Modifications réglementaires à l’étude

Projet de loi C-8 : Renforcer les normes de conformité en matière de cybersécurité au Canada 

Le projet de loi C-8, Loi sur la protection des cybersystèmes essentiels, vise à modifier la Loi sur les télécommunications afin de conférer au gouvernement le pouvoir d’émettre des directives contraignantes en vue de contrer rapidement les menaces à la cybersécurité dans les secteurs d’infrastructures essentielles, comme les télécommunications, les services bancaires, les transports et l’énergie. Les exploitants désignés seraient tenus de respecter des obligations strictes en matière de cybersécurité et de signalement des incidents, et seraient passibles de sanctions sévères en cas de défaut de conformité, qui pourraient frapper à la fois l’entreprise et les personnes responsables de la supervision ou de l’exécution. 

Le projet de loi en est à la dernière lecture au Sénat et devrait entrer en vigueur en 2026. Pour les entreprises qui ont déjà des programmes de cybersécurité, le projet de loi C-8 renforce les exigences en matière de cohérence, de vérifiabilité et d’intégration interfonctionnelle. 

Même si votre entreprise n’est pas un exploitant désigné, un effet d’entraînement est à prévoir : 

• La pression sur la chaîne d’approvisionnement augmentera. Les entités réglementées doivent démontrer leur maturité en matière de cybersécurité pour l’ensemble de leur chaîne d’approvisionnement, et le moyen le plus pratique pour y parvenir est d’imposer des exigences en aval afin de maintenir leur propre conformité. Les fournisseurs et les prestataires de services tiers doivent s’attendre à devoir composer avec de nouvelles conditions contractuelles et exigences liées à la cybersécurité.  
• Les conseils d’administration d’autres secteurs suivront. Une fois que les obligations en matière de cybersécurité d’un secteur donné seront codifiées, les administrateurs d’autres secteurs chercheront à adopter des pratiques similaires de manière volontaire afin de réduire les risques opérationnels. 

Compte tenu des dispositions déjà adoptées, comme la Loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d’approvisionnement (projet de loi S-211), il est clair que les risques liés à la chaîne d’approvisionnement et la cyberrésilience ne sont plus des enjeux secondaires. Le projet de loi C-8 offre aussi l’occasion de réévaluer les contrôles en place, de combler les lacunes et d’établir des pratiques de cybersécurité plus résilientes. Cette valeur intrinsèque justifie d’agir de manière proactive plutôt que de laisser les échéances dicter le rythme. 

Projet de loi C-27 : L’IA et la conformité en matière de protection de la vie privée au cœur des enjeux 

Les approches réglementaires s’adaptent aux changements technologiques pour tenir compte de la complexité et des risques qui émergent. Le projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique, a été retiré du calendrier législatif à la prorogation du Parlement au début de 2025, mais une nouvelle version, comprenant des mesures visant à réglementer la protection de la vie privée des consommateurs et des données et l’IA, devrait être déposée en 2026. 

Une chose est sûre : les attentes du marché évoluent plus rapidement que la législation. La nouvelle norme internationale ISO 42001, qui définit les bases de la gouvernance en matière d’IA, est déjà adoptée par des acteurs mondiaux. Au Canada, cette norme n’est pas encore obligatoire, mais la concurrence risque de la rendre incontournable pour toute entreprise qui déploie l’IA sur les marchés mondiaux ou qui offre des services basés sur l’IA et qui souhaite rester concurrentielle.