Lois canadiennes sur la protection des données : guide de la LPRPDE et des provinces (2026)

Le cadre canadien de protection de la vie privée repose sur la LPRPDE (LC 2000, ch. 5) pour le secteur privé fédéral et les activités transfrontalières, la Loi 25 du Québec, la PIPA de l'Alberta (LA 2003, ch. P-6.5) et la PIPA de la Colombie-Britannique (LCB 2003, ch. 63) s'appliquant dans leurs provinces respectives, chacune étant appliquée par un organisme de réglementation distinct disposant de sa propre structure de sanctions.
L'approche canadienne en matière de protection des données est délibérément stratifiée : la législation fédérale, les lois provinciales et les règles sectorielles s'appliquent simultanément, et les organisations doivent composer avec la combinaison de régimes applicable à leurs activités et à leur territoire. Contrairement aux juridictions dotées d'une loi unique et complète sur la protection des données, le Canada exige des responsables de la conformité qu'ils déterminent lequel de plusieurs régimes parallèles régit chaque catégorie de données qu'ils traitent.
Ce guide couvre l'ensemble du paysage canadien de la protection de la vie privée tel qu'il se présente en mai 2026, du cadre fédéral de la LPRPDE et de la Loi 25 du Québec, comparable au RGPD, jusqu'aux récentes décisions d'application marquantes, la mort du projet de loi C-27, l'adoption du projet de loi C-15 et le programme de réforme du 45e Parlement.
Pour connaître les règles canadiennes en matière de consentement à l'enregistrement audio et vidéo, consultez notre article complémentaire sur les lois canadiennes sur l'enregistrement.
Portée juridictionnelle : Cet article traite de la loi fédérale canadienne sur la protection de la vie privée dans le secteur privé (LPRPDE, LC 2000, ch. 5), de la Loi sur la protection des renseignements personnels du secteur public fédéral (LRC 1985, ch. P-21), des lois provinciales du secteur privé au Québec, en Alberta et en Colombie-Britannique, ainsi que des développements législatifs fédéraux récents. Il ne traite pas des lois provinciales sur les renseignements médicaux (LPRPS, HIA, etc.) ni des régimes fédéraux sectoriels de protection de la vie privée (règles de la LPRPDE applicables au secteur financier en vertu de la Loi sur les banques). Les lois citées reflètent leurs versions en vigueur au 19 mai 2026.
Réponse rapide : quelle loi sur la protection de la vie privée s'applique à vous ?
Le droit canadien de la protection de la vie privée ne repose pas sur une loi unique. Le fait que la LPRPDE ou une loi provinciale équivalente régisse votre organisation dépend de deux facteurs : le secteur dans lequel vous exercez vos activités et l'endroit où se déroule votre traitement des données.
La LPRPDE fédérale s'applique à toute organisation du secteur privé qui recueille, utilise ou communique des renseignements personnels dans le cadre d'une activité commerciale traversant les frontières provinciales ou nationales, ainsi qu'à toutes les industries de compétence fédérale (banques, télécommunications, transport interprovincial, radiodiffusion), quelle que soit la province.
La Loi 25 du Québec s'applique à la place de la LPRPDE pour les activités intraprovinciales du secteur privé au Québec. La LPRPDE continue de s'appliquer aux entités de compétence fédérale et aux transferts transfrontaliers, même au Québec.
Les PIPA de l'Alberta et de la Colombie-Britannique s'appliquent à la place de la LPRPDE pour les activités intraprovinciales du secteur privé dans ces provinces. La LPRPDE continue de régir les secteurs de compétence fédérale et les flux de données interprovinciaux.
La Loi fédérale sur la protection des renseignements personnels régit environ 265 institutions du gouvernement fédéral : ministères, agences, sociétés d'État et mandataires du Parlement. Elle ne s'applique pas aux entités du secteur privé.
Toutes les autres provinces et tous les autres territoires n'ont aucune loi jugée essentiellement similaire pour le secteur privé ; la LPRPDE s'applique par défaut.

La LPRPDE : la loi fédérale canadienne sur la protection de la vie privée dans le secteur privé
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), LC 2000, ch. 5, régit le secteur privé canadien depuis son entrée en vigueur intégrale en 2004. La LPRPDE s'applique à la collecte, à l'utilisation et à la communication de renseignements personnels dans le cadre d'une activité commerciale. Elle définit largement le « renseignement personnel » comme tout renseignement concernant un individu identifiable (art. 2(1)), une définition que les tribunaux et le CPVP ont interprétée comme englobant non seulement les noms et coordonnées, mais aussi les adresses IP, les identifiants d'appareils et les profils comportementaux.
La LPRPDE couvre toute organisation du secteur privé traitant des renseignements personnels dans le cadre d'une activité commerciale au Canada, y compris les entreprises exerçant leurs activités à travers les frontières provinciales, toutes les industries de compétence fédérale, et toute organisation transférant des renseignements personnels à travers les frontières provinciales ou nationales à des fins de traitement. Elle ne s'applique pas aux institutions gouvernementales provinciales ou fédérales.
Les 10 principes relatifs à l'équité dans le traitement de l'information
La LPRPDE repose sur 10 principes relatifs à l'équité dans le traitement de l'information énoncés à l'annexe 1 de la Loi. Ces principes forment le socle de chaque obligation de conformité prévue par la loi :
-
Responsabilité. Une organisation est responsable des renseignements personnels sous sa garde. Elle doit désigner un responsable de la protection de la vie privée et demeurer responsable des données transférées à des tiers sous-traitants, par voie contractuelle ou autre.
-
Détermination des fins de la collecte. Les fins de la collecte de renseignements personnels doivent être déterminées avant ou au moment de la collecte.
-
Consentement. La connaissance et le consentement de la personne sont exigés pour la collecte, l'utilisation ou la communication de renseignements personnels, sauf dans certaines circonstances prévues par la Loi.
-
Limitation de la collecte. La collecte de renseignements personnels doit se limiter à ce qui est nécessaire aux fins déterminées.
-
Limitation de l'utilisation, de la communication et de la conservation. Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf consentement ou obligation légale. Ils ne doivent être conservés qu'aussi longtemps que nécessaire.
-
Exactitude. Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.
-
Mesures de sécurité. Les renseignements personnels doivent être protégés par des mesures de sécurité correspondant à leur degré de sensibilité.
-
Transparence. Une organisation doit rendre facilement accessibles ses politiques et pratiques concernant la gestion des renseignements personnels.
-
Accès aux renseignements personnels. Sur demande, une personne doit être informée de l'existence, de l'utilisation et de la communication de ses renseignements personnels et doit y avoir accès, avec le droit d'en contester l'exactitude.
-
Possibilité de porter plainte à l'égard du non-respect des principes. Une personne doit pouvoir contester le respect de ces principes par une organisation en s'adressant au responsable désigné de la protection de la vie privée ou au Commissariat à la protection de la vie privée du Canada.
Le test des fins appropriées (LPRPDE, art. 5(3))
L'article 5(3) de la LPRPDE établit une obligation distincte et fondamentale qui s'applique parallèlement aux 10 principes : une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. C'est le test des « fins appropriées ».
Ce test n'équivaut pas au consentement. Même lorsqu'une personne a donné son consentement, la collecte ou l'utilisation à une fin inappropriée enfreint l'article 5(3). Le CPVP a appliqué ce test dans de nombreuses enquêtes pour invalider des fins qui, bien que techniquement consenties, se sont révélées disproportionnées par rapport au besoin organisationnel légitime.
Le test des fins appropriées a gagné en importance en mai 2026 lorsque le CPVP et trois organismes de réglementation provinciaux l'ont appliqué dans le cadre de leur enquête conjointe sur ChatGPT d'OpenAI. Les organismes de réglementation ont conclu que l'entraînement d'un grand modèle de langage pouvait, en principe, constituer une « fin appropriée » au sens de la LPRPDE. Toutefois, ils ont jugé qu'OpenAI n'avait pas obtenu de consentement valable pour la récolte de renseignements personnels accessibles au public et pour l'utilisation des interactions des utilisateurs afin d'affiner ses modèles. Cette conclusion établit que les renseignements « accessibles au public » en ligne ne deviennent pas automatiquement, au sens de la LPRPDE, disponibles pour l'entraînement commercial de l'IA sans respecter les principes de consentement.
Le cadre du consentement en vertu de la LPRPDE
Le consentement en vertu de la LPRPDE doit être valable. Les organisations doivent expliquer en langage clair quels renseignements personnels elles recueillent, pourquoi elles les recueillent et comment ils seront utilisés ou communiqués. Les lignes directrices du CPVP exigent que le consentement soit :
- Éclairé. Les personnes doivent comprendre ce à quoi elles consentent.
- Volontaire. Le consentement ne peut être imposé comme condition de service, sauf si le renseignement est véritablement nécessaire à la fourniture de ce service.
- Précis. Un consentement général couvrant des utilisations futures illimitées n'est pas valable.
Le consentement peut être exprès (confirmation écrite ou orale) ou implicite (lorsque la fin serait évidente pour une personne raisonnable), selon la sensibilité des renseignements et les attentes raisonnables de la personne. Les renseignements sensibles, comme les dossiers médicaux, les données financières ou les renseignements concernant des mineurs, exigent presque toujours un consentement exprès.
Les personnes ont le droit de retirer leur consentement en tout temps, sous réserve des restrictions légales ou contractuelles et d'un préavis raisonnable de la part de l'organisation quant aux conséquences du retrait.
Le Commissariat à la protection de la vie privée du Canada
Le Commissariat à la protection de la vie privée du Canada (CPVP) est l'organisme fédéral chargé de superviser le respect de la LPRPDE et de la Loi sur la protection des renseignements personnels. Le commissaire à la protection de la vie privée est un agent indépendant du Parlement.
Les pouvoirs d'application de la LPRPDE du CPVP comprennent :
- L'examen des plaintes déposées par des personnes concernant les pratiques organisationnelles.
- L'ouverture d'enquêtes de sa propre initiative lorsqu'il existe des motifs raisonnables.
- La réalisation de vérifications des pratiques organisationnelles en matière de protection de la vie privée.
- La publication de rapports de conclusions assortis de recommandations.
- La conclusion d'accords de conformité avec les organisations.
- La saisine de la Cour fédérale pour faire exécuter les recommandations.
Une limite importante du pouvoir actuel du CPVP est qu'il ne peut imposer directement des amendes. Pour les sanctions pénales prévues par la LPRPDE, le CPVP doit renvoyer les affaires au procureur général du Canada, qui peut charger le directeur des poursuites pénales d'engager des procédures. Cette lacune en matière d'application constitue un argument central en faveur de la réforme législative.
Dans son rapport annuel 2024-2025, le CPVP a signalé une restructuration organisationnelle mise en œuvre en mai 2025, qui regroupe les fonctions d'engagement proactif et d'enquête formelle au sein d'un secteur unique de la conformité afin d'améliorer l'efficacité.
Le projet de loi C-27 : pourquoi la réforme canadienne de la protection de la vie privée a échoué
Le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, a été présenté en juin 2022 comme la refonte la plus ambitieuse du cadre canadien de protection de la vie privée en deux décennies. Il comportait trois parties :
- La Loi sur la protection de la vie privée des consommateurs (LPVPC) : aurait remplacé la partie 1 de la LPRPDE, en instaurant des pénalités administratives pouvant atteindre 3 % du chiffre d'affaires mondial ou 10 millions de dollars canadiens, des pouvoirs directs d'ordonnance pour le commissaire à la protection de la vie privée, et un droit d'action privé.
- La Loi sur le Tribunal de la protection des renseignements personnels et des données : aurait créé un tribunal indépendant chargé d'entendre les appels et d'imposer les nouvelles pénalités.
- La Loi sur l'intelligence artificielle et les données (LIAD) : la première tentative législative canadienne de réglementer les systèmes d'IA à incidence élevée.
Après trois années d'étude en comité, y compris un examen article par article détaillé par le Comité permanent de l'industrie et de la technologie, le projet de loi C-27 est mort au Feuilleton le 6 janvier 2025, lorsque la gouverneure générale a prorogé le Parlement sur avis du premier ministre Trudeau à la suite de l'annonce de sa démission. Près de trois années d'amendements et de consultations des parties prenantes ont été perdues.
L'opinion dominante parmi les commentateurs est que le regroupement de la réglementation de l'IA avec la réforme de la protection de la vie privée a ralenti les deux dossiers. Le modèle de tribunal proposé a également suscité d'importantes critiques, jugé comme une couche superflue entre le CPVP et l'application de la loi. Ces leçons devraient influencer l'architecture de la loi de remplacement.
Statut actuel en mai 2026 : La LPRPDE demeure en vigueur. Aucune loi de remplacement n'a été déposée. Le projet de loi C-15 a ajouté un cadre de mobilité des données à la LPRPDE (voir ci-dessous). Le gouvernement Carney a signalé que la réforme globale de la protection de la vie privée est une priorité, mais aucun projet de loi n'a été présenté à ce jour.
Ce qui l'a remplacé : le programme de réforme du 45e Parlement
À la suite de l'élection fédérale ayant porté le gouvernement Carney au pouvoir, la réforme de la protection de la vie privée est redevenue une priorité législative au 45e Parlement. Les principaux signaux émanant du gouvernement et de la commissaire à la protection de la vie privée indiquent :
Une loi distincte sur l'IA. Le consensus qui se dégage de l'échec du projet de loi C-27 est que la réglementation de l'IA devrait faire l'objet d'un projet de loi distinct plutôt que d'être regroupée avec la réforme de la protection de la vie privée. Cela permet à chaque dossier d'avancer à son propre rythme.
Des pouvoirs d'application directs pour le CPVP. Le modèle de tribunal proposé par le projet de loi C-27 pourrait être abandonné au profit de pouvoirs directs d'ordonnance et d'imposition de pénalités accordés au commissaire à la protection de la vie privée, à l'image du modèle en vigueur au Québec et dans l'Union européenne.
Des plafonds de pénalités plus élevés. Selon certains commentateurs, la loi à venir pourrait fixer des pénalités atteignant le plus élevé de 25 millions de dollars canadiens ou de 5 % du chiffre d'affaires brut mondial, un seuil plus sévère que celui proposé par le projet de loi C-27 et comparable au RGPD de l'Union européenne.
La souveraineté des données. Le premier ministre Carney a insisté en novembre 2025 sur la souveraineté des données comme priorité du cadre à venir, signalant que la nouvelle loi traitera des obligations gouvernementales et corporatives de conserver certaines catégories de données sur le territoire canadien.
La protection de la vie privée des enfants et les hypertrucages. Le CPVP et des défenseurs parlementaires ont tous deux désigné ces enjeux comme des priorités distinctes du programme de réforme plus large.
Tant que la nouvelle loi n'est pas adoptée et en vigueur, la LPRPDE régit les activités du secteur privé et les organisations doivent se conformer à ses exigences actuelles.
Le projet de loi C-15 : la mobilité des données désormais en vigueur
Alors que la réforme globale demeure en suspens, le projet de loi C-15 (Loi n° 1 d'exécution du budget de 2025) a apporté un changement immédiat. Le projet de loi a franchi l'étape de la troisième lecture le 26 février 2026, ajoutant une nouvelle section 1.2 à la LPRPDE établissant un cadre de mobilité des données.
En vertu des nouvelles dispositions, une organisation doit, à la demande d'une personne, communiquer les renseignements personnels de cette personne à une autre organisation désignée, pourvu que les deux organisations soient assujetties à un cadre de mobilité des données établi par règlement. Le gouverneur en conseil est habilité à prescrire les mesures de sauvegarde, les paramètres techniques et les normes d'interopérabilité par voie réglementaire. Le CPVP a témoigné devant le Comité permanent de l'industrie et de la technologie en janvier 2026, appuyant le cadre tout en recommandant de solides mesures de sauvegarde réglementaires.
Cela fait de la portabilité fédérale des données un droit légal pour la première fois, bien que la date d'entrée en vigueur pour la plupart des organisations dépendra du moment où les règlements sous-jacents entreront en vigueur.
La Loi 25 du Québec : le régime de protection de la vie privée le plus strict en Amérique du Nord
La Loi 25 du Québec (à l'origine le projet de loi 64, formellement la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a modifié la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, ch. P-39.1) ainsi que la loi d'accès du secteur public. Adoptée en 2021, ses dispositions sont entrées en vigueur en trois phases : septembre 2022, septembre 2023 et septembre 2024. Toutes les dispositions sont désormais pleinement en vigueur.
Le résultat est un régime de protection de la vie privée fréquemment comparé au RGPD de l'Union européenne par sa portée et sa sévérité. Il est appliqué par la Commission d'accès à l'information du Québec (CAI).
Principales dispositions de la Loi 25
Exigence de désignation d'un responsable. Toute organisation doit désigner une personne responsable de la protection des renseignements personnels. Par défaut, ce rôle incombe à la personne ayant la plus haute autorité au sein de l'entreprise.
Évaluations des facteurs relatifs à la vie privée (ÉFVP). Les ÉFVP sont obligatoires avant tout projet de collecte, d'utilisation ou de communication de renseignements personnels. Elles sont exigées lors du transfert de renseignements personnels hors du Québec et lors du recours à un sous-traitant tiers.
Consentement obligatoire aux témoins de connexion. Le Québec est la seule juridiction nord-américaine exigeant un consentement explicite préalable pour les technologies de suivi, y compris les témoins de connexion, comparable au RGPD. Les organisations doivent obtenir un consentement clair, libre et éclairé avant de déployer toute technologie qui recueille des renseignements personnels par le suivi.
Renseignements biométriques. Les organisations doivent aviser la CAI au moins 60 jours avant de recueillir ou d'utiliser des renseignements biométriques. L'identification biométrique exige un consentement exprès, et les organisations doivent offrir une solution de rechange non biométrique.
Portabilité des données. Depuis le 22 septembre 2024, les personnes ont le droit de demander le transfert de leurs renseignements personnels à une autre organisation dans un format technologique structuré et couramment utilisé.
Anonymisation. La Loi 25 permet l'anonymisation comme solution de rechange à la destruction des renseignements personnels, mais uniquement selon les meilleures pratiques généralement reconnues et les critères fixés par règlement gouvernemental.
Renseignements personnels sensibles. La loi établit une catégorie de renseignements sensibles, comprenant les données médicales, les données biométriques et les renseignements assortis d'une forte attente de confidentialité, qui entraîne des obligations renforcées.
Sanctions prévues par la Loi 25 du Québec
La Loi 25 a instauré une structure de sanctions à deux paliers :
Sanctions administratives pécuniaires : jusqu'à 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial de l'entreprise pour l'exercice précédent, selon le montant le plus élevé. Pour les particuliers, le plafond est de 50 000 $ CA.
Amendes pénales : jusqu'à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. Pour les particuliers, le plafond pénal est de 100 000 $ CA. La CAI peut engager des poursuites pénales dans les cinq ans suivant la commission d'une infraction.
La Loi 25 a également créé un droit d'action privé. Les personnes peuvent réclamer des dommages-intérêts punitifs d'au moins 1 000 $ CA en cas d'atteinte intentionnelle ou résultant d'une faute lourde à leurs droits en matière de vie privée.
Application par la CAI : premières mesures en vertu de la Loi 25
La CAI a rendu sa première décision d'application en vertu du régime de sanctions de la Loi 25 en 2024-2025, à la suite d'une enquête menée de sa propre initiative sur les pratiques biométriques d'une imprimerie québécoise. La CAI a ordonné à l'entreprise de cesser d'utiliser la reconnaissance faciale pour contrôler l'accès des employés, concluant que la technologie était utilisée sans satisfaire aux obligations de divulgation et de consentement exigées par la Loi 25. Le commentaire d'Osler sur cette décision confirme que les organismes de réglementation québécois fixent une barre élevée pour le traitement des données biométriques.
Il s'agit de la première démonstration concrète que l'appareil d'application de la Loi 25 est opérationnel et que la CAI est prête à utiliser ses pouvoirs d'ordonnance.
L'Alberta et la Colombie-Britannique : les PIPA provinciales
L'Alberta et la Colombie-Britannique ont chacune adopté leur propre loi sur la protection des renseignements personnels (PIPA), toutes deux déclarées essentiellement similaires à la LPRPDE par le gouverneur en conseil. Lorsqu'une loi provinciale est jugée essentiellement similaire, elle remplace la LPRPDE pour les activités intraprovinciales du secteur privé dans cette province. La LPRPDE continue de s'appliquer aux organisations de compétence fédérale et aux transferts de données transfrontaliers.
La PIPA de l'Alberta
La PIPA de l'Alberta (LA 2003, ch. P-6.5) est en vigueur depuis 2004. Elle s'applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels en Alberta. Le Bureau du commissaire à l'information et à la protection de la vie privée de l'Alberta (OIPC-AB) supervise la conformité.
La réforme de la PIPA de l'Alberta progresse plus rapidement que le dossier fédéral. Le Comité permanent de la gérance des ressources a terminé son examen légal et publié un rapport final le 21 février 2025, contenant 12 recommandations, notamment :
- Des dispositions particulières régissant la collecte, l'utilisation et la communication des renseignements personnels des mineurs.
- Le pouvoir pour l'OIPC-AB d'imposer des sanctions administratives pécuniaires, assorti de critères clairs et d'un mécanisme d'appel.
- Des exigences actualisées pour tenir compte des technologies émergentes et un alignement sur l'évolution des normes fédérales et mondiales.
Au printemps 2026, le gouvernement de l'Alberta mène une consultation publique supplémentaire sur la modernisation de la PIPA, incluant un sondage en ligne mené du 2 au 17 février 2026. La PIPA n'a pas fait l'objet de révision majeure depuis 2010 ; le processus de réforme en cours devrait produire une loi modernisée au cours du prochain cycle législatif.
La PIPA de la Colombie-Britannique
La PIPA de la Colombie-Britannique (LCB 2003, ch. 63) régit le traitement des renseignements personnels du secteur privé en Colombie-Britannique. Le Bureau du commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique (OIPC-BC) supervise la loi.
Un comité spécial de l'Assemblée législative a mené un examen complet et publié 34 recommandations en décembre 2021 pour moderniser la PIPA de la Colombie-Britannique. Les principales recommandations comprenaient l'instauration d'un consentement valable, la notification obligatoire des atteintes à la vie privée, le renforcement des pouvoirs de vérification et d'application de l'OIPC-BC, y compris des sanctions administratives pécuniaires, et un alignement sur les normes du RGPD. En 2026, le gouvernement de la Colombie-Britannique n'a pas encore répondu officiellement au rapport ni présenté de loi modificatrice.
Les deux PIPA provinciales partagent les principes fondamentaux de la LPRPDE en matière de consentement, de limitation des fins et de droits d'accès individuels. Les différences pratiques pour les organisations tiennent à l'organisme de réglementation auquel elles doivent rendre des comptes, aux exigences procédurales particulières applicables et au rythme de la réforme dans chaque juridiction.
Notification obligatoire des atteintes à la vie privée en vertu de la LPRPDE
Depuis le 1er novembre 2018, les organisations assujetties à la LPRPDE doivent se conformer aux exigences de notification obligatoire des atteintes établies par le Règlement sur les atteintes aux mesures de sécurité (DORS/2018-64).
Lorsqu'une atteinte aux mesures de sécurité touchant des renseignements personnels sous le contrôle d'une organisation survient, celle-ci doit :
-
Évaluer l'atteinte. Déterminer si elle crée un risque réel de préjudice grave (RRPG) pour toute personne. Les facteurs comprennent la sensibilité des renseignements, la probabilité qu'ils aient été ou soient utilisés à mauvais escient, et les conséquences potentielles pour les personnes touchées.
-
Faire rapport au CPVP. Si l'atteinte présente un RRPG, l'organisation doit en faire rapport au commissaire à la protection de la vie privée dès que possible, à l'aide du formulaire prescrit.
-
Aviser les personnes touchées. L'avis doit être donné directement aux personnes touchées dès que possible, en décrivant l'atteinte, les renseignements en cause, les mesures prises par l'organisation et celles que la personne peut prendre pour réduire le risque de préjudice.
-
Aviser les organisations tierces. Si une autre organisation ou institution gouvernementale peut réduire le risque de préjudice, elle doit également être avisée.
-
Tenir des registres. Les organisations doivent conserver un registre de chaque atteinte aux mesures de sécurité, qu'elle ait déclenché ou non une obligation de rapport, pendant au moins 24 mois. Le CPVP peut demander l'accès à ces registres à tout moment.
Les organisations qui omettent sciemment de faire rapport, d'aviser ou de tenir des registres d'atteintes s'exposent à des amendes pouvant atteindre 100 000 $ CA par infraction en vertu de l'article 28 de la LPRPDE.
Sanctions et application de la LPRPDE
Le régime de sanctions de la LPRPDE est modeste comparé à celui de la Loi 25 du Québec ou du RGPD de l'Union européenne, et cet écart constitue le principal moteur du programme de réforme :
Déclaration de culpabilité par procédure sommaire : amendes pouvant atteindre 10 000 $ CA par infraction.
Acte criminel : amendes pouvant atteindre 100 000 $ CA par infraction.
Ces pénalités s'appliquent en vertu de l'article 28 de la LPRPDE en cas de violation délibérée des exigences de notification des atteintes, d'entrave au commissaire à la protection de la vie privée pendant une enquête, ou de contravention à des dispositions particulières de la Loi.
Le CPVP n'émet pas directement d'amendes. L'application dépend d'un renvoi au procureur général et de la poursuite par le directeur des poursuites pénales, un processus rarement utilisé. Les organisations reconnues coupables d'avoir enfreint la LPRPDE peuvent faire l'objet d'ordonnances de la Cour fédérale exigeant la correction des pratiques, la publication d'un avis des mesures prises et le versement de dommages-intérêts aux plaignants, y compris pour humiliation.
Droits individuels en vertu du droit canadien de la protection de la vie privée
Les Canadiens disposent d'un ensemble fondamental de droits en matière de protection de la vie privée dont le mécanisme varie selon la loi applicable :
Droit d'accès. Les personnes peuvent demander l'accès à tout renseignement personnel qu'une organisation détient à leur sujet. Les organisations doivent répondre dans les 30 jours civils en vertu de la LPRPDE, à un coût minime ou nul.
Droit de rectification. Si des renseignements personnels sont inexacts ou incomplets, les personnes peuvent demander des modifications. Lorsque l'organisation est en désaccord, l'objection de la personne doit être consignée.
Droit de retirer son consentement. Les personnes peuvent retirer leur consentement à la collecte, à l'utilisation ou à la communication de leurs renseignements personnels en tout temps, sous réserve d'un préavis raisonnable et des restrictions légales ou contractuelles.
Droit de porter plainte. Les personnes peuvent déposer des plaintes auprès du CPVP (pour les questions relevant de la LPRPDE), du commissaire provincial compétent, ou de la CAI au Québec.
Droit à la portabilité des données. Offert en vertu de la Loi 25 du Québec (depuis septembre 2024) et désormais au niveau fédéral en vertu des modifications apportées à la LPRPDE par le projet de loi C-15 (adopté le 26 février 2026, sous réserve des règlements).
Droit à la désindexation. La Loi 25 du Québec prévoit un droit à la désindexation. La LPRPDE ne prévoit pas de droit explicite à l'effacement de type RGPD, bien que la conclusion du CPVP concernant Google (conclusions n° 2025-002 en vertu de la LPRPDE, 27 août 2025) ait confirmé un droit limité à la désindexation en vertu de la LPRPDE dans les circonstances où une personne raisonnable jugerait inapproprié qu'un moteur de recherche continue de renvoyer des renseignements personnels.
Transferts transfrontaliers de données
La LPRPDE n'interdit pas les transferts transfrontaliers de renseignements personnels. Elle s'appuie plutôt sur le principe de responsabilité : l'organisation qui transfère les données demeure responsable de la protection des renseignements personnels, quel que soit l'endroit où ils sont traités.
Les organisations doivent :
- Recourir à des moyens contractuels ou autres pour garantir que le destinataire offre un niveau de protection comparable.
- Faire preuve de transparence envers les personnes quant à la possibilité que leurs données soient traitées dans une autre juridiction.
- Évaluer les risques que des lois étrangères (y compris les lois relatives à la sécurité nationale et à l'accès des forces de l'ordre) puissent compromettre l'intégrité, la sécurité ou la confidentialité des données.
Aucun contrat ne peut l'emporter sur les lois du pays destinataire. Les organisations doivent tenir compte de la réalité pratique selon laquelle le transfert de données vers une juridiction offrant des protections plus faibles ou de larges pouvoirs d'accès gouvernementaux crée un risque résiduel.
La Loi 25 du Québec impose des exigences plus strictes, rendant obligatoire une évaluation des facteurs relatifs à la vie privée avant tout transfert de renseignements personnels hors de la province.
L'adéquation de l'Union européenne pour le Canada
La Commission européenne a renouvelé le statut d'adéquation du Canada le 15 janvier 2024, confirmant que la LPRPDE offre un niveau de protection essentiellement équivalent à celui du RGPD de l'Union européenne. Cela permet aux données personnelles de circuler de l'Union européenne vers les organisations canadiennes assujetties à la LPRPDE sans clauses contractuelles types ni autres garanties supplémentaires.
La conclusion d'adéquation ne s'applique qu'aux organisations commerciales assujetties à la LPRPDE. Elle ne couvre pas :
- Les institutions gouvernementales canadiennes (régies par la Loi sur la protection des renseignements personnels).
- Les organisations situées dans les provinces où une loi provinciale essentiellement similaire s'applique (Québec, Alberta, Colombie-Britannique) ; ces transferts demeurent couverts pour les organisations assujetties à la compétence fédérale de la LPRPDE, mais le droit provincial peut exiger une analyse indépendante.
Dans sa décision de renouvellement, la Commission européenne a explicitement noté que certaines protections élaborées à un niveau infralégislatif (par les lignes directrices et les pratiques du CPVP) devraient être inscrites dans la loi afin de renforcer la sécurité juridique, et a invité le Canada à faire progresser la réforme législative. Le prochain examen quadriennal de la Commission aura lieu vers 2028.
La Loi fédérale sur la protection des renseignements personnels : le secteur public
La Loi sur la protection des renseignements personnels (LRC 1985, ch. P-21) couvre environ 265 institutions du gouvernement fédéral. Les institutions fédérales ne peuvent recueillir des renseignements personnels que s'ils se rapportent directement à un programme ou à une activité, et ne peuvent les utiliser ou les communiquer qu'aux fins pour lesquelles ils ont été recueillis ou à des fins compatibles, en l'absence de consentement.
La Loi sur la protection des renseignements personnels accorde aux personnes le droit d'accéder à leurs renseignements personnels détenus par des institutions gouvernementales, de demander des corrections, et de déposer des plaintes auprès du commissaire à la protection de la vie privée concernant le traitement de leurs données par le gouvernement.
La Loi sur la protection des renseignements personnels n'a pas fait l'objet de mise à jour importante depuis 1983. Elle ne comporte aucune notification obligatoire des atteintes pour les institutions gouvernementales ni de mécanismes d'application significatifs. La modernisation de la Loi sur la protection des renseignements personnels constitue un dossier distinct de la réforme du secteur privé ; le programme de réforme du 45e Parlement vise principalement le remplacement de la LPRPDE, bien que le rapport annuel 2024-2025 de la commissaire à la protection de la vie privée ait appelé à faire progresser les deux dossiers simultanément.
Faits marquants récents en matière d'application
ChatGPT d'OpenAI : enquête conjointe (mai 2026)
Le 6 mai 2026, le CPVP, la CAI, l'OIPC-BC et l'OIPC-AB ont conjointement publié les conclusions n° 2026-002 en vertu de la LPRPDE, résultat d'une enquête pluriannuelle sur le respect par OpenAI de la législation fédérale et provinciale sur la protection de la vie privée relativement à ChatGPT.
Principales conclusions :
- La récolte de renseignements personnels sur Internet ne constitue pas une collecte de renseignements « accessibles au public » exemptée de la LPRPDE ou des PIPA provinciales.
- La construction d'un grand modèle de langage peut, en principe, constituer une « fin appropriée » au sens de l'article 5(3) de la LPRPDE, mais la fin à elle seule ne satisfait pas à l'exigence de consentement.
- OpenAI n'a pas obtenu de consentement valable pour la collecte de renseignements personnels par récolte et par les interactions des utilisateurs utilisées pour affiner ses modèles.
- Le CPVP a jugé la plainte fondée et résolue conditionnellement en vertu de la LPRPDE. L'OIPC-BC et l'OIPC-AB ont jugé la plainte fondée mais non résolue, concluant que les modèles d'OpenAI reposent sur des données récoltées pour lesquelles un consentement valable n'a pas été et ne peut pas être obtenu.
Cette conclusion constitue la mesure d'application la plus importante à ce jour au Canada en matière de protection de la vie privée impliquant l'IA.
Google Recherche : droit à la désindexation (août 2025)
Dans les conclusions n° 2025-002 en vertu de la LPRPDE (27 août 2025), le CPVP a examiné si Google avait enfreint la LPRPDE en renvoyant des liens vers des articles obsolètes et trompeurs concernant une personne lorsque son nom était recherché. Le CPVP a conclu qu'il existe des circonstances limitées où une personne raisonnable jugerait inapproprié qu'un moteur de recherche renvoie des renseignements personnels, et a confirmé un droit à la désindexation en vertu de la LPRPDE. Cette décision établit un équivalent canadien du « droit à l'oubli » de l'Union européenne, quoique de portée plus étroite.
Application par la CAI en matière biométrique (2024-2025)
La CAI a rendu sa première décision d'application en vertu du régime de sanctions de la Loi 25, ordonnant à une imprimerie québécoise de cesser d'utiliser la reconnaissance faciale pour le contrôle d'accès des employés, après avoir constaté que l'entreprise n'avait pas respecté l'obligation de préavis de 60 jours à la CAI ni obtenu le consentement exprès requis par la Loi 25. Cette décision signale l'intention de la CAI d'appliquer activement les dispositions biométriques.
Agence mondiale antidopage : accord de conformité (2026)
Le CPVP a conclu un accord de conformité avec l'Agence mondiale antidopage en 2026, résolvant une enquête sur le traitement des renseignements personnels par l'AMA. Cet accord reflète la volonté croissante du CPVP de recourir aux accords de conformité comme solution de rechange aux procédures devant la Cour fédérale.
Programme PC Optimum de Loblaw (2026)
Les conclusions n° 2026-001 en vertu de la LPRPDE portaient sur une enquête concernant les pratiques de conservation des renseignements personnels de Loblaw dans le cadre du programme de fidélisation PC Optimum, reflétant l'attention continue du CPVP envers le traitement des données dans le secteur du commerce de détail.
Comparaison : LPRPDE et Loi 25 du Québec
| Caractéristique | LPRPDE | Loi 25 du Québec |
|---|---|---|
| Pénalité maximale (organisations) | 100 000 $ | 25 millions de dollars ou 4 % du chiffre d'affaires |
| Pénalité maximale (particuliers) | 100 000 $ | 100 000 $ (pénal) |
| Notification des atteintes | Obligatoire depuis 2018 | Obligatoire |
| Consentement aux témoins de connexion | Non explicitement exigé | Consentement préalable obligatoire |
| Évaluations des facteurs relatifs à la vie privée | Recommandées | Obligatoires |
| Droit d'action privé | Limité (Cour fédérale) | Oui, dommages-intérêts punitifs minimaux de 1 000 $ |
| Portabilité des données | Oui (projet de loi C-15, 2026, sous réserve des règlements) | Oui (depuis septembre 2024) |
| Divulgation biométrique | Non exigée | Préavis de 60 jours à la CAI |
| L'organisme de réglementation peut imposer directement une amende | Non | Oui |
| Lignes directrices sur la récolte par l'IA | Conclusion du CPVP n° 2026-002 | Conclusion conjointe de la CAI n° 2026-002 |
Liste de vérification de conformité pour les entreprises
Les organisations exerçant des activités au Canada devraient vérifier les obligations suivantes selon la loi applicable :
En vertu de la LPRPDE :
- Désigner un responsable de la protection de la vie privée qui répond de la conformité.
- Déterminer les fins de chaque catégorie de renseignements personnels recueillis, avant ou au moment de la collecte.
- Obtenir un consentement valable (exprès pour les renseignements sensibles ; implicite lorsque la fin serait évidente et que les renseignements ne sont pas sensibles).
- Limiter la collecte à ce qui est nécessaire aux fins déterminées.
- Mettre en œuvre des mesures de sécurité adaptées à la sensibilité des renseignements.
- Afficher une politique de confidentialité accessible au public.
- Répondre aux demandes d'accès dans les 30 jours.
- Évaluer chaque incident de sécurité pour déterminer s'il présente un risque réel de préjudice grave ; signaler les atteintes présentant un RRPG au CPVP et aux personnes touchées dès que possible.
- Conserver les registres de tous les incidents de sécurité pendant 24 mois.
Obligations supplémentaires en vertu de la Loi 25 du Québec :
- Réaliser une évaluation des facteurs relatifs à la vie privée avant tout nouveau projet impliquant des renseignements personnels.
- Réaliser une ÉFVP avant tout transfert de renseignements personnels hors du Québec.
- Obtenir un consentement explicite préalable avant de déployer des technologies de suivi (témoins de connexion, pixels, etc.).
- Aviser la CAI 60 jours avant de recueillir ou d'utiliser des renseignements biométriques.
- Honorer les demandes de portabilité des données (transfert à une autre organisation dans un format structuré).
Considérations supplémentaires pour l'Alberta et la Colombie-Britannique :
- Signaler les atteintes présentant un RRPG au commissaire provincial compétent (OIPC-AB ou OIPC-BC) plutôt qu'au CPVP pour les activités intraprovinciales.
- Surveiller les développements de la réforme provinciale : l'Alberta est en consultation active ; les modifications en Colombie-Britannique demeurent en suspens.
Attention : Les organisations exerçant des activités dans plusieurs provinces doivent souvent se conformer à plusieurs régimes simultanément. Un détaillant national ayant des clients au Québec, en Alberta, en Colombie-Britannique et en Ontario doit se conformer à la Loi 25 pour les clients québécois, aux PIPA de l'Alberta et de la Colombie-Britannique pour les clients de ces provinces, et à la LPRPDE ailleurs. Les transferts transfrontaliers vers les États-Unis déclenchent les obligations de responsabilité de la LPRPDE, même lorsque le droit provincial s'applique à la collecte intraprovinciale.
La Loi sur la protection des renseignements personnels : le secteur public fédéral
La Loi sur la protection des renseignements personnels (LRC 1985, ch. P-21) couvre environ 265 institutions du gouvernement fédéral. Les institutions fédérales ne peuvent recueillir des renseignements personnels que s'ils se rapportent directement à un programme ou à une activité, et ne peuvent les utiliser ou les communiquer qu'aux fins pour lesquelles ils ont été recueillis ou à des fins compatibles, en l'absence de consentement.
Les personnes ont le droit d'accéder à leurs renseignements personnels détenus par des institutions gouvernementales, de demander la correction de renseignements inexacts, et de déposer des plaintes auprès du commissaire à la protection de la vie privée concernant le traitement de leurs données par le gouvernement.
La Loi sur la protection des renseignements personnels n'a pas fait l'objet de mise à jour importante depuis 1983. Elle ne comporte aucune notification obligatoire des atteintes pour les institutions gouvernementales ni de mécanismes d'application significatifs comparables à ceux de la LPRPDE. Le rapport annuel 2024-2025 de la commissaire à la protection de la vie privée a appelé à ce que la modernisation de la Loi sur la protection des renseignements personnels progresse parallèlement à la réforme du secteur privé.
Avis de non-responsabilité
Cet article présente des informations juridiques générales sur les lois canadiennes en matière de protection des données. Il ne constitue pas un avis juridique et ne crée pas de relation avocat-client. Les lois décrites, notamment la LPRPDE (LC 2000, ch. 5), la Loi sur la protection des renseignements personnels (LRC 1985, ch. P-21), la Loi 25 du Québec (RLRQ, ch. P-39.1), la PIPA de l'Alberta (LA 2003, ch. P-6.5) et la PIPA de la Colombie-Britannique (LCB 2003, ch. 63), sont présentées selon leurs versions en vigueur au 19 mai 2026. Les lois évoluent ; les lecteurs devraient vérifier les exigences actuelles avant de se fier à toute information contenue dans cet article. Les organisations ayant des obligations de conformité en vertu du droit canadien de la protection de la vie privée devraient consulter un avocat inscrit au barreau de la juridiction canadienne concernée pour obtenir un avis sur leur situation particulière.
Autorités citées
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), LC 2000, ch. 5. https://laws-lois.justice.gc.ca/fra/lois/p-8.6/
- Principes relatifs à l'équité dans le traitement de l'information de la LPRPDE, annexe 1. Commissariat à la protection de la vie privée du Canada. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/loi_02_04_02/
- Lignes directrices du CPVP pour l'obtention d'un consentement valable (2018). https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-renseignements-personnels/consentement/gl_omc_201805/
- Loi sur la protection des renseignements personnels, LRC 1985, ch. P-21. https://laws-lois.justice.gc.ca/fra/lois/p-21/TexteComplet.html
- Ministère de la Justice Canada, Aperçu de la Loi sur la protection des renseignements personnels. https://www.justice.gc.ca/fra/csj-sjc/pa-lprp/pa-lprp.html
- Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, ch. P-39.1, telle que modifiée par la Loi 25 (2021). https://www.legisquebec.gouv.qc.ca/fr/document/lc/p-39.1
- Commission d'accès à l'information du Québec (CAI). https://www.cai.gouv.qc.ca/
- Osler, régime d'application de la Loi 25 pour la protection des renseignements personnels au Québec. https://www.osler.com/en/insights/updates/law-25-a-new-enforcement-scheme-for-protection-of-personal-information-in-the-private-sector-in-que/
- Osler, la commissaire québécoise à la vie privée fixe une barre élevée pour le traitement des données biométriques (2025). https://www.osler.com/en/insights/updates/high-bar-for-biometric-data-processing/
- Personal Information Protection Act (Alberta), LA 2003, ch. P-6.5. https://www.alberta.ca/personal-information-protection-act
- Fiches d'information du CPVP, examen de la PIPA de l'Alberta (septembre 2024). https://www.priv.gc.ca/fr/protection-de-la-vie-privee-et-transparence-au-cpvp/divulgation-proactive/opc-parl-bp/ab_20240924/is_ab_20240924/
- Personal Information Protection Act (Colombie-Britannique), LCB 2003, ch. 63. https://www.bclaws.gov.bc.ca/civix/document/id/complete/statreg/03063_01
- CPVP, lois provinciales jugées essentiellement similaires à la LPRPDE. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/loi_02_04_02/r_o_p/prov-pipeda/
- Règlement sur les atteintes aux mesures de sécurité, DORS/2018-64. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/protection-des-renseignements-personnels-dans-le-secteur-prive/atteintes-a-la-vie-privee-touchant-votre-entreprise/gd_pb_201810/
- Lignes directrices du CPVP sur les transferts transfrontaliers de données. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/aeroports-et-frontieres/gl_dab_090127/
- Renouvellement de la décision d'adéquation de la Commission européenne, Canada (15 janvier 2024). https://ec.europa.eu/commission/presscorner/detail/en/ip_24_161
- Projet de loi C-27 (44e législature, 1re session), LEGISinfo. https://www.parl.ca/legisinfo/fr/bill/44-1/c-27
- Fasken, l'impact numérique de la prorogation : les projets de loi numériques du Canada meurent au Feuilleton (janvier 2025). https://www.fasken.com/en/knowledge/2025/01/prorogations-digital-impact
- IAPP, ce que 2026 pourrait apporter aux efforts de réforme de la protection de la vie privée du Canada. https://iapp.org/news/a/what-2026-may-bring-for-canadas-privacy-reform-efforts
- Projet de loi C-15 (45e législature, 1re session), Loi n° 1 d'exécution du budget de 2025 (parcours vers la sanction royale). https://www.parl.ca/DocumentViewer/fr/45-1/bill/C-15/first-reading
- CPVP, déclaration sur le projet de loi C-15 devant le Comité permanent de l'industrie et de la technologie de la Chambre des communes (janvier 2026). https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-cpvp/ce-que-nous-disons-au-parlement/2026/parl_260126/
- Rapport annuel 2024-2025 du CPVP, donner priorité à la vie privée dans un monde axé sur les données. https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-cpvp/ar_index/202425/ar_202425/
- Conclusions n° 2026-002 en vertu de la LPRPDE, enquête conjointe sur OpenAI OpCo, LLC. https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-cpvp/enquetes/enquetes-visant-les-entreprises/2026/pipeda-2026-002/
- Conclusions n° 2025-002 en vertu de la LPRPDE, moteur de recherche Google et droit à la désindexation (27 août 2025). https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-cpvp/enquetes/enquetes-visant-les-entreprises/
- Accord de conformité du CPVP, Agence mondiale antidopage (2026). https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-cpvp/enquetes/enquetes-visant-les-entreprises/2026/2026-wada-ca/
- Osler, priorités canadiennes de 2026 en matière de protection de la vie privée : souveraineté des données, services bancaires ouverts et IA. https://www.osler.com/en/insights/reports/2025-legal-outlook/canadas-2026-privacy-priorities-data-sovereignty-open-banking-and-ai/
Articles connexes
- Lois canadiennes sur l'enregistrement : consentement à une seule partie en vertu du Code criminel
- Lois mondiales sur la protection des données : aperçu global
- Lois américaines sur la protection des données : guide des États et du gouvernement fédéral
Dernière mise à jour : 2026-05-19. Les lois citées reflètent leurs versions en vigueur au 2026-05-19.
Guides canadiens connexes
Frequently Asked Questions
La LPRPDE s'applique-t-elle à toutes les entreprises au Canada ?
La LPRPDE s'applique aux organisations du secteur privé qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'une activité commerciale partout au Canada. Toutefois, en Alberta, en Colombie-Britannique et au Québec, des lois provinciales jugées essentiellement similaires à la LPRPDE s'appliquent à la place pour l'activité commerciale intraprovinciale. La LPRPDE continue de s'appliquer aux industries de compétence fédérale (banques, télécommunications, compagnies aériennes) et aux transferts de données transfrontaliers, quelle que soit la province. Dans toutes les autres provinces et tous les autres territoires, la LPRPDE s'applique par défaut.
Que se passe-t-il si mon organisation subit une atteinte à la protection des données au Canada ?
En vertu de la LPRPDE, vous devez évaluer si l'atteinte crée un risque réel de préjudice grave (RRPG). Si tel est le cas, vous devez en faire rapport au Commissariat à la protection de la vie privée dès que possible, aviser directement les personnes touchées, et aviser toute organisation tierce pouvant réduire le risque de préjudice. Vous devez également conserver des registres de tous les incidents de sécurité pendant au moins 24 mois, qu'ils aient ou non déclenché une obligation de rapport. Omettre sciemment de faire rapport ou de tenir des registres peut entraîner des amendes pouvant atteindre 100 000 $ CA par infraction en vertu de l'article 28 de la LPRPDE. Les organisations québécoises ont des obligations parallèles en vertu de la Loi 25.
Comment la Loi 25 du Québec se compare-t-elle au RGPD ?
La Loi 25 du Québec est l'équivalent nord-américain le plus proche du RGPD. Elle exige un consentement explicite préalable pour les témoins de connexion et les technologies de suivi, rend obligatoires les évaluations des facteurs relatifs à la vie privée pour les nouveaux projets et les transferts interprovinciaux de données, prévoit un droit d'action privé avec des dommages-intérêts punitifs minimaux de 1 000 $, et impose des amendes pouvant atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial pour les organisations. Parmi les différences clés figurent les exigences québécoises de divulgation biométrique (préavis de 60 jours à la CAI), les plafonds pénaux individuels de 100 000 $, et l'absence d'un processus formel de certification de délégué à la protection des données comparable à l'article 37 du RGPD.
Les organisations canadiennes peuvent-elles transférer des données personnelles vers d'autres pays ?
Oui. La LPRPDE n'interdit pas les transferts transfrontaliers de données, mais exige des organisations qu'elles garantissent un niveau de protection comparable par des moyens contractuels ou autres. L'organisation qui transfère les données demeure responsable de celles-ci, quel que soit l'endroit où elles sont traitées. La Loi 25 du Québec est plus stricte, exigeant une évaluation des facteurs relatifs à la vie privée avant tout transfert hors de la province. L'Union européenne a reconnu que la LPRPDE offre une protection adéquate, permettant aux données de circuler de l'Union européenne vers les organisations canadiennes assujetties à la LPRPDE sans clauses contractuelles types.
Quel est le statut actuel de la réforme fédérale canadienne de la protection de la vie privée ?
Le projet de loi C-27, qui aurait remplacé la LPRPDE par la Loi sur la protection de la vie privée des consommateurs, est mort au Feuilleton en janvier 2025 lors de la prorogation du Parlement. Le 45e Parlement, sous le premier ministre Carney, devrait présenter une nouvelle loi globale sur la protection de la vie privée, potentiellement assortie de pénalités pouvant atteindre 5 % du chiffre d'affaires brut mondial et d'un cadre de souveraineté des données. Entre-temps, le projet de loi C-15 (Loi n° 1 d'exécution du budget de 2025) a franchi l'étape de la troisième lecture le 26 février 2026, ajoutant un cadre de mobilité des données à la LPRPDE. Aucun texte de remplacement de la LPRPDE n'a été déposé à ce jour.
Qu'a révélé l'enquête sur la protection de la vie privée concernant ChatGPT d'OpenAI ?
Dans les conclusions n° 2026-002 en vertu de la LPRPDE (6 mai 2026), le CPVP et trois organismes de réglementation provinciaux ont conclu qu'OpenAI avait enfreint la LPRPDE et les lois provinciales sur la protection de la vie privée en récoltant des renseignements personnels sur Internet sans consentement valable. Les organismes de réglementation ont jugé que les renseignements « accessibles au public » en ligne ne sont pas exemptés des obligations légales en matière de protection de la vie privée lorsqu'ils sont recueillis pour entraîner une IA. La construction d'un grand modèle de langage peut constituer une « fin appropriée » au sens de l'article 5(3) de la LPRPDE, mais cette conclusion ne l'emporte pas sur l'exigence de consentement. Le CPVP a jugé la plainte résolue de façon conditionnelle ; les commissaires de la Colombie-Britannique et de l'Alberta l'ont jugée non résolue.
Existe-t-il un droit à l'oubli au Canada ?
Le Canada ne dispose pas d'un droit légal explicite à l'effacement équivalent à l'article 17 du RGPD. Toutefois, le principe de limitation de la conservation de la LPRPDE exige des organisations qu'elles détruisent les renseignements personnels qui ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis. En août 2025, la conclusion du CPVP concernant Google (conclusions n° 2025-002 en vertu de la LPRPDE) a confirmé un droit limité à la désindexation en vertu de la LPRPDE : dans les circonstances où une personne raisonnable jugerait inapproprié qu'un moteur de recherche continue de renvoyer des liens vers des renseignements personnels, une personne peut demander la désindexation. La Loi 25 du Québec prévoit un droit explicite à la désindexation pour le contenu numérique.
La portabilité fédérale des données s'applique-t-elle désormais aux organisations canadiennes ?
Le projet de loi C-15 (Loi n° 1 d'exécution du budget de 2025) a ajouté un cadre de mobilité des données à la LPRPDE et a franchi l'étape de la troisième lecture le 26 février 2026. En vertu de la nouvelle section 1.2, les organisations doivent, à la demande d'une personne, transférer les renseignements personnels de cette personne à une organisation destinataire désignée, pourvu que les deux soient assujetties à un cadre de mobilité des données établi par règlement. L'obligation pratique pour la plupart des organisations dépendra du moment où le gouverneur en conseil fera entrer en vigueur les règlements sous-jacents. La portabilité des données en vertu de la Loi 25 du Québec est en vigueur depuis le 22 septembre 2024.
Qu'est-ce que le test des fins appropriées en vertu de la LPRPDE ?
L'article 5(3) de la LPRPDE exige qu'une organisation ne recueille, n'utilise ou ne communique des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Ce test est distinct du consentement : même lorsque le consentement est obtenu, la collecte ou l'utilisation à une fin inappropriée enfreint la Loi. Le CPVP a appliqué ce test dans le cadre de l'enquête sur OpenAI en 2026, concluant que si la construction d'un grand modèle de langage pouvait en principe constituer une fin appropriée, les méthodes précises utilisées par OpenAI pour recueillir des renseignements personnels par la récolte et les interactions des utilisateurs ne satisfaisaient pas aux obligations de consentement.
En quoi la PIPA de l'Alberta diffère-t-elle de la LPRPDE ?
La loi sur la protection des renseignements personnels de l'Alberta (LA 2003, ch. P-6.5) est essentiellement similaire à la LPRPDE et la remplace pour les activités intraprovinciales du secteur privé. L'OIPC-AB applique la PIPA de l'Alberta plutôt que le CPVP fédéral. Parmi les principales différences pratiques figurent le fait que l'OIPC-AB peut rendre des ordonnances contraignantes en vertu de la PIPA de l'Alberta (le CPVP fédéral ne peut pas ordonner directement la conformité en vertu de la LPRPDE), et le seuil et la portée de la notification des atteintes de la PIPA de l'Alberta diffèrent légèrement de ceux de la LPRPDE. L'Alberta mène actuellement des consultations de réforme à la suite du rapport de février 2025 du Comité permanent, qui recommandait d'ajouter des pouvoirs de sanction administrative pécuniaire à l'OIPC-AB.
Sources and References
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), LC 2000, ch. 5(laws-lois.justice.gc.ca).gov
- Principes relatifs à l'équité dans le traitement de l'information de la LPRPDE, annexe 1(priv.gc.ca).gov
- Lignes directrices du CPVP pour l'obtention d'un consentement valable(priv.gc.ca).gov
- Loi sur la protection des renseignements personnels, LRC 1985, ch. P-21, texte complet(laws-lois.justice.gc.ca).gov
- Aperçu de la Loi sur la protection des renseignements personnels, ministère de la Justice Canada(justice.gc.ca).gov
- Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, ch. P-39.1 (Loi 25 du Québec)(legisquebec.gouv.qc.ca).gov
- Commission d'accès à l'information du Québec (CAI)(cai.gouv.qc.ca).gov
- Osler, régime d'application de la Loi 25 pour la protection des renseignements personnels au Québec(osler.com)
- Osler, la commissaire québécoise à la vie privée fixe une barre élevée pour le traitement des données biométriques(osler.com)
- Personal Information Protection Act (PIPA) de l'Alberta, aperçu(alberta.ca).gov
- Fiches d'information du CPVP, examen de la PIPA de l'Alberta (septembre 2024)(priv.gc.ca).gov
- Personal Information Protection Act (PIPA) de la Colombie-Britannique, texte complet(bclaws.gov.bc.ca).gov
- Lois provinciales jugées essentiellement similaires à la LPRPDE, CPVP(priv.gc.ca).gov
- Notification obligatoire des atteintes en vertu de la LPRPDE, orientation du CPVP (DORS/2018-64)(priv.gc.ca).gov
- Lignes directrices du CPVP sur les transferts transfrontaliers de données(priv.gc.ca).gov
- Renouvellement de la décision d'adéquation de la Commission européenne, Canada (15 janvier 2024)(ec.europa.eu).gov
- Projet de loi C-27 (44e législature, 1re session), LEGISinfo(parl.ca).gov
- Fasken, l'impact numérique de la prorogation : les projets de loi numériques du Canada meurent au Feuilleton (janvier 2025)(fasken.com)
- IAPP, ce que 2026 pourrait apporter aux efforts de réforme de la protection de la vie privée du Canada(iapp.org)
- Projet de loi C-15 (45e législature, 1re session), Loi n° 1 d'exécution du budget de 2025(parl.ca).gov
- Déclaration du CPVP sur le projet de loi C-15 devant le Comité permanent de la Chambre des communes (janvier 2026)(priv.gc.ca).gov
- Rapport annuel 2024-2025 du CPVP, donner priorité à la vie privée dans un monde axé sur les données(priv.gc.ca).gov
- Conclusions n° 2026-002 en vertu de la LPRPDE, enquête conjointe sur OpenAI OpCo, LLC (mai 2026)(priv.gc.ca).gov
- Conclusions n° 2025-002 en vertu de la LPRPDE, moteur de recherche Google et droit à la désindexation (août 2025)(priv.gc.ca).gov
- Accord de conformité du CPVP, Agence mondiale antidopage (2026)(priv.gc.ca).gov
- Osler, priorités canadiennes de 2026 en matière de protection de la vie privée : souveraineté des données, services bancaires ouverts et IA(osler.com)