Sauter la navigation

Nouvelle tentative du Canada pour réformer le cadre fédéral de protection des renseignements personnels dans le secteur privé

17 juillet 2026

Le 15 juin 2026, le gouvernement fédéral canadien a présenté le projet de loi C-36, intitulé Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportant des modifications à d’autres lois (le « projet de loi C-36 » ou le « projet de loi »). Le projet de loi C-36 fait suite au projet de loi C-27 et au projet de loi C-11, qui ont été présentés en 2022 et en 2020 respectivement, et constitue la troisième grande tentative du gouvernement fédéral en six ans visant à réformer la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »).

Tout comme ses prédécesseurs, si le projet de loi était adopté, il abrogerait les dispositions de la LPRPDE relatives à la protection des renseignements personnels et les remplacerait par une nouvelle loi de protection des renseignements personnels dans le secteur privé, la Loi visant à protéger la vie privée et les données des consommateurs (la « LPVPDC »). Cependant, contrairement aux propositions précédentes, le projet de loi C-36 transfèrerait la responsabilité d’application de la loi du Commissariat à la protection de la vie privée du Canada à la nouvelle Commission canadienne de la sécurité numérique et de la protection des données (la « Commission »), qui a été proposée pour la première fois dans le projet de loi C-34, moins d’une semaine auparavant. Pour en savoir davantage sur la Commission et sur le projet de loi C-34, consultez notre Bulletin Blakes intitulé Loi sur la sécurité numérique du Canada : Remaniement du régime réglementaire sur la sécurité en ligne.

Tout comme dans les versions de 2022 et de 2020, un certain nombre des propositions comprises dans le projet de loi C-36 visent à fournir plus de clarté aux organisations concernées quant à leurs obligations en matière de gouvernance des données et de protection des renseignements personnels, en codifiant les lignes directrices existantes du Commissaire à la protection de la vie privée du Canada. Dans ce bulletin, nous mettons en évidence les principales divergences du projet de loi par rapport au cadre de la LPRPDE.

Un nouveau commissaire doté de pouvoirs renforcés en matière d’application de la loi

À l’heure actuelle, le Commissaire à la protection de la vie privée du Canada (qui est un agent du Parlement confirmé par le Sénat et par la Chambre des communes) agit principalement à titre de médiateur et ne peut pas obliger une personne à se conformer à la LPRPDE. La LPVPDC apporterait des changements considérables à l’application du régime fédéral de protection des renseignements personnels dans le secteur privé.

Le projet de loi C-36 propose une nouvelle structure de surveillance dirigée par la Commission, qui administrerait et ferait appliquer à la fois la LPVPDC et la Loi sur la sécurité numérique proposée dans le projet de loi C-34. Un nouveau poste de commissaire à la protection de la vie privée et des données des consommateurs (le « nouveau commissaire ») serait créé, lequel serait désigné parmi les membres de la Commission par le Cabinet afin de surveiller et de faire appliquer la LPVPDC. Cela signifie que les responsabilités du Commissaire à la protection de la vie privée du Canada se limiteraient à la surveillance de la Loi sur la protection des renseignements personnels, la loi fédérale canadienne de protection des renseignements personnels dans le secteur privé.

Sous sa forme actuelle, la LPVPDC donnerait au nouveau commissaire de larges pouvoirs d’application, y compris des pouvoirs d’enquête et d’audit et le pouvoir d’imposer la conformité à la LPVPDC. La LPVPDC accorderait aussi au nouveau commissaire le pouvoir d’approbation des codes et des programmes de certification qui établissent les normes de conformité en matière de protection des renseignements personnels, et elle exigerait qu’il publie des lignes directrices dans les domaines où la LPVPDC n’est pas normative. La LPVPDC prévoit par ailleurs une liste étendue de violations qui peuvent entraîner des sanctions administratives pécuniaires, appliquées au moyen d’un avis de contravention.

Ces sanctions pourraient être importantes, la plus sévère s’élevant à 10 M$ CA ou à 3 % des recettes globales brutes de l’organisation au cours de l’exercice précédent, selon le montant le plus élevé. Une organisation aurait le droit de demander l’examen d’une décision relative à un avis de contravention et de présenter des déclarations à la Commission. La Commission aurait alors le pouvoir de confirmer, annuler ou modifier toute décision soumise à un examen.

Exceptions liées à l’intérêt légitime d’une organisation

Comme le projet de loi C-27, la LPVPDC prévoit une exception à l’obligation d’obtenir le consentement d’un individu pour recueillir, utiliser ou communiquer des renseignements personnels si la collecte, l’utilisation ou la communication est faite en vue d’une activité dans laquelle ces organisations ont un intérêt légitime qui l’emporte sur tout effet négatif potentiel pour l’individu. Cette exception se rapproche de l’alinéa 6(1)f) du Règlement général sur la protection des données de l’Union européenne, qui stipule que les intérêts légitimes d’une organisation constituent une raison légale valable pour le traitement des renseignements personnels.

Avant de se prévaloir de cette exception afin de recueillir, d’utiliser ou de communiquer des renseignements personnels, l’organisation serait tenue d’établir une description des intérêts légitimes et de la consigner par écrit, d’effectuer une évaluation des facteurs relatifs à la vie privée conformément aux exigences établies, de déterminer et de prendre les mesures nécessaires pour atténuer les risques connexes et de se conformer à toute exigence établie.

Décisions automatisées

Même si le cadre de gouvernance de l’intelligence artificielle prévu par le projet de loi C-36 n’est pas aussi étendu que celui du projet de loi C-27, il introduirait cependant des obligations de déclaration et de transparence applicables aux organisations qui utilisent des systèmes décisionnels automatisés. Le terme « système décisionnel automatisé » est défini de façon large et comprendrait toutes les technologies qui appuient ou remplacent le jugement de preneurs de décisions humains au moyen d’un système fondé sur des règles, d’une analyse de la régression, d’une analyse prédictive, de l’apprentissage automatique, de l’apprentissage profond, d’un réseau neuronal ou d’une autre technique.

Les organisations qui emploient des systèmes décisionnels automatisés afin de faire des prédictions, de formuler des recommandations ou de prendre des décisions qui ont des effets juridiques ou une incidence importante sur des individus auraient l’obligation de mettre à la disposition du public une explication générale de l’usage qu’elles font de ces systèmes et devraient, à la demande d’un individu concerné, fournir une explication de la prédiction, de la recommandation ou de la décision.

Évaluation des facteurs relatifs à la vie privée dans le cadre des transferts transfrontaliers

Les organisations auraient l’obligation d’effectuer une évaluation des facteurs relatifs à la vie privée avant de communiquer ou de transférer des renseignements personnels hors du Canada. Elles devraient aussi mettre en place des mesures afin d’atténuer les risques déterminés dans le cadre de l’évaluation, notamment des mesures contractuelles, le respect des codes de pratique ou des processus de certification approuvés ou la conformité à d’autres mesures établies. Cette obligation harmoniserait davantage le régime fédéral relatif au secteur privé avec le cadre québécois applicable à ce même secteur.

Renseignements anonymisés ou dépersonnalisés

L’économie actuelle est axée sur les données et les organisations utilisent couramment des données dépersonnalisées ou anonymisées afin d’évaluer leurs activités, de créer de nouveaux produits et de répondre aux demandes changeantes des clients. Cependant, la LPRPDE ne définit pas les renseignements « anonymisés » ou « dépersonnalisés » et elle ne précise pas si ces données constituent des renseignements personnels.

Le projet de loi C-36 propose des définitions explicites de ces processus dans la LPVPDC :

  • « anonymiser » signifie modifier définitivement et irréversiblement des renseignements personnels afin qu’il n’y ait aucun risque raisonnablement prévisible, dans les circonstances, qu’un individu puisse être identifié, directement ou indirectement, par quelque moyen que ce soit à partir de ces renseignements;
  • « dépersonnaliser » signifie modifier des renseignements personnels afin qu’un individu ne puisse être identifié directement à partir de ces renseignements, sans pour autant en éliminer le risque.

La LPVPDC traiterait les renseignements dépersonnalisés comme des « renseignements personnels », tandis que les renseignements anonymisés ne relèveraient pas de son champ d’application. Elle autoriserait expressément les organisations à dépersonnaliser ou à anonymiser les renseignements personnels sans le consentement des individus et à utiliser les renseignements dépersonnalisés à des fins de recherche, d’analyse et de développement internes sans le consentement des individus concernés, sous réserve de certaines conditions.

Exception liée à la transaction commerciale

La LPVPDC restreindrait l’exception liée à la transaction commerciale prévue par la LPRPDE en permettant aux organisations de se fonder sur cette exception ou de communiquer des renseignements personnels sans consentement avant la réalisation de la transaction, uniquement lorsque ces renseignements ont d’abord été dépersonnalisés. Cependant, une exception s’appliquerait lorsque la dépersonnalisation nuirait aux objectifs de la transaction et lorsque l’organisation a tenu compte du risque de préjudice pour l’individu que pourrait entraîner l’utilisation ou la communication.

Renseignements personnels sensibles et protection des enfants

En vertu de la LPVPDC, le terme « caractère sensible » serait défini comme suit : « caractère des renseignements personnels pour lesquels, compte tenu des circonstances, un individu a des attentes élevées en matière de vie privée. Sont notamment visés, le cas échéant, les renseignements personnels d’un enfant, les renseignements qui sont de nature à révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les renseignements génétiques, les renseignements biométriques susceptibles d’identifier un individu de manière unique et les renseignements concernant la santé ou l’orientation sexuelle d’un individu ».

La reconnaissance explicite du caractère sensible des renseignements personnels des enfants cadre avec les initiatives récentes du gouvernement fédéral visant à renforcer les mesures de protection des enfants en ligne, notamment la Loi sur la sécurité numérique proposée dans le projet de loi C-34.

Droits des personnes concernées

Dans la disposition relative à son objet, la LPVPDC reconnaîtrait le droit à la vie privée comme fondamental. Conformément à cette reconnaissance, elle confèrerait aux individus de nouveaux droits relatifs aux renseignements personnels, y compris un droit à la suppression et, comme mentionné précédemment, un droit à la transparence en ce qui a trait à l’utilisation de systèmes décisionnels automatisés.

(i) Droit de demander un retrait

À la demande écrite d’un individu, une organisation devrait retirer les renseignements personnels si a) la collecte, l’utilisation ou la communication de ces renseignements contrevient à la LPVPDC, b) l’individu retire son consentement, ou c) les renseignements ne sont plus nécessaires pour continuer à fournir un produit ou un service demandé par l’individu. Les organisations pourraient refuser de telles demandes lorsqu’elles sont liées aux cas b) ou c) et dans des circonstances visées par règlement, notamment lorsque la loi exige la conservation des renseignements, lorsque le retrait nuirait à l’exactitude des renseignements requis pour continuer à fournir un service à l’individu ou lorsque la demande est vexatoire ou entachée de mauvaise foi.

(ii) Droit à la portabilité des données

À la demande d’un individu et sous réserve de règlements à venir, une organisation devrait communiquer les renseignements personnels qu’elle a recueillis auprès d’un individu à toute organisation désignée par cet individu, à condition que les deux organisations soient assujetties à des cadres de portabilité des données. Ce droit à la portabilité des données a aussi été intégré dans la LPRPDE l’année dernière, dans le cadre du budget du gouvernement fédéral en vertu du projet de loi C-15. Les organisations qui sont tenues de mettre en place un cadre de portabilité des données seront précisées par règlement. Pour une mise à jour sur les droits à la portabilité des données, consultez notre édition du printemps 2026 de notre publication Gouvernail des données de Blakes.

Prochaines étapes                                              

La période d’ajournement d’été du Parlement a commencé et devrait prendre fin le 21 septembre 2026. Nous vous tiendrons au courant de tout développement qui pourrait se produire pendant l’été au sujet de l’incidence des propositions spécifiques du projet de loi C-36 et du projet de loi C-34 pour les entreprises canadiennes.

Pour en savoir davantage, communiquez avec l’un des auteurs du présent bulletin ou un autre membre de notre groupe Protection de la vie privée et des données.

Plus de ressources