Le 23 mars 2026, le ministère des Services au public et aux entreprises et de l’Approvisionnement a publié deux règlements pris en application de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique (la Loi) : le Règlement 51/26 – Cybersécurité et le Règlement 52/26 – Technologie numérique touchant les particuliers âgés de moins de 18 ans, qui entreront en vigueur le 1er juillet 2026. Ces règlements imposent de nouvelles obligations en matière de gouvernance, de signalement et de transparence à un large éventail d’établissements du secteur public de l’Ontario, notamment les universités, les collèges, les conseils scolaires, les hôpitaux et les sociétés d’aide à l’enfance.
Règl. de l’Ont. 51/26 – Cybersécurité
Le Règlement 51/26 s’applique aux « entités du secteur public prescrites », catégorie qui comprend les collèges, les universités, la plupart des hôpitaux publics, les conseils scolaires, les sociétés d’aide à l’enfance et d’autres entités du secteur public explicitement nommées.
Principales nouveautés
1. Évaluation de la maturité en matière de cybersécurité : Les entités du secteur public prescrites sont tenues de réaliser à intervalles réguliers une évaluation de la maturité en matière de cybersécurité pour suivre leurs progrès. Cependant, le règlement ne précise pas la méthode à utiliser; il dit seulement que l’évaluation doit être « effectuée conformément aux normes de l’industrie ou aux pratiques exemplaires qu’appuie le directeur général de la sécurité de l’information du ministère ».
La première évaluation devra être réalisée d’ici le 1er juillet 2027, et les subséquentes, tous les deux ans. Toute évaluation réalisée entre le 1er juillet 2025 et le 1er juillet 2026 sera réputée avoir eu lieu le 1er juillet 2026, et la prochaine devra se faire au plus tard le 1er juillet 2028.
Un bilan de chaque évaluation sera transmis au Ministère dans les 30 jours suivant son achèvement. Il doit inclure (1) le nom et la description du modèle ou du cadre d’évaluation, (2) les résultats globaux ou par catégories, et (3) un résumé des aspects à améliorer.
2. Personne-ressource : Le Règlement oblige chaque entité du secteur public prescrite à désigner un cadre supérieur comme personne-ressource principale en cybersécurité. Cette personne doit avoir un pouvoir décisionnel à l’égard de la cybersécurité, et sera responsable de communiquer avec le ministère et d’approuver les résumés des évaluations de la maturité. Pour ce faire, de nombreux établissements devront réfléchir à leur cadre de gouvernance, avant de confier cette fonction au chef des services informatiques, au chef de la sécurité de l’information ou à un autre cadre dirigeant.
3. Signalement des incidents : Les entités du secteur public prescrites doivent également signaler au ministère les cyberincidents critiques « au plus tard 72 heures après en avoir fait la confirmation ». La définition de « cyberincident critique » est assez large et englobe les incidents qui ont eu des répercussions soit sur l’« information numérique recueillie, utilisée, conservée ou divulguée par l’entité [...] soit sur l’infrastructure servant à stocker ou à transmettre l’information ». On définit aussi le seuil de gravité visé. Pour qu’il doive être signalé, l’incident doit satisfaire l’un des critères suivants :
- L’incident entraîne des conséquences défavorables importantes pour la prestation des services publics offerts par l’entité.
- L’incident présente un risque pour la sécurité publique.
- L’incident nécessite ou entraîne des efforts considérables de la part de l’entité pour le rétablissement de l’information numérique ou de l’infrastructure connexe ou pour l’activation de plans d’intervention en cas d’incident lié à la cybersécurité.
- L’incident risque considérablement de nuire à la réputation de l’entité et à la confiance du public à son égard.
Les directives concernant la confirmation de l’incident et le caractère critique devraient exclure les cyberincidents de faible gravité, mais le respect de l’obligation de signalement reste une notion importante à inclure dans les plans d’intervention. Et puisque « l’activation de plans d’intervention en cas d’incident lié à la cybersécurité » entraîne une obligation de signalement, ce point d’activation doit figurer dans lesdits plans des établissements.
Quelles sont les répercussions pour le secteur public?
Le Règlement 51/26 vise à renforcer la cybersécurité en obligeant les établissements à réaliser des évaluations de la maturité et à en rendre des comptes à la province. Les cyberincidents font déjà l’objet de signalements informels, mais le passage à un modèle officiel permet d’instaurer d’importantes protections en matière de confidentialité, proposées par la province dans ses projets de loi modifiant la Loi sur l’accès à l’information et la protection de la vie privée et la Loi sur l’accès à l’information municipale et la protection de la vie privée (LAIMPVP). Voir l’article complémentaire : Réforme majeure du régime ontarien d’accès à l’information et de protection de la vie privée.
La province recevra les signalements, non pas en tant qu’organisme d’exécution, mais en tant que bailleuse de fonds pour la sécurité et partie éventuelle d’une collaboration interinstitutionnelle à l’échelle provinciale. Les établissements ont donc tout lieu de considérer ces nouvelles obligations d’un œil favorable, mais le signalement des cyberincidents ne doit pas leur créer un lourd fardeau administratif qui accaparerait les ressources nécessaires à la gestion de l’incident. Les établissements doivent mettre en place des mécanismes pour atténuer ces risques de perturbation.
Règl. de l’Ont. 52/26 – Technologie numérique touchant les particuliers âgés de moins de 18 ans
Le Règlement 52/26 s’applique à tous les conseils scolaires de l’Ontario, ainsi qu’à tous les renseignements numériques personnels des élèves de moins de 18 ans.
Principales exigences
Le règlement prévoit des avis obligatoires pour les cas où des renseignements personnels des élèves sont communiqués aux fournisseurs de logiciels du conseil. Les avis doivent être écrits, et peuvent être transmis en format numérique. Ceux qui concernent des élèves de moins de 16 ans doivent être remis aux parents. Ceux qui concernent des élèves de 16 à 18 ans doivent être remis directement aux élèves. Ils doivent comprendre ce qui suit :
- les renseignements personnels communiqués;
- l’autorité légale invoquée pour la communication;
- la raison pour laquelle les renseignements sont communiqués;
- le nom de l’application et du fournisseur;
- les coordonnées d’un représentant que le conseil scolaire autorise à répondre aux questions sur le sujet;
- une explication des droits en matière de plainte et de recours.
Les conseils devront fournir cet avis le plus tôt possible dans l’année scolaire. Si un nouveau logiciel est adopté pendant l’année scolaire, un nouvel avis sera fourni dès que possible.
Quelles sont les répercussions pour le secteur public?
Le règlement a été pris en réponse au vent d’inquiétude entourant les plateformes de technologies éducatives et leurs pratiques de gestion des données, en particulier à l’égard des fournisseurs tiers. Les conseils doivent en effet être en mesure de répondre aux questions des parents, et l’évaluation des facteurs relatifs à la vie privée, conformément aux exigences à venir dans la LAIMPVP, aidera.
En plus de préparer l’adoption d’un programme officiel d’évaluation des facteurs relatifs à la vie privée conforme à la LAIMPVP, les conseils devront faire, d’ici septembre 2026, l’inventaire complet de tous les logiciels qu’ils utilisent ainsi que des renseignements personnels communiqués à chaque fournisseur de logiciels. Cette tâche sera prioritaire.
Conclusion
Les règlements présentés ici font partie de la réforme progressive des lois sur la protection de la vie privée et la sécurité des données en Ontario. Ils changent considérablement la manière dont les établissements publics doivent assurer leur cybersécurité, notamment dans le secteur de l’éducation, et la façon dont ils déploient et supervisent les outils numériques destinés aux enfants.
Ensemble, les Règlements 51/26 et 52/26 sont une autre façon pour le gouvernement et les autorités de réglementation d’exiger des comptes concrets en matière de gouvernance numérique, de protection de la vie privée et de cybersécurité dans le secteur public.
Pour en savoir plus, communiquez avec l’une des personnes-ressources ci-dessous.
