18 juin 2026Calcul en cours...

Projet de loi C-36 : le gouvernement fédéral relance le projet de loi sur la protection de la vie privée

Lundi, le gouvernement fédéral a présenté le projet de loi C-36, la Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs (LPVPDC). La LPVPDC apporterait un certain nombre de réformes importantes à la législation canadienne relative à la protection de la vie privée dans le secteur privé, dont certaines avaient été proposées dans des projets de loi déposés en 2020 et 2022, mais qui n’ont jamais été adoptées.

Ce que vous devez savoir

  • Toute violation de la LPVPDC pourrait entraîner des sanctions administratives pécuniaires pouvant aller jusqu’à 3 % des recettes globales brutes ou 10 millions de dollars, selon le montant le plus élevé. Les infractions criminelles pourraient entraîner des amendes pouvant atteindre 5 % des recettes globales brutes ou 25 millions de dollars, selon le montant le plus élevé. Ces infractions pourraient également donner lieu à des causes d’action privées.
  • La LPVPDC prévoit des dispositions relatives au consentement, à la protection des renseignements personnels des enfants, aux transferts transfrontaliers de données, aux systèmes décisionnels automatisés et aux programmes de gestion de la protection des renseignements personnels.
  • La LPVPDC créerait également de nouvelles exceptions relatives au consentement, codifierait les normes en matière de dépersonnalisation et d’anonymisation, et mettrait en place un nouveau régime d’application de la loi à trois niveaux.
  • Si elle est adoptée, la LPVPDC mettra en place un régime d’application de la loi robuste visant à encadrer les pratiques des organisations en matière de protection de la vie privée. Les organisations doivent suivre de près les évolutions législatives et revoir leurs pratiques actuelles en matière de protection de la vie privée afin de combler toute lacune éventuelle.

Mise en contexte

Le gouvernement a laissé entrevoir l’adoption d’une nouvelle loi sur la protection de la vie privée dans sa stratégie en matière d’intelligence artificielle publiée la semaine dernière (pour en savoir plus sur cette stratégie, consultez notre récent bulletin). La LPVPDC reprend bon nombre des dispositions prévues dans les projets de loi antérieurs proposés en 2020 et 2022 par le gouvernement précédent (pour en savoir plus, consultez notre article sur le précédent projet de loi, la Loi sur la protection de la vie privée des consommateurs), mais comporte également quelques modifications notables.

Ce qui ne change pas

À l’instar de la Loi sur la protection de la vie privée des consommateurs (LPVPC), la LPVPDC remplacera la partie 1 de la LPRPDE, qui deviendra la Loi sur les documents électroniques. La LPVPDC reprend bon nombre des dispositions proposées dans la LPVPC, avec quelques modifications notables. Tout comme le projet de loi qui l’a précédée, la LPVPDC comporte notamment les éléments clés suivants :

  • Sanctions. La LPVPDC imposerait des amendes importantes et des sanctions administratives pécuniaires en cas de violation de la loi. Les sanctions pourraient atteindre jusqu’à 10 millions de dollars ou 3 % des recettes globales brutes de l’organisation, selon le montant le plus élevé. Pour certaines infractions criminelles, les amendes pourraient atteindre 25 millions de dollars ou 5 % des recettes globales brutes de l’organisation, selon le montant le plus élevé.
  • Consentement et exceptions. Le consentement demeure un élément central de la LPVPDC, bien qu’il existe certaines exceptions pour les entreprises qui utilisent des renseignements personnels sans consentement (notamment dans le cadre de certaines activités d’affaires nécessaires, de transferts à des fournisseurs de services, d’activités pour lesquelles une organisation a un intérêt légitime, ou d’analyses internes utilisant des renseignements anonymisés). Les organisations doivent fournir les renseignements relatifs au consentement dans un « langage clair ». Il est interdit aux organisations de fournir des renseignements faux ou trompeurs, ou d’utiliser des pratiques trompeuses ou mensongères pour obtenir un consentement.
  • Droits des individus concernés. Les individus disposent d’un droit d’accès, de rectification et de retrait de leurs renseignements personnels; d’un droit de demander de l’information concernant les décisions automatisées; ainsi que de certains droits en matière de mobilité des données.
  • Programme de gestion de la protection des renseignements personnels. La LPVPDC impose aux organisations de mettre en œuvre et de tenir à jour un programme de gestion de la protection des renseignements personnels qui comprend les politiques, les pratiques et les procédures mises en place pour se conformer aux obligations. Cela inclut la protection des renseignements personnels, le traitement des demandes de renseignements et des plaintes, les formations fournies et du contenu expliquant les politiques et les procédures. Le programme doit tenir compte du volume et du caractère sensible des renseignements personnels détenus par l’organisation.
  • Exigences relatives aux transactions commerciales. Les entreprises qui partagent des renseignements personnels dans le cadre d’une vérification diligente lors de transactions commerciales doivent anonymiser ces renseignements avant de les communiquer.

Ce qui change

La LPVPDC prévoit les modifications notables suivantes par rapport à la LPVPC.

Nouvelles exigences de conformité
  • Intérêt légitime. La LPVPDC supprime les anciennes exceptions relatives au consentement qui avaient été proposées en vertu de la LPVPC, notamment l’exception relative aux fins socialement bénéfiques et celle relative à la recherche. À l’inverse, l’exception fondée sur l’intérêt légitime a été élargie pour inclure la communication de renseignements personnels, en plus de leur collecte et de leur utilisation. Les organisations qui invoquent l’exception fondée sur l’intérêt légitime doivent remplir certaines conditions, notamment celles de préciser et de décrire [l’intérêt légitime qui les motive à recueillir, utiliser ou communiquer des renseignements et d’expliquer en quoi cet intérêt l’emporte sur tout effet négatif raisonnablement prévisible pour l’individu concerné. Elles sont également tenues de fournir, sur demande, au commissaire à la protection de la vie privée et des données des consommateurs la description de l’intérêt légitime. Ces modifications permettent de mieux harmoniser cette exception au principe des « intérêts légitimes » qui régit le traitement des données en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne.
  • Évaluation des facteurs relatifs à la vie privée. La LPVPDC imposerait aux organisations de procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) avant de :
    • Se prévaloir de l’exception relative au consentement fondée sur l’intérêt légitime. Bien que les exigences particulières en matière d’EFVP soient définies par voie réglementaire, l’objectif de l’EFVP est de déceler tout effet négatif prévisible sur les individus et d’en atténuer les conséquences.
    • Transférer ou de communiquer des renseignements à l’extérieur du Canada. Les organisations doivent cerner les risques liés au transfert ou à la communication de renseignements et mettre en place des mesures de réduction des risques cernés, y compris des mesures contractuelles de protection de la vie privée. Ces exigences sont conformes à l’obligation d’évaluation des facteurs relatifs à la vie privée prévue par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la Loi sur le secteur privé). Sur demande de la Commission, l’organisation lui donne accès à l’EFVP, ou lui remet une copie de celle-ci. Bien que les exigences relatives à ce type d’EFVP ne soient pas encore définies, les organisations peuvent s’attendre à ce qu’elles reflètent, au moins en partie, les exigences en matière d’EFVP prévues par la Loi sur le secteur privé du Québec.
    Cette exigence, ainsi que celle qui consiste à tenir compte des obligations commerciales dans l’application de la loi, indique que, même si le débat et les préoccupations concernant la souveraineté des données prennent de l’ampleur, le gouvernement n’a pas l’intention d’entraver de manière significative les transferts de renseignements personnels transfrontaliers à l’avenir.
  • Systèmes décisionnels automatisés. Les organisations sont tenues d’informer les personnes concernées de l’usage qu’elles font des systèmes décisionnels automatisés pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir « des effets juridiques pour les individus concernés ou qui, de façon similaire, pourraient avoir une incidence importante sur ces derniers  »; cette exigence est légèrement plus restrictive que celle imposée par la LPVPC (qui exigeait uniquement une « incidence » sur les personnes concernées). Il convient notamment de souligner que, tout comme la LPVPC, cette disposition s’applique à toute décision prise à l’aide d’un système décisionnel automatisé, ce qui représente un champ d’application plus large que l’exigence actuelle prévue par la Loi sur le secteur privé du Québec, qui ne s’applique qu’aux décisions exclusivement automatisées (c’est-à-dire sans intervention humaine). À l’instar de la loi québécoise, la LPVPDC confère désormais aux individus le droit explicite de présenter, par écrit, ses observations à un employé de l’organisation en mesure de réviser les prédictions, les recommandations ou les décisions le concernant qui sont générées par des systèmes automatisés.
Nouvelles définitions et nouveaux concepts
  • Dépersonnalisation et anonymisation. La LPVPDC définit les exigences applicables tant aux renseignements dépersonnalisés qu’aux renseignements anonymisés :
    • Renseignements dépersonnalisés. La LPVPDC définit les « renseignements dépersonnalisés » comme des renseignements à partir desquels un individu ne peut être identifié directement (sans pour autant en éliminer le risque). La LPVPDC autorise certaines utilisations des renseignements dépersonnalisés à l’insu ou sans le consentement de l’individu concerné, énonce les cas très limités dans lesquels des renseignements dépersonnalisés peuvent être utilisés pour identifier un individu, et prévoit que certains droits prévus par la loi (notamment les droits de rectification, d’accès et de retrait) ne s’appliquent pas aux renseignements dépersonnalisés. Les organisations qui traitent de grandes quantités de données dépersonnalisées (par exemple, pour l’entraînement de modèles d’intelligence artificielle) seront rassurées de savoir que le gouvernement reconnaît l’intérêt commercial de conserver ces données sans avoir à recourir à l’anonymisation, qui peut réduire l’efficacité de ces modèles.
    • Renseignements anonymisés. Si les renseignements ont été anonymisés conformément à la loi, la LPVPDC ne s’appliquera pas à ceux-ci. La LPVPDC définit l’« anonymisation » comme la modification irréversible et définitive des renseignements personnels afin qu’il n’y ait aucun « risque raisonnablement prévisible » qu’un individu puisse être identifié, directement ou indirectement. L’ajout de ce critère de caractère raisonnable s’inscrit dans la lignée des régimes déjà en vigueur en Ontario (secteur public) et au Québec. La loi prévoit en outre qu’une organisation n’est pas tenue d’obtenir le consentement pour anonymiser des renseignements personnels. Une réglementation pourrait être adoptée ultérieurement afin de fournir davantage de précisions sur l’anonymisation.
  • Renseignements de caractère sensible. La LPVPDC donne une définition du terme « caractère sensible » qui correspond aux directives réglementaires existantes concernant les renseignements de caractère sensible (ainsi qu’aux définitions similaires figurant dans d’autres cadres réglementaires, tels que le RGPD). Cette définition apporte aux organisations un certain degré de clarté lorsqu’elles analysent la manière dont le caractère sensible des renseignements les affecte au regard de leurs obligations en vertu de la loi, notamment les obligations de signaler les incidents liés à la protection des renseignements personnels et d’obtenir un consentement explicite plutôt qu’implicite, ces deux obligations reposant sur une analyse du caractère sensible des renseignements.
  • Droit fondamental. La LPVPDC reconnaît, dans son objet, le droit fondamental à la vie privée.
  • Protection des renseignements personnels des enfants. La LPVPDC considère que tout renseignement personnel concernant un « enfant » (défini comme une personne âgée de moins de 18 ans) constitue un renseignement de caractère sensible, ce qui impose des exigences plus strictes en matière de protection des renseignements personnels. Il est important de souligner que la Commission, le commissaire et la Section doivent tous tenir compte de la protection des intérêts des enfants dans l’exercice des attributions que leur confère la loi.
Nouveaux mécanismes d’application de la loi
  • Régime d’application de la loi. La LPVPDC supprime les pouvoirs de surveillance actuellement exercés par le Commissariat à la protection de la vie privée du Canada (CPVP) et les remplace par un régime d’application de la loi à trois niveaux ainsi que par un droit d’appel devant la Cour fédérale :
    • Le commissaire à la protection de la vie privée et des données des consommateurs (le commissaire) sera chargé d’enquêter sur les plaintes déposées en vertu de la LPVPDC. À l’issue de l’enquête, le commissaire peut signifier à l’organisme un avis de contravention (qui doit inclure la sanction proposée); conclure un accord de conformité avec l’organisation; ou mettre fin à la plainte. Le commissaire peut rendre des ordonnances provisoires (si l’urgence de la situation le justifie) et des ordonnances de conformité.
    • La Commission canadienne de la sécurité numérique et de la protection des données (la Commission), qui sera créée en vertu de la Loi sur la sécurité numérique, fera office d’instance de règlement des litiges. Les parties peuvent saisir la Commission afin de demander une révision d’un avis d’infraction (y compris la sanction proposée), d’une ordonnance provisoire proposée ou d’une ordonnance de conformité proposée, signifiés par le commissaire. La Commission pourra infliger des sanctions, rendre des ordonnances de conformité et des ordonnances provisoires proposées par le commissaire (qu’elle pourra confirmer, annuler ou modifier). Elle pourra également, de sa propre initiative, rendre des ordonnances provisoires, si l’urgence de la situation le justifie.
      • Comme dans la LPVPC, la Commission pourra communiquer des renseignements (notamment des rapports sur d’éventuels incidents liés à la protection des renseignements personnels et d’autres renseignements fournis par des organisations) à d’autres organismes de réglementation, ce qui constitue un changement notable par rapport au régime actuel du CPVP.
      • Sur demande de la Commission, les organisations lui donnent accès aux politiques, pratiques et procédures comprises dans leur programme de gestion de la protection des renseignements personnels.
    • La Section de la protection de la vie privée et des données des consommateurs (qui sera établie au sein de la Commission), agissant à titre de médiateur, pourra tenter de parvenir à un règlement des différends et des plaintes en vertu de la loi par le biais de la médiation et de la conciliation.
    Une organisation peut interjeter appel devant la Cour fédérale d’une décision ou d’une ordonnance de la Commission relative à un avis de contravention, et peut demander l’autorisation d’interjeter appel d’une décision de la Commission relative à une ordonnance provisoire. Malgré tout, certaines inquiétudes concernant l’indépendance de ces nouveaux organismes de réglementation, soulevées dans un premier temps suite à la LPVPC, risquent de ressurgir avec la LPVPDC, compte tenu de l’interdépendance des procédures de révision et d’appel entre le commissaire et la Commission.
  • Droit privé d’action. Les individus ayant subi une perte ou un préjudice résultant de la contravention de la loi par une organisation disposeront d’un droit d’action privé devant la Cour fédérale dès lors que le commissaire ou la Commission aura constaté qu’une infraction à la loi a été commise. La LPVPDC prévoit davantage de cas dans lesquels un individu peut exercer un droit d’action privé, notamment lorsque l’organisation conclut avec le commissaire un accord de conformité qui ne prévoit pas le paiement de dommages-intérêts. On peut alors se demander si ce droit d’action ne risque pas d’être utilisé de manière abusive.
  • Vérification par un tiers. Dans le cadre d’une vérification des pratiques d’une organisation en matière de gestion des renseignements personnels, le commissaire peut exiger de l’organisation en cause qu’elle fasse préparer un rapport par un tiers qu’il approuve. Bien que cette mesure vise à imposer une vérification lorsqu’une organisation refuse de donner accès à ses systèmes au commissaire, ce vaste pouvoir peut poser des problèmes aux organisations.

À quoi s’attendre pour l’avenir?

Comme l’ancienne LPVPC, la LPVPDC prévoit régime d’application de la loi robuste visant à encadrer les pratiques des organisations en matière de protection de la vie privée. Les organisations devraient suivre de près l’évolution de la LPVPDC au sein du parlement afin de se préparer à son éventuelle adoption. Les organisations devraient revoir leurs régimes et leurs pratiques en matière de gestion de la protection des renseignements personnels à la lumière du cadre législatif proposé par la LPVPDC. Bien sûr, les organisations peuvent s’appuyer sur le travail accompli ces dernières années pour se préparer à se conformer à l’ancienne LPVPC et à la Loi 25 du Québec, mais elles doivent garder à l’esprit les obligations supplémentaires et les principales différences introduites par la LPVPDC.


Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Bryn Turnbull.

© Torys, 2026. Tous droits réservés.

 

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant