McMillan LLP

07/10/2025 | Press release | Distributed by Public on 07/10/2025 16:06

De retour sous un nouveau nom : le projet de loi C-8 relance la loi exhaustive concernant la cybersécurité

  • Accueil
  • Perspectives
  • Publications
  • De retour sous un nouveau nom : le projet de loi C-8 relance...

De retour sous un nouveau nom : le projet de loi C-8 relance la loi exhaustive concernant la cybersécurité

3 juillet 2025 Bulletin sur la protection de la vie privée et des données Lecture de 4 min
Robbie Grant

Précédemment, le groupe Protection de la vie privée et des données de McMillan a publié un bulletin sur le projet de loi C-26, qui est devenu caduc lorsque le Parlement a été prorogé en janvier 2025 (lisez notre analyse approfondie du projet de loi C-26 ici).

Le 18 juin 2025, le ministre de la Sécurité publique a réintroduit le projet de loi en le renommant Projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d'autres lois (le « projet de loi C-8 »). Pratiquement identique au projet de loi antérieur, le projet de loi C-8, si adopté, viendrait 1) modifier la Loi sur les télécommunications et 2) édicter la Loi sur la protection des cybersystèmes essentiels (la « LPCE »). Le projet de loi C-8 prévoit de nouveaux pouvoirs d'exécution en matière de cybersécurité dans les infrastructures fédérales essentielles du Canada.

PARTIE UN : LOI SUR LES TÉLÉCOMMUNICATIONS

La partie 1 du projet de loi C-8 viendrait modifier la Loi sur les télécommunications, ajoutant la promotion de la sécurité du système canadien de télécommunication comme objectif de la politique canadienne de télécommunication. Notamment, le projet de loi C-8 conférerait au gouverneur en conseil et au ministre de l'Industrie des pouvoirs étendus pour sécuriser le système canadien de télécommunication, comme interdire aux fournisseurs de services de télécommunication d'utiliser tous les produits et les services fournis par toute personne qu'il précise, ou leur ordonner de retirer de tout ou d'une partie de leurs réseaux ou installations de télécommunication tous les produits fournis par toute personne qu'il précise[1]. Les modifications conféreraient également au ministre le pouvoir d'exiger des fournisseurs de services de télécommunication qu'ils mettent en place des mesures de sécurité comme des évaluations pour repérer toute vulnérabilité[2].

Le projet de loi C-8 établirait un cadre de sanctions administratives pécuniaires pour les violations des arrêtés et prévoirait pour les individus des amendes pouvant atteindre 25,000 $ (50 000 $ en cas de récidive) et jusqu'à 10 millions de dollars pour les organisations (15 millions de dollars en cas de récidive)[3]. Notamment, les pertes subies par suite de la prise d'un arrêté sont irrécupérables[4].

PARTIE DEUX : LOI SUR LA PROTECTION DES CYBERSYSTÈMES ESSENTIELS

La partie deux édicterait la LPCE, qui créerait de nouvelles obligations pour les exploitants désignés de services ou de systèmes critiques dans le secteur fédéral. L'annexe 1 du projet de loi énumère les services et systèmes critiques qui, pour l'instant, seraient assujettis à la LPCE :

  • Services de télécommunication;
  • Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
  • Systèmes d'énergie nucléaire;
  • Systèmes de transport relevant de la compétence législative du Parlement;
  • Systèmes bancaires;
  • Systèmes de compensations et de règlements[5].

Les exploitants désignés qui seraient assujettis à la LPCE n'ont pas encore été indiqués. Toute entreprise exerçant des activités dans les secteurs susmentionnés pourrait être désignée à l'avenir; les administrateurs doivent être conscients des obligations potentielles en matière de cybersécurité en vertu de la LPCE.

La LPCE exigerait des exploitants désignés : i) d'établir un programme de cybersécurité conformément à la réglementation, d'aviser l'organisme réglementaire compétent et de lui fournir une copie du programme dans les 90 jours suivant la date à laquelle il devient membre de la catégorie[6]; ii) de prendre des mesures pour atténuer les risques associés à la chaîne d'approvisionnement identifiés par le programme de cybersécurité[7]; iii) de déclarer, dans les délais réglementaires, lesquels ne doivent pas dépasser soixante-douze heures, tout incident de cybersécurité concernant l'un de ses cybersystèmes essentiels au Centre de la sécurité des télécommunications, puis en aviser l'organisme réglementaire compétent[8]; iv) de se conformer aux décrets en matière de cybersécurité imposés par le gouverneur en conseil[9]; v) de tenir et de conserver certains documents conformément à la réglementation[10].

En résumé, la LPCE établirait un régime proactif de cybersécurité qui transférerait la responsabilité aux exploitants avant que des incidents ne surviennent, plutôt que de se fier uniquement à des mesures réactives. Ce cadre créerait des obligations de conformité permanente qui nécessiteraient une surveillance opérationnelle importante de la part des exploitants désignés.

Adoption du projet de loi C-8

Le projet de loi C-8 a été déposé à la Chambre des communes le 18 juin 2025 et a fait l'objet d'une première lecture. Il est actuellement en deuxième lecture, où il fera l'objet d'un débat, d'un examen en commission, de modifications et d'un rapport. Après avoir franchi l'étape de la troisième lecture à la Chambre des communes, le projet de loi doit ensuite franchir les trois étapes de lecture au Sénat avant de recevoir la sanction royale.

Étant donné que le projet de loi C-8 ressemble beaucoup au projet de loi C-26, qui avait déjà franchi l'étape de la troisième lecture au Sénat avant de devenir caduc lorsque le Parlement a été prorogé en janvier 2025, certains observateurs s'attendent à ce qu'il franchisse les étapes du processus législatif assez rapidement. Cela dit, le moment choisi dépendra en grande partie du calendrier parlementaire, de la complexité de l'examen en commission et du fait que les modifications proposées puissent susciter un débat prolongé ou non.

Conclusion et points à retenir

Le vaste champ d'application du projet de loi C-8 et les sanctions importantes qu'il prévoit soulignent l'engagement du gouvernement en faveur de la cybersécurité, mais créent aussi d'importants problèmes de conformité qui nécessitent une attention immédiate et une planification stratégique afin d'éviter des mesures d'application coûteuses et des perturbations opérationnelles. Les organisations actives dans le secteur des télécommunications et des infrastructures fédérales essentielles au Canada doivent se préparer à ces nouvelles obligations de conformité.

Le groupe Protection de la vie privée et des données de McMillan continuera à surveiller les mises à jour relatives à la progression du projet de loi C-8. Pour notre analyse antérieure du projet de loi C-26, qui est pertinente au projet de loi C-8, veuillez lire notre bulletin précédent et les réflexions dont Robbie Grant a fait part dans le cadre d'un entretien (en anglais) avec The Globe and Mail ici.

[1] Loi sur les télécommunications, L.C. 1993, c. 38, paragraphes 15.1 (1) et 15.2 (1), tels que modifiés par le projet de loi C-8 [Loi sur les télécommunications].
[2] Loi sur les télécommunications, alinéas 15.2 (2) i) à l), tels que modifiés par le projet de loi C-8.
[3] Loi sur les télécommunications, article 72.131, tel que modifié par le projet de loi C-8.
[4] Loi sur les télécommunications, paragraphes 15.1 (8) et 15.2 (10), tels que modifiés par le projet de loi C-8.
[5] Loi sur la protection des cybersystèmes essentiels, annexe 1, telle qu'édictée par le projet de loi C-8 [LPCE].
[6] LPCE, article 9.
[7] LPCE, article 15.
[8] LPCE, article 17.
[9] LPCE, article 20.
[10] LPCE, article 30.

Par Robbie Grant et Whitney Igidi (étudiante d'été en droit)

Mise en garde

Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2025

précédent
Voir tout
McMillan LLP published this content on July 10, 2025, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on July 10, 2025 at 22:07 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at support@pubt.io