Le 10 juin 2026, le gouvernement fédéral a présenté le projet de loi C-34, la Loi sur les médias sociaux sécuritaires. S’il est adopté, le projet de loi C-34 mettrait en place un régime fédéral en matière de sécurité numérique en édictant la Loi sur la sécurité numérique (la « Loi ») et créerait la Commission canadienne de la sécurité numérique (la « Commission ») en vertu de la Loi sur la Commission canadienne de la sécurité numérique. La Commission serait chargée de superviser et de faire respecter la loi.
Cette loi s’inscrit dans la continuité des efforts déployés par le gouvernement fédéral pour mettre en place un régime réglementaire complet visant à éliminer les préjudices en ligne au Canada. Bien que le projet de loi C-34 comporte des différences majeures par rapport à son prédécesseur, le projet de loi C-63, il reprend plusieurs propositions clés, notamment en ce qui concerne les sept catégories de contenu préjudiciable, lesquelles restent inchangées :
- le contenu intime communiqué de façon non consensuelle;
- le contenu lié à l’exploitation sexuelle et à la victimisation d’enfants;
- le contenu poussant un enfant à se porter préjudice;
- le contenu visant à intimider un enfant;
- le contenu fomentant la haine;
- le contenu incitant à la violence;
- le contenu de terrorisme ou d’extrémisme violent.
Champ d’application de la Loi
Le champ d’application de la Loi est beaucoup plus large que l’indique son titre abrégé, Loi sur les médias sociaux sécuritaires. La Loi s’appliquerait aux exploitants d’un « service réglementé », ce qui comprendrait les services de médias sociaux réglementés, les services d’agents conversationnels réglementés et les services en ligne réglementés. Des définitions sont données pour les termes « service de média social », « service d’agent conversationnel » et « service en ligne ». Cependant, il faudrait attendre une réglementation future pour savoir lesquels de ces services seraient « réglementés ».
Obligations en vertu de la Loi
La Loi instaurerait diverses obligations pour les exploitants de services réglementés.
Obligations visant l’ensemble des exploitants
Tous les exploitants de services réglementés auraient l’obligation de protéger les enfants, aux termes de laquelle ils devraient notamment intégrer des caractéristiques de conception prévues par règlement. De plus, un exploitant qui a des motifs raisonnables de soupçonner que son service rend accessible du contenu pornographique serait tenu d’intégrer des mesures adéquates de vérification ou d’estimation de l’âge des utilisateurs pour atténuer le risque que des enfants soient exposés à du contenu pornographique ainsi que d’autres mesures à cette fin prévues par règlement.
L’exploitant d’un service réglementé serait également tenu de tenir les registres nécessaires à l’évaluation de sa conformité à ses obligations prévues sous le régime de la Loi.
Obligations des exploitants de services de médias sociaux
Les exploitants de services de médias sociaux réglementés (les « exploitants de MS ») seraient assujettis à des obligations supplémentaires, dont celles décrites ci-après.
- Obligation de protéger les enfants. Les exploitants de MS devraient intégrer à leurs services des mesures adéquates de vérification ou d’estimation de l’âge des utilisateurs conçues pour empêcher qu’une personne de moins de 16 ans puisse avoir un compte. Pour déterminer si les mesures mises en œuvre par un exploitant sont adéquates, la Commission devrait être convaincue que les mesures : 1) sont efficaces; 2) n’impliquent la collecte ou l’utilisation des renseignements personnels que dans le but de vérifier ou d’estimer l’âge des utilisateurs; 3) prévoient la destruction des renseignements personnels recueillis à des fins de vérification ou d’estimation de l’âge des utilisateurs une fois la vérification ou l’estimation complétée; 4) prévoient la protection des renseignements personnels recueillis à des fins de vérification ou d’estimation de l’âge des utilisateurs jusqu’à ce qu’ils soient détruits; 5) respectent toute autre exigence précisée par règlement. La Commission pourrait, conformément à la réglementation, exempter l’exploitant de l’interdiction visant les personnes de moins de 16 ans si elle est convaincue que l’exploitant prévoit des mesures de protection adéquates des enfants.
Cette proposition soulève d’importantes préoccupations en matière de protection de la vie privée et des données, notamment en ce qui concerne :
- la vérification de l’âge : pour établir si un utilisateur a moins de 16 ans, il faudra recueillir les renseignements personnels de l’enfant, ce qui est considéré comme de l’information sensible;
- le risque de collecte de renseignements superflus : les plateformes pourraient devoir recourir à des outils de vérification de l’âge trop intrusifs, ce qui pourrait entrer en conflit avec les principes de minimisation des données.
- Obligation d’agir de manière responsable. Les exploitants de MS devraient : 1) atténuer le risque que les utilisateurs soient exposés à du contenu préjudiciable; 2) mettre à la disposition des utilisateurs des outils pour bloquer d’autres utilisateurs; 3) mettre en œuvre des outils pour signaler et gérer le contenu préjudiciable; 4) étiqueter le contenu synthétique satisfaisant les critères prévus par règlement; 5) étiqueter le contenu que l’exploitant aurait des motifs raisonnables de croire qu’il a été amplifié artificiellement par des robots ou des comptes automatisés; 6) mettre à la disposition du public des lignes directrices à l’intention des utilisateurs sur le service de média social prévoyant les normes de conduite qui s’appliquent aux utilisateurs à l’égard du contenu préjudiciable et une description des mesures que l’exploitant met en œuvre à l’égard du contenu préjudiciable sur le service; 7) mettre une personne-ressource à la disposition des utilisateurs afin de recevoir leurs préoccupations.
- Obligation de transparence. Les exploitants de MS devraient présenter à la Commission un plan de sécurité numérique et le publier sur le service. Le plan devrait inclure les éléments prescrits par la Loi à l’égard des services de médias sociaux.
- Obligation de rendre certains contenus inaccessibles. Si un exploitant de MS identifie du contenu représentant de la victimisation sexuelle d’enfants ou perpétuant la victimisation de survivants ou du contenu intime communiqué de façon non consensuelle, il devrait rendre le contenu inaccessible en moins de 24 heures.
Obligations des exploitants d’agents conversationnels
Les exploitants de services d’agents conversationnels réglementés (les « exploitants d’AC ») auraient les obligations suivantes :
- Obligation d’agir de manière responsable. Comme dans le cas des exploitants de MS, les exploitants d’AC devraient : 1) atténuer le risque que les utilisateurs soient exposés à du contenu préjudiciable; 2) mettre en œuvre des outils et des processus pour permettre de signaler le contenu préjudiciable, 3) mettre à la disposition du public, sur le service, des lignes directrices à l’intention des utilisateurs décrivant les mesures mises en œuvre par l’exploitant pour atténuer le risque que le service communique du contenu préjudiciable ainsi que la manière dont le service répond aux situations où l’utilisateur du service y exprime des idées suicidaires, une intention de se mutiler ou une intention de commettre un acte qui pourrait causer des lésions corporelles graves à un individu ou sa mort; 4) mettre à la disposition des utilisateurs une personne-ressource afin de recevoir leurs préoccupations.
- Les exploitants devraient également, entre autres, mettre en œuvre des mesures d’intervention lorsque l’utilisateur exprime des idées suicidaires, une intention de se mutiler ou une intention de commettre un acte qui pourrait causer des lésions corporelles graves à un individu, ou sa mort, ainsi que des mesures visant à atténuer le risque que le service se livre à certaines catégories de comportements préjudiciables.
- Obligation de transparence. Les exploitants d’AC devraient présenter à la Commission un plan de sécurité numérique et le mettre à la disposition du public sur le service. Le plan devrait inclure les éléments prescrits par la Loi pour les services d’agents conversationnels.
Obligations des exploitants de services en ligne réglementés
Les exploitants de services en ligne réglementés (les « exploitants de SEL ») seraient tenus de présenter un plan de sécurité numérique à la Commission et de le mettre à la disposition du public sur le service. Le plan devrait inclure les éléments prescrits par la Loi à l’égard des services en ligne.
Création de la Commission de la sécurité numérique
La Commission nouvellement constituée aurait des pouvoirs et responsabilités considérables en matière de surveillance et d’application, notamment :
- surveiller et vérifier la conformité, ce qui comprend des pouvoirs d’enquête;
- publier des ordonnances de conformité et ordonner aux plateformes de mettre en place des mesures correctives;
- ordonner que du contenu préjudiciable soit retiré ou rendu inaccessible;
- administrer un processus permettant aux utilisateurs de présenter des observations et des plaintes;
- imposer des sanctions administratives pécuniaires en cas de non-conformité (le montant maximal de la sanction correspondrait à la somme la plus élevée entre 10 M$ CA et 3 % des revenus bruts globaux, ce qui, même s’il s’agit d’une somme importante, est inférieur aux sanctions prévues dans le projet de loi C-63).
La Loi prévoit également des dispositions sur les infractions et une amende en cas de non-conformité. Cette amende ne représenterait pas plus de 5 % des revenus bruts globaux de l’exploitant au cours de l’exercice précédent ou 20 M$ CA, si ce montant est supérieur au moment de la mise en accusation; en cas de procédure sommaire, l’amende ne représenterait pas plus de 4 % des revenus bruts globaux de l’exploitant au cours de l’exercice précédent ou 15 M$ CA, si ce montant est supérieur.
Points saillants pour les organisations
Si le projet de loi C-34 est adopté dans sa version actuelle, les organisations qui exploitent des services en ligne, y compris celles qui fournissent des plateformes dont le contenu est produit par les utilisateurs ou qui offrent des interactions avec l’intelligence artificielle, devraient s’attendre à ce qui suit :
- une augmentation des attentes relatives aux caractéristiques de sécurité dès la conception et aux mesures d’atténuation des risques;
- une nouvelle autorité de réglementation dotée de pouvoirs importants en matière de surveillance et d’application;
- une certaine incertitude entourant la réglementation future, laquelle définirait certains éléments cruciaux du régime de réglementation, y compris des détails sur les services en ligne visés.
Avant de devenir loi, le projet de loi C-34 devra franchir les étapes de deux autres lectures à la Chambre des communes et être lu trois fois au Sénat. Il faudra par ailleurs un décret du gouverneur en conseil pour que les droits et les obligations prévus dans ce projet de loi, s’il est adopté, entrent en vigueur.
Le projet de loi constitue une étape importante dans les efforts actuels du Canada visant à réglementer les préjudices en ligne et à appuyer la stratégie du gouvernement fédéral intitulée « L’IA pour tous ». Cependant, bien des éléments clés du régime réglementaire seront fixés dans des règlements qui n’ont pas encore été rédigés, notamment la portée exacte des services réglementés, les mécanismes de vérification de l’âge et les obligations détaillées des exploitants.
Pour en savoir davantage, communiquez avec l’un des auteurs du présent bulletin ou un autre membre de nos groupes Communications, Technologie ou Protection de la vie privée et des données.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2026 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.