Le 18 juin 2025, le ministre de la Sécurité publique a déposé le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi C-8 »). S’il est adopté, le projet de loi C-8 édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCE »), laquelle avait été introduite dans le projet de loi C-26 lors de la législature précédente. La LPCE a pour but d’établir un cadre de protection visant les cybersystèmes qui sont considérés comme faisant partie intégrale de l’infrastructure canadienne et de la sécurité publique au Canada.
La LPCE imposerait une série d’obligations en matière de cybersécurité aux secteurs assurant des « services critiques » ou exploitant des « systèmes critiques ». Ces services et systèmes comprennent les suivants :
- les services de télécommunications;
- les systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux;
- les systèmes d’énergie nucléaire;
- les systèmes de transport relevant de la compétence législative du Parlement;
- les systèmes bancaires;
- les systèmes de compensations et de règlements.
Voici quelques-unes des obligations prévues à la LPCE que se verrait imposer un exploitant désigné :
- établir et mettre en œuvre un programme de cybersécurité, et effectuer régulièrement un examen de ce dernier; ce programme devant comporter par ailleurs des mesures ayant pour but de cerner et de gérer les risques organisationnels liés à la cybersécurité;
- atténuer les risques à l’égard de la cybersécurité qui sont associés à la chaîne d’approvisionnement de l’exploitant désigné ou aux produits et services de tiers déterminés par ce dernier;
- aviser l’organisme réglementaire compétent de tout changement important survenu dans la propriété ou le contrôle de l’exploitant désigné, ou de tout changement important apporté à la chaîne d’approvisionnement de l’exploitant désigné ou à l’utilisation par celui-ci de produits et services de tiers;
- se conformer à toute directive de cybersécurité donnée par le Cabinet fédéral ou l’organisme réglementaire compétent et ne pas en divulguer l’existence ni le contenu;
- tenir des registres relativement à la mise en œuvre de son programme de cybersécurité et à tout incident de cybersécurité; de plus, ces documents doivent être conservés au Canada.
Le projet de loi C-8 est sensiblement identique au projet de loi C-26, à l’exception de quelques modifications apportées aux exigences de procédure prévues au processus de contrôle judiciaire applicable aux directives de cybersécurité. Le projet de loi C-26 s’était rendu à l’étape de la troisième lecture au Sénat, mais est mort au feuilleton à la prorogation du Parlement en janvier 2025.
Malgré les similarités entre le projet de loi C-26 et le projet de loi C-8, ce dernier doit être soumis au processus législatif intégral avant de devenir une loi. Le projet de loi C-8 en est actuellement à l’étape de la deuxième lecture à la Chambre des communes; il devra ensuite franchir les étapes de l’examen en comité et du rapport, puis faire l’objet d’une troisième lecture, pour enfin faire l’objet de trois lectures au Sénat. Or, compte tenu de la forte similitude entre les projets de loi C‑26 et C‑8, ainsi que les étapes franchies par le projet de loi C‑26 avant sa mort au feuilleton, le projet de loi C‑8 pourrait être adopté rapidement.
Pour prendre connaissance de l’analyse que nous avions faite précédemment du projet de loi C‑26, laquelle s’applique également au projet de loi C‑8, consultez nos Bulletins Blakes intitulés La Chambre des communes dépose le projet de loi C-26 pour encadrer la cybersécurité dans certains secteurs et Droit canadien en matière de cybersécurité : Le projet de loi C-26 franchit une autre étape.
[View source.]
