Cet article est une version mise à jour d'un article paru en juillet 2025.
Faits saillants
Que s’est-il passé?
En 2025, le gouvernement Carney a relancé un cadre réglementaire étendu en matière de cybersécurité avec le projet de loi C-8, introduisant la nouvelle Loi sur la protection des cybersystèmes essentiels. Le projet de loi a reçu la sanction royale le 15 juin 2026, ce qui a mis fin au processus législatif. Les dispositions du projet de loi entreront en vigueur graduellement, à la date ou aux dates fixées ultérieurement par décret.
Pourquoi est-ce important?
Les obligations en matière de cybersécurité imposées aux exploitants désignés qui assurent des services ou systèmes critiques sont à la fois rigoureuses et étendues. Maintenant que le projet de loi est adopté, les organisations devront mettre en place des programmes de cybersécurité exhaustifs, signaler tout changement important à leurs systèmes (notamment ceux entraînant des répercussions sur la sécurité nationale), et déclarer immédiatement tout incident de cybersécurité. Les violations pourraient entraîner des amendes allant jusqu’à 15 M$ par jour pour les organisations.
Quelles mesures prendre maintenant que le projet de loi C-8 est adopté?
Les organisations d’infrastructures critiques devraient prendre des mesures proactives et faire appel à des ressources externes pour respecter les obligations en matière de cybersécurité prévues par le projet de loi. Ces mesures incluent : cartographier les systèmes critiques; comprendre les nouveaux pouvoirs des organismes réglementaires compétents; élaborer et mettre en œuvre les plans et les formations nécessaires pour renforcer la cyberrésilience; et se doter de la capacité de réagir efficacement aux incidents et aux enquêtes qui peuvent s’ensuivre, afin de limiter les risques et la responsabilité.
Le 15 juin 2026, le projet de loi C-8 introduisant la Loi sur la protection des cybersystèmes essentiels (LPCE) a reçu la sanction royale, ce qui a mis fin au processus législatif. Le gouvernement a annoncé avoir l’intention de mettre en œuvre les dispositions selon une approche graduelle. Ce projet de loi fût présenté avec l’intention de relancer les vastes obligations en matière de cybersécurité et les pouvoirs réglementaires qui avaient été proposés initialement dans le cadre du projet de loi C-26 (déposé trois ans plus tôt, mais jamais adopté).
Parmi ceux-ci figurent la révision des procédures de contrôle judiciaire ainsi que le retrait des modifications conséquentes à la Loi sur la preuve au Canada (qui visaient à protéger les renseignements sensibles déposés dans le cadre de contrôles judiciaires ou d’appels).
Les organisations relevant de secteurs fédéraux, notamment les services bancaires, les transports, l’énergie et les télécommunications, devraient dès maintenant se préparer à ces changements majeurs.
Principales obligations de conformité imposées par le projet de loi C-8
La Loi sur la protection des cybersystèmes essentiels proposée dans le cadre du projet de loi C-8 impose des obligations rigoureuses en matière de cybersécurité aux exploitants désignés de cybersystèmes critiques fédéraux. Ces exploitants assurent des services ou des systèmes critiques, c’est-à-dire des infrastructures essentielles à la sécurité nationale et à la sécurité publique.
Ces obligations comprennent notamment :
- Établir, mettre en œuvre et réviser régulièrement les programmes de cybersécurité qui doit permettre : a) d’identifier et gérer les risques organisationnels pour la cybersécurité des cybersystèmes essentiels, tels que les risques liés à la chaîne d’approvisionnement de l’exploitant désigné et à l’utilisation par celui-ci de produits et services de tiers; b) de protéger ces cybersystèmes contre toute compromission; c) de détecter les incidents de cybersécurité concernant ces cybersystèmes; d) de réduire au minimum les conséquences des incidents de cybersécurité qui touchent ces cybersystèmes; et e) de prendre toute mesure prévue par règlement.
- Aviser l’organisme réglementaire compétent de tout changement important dans la propriété, le contrôle ou l’utilisation de produits et services de tiers, afin d’atténuer les risques liés à la chaîne d’approvisionnement et aux tiers.
- Atténuer les risques liés à la chaîne d’approvisionnement en fonction, notamment, de lignes directrices élaborées par le Centre de la sécurité des télécommunications (CST).
- Respecter les directives de cybersécurité émises par le cabinet.
- Déclarer les incidents de cybersécurité au CST dans un délai de 72 heures.
- Conserver des documents concernant les mesures prises pour mettre en œuvre le programme de cybersécurité, pour atténuer les risques associés à la chaîne d’approvisionnement ou aux tiers, et pour mettre en œuvre toute directive de cybersécurité ainsi que tout incident de cybersécurité déclaré et toute question précisée par règlement.
Malheureusement, la LPCE offre peu d’orientations concrètes, les exigences énoncées étant formulées de manière générale. Les obligations précises, notamment celles liées à l’établissement, à la mise en œuvre et au maintien des programmes de cybersécurité, seront définies ultérieurement par règlement. Les exploitants désignés doivent donc, dès à présent, dresser un inventaire complet de leurs cybersystèmes et en évaluer la criticité.
Ce manque de détails législatifs est aggravé par le pouvoir du gouvernement d’émettre des directives contraignantes (et confidentielles) en matière de cybersécurité.
Lors de la rédaction de telles directives, le cabinet doit s’assurer que la portée et la teneur des dispositions de la directive sont raisonnables eu égard à l’objectif de protéger un cybersystème essentiel. De plus, il doit prendre en considération des facteurs, tels que les répercussions du décret sur les activités opérationnelles, la sécurité publique des Canadiens, la protection de la vie privée des Canadiens, la fourniture des services et systèmes critiques aux consommateurs, les répercussions financières et tout autre facteur que le cabinet considère pertinent.
Malgré les obligations mentionnées ci-dessus, aucune disposition ne prévoit la consultation des exploitants désignés avant l’émission de telles directives. Par exemple, une directive pourrait exiger la mise en œuvre de mesures de sécurité précises, sans consultation préalable quant à leur faisabilité opérationnelle, leurs implications financières ou leurs effets sur la continuité des services.
Supervision et application par secteur
Un aspect central du projet de loi C-8 demeure la délégation de vastes pouvoirs sectoriels à l’organisme de réglementation compétent :
- Systèmes bancaires : supervision assurée par le Bureau du surintendant des institutions financières (BSIF).
- Systèmes de compensations et de règlements : supervision assurée par la Banque du Canada.
- Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux : supervision assurée par la Régie de l’énergie du Canada.
- Systèmes d’énergie nucléaire : supervision assurée par la Commission canadienne de sûreté nucléaire.
- Services de télécommunications : supervision assurée par le ministre de l’Industrie.
- Systèmes de transport relevant de la compétence législative du Parlement : supervision assurée par le ministre des Transports.
Plus précisément, le projet de loi C-8 autorise ces organismes de réglementation à :
- Pénétrer dans tout lieu (y compris une propriété privée, à l’exception toutefois d’une maison d’habitation sans consentement ou sans mandat) et examiner tout ce qui s’y trouve, y compris les registres, rapports ou données;
- Ordonner des vérifications internes des pratiques, des livres et d’autres documents;
- Émettre des ordres de conformité contraignants exigeant que les exploitants désignés cessent toute activité non conforme ou prennent des mesures correctives dans un délai déterminé;
- Recueillir ou communiquer des renseignements, y compris des renseignements confidentiels, pourvu que le ministre ou le ministre compétent soit convaincu que les renseignements considérés comme confidentiels seront traités comme tels.
Le projet de loi C-8 réintroduit par ailleurs des sanctions administratives pécuniaires (SAP) importantes en cas de violation. Bien que le régime proposé vise à favoriser la conformité, les amendes pourraient atteindre 15 M$ par violation, par jour, pour une organisation — et 500 000 $ par violation, par jour, pour une personne physique. De plus, les dirigeants et administrateurs des exploitants désignés pourraient être tenus personnellement responsables s’ils ont participé à la commission d’une violation.
Les violations peuvent être contestées, notamment en invoquant la prise des précautions voulues. Un accord de conformité peut également être conclu avec l’organisme de réglementation compétent. Une telle transaction peut prévoir une réduction partielle ou totale du montant de la pénalité, mais vaut déclaration de responsabilité à l’égard de la violation. En cas de défaut d’exécution, la pénalité complète deviendrait exigible et la violation pourrait être rendue publique.
Votre organisation est-elle prête?
Les exploitants désignés doivent prendre des mesures proactives pour mettre en place des programmes et des pratiques de cybersécurité robustes, en vue de répondre aux obligations du projet de loi C-8. Votre organisation est responsable d’infrastructures critiques? Pour réduire votre exposition aux sanctions potentielles et renforcer votre état de préparation à l’échelle de vos opérations, vous devriez :
- Évaluer si votre organisation est un exploitant désigné au sens de la LPCE et obtenir du soutien externe pour cartographier l’ensemble des systèmes, services et opérations pouvant être considérés comme critiques;
- Déterminer quel organisme de réglementation assure votre conformité à la LPCE et envisager des échanges préalables sur les implications de la nouvelle loi pour votre secteur;
- Mettre en place des cadres de gouvernance avec des voies de responsabilité claires, en désignant les personnes et équipes responsables de développer et de mettre en œuvre les procédures requises pour satisfaire aux obligations de conformité;
- Renforcer votre capacité interne à réagir tant aux incidents de cybersécurité qu’aux inspections, audits et ordres de conformité qui pourraient suivre, notamment au moyen d’exercices de simulation et de mises en situation réelles;
- Réévaluer de façon continue vos obligations en fonction de l’évolution des menaces et des mises à jour réglementaires.
Être préparé ne signifie pas seulement que votre organisation sera prête pour l’entrée en vigueur des dispositions du projet de loi C-8. Cela vous permettra, à vous et à votre équipe, de bénéficier d’un avantage stratégique pour faire face à l’évolution constante du paysage des cybermenaces.
Communiquez avec nous
Le groupe Cybersécurité, respect de la vie privée et protection des renseignements personnels de BLG, ainsi que nos avocats spécialisés en IA, suivent de près l’évolution rapide des lois en matière de cybersécurité et de vie privée. Ils peuvent vous aider à comprendre les obligations qui incombent à votre organisation et à vous préparer efficacement à l’entrée en vigueur du projet de loi C-8.
N’hésitez pas à contacter les personnes-ressources ci-dessous pour toute question concernant le projet de loi C-8 et ses répercussions possibles sur votre organisation.