Projet de loi C-36 : ce que les organisations doivent savoir sur la nouvelle réforme de la protection de la vie privée au Canada

Points clés à retenir
- Le projet de loi C-36 introduit la Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs (LPVPDC), qui remplace certaines dispositions clés de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
- Un nouvel organisme de réglementation, la Commission canadienne de la sécurité numérique et de la protection des données, supervisera le nouveau régime et sera doté de forts pouvoirs en matière d’application de la loi.
- Les organisations devront faire face à de nouvelles obligations en matière de consentement et de conformité.
Le projet de loi
Le 15 juin 2026, le ministre canadien de l’Intelligence artificielle et de l’Innovation numérique, Evan Solomon, a présenté le projet de loi C-36 : Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportant des modifications à d’autres lois (le projet de loi C-36 ou LPVPDC).
La LPVPDC marque la troisième tentative du gouvernement de réviser la législation fédérale canadienne sur la protection de la vie privée dans le secteur privé et de moderniser le régime du pays dans ce domaine pour l’adapter à l’ère numérique. Introduite par le projet de loi C-36, la législation remplacerait les dispositions sur la protection des renseignements personnels de la LPRPDE par un nouveau régime conçu pour répondre à ce que le gouvernement décrit comme l’« économie guidée par les données » d’aujourd’hui, notamment l’utilisation croissante de systèmes décisionnels automatisés, les données en ligne des enfants et les usages de plus en plus complexes des renseignements personnels.
En quoi c’est important
Le projet de loi C-36 est la réforme proposée la plus importante de la législation canadienne en matière de protection de la vie privée dans le secteur privé depuis plus de 20 ans. S’il était adopté, il modifierait la manière dont les organisations recueillent, utilisent et gèrent les renseignements personnels, notamment par de nouvelles obligations liées à la responsabilité et de nouvelles exigences liées à la prise de décision automatisée et à la protection de la vie privée des enfants, ainsi qu’une surveillance accrue des pratiques de transfert transfrontalier de données.
Au cœur de la LPVPDC figure la volonté de concilier les droits des individus en matière de protection de la vie privée et le besoin des organisations de recueillir, d’utiliser et de communiquer des renseignements personnels à des fins raisonnables. Ainsi, elle vise entre autres :
- à reconnaître la vie privée comme un « droit fondamental »;
- à exiger un consentement exprès par défaut et des explications en langage clair;
- à créer de nouvelles exceptions à l’exigence d’un consentement, notamment une nouvelle exception fondée sur l’intérêt légitime;
- à créer de nouvelles obligations pour l’évaluation des facteurs relatifs à la vie privée et le programme de gestion de la protection des renseignements personnels;
- à créer un droit de demander la suppression des renseignements personnels dans certaines circonstances;
- à soutenir la mobilité des données;
- à imposer des normes plus strictes pour les renseignements personnels des enfants.
Elle introduirait également de nouvelles exigences de transparence pour les systèmes décisionnels automatisés et traiterait des utilisations potentiellement injustes des données, y compris les tarifs fondés sur la surveillance.
La LPVPDC transformerait également l’application de la législation en matière de protection de la vie privée au Canada. La surveillance serait transférée à une nouvelle Commission canadienne de la sécurité numérique et de la protection des données, dotée du pouvoir de rendre des ordonnances contraignantes et d’imposer des sanctions importantes en cas de non-conformité, y compris des amendes pouvant atteindre le montant le plus élevé entre 10 M$ et 3 % des recettes mondiales brutes d’une organisation.
Le présent billet offre un aperçu général de ce projet de loi. Nous explorerons ces sujets et d’autres en profondeur dans les semaines à venir.
Projet de loi C-36 : nouvelle structure de surveillance
La LPVPDC envisage une nouvelle structure de surveillance dirigée par la Commission canadienne de la sécurité numérique et de la protection des données, un nouvel organisme de réglementation indépendant responsable de l’administration à la fois de la LPVPDC et de la Loi sur la sécurité numérique. Son mandat inclurait l’élaboration de directives et de normes, l’évaluation de la conformité, la réalisation de vérifications et d’inspections, la gestion des plaintes, la coordination avec d’autres organismes de réglementation, ainsi que l’application des obligations légales au moyen d’ordonnances de conformité et de sanctions administratives pécuniaires.
Pour soutenir la surveillance de la protection de la vie privée, la législation créerait un commissaire à la protection de la vie privée et des données des consommateurs désigné au sein de la Commission, chargé de diriger l’application de la LPVPDC et appuyé par une expertise spécialisée en matière de protection de la vie privée. Une Section de la protection de la vie privée et des données des consommateurs serait également créée au sein de la Commission pour apporter un soutien lié aux examens en matière de protection de la vie privée, aux fonctions juridictionnelles et à d’autres fonctions.
La création de la Commission tranche avec le cadre proposé dans le précédent projet de loi C‑27, qui aurait réparti les responsabilités liées à l’application de la loi en matière de protection de la vie privée entre le commissaire à la protection de la vie privée et un tribunal distinct. La LPVPDC enchâsse plutôt ces fonctions dans un cadre institutionnel plus intégré destiné à soutenir une surveillance plus coordonnée des questions de protection de la vie privée et de sécurité numérique.
Pour les organisations, la conséquence pratique de ce changement d’optique est l’émergence d’un organisme de réglementation numérique de portée plus large, responsable à la fois des questions de protection de la vie privée et de sécurité en ligne, soutenu par des pouvoirs contraignants de rendre des ordonnances et d’imposer des sanctions administratives pécuniaires importantes en cas de non-conformité.
En quoi le projet de loi C-36 modifie-t-il la LPRPDE?
La LPRPDE fournit le cadre fédéral actuel pour la réglementation de la protection des renseignements personnels dans le secteur privé. Dans ce cadre, le Commissariat à la protection de la vie privée du Canada agit en tant que principal organisme fédéral de réglementation de la protection des renseignements personnels. Le commissaire à la protection de la vie enquête sur les plaintes, effectue des vérifications, favorise la conformité, publie des directives et des recherches, et peut intenter des recours par voie judiciaire. Même si le commissaire dispose de vastes pouvoirs d’enquête, la LPRPDE a historiquement fonctionné comme un modèle collaboratif axé sur la conformité, centré sur les recommandations, les orientations et la résolution négociée.
La LPVPDC marque une rupture par rapport à ce cadre. Plutôt que de centrer la réglementation sur la protection de la vie privée autour du commissaire à la protection de la vie privée, la législation placerait la surveillance de la protection de la vie privée au sein de la Commission canadienne de la sécurité numérique et de la protection des données, un organisme de réglementation de compétence plus large, responsable à la fois des questions liées à la protection de la vie privée et à la sécurité numérique.
L’importance de ce changement réside non seulement dans les obligations substantielles en matière de protection de la vie privée proposées dans la LPVPDC, mais aussi dans la structure même du cadre de réglementation. Comparée à la LPRPDE, la LPVPDC introduirait un cadre administratif plus centralisé qui intègrerait la surveillance de la protection de la vie privée au sein d’un organisme de réglementation ayant une compétence plus large en matière de politique numérique et favoriserait une meilleure coordination entre les questions liées à la protection de la vie privée, à la sécurité numérique, à la concurrence et aux communications.
Plus généralement, la LPVPDC reflète une approche de réglementation qui considère que la vie privée est de plus en plus interconnectée avec d’autres enjeux de politique numérique. Cela situerait la réglementation de la protection de la vie privée dans un cadre plus large conçu pour traiter les questions qui se chevauchent dans l’ensemble de l’écosystème numérique.
Consentement, gestion de la protection des renseignements personnels et autres obligations
La législation créerait également de nouvelles obligations en matière de protection des renseignements personnels et modifierait les obligations existantes en ce domaine, notamment :
- Programme obligatoire de gestion de la protection des renseignements personnels (art. 9) — Les organisations doivent mettre en œuvre et tenir à jour des politiques, pratiques et procédures documentées, tenant compte du volume et du caractère sensible des données, et elles doivent les communiquer à la Commission à la demande de
celle-ci. - Réforme du consentement (art. 15 à 17) — Les organisations doivent obtenir le consentement valide d’une personne pour la collecte, l’utilisation ou la communication de renseignements personnels; les organisations doivent fournir des explications dans un langage clair lors de l’obtention de ce consentement; et le consentement exprès est la norme, bien que le consentement implicite puisse être approprié dans certaines circonstances.
- Exceptions au consentement — Le consentement n’est pas requis pour des « activités d’affaires » précisées (art. 18(2)) et lorsqu’un « intérêt légitime » existe (art. 18(3)), sous réserve d’une évaluation des facteurs relatifs à la vie privée documentée et d’autres conditions.
- Droit au retrait / à la suppression (art. 54) — Les individus peuvent exiger la suppression de leurs renseignements personnels, sous réserve des exceptions énumérées.
- Mobilité des données (art. 72) — Les organisations doivent, sur demande, transférer les données d’un individu à une autre organisation désignée lorsque les deux sont assujetties à un cadre de mobilité des données (dont les détails seront précisés par règlement).
- Transferts transfrontaliers (art. 57) — Une évaluation des facteurs relatifs à la vie privée est requise avant de communiquer/transférer des renseignements personnels à l’extérieur du Canada.
Les règles de base sur l’obtention d’un consentement valide, la communication des renseignements requis pour l’obtention d’un tel consentement, la communication des renseignements requis en langage clair, le consentement exprès par opposition à implicite, l’interdiction de regroupement, l’interdiction de l’obtention d’un consentement par subterfuge et le retrait du consentement correspondent en grande partie à la structure des règles énoncées dans le projet de loi C-27 aux art. 15 à 17. Les changements les plus importants entre le projet de loi C-27 et le projet de loi C-36 se situent dans les dispositions relatives à la conformité.
Comparé à la LPRPDE, le projet de loi C-36 adopte une approche plus prescriptive : alors que la LPRPDE repose sur des principes généraux, le projet de loi C-36 codifie ces concepts dans des dispositions opérationnelles et ajoute des exigences de conformité plus détaillées. S’il est adopté, son effet pratique serait probablement un modèle de conformité plus documenté, axé sur les processus et fondé sur un modèle de conformité faisant intervenir les organismes de réglementation, qui nécessite une communication des renseignements liés à l’obtention du consentement plus robuste et une documentation interne renforcée pour les évaluations de l’intérêt légitime et d’autres exceptions.
Prochaines étapes législatives
Le projet de loi en est seulement à la première lecture. Il doit encore passer par les étapes de la deuxième lecture, de l’étude en comité, de la troisième lecture, du processus d’ensemble au Sénat, pour enfin recevoir la sanction royale avant de devenir loi. Le projet de loi peut être modifié au cours de ce processus.
Les détails importants sont renvoyés aux règlements, y compris s’agissant des cadres de mobilité des données, les « activités d’affaires » prescrites, le formulaire et le contenu de déclaration des violations, les normes de mesures de sécurité, et plus encore. Le fardeau pratique de la conformité ne sera pas entièrement connu avant la publication de ces règlements. De plus, un examen parlementaire obligatoire tous les cinq ans est intégré.
Ce que les organisations devraient faire dès maintenant
- Se tenir au courant des changements – Nous publierons des articles expliquant en détail la LPVPDC et partageant des mises à jour sur son entrée en vigueur. Veuillez envisager de vous abonner en utilisant l’information ci-dessous.
- Se préparer aux changements – Les organisations devraient planifier des efforts importants de conformité en vertu de la LPVPDC, y compris des pratiques mises à jour en matière de consentement et d’avis en langage clair, de nouveaux droits de suppression et de mobilité des données, ainsi que des mécanismes de protection renforcée relatifs aux renseignements personnels des enfants.
- Se préparer aux consultations – Les organisations devraient envisager l’incidence que la législation aura sur elles et, le cas échéant, l’intérêt de plaider en faveur d’améliorations et de clarifications.
Pour suivre les mises à jour, abonnez-vous à TechLex (ci-dessous) ou contactez notre groupe Cyber/Données pour obtenir de l’aide pour comprendre ce nouveau régime complexe.
Pour en savoir plus sur la manière dont notre groupe Cyber/Données peut vous aider à vous orienter dans le contexte de la protection de la vie privée et des données, veuillez contacter les coleaders nationaux Charles Morgan et Daniel Glover.
Recevez nos derniers billets
Tous les champs sont obligatoires "*"


