Le projet de loi C-8 a été déposé à la Chambre des communes le 18 juin 2025. Ce projet de loi modifie la Loi sur les télécommunications et crée un nouveau cadre juridique appelé Critical Cyber System Protection Act (CCSPA).
L’objectif principal de ce projet de loi est de protéger les systèmes numériques essentiels contre les menaces croissantes du cyberespace, tout en donnant au gouvernement des outils juridiques plus robustes pour intervenir lorsqu’un risque est identifié.
Le projet de loi C-8 a une double intention. D’une part, elle renforce l’autorité fédérale en matière de télécommunications en permettant au gouvernement d’ordonner à des fournisseurs de services ou à des opérateurs de prendre ou d’éviter des mesures spécifiques pour sécuriser les réseaux contre l’interférence, la manipulation ou la perturbation. D’autre part, elle établit des obligations de cybersécurité obligatoires pour les opérateurs désignés de systèmes considérés comme « essentiels » à l’intérêt public ou à la sécurité nationale, notamment dans les secteurs des télécommunications, des transports, de l’énergie et des services bancaires.
Le projet de loi s’adresse principalement aux organisations régies par la compétence fédérale, par exemple, les fournisseurs de services télécoms, les institutions financières, les réseaux de transport interprovinciaux et les opérateurs de systèmes d’énergie. Ces entités dites « opérateurs désignés » devront élaborer, mettre en œuvre et tenir à jour un programme de cybersécurité structuré, signaler rapidement les incidents et gérer les risques liés à leur chaîne d’approvisionnement technique.
Pour les entreprises québécoises, même celles non fédérales, cela peut avoir un impact indirect significatif.
Par exemple, si une entreprise québécoise fournit des services ou des produits à un opérateur désigné (ex. : logiciels, services cloud, composants techniques), elle pourrait être amenée à répondre à des exigences de conformité imposées à son client fédéral (exigences de documentation, audits, mesures de sécurité spécifiques).
Cela peut entraîner des investissements supplémentaires en cybersécurité, des changements de pratiques internes et une collaboration accrue avec des partenaires fédéraux.
Des exemples concrets d’application envisagés incluent l’obligation pour un grand fournisseur de réseau de mettre en place un programme formel de cybersécurité en 90 jours, de reporter des incidents aux autorités fédérales sous 72 heures et de gérer les risques liés aux fournisseurs étrangers identifiés comme potentiellement vulnérables. Des sanctions financières importantes, jusqu’à des millions de dollars par violation, sont prévues pour non-conformité.
En résumé, le projet de loi C-8 marque une étape importante vers une cybersécurité obligatoire et encadrée au Canada.
Les entreprises québécoises, même si elles ne sont pas elles-mêmes désignées, doivent surveiller ces évolutions législatives, car leurs relations d’affaires avec des opérateurs fédéraux ou leurs propres stratégies de sécurité pourraient être touchées.
Sébastien Lafond
Chef de pratique - Technologie et Cyberrisques, Lussier
