ARTICLE
7 November 2025

Projet de loi C-8 : Ce que les exploitants de cybersystèmes essentiels doivent savoir pour renforcer leur cybersécurité

MT
McCarthy Tétrault LLP

Contributor

McCarthy Tétrault LLP logo
McCarthy Tétrault LLP provides a broad range of legal services, advising on large and complex assignments for Canadian and international interests. The firm has substantial presence in Canada’s major commercial centres and in New York City, US and London, UK.
Explore Firm Details
Lexpert Firm Profile
Alors que les cybermenaces continuent de croître en fréquence, en portée et en sophistication, le Canada se prépare à réagir en mettant en œuvre un nouveau cadre réglementaire d'envergure.
Canada Technology
TechLex Blog,Eugen Miscoi,Daniel Glover
+2 Authors
 Your Author LinkedIn Connections
TechLex Blog’s articles from McCarthy Tétrault LLP are most popular:
  • with Senior Company Executives, HR and Finance and Tax Executives
  • with readers working within the Property and Securities & Investment industries

Alors que les cybermenaces continuent de croître en fréquence, en portée et en sophistication, le Canada se prépare à réagir en mettant en Suvre un nouveau cadre réglementaire d'envergure. Ce cadre est énoncé dans la Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres loisprojet de loi C-8 »)1. Cette dernière est destinée à transformer fondamentalement le paysage de la conformité pour les organisations opérant dans les secteurs d'infrastructures essentielles réglementés au niveau fédéral.

Le projet de loi C-8 adoptera la Loi sur la protection des cybersystèmes essentielsLPCE ») afin d'établir un cadre complet pour la protection des « cybersystèmes essentiels » dans des secteurs clés tels que le secteur bancaire, les télécommunications, l'énergie, le transport, le secteur nucléaire, ainsi que les systèmes de compensations et de règlements. Il modifiera simultanément la Loi sur les télécommunications, faisant de la sécurité du système de télécommunications du Canada un objectif central de la politique publique fédérale2.

Dans ce billet de blogue, nous présentons les principaux éléments de la LPCE, mettons en lumière les obligations clés pour les entreprises canadiennes et offrons des conseils pratiques aux organisations souhaitant se préparer à l'adoption et à l'entrée en vigueur de la LPCE.

Obligations clés

Si votre organisation est classée comme « exploitant désigné » selon la liste des « services critiques et systèmes critiques »3 définie par la LPCE, elle sera soumise à une série de nouvelles obligations importantes. Ces exigences visent à garantir que les exploitants d'infrastructures essentielles ne soient pas seulement préparés aux incidents de cybersécurité, mais qu'elles travaillent activement à les prévenir.

L'infrastructure essentielle est au centre des préoccupations, mais la LPCE ne prévoit pas – dans sa forme actuelle – d'exemption ou d'accommodement pour les petites ou moyennes entreprises qui pourraient être désignées comme exploitants sous ce nouveau régime. Tous les exploitants désignés, quelle que soit leur taille, seraient donc soumis aux mêmes obligations et sanctions résumées ci-dessous :

  • Établissement d'un programme de cybersécurité

Les exploitants désignés devront élaborer, mettre en Suvre et maintenir un programme de cybersécurité complet. Pour tout exploitant désigné, ce programme doit être développé et mis en Suvre dans les 90 jours suivant sa désignation. Pour tous les exploitants désignés, ce programme doit aller au-delà des mesures de sécurité informatique de base. Il doit inclure une évaluation approfondie des cybermenaces organisationnelles, y compris ceux découlant des chaînes d'approvisionnement et des fournisseurs tiers. Le programme doit également définir des protocoles clairs pour la protection des systèmes essentiels, la détection et la réponse aux incidents, ainsi que la révision et la mise à jour régulières des mesures de sécurité afin de suivre l'évolution des menaces. Les organisations doivent s'attendre à ce que les organismes réglementaires examinent l'adéquation et l'efficacité de ces programmes, ce qui rend essentiel la documentation de toutes les politiques, procédures et évaluations des risques.

  • Déclaration et gestion des incidents de cybersécurité

En vertu de la LPCE, les organisations désignées devront signaler tout incident de cybersécurité affectant des cybersystèmes essentiels au Centre de la sécurité des télécommunications du Canada (« CST ») dans les 72 heures suivant la découverte de l'incident. Cette obligation de déclaration est stricte et soumise à des délais précis, et les organisations doivent également signaler de tels incidents à leur organisme réglementaire compétent. La définition d'un incident à déclarer est large, englobant tout événement susceptible de compromettre la confidentialité, l'intégrité ou la disponibilité d'un cybersystème essentiel, quelle que soit la catégorie de données concernées (par exemple, renseignements personnels, renseignements confidentiels, données commerciales, etc.). Les entreprises doivent s'assurer de disposer de processus robustes pour la détection et l'escalade des incidents, ainsi que de lignes de communication claires entre les équipes informatiques, juridiques et de direction, afin de faciliter une déclaration rapide et adéquate.

  • Gestion des risques liés à la chaîne d'approvisionnement et aux tiers

Le projet de loi C-8 met fortement l'accent sur la sécurité de la chaîne d'approvisionnement. Selon la LPCE, les exploitants désignés doivent évaluer activement et atténuer les risques associés à leurs chaînes d'approvisionnement et à l'utilisation de produits ou services de tiers. Cela signifie que les organisations devront effectuer une diligence raisonnable auprès de leurs fournisseurs, exiger des engagements contractuels en matière de cybersécurité et surveiller les vulnérabilités pouvant être introduites par des partenaires externes.

  • Conformité aux directives gouvernementales

L'une des caractéristiques les plus marquantes de la LPCE est le pouvoir qu'elle confère au gouvernement fédéral d'émettre des directives contraignantes en matière de cybersécurité à l'intention des exploitants désignés. Ces directives peuvent être émises avec peu ou pas de consultation préalable et peuvent exiger que les organisations mettent en Suvre des mesures de sécurité spécifiques, cessent certaines activités ou retirent certaines technologies de leurs systèmes (par exemple, dans les cas où une technologie ou un système est perçu comme présentant un risque pour la sécurité nationale du Canada). La conformité est obligatoire, et le non-respect d'une directive gouvernementale peut entraîner des sanctions sévères.

  • Tenue de registres, audits et surveillance réglementaire

Les exploitants désignés doivent tenir des registres détaillés de leurs activités en matière de cybersécurité, y compris les évaluations des risques, les rapports d'incidents et les mesures de conformité. Ces registres doivent être facilement accessibles pour inspection par les autorités de réglementation, qui sont habilitées à effectuer des audits, à accéder à des locaux (avec l'autorisation légale appropriée) et à émettre des ordonnances de conformité. Les organisations désignées doivent s'assurer que leurs pratiques de tenue de registres sont rigoureuses, à jour et capables de faire face au contrôle réglementaire. Des audits internes réguliers et des examens de conformité peuvent aider à identifier et à corriger les lacunes avant qu'elles ne deviennent des problèmes lors d'un contrôle d'application.

  • Contrôle d'application, sanctions et responsabilité personnelle

La LPCE introduit des sanctions administratives pécuniaires importantes en cas de non-conformité, avec des amendes pouvant atteindre 15 millions de dollars par jour pour les organisations et 1 million de dollars par jour pour les personnes physiques. Il est à noter que les administrateurs et dirigeants peuvent être tenus personnellement responsables s'il est établi qu'ils ont ordonné, autorisé ou participé à des infractions ou violations. Cette responsabilisation accrue souligne l'importance de l'engagement et de la surveillance au niveau du conseil d'administration en matière de gouvernance de la cybersécurité.

Le régime du contrôle d'application introduit par la LPCE s'appuiera sur les autorités de réglementation existantes (c'est-à-dire le ministre de l'Industrie, le ministre des Transports, le Surintendant des institutions financières, la Banque du Canada, la Régie canadienne de l'énergie, et la Commission canadienne de sûreté nucléaire), selon l'exploitant désigné concerné.

Mesures pratiques pour les entreprises canadiennes

Avec l'adoption rapide attendue du projet de loi C-8 au Parlement, les organisations concernées devraient agir dès maintenant. Une préparation proactive permettra non seulement de réduire les risques juridiques et opérationnels, tant au niveau national qu'international, mais aussi d'aider les organisations à s'adapter aux nouvelles exigences. Comme l'explique le résumé législatif, l'approche du Canada s'inspire des tendances internationales observées chez ses alliés, tels que l'Australie, l'Union européenne, le Royaume-Uni et les États-Unis4. Si l'un de ces régimes s'applique à votre organisation, le projet de loi C-8 pourrait vous sembler familier. Dans le cas contraire, l'existence de tels régimes laisse fortement entendre que le Canada adoptera le projet de loi C-8, ou une loi similaire, dans un avenir proche. En attendant, la conformité volontaire peut permettre aux entreprises de se positionner comme des chefs de file en matière de résilience en cybersécurité. Voici quelques mesures pratiques à envisager :

  • Évaluer votre exposition réglementaire

Commencez par déterminer si votre organisation est susceptible d'être considérée comme un exploitant désigné au sens de la LPCE. Passez en revue vos activités, filiales et chaînes d'approvisionnement afin d'identifier tout lien avec des secteurs réglementés au niveau fédéral. Recensez vos systèmes cybernétiques essentiels et identifiez les actifs, processus et flux de données susceptibles d'entrer dans le champ d'application du projet de loi. Une identification en amont de votre exposition vous permettra d'allouer les ressources nécessaires et de planifier efficacement.

  • Établir ou renforcer votre programme de cybersécurité

Évaluez votre programme de cybersécurité existant en le comparant à des cadres reconnus, tels que NIST ou ISO/CEI 27001, et identifiez les écarts par rapport aux exigences anticipées de la LPCE. Développez ou mettez à jour vos politiques et procédures en matière d'évaluation des risques, de réponse aux incidents et de gestion de la chaîne d'approvisionnement. Assurez-vous que votre programme prévoit des lignes de responsabilité claires, avec des rôles bien définis pour les membres du conseil d'administration, les dirigeants et le personnel opérationnel. Testez régulièrement votre programme au moyen d'exercices de simulation de type tabletop et de mises en situation afin de garantir son efficacité en pratique.

  • Préparer la déclaration et la gestion des incidents de cybersécurité

Examinez et améliorez votre plan de réponse aux incidents afin de pouvoir détecter, évaluer et signaler les incidents dans le délai de 72 heures imposé par le projet de loi. Bien que 72 heures constituent souvent un objectif de référence, respecter ce délai peut nécessiter des investissements dans des technologies de surveillance, la formation du personnel et la coordination interfonctionnelle. Établissez des protocoles clairs pour l'escalade des incidents vers les équipes juridiques et de direction, et assurez-vous que tout le personnel concerné comprend ses rôles et responsabilités en cas d'incident de cybersécurité.

  • Réviser les contrats et renforcer la sécurité de la chaîne d'approvisionnement

Les clauses de cybersécurité et de notification des violations font partie des pratiques contractuelles courantes pour de nombreuses organisations. Celles qui disposent de processus contractuels solides devront simplement vérifier que leur dispositif actuel leur permet de satisfaire aux exigences de la LPCE. D'autres devront procéder à une révision approfondie des contrats avec leurs fournisseurs et prestataires de services afin de s'assurer qu'ils incluent des obligations appropriées en matière de cybersécurité, des droits d'audit et des clauses de notification d'incident.

Toute organisation assujettie à la LPCE devrait collaborer avec ses fournisseurs clés pour communiquer ses attentes en matière de conformité et évaluer leur capacité à soutenir ses obligations en vertu de la LPCE. La LPCE constitue également une raison d'envisager la mise en place d'outils de gestion des risques liés aux tiers et des contrats, ainsi que de processus de surveillance des vulnérabilités des tiers (par exemple, la surveillance du Dark Web concernant vos fournisseurs et partenaires commerciaux clés) afin d'assurer une conformité continue.

  • Renforcer la gouvernance, la formation et l'engagement du conseil d'administration

Sensibilisez votre conseil d'administration et la haute direction aux nouvelles obligations et aux responsabilités potentielles introduites par la LPCE. Offrez une formation régulière au personnel sur les meilleures pratiques en cybersécurité, les procédures d'escalade des incidents et les protocoles de conformité. Encouragez une culture de sensibilisation à la cybersécurité dans toute l'organisation, en mettant l'accent sur l'importance d'une gestion proactive des risques et du respect des exigences réglementaires.

  • Surveiller l'évolution réglementaire et maintenir un dialogue avec les parties prenantes

Restez informé de l'avancement du projet de loi C-8 et de toute orientation ou réglementation sectorielle qui pourrait en découler. Collaborez avec les associations sectorielles, les conseillers juridiques et les autorités de réglementation pour fournir des commentaires, obtenir des clarifications et anticiper les nouvelles exigences. Envisagez de participer à des forums sectoriels ou à des groupes de travail pour partager les meilleures pratiques et apprendre de vos pairs.

Conclusion

Le projet de loi C-8 marque une étape importante dans l'évolution de la réglementation canadienne en matière de cybersécurité, en déplaçant l'accent des mesures réactives vers une gestion proactive des risques et une plus grande responsabilisation. En prenant dès maintenant des mesures concrètes pour se conformer aux exigences du projet de loi, les entreprises canadiennes peuvent non seulement réduire leurs risques juridiques et opérationnels, mais aussi renforcer leur résilience face à un paysage de cybermenaces de plus en plus complexe.

Footnotes

1 À noter que le projet de loi C-8 constitue la nouvelle version du projet de loi C-26, c'est-à-dire un texte législatif sensiblement similaire qui est mort au Feuilleton le 6 janvier 2025 à la suite d'une prorogation du Parlement (événement sans lien avec le contenu du projet de loi). Vous pouvez consulter notre billet de blogue sur le projet de loi C-26 publié sur TechLex à titre de référence.

2 Ce billet de blogue se concentre sur la partie LPCE du projet de loi C-8. Par conséquent, nous n'abordons pas en détail, dans ce texte, les modifications apportées à la Loi sur les télécommunications. Nous pourrions traiter ces changements dans un prochain billet ; nous vous invitons donc à suivre nos futures publications sur le blogue TechLex.

3 Pour plus de clarté, bien que « services critiques » et « systèmes critiques » désignent un service ou un système mentionné à l'annexe 1 de la LPCE, toutes les organisations relevant d'une des catégories énumérées à l'annexe 1 ne seront pas nécessairement inscrites comme « exploitants désignés » à l'annexe 2 de la LPCE (cette dernière étant actuellement vide).

4 « La partie 2 [du projet de loi C-26 (c'est-à-dire la version précédente du projet de loi C-8)], qui aurait créé la LPCE, semble s'inspirer du modèle australien, en intégrant plusieurs éléments de la Security of Critical Infrastructure Act 2018 ainsi que des modifications substantielles apportées par la Security Legislation Amendment (Critical Infrastructure) Act 2021. Ces réformes de 2021 ont considérablement élargi les pouvoirs du gouvernement fédéral australien pour imposer des obligations en matière de cybersécurité aux exploitants d'infrastructures essentielles et pour intervenir en cas d'incidents majeurs de cybersécurité. De même, la LPCE aurait imposé des exigences aux exploitants désignés dans les secteurs critiques (télécommunications, énergie, transport et finance), telles que la création de programmes de cybersécurité, la déclaration obligatoire des incidents et la conformité aux ordres gouvernementaux en matière de cybersécurité.

Cette approche s'inscrit dans une tendance internationale visant à renforcer la résilience des infrastructures essentielles face aux menaces numériques. Par exemple, la loi américaine Cyber Incident Reporting for Critical Infrastructure Act of 2022 exige que les exploitants d'infrastructures essentielles déclarent les incidents de cybersécurité à la Cybersecurity and Infrastructure Security Agency. Au Royaume-Uni, l'obligation de déclaration est prévue par le Network and Information Systems Regulations 2018, qui découle de la directive européenne de 2016 sur la sécurité des réseaux et des systèmes d'information (directive NIS). L'objectif commun de tous ces régimes est d'atteindre un niveau de sécurité amélioré et harmonisé pour les infrastructures cybernétiques essentielles, tout en permettant aux autorités compétentes de mieux comprendre et gérer les cybermenaces. » (traduit)

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of TechLex Blog
TechLex Blog
Photo of Eugen Miscoi
Eugen Miscoi
Photo of Jade Buchanan
Jade Buchanan
Photo of Daniel Glover
Daniel Glover
Photo of Charles Morgan
Charles Morgan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More