OTTAWA — Le gouvernement de Justin Trudeau a déposé mardi un projet de loi visant à mieux protéger la population des cyberattaques en obligeant des entreprises qui utilisent les réseaux et infrastructures canadiennes à signaler des incidents dont elles ont été la cible.

«(Cela renforcera) les partenariats entre le gouvernement et le secteur des télécommunications (ainsi que) les régulateurs fédéraux en améliorant le soutien aux secteurs de l’économie qui sont essentiels à la sécurité nationale et la sécurité publique et en offrant de nouveaux outils pour protéger les Canadiens et Canadiennes en matière de cybersécurité», a dit le ministre de la Sécurité publique, Marco Mendicino, quelques heures après avoir déposé le projet de loi C-26.

Les changements législatifs proposés prévoient une obligation de divulgation d’incidents de cybersécurité, mais les détails restent à être fixés, par voie réglementaire, sur l’étendue de cette exigence.

De hauts fonctionnaires ont expliqué en séance d’information technique que l’objectif visé est une adoption de C-26 à l’automne prochain et la mise en place d’un régime réglementaire dans les six mois suivants.

«Il incombe à tout exploitant désigné de déclarer sans délai tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications, conformément aux règlements, dans le but de permettre au Centre d’exercer ses attributions», peut-on lire dans le projet de loi.

Les hauts fonctionnaires ont précisé que la liste des «exploitants désignés» ainsi que le «seuil» à atteindre pour chaque obligation de divulgation font partie des détails à fignoler, au terme de consultations avec l’industrie.

Le ministre Mendicino a précisé en point de presse que les dispositions viseraient les entreprises réglementées par le fédéral dans quatre grands secteurs, c’est-à-dire «les finances, les télécommunications, l’énergie et les transports».

Le projet de loi C-26 fait aussi suite à l’annonce du mois dernier que les fournisseurs chinois Huawei Technologies et ZTE seront bannis des réseaux mobiles de prochaine génération du Canada.

La pièce législative prévoit que le gouvernement pourrait décréter l’interdiction ou le retrait du droit de fournisseurs d’utiliser les réseaux et installations canadiens.

Des dispositions précisent par ailleurs que les chaînes d’approvisionnement doivent être protégées des menaces et cyberattaques.

Par ailleurs, la pièce législative spécifie que le ministre de l’Industrie, François Philippe-Champage, aurait le pouvoir de désigner «toute personne (…) à titre d’inspecteur, aux fins de la vérification du respect ou de la prévention du non-respect de toute disposition de la présente loi ou de ses règlements».

Des sanctions pécuniaires sont prévues pour le non-respect de l’éventuelle loi C-26 et des décrets qui pourraient en découler.

Questionné à savoir s’il redoutait des mesures de réciprocité de certains États face aux changements annoncés ou un ralentissement de certains investissements étrangers, le ministre Champagne a répondu par la négative.

«Je ne suis pas inquiet parce que je vous dirais que protéger la sécurité nationale, c’est une responsabilité et un devoir de chaque État et ce qu’on fait au Canada n’est pas différent de (ce qu’on voit) dans les autres pays du G7», a-t-il soutenu.

Il a ajouté que C-26 va bien au-delà de Huawei et vise à s’adapter «au futur».

«On voit des acteurs étrangers, étatiques et non étatiques qui essayent de s’infiltrer, de vouloir prendre des données des entreprises de chez nous, de vouloir rentrer dans nos systèmes, alors (il faut) se donner les pouvoirs juridiques (…) pour pouvoir agir de façon rapide, de façon raisonnée, de façon proactive», a poursuivi M. Champagne.

La pièce législative, si elle est adoptée, modifiera des dispositions de la Loi sur les télécommunications et de la Loi sur la preuve, en plus de créer une toute nouvelle législation, soit la Loi sur la protection des cybersystèmes essentiels.