Cybersécurité au Canada : vérification documentaire pour infrastructures critiques 2026
Projet de loi C-26, ligne directrice B-13 du BSIF et Loi 25 : obligations de vérification documentaire pour infrastructures critiques au Canada en 2026. Fournisseurs, personnel et incidents.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokCet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Consultez un professionnel qualifié pour toute question relative à votre situation spécifique.
Bien que la directive européenne NIS2 s'applique exclusivement aux États membres de l'Union européenne, les organisations canadiennes font face à des obligations équivalentes et tout aussi contraignantes : le projet de loi C-26 sur la protection des cybersystèmes essentiels, la ligne directrice B-13 du Bureau du surintendant des institutions financières (BSIF) et la Loi 25 du Québec forment ensemble un cadre réglementaire rigoureux qui touche directement les pratiques de vérification documentaire au sein des infrastructures critiques.
Pour les équipes de conformité, de sécurité de l'information et de gestion des risques au Canada, les enjeux sont concrets : quels documents vérifier, sur quels fournisseurs exercer une diligence renforcée, et dans quels délais signaler un incident aux autorités compétentes. Cet article offre une cartographie complète de ces obligations en 2026.
Le paysage réglementaire de la cybersécurité au Canada en 2026
Le Canada ne dispose pas d'un règlement unique équivalent à la NIS2 européenne. Le cadre applicable est plutôt bâti sur plusieurs couches réglementaires qui se superposent selon le secteur d'activité et la juridiction.
Au niveau fédéral, le projet de loi C-26 — Loi sur la protection des cybersystèmes essentiels — cible les opérateurs d'infrastructures critiques sous réglementation fédérale : institutions financières, opérateurs de télécommunications, sociétés d'énergie et de transport fédéral. Il impose l'établissement d'un programme formel de cybersécurité, la gestion des risques de la chaîne d'approvisionnement et le signalement obligatoire des incidents au Centre canadien pour la cybersécurité (CCCS) et à la Gendarmerie royale du Canada (GRC) dans un délai de 72 heures.
En parallèle, la ligne directrice B-13 du BSIF, en vigueur depuis le 1er janvier 2024, impose aux institutions financières fédérales un cadre structuré de gestion du risque technologique, de résilience opérationnelle et de gouvernance des risques liés aux tiers. Le BSIF publie ses attentes de supervision à l'adresse osfi-bsif.gc.ca.
Au Québec, la Loi 25 — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — est pleinement en vigueur depuis septembre 2023. Elle impose notamment la notification de la Commission d'accès à l'information du Québec (CAI) dans les 72 heures pour tout incident important, la réalisation d'évaluations de facteurs relatifs à la vie privée (EFVP) et la désignation d'un responsable de la protection des renseignements personnels (RPRP).
Finalement, pour les entités déclarantes au sens de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), le CANAFE impose des obligations strictes de vérification de l'identité et de conservation des documents.
Projet de loi C-26 : programme de cybersécurité et obligations documentaires
Le projet de loi C-26 impose aux opérateurs désignés d'infrastructures critiques fédérales la mise en place d'un programme de cybersécurité documenté. Ce programme doit couvrir quatre volets principaux : l'identification et la gestion des risques, la protection des cybersystèmes essentiels, la détection des cybermenaces et la réponse aux incidents.
Du point de vue de la vérification documentaire, le projet de loi C-26 génère des obligations précises.
Programme de cybersécurité écrit et approuvé. La haute direction doit approuver formellement le programme, et cette approbation doit être consignée et datée. Tout changement substantiel au programme doit être documenté avec une traçabilité de gouvernance.
Gestion des risques de la chaîne d'approvisionnement. La directive ITSM.10.096 du CCCS sur la cybersécurité de la chaîne d'approvisionnement exige une évaluation documentée de tout fournisseur ayant accès aux cybersystèmes essentiels. Cette évaluation doit comprendre la vérification du numéro d'entreprise du Québec (NEQ) ou de l'équivalent fédéral, le certificat de conformité du Registraire des entreprises du Québec (REQ) ou une attestation d'existence corporative équivalente, et la confirmation de l'identité des dirigeants par des pièces d'identité officielles : permis de conduire, carte RAMQ ou passeport canadien.
Déclaration d'incidents sous 72 heures. En cas d'incident affectant un cybersystème essentiel, l'opérateur doit transmettre une déclaration initiale au CCCS et à la GRC dans les 72 heures. Cette déclaration doit être appuyée d'une documentation de l'incident : journaux techniques, nature et portée de l'intrusion, mesures correctives prises.
Ligne directrice B-13 du BSIF : documentation pour institutions financières fédérales
La ligne directrice B-13 du BSIF s'applique à toutes les institutions financières fédérales canadiennes — banques à charte, sociétés d'assurance fédérales, sociétés de fiducie — et représente l'un des régimes les plus exigeants en matière de documentation technologique.
Évaluation documentée des risques des tiers et fournisseurs. Toute entente avec un fournisseur de services technologiques doit être précédée d'une évaluation formelle des risques. Cette évaluation doit être consignée dans un registre d'impartition, indiquant la nature du service fourni, les fonctions critiques supportées, la localisation des données et les droits d'audit prévus au contrat.
Traçabilité intégrale des traitements. Chaque document traité dans les processus de vérification d'identité ou de validation KYC doit générer une piste d'audit complète : identité du déposant, horodatage, contrôles appliqués, résultat obtenu. Le BSIF peut demander à reconstituer l'historique complet d'un dossier sur une période allant jusqu'à cinq ans.
Gouvernance de la haute direction. La ligne directrice B-13 exige que la haute direction approuve personnellement les politiques de gestion du risque technologique et de cybersécurité. Ces approbations doivent être tracées dans les procès-verbaux du comité de direction ou du conseil d'administration.
Au Québec, l'AMF publie également une ligne directrice sur la gestion du risque lié aux technologies de l'information pour les assureurs provinciaux, avec des attentes comparables à celles du BSIF.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitSécurité de la chaîne d'approvisionnement : vérifier les documents des fournisseurs
La gestion des risques liés aux fournisseurs est l'une des exigences les plus opérationnelles du cadre canadien. Que ce soit sous l'angle du projet de loi C-26, de la ligne directrice B-10 du BSIF sur l'impartition ou de la Loi 25 pour les sous-traitants traitant des renseignements personnels, l'organisation doit maintenir un dossier documentaire à jour pour chaque fournisseur à risque élevé.
Documents corporatifs à vérifier. Le certificat de conformité émis par le Registraire des entreprises du Québec (REQ) est l'équivalent québécois du Kbis français. Il confirme l'existence légale de la compagnie, son numéro d'entreprise du Québec (NEQ) et le statut actif de ses activités. Pour les fournisseurs hors Québec, l'attestation d'existence corporative émise par le registre provincial compétent fait office de pièce équivalente.
Identité des dirigeants et des ayants droit économiques. Pour les fournisseurs à risque élevé, la vérification de l'identité des dirigeants est requise. Les pièces acceptées au Canada sont le permis de conduire provincial, le passeport canadien ou, dans certains contextes, la carte RAMQ pour les résidents du Québec. Le numéro d'assurance sociale (NAS) peut également être requis selon le type de relation contractuelle.
Attestations fiscales et réglementaires. Revenu Québec et l'Agence du revenu du Canada (ARC) peuvent délivrer des attestations de conformité fiscale. Pour les fournisseurs assujettis à la LRPCFAT, une déclaration d'enregistrement auprès du CANAFE peut être exigée.
La plateforme CheckFile prend en charge plus de 3 200 types de documents dans 32 juridictions, ce qui permet d'automatiser la collecte et la vérification de ces dossiers fournisseurs à l'échelle, quel que soit le pays d'établissement du sous-traitant.
Documentation du personnel accrédité et contrôle des accès
Les infrastructures critiques doivent encadrer rigoureusement les accès aux cybersystèmes essentiels. Cela implique une gestion documentaire rigoureuse du personnel accrédité.
Vérification d'identité des employés et contractants. Pour tout personnel ayant accès à des cybersystèmes essentiels, l'organisation doit conserver une copie vérifiée d'une pièce d'identité officielle — permis de conduire ou passeport canadien — assortie d'une preuve de vérification des antécédents. Cette vérification doit être renouvelée périodiquement, avec une documentation de la date de renouvellement.
Habilitations de sécurité et accréditations. Pour les entités sous réglementation fédérale, certains postes requièrent une habilitation de sécurité délivrée par Services publics et Approvisionnement Canada. La documentation de ces habilitations doit être conservée dans le dossier de l'employé et intégrée au registre de contrôle des accès.
Gestion des départs. La révocation des accès doit être documentée et tracée. Un registre des accès révoqués, avec horodatage, permet de démontrer à un auditeur que les accès aux cybersystèmes essentiels sont maîtrisés.
Attestations de formation. La Loi 25 et la ligne directrice B-13 exigent toutes deux des programmes de sensibilisation et de formation en cybersécurité. Les attestations de complétion de ces formations constituent des pièces documentaires justificatives dans le cadre d'un audit de conformité.
Pour les organisations gérant un volume important de dossiers de personnel, une solution de vérification documentaire automatisée permet de centraliser ces dossiers, de paramétrer des alertes de renouvellement et de générer des rapports d'audit à la demande.
Délais de signalement d'incidents : CCCS, BSIF, CAI et CANAFE
Le respect des délais de signalement est l'une des obligations les plus critiques et les moins bien documentées en pratique. En 2026, plusieurs régimes de déclaration coexistent au Canada, avec des délais et des destinataires différents selon la nature de l'incident.
| Régime de signalement | Destinataire | Délai | Déclencheur |
|---|---|---|---|
| Projet de loi C-26 | CCCS + GRC | 72 heures | Incident affectant un cybersystème essentiel désigné |
| Ligne directrice B-13 du BSIF | BSIF | Variable selon la gravité | Incident TI ou cyber affectant une institution financière fédérale |
| Loi 25 (Québec) | CAI | 72 heures | Incident impliquant des renseignements personnels ayant un risque de préjudice sérieux |
| LPRPDE (fédéral) | Commissariat à la protection de la vie privée | Dès que raisonnablement possible | Atteinte à la sécurité des renseignements personnels ayant un risque réel de préjudice grave |
| LRPCFAT | CANAFE | Selon le type de rapport | Opération douteuse, opération importante en espèces |
Documentation requise lors d'un signalement. Chaque déclaration doit être appuyée de preuves documentaires : journaux d'événements horodatés, description technique de l'incident, portée de l'atteinte, mesures correctives prises et calendrier de remédiation. La CAI peut demander des précisions dans les jours suivant la déclaration initiale.
Responsable de la protection des renseignements personnels (RPRP). La Loi 25 impose la désignation d'un RPRP, dont les coordonnées doivent être publiées et accessibles. Ce responsable coordonne la réponse aux incidents et les communications avec la CAI.
NIS2 vs. Cadre réglementaire canadien : tableau comparatif
Pour les organisations canadiennes ayant des activités en Europe, ou pour celles qui souhaitent comparer les deux approches, le tableau ci-dessous résume les équivalences fonctionnelles.
| Dimension | NIS2 (Union européenne) | Équivalent canadien |
|---|---|---|
| Instrument principal | Directive NIS2 (UE 2022/2555) | Projet de loi C-26 (fédéral) |
| Autorité nationale | ANSSI (France), BSI (Allemagne), etc. | CCCS (cyber.gc.ca) |
| Secteurs visés | Énergie, transport, banques, santé, eau, numérique, etc. | Banques, télécoms, énergie, transport fédéral |
| Programme de cybersécurité | Obligatoire | Obligatoire (C-26) |
| Délai de signalement d'incidents | 24 h (alerte précoce), 72 h (notification) | 72 h (CCCS/GRC), variable (BSIF) |
| Gestion des risques fournisseurs | Oui, obligatoire | Oui (BSIF B-10 + B-13, ITSM.10.096) |
| Protection des données | RGPD | Loi 25 (Québec), LPRPDE (fédéral) |
| Notification de l'autorité vie privée | CNIL (France), etc. | CAI (Québec), Commissariat à la vie privée |
| Identifiant d'entreprise | SIRET/SIREN (France) | NEQ (Québec), numéro d'entreprise fédéral |
| Document d'identité principal | Carte nationale d'identité | Permis de conduire provincial, passeport canadien |
| Registre des entreprises | Infogreffe / RCS | REQ (registreentreprises.gouv.qc.ca) |
| Sanctions | Jusqu'à 10 M€ ou 2 % du CA mondial | Amendes administratives significatives (C-26) |
La convergence entre les deux cadres est notable : la philosophie réglementaire — programme de cybersécurité, gestion documentée des risques, signalement rapide des incidents, gouvernance de la haute direction — est identique. Les organisations canadiennes qui opèrent également en Europe peuvent rationaliser leurs programmes de conformité autour de ces exigences communes.
Comment CheckFile appuie la conformité documentaire des organisations canadiennes
Les obligations documentaires découlant du projet de loi C-26, de la ligne directrice B-13 et de la Loi 25 génèrent un volume considérable de vérifications : fournisseurs à évaluer, employés à accréditer, incidents à documenter. Les processus manuels créent des risques de lacunes, d'incohérences et de délais non respectés.
CheckFile automatise la collecte, la vérification et l'archivage de ces documents selon un flux structuré et auditable.
Pour la vérification des fournisseurs, CheckFile permet de paramétrer des workflows d'entrée de fournisseur qui collectent automatiquement le certificat de conformité du REQ, les pièces d'identité des dirigeants et les attestations fiscales, puis vérifient leur authenticité et leur cohérence. Le dossier complet est archivé avec horodatage, prêt pour un audit BSIF ou CCCS.
Pour la vérification du personnel accrédité, la plateforme centralise les dossiers de vérification d'identité, paramètre des alertes de renouvellement avant expiration des documents, et génère des rapports de conformité par unité ou par rôle.
Pour la documentation des incidents, CheckFile fournit un registre d'incidents horodaté et signable, permettant de constituer rapidement le dossier documentaire requis pour la déclaration à la CAI, au BSIF ou au CCCS dans les délais prescrits.
La sécurité des données est native. Les données traitées par CheckFile sont hébergées en conformité avec la Loi 25 et la LPRPDE. L'accès est contrôlé par rôle, chaque action est tracée, et les données sont chiffrées au repos et en transit — exigences directement issues de la ligne directrice B-13 du BSIF.
La plateforme prend en charge plus de 3 200 types de documents dans 32 juridictions, ce qui couvre la totalité des pièces documentaires rencontrées dans un programme de conformité canadien d'envergure : du permis de conduire québécois au certificat d'incorporation ontarien, en passant par les attestations fiscales de l'ARC.
Pour structurer un programme de conformité documentaire complet, consultez notre guide de conformité documentaire et notre article sur la construction d'un programme de conformité documentaire. Pour approfondir la gestion des risques fournisseurs, voyez notre article sur la gestion des risques tiers (TPRM).
Avertissement réglementaire : cet article présente un aperçu des obligations réglementaires canadiennes en matière de cybersécurité et de vérification documentaire à titre informatif. Les exigences applicables varient selon le secteur d'activité, la taille de l'organisation et la juridiction. Les informations contenues dans cet article ne constituent pas un avis juridique ou réglementaire. Consultez un conseiller juridique ou un expert en conformité pour évaluer vos obligations spécifiques. Les références législatives sont à jour au 5 juin 2026.
Questions fréquemment posées
Le projet de loi C-26 s'applique-t-il à toutes les compagnies canadiennes ?
Non. Le projet de loi C-26 — Loi sur la protection des cybersystèmes essentiels — s'applique uniquement aux opérateurs d'infrastructures critiques sous réglementation fédérale : institutions financières, opérateurs de télécommunications, sociétés d'énergie et de transport sous charte fédérale. Les compagnies québécoises non assujetties à la réglementation fédérale ne relèvent pas directement de C-26, mais restent soumises à la Loi 25, à la LRPCFAT (si entités déclarantes) et, pour les institutions financières provinciales, à la supervision de l'AMF Québec.
Quelle est la différence entre la Loi 25 et la LPRPDE pour les incidents de sécurité ?
La Loi 25 s'applique aux organisations qui collectent des renseignements personnels au Québec dans le cadre d'activités provinciales. Elle impose une notification à la CAI dans les 72 heures pour tout incident présentant un risque de préjudice sérieux. La LPRPDE s'applique aux organisations sous réglementation fédérale ou qui collectent des renseignements personnels dans le cadre d'activités commerciales interprovinciales. Les deux lois peuvent s'appliquer simultanément, auquel cas la compagnie doit notifier à la fois la CAI et le Commissariat à la protection de la vie privée du Canada.
Quels documents doivent être vérifiés pour les fournisseurs d'une infrastructure critique ?
Pour les fournisseurs à risque élevé ayant accès à des cybersystèmes essentiels, le dossier de diligence devrait comprendre au minimum : le certificat de conformité du REQ (ou équivalent provincial pour les fournisseurs hors Québec), les pièces d'identité des dirigeants (permis de conduire ou passeport canadien), une attestation fiscale de Revenu Québec ou de l'ARC, et, pour les fournisseurs assujettis à la LRPCFAT, une preuve d'enregistrement au CANAFE. La directive ITSM.10.096 du CCCS précise les critères d'évaluation des risques de la chaîne d'approvisionnement.
Dans quel délai faut-il signaler un incident de cybersécurité au Canada ?
Les délais varient selon le régime applicable. Le projet de loi C-26 impose une déclaration initiale au CCCS et à la GRC dans les 72 heures suivant la détection d'un incident affectant un cybersystème essentiel. La Loi 25 impose une notification à la CAI dans les 72 heures pour les incidents impliquant des renseignements personnels avec risque de préjudice sérieux. Le BSIF exige que les institutions financières fédérales le notifient dès que possible selon la gravité de l'incident, conformément au processus de signalement des incidents liés à la technologie et à la cybersécurité. Dans les faits, toute organisation soumise à plusieurs régimes devrait traiter le délai de 72 heures comme la norme opérationnelle par défaut.
Comment automatiser la conformité documentaire pour les programmes de cybersécurité C-26 et B-13 ?
L'automatisation passe par trois axes principaux. D'abord, la collecte centralisée : remplacer les courriels et les dossiers partagés par une plateforme qui collecte et archive automatiquement les documents requis (certificats REQ, pièces d'identité, attestations). Ensuite, la vérification systématique : utiliser une solution comme CheckFile pour valider l'authenticité des documents, détecter les incohérences et paramétrer des alertes d'expiration. Enfin, la piste d'audit : s'assurer que chaque action est horodatée et traçable, de sorte qu'un auditeur du BSIF ou du CCCS puisse reconstituer le dossier complet d'un fournisseur ou d'un employé accrédité à tout moment. Consultez nos tarifs pour évaluer les options adaptées à la taille de votre organisation.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.