Projet de loi C-8 : ce que chaque PME canadienne doit faire maintenant pour éviter des amendes de 15 millions

Expert en cybersécurité analysant le projet de loi C-8 devant ses écrans dans un bureau canadien
Gabrielle Gabrielle FortinInformatique
4 min read 20 avril 2026

Le projet de loi C-8 vient de franchir la Chambre des communes le 26 mars 2026 : la cybersécurité n'est plus optionnelle au Canada. Pour les PME qui fournissent des services technologiques aux secteurs critiques, les amendes peuvent atteindre 15 millions de dollars par infraction.

Ce que prévoit le projet de loi C-8

Le projet de loi C-8 — Loi concernant la cybersécurité — a été adopté en troisième lecture à la Chambre des communes le 26 mars 2026, selon le site du Parlement du Canada. Il est maintenant en première lecture au Sénat. Sa portée est large : télécommunications, secteur financier, énergie, transport. Toute organisation désignée « exploitant de cybersystème essentiel » doit se conformer dans les 90 jours suivant sa désignation.

Les obligations concrètes comprennent :

  • Un programme de cybersécurité formalisé, documentant les mesures de protection des systèmes critiques.
  • Un signalement d'incident dans les 72 heures au Centre de la sécurité des télécommunications (CST) après découverte d'une brèche.
  • La gestion des risques liés aux tiers : chaque fournisseur technologique intégré à la chaîne d'approvisionnement doit être évalué.
  • La conservation des données sur sol canadien — les journaux de sécurité et rapports d'incidents ne peuvent pas être hébergés à l'étranger.

Les PME sont-elles visées?

Directement? Pas forcément. Indirectement? Absolument. Comme l'expliquent les experts en droit des affaires de McCarthy Tétrault, les PME qui fournissent des services informatiques, d'hébergement ou de développement logiciel aux secteurs financier, énergétique ou télécom sont considérées comme des acteurs de la chaîne d'approvisionnement. À ce titre, leurs clients désignés pourront — et devront — leur imposer des exigences contractuelles de conformité.

En d'autres termes : si votre PME gère les serveurs d'une banque régionale, sécurise les communications d'un fournisseur d'énergie ou développe des applications pour un opérateur télécom, vous serez tenu de répondre aux nouvelles normes cybersécurité, même sans être vous-même désigné exploitant.

Les sanctions qui font froid dans le dos

Les pénalités administratives prévues par la loi sont parmi les plus sévères jamais introduites en droit canadien. Selon le texte legislatif :

  • Pour les entreprises : jusqu'à 10 millions de dollars pour une première infraction, 15 millions pour les récidives.
  • Pour les personnes physiques (dirigeants, responsables IT) : jusqu'à 1 million de dollars par jour par violation.
  • Des sanctions pénales, incluant des peines d'emprisonnement, sont prévues pour les administrateurs en cas de faute grave.

Ces chiffres ne sont pas symboliques. Ils signalent un changement de paradigme : la cybersécurité était jusqu'ici une bonne pratique. Elle devient une obligation légale sanctionnée.

Cinq actions concrètes avant l'entrée en vigueur

Même si la loi n'est pas encore en vigueur — elle est au Sénat — les entreprises avisées agissent maintenant. Voici les étapes recommandées par les spécialistes en sécurité informatique :

1. Cartographier vos actifs numériques critiques. Identifiez quels systèmes, données et accès tiers seraient visés si vous étiez désigné. Cette cartographie est la base de tout programme de conformité.

2. Réaliser un audit de votre chaîne d'approvisionnement logicielle. Le projet de loi C-8 met une attention particulière sur les risques liés aux fournisseurs. Un seul partenaire peu sécurisé peut engager votre responsabilité.

3. Mettre en place un plan de réponse aux incidents. La fenêtre de 72 heures pour signaler un incident est courte. Sans procédure définie à l'avance, vous risquez de la dépasser sans le vouloir.

4. Vérifier où sont stockées vos données. Si vos journaux de sécurité sont hébergés sur des serveurs américains ou européens, vous devrez migrer vers des infrastructures canadiennes.

5. Former vos équipes dès maintenant. Les brèches proviennent à 82 % d'une erreur humaine, selon le Centre canadien pour la cybersécurité. La formation n'est pas un luxe — c'est votre première ligne de défense.

L'intelligence artificielle, nouvelle variable de risque

Le projet de loi C-8 émerge dans un contexte où les cybermenaces évoluent rapidement. Le Centre canadien pour la cybersécurité identifie dans son évaluation nationale des cybermenaces 2025-2026 cinq tendances lourdes : l'IA amplifie les attaques, les acteurs malveillants évoluent pour contourner les détections, les groupes géopolitiquement motivés créent une instabilité, la concentration des fournisseurs technologiques augmente les vulnérabilités systémiques, et les services commerciaux à double usage deviennent des vecteurs d'attaque.

Pour une PME, cela signifie que le profil de menace d'aujourd'hui est radicalement différent de celui d'il y a cinq ans. Une PME qui n'a jamais été ciblée peut l'être demain — non pas parce qu'elle est une cible prioritaire, mais parce qu'elle est un point d'entrée vers un client plus grand.

Quand consulter un expert en cybersécurité?

Le projet de loi C-8 crée un besoin structurel d'expertise spécialisée. Un expert en sécurité informatique peut vous aider à :

  • Évaluer votre exposition réelle sous le nouveau cadre réglementaire.
  • Rédiger ou mettre à jour votre programme de cybersécurité conforme aux exigences de la loi.
  • Tester vos défenses via des audits de vulnérabilité et des simulations d'intrusion.
  • Préparer votre plan de réponse aux incidents, incluant le protocole de signalement au CST.

Avertissement YMYL : Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour toute question relative à vos obligations de conformité sous le projet de loi C-8, consultez un avocat spécialisé en droit du numérique ou un expert en sécurité informatique certifié.

La fenêtre d'adaptation est ouverte. Le Sénat devrait adopter la loi dans les prochaines semaines. En matière de cybersécurité, agir avant d'être contraint reste toujours la meilleure stratégie — et la plus économique.

Pour évaluer votre posture de cybersécurité face aux nouvelles exigences réglementaires, consultez un expert en sécurité informatique sur Expert Zoom.

Our Experts

Advantages

Quick and accurate answers to all your questions and requests for assistance in over 200 categories.

Thousands of users have given a satisfaction rating of 4.9 out of 5 for the advice and recommendations provided by our assistants.

Expert Zoom

How does it work?Who are our experts?MagazineNews

Contact Us

Email
Follow us
Privacy PolicyTerms of Use