Les Publications du Québec
Ministère de l'Emploi et de la Solidarité sociale
Accueil FAQ Nous joindre
Lois et règlements codifiés Lois codifiées Règlements codifiés Lois et règlements annuels Lois annuelles Règlements annuels Information complémentaire L’Éditeur officiel du Québec Quoi de neuf? Note d’information Politique du ministre de la Justice Lois : Modifications Lois : Dispositions non en vigueur Lois : Entrées en vigueur Lois annuelles : Versions PDF depuis 1996 Règlements : Modifications Règlements annuels : Versions PDF depuis 1996 Décisions des tribunaux

M-17.1.1 - Loi sur le ministère de la Cybersécurité et du Numérique

English
Table des matières
Occurrences0
Texte complet
À jour au 11 décembre 2025
Ce document a valeur officielle.
chapitre M-17.1.1
Loi sur le ministère de la Cybersécurité et du Numérique
CHAPITRE I
MINISTRE DE LA CYBERSÉCURITÉ ET DU NUMÉRIQUE
2021, c. 33, a. 1.
1. Le ministre de la Cybersécurité et du Numérique a pour mission d’animer et de coordonner les actions de l’État dans les domaines de la cybersécurité et du numérique.
Il propose au gouvernement les grandes orientations en ces domaines, détermine les secteurs d’activités dans lesquels il entend agir en priorité et conseille le gouvernement et les organismes publics. Il propose également au gouvernement des mesures en vue d’accroître l’efficacité de la lutte contre les cyberattaques et les cybermenaces au Québec.
Pour l’application de la présente loi, sont des organismes publics les organismes visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).
2021, c. 33, a. 1.
2. Le ministre doit établir des objectifs et élaborer des politiques, des stratégies et des programmes propres à assurer l’accomplissement de sa mission. Il dirige, coordonne et surveille l’application de ces objectifs, politiques, stratégies et programmes.
Le ministre doit assurer la cohérence et l’harmonisation des actions gouvernementales dans les domaines de la cybersécurité et du numérique et, à cette fin, être associé à l’élaboration des mesures ainsi qu’aux décisions ministérielles dans ces domaines et donner son avis lorsqu’il le juge opportun.
Le ministre est chargé de l’application des lois confiées à sa responsabilité et exerce, en outre, toute autre fonction que lui attribue le gouvernement.
2021, c. 33, a. 1; 2023, c. 28, a. 12.
Le ministre de la Cybersécurité et du Numérique est responsable d'assurer le déploiement d'Internet haute vitesse sur l'ensemble du territoire québécois. Décret 443-2025 du 26 mars 2025, (2025) 157 G.O. 2, 2277.
3. En ce qui concerne les organismes publics, lesquels forment l’administration publique aux fins du présent article, le ministre assume les responsabilités suivantes:
1°  développer un ensemble de moyens visant à offrir aux citoyens et aux entreprises une prestation de services numériques de qualité, en s’assurant autant que possible de ne pas causer de fracture numérique;
2°  veiller à l’utilisation optimale des technologies du numérique dans la prestation des services publics;
3°  assurer le développement, l’implantation et le déploiement de l’administration publique numérique de même que la promotion et la mise en oeuvre de toute mesure favorisant l’adaptation à cette fin des services publics;
4°  assurer la mise en oeuvre d’une stratégie visant la transformation numérique de l’administration publique, incluant, le cas échéant, la mise en oeuvre de tout plan relatif à celle-ci, et accompagner les organismes publics dans cette mise en oeuvre;
5°  coordonner les efforts des organismes publics et les soutenir dans l’adoption de pratiques de gestion optimales en matière de ressources informationnelles;
6°  s’assurer que les organismes publics mettent en place les meilleures pratiques en matière de cybersécurité;
7°  assurer une coordination gouvernementale en matière de sécurité de l’information et établir des cibles applicables à l’ensemble des organismes publics afin de mesurer leur performance sur les plans stratégique, tactique et opérationnel ainsi que l’efficacité gouvernementale dans la prise en charge des menaces, des vulnérabilités et des incidents en telle matière;
8°  établir des exigences en matière de sécurité de l’information applicables aux organismes publics et ordonner à ces derniers, lorsque requis, de mettre en oeuvre ces exigences afin d’assurer la protection de leurs actifs informationnels et des informations qu’ils supportent;
9°  établir le cadre de gouvernance des projets en ressources informationnelles d’intérêt gouvernemental et assurer le développement des solutions technologiques qui y sont liées.
2021, c. 33, a. 1.
4. Le ministre fournit aux organismes publics des services en ressources informationnelles, dont des services en infrastructures technologiques et en systèmes de soutien communs permettant notamment de soutenir de tels organismes dans l’exercice de leurs fonctions et dans leur prestation de services afin de favoriser leur transformation numérique.
Le ministre concentre et développe une expertise interne en infrastructures technologiques communes. Il contribue à rehausser la sécurité de l’information numérique au sein des organismes publics et la disponibilité des services aux citoyens et aux entreprises par l’utilisation accrue, au sein de tels organismes, d’infrastructures technologiques partagées sécuritaires et performantes.
Le ministre détermine par écrit son offre de services en ressources informationnelles. Il en fait la description et il en fixe la nature, l’étendue, les conditions d’utilisation, incluant en ce qui a trait aux responsabilités du ministre et des utilisateurs ainsi que les autres modalités, le cas échéant. Le ministre en publie la liste sur le site Internet de son ministère, ainsi que toute modification à celle-ci, dans un délai raisonnable.
Le ministre peut fournir à un organisme public tout autre service en ressources informationnelles en vue de répondre à un besoin particulier d’un tel organisme lorsque ce dernier lui en formule la demande.
2021, c. 33, a. 1; 2023, c. 28, a. 13; 2025, c. 26, a. 1.
5. Pour l’application de l’article 4, le ministre doit plus particulièrement:
1°  assurer l’accessibilité des services en ressources informationnelles sous sa responsabilité;
2°  assurer l’adéquation de ses services avec les besoins des organismes publics, en tenant compte des priorités gouvernementales ainsi que du portefeuille des projets prioritaires, et assurer l’évolution de ces services;
3°  viser à optimiser les coûts de conception, de réalisation, d’entretien, d’exploitation et d’évolution de ses services, en vue d’améliorer l’efficience et l’efficacité de ceux-ci en fonction des objectifs de performance et de contribuer à des économies à l’échelle gouvernementale;
4°  mettre en place des processus de gestion de la relation avec la clientèle pour soutenir les organismes publics utilisant ses services et mesurer leur satisfaction à l’égard des services qu’il fournit;
5°  veiller au respect et au maintien des normes propres à assurer la confidentialité, l’intégrité et la disponibilité de l’information des organismes publics qu’il détient notamment par la mise en place de mesures de sécurité;
6°  contribuer à l’émergence de pratiques de gestion des technologies exemplaires et innovantes en collaboration avec les différents acteurs de la communauté des technologies de l’information.
2021, c. 33, a. 1; 2025, c. 26, a. 2.
5.1. Le ministre fournit aux organismes publics les services de certification, incluant les services de répertoire y afférents, ainsi que les services de signature électronique que le gouvernement détermine.
Un décret pris en vertu du premier alinéa détermine les services visés, les conditions et modalités de leur fourniture ainsi que les cas et les conditions selon lesquels un organisme public est tenu d’y recourir pour répondre à ses besoins. Il peut autoriser le ministre à déléguer certaines fonctions relatives aux services à un organisme public. Pour permettre sa mise en œuvre, il peut également prévoir le transfert au ministre d’actifs informationnels d’un organisme public ainsi que de toutes les obligations qui en résultent.
Lorsqu’un décret pris en vertu du premier alinéa concerne des services de certification et de répertoire, il doit contenir l’énoncé de politique prévu à l’article 52 de la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1).
2023, c. 28, a. 14.
5.2. Le ministre développe et soumet au gouvernement une vision globale des infrastructures et des services de télécommunications jugés utiles ou essentiels pour la conduite des affaires de l’État. Il conseille le gouvernement sur toute question concernant ces infrastructures et ces services. De plus, il coordonne les actions des organismes publics au regard des infrastructures de télécommunications que ceux-ci détiennent ou utilisent, dans l’objectif d’assurer une gouvernance intégrée de ces infrastructures à l’échelle gouvernementale.
À titre de référence gouvernementale, le ministre peut donner à un organisme public tout avis qu’il estime opportun afin de favoriser la mutualisation et l’optimisation des infrastructures de télécommunications et des services de télécommunications qui se rattachent à celles-ci.
Un projet d’un organisme public visant le développement d’un réseau de télécommunications ou l’amélioration d’un réseau existant, incluant l’acquisition, l’évolution ou le remplacement de tout actif y afférent, constitue un projet en ressources informationnelles au sens du premier alinéa de l’article 16.3 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).
Non en vigueur
Les organismes publics sont tenus de recourir aux services de télécommunications que détermine le ministre dans son offre de services en ressources informationnelles conformément au troisième alinéa de l’article 4.
2025, c. 26, a. 3.
5.3. Le ministre développe et exploite, à des fins non commerciales, un réseau d’infrastructures de connectivité en lien avec les services de télécommunications qu’il fournit.
Le ministre dispose de tous les pouvoirs nécessaires lui permettant d’acquérir, d’offrir en location ou d’aliéner tout bien pour le développement ou l’exploitation d’un tel réseau.
Toute personne désignée par le ministre peut accéder à toute heure raisonnable à tout immeuble pour y effectuer des inventaires, des levés, des examens, des analyses ou d’autres travaux préparatoires aux fins du développement et de l’exploitation de ce réseau, à charge de réparer tout préjudice qui pourrait être causé.
Les responsabilités et les pouvoirs conférés au présent article doivent être exercés dans le respect des autorisations prévues aux règles prises en vertu de l’article 16.2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).
Pour l’application de la présente loi, on entend par «infrastructure de connectivité» toute infrastructure qui permet de communiquer à distance. Il peut s’agir d’une infrastructure qui utilise une transmission filaire ou non filaire de données, comme la fibre optique, les antennes, les tours de télécommunications, les satellites, les ordinateurs ou les systèmes informatiques.
2025, c. 26, a. 3.
6. Le ministre agit à titre de courtier infonuagique et en technologies spécialisées pour le compte des organismes publics, en rendant disponibles des offres infonuagiques et en technologies spécialisées par type de biens ou par type de services.
À cette fin, le ministre élabore un catalogue d’offres infonuagiques et en technologies spécialisées destinées à répondre aux besoins de tels organismes et il les accompagne en telle matière.
Pour l’application du présent article, on entend par «technologies spécialisées» des biens ou des services technologiques relatifs:
1°  aux progiciels de gestion intégrée;
2°  à la cybersécurité;
3°  aux fondations servant d’infrastructures technologiques;
4°  aux systèmes patrimoniaux de la plateforme applicative sur ordinateur central.
2021, c. 33, a. 1; 2025, c. 26, a. 4.
7. Le ministre peut fournir les services visés aux articles 4, 5.1, 5.2 et 10.5 ainsi que rendre disponibles les offres prévues à l’article 6 à toute autre personne ou à toute autre entité qu’il désigne.
2021, c. 33, a. 1; 2023, c. 28, a. 15; 2025, c. 26, a. 5.
8. Dans l’exercice de ses fonctions, le ministre peut notamment:
1°  conclure des ententes avec toute personne, toute association, toute société ou tout organisme;
2°  conclure, conformément à la loi, des ententes avec un gouvernement autre que celui du Québec ou l’un de ses ministères ou de ses organismes, ou avec une organisation internationale ou l’un de ses organismes;
3°  réaliser ou faire réaliser des consultations, des recherches, des études et des analyses;
4°  accorder, aux conditions qu’il fixe, une aide financière ou technique.
2021, c. 33, a. 1.
9. Le ministre peut, s’il le juge opportun, constituer un comité d’experts afin de le conseiller dans le domaine de la cybersécurité ou dans celui du numérique.
Ce comité est formé de personnes nommées par le ministre et ayant une expertise, une expérience et un intérêt marqué pour le domaine visé.
Les membres d’un tel comité ne sont pas rémunérés, sauf dans les cas, aux conditions et dans la mesure que peut déterminer le gouvernement. Ils ont cependant droit au remboursement des dépenses faites dans l’exercice de leurs fonctions aux conditions et dans la mesure que détermine le gouvernement.
2021, c. 33, a. 1.
10. Le ministre détermine la tarification ainsi que les autres formes de rémunération payables pour la prestation des services qu’il fournit, incluant celles pour l’acquisition des biens nécessaires à la fourniture de ces services. Ce tarif et ces autres formes de rémunération peuvent varier selon le service fourni ou selon la clientèle desservie.
Ces formes de rémunération sont soumises à l’approbation du Conseil du trésor.
Le ministre rend publiques sur le site Internet de son ministère, dans un délai raisonnable, sa grille tarifaire et toute modification à celle-ci.
2021, c. 33, a. 1.
10.1. Le gouvernement peut autoriser la mise en œuvre par le ministre d’un projet pilote visant à étudier, à expérimenter ou à innover dans le domaine de la cybersécurité ou dans celui du numérique, ou à définir des normes applicables en de tels domaines. Un tel projet pilote peut viser les organismes publics ou les entreprises du gouvernement au sens de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03), toute autre entreprise ou les citoyens.
Dans le respect des dispositions législatives applicables, notamment en matière de protection des renseignements personnels et de la vie privée, le gouvernement détermine les normes et les obligations applicables dans le cadre d’un projet pilote. Il détermine également les mécanismes de surveillance et de reddition de comptes applicables dans le cadre d’un projet pilote.
Un projet pilote est établi pour une durée maximale de trois ans, que le gouvernement peut prolonger d’au plus un an. Le gouvernement peut, en tout temps, modifier un projet pilote ou y mettre fin.
Les résultats du projet pilote doivent être publiés sur le site Internet du ministère de la Cybersécurité et du Numérique au plus tard un an après la fin du projet pilote.
2023, c. 28, a. 16.
CHAPITRE I.1
IDENTITÉ NUMÉRIQUE NATIONALE
2025, c. 26, a. 6.
10.2. L’identité numérique nationale représente l’ensemble des moyens dont dispose l’État pour garantir à toute personne un accès sécurisé aux prestations électroniques de services gouvernementales et lui permettre d’avoir un niveau de confiance élevé lors de ses interactions avec les organismes publics.
L’identité numérique nationale permet également à chaque personne qui l’utilise de réaliser des interactions dans la collectivité, notamment à l’aide d’attestations numériques gouvernementales dont elle détient le contrôle à partir d’une application où ces attestations sont déposées de façon sécurisée.
Au sens de la présente loi, on entend par «attestation numérique gouvernementale» un document technologique permettant d’établir l’authenticité ou la véracité d’une information ou d’un fait se rapportant à une personne.
2025, c. 26, a. 6.
10.3. L’utilisation de l’identité numérique nationale ne peut pas être imposée par un organisme public à une personne afin de fournir à cette dernière une prestation de services gouvernementale.
2025, c. 26, a. 6.
10.4. Le ministre assume la responsabilité de la gouvernance et de la gestion centralisée de l’identité numérique nationale de manière à offrir une vision à portée gouvernementale en matière d’identité numérique, en adéquation avec la transformation numérique de l’administration publique et des initiatives de transformation numérique des organismes publics.
À ces fins, il peut:
1°  définir, mettre en œuvre et appliquer un cadre de gouvernance des renseignements personnels dont la collecte, la communication et l’utilisation sont nécessaires pour l’identification et l’authentification des personnes;
2°  mettre en place des processus pour vérifier la cohérence et la qualité de ces renseignements.
2025, c. 26, a. 6.
10.5. Le ministre fournit aux organismes publics les services relatifs à l’identité numérique nationale qu’il détermine dans son offre de services en ressources informationnelles conformément au troisième alinéa de l’article 4.
Un organisme public est tenu de recourir aux services visés au premier alinéa aux conditions déterminées par le ministre. Le gouvernement peut toutefois soustraire un organisme public à cette obligation.
2025, c. 26, a. 6.
10.6. Le ministre agit d’office comme source officielle de données numériques gouvernementales aux fins prévues au présent chapitre. Dans l’exercice de cette fonction, le ministre recueille, utilise ou communique des données numériques gouvernementales ou recueille auprès de toute personne des renseignements, incluant des renseignements personnels, lorsque cela est nécessaire.
Le gouvernement précise les organismes publics qui doivent recueillir ces données auprès du ministre agissant comme source officielle de données numériques gouvernementales et les utiliser ou qui doivent les communiquer à ce dernier. Il peut, à ces mêmes fins, confier à un organisme public toute fonction ou transférer une partie d’une fonction d’un organisme public à un autre.
Les articles 12.16 à 12.19 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03) s’appliquent au ministre agissant comme source officielle de données numériques gouvernementales, avec les adaptations nécessaires.
Au sens du présent chapitre, les données numériques gouvernementales sont:
1°  le nom et les date et lieu de naissance d’une personne physique ainsi que le nom de ses parents;
2°  le nom et les coordonnées d’une personne morale ou d’une société de personnes;
3°  tout autre renseignement que détermine le gouvernement.
2025, c. 26, a. 6.
10.7. Est institué le registre de l’identité numérique nationale sous la responsabilité du ministre. Ce registre constitue un système de dépôt et de communication des données numériques gouvernementales.
Ce registre doit notamment permettre:
1°  la conservation sécuritaire, pour le compte d’un organisme public, de tout ou partie de ces données;
2°  la communication entre organismes publics de ces données;
3°  l’accès à ces données;
4°  la traçabilité de tout accès au registre par une personne, que ce soit pour y déposer ces données, les utiliser ou en recevoir la communication;
5°  toute autre fonctionnalité déterminée par règlement du ministre.
Le ministre ne peut utiliser ces données à des fins de profilage des personnes.
Le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
2025, c. 26, a. 6.
10.8. Le gouvernement peut déterminer les objectifs et les cibles, que doivent respecter les organismes publics pour les besoins de l’identité numérique nationale, pouvant notamment concerner l’accès par les citoyens à des services simplifiés, intégrés et de qualité, le taux d’utilisation par les citoyens souhaité au regard des services relatifs à cette identité ou, dans leur généralité, les projets en ressources informationnelles qui se rattachent à celle-ci.
Le gouvernement peut également déterminer les conditions et modalités d’une entente qu’un organisme public peut conclure dans le but de rendre interopérable l’identité numérique nationale avec les infrastructures et les systèmes de toute autre personne ou entité sur le plan local, régional, national ou international, dont la condition selon laquelle l’entente doit être conclue conjointement par l’organisme public et le ministre.
2025, c. 26, a. 6.
10.9. Le gouvernement peut, par règlement:
1°  déterminer les modalités concernant la tenue du registre de l’identité numérique nationale;
2°  déterminer les normes de qualité des données numériques gouvernementales et, le cas échéant, des normes de protection particulières;
3°  préciser les données numériques gouvernementales, ayant des caractéristiques biométriques ou contenant des mesures biométriques, qui peuvent être utilisées, et ce, dans les cas et aux conditions qu’il détermine;
4°  prescrire toute autre mesure nécessaire à l’application du présent chapitre.
2025, c. 26, a. 6.
10.10. Le ministre peut, par règlement, prévoir des règles relatives à l’identification et à l’authentification des personnes.
2025, c. 26, a. 6.
CHAPITRE II
MINISTÈRE DE LA CYBERSÉCURITÉ ET DU NUMÉRIQUE
2021, c. 33, a. 1.
11. Le ministère de la Cybersécurité et du Numérique est dirigé par le ministre de la Cybersécurité et du Numérique.
2021, c. 33, a. 1.
12. Le gouvernement nomme, conformément à la Loi sur la fonction publique (chapitre F-3.1.1), un sous-ministre de la Cybersécurité et du Numérique.
2021, c. 33, a. 1.
13. Sous la direction du ministre, le sous-ministre administre le ministère.
Il exerce, en outre, toute autre fonction que lui assigne le gouvernement ou le ministre.
2021, c. 33, a. 1.
14. Dans l’exécution de ses fonctions, le sous-ministre a l’autorité du ministre.
2021, c. 33, a. 1.
15. Le sous-ministre peut, par écrit et dans la mesure qu’il indique, déléguer à un fonctionnaire ou au titulaire d’un emploi l’exercice de ses fonctions.
Il peut, dans l’acte de délégation, autoriser la subdélégation des fonctions qu’il indique; le cas échéant, il identifie le fonctionnaire ou le titulaire d’un emploi à qui cette subdélégation peut être faite.
2021, c. 33, a. 1.
16. Le personnel du ministère est constitué des fonctionnaires nécessaires à l’exercice des fonctions du ministre; les fonctionnaires sont nommés suivant la Loi sur la fonction publique (chapitre F-3.1.1).
Le ministre détermine les devoirs de ces fonctionnaires pour autant qu’il n’y est pas pourvu par la loi ou par le gouvernement.
2021, c. 33, a. 1.
17. La signature du ministre ou du sous-ministre donne autorité à tout document provenant du ministère.
Aucun acte, document ou écrit n’engage le ministre, ni ne peut lui être attribué, s’il n’est signé par lui, par le sous-ministre, par un membre du personnel du ministère ou par un titulaire d’un emploi, mais, dans le cas de ces deux derniers, uniquement dans la mesure déterminée par règlement du ministre.
2021, c. 33, a. 1.
18. Le ministre peut, par règlement, permettre, aux conditions qu’il fixe, qu’une signature soit apposée au moyen d’un appareil automatique ou de tout autre procédé faisant appel aux technologies de l’information.
2021, c. 33, a. 1.
19. Un document ou une copie d’un document provenant du ministère ou faisant partie de ses archives, signé ou certifié conforme par une personne visée au deuxième alinéa de l’article 17, est authentique.
2021, c. 33, a. 1.
CHAPITRE III
FONDS DE LA CYBERSÉCURITÉ ET DU NUMÉRIQUE
2021, c. 33, a. 1.
20. Est institué, sous la responsabilité du ministre, le «Fonds de la cybersécurité et du numérique».
2021, c. 33, a. 1.
21. Le Fonds est affecté:
1°  au financement des infrastructures technologiques et des systèmes de soutien communs des organismes publics;
2°  au financement des services offerts ou fournis par le ministre;
3°  au financement des projets ou des activités dans le domaine de la cybersécurité ou dans celui du numérique;
4°  au versement de toute aide financière accordée en application de la présente loi.
Le financement d’une infrastructure technologique ou d’un système de soutien commun peut couvrir sa conception, sa réalisation, son entretien, son évolution et son exploitation.
2021, c. 33, a. 1.
22. Sont portés au crédit du Fonds:
1°  les sommes perçues par le ministre pour les services qu’il fournit, incluant celles pour l’acquisition des biens nécessaires à la fourniture de ces services;
2°  les sommes virées par le ministre des Finances en application des articles 53 et 54 de la Loi sur l’administration financière (chapitre A-6.001);
3°  les sommes virées par un ministre ou par un organisme budgétaire énuméré à l’annexe 1 de la Loi sur l’administration financière sur les crédits alloués à cette fin par le Parlement;
4°  les dons, les legs et les autres contributions versés pour aider à la réalisation des affectations du Fonds;
5°  les intérêts produits par les sommes portées au crédit du Fonds.
2021, c. 33, a. 1.
23. Sont portées au débit du Fonds les sommes requises pour le paiement de toute dépense nécessaire au financement ou au versement des éléments prévus à l’article 21, excluant toutefois les charges administratives du ministre.
2021, c. 33, a. 1.
24. Les surplus accumulés par le Fonds sont virés au fonds général aux dates et dans la mesure que détermine le gouvernement.
2021, c. 33, a. 1.
25. Les livres et les comptes du Fonds sont vérifiés chaque année par le vérificateur général et chaque fois que le gouvernement le décrète.
2021, c. 33, a. 1.
© Gouvernement du Québec