Notes des comités parlementaires : La comparution du minister Anandasangaree devant le Comité permanent des transports, de l'infrastructure et des collectivités (TRAN)
Financement par la Banque de l'infrastructure du Canada de nouveaux navires pour BC Ferries

Note d'aperçu

Informations générales

Date : le 25 février 2026
Heure : De 16 h 30 à 17 h 30.
Lieu : Pièce 415, édifice Wellington, 197, rue Sparks.

Contexte

L'été dernier, le Comité permanent des transports, de l'infrastructure et des collectivités (TRAN) s'est réuni pour examiner des rapports selon lesquels BC Ferries aurait passé un contrat avec un chantier naval chinois pour la construction de quatre nouveaux navires, grâce à un financement à faible taux d'intérêt d'un milliard de dollars accordé par la Banque de l'infrastructure du Canada (BIC). À la suite de l'adoption d'une motion en juillet, le Comité s'est réuni le 1er août 2025 pour étudier la question, incluant des témoignages du Ministre des Transports et des responsables du ministère.

Production de documents

Lors de sa réunion du 1er août, le comité TRAN a adopté une motion exigeant notamment que le ministère de la Sécurité publique (SP), entre autres, produise des documents relatifs au financement des projets BC Ferries par la Banque de l'infrastructure du Canada et à l'acquisition par BC Ferries des quatre nouveaux navires entre le 1er janvier 2023 et le 1er août 2025. Les documents pertinents fournis par la Sécurité publique au comité comprenaient :

1. Une lettre du ministre des Transports au ministre de la Sécurité publique concernant le projet BC Ferries;
2. Une lettre du ministre des Transports à son homologue de la Colombie-Britannique;
3. Une note de réunion pour une rencontre bilatérale entre le sous-ministre (SM) de la Sécurité Publique et le SM de Transports Canada le 30 avril 2025;
4. Un projet de réponse du ministre de la Sécurité publique au ministre des Transports.
5. Des documents supplémentaires liés aux documents susmentionnés.

À ce moment-là, Sécurité Publique a examiné les documents et a déterminé que certaines informations devaient être retenues au motif que la divulgation de ces renseignements pourrait représenter une menace pour les intérêts de sécurité nationale du Canada, y compris les caviardages recommandées par le Service canadien de renseignement de sécurité. L'approche utilisée était conforme à la pratique de SP en matière de divulgation des documents lorsqu'ils sont obtenus dans le cadre d'une demande en vertu de la Loi sur l'accès à l'information (LAI).

En ce qui concerne les documents fournis au Comité TRAN, les membres du comité pourraient soulever des préoccupations quant à l'ampleur des caviardages et remettre en question les renseignements indiquant que Sécurité publique n'a pas l'autorité nécessaire pour intervenir dans ce dossier. Ils pourraient également demander une mise à jour sur les engagements visant à revoir et à améliorer les processus existants à l'avenir.

Position des parlementaires anticipés

Cette question de BC Ferries a été étroitement surveillée par les députés de l'opposition sur TRAN et à la Chambre des communes. Alors que l'examen initial s'est concentré sur la séquence des événements, le rôle du gouvernement fédéral et le choix d'un chantier naval basé en Chine plutôt que les alternatives canadiennes, l'attention se porte de plus en plus sur les implications pour la sécurité économique du Canada dans le contexte du renforcement des liens avec la Chine.

Vous pouvez vous attendre à ce que les membres du Parti conservateur du Canada (PCC) se concentrent sur les efforts récents du gouvernement pour réinitialiser sa relation avec la Chine et sur la question de savoir si cette approche augmente les risques pour la sécurité nationale, faisant écho à la série de questions que vous avez reçues lors de votre récente comparution au PROC (Comité permanent de procédure et des affaires de la Chambre) concernant l'ingérence dans les élections étrangères.

Bien que le Bloc Québécois (BQ) se soit surtout concentré sur la décision de ne pas acheter auprès de Davie Shipbuilding, ses membres commencent aussi à examiner davantage les risques pour la sécurité nationale associés aux acquisitions étrangères. Par exemple, au PROC, le député Normandin (BQ) vous a interrogé sur des préoccupations potentielles de sécurité liées à l'accord récemment annoncé concernant des véhicules électriques fabriqués en Chine.

Étant donné que les infrastructures critiques ainsi que les véhicules relèvent du mandat de TRAN, vous pouvez vous attendre à des questions sur ces sujets dans le contexte de la sécurité nationale et de la sécurité publique. Votre dossier de briefing comprend des messages clés qui répondent directement à ces préoccupations et fournissent un contexte clair et factuel pour appuyer votre apparence.

Représentants

Vous comparaîtrez avec les représentants suivants :

• Richard Bilodeau, sous-ministre adjoint principal (SADM), Branche de la sécurité nationale et de la cybersécurité (NCSB), Securité Publique
• Vanessa Lloyd, SADM et directrice adjointe, opérations, Service canadien du renseignement de sécurité (SCRS)

Mots d'ouverture

Au début de la réunion, le président vous invitera à prononcer un discours d'ouverture d'environ 5 minutes.

Vos remarques d'ouverture proposées mettent en lumière les impacts économiques des incidents cybernétiques ainsi que le travail en cours dans le cadre du projet de loi C-8, Loi concernant la cybersécurité. Vos remarques abordent également les considérations juridictionnelles liées au rôle de Sécurité publique en matière de sécurité nationale dans ce type de situation, en précisant que, bien que Sécurité publique Canada ait le pouvoir d'effectuer des examens de sécurité liés aux investissements étrangers en vertu de la Loi sur Investissement Canada, il ne révise pas les décisions en matière d'approvisionnement, comme celle-ci.

Rondes des questions

Les questions des membres du comité suivront avec les rondes de questions suivantes :

Première ronde de questions :

• Parti conservateur, six minutes.
• Parti libéral, six minutes.
• Bloc Québécois, six minutes.

Deuxième ronde de questions et les suivantes :

• Parti conservateur, cinq minutes.
• Parti libéral, cinq minutes.
• Bloc Québécois, deux minutes et demie.
• Parti conservateur, cinq minutes.
• Parti libéral, cinq minutes.

Notes d'allocution pour L'honorable Gary Anandasangaree
Ministre de la Sécurité publique

Bonjour,

J'aimerais d'abord souligner que nous nous trouvons sur le territoire traditionnel non cédé de la Nation Anishinabe Algonquine.

Merci, Monsieur le Président et membres du Comité, de m'avoir invité à me joindre à vous aujourd'hui.

De nombreux résidents de la Colombie-Britannique, particulièrement dans les communautés côtières, dépendent des traversiers pour leurs déplacements vers le continent.

La décision prise l'an dernier par BC Ferries de se procurer ses nouveaux traversiers à l'étranger a été une décision provinciale, prise après que la province eut mené sa propre diligence raisonnable afin de répondre à la demande croissante et aux besoins de service.

Le Comité est, à juste titre, préoccupé par les répercussions de cette entente sur la sécurité nationale.

Sécurité publique Canada a le pouvoir de mener des examens de sécurité sur les investissements étrangers en vertu de la Loi sur Investissement Canada, mais il n'examine pas les décisions d'approvisionnement prises au niveau provincial, comme celle-ci.

Par conséquent, nous n'aurions pas eu l'autorité nécessaire pour mener un examen de sécurité nationale dans ce cas.

Ce n'est qu'après l'intervention de Transports Canada que des responsables de Sécurité publique ont communiqué avec BC Ferries.

BC Ferries avait déjà arrêté sa décision d'approvisionnement.

Le gouvernement prend des initiatives pour renforcer notre sécurité nationale et notre souveraineté face à des menaces en constante évolution et en constante augmentation.

Nous examinons continuellement la manière de protéger — et de promouvoir — la sécurité économique du Canada.

Cela inclut le renforcement de la collaboration tant nationale qu'internationale, et l'identification de domaines clés de mobilisation et d'attention.

Maintenir et renforcer la sécurité économique est essentiel à notre croissance et à notre souveraineté.

Cela nécessite une approche pangouvernementale qui mobilise tous les ordres de gouvernement, l'industrie, les communautés et partenaires autochtones, le milieu universitaire et nos alliés internationaux.

Monsieur le Président, encore une fois, merci de m'avoir invité à comparaître devant le Comité aujourd'hui. Je suis prêt à répondre aux questions du Comité.

Messages clés

Achat de BC Ferries

Sécurité publique Canada (SP) a pris des mesures dès qu'il a pris connaissance de la situation.

• Les responsables de SP ont pris contact avec BC Ferries (27 mai 2025) à la suite de la prise de contact de Transports Canada.
• BC Ferries avait déjà pris sa décision d'achat (31 mars 2025) et cherchait de l'aide pour gérer le contrat et les relations avec l'entrepreneur à l'avenir.

La sécurité économique est une priorité clé du gouvernement.

• Le Canada a élargi sa panoplie d'outils en matière de sécurité économique, ce qui nous donne les garde-fous dont nous avons besoin pour nous engager avec plus de confiance auprès d'un plus large éventail de partenaires internationaux. Cela comprend des mesures telles que la mise à jour de la Loi sur Investissement Canada, l'introduction de la Politique de la recherche en technologies sensibles et sur les affiliations préoccupantes (RTSAP) et l'établissement de la Liste des technologies sensibles du Canada.
• Plus récemment, un processus d'examen de la sécurité nationale a été mis en place pour les grands projets relevant de la Loi visant à bâtir le Canada.

La sécurité économique est une responsabilité partagée entre les différents ordres de gouvernement et le secteur privé.

• Le gouvernement fait avancer d'importants projets de loi liés à la cybersécurité qui permettront d'améliorer le niveau de cybersécurité dans des secteurs clés réglementés par le gouvernement fédéral.
• Ces projets de loi ont également pour objectif de servir de modèle afin de mieux sécuriser les infrastructures essentielles qui ne relèvent pas de la compétence fédérale.

Cybersécurité et sécurité économique

Les infrastructures essentielles du Canada sont menacées.

• Plus de 1 400 cyberincidents visant des infrastructures essentielles ont eu lieu au cours du dernier exercice financier, soit près de 20 % de plus que l'année précédente.
• Le coût annuel des incidents pour l'économie canadienne s'élève à 5 milliards de dollars canadiens.
• La rançon moyenne versée en 2023 était de 1,1 million de dollars canadiens, soit une augmentation de 150 % en deux ans.

Nos infrastructures essentielles sont étroitement interconnectées.

• En 2022, une panne chez Rogers a privé 12 millions de clients de services.
• Le projet de loi C-8 vise à aider les opérateurs à améliorer la résilience des infrastructures essentielles face aux cybermenaces dans quatre secteurs : les finances, les télécommunications, l'énergie et les transports.

SP renforce la sécurité économique du Canada en adoptant une vision globale de l'économie.

• Le gouvernement fédéral collabore avec d'autres ordres de gouvernement et le secteur privé pour discuter des préoccupations ou des questions liées à la sécurité économique.
• Le Service canadien du renseignement de sécurité peut également collaborer directement avec les parties prenantes pour les informer sur des vecteurs de menaces spécifiques.

Ingérence étrangère

Nous agissons rapidement pour mettre en œuvre La Loi sur la transparence et la responsabilité en matière d'influence étrangère (LTRIE).

• Nous avons désigné l'ancien directeur général des élections de la Colombie-Britannique, Anton Boegman, pour occuper ce poste, le Parlement examine présentement cette nomination.
• Le 3 janvier, le projet de règlement a été publié dans la Gazette du Canada, partie 1, pour consultation publique.
• Les exigences informatiques pour l'enregistrement seront prêtes le jour de l'entrée en vigueur de la loi.

Nous mettons en place un cadre solide et transparent pour protéger la démocratie canadienne.

• Les informations recueillies visent à garantir la transparence tout en préservant la vie privée.
• Nous proposons d'instaurer une amende pouvant aller jusqu'à 1 million de dollars.
• Par ailleurs, conformément à la LTRIE, une personne peut être passible d'une infraction punissable par procédure sommaire ou par mise en accusation.

Les systèmes de renseignement sont plus solides, les parlementaires sont plus en sécurité et les communautés sont mobilisées.

• Nous avons amélioré la manière dont le gouvernement traite les renseignements et mis en place des systèmes perfectionnés pour leur acheminement et leur suivi.
• Nous avons intensifié notre collaboration avec la société civile, en particulier dans la lutte contre la désinformation, qui empoisonne notre écosystème numérique.

Menaces économiques pesant sur les infrastructures essentielles (transport maritime, chaînes d'approvisionnement)

Notes PD

Q1 - Vous avez assuré à l'ancien ministre des Transports que vos fonctionnaires collaboraient avec la Colombie-Britannique « afin de l'aider à faire face aux risques liés à la sécurité à mesure que le processus de construction avance ». Quand exactement Sécurité publique Canada (SP) s'est-il engagé pour la première fois dans le dossier BC Ferries? Qu'est-ce qui a motivé cette implication initiale et comment comptez-vous les soutenir à l'avenir

• Les fonctionnaires de PS ont pris contact avec BC Ferries à la suite de la prise de contact de Transports Canada.
• BC Ferries avait déjà pris sa décision d'achat et cherchait un soutien pour gérer le contrat et les relations avec l'entrepreneur à l'avenir.

Q2 - Les documents que vous avez présentés à ce comité montrent que l'ancien ministre des Transports vous a écrit le 18 juin 2025 pour vous demander de veiller à ce que les implications en matière de sécurité fassent l'objet d'un « examen approfondi ». Quels travaux spécifiques votre ministère a-t-il réalisés en réponse à cette demande et quelles conclusions avez-vous communiquées

• SP joue un rôle important dans la coordination de l'examen de la sécurité nationale des investissements étrangers en vertu de la Loi sur Investissement Canada (LIC). Toutefois, elle n'examine pas les décisions d'approvisionnement au niveau provincial.
• BC Ferries était davantage intéressée par la discussion sur la meilleure façon de gérer le contrat et la relation avec l'entrepreneur à l'avenir.

Q3 - Les documents fournis au comité comprennent une note préparée à l'intention de votre sous-ministre qui identifie explicitement les préoccupations en matière de sécurité nationale soulevées par cette transaction, y compris les risques liés à la perturbation de la chaîne d'approvisionnement et à la proximité des routes de BC Ferries avec des biens fédéraux sensibles. Compte tenu de la gravité de ces préoccupations, quelles mesures votre ministère a-t-il prises pour évaluer et traiter ces risques une fois qu'ils ont été identifiés

• La note d'information ne traitait pas des préoccupations spécifiques concernant l'approvisionnement de BC Ferries. Elle portait plutôt sur les questions que SP pose généralement au début des évaluations menées en vertu de la Loi sur Investissement Canada.
• Les discussions ultérieures avec BC Ferries ont porté sur la gestion de la construction, étant donné que la décision d'approvisionnement avait déjà été prise.

Q4 - Cette question a mis en évidence les domaines dans lesquels le partage d'informations entre les ministères pourrait être amélioré. Quelles mesures sont prises pour améliorer ces processus et réduire la probabilité que des problèmes similaires se reproduisent

• SP travaille en collaboration avec d'autres ministères et organismes gouvernementaux, ainsi qu'avec d'autres ordres de gouvernement, afin de comprendre les menaces qui pèsent sur la sécurité économique lorsque des problèmes sont portés à son attention.
• L'identification et l'atténuation des risques dépendent également de la capacité des autres administrations à signaler de manière proactive les questions potentielles.

Q5 - Vos représentants ont déclaré dans des échanges par courriel qu'il n'existe actuellement aucune autorité pour procéder à un examen de sécurité nationale dans ce cas et que SP explore la possibilité de jouer un rôle plus important dans le domaine de la sécurité économique afin de renforcer la capacité du Canada à faire face aux menaces à la sécurité nationale qui pèsent sur notre économie. Pouvez-vous fournir une mise à jour sur ces travaux

• Le ministère évalue régulièrement l'efficacité de notre boîte à outils actuelle et formule des recommandations sur les améliorations possibles.
• En ce qui concerne plus particulièrement ce type d'investissement, des travaux sont en cours pour identifier et mieux protéger les infrastructures essentielles, et pour repérer les lacunes potentielles de notre boîte à outils actuelle en matière de sécurité économique.
• Tous ces domaines de travail dépendent fortement de la collaboration avec d'autres ministères.
• Comme vous le savez, le gouvernement parraine également une importante législation relative à la cybersécurité, qui permettra de renforcer la cybersécurité dans des secteurs clés réglementés par le gouvernement fédéral.

Q6 - Quelle est l'intention générale du gouvernement pour renforcer la sécurité économique du Canada

• La sécurité économique est une priorité clé du gouvernement. Par exemple, dans le cadre des responsabilités du gouvernement fédéral, un processus d'examen de la sécurité nationale a été mis en place pour les grands projets relevant de la Loi visant à bâtir le Canada.
• Les investissements du gouvernement dans les capacités et l'autonomie nationales s'inscrivent tous dans cette approche globale.
• Bien que le gouvernement cherche à diversifier le commerce et à attirer des investissements supplémentaires, notamment de la part de partenaires non traditionnels, les garde-fous en matière de sécurité économique restent importants.
• Ces mesures comprennent l'examen des investissements étrangers.
• En outre, le gouvernement parraine également un projet de loi sur la cybersécurité qui est actuellement examiné par le Comité permanent de la sécurité publique et nationale.
• D'autres travaux sont en cours en ce qui concerne les infrastructures essentielles et les mesures supplémentaires qui pourraient être nécessaires en matière de sécurité économique.
• Des mesures supplémentaires visant à atténuer les risques pourraient être prises par un autre ministère ou un autre ministre disposant du mandat et des pouvoirs appropriés dans un secteur spécifique, tel que les transports, les ressources naturelles et les finances.

Q7 - Votre ministère met en garde contre les menaces économiques et cybernétiques liées à la République populaire de Chine (RPC), notamment le risque que les fournisseurs soient soumis à des directives extrajudiciaires, mais le premier ministre (PM) Carney vient d'annoncer un partenariat stratégique avec la RPC. Votre ministère a-t-il modifié sa position en matière de sécurité nationale à l'égard de ces menaces entre la rédaction des documents et aujourd'hui

• Nos évaluations des risques n'ont pas changé. Le partenariat stratégique annoncé par le premier ministre Carney reconnaît qu'il y aura certains domaines de coopération qui pourraient s'avérer plus difficiles.
• Par exemple, le PM a mentionné des garde-fous concernant des secteurs tels que l'intelligence artificielle, les minéraux critiques et la défense.
• Les facteurs économiques, associés à des considérations de sécurité nationale, restent au cœur de l'approche canadienne visant à contrer et à atténuer les risques liés à l'intensification des relations commerciales, quel que soit le pays d'origine.
• Au cours des dernières années, le Canada a pris des mesures pour renforcer sa résilience et consolider ses outils de sécurité économique (p. ex. la modernisation de la Loi sur Investissement Canada, l'adoption de la Politique sur la recherche en technologies sensibles et sur les affiliations préoccupantes [Politique RTSAP], la publication de la Liste des technologies sensibles du Canada, etc.)
• En outre, dans le cadre de la Loi visant à bâtir le Canada, Sécurité publique soutient les considérations de sécurité nationale et économique dans l'objectif du gouvernement de renforcer l'économie.
• Ces garde-fous en matière de sécurité nationale et économique ont joué un rôle déterminant dans le positionnement du Canada afin de mieux collaborer avec un plus grand nombre de pays. Elle restera donc en vigueur et continuera d'orienter notre approche à l'avenir.

Q8 - Comment les Canadiens peuvent-ils être sûrs que la sécurité nationale n'est pas reléguée au second plan par les priorités commerciales

• Les facteurs économiques et les considérations liées à la sécurité nationale restent au cœur de l'approche canadienne visant à contrer et à atténuer les risques liés à l'intensification des relations commerciales, quel que soit le pays d'origine.
• Au cours des dernières années, le Canada a pris des mesures pour renforcer sa résilience et consolider ses outils de sécurité économique (p. ex. la modernisation de la Loi sur Investissement Canada, l'adoption de la Politique RTSAP, la publication de la Liste des technologies sensibles du Canada, etc.)
• En outre, dans le cadre de la Loi visant à bâtir le Canada, Sécurité publique intègre des considérations de sécurité nationale et économique afin de soutenir l'objectif du gouvernement de renforcer l'économie.
• Ces garde-fous économiques et de sécurité nationale ont joué un rôle déterminant dans le positionnement du Canada pour mieux collaborer avec la Chine et resteront donc en place et continueront d'éclairer notre approche à l'avenir.

Q9 - Avez-vous été consulté, vous et votre ministère, avant que le premier ministre Carney ne décide d'engager le Canada dans un partenariat stratégique avec la RPC? Avez-vous, vous ou votre ministère, réévalué votre ou vos évaluations des risques à la suite de ces partenariats stratégiques

• Le partenariat stratégique reflète la réalité en termes de la nécessité de diversifier les relations en matière de commerce et d'investissement.
• Nos évaluations des risques n'ont pas changé. Le partenariat stratégique annoncé par le PM reconnaît que certains domaines de coopération pourraient s'avérer plus difficiles.

Q10 - Pouvez-vous expliquer les mesures de protection mises en place pour que ce partenariat stratégique ne compromette pas la sécurité nationale du Canada

• Le processus d'examen des investissements étrangers en vertu de la Loi sur Investissement Canada se poursuivra comme auparavant, selon lequel les transactions d'investissement étranger sont examinées au cas par cas.
• De même, le ministère de la Sécurité publique a mis en place des mesures de sécurité en matière de recherche, ainsi que d'autres leviers gouvernementaux qui peuvent aider à identifier, prévenir et/ou atténuer les risques.
• Des mesures de protection supplémentaires pourraient être nécessaires dans certains secteurs spécifiques.
• Le ministère mène également une initiative visant à identifier les infrastructures essentielles d'importance nationale pouvant contribuer à clarifier les autorités et à renforcer les mécanismes d'intervention en matière de sécurité économique et d'autres menaces.

Q11 - Quelles mesures votre ministère a-t-il prises pour renforcer cette coordination et collaborer avec les provinces afin d'harmoniser les approches en matière de sécurité

• Le ministère et le portefeuille collaborent avec les parties prenantes provinciales, territoriales et du secteur privé à travers le Canada afin de sensibiliser et de coordonner les efforts sur des questions clés.
• Sécurité publique s'occupe d'un large éventail de questions liées à la sécurité économique, telles que les investissements étrangers, la sécurité de la recherche, la cybersécurité et les infrastructures essentielles.

Q12 - Dans une note remise à votre sous-ministre, l'une des préoccupations soulevées a été entièrement caviardée. Sans divulguer d'informations classifiées, pouvez-vous expliquer au comité la nature de cette préoccupation et garantir que Sécurité publique Canada a pris les mesures appropriées pour s'assurer qu'elle a été correctement évaluée et traitée

• Le ministère a conseillé le sous-ministre sur une série de questions et de problèmes tels que la structure de la transaction, les entités étrangères impliquées dans la construction, des détails tels que l'actionnaire ultime impliqué dans ces entités et les itinéraires que les navires emprunteront.

Q13 - Vous avez récemment déclaré dans les médias que vous ne partagez pas les préoccupations du premier ministre de l'Ontario Doug Ford concernant la cybersécurité des véhicules électriques chinois. Pouvez-vous nous en dire plus

• Comme je l'ai mentionné, tous les véhicules importés devront respecter les normes canadiennes.
• Il existe des risques pour la sécurité dont il faut tenir compte en ce qui concerne toute une série d'appareils connectés : appareils mobiles, équipements de réseau, caméras de vidéosurveillance, grues portuaires, drones, véhicules connectés, etc.
• Parallèlement, il existe des garde-fous importants, dont certains sont déjà en place, d'autres nécessitant d'être développés et mis en œuvre, afin de minimiser ou d'atténuer ces risques.
• La communauté canadienne de la sécurité et du renseignement travaille avec diligence pour évaluer et recommander des mesures visant à contrer les menaces à la sécurité du Canada et des Canadiens.
• Le gouvernement du Canada continuera d'investir dans la cybersécurité et de prendre des mesures pour protéger les Canadiens contre les menaces à la cybersécurité, y compris celles provenant de l'intelligence artificielle et des technologies émergentes.

Projet de loi C-8 et le rôle de Sécurité publique Canada dans la réponse aux risques

Notes PD

Q1 - Comment l'adoption du projet de loi C-8 renforcera-t-elle la réponse du Canada aux risques touchant les infrastructures essentielles

• La Loi sur la protection des cybersystèmes essentiels (LPCE), qui figure dans la partie 2 du projet de loi C-8, sera mise en œuvre en collaboration par six ministères et organismes – Sécurité publique Canada, ISDE, Transports Canada, Ressources naturelles Canada, ministère des Finances et le Centre de la sécurité des télécommunications – en reconnaissance du fait que la cybersécurité est une question horizontale qui doit être guidée par des objectifs communs et faire l'objet d'une réponse pangouvernementale harmonisée dans les divers secteurs.
• L'objectif de la LPCE est de protéger les systèmes cybernétiques essentiels qui soutiennent les infrastructures essentielles (IE) du Canada dans les secteurs des finances, des télécommunications, de l'énergie et des transports en établissant un cadre réglementaire visant à améliorer la cybersécurité des services et systèmes vitaux pour la sécurité nationale et la sécurité publique.
• L'annexe 1 de la Loi désigne les services et systèmes vitaux pour la sécurité nationale ou la sécurité publique des Canadiens. Elle comprend actuellement :
  • les services de télécommunications;
  • les systèmes de transport;
  • les systèmes bancaires;
  • les systèmes de compensation et de règlement;
  • les pipelines et lignes électriques interprovinciaux ou internationaux;
  • les systèmes d'énergie nucléaire.
• L'annexe 2 de la Loi définira les catégories d'exploitants responsables des services et systèmes vitaux identifiés à l'annexe 1, ainsi que l'organisme de réglementation responsable pour chaque catégorie. Les exploitants visés par une catégorie deviennent des exploitants désignés assujettis à la Loi.

Q2 - Pourquoi ces quatre secteurs ont-ils été choisis? Le projet de loi C-8 pourrait-il être élargi à d'autres secteurs

• Les secteurs des finances, de l'énergie, des télécommunications et des transports sont largement réglementés au niveau fédéral et ont été priorisés en raison de leur importance pour les Canadiens ainsi que pour d'autres secteurs, et des impacts qu'une interruption potentielle pourrait avoir sur notre vie quotidienne.
• Ces quatre secteurs constituent la base de la sécurité économique et nationale du Canada.
• Établir d'abord le cadre dans ces secteurs clés permet une future adoption dans d'autres secteurs qui sont en partie ou entièrement réglementés par les provinces.
• Après la sanction royale, le gouverneur en conseil a le pouvoir d'ajouter d'autres services et systèmes vitaux réglementés au niveau fédéral à l'annexe 1, les rendant assujettis à la LPCE. Cela inclut les parties des services d'eau qui relèvent de la réglementation fédérale.

Q3 - Quels ont été certains des constats de l'examen de la sécurité du réseau 5G réalisé par le gouvernement en 2022

L'examen a révélé que les risques seront plus difficiles à contenir dans les réseaux 5G en raison d'un niveau plus élevé d'interconnexion des fonctions sensibles du réseau. Une préoccupation particulière, applicable à tout fournisseur, est l'obligation de se conformer à des directives extrajudiciaires, comme c'est le cas pour Huawei et ZTE.

Q4 - Le projet de loi C-8 peut-il défendre contre des cybermenaces émergentes comme l'intelligence artificielle

La LPCE est conçue pour pouvoir s'adapter et améliorer la capacité du Canada à se défendre contre les cybermenaces découlant de technologies en évolution, comme l'intelligence artificielle (IA).

Q5 - Comment une future décision visant à restreindre les fournisseurs à haut risque pour les réseaux 5G pourrait-elle affecter l'accès à Internet dans les collectivités rurales du Canada

• Le projet de loi C-8 est conçu pour éviter des répercussions négatives sur l'accès à Internet dans les marchés ruraux et prend en compte les capacités limitées des petits fournisseurs.
• Tout futur décret pris en vertu du projet de loi C-8 ferait l'objet de consultations avec les entités visées. La législation exige également que le gouverneur en conseil et le ministre de l'Industrie considèrent divers facteurs avant de prendre un décret, y compris les impacts opérationnels et financiers sur les fournisseurs des services de télécommunications (FST), ainsi que les effets sur la prestation des services de télécommunications.
• Le gouvernement entend également collaborer avec l'industrie lors de la mise en œuvre de telles mesures pour s'assurer qu'elles tiennent compte des réalités logistiques et de la nécessité de maintenir la résilience des réseaux au Canada.
• En 2022, la proposition de restreindre les fournisseurs à haut risque pour les réseaux 4G et 5G prévoyait des échéanciers permettant le remplacement de l'équipement d'ici 2027. Cela permet prévisibilité et planification en fonction des cycles d'investissement.

Q6 - Comment le gouvernement a-t-il mobilisé les intervenants pour répondre aux principales préoccupations? Le commissaire à la protection de la vie privée a-t-il été consulté

Les consultations sur ce projet de loi ont commencé lorsqu'il a été initialement présenté sous le nom de projet de loi C-26, et elles incluaient le commissaire à la protection de la vie privée. Les commentaires des intervenants ont mené à des amendements importants, notamment des protections de la vie privée plus claires, des exigences de déclaration et des dispositions relatives à la diligence raisonnable, qui demeurent dans la version actuelle du projet de loi.

Q7 - La LPCE pourrait-elle s'appliquer aux infrastructures essentielles réglementées par les provinces et territoires

• Le cadre législatif s'applique uniquement aux services et systèmes réglementés au niveau fédéral dans les secteurs des finances, de l'énergie, des télécommunications et des transports.
• La législation peut servir de modèle aux provinces et territoires pour renforcer la sécurité des infrastructures essentielles relevant de leur compétence.

Q8 - Comment la LPCE interagira-t-elle avec les lois et règlements provinciaux ou territoriaux existants en matière de cybersécurité

• Les obligations prévues par la LPCE ne s'appliquent qu'aux parties des infrastructures réglementées au niveau fédéral; les provinces et territoires continueront de réglementer les infrastructures relevant de leur compétence.
• Le gouvernement collaborera avec les gouvernements provinciaux et territoriaux lors de l'élaboration des règlements afin d'assurer l'harmonisation et d'éviter les chevauchements.

Q9 - Existe-t-il des lois comportant des montants d'amendes similaires à ceux prévus dans le projet de loi C-8

• Les montants des amendes ont été reproduits à partir de législations existantes. Par exemple, en vertu de la Loi sur la radiocommunication, les cas de non-conformité peuvent entraîner des sanctions administratives pécuniaires allant jusqu'à 15 millions de dollars.
• Des régimes similaires à l'international prévoient aussi des pénalités comparables en raison des impacts potentiellement énormes des cyberincidents et du fait que les entités visées par ces pénalités – comme les FST – peuvent avoir des revenus très importants. Les pénalités maximales sont fixées suffisamment haut pour que les entreprises milliardaires prennent la conformité au sérieux.
• Dans la partie 1, le gouvernement doit tenir compte de divers facteurs lorsqu'il détermine une pénalité, y compris « la capacité de la personne à payer la pénalité ».
• Dans la partie 2, il est envisagé que les organismes de réglementation travaillent avec les exploitants de leur secteur respectif pour déterminer les montants des pénalités en tenant compte de l'historique de conformité ou de la nature de la violation.
• Des mécanismes d'allègement existent également, notamment la possibilité de conclure une entente de conformité avec l'organisme de réglementation, qui peut alors réduire la pénalité.
• Finalement, dans les deux cas, les pénalités maximales visent à favoriser la conformité, non à punir.

Q10 - Pourquoi le projet de loi C-8 ne prévoit-il pas des pouvoirs suffisants en matière de cybersécurité pour les véhicules

• La LPCE encadrerait la protection des cybersystèmes et des services en établissant des exigences pour les exploitants désignés d'infrastructures essentielles sous réglementation fédérale au Canada. Cela ne comprend cependant pas les importateurs de véhicules, les détaillants et les fabricants.
• Toutefois, dans l'Énoncé économique de l'automne de 2024, le gouvernement a reconnu les risques de sécurité potentiels associés à la technologie et aux composants qui permettent la connectivité des véhicules et envisage des options pour les gérer. Le gouvernement a également sollicité des commentaires sur la sécurité des véhicules dans le cadre de ses consultations publiques sur les pratiques commerciales injustes dans le domaine des véhicules électriques.

Q11 - On a récemment appris que d'autres pays (Norvège, Danemark, Royaume-Uni) se penchent sur la cybersécurité des véhicules de transport public fabriqués en Chine. Êtes-vous au courant de préoccupations semblables au Canada

• Le gouvernement du Canada est au courant de ces préoccupations, et sa priorité est d'assurer la sécurité des Canadiens au pays et à l'étranger. Les technologies connectées, comme les appareils mobiles, l'équipement de réseautage, les systèmes de surveillance, les drones et les véhicules connectés et automatisés présentent des risques pour la sécurité qui doivent être gérés avec soin.
• Le milieu canadien de la sécurité et du renseignement s'affaire avec diligence à évaluer les menaces et à fournir des conseils sur les mesures pour assurer la sécurité du Canada.
• Plusieurs mesures de protection importantes sont déjà en place pour atténuer ou réduire au minimum les risques liés aux véhicules connectés, mais des mesures supplémentaires seront nécessaires. Sécurité publique Canada continue de travailler en étroite collaboration avec des partenaires et des intervenants pour faire progresser ce dossier et s'assurer que le Canada peut continuer d'assurer efficacement la sécurité du pays.
• Des initiatives complémentaires à la LPCE seront essentielles pour accroître davantage la cyberrésilience du Canada, car la LPCE ne s'applique pas aux véhicules automobiles.
• Le gouvernement du Canada demeure déterminé à investir dans la cybersécurité et à prendre des mesures pour protéger les Canadiens contre les cybermenaces, y compris celles découlant de l'intelligence artificielle et d'autres technologies émergentes.

Q12 - Pourquoi la Loi sur la protection des cybersystèmes essentiels (LPCE) n'offre-t-elle pas de dispositions de « port sûr » (safe harbour)

• Les dispositions de port sûr dépassent la portée de cette loi.
• Un régime de port sûr est généralement établi lorsque la déclaration des cyberincidents est volontaire et qu'il offre des protections légales réduisant les risques liés à la divulgation d'information.
• La LPCE met en place un régime obligatoire de déclaration des incidents, avec des mécanismes pour protéger la confidentialité de l'information devant être transmise au gouvernement. Ainsi, les exploitants désignés ne devraient pas être exposés à un risque supplémentaire de responsabilité.

Q13 - Pourquoi la LPCE n'inclut-elle pas les services d'eau réglementés au niveau fédéral

• La majorité de la réglementation liée à l'eau — notamment en matière d'utilisation, d'allocation et de normes locales — est gérée par les municipalités.
• Le gouvernement du Canada priorise les secteurs de l'énergie, des finances, des télécommunications et des transports parce qu'ils sont réglementés au niveau fédéral, essentiels à la vie quotidienne des Canadiens et étroitement liés à d'autres secteurs essentiels. Toute perturbation aurait donc des répercussions importantes sur la sécurité publique et la sécurité nationale.
• Le gouverneur en conseil peut ajouter d'autres services et systèmes vitaux réglementés au niveau fédéral à l'annexe 1, les soumettant ainsi à la loi. Cela inclurait certaines parties des services d'eau réglementés au niveau fédéral.

Q14 - Pourquoi la déclaration des incidents ne requiert-elle pas une autorisation ministérielle

• La LPCE n'exige pas que le Centre de la sécurité des télécommunications Canada (CST) obtienne une autorisation ministérielle pour recevoir les déclarations obligatoires d'incidents, puisque l'activité ne contrevient pas au droit canadien et n'interfère pas avec une attente raisonnable en matière de vie privée.
• L'information contenue dans les déclarations d'incidents sera précisée dans les règlements, en consultation avec des intervenants tels que le commissaire au renseignement, et publiée dans la Partie II de la Gazette du Canada.
• Le CST reçoit déjà des déclarations volontaires d'incidents de la part des exploitants d'infrastructures essentielles et d'autres partenaires, qu'il gère dans le cadre de son régime actuel et de ses autorisations législatives. Les mesures strictes de protection de la vie privée du CST sont appliquées conformément à ses politiques opérationnelles internes, qui s'appliquent également à l'information divulguée au CST.
• Si une déclaration révèle qu'une entité nécessite un soutien supplémentaire du CST, toute activité subséquente — y compris la gestion de l'information liée — serait régie par le mandat et les lois existantes du CST, y compris l'obligation d'obtenir une autorisation ministérielle lorsque nécessaire, sous l'examen du Commissaire au renseignement.
• Le projet de loi C-8 n'accorde pas de nouveaux pouvoirs au CST, ni ne modifie son mandat ou le rôle du Commissaire au renseignement. Les activités opérationnelles sont déjà visées par un système robuste de surveillance comprenant le Comité des parlementaires sur la sécurité nationale et le renseignement, l'Office de surveillance des activités de sécurité nationale et de renseignement, le Commissaire à la protection de la vie privée, le Vérificateur général, la Commission canadienne des droits de la personne et le Commissaire aux langues officielles. De plus, au sein du CST, notre programme interne d’audit et d’évaluation examine régulièrement nos activités et formule des recommandations en vue de leur amélioration.

Lutter contre l'ingérence étrangère – questions prévues

Notes PD

Q1 - La Loi sur la transparence et la responsabilité en matière d'influence étrangère (LTRIE) a reçu la sanction royale en juin 2024, mais ses dispositions essentielles ne sont toujours pas en vigueur. Pourquoi le gouvernement a-t-il retardé l'entrée en vigueur de la LTRIE

• Trois éléments clés sont nécessaires pour que la LTRIE entre en vigueur :
  • la nomination d'un commissaire à la transparence en matière d'influence étrangère (Anton Boegman a été nommé);
  • l'élaboration de règlements qui énoncent les exigences détaillées en matière d'enregistrement, d'exemptions et de conformité;
  • la conception d'une solution informatique sécurisée pour soutenir le registre.
• Des travaux sont en cours sur tous les aspects afin d'assurer l'entrée en vigueur de la Loi dans les meilleurs délais. Dans des pays alliés, il a fallu plus de deux ans pour mettre en œuvre des efforts similaires.

Q2 - Quand le commissaire à la transparence en matière d'influence étrangère sera-t-il nommé et quel est l'échéancier pour établir le Bureau du commissaire

• Nous avons identifié l'ancien directeur général des élections de la Colombie-Britannique, Anton Boegman, pour le poste, et le gouvernement prend les mesures nécessaires pour confirmer l'admissibilité.
• Conformément au paragraphe 9(2) de la LTRIE, la nomination du commissaire nécessite l'approbation par résolution du Sénat et de la Chambre des communes.
• Avant cette approbation, des consultations doivent avoir lieu avec :
  • le chef de l'opposition à la Chambre des communes;
  • le chef de chacun des partis comptant au moins douze députés dans cette chambre;
  • le leader du gouvernement au Sénat et le leader de l'opposition au Sénat;
  • le leader de chacun des autres partis ou groupes parlementaires reconnus au Sénat;
• Après des consultations fructueuses, la nomination est effectuée par décision du gouverneur en conseil.
• Des travaux sont en cours pour embaucher le personnel nécessaire au fonctionnement du Bureau, concevoir le site Web du commissaire et trouver des locaux.

Q3 - Quand le registre et son système de gestion des cas seront-ils opérationnels, et comment cela pourra-t-il garantir la divulgation publique des activités d'influence étrangère en temps opportun

• Les personnes qui ont conclu une entente avec un commettant étranger pourront enregistrer cette entente dès le premier jour de l'entrée en vigueur de la Loi. À mesure que les enregistrements seront effectués, le Bureau du commissaire examinera les renseignements soumis et alimentera le registre public.
• Le règlement proposé dresse une liste exhaustive des renseignements qui seront publiés en ligne afin d'informer le public des activités d'influence étrangère en cours. Les renseignements que l'on propose de divulguer comprennent des renseignements sur les déclarants, des détails sur les commettants étrangers et des détails sur les activités d'influence étrangère.

Q4 - Le règlement proposé en application de la Loi a fait l'objet d'une publication préalable dans la Gazette du Canada. Le ministre peut-il décrire les éléments clés du règlement concernant l'enregistrement? 

• Le règlement proposé précise les types de renseignements qui seront recueillis, y compris des détails sur les déclarants, les commettants étrangers et les activités d'influence étrangère. Ces renseignements sont nécessaires pour comprendre qui participe aux ententes et les types d'activités d'influence qui seront entreprises.
• Le règlement proposé précise les renseignements qui seront accessibles au public dans le registre. La publication de ces renseignements clés sur les activités d'influence étrangère permettra au public d'être mieux informé.
• Le règlement proposé prévoit des délais clairs pour la mise à jour des renseignements d'un enregistrement, notamment que tout changement apporté aux renseignements soumis doit être consigné durant le mois suivant ce changement.

Q5 - Le ministre peut-il décrire les principaux éléments du règlement concernant la conformité

• Le règlement proposé décrit le régime de sanctions administratives pécuniaires, y compris le barème de sanctions et les facteurs qui déterminent le montant final. Ce régime fournira au commissaire les outils nécessaires pour assurer l'application de la Loi et le traitement des cas de non-conformité.
• Le règlement propose une gamme de sanctions allant de 50 dollars à 1 million de dollars. Ce barème permet au commissaire de tenir compte des antécédents d'observation de la Loi de la personne, de la gravité du préjudice à la transparence et de la capacité de payer de la personne avant d'imposer la sanction.
• Le commissaire pourrait aussi conclure des ententes de conformité avec les personnes contrevenant à la Loi, ce qui permettrait d'imposer des sanctions d'un montant réduit, voire de n'imposer aucune sanction, si la personne respecte les conditions établies. Au bout du compte, l'objectif est d'encourager la conformité et de ne pas être trop punitif.

Q6 - Le ministre peut-il décrire les principaux éléments du règlement concernant les exemptions à la Loi

Le règlement actuel stipule que toute personne ayant conclu une entente avec un commettant étranger dans le but d'influencer un processus politique ou gouvernemental canadien doit s'enregistrer. Le règlement ne prévoit aucune autre exemption en plus des éléments diplomatiques déjà décrits dans la Loi.

Q7 - Quels commentaires le gouvernement a-t-il reçus jusqu'à maintenant au sujet du règlement proposé, et le ministre peut-il aborder les principaux thèmes ou préoccupations soulevés pendant la période de consultation

• Les personnes avaient jusqu'au 2 février 2026 pour formuler des commentaires sur le règlement proposé. Nous sommes encore en train d'examiner les commentaires reçus.
• Le gouvernement maintiendra le dialogue avec les intervenants, y compris les communautés de la diaspora, pour veiller à ce que le régime demeure équitable, transparent et adapté.

Q8 - Comment le gouvernement intégrera-t-il les commentaires des intervenants, en particulier ceux des communautés de la diaspora, de la société civile et des experts en protection de la vie privée, avant de mettre la dernière main au règlement

Le règlement a été publié dans la Partie I de la Gazette du Canada pour une période de consultation de 30 jours, qui s'est terminée le 2 février 2026. Le gouvernement intégrera ces commentaires pour améliorer le règlement et veiller à ce qu'il s'harmonise avec les objectifs de la LTRIE. Sécurité publique Canada continue de collaborer régulièrement avec les communautés de la diaspora, la société civile et les experts en protection de la vie privée. De plus, ces groupes ont été informés du règlement publié afin qu'ils puissent fournir des commentaires supplémentaires.

Q9 - La LTRIE crée des obligations en matière d'enregistrement et de transparence, mais comment le gouvernement veillera-t-il à ce que ces exigences soient respectées et appliquées dans la pratique? Plus précisément, quelle approche sera adoptée à l'égard des enquêtes, des délais et des sanctions une fois que la Loi sera en vigueur

• Le but premier de la LTRIE est d'encourager la conformité. Le commissaire jouera un rôle clé en tant qu'éducateur, en informant le public des obligations relatives à l'enregistrement dans le but d'accroître la transparence.
• Le Bureau du commissaire à la transparence en matière d'influence étrangère aura également des équipes qui seront en mesure de répondre à toutes les questions du public ou des déclarants afin de garantir que les personnes qui doivent s'enregistrer aient la possibilité de poser des questions et de le faire avant que des mesures d'application de la loi ne soient prises.
• La LTRIE définit clairement les infractions qui mèneront à des mesures d'application de la loi. Ces infractions comprennent :
  • omettre de fournir des renseignements sur l'entente;
  • omettre de mettre à jour les renseignements sur l'entente;
  • fournir sciemment des renseignements faux ou trompeurs au commissaire;
  • entraver le travail du commissaire.
• Le commissaire dispose d'un mécanisme d'application de la loi, à savoir les sanctions administratives pécuniaires, dont les montants proposés dans le règlement peuvent aller de 50 dollars à 1 million de dollars. Les facteurs qui servent à déterminer le montant final d'une sanction incluent :
  • les antécédents d'observation de la Loi de la personne;
  • les répercussions d'une violation, y compris la gravité du préjudice réel ou potentiel à la transparence des activités d'influence étrangère;
  • la nature intentionnelle ou involontaire de la violation;
  • la capacité de payer de la personne;
  • la réceptivité de la personne et sa coopération avec le commissaire après avoir reçu un procès-verbal de violation.
• En cas de non-conformité plus grave, les sanctions peuvent mener à des amendes pouvant atteindre 5 millions de dollars, à des peines d'emprisonnement pouvant aller jusqu'à 5 ans, ou aux deux.

Q10 - Le gouvernement a-t-il mené des consultations préalables auprès des intervenants, et quelle mobilisation continue est prévue

• Au cours de la consultation préalable, le gouvernement a rencontré différents groupes afin d'intégrer leurs commentaires dans le cadre de 37 activités de mobilisation. Ces commentaires ont largement contribué à déterminer de nombreux aspects du règlement, y compris les renseignements qui devraient être recueillis auprès des déclarants.
• De plus, étant donné que le règlement proposé a été publié au préalable dans la Partie I de la Gazette du Canada, les groupes ont été informés afin qu'ils puissent fournir des commentaires supplémentaires.  

Q11 - Comment le cadre de la LTRIE se conformera-t-il à la Charte et aux lois relatives à la protection de la vie privée, et quelles mesures de protection protégeront les renseignements personnels de nature délicate et les renseignements sur la sécurité nationale

• La liberté d'expression et d'association est un élément important de la culture canadienne. Les exigences en matière d'enregistrement n'entravent pas ce droit. L'enregistrement favorise plutôt la transparence en ce qui concerne les activités d'influence étrangère.
• La LTRIE se conformera lois aux relatives à la protection de la vie privée en obtenant le consentement et en s'assurant que les seuls renseignements recueillis sont ceux qui aident le commissaire – et les Canadiens – à comprendre qui est impliqué, quel processus politique ou gouvernemental est ciblé et quelles sont les activités d'influence.
• Seuls les renseignements qui sont pertinents pour comprendre les ententes et qui ne portent pas atteinte au droit à la vie privée des personnes seront publiés. Par exemple, l'adresse du domicile est importante à des fins de communication, mais, comme elle n'est pas pertinente pour la sensibilisation du public et qu'elle porterait atteinte à la vie privée d'une personne, elle ne sera pas publiée.
• Nous veillons à ce que tous les renseignements soient protégés. Nous continuerons à respecter rigoureusement toutes les exigences applicables en matière de protection de la vie privée et des données.

Vue d'ensemble du projet de loi C-8 : la Loi concernant la cybersécurité

Partie 1 : Modifications à la Loi sur les télécommunications (LT)

Généralités

• La LT serait modifiée de façon à ajouter l'objectif stratégique suivant : « promouvoir la sécurité du système canadien de télécommunication ».
• Un pouvoir de prendre un décret ou un arrêté serait conféré au gouverneur en conseil et au ministre de l'Industrie en rapport avec cet objectif stratégique, lequel pourrait servir à contraindre les fournisseurs de services de télécommunication (FST) canadiens à prendre des mesures, si cela est jugé nécessaire pour protéger le système canadien de télécommunication contre toute menace, y compris l'interférence, la manipulation, la perturbation ou la dégradation.
• Le projet de loi exigerait que le gouverneur en conseil et le ministre de l'Industrie se consultent, le cas échéant, avant de prendre un décret ou un arrêté. En outre, le projet de loi prévoit une série de facteurs que le gouverneur en conseil et le ministre de l'Industrie doivent prendre en considération avant de prendre un décret ou un arrêté, notamment l'incidence opérationnelle et financière sur les FST concernés et l'effet sur la fourniture de services de télécommunication au Canada.
• Doté de ce pouvoir, le gouvernement pourrait prendre des mesures de sécurité afin de protéger le système de télécommunication, de la même manière que d'autres organismes réglementaires fédéraux peuvent le faire dans leurs secteurs des infrastructures essentielles respectifs.
• Innovation, Sciences et Développement économique Canada (ISDE) exercera ses responsabilités en matière de réglementation, et un régime de sanctions administratives pécuniaires serait établi et géré afin de promouvoir le respect des décrets, des arrêtés et des règlements pris par le gouverneur en conseil ou le ministre de l'Industrie.
• Une fois que les modifications apportées à la LT auront reçu la sanction royale, des décrets du gouverneur en conseil ou des arrêtés ministériels pourraient être pris à l'égard des FST.
• Les FST qui reçoivent un décret ou un arrêté pourront demander un contrôle judiciaire s'ils souhaitent en contester une partie (voir la section « Contrôle judiciaire » ci-dessous).

Partie 2 : Loi sur la protection des cybersystèmes essentiels (LPCE)

Généralités

• Comme la cybersécurité est un enjeu horizontal qui devrait être assorti des mêmes objectifs dans tous les secteurs et géré dans le cadre d'une intervention gouvernementale simplifiée, la LPCE sera mise en œuvre dans le cadre d'un processus de collaboration auquel participeront six ministères et organismes du gouvernement du Canada : Sécurité publique Canada, ISDE, Transports Canada, Ressources naturelles Canada, le ministère des Finances et le Centre de la sécurité des télécommunications.
• L'objectif de la LPCE est de protéger les cybersystèmes essentiels qui sous-tendent les infrastructures essentielles du Canada dans les secteurs des finances, des télécommunications, de l'énergie et des transports, en établissant un cadre réglementaire pour améliorer la cybersécurité des services et des systèmes qui sont essentiels à la sécurité nationale et à la sécurité publique.
• L'annexe 1 de la Loi désigne les services et les systèmes qui sont essentiels à la sécurité nationale ou à la sécurité publique des Canadiens. Actuellement, l'annexe 1 comprend ce qui suit :
• Services de télécommunication;
• Systèmes de transport;
• Systèmes bancaires et systèmes de compensations et de règlements (secteur des finances);
• Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux et systèmes d'énergie nucléaire (secteur de l'énergie).
• L'annexe 2 de la loi définira les catégories d'exploitants des services et systèmes essentiels mentionnés à l'annexe 1. Les exploitants appartenant à une catégorie sont des exploitants désignés soumis à la Loi.
• Ministre de la Sécurité publique : Conformément à la responsabilité d'exercer un leadership dans les domaines liés à la sécurité nationale et à la sécurité publique, le ministre assumera la responsabilité générale de la loi et dirigera un certain nombre de processus liés à la LPCE, y compris l'élaboration et la mise en œuvre de la réglementation.
• Gouverneur en conseil : La prise de décision par le gouverneur en conseil au titre de la LPCE fait en sorte qu'un large éventail de facteurs pertinents – y compris la sécurité nationale, les priorités économiques, le commerce, la compétitivité, les accords et engagements internationaux – soit pris en compte dans les décisions qui ont une incidence sur l'ensemble des secteurs.
• Autres ministres : Les autres ministres concernés seraient chargés de contribuer à l'élaboration de la réglementation, de participer aux discussions relatives aux politiques pour l'émission de directives sur la cybersécurité, de collaborer activement avec les organismes réglementaires et d'échanger des informations, le cas échéant, pour l'application de la Loi.
• Organismes réglementaires : La LPCE tire parti de l'expertise des organismes réglementaires et des relations qu'ils entretiennent avec les entités qu'ils réglementent actuellement conformément aux dispositions législatives en vigueur^{Note de bas de page 1}. L'annexe 2 de la LPCE désignera les catégories d'exploitants désignés ainsi que l'organisme réglementaire chargé d'appliquer la LPCE dans chaque catégorie.
• Centre canadien pour la cybersécurité : Le Centre pour la cybersécurité est chargé de recevoir les signalements d'incidents de cybersécurité en vertu de la LPCE, afin de pouvoir utiliser ces informations pour informer le gouvernement et tous les exploitants de cybersystèmes des menaces en matière de cybersécurité et de la manière de mieux se préparer à un cyberincident, de s'en protéger et de s'en remettre. Il recevra des ressources pour fournir des conseils, des orientations et des services :
• aux exploitants désignés afin de les aider à protéger leurs cybersystèmes essentiels;
• aux organismes réglementaires, dans le cadre de leurs obligations et fonctions de surveillance et d'évaluation de la conformité;
• à Sécurité publique Canada et aux ministères clés, ainsi qu'à leurs ministres, le cas échéant, pour les soutenir dans l'exercice de leurs pouvoirs et de leurs obligations en vertu de la Loi.
  

Obligations des exploitants désignés

Programme de cybersécurité

• La LPCE exigera des exploitants désignés qu'ils établissent un programme de cybersécurité qui décrit la façon dont la protection et la résilience de leurs cybersystèmes essentiels seront assurées.
• Les programmes de cybersécurité doivent être établis par les exploitants désignés dans les 90 jours suivant leur assujettissement à la Loi (c.-à-d. lorsqu'ils font partie d'une catégorie d'exploitants désignés publiée dans l'Annexe 2 de la LPCE). Une fois établi, le programme de cybersécurité doit être mis en œuvre et doit également être maintenu par l'exploitant désigné afin d'être à jour et de répondre à l'évolution des menaces et des technologies.
• Les programmes de cybersécurité doivent prévoir des mesures permettant :
• de recenser et de gérer les risques liés à la cybersécurité de l'organisation, y compris les risques liés à la chaîne d'approvisionnement de l'exploitant et à l'utilisation de produits et de services de tierces parties;
• de prévenir la compromission de leurs cybersystèmes essentiels;
• de détecter les incidents de cybersécurité affectant ou susceptibles d'affecter les cybersystèmes essentiels;
• de réduire au minimum les répercussions des incidents de cybersécurité sur les cybersystèmes essentiels.

Atténuation des risques liés à la chaîne d'approvisionnement

Compte tenu de la complexité croissante des chaînes d'approvisionnement^{Note de bas de page 2} et de la dépendance accrue à l'égard de l'utilisation de produits et de services de tierces parties (p. ex. le stockage de données dans le nuage ou les infrastructures en tant que services), les exploitants désignés peuvent être exposés à des risques importants de cybersécurité provenant de ces sources. Lorsque, dans son programme de cybersécurité, un exploitant désigné recense un risque en matière de cybersécurité pour ses cybersystèmes essentiels en relation avec sa chaîne d'approvisionnement ou son utilisation de services ou de produits de tierces parties, la LPCE exige que cet exploitant désigné atténue ces risques.

Signalement obligatoire des incidents de cybersécurité

• Sous le régime de la LPCE, les exploitants désignés devront signaler au Centre de la sécurité des télécommunications les incidents de cybersécurité qui touchent ou sont susceptibles de toucher leurs cybersystèmes essentiels, pour que le Centre pour la cybersécurité puisse s'en servir.
• Un seuil définissant cette obligation de signalement sera fixé par voie réglementaire.
• Cette nouvelle obligation permettra au gouvernement du Canada de disposer d'une source d'information fiable sur les menaces de cybersécurité qui pèsent sur les cybersystèmes essentiels. La disponibilité des rapports d'incident améliorera la visibilité de l'environnement global des menaces pour le Centre pour la cybersécurité, ainsi que la sensibilisation des organismes réglementaires aux menaces et aux tendances.
• Les constatations tirées des analyses des signalements d'incidents permettront au Centre pour la cybersécurité d'avertir les autres exploitants désignés et tout exploitant d'un cybersystème des menaces ou des vulnérabilités potentielles, et d'informer les Canadiens des risques et des tendances en matière de cybersécurité, permettant ainsi que la détection par une organisation serve à la prévention par une autre.

Directives de cybersécurité

• Grâce à divers mécanismes, le gouvernement du Canada peut être informé des risques pour la sécurité nationale ou la sécurité publique découlant des vulnérabilités en matière de cybersécurité et des menaces connexes pour les cybersystèmes essentiels et les services ou systèmes essentiels qu'ils sous-tendent.
  
• La LPCE crée un nouveau pouvoir pour le gouvernement : en vertu de la Loi, le gouverneur en conseil peut émettre des directives sur la cybersécurité pour ordonner à tout exploitant désigné de se conformer à une mesure, si le gouverneur en conseil estime, sur la base de motifs raisonnables, qu'une directive sur la cybersécurité est nécessaire, afin de protéger un cybersystème essentiel. Avant de prendre un décret, le gouverneur en conseil devrait en outre tenir compte de facteurs pertinents, tels que les incidences opérationnelles et financières.
• Les directives sur la cybersécurité viseraient certains exploitants désignés ou certaines catégories d'exploitants désignés, qui seraient tenus de prendre les mesures indiquées dans les directives sur la cybersécurité pour protéger un cybersystème essentiel, et de le faire dans un délai précis (p. ex. « L'exploitant A doit prendre la mesure X dans un délai de 30 jours »). L'exploitant désigné n'est pas autorisé à divulguer des informations concernant la directive sur la cybersécurité afin de protéger les renseignements confidentiels des exploitants désignés et d'empêcher l'exploitation ultérieure des vulnérabilités.
• L'exploitant désigné qui ne se conforme pas à une directive sur la cybersécurité pourrait se voir infliger une sanction administrative pécuniaire ou être accusé d'une infraction à la réglementation pouvant entraîner des amendes ou une peine d'emprisonnement.
• L'exploitant désigné soumis à une directive sur la cybersécurité pourrait demander un contrôle judiciaire à la Cour fédérale du Canada.
  

Contrôle judiciaire

• La Loi sur la lutte contre l'ingérence étrangère a modifié la Loi sur la preuve au Canada afin de créer un régime harmonisé d'instances sécurisées de contrôle des décisions administratives pour protéger et utiliser des informations sensibles dans les procédures de la Cour fédérale et de la Cour d'appel fédérale, qui s'applique désormais largement à la législation fédérale, y compris au projet de loi C-8.
• Le régime des instances sécurisées de contrôle des décisions administratives permet à un juge d'utiliser des informations sensibles dans sa prise de décision tout en garantissant la protection continue de ces informations contre la divulgation publique. Un juge pourrait désigner un conseiller juridique spécial s'il estime que les considérations d'équité et de justice naturelle l'exigent. Enfin, il exige qu'un résumé des informations confidentielles soit fourni à la partie non gouvernementale afin qu'elle soit raisonnablement informée.
• Outre les dispositions du régime des instances sécurisées de contrôle des décisions administratives qui s'appliqueront au projet de loi C-8, le ministre de l'Industrie pour la partie 1 et le ministre de la Sécurité publique pour la partie 2 ont la possibilité de retirer des éléments de preuve lors d'un contrôle judiciaire. Le juge est également tenu de garantir la confidentialité de tous les éléments de preuve, y compris les informations retirées par le ministre.

Projet de loi C-8 : cyberincidents ciblant les infrastructures essentielles du Canada (2023-2025)

Messages clés

• Les cybermenaces ne cessent d'augmenter en fréquence, en complexité et en sophistication. Le risque pour la sécurité publique, la sécurité nationale et l'économie est réel et croissant.
• Les cyberincidents coûtent cher aux Canadiens, car ils perturbent les services essentiels, exposent des données sensibles et font grimper les coûts des entreprises.
• Au cours des derniers mois, nous avons assisté à des incidents très médiatisés, notamment une attaque par rançongiciel contre Nova Scotia Power et une infiltration des serveurs et des systèmes logiciels de WestJet.
• L'attaque par rançongiciel de 2021 contre Colonial Pipeline, un important oléoduc des États-Unis, a démontré que les cyberincidents visant des infrastructures essentielles peuvent avoir des répercussions immédiates et importantes sur la société et l'économie, notamment des pénuries de carburant généralisées, des hausses de prix et des mouvements de panique dans la population.

Principales statistiques

• Le nombre d'incidents visant les infrastructures essentielles du Canada a considérablement augmenté.
  • En 2024-2025, 1 406 cyberincidents visant des infrastructures essentielles ont été recensés, soit une moyenne de près de quatre incidents par jour. C'est près de 20 % de plus que les 1 175 incidents signalés l'année précédente.^{Note de bas de page 3}
• Les rançongiciels sont la principale menace en matière de cybercriminalité pesant sur les infrastructures essentielles du Canada
  • En 2023, les incidents liés aux rançongiciels ont augmenté de 159 % dans le secteur des télécommunications, de 157 % dans le secteur des finances et de 67 % dans le secteur de l'énergie par rapport à l'année précédente.^{Note de bas de page 4}
• Chaque cyberincident a un coût pour les Canadiens, les entreprises et l'économie.
  • Les cyberincidents coûtent chaque année 5 milliards de dollars canadiens à l'économie canadienne.^{Note de bas de page 5}
  • Les coûts de reprise des activités pour les entreprises canadiennes ont doublé, passant de 600 millions de dollars canadiens en 2021 à 1,2 milliard de dollars canadiens en 2023.^{Note de bas de page 6}
  • Les organisations canadiennes paient en moyenne près de 7 millions de dollars canadiens par atteinte à la protection des données.^{Note de bas de page 7}
  • En 2023, la rançon moyenne versée au Canada était de 1,1 million de dollars canadiens.^{Note de bas de page 4}
• Les cyberincidents mettent en danger nos données sensibles.
  • Au cours de l'exercice financier 2024-2025, les organisations du secteur privé ont signalé 693 atteintes à la protection des données au Commissariat à la protection de la vie privée du Canada (CPVP), touchant environ 20 millions de comptes canadiens. Les secteurs des finances (31 %) et des télécommunications (12 %) sont les plus touchés.^{Note de bas de page 8}
  • Quatre Canadiens sur dix (43 %) ont déclaré avoir été touchés par une atteinte à la vie privée, selon le dernier sondage du CPVP auprès des Canadiens.^{Note de bas de page 8}
  • L'émergence rapide de tactiques d'extorsion doubles, triples et même maintenant quadruples accroît la pression sur les victimes pour qu'elles accèdent aux demandes de rançon et augmente la probabilité de nouvelles atteintes à la protection des données.
• Les cyberincidents ne sont souvent pas signalés, de sorte que les chiffres réels sont probablement beaucoup plus élevés.
  • Au cours de l'exercice financier 2024-2025, le Centre canadien pour la cybersécurité a reçu 380 rapports de cyberincidents de la part d'organisations liées aux infrastructures essentielles; le chiffre réel est probablement beaucoup plus élevé.^{Note de bas de page 3}

Principaux cyberincidents visant les infrastructures essentielles du Canada (2023 à aujourd'hui)

Projet de loi C-8 : consultation des parties prenantes sur la Loi sur la cybersécurité

Comprend ceux qui ont fourni des mémoires ou des témoignages aux comités parlementaires (SECU et SECD) et/ou ceux qui ont été consultés séparément.

Industrie

• Conseil canadien des affaires
• Autorité canadienne pour les enregistrements InternetChambre de commerce du Canada
• IBM Canada
• Bureau d'assurance du Canada
• Bruce Power
• BlackBerry
• Bauceron Security
• Électricité Canada
• Conseil de la radiodiffusion et des télécommunications canadiennesManulife
• Conseil des aéroports du Canada
• Information Technology Industry Council
• American Chamber of Commerce in Canada
• Global Container Terminals
• Eastlink
• Association des banquiers canadiens
• Association des chemins de fer du Canada
• Association canadienne des télécommunications
• Ingénieurs Canada
• National Centre for Critical Infrastructure Protection, Security and Resilience
• Bell
• Rogers
• TELUS
• Association canadienne du gaz
• Kyndryl Canada
• Tenable Inc.

Experts en cybersécurité et associations des libertés civiles

• Centre for International Governance Innovation
• Canadian Constitution Foundation
• Conseil du Canada de l'Accès et la vie Privée
• Citizen Lab
• OpenMedia
• Bouchard Avocats
• Association canadienne des libertés civiles
• International Civil Liberties Monitoring Group
• Ligue des droits et libertés
• Conseil national des musulmans canadiens
• Syndicat canadien de la fonction publique
• TechNation
• Ashar S., Ahmed, practicien en cybersécurité
• ISC2, inc.
• I-Sigma
• GeoComply Solutions Inc.
• Renforcer la cyberrésilience grâce à la collaboration
• Andrew Clement, professeur à l'Université de Toronto
• Matt Malone, Balsille Scholar

Gouvernements

• Commissaire au renseignement du CanadaCommissaire à la protection de la vie privée
• Gouvernements provinciaux et territoriaux
• Gouvernements municipaux
• Les principaux du groupe des cinq (Royaume-Uni, Australie, Nouvelle-Zélande, États-Unis)

Régulateurs

• Régie de l'énergie du Canada
• Commission canadienne de sûreté nucléaire
• Bureau du surintendant des institutions financières
• La Banque du Canada
• Le ministre de l'industrie
• Le ministre des transports

BC Ferries : calendrier général

• 16 septembre 2024 : BC Ferries a lancé un appel d'offres auprès des chantiers navals préqualifiés pour la construction de cinq nouveaux navires de grande taille, les contrats devant être attribués au printemps 2025, sous réserve de l'approbation du commissaire de BC Ferries.
• 13 décembre 2024 : BC Ferries a soumis une demande au commissaire afin d'obtenir l'autorisation d'acquérir cinq navires d'ici 2029, ce qui permettrait d'ajouter un douzième navire sur les routes principales.
• 21 février 2025 : BC Ferries a déposé une demande supplémentaire réaffirmant que la construction de cinq nouveaux navires de grande taille représentait l'option la plus rentable et la plus responsable pour les clients et les communautés côtières, en invoquant l'incertitude économique mondiale croissante.
• 31 mars 2025 : Le commissaire, qui a le pouvoir exclusif de déterminer les besoins en matière de navires, a approuvé l'acquisition de quatre navires.
  • Source pour les étapes clés de septembre 2024 à mars 2025
• 16 avril 2025 : Correspondance entre le PDG de BC Ferries et le sous-ministre des Transports du Canada concernant les considérations économiques et de sécurité nationale liées au fournisseur prévu.
  • p. 133 du dossier TRAN MPP 1 de TC
• 10 juin 2025 : À l'issue d'un processus de diligence raisonnable, BC Ferries annonce avoir sélectionné China Merchants Industry Weihai Shipyards, pour la construction de quatre nouveaux navires de grande taille.
  • Communiqué de presse
• 10-16 juin 2025 : Une déclaration publique attribuée à l'ancienne ministre Freeland indique qu'aucun fonds fédéral n'a été utilisé pour l'acquisition des ferries; ces déclarations ont ensuite été contredites.
• La déclaration n'a pas pu être retrouvée et aurait été publiée sur les réseaux sociaux, puis supprimée.
• 16 juin 2025 : L'ancienne ministre Freeland a écrit au ministre des Transports et de l'Infrastructure de la Colombie-Britannique pour lui faire part de sa déception face à la décision de BC Ferries, en faisant référence aux droits de douane chinois sur les produits canadiens et en soulevant des préoccupations en matière de sécurité. La lettre demandait la confirmation qu'aucun financement fédéral ne serait utilisé pour soutenir l'acquisition des navires.
• 18 juin 2025 : L'ancienne ministre Freeland a écrit au ministre de la Sécurité publique pour lui aviser que le gouvernement du Canada n'avait aucune autorité sur les décisions de BC Ferries, tout en réitérant ses préoccupations concernant les risques pour la sécurité et la cybersécurité et l'absence d'exigences en matière de contenu canadien.
• Juin 2025 : Le PDG de BC Ferries exprime au sous-ministre de Transports Canada ses préoccupations concernant la réaction du ministre, malgré l'avertissement confidentiel donné avant l'annonce publique de la décision.
  • Article de presse
• 7 juillet 2025 : Conformément à l'article 106(4) du Règlement, les membres du comité TRAN ont demandé la tenue d'une réunion afin d'examiner la question de l'approvisionnement de BC Ferries à la suite de l'annonce du choix du constructeur naval.
  • Avis de réunion
• 2029-2031 : Le premier de ces nouveaux navires devrait entrer en service en 2029, et quatre devraient être opérationnels d'ici 2031.

Informations supplémentaires

CMI Weihai a déjà livré des ferries modernes à Marine Atlantic Inc., une société d'État fédérale canadienne créée en 1986, qui remplit une obligation constitutionnelle d'assurer toute l'année un service quotidien de traversier entre North Sydney, en Nouvelle-Écosse, et Port aux Basques, à Terre-Neuve-et-Labrador

• Présentation de BC Ferries