Merci, monsieur le président. Je vais commencer, si cela vous convient.
Je m'appelle Annette Ryan. Je suis sous-ministre adjointe déléguée de la Direction de la politique du secteur financier au ministère des Finances. Je suis accompagnée de Robert Sample, directeur général de la Division de la stabilité financière et des marchés des capitaux, ainsi que de Judy Cameron, directrice principale du Bureau du surintendant des institutions financières du Canada, ainsi que de son collègue. Nous sommes heureux d'être ici avec vous aujourd'hui.
Mes remarques porteront sur deux sujets que je crois pertinents dans le contexte des questions dont vous êtes saisis. Plus particulièrement, je vais préciser les rôles des ministères et agences du gouvernement ainsi que des acteurs du secteur privé dans le cadre fédéral régissant le secteur financier, et fournir une mise à jour au Comité quant aux efforts entrepris par le ministère des Finances, les organismes fédéraux de réglementation et les banques pour appuyer la cybersécurité et la protection des données.
La protection de la vie privée et des données personnelles et financières des Canadiens est un objectif partagé du gouvernement et du secteur privé; il s'agit d'un objectif qui est essentiel au maintien continu de la confiance dans le système bancaire canadien.
Je vais aborder la question des rôles au sein du gouvernement fédéral, puis de celui des gouvernements provinciaux et des acteurs du secteur privé.
Le ministère des Finances et les organismes fédéraux de surveillance du secteur financier sont chargés des lois et des règlements qui régissent le système bancaire canadien sous juridiction fédérale. Collectivement, nous établissons les attentes et en surveillons la mise en œuvre afin de garantir que les risques opérationnels liés à la cybersécurité et à la protection de la vie privée sont convenablement gérés par les institutions financières que nous réglementons.
Le ministre des Finances a une responsabilité générale envers la stabilité et l'intégrité du système financier canadien. La cybersécurité est un aspect essentiel de la stabilité du secteur financier, car elle permet au secteur de demeurer résilient face aux cybermenaces et aux cyberattaques.
Le ministère de la Sécurité publique a, à son tour, reconnu le secteur des services financiers comme un secteur d'importance critique dans le cadre de sa Stratégie nationale sur les infrastructures essentielles.
Le ministère des Finances travaille étroitement avec un ensemble d'intervenants responsables de la réglementation du secteur financier et de la cybersécurité, tant au niveau national qu'avec nos partenaires internationaux, afin de s'assurer que le secteur adopte des pratiques appropriées pour favoriser la cyber-résilience et la protection des données et aussi afin de faire en sorte que les besoins du secteur financier soient pris en compte dans les politiques portant sur l'ensemble de l'économie et la législation ayant trait à la cybersécurité et à la protection des données.
Je vais maintenant aborder les responsabilités des différents régulateurs du secteur financier. Le Bureau du surintendant des institutions financières, l'organisme de réglementation prudentielle des institutions financières fédérales — par exemple, les banques — élabore des normes et des règles pour gérer les risques en matière de cybersécurité. Ceci est conforme à son mandat plus vaste de surveillance des risques opérationnels que les institutions financières doivent gérer.
La Banque du Canada surveille les infrastructures du marché financier, comme les systèmes de paiements, afin d'accroître leur résilience aux cybermenaces et coordonne les réponses de l'ensemble du secteur en cas d'incident opérationnel systémique.
D'autres organismes fédéraux sont responsables de la législation entourant le respect de la vie privée. Le Commissariat à la protection de la vie privée veille à ce que les banques respectent la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit la protection des renseignements personnels dans le secteur privé canadien. Cette loi établit les exigences auxquelles les entreprises doivent satisfaire relativement à la collecte, à l'utilisation ou à la divulgation de données personnelles dans le cadre d'activités commerciales. Ces exigences comprennent la mise en place de mesures de protection appropriées pour protéger les données personnelles contre la perte, le vol ou la divulgation non autorisée.
Le ministère de l'Innovation, des Sciences et du Développement économique a une responsabilité stratégique globale à l'égard de la Loi sur la protection des renseignements personnels et les documents électroniques. En novembre 2018, le gouvernement du Canada a modifié les dispositions de la loi relatives au signalement d'atteinte à la protection des données et aux sanctions pécuniaires connexes pour ne pas avoir signalé une fraude.
Comme vous l'avez entendu plus tôt, d'autres agences et ministères fédéraux, y compris Sécurité publique, le Centre canadien pour la cybersécurité et la Gendarmerie royale du Canada, partagent des responsabilités à l'égard de plus vastes initiatives de cybersécurité du gouvernement du Canada.
Il est important de noter que la responsabilité de la surveillance du secteur financier canadien est partagée entre les gouvernements fédéral et provinciaux. Les provinces sont chargées de la surveillance des courtiers en valeurs mobilières, des conseillers en épargne collective et en fonds de placement, des coopératives provinciales, ainsi que des caisses d'épargne, des sociétés de fiducie, des compagnies d'assurances et des sociétés de prêt constituées par une loi provinciale.
Par conséquent, les autorités fédérales et provinciales du secteur financier ont des protocoles en place à l'égard de l'échange de renseignements, particulièrement pour les questions relatives à la stabilité financière. Les institutions financières ont bien sûr la responsabilité première quant au maintien de la cybersécurité et de la protection des données sur une base quotidienne, puisqu'elles gèrent directement les risques opérationnels grâce à un ensemble exhaustif de mesures de protection et de prévention sur le plan individuel et à la coopération avec les autres acteurs de l'industrie.
Ces mesures sont appuyées par des politiques et des normes qui sont constamment mises à jour pour répondre aux menaces changeantes et demeurent conformes aux pratiques exemplaires de l'industrie.
Les cyberattaques sont une menace sérieuse et permanente. J'aimerais aborder quelques-unes des mesures mises en place par le gouvernement du Canada, les organismes de réglementation du secteur financier et les banques afin de renforcer la cybersécurité dans le secteur financier.
Dans le budget de 2018, le gouvernement fédéral a investi plus d'un demi-milliard de dollars dans la cybersécurité et, en octobre 2018, le gouvernement a établi le Centre canadien pour la cybersécurité, qui sert de guichet unique d'expertise et de conseils techniques pour les Canadiens, les gouvernements et les entreprises. Le Centre lutte contre les auteurs de cybermenaces qui ciblent des entreprises canadiennes, y compris les institutions financières fédérales et provinciales, en vue d'obtenir des données de leurs clients, des renseignements financiers et des systèmes de paiement. Les efforts de lutte contre la cybercriminalité ont été stimulés par le Centre national de coordination de la lutte contre la cybercriminalité nouvellement créé au sein de la GRC, qui fournit un mécanisme national de signalement des cybercrimes, y compris les atteintes à la protection des données ou les fraudes financières.
Plus récemment, dans le budget de 2019, le gouvernement a proposé une loi et un financement afin de protéger les cybersystèmes essentiels dans les secteurs canadiens des finances, des télécommunications, de l'énergie et des transports.
Nos collègues du Secrétariat du Conseil du Trésor continuent de travailler conjointement avec les gouvernements provinciaux, les institutions financières et les partenaires fédéraux à l'élaboration d'un cadre de confiance pancanadien sur l'identité numérique qui vise à renforcer la protection de l'identité numérique dans le contexte des cybermenaces.
En ce qui concerne la réglementation, plus tôt cette année, le Bureau du surintendant des institutions financières a publié un nouveau guide sur les exigences de signalement des incidents liés à la technologie et à la cybersécurité par l'entremise du préavis sur le signalement des incidents liés à la technologie et à la cybersécurité. Ces directives visent à aider le bureau à déterminer où les banques peuvent prendre des mesures pour prévenir de façon proactive les incidents liés à la cybersécurité ou, lorsqu'un incident survient, à améliorer leur résilience cybernétique.
Bien que notre principal rôle soit de prévenir les atteintes à la protection des données, la réalité est que ces incidents surviennent et ils ne se limitent pas qu'au secteur financier. Cela étant dit, lorsqu'un incident lié à la cybersécurité survient dans une institution fédérale sous réglementation fédérale, des mécanismes de contrôle et de surveillance sont en place pour le gérer.
En résumé, la cybersécurité est un domaine d'une importance critique pour le ministère des Finances. Nous collaborons activement avec des partenaires de l'ensemble du gouvernement et du secteur privé pour nous assurer que les Canadiens sont bien protégés contre des incidents liés à la cybersécurité et que, lorsqu'ils surviennent, les incidents sont gérés de façon à atténuer les répercussions sur les consommateurs et le secteur financier dans son ensemble.
Je vous remercie de votre temps. Je serai heureuse de répondre à vos questions.