

(2) Les renseignements confidentiels recueillis en vertu du paragraphe (1) sont traités comme tels.

Communication de renseignements

15.‍7 (1) Le ministre peut communiquer aux termes d’accords, d’ententes ou d’arrangements conclus par écrit entre, d’une part, l’administration fédérale et, d’autre part, l’administration d’une province ou d’un État étranger, une organisation internationale d’États ou une organisation internationale établie par des gouvernements, ou l’un de leurs organismes, des renseignements recueillis ou obtenus dans le cadre de la présente loi, à l’exception de renseignements désignés comme confidentiels en vertu du paragraphe 15.‍5(1), s’il croit qu’ils pourraient être utiles pour sécuriser le système canadien de télécommunications ou un système de télécommunications étranger, notamment face aux menaces d’ingérence, de manipulation ou de perturbation.

Restriction — utilisation

(2) S’ils permettent la communication de renseignements qui pourraient être utiles à une enquête, à une instance ou à une poursuite relative à une contravention à la présente loi, à un décret pris en vertu de l’article 15.‍1, à un arrêté pris en vertu de l’article 15.‍2, à un règlement pris en vertu de l’alinéa 15.‍8(1)a) ou à une loi d’un État étranger visant des comportements essentiellement semblables à ceux qui constitueraient des contraventions au titre de la présente loi, d’un décret visé à l’article 15.‍1, d’un arrêté visé à l’article 15.‍2 ou d’un règlement visé à l’alinéa 15.‍8(1)a), les accords, ententes ou arrangements doivent préciser que les renseignements ne peuvent être utilisés qu’à des fins se rapportant aux contraventions aux lois d’un État étranger dont la sanction ne serait pas considérée comme pénale sous le régime du droit canadien.

La Loi sur la protection des renseignements personnels n’est pas touchée

15.‍71 Il est entendu que les articles 15.‍1, 15.‍2 et 15.‍4 à 15.‍7 n’ont pas pour effet de porter atteinte aux dispositions de la Loi sur la protection des renseignements personnels.

Règlements

15.‍8 (1) Le gouverneur en conseil peut prendre des règlements :

a) comportant les mêmes dispositions qu’un arrêté pris en vertu de l’article 15.‍2;

b) prévoyant les personnes et entités pour l’application de l’alinéa 15.‍6(j).

Rapport annuel

15.‍81 (1) Le ministre prépare, dans les trois mois suivant la fin de chaque exercice, un rapport concernant les décrets visés à l’article 15.‍1 et les arrêtés visés à l’article 15.‍2 qui ont été pris au cours de l’exercice et le fait déposer devant chaque chambre du Parlement dans les quinze jours de séance de celle-ci suivant son achèvement.

Contenu

(2) Le rapport précise le nombre de décrets et d’arrêtés qui ont été pris au cours de l’exercice.

Contenu du rapport  — conflits

(3) Il fait également état du nombre de fois, au cours de l’exercice précédent, où les dispositions d’un décret ou d’un arrêté l’ont emporté sur des dispositions incompatibles d’une décision prise par le Conseil en vertu de la présente loi.

[Remarque : Le projet de loi C-70 (Loi concernant la lutte contre l’ingérence étrangère), qui a reçu la sanction royale en juin 2024, aurait abrogé le texte en vert ci-dessous en établissant un nouveau régime pour des « instances sécurisées de contrôle des décisions administratives » sous le régime de la Loi sur la preuve au Canada (articles 38.21 à 38.45). Ces suppressions sont reflétées dans le projet de loi C-8.]

Contrôle judiciaire : règles

15.‍9 (1) Les règles ci-après s’appliquent au contrôle judiciaire de tout décret pris en vertu de l’article 15.‍1, de tout arrêté pris en vertu de l’article 15.‍2 ou de tout règlement pris en vertu de l’alinéa 15.‍8(1)a) :

(a) à tout moment pendant l’instance et à la requête du ministre, le juge doit tenir une audience à huis clos en l’absence du demandeur et de son avocat pour entendre les observations sur les éléments de preuve ou autres renseignements, dans le cas où la divulgation de ces éléments de preuve ou renseignements pourrait porter atteinte, selon lui, aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d’autrui;

(b) il lui incombe de garantir la confidentialité des éléments de preuve ou autres renseignements que lui fournit le ministre et dont la divulgation porterait atteinte, selon lui, aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d’autrui;

(c) il doit veiller tout au long de l’instance à ce que soit fourni au demandeur un résumé des éléments de preuve ou autres renseignements dont il dispose et qui permet au demandeur d’être suffisamment informé de la thèse du gouvernement du Canada, mais qui ne comporte aucun élément dont la divulgation porterait atteinte, selon lui, aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d’autrui;

(d) il doit donner au demandeur et au ministre la possibilité d’être entendus;

(e) il peut fonder sa décision sur des éléments de preuve ou autres renseignements dont il dispose, même si un résumé des éléments de preuve ou autres renseignements n’a pas été fourni au demandeur;

a) si le juge conclut que les éléments de preuve ou autres renseignements que lui a fournis le ministre ne sont pas pertinents ou si le ministre les retire, il ne peut fonder sa décision sur eux et il est tenu de les remettre au ministre;

b) il est tenu de garantir la confidentialité des éléments de preuve et autres renseignements que le ministre retire de l’instance.

Préambule

Attendu :

que le gouvernement du Canada a la responsabilité fondamentale de protéger la sécurité nationale et la sécurité des Canadiens;

qu’il reconnaît que certains cybersystèmes sont d’autant plus essentiels pour les services et systèmes critiques que leur perturbation pourrait avoir de graves conséquences pour la sécurité nationale ou la sécurité publique;

qu’il s’est engagé, dans le cadre de sa stratégie nationale de cybersécurité, à améliorer la sécurité et la résilience des cybersystèmes essentiels des secteurs privé sous réglementation fédérale et à exercer un leadership en matière de cybersécurité pour favoriser la collaboration à l’échelle nationale, avec les provinces et les territoires, et internationale;

et qu’il s’est engagé à collaborer avec divers intervenants, notamment des secteurs privé sous réglementation fédérale, en vue de contribuer à protéger ces systèmes et de favoriser l’échange de renseignements entre les intervenants;

qu’il reconnaît la nécessité de protéger les renseignements personnels des Canadiens conformément à la Loi sur la protection des renseignements personnels,

[…]

Définitions

2 Les définitions qui suivent s’appliquent à la présente loi.

[…]

renseignements confidentiels S’entend des renseignements qui sont obtenus sous le régime de la présente loi relativement à un cybersystème essentiel et, selon le cas :

a) qui portent sur la vulnérabilité des cybersystèmes essentiels de l’exploitant désigné ou sur les méthodes employées pour leur protection et qui sont traités comme étant confidentiels de façon constante par l’exploitant désigné;

b) dont la divulgation risquerait vraisemblablement de causer des pertes ou profits financiers appréciables à un exploitant désigné ou de nuire à sa compétitivité;

c) dont la divulgation risquerait vraisemblablement d’entraver des négociations, notamment contractuelles, menées par un exploitant désigné. (confidential information)

Conseils du Centre de la sécurité des télécommunications

16 L’organisme réglementaire compétent peut fournir au Centre de la sécurité des télécommunications tous renseignements, y compris confidentiels, concernant le programme de cybersécurité d’un exploitant désigné ou toute mesure prise en application de l’article 15 afin que le Centre lui prodigue des avis, des conseils et des services conformément à son mandat concernant l’exercice des attributions qui lui sont conférées sous le régime de la présente loi.

Rapport des incidents de cybersécurité

Il incombe à tout exploitant désigné de déclarer, immédiatement dans les délais réglementaires, lesquels ne doivent pas dépasser soixante-douze heures, tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications, conformément aux règlements, dans le but de permettre au Centre d’exercer ses attributions.

Avis

18 Sans délai après avoir déclaré un incident de cybersécurité, l’exploitant désigné :

a) en avise, de la manière et selon la forme prévues par règlement, l’organisme réglementaire compétent;

b) sur demande, lui remet une copie du rapport d’incident.

Centre de la sécurité des télécommunications : fourniture du rapport d’incident

19 À la demande d’un organisme réglementaire, le Centre de la sécurité des télécommunications lui remet sans délai, aux fins de la vérification du respect ou de la prévention du non-respect de toute disposition de la présente loi ou de ses règlements, tout ou partie d’une copie du rapport d’incident visant un exploitant désigné qui relève de l’organisme réglementaire compétent.

Directive

20 (1) Le gouverneur en conseil peut, par décret, donner des directives enjoignant à un exploitant désigné, individuellement ou au titre de son appartenance à une catégorie, de se conformer à toute mesure prévue dans la directive en vue de la protection d’un cybersystème essentiel. Toutefois, il ne le fait que s’il a des motifs raisonnables de croire que la directive est nécessaire.

Modification ou révocation

(2) Le gouverneur en conseil peut, par décret, modifier ou révoquer toute directive, en tout ou en partie.

Facteurs

(3) Avant de prendre tout décret en vertu du paragraphe (1), le gouverneur en conseil prend en considération les facteurs suivants :

a) les répercussions du décret sur les activités opérationnelles des exploitants désignés visés par celui-ci;

b) les répercussions du décret sur la sécurité publique des Canadiens;

c) les répercussions financières du décret sur les exploitants désignés;

d) les répercussions du décret sur la fourniture des services critiques et des systèmes critiques aux consommateurs;

a) tout autre facteur que le gouverneur en conseil considère pertinent.

Observation

(4) L’exploitant désigné visé par une directive est tenu de s’y conformer.

Avis du ministre

(5) Dans les quatre-vingt-dix jours suivant la prise d’un décret en vertu du paragraphe (1), le ministre en avise le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement.

Clarification

(6) Il est entendu que, malgré le paragraphe (1), le gouverneur en conseil ne peut prendre un décret pour intercepter, au sens de ce terme à l’article 183 du Code criminel, une communication privée ou une communication radiotéléphonique, au sens de cet article.

Teneur de la directive

21 (1) La directive donnée en vertu de l’article 20 indique :

a) le nom de l’exploitant désigné, ou de la catégorie d’exploitants, à qui elle s’applique;

b) les mesures à prendre par l’exploitant désigné et, le cas échéant, les modalités d’exécution;

c) les délais dans lesquels elles doivent être prises.

Modalités

(2) Outre les modalités visées à l’alinéa (1)b), la directive peut aussi comporter d’autres modalités.

Exemption : Loi sur les textes réglementaires

22 (1) Est soustrait à l’application des articles 3, 5 et 11 de la Loi sur les textes réglementaires le décret pris en vertu de l’article 20.

Échange de renseignements

23 (1) Dans la mesure nécessaire à toute fin liée à l’établissement, à la modification ou à la révocation d’une directive de cybersécurité à l’égard d’un exploitant désigné, toute personne ou entité ci-après peut recueillir des renseignements, notamment confidentiels, auprès de l’une ou l’autre de ces personnes ou entités et lui en communiquer :

a) le ministre;

b) le ministre compétent;

c) l’organisme réglementaire compétent;

d) le ministre des Affaires étrangères;

e) le ministre de la Défense nationale;

f) le chef d’état-major de la défense;

g) le chef ou un employé du Centre de la sécurité des télécommunications;

h) le directeur ou un employé du Service canadien du renseignement de sécurité;

i) toute autre personne ou entité prévue par règlement.

Renseignements confidentiels

(2) Les renseignements confidentiels, au sens de la présente loi ou de toute autre loi fédérale qui relève d’une entité ou d’une personne ou y est applicable, recueillis ou communiqués en vertu du paragraphe (1) sont traités comme tels.

[Remarque : Les paragraphes 23(3) et (4) ont été ajoutés par le Comité permanent de la sécurité publique et nationale (SECU), mais supprimés par la Chambre lors de la troisième lecture. Une motion présentée pendant la réunion du Comité SECU visant à ajouter des exigences de conservation semblables à la Loi sur la protection des cybersystèmes essentiels a été rejetée.]

Période de conservation

(3) Les renseignements recueillis ou obtenus au titre du paragraphe (1) ne sont conservés que pendant la durée nécessaire à la prise du décret visé à l’article 20, à sa modification ou à sa révocation, ou à la vérification du respect ou à la prévention du non-respect du décret.

Communication aux exploitants désignés

(4) Les délais de conservation sont communiqués aux exploitants désignés que les renseignements concernent, individuellement ou au titre de leur appartenance à une catégorie.

Interdiction de communication

24 Il est interdit à tout exploitant désigné visé par une directive de cybersécurité d’en communiquer l’existence ou le contenu ou de permettre qu’ils le soient, sauf en conformité avec l’article 25.

Cas où la communication est permise

25 (1) L’exploitant désigné visé par une directive de cybersécurité ne peut en communiquer l’existence et le contenu que dans la mesure nécessaire pour s’y conformer.

Interdiction : communication subséquente

(2) Nul ne peut communiquer des renseignements obtenus au titre du paragraphe (1) ou permettre qu’ils le soient sans l’autorisation de l’exploitant désigné.

Interdiction

26 (1) Sous réserve du paragraphe (2), nul ne peut, sciemment, communiquer des renseignements confidentiels à une autre personne, à une agence ou à un organisme, ni en autoriser la communication ou l’accès, sauf dans les cas suivants :

a) la communication est légalement exigée;

b) les renseignements sont accessibles au public;

c) l’exploitant désigné concerné y consent;

d) la communication est nécessaire à toute fin liée à la protection des services critiques, des systèmes critiques ou des cybersystèmes essentiels;

a) la communication est faite en conformité avec toute disposition de la présente loi;

f) la communication est faite en conformité avec la Loi sur la communication d’information ayant trait à la sécurité du Canada.

Maintien du droit de communiquer les renseignements

(2) Le présent article ne porte aucunement atteinte à la communication de renseignements confidentiels à un organisme chargé du contrôle d’application de la loi ou au Service canadien du renseignement de sécurité si la communication est par ailleurs licite.

Renseignements confidentiels

(3) Toute personne, toute agence ou tout organisme à qui sont communiqués des renseignements confidentiels en vertu du paragraphe (1) ou dont l’accès est autorisé en vertu de ce paragraphe les traite comme tels.

Échange de renseignements : accords ou arrangements

27 (1) Sous réserve du paragraphe (2), le ministre, un ministre compétent ou un organisme réglementaire peut conclure par écrit un accord ou un arrangement avec le gouvernement d’une province ou d’un pays étranger ou avec une organisation internationale créée par les gouvernements de divers États sur l’échange de renseignements, autres que les renseignements confidentiels, liés à la protection de cybersystèmes essentiels :

a) entre le ministre, le ministre compétent ou l’organisme réglementaire, selon le cas, et tout organisme de ce gouvernement;

b) entre le ministre, le ministre compétent ou l’organisme réglementaire, selon le cas, et l’organisation internationale.

Renseignements confidentiels : gouvernement d’une province

(2) Les renseignements confidentiels ne peuvent être communiqués à un organisme d’un gouvernement d’une province que si les conditions suivantes sont réunies :

a) ils sont communiqués au titre d’un accord ou d’un arrangement;

b) le ministre, le ministre compétent ou l’organisme réglementaire, selon le cas, est convaincu qu’ils seront traités comme tels et ne seront pas autrement communiqués sans leur consentement exprès.

Échange de renseignements : organisme réglementaire compétent

28 (1) À toute fin liée à cette Loi S’il s’avère nécessaire de le faire pour la protection des services critiques, des systèmes critiques ou des cybersystèmes essentiels, l’organisme réglementaire compétent à l’égard d’une catégorie d’exploitants concernée peut fournir au ministre ou au ministre compétent les renseignements, notamment confidentiels, liés à l’exercice des attributions qui lui sont conférées sous le régime de la présente loi. Toutefois, il est tenu, à la demande du ministre ou du ministre compétent, de leur communiquer les renseignements demandés, si cette demande vise cette même fin.

Renseignements confidentiels

(2) Les renseignements confidentiels, au sens de la présente loi ou de toute autre loi fédérale applicable à l’organisme réglementaire compétent ou relevant de celui-ci, qui sont fournis ou communiqués en vertu du paragraphe (1) sont traités comme tels.

Demande de renseignements

29 L’organisme réglementaire peut exiger que toute personne, société de personnes ou organisation non dotée de la personnalité morale lui fournisse les renseignements dont il a besoin aux fins de la vérification du respect ou de la prévention du non-respect de toute disposition de la présente loi ou de ses règlements. L’intéressé est alors tenu de fournir les renseignements demandés, dans le délai et selon les modalités précisés dans la demande.

Remarque : Les articles 32 à 87 définissent les pouvoirs des inspecteurs et les pouvoirs de contrainte qui sont conférés aux inspecteurs désignés, notamment le ministre de l’Industrie, le ministre des Transports, le surintendant des institutions financières, la Banque du Canada, la Régie canadienne de l’énergie et la Commission canadienne de sûreté nucléaire, qui seraient autorisés à mener des inspections dans les lieux auxquels s’appliquent les exigences de la Loi. Comme le souligne l’énoncé concernant la Charte du ministère de la Justice, les pouvoirs des inspecteurs et les pouvoirs de contrainte pourraient être exercés aux fins de la vérification du respect ou de la prévention du non-respect de la Loi. Ils ne seraient pas disponibles pour faire avancer une enquête pénale. L’énoncé conclut donc que les pouvoirs proposés sont semblables aux pouvoirs réglementaires des inspecteurs qui ont été maintenus dans d’autres contextes.

Règlements

135 (1) Le gouverneur en conseil peut, par règlement, prendre toute mesure d’application de la présente loi, notamment :

a) concernant les programmes de cybersécurité;

b) concernant les conditions et critères relatifs aux vérifications internes;

c) concernant les modalités, et de temps ou autres, relatives au signalement des incidents de cybersécurité au titre de l’article 17 et le type d’incident à signaler;

d) concernant les délais impartis pour donner l’avis visé au paragraphe 14(1);

e) concernant la gestion des documents visés à l’article 30, notamment la collecte, l’utilisation, la conservation, la communication et la disposition — notamment par la destruction — de ces documents;

f) désignant les dispositions de la présente loi ou celles de ses règlements pour l’application de l’article 90;

g) qualifiant chaque violation, selon le cas, de mineure, de grave ou de très grave;

h) fixant le montant maximal de la pénalité applicable à chaque violation;

i) définissant, pour l’application de la présente loi, les termes non définis par celle-ci qui y figurent;

j) prenant toute mesure d’ordre réglementaire prévue par la présente loi.

Compatibilité avec les régimes de réglementation

(2) Lorsqu’il prend des règlements en vertu du paragraphe (1), le gouverneur en conseil peut s’efforcer d’en assurer la compatibilité avec les régimes de réglementation en vigueur, tels que ceux établis par les organismes de réglementation provinciaux.

[Remarque : Le projet de loi C-70 (Loi concernant la lutte contre l’ingérence étrangère), qui a reçu la sanction royale en juin 2024, aurait abrogé le texte en vert ci-dessous en établissant un nouveau régime pour des « instances sécurisées de contrôle des décisions administratives » sous le régime de la Loi sur la preuve au Canada (articles 38.21 à 38.45). Ces suppressions sont reflétées dans le projet de loi C-8.]

Contrôle judiciaire : règles

145 (1) Les règles ci-après s’appliquent à toute requête pour contrôle judiciaire d’une directive de cybersécurité donnée en vertu de l’article 20 :

(a) à tout moment pendant l’instance et à la requête du ministre, le juge doit tenir une audience à huis clos en l’absence du demandeur et de son avocat pour entendre les observations sur les éléments de preuve ou autres renseignements, dans le cas où la divulgation de ces éléments de preuve ou renseignements pourrait porter atteinte, selon lui, aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d’autrui;

(b) il lui incombe de garantir la confidentialité des éléments de preuve ou autres renseignements que lui fournit le ministre et dont la divulgation porterait atteinte, selon lui, aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d’autrui;

(c) il doit veiller tout au long de l’instance à ce que soit fourni au demandeur un résumé des éléments de preuve ou autres renseignements dont il dispose et qui permet au demandeur d’être suffisamment informé de la thèse du gouvernement du Canada, mais qui ne comporte aucun élément dont la divulgation porterait atteinte, selon lui, aux relations internationales, à la défense nationale, à la sécurité nationale ou à la sécurité d’autrui;

(d) il doit donner au demandeur et au ministre la possibilité d’être entendus;

(e) il peut fonder sa décision sur des éléments de preuve ou autres renseignements dont il dispose, même si un résumé des éléments de preuve ou autres renseignements n’a pas été fourni au demandeur;

a) si le juge conclut que les éléments de preuve ou autres renseignements que lui a fournis le ministre ne sont pas pertinents ou si le ministre les retire, il ne peut fonder sa décision sur eux et il est tenu de les remettre à ce dernier;

b) il est tenu de garantir la confidentialité des éléments de preuve et autres renseignements que le ministre retire de l’instance.

Rapports annuels

147 (1) Dans les trois mois suivant la fin de chaque exercice, le ministre prépare un rapport visant l’application de la présente loi pour cet exercice et en fait déposer une copie devant chaque chambre du Parlement dans les quinze jours de séance suivant l’achèvement du rapport.

Contenu

(2) Le rapport incorpore, pour l’exercice visé, les renseignements suivants relativement aux décrets pris en vertu du paragraphe 20(1) :

a) le nombre de décrets pris en vertu du paragraphe 20(1) et la nature des directives données dans ceux-ci;

b) le nombre de directives révoquées en vertu du paragraphe 20(2);

c) le nombre d’exploitants désignés visés par une directive;

d)description de la conformité des exploitants désignés qui se sont partiellement conformés à une directive;

e) description de la conformité des exploitants désignés qui se sont complètement conformés à une directive;

f) une explication de la nécessité des directives, de leur caractère proportionnel et raisonnable et de leur utilité.

Contenu

(3) Le rapport contient notamment :

a) le nombre de directives données en vertu du paragraphe 20(1) au cours de l’exercice précédent;

b) le nombre d’exploitants désignés à qui ont été données des directives en vertu du paragraphe 20(1) au cours de l’exercice précédent;

c) tout autre renseignement jugé pertinent par le ministre relativement à l’exercice précédent, pourvu qu’aucun exploitant désigné ni aucune autre personne ne puissent être reconnus.