Notes des comités parlementaires : La comparution du minister Anandasangaree devant le Comité permanent sur la sécurité publique et nationale (SECU)
Le projet de loi C-8, la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois

Analyse

L'article 1 modifie les objectifs politiques de la Loi sur les télécommunications. La Loi contient actuellement neuf objectifs qui guident son application et qui sont liés aux différentes fonctions réglementaires de la loi. Cet article ajoute « promouvoir la sécurité du système canadien de télécommunication » à ces objectifs politiques.

Analyse

L'article 2 modifie l'article 15 de la Loi sur les télécommunications en ajoutant ce qui suit :

15.1 (1) – Décret – sécurité du système canadien de télécommunication

Le gouverneur en conseil peut ordonner aux fournisseurs de services de télécommunications de sécuriser les systèmes de télécommunications contre les menaces, notamment les menaces d'ingérence, de manipulation, de perturbation ou de dégradation.

• 15.1(1)a) – Le décret peut être utilisé pour interdire l'utilisation de produits ou de services particuliers dans les réseaux ou les installations d'un fournisseur de services de télécommunications.
• 15.1(1)b) – Le décret peut être utilisé pour retirer tout produit ou équipement déjà incorporé dans un réseau ou une installation de télécommunications.

15.1(2) – Portée et teneur

Les décrets pris par le gouverneur en conseil doivent être raisonnables par rapport à la portée de la menace.

15.1(3) – Non-divulgation

Le gouverneur en conseil peut interdire à toute personne de divulguer l'existence d'un décret ou tout ou partie de son contenu.

15.1(4) – Facteurs

Le gouverneur en conseil doit tenir compte des facteurs suivants avant de prendre un décret :

• 15.1(4)a) – les répercussions opérationnelles d'un décret sur un fournisseur de services de télécommunications;
• 15.1(4)b) – les répercussions financières d'un décret sur un fournisseur de services de télécommunications;
• 15.1(4)c) – l'effet d'un décret sur la fourniture de services de télécommunications au Canada;
• 15.1(4)d) – tout autre facteur que le gouverneur en conseil juge pertinent.

15.1(5) – Prépublication

Les projets de décret peuvent être publiés dans la Gazette du Canada, à la demande du gouverneur en conseil.

15.1(6) – Publication

Les décrets doivent être publiés dans la Gazette du Canada dans les 90 jours suivant leur prise, à moins que le gouverneur en conseil ne l'en ordonne autrement.

15.1(7) – Incompatibilité

En cas de conflit entre un décret pris par le gouverneur en conseil en vertu de l'article 15.1 et une décision du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) ou un arrêté ministériel pris en vertu de la Loi sur les télécommunications ou de la Loi sur la radiocommunication, le décret du gouverneur en conseil l'emporte.

15.1(8) – Aucune indemnité

Nul ne peut obtenir d'indemnité pour les pertes financières subies par suite de la prise du décret.

15.2(1) – Arrêté – sécurité du système canadien de télécommunication

Cet article permet au ministre de l'Industrie, après consultation du ministre de la Sécurité publique et de la Protection civile, et de toute autre personne qu'il juge pertinente, d'ordonner aux fournisseurs de services de télécommunications de sécuriser les réseaux contre les menaces, notamment les menaces d'ingérence, de manipulation, de perturbation ou de dégradation.

• 15.2(1)(a) – Le ministre peut ordonner qu'un fournisseur de services de télécommunications ne fournisse pas de services à quiconque, y compris à un autre fournisseur de services de télécommunications.
• 15.2(1)(b) – Le ministre peut ordonner qu'un fournisseur de services de télécommunications cesse ou suspende la fourniture de services à quiconque, y compris à un autre fournisseur de services de télécommunications.

15.2(2) – Arrêté

Cet article permet au ministre de l'Industrie d'ordonner aux fournisseurs de services de télécommunications de sécuriser les réseaux contre les menaces, notamment les menaces d'ingérence, de manipulation, de perturbation ou de dégradation, en prenant les mesures décrites aux alinéas 15.2(2)a) à k).

• 15.2(2)(a) – L'arrêté ministériel peut interdire l'utilisation de services ou d'équipements particuliers dans tout ou partie des réseaux ou installations associés d'un fournisseur de services de télécommunications. Cela doit permettre au ministre d'ordonner aux fournisseurs de services de télécommunications d'atténuer les vulnérabilités des équipements ou des services de tous les fournisseurs.
• 15.2(2)(b) – En corollaire à ce qui précède, un arrêté ministériel peut exiger des fournisseurs de services de télécommunications qu'ils retirent tout produit spécifique de tout fournisseur, dans tout ou partie de leurs réseaux ou installations associés. Là encore, il s'agit d'atténuer les vulnérabilités d'un produit spécifique que les fournisseurs de services de télécommunications ont déployé.
• 15.2(2)(c) – Un arrêté ministériel peut imposer des conditions à un fournisseur de services de télécommunications pour l'utilisation d'un service ou d'un produit, y compris ceux fournis par un autre fournisseur de services de télécommunications.
• 15.2(2)(d) – Un arrêté ministériel peut imposer des conditions à un fournisseur de services de télécommunications en ce qui concerne la fourniture d'un service ou d'un produit à toute personne, y compris ceux fournis à un autre fournisseur de services de télécommunications.
• 15.2(2)(e) – Un arrêté ministériel peut interdire à un fournisseur de services de télécommunications de conclure une entente de service affectant tout ou partie de ses réseaux ou installations.
• 15.2(2)(f) – En relation avec l'alinéa e) ci-dessus, un arrêté ministériel peut exiger d'un fournisseur de services de télécommunications qu'il résilie une entente de service existante.
• 15.2(2)(g) – Un arrêté ministériel peut interdire à un fournisseur de services de télécommunications d'améliorer un produit ou un service donné.
• 15.2(2)(h) – Un arrêté ministériel peut exiger que les réseaux ou les installations d'un fournisseur de services de télécommunications, y compris les plans d'acquisition, fassent l'objet d'un processus d'examen des risques en matière de sécurité.
• 15.2(2)(i) – Un arrêté ministériel peut exiger des fournisseurs de services de télécommunications qu'ils élaborent des plans de sécurité internes pour protéger leurs systèmes et leurs équipements.
• 15.2(2)(j) – Un arrêté ministériel peut exiger des fournisseurs de services de télécommunications qu'ils procèdent à des évaluations de l'efficacité et/ou des faiblesses des plans de sécurité visés à l'alinéa i) ci-dessus, de leurs réseaux ou de leurs services et installations.
• 15.2(2)(k) – Après avoir évalué les vulnérabilités visées à l'alinéa i) ci-dessus, le ministre peut ordonner à un fournisseur de services de télécommunications de remédier à toute vulnérabilité ou déficience.
• 15.2(2)(l) – Un arrêté ministériel peut exiger d'un fournisseur de services de télécommunications qu'il mette en œuvre des normes précises, y compris des normes techniques ou procédurales.
• 15.2(2)(m) – Un arrêté ministériel peut exiger d'un fournisseur de services de télécommunications qu'il fasse quelque chose ou qu'il s'abstienne de faire quelque chose, même si ces actions n'ont pas été précisées aux paragraphes (1) ou 15. 1(1).
• 15.2(2)(n) – Un arrêté ministériel peut exiger d'un fournisseur de services de télécommunications qu'il utilise un système d'appoint dans ses installations de télécommunication.

15.2(3) – Portée et teneur

Les arrêtés pris par le ministre doivent être raisonnables par rapport à la portée de la menace.

15.2(4) – Précision

Le ministre n'est pas autorisé à ordonner à un fournisseur de services de télécommunications d'intercepter toute communication privée ou communication radiotéléphonique, au sens de l'article 183 du Code criminel.

15.2(5) – Non-divulgation

Le ministre peut interdire à toute personne de divulguer l'existence d'un arrêté ou tout ou partie de son contenu.

15.2(6) – Facteurs

Le ministre doit tenir compte des facteurs suivants avant de prendre un arrêté :

• 15.2(6)a) – les répercussions opérationnelles d'un arrêté sur un fournisseur de services de télécommunications;
• 15.2(6)b) – les répercussions financières d'un arrêté sur un fournisseur de services de télécommunications;
• 15.2(6)c) – l'effet d'un arrêté sur la fourniture de services de télécommunications au Canada;
• 15.2(6)d) – tout autre facteur que le ministre juge pertinent.

15.2(7) – Prépublication

Les projets d'arrêté peuvent être publiés dans la Gazette du Canada, à la demande du ministre.

15.2(8) – Publication

Les arrêtés pris par le ministre doivent être publiés dans la Gazette du Canada, sauf si le ministre en décide autrement.

15.2(9) – Incompatibilité

En cas de conflit entre un décret du gouverneur en conseil ou un arrêté ministériel pris en vertu de l'article 15 ci-dessus et une décision prise par le CRTC ou une autorisation ou un arrêté pris en vertu de la Loi sur les télécommunications ou de la Loi sur les radiocommunications, l'arrêté pris en vertu de l'article 15 prévaut.

15.2(10) – Aucune indemnité

Comme pour les décrets du gouverneur en conseil, personne ne peut prétendre à une indemnisation pour les pertes résultant d'un arrêté ministériel.

15.21(1) – Rapport sur les décrets et arrêtés

Dans les trois mois suivant la fin de chaque exercice ou, si la Chambre ne siège pas, dans les 15 premiers jours de séance de celle-ci, le ministre dépose un rapport sur les décrets pris en vertu du paragraphe 15. 1(1) et les arrêtés pris en vertu des paragraphes 15. 2(1) et (2).

15.21(2) – Contenu du rapport

Le rapport doit comprendre les informations suivantes :

• 15.21(2)a) – le nombre de décrets et d'arrêtés pris et leur nature;
• 15.21(2)b) – le nombre de décrets et d'arrêtés révoqués;
• 15.21(2)c) – le nombre de fournisseurs de services de télécommunications visés par un décret ou un arrêté;
• 15.21(2)d) – une description de la conformité des fournisseurs de services de télécommunication qui se sont partiellement conformés à un décret ou à un arrêté;
• 15.21(2)e) – une description de la conformité des fournisseurs de services de télécommunication qui se sont complètement conformés à un décret ou à un arrêté;
• 15.21(2)f) – une explication de la nécessité des décrets ou arrêtés, de leur caractère raisonnable et de leur utilité.

15.21(3)

Le rapport fera état du nombre de fois où un décret ou un arrêté l'a emporté sur une décision du CRTC.

15.22 – Avis obligatoire

Dans les 90 jours suivant la prise d'un décret ou d'un arrêté dont une partie ou la totalité du contenu doit demeurer confidentielle, le ministre avisera le Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) et l'Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) de la prise du décret ou de l'arrêté en question.

15.3(1) – Contravention à un décret ou à un arrêté non publié

Nul ne peut être condamné pour avoir enfreint un décret du gouverneur en conseil ou un arrêté ministériel, à moins que le gouvernement ne puisse apporter la preuve qu'il a été préalablement informé de son contenu.

15.3(2) – Certificat

Le ministre peut délivrer un certificat attestant que les personnes susceptibles d'être affectées par un arrêté donné en ont été informées. En l'absence de preuves contradictoires, ce fait est considéré comme une preuve suffisante que l'avis a été donné.

15.3(3) – Loi sur les textes réglementaires

Ni les décrets du gouverneur en conseil ni les arrêtés ministériels ne sont soumis à la Loi sur les textes réglementaires.

15.3(4) – Incorporation par renvoi

Un décret du gouverneur en conseil ou un arrêté ministériel pris en vertu de l'article 15.1 ou 15.2 peut incorporer, par renvoi, tout autre document. Ce renvoi peut être actualisé en permanence et renvoyer au document le plus récent. Par exemple, il peut s'agir d'un renvoi à une norme technique internationale ou nationale.

15.4 – Fourniture de renseignements

• Le ministre peut exiger de toute personne qu'elle fournisse des renseignements dont il est raisonnable de penser qu'ils sont nécessaires pour prendre, modifier ou révoquer un décret du gouverneur en conseil ou un arrêté ministériel, ou pour vérifier le respect des arrêtés ou règlements existants en matière de sécurité.
• La fourniture de ces renseignements peut être assortie de conditions (p. ex. délais ou format), selon le cas, et à la demande du ministre.

15.5(1) – Renseignements confidentiels – désignation

Les renseignements fournis au titre du paragraphe 15(4) pouvant être de nature sensible, cet article permet à la personne qui fournit les renseignements de les désigner comme confidentiels. Ces types de renseignements peuvent comprendre :

1. les secrets industriels;
2. les renseignements financiers, commerciaux, scientifiques ou techniques qui sont de nature confidentielle et qui sont traités comme tels de façon constante par elle;
3. les renseignements dont la communication nuirait à la compétitivité de la personne ou de l'entreprise qui les fournit, entraverait les négociations contractuelles ou autres de la personne ou de l'entreprise qui les fournit, ou dont on pourrait raisonnablement s'attendre à ce qu'ils entraînent une perte financière (ou un gain financier) pour toute personne;
4. les renseignements personnels ou les renseignements dépersonnalisés.

15.5(2) – Définitions

« Renseignements personnels » s'entend au sens de l'article 3 de la Loi sur la protection des renseignements personnels. Les renseignements dépersonnalisés sont des données modifiées de manière à empêcher l'identification des personnes, même s'il existe un risque résiduel qu'elles soient ultérieurement associées à une personne.

15.5(3) – Interdiction

Une personne ne peut pas divulguer des renseignements qui ont été désignés comme confidentiels par ceux qui les ont fournis, conformément au paragraphe 15.5(1) ci-dessus.

15.5(4) – Exception

Il existe trois situations dans lesquelles les renseignements fournis au ministre dans de tels cas peuvent être divulgués, même s'ils ont été désignés comme confidentiels.

1. Il est permis de divulguer les renseignements demandés par le ministre, si la loi l'autorise ou l'exige;
2. Il est permis de divulguer les renseignements demandés par le ministre, si la partie qui les fournit accepte de les divulguer;
3. Il est permis de divulguer les renseignements demandés par le ministre si celui-ci estime que cela est nécessaire pour protéger ou sécuriser les systèmes de télécommunications canadiens contre les ingérences, les manipulations ou les perturbations.

15.6 (1) – Échange de renseignements

• La collecte de renseignements en vertu de l'article 15.4 vise à permettre au ministre d'évaluer la nécessité ou la validité d'un arrêté (s'il convient d'émettre un arrêté, de modifier un arrêté ou d'annuler un arrêté antérieur) et l'efficacité des arrêtés (pour confirmer que le destinataire respecte l'arrêté et/ou que le fait qu'il le respecte a l'effet escompté).
• Étant donné que la prise, la modification et la révocation des décrets, des arrêtés et des règlements pris en vertu des articles 15.1 et 15.2 et de l'alinéa 15.8(1)a) peuvent nécessiter une consultation entre les ministères gouvernementaux, cet article permet la collecte et la divulgation de renseignements entre les parties énumérées :
  1. le ministre de l'Industrie;
  2. le ministre de la Sécurité publique;
  3. le ministre des Affaires étrangères;
  4. le ministre de la Défense nationale;
  5. le chef d'état-major de la défense des Forces armées canadiennes;
  6. le chef ou un employé du Centre de la sécurité des télécommunications;
  7. le directeur ou un employé du Service canadien du renseignement de sécurité;
  8. le président ou un employé du Conseil de la radiodiffusion et des télécommunications canadiennes;
  9. toute personne désignée en vertu de l'article 15.4. Bien que cela ne soit pas précisé dans la loi, il s'agit notamment, mais pas exclusivement, de l'expertise industrielle particulière ou de la capacité technique/scientifique nécessaire pour évaluer les renseignements fournis;
  10. toute autre personne ou entité prévue par règlement.

15.6(2) – Renseignements confidentiels

Les renseignements communiqués aux personnes susmentionnées continueront d'être traités comme des renseignements confidentiels, s'ils avaient été désignés ainsi.

15.7(1) – Communication de renseignements

• Cet article autorise le ministre à communiquer [à l'exception des renseignements désignés comme confidentiels conformément au paragraphe 15.5(1)] les renseignements recueillis en vertu de la loi à un gouvernement provincial ou territorial du Canada, au gouvernement d'un État étranger ou à une organisation internationale, ou à un sous-ensemble de ces gouvernements. Le ministre peut le faire s'il estime nécessaire de protéger les réseaux de télécommunications canadiens ou ceux d'un État étranger contre toute ingérence, manipulation ou perturbation.
• Un mécanisme formel par écrit sera nécessaire pour y parvenir. L'objectif de la communication de ces renseignements serait de répondre aux préoccupations en matière de sécurité sur les réseaux canadiens ou étrangers (c'est-à-dire s'il s'agit d'une menace de plus grande ampleur).

15.7(2) Restriction – utilisation

Les renseignements communiqués à un État étranger conformément au paragraphe 15.7(1) ne doivent pas être utilisés dans des situations d'application de la loi ou de poursuites judiciaires dans une administration étrangère, à moins que ces situations ne soient également considérées comme des contraventions au regard du droit canadien.

15.8(1)(a) – Règlements

Le gouverneur en conseil peut prendre des règlements comportant les mêmes dispositions qu'un arrêté ministériel (article 15.2).

15.8(1)(b)

Le gouverneur en conseil peut également établir par voie réglementaire une liste de personnes ou d'entités auxquelles les renseignements recueillis peuvent être communiqués en vertu de l'alinéa 15.6 (1)j). Par exemple, cela pourrait servir à établir une liste de laboratoires de confiance pour les essais de services et d'équipements de télécommunications.

15.8(2) – Incompatibilité

En cas de contradiction entre un règlement pris par le gouverneur en conseil et une décision du CRTC, un arrêté ministériel, une autorisation ou un décret pris en vertu de la Loi sur les radiocommunications, c'est le règlement qui prévaut.

15.81(1) – Rapport annuel

Dans les trois mois suivant la fin de chaque exercice ou, si la Chambre ne siège pas, dans les 15 premiers jours de séance de celle-ci, le ministre dépose un rapport sur tous les décrets du gouverneur en conseil et les arrêtés ministériels pris au cours de l'exercice précédent.

15.81(2) – Contenu

Le rapport comprendra le nombre de décrets et d'arrêtés pris au cours de l'exercice précédent.

15.81(3) Contenu du rapport : conflits

Le rapport fera aussi état du nombre de fois où un décret ou un arrêté l'a emporté sur une décision du CRTC.

15.9(1) – Contrôle judiciaire : règles

Les règles décrites ci-dessous s'appliquent aux procédures de contrôle judiciaire concernant un décret du gouverneur en conseil ou un arrêté ministériel, ou un règlement pris en vertu de l'alinéa 15.8(1)a). Ces règles se veulent complémentaires au régime unique et cohérent des instances sécurisées de contrôle des décisions administratives établi dans la Loi sur la lutte contre l'ingérence étrangère.

Règles

15.9(1)a)

Si le juge détermine que des éléments de preuve confidentiels ou d'autres renseignements ne sont pas pertinents pour l'affaire faisant l'objet du contrôle judiciaire, ou si le ministre les retire, le juge ne peut pas tenir compte de ces éléments de preuve ou de ces renseignements au moment de rendre une décision.

15.9(1)b)

Même si le ministre demande que des renseignements confidentiels soient retirés du dossier, leur confidentialité doit être assurée par le juge.

15.9(2) – Définition de juge

Au présent article, « juge » s'entend du juge en chef de la Cour fédérale ou du juge de cette juridiction désigné par lui.

15.91 – Protection des renseignements dans le cadre d'un appel

Le processus et les mesures de protection des renseignements confidentiels énoncés au paragraphe 15.9(1) s'appliquent à tout processus d'appel du contrôle judiciaire initial.

Analyse

L'article 3 remplace l'article 47 de la Loi sur les télécommunications. Cet article crée une obligation générale pour le CRTC de prendre en considération tout décret, arrêté, norme ou règlement pris par le gouverneur en conseil ou le ministre dans l'exercice de ses fonctions.

Analyse

Le paragraphe 4(1) remplace le paragraphe 71(2) de la Loi sur les télécommunications. Cet article modifie le pouvoir général du ministre de nommer des inspecteurs pour vérifier le respect de la loi afin d'inclure la capacité de vérifier la mise en œuvre des décrets ou arrêtés pris en vertu des articles 15.1 et 15.2 et d'un règlement pris en vertu de l'alinéa 15.8(1)a).

Le paragraphe 4(2) remplace l'alinéa 71(4)a) de la Loi sur les télécommunications. Cet article modifie le pouvoir général des inspecteurs nommés par le ministre de pénétrer dans tout lieu qu'ils estiment raisonnablement nécessaire pour vérifier le respect de la loi, et il ajoute des pouvoirs pour vérifier la mise en œuvre des décrets et des arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

Le paragraphe 4(3) remplace l'alinéa 71(6)b) de la Loi sur les télécommunications. Cet article modifie le pouvoir général des inspecteurs nommés par le ministre de pénétrer dans toute maison d'habitation lorsqu'on estime que cela est raisonnablement nécessaire pour vérifier le respect de la loi, y compris pour vérifier la mise en œuvre des décrets et des arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

Le paragraphe 4(4) remplace le paragraphe 71(9) de la Loi sur les télécommunications. Cet article modifie le pouvoir général des inspecteurs nommés par le ministre de demander à une personne de fournir tout renseignement qu'ils estiment raisonnablement nécessaire pour vérifier le respect de la loi, y compris pour vérifier la mise en œuvre des décrets et des arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

Analyse

L'article 5 remplace le paragraphe 72(3) de la Loi sur les télécommunications. Cet article modifie l'exonération générale de la responsabilité civile de la Couronne pour les coûts résultant des actions intentées par une personne qui ne respecte pas la loi, et en particulier les coûts liés aux manquements à un décret ou à un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

Analyse

L'article 6 modifie l'article 72.001 de la Loi sur les télécommunications. Cet article modifie les définitions des « violations de la loi » afin d'inclure les violations des décrets et arrêtés pris en vertu des articles 15.1 et 15.2 et d'un règlement pris en vertu de l'alinéa 15.8(1)a)

Analyse

L'article 7 établit le régime des sanctions administratives pécuniaires pour les violations des décrets et arrêtés pris en vertu de l'article 15.1 ou 15.2, ou d'un règlement pris en vertu de l'alinéa 15.8(1)a). Plus précisément, il ajoute ce qui suit à la Loi sur les télécommunications après l'article 72.13 :

72.131 Violation

Cet article apporte des ajouts précis aux articles généraux définissant les violations de la loi. Plus précisément, il définit que la violation des décrets et arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a) constitue une violation de la loi, et il précise la sanction administrative pécuniaire applicable.

72.131a)

En ce qui concerne l'article 72.131, une sanction administrative pécuniaire à l'encontre d'une personne physique peut entraîner une pénalité allant jusqu'à 25 000 dollars, et jusqu'à 50 000 dollars en cas de récidive.

72.131b)

En ce qui concerne l'article 72.131, une sanction administrative pécuniaire à l'encontre d'une personne autre qu'une personne physique (p. ex. une entreprise) pourrait entraîner une pénalité allant jusqu'à 10 millions de dollars, et jusqu'à 15 millions de dollars en cas de récidive.

72.132 – Violation continue

Chaque jour de violation de l'article 72.131 pourrait être considéré comme un incident distinct, des sanctions supplémentaires étant imposées quotidiennement.

72.133(1) – Détermination du montant de la pénalité

Pour la détermination du montant de la pénalité, il est tenu compte des critères suivants :

1. la nature et la portée de la violation;
2. les antécédents de l'auteur de la violation en ce qui a trait au respect des décrets ou des arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a);
3. tout avantage qu'il a retiré de la commission de la violation;
4. la capacité de l'auteur de la violation de payer le montant de la sanction;
5. tout autre critère prévu par règlement;
6. tout autre élément pertinent.

72.133(2) – But de la pénalité

L'infliction de la pénalité vise non pas à punir, mais à favoriser le respect des décrets et arrêtés pris en vertu des articles 15.1 et 15.2 et d'un règlement pris en vertu de l'alinéa 15.8(1)a).

72.134a) – Pouvoir du ministre – violation

Le ministre peut désigner une personne ou une catégorie de personnes pour dresser des procès-verbaux de violation ou conclure des ententes de conformité ou de mesures correctives en cas de violation des décrets et arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

72.134b)

Le ministre peut créer un sommaire caractérisant la violation à utiliser dans les procès-verbaux de violation des décrets et arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

72.135(1) – Procès-verbal

L'agent verbalisateur peut également émettre des procès-verbaux à l'intention des personnes qui enfreignent les décrets et arrêtés pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

72.135(2) – Contenu du procès-verbal

Les procès-verbaux émis en vertu du paragraphe 72.135(1) doivent comprendre le nom de la personne qui a commis la violation, la nature de la violation et :

1. le montant de la pénalité à payer;
2. un délai de 30 jours (ou autre délai fixé) pour le paiement de la pénalité imposée ou pour contester la validité de la violation et de la pénalité auprès du ministre;
3. un énoncé indiquant que le fait de ne pas payer ou de ne pas contester la sanction est considéré comme une acceptation de l'existence d'une violation par la personne responsable.

72.135(3) – Annulation ou correction du procès-verbal

À tout moment avant qu'une demande de contestation d'une infraction et d'une sanction ne soit introduite, l'agent verbalisateur peut corriger les erreurs que le procès-verbal contient, y compris en annulant le procès-verbal de violation.

72.136(1) – Paiement

Le paiement d'une pénalité pour violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a) est considéré comme un aveu de responsabilité et met fin à la procédure.

72.136(2) – Présentation d'observations

Une personne peut choisir de contester un procès-verbal de violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a) auprès du ministre.

Après avoir entendu les observations présentées, le ministre peut décider, sur la base de la prépondérance des probabilités, de maintenir la sanction initiale, de la réduire ou de l'annuler purement et simplement.

72.136(3) – Omission de payer ou de présenter des observations

Si une partie informée ne paie pas la pénalité imposée ou ne la conteste pas en s'adressant au ministre, cela est considéré comme un aveu de responsabilité. Dans ce cas, le ministre peut imposer la pénalité mentionnée dans le procès-verbal.

72.136(4) – Copie de la décision

Si une partie informée ne paie pas la pénalité imposée ou ne la conteste pas en s'adressant au ministre, ce dernier lui signifie une copie de sa décision sur l'issue de cette procédure.

72.137 (1) – Transaction

Si une partie reçoit un procès-verbal de violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a), elle peut choisir de conclure une transaction pour remédier à la situation. Dans le cadre d'une telle transaction, le gouvernement peut réduire, en tout ou en partie, la pénalité imposée pour la violation.

72.137(2) – Observations

Si une personne conclut une transaction à la suite d'un procès-verbal de violation, elle renonce à son droit de contester la violation auprès du ministre, conformément à l'alinéa 72.135(2)b).

72.137(3) – Présomption

Si une partie informée conclut une transaction pour un procès-verbal de violation, elle est réputée avoir commis la violation.

72.137(4) – Avis d'exécution

Si une partie informée a conclu une transaction et qu'elle s'y conforme pleinement, elle en est informée et la procédure est considérée comme terminée.

72.137(5) – Avis de défaut d'exécution

Si une partie informée a conclu une transaction et qu'il s'avère qu'elle n'est pas en totale conformité, elle en est informée et se voit infliger la pénalité initialement prévue, déduction faite de toute somme partielle reçue en vertu de la transaction.

72.137(6) – Paiement

Si une partie déclarée en défaut d'exécution d'une transaction paie la pénalité initialement prévue, la procédure relative à la violation est considérée comme terminée.

72.138 – Administrateurs, dirigeants et mandataires des personnes morales

Les administrateurs, dirigeants ou autres membres du personnel d'une société pour laquelle il est établi qu'il y a eu violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a) peuvent eux-mêmes être tenus responsables de la violation, s'ils ont ordonné, autorisé, consenti ou participé à la violation en question. Cette démarche peut être entreprise même si la société elle-même ne fait pas l'objet de procédures en violation.

72.139(1) – Dette envers Sa Majesté

Les pénalités imposées pour violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a) sont considérées comme dues à Sa Majesté du chef du Canada et peuvent être recouvrées, y compris les intérêts, devant la Cour fédérale ou tout autre tribunal compétent.

72.139(2) – Prescription

Les efforts de recouvrement d'une dette envers la Couronne doivent commencer au plus tard cinq ans après la date à laquelle la dette est devenue exigible.

72.139(3) – Receveur général

Les dettes évaluées dans le cadre des violations sont payables au Receveur général du Canada.

72.139(4) – Certificat de non-paiement

Si une pénalité imposée ou une partie de celle-ci reste impayée, le ministre peut délivrer un certificat de non-paiement.

72.139(5) – Enregistrement à la Cour fédérale

L'enregistrement auprès de la Cour fédérale d'un certificat de non-paiement visé au paragraphe 72.139 (4) est assimilé à un jugement de cette Cour et peut inclure les frais d'enregistrement y afférents.

72.1391(1) – Prescription

Les poursuites relatives à une violation se prescrivent par trois ans à compter du jour où le ministre en a eu connaissance.

72.1391(2) – Attestation du ministre

Une attestation délivrée par le ministre certifiant la date à laquelle il a eu connaissance d'une procédure comme indiqué ci-dessus fera foi jusqu'à preuve du contraire.

72.1392 a) – Publication

Dans le cas d'une transaction portant sur un procès-verbal de violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a), le ministre est autorisé (mais non tenu) à rendre publics de nombreux aspects de la transaction, y compris le nom d'une personne ou d'une entreprise qui conclut une telle transaction.

Les détails qui peuvent être inclus dans la publication comprennent la nature de la transaction, ses conditions, l'évaluation de la gravité de la violation et le montant de la pénalité imposée.

72.1392 b)

Outre les conditions susmentionnées relatives à la publication des transactions, le nom de la personne ayant commis une violation peut être rendu public, de même que la nature de la violation constatée et les conditions qui l'ont entourée.

72.1393 – Règlements

Des règlements peuvent être pris par le gouverneur en conseil pour :

1. modifier la mise en œuvre des décrets et arrêtés pris à des fins de sécurité en vertu des articles 15.1 et 15.2 et d'un règlement pris en vertu de l'alinéa 15.8(1)a), comme indiqué à l'article 72.131;
2. modifier les facteurs à prendre en compte pour évaluer le montant d'une pénalité administrative pécuniaire en cas de violation des décrets et des arrêtés pris en vertu des articles 15.1 et 15.2 et d'un règlement pris en vertu de l'alinéa 15.8(1)a), conformément à l'alinéa 72.133(1)e);
3. préciser les spécificités des transactions conformément au paragraphe 72.137(1).

Analyse

L'article 8 remplace l'intertitre précédant l'article 71.14 de la Loi sur les télécommunications par le texte suivant :

Dispositions communes aux régimes de sanctions administratives pécuniaires

Analyse

L'article 9 modifie l'article 72.14 de la Loi sur les télécommunications. Harmonise le régime des pénalités administratives pécuniaires en cas de violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a), avec le régime d'application existant dans la loi.

Plus précisément, un procès-verbal de violation [72.135(1)] ou une copie de la décision du ministre concernant une violation contestée [72.136(4)] doit être considéré comme authentique en ce qui concerne son utilisation comme preuve dans une procédure.

Analyse

Le paragraphe 11(1) remplace l'alinéa 73(3)a) de la Loi sur les télécommunications. Cet article exclut les règlements pris par le gouverneur en conseil en vertu de l'alinéa 15.8(1)a) du régime général d'application. L'article suivant est consacré aux infractions sommaires pour violation d'un décret ou d'un arrêté en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a).

Le paragraphe 11(2) modifie l'article 73 de la Loi sur les télécommunications en ajoutant des paragraphes après le paragraphe 73(3). Le premier – 73(3.1) – précise que quiconque contrevient à un décret ou un arrêté pris en vertu des articles 15.1 et 15.2 ou à un règlement pris en vertu de l'alinéa 15.8(1)a), commet une infraction passible, sur déclaration de culpabilité par procédure sommaire :

1. pour les infractions commises par des personnes physiques, des amendes dont le montant est fixé par le tribunal, une peine d'emprisonnement de deux ans moins un jour, ou l'une et l'autre;
2. pour les infractions commises par des personnes morales (p. ex. des sociétés), à une amende à la discrétion du tribunal.

Le deuxième paragraphe – 73(3.2) – précise que les administrateurs, dirigeants, agents ou mandataires d'une personne ou d'une société qui commet une infraction visée au paragraphe 73(3.1) peuvent individuellement être déclarés coupables de l'infraction s'ils ont ordonné, autorisé ou participé de toute autre manière à la commission de l'infraction.

Le troisième paragraphe – 73(3.3) – précise que s'il peut être démontré qu'un dirigeant, un administrateur, un agent ou un mandataire a ordonné à un employé ou à un autre agent de commettre l'infraction, cela constitue une preuve suffisante de l'infraction, indépendamment du fait que l'employé soit poursuivi ou non.

Le quatrième paragraphe – 73(3.4) – harmonise les procédures relatives aux infractions pour violation des décrets ou arrêtés en matière de sécurité avec les dispositions existantes de la loi, qui traitent des règlements. Plus précisément, il permet une défense de diligence raisonnable pour les procédures visant à obtenir des condamnations par procédure sommaire pour une infraction.

L'exception existante à la défense de diligence raisonnable dans la loi, pour les infractions visées à l'alinéa 73(2)d) qui traite des efforts pour tromper le ministre ou ses inspecteurs désignés, reste inchangée.

Le cinquième paragraphe – 73(3.5) – précise qu'aucun consentement n'est nécessaire pour la poursuite de l'infraction visée au paragraphe 73(3.1), l'infraction à un décret ou à un arrêté pris en vertu des articles 15.1 et 15.2 ou à un règlement pris en vertu de l'alinéa 15.8(1)a).

Le paragraphe 11(3) remplace le paragraphe 73(7) de la Loi sur les télécommunications. Cet article précise que la violation d'un décret ou d'un arrêté pris en vertu des articles 15.1 et 15.2 ou d'un règlement pris en vertu de l'alinéa 15.8(1)a) peut faire l'objet d'une injonction du tribunal, à la demande du ministre, et que le tribunal peut prendre les mesures qu'il juge appropriées.

Analyse

L'article 13 précise que le texte suivant, qui comprend les articles 1 à 146 ainsi que les annexes 1 et 2, est édicté sous le titre Loi concernant la protection des cybersystèmes essentiels dans le secteur privé sous réglementation fédérale et constitue le préambule.

Le préambule précise l'objet et la raison d'être de la Loi sur la protection des cybersystèmes essentiels en mettant l'accent sur la responsabilité du gouvernement fédéral de protéger les Canadiens, l'importance de certains cybersystèmes pour assurer la continuité des systèmes et des services sur lesquels les Canadiens comptent, et la reconnaissance que la stratégie nationale de cybersécurité vise à protéger ces systèmes et que le gouvernement fédéral est déterminé à travailler de concert avec les intervenants (y compris les provinces et les territoires) pour les protéger, tout en respectant la Loi sur la protection des renseignements personnels.

Analyse

L'article 1 précise que les articles 1 à 146, ainsi que les annexes 1 et 2 peuvent être désignés, par souci de simplicité, à: la Loi sur la protection des cybersystèmes essentiels.

Analyse

L'article 2 présente, par ordre alphabétique, les définitions des termes utilisés dans la Loi sur la protection des cybersystèmes essentiels.

Organisme réglementaire compétent

La définition du terme « organisme réglementaire compétent » explique clairement à quel organisme de réglementation la loi fait référence relativement à un exploitant désigné. L'annexe 2 de la loi précisera la catégorie d'exploitants (exploitants désignés) et l'organisme de réglementation correspondant qui seront responsable de l'administration et de l'application de la loi relativement aux exploitants désignés qui appartiennent à cette catégorie.

Banque

La définition de « banque » garantit que ce mot utilisé dans l'ensemble du projet de loi sur la Loi sur la protection des cybersystèmes essentiels renvoie à la Banque du Canada (organisme réglementaire en vertu de la Loi), et non à une autre banque.

Régie canadienne de l'énergie

La définition du terme « Régie canadienne de l'énergie » assure que, dans l'ensemble du projet de loi sur la Loi sur la protection des cybersystèmes essentiels, son utilisation correspond à sa définition et à son adoption en vertu de la Loi sur la Régie canadienne de l'énergie.

Commission canadienne de sûreté nucléaire

La définition du terme « Commission canadienne de sûreté nucléaire » garantit que, dans l'ensemble du projet de loi sur la Loi sur la protection des cybersystèmes essentiels, son utilisation correspond à la définition de la Commission en vertu de la Loi sur la sûreté et la réglementation nucléaires.

Président-directeur général

La définition du terme « président-directeur général » garantit que, dans l'ensemble du projet de loi sur la Loi sur la protection des cybersystèmes essentiels, son utilisation correspond à la définition donnée dans la Loi sur la Régie canadienne de l'énergie.

Commission

La définition de « Commission » garantit que, dans l'ensemble du projet de loi sur la Loi sur la protection des cybersystèmes essentiels, le terme est utilisé selon sa définition énoncée dans la Loi sur la Régie canadienne de l'énergie.

Renseignements confidentiels

La définition de « renseignements confidentiels » garantit une protection appropriée de tout renseignement obtenu en vertu de la présente loi en ce qui concerne un cybersystème essentiel. Cette protection est nécessaire en raison de la nature des renseignements ou de l'incidence que leur divulgation inappropriée pourrait avoir sur un ou plusieurs exploitants désignés. Ces renseignements sont confidentiels lorsque :

1. ils portent sur la vulnérabilité des cybersystèmes essentiels ou sur les méthodes employées pour leur protection, lorsque l'exploitant désigné garde les renseignements confidentiels;
2. leur divulgation pourrait causer des pertes ou des profits financiers à l'exploitant désigné, ou nuire à sa compétitivité;
3. leur divulgation risquerait d'entraver des négociations contractuelles ou d'une autre nature menées par un exploitant désigné.

Cybersystème essentiel

Un cybersystème essentiel est un cybersystème qui soustend un service critique ou un système critique. Cela signifie que la compromission d'un tel cybersystème, par quelque moyen que ce soit, pourrait avoir un effet négatif sur la continuité ou la sécurité de ce service ou système critique. Cela comprend toute partie du cybersystème dont la compromission aurait une incidence sur la confidentialité du cybersystème (lorsque des renseignements contenus ou traités dans le cybersystème sont accessibles sans autorisation), l'intégrité (lorsque des renseignements contenus ou traités dans le cybersystème sont modifiés ou supprimés involontairement ou sans autorisation) ou l'accessibilité (lorsque le cybersystème, les renseignements qu'il contient ou qu'il traite ne sont pas accessibles en cas de besoin).

Les éléments faisant partie d'un cybersystème essentiel peuvent varier rapidement et régulièrement, car la technologie évolue à un rythme rapide. Cependant, à tout moment, tous les composants d'un cybersystème qui répondent à la définition cidessus feraient partie du cybersystème essentiel.

Incident de cybersécurité

Un incident, y compris un acte, une omission ou une situation qui nuit ou pourrait nuire à la continuité ou à la sécurité d'un service critique ou d'un système critique. Un acte, une omission ou une situation qui nuit ou pourrait nuire à la confidentialité, à l'intégrité ou à la disponibilité du cybersystème essentiel, constituerait également un incident de cybersécurité.

Cybersystème

Un cybersystème est défini dans la présente loi comme un système de technologies, d'actifs, d'installations ou de services numériques interdépendants qui forment l'infrastructure servant à la réception, à la transmission, au traitement ou au stockage de données. Cette définition vise à intégrer les différents types de composants, physiques ou virtuels, qui fonctionnent ensemble pour soutenir un service ou un système critique. Cette définition tient compte des états actuels et futurs des technologies qui sont essentielles aux services ou systèmes critiques.

Exploitant désigné

La définition « d'exploitant désigné » fait référence à une personne, à un partenariat ou à une organisation non constituée en société qui appartient à une catégorie d'exploitants figurant à l'annexe 2. Les exploitants désignés seront tenus de respecter les obligations prévues par la présente loi en ce qui concerne le cybersystème essentiel qu'ils possèdent, contrôlent ou exploitent.

Gouverneur

La définition du terme « gouverneur » garantit que, dans l'ensemble du projet de loi sur la Loi sur la protection des cybersystèmes essentiels, son utilisation correspond à la définition énoncée dans la Loi sur la Banque du Canada.

Ministre

Au moment du dépôt de la présente loi, cette expression désigne le ministre de la Sécurité publique et de la Protection civile. Cependant, l'article 4 de la présente loi confère au gouverneur en conseil le pouvoir de nommer tout autre ministre fédéral comme ministre responsable de la Loi.

Organisme réglementaire

La loi fait état des organismes réglementaires qui sont responsables de l'application et de l'administration de la présente loi, y compris :

1. le ministre de l'Industrie;
2. le ministre des Transports;
3. le surintendant des institutions financières nommé en vertu du paragraphe 5(1) de la Loi sur le Bureau du surintendant des institutions financières;
4. la Banque du Canada, établie en vertu du paragraphe 3(1) de la Loi sur la Banque du Canada;
5. la Régie canadienne de l'énergie, constituée par l'article 10 de la Loi sur la Régie canadienne de l'énergie;
6. la Commission canadienne de sûreté nucléaire est constituée par l'article 8 de la Loi sur la sûreté et la réglementation nucléaires.

Ministre compétent

Cette définition précise qui est le ministre responsable d'une loi habituellement administrée par l'organisme réglementaire compétent pour une catégorie d'exploitants figurant à l'annexe 2. Cela permet d'assurer la clarté lorsque la Loi fait référence au ministre compétent de la présente loi, et aux autres ministres qui assument des responsabilités en vertu de la Loi.

Surintendant

La définition du terme « surintendant » garantit que, dans l'ensemble de la Loi sur la protection des cybersystèmes essentiels, son utilisation correspond à celle du terme « surintendant des institutions financières » nommé en vertu de la Loi sur le Bureau du surintendant des institutions financières.

Tribunal

La définition du terme « Tribunal » garantit que, dans l'ensemble de la Loi sur la protection des cybersystèmes essentiels, son utilisation correspond à celle du Tribunal d'appel des transports du Canada constitué en vertu de la Loi sur le Tribunal d'appel des transports du Canada.

Service critique

Un service qui est désigné comme essentiel pour assurer la sécurité nationale ou la sécurité publique en vertu de la présente loi et qui figure à l'annexe 1 de la loi.

Système critique

Un système qui est désigné comme essentiel pour assurer la sécurité nationale ou la sécurité publique en vertu de la présente loi et qui figure à l'annexe 1 de la loi.

Analyse

L'article 3 précise que la loi lie la Couronne.

Analyse

L'article 4 donne au gouverneur en conseil le pouvoir de désigner tout ministre fédéral comme ministre responsable de la présente loi.

Si aucun ministre n'est désigné en vertu de l'article 4, le ministre de la Sécurité publique et de la Protection civile est le ministre compétent de la présente loi.

Analyse

La présente loi a pour objet d'aider à protéger les cybersystèmes essentiels afin d'assurer la continuité et la sécurité des services et des systèmes qui sont critiques pour la sécurité nationale ou la sécurité des Canadiens.

En particulier, la loi a pour objet d'encourager la protection des cybersystèmes essentiels selon un certain nombre de résultats liés à la cybersécurité que ce régime est censé aborder, en permettant notamment :

1. d'identifier et de gérer les risques à l'égard de la cybersécurité des cybersystèmes essentiels, notamment les risques associés aux chaînes d'approvisionnement et à l'utilisation de produits et services de tiers;
2. de protéger les cybersystèmes essentiels contre toute compromission;
3. de détecter les incidents de cybersécurité qui touchent ou pourraient toucher les cybersystèmes essentiels;
4. de réduire au minimum les conséquences des incidents de cybersécurité qui touchent les cybersystèmes essentiels.

Analyse

Le paragraphe 6(1) autorise le gouverneur en conseil à désigner, à l'annexe 1 de la Loi, tout service ou système qui est critique pour la sécurité nationale ou la sécurité publique. Le gouverneur en conseil ne peut que désigner les services ou systèmes qui sont assurés ou exploités dans le cadre d'une « installation, d'un ouvrage ou d'une entreprise » relevant de la compétence législative du Parlement. L'annexe 1 contient déjà une liste de services critiques et de systèmes critiques.

Le paragraphe 6(2) autorise le gouverneur en conseil à modifier ou à supprimer la mention de tout service ou système figurant à l'annexe 1.

Analyse

L'article 7 confère au gouverneur en conseil le pouvoir d'ajouter à l'annexe 2 une catégorie d'exploitants, ainsi que le nom de l'organisme réglementaire correspondant à cette catégorie, en ce qui concerne un service critique ou un système critique figurant à l'annexe 1.

Seules les catégories composées d'entités qui sont des personnes, des sociétés de personne ou des organisations non dotées de la personnalité morale qui exploitent des installations, ouvrages ou entreprises relevant de la compétence législative du Parlement peuvent être ajoutées. Cela fait en sorte que seul le fournisseur des services critiques ou l'exploitant des systèmes critiques, et non les tiers, sera responsable de se conformer à la présente loi.

L'article 7 permet également au gouverneur en conseil de modifier ou de supprimer une catégorie d'exploitants ou la mention d'un organisme réglementaire

Analyse

Conformément à l'article 8, un exploitant désigné qui contrôle ou exploite un cybersystème essentiel ou en est propriétaire est tenu de se conformer aux dispositions de la présente loi et de ses règlements concernant ce cybersystème essentiel.

S'il appartient à une catégorie d'exploitants figurant à l'annexe 2, l'exploitant désigné sera responsable du respect de la loi en ce qui concerne tous les composants des cybersystèmes qui font partie de son cybersystème essentiel. Bien que cet ensemble de technologies puisse varier de temps à autre, à tout moment, le service ou le système critique dépend d'un ensemble précis de technologies qui, à ce moment-là, forment le cybersystème essentiel.

Analyse

L'article 9 établit l'obligation pour les exploitants désignés d'établir un programme de cybersécurité relativement à ses cybersystèmes essentiels.

Le paragraphe 9(1) stipule que l'exploitant désigné doit établir ce programme de cybersécurité dans les 90 jours suivant la date à laquelle l'exploitant désigné devient assujetti aux obligations prévues par la loi, et qu'il doit y inclure des mesures raisonnables en vue, conformément à tout règlement :

1. d'identifier et de gérer les risques organisationnels pour la cybersécurité des cybersystèmes essentiels, notamment les risques associés à la chaîne d'approvisionnement de l'exploitant désigné et à l'utilisation par celui-ci de produits et services de tiers;
2. de protéger ses cybersystèmes essentiels contre toute compromission;
3. de détecter les incidents de cybersécurité qui touchent ou pourraient toucher ses cybersystèmes essentiels;
4. de réduire au minimum les conséquences des incidents de cybersécurité qui touchent les cybersystèmes essentiels;
5. de prendre toute mesure prévue par règlement.

En vertu de l'alinéa e), des objectifs supplémentaires exigeant que des mesures raisonnables soient prises dans le cadre du programme de cybersécurité peuvent être prévus par règlement.

Selon le paragraphe 9(2), l'exploitant désigné est tenu d'aviser l'organisme réglementaire compétent dès que son programme de cybersécurité est établi.

L'article 10 exige que l'exploitant désigné soumette son programme de cybersécurité à l'organisme réglementaire compétent, conformément à l'annexe 2 (ou qu'il mette le programme de cybersécurité à la disposition des organismes réglementaires) dans les 90 jours suivant la date à laquelle il devient assujetti à la loi.

Il précise également que le règlement peut prescrire la manière dont le programme de cybersécurité doit être fourni. Si aucune modalité n'est prescrite, le programme de cybersécurité doit être fourni de la manière que l'organisme de réglementation compétent estime indiquée.

L'article 11 permet à l'organisme réglementaire de prolonger, sur demande écrite, la période de 90 jours pour établir un programme de cybersécurité ou le fournir à l'organisme réglementaire, et octroie à l'organisme réglementaire la possibilité de prolonger cette période plus d'une fois.

L'article 12 exige que l'exploitant désigné mette en œuvre le programme de cybersécurité en prenant les mesures raisonnables énoncées dans le programme de cybersécurité.

L'exploitant désigné doit également assurer la mise à jour du programme de cybersécurité, afin de faire en sorte qu'il continue d'être capable de cibler les menaces et les technologies en évolution, etc., et d'intervenir.

Le paragraphe 13(1) précise qu'un exploitant désigné doit effectuer un examen annuel de son programme de cybersécurité à chaque anniversaire de l'établissement du programme, ou à une date prévue par règlement.

Par ailleurs, le paragraphe 13(2) précise que l'exploitant désigné doit terminer l'examen dans les 60 jours à compter du début de l'examen, ou dans le délai prévu par règlement, le cas échéant, et modifier son programme à la suite de l'examen au besoin.

Le paragraphe 13(3) oblige l'exploitant désigné à aviser l'organisme réglementaire compétent si des changements ont été apportés ou non au programme dans les 30 jours suivant l'achèvement de l'examen, à moins qu'un autre délai ne soit prévu par règlement.

Le paragraphe 14(1) exige qu'un exploitant désigné avise, au cours de la période prévue par le règlement, l'organisme réglementaire compétent si un changement important est survenu dans la propriété ou le contrôle de l'exploitant désigné, à sa chaîne d'approvisionnement ou à son utilisation de produits tiers, et ce sans délai. L'avis a pour objet de cibler les circonstances qui auraient une incidence sur les risques inhérents à cet exploitant. La loi permet également d'autres circonstances prévues par règlement qui peuvent donner lieu à l'obligation de donner un avis.

Selon le paragraphe 14(2), l'exploitant désigné doit également aviser l'organisme réglementaire compétent de tout changement apporté au programme ou de l'absence de changement qui découle de changements dans les circonstances – et, le cas échéant, l'aviser de la nature de ces changements – et ce, dans les 90 jours suivant la date à laquelle il donne l'avis à son organisme réglementaire.

Le paragraphe 14(3) permet à l'organisme réglementaire de prolonger la période de 90 jours pour un exploitant désigné qui en fait la demande, et lui donne la possibilité de prolonger cette période plus d'une fois.

Analyse

L'article 15 exige qu'un exploitant désigné qui, dans le cadre de son programme de cybersécurité, a ciblé des risques à l'égard de la cybersécurité qui sont associés à sa chaîne d'approvisionnement ou à son utilisation de produits et services de tiers prenne des mesures raisonnables, notamment celles prévues par règlement, afin d'atténuer ces risques.

L'atténuation des risques signifie que les mesures prises doivent réduire la probabilité que les risques se concrétisent, ou l'incidence sur le cybersystème essentiel, le service critique ou le système critique, de la concrétisation de ces risques.

L'article 16 permet à l'organisme réglementaire de fournir au Centre de la sécurité des télécommunications Canada (CST) tous renseignements, y compris confidentiels concernant :

• le programme de cybersécurité d'un exploitant désigné;
• toute mesure prise par l'exploitant désigné pour atténuer le risque de cybersécurité associé à sa chaîne d'approvisionnement ou à son utilisation de produits et services de tiers.

L'organisme réglementaire est autorisé à le faire dans le but de demander des avis, des conseils et des services au CST – conformément au mandat du Centre – concernant l'exercice des attributions qui lui sont conférées sous le régime de la présente loi.

Analyse

Selon l'article 17, il incombe à tout exploitant désigné de déclarer, dans les délais réglementaires, lesquels ne doivent pas dépasser 72 heures, tout incident de cybersécurité qui touche ses cybersystèmes essentiels au CST (conformément aux règlements), lequel utilisera l'information dans le cadre de son mandat actuel. Le gouvernement du Canada a besoin de cette information pour mieux comprendre les menaces qui pèsent sur le cybersystème essentiel, ainsi que pour se faire une image plus précise du paysage de la cybersécurité au Canada et fournir davantage de preuves à l'appui de sa protection.

Ce qui doit être déclaré, ainsi que le format de déclaration sera prévu par règlement; il est prévu que les règlements seront propres au secteur, ce qui permettra d'adapter les signalements au contexte propre à chaque secteur.

L'alinéa 18(a) oblige l'exploitant désigné à aviser l'organisme réglementaire compétent de la manière prévue par règlement, sans délai après avoir déclaré un incident de cybersécurité.

L'alinéa 18(b) précise que cette obligation de donner un avis peut comprendre l'envoi du rapport d'incident à l'organisme réglementaire, si celui-ci le demande.

Selon l'article 19, le CST doit remettre sans délai à un organisme réglementaire qui en fait la demande tout ou partie d'une copie du rapport d'incident visant un exploitant désigné qui relève de l'organisme réglementaire compétent. L'exigence a pour but de vérifier la conformité ou de prévenir la non-conformité aux dispositions de la présente loi et à son règlement.

Analyse

Le paragraphe 20(1) confère au gouverneur en conseil le pouvoir de donner, par décret, des directives de cybersécurité enjoignant à un exploitant désigné, individuellement ou au titre de son appartenance à une catégorie, de se conformer à toute mesure prévue dans la directive de cybersécurité en vue de la protection du cybersystème essentiel dont l'exploitant désigné est responsable. Le gouverneur en conseil a ce pouvoir tant qu'il a des motifs raisonnables de croire que la prise du décret est nécessaire pour protéger ce cybersystème essentiel.

Le paragraphe 20(2) permet au gouverneur en conseil de modifier ou de révoquer toute directive, en tout ou en partie. Une directive de cybersécurité s'applique jusqu'à ce qu'elle soit révoquée, à moins qu'elle ne contienne des délais d'application précis mentionnés dans les paragraphes 21(1) ou 21(2).

Le paragraphe 20(3) présente une liste des facteurs dont le gouverneur en conseil doit tenir compte avant de prendre un décret en vertu du paragraphe 20(1). Cette liste comprend la prise en considération des répercussions opérationnelles et financières sur les exploitants désignés, des répercussions sur la sécurité publique des Canadiens, des répercussions sur la fourniture des services critiques et d'autres facteurs jugés pertinents.

Le paragraphe 20(4) oblige chaque exploitant désigné à se conformer à une directive par laquelle il est visé.

Le paragraphe 20(5) exige que le ministre avise le Comité des parlementaires sur la sécurité nationale et le renseignement et l'Office de surveillance des activités en matière de sécurité nationale et de renseignement dans les 90 jours suivant la prise d'un décret en vertu du paragraphe 20(1).

Le paragraphe 20(6) indique, par souci de précision, qu'il est interdit au gouverneur en conseil d'ordonner à un exploitant désigné d'intercepter des communications privées ou des communications radiotéléphoniques au sens du Code criminel.

Le paragraphe 21(1) précise ce que doit contenir une directive de cybersécurité. La directive de cybersécurité doit indiquer le nom de l'exploitant désigné, ou de la catégorie d'exploitants, à qui elle s'applique; elle doit préciser les mesures à prendre par l'exploitant désigné et, le cas échéant, les modalités d'exécution; et enfin, la directive de cybersécurité doit préciser les délais dans lesquels ces mesures doivent être prises.

En outre, le paragraphe 21(2) stipule que, outre les modalités visées à l'alinéa 21(1)b), le gouverneur en conseil peut préciser d'autres modalités dans une directive.

Le paragraphe 22(1) stipule qu'un décret pris en vertu de l'article 20 est soustrait à l'application des articles 3, 5 et 11 de la Loi sur les textes réglementaires et, à ce titre, le décret à l'origine d'une directive de cybersécurité n'a pas à être examiné, enregistré ou publié dans la Gazette du Canada.

Selon le paragraphe 22(2), l'exploitant désigné ne peut être reconnu coupable d'avoir contrevenu à une directive de cybersécurité sauf s'il est établi que la directive de cybersécurité avait été portée à sa connaissance ou que des mesures raisonnables avaient été prises pour que l'exploitant désigné soit informé qu'il était visé par la directive de cybersécurité.

En outre, le paragraphe 22(3) explique que pour prouver la communication à l'exploitant désigné d'un avis concernant la directive de cybersécurité, un certificat signé par le ministre ou le ministre compétent et faisant état de la communication à l'exploitant désigné d'un avis accompagné du texte du décret fait foi, sauf preuve contraire, de la communication de l'avis à l'exploitant désigné.

L'article 23(1) énumère les personnes ou entités qui sont autorisées à recueillir des renseignements, notamment confidentiels, auprès de l'une ou l'autre de ces personnes ou entités et lui en communiquer, dans la mesure nécessaire à toute fin liée à l'établissement, à la modification ou à la révocation d'une directive de cybersécurité :

1. le ministre;
2. le ministre compétent;
3. l'organisme réglementaire compétent;
4. le ministre des Affaires étrangères;
5. le ministre de la Défense nationale;
6. le Chef d'état-major de la défense;
7. le chef ou un employé du CST;
8. le directeur ou un employé du Service canadien du renseignement de sécurité;
9. toute autre personne ou entité prévue par règlement.

Le paragraphe 23(2) précise que les renseignements recueillis ou communiqués par une personne ou une entité énumérée au paragraphe 23(1) doivent être traités de façon confidentielle.

L'article 24 interdit aux exploitants désignés qui sont visés par une directive de cybersécurité d'en communiquer l'existence ou le contenu ou de permettre qu'ils le soient, sauf en conformité avec l'article 25.

Cette interdiction fait en sorte que, dans la mesure du possible, les paramètres, méthodes ou techniques exacts utilisés pour la protection des cybersystèmes essentiels ne sont pas connus du public, et ce, afin de réduire au minimum les risques qu'un auteur de menaces utilise ces renseignements pour compromettre un cybersystème essentiel.

Le paragraphe 25(1) permet à un exploitant désigné qui est visé par une directive de cybersécurité d'en communiquer l'existence ou le contenu que dans la mesure nécessaire pour s'y conformer. Il peut s'agir, par exemple, de fournir des détails sur les mesures qui doivent être prises à un tiers qui exploite une partie d'un cybersystème essentiel, si ce tiers est celui qui peut prendre la mesure.

Le paragraphe 25(2) interdit à la personne qui est informée en vertu du paragraphe 25(1) de communiquer les renseignements obtenus sans l'autorisation de l'exploitant désigné qui l'a informée en premier lieu.

Analyse

Le paragraphe 26(1) interdit à toute personne de communiquer sciemment des renseignements confidentiels. Il interdit également à une autre personne, à une agence ou à un organisme, ni en autoriser la communication ou l'accès sauf dans des cas précis.

La communication de renseignements confidentiels n'est autorisée que dans les cas suivants :

1. la communication est légalement exigée;
2. les renseignements sont accessibles au public;
3. l'exploitant désigné concerné y consent;
4. la communication est nécessaire à toute fin liée à la protection des services critiques, des systèmes critiques ou des cybersystèmes essentiels;
5. la communication est faite en conformité avec toute disposition de la présente loi;
6. la communication est faite en conformité avec la Loi sur la communication d'information ayant trait à la sécurité du Canada.

Le paragraphe 26(2) garantit qu'une personne actuellement autorisée par la loi à fournir de tels renseignements à un organisme d'application de la loi ou au Service canadien du renseignement de sécurité est autorisée à le faire si la communication des renseignements est par ailleurs licite.

Il s'agit d'une protection accrue qui vise à réduire au minimum les préoccupations des intervenants du secteur privé qui sont tenus, en vertu de la présente loi, de communiquer ces renseignements avec le gouvernement, et de donner suite aux préoccupations concernant la communication à grande échelle de ces renseignements.

Le paragraphe 26(3) précise que les renseignements confidentiels communiqués ou dont l'accès est autorisé en vertu du paragraphe 26(1) doivent être traités de façon confidentielle.

Le paragraphe 27(1) autorise le ministre, un ministre compétent ou un organisme réglementaire à conclure par écrit un accord ou un arrangement avec :

1. le gouvernement d'une province;
2. le gouvernement d'un pays étranger;
3. une organisation internationale créée par les gouvernements de divers États sur l'échange de renseignements, autres que les renseignements confidentiels, liés à la protection des cybersystèmes essentiels.

En vertu d'un tel accord ou arrangement, le ministre, le ministre compétent ou l'organisme réglementaire pourrait communiquer des renseignements, autres que les renseignements confidentiels, avec tout organisme du gouvernement ou l'organisation internationale ayant signé l'accord.

Le paragraphe 27(2) permet, bien que les renseignements confidentiels ne puissent être divulgués en vertu du 27(1), qu'ils soient communiqués à un organisme d'un gouvernement d'une province au titre d'un accord ou d'un arrangement seulement si le ministre, le ministre compétent ou l'organisme réglementaire est convaincu qu'ils seront traités de façon confidentielle et ne seront pas autrement communiqués sans leur consentement exprès.

Aux fins de l'application de la présente loi, s'il s'avère nécessaire de le faire pour la protection des systèmes ou des services critiques, le paragraphe 28(1) autorise l'organisme réglementaire compétent à fournir au ministre ou au ministre compétent les renseignements, notamment confidentiels, liés à

l'exercice des attributions qui lui sont conférées sous le régime de la présente loi.

Le paragraphe 28(1) précise en outre qu'à la demande du ministre ou du ministre compétent, l'organisme réglementaire est tenu de leur communiquer les renseignements demandés, si cette demande vise cette même fin.

Le paragraphe 28(2) précise que tout renseignement confidentiel (au sens de la présente loi ou de toute autre loi fédérale applicable à l'organisme réglementaire compétent ou relevant de celui-ci) fourni en vertu du paragraphe 28(1) doit être considéré comme confidentiel.

L'article 29 permet à l'organisme de réglementation approprié d'exiger que toute personne, société de personnes ou organisation non dotée de la personnalité morale lui fournisse les renseignements dont il a besoin aux fins de la vérification du respect ou de la prévention du non-respect de toute disposition de la présente loi ou de ses règlements, et ce, dans le délai et selon les modalités présentés dans la demande.

La formulation « personne, société de personnes ou organisation non dotée de la personnalité morale » est utilisée pour garantir que des renseignements peuvent être demandés à toute personne ou entité susceptible d'être un exploitant désigné. À titre d'exemple, ces renseignements pourraient être nécessaires à l'organisme de réglementation pour évaluer si la « personne, société de personnes ou organisation non dotée de la personnalité morale » appartient à une catégorie d'exploitants désignés.

Analyse

Le paragraphe 30(1) précise que l'exploitant désigné doit tenir des documents concernant ce qui suit :

1. les mesures qu'il a prises pour mettre en œuvre le programme de cybersécurité;
2. tout incident de cybersécurité qu'il a déclaré en application de l'article 17;
3. les mesures qu'il a prises en application de l'article 15 pour atténuer les risques associés à la chaîne d'approvisionnement ou aux tiers;
4. les mesures qu'il a prises pour mettre en œuvre toute directive de cybersécurité;
5. toute question précisée par règlement.

Selon le paragraphe 30(2), les documents doivent être conservés par l'exploitant désigné au Canada, dans son établissement ou dans tout lieu désigné par règlement, et selon les modalités, de temps et autres, fixées par règlement ou à défaut par l'organisme réglementaire compétent.

Analyse

Le paragraphe 31(1) garantit que quiconque exercice des attributions sous le régime de la présente loi ne peut être tenu responsable des actes ou omissions accomplis de bonne foi dans l’exercice de ces attributions.

Le paragraphe 31(2) étend cette immunité à la personne qui est autorisée en vertu de la présente loi à accompagner l’organisme réglementaire lorsqu’elle l’aide dans l’exercice de ses attributions en vertu de la présente loi.

Analyse

Les articles 32 à 39 confèrent au surintendant des institutions financières les pouvoirs nécessaires pour exercer ses fonctions d'organisme réglementaire en vertu de la présente loi.

Le paragraphe 32(1) confère au surintendant le pouvoir d'entrer dans tout lieu aux fins de la vérification du respect ou de la prévention du non-respect de la présente loi.

Le paragraphe 32(2) précise les pouvoirs dont dispose le surintendant lorsqu'il entre dans un lieu pour en assurer la conformité, notamment les suivants :

1. examiner tout ce qui se trouve sur les lieux;
2. utiliser tout cybersystème dans le but d'examiner les renseignements qu'il contient;
3. établir tout document à partir de ces données;
4. examiner les registres, rapports, données et autres documents et les reproduire;
5. utiliser tout matériel de reproduction se trouvant dans le lieu;
6. emporter tout ou partie d'un document, d'un registre ou d'un système se trouvant dans le lieu à des fins d'examen ou pour en faire des copies.

Le paragraphe 32(3) précise que tout document, registre ou système saisi [en vertu de l'alinéa 32(2)f)] doit être restitué au terme de l'examen ou de la copie.

Selon le paragraphe 32(4), quiconque est responsable du lieu visé par l'intervention du surintendant (soit le propriétaire soit le responsable) et toutes les personnes qui s'y trouvent doivent aider le surintendant dans l'exercice de ses attributions.

Le paragraphe 32(5) permet au surintendant d'être accompagné des personnes qu'il estime nécessaires pour l'aider dans l'exercice de ses attributions au titre du présent article. À titre d'exemple, l'organisme réglementaire pourrait demander l'aide d'un expert en cybersécurité lors des vérifications réalisées en vertu de la Loi sur la protection des cybersystèmes essentiels.

Le paragraphe 32(6) permet au surintendant de pénétrer dans une propriété, à l'exclusion de toute maison d'habitation dans l'exercice de ses attributions.

Le paragraphe 33(1) précise que le surintendant ne peut pas entrer dans une maison d'habitation sans le consentement du propriétaire, à moins d'être muni d'un mandat.

Le paragraphe 33(2) précise qu'un juge de paix peut décerner un mandat autorisant l'entrée dans une maison d'habitation s'il est convaincu que les trois conditions suivantes sont réunies :

1. il s'agit du lieu où il faut assurer le respect de la loi [c'est-à-dire le lieu visé par le paragraphe 32(1)];
2. l'entrée dans ce lieu est nécessaire pour assurer le respect de la loi;
3. soit l'entrée a été refusée, soit il y a des motifs raisonnables de croire que tel sera le cas.

Le paragraphe 33(3) précise que le surintendant ne peut pas recourir à la force à moins que le mandat n'en autorise l'usage et que le surintendant soit accompagné d'un agent de la paix.

Le paragraphe 34(1) permet au surintendant d'ordonner à un exploitant désigné d'effectuer lui-même une vérification (une vérification interne) afin de déterminer s'il se conforme à la loi.

Le paragraphe 34(2) précise que tout ordre donné en regard d'une vérification interne est soustrait à l'application de la Loi sur les textes réglementaires.

Selon l'article 35, l'exploitant désigné est tenu de se conformer à l'ordre de vérification interne et de communiquer au surintendant un rapport de vérification dans un délai précis. Celui-ci doit préciser si l'exploitant désigné estime se conformer ou non à la loi ou ses règlements. S'il s'estime non conforme, l'exploitant doit préciser l'objet de la non-conformité et ce qu'il fera pour y remédier.

Le paragraphe 36(1) autorise le surintendant à délivrer un ordre de conformité, enjoignant à l'exploitant désigné soit a) de cesser de faire toute chose qui donne lieu à une contravention, soit b) de prendre toute mesure nécessaire pour se conformer ou atténuer les effets de la contravention.

Le paragraphe 36(2) précise que les modalités, de temps et autres, selon lesquelles l'exploitant désigné peut demander une révision de l'ordre doivent être précisées dans l'ordre.

Le paragraphe 36(3) garantit que l'ordre de conformité est soustrait à l'application de la Loi sur les textes réglementaires.

Le paragraphe 37(1) précise que tout exploitant désigné qui est visé par un ordre de conformité est tenu de s'y conformer.

Le paragraphe 37(2) précise qu'une fois que l'exploitant désigné s'est conformé à un ordre de conformité, il doit en aviser sans délai le surintendant.

Le paragraphe 38(1) précise qu'un exploitant désigné peut demander (par écrit) une révision par le surintendant de l'ordre de conformité par lequel il est visé.

Le paragraphe 38(2) précise que la demande écrite de révision faite par l'exploitant désigné doit être soumise selon les modalités – de temps et autres – qui sont précisées dans l'ordre de conformité. Il stipule également que la demande de révision doit préciser les motifs de la demande de révision et énoncer les éléments de preuve à son appui.

Le paragraphe 38(3) précise que l'ordre de conformité est toujours en vigueur pendant que la révision est en cours, à moins que le surintendant n'en décide autrement.

Le paragraphe 39(1) précise qu'une fois la révision de l'ordre de conformité terminée par le surintendant, le résultat de cette révision et les motifs connexes associés doivent être communiqués à l'exploitant désigné. L'ordre de conformité peut être confirmé, modifié, révoqué ou annulé.

Le paragraphe 39(2) souligne que si le surintendant ne rend pas sa décision dans les 90 jours, il est réputé avoir confirmé l'ordre.

Analyse

Les articles 40 à 48 confèrent au ministre de l'Industrie les pouvoirs nécessaires pour exercer ses fonctions d'organisme réglementaire en vertu de la présente loi.

Le paragraphe 40(1) donne au ministre de l'Industrie la possibilité de désigner toute personne – à titre individuel ou au titre de son appartenance à une catégorie déterminée –à titre d'inspecteur aux fins de la vérification du respect et de l'application de la présente loi.

Le paragraphe 40(2) précise que chaque inspecteur désigné par le ministre de l'Industrie en vertu de la présente loi doit recevoir un certificat de désignation et le présenter, sur demande, à l'exploitant désigné.

Le paragraphe 41(1) donne à l'inspecteur le pouvoir de pénétrer dans un lieu afin d'en vérifier le respect ou de prévenir le non-respect de la présente loi.

Le paragraphe 41(2) précise les pouvoirs dont dispose l'inspecteur lorsqu'il pénètre dans un lieu pour en assurer la conformité, notamment :

1. examiner tout ce qui se trouve sur les lieux;
2. utiliser tout cybersystème pour examiner les renseignements qu'il contient;
3. établir tout document à partir de ces données;
4. examiner les registres, rapports, données et autres documents et les reproduire;
5. utiliser tout matériel de reproduction se trouvant dans le lieu;
6. emporter tout ou partie d'un document, d'un registre ou d'un cybersystème se trouvant dans le lieu à des fins d'examen ou pour en faire des copies.

Le paragraphe 41(3) précise que tout document, registre ou cybersystème saisi par l'inspecteur [en vertu de l'alinéa 41(2)f)] doit être restitué une fois vérifié ou copié.

Le paragraphe 41(4) prévoit que quiconque est responsable du lieu visé par l'intervention de l'inspecteur (soit le propriétaire soit le responsable) et toutes les personnes qui s'y trouvent doivent aider l'inspecteur dans l'exercice de ses attributions.

Le paragraphe 41(5) permet à l'inspecteur d'être accompagné des personnes qu'il estime nécessaires pour l'aider dans l'exercice des attributions que lui confère le présent article. À titre d'exemple, l'organisme réglementaire pourrait demander l'aide d'un expert en cybersécurité lors des vérifications réalisées en vertu de la Loi sur la protection des cybersystèmes essentiels.

Le paragraphe 41(6) permet à l'inspecteur de pénétrer dans une propriété, à l'exclusion de toute maison d'habitation dans l'exercice de ses attributions.

Le paragraphe 42(1) précise que l'inspecteur ne peut pas entrer dans une maison d'habitation sans le consentement du propriétaire, à moins d'être muni d'un mandat.

Le paragraphe 42(2) précise qu'un juge de paix peut décerner un mandat autorisant l'entrée dans une maison d'habitation s'il est convaincu que les trois conditions suivantes sont réunies :

1. il s'agit du lieu où il faut assurer le respect de la loi [c'est-à-dire le lieu visé par le paragraphe 41(1)];
2. l'entrée dans ce lieu est nécessaire pour assurer le respect de la loi;
3. soit l'entrée a été refusée, soit il y a des motifs raisonnables de croire que tel sera le cas.

Le paragraphe 42(3) précise que l'inspecteur ne peut pas recourir à la force à moins que le mandat n'en autorise l'usage et que l'inspecteur ne soit accompagné d'un agent de la paix.

Le paragraphe 43(1) permet à l'inspecteur d'ordonner à un exploitant désigné d'effectuer lui-même une vérification (une vérification interne) afin de déterminer s'il se conforme à la loi.

Le paragraphe 43(2) précise que tout ordre donné en regard d'une vérification interne est soustrait à l'application de la Loi sur les textes réglementaires.

Selon l'article 44, l'exploitant désigné est tenu de se conformer à l'ordre de vérification interne et de communiquer au ministre de l'Industrie un rapport de vérification dans un délai précis. Celui-ci doit préciser si l'exploitant désigné estime se conformer ou non à la loi ou ses règlements. S'il s'estime non conforme, l'exploitant doit préciser l'objet de la non-conformité et ce qu'il fera pour y remédier.

Le paragraphe 45(1) autorise le ministre de l'Industrie ou un inspecteur désigné à délivrer un ordre de conformité, enjoignant à l'exploitant désigné soit a) de cesser de faire toute chose qui donne lieu à une contravention, soit b) de prendre toute mesure nécessaire pour se conformer ou atténuer les effets de la contravention.

Le paragraphe 45(2) précise que les modalités, de temps et autres, selon lesquelles l'exploitant désigné peut demander une révision de l'ordre doivent être précisées dans l'ordre.

Le paragraphe 45(3) garantit que l'ordre de conformité est soustrait à l'application de la Loi sur les textes réglementaires.

Le paragraphe 46(1) précise que tout exploitant désigné qui est visé par un ordre de conformité est tenu de s'y conformer.

Le paragraphe 46(2) précise qu'une fois que l'exploitant désigné s'est conformé à un ordre de conformité, il doit en aviser sans délai le ministre de l'Industrie.

Le paragraphe 47(1) précise qu'un exploitant désigné peut demander (par écrit) une révision par le ministre de l'Industrie de l'ordre de conformité par lequel il est visé.

Le paragraphe 47(2) précise que la demande écrite de révision faite par l'exploitant désigné doit être soumise selon les modalités – de temps et autres – qui sont précisées dans l'ordre de conformité. Il stipule également que la demande de révision doit préciser les motifs de la demande de révision et énoncer les éléments de preuve à son appui.

Le paragraphe 47(3) précise que l'ordre de conformité est toujours en vigueur pendant que la révision est en cours, à moins que le ministre de l'Industrie n'en décide autrement.

Le paragraphe 48(1) précise qu'une fois la révision de l'ordre de conformité terminée par le ministre de l'Industrie, le résultat de cette révision et les motifs connexes associés doivent être communiqués à l'exploitant désigné. L'ordre de conformité peut être confirmé, modifié, révoqué ou annulé.

Le paragraphe 48(2) souligne que si le ministre de l'Industrie ne rend pas sa décision dans les 90 jours, il est réputé avoir confirmé l'ordre.

Analyse

Les articles 49 à 57 confèrent à la Banque du Canada les pouvoirs nécessaires pour exercer ses fonctions d'organisme réglementaire en vertu de la présente loi.

Le paragraphe 49(1) octroie à la Banque du Canada le pouvoir de désigner toute personne – à titre individuel ou au titre de son appartenance à une catégorie déterminée – aux fins de la vérification du respect et de l'application de la présente loi.

Le paragraphe 49(2) précise que chaque personne désignée par la Banque du Canada en vertu de la présente loi doit recevoir un certificat de désignation et le présenter, sur demande, à l'exploitant désigné.

Le paragraphe 50(1) donne à la personne désignée en vertu du paragraphe 49(1) de la présente loi le pouvoir de pénétrer dans un lieu afin de vérifier le respect ou de prévenir le non-respect de la présente loi.

Le paragraphe 50(2) précise les pouvoirs dont dispose la personne désignée en vertu du paragraphe 49(1) lorsqu'elle pénètre dans un lieu pour assurer le respect, notamment :

1. examiner tout ce qui se trouve sur les lieux;
2. utiliser tout cybersystème pour examiner les renseignements qu'il contient;
3. établir tout document à partir de ces données;
4. examiner les registres, rapports, données et autres documents et les reproduire;
5. utiliser tout matériel de reproduction se trouvant dans le lieu;
6. emporter tout ou partie d'un document, d'un registre ou d'un cybersystème se trouvant dans le lieu à des fins d'examen ou pour en faire des copies.

Le paragraphe 50(3) précise que toute chose enlevée par la personne désignée en vertu du

paragraphe 49(1) [en vertu du paragraphe 50(2)f)] doit être restituée une fois examinée ou copiée.

Le paragraphe 50(4) prévoit que la personne responsable du lieu dans lequel la personne désignée en vertu du paragraphe 49(1) est entrée (soit le propriétaire ou la personne responsable) et toute personne s'y trouvant doivent l'assister dans l'exercice de ses pouvoirs.

Le paragraphe 50(5) permet à la personne désignée en vertu du paragraphe 49(1) d'être accompagnée de toute personne qu'elle juge nécessaire pour l'aider dans l'exercice des pouvoirs que lui confère cet article. À titre d'exemple, l'organisme réglementaire pourrait demander l'aide d'un expert en cybersécurité lors des vérifications réalisées en vertu de la Loi sur la protection des cybersystèmes essentiels.

Le paragraphe 50(6) permet à la personne désignée en vertu du paragraphe 49(1) de passer par toute propriété autre qu'une maison d'habitation dans l'exercice de ses pouvoirs.

Le paragraphe 51(1) précise que l'inspecteur ne peut pas entrer dans une maison d'habitation sans le consentement du propriétaire, à moins d'être muni d'un mandat.

Le paragraphe 51(2) précise qu'un juge de paix peut décerner un mandat autorisant l'entrée dans une maison d'habitation s'il est convaincu que les trois conditions suivantes sont réunies :

1. il s'agit du lieu où il faut assurer le respect de la loi [c'est-à-dire le lieu visé par le paragraphe 50(1)];
2. l'entrée dans ce lieu est nécessaire pour assurer le respect de la loi;
3. soit l'entrée a été refusée, soit il y a des motifs raisonnables de croire que tel sera le cas.

Le paragraphe 51(3) précise que la personne désignée en vertu du paragraphe 49(1) n'est pas autorisée à utiliser la force à moins d'y être autorisée par le mandat et d'être accompagnée d'un agent de la paix.

Le paragraphe 52(1) permet à la personne désignée en vertu du paragraphe 49(1) d'ordonner à un exploitant désigné de réaliser une vérification par lui-même (une vérification interne) afin de déterminer s'il est en conformité ou non.

Le paragraphe 52(2) précise que tout ordre donné en regard d'une vérification interne est soustrait à l'application de la Loi sur les textes réglementaires.

L'article 53 l'exploitant désigné est tenu de se conformer à l'ordre de vérification interne et de communiquer à la Banque du Canada un rapport de vérification dans un délai précis. Celui-ci doit préciser si l'exploitant désigné estime se conformer ou non à la loi ou ses règlements. S'il s'estime non conforme, l'exploitant doit préciser l'objet de la non-conformité et ce qu'il fera pour y remédier.

Le paragraphe 54(1) autorise la Banque du Canada ou une personne désignée en vertu du paragraphe 49(1) à donner un ordre de conformité, ordonnant à l'exploitant désigné soit (a) de cesser de faire quelque chose qui est ou est susceptible d'être à l'origine de la non-conformité, soit (b) de faire quelque chose de nécessaire pour répondre aux exigences ou atténuer la non-conformité.

Le paragraphe 54(2) précise que les modalités, de temps et autres, selon lesquelles l'exploitant désigné peut demander une révision de l'ordre doivent être précisées dans l'ordre.

Le paragraphe 54(3) garantit que l'ordre de conformité est soustrait à l'application de la Loi sur les textes réglementaires.

Le paragraphe 55(1) précise que tout exploitant désigné qui est visé par un ordre de conformité est tenu de s'y conformer.

Le paragraphe 55(2) précise qu'une fois que l'exploitant désigné s'est conformé à un ordre de

conformité, il doit en aviser sans délai la Banque du Canada.

Le paragraphe 56(1) précise qu'un exploitant désigné peut demander (par écrit) une révision par le gouverneur de la Banque du Canada de l'ordre de conformité par lequel il est visé.

Le paragraphe 56(2) précise que la demande écrite de révision faite par l'exploitant désigné doit être soumise selon les modalités – de temps et autres – qui sont précisées dans l'ordre de conformité. Il stipule également que la demande de révision doit préciser les motifs de la demande de révision et énoncer les éléments de preuve à son appui.

Le paragraphe 56(3) précise que l'ordre de conformité est toujours en vigueur pendant que la révision est en cours, à moins que le gouverneur de la Banque du Canada n'en décide autrement.

Le paragraphe 57(1) précise qu'une fois la révision de l'ordre de conformité terminée par le gouverneur de la Banque du Canada, le résultat de cette révision et les motifs connexes associés doivent être communiqués à l'exploitant désigné. L'ordre de conformité peut être confirmé, modifié, révoqué ou annulé.

Le paragraphe 57(2) souligne que si le gouverneur de la Banque du Canada ne rend pas sa décision dans les 90 jours, il est réputé avoir confirmé l'ordre.

Analyse

Les articles 58 à 66 confèrent à la Commission canadienne de sûreté nucléaire (CCSN) les pouvoirs nécessaires pour exercer ses fonctions d'organisme réglementaire en vertu de la présente loi, y compris le pouvoir de désigner des personnes pour les exercer.

Le paragraphe 58(1) octroie à la CCSN le pouvoir de désigner toute personne – à titre individuel ou au titre de son appartenance à une catégorie déterminée - aux fins de la vérification du respect et de l'application de la présente loi.

Le paragraphe 58(2) précise que chaque personne désignée en vertu du paragraphe 58(1) par la CCSN en vertu de la présente loi doit recevoir un certificat de désignation et le présenter, sur demande, à l'exploitant désigné.

Le paragraphe 59 (1) donne à la personne désignée en vertu du paragraphe 58(1) le pouvoir de pénétrer dans un lieu afin d'en vérifier la conformité ou de prévenir la non-conformité à la présente loi.

Le paragraphe 59(2) précise les pouvoirs dont dispose la personne désignée en vertu du paragraphe 58(1) lorsqu'elle pénètre dans un lieu pour en assurer la conformité, notamment :

1. examiner tout ce qui se trouve sur les lieux;
2. utiliser tout cybersystème pour examiner les renseignements qu'il contient;
3. établir tout document à partir de ces données;
4. examiner les registres, rapports, données et autres documents et les reproduire;
5. utiliser tout matériel de reproduction se trouvant dans le lieu;
6. emporter tout ou partie d'un document, d'un registre ou d'un cybersystème se trouvant dans le lieu à des fins d'examen ou pour en faire des copies.

Le paragraphe 59(3) précise que toute chose enlevée par la personne désignée en vertu du paragraphe 58(1) [en vertu du paragraphe 59(2)f)] doit être restituée une fois examinée ou copiée.

Le paragraphe 59(4) prévoit que la personne responsable du lieu dans lequel la personne désignée en vertu du paragraphe 58(1) est entrée (soit le propriétaire ou la personne responsable) et toute personne s'y trouvant doivent l'assister dans l'exercice de ses pouvoirs.

Le paragraphe 59 (5) permet à la personne désignée en vertu du paragraphe 58(1) d'être accompagnée de toute personne qu'elle juge nécessaire pour l'aider dans l'exercice des pouvoirs que lui confère cet article. À titre d'exemple, l'organisme réglementaire pourrait demander l'aide d'un expert en cybersécurité lors des vérifications réalisées en vertu de la Loi sur la protection des cybersystèmes essentiels.

Le paragraphe 59 (6) permet à la personne désignée en vertu du paragraphe 58(1) de passer par toute propriété autre qu'une maison d'habitation dans l'exercice de ses pouvoirs.

Le paragraphe 60(1) souligne que la personne désignée en vertu du paragraphe 58(1) ne peut pas entrer dans une maison d'habitation sans le consentement du propriétaire, à moins qu'un mandat ne l'y autorise.

Le paragraphe 60(2) précise qu'un juge de paix peut décerner un mandat autorisant l'entrée dans une maison d'habitation s'il est convaincu que les trois conditions suivantes sont réunies :

1. il s'agit du lieu où il faut assurer le respect de la loi [c'est-à-dire le lieu visé par le paragraphe 59(1)];
2. l'entrée dans ce lieu est nécessaire pour assurer le respect de la loi;
3. soit l'entrée a été refusée, soit il y a des motifs raisonnables de croire que tel sera le cas.

Le paragraphe 60(3) précise que la personne désignée en vertu du paragraphe 58(1) n'est pas autorisée à utiliser la force à moins d'y être autorisée par le mandat et d'être accompagnée d'un agent de la paix.

Le paragraphe 61(1) permet à la personne désignée en vertu du paragraphe 58(1) d'ordonner à un exploitant désigné de réaliser une vérification par lui-même (une vérification interne) afin de déterminer s'il est en conformité ou non.

Le paragraphe 61(2) précise que tout ordre donné en regard d'une vérification interne est soustrait à l'application de la Loi sur les textes réglementaires.

Le paragraphe 61(3) précise que la personne désignée en vertu du paragraphe 58(1) doit soumettre tout ordre interne à la CCSN à des fins d'examen, et qu'à la suite de cet examen, la CCSN doit confirmer, modifier ou révoquer l'ordre interne.

L'article 62 l'exploitant désigné en vertu du paragraphe 58(1), est tenu de se conformer à l'ordre de vérification interne et de communiquer à la CCSN un rapport de vérification dans un délai précis. Celui-ci doit préciser si l'exploitant désigné estime se conformer ou non à la loi ou ses règlements. S'il s'estime non conforme, l'exploitant doit préciser l'objet de la non-conformité et ce qu'il fera pour y remédier.

Le paragraphe 63(1) autorise la CCSN ou une personne désignée en vertu du paragraphe 58(1) à donner un ordre de conformité, ordonnant à l'exploitant désigné soit (a) de cesser de faire quelque chose qui est ou est susceptible d'être à l'origine de la non-conformité, soit (b) de faire

quelque chose de nécessaire pour répondre aux exigences ou atténuer la non-conformité.

Le paragraphe 63(2) précise que les modalités, de temps et autres, selon lesquelles l'exploitant désigné peut demander une révision de l'ordre doivent être précisées dans l'ordre.

Le paragraphe 63(3) garantit que l'ordre de conformité est soustrait à l'application de la Loi sur les textes réglementaires.

Le paragraphe 63(4) précise que la personne désignée en vertu du paragraphe 58(1) doit soumettre tout ordre de conformité à la CCSN à des fins d'examen, et qu'à la suite de cet examen, la CCSN doit confirmer, modifier ou révoquer l'ordre interne.

Le paragraphe 64(1) précise que tout exploitant désigné en vertu du paragraphe 58 (1) qui est visé par un ordre de conformité doit s'y conformer.

Le paragraphe 64(2) précise qu'une fois que l'exploitant désigné s'est conformé à un ordre de conformité, il doit en aviser sans délai la CCSN.

Le paragraphe 65(1) précise qu'un exploitant désigné peut demander (par écrit) une révision par la CCSN de l'ordre de conformité par lequel il est visé.

Le paragraphe 65(2) précise que la demande écrite de révision faite par l'exploitant désigné doit être soumise selon les modalités – de temps et autres – qui sont précisées dans l'ordre de conformité. Il stipule également que la demande de révision doit préciser les motifs de la demande de révision et énoncer les éléments de preuve à son appui.

Le paragraphe 65(3) précise que l'ordre de conformité est toujours en vigueur pendant que la révision est en cours, à moins que la CCSN n'en décide autrement.

Le paragraphe 66(1) précise qu'une fois la révision de l'ordre de conformité terminée par la CCSN, le résultat de cet examen et le raisonnement doivent

être communiqués à l'exploitant désigné. L'ordre de conformité peut être confirmé, modifié, révoqué ou annulé.

Le paragraphe 66(2) précise que si la CCSN ne rend pas sa décision dans les 90 jours, elle est réputée avoir confirmé l'ordre.

Analyse

Les articles 67 à 76 confèrent à la Régie canadienne de l'énergie et à son président-directeur général (PDG) les pouvoirs nécessaires pour exercer leurs fonctions d'autorité chargée de la réglementation en vertu de la présente loi, y compris le pouvoir de désigner des inspecteurs pour les exercer.

Le paragraphe 67(1) donne au PDG de la RCE le pouvoir de désigner des inspecteurs pour évaluer le respect et l'application de la présente loi.

Le paragraphe 67(2) précise que chaque inspecteur désigné par le PDG de la RCE en vertu de la présente loi doit recevoir un certificat de désignation et le présenter, sur demande, à l'exploitant désigné.

Le paragraphe 68(1) donne à l'inspecteur le pouvoir de pénétrer dans un lieu afin d'en vérifier la conformité ou de prévenir la non-conformité à la présente loi.

Le paragraphe 68 (2) précise les pouvoirs dont dispose l'inspecteur lorsqu'il pénètre dans un lieu pour en assurer la conformité, notamment :

1. examiner tout ce qui se trouve sur les lieux;
2. utiliser tout cybersystème pour examiner les renseignements qu'il contient;
3. établir tout document à partir de ces données;
4. examiner les registres, rapports, données et autres documents et les reproduire;
5. utiliser tout matériel de reproduction se trouvant dans le lieu;
6. emporter tout ou partie d'un document, d'un registre ou d'un cybersystème se trouvant dans le lieu à des fins d'examen ou pour en faire des copies.

Le paragraphe 68(3) précise que toute chose enlevée par l'inspecteur [en vertu du paragraphe 68(2)f)] doit être restituée une fois examinée ou copiée.

Le paragraphe 68(4) garantit que la personne responsable du lieu dans lequel l'inspecteur est entré (soit le propriétaire ou la personne responsable) et toute personne dans ce lieu doivent aider l'inspecteur dans l'exercice de ses pouvoirs.

Le paragraphe 68(5) permet à l'inspecteur d'être accompagné de toute personne qu'il juge nécessaire pour l'aider dans l'exercice des pouvoirs que lui confère cet article. À titre d'exemple, l'organisme réglementaire pourrait demander l'aide d'un expert en cybersécurité lors des vérifications réalisées en vertu de la Loi sur la protection des cybersystèmes essentiels.

Le paragraphe 68(6) permet à l'inspecteur de passer par toute propriété autre qu'une maison d'habitation dans l'exercice de ses pouvoirs.

Le paragraphe 69(1) précise que l'inspecteur ne peut pas entrer dans une maison d'habitation sans le consentement du propriétaire, à moins qu'un mandat ne le permette.

Le paragraphe 69(2) précise qu'un juge de paix peut décerner un mandat autorisant l'entrée dans une maison d'habitation s'il est convaincu que les trois conditions suivantes sont réunies :

1. il s'agit du lieu où il faut assurer le respect de la loi [c'est-à-dire le lieu visé par le paragraphe 68(1)];
2. l'entrée dans ce lieu est nécessaire pour assurer le respect de la loi;
3. soit l'entrée a été refusée, soit il y a des motifs raisonnables de croire que tel sera le cas.

Le paragraphe 69(3) précise que l'inspecteur n'est pas autorisé à utiliser la force à moins d'y être

autorisé par le mandat et d'être accompagné d'un agent de la paix.

Le paragraphe 70(1) permet à l'inspecteur d'ordonner à un exploitant désigné de réaliser une vérification par lui-même (une vérification interne) afin de déterminer s'il est en conformité ou non.

Le paragraphe 70(2) précise que l'inspecteur doit rendre compte des circonstances et des modalités de la vérification interne à la commission de la Régie canadienne de l'énergie.

Le paragraphe 70(3) précise que tout ordre donné en regard d'une vérification interne est soustrait à l'application de la Loi sur les textes réglementaires.

L'article 71 exige que l'exploitant désigné se conforme à l'ordre de vérification interne et fournisse un rapport de vérification à l'inspecteur dans un délai déterminé. Celui-ci doit préciser si l'exploitant désigné estime se conformer ou non à la loi ou ses règlements. S'il s'estime non conforme, l'exploitant doit préciser l'objet de la non-conformité et ce qu'il fera pour y remédier.

Le paragraphe 72(1) autorise l'inspecteur à émettre un avis de non-conformité à un exploitant désigné s'il croit qu'il y a eu une contravention à la Loi sur la protection des cybersystèmes essentiels ou aux règlements connexes par un exploitant désigné ou une autre personne.

Le paragraphe 72(2) précise les directives qu'un inspecteur doit suivre lorsqu'il émet un avis de non-conformité. Les directives doivent être présentées par écrit et :

1. indiquer le nom de l'exploitant désigné ou de l'autre personne;
2. faire état de l'article de la Loi sur la protection des cybersystèmes essentiels ou des règlements connexes qui a été enfreint;
3. préciser les faits pertinents associés à la contravention;
4. faire mention du délai dont dispose l'exploitant désigné pour répondre.

Le paragraphe 73 (1) autorise le PDG de la RCE ou un inspecteur désigné à donner un ordre de conformité, ordonnant à l'exploitant désigné soit (a) de cesser de faire quelque chose qui est ou est susceptible d'être à l'origine de la non-conformité, soit (b) de faire quelque chose de nécessaire pour répondre aux exigences ou atténuer la non-conformité.

Le paragraphe 73(2) précise que les modalités, de temps et autres, selon lesquelles l'exploitant désigné peut demander une révision de l'ordre doivent être précisées dans l'ordre.

Le paragraphe 73(3) précise que l'inspecteur qui délivre un ordre de conformité doit aviser par écrit à l'exploitant désigné des conditions et des raisons qui justifient l'ordre, et en faire rapport à la commission de la Régie canadienne de l'énergie.

Le paragraphe 73(4) garantit que l'ordre de conformité est exempt de la Loi sur les textes réglementaires.

Le paragraphe 74(1) précise que tout exploitant désigné qui est visé par un ordre de conformité est tenu de s'y conformer.

Le paragraphe 74(2) précise que lorsqu'un exploitant désigné se conforme à un ordre de conformité, il doit en informer l'inspecteur sans délai.

Le paragraphe 75(1) permet à la Commission de la Régie canadienne de l'énergie de nommer une personne ou un groupe comme étant autorisé à effectuer des examens en vertu de l'article 75.

Le paragraphe 75(2) précise qu'un exploitant désigné peut demander (par écrit) une révision par la Commission de la Régie canadienne de l'énergie ou l'examinateur désigné [en vertu du paragraphe 75(1)] de l'ordre de conformité par lequel il est visé.

Le paragraphe 75(3) précise que la demande écrite de révision faite par l'exploitant désigné doit être soumise selon les modalités – de temps et autres –

qui sont précisées dans l'ordre de conformité. Il stipule également que la demande de révision doit préciser les motifs de la demande de révision et énoncer les éléments de preuve à son appui.

Le paragraphe 75(4) précise que l'ordre de conformité est toujours en vigueur pendant que la révision est en cours, à moins que la Commission de la Régie canadienne de l'énergie ou l'examinateur désigné (en vertu du paragraphe 75[1]) n'en décide autrement.

Le paragraphe 76(1) précise qu'une fois la révision de l'ordre de conformité terminée par la Commission de la Régie canadienne de l'énergie, le résultat de cette révision et les motifs connexes associés doivent être communiqués à l'exploitant désigné. L'ordre de conformité peut être confirmé, modifié, révoqué ou annulé.

Le paragraphe 76(2) souligne que si la Commission de la Régie canadienne de l'énergie ou l'examinateur désigné en vertu du paragraphe 75(1) ne rend pas sa décision dans les 90 jours, il est réputé avoir confirmé l'ordre.

Analyse

Les articles 77 à 85 confèrent au ministre des Transports les pouvoirs nécessaires pour exercer ses fonctions d'autorité de réglementation en vertu de la présente loi, y compris le pouvoir de désigner des personnes pour les exercer.

L'article 77 autorise le ministre des Transports à déléguer ses pouvoirs, devoirs et fonctions en vertu de la Loi sur la protection des cybersystèmes essentiels à toute personne ou catégorie de personnes (à l'exception du pouvoir de délégation prévu par le présent article). Le ministre peut fixer des restrictions ou des limites.

Le paragraphe 78(1) donne au ministre des Transports le pouvoir d'entrer dans tout lieu afin de vérifier le respect ou de prévenir le non-respect de la présente loi.

Le paragraphe 78(2) précise les pouvoirs dont dispose le ministre des Transports lorsqu'il entre dans un lieu pour assurer le respect, notamment :

1. examiner tout ce qui se trouve sur les lieux;
2. utiliser tout cybersystème pour examiner les renseignements qu'il contient;
3. établir tout document à partir de ces données;
4. examiner les registres, rapports, données et autres documents et les reproduire;
5. utiliser tout matériel de reproduction se trouvant dans le lieu;
6. emporter tout ou partie d'un document, d'un registre ou d'un cybersystème se trouvant dans le lieu à des fins d'examen ou pour en faire des copies.

Le paragraphe 78(3) précise que tout document, registre ou cybersystème saisi par l'inspecteur [en vertu de l'alinéa 78(2)f)] doit être restitué après avoir été vérifié ou copié.

Le paragraphe 78(4) prévoit que quiconque est responsable du lieu visé par l'intervention du ministre des Transports (soit le propriétaire soit le responsable) et toutes les personnes qui s'y trouvent doivent aider le ministre des Transports dans l'exercice de ses attributions.

Le paragraphe 78(5) permet au ministre des Transports d'être accompagné des personnes qu'il estime nécessaires pour l'aider dans l'exercice des attributions que lui confère le présent article. À titre d'exemple, l'organisme réglementaire pourrait demander l'aide d'un expert en cybersécurité lors des vérifications réalisées en vertu de la Loi sur la protection des cybersystèmes essentiels.

Le paragraphe 78(6) permet au ministre des Transports de pénétrer dans une propriété, à l'exclusion de toute maison d'habitation dans l'exercice de ses attributions.

Le paragraphe 79(1) souligne que le ministre des Transports ne peut pas entrer dans une maison d'habitation sans le consentement du propriétaire, à moins d'être muni d'un mandat.

Le paragraphe 79(2) précise qu'un juge de paix peut décerner un mandat autorisant l'entrée dans une maison d'habitation s'il est convaincu que les trois conditions suivantes sont réunies :

1. il s'agit du lieu où il faut assurer le respect de la loi [c'est-à-dire le lieu visé par le paragraphe 41(1)];
2. l'entrée dans ce lieu est nécessaire pour assurer le respect de la loi;
3. soit l'entrée a été refusée, soit il y a des motifs raisonnables de croire que tel sera le cas.

Le paragraphe 79(3) précise que le ministre des Transports ne peut pas recourir à la force à moins que le mandat n'en autorise l'usage et que le ministre des Transports ne soit accompagné d'un agent de la paix.

Le paragraphe 80(1) permet au ministre des Transports d'ordonner à un exploitant désigné d'effectuer lui-même une vérification (une vérification interne) afin de déterminer s'il se conforme à la loi.

Le paragraphe 80(2) précise que tout ordre donné en regard d'une vérification interne est soustrait à l'application de la Loi sur les textes réglementaires.

Selon l'article 81, l'exploitant désigné est tenu de se conformer à l'ordre de vérification interne et de communiquer au ministre d'industrie un rapport de vérification dans un délai précis. Celui-ci doit préciser si l'exploitant désigné estime se conformer ou non à la loi ou ses règlements. S'il s'estime non conforme, l'exploitant doit préciser l'objet de la non-conformité et ce qu'il fera pour y remédier.

Le paragraphe 82(1) autorise le ministre des Transports à délivrer un ordre de conformité, enjoignant à l'exploitant désigné soit a) de cesser de faire toute chose qui donne lieu à une contravention, soit b) de prendre toute mesure nécessaire pour se conformer ou atténuer les effets de la contravention.

Le paragraphe 82(2) précise que les modalités, de temps et autres, selon lesquelles l'exploitant désigné peut demander une révision de l'ordre doivent être précisées dans l'ordre.

Le paragraphe 82(3) garantit que l'ordre de conformité est soustrait à l'application de la Loi sur les textes réglementaires.

Le paragraphe 83(1) précise que tout exploitant désigné qui est visé par un ordre de conformité est tenu de s'y conformer.

Le paragraphe 83(2) précise qu'une fois que l'exploitant désigné s'est conformé à un ordre de conformité, il doit en aviser sans délai le ministre des Transports.

Le paragraphe 84(1) précise qu'un exploitant désigné peut demander (par écrit) une révision par le ministre des Transports de l'ordre de conformité par lequel il est visé.

Le paragraphe 84(2) précise que la demande écrite de révision faite par l'exploitant désigné doit être soumise selon les modalités – de temps et autres – qui sont précisées dans l'ordre de conformité. Il stipule également que la demande de révision doit préciser les motifs de la demande de révision et énoncer les éléments de preuve à son appui.

Le paragraphe 84(3) précise que l'ordre de conformité est toujours en vigueur pendant que la révision est en cours, à moins que le ministre des Transports n'en décide autrement

Le paragraphe 85(1) précise qu'une fois la révision de l'ordre de conformité terminée par le ministre des Transports, le résultat de cette révision et les motifs connexes associés doivent être communiqués à l'exploitant désigné. L'ordre de conformité peut être confirmé, modifié, révoqué ou annulé.

Le paragraphe 85(2) souligne que si le ministre des Transports ne rend pas sa décision dans les 90 jours, il est réputé avoir confirmé l'ordre

Analyse

L'article 86 précise qu'il est interdit d'entraver l'action des organismes réglementaires et des personnes désignées par ces organismes, le cas échéant, dans l'exercice des attributions qui leur sont conférées sous le régime de la présente loi, par exemple durant une vérification.

Selon l'article 87, il est interdit :

1. de communiquer sciemment des renseignements faux ou trompeurs relativement à toute question visée par la présente loi;
2. de produire sciemment un rapport d'incident comportant des renseignements faux ou trompeurs.

Analyse

L'article 88 clarifie le sens du terme « pénalité », le définissant comme étant une sanction administrative pécuniaire infligée en vertu des articles 88 à 135 pour une violation.

L'article 89 précise que le but d'une pénalité est de favoriser le respect de la présente loi et non de punir.

L'article 90 précise que les exploitant désignés ou toute autre personne qui contrevient aux dispositions de la loi ou des règlements connexes, ou qui ne s'y se conforme pas, commet une violation et s'expose à une pénalité dont le montant est déterminé conformément à la présente loi et aux règlements.

L'article 91 précise les montants maximaux qui peuvent être fixés comme pénalités dans les règlements :

1. dans le cas d'une personne physique, à un million de dollars;
2. dans les autres cas, à quinze millions de dollars.

Le règlement garantit que le montant maximal de la pénalité pour un secteur donné cadre avec les pénalités qui sont déjà en place pour ce secteur.

Le paragraphe 92(1) stipule que la prise des précautions voulues peut être invoquée dans le cadre de toute procédure en violation.

Le paragraphe 92(2) précise que les règles et principes de la common law peuvent être utilisés comme justification ou excuse dans le cadre d'une violation d'une infraction en vertu de la présente loi dans la mesure où ils ne sont pas incompatibles avec la présente loi.

L'article 93 précise qu'en cas de perpétration d'une violation par un exploitant désigné, ses dirigeants ou administrateurs qui l'ont ordonnée ou autorisée, ou qui y ont consenti, acquiescé ou participé, sont

considérés comme des coauteurs de la violation et s'exposent à une pénalité dont le montant est déterminé sous le régime de la présente loi, que l'exploitant désigné fasse ou non l'objet d'une procédure en violation engagée au titre de la présente loi.

Cette disposition s'applique, qu'un exploitant désigné ait ou non fait l'objet d'une procédure conformément à la présente loi.

L'article 94 précise qu'une violation qui est commise ou se poursuit pendant plus d'un jour est considérée comme une violation distincte pour chaque jour où elle est commise ou se continue.

Le paragraphe 95(1) précise que s'agissant d'un acte ou d'une omission qualifiable à la fois de violation et d'infraction aux termes de la présente loi, la procédure en violation et la procédure pénale s'excluent mutuellement.

Le paragraphe 95(2) précise qu'une violation ne constitue pas une infraction et que l'article 126 du Code criminel ne s'applique pas à une violation.

L'article 96 limite à trois ans après que la violation a été portée à la connaissance de l'organisme de réglementation compétent le délai dans lequel des poursuites judiciaires peuvent être engagées à l'égard d'une violation.

Le paragraphe 97(1) précise que les sanctions pécuniaires et tout intérêt exigible constituent une créance de la Couronne dont le recouvrement peut être poursuivi à ce titre devant la Cour fédérale ou tout autre tribunal compétent.

Le paragraphe 97(2) précise que les procédures de recouvrement de la créance ne doivent pas être engagées après une période de cinq ans à compter du jour où la créance est devenue exigible.

Le paragraphe 97(3) précise que les pénalités doivent être rendues payables et remises au receveur général.

L'alinéa 98(1)a) autorise l'organisme réglementaire compétent à certifier un montant impayé de toute dette visée au paragraphe 97(1).

L'alinéa 98(1)b) autorise le Tribunal d'appel des transports du Canada à certifier les créances impayées si l'organisme de réglementation compétent est le ministre des Transports.

Le paragraphe 98(2) précise que l'enregistrement d'un certificat à la Cour fédérale ou à tout autre tribunal compétent confère au certificat la valeur d'un jugement pour la somme visée et les frais afférents à l'enregistrement.

Analyse

Le paragraphe 99(1) permet au surintendant de dresser un procès-verbal à l'intention d'un exploitant désigné ou à une autre personne s'il a des motifs raisonnables de croire qu'une violation a été commise. Le surintendant doit également signifier à l'exploitant désigné ou à la personne responsable le procès-verbal.

Le paragraphe 99(2) précise ce qui doit être inclus dans le procès-verbal, notamment le nom de l'exploitant désigné ou de la personne qui a commis la violation, les faits reprochés et les éléments suivants :

1. le montant de la pénalité pour la violation qui pourrait être exigible;
2. la faculté qu'a l'exploitant désigné ou la personne soit de payer la pénalité, soit de présenter des observations relativement aux faits reprochés ou au montant de la pénalité ou aux deux, et ce, dans un délai de 30 jours (ou dans un délai plus long prescrit), et les modalités d'exercice de cette faculté;
3. le fait que le non-exercice de cette faculté, dans le délai et selon les modalités précisées dans le procès-verbal, vaut aveu de responsabilité et emporte application de la pénalité mentionnée au procès-verbal.

Le paragraphe 99(3) précise qu'à tout moment avant que l'exploitant désigné ou la personne ne paie la pénalité ou ne présente des observations relativement à un procès-verbal, ou ne conclue une transaction avec le surintendant, ce dernier peut soit annuler le procès-verbal, soit corriger toute erreur qu'il contient.

L'article 100 décrit les critères suivants, lesquels doivent être pris en compte pour déterminer le montant de la pénalité :

1. le comportement antérieur de l'exploitant désigné ou de la personne en ce qui a trait au respect ou au non-respect des dispositions de la présente loi ou des règlements connexes;
2. la nature et la portée de la violation;
3. une mention précisant si l'exploitant désigné ou la personne a déployé ou non des efforts raisonnables pour atténuer ou neutraliser les effets de la violation;
4. une mention précisant si l'exploitant désigné ou la personne a tiré ou non un avantage concurrentiel ou économique de la violation;
5. tout autre critère prévu par règlement;
6. tout autre critère que le surintendant estime pertinent.

Le paragraphe 101(1) précise que si l'exploitant désigné ou la personne paie la pénalité prévue dans le procès-verbal, il est réputé avoir commis la violation, ce qui met fin à toute procédure engagée à l'égard de la violation.

Le paragraphe 101(2) prévoit des solutions de rechange au paiement de la pénalité prévue dans l'avis pour l'exploitant désigné ou la personne, notamment :

1. présenter des observations au surintendant au sujet de la violation présumée ou du montant de la pénalité;
2. si elle est offerte, la conclusion d'une entente de conformité avec le surintendant pour garantir que l'exploitant désigné ou la personne se conforme à la disposition violée.

Le paragraphe 102(1) précise que le surintendant doit déterminer selon la prépondérance des probabilités, à la suite de toute observation faite, si la personne ou l'exploitant désigné a commis ou non la violation. Le surintendant peut alors décider d'infliger

la pénalité mentionnée au procès-verbal ou une pénalité réduite, ou encore n'en infliger aucune.

Le paragraphe 102(2) précise que le surintendant doit rendre sa décision par écrit, y inclure les motifs à l'appui, et en fournir une copie à l'intéressé.

Le paragraphe 102(3) précise que si le surintendant détermine que l'exploitant désigné ou la personne a commis la violation, ils sont tenus au paiement de la pénalité mentionnée dans la décision.

Le paragraphe 102(4) précise que le paiement de la pénalité mentionnée dans la décision, que le surintendant accepte en règlement, met fin à la procédure.

Le paragraphe 102(5) précise que si le surintendant décide que l'opérateur désigné ou la personne désignée n'est pas responsable de la violation, toute procédure engagée à l'égard de l'infraction prend fin.

Le paragraphe 103(1) précise toute transaction que le surintendant propose de conclure avec l'exploitant désigné ou l'autre personne, selon le cas, est subordonnée aux conditions qu'il estime indiquées. La transaction peut prévoir la réduction partielle ou totale du montant de la pénalité.

Le paragraphe 103(2) précise que si une transaction est conclue, l'exploitant désigné ou la personne ne peut pas présenter d'observations.

Le paragraphe 103(3) précise que la conclusion de la transaction vaut aveu de responsabilité à l'égard de la violation.

Le paragraphe 103(4) précise que si le surintendant croit qu'un exploitant désigné ou une personne désignée s'est conformé à l'entente de conformité, il doit en aviser l'exploitant désigné ou la personne et mettre fin aux procédures entamées relativement à la violation.

Le paragraphe 103(5) précise que si le surintendant croit que l'exploitant désigné ou la personne n'a pas respecté l'ordre de conformité, il doit signifier à l'exploitant désigné ou à la personne un avis de défaut et préciser ce qui suit :

1. l'exploitant désigné ou la personne est tenu de payer la pénalité mentionnée dans le procès-verbal, moins toute somme qu'il a payée au titre de la transaction;
2. le surintendant peut rendre public le nom de l'exploitant désigné ou de la personne, la violation, la portée de la non-conformité avec les modalités de la transaction et le montant de la pénalité à payer.

Le paragraphe 103(6) précise que le paiement de la pénalité, que le surintendant accepte en règlement, met fin à la procédure.

Analyse

L'article 104 permet au ministre de l'Industrie de nommer des personnes ou des catégories de personnes qui peuvent dresser des procès-verbaux pour les violations et à conclure des transactions.

Le paragraphe 105(1) permet à la personne désignée de dresser un procès-verbal à l'intention d'un exploitant désigné ou d'une autre personne si elle a des motifs raisonnables de croire qu'une violation a été commise. La personne nommée doit également signifier à l'exploitant désigné ou à l'autre personne ce procès-verbal.

Le paragraphe 105(2) précise ce qui doit être inclus dans le procès-verbal, notamment le nom de l'exploitant désigné ou de l'autre personne qui a commis la violation, les faits reprochés et les éléments suivants :

1. la sanction pour l'infraction qui est susceptible d'être payée;
2. la faculté qu'a l'exploitant désigné ou la personne soit de payer la pénalité, soit de présenter des observations relativement aux faits reprochés ou au montant de la pénalité ou aux deux, et ce, dans un délai de 30 jours (ou dans un délai plus long prescrit), et les modalités d'exercice de cette faculté;
3. le fait est que le non-exercice de cette faculté, dans le délai et selon les modalités précisées dans le procès-verbal, vaut aveu de responsabilité et l'exploitant désigné ou la personne devra payer la pénalité mentionnée au procès-verbal.

Le paragraphe 105(3) précise qu'à tout moment avant que l'exploitant désigné ou la personne ne paie la pénalité ou ne présente des observations relativement à un procès-verbal, ou ne conclue une transaction avec le ministre de l'Industrie, ce dernier peut soit annuler le procès-verbal, soit corriger toute erreur qu'il contient.

L'article 106 décrit les critères suivants, lesquels doivent être pris en compte pour déterminer le montant de la pénalité :

1. le comportement antérieur de l'exploitant désigné ou de la personne en ce qui a trait au respect ou au non-respect des dispositions de la présente loi ou des règlements connexes;
2. la nature et la portée de la violation;
3. une mention précisant si l'exploitant désigné ou la personne a déployé ou non des efforts raisonnables pour atténuer ou neutraliser les effets de la violation;
4. une mention précisant si l'exploitant désigné ou la personne a tiré ou non un avantage concurrentiel ou économique de la violation;
5. tout autre critère prévu par règlement;
6. tout autre critère que lapersonne désignée estime pertinent.

Le paragraphe 107(1) précise que si l'exploitant désigné ou la personne paie la pénalité prévue dans le procès-verbal, il est réputé avoir commis la violation, ce qui met fin à toute procédure engagée à l'égard de la violation.

Le paragraphe 107(2) prévoit des solutions de rechange au paiement de la pénalité prévue dans l'avis pour l'exploitant désigné ou la personne, notamment :

1. présenter des observations au ministre de l'Industrie au sujet de la violation présumée ou du montant de la pénalité;
2. si elle est offerte, la conclusion d'une transaction avec la personne désignée pour garantir que l'exploitant désigné ou la personne se conforme à la disposition violée.

Le paragraphe 108(1) précise qu'en cas d'observations, le ministre de l'Industrie doit déterminer, selon la prépondérance des probabilités, si l'exploitant désigné ou l'autre personne a commis

ou non la violation, et décider d'imposer la pénalité mentionnée au procès-verbal, une pénalité réduite ou aucune pénalité.

Le paragraphe 108(2) précise que le ministre de l'Industrie doit rendre sa décision par écrit, y inclure les motifs à l'appui, et en fournir une copie à l'intéressé.

Le paragraphe 108(3) précise que si le ministre de l'Industrie détermine que l'exploitant désigné ou la personne a commis la violation, il est tenu au paiement de la pénalité mentionnée dans la décision.

Le paragraphe 108(4) précise que le paiement de la pénalité mentionnée dans la décision, que le ministre de l'Industrie accepte en règlement, met fin à la procédure.

Le paragraphe 108(5) précise que la décision du ministre de l'Industrie portant que l'intéressé n'est pas responsable de la violation met fin à la procédure.

Le paragraphe 109(1) précise toute transaction que le ministre de l'Industrie propose de conclure avec l'exploitant désigné ou l'autre personne, selon le cas, est subordonnée aux conditions qu'il estime indiquées. La transaction peut prévoir la réduction partielle ou totale du montant de la pénalité.

Le paragraphe 109(2) précise que si une transaction est conclue, l'exploitant désigné ou la personne ne peut pas présenter d'observations.

Le paragraphe 109(3) précise que la conclusion de la transaction vaut aveu de responsabilité à l'égard de la violation.

Le paragraphe 109(4) précise que si la personne désignée croit qu'un exploitant désigné ou une personne s'est conformé à l'entente de conformité, il doit en aviser l'exploitant désigné ou la personne et mettre fin aux procédures entamées relativement à la violation.

Le paragraphe 109(5) précise que si la personne désignée croit que l'exploitant désigné ou la personne n'a pas respecté l'ordre de conformité, elle doit signifier à l'exploitant désigné ou à la personne un avis de défaut et préciser ce qui suit :

1. l'exploitant désigné ou la personne est tenu de payer la pénalité mentionnée dans le procès-verbal, moins toute somme qu'il a payée au titre de la transaction;
2. le ministre de l'Industrie peut rendre public le nom de l'exploitant désigné ou de la personne, la violation, la portée de la non-conformité avec les modalités de la transaction et le montant de la pénalité à payer.

Le paragraphe 109(6) précise que le paiement de la pénalité, que le ministre de l'Industrie accepte en règlement, met fin à la procédure.

Analyse

Le paragraphe 110(1) permet à la Banque de dresser un procès-verbal à l'intention d'un exploitant désigné ou à une autre personne si elle a des motifs raisonnables de croire qu'une violation a été commise. La Banque doit également signifier à l'exploitant désigné ou à la personne responsable le procès-verbal.

Le paragraphe 110(2) précise ce qui doit être inclus dans le procès-verbal, notamment le nom de l'exploitant désigné ou de la personne qui a commis la violation, les faits reprochés et les éléments suivants :

1. le montant de la pénalité pour la violation qui pourrait être exigible;
2. la faculté qu'a l'exploitant désigné ou la personne soit de payer la pénalité, soit de présenter des observations relativement aux faits reprochés ou au montant de la pénalité ou aux deux, et ce, dans un délai de 30 jours (ou dans un délai plus long prescrit), et les modalités d'exercice de cette faculté;
3. le fait est que le non-exercice de cette faculté, dans le délai et selon les modalités précisées dans le procès-verbal, vaut aveu de responsabilité et l'exploitant désigné ou la personne devra payer la pénalité mentionnée au procès-verbal.

Le paragraphe 110(3) précise qu'à tout moment avant que l'exploitant désigné ou la personne ne paie la pénalité ou ne présente des observations relativement à un procès-verbal, ou ne conclue une transaction avec la Banque, ce dernier peut soit annuler le procès-verbal, soit corriger toute erreur qu'il contient.

L'article 111 décrit les critères suivants, lesquels doivent être pris en compte pour déterminer le montant de la pénalité :

1. le comportement antérieur de l'exploitant désigné ou de la personne en ce qui a trait au respect ou au nonrespect des dispositions de la présente loi ou des règlements connexes;
2. la nature et la portée de la violation;
3. une mention précisant si l'exploitant désigné ou la personne a déployé ou non des efforts raisonnables pour atténuer ou neutraliser les effets de la violation;
4. une mention précisant si l'exploitant désigné ou la personne a tiré ou non un avantage concurrentiel ou économique de la violation;
5. tout autre critère prévu par règlement;
6. tout autre critère que la Banque estime pertinent.
   

Le paragraphe 112(1) précise que si l'exploitant désigné ou la personne paie la pénalité prévue dans le procès-verbal, il est réputé avoir commis la violation, ce qui met fin à toute procédure engagée à l'égard de la violation.

Le paragraphe 112(2) prévoit des solutions de rechange au paiement de la pénalité prévue dans l'avis pour l'exploitant désigné ou la personne, notamment :

1. présenter des observations au gouverneur au sujet de la violation présumée ou du montant de la pénalité;
2. si elle est offerte, la conclusion d'une entente de conformité avec la Banque pour garantir que l'exploitant désigné ou la personne se conforme à la disposition violée.

Le paragraphe 113(1) précise que le gouverneur doit déterminer selon la prépondérance des probabilités, à la suite de toute observation faite, si la personne ou l'exploitant désigné a commis ou non la violation. Le gouverneur peut alors décider d'infliger la pénalité mentionnée au procès-verbal ou une pénalité réduite, ou encore n'en infliger aucune.

Le paragraphe 113(2) précise que le gouverneur doit rendre sa décision par écrit, y inclure les motifs à l'appui, et en fournir une copie à l'intéressé.

Le paragraphe 113(3) précise que si le gouverneur détermine que l'exploitant désigné ou la personne a commis la violation, ils sont tenus au paiement de la pénalité mentionnée dans la décision.

Le paragraphe 113(4) précise que si le gouverneur décide que l'opérateur désigné ou la personne n'a pas commis la violation, toute procédure engagée à ce titre prend fin.

Le paragraphe 113(5) précise que la décision du gouverneur portant que l'intéressé n'est pas responsable de la violation met fin à la procédure.

Le paragraphe 114(1) précise toute transaction que la Banque propose de conclure avec l'exploitant désigné ou l'autre personne, selon le cas, est subordonnée aux conditions qu'il estime indiquées. La transaction peut prévoir la réduction partielle ou totale du montant de la pénalité.

Le paragraphe 114(2) précise que si une transaction est conclue, l'exploitant désigné ou la personne ne peut pas présenter d'observations.

Le paragraphe 114(3) précise que la conclusion de la transaction vaut aveu de responsabilité à l'égard de la violation.

Le paragraphe 114(4) précise que si la Banque croit qu'un exploitant désigné ou une personne désignée s'est conformé à l'entente de conformité, elle doit en aviser l'exploitant désigné ou la personne et mettre fin aux procédures entamées relativement à la violation.

Le paragraphe 114(5) précise que si la Banque croit que l'exploitant désigné ou la personne n'a pas respecté l'ordre de conformité, elle doit signifier à l'exploitant désigné ou à la personne un avis de défaut et préciser ce qui suit :

1. l'exploitant désigné ou la personne est tenu de payer la pénalité mentionnée dans le procès-verbal, moins toute somme qu'il a payée au titre de la transaction;
2. la Banque peut rendre public le nom de l'exploitant désigné ou de la personne, les faits reprochés violation, la portée de la non-conformité avec les modalités de la transaction et le montant de la pénalité à payer.

Le paragraphe 114(6) précise que, si l'opérateur ou la personne désigné(e) s'acquitte de l'amende prévue dans l'avis, la Banque doit considérer que l'amende est acquittée et mettre fin à toute procédure engagée pour l'infraction.

Analyse

L'article 115 permet à la Commission canadienne de sûreté nucléaire (CCSN) de désigner les personnes ou les catégories de personnes qui peuvent dresser des procès-verbaux et conclure des transactions.

Le paragraphe 116(1) permet à la personne désignée de dresser un procès-verbal à l'intention d'un exploitant désigné ou à une autre personne si elle a des motifs raisonnables de croire qu'une violation a été commise. La personne désignée doit également veiller à ce que l'exploitant désigné ou l'autre personne reçoive ce procès-verbal.

Le paragraphe 116(2) précise ce qui doit être inclus dans le procès-verbal, notamment le nom de l'exploitant désigné ou de l'autre personne qui a commis la violation, les faits reprochés et les éléments suivants :

1. le montant de la pénalité pour la violation qui pourrait être exigible;
2. la faculté qu'a l'exploitant désigné ou la personne soit de payer la pénalité, soit de présenter des observations relativement aux faits reprochés ou au montant de la pénalité ou aux deux, et ce, dans un délai de 30 jours (ou dans un délai plus long prescrit), et les modalités d'exercice de cette faculté;
3. le fait est que le non-exercice de cette faculté, dans le délai et selon les modalités précisées dans le procès-verbal, vaut aveu de responsabilité et l'exploitant désigné ou la personne devra payer la pénalité mentionnée au procès-verbal.

Le paragraphe 116(3) précise qu'à tout moment avant que l'exploitant désigné ou l'autre personne ne paie la pénalité ou ne présente des observations à l'égard d'un procès-verbal à la CCSN, ou ne conclue une transaction avec la personne désignée, cette dernière peut annuler le procès-verbal ou corriger une erreur dans celui-ci.

L'article 117 décrit les critères suivants, lesquels doivent être pris en compte pour déterminer le montant de la pénalité :

1. le comportement antérieur de l'exploitant désigné ou de la personne en ce qui a trait au respect ou au non-respect des dispositions de la présente loi ou des règlements connexes;
2. la nature et la portée de la violation;
3. une mention précisant si l'exploitant désigné ou la personne a déployé ou non des efforts raisonnables pour atténuer ou neutraliser les effets de la violation;
4. une mention précisant si l'exploitant désigné ou la personne a tiré ou non un avantage concurrentiel ou économique de la violation;
5. tout autre critère prévu par règlement;
6. tout autre critère que la personne désignée estime pertinent

Le paragraphe 118(1) précise que si l'exploitant désigné ou la personne paie la pénalité prévue dans le procès-verbal, il est réputé avoir commis la violation, ce qui met fin à toute procédure engagée à l'égard de la violation.

Le paragraphe 118(2) prévoit des solutions de rechange au paiement de la pénalité prévue dans l'avis pour l'exploitant désigné ou la personne, notamment :

1. présenter des observations à la CCSN au sujet de la violation présumée ou du montant de la pénalité;
2. si elle est offerte, la conclusion d'une entente de conformité avec la personne désignée pour garantir que l'exploitant désigné ou la personne se conforme à la disposition violée.

Le paragraphe 119(1) stipule que la CCSN doit déterminer selon la prépondérance des probabilités, à la suite de toute observation faite, si la personne ou

l'exploitant désigné a commis ou non la violation. La personne désignée peut alors décider d'infliger la pénalité mentionnée au procès-verbal ou une pénalité réduite, ou encore n'en infliger aucune.

Le paragraphe 119(2) précise que la CCSN doit rendre sa décision par écrit, y inclure les motifs à l'appui, et en fournir une copie à l'intéressé.

Le paragraphe 119(3) précise que si la CCSN détermine que l'exploitant désigné ou la personne a commis la violation, il est tenu au paiement de la pénalité mentionnée dans la décision.

Le paragraphe 119(4) précise que si l'exploitant désigné ou la personne paie la pénalité mentionnée dans la décision, que la CCSN accepte en règlement, met fin à la procédure.

Le paragraphe 119(5) précise que la décision de la CCSN portant que l'intéressé n'est pas responsable de la violation met fin à la procédure.

Le paragraphe 120(1) précise toute transaction que la personne désignée propose de conclure avec l'exploitant désigné ou l'autre personne, selon le cas, est subordonnée aux conditions qu'il estime indiquées. La transaction peut prévoir la réduction partielle ou totale du montant de la pénalité.

Le paragraphe 120(2) précise que si une transaction est conclue, l'exploitant désigné ou la personne ne peut pas présenter d'observations.

Le paragraphe 120(3) précise que la conclusion de la transaction vaut déclaration de responsabilité à l'égard de la violation.

Le paragraphe 120(4) précise que si la personne désignée croit qu'un exploitant désigné ou une

personne désignée s'est conformé à l'entente de conformité, elle doit en aviser l'exploitant désigné ou la personne et mettre fin aux procédures entamées relativement à la violation.

Le paragraphe 120(5) précise que si la personne désignée croit que l'exploitant désigné ou la personne n'a pas respecté l'ordre de conformité, elle doit signifier à l'exploitant désigné ou à la personne un avis de défaut et préciser ce qui suit :

1. l'exploitant désigné ou la personne est tenu de payer la pénalité mentionnée dans le procès-verbal, moins toute somme qu'il a payée au titre de la transaction;
2. la CCSN peut rendre public le nom de l'exploitant désigné ou de la personne, la violation, la portée de la non-conformité avec les modalités de la transaction et le montant de la pénalité à payer.

Le paragraphe 120(6) précise que, si l'opérateur désigné ou une autre personne paie la pénalité prévue dans l'avis, la CCSN doit considérer que la pénalité est acquittée, met fin à la procédure.

Analyse

L'article 121 permet au président-directeur général (PDG) de désigner les personnes ou les catégories de personnes qui peuvent dresser des procès-verbaux et conclure des transactions.

Le paragraphe 122(1) permet à la personne désignée de dresser un procès-verbal à l'intention d'un exploitant désigné ou à une autre personne si elle a des motifs raisonnables de croire qu'une violation a été commise. La personne désignée doit également signifier à l'exploitant désigné ou à l'autre personne ce procès-verbal.

Le paragraphe 122(2) précise ce qui doit être inclus dans le procès-verbal, notamment le nom de l'exploitant désigné ou de la personne qui a commis la violation, les faits reprochés et les éléments suivants :

1. le montant de la pénalité pour la violation qui pourrait être exigible;
2. la faculté qu'a l'exploitant désigné ou la personne soit de payer la pénalité, soit de présenter des observations relativement aux faits reprochés ou au montant de la pénalité ou aux deux, et ce, dans un délai de 30 jours (ou dans un délai plus long prescrit), et les modalités d'exercice de cette faculté;
3. le fait est que le non-exercice de cette faculté, dans le délai et selon les modalités précisées dans le procès-verbal, vaut aveu de responsabilité et l'exploitant désigné ou la personne devra payer la pénalité mentionnée au procès-verbal.

Le paragraphe 122(3) précise qu'à tout moment avant que l'exploitant désigné ou la personne ne paie la pénalité ou ne présente des observations relativement à un procès-verbal, ou ne conclue une transaction avec la Commission, ce dernier peut soit annuler le procès-verbal, soit corriger toute erreur qu'il contient.

L'article 123 décrit les critères suivants, lesquels doivent être pris en compte pour déterminer le montant de la pénalité :

1. le comportement antérieur de l'exploitant désigné ou de la personne en ce qui a trait au respect ou au non-respect des dispositions de la présente loi ou des règlements connexes;
2. la nature et la portée de la violation;
3. une mention précisant si l'exploitant désigné ou la personne a déployé ou non des efforts raisonnables pour atténuer ou neutraliser les effets de la violation;
4. une mention précisant si l'exploitant désigné ou la personne a tiré ou non un avantage concurrentiel ou économique de la violation;
5. tout autre critère prévu par règlement;
6. tout autre critère que la personne désignée estime pertinent.

Le paragraphe 124(1) précise que si l'exploitant désigné ou la personne paie la pénalité prévue dans le procès-verbal, il est réputé avoir commis la violation, ce qui met fin à toute procédure engagée à l'égard de la violation.

Le paragraphe 124(2) prévoit des solutions de rechange au paiement de la pénalité prévue dans l'avis pour l'exploitant désigné ou la personne, notamment :

1. présenter des observations à la Commission au sujet de la violation présumée ou du montant de la pénalité;
2. si elle est offerte, la conclusion d'une transaction avec la personne désignée pour garantir que l'exploitant désigné ou la personne se conforme.

Le paragraphe 125(1) permet à la Commission de désigner des personnes ou des catégories de personnes chargées d'examiner les observations faites en vertu de l'alinéa 124(2)a).

Le paragraphe 125(2) précise que la Commission ou la personne qu'elle désigne doit déterminer, selon la prépondérance des probabilités, à la suite de toute observation faite, si la personne ou l'exploitant désigné a commis ou non la violation. La Commission peut alors décider d'infliger la pénalité mentionnée au procès-verbal ou une pénalité réduite, ou encore n'en infliger aucune.

Le paragraphe 125(3) précise que la Commission ou la personne désignée doit rendre sa décision par écrit, y inclure les motifs à l'appui, et en fournir une copie à l'intéressé.

Le paragraphe 125(4) précise que si la Commission détermine que l'exploitant désigné ou la personne a commis la violation, il est tenu au paiement de la pénalité mentionnée dans la décision.

Le paragraphe 125(5) précise que, si l'opérateur désigné ou l'autre personne s'acquitte de l'amende prévue dans la décision, la Commission doit considérer que l'amende a été acquittée pour l'infraction en question, met fin à la procédure.

Le paragraphe 125(6) précise que la décision de la Commission portant que l'intéressé n'est pas responsable de la violation met fin à la procédure.

Le paragraphe 125(7) précise que la Cour fédérale a la compétence exclusive pour le contrôle judiciaire

d'une décision prise en vertu de cet article par la Commission ou la personne nommée.

Le paragraphe 126(1) précise que si la personne nommée offre de conclure une transaction avec un exploitant désigné ou une autre personne, la transaction est soumise aux conditions que la personne désignée juge appropriées, y compris la réduction totale ou partielle de la pénalité.

Le paragraphe 126(2) précise que si une transaction est conclue, l'exploitant désigné ou la personne ne peut pas présenter d'observations.

Le paragraphe 126(3) précise que la conclusion de la transaction vaut aveu de responsabilité à l'égard de la violation.

Le paragraphe 126(4) précise que si la personne désignée croit qu'un exploitant désigné ou une personne s'est conformé à l'entente de conformité, il doit en aviser l'exploitant désigné ou la personne et mettre fin aux procédures entamées relativement à la violation.

Le paragraphe 126(5) précise que si la personne désignée croit que l'exploitant désigné ou la personne n'a pas observé l'ordre de conformité, elle doit signifier à l'exploitant désigné ou à la personne un avis de défaut et préciser ce qui suit :

1. l'exploitant désigné ou la personne est tenu de payer la pénalité mentionnée dans le procès-verbal, moins toute somme qu'il a payée au titre de la transaction;
2. la RCE peut rendre public le nom de l'exploitant désigné ou de la personne, la violation, la portée de la non-conformité avec les modalités de la transaction et le montant de la pénalité à payer.

Le paragraphe 126(6) précise que le paiement de la pénalité, que la Régie accepte en règlement, met fin à la procédure.

Analyse

Le paragraphe 127(1) permet au ministre des Transports de dresser un procès-verbal à l'intention d'un exploitant désigné ou à une autre personne s'il a des motifs raisonnables de croire qu'une violation a été commise. Le ministre des Transports doit également signifier à l'exploitant désigné ou à la personne ce procès-verbal.

Le paragraphe 127(2) précise ce qui doit être inclus dans le procès-verbal, notamment le nom de l'exploitant désigné ou de la personne qui a commis la violation, les faits reprochés et les éléments suivants :

1. le montant de la pénalité pour la violation qui pourrait être exigible;
2. le droit de l'exploitant désigné ou de la personne de payer la pénalité au ministre des Transports dans un délai de 30 jours (ou toute période plus longue prescrite), et expliquer comment le faire;
3. le droit de l'exploitant désigné ou de la personne de déposer une demande de révision en vertu de l'alinéa 129(2)a) auprès du tribunal dans un délai de 30 jours (ou dans tout délai plus long que le tribunal autorise);
4. le fait que, si la pénalité n'est pas payée et qu'une demande de révision auprès du tribunal n'est pas déposée dans le délai précisé dans l'avis, l'exploitant désigné ou la personne sera réputé avoir commis la violation et devra payer la sanction mentionnée dans le procès-verbal.

Le paragraphe 127(3) précise que le procès-verbal peut être annulé ou qu'une erreur qu'il contient peut être corrigée à tout moment avant que l'exploitant désigné n'ait déposé une requête en révision (auprès du Tribunal) ou qu'il n'ait conclu une transaction avec le ministre des Transports.

L'article 128 décrit les critères suivants, lesquels doivent être pris en compte pour déterminer le montant de la pénalité :

1. le comportement antérieur de l'exploitant désigné ou de la personne en ce qui a trait au respect ou au non-respect des dispositions de la présente loi ou des règlements connexes;
2. la nature et la portée de la violation;
3. une mention précisant si l'exploitant désigné ou la personne a déployé ou non des efforts raisonnables pour atténuer ou neutraliser les effets de la violation;
4. une mention précisant si l'exploitant désigné ou la personne a tiré ou non un avantage concurrentiel ou économique de la violation;
5. tout autre critère prévu par règlement;
6. tout autre critère que le ministre des Transports estime pertinent.

Le paragraphe 129(1) précise que si l'exploitant désigné ou la personne paie la pénalité prévue dans le procès-verbal, il est réputé avoir commis la violation, ce qui met fin à toute procédure engagée à l'égard de la violation.

Le paragraphe 129(2) prévoit des solutions de rechange au paiement de la pénalité prévue dans l'avis pour l'exploitant désigné ou la personne, notamment :

1. présenter une requête en révision auprès du Tribunalau sujet de la violation présumée ou du montant de la pénalité;
2. si elle est offerte, la conclusion d'une transaction avec le ministre des Transports pour garantir que l'exploitant désigné ou la personne se conforme.

Le paragraphe 130(1) précise que le Tribunal doit fixer la date et le lieu de la révision sur demande et en aviser par écrit le ministre des Transports et l'exploitant désigné ou l'autre personne.

Le paragraphe 130(2) précise que tant le ministre des Transports que l'exploitant désigné ou l'autre personne doivent être autorisés à présenter des observations.

Le paragraphe 130(3) précise que le ministre des Transports est responsable de prouver, selon la prépondérance des probabilités, que l'exploitant désigné ou l'autre personne a commis la violation.

Le paragraphe 130(4) précise que l'exploitant désigné ou l'autre personne qui est présumé avoir commis une violation n'est pas tenu de présenter une preuve ou un témoignage.

Le paragraphe 130(5) précise que des renseignements confidentiels peuvent être communiqués au tribunal au cours des révisions.

L'article 131 prévoit qu'à la fin d'une révision, si le membre du tribunal détermine que :

1. l'exploitant désigné ou l'autre personne n'a pas commis la violation, le membre du Tribunal doit alors en informer le ministre des Transports et cet exploitant désigné ou cette autre personne, mettant ainsi fin à toute autre procédure intentée en vertu de la présente loi contre l'exploitant désigné ou l'autre personne concernant cette violation;
2. l'exploitant désigné ou l'autre personne a commis la violation, le membre doit alors informer le ministre des Transports et l'exploitant désigné ou l'autre personne de la détermination, du montant de la pénalité et du moment où elle doit être payée.

Le paragraphe 132(1) explique que le ministre des Transports, l'exploitant désigné ou l'autre personne touchée par la détermination peut interjeter appel de la détermination auprès du Tribunal dans les 30 jours suivant la décision.

Le paragraphe 132(2) précise qu'une partie qui ne se présente pas à une audience portant sur la requête de révision perd son droit de faire appel de la décision, à moins qu'elle ne fasse valoir des motifs valables justifiant son absence.

Le paragraphe 132(3) précise que le comité du Tribunal chargé d'entendre un appel peut le rejeter ou y faire droit. Si l'appel est accepté, le comité peut substituer sa décision à celle en cause.

Le paragraphe 132(4) précise que si le comité statue que l'exploitant désigné ou l'autre personne a commis la violation, il doit immédiatement informer l'exploitant désigné ou l'autre personne et le ministre des Transports de cette détermination et, conformément aux règlements concernant les montants des pénalités, de la somme que le comité a déterminé comme payable au Tribunal par l'intéressé, ou en son nom, à l'égard de la violation – et du délai imparti pour effectuer le paiement.

Le paragraphe 132(5) précise que si le comité statue qu'aucune violation n'a été commise, il doit en informer sans délai l'exploitant désigné ou l'autre personne, selon le cas, et le ministre des Transports.

L'article 133 permet au ministre des Transports d'obtenir du Tribunal ou du conseiller, selon le cas, un certificat en la forme établie par le gouverneur en conseil indiquant le montant de la pénalité que doit payer l'exploitant désigné ou l'autre personne qui fait défaut, dans le délai imparti afin de payer :

1. la pénalité mentionnée au procès-verbal ou déposer une requête en révision au titre de l'alinéa 129(2)a);
2. la somme fixée au titre de l'alinéa 131b).

Le paragraphe 134(1) précise que si le ministre des Transports offre de conclure une transaction avec un exploitant désigné ou une personne, l'entente est subordonnée aux conditions que le ministre des Transports estime indiquées, y compris la réduction totale ou partielle du montant de la pénalité.

Le paragraphe 134(2) précise que si une transaction est conclue, l'exploitant désigné ou la personne désignée n'est plus autorisé à déposer une requête en révision en vertu de l'alinéa 129(2)a).

Le paragraphe 134(3) précise que si une transaction est conclue, l'exploitant désigné ou la personne est réputé avoir commis la violation.

Le paragraphe 134(4) précise que si le ministre des Transports estime que la transaction a été exécutée, il doit en aviser l'exploitant désigné ou la personne et mettre fin aux procédures engagées à l'égard de la violation.

Le paragraphe 134(5) stipule que si le ministre des Transports estime que la transaction est inexécutée, il doit signifier à l'exploitant désigné ou à la personne un avis de défaut et préciser ce qui suit :

1. l'exploitant désigné ou la personne est tenu de payer la pénalité indiquée dans le procès-verbal, moins toute somme qu'il a payée au titre de la transaction;
2. le ministre des Transports peut rendre public le nom de l'exploitant désigné ou de la personne, la nature de la violation en cause, la portée de la non-conformité avec les modalités de la transaction et le montant de la pénalité à payer.

Le paragraphe 134(6) précise que, si l'exploitant désigné ou la personne paie la pénalité indiquée au procès-verbal, le ministre des Transports doit considérer que la pénalité relative à la violation a été acquittée et mettre fin à toute procédure engagée à l'égard de la violation.

Analyse

Le paragraphe 135(1) donne au gouverneur en conseil le pouvoir, par règlement, de prendre les mesures nécessaires à l'application de la présente loi, et notamment des mesures :

1. concernant les programmes de cybersécurité;
2. concernant les conditions et critères relatifs aux vérifications internes;
3. concernant les modalités, de temps ou autres, relatives au signalement des incidents de cybersécurité et le type d'incident à signaler;
• c.1) concernant les délais impartis pour donner l'avis visé au paragraphe 14(1);
4. concernant la gestion des documents visés à l'article 30, notamment la collecte, l'utilisation, la conservation, la communication et la disposition;
5. désignant les dispositions de la présente loi ou celles de ses règlements pour l'application de l'article 90;
6. qualifiant chaque violation, selon le cas, de mineure, de grave ou de très grave;
7. fixant le montant maximal de la pénalité applicable à chaque violation;
8. définissant, pour l'application de la présente loi, les termes non définis par celle-ci qui y figurent;
9. prescrivant toute mesure d'ordre réglementaire prévue par la présente loi.

Le paragraphe 135(2) permet au gouverneur en conseil d'assurer la compatibilité entre les règlements à établir en vertu du paragraphe 135(1) et les régimes de réglementation en vigueur, tels que ceux établis par les organismes de réglementation provinciaux.

Analyse

L'article 136 établit les infractions réglementaires punissables sur déclaration de culpabilité par procédure sommaire.

L'article 136(1) précise que toute personne qui contrevient aux articles énoncés dans cet article est coupable d'une infraction punissable par procédure sommaire.

Le paragraphe 136(2) précise que toute personne, société de personnes ou organisation non dotée de la personnalité morale qui contrevient à l'article 29 en ne fournissant pas les renseignements demandés par l'organisme de réglementation compétent commet une infraction punissable sur déclaration de culpabilité par procédure sommaire.

L'article 137 établit des infractions mixtes.

Il précise que quiconque contrevient aux articles énoncés dans cet article commet une infraction et encourt, sur déclaration de culpabilité :

1. par procédure sommaire :
   1. dans le cas d'un particulier, un emprisonnement maximal de deux ans moins un jour et une amende dont le montant est fixé par le Tribunal, ou l'une de ces peines;
   2. dans le cas d'une personne morale, une amende dont le montant est fixé par le Tribunal;
2. par mise en accusation :
   1. dans le cas d'un particulier, un emprisonnement maximal de cinq ans et une amende dont le montant est fixé par le Tribunal, ou l'une de ces peines;
   2. dans le cas d'une personne morale, une amende dont le montant est fixé par le Tribunal.

L'article 138 établit qu'en cas de perpétration d'une violation par un exploitant désigné, ses dirigeants ou administrateurs qui l'ont ordonnée ou autorisée, ou qui y ont consenti, acquiescé ou participé, sont considérés comme des coauteurs de la violation et s'exposent à une pénalité au titre de la présente loi. Ceci s'applique que l'exploitant désigné soit ou non poursuivi ou condamné pour l'infraction.

L'article 139 précise que si une infraction prévue à l'article 136 (une infraction sommaire) ou 137 (une infraction mixte) est commise ou se poursuit pendant plus d'un jour, celle-ci est considérée comme une infraction distincte pour chaque jour où elle est commise ou se continue.

L'article 140 précise qu'une poursuite ne peut pas être engagée pour une infraction à la présente loi plus de trois ans après le jour où l'objet de la poursuite a été entamé.

L'article 141 protège une personne, une société de personnes ou une organisation non dotée de la personnalité morale de la condamnation pour une infraction à la présente loi – autre que celles prévues à l'article 137 qui concernent une contravention au paragraphe 9(1), à l'article 15 ou 26 ou à l'alinéa 87a) ou b) – si la personne prouve qu'elle a pris toutes les précautions voulues pour prévenir sa perpétration.

L'article 142 prévoit que, dans le cadre d'une poursuite en vertu de la présente loi, il suffit pour prouver l'existence d'une infraction d'établir qu'elle a été commise par un employé, un agent ou un mandataire de l'accusé, que cette personne soit ou non identifiée ou poursuivie pour l'infraction.

L'article 143 souligne que dans toute action ou procédure engagée en vertu de la présente loi, le document certifié par un organisme de réglementation en tant que copie conforme d'un document donné ou délivré en application de la présente loi fait foi :

1. de l'authenticité de l'original;
2. du fait que l'original a été établi, donné ou délivré par la personne qui y est nommée, ou sous son autorité, à la date éventuellement indiquée dans la copie;
3. du fait que l'original a été signé, certifié, attesté ou passé par les personnes et de la manière indiquées dans la copie.

L'article 144 précise que toute action ou procédure engagée en vertu de la présente loi, les inscriptions portées aux registres dont la tenue est exigée par la présente loi font foi, sauf preuve contraire, de leur contenu contre l'auteur des inscriptions ou l'exploitant désigné responsable de la tenue des registres.

Le paragraphe 145(1) précise que les règles suivantes s'appliquent aux contrôles judiciaires de la délivrance d'une directive de cybersécurité :

1. si le juge conclut que les éléments de preuve ou autres renseignements que lui a fournis le ministre ne sont pas pertinents ou si le ministre les retire, il ne peut fonder sa décision sur eux et il est tenu de les remettre à ce dernier;
2. le juge est tenu de garantir la confidentialité des éléments de preuve et autres renseignements que le ministre retire de l'instance.

Le paragraphe 145(2) précise que le paragraphe (1) s'applique, avec les modifications nécessaires, à la fois aux appels des décisions judiciaires rendues en vertu de cet article et à tout autre appel.

Le paragraphe 145(3) définit, pour cet article, le juge comme le « juge en chef de la Cour fédérale ou le juge de cette juridiction désigné par lui ».

Analyse

L'article 146(1) oblige le ministre à préparer un rapport annuel sur l'administration de la Loi sur la protection des cybersystèmes essentiels pour l'année financière en question dans les 3 mois suivant la fin de l'année financière, et à le déposer devant chaque chambre du Parlement dans les 15 premiers jours de séance suivant l'achèvement du rapport.

Le paragraphe 146(2) précise que, pour l'exercice visé, les renseignements suivants doivent être inclus dans le rapport :

1. le nombre de décrets pris en vertu du paragraphe 20(1) et la nature des directives données dans ceux-ci;
2. le nombre de directives révoquées en vertu du paragraphe 20(2);
3. le nombre d'exploitants désignés visés par une directive;
4. une description de la conformité des exploitants désignés qui se sont partiellement conformés à une directive;
5. une description de la conformité des exploitants désignés qui se sont complètement conformés à une directive;
6. une explication de la nécessité des directives, de leur caractère proportionnel et raisonnable et de leur utilité. [deuxième lecture]

Le paragraphe 146(3) précise que le rapport doit notamment contenir les renseignements suivants :

1. le nombre de directives données en vertu du paragraphe 20(1) au cours de l'exercice précédent;
2. le nombre d'exploitants désignés à qui ont été données des directives en vertu du paragraphe 20(1) au cours de l'exercice précédent;
3. tout autre renseignement jugé pertinent par le ministre relativement à l'exercice précédent, pourvu qu'aucun exploitant désigné ni aucune autre personne ne puissent être reconnus.

L'article 12 remplace le paragraphe 23(1) de la Loi sur le Bureau du surintendant des institutions financières par ce qui suit.

Détermination du surintendant

23(1) Le surintendant, avant le 31 décembre de chaque année, détermine le montant total des dépenses engagées pendant l'exercice précédent dans le cadre de l'application de la Loi sur les banques, la Loi sur les associations coopératives de crédit, la Loi sur la protection des cybersystèmes essentiels, la Loi sur l'association personnalisée, le Bouclier vert du Canada, la Loi sur les sociétés d'assurances, la Loi sur la protection de l'assurance hypothécaire résidentielle et la Loi sur les sociétés de fiducie et de prêt.

L'article 13 modifie la Loi sur le Bureau du surintendant des institutions financières par adjonction, selon l'ordre alphabétique, de ce qui suit :

• Critical Cyber Systems Protection Act
• Loi sur la protection des cybersystèmes essentiels

L'article 14 remplace les paragraphes 21(2) et (3) de la Loi sur la sûreté et la réglementation nucléaires par ce qui suit.

• Frais recouvrables sous le régime de toute autre loi fédérale
  • (1.1) La Commission peut imposer les droits réglementaires pour les services, renseignements ou produits qu'elle fournit sous le régime de toute autre loi fédérale.
• Remboursement
  • (2) Dans les cas réglementaires, la Commission peut rembourser la totalité ou une partie des droits visés à l'alinéa (1)g) ou au paragraphe (1.1).
• Utilisation
  • (3) La Commission peut dépenser à ses fins les revenus provenant des droits exigés au cours de l'exercice pendant lequel les revenus sont perçus ou au cours du suivant.

L'article 15 remplace le paragraphe 2(3) de la Loi sur le Tribunal d'appel des transports du Canada par ce qui suit.

• Compétence en vertu d'autres lois
  • (3) Le Tribunal connaît également des requêtes en révision et des appels portant sur les sanctions administratives pécuniaires prévues aux articles 177 à 181 de la Loi sur les transports au Canada, aux articles 127 à 133 de la Loi sur la protection des cybersystèmes essentiels et aux articles 130.01 à 130.19 de la Loi sur la responsabilité en matière maritime et portant sur les pénalités visées aux articles 43 à 55 de la Loi sur les ponts et tunnels internationaux, aux articles 129.01 à 129.19 de la Loi maritime du Canada, aux articles 16.1 à 16.25 de la Loi sur la sécurité automobile et aux articles 39.1 à 39.26 de la Loi sur les eaux navigables canadiennes.

Analyse

L'article 16 précise que toutes les dispositions entrent en vigueur à la date ou aux dates décidées par décret du gouverneur en conseil.

Analyse

L'annexe 1 comprend une liste des services et des systèmes qui sont critiques pour la sécurité nationale ou la sécurité publique.

Au moment du dépôt de la loi, il s'agit notamment de ce qui suit :

• Services de télécommunications;
• Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
• Systèmes d'énergie nucléaire;
• Systèmes de transport relevant de la compétence législative du Parlement;
• Systèmes bancaires;
• Systèmes de compensations et de règlements.

Conformément à l'article 6 de la loi, l'annexe 1 peut être modifiée par un décret ajoutant tout service ou système à cette liste, ou supprimant tout service ou système de cette liste.

Analyse

L'annexe 2 est vide au moment du dépôt de la loi.

Lorsque le gouverneur en conseil sera prêt à le faire, cette annexe sera achevée par un décret qui définira les catégories d'exploitants qui seront assujettis à la loi.

Cette annexe précisera également l'organisme de réglementation correspondant (comme défini dans l'article 2) pour chaque catégorie d'exploitants. L'organisme de réglementation devient l'organisme de réglementation approprié pour tous les exploitants classés dans cette catégorie.