Lois et règlements codifiés Lois codifiées Règlements codifiés Lois et règlements annuels Lois annuelles Règlements annuels Information complémentaire L’Éditeur officiel du Québec Quoi de neuf? Note d’information Politique du ministre de la Justice Lois : Modifications Lois : Dispositions non en vigueur Lois : Entrées en vigueur Lois annuelles : Versions PDF depuis 1996 Règlements : Modifications Règlements annuels : Versions PDF depuis 1996 Décisions des tribunaux

M-17.1.1 - Loi sur le ministère de la Cybersécurité et du Numérique

Table des matières
Occurrences0
Texte complet
À jour au 20 février 2024
Ce document a valeur officielle.
chapitre M-17.1.1
Loi sur le ministère de la Cybersécurité et du Numérique
CHAPITRE I
MINISTRE DE LA CYBERSÉCURITÉ ET DU NUMÉRIQUE
2021, c. 33, a. 1.
1. Le ministre de la Cybersécurité et du Numérique a pour mission d’animer et de coordonner les actions de l’État dans les domaines de la cybersécurité et du numérique.
Il propose au gouvernement les grandes orientations en ces domaines, détermine les secteurs d’activités dans lesquels il entend agir en priorité et conseille le gouvernement et les organismes publics. Il propose également au gouvernement des mesures en vue d’accroître l’efficacité de la lutte contre les cyberattaques et les cybermenaces au Québec.
Pour l’application de la présente loi, sont des organismes publics les organismes visés à l’article 2 de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03).
2021, c. 33, a. 1.
2. Le ministre doit établir des objectifs et élaborer des politiques, des stratégies et des programmes propres à assurer l’accomplissement de sa mission. Il dirige, coordonne et surveille l’application de ces objectifs, politiques, stratégies et programmes.
Le ministre doit assurer la cohérence et l’harmonisation des actions gouvernementales dans les domaines de la cybersécurité et du numérique et, à cette fin, être associé à l’élaboration des mesures ainsi qu’aux décisions ministérielles dans ces domaines et donner son avis lorsqu’il le juge opportun.
Le ministre est chargé de l’application des lois confiées à sa responsabilité et exerce, en outre, toute autre fonction que lui attribue le gouvernement.
2021, c. 33, a. 1; 2023, c. 28, a. 12.
3. En ce qui concerne les organismes publics, lesquels forment l’administration publique aux fins du présent article, le ministre assume les responsabilités suivantes:
1°  développer un ensemble de moyens visant à offrir aux citoyens et aux entreprises une prestation de services numériques de qualité, en s’assurant autant que possible de ne pas causer de fracture numérique;
2°  veiller à l’utilisation optimale des technologies du numérique dans la prestation des services publics;
3°  assurer le développement, l’implantation et le déploiement de l’administration publique numérique de même que la promotion et la mise en oeuvre de toute mesure favorisant l’adaptation à cette fin des services publics;
4°  assurer la mise en oeuvre d’une stratégie visant la transformation numérique de l’administration publique, incluant, le cas échéant, la mise en oeuvre de tout plan relatif à celle-ci, et accompagner les organismes publics dans cette mise en oeuvre;
5°  coordonner les efforts des organismes publics et les soutenir dans l’adoption de pratiques de gestion optimales en matière de ressources informationnelles;
6°  s’assurer que les organismes publics mettent en place les meilleures pratiques en matière de cybersécurité;
7°  assurer une coordination gouvernementale en matière de sécurité de l’information et établir des cibles applicables à l’ensemble des organismes publics afin de mesurer leur performance sur les plans stratégique, tactique et opérationnel ainsi que l’efficacité gouvernementale dans la prise en charge des menaces, des vulnérabilités et des incidents en telle matière;
8°  établir des exigences en matière de sécurité de l’information applicables aux organismes publics et ordonner à ces derniers, lorsque requis, de mettre en oeuvre ces exigences afin d’assurer la protection de leurs actifs informationnels et des informations qu’ils supportent;
9°  établir le cadre de gouvernance des projets en ressources informationnelles d’intérêt gouvernemental et assurer le développement des solutions technologiques qui y sont liées.
2021, c. 33, a. 1.
4. Le ministre fournit aux organismes publics des services en infrastructures technologiques et en systèmes de soutien communs permettant notamment de soutenir de tels organismes dans l’exercice de leurs fonctions et dans leur prestation de services afin de favoriser leur transformation numérique.
Le ministre concentre et développe une expertise interne en infrastructures technologiques communes. Il contribue à rehausser la sécurité de l’information numérique au sein des organismes publics et la disponibilité des services aux citoyens et aux entreprises par l’utilisation accrue, au sein de tels organismes, d’infrastructures technologiques partagées sécuritaires et performantes.
Le ministre détermine par écrit son offre de services en infrastructures technologiques et en systèmes de soutien communs. Il en fait la description et il en fixe la nature, l’étendue, les conditions d’utilisation, incluant en ce qui a trait aux responsabilités du ministre et des utilisateurs ainsi que les autres modalités, le cas échéant. Le ministre en publie la liste sur le site Internet de son ministère, ainsi que toute modification à celle-ci, dans un délai raisonnable.
Le ministre peut fournir à un organisme public tout autre service en ressources informationnelles en vue de répondre à un besoin particulier d’un tel organisme lorsque ce dernier lui en formule la demande.
2021, c. 33, a. 1; 2023, c. 28, a. 13.
5. Pour l’application de l’article 4, le ministre doit plus particulièrement:
1°  assurer l’accessibilité des services en infrastructures technologiques et en systèmes de soutien communs sous sa responsabilité;
2°  assurer l’adéquation de ses services avec les besoins des organismes publics, en tenant compte des priorités gouvernementales ainsi que du portefeuille des projets prioritaires, et assurer l’évolution de ces services;
3°  viser à optimiser les coûts de conception, de réalisation, d’entretien, d’exploitation et d’évolution de ses services, en vue d’améliorer l’efficience et l’efficacité de ceux-ci en fonction des objectifs de performance et de contribuer à des économies à l’échelle gouvernementale;
4°  mettre en place des processus de gestion de la relation avec la clientèle pour soutenir les organismes publics utilisant ses services et mesurer leur satisfaction à l’égard des services qu’il fournit;
5°  veiller au respect et au maintien des normes propres à assurer la confidentialité, l’intégrité et la disponibilité de l’information des organismes publics qu’il détient notamment par la mise en place de mesures de sécurité;
6°  contribuer à l’émergence de pratiques de gestion des technologies exemplaires et innovantes en collaboration avec les différents acteurs de la communauté des technologies de l’information.
2021, c. 33, a. 1.
5.1. Le ministre fournit aux organismes publics les services de certification, incluant les services de répertoire y afférents, ainsi que les services de signature électronique que le gouvernement détermine.
Un décret pris en vertu du premier alinéa détermine les services visés, les conditions et modalités de leur fourniture ainsi que les cas et les conditions selon lesquels un organisme public est tenu d’y recourir pour répondre à ses besoins. Il peut autoriser le ministre à déléguer certaines fonctions relatives aux services à un organisme public. Pour permettre sa mise en œuvre, il peut également prévoir le transfert au ministre d’actifs informationnels d’un organisme public ainsi que de toutes les obligations qui en résultent.
Lorsqu’un décret pris en vertu du premier alinéa concerne des services de certification et de répertoire, il doit contenir l’énoncé de politique prévu à l’article 52 de la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1).
2023, c. 28, a. 14.
6. Le ministre agit à titre de courtier infonuagique pour le compte des organismes publics, en rendant disponibles des offres infonuagiques par type de biens ou par type de services.
À cette fin, le ministre élabore un catalogue d’offres infonuagiques destinées à répondre aux besoins de tels organismes et il les accompagne en telle matière.
2021, c. 33, a. 1.
7. Le ministre peut fournir les services visés aux articles 4 et 5.1 ainsi que rendre disponibles les offres prévues à l’article 6 à toute autre personne ou à toute autre entité désignée par le gouvernement.
2021, c. 33, a. 1; 2023, c. 28, a. 15.
8. Dans l’exercice de ses fonctions, le ministre peut notamment:
1°  conclure des ententes avec toute personne, toute association, toute société ou tout organisme;
2°  conclure, conformément à la loi, des ententes avec un gouvernement autre que celui du Québec ou l’un de ses ministères ou de ses organismes, ou avec une organisation internationale ou l’un de ses organismes;
3°  réaliser ou faire réaliser des consultations, des recherches, des études et des analyses;
4°  accorder, aux conditions qu’il fixe, une aide financière ou technique.
2021, c. 33, a. 1.
9. Le ministre peut, s’il le juge opportun, constituer un comité d’experts afin de le conseiller dans le domaine de la cybersécurité ou dans celui du numérique.
Ce comité est formé de personnes nommées par le ministre et ayant une expertise, une expérience et un intérêt marqué pour le domaine visé.
Les membres d’un tel comité ne sont pas rémunérés, sauf dans les cas, aux conditions et dans la mesure que peut déterminer le gouvernement. Ils ont cependant droit au remboursement des dépenses faites dans l’exercice de leurs fonctions aux conditions et dans la mesure que détermine le gouvernement.
2021, c. 33, a. 1.
10. Le ministre détermine la tarification ainsi que les autres formes de rémunération payables pour la prestation des services qu’il fournit, incluant celles pour l’acquisition des biens nécessaires à la fourniture de ces services. Ce tarif et ces autres formes de rémunération peuvent varier selon le service fourni ou selon la clientèle desservie.
Ces formes de rémunération sont soumises à l’approbation du Conseil du trésor.
Le ministre rend publiques sur le site Internet de son ministère, dans un délai raisonnable, sa grille tarifaire et toute modification à celle-ci.
2021, c. 33, a. 1.
10.1. Le gouvernement peut autoriser la mise en œuvre par le ministre d’un projet pilote visant à étudier, à expérimenter ou à innover dans le domaine de la cybersécurité ou dans celui du numérique, ou à définir des normes applicables en de tels domaines. Un tel projet pilote peut viser les organismes publics ou les entreprises du gouvernement au sens de la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement (chapitre G-1.03), toute autre entreprise ou les citoyens.
Dans le respect des dispositions législatives applicables, notamment en matière de protection des renseignements personnels et de la vie privée, le gouvernement détermine les normes et les obligations applicables dans le cadre d’un projet pilote. Il détermine également les mécanismes de surveillance et de reddition de comptes applicables dans le cadre d’un projet pilote.
Un projet pilote est établi pour une durée maximale de trois ans, que le gouvernement peut prolonger d’au plus un an. Le gouvernement peut, en tout temps, modifier un projet pilote ou y mettre fin.
Les résultats du projet pilote doivent être publiés sur le site Internet du ministère de la Cybersécurité et du Numérique au plus tard un an après la fin du projet pilote.
2023, c. 28, a. 16.
CHAPITRE II
MINISTÈRE DE LA CYBERSÉCURITÉ ET DU NUMÉRIQUE
2021, c. 33, a. 1.
11. Le ministère de la Cybersécurité et du Numérique est dirigé par le ministre de la Cybersécurité et du Numérique.
2021, c. 33, a. 1.
12. Le gouvernement nomme, conformément à la Loi sur la fonction publique (chapitre F-3.1.1), un sous-ministre de la Cybersécurité et du Numérique.
2021, c. 33, a. 1.
13. Sous la direction du ministre, le sous-ministre administre le ministère.
Il exerce, en outre, toute autre fonction que lui assigne le gouvernement ou le ministre.
2021, c. 33, a. 1.
14. Dans l’exécution de ses fonctions, le sous-ministre a l’autorité du ministre.
2021, c. 33, a. 1.
15. Le sous-ministre peut, par écrit et dans la mesure qu’il indique, déléguer à un fonctionnaire ou au titulaire d’un emploi l’exercice de ses fonctions.
Il peut, dans l’acte de délégation, autoriser la subdélégation des fonctions qu’il indique; le cas échéant, il identifie le fonctionnaire ou le titulaire d’un emploi à qui cette subdélégation peut être faite.
2021, c. 33, a. 1.
16. Le personnel du ministère est constitué des fonctionnaires nécessaires à l’exercice des fonctions du ministre; les fonctionnaires sont nommés suivant la Loi sur la fonction publique (chapitre F-3.1.1).
Le ministre détermine les devoirs de ces fonctionnaires pour autant qu’il n’y est pas pourvu par la loi ou par le gouvernement.
2021, c. 33, a. 1.
17. La signature du ministre ou du sous-ministre donne autorité à tout document provenant du ministère.
Aucun acte, document ou écrit n’engage le ministre, ni ne peut lui être attribué, s’il n’est signé par lui, par le sous-ministre, par un membre du personnel du ministère ou par un titulaire d’un emploi, mais, dans le cas de ces deux derniers, uniquement dans la mesure déterminée par règlement du ministre.
2021, c. 33, a. 1.
18. Le ministre peut, par règlement, permettre, aux conditions qu’il fixe, qu’une signature soit apposée au moyen d’un appareil automatique ou de tout autre procédé faisant appel aux technologies de l’information.
2021, c. 33, a. 1.
19. Un document ou une copie d’un document provenant du ministère ou faisant partie de ses archives, signé ou certifié conforme par une personne visée au deuxième alinéa de l’article 17, est authentique.
2021, c. 33, a. 1.
CHAPITRE III
FONDS DE LA CYBERSÉCURITÉ ET DU NUMÉRIQUE
2021, c. 33, a. 1.
20. Est institué, sous la responsabilité du ministre, le «Fonds de la cybersécurité et du numérique».
2021, c. 33, a. 1.
21. Le Fonds est affecté:
1°  au financement des infrastructures technologiques et des systèmes de soutien communs des organismes publics;
2°  au financement des services offerts ou fournis par le ministre;
3°  au financement des projets ou des activités dans le domaine de la cybersécurité ou dans celui du numérique;
4°  au versement de toute aide financière accordée en application de la présente loi.
Le financement d’une infrastructure technologique ou d’un système de soutien commun peut couvrir sa conception, sa réalisation, son entretien, son évolution et son exploitation.
2021, c. 33, a. 1.
22. Sont portés au crédit du Fonds:
1°  les sommes perçues par le ministre pour les services qu’il fournit, incluant celles pour l’acquisition des biens nécessaires à la fourniture de ces services;
2°  les sommes virées par le ministre des Finances en application des articles 53 et 54 de la Loi sur l’administration financière (chapitre A-6.001);
3°  les sommes virées par un ministre ou par un organisme budgétaire énuméré à l’annexe 1 de la Loi sur l’administration financière sur les crédits alloués à cette fin par le Parlement;
4°  les dons, les legs et les autres contributions versés pour aider à la réalisation des affectations du Fonds;
5°  les intérêts produits par les sommes portées au crédit du Fonds.
2021, c. 33, a. 1.
23. Sont portées au débit du Fonds les sommes requises pour le paiement de toute dépense nécessaire au financement ou au versement des éléments prévus à l’article 21, excluant toutefois les charges administratives du ministre.
2021, c. 33, a. 1.
24. Les surplus accumulés par le Fonds sont virés au fonds général aux dates et dans la mesure que détermine le gouvernement.
2021, c. 33, a. 1.
25. Les livres et les comptes du Fonds sont vérifiés chaque année par le vérificateur général et chaque fois que le gouvernement le décrète.
2021, c. 33, a. 1.
© Gouvernement du Québec