Bulletin

Le projet de loi C-8 redéfinit la législation canadienne en matière de cybersécurité pour le secteur des télécommunications et les autres infrastructures essentielles

Temps de lecture 5 minutes
Partager

Aperçu

Bulletin Technologies, médias et télécommunications

Le 18 juin 2025, l’honorable Gary Anandasangaree, ministre de la Sécurité publique, a déposé le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications. Le projet de loi en est à l’étape de la deuxième lecture à la Chambre des communes.

À l’instar de l’ancien projet de loi C-26 (déposé en 2022 et analysé à l’époque par Fasken), le projet de loi C-8 reflète la volonté constante du gouvernement fédéral de renforcer la résilience des infrastructures et systèmes numériques essentiels du Canada. Le projet de loi C-26 est mort au feuilleton au moment de la prorogation du Parlement au début de 2025.

S’il est adopté, le projet de loi C-8 introduira les mesures suivantes :

  1. Modifier la Loi sur les télécommunications afin d’étendre la surveillance fédérale des réseaux de télécommunications dans l’intérêt de la sécurité nationale;
  2. Édicter la Loi sur la protection des cybersystèmes essentiels (la « LPCE»), qui impose des obligations en matière de cybersécurité pour les exploitants de services et systèmes critiques.

Modifications à la Loi sur les télécommunications

Le projet de loi C-8 donnerait au gouverneur en conseil et au ministre de l’Industrie de vastes pouvoirs pour émettre des décrets et des arrêtés à l’égard des fournisseurs de services de télécommunication.

Parmi ces pouvoirs figurerait notamment la capacité :

  • d’interdire l’utilisation de produits et services provenant des fournisseurs précisés;
  • d’ordonner le retrait des équipements à haut risque des réseaux de télécommunications;
  • d’exiger une approbation préalable pour les contrats d’approvisionnement, de mise à niveau ou de services portant sur des technologies ciblées.

Ces pouvoirs visent à protéger l’infrastructure de télécommunications contre l’ingérence, la manipulation ou la perturbation. Le non-respect entraînerait des sanctions importantes :

  • Personnes physiques : jusqu’à 25 000 $ pour la première infraction, et 50 000 $ pour les infractions subséquentes;
  • Personnes morales : jusqu’à 10 M$, passant à 15 M$ pour les récidives.

Loi sur la protection des cybersystèmes essentiels

La LPCE s’appliquerait aux organisations sous réglementation fédérale qui soutiennent des services ou systèmes critiques désignés, comme ceux de télécommunication, d’énergie, de transport, de services bancaires et d’installations nucléaires. La liste initiale des services et systèmes critiques figure à l’annexe 1 de la LPCE et comprend des secteurs de compétence fédérale (p. ex., les pipelines interprovinciaux et les entreprises de transport relevant de la compétence législative du Parlement). Si elle est adoptée, la législation permettra au gouvernement fédéral de désigner des catégories d’exploitants de services ou de systèmes critiques désignés auxquels s’appliqueraient les obligations (les « exploitants désignés ») et d’assigner des organismes réglementaires à chaque secteur.

Entre autres obligations, les exploitants désignés en vertu de la LPCE devront :

  • établir, mettre en œuvre et maintenir un programme de cybersécurité dans les 90 jours suivant la désignation, aviser l’organisme réglementaire approprié de l’établissement d’un tel programme et le lui fournir;
  • effectuer des examens annuels de leur programme de cybersécurité et informer les organismes réglementaires de tout changement;
  • gérer et atténuer les risques liés aux fournisseurs de services tiers et aux chaînes d’approvisionnement;
  • signaler les incidents de cybersécurité au Centre de la sécurité des télécommunications et en aviser les organismes réglementaires;
  • se conformer aux directives confidentielles en matière de cybersécurité émises par le gouvernement fédéral;
  • tenir tous les dossiers de cybersécurité au Canada, de la manière et à l’endroit désignés.

Conformité et application en vertu de la LPCE

La LPCE accorderait aux organismes réglementaires des pouvoirs étendus pour vérifier la conformité, y compris le pouvoir d’effectuer des vérifications, de donner des ordres de conformité et d’accéder aux lieux.

L’application de la loi comprendrait des mesures tant administratives que pénales :

  • Sanctions administratives : sanctions pécuniaires, transactions et responsabilité personnelle des administrateurs et des dirigeants;
  • Infractions criminelles : amendes et peines d’emprisonnement pouvant aller jusqu’à cinq ans pour les infractions graves.

Prochaines étapes

Les fournisseurs de services de télécommunication et autres exploitants d’infrastructures essentielles désignés sont invités à revoir leurs procédures, politiques, ententes et processus de gestion des incidents en matière de cybersécurité en vue de se conformer aux futures obligations réglementaires visant à maintenir des programmes de cybersécurité exhaustifs.

Pour obtenir de plus amples renseignements, consultez notre bulletin antérieur : Nouvelles exigences de cybersécurité dans les infrastructures essentielles : évaluation de l’impact du projet de loi C-26, Loi concernant la cybersécurité

Contactez les auteurs

Pour obtenir des conseils sur la façon dont ces changements potentiels peuvent toucher votre organisation, communiquez avec un membre de nos équipes Communications ou Protection des renseignements confidentiels, vie privée et cybersécurité.

Contactez les auteurs

Auteurs

  • Leslie Milton, Associée | Cocheffe Technologies, Médias et Télécommunications, Ottawa, ON, +1 613 696 6914, [email protected]
  • Christopher Ferguson, Associé | Technologies, médias et télécommunications, Protection des renseignements confidentiels, vie privée et cybersécurité, Toronto, ON, +1 416 865 4425, [email protected]
  • Paul Burbank, Associé | Technologies, médias et télécommunications, Toronto, ON | Ottawa, ON, +1 416 865 4427, [email protected]
  • Olivia Elliot, Candidate au processus d’accès à la profession, Ottawa, ON, +1 613 696 3164, [email protected]
Leslie Milton Ottawa Lawyer Leslie Milton Associée | Cocheffe Technologies, Médias et Télécommunications Ottawa, ON +1 613 696 6914
Christopher Ferguson, Associé | Technologies, médias et télécommunications, Protection des renseignements confidentiels, vie privée et cybersécurité Christopher Ferguson Associé | Technologies, médias et télécommunications, Protection des renseignements confidentiels, vie privée et cybersécurité Toronto, ON +1 416 865 4425
Paul Burbank Toronto Lawyer Paul Burbank Associé | Technologies, médias et télécommunications Toronto, ON Ottawa, ON +1 416 865 4427
+1 613 696 6893
Olivia Elliot Ottawa Law Student Olivia Elliot Candidate au processus d’accès à la profession Ottawa, ON +1 613 696 3164

    Vous pourriez être intéressé par...

    • Nouvelles exigences de cybersécurité dans les infrastructures essentielles : évaluation de l’impact du projet de loi C-26, Loi concernant la cybersécurité, 23/06/2022
    Centre de données informatiques Bulletin Nouvelles exigences de cybersécurité dans les infrastructures essentielles : évaluation de l’impact du projet de loi C-26, Loi concernant la cybersécurité Les exploitants de systèmes et de services critiques devraient se préparer à examiner et à réviser leurs cadres en matière de cybersécurité et leurs ententes de services afin de satisfaire aux nouvelles exigences en matière de cybersécurité, et les fournisseurs de services de télécommunication devraient se préparer stratégiquement à se conformer aux nouvelles exigences réglementaires et de sécurité. En savoir plus