Gouvernail des données de Blakes : Hiver 2026

Voici l’édition de l’hiver 2026 de l’infolettre Gouvernail des données de Blakes, une publication du groupe Protection de la vie privée et des données de Blakes, que nous publions à la suite de la Semaine de la protection des données. Cette infolettre fait un survol des développements récents relatifs à la législation canadienne en matière de protection de la vie privée, de cybersécurité, d’accès à l’information et de gouvernance de l’intelligence artificielle (l’« IA »), et fournit aux lecteurs des pistes de réflexion concrètes sur les diverses questions soulevées par ces développements.

Dans ce numéro :

• Regard prospectif sur le droit canadien de la protection de la vie privée en 2026. Nous explorons les développements juridiques dans le domaine à l’échelle du pays et ce à quoi on peut s’attendre en matière de réforme législative au Canada.
• Survol pratique de la souveraineté en IA. Nous nous penchons sur ce que signifie la souveraineté en IA et comment l’accent mis par le gouvernement fédéral sur la souveraineté numérique pourrait se répercuter sur les entreprises en 2026. 
• Leçons tirées de la fuite de données de PowerSchool. Nous abordons les constats tirés des rapports des commissaires à la protection de la vie privée de l’Ontario et de l’Alberta sur cette fuite de données, y compris les leçons pratiques relatives aux ententes en matière de protection des données conclues entre des fournisseurs de services et des institutions du secteur public. 
• Données biométriques : Cinq conseils pratiques pour se conformer aux lois sur la protection de la vie privée. Nous présentons des considérations clés pour les organisations qui utilisent des technologies biométriques et qui souhaitent réduire les risques liés à la protection de la vie privée s’y rattachant. 
• Nouveaux développements législatifs et réglementaires. Nous faisons un survol des nouveaux rapports et des nouvelles orientations des organismes de réglementation canadiens ayant des répercussions sur les domaines de la protection de la vie privée, de la cybersécurité, de l’accès à l’information et de la gouvernance de l’IA.

À l’horizon

Regard prospectif sur le droit canadien de la protection de la vie privée en 2026

L’année 2026 s’annonce importante au chapitre de la réforme du droit de la protection de la vie privée au Canada. 

Comme nous en parlions dans le Gouvernail des données de Blakes : édition de l’automne 2025, il est peu probable que le gouvernement fédéral aille de l’avant avec une réglementation exhaustive de l’IA dans un avenir proche. Toutefois, avec la reprise des travaux parlementaires, une loi visant à réformer la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») pourrait être adoptée.

À la lumière de récentes mesures budgétaires fédérales et déclarations ministérielles, un projet de refonte de la législation en matière de protection de la vie privée relancera vraisemblablement certains éléments de la Loi sur la protection de la vie privée des consommateurs, laquelle figurait au projet de loi C-27 de 2022 qui est mort au Feuilleton. Ce projet de refonte pourrait également comporter de nouvelles mesures relatives à la protection de la vie privée des enfants et aborder les préjudices liés à l’IA tels que l’hypertrucage. Il s’agit de deux priorités du Commissariat à la protection de la vie privée du Canada (le « CPVP »), comme le témoigne l’élargissement récent de l’enquête du CPVP auprès de X Corp., la société qui exploite la plateforme de média social X, afin de viser aussi la création d’images hypertruquées à caractère sexuel générées par l’IA au moyen du robot conversationnel de cette plateforme, ainsi que la résolution conjointe du CPVP et de ses homologues provinciaux et territoriaux soulignant l’importance de protéger la vie privée des enfants et des jeunes dans les technologies éducatives.

Diverses provinces introduiront vraisemblablement des réformes législatives ou de nouveaux règlements qui entraîneront des répercussions sur la protection de la vie privée et la gouvernance de l’IA. Ces efforts font suite à l’adoption de la loi 25 au Québec en 2021, laquelle a apporté d’importantes modifications au régime québécois de protection de la vie privée. 

Par exemple, en septembre 2025, le gouvernement de la Nouvelle-Écosse a adopté le projet de loi 150, qui modernise la loi sur la protection de la vie privée dans le secteur public de cette province et prévoit l’abrogation de la Personal Information International Disclosure Protection Act (la « PIIDPA ») en 2027. La PIIDPA, qui établit des limites relativement au transfert de renseignements personnels à l’extérieur du Canada, sera remplacée par de nouveaux règlements qui prescriront comment les organismes publics peuvent divulguer ou stocker des renseignements personnels à l’extérieur du Canada ou permettre l’accès à de tels renseignements en dehors du pays. 

Le gouvernement de l’Alberta a pour sa part réalisé son examen législatif de la loi albertaine intitulée Personal Information Protection Act (la « PIPA ») en 2025. Il y a lieu de s’attendre à ce que des modifications fondées sur les recommandations figurant au rapport de cet examen soient proposées afin de moderniser la PIPA, notamment l’introduction de protections ciblant spécifiquement l’utilisation des renseignements personnels dans les systèmes d’IA. La Colombie-Britannique pourrait aussi apporter des modifications semblables à sa version de la PIPA.

En décembre 2025, le gouvernement de l’Ontario a lancé des consultations sur deux projets de règlement en vertu de la Loi de 2024 visant à renforcer la sécurité et la confiance en matière numérique :

• Le Règlement sur la cybersécurité établirait des exigences relatives à la désignation de points de contact pour les questions liées à la cybersécurité, à la fourniture de renseignements sur l’évaluation de la maturité de la cybersécurité et à l’établissement de rapports sur les incidents critiques en matière de cybersécurité. Ce règlement viserait certaines entités du secteur public, notamment les hôpitaux de soins aigus, les conseils scolaires, les sociétés d’aide à l’enfance, les collèges et les universités.
• Le Règlement sur les technologies numériques affectant les personnes de moins de 18 ans exigerait des conseils scolaires qu’ils informent les élèves et les parents et les tuteurs lorsque les renseignements personnels des élèves sont divulgués à des sociétés de logiciels par l’intermédiaire d’applications logicielles dans les écoles. Ce règlement s’appliquerait uniquement aux conseils scolaires.

Les consultations pour ces projets de règlement prendront fin le 9 février 2026.

Dans l’ensemble, les législateurs et les organismes de réglementation provinciaux et fédéraux semblent prêts à adopter de nouvelles mesures en vue de renforcer les protections relatives à la vie privée des enfants et à l’utilisation des renseignements personnels dans les systèmes d’IA.

Perspectives en vedette

Qu’est-ce que la souveraineté en IA? 

Dans un contexte géopolitique en évolution rapide et empreint de volatilité, le gouvernement fédéral a récemment annoncé diverses initiatives en matière de souveraineté numérique. Dans notre Bulletin Blakes de février 2026 : Information sur la souveraineté en IA à l’intention des entreprises canadiennes, nous répondons à cinq questions clés sur la souveraineté en IA et l’état actuel de la réglementation relative à la localisation des données. Ces questions sont pertinentes pour toute entreprise exerçant des activités au Canada.

Les commissaires à la protection de la vie privée de l’Ontario et de l’Alberta publient leurs rapports sur leurs enquêtes respectives auprès de PowerSchool

Dans deux rapports, la commissaire à l’information et à la protection de la vie privée de l’Ontario (la « CIPVP de l’Ontario ») et l’Office of the Information and Privacy Commissioner of Alberta examinent si les clients de PowerSchool appartenant au secteur public en Ontario et en Alberta avaient mis en place des mesures raisonnables pour empêcher l’accès non autorisé aux renseignements personnels traités en leur nom par PowerSchool. Dans un Bulletin Blakes de février 2026 : Ce que les fournisseurs de services auprès du secteur public peuvent apprendre du cyberincident de PowerSchool, nous abordons, à la lumière de ces rapports, les obligations en matière de protection de la vie privée qui incombent aux fournisseurs de services et ce à quoi de tels fournisseurs peuvent s’attendre lorsqu’ils concluent des contrats de services avec des entités du secteur public.

Données biométriques : La conformité aux lois sur la protection de la vie privée, en pratique

Les entreprises adoptent de plus en plus des technologies biométriques à diverses fins, allant du contrôle de l’accès aux espaces numériques et physiques à la vérification de l’identité en ligne, en passant par la détection de la confiance des clients et l’estimation de l’âge des utilisateurs sur les médias sociaux. Consultez notre publication Cinq points, 5 minutes intitulée Données biométriques : La conformité aux lois sur la protection de la vie privée, en pratique pour prendre connaissance de cinq pratiques de conformité clés à l’intention des organisations qui utilisent la biométrie.

Nouveaux développements législatifs et réglementaires

Nouvelles décisions et orientations

• Rapport du CPVP sur Bureau en gros Canada : Le CPVP a publié le rapport des conclusions issues de son enquête sur le programme de revente d’appareils de Bureau en gros Canada (le « rapport »), déterminant qu’une réinitialisation d’usine complète des appareils électroniques doit être effectuée pour effacer adéquatement tous les renseignements personnels qui y sont stockés avant qu’ils soient remis en vente. Le rapport souligne également la nécessité pour les organisations de fournir à leurs employés des formations ainsi que des instructions claires, cohérentes et normalisées.
• Étude du Bureau de la concurrence sur la portabilité des données : Selon une nouvelle étude du Bureau de la concurrence, la mise en place d’un cadre de portabilité des données dans le secteur de l’assurance permettrait aux consommateurs canadiens d’économiser des milliards de dollars.
• Lignes directrices en matière de surveillance émises par l’Office of the Information and Privacy Commissioner for British Columbia : le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique a publié de nouvelles lignes directrices en matière de surveillance à l’intention du secteur public (disponibles en anglais seulement).
• Principes conjoints pour l’utilisation responsable de l’IA en Ontario : La CIPVP de l’Ontario et la Commission ontarienne des droits de la personne ont publié conjointement un document intitulé Principes pour l’utilisation responsable de l’intelligence artificielle à l’intention du public et du secteur public général. Ces principes ont pour but d’aider les institutions à implanter de façon responsable des innovations fondées sur l’IA, tout en protégeant la vie privée, les droits de la personne et la dignité humaine des Ontariens.
• Guide d’évaluation de l’impact sur la vie privée pour les institutions publiques de l’Ontario : La CIPVP de l’Ontario a publié un guide mis à jour pour aider les institutions assujetties aux lois ontariennes intitulées Loi sur l’accès à l’information et la protection de la vie privée et Loi sur l’accès à l’information municipale et la protection de la vie privée à effectuer une évaluation de l’impact sur la vie privée conformément à ces lois.

Nous joindre

Pour toute question, n’hésitez pas à vous adresser à l’avocat de Blakes avec lequel vous communiquez habituellement ou à un membre du groupe Protection de la vie privée et des données de Blakes. 

Afin de recevoir par courriel les perspectives du groupe Protection de la vie privée et des données, y compris l’infolettre Gouvernail des données de Blakes, inscrivez-vous ici.