Canada | Publication | octobre 2025
Le Programme des marchandises contrôlées (PMC) est le programme national de sécurité industrielle du Canada qui réglemente l’examen, la possession et le transfert des marchandises contrôlées. Il est géré par Services publics et Approvisionnement Canada (SPAC) en vertu de la Loi sur la production de défense (Loi), et plus particulièrement du Règlement sur les marchandises contrôlées (Règlement). La Loi et le Règlement visent à renforcer la défense et la sécurité du Canada et à fournir une protection contre l’accès illicite aux marchandises contrôlées. De plus, le Règlement établit entre autres un cadre d’inscription et de conformité obligatoire pour les personnes et les organisations qui examinent, possèdent ou transfèrent des marchandises contrôlées. Toute personne accédant à des marchandises contrôlées doit, sous réserve de certaines exclusions et exemptions applicables principalement aux employés gouvernementaux et aux non-Canadiens, s’inscrire au PMC et respecter la Loi et le Règlement.
Les marchandises contrôlées sont principalement du matériel de défense, y compris certains composants et leurs technologies afférentes, d’une importance militaire ou servant à assurer la sécurité nationale, comme il est décrit plus en détail dans l’annexe « Liste des marchandises contrôlées » de la Loi. Bien que la Liste des marchandises contrôlées comprenne principalement du matériel de défense physique, les technologies connexes et les données techniques y figurent également. Par exemple, les plans et les données techniques, y compris en format électronique, sont considérés comme des marchandises contrôlées. Par extension, les données associées à des marchandises contrôlées stockées dans le nuage ou sur des dispositifs de stockage physiques, comme des clés USB, sont visées par le PMC.
Le présent article examine les considérations particulières applicables aux données associées à des marchandises contrôlées stockées dans le nuage.
Le gouvernement du Canada a publié des orientations sur l’utilisation et la fourniture de services infonuagiques pour le stockage et le transfert de données associées à des marchandises contrôlées. Ces orientations prévoient qu’il incombe aux inscrits au PMC de s’assurer que les services infonuagiques, y compris le stockage et le traitement des données associées à des marchandises contrôlées, conviennent à leurs activités commerciales, tout en précisant que les contrôles de sécurité de tels services doivent être régulièrement examinés et faire l’objet d’une surveillance continue aux fins de la gestion des risques liés à la sécurité. Les inscrits au PMC doivent déterminer si leurs protocoles et procédures de cybersécurité sont à jour et suffisamment solides.
Bien que certaines questions demeurent, les orientations du gouvernement du Canada offrent une feuille de route quant au respect de la Loi et du Règlement et répondent à certaines questions importantes qui pourraient intéresser les utilisateurs et les fournisseurs de services infonuagiques.
Les questions et réponses suivantes portent sur certaines incidences pratiques du traitement par le Canada des données associées aux marchandises contrôlées qui sont stockées dans le nuage :
Les données associées aux marchandises contrôlées peuvent-elles être stockées dans le nuage?
Oui. Les inscrits au PMC peuvent stocker dans le nuage des données associées aux marchandises contrôlées, sous réserve du respect de la Loi et du Règlement, y compris le paragraphe 37(2) de la Loi, qui interdit aux inscrits au PMC de transférer délibérément des marchandises contrôlées à une personne qui n’y est pas inscrite ou qui est exemptée d’inscription au PMC ou de permettre à une telle personne de les examiner en toute connaissance de cause. Dans les faits, cela signifie qu’en plus de veiller à la mise en place des contrôles de sécurité appropriés, les organisations qui entendent utiliser des services infonuagiques pour stocker, traiter ou transférer des données associées à des marchandises contrôlées doivent s’assurer que leur fournisseur de services infonuagiques (FSI) est inscrit au PMC afin d’éviter tout accès non autorisé aux données associées à des marchandises contrôlées et, par conséquent, toute violation de la Loi et toute pénalité en vertu de cette dernière. La liste des inscrits au PMC, dont les FSI inscrits, est accessible en ligne.
Les FSI qui fournissent des services infonuagiques aux fins de stockage et de transfert de marchandises contrôlées doivent-ils être inscrits au PMC?
Oui. La Loi interdit aux inscrits de transférer délibérément des marchandises contrôlées à une personne qui n’est pas inscrite ou qui est exemptée d’inscription au PMC ou de permettre à une telle personne de les examiner en toute connaissance de cause. Ainsi, tout FSI qui entend fournir des services infonuagiques aux fins de stockage de marchandises contrôlées doit être inscrit au PMC et s’assurer que son personnel ou ses employés disposent de la cote de sécurité requise par la Loi et le Règlement. De même, les inscrits au PMC qui entendent utiliser des services infonuagiques pour stocker ou transférer des données associées aux marchandises contrôlées doivent évaluer les FSI en conséquence.
Les serveurs sur lesquels sont stockées les données associées aux marchandises contrôlées doivent-ils être situés au Canada?
Bien que certaines exigences en matière d’emplacement des données s’appliquent aux inscrits au PMC, le stockage de données associées aux marchandises contrôlées à l’extérieur du Canada n’est pas interdit. L’exportation des données associées aux marchandises contrôlées est visée par le régime de contrôle des exportations du Canada en vertu de la Loi sur les licences d’exportation et d’importation. Affaires mondiales Canada doit être consulté en ce qui a trait à toute exigence applicable en matière de licences d’exportation concernant les données à stocker sur des serveurs situés à l’extérieur du Canada. Compte tenu de la complexité du régime de contrôle des exportations, le stockage de données associées à des marchandises contrôlées à l’extérieur du Canada peut nécessiter plusieurs licences.
Les données associées à des marchandises contrôlées doivent-elles être chiffrées?
Oui. SPAC exige que les inscrits veillent au chiffrement (c.-à-d. un chiffrement de bout en bout) des données associées aux marchandises contrôlées lorsqu’elles sont stockées et transférées dans le nuage. Toutefois, le chiffrement en lui-même ne suffit pas à respecter les restrictions en vertu de la Loi et du Règlement relatives à l’accès non autorisé aux marchandises contrôlées. Les FSI doivent également être inscrits au PMC.
Un employé d’une organisation inscrite au PMC peut-il accéder aux données associées aux marchandises contrôlées?
Non. Les inscrits au PMC doivent s’assurer que l’accès aux données associées à des marchandises contrôlées stockées dans le nuage est strictement limité aux employés (y compris le personnel des TI qui a accès aux données stockées dans le nuage) qui ont fait l’objet d’une évaluation de sécurité conformément au Règlement. Cet accès doit uniquement être octroyé par l’intermédiaire d’un système de sécurité assorti de contrôles d’accès stricts. Ainsi, les FSI doivent mettre en place des protocoles de sécurité internes solides et les organisations qui utilisent des services infonuagiques doivent s’assurer que les FSI respectent cette obligation additionnelle.
Quelles obligations de compte rendu et de tenue de registres s’appliquent au stockage infonuagique des données associées à des marchandises contrôlées?
Les sociétés qui stockent dans le nuage des données associées à des marchandises contrôlées sont visées par les mêmes obligations de compte rendu et de tenue de registres que tout autre inscrit au PMC, y compris, sans s’y limiter, la tenue à jour de registres détaillés relativement aux données associées à des marchandises contrôlées reçues ou transférées par l’inscrit au PMC, les modalités d’une telle réception ou d’un tel transfert, la mise en œuvre d’évaluations de sécurité et la préservation des documents à l’appui ainsi que la transmission de renseignements sur toute atteinte à la sûreté réelle ou potentielle au ministre de la Transformation du gouvernement, des Travaux publics et de l’Approvisionnement . Les inscrits au PMC sont également tenus de tenir à jour, pour chacun de leurs établissements au Canada où se trouvent des marchandises contrôlées, un plan de sûreté qui présente les méthodes de gestion des marchandises contrôlées en cas d’atteintes à la sûreté ainsi que les modalités de compte rendu et d’enquête sur celles-ci. Les registres peuvent faire l’objet d’une vérification par le ministre de la Transformation du gouvernement, des Travaux publics et de l’Approvisionnement. Les inscrits au PMC doivent mettre en œuvre des systèmes et des protocoles de compte rendu et de tenue de registres afin de veiller au respect de la Loi et du Règlement et de maximiser la protection de leurs marchandises contrôlées.
Étant donné que l’infonuagique constitue une technologie relativement nouvelle et qu’elle continue d’évoluer, notamment en ce qui a trait à son utilisation aux fins de stockage et de transfert de données associées à des marchandises contrôlées, le gouvernement du Canada doit encore pleinement examiner certaines des questions et certains des enjeux, que ce soit par le biais de ses orientations ou dans la Loi et le Règlement eux-mêmes.
Les transferts transfrontaliers de données associées à des marchandises contrôlées sont visés par des exigences en matière de licences d’exportation. Les modalités de ces exigences et la procédure pour s’y conformer ne sont pas entièrement précisées dans la Loi, le Règlement, ni les orientations fournies. Il serait utile d’obtenir davantage de précisions et des orientations publiques écrites sur le processus d’octroi de licences d’exportation et les étapes que pourraient suivre les inscrits au PMC pour protéger les données associées aux marchandises contrôlées qui font l’objet de transferts transfrontaliers.
Contrairement à ce que l’on observe aux États-Unis, où le règlement intitulé International Traffic in Arms Regulation (ITAR) prévoit une exception limitée pour le stockage à l’étranger de données contrôlées chiffrées, au Canada, il reste à déterminer si le chiffrage de bout en bout pourrait atténuer les préoccupations liées à l’exportation de données associées à des marchandises contrôlées ou quelles incidences un tel chiffrement pourrait avoir sur les exigences en matière de licences d’exportation. Compte tenu des renseignements à notre disposition et de notre expérience dans ce domaine, nous sommes d’avis que le chiffrement n’aurait aucun effet d’atténuation du point de vue du gouvernement canadien, d’où l’exigence de communiquer avec Affaires mondiales Canada en cas d’exportation de données associées à des marchandises contrôlées.
De nombreuses technologies infonuagiques consignent automatiquement les renseignements liés aux données stockées aux fins de soutien technique et de dépannage. Compte tenu des orientations existantes du gouvernement canadien, rien ne permet de déterminer si de tels registres comprennent eux-mêmes des données associées à des marchandises contrôlées, si la tenue de tels registres ou leur divulgation constitue un « transfert » au sens donné à ce terme dans la Loi et le Règlement et, par conséquent, si l’accès à de tels registres doit être limité pour respecter la Loi et le Règlement. Selon toute probabilité, la question de savoir si de tels registres constituent ou non des données associées à des marchandises contrôlées, et donc si des restrictions s’y appliquent en vertu de la Loi et du Règlement, sera tranchée en fonction du type de renseignements contenus dans ces registres. Toutefois, une approche prudente consisterait à traiter l’ensemble de ces registres comme des données associées à des marchandises contrôlées tant et aussi longtemps que le gouvernement n’aura pas fourni d’orientations contraires.
Les fonctionnalités comme des outils antimaliciels, l’indexation ou d’autres fonctionnalités de traitement automatisé du contenu mises en œuvre dans les systèmes infonuagiques peuvent nécessiter un accès aux données stockées pour être exécutées. Les orientations existantes n’indiquent pas si une telle analyse constitue un « examen », au sens donné à ce terme dans la Loi et le Règlement, et, par conséquent, si des mesures de protection et des restrictions supplémentaires s’appliquent. Dans la mesure où de telles fonctionnalités de traitement automatisé du contenu et les renseignements qui y sont liés ou en découlent sont accessibles par des personnes, il est probable qu’il s’agisse effectivement d’un « examen ».
Bien que certaines orientations utiles sur l’utilisation du nuage aux fins de stockage et de transfert des données associées aux marchandises contrôlées soient disponibles, la technologie de stockage infonuagique des données, à l’instar de nombreuses autres technologies nouvelles et en évolution, souligne les limites des règlements et protections en vigueur, tendance qui ne semble pas près de ralentir. Les sociétés et personnes qui stockent dans le nuage des données associées à des marchandises contrôlées doivent sélectionner avec soin leur FSI et veiller à la mise en place de protocoles et procédures de sécurité appropriés pour protéger les données. De même, les FSI qui fournissent des services infonuagiques aux fins de stockage de données associées à des marchandises contrôlées doivent être au fait des obligations et restrictions applicables aux marchandises contrôlées pour s’assurer que les services infonuagiques qu’ils fournissent, de même que leurs processus et fonctionnalités connexes, s’y conforment. Compte tenu de la nature et du traitement extrêmement sensibles des marchandises contrôlées au Canada, les parties doivent plutôt pécher par excès de prudence et de sécurité lorsqu’elles sélectionnent, mettent en œuvre et fournissent des services infonuagiques aux fins de stockage et de transfert de données associées à des marchandises contrôlées.
Il convient de noter, dans le contexte de cette discussion, que le gouvernement canadien a publiquement souligné l’importance de mettre au point un nuage souverain afin, entre autres objectifs, d’accroître la sécurité des données canadiennes. Une technologie infonuagique canadienne souveraine permettrait d’apporter une certaine clarté et des solutions aux questions et problèmes en suspens soulevés dans cet article. Les parties intéressées devraient surveiller toute évolution à ce sujet.
Pour toute question sur les sujets abordés dans le présent article, le PMC du Canada en général, la façon dont il s’applique à votre organisation ou l’élaboration et la mise en œuvre de stratégies de cybersécurité visant à protéger vos données associées à des marchandises contrôlées, veuillez communiquer avec les auteur·rices.
Publication
Le Programme des marchandises contrôlées (PMC) est le programme national de sécurité industrielle du Canada qui réglemente l’examen, la possession et le transfert des marchandises contrôlées.
Publication
Incidences de l’évolution de la réglementation commerciale et des risques en matière de conformité
Publication
Comme nous en avions déjà fait état à l’occasion de la saison des procurations de 2025, le rapide développement de l’intelligence artificielle (IA) a fait de cette technologie une préoccupation fondamentale en matière de gouvernance pour les actionnaires.
Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...
© Norton Rose Fulbright LLP 2025