La Chambre de commerce du Canada témoigne devant le Comité permanent de la sécurité publique et nationale

Le 5 février 2024, notre directrice principale de l’économie numérique, de la technologie et de l’innovation, Ulrike Bahr-Gedalia, s’est adressée au Comité permanent de la sécurité publique et nationale de la Chambre des communes pour discuter du projet de loi C-26, Loi sur la cybersécurité. Elle a souligné l’importance cruciale de la cybersécurité, en particulier pour les PME, et a plaidé en faveur d’une approche axée sur la prévention. Elle a présenté des recommandations clés, notamment la nécessité de définir clairement les incidents de cybersécurité à signaler et de prévoir une période de déclaration de 72 heures. Tout en exprimant son soutien au projet de loi C-26, elle a souligné les points à améliorer, tels que la possibilité de partager l’information dans les deux sens et la garantie d’un contrôle parlementaire total des arrêtés ministériels, et a encouragé les membres du comité à s’engager directement auprès des fournisseurs de télécommunications.

Les remarques (traduites) et l’enregistrement vidéo (en anglais uniquement) sont disponibles ci-dessous.

Monsieur le président, Mesdames et Messieurs les membres du Comité, bon après-midi.
 
Je m’appelle Ulrike Bahr-Gedalia, et je suis directrice principale de l’économie numérique, de la technologie et de l’innovation à la Chambre de commerce du Canada.
 
Je suis également l’architecte et la responsable des politiques à la Chambre du Canada pour le Comité de l’économie numérique, le Conseil sur l’avenir de l’intelligence artificielle et le Conseil de la Cybersécurité.Dès.Maintenant.

En tant qu’association d’entreprises la plus importante et la plus dynamique au Canada, représentant plus de 400 chambres de commerce et plus de 200 000 entreprises de toutes tailles, de tous les secteurs de l’économie et de toutes les régions du pays, la Chambre de commerce du Canada est heureuse d’avoir l’occasion de faire part de ses commentaires sur le projet de loi C-26.
 
Depuis près de trois ans, notre campagne Cybersécurité.dès.maintenant demande au gouvernement d’accorder la priorité à la cybersécurité et de mettre l’accent sur une approche axée sur la prévention et sur un meilleur partage de l’information.
 
Aujourd’hui, j’aimerais partager quelques grandes recommandations et expliquer pourquoi la cybersécurité est importante pour la Chambre de commerce du Canada et ses membres au sein de l’économie canadienne.
 
Plus de 98 % des entreprises canadiennes sont des petites ou moyennes entreprises. Les PME ont besoin d’être mieux sensibilisées aux menaces de la cybersécurité, d’être mieux protégées et d’être mieux formées pour utiliser l’ensemble des outils à leur disposition afin de protéger les Canadiens contre les acteurs malveillants.
 
À l’instar d’autres pays, le Canada est confronté à un monde numérique de plus en plus complexe et exposé aux risques. Avec un déficit de compétences en cybersécurité de quelque quatre millions de personnes dans le monde et un nombre sans cesse croissant d’appareils connectés (au moins 67 milliards d’appareils et plus), les défis et les coûts associés à la sécurisation de notre monde numérique sont de plus en plus importants.
 
Si toutes les organisations, quelle que soit leur taille et leur secteur d’activité, sont exposées à un risque de cyberattaque, rares sont celles qui courent le même risque réel de cyberattaques paralysantes que les entreprises du secteur des infrastructures critiques. Cette menace ne fera que croître, car nos infrastructures essentielles dépendent de plus en plus de logiciels et de technologies connectées pour assurer leur fonctionnement.
 
Nous sommes heureux de voir le projet de loi C-26 passer à l’étape de l’étude en comité et nous soutenons le projet de loi dans son ensemble. Cependant, certains amendements sont nécessaires pour que le projet de loi atteigne son plein potentiel.

Plus précisément, nos membres du secteur des télécommunications ont exprimé leurs préoccupations à l’égard de certaines dispositions de la Loi sur les télécommunications, comme l’absence d’une défense de diligence raisonnable pour les violations de l’article 15 de la partie 1 entraînant des sanctions pécuniaires et l’étendue des pouvoirs ministériels de prise d’ordonnances. Je ferai remarquer que cette protection est présente ailleurs dans le projet de loi C-26, notamment en ce qui concerne les cyberdirections dans la partie 2, la LPRPDE, ainsi que la procédure régulière et le contrôle parlementaire des ordonnances ministérielles.

J’encourage le Comité à contacter les fournisseurs de télécommunications, car il est important d’entendre leur point de vue de première main.

En ce qui concerne la LPRPDE, nos membres souhaitent les améliorations suivantes.

• Tout d’abord, une définition plus claire d’un incident de cybersécurité devant faire l’objet d’un signalement. Cela permettra de s’assurer que l’industrie n’est pas forcée de rapporter des événements qui ne représentent pas une menace matérielle pour un système vital. L’absence de définition claire des paramètres d’un incident à signaler nuira à l’objectif de C-26 et submergera les autorités gouvernementales, qui devront traiter et évaluer chaque cyberincident signalé.
• Deuxièmement, permettre un délai de 72 heures pour les rapports sur les incidents de cybersécurité, au lieu d’un rapport immédiat. Le fait d’autoriser le signalement « dans les 72 heures » donne aux organisations le temps d’enquêter et s’harmonise avec les régimes existants, comme celui des États-Unis, un de nos principaux partenaires commerciaux.
• Enfin, le partage d’informations dans les deux sens est crucial. Dans sa version actuelle, la LPRPDE envisage seulement un partage d’informations à sens unique entre les opérateurs désignés et le gouvernement. Nous pensons qu’il s’agit là d’une occasion manquée et d’une lacune potentielle, qui souligne l’approche axée sur la prévention d’abord déjà mentionnée : plus nous disposons d’informations, plus nous pouvons travailler ensemble et mieux nous pouvons aider à prévenir les incidents.

Je vous remercie de votre écoute et de l’occasion qui m’a été donnée de participer à l’étude du projet de loi C-26.