Government of Canada / Gouvernement du Canada
Symbole du gouvernement du Canada

Recherche

Loi sur le Centre de la sécurité des télécommunications (L.C. 2019, ch. 13, art. 76)

Loi à jour 2024-03-06; dernière modification 2019-08-01 Versions antérieures

Activités

Note marginale :Aucune activité visant les Canadiens et les personnes se trouvant au Canada

  •  (1) Les activités menées par le Centre dans la réalisation des volets de son mandat touchant le renseignement étranger, la cybersécurité et l’assurance de l’information, les cyberopérations défensives ou les cyberopérations actives ne peuvent viser des Canadiens ou des personnes se trouvant au Canada et ne peuvent porter atteinte à la Charte canadienne des droits et libertés.

  • Note marginale :Aucune activité : infrastructure mondiale de l’information au Canada ou sans autorisation

    (2) Les activités menées par le Centre dans la réalisation des volets de son mandat touchant les cyberopérations défensives ou les cyberopérations actives ne peuvent viser une portion de l’infrastructure mondiale de l’information qui est au Canada ou être menées sans une autorisation délivrée en vertu des paragraphes 29(1) ou 30(1).

  • Note marginale :Contravention à d’autres lois : renseignement étranger

    (3) Les activités menées par le Centre dans la réalisation du volet de son mandat touchant le renseignement étranger ne doivent pas contrevenir aux autres lois fédérales ni viser l’acquisition par celui-ci d’information à partir de l’infrastructure mondiale de l’information ou par l’entremise de celle-ci qui porterait atteinte à une attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada, à moins d’être menées au titre d’une autorisation délivrée en vertu des paragraphes 26(1) ou 40(1).

  • Note marginale :Contravention à d’autres lois : cybersécurité et assurance de l’information

    (4) Les activités menées par le Centre dans la réalisation du volet de son mandat touchant la cybersécurité et l’assurance de l’information ne doivent pas contrevenir aux autres lois fédérales, ni viser l’acquisition par celui-ci d’information à partir de l’infrastructure mondiale de l’information qui porterait atteinte à une attente raisonnable de protection en matière de vie privée d’un Canadien ou d’une personne se trouvant au Canada, à moins d’être menées au titre d’une autorisation délivrée en vertu des paragraphes 27(1) ou (2) ou 40(1).

Note marginale :Activités du Centre

  •  (1) Malgré les paragraphes 22(1) et (2), le Centre peut mener les activités ci-après dans la réalisation de son mandat :

    • a) acquérir, utiliser, analyser, conserver et divulguer de l’information accessible au public;

    • b) acquérir, utiliser, analyser, conserver et divulguer de l’information sur l’infrastructure à des fins de recherche et de développement ou de mise à l’essai de systèmes ou pour mener des activités de cybersécurité et d’assurance de l’information dans l’infrastructure à partir de laquelle celle-ci a été acquise;

    • c) mettre à l’essai ou évaluer des produits, des logiciels et des systèmes, notamment pour des vulnérabilités.

  • Note marginale :Loi sur Investissement Canada

    (2) Malgré le paragraphe 22(1), le Centre peut, dans la réalisation de son mandat, analyser de l’information afin de fournir des conseils au ministre de la Sécurité publique et de la Protection civile et au ministre chargé de l’administration de la Loi sur Investissement Canada à l’égard des attributions conférées à ce dernier sous le régime de la partie IV.1 de cette loi.

  • Note marginale :Cybersécurité et assurance de l’information

    (3) Malgré le paragraphe 22(1), le Centre peut mener les activités ci-après dans la réalisation du volet de son mandat touchant la cybersécurité et l’assurance de l’information :

    • a) mener des activités dans les infrastructures de l’information afin de découvrir ou d’isoler des logiciels malveillants et de les empêcher d’y causer des dommages ou d’atténuer ceux-ci;

    • b) analyser de l’information afin d’être en mesure de fournir des conseils sur l’intégrité de la chaîne d’approvisionnement ainsi que sur la fiabilité des télécommunications, de l’équipement et des services.

  • Note marginale :Information acquise incidemment

    (4) Le Centre peut acquérir incidemment de l’information qui se rapporte à un Canadien ou à une personne se trouvant au Canada au cours d’activités menées au titre d’une autorisation délivrée en vertu des paragraphes 26(1), 27(1) ou (2) ou 40(1).

  • Note marginale :Définitions

    (5) Les définitions qui suivent s’appliquent au présent article.

    incidemment

    incidemment S’agissant de l’acquisition de l’information, s’entend de la manière dont celle-ci est acquise dans le cas où elle n’était pas délibérément recherchée et où le Canadien ou la personne se trouvant au Canada à qui elle se rapporte n’était pas visé par l’acquisition. (incidentally)

    information sur l’infrastructure

    information sur l’infrastructure Information liée :

    • a) soit à un élément fonctionnel, physique ou logique, de l’infrastructure mondiale de l’information;

    • b) soit aux évènements qui se produisent lors de l’interaction entre au moins deux dispositifs fournissant des services sur un réseau — à l’exclusion des dispositifs d’extrémité qui sont liés à des utilisateurs individuels — ou entre une personne physique et une machine, lorsque l’interaction concerne strictement un élément fonctionnel de l’infrastructure mondiale de l’information.

    La présente définition ne vise pas l’information qui pourrait être liée à une personne identifiable. (infrastructure information)

Note marginale :Mesures pour protéger la vie privée

 Le Centre veille à ce que des mesures pour protéger la vie privée des Canadiens et des personnes se trouvant au Canada soient en place en ce qui a trait à l’utilisation, à l’analyse, à la conservation et à la divulgation :

  • a) de l’information qui se rapporte à eux et qui a été acquise dans la réalisation des volets de son mandat touchant le renseignement étranger ou la cybersécurité et l’assurance de l’information;

  • b) de l’information accessible au public qui a été acquise en vertu de l’alinéa 23(1)a).

Note marginale :Activités : assistance technique et opérationnelle

  •  (1) Lorsque, dans la réalisation du volet de son mandat touchant ce domaine, le Centre fournit une assistance technique et opérationnelle à un organisme fédéral chargé de l’application de la loi ou de la sécurité, aux Forces canadiennes ou au ministère de la Défense nationale, le Centre a, quant à l’exercice d’une activité, les mêmes pouvoirs qu’aurait l’organisme fédéral, les Forces canadiennes ou le ministère s’ils menaient cette activité et est assujetti aux limites que la loi leur impose, y compris aux exigences de tout mandat applicable.

  • Note marginale :Exemptions, protections et immunités

    (2) Lorsque, dans la réalisation du volet de son mandat touchant ce domaine, le Centre fournit une assistance technique et opérationnelle à un organisme fédéral chargé de l’application de la loi ou de la sécurité, aux Forces canadiennes ou au ministère de la Défense nationale, toute personne autorisée à agir pour le compte du Centre bénéficie des mêmes exemptions, protections et immunités qui s’appliqueraient si les personnes autorisées à agir pour le compte de l’organisme fédéral, des Forces canadiennes ou du ministère menaient l’activité en question.

Autorisations

Autorisations de renseignement étranger et de cybersécurité

Note marginale :Autorisation de renseignement étranger

  •  (1) Le ministre peut délivrer au Centre une autorisation de renseignement étranger habilitant ce dernier, dans la réalisation du volet de son mandat touchant le renseignement étranger et malgré toute autre loi fédérale ou loi d’un État étranger, à mener toute activité précisée dans l’autorisation dans l’infrastructure mondiale de l’information ou par l’entremise de celle-ci.

  • Note marginale :Activités autorisées

    (2) Peuvent être comprises dans les activités ou catégories d’activités visées par l’autorisation de renseignement étranger les activités ou catégories d’activités suivantes :

    • a) accéder à des portions de l’infrastructure mondiale de l’information;

    • b) acquérir de l’information dans l’infrastructure mondiale de l’information ou par son entremise, notamment de l’information non sélectionnée;

    • c) installer, maintenir, copier, distribuer, rechercher, modifier, interrompre, supprimer ou intercepter quoi que ce soit dans l’infrastructure mondiale de l’information ou par son entremise;

    • d) prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l’activité;

    • e) mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l’exécution des activités ou catégories d’activités visées par l’autorisation.

Note marginale :Autorisation de cybersécurité : infrastructures fédérales

  •  (1) Le ministre peut délivrer au Centre une autorisation de cybersécurité habilitant ce dernier, dans la réalisation du volet de son mandat touchant la cybersécurité et l’assurance de l’information et malgré toute autre loi fédérale, à accéder à une infrastructure de l’information d’une institution fédérale ou à acquérir de l’information qui provient ou passe par cette infrastructure, qui y est destinée ou y est stockée afin d’aider à protéger, dans les cas visés à l’alinéa 184(2)e) du Code criminel, cette infrastructure contre tout méfait, toute utilisation non autorisée ou toute perturbation de leur fonctionnement.

  • Note marginale :Autorisation de cybersécurité : infrastructures non fédérales

    (2) Le ministre peut délivrer au Centre une autorisation de cybersécurité habilitant ce dernier, dans la réalisation du volet de son mandat touchant la cybersécurité et l’assurance de l’information et malgré toute autre loi fédérale, à accéder à une infrastructure de l’information désignée comme étant d’importance pour le gouvernement fédéral en vertu du paragraphe 21(1) ou à acquérir de l’information qui provient ou passe par cette infrastructure, qui leur est destinée ou y est stockée afin d’aider à protéger, dans les cas visés à l’alinéa 184(2)e) du Code criminel, cette infrastructure contre tout méfait, toute utilisation non autorisée ou toute perturbation de leur fonctionnement.

Note marginale :Approbation du commissaire

  •  (1) L’autorisation délivrée en vertu des paragraphes 26(1) ou 27(1) ou (2) est valide au moment où, s’il approuve l’autorisation conformément à l’alinéa 20(1)a) de la Loi sur le commissaire au renseignement, le commissaire fournit sa décision écrite au ministre.

  • Note marginale :Aucune activité sans autorisation valide

    (2) Il est entendu qu’aucune activité précisée dans l’autorisation délivrée en vertu des paragraphes 26(1) ou 27(1) ou (2) n’est autorisée tant que celle-ci n’est pas valide.

Autorisations de cyberopérations

Note marginale :Autorisation : cyberopérations défensives

  •  (1) Le ministre peut délivrer au Centre une autorisation de cyberopérations défensives habilitant ce dernier, dans la réalisation du volet de son mandat touchant les cyberopérations défensives et malgré toute autre loi fédérale ou loi d’un État étranger, à mener, dans l’infrastructure mondiale de l’information ou par son entremise, toute activité précisée dans l’autorisation.

  • Note marginale :Ministre des Affaires étrangères

    (2) Le ministre ne peut délivrer l’autorisation de cyberopérations défensives que s’il a consulté le ministre des Affaires étrangères.

Note marginale :Autorisation : cyberopérations actives

  •  (1) Le ministre peut délivrer au Centre une autorisation de cyberopérations actives habilitant ce dernier, dans la réalisation du volet de son mandat touchant les cyberopérations actives et malgré toute autre loi fédérale ou loi d’un État étranger, à mener, dans l’infrastructure mondiale de l’information ou par son entremise, toute activité précisée dans l’autorisation.

  • Note marginale :Ministre des Affaires étrangères

    (2) Le ministre ne peut délivrer l’autorisation de cyberopérations actives que si le ministre des Affaires étrangères demande ou consent qu’elle soit délivrée.

  • Note marginale :Demande ou consentement par écrit

    (3) La demande ou le consentement du ministre des Affaires étrangères peut être fait oralement, auquel cas ce dernier doit en fournir au ministre une confirmation écrite dès que possible.

Note marginale :Activités autorisées

 Peuvent être comprises dans les activités ou catégories d’activités visées par une autorisation délivrée en vertu des paragraphes 29(1) ou 30(1) les activités ou catégories d’activités suivantes :

  • a) accéder à des portions de l’infrastructure mondiale de l’information;

  • b) installer, maintenir, copier, distribuer, rechercher, modifier, interrompre, supprimer ou intercepter quoi que ce soit dans l’infrastructure mondiale de l’information ou par son entremise;

  • c) prendre toute mesure qui est raisonnablement nécessaire pour assurer la nature secrète de l’activité;

  • d) mener toute autre activité qui est raisonnable dans les circonstances et est raisonnablement nécessaire pour faciliter l’exécution des activités ou des catégories d’activités visées par l’autorisation.

Note marginale :Interdictions

  •  (1) Dans le cadre de toute activité menée au titre d’une autorisation délivrée en vertu des paragraphes 29(1) ou 30(1), le Centre ne peut :

    • a) causer, intentionnellement ou par négligence criminelle, des lésions corporelles à une personne physique ou la mort de celle-ci;

    • b) tenter intentionnellement de quelque manière d’entraver, de détourner ou de contrecarrer le cours de la justice ou de la démocratie.

  • Note marginale :Définition de lésions corporelles

    (2) Au paragraphe (1), lésions corporelles s’entend au sens de l’article 2 du Code criminel.

Processus

Note marginale :Demandes d’autorisation

  •  (1) Le ministre ne peut délivrer une autorisation visée aux paragraphes 26(1), 27(1) ou (2), 29(1) ou 30(1) que si le chef lui en fait la demande par écrit.

  • Note marginale :Contenu de la demande

    (2) La demande expose les faits qui permettraient au ministre de conclure qu’il y a des motifs raisonnables de croire que l’autorisation est nécessaire et que les conditions de sa délivrance sont remplies.

  • Note marginale :Demande écrite du propriétaire ou de l’opérateur de l’infrastructure

    (3) S’agissant de l’autorisation visée au paragraphe 27(2), la demande doit être accompagnée d’une demande écrite du propriétaire ou de l’opérateur de l’infrastructure de l’information auprès du Centre en vue de mener l’activité en cause.

  • Note marginale :Demande ou consentement du ministre des Affaires étrangères

    (4) S’agissant de l’autorisation visée au paragraphe 30(1), la demande doit être accompagnée de la demande ou du consentement prévu au paragraphe 30(2) dans le cas où ils ont été faits par écrit.

Note marginale :Conditions des autorisations

  •  (1) Le ministre ne peut délivrer l’autorisation visée aux paragraphes 26(1), 27(1) ou (2), 29(1) ou 30(1) que s’il conclut qu’il y a des motifs raisonnables de croire que l’activité en cause est raisonnable et proportionnelle compte tenu de la nature de l’objectif à atteindre et des activités.

  • Note marginale :Conditions : autorisation de renseignement étranger

    (2) Le ministre ne peut délivrer l’autorisation visée au paragraphe 26(1) que s’il conclut qu’il y a des motifs raisonnables de croire, outre ce qui est prévu au paragraphe (1) :

    • a) que l’information à acquérir au titre de l’autorisation ne peut raisonnablement être acquise d’une autre manière et ne sera pas conservée plus longtemps que ce qui est raisonnablement nécessaire;

    • b) que l’information non sélectionnée à acquérir au titre de l’autorisation ne peut raisonnablement être acquise d’une autre manière, dans le cas où l’autorisation vise l’acquisition d’informations non sélectionnées;

    • c) que les mesures visées à l’article 24 permettront d’assurer que l’information acquise au titre de l’autorisation qui est identifiée comme se rapportant à un Canadien ou à une personne se trouvant au Canada sera utilisée, analysée ou conservée uniquement si elle est essentielle aux affaires internationales, à la défense ou à la sécurité.

  • Note marginale :Conditions : autorisation de cybersécurité

    (3) Le ministre ne peut délivrer l’autorisation visée aux paragraphes 27(1) ou (2) que s’il conclut qu’il y a des motifs raisonnables de croire, outre ce qui est prévu au paragraphe (1) :

    • a) que l’information à acquérir au titre de l’autorisation ne sera pas conservée plus longtemps que ce qui est raisonnablement nécessaire;

    • b) dans le cas de l’autorisation visée au paragraphe 27(1), que le consentement des personnes dont l’information peut être acquise ne peut raisonnablement être obtenu;

    • c) que l’information à acquérir est nécessaire pour découvrir, isoler, prévenir ou atténuer des dommages :

      • (i) aux informations électroniques ou aux infrastructures de l’information des institutions fédérales, dans le cas de l’autorisation visée au paragraphe 27(1),

      • (ii) aux informations électroniques ou aux infrastructures de l’information désignées comme étant d’importance pour le gouvernement fédéral en vertu du paragraphe 21(1), dans le cas de l’autorisation visée au paragraphe 27(2);

    • d) que les mesures visées à l’article 24 permettront d’assurer que l’information acquise au titre de l’autorisation qui est identifiée comme se rapportant à un Canadien ou à une personne se trouvant au Canada sera utilisée, analysée ou conservée uniquement si elle est essentielle pour découvrir, isoler, prévenir ou atténuer des dommages :

      • (i) aux informations électroniques ou aux infrastructures de l’information des institutions fédérales, dans le cas de l’autorisation visée au paragraphe 27(1),

      • (ii) aux informations électroniques ou aux infrastructures de l’information désignées comme étant d’importance pour le gouvernement fédéral en vertu du paragraphe 21(1), dans le cas de l’autorisation visée au paragraphe 27(2).

  • Note marginale :Conditions : cyberopérations défensives et actives

    (4) Le ministre ne peut délivrer l’autorisation visée aux paragraphes 29(1) ou 30(1) que s’il conclut, outre ce qui est prévu au paragraphe (1), qu’il y a des motifs raisonnables de croire que l’objectif de la cyberopération ne peut raisonnablement être atteint d’une autre manière et qu’aucune information ne sera acquise au titre de l’autorisation, sauf conformément à une autorisation délivrée en vertu des paragraphes 26(1), 27 (1) ou (2) ou 40(1).

 

Date de modification :