La Chambre du Canada s’adresse au Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants le projet de loi C-26

Le 4 novembre 2024, notre directrice principale de l’économie numérique, de la technologie et de l’innovation, Ulrike Bahr-Gedalia, a comparu devant le Comité sénatorial permanent de la sécurité nationale, de la défense et des anciens combattants pour exprimer nos préoccupations concernant le projet de loi C-26, Loi sur la cybersécurité.

Les Canadiens accédant fréquemment aux services numériques, les risques sont plus élevés que jamais et sont considérés comme une « menace persistante pour les Canadiens » par le Centre canadien de cybersécurité. La protection de la vie privée et des données ainsi que la sécurisation des infrastructures critiques, des chaînes d’approvisionnement et des entreprises de toutes tailles du Canada contre les cybermenaces sont des mesures essentielles dans notre économie moderne. Le temps presse et l’environnement géopolitique continue de se dégrader, parallèlement à la cybercriminalité qui ne cesse de s’aggraver.

Vous pouvez accéder aux remarques complètes ainsi qu’à l’enregistrement de la séance ci-dessous

Monsieur le président, membres du Sénat, bonsoir.

Je me nomme Ulrike Bahr-Gedalia et je suis directrice principale de l’économie numérique, de la technologie et de l’innovation à la Chambre de commerce du Canada.

Je suis également responsable des politiques à la Chambre du Canada pour le Comité de l’économie numérique, le Conseil sur l’avenir de l’intelligence artificielle et le Conseil pour la Cybersécurité.dès.maintenant.

En tant que réseau d’affaires le plus important et le plus dynamique au Canada, représentant plus de 400 chambres de commerce, une centaine d’associations et plus de 200 000 entreprises de toutes tailles et de tous les secteurs économiques du Canada, la Chambre de commerce du Canada est honorée d’être à nouveau invitée à vous faire part de ses commentaires sur le  rojet de loi C-26, à la suite de notre intervention devant le SECU en février dernier.

J’aimerais commencer par saluer l’adoption de certains changements proposés par la Chambre de commerce lors de l’étude du projet de loi en comité.

• La suppression de l’article 10, rétablissant ainsi la défense de diligence raisonnable;  
• Le retrait de l’obligation de signaler immédiatement les incidents de cybersécurité;
• L’harmonisation avec les obligations existantes.

J’aimerais également faire mention de la récente nomination de Sami Khoury en tant qu’agent supérieur pour la cybersécurité, un rôle et une responsabilité pour laquelle la Chambre de commerce du Canada a plaidé dans le cadre de sa campagne Cybersécurité.dès.maintenant. au cours des deux dernières années dans le but d’assurer la cohérence des politiques, la coordination des activités et des initiatives en matière de cybersécurité et l’alignement des ressources au sein du gouvernement, tout en augmentant et en améliorant le partage bilatéral d’informations, ce qui était également une préoccupation que nous avions exprimée lors de notre précédent témoignage.

Bien que nous soyons heureux de voir le Comité SECU de la Chambre des communes conclure son étude sur le projet de loi C-26, et que nous soutenions le projet de loi dans son ensemble, certains amendements sont encore nécessaires à ce stade pour s’assurer que le projet de loi atteigne son plein potentiel.

Plus précisément, en ce qui concerne la Loi sur les télécommunications : bien que nous applaudissions la Chambre d’avoir apporté des modifications importantes au projet de loi, y compris en ce qui concerne la défense de diligence raisonnable pour les sanctions administratives pécuniaires, nous demeurons préoccupés par le fait que le projet de loi laisse entendre que les sociétés ne peuvent pas être indemnisées pour les changements qu’elles pourraient devoir apporter dans le cadre de ce régime. Nous pensons que le Sénat devrait amender la législation pour permettre au ministre ou au gouverneur en conseil d’accorder des compensations au cas par cas.

En ce qui concerne la LPCE, nos membres continuent à demander les améliorations suivantes :

• Le partage bilatéral de l’information. Dans sa version actuelle, la LPCE envisage seulement un partage d’informations à sens unique entre les opérateurs désignés et le gouvernement. Nous pensons qu’il s’agit là à la fois d’une erreur et d’une faille potentielle.
• Une définition plus claire de ce qu’est un incident de cybersécurité devant faire l’objet d’un rapport. Ceci aura pour effet de rassurer les entreprises sur le fait qu’elles ne sont pas obligées de faire des rapports sur des événements qui ne représentent pas une menace sérieuse pour un système vital. L’absence de définition claire des paramètres d’un incident à signaler nuit à l’objectif du projet de loi et submergera les autorités gouvernementales, qui devront traiter et évaluer chaque cyberincident signalé.

Une autre source de préoccupation majeure est la hausse continue des incidents liés aux rançongiciels. Dans ce contexte, nous félicitons le Canada pour sa participation à l’Initiative de lutte contre les rançongiciels (ILR) internationale), qui comprend la mise en place d’un groupe consultatif du secteur public-privé.

Les faits suivants illustrent la gravité de la situation et l’urgence d’agir dans ce domaine :

• La GRC affirme que près de 60 % des cyberincidents signalés à son Centre national de coordination en cybercriminalité sont des attaques par rançongiciel.
• Le Centre canadien pour la cybersécurité qualifie les rançongiciels de « forme de cybercriminalité la plus perturbatrice à laquelle le Canada est confronté ». 
• Sa plus récente Évaluation des cybermenaces nationales indique que le rançongiciel est la principale menace cybercriminelle à laquelle sont confrontées les infrastructures essentielles du Canada. Or, le projet de loi C-26 vise à protéger les infrastructures essentielles du Canada.

Bien que le projet de loi contribue à accroître la vigilance à l’égard des rançongiciels et d’autres cybermenaces, nous pensons que la problématique des rançongiciels nécessite davantage de discussions et d’études sur la place publique et nous encourageons le Sénat à examiner la manière dont ce fléau affecte notre pays au-delà des infrastructures essentielles sur lesquelles le gouvernement fédéral a concentré ses efforts dans le cadre du projet de loi.

Comme il faut davantage de mesures collectives et une meilleure coordination pour lutter contre ce défi croissant, la Chambre de commerce, en collaboration avec son Conseil pour la Cybersécurité.dès.maintenant, organisera sa deuxième Journée sur la Colline sur la cybersécurité et le rançongiciel à la fin du mois au cours de laquelle nous discuterons avec avec de hauts fonctionnaires de l’ensemble des ministères, services et organismes gouvernementaux.

Pour terminer, nous souhaitons insister sur l’urgence d’adopter le projet de loi, afin que nous puissions passer à l’élaboration des réglementations et du cadre de mise en œuvre. Le temps presse et l’environnement géopolitique continue de se dégrader, parallèlement à la cybercriminalité qui ne cesse de s’aggraver.

Je vous remercie de m’avoir écouté et de m’avoir donné l’occasion de participer à l’étude du projet de loi C-26.