RÈGLEMENT DE L’ONTARIO 51/26

pris en vertu de la

Loi de 2024 visant à renforcer la sécurité et la confiance en matière de numérique

pris le 12 mars 2026
déposé le 23 mars 2026
publié sur le site Lois-en-ligne le 24 mars 2026
publié dans la Gazette de l’Ontario le 11 avril 2026

cybersécurité

Interprétation

1. Les définitions qui suivent s’appliquent au présent règlement.

«entité du secteur public prescrite» Entité du secteur public qui est prescrite aux termes de l’article 2. («prescribed public sector entity»)

«évaluation de la maturité en matière de cybersécurité» Évaluation du statut ou des progrès d’une entité du secteur public prescrite en ce qui concerne la cybersécurité, qui est effectuée conformément aux normes de l’industrie ou aux pratiques exemplaires qu’appuie le directeur général de la sécurité de l’information du ministère. («cyber security maturity assessment»)

«ministère» Le ministère du ministre. («Ministry»)

Entités du secteur public prescrites

2. Les entités du secteur public suivantes sont prescrites pour l’application de l’article 2 de la Loi :

1.  Un établissement d’enseignement, au sens de la définition donnée à ce terme au paragraphe 2 (1) de la Loi sur l’accès à l’information et la protection de la vie privée.

2.  Un hôpital public classé comme hôpital du groupe A, B ou C aux termes de la Loi sur les hôpitaux publics.

3.  L’Institut de cardiologie de l’Université d’Ottawa.

4.  Une société d’aide à l’enfance.

5.  Un conseil scolaire.

Programme

3. Chaque entité du secteur public prescrite élabore et met en œuvre un programme pour assurer la cybersécurité qui satisfait, à tout le moins, aux exigences énoncées dans le présent règlement.

Personne-ressource principale et suppléant

4. (1) Chaque entité du secteur public prescrite désigne l’un de ses employés comme personne-ressource principale en cybersécurité et un autre employé comme suppléant.

(2) L’employé désigné comme personne-ressource principale ou suppléant doit remplir les critères suivants :

1.  L’employé doit occuper un poste de cadre supérieur au sein de l’entité du secteur public prescrite.

2.  L’employé doit avoir un pouvoir décisionnel à l’égard de la cybersécurité au sein de l’entité du secteur public prescrite.

(3) L’entité du secteur public prescrite confie les responsabilités à la personne-ressource principale et au suppléant comme suit :

1.  La personne-ressource principale :

i.  communique avec le ministère concernant les questions de cybersécurité et se charge notamment des communications nécessaires pour se conformer au présent règlement,

ii.  approuve les résumés des évaluations de la maturité en matière de cybersécurité de l’entité.

2.  Le suppléant assume les responsabilités énoncées à la disposition 1 si la personne-ressource principale n’est pas en mesure de le faire.

(4) L’entité du secteur public prescrite fournit au directeur général de la sécurité de l’information du ministère le nom, le titre et les coordonnées, y compris le numéro de téléphone et l’adresse électronique de la personne-ressource principale et du suppléant, et l’avise de tout changement dans ces renseignements dès que possible, mais au plus tard dans les 10 jours ouvrables qui suivent les changements.

Évaluation de la maturité en matière de cybersécurité

5. (1) L’entité du secteur public prescrite fait ce qui suit :

a)  sous réserve du paragraphe (2), elle effectue une évaluation initiale de sa maturité en matière de cybersécurité au plus tard un an après le jour où le présent règlement s’applique à l’entité pour la première fois;

b)  elle effectue une évaluation de sa maturité en matière de cybersécurité au plus tard au deuxième anniversaire du jour où elle effectue son évaluation initiale, et au moins une fois au cours de chaque période de deux ans par la suite.

(2) Si l’entité du secteur public prescrite a effectué une évaluation de sa maturité en matière de cybersécurité dans l’année qui précède le jour où le présent règlement s’applique à l’entité pour la première fois :

a)  l’entité peut, au lieu de se conformer à l’alinéa (1) a), choisir de considérer cette évaluation comme l’évaluation initiale de sa maturité en matière de cybersécurité;

b)  si l’entité choisit de se prévaloir de l’alinéa a), l’évaluation initiale est réputée, pour l’application de l’alinéa (1) b) et de l’article 6, avoir été effectuée le jour où le présent règlement s’applique à l’entité pour la première fois.

Résumé de l’évaluation de la maturité en matière de cybersécurité

6. Au plus tard 30 jours ouvrables après avoir terminé une évaluation de sa maturité en matière de cybersécurité, l’entité du secteur public prescrite présente, au directeur général de la sécurité de l’information du ministère, un résumé de l’évaluation qui satisfait aux exigences suivantes :

1.  Le résumé doit comprendre, à tout le moins, les renseignements suivants :

i.  Une brève description de la méthode utilisée pour effectuer l’évaluation.

ii.  Le nom du modèle ou du cadre utilisé.

iii.  Un pointage représentant sa maturité globale en matière de cybersécurité de l’entité et un sommaire de tout autre pointage tiré de l’évaluation.

iv.  Un résumé des aspects à améliorer en ce qui concerne la maturité en matière de cybersécurité de l’entité.

2.  Le résumé doit être approuvé par la personne-ressource principale de l’entité.

Cyberincident critique : rapport

7. (1) La présente définition s’applique au présent article.

«cyberincident critique» À l’égard d’une entité du secteur public prescrite, s’entend d’un incident qui :

a)  a eu des répercussions :

(i)  soit sur la sécurité, la continuité, la confidentialité, l’intégrité ou la disponibilité de l’information numérique recueillie, utilisée, conservée ou divulguée par l’entité,

(ii)  soit sur l’infrastructure servant à stocker ou à transmettre l’information numérique recueillie, utilisée, conservée ou divulguée par l’entité;

b)  remplit au moins l’un des critères énoncés au paragraphe (2).

(2) Pour l’application de l’alinéa b) de la définition de «cyberincident critique» au paragraphe (1), doit être rempli au moins l’un des critères suivants :

1.  L’incident entraîne des conséquences défavorables importantes pour la prestation des services publics offerts par l’entité.

2.  L’incident présente un risque pour la sécurité publique.

3.  L’incident nécessite ou entraîne des efforts considérables de la part de l’entité pour le rétablissement de l’information numérique ou de l’infrastructure connexe ou pour l’activation de plans d’intervention en cas d’incident lié à la cybersécurité.

4.  L’incident risque considérablement de nuire à la réputation de l’entité et à la confiance du public à son égard.

(3) Si un cyberincident critique survient relativement à une entité du secteur public prescrite, celle-ci doit le signaler au directeur général de la sécurité de l’information du ministère dès que les circonstances le permettent, mais au plus tard 72 heures après en avoir fait la confirmation.

(4) Le rapport de cyberincident critique doit comprendre, entre autres, les renseignements suivants :

1.  Le nom de la personne-ressource principale et du suppléant.

2.  Le nom de l’entité du secteur public prescrite.

3.  Le nom du ministère chargé de superviser l’entité.

4.  La date et l’heure de l’incident.

5.  La date et l’heure de la confirmation mentionnée au paragraphe (3).

6.  Une description générale de l’événement, y compris une explication des raisons pour lesquelles il constitue un cyberincident critique. 

7.  Une description générale du type d’information touchée ou volée pendant l’incident, s’il y a lieu.

(5) Il est entendu que le présent article n’a pas pour effet de porter atteinte à d’autres obligations légales que l’entité du secteur public prescrite pourrait avoir à l’égard d’un cyberincident critique, y compris les obligations prévues par la Loi sur l’accès à l’information et la protection de la vie privée.

Entrée en vigueur

8. Le présent règlement entre en vigueur le 1^er juillet 2026.