X
Favoris

Vous devez être connecté pour l'ajouter à vos favoris

Opinions

De retour sous un nouveau nom : le projet de loi C-8 relance la loi exhaustive concernant la cybersécurité

Main image

Robbie Grant Et Whitney Igidi

2025-07-21 11:15:43

Opinions

Quid du projet de loi C-8 concernant la cybersécurité?

Robbie Grant et Whitney Igidi - Source : McMillan

Précédemment, le groupe Protection de la vie privée et des données de McMillan a publié un bulletin sur le projet de loi C-26, qui est devenu caduc lorsque le Parlement a été prorogé en janvier 2025 (lisez notre analyse approfondie du projet de loi C-26 ici). Le 18 juin 2025, le ministre de la Sécurité publique a réintroduit le projet de loi en le renommant Projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi C-8 »).

Pratiquement identique au projet de loi antérieur, le projet de loi C-8, si adopté, viendrait 1) modifier la Loi sur les télécommunications et 2) édicter la Loi sur la protection des cybersystèmes essentiels (la « LPCE »). Le projet de loi C-8 prévoit de nouveaux pouvoirs d’exécution en matière de cybersécurité dans les infrastructures fédérales essentielles du Canada.

Partie 1 : Loi sur les télécommunications

La partie 1 du projet de loi C-8 viendrait modifier la Loi sur les télécommunications, ajoutant la promotion de la sécurité du système canadien de télécommunication comme objectif de la politique canadienne de télécommunication. Notamment, le projet de loi C-8 conférerait au gouverneur en conseil et au ministre de l’Industrie des pouvoirs étendus pour sécuriser le système canadien de télécommunication, comme interdire aux fournisseurs de services de télécommunication d’utiliser tous les produits et les services fournis par toute personne qu’il précise, ou leur ordonner de retirer de tout ou d’une partie de leurs réseaux ou installations de télécommunication tous les produits fournis par toute personne qu’il précise.

Les modifications conféreraient également au ministre le pouvoir d’exiger des fournisseurs de services de télécommunication qu’ils mettent en place des mesures de sécurité comme des évaluations pour repérer toute vulnérabilité. Le projet de loi C-8 établirait un cadre de sanctions administratives pécuniaires pour les violations des arrêtés et prévoirait pour les individus des amendes pouvant atteindre 25,000 $ (50 000 $ en cas de récidive) et jusqu’à 10 millions de dollars pour les organisations (15 millions de dollars en cas de récidive). Notamment, les pertes subies par suite de la prise d’un arrêté sont irrécupérables.

Partie 2 : Loi sur la protection des cybersystèmes essentiels

La partie deux édicterait la LPCE, qui créerait de nouvelles obligations pour les exploitants désignés de services ou de systèmes critiques dans le secteur fédéral. L’annexe 1 du projet de loi énumère les services et systèmes critiques qui, pour l’instant, seraient assujettis à la LPCE :

Services de télécommunication;

Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;

Systèmes d’énergie nucléaire;

Systèmes de transport relevant de la compétence législative du Parlement;

Systèmes bancaires;

Systèmes de compensations et de règlements.

Les exploitants désignés qui seraient assujettis à la LPCE n’ont pas encore été indiqués. Toute entreprise exerçant des activités dans les secteurs susmentionnés pourrait être désignée à l’avenir; les administrateurs doivent être conscients des obligations potentielles en matière de cybersécurité en vertu de la LPCE. La LPCE exigerait des exploitants désignés :

i) d’établir un programme de cybersécurité conformément à la réglementation, d’aviser l’organisme réglementaire compétent et de lui fournir une copie du programme dans les 90 jours suivant la date à laquelle il devient membre de la catégorie;

ii) de prendre des mesures pour atténuer les risques associés à la chaîne d’approvisionnement identifiés par le programme de cybersécurité;

iii) de déclarer, dans les délais réglementaires, lesquels ne doivent pas dépasser soixante-douze heures, tout incident de cybersécurité concernant l’un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser l’organisme réglementaire compétent;

iv) de se conformer aux décrets en matière de cybersécurité imposés par le gouverneur en conseil;

v) de tenir et de conserver certains documents conformément à la réglementation.

En résumé, la LPCE établirait un régime proactif de cybersécurité qui transférerait la responsabilité aux exploitants avant que des incidents ne surviennent, plutôt que de se fier uniquement à des mesures réactives. Ce cadre créerait des obligations de conformité permanente qui nécessiteraient une surveillance opérationnelle importante de la part des exploitants désignés.

Adoption du projet de loi C-8

Le projet de loi C-8 a été déposé à la Chambre des communes le 18 juin 2025 et a fait l’objet d’une première lecture. Il est actuellement en deuxième lecture, où il fera l’objet d’un débat, d’un examen en commission, de modifications et d’un rapport. Après avoir franchi l’étape de la troisième lecture à la Chambre des communes, le projet de loi doit ensuite franchir les trois étapes de lecture au Sénat avant de recevoir la sanction royale.

Étant donné que le projet de loi C-8 ressemble beaucoup au projet de loi C-26, qui avait déjà franchi l’étape de la troisième lecture au Sénat avant de devenir caduc lorsque le Parlement a été prorogé en janvier 2025, certains observateurs s’attendent à ce qu’il franchisse les étapes du processus législatif assez rapidement. Cela dit, le moment choisi dépendra en grande partie du calendrier parlementaire, de la complexité de l’examen en commission et du fait que les modifications proposées puissent susciter un débat prolongé ou non.

Conclusion et points à retenir

Le vaste champ d’application du projet de loi C-8 et les sanctions importantes qu’il prévoit soulignent l’engagement du gouvernement en faveur de la cybersécurité, mais créent aussi d’importants problèmes de conformité qui nécessitent une attention immédiate et une planification stratégique afin d’éviter des mesures d’application coûteuses et des perturbations opérationnelles. Les organisations actives dans le secteur des télécommunications et des infrastructures fédérales essentielles au Canada doivent se préparer à ces nouvelles obligations de conformité.

À propos des auteurs

Robbie Grant pratique le droit relatif à la protection de la vie privée et des données chez McMillan.

Whitney Igidi est étudiante en droit chez McMillan.

218
Publier un nouveau commentaire
Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires

Articles les plus populaires
1.
La vengeance d’une secrétaire
2.
Onze nominations du conseil des ministres
3.
De Cloridorme à la Cour suprême : la juge Suzanne Côté honorée
4.
Qui seront les jeunes avocats de l’année 2025?
5.
Une recrue chez…
EMPLOIS

EN VEDETTE