Priorités du Canada en matière de protection des renseignements personnels pour 2026 : souveraineté des données, système bancaire ouvert et IA Priorités du Canada en matière de protection des renseignements personnels pour 2026 : souveraineté des données, système bancaire ouvert et IA

Ces dernières années, en matière de protection des renseignements personnels et des données, l’accent a été mis au Canada, au niveau tant fédéral que provincial, sur la refonte des lois sur la protection des renseignements personnels. Même s’il faut s’attendre à ce que cette réforme fondamentale se poursuive, nous prévoyons également que le paysage de la protection des renseignements personnels et des données sera fortement influencé en 2026 par la venue d’outils non législatifs. Il s’agit notamment de politiques publiques stratégiques, de normes sectorielles non contraignantes, ainsi que de directives et de mécanismes d’encadrement rigoureux d’autorités de réglementation.

Nous prévoyons également que le gouvernement fédéral mettra plus fortement l’accent sur les mesures liées à la « souveraineté des données » dans toute une série de lois, de règlements et de politiques, surtout si les préoccupations géopolitiques s’intensifient en raison des tensions tarifaires et commerciales actuelles avec les États-Unis.

Voici un aperçu des principaux changements que nous prévoyons pour 2026 et les années suivantes.

Souveraineté des données

Nous prévoyons que les concepts de souveraineté des données et de souveraineté numérique continueront d’occuper une place importante en 2026. En novembre, le gouvernement fédéral a publié son Cadre de souveraineté numérique, dans lequel il décrit les principaux contrôles en matière d’approvisionnement, d’offre et de technologie – en termes de politiques – visant à renforcer le contrôle institutionnel sur ses données et ses systèmes d’information. Le budget fédéral récemment publié s’appuie également sur la Stratégie canadienne sur la capacité de calcul souveraine pour l’IA en engageant des investissements importants [PDF] sur cinq ans dans une « infrastructure d’IA souveraine ».

Étant donné que la souveraineté des données est essentielle du point de vue de la sécurité nationale, de la cybersécurité, de la protection des renseignements personnels et de l’économie politique, nous nous attendons à ce que des discussions politiques et consultatives aient lieu aux niveaux fédéral et provincial sur les mesures appropriées à prendre pour atténuer les risques liés à l’accès étranger aux données canadiennes. Au-delà des efforts de localisation des données, qui se sont généralement révélés inefficaces, comme nous l’expliquons dans notre bulletin d’actualités Osler et notre article dans Perspectives juridiques Osler, on observe un intérêt croissant pour des outils offrant davantage de variantes et de souplesse.

Les initiatives à venir en matière de souveraineté des données pourraient prendre la forme de mesures législatives mettant en œuvre, par exemple, des évaluations des transferts de données fondées sur les risques, des règlements ou d’autres instruments politiques. Elles pourraient cibler des industries ou des secteurs particuliers. Ou bien, elles pourraient s’appliquer de manière générale à certaines catégories de données, y compris les renseignements personnels de type sensible. Les mesures techniques et contractuelles, ainsi que les politiques d’approvisionnement, peuvent également constituer des mécanismes utiles.

Pour une discussion approfondie sur les nouvelles considérations en matière de souveraineté des données, à laquelle ont participé des experts internationaux en politiques relatives aux données, veuillez consulter l’enregistrement de l’Appel mensuel sur la protection de la vie privée du 12 novembre 2025 d’AccessPrivacy (en anglais).

Refonte de la loi fédérale sur la protection des renseignements personnels dans le secteur privé

L’annonce récente du budget fédéral a indiqué que le gouvernement entendait présenter une nouvelle loi sur la protection des renseignements personnels dans le secteur privé et un projet de loi connexe établissant un tribunal chargé d’administrer un régime d’application de la loi fondé sur des sanctions à la fin de 2025 ou au début de 2026. Le projet de loi proposé par le gouvernement fédéral précédent en vue de remplacer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par la Loi sur la protection de la vie privée des consommateurs (LPVPC) a été abandonné en janvier 2025.

Le projet de loi devrait prévoir des sanctions potentiellement sévères, notamment des amendes pouvant atteindre 25 millions de dollars canadiens ou 5 % du chiffre d’affaires mondial brut, selon le montant le plus élevé, ainsi que d’autres dispositions figurant dans la version précédente de la LPVPC contenue dans le projet de loi C-27. Il devrait également inclure des mesures relatives à la souveraineté des données. Le ministre a publiquement indiqué que la protection des renseignements personnels des enfants et les technologies émergentes, telles que les « hypertrucages » générés par l’IA, constituaient des domaines prioritaires à traiter.

En outre, comme il est indiqué ci-dessous, dans la Loi n^o 1 d’exécution du budget de 2025 (la Loi d’exécution du budget) qu’il a récemment présentée, le gouvernement fédéral propose d’apporter à la LPRPDE des modifications qui accorderaient un droit à la mobilité des données à l’appui d’une approche globale du partage des données.

Stratégie fédérale en matière d’IA

Le projet de Loi sur l’intelligence artificielle et les données (LIAD) proposé précédemment a été abandonné en janvier 2025. Le gouvernement fédéral actuel a indiqué qu’il chercherait à réglementer la conception, le développement et le déploiement des technologies d’IA par le biais de lois, de politiques et d’investissements touchant la protection des renseignements personnels, plutôt que par une loi globale visant expressément l’IA.

Nous nous attendons à ce que le nouveau ministère de l’Intelligence artificielle et de l’Innovation numérique continue de déployer sa stratégie multiforme visant à [traduction] « positionner le Canada à l’avant-garde de la révolution de l’IA ». Cette stratégie comprend des initiatives telles que le Groupe consultatif sur l’IA sécuritaire et sûre, la Stratégie canadienne sur la capacité de calcul souveraine pour l’IA, l’Institut canadien de la sécurité de l’intelligence artificielle et le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés. Elle comporte également l’engagement d’un financement ciblé.

Dans le cadre du nouveau Groupe de travail sur la stratégie en matière d’intelligence artificielle, le gouvernement fédéral a organisé en octobre 2025 un « sprint » de consultation publique afin de soutenir l’élaboration d’une stratégie nationale renouvelée en matière d’IA. Attendue pour la fin de 2025, la stratégie renouvelée continuera probablement de s’appuyer sur des mécanismes politiques, plutôt que sur une réforme législative ou réglementaire globale, afin de répondre aux priorités du gouvernement en matière de soutien à la croissance de systèmes d’IA dignes de confiance au Canada.

Dans le cadre du processus de consultation publique, AccessPrivacy a organisé un atelier interactif axé sur le thème de la création de systèmes d’IA sécuritaires et du renforcement de la confiance du public dans l’IA, et a soumis une copie de l’enregistrement à Innovation, Sciences et Développement économique Canada (ISDE) [PDF; en anglais seulement].

Mise en œuvre du cadre canadien des services bancaires ouverts

Au cours des 18 prochains mois, nous pouvons nous attendre à des progrès significatifs dans la mise en œuvre du cadre canadien des services bancaires ouverts. En juin 2024, le gouvernement fédéral a adopté la Loi sur les services bancaires axés sur les consommateurs (LSBC). La LSBC vise à créer un cadre permettant aux consommateurs, y compris les petites entreprises, de partager en toute sécurité certains types de données financières entre des « entités participantes » déterminées. Parallèlement, le cadre vise à favoriser la concurrence dans le secteur financier dans l’intérêt des consommateurs.

Conformément à l’engagement qu’il a pris au moment du dépôt du budget de 2025, le gouvernement fédéral a introduit des modifications à la LSBC dans la Loi d’exécution du budget afin de compléter le cadre des services bancaires ouverts. Il a fait part de son intention d’adopter rapidement les modifications qu’il entend apporter à la LSBC.

Pour l’essentiel, la LSBC établit une structure favorisant la portabilité des données. Il convient de noter que, dans la Loi d’exécution du budget, le gouvernement a également proposé d’apporter des modifications complémentaires à la LPRPDE afin d’établir un régime de mobilité des données interopérable, qui ajoute un droit à la portabilité des données aux droits d’accès individuels existants en vertu de la loi. Les modifications devant être apportées à la LPRPDE en matière de mobilité des données donneront aux particuliers le droit de demander à des organisations visées par règlement, telles que les banques, de fournir des renseignements personnels précis (par exemple, des données financières) dans un format technologique structuré et couramment utilisé à une autre personne ou organisation autorisée à recevoir ces renseignements.

En 2026, nous prévoyons que le gouvernement fédéral accordera la priorité à l’élaboration des règlements d’application de la LPRPDE, comme le prévoient les modifications proposées, afin de mettre en œuvre le cadre de mobilité des données. Ces règlements établiront, entre autres, des mesures de sécurité et des normes d’interopérabilité pour le partage sécurisé, sur autorisation, des données prévues par règlement et prévoiront des exceptions à l’obligation de communication.

Réforme des lois provinciales sur la protection des renseignements personnels

En Alberta, le comité parlementaire chargé d’examiner la loi provinciale intitulée Personal Information Protection Act (la PIPA) a achevé son rapport en février 2025 [PDF; en anglais seulement]. Nous nous attendons à ce que l’assemblée législative de l’Alberta annonce des modifications importantes à la PIPA en 2026 sur la base des 12 recommandations du comité, qui comprennent l’introduction d’obligations précises concernant la protection des renseignements personnels des enfants, la création d’un régime d’application de la loi fondé sur des sanctions et la définition d’obligations concernant les données dépersonnalisées et anonymisées.

À la suite de la récente refonte du régime de protection des renseignements de santé au Québec en 2024, nous nous attendons à ce que d’importantes discussions aient lieu au cours des prochaines années dans d’autres provinces au sujet de la modernisation des lois sur la protection des renseignements de santé. Nous prévoyons que ces discussions, auxquelles participeront les gouvernements et les ministères de la Santé de toutes les provinces et de tous les territoires du Canada, porteront principalement sur les modifications législatives, les règlements et les politiques devant faciliter l’utilisation respectueuse des données afin d’améliorer la prestation des services de santé.

L’Ontario, l’Alberta et la Nouvelle-Écosse ont adopté d’importantes réformes législatives en matière de protection des renseignements personnels et d’accès à l’information dans le secteur public en 2024 et en 2025. Au cours des prochaines années, nous nous attendons à ce que d’autres provinces s’inspirent des tendances issues de ces lois récemment modifiées ou adoptées, notamment en ce qui a trait au resserrement des exigences suivant lesquelles les institutions publiques doivent évaluer les répercussions sur la vie privée et signaler les atteintes à la sécurité des données.

Nouvelles exigences en matière de cybersécurité pour les infrastructures essentielles   

En 2025, le gouvernement fédéral a présenté un projet de loi concernant les cybersystèmes liés aux infrastructures essentielles, dont la fonction est identique au projet de loi C-26 de la session précédente. S’il est adopté, le projet de loi C-8 établira un nouveau cadre fédéral régissant la cybersécurité des infrastructures essentielles du Canada. La loi désignera certaines organisations comme des exploitants de « cybersystèmes essentiels » et les obligera à mettre en œuvre des programmes officiels de cybersécurité, de traiter les risques liés à leurs chaînes d’approvisionnement et aux technologies de tiers, et de signaler les incidents de cybersécurité qui atteignent les seuils prescrits. Le projet de loi C-8 accordera à divers organismes de réglementation fédéraux des pouvoirs étendus en matière d’inspection, d’audit et de prise de décisions. Ces pouvoirs comprendront la possibilité d’ordonner aux exploitants de cesser les activités non conformes ou de prendre des mesures correctives particulières.

S’il est adopté, le projet de loi C-8 aura des répercussions importantes dans tous les secteurs jugés essentiels à la sécurité nationale et à la stabilité économique. Les organisations visées devront faire face à des attentes accrues en matière de cybersécurité, ce qui nécessitera une gouvernance, une gestion des risques et des mesures de protection opérationnelles plus matures. La surveillance de la chaîne d’approvisionnement et des fournisseurs deviendra plus stricte, ce qui nécessitera probablement des contrôles diligents accrus, des protections contractuelles et une surveillance continue des dépendances vis-à-vis de tiers. Les obligations en matière de signalement des incidents et de transparence réglementaire seront renforcées, ce qui pourrait entraîner des examens de suivi ou des mesures correctives obligatoires. Les conseils d’administration et les hautes directions verront leurs obligations de conformité élargies, y compris leur responsabilité en termes de préparation à la cybersécurité, de processus de certification et d’allocation des ressources.

Dans l’ensemble, le projet de loi C-8 rehaussera considérablement les fondements de la réglementation de la cybersécurité au Canada, ce qui favorisera une gestion plus proactive des risques et une surveillance plus stricte des systèmes qui soutiennent les infrastructures essentielles à l’échelle nationale. Étant donné que le précédent projet de loi C-26 a été adopté en troisième lecture et n’a pas été approuvé par le Sénat uniquement en raison d’une erreur de rédaction, nous prévoyons que le projet de loi C-8, dans sa forme actuelle, sera adopté sans modification importante en 2026.

Perspectives

Compte tenu de l’introduction prévue de divers nouveaux cadres législatifs en matière de protection des renseignements personnels et des données, y compris une nouvelle loi fédérale sur la protection des renseignements personnels dans le secteur privé qui prévoira probablement des mécanismes rigoureux d’application de la loi, il est essentiel que les entreprises faisant affaire au Canada aient une compréhension approfondie de leurs pratiques en la matière et mettent en œuvre des obligations de gouvernance interne documentées. Des lois ciblées visant, en particulier, les infrastructures essentielles et les services bancaires ouverts introduiront des obligations particulières pour certains secteurs et certaines industries. Plus généralement, nous nous attendons à ce que les changements géopolitiques influent sur les priorités des législateurs et des autorités de réglementation dans toutes les provinces et tous les territoires du Canada. Les entreprises doivent s’attendre à ce que ces discussions et ces changements, en particulier en ce qui concerne la souveraineté des données et l’IA, aient de profondes répercussions sur les paysages commercial, juridique et politique au Canada.