Rapport sur ce que nous avons entendu : DIS-21-02 et DIS-21-03

DIS-21-02, Modifications proposées au Règlement sur la sécurité nucléaire

DIS-21-03, Cybersécurité et protection des informations numériques.

Préambule

La Commission canadienne de sûreté nucléaire (CCSN) a recours à des documents de travail, des séances d’information et des ateliers pour mieux comprendre les éventuelles répercussions de ses projets de règlement, des modifications aux règlements en vigueur ou des approches en vigueur au moment de mettre à jour de l’orientation et des exigences réglementaires.

Introduction

La modernisation du cadre de réglementation pour la sécurité nucléaire est un projet que la CCSN entreprend afin de modifier le Règlement sur la sécurité nucléaire (RSN) et les documents d’application de la réglementation connexes (REGDOC). La CCSN propose d’adopter une approche moins prescriptive pour réglementer la sécurité nucléaire en offrant aux titulaires de permis une plus grande marge de manœuvre quant aux mesures et aux approches qu’ils peuvent employer pour se conformer aux exigences réglementaires. Les REGDOC (série REGDOC-2.12) seront révisés pour préciser les exigences et donner de l’orientation sur la manière de respecter les exigences réglementaires sur la sécurité nucléaire.

Documents de travail

En 2021, la CCSN a diffusé 2 documents de travail sur la modernisation du cadre de réglementation pour la sécurité nucléaire : DIS-21-02, Modifications proposées au Règlement sur la sécurité nucléaire, et DIS-21-03, Cybersécurité et protection des informations numériques.

Le DIS-21-02 Note de bas de page 1, affiché sur la plateforme de consultation électronique Parlons sûreté nucléaire du 15 avril au 14 juillet 2021, décrit les modifications réglementaires proposées par la CCSN dans des domaines tels que la protection physique (prévention du vol et du sabotage), la cybersécurité et la protection des renseignements de nature délicate sur la sécurité nucléaire, de même que la culture de sécurité et l’incidence sur le contrôle et la comptabilité des matières nucléaires. La page de consultation électronique a reçu 58 visites de l’industrie et du public. Au total, 93 commentaires ont été soumis.

Le DIS‑21-03 Note de bas de page 2, publié sur la plateforme Parlons sûreté nucléaire du 7 juillet au 7 octobre 2021, ajoute des détails sur les révisions proposées pour réglementer la cybersécurité et la protection des informations numériques. La page de consultation électronique a reçu 62 visites de l’industrie, d’un syndicat, d’autres ministères et du public. Au total, 149 commentaires ont été soumis.

Note : Le DIS-21-02 traite également de modifications à la Loi sur la sûreté et la réglementation nucléaires (LSRN) concernant la sécurité nucléaire, qui ont été déposées au Parlement au début de 2021 (projet de loi C‑21) Note de bas de page 3. Si elles entrent en vigueur, ces modifications législatives nécessiteront quelques modifications du Règlement sur la sécurité nucléaire et des REGDOC connexes. Comme le Parlement a été dissous en août 2021, le projet de loi a été abandonné et la CCSN a retiré ces modifications proposées du projet de modernisation du cadre de réglementation pour la sécurité nucléaire. La rétroaction reçue sur cette question a été classée en vue d’une utilisation éventuelle, mais elle ne fait pas partie du présent rapport. Les parties intéressées participeront davantage si un autre projet de loi comportant des modifications semblables est déposé.

Ateliers

D’avril à juillet 2021, le personnel de la CCSN a tenu une série de séances de consultation avec plus de 150 participants du public, d’organisations non gouvernementales de l’environnement (ONGE), de l’industrie, de partenaires du gouvernement du Canada et de représentants de divers gouvernements provinciaux. Ces séances de consultation comprenaient une revue du processus de modification réglementaire, et présentaient les modifications proposées au RSN et la justification de ces modifications. Les séances de consultation ont été une bonne occasion de discuter des modifications proposées, de leurs éventuelles répercussions et des défis connexes, et elles ont servi de fondement à l’orientation et au projet de règlement.

Rétroaction

Les sections suivantes décrivent les modifications que la CCSN propose, la rétroaction reçue au sujet des documents de travail et lors des ateliers, ainsi que les prochaines étapes.

Règlement axé sur le rendement

La CCSN propose d’instaurer une approche davantage axée sur le rendement pour réglementer la sécurité nucléaire en autorisant les titulaires et les demandeurs de permis à mettre en œuvre de nouveaux processus, technologies et procédures, tout en atteignant les mêmes objectifs robustes en matière de sécurité, d’où la nécessité d’apporter certains changements aux définitions et aux exigences dans le RSN.

Dans l’ensemble, les parties intéressées soutenaient fermement la transition à une réglementation moins prescriptive et comportant des objectifs axés sur le rendement qui soient plus clairs. Certains membres du public craignaient que les exigences axées sur le rendement soient moins rigoureuses, tout particulièrement pour les nouvelles technologies de réacteurs avancés.

Prochaines étapes

La mise en œuvre de toute exigence axée sur le rendement doit être approuvée par la CCSN : les demandeurs et les titulaires de permis seraient tenus de démontrer qu’ils sont en mesure de rencontrer les exigences précises et les objectifs mesurables. Les modifications au RSN continueront de garantir le maintien d’un solide régime de sécurité nucléaire au Canada, tout en offrant aux titulaires et aux demandeurs de permis une plus grande marge de manœuvre pour démontrer comment ils peuvent satisfaire aux exigences réglementaires en matière de sécurité nucléaire. La CCSN donnera d’autre orientation sur la façon de satisfaire aux exigences axées sur le rendement dans ses documents d’application de la réglementation.

Protection contre le vol et le sabotage

La CCSN propose de modifier le RSN de sorte que les installations nucléaires puissent avoir recours à des technologies et des approches modernes pour protéger contre le vol et le sabotage des matières nucléaires de catégorie I, II ou III. La CCSN propose la révision du RSN pour assurer le maintien de la sécurité des installations nucléaires grâce à la mise en place de mesures de sécurité efficaces. L’actuel RSN ne reconnait pas les approches alternatives de sécurité.

La possibilité d’avoir plus de souplesse pour proposer d’autres approches qui assurent la sécurité des installations nucléaires a obtenu un grand soutien. Toutefois, les parties intéressées ont demandé des précisions au sujet de ce que la CCSN jugerait suffisant pour atteindre les objectifs en matière de sûreté nucléaire. D’autres ont souligné que les éléments à prendre en compte devaient être différents pour les grandes centrales nucléaires comparativement aux petites installations nucléaires, dont les stocks de matières nucléaires sont plus petits. Le public et les ONGE ont signalé que les modifications apportées au RSN devaient garantir que les niveaux de sécurité actuels soient maintenus ou renforcés. L’application de la sécurité nucléaire devrait correspondre au même niveau de sécurité, quel que soit l’emplacement géographique ou la technologie employée dans une installation (p. ex., emplacements urbains ou éloignés).

Prochaines étapes

La CCSN propose de vérifier que la sécurité dans les installations nucléaires est renforcée, tout en offrant plus de souplesse quant à l’utilisation des technologies modernes et des approches alternatives.

Filtrage

La CCSN propose de mettre à jour les renvois dans le RSN pour s’assurer que les titulaires et les demandeurs de permis ont recours à l’actuelle Norme sur le filtrage de sécurité Note de bas de page 4 du Secrétariat du Conseil du Trésor. Dans le cadre des modifications proposées, une autorisation d’accès aux sites serait valide pendant 10 ans, plutôt que 5 ans comme c’est le cas actuellement, et comprendrait une enquête sur la situation financière obligatoire pour les personnes qui ont besoin d’une autorisation d’accès aux sites approfondie.

Les parties intéressées ont exprimé des inquiétudes au sujet de la nécessité d’effectuer d’autres vérifications financières et de sécurité auprès de tous les employés, au lieu d’appliquer la norme en fonction du niveau de responsabilité ou de fonctions particulières. Elles ont également fait part de leurs inquiétudes concernant l’accessibilité de la technologie utilisée pour prendre les empreintes, puisque certains avaient de la difficulté à recueillir les empreintes des employés.

Prochaines étapes

La CCSN comprend que les employeurs ont eu de la difficulté à prendre les empreintes et examinera davantage cette modification et son incidence.

Contrôle et comptabilité des matières nucléaires

Selon les modifications proposées, les titulaires et les demandeurs de permis seraient tenus de mettre en œuvre une interface entre la sécurité et les mesures de contrôle et de comptabilité des matières nucléaires (CCMN), pour veiller à ce que la sécurité et les mesures de CCMN soient coordonnées afin de prévenir et détecter le retrait non autorisé d’une substance nucléaire dans une installation réglementée. Les demandeurs et titulaires de permis évalueraient et géreraient cette interface pour s’assurer que ses éléments ne se nuisent pas, mais plutôt qu’ils se renforcent mutuellement.

Dans l’ensemble, les membres du public et les ONGE étaient en faveur d’une interface plus solide entre la sécurité nucléaire et les mesures de CCMN. Certaines parties intéressées de l’industrie ont mentionné que cette interface était déjà en place et ont dit craindre que cette modification entraîne une augmentation du travail requis pour assurer l’interface et l’instauration possible de plus d’inspections et de vérifications au sein de plusieurs groupes.

Prochaines étapes

Cette modification proposée correspondra aux recommandations du document Collection Sécurité nucléaire de l’AIEA no 13, Recommandations de sécurité nucléaire sur la protection physique des matières nucléaires et des installations nucléaires.

Protection des renseignements de nature délicate

La CCSN propose que les exigences sur la protection des renseignements réglementés soient élargies de manière à inclure d’autres renseignements de nature délicate. La définition proposée par la CCSN pour les renseignements de nature délicate est la suivante : « tout renseignement, y compris les renseignements réglementés ou classifiés, peu importe leur format, y compris les logiciels, dont la divulgation non autorisée, la modification, l’altération, la destruction ou le refus d’utilisation pourrait mettre en péril la sécurité nucléaire ». Cette définition proposée correspond à celle de l’Agence internationale de l’énergie atomique (AIEA).

La CCSN propose une approche du cycle de vie concernant la gestion des informations numériques, ce qui signifie que les titulaires de permis devraient gérer les informations numériques pour les phases suivantes : création, utilisation, stockage, transmission ou élimination des informations numériques de nature délicate, y compris les renseignements réglementés. Les titulaires de permis devraient déterminer les actifs contenant des renseignements de nature délicate, notamment les systèmes informatiques et les réseaux qui créent, stockent, traitent et transmettent des informations numériques de nature délicate.

La plupart des parties intéressées de l’industrie était d’accord avec l’approche du cycle de vie proposée par la CCSN pour la protection des informations numériques. Certaines ont dit entretenir des inquiétudes au sujet de l’élargissement proposé de la portée des renseignements à protéger, et de la définition des renseignements de nature délicate, qui est trop large.

Prochaines étapes

La définition proposée des renseignements de nature délicate correspond à celle de l’AIEA. La CCSN précisera les exigences et élaborera de l’orientation sur la manière d’identifier et de protéger les renseignements de nature délicate dans ses documents d’application de la réglementation.

Classification des renseignements de nature délicate

La CCSN propose d’utiliser le système de classification des renseignements du gouvernement du Canada pour élaborer des exigences réglementaires graduelles relatives au classement de sorte que la protection des renseignements soit conforme au document Collection Sécurité nucléaire no 23-G de l’AIEA, Sécurité de l’information nucléaire. Puisque seuls les renseignements réglementés doivent être protégés pour le moment, ce système de classification soutiendra la gestion proposée des renseignements de nature délicate. Par ailleurs, la CCSN a proposé des mesures de protection des renseignements pour assurer la confidentialité, l’intégrité et la disponibilité des informations numériques de nature délicate.

La plupart des parties intéressées de l’industrie ont déjà recours à des systèmes de classification des renseignements par catégories en utilisant une approche graduelle.  Ceux-ci ont convenu qu’il était nécessaire de classer et de marquer les renseignements pour bien les manipuler et les protéger. Toutefois, certains intervenants ont dit craindre qu’il soit difficile d’harmoniser le système proposé avec leur système de classification actuel, que cela puisse mener à un surclassement des renseignements et que la mise en œuvre de plusieurs niveaux de sensibilité impose un fardeau trop lourd pour parvenir à l’objectif de la réglementation.

Prochaines étapes

Au lieu des exigences normatives, la CCSN a l’intention d’élaborer des exigences sur la protection des renseignements axées sur le rendement, qui reposeront sur les directives du Secrétariat du Conseil du Trésor du Canada. D’autres précisions seront données dans des documents d’application de la réglementation.

Cybersécurité lors de l’évaluation des menaces et des risques

Selon les modifications proposées au RSN, tous les titulaires de permis assujettis au RSN seraient tenus d’évaluer leur vulnérabilité aux cybermenaces et d’inclure les cybermenaces dans l’évaluation des menaces et des risques (EMR). L’objectif de cette exigence proposée est de s’assurer que les demandeurs et les titulaires de permis sont en mesure de repérer et de contrer les cyberattaques ciblant les systèmes importants pour la sûreté nucléaire, la sécurité nucléaire, la préparation en cas d’urgence et les garanties (SSPUG), ce qui est conforme à la norme CSA N290.7, Cyber security for nuclear facilities (en anglais) Note de bas de page 5. Par ailleurs, dans le cadre de la proposition, les titulaires de permis seraient tenus d’effectuer, au moins tous les 5 ans, une EMR dans les installations nucléaires où ils réalisent des activités autorisées, ainsi qu’une mise à jour au moins tous les 12 mois (ou lorsque la menace change et/ou après un incident de sécurité).

Les parties intéressées ont recommandé l’utilisation d’une approche graduelle pour déterminer la portée des renseignements de nature délicate et les systèmes de SSPUG à inclure dans l’EMR.

Les parties intéressées ont souligné que les éléments du programme indiqués dans la norme CSA N290.7 étaient convenables, bien que certains souhaitent avoir recours à l’approche graduelle. Ainsi, les titulaires de permis d’installations ayant des matières nucléaires de catégorie III disposeraient de la marge de manœuvre nécessaire pour proposer d’autres méthodes, approches, mesures de sécurité, etc. Toutefois, les parties intéressées ont demandé que la CCSN donne d’autre orientation quant à la manière d’appliquer la norme CSA N290.7 à ces installations.

Prochaines étapes

La CCSN effectuera d’autres recherches afin de mieux comprendre comment une approche graduelle pourrait être appliquée aux installations à moindre risque. De plus, la CCSN a l’intention de donner de l’orientation dans ses REGDOC sur la sécurité. D’autres renseignements sur l’approche graduelle figurent dans le REGDOC-3.5.3, Principes fondamentaux de réglementation Note de bas de page 6.

Cybersécurité du transport

Le RSN exige que les titulaires de permis qui transportent des matières nucléaires de catégorie I, II et III ou qui prennent des arrangements pour leur transport prévoient des dispositions pour assurer la sécurité de ces matières pendant le transport. Dans le cadre des modifications proposées du RSN, tous les titulaires de permis assujettis au RSN seraient tenus d’évaluer leur vulnérabilité aux cybermenaces et d’inclure les cybermenaces dans leur EMR. Par conséquent, la CCSN exigerait que les programmes de cybersécurité et de protection des renseignements des titulaires de permis qui transportent des matières nucléaires de catégorie I, II et III ou qui prennent des arrangements pour leur transport soient élargis à la protection de toutes les technologies numériques utilisées dans le plan de sécurité du transport. Cela comprendrait les technologies numériques essentielles au transport sécuritaire des matières nucléaires, comme les technologies employées pour mettre en œuvre des mesures de sécurité physique, celles servant aux communications et celles qui protègent les renseignements de nature délicate. La CCSN propose que ces programmes s’appliquent aux situations où le transport est assuré sous forme de service par un tiers.

L’industrie et d’autres parties intéressées conviennent que les mesures de cybersécurité proposées dans le Partenariat entre les douanes et les entreprises contre le terrorisme sont appropriées pour cette proposition. Les parties intéressées de l’industrie ont convenu qu’elles pouvaient gérer la cybersécurité du transport à l’aide de leurs programmes de cybersécurité et de protection des renseignements. Toutefois, certaines parties intéressées aimeraient de la souplesse quant à la mise en œuvre des mesures de cybersécurité du transport dans leur organisation.

Prochaines étapes

La CCSN donnera des précisions sur les exigences et l’orientation concernant le transport des matières nucléaires de catégorie I, II et III dans des documents d’application de la réglementation.

Exercices de sécurité du transport et exercices de sécurité

Dans le cadre des modifications proposées par la CCSN, les demandeurs et les titulaires de permis, en collaboration avec la force d’intervention hors site, seraient tenus d’effectuer un exercice de sécurité au moins 1 fois tous les 5 ans pour mettre à l’essai 1 ou plusieurs éléments de leur plan d’intervention d’urgence et leurs mesures de sécurité nucléaire. La CCSN fournira des précisions sur la mise en œuvre de cette nouvelle exigence aux sites à sécurité élevée (SSE) qui effectuent déjà des exercices de sécurité de grande envergure sur leur site tous les 2 ans dans le cadre du règlement actuel. Néanmoins, certaines parties intéressées de l’industrie ont demandé des précisions au sujet de la portée et de la fréquence des exercices de sécurité du transport.

Prochaines étapes

La CCSN donnera d’autres précisions au sujet des exigences et de l’orientation sur les exercices de sécurité du transport dans des documents d’application de la réglementation.

Culture de sécurité

La CCSN a proposé que tous les demandeurs et titulaires de permis mettent en œuvre et maintiennent des mesures pour promouvoir et appuyer une culture de sécurité dans leur organisation. Les parties intéressées ont exprimé leur inquiétude au sujet des méthodes d’inspection et d’application de ces exigences. Par ailleurs, elles ont demandé des précisions pour savoir si l’on attendait autre chose des titulaires de permis qui se conforment déjà au REGDOC-2.1.2, Culture de sûreté Note de bas de page 7, qui comprend la culture de sécurité.

Prochaines étapes

Selon la rétroaction obtenue, la CCSN envisagera de donner plus de renseignements dans le RSN au sujet de la culture de sécurité. Pour un site qui n’est pas à sécurité élevée, le titulaire ou le demandeur de permis devrait documenter ses mesures propres à la culture de sécurité dans son programme de sécurité de l’installation ou dans un document équivalent que la CCSN juge acceptable.

Divers

En raison de la structure actuelle du RSN, il est difficile de trouver quelles exigences réglementaires s’appliquent à quelle installation. Par ailleurs, l’annexe 2 du RSN actuel indique en ce moment le nom commercial des installations auxquelles il s’applique, ce qui crée de la confusion chez les nouveaux titulaires de permis.

La CCSN a proposé de supprimer le nom des titulaires de permis, et de les regrouper de manière à donner des critères clairs qui définissent les caractéristiques des installations auxquelles le RSN s’applique. Les SSE continueront d’être des installations qui utilisent, produisent et stockent des matières nucléaires de catégorie I et II. Par ailleurs, la CCSN propose de modifier la structure du RSN pour qu’elle adopte un format modulaire, qui rendra le règlement plus clair.

Toutes les parties intéressées étaient très favorable pour une structure simplifiée et de la révision de l’annexe 2.

Prochaines étapes

La CCSN a l’intention d’aller de l’avant avec les révisions à la structure et à l’annexe 2.

Conclusion

La CCSN se sert de la rétroaction obtenue grâce à ces documents de travail et lors des ateliers pour orienter son approche à l’égard du projet de modernisation du cadre de réglementation pour la sécurité nucléaire.

Prochaines étapes

La CCSN préparera un dossier des modifications réglementaires proposées qui tient compte de toute la rétroaction reçue, notamment un résumé de l’étude d’impact de la réglementation (REIR) détaillé, qui est une synthèse non technique et fondée sur des données probantes des répercussions attendues d’un projet de règlement. Le REIR et le texte du projet de règlement devraient être publiés dans la partie I de la Gazette du Canada, qui est un outil de consultation plus approfondie entre le gouvernement du Canada et les Canadiens.

Le RSN est appuyé par les documents d’application de la réglementation, qui donnent des précisions sur la manière de satisfaire aux exigences précisées dans le règlement. Parallèlement à la publication dans la partie I de la Gazette du Canada, le personnel de la CCSN diffusera le document de travail réglementaire sur la sécurité nucléaire afin d’obtenir les commentaires du public.

Sigles

AIEA
Agence internationale de l’énergie atomique
CCMN
contrôle et de comptabilité des matières nucléaires
EMR
évaluation des menaces et des risques
ONGE
organisation non gouvernementale de l’environnement
REIR
résumé de l’étude d’impact de la réglementation
RSN
Règlement sur la sécurité nucléaire
SSE
site à sécurité élevée
SSPUG
sûreté nucléaire, sécurité nucléaire, préparation en cas d’urgence et garanties

Références

Note de bas de page 1

Commission canadienne de sûreté nucléaire (CCSN). DIS-21-02, Modifications proposées au Règlement sur la sécurité nucléaire, Ottawa, Canada, 2021.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

CCSN. DIS-21-03 Cybersécurité et protection des informations numériques, Ottawa, Canada, 2021.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Sécurité publique Canada. Projet de loi C-21 : Loi modifiant certaines lois et d’autres textes en conséquence (armes à feu), Ottawa, Canada, 2021.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Secrétariat du Conseil du Trésor. Norme sur le filtrage de sécurité, 2017.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Association canadienne de normalisation (CSA). N290.7, Cyber security for nuclear facilities, Toronto, Canada, 2021.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

CCSN. REGDOC-3.5.3, Principes fondamentaux de réglementation, Ottawa, Canada, 2020.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

CCSN. REGDOC-2.1.2, Culture de sûreté, Ottawa, Canada, 2018.

Retour à la référence de la note de bas de page 7

Dernière mise à jour :