Le projet de loi C-8 redéfinit la législation canadienne en matière de cybersécurité pour le secteur des télécommunications et les autres infrastructures essentielles

Le 18 juin 2025, l'honorable Gary Anandasangaree, ministre de la Sécurité publique, a déposé le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications. Le projet de loi en est à l'étape de la deuxième lecture à la Chambre des communes.

Le 18 juin 2025, l'honorable Gary Anandasangaree, ministre de la Sécurité publique, a déposé le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications. Le projet de loi en est à l'étape de la deuxième lecture à la Chambre des communes.

À l'instar de l'ancien projet de loi C-26 (déposé en 2022 et analysé à l'époque par Fasken), le projet de loi C-8 reflète la volonté constante du gouvernement fédéral de renforcer la résilience des infrastructures et systèmes numériques essentiels du Canada. Le projet de loi C-26 est mort au feuilleton au moment de la prorogation du Parlement au début de 2025.

S'il est adopté, le projet de loi C-8 introduira les mesures suivantes :

1. Modifier la Loi sur les télécommunications afin d'étendre la surveillance fédérale des réseaux de télécommunications dans l'intérêt de la sécurité nationale;
2. Édicter la Loi sur la protection des cybersystèmes essentiels (la « LPCE»), qui impose des obligations en matière de cybersécurité pour les exploitants de services et systèmes critiques.

Modifications à la Loi sur les télécommunications

Le projet de loi C-8 donnerait au gouverneur en conseil et au ministre de l'Industrie de vastes pouvoirs pour émettre des décrets et des arrêtés à l'égard des fournisseurs de services de télécommunication.

Parmi ces pouvoirs figurerait notamment la capacité :

• d'interdire l'utilisation de produits et services provenant des fournisseurs précisés;
• d'ordonner le retrait des équipements à haut risque des réseaux de télécommunications;
• d'exiger une approbation préalable pour les contrats d'approvisionnement, de mise à niveau ou de services portant sur des technologies ciblées¹.

Ces pouvoirs visent à protéger l'infrastructure de télécommunications contre l'ingérence, la manipulation ou la perturbation. Le non-respect entraînerait des sanctions importantes :

• Personnes physiques : jusqu'à 25 000 $ pour la première infraction, et 50 000 $ pour les infractions subséquentes;
• Personnes morales : jusqu'à 10 M$, passant à 15 M$ pour les récidives².

Loi sur la protection des cybersystèmes essentiels

La LPCE s'appliquerait aux organisations sous réglementation fédérale qui soutiennent des services ou systèmes critiques désignés, comme ceux de télécommunication, d'énergie, de transport, de services bancaires et d'installations nucléaires. La liste initiale des services et systèmes critiques figure à l'annexe 1 de la LPCE et comprend des secteurs de compétence fédérale (p. ex., les pipelines interprovinciaux et les entreprises de transport relevant de la compétence législative du Parlement). Si elle est adoptée, la législation permettra au gouvernement fédéral de désigner des catégories d'exploitants de services ou de systèmes critiques désignés auxquels s'appliqueraient les obligations (les « exploitants désignés ») et d'assigner des organismes réglementaires à chaque secteur.

Entre autres obligations, les exploitants désignés en vertu de la LPCE devront :

• établir, mettre en Suvre et maintenir un programme de cybersécurité dans les 90 jours³ suivant la désignation, aviser l'organisme réglementaire approprié de l'établissement d'un tel programme et le lui fournir;
• effectuer des examens annuels de leur programme de cybersécurité et informer les organismes réglementaires de tout changement;
• gérer et atténuer les risques liés aux fournisseurs de services tiers et aux chaînes d'approvisionnement;
• signaler les incidents de cybersécurité au Centre de la sécurité des télécommunications et en aviser les organismes réglementaires;
• se conformer aux directives confidentielles en matière de cybersécurité émises par le gouvernement fédéral;
• tenir tous les dossiers de cybersécurité au Canada, de la manière et à l'endroit désignés⁴.

Conformité et application en vertu de la LPCE

La LPCE accorderait aux organismes réglementaires des pouvoirs étendus pour vérifier la conformité, y compris le pouvoir d'effectuer des vérifications, de donner des ordres de conformité et d'accéder aux lieux.

L'application de la loi comprendrait des mesures tant administratives que pénales :

• Sanctions administratives : sanctions pécuniaires, transactions et responsabilité personnelle des administrateurs et des dirigeants;
• Infractions criminelles : amendes et peines d'emprisonnement pouvant aller jusqu'à cinq ans pour les infractions graves⁵.

Prochaines étapes

Les fournisseurs de services de télécommunication et autres exploitants d'infrastructures essentielles désignés sont invités à revoir leurs procédures, politiques, ententes et processus de gestion des incidents en matière de cybersécurité en vue de se conformer aux futures obligations réglementaires visant à maintenir des programmes de cybersécurité exhaustifs.

Pour obtenir de plus amples renseignements, consultez notre bulletin antérieur : Nouvelles exigences de cybersécurité dans les infrastructures essentielles : évaluation de l'impact du projet de loi C-26, Loi concernant la cybersécurité

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.