Introduction

Présenté le 15 juin 2026, le projet de loi C-36[1] vise l’adoption de la Loi visant à protéger la vie privée et les données des consommateurs (la « LPVPDC »). La LPVPDC marque une nouvelle étape dans la volonté du gouvernement fédéral de moderniser la législation canadienne en matière de protection de la vie privée afin de l’adapter aux exigences d’une économie de plus en plus axée sur les données. Il s’agit de la troisième initiative majeure visant à réformer la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») après l’échec du projet de loi C-11 en 2020 et du projet de loi C-27 en 2022. Contrairement au projet de loi C-27, qui réunissait la réforme du droit de la protection de la vie privée et l’adoption d’un cadre réglementaire complet applicable à l’intelligence artificielle, le projet de loi C-36 vise principalement à moderniser les lois du Canada en matière de protection de la vie privée. Plusieurs dispositions de ce projet de loi, notamment celles relatives aux mécanismes automatisés de prise de décision, auront des répercussions importantes sur les organisations qui optent pour l’utilisation d’outils d’IA.

Dans la continuité de ses prédécesseurs, le projet de loi C-36 cherche à aller au-delà des grands principes de protection de la vie privée et à établir un cadre plus détaillé visant à régir la manière dont les organisations recueillent, utilisent, communiquent et gèrent les renseignements personnels.

Le dépôt du projet de loi C-36 s’inscrit dans le cadre d’une initiative fédérale plus large visant à réglementer le paysage numérique au Canada, aux côtés des projets de loi C-34 et C-22. Le projet de loi C-34 a pour objectif de donner plein effet à la Loi sur les médias sociaux sécuritaires, en instaurant de nouvelles exigences de sécurité pour les médias sociaux et les services des agents conversationnels alimentés par l’IA, et de créer la Commission canadienne de la sécurité numérique chargée d’administrer ce nouveau cadre. Le projet de loi C-22 (Loi concernant l’accès légal) a pour objectif de modifier plusieurs lois, notamment le Code criminel et la Loi sur le Service canadien du renseignement de sécurité, afin d’instaurer un régime actualisé pour encadrer l’accès légal aux renseignements électroniques. Pour une vue d’ensemble de la nouvelle stratégie canadienne en matière d’IA et de données, veuillez consulter l’article que nous avons publié récemment.

Bien que les changements structurels soient importants, notamment la mise en place d’un nouvel organisme de réglementation, c’est-à-dire la Commission canadienne de la sécurité numérique et de la protection des données (la « Commission »), les répercussions réelles du projet de loi C-36 résident dans l’adoption d’un cadre plus formel de conformité en matière de protection de la vie privée, documenté et réglementé.

Pourquoi est-ce important ?

En vertu de la LPRPDE, les organisations disposent d’une certaine souplesse pour interpréter les grands principes de protection de la vie privée et les appliquer grâce à leurs politiques internes et à l’exercice de leur jugement. Le projet de loi C-36 réduit cette souplesse en imposant des exigences légales explicites en matière de gouvernance, de documentation et de transparence.

Dans la pratique, la conformité devient plus structurée, plus codifiée et plus visible. Les organisations devront se conformer aux règles établies et être en mesure de démontrer, au moyen de documents justificatifs, les mesures mises en place pour y parvenir. Ces dispositions témoignent d’un resserrement important des attentes à l’égard des organisations, en s’éloignant de la souplesse qui prévalait sous le régime de la LPRPDE.

Quand les principes souples cèdent la place à des règles explicites

Le projet de loi C-36 définit clairement les obligations relatives à la gouvernance de la protection de la vie privée. Les organisations seront tenues de respecter ce qui suit :

  • nommer une personne responsable de la conformité ;
  • maintenir un programme formel de gestion de la vie privée qui décrit la protection des renseignements personnels, les mécanismes de traitement des demandes de renseignements et des plaintes, la formation et les consignes fournies au personnel, ainsi que des documents expliquant les politiques et les procédures de l’organisation ;
  • s’assurer, par contrat ou par tout autre moyen, que les fournisseurs de services offrent des niveaux équivalents de protection de tout renseignement personnel qui leur est transféré ;
  • présenter, sur demande, leur programme aux organismes de réglementation.

Le projet de loi C-36 impose également des limites plus claires à l’égard de l’utilisation des renseignements personnels. Les organisations seront tenues de fournir des explications claires rédigées en langage clair pour l’obtention du consentement, et le consentement exprès sera la règle par défaut, à moins que le consentement implicite ne soit jugé approprié dans certaines circonstances.

Même si ces principes existaient déjà, le projet de loi C-36 franchit une étape supplémentaire en exigeant des organisations qu’elles documentent la façon dont elles parviennent à leurs décisions. Les décisions fondées uniquement sur un jugement informel pourraient ne plus être suffisantes.

Le projet de loi applique cette même approche tout au long de ses dispositions, en imposant notamment ce qui suit :

  • l’enregistrement de toute nouvelle utilisation des renseignements personnels ;
  • la réalisation d’évaluations des répercussions sur la vie privée en cas de divulgation ou de transfert de renseignements à l’extérieur du Canada ou lors de la mise en œuvre de l’exception fondée sur l’intérêt légitime (décrite ci-dessous) ;
  • le signalement et le suivi de toute atteinte aux mesures de sécurité, comme l’exige la LPRPDE.

Ces exigences témoignent du rôle central qu’occupent désormais la documentation et la formalisation des processus dans l’atteinte de la conformité.

Élargissement du champ d’application : pratiques en matière de données et technologies émergentes

Le projet de loi C-36 modernise le régime juridique en y intégrant plusieurs concepts adaptés aux réalités actuelles de l’environnement des données, tout en élargissant le cadre réglementaire pour suivre l’évolution des pratiques en matière de données et des technologies.

Renseignements anonymisés ou dépersonnalisés

À l’image du projet de loi C-27, la LPVPDC prévoit un traitement distinct des renseignements anonymisés et des renseignements dépersonnalisés. Les renseignements anonymisés étant exclus du champ d’application de la loi, seuls les renseignements dépersonnalisés demeurent visés par la LPVPDC, qui en encadre l’utilisation au moyen de règles précises, notamment des restrictions applicables aux tentatives de réidentification.

Systèmes de prise de décision automatisés

Les organisations qui utilisent de tels systèmes seraient tenues au respect des exigences de transparence et d’accès prévues par la LPVPDC, notamment à l’obligation de fournir, sur demande, aux particuliers concernés une explication des décisions automatisées ayant des répercussions importantes sur eux.

Renseignements personnels relatifs aux enfants

Les renseignements personnels relatifs aux enfants sont expressément reconnus pour leur caractère particulièrement sensible et pour le fait qu’ils méritent une plus grande protection.

Droits des particuliers

Les particuliers auraient le droit de demander la suppression de renseignements personnels dans certaines circonstances, d’exercer leurs droits d’accès et de modification, et de demander le transfert de leurs renseignements personnels à une autre organisation, les modalités en matière de mobilité des données devant être établies ultérieurement par règlement.

Fournisseurs de services

Le projet de loi C-36 fait une distinction claire entre les organisations qui contrôlent les renseignements personnels et les fournisseurs de services qui traitent ces renseignements en leur nom. La LPVPDC définit expressément le terme « fournisseur de services » et autorise les organisations à transférer des renseignements personnels à des fournisseurs de services sans consentement supplémentaire de la part des particuliers concernés. Les organisations conservent leur responsabilité à l’égard des renseignements personnels transférés à des fournisseurs de services. Toutefois, ces fournisseurs sont expressément reconnus comme des acteurs distincts en vertu de la loi et doivent respecter des obligations directes, notamment en ce qui concerne la protection des renseignements et la déclaration de toute atteinte aux mesures de sécurité.

Il est important de noter que, si un fournisseur de services recueille, utilise ou communique des renseignements personnels transférés à des fins autres que celles pour lesquelles ils ont été transférés, le fournisseur de services se trouve alors tenu de respecter l’ensemble des obligations que la LPVPDC impose à l’égard de ces renseignements.

Intérêt légitime et traitement sans consentement

Bien que le consentement demeure la règle par défaut, le projet de loi C-36 reconnaît que les organisations peuvent parfois utiliser des renseignements personnels sans avoir obtenu le consentement. Cette orientation illustre un virage vers un cadre permettant de soutenir certaines activités commerciales courantes tout en réduisant la dépendance exclusive au consentement.

La plus marquante de ces mesures est l’adoption d’une exception fondée sur l’« intérêt légitime » dans certaines activités commerciales. Dans une situation d’intérêt légitime, les organisations pourraient traiter des renseignements personnels sans consentement si leurs besoins commerciaux ont préséance par rapport à toute répercussion négative raisonnablement prévisible pour le particulier concerné.

Cette souplesse s’accompagne toutefois de certaines conditions. Avant d’utiliser des renseignements sans consentement, les organisations doivent s’assurer de ce qui suit :

  • que l’objectif soit raisonnable et approprié ;
  • que l’utilisation soit nécessaire ;
  • qu’aucune autre possibilité moins intrusive n’est possible ;
  • que toute répercussion sur le particulier concerné soit justifiée.

Il est important de souligner que les organisations qui invoquent cette exception doivent procéder à une évaluation des répercussions sur la vie privée, distinguer les risques et les réduire au minimum, documenter leur analyse justifiant le recours à l’exception et ajouter à leurs politiques publiques de confidentialité une description de toute activité entreprise en se prévalant de l’exception fondée sur l’intérêt légitime.

Dans la pratique, les décisions prises en vertu de cette exception devraient être soigneusement analysées et documentées.

D’autres exceptions relatives à la prévention de la fraude, à la recherche, à l’emploi, aux activités commerciales et aux situations d’urgence s’inscrivent également dans ce même cadre structuré.

Nouveaux pouvoirs d’application de la loi par la Commission et droit d’action privé

La Commission sera chargée d’administrer et de faire respecter la LPVPDC ainsi que la Loi sur la sécurité numérique, et un commissaire à la protection de la vie privée et des données des consommateurs sera désigné pour diriger l’application de la loi. Cette disposition représente une restructuration importante du modèle d’application de la loi en matière de protection de la vie privée au Canada, du fait que la surveillance de la protection de la vie privée dans le secteur privé a été retirée au Commissariat à la protection de la vie privée du Canada (le « CPVP ») et transférée à la nouvelle commission. Le CPVP sera maintenu, mais concentrera désormais ses efforts principalement sur la protection de la vie privée dans le secteur public.

Cette refonte institutionnelle traduit l’intention du Parlement d’intégrer l’application de la loi en matière de protection de la vie privée à une réglementation plus large en matière de sécurité numérique sous l’autorité d’un seul organisme de réglementation. Elle marque également une rupture avec le modèle traditionnel canadien de la LPRPDE, dans le cadre duquel le CPVP agissait en tant qu’agent indépendant du Parlement chargé d’enquêter sur les plaintes relatives à la protection de la vie privée dans le secteur privé et de formuler des conclusions non contraignantes.

Les dispositions d’application proposées par la LPVPDC représentent une augmentation importante de la responsabilité des entreprises en cas de non-conformité. En effet, la commission aura le pouvoir de rendre des ordonnances de conformité exécutoires et d’imposer d’importantes sanctions administratives pécuniaires :

  • Jusqu’à 10 M$ ou 3 % du chiffre d’affaires mondial, soit le plus élevé de ces deux montants, pour les cas de non-conformité courants ;
  • Jusqu’à 25 M$ ou 5 % du chiffre d’affaires mondial, soit le plus élevé de ces deux montants, pour les infractions les plus graves.

La LPVPDC instaure également un droit d’action privé, permettant aux particuliers de réclamer directement des dommages-intérêts devant les tribunaux en cas de violation de cette loi. Ceci représente un changement important par rapport à la LPRPDE, en vertu de laquelle les particuliers n’étaient pas en mesure de poursuivre directement les organisations pour atteinte à la vie privée.

Que faire maintenant ?

Le projet de loi C-36 a encore un long cheminement à parcourir sur le plan législatif, mais son objectif est clair. Un cadre juridique formel et réglementé en matière de protection de la vie privée pourrait voir le jour et les organisations devraient s’y préparer en examinant les points suivants :

Structures de gouvernance

Déterminez la personne qui, au sein de votre organisation, est responsable de la conformité en matière de protection des renseignements personnels, de la surveillance et de la préparation des rapports. Les rôles en matière d’imputabilité en interne doivent être clairement établis.

Programmes de gestion de la protection de la vie privée

Vérifiez si les programmes actuels de gestion de la protection de la vie privée répondent aux exigences du projet de loi C-36, notamment en matière d’imputabilité, de processus documentés, de conformité des procédures de traitement et de rapports à présenter aux autorités de réglementation.

Libellé des formulaires de consentement

Vérifiez si vos formulaires de consentement sont rédigés de manière claire et compréhensible et s’ils sont adaptés pour la collecte, l’utilisation ou la communication des renseignements personnels. Les organisations devraient également évaluer si certaines activités doivent faire l’objet d’une analyse de l’intérêt légitime dûment documentée.

Contrats avec les fournisseurs de services

Vérifiez les accords conclus avec les fournisseurs de services afin de vous assurer qu’ils prévoient des obligations de protection et que l’utilisation des renseignements personnels par ces derniers y est clairement encadrée.

Systèmes automatisés de prise de décision

Les organisations qui utilisent des outils alimentés par l’IA ou des algorithmes doivent recenser les situations dans lesquelles des décisions automatisées importantes sont prises et vérifier qu’elles disposent des éléments nécessaires pour fournir des justifications compréhensibles lorsqu’elles sont exigées.

Transferts transfrontaliers, réponse à toute atteinte aux mesures de sécurité et transparence

Les organisations devraient également évaluer les secteurs opérationnels susceptibles de faire l’objet d’un examen minutieux, notamment les transferts transfrontaliers de données, la réponse à toute atteinte aux mesures de sécurité et la transparence concernant l’utilisation des données.

Conclusion

Le projet de loi C-36 va au-delà du cadre juridique souple prévu dans la LPRPDE pour l’instauration d’un système plus structuré assorti de mécanismes d’application renforcés. La souplesse du régime est en partie préservée, mais elle repose toutefois sur l’obligation pour les organisations de documenter clairement leurs décisions et de les justifier.

Le principal message à retenir est simple : sous le régime du projet de loi C-36, la conformité doit être démontrée et pas simplement affirmée. L’enjeu pour les organisations ne consiste plus uniquement à démontrer le bien-fondé de leurs pratiques, mais à s’assurer d’être documentées, encadrées et suffisamment robustes pour répondre aux attentes des organismes de réglementation. Nous poursuivrons notre veille législative sur le projet de loi C-36 tout au long de son examen par le Parlement et nous vous tiendrons informés de toute évolution susceptible d’avoir une incidence importante sur votre organisation. Pour toute question concernant le projet de loi ou pour un examen de vos pratiques en matière de protection de la vie privée, communiquez avec un avocat de notre équipe Protection de la vie privée et cybersécurité


[1]Projet de loi C-36 : Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportant des modifications à d’autres lois (le « projet de loi C-36 »).