Rapport

Principales obligations par thème Principales obligations par thème

9 juillet 2026 161 MIN DE LECTURE
Télécharger le rapport [PDF]

Fins acceptables et raisonnables

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC conserve le standard de la personne raisonnable de la LPRPDE pour les fins acceptables, mais introduit désormais une liste non exhaustive de facteurs permettant d’évaluer le caractère acceptable et rend toute contravention à cette norme passible de sanctions pécuniaires.
  • Principal changement par rapport à la LPVPC : Les facteurs sont désormais indicatifs plutôt qu’exhaustifs, et le standard des fins acceptables (que la LPVPC excluait du régime de sanctions) est désormais passible de sanctions pécuniaires.

L’article 12(1) de la LPVPDC reprend le standard de la personne raisonnable de la LPRPDE : une organisation ne peut « recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins et d’une manière qu’une personne raisonnable estimerait acceptables dans les circonstances ».

L’article 12(2) énonce une liste non exhaustive d’éléments à prendre en compte, le cas échéant, pour établir le caractère acceptable :

  • la mesure dans laquelle les renseignements personnels sont de caractère sensible;
  • le fait que les fins visées correspondent à des besoins commerciaux légitimes de l’organisation;
  • le degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre aux besoins commerciaux légitimes de l’organisation;
  • l’existence ou non de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées à un coût et avec des avantages comparables;
  • la proportionnalité entre l’atteinte à la vie privée de l’individu et les avantages pour l’organisation, au regard des moyens, techniques ou autres, mis en place par l’organisation afin d’atténuer les effets de l’atteinte pour l’individu.

Cette approche codifie en grande partie l’analyse du caractère raisonnable en quatre volets élaborée par les tribunaux sous le régime de la LPRPDE, qui a servi de fondement au Document d’orientation du CPVP sur les pratiques inacceptables du traitement des données.

Une contravention à l’article 12(1) est désormais passible d’une sanction pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113(1)c) et art. 114).

Détermination des fins et minimisation des données

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC reprend les obligations de la LPRPDE d’établir et de consigner les fins de la collecte et de limiter la collecte à ce qui est nécessaire, mais les reformule en obligations contraignantes assorties de sanctions pécuniaires.
  • Principal changement par rapport à la LPVPC : Aucun ou non significatif.

Les articles 12(3) et (4) exigent que l’organisation établisse, au plus tard au moment de la collecte, les fins auxquelles les renseignements personnels sont ou seront recueillis, utilisés et communiqués, et qu’elle consigne ces fins (art. 12(3)). Toute fin nouvelle doit être consignée avant l’utilisation ou la communication des renseignements personnels à cette nouvelle fin (art. 12(4)).

L’article 13 limite la collecte aux renseignements personnels « nécessaires » aux fins consignées en application de l’article 12(3).

Ces obligations reprennent en grande partie les exigences existantes de la LPRPDE relatives à la détermination, à la consignation et à la limitation de la collecte, mais les inscrivent dans des dispositions contraignantes de la loi plutôt que dans l’annexe 1 de la LPRPDE. L’article 13 ne reprend pas l’exigence de la LPRPDE voulant que les renseignements soient recueillis « de façon honnête et licite ».

La collecte de renseignements personnels au-delà de ce qui est nécessaire peut entraîner des sanctions pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113(1)c) et d) et art. 114).

Dispositions relatives à la responsabilité

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit une obligation légale de mettre en œuvre un programme de gestion de la protection des renseignements personnels et de donner à la Commission accès, sur demande, à ses politiques, pratiques et procédures en matière de protection de la vie privée.
  • Principal changement par rapport à la LPVPC : Aucun ou non significatif.

La LPCPDC clarifie la notion d’« organisation responsable » et énonce plusieurs dispositions relatives à la responsabilité démontrable. À l’instar de la LPRPDE, les organisations sont « responsables » des renseignements personnels qui relèvent d’elles (art. 7(1)). La LPVPDC précise que les renseignements personnels relèvent de l’organisation « qui décide de les recueillir et établit les fins pour lesquelles ils sont recueillis, utilisés ou communiqués, qu’elle les recueille, utilise ou communique elle-même ou qu’un fournisseur de services le fasse pour elle » (art. 7(2)).

Les organisations sont tenues de désigner un ou plusieurs individus chargés de veiller au respect de la loi (art. 8(1)). Elles doivent également mettre en œuvre et tenir à jour un programme de gestion de la protection des renseignements personnels comprenant des politiques, des pratiques et des procédures destinées à remplir leurs obligations sous le régime de la loi et qui tient compte du volume et du caractère sensible des renseignements personnels qui relèvent d’elles (art. 9(1) et (2)).

Sur demande (c.-à-d. sans avoir besoin de motifs raisonnables), la Commission peut exiger que les organisations lui donnent accès aux documents de leur programme de gestion de la protection des renseignements personnels (art. 10(1)). Après examen, la Commission peut fournir des conseils ou recommander des mesures correctives (art. 10(2)). Les organisations peuvent aussi demander volontairement des conseils au sujet de leur programme (art. 76(c)(v)).

Il importe de noter que le Commissaire ne peut utiliser les renseignements obtenus par le mécanisme d’examen du programme (art. 10 ou art. 7(c)(v)) pour prendre l’initiative d’une plainte ou procéder à une vérification, sauf s’il estime que l’organisation a volontairement ignoré les mesures correctives recommandées à l’égard de son programme (art. 10(1), art. 76(c)(v) et art. 87).

L’omission de mettre en œuvre ou de tenir à jour un programme de gestion de la protection des renseignements personnels constitue une contravention énumérée pouvant entraîner des sanctions pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113(1)a)).

Fournisseurs de services

Faits saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit une définition de « fournisseur de services » et précise les obligations applicables aux fournisseurs de services. La LPVPDC codifie également l’orientation existante du CPVP selon laquelle un transfert à un fournisseur de services ne constitue pas une communication de renseignements personnels nécessitant un consentement. L’organisation doit toutefois s’assurer, par contrat ou autrement, qu’un niveau de protection équivalent est assuré.
  • Principal changement par rapport à la LPVPC : Aucun ou non significatif.

La LPVPDC introduit une nouvelle définition de « fournisseur de services », soit une organisation, y compris une société mère, une filiale, une société affiliée, un entrepreneur ou un sous-traitant, qui fournit des services pour le compte d’une autre organisation ou en son nom afin de lui permettre de réaliser ses fins (art. 2(1)).

Les fournisseurs de services ne sont directement assujettis qu’aux exigences de protection de la LPVPDC et à l’obligation d’aviser dès que possible l’organisation responsable de toute atteinte aux mesures de sécurité (art. 56 et 61). Les fournisseurs de services ne sont pas assujettis aux autres obligations — notamment celles relatives à la responsabilité, au consentement, à la conservation, à l’exactitude, aux droits d’accès, à la transparence, à la mobilité des données et à d’autres exigences — à l’égard des renseignements personnels qui leur sont transférés par une organisation responsable (art. 11(2)). Toutefois, un fournisseur de services qui recueille, utilise ou communique des renseignements personnels à toute autre fin que celles pour lesquelles ils lui ont été transférés devient une organisation responsable assujettie à l’ensemble des obligations de la LPVPDC (art. 11(2)).

Les organisations responsables qui transfèrent des renseignements personnels à des fournisseurs de services n’ont pas à obtenir le consentement des individus concernés pour ce transfert (art. 19). Elles doivent toutefois veiller, par contrat ou autrement, à ce que le fournisseur de services assure une protection « équivalente » à ce que l’organisation est tenue d’offrir sous le régime de la loi (art. 11(1)). Il s’agit d’une norme plus élevée que sous la LPRPDE, qui exige un degré de protection « comparable ».

Lorsqu’une organisation procède au retrait de renseignements personnels à la demande d’un individu, elle doit en informer tout fournisseur de services à qui elle a transféré les renseignements et veiller à ce que celui-ci procède aussi à leur retrait (art. 54(5)).

L’omission d’assurer une protection équivalente constitue une contravention énumérée pouvant entraîner des sanctions pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113(1)b)).

Transferts et communications à l’extérieur du Canada

Points saillants

  • Principal changement par rapport à la LPRPDE : Nouvelles exigences imposant la réalisation d’une évaluation des facteurs relatifs à la vie privée et la mise en œuvre de mesures d’atténuation des risques avant de transférer des renseignements personnels à l’extérieur du Canada.
  • Principal changement par rapport à la LPVPC : L’exigence de réalisation d’une évaluation des facteurs relatifs à la vie privée pour les transferts transfrontaliers de la LPVPDC ne figurait pas dans la LPVPC.

Avant de transférer ou de communiquer des renseignements personnels à l’extérieur du Canada, les organisations doivent 

  • réaliser une évaluation des facteurs relatifs à la vie privée conformément aux exigences réglementaires (art. 57(1)a));
  • mettre en place des mesures de réduction des risques cernés dans le cadre de l’évaluation (p. ex., des mesures contractuelles de protection, l’adhésion à un code de pratique ou à un programme de certification approuvé, ou toute autre mesure réglementaire) (art. 57(1)b));
  • donner à la Commission accès à une copie de l’évaluation sur demande (art. 57(2)).

L’organisation doit également faire preuve de transparence quant à la question de savoir si elle transfère ou communique ou non des renseignements personnels à l’échelle interprovinciale ou à l’extérieur du Canada d’une manière pouvant avoir des répercussions prévisibles sur la vie privée (art. 62(2)), comme expliqué dans la section « Transparence et ouverture » ci-dessous.

Bien que la LPVPDC ne prescrive pas de clauses types à utiliser pour les transferts internationaux de données, elle prévoit que la Commission peut collaborer avec toute personne pour élaborer des contrats ou d’autres documents types portant sur le transfert interprovincial ou international de renseignements personnels (art. 81(2)c)).

Codes de pratiques et programmes de certification

Points saillants

  • Principal changement par rapport à la LPRPDE : Alors que la LPRPDE envisageait la notion de codes de pratique en chargeant le Commissaire d’« encourager » les organisations à élaborer des codes de pratique pour respecter leurs obligations légales, la LPVPDC confère une reconnaissance législative accrue tant aux codes de pratique qu’aux programmes de certification (art. 92 à 96).
  • Principal changement par rapport à la LPVPC : Les dispositions de la LPVPDC sur les codes de pratique et les certifications sont essentiellement similaires à celles de la LPVPC.

La LPVPDC confère une reconnaissance législative aux codes de pratique et aux programmes de certification connexes (art. 92 à 96).

Les principaux critères des codes et des programmes de certification seront énoncés dans les règlements, mais le contenu de tout code ou programme de certification doit offrir « une protection des renseignements personnels équivalente ou supérieure à tout ou partie de celle prévue sous le régime » de la LPVPDC (art. 93(1)). Les programmes de certification administrés par des entités devront comporter des mécanismes de vérification indépendante et des mesures disciplinaires en cas de non-conformité au code (art. 93(1)d) et art. 93(2)).

Toute entité, y compris toute institution gouvernementale et toute organisation, peut demander à la Section l’approbation d’un code ou d’un programme de certification (art. 92(2) et 93(1)). La Section peut accorder formellement son approbation si elle est satisfaite que le code ou le programme de certification est conforme aux critères prévus par les règlements (art. 92(3) et 93(2)). La décision de la Section doit être rendue dans le délai précisé par les règlements et doit être rendue publique (art. 94 et 95).

La conformité à un code ou à un programme de certification n’exempte pas une organisation de ses obligations sous le régime de la LPVPDC (art. 96).

La LPVPDC confère au Commissaire le pouvoir de demander des renseignements à une entité qui gère un programme de certification approuvé, de collaborer avec une telle entité, de recommander à l’entité de retirer la certification à une organisation dans les circonstances prévues par règlement, et de révoquer l’approbation d’un programme de certification dans les circonstances prévues par règlement (art. 85(2)a) à d)).

Le Commissaire a aussi le pouvoir de refuser de procéder à l’examen d’une plainte lorsque, entre autres motifs, la plainte soulève une question qui fait l’objet d’un programme de certification approuvé et que l’organisation est certifiée dans le cadre de ce programme (art. 98(1)).

Il convient de noter qu’une pénalité ne peut être infligée si une organisation se conformait à un programme de certification approuvé au moment de la contravention (art. 113(3)a)). Le droit privé d’action demeure toutefois ouvert pour la contravention (art. 132).

Renseignements personnels des enfants

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit une définition d’« enfant » (défini comme « un individu âgé de moins de dix-huit ans ») et inclut les renseignements personnels d’un enfant dans la définition du « caractère sensible ».
  • Principal changement par rapport à la LPVPC : La LPVPDC introduit un facteur lié à la « protection des intérêts des enfants » dont la Commission, le Commissaire et la Section doivent tenir compte dans l’exercice de leurs attributions.

La LPVPDC introduit des dispositions expresses concernant les renseignements personnels des enfants.

Définition d’« enfant »

La LPVPDC définit un « enfant » comme un individu âgé de moins de dix-huit ans (art. 2(1)) et inclut les renseignements personnels d’un enfant dans la définition du « caractère sensible » (art. 2(1)).

Le caractère sensible des renseignements a une incidence sur certaines exigences de la LPVPDC, notamment celles relatives aux programmes de gestion de la protection des renseignements personnels, aux fins « acceptables », à la forme du consentement, aux périodes de conservation, aux mesures de sécurité, à la déclaration et à la notification des atteintes, à la transparence et aux procédés techniques et administratifs de dépersonnalisation (art. 9(2), art. 12(2)a), art. 15(5), 52(2), 56(1), art. 58(8)a), 62(2)e) et 74)).

Droits et recours

La LPVPDC comporte des protections propres aux enfants. Bien qu’il n’existe pas d’exigence expresse de consentement parental, les droits et recours prévus par la loi pourraient être exercés au nom d’un enfant par un parent ou un tuteur, à moins que l’enfant ne souhaite exercer ces droits personnellement et qu’il en soit capable (art. 4a)).

Les enfants bénéficient également d’un droit au retrait renforcé : une organisation ne peut refuser une demande de retrait des renseignements personnels d’un enfant au motif que le retrait aurait un effet négatif excessif sur l’exactitude ou l’intégrité des renseignements nécessaires à la prestation continue d’un produit ou d’un service à l’individu (art. 54(2)d)).

La protection des intérêts des enfants

La « protection des intérêts des enfants » est un facteur d’interprétation obligatoire dont la Commission, le Commissaire et la Section doivent chacun tenir compte dans l’exercice de leurs attributions sous le régime de la LPVPDC (art. 77d), 86d) et 90d)). Bien qu’aucune pénalité ne soit spécifiquement rattachée à une exigence relative aux données des enfants, le fait de ne pas tenir dûment compte du caractère sensible de ces renseignements pourrait mener à la conclusion qu’une organisation a omis de se conformer aux exigences de la LPVPDC en matière de consentement, de transparence, de responsabilité, de déclaration des atteintes ou à d’autres exigences, et pourrait exposer l’organisation à l’imposition d’une pénalité pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (al. 113(1)g)).

Exigences de consentement et retrait

Points saillants

  • Principal changement par rapport à la LPRPDE : La définition d’un consentement valable a été supprimée et remplacée par des exigences plus prescriptives en matière d’avis, au moment de la collecte ou avant celle-ci, pour qu’un consentement soit valable.
  • Principal changement par rapport à la LPVPC : Aucun ou non significatif.

Sous le régime de la LPVPDC, les organisations ne peuvent recueillir, utiliser ou communiquer des renseignements personnels qu’avec le consentement, sauf si une exception législative s’applique (art. 15(1)). Cette approche ancre le consentement comme principale base légale de traitement des renseignements personnels sous le régime de la loi, comme c’était le cas sous la LPRPDE.

Forme du consentement

La LPVPDC établit que le consentement requis pour recueillir, utiliser et communiquer des renseignements personnels doit être « obtenu expressément » (c.-à-d. consentement « opt-in ») (art. 15(1) et 15(5)). Le consentement implicite constitue une exception à cette exigence générale et ne peut être utilisé que lorsqu’il est « approprié » de le faire, compte tenu des attentes raisonnables de l’individu et du caractère sensible des renseignements personnels (art. 15(5)). Cette approche en matière de consentement est largement conforme à la manière dont le CPVP a interprété et appliqué les exigences de consentement de la LPRPDE.

La LPVPDC prévoit en outre qu’il n’est « pas approprié » d’invoquer le consentement implicite si les renseignements personnels sont recueillis ou utilisés au titre d’une exception au consentement pour des « activités d’affaires » déterminées, ou s’ils sont recueillis, utilisés ou communiqués en vertu d’une exception au consentement pour « intérêt légitime » (art. 15(6)). Voir la section Exceptions au consentement.

Exigences relatives à un consentement valable

La LPVPDC introduit des exigences précises concernant à la fois le contenu et l’accessibilité des renseignements que les organisations doivent fournir aux individus lorsqu’elles sollicitent leur consentement à la collecte, à l’utilisation ou à la communication de leurs renseignements personnels. Sous le régime de la LPVPDC, les organisations doivent, au plus tard au moment de l’obtention du consentement et dans un « langage clair », fournir les renseignements suivants aux individus :

  • les fins de la collecte, de l’utilisation ou de la communication, établies et consignées en application des articles 12(3) ou (4) de la LPVPDC;
  • la manière dont les renseignements personnels seront recueillis, utilisés ou communiqués;
  • toute conséquence raisonnablement prévisible;
  • le type précis de renseignements personnels qui seront recueillis, utilisés ou communiqués;
  • le nom des tiers ou les catégories types de tiers auxquels les renseignements pourraient être communiqués (art. 15(3) et (4)).

Ces exigences reflètent les orientations publiées antérieurement par le CPVP dans ses Lignes directrices pour l’obtention d’un consentement valable, ainsi que la notion de consentement « valable » sous le régime de la LPRPDE, qui exige qu’un individu comprenne la « nature, les fins et les conséquences » de la collecte, de l’utilisation ou de la communication de ses renseignements personnels.

Consentement obtenu par subterfuge

La LPVPDC introduit une interdiction élargie empêchant les organisations d’obtenir — ou de tenter d’obtenir — le consentement d’un individu en fournissant des renseignements faux ou trompeurs ou en recourant à des pratiques trompeuses ou mensongères (art. 16). Tout consentement ainsi obtenu sera considéré comme invalable et ne pourra être invoqué par une organisation comme autorité licite pour la collecte, l’utilisation ou la communication de renseignements personnels.

Une organisation qui contrevient à cette interdiction peut s’exposer à l’imposition d’une sanction pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113(1)g)).

Retrait du consentement

À l’instar de la LPRPDE, la LPVPDC reconnaît que les individus peuvent, s’ils en avisent l’organisation suffisamment à l’avance, retirer leur consentement à la collecte, à l’utilisation ou à la communication de leurs renseignements personnels, sous réserve de la LPVPDC, du droit fédéral ou provincial et de toute restriction contractuelle raisonnable (art. 17(1)). Les organisations doivent informer les individus des conséquences de leur retrait et, dès que possible, cesser la collecte, l’utilisation ou la communication des renseignements personnels visés par le retrait (art. 17(2)).

Exceptions au consentement (incluant les activités d’affaires et l’intérêt légitime)

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit de nouvelles exceptions au consentement pour la collecte et l’utilisation de renseignements personnels aux fins de certaines activités d’affaires définies, ainsi que pour la collecte, l’utilisation et la communication de renseignements personnels lorsque l’organisation a un intérêt légitime qui l’emporte sur tout effet négatif raisonnablement prévisible. 
  • Principal changement par rapport à la LPVPC : La LPVPDC étend l’exception relative à l’intérêt légitime à la communication, en plus de la collecte et de l’utilisation déjà visées par l’exception sous le régime de la LPVPC. De plus, sous la LPVPC, le seuil pertinent renvoyait à « tout effet négatif potentiel », tandis que la LPVPDC adopte la formulation plus nuancée de « tout effet négatif raisonnablement prévisible » pouvant résulter de la collecte, de l’utilisation ou de la communication, ce qui pourrait offrir aux organisations une certaine souplesse accrue pour invoquer l’exception.

Activités d’affaires

La LPVPDC introduit une nouvelle exception au consentement pour la collecte et l’utilisation de renseignements personnels aux fins d’activités d’affaires courantes (art. 18(1)). Les organisations peuvent invoquer cette exception pour leur utilisation — mais non leur communication — de renseignements personnels lorsque cette utilisation s’inscrit dans le cadre des activités d’affaires visées à l’article 18(2). Le recours à cette exception est toutefois subordonné à deux conditions cumulatives :

  • la collecte doit être faite à une fin à laquelle une personne raisonnable s’attendrait (art. 18(1)a));
  • les renseignements personnels en cause ne doivent pas être recueillis ni utilisés « en vue d’influencer le comportement ou les décisions de l’individu » (art. 18(1)b)).

Les activités d’affaires prévues sont rédigées en termes neutres sur le plan technologique et ne sont pas exhaustives, car des activités supplémentaires peuvent être ajoutées par règlement. À l’heure actuelle, ces activités comprennent :

  • les activités nécessaires à la fourniture d’un produit ou à la prestation d’un service demandé par l’individu;
  • les activités nécessaires à la protection de la sécurité de l’information, des systèmes ou des réseaux de l’organisation;
  • les activités nécessaires pour assurer la sécurité d’un produit ou d’un service fourni par l’organisation. Une fois édictée, cette exception fournira aux organisations un fondement législatif pour les activités de traitement opérationnelles qui étaient auparavant traitées par le recours au consentement implicite sous la LPRPDE.

Intérêts légitimes

La LPVPDC introduit une nouvelle exception permettant aux organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels sans le consentement lorsque le traitement est fait en vue d’une activité dans laquelle l’organisation a un intérêt légitime qui l’emporte sur tout effet négatif raisonnablement prévisible pour l’individu (art. 18(3)). Le recours à cette exception est subordonné à deux conditions cumulatives :

  • une personne raisonnable s’attendrait à la collecte, à l’utilisation ou à la communication en vue d’une telle activité;
  • les renseignements personnels ne sont pas recueillis, utilisés ou communiqués en vue d’influencer le comportement ou les décisions de l’individu (art. 18(3)a) et b)).

Une fois qu’une organisation a déterminé que la collecte, l’utilisation ou la communication de renseignements personnels envisagée satisfait aux conditions mentionnées ci-dessus, la LPVPDC exige qu’elle prenne des mesures additionnelles, notamment 

  • préciser et décrire l’intérêt légitime qu’elle a dans l’activité envisagée;
  • procéder à, conformément aux exigences légales prévues, une évaluation des facteurs relatifs à la vie privée dans laquelle elle doit déceler tout effet négatif raisonnablement prévisible pour l’individu susceptible de résulter de la collecte, de l’utilisation ou de la communication;
  • trouver et prendre des moyens raisonnables pour réduire la probabilité que ces effets se produisent ou pour les atténuer ou les éliminer (art. 18(4)).

L’organisation doit consigner la description de son intérêt légitime, et une copie de cette consignation doit être fournie au Commissaire sur demande (art. 18(5)).

Transferts à des fournisseurs de services

La LPVPDC introduit une exception législative expresse à l’exigence de consentement pour les transferts de renseignements personnels à des fournisseurs de services (art. 19). Cette disposition codifie en grande partie la position de longue date du CPVP sous la LPRPDE selon laquelle un transfert de renseignements personnels à un fournisseur de services, lorsque les renseignements ne sont utilisés qu’aux fins pour lesquelles ils ont été initialement recueillis, est généralement considéré comme une utilisation par l’organisation plutôt que comme une communication nécessitant un consentement distinct.

Les organisations doivent respecter les obligations de responsabilité lorsqu’elles transfèrent des renseignements personnels à un fournisseur de services. Voir la section Fournisseurs de services.

Dépersonnalisation et anonymisation

La LPVPDC crée une exception expresse au consentement permettant aux organisations d’utiliser des renseignements personnels pour les dépersonnaliser ou les anonymiser (art. 20).

Recherche, analyse et développement internes

La LPVPDC prévoit une exception à l’exigence de consentement pour l’utilisation de renseignements personnels à des fins de recherche, d’analyse et de développement internes de l’organisation, à condition que les renseignements soient dépersonnalisés (conformément au standard prévu par la LPVPDC) avant d’être utilisés à ces fins (art. 21). La portée des « fins de recherche, d’analyse et de développement internes » est large et pourrait donc être interprétée comme englobant des activités telles que l’analytique, l’intelligence artificielle, l’apprentissage automatique et d’autres activités de développement axées sur les données.

Transactions commerciales

La LPVPDC énonce une exception à l’exigence de consentement pour l’utilisation et la communication de renseignements personnels dans le cadre de transactions commerciales éventuelles ou conclues (art. 22). À l’instar de la LPRPDE, cette disposition permet aux parties à une transaction de partager des renseignements personnels lorsque certaines conditions sont remplies, notamment des exigences relatives à la protection des renseignements et à la transmission d’un avis aux individus concernés après la conclusion de la transaction.

La LPVPDC restreint toutefois considérablement cette exception en exigeant que les renseignements personnels soient dépersonnalisés avant d’être utilisés ou communiqués dans le cadre d’une transaction éventuelle, et qu’ils le demeurent jusqu’à la conclusion de la transaction. Cette exigence de dépersonnalisation ne s’applique pas lorsque 

  • la dépersonnalisation nuirait à la réalisation des objectifs de la transaction;
  • l’organisation a tenu compte du risque de préjudice pour l’individu pouvant résulter de l’utilisation ou de la communication des renseignements (art. 22(2)).

Détection de la fraude

La LPVPDC introduit une exception expresse à l’exigence de consentement pour la collecte et l’utilisation de renseignements personnels à des fins de détection, de suppression ou de prévention de la fraude (art. 27(2)). Cette disposition comble une lacune technique de l’exception relative à la fraude de la LPRPDE, qui permettait expressément la communication de renseignements personnels à une autre organisation à ces fins, mais ne comportait pas d’exception correspondante pour la collecte ou l’utilisation de renseignements personnels.

Communication liée à la lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes

À l’instar de la LPRPDE, la LPVPDC comporte une exception au consentement permettant la communication (ainsi que la collecte et l’utilisation correspondantes) de renseignements personnels sans consentement lorsque la communication est faite à une autre organisation au titre de l’article 11.01(1) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (art. 41).

Le défaut d’obtenir un consentement valide, ou l’utilisation ou la communication de renseignements personnels à une fin secondaire sans consentement (ou sans qu’une exception s’applique) (art. 14(1); 15(1)), pourrait exposer une organisation à l’imposition d’une pénalité pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (al. 113(1)f)).

Transparence et ouverture

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC impose un standard plus élevé pour les renseignements sur les politiques et pratiques de protection de la vie privée d’une organisation, qui doivent être fournis aux individus dans un « langage clair » plutôt que sous une forme « généralement compréhensible ». La LPVPDC élargit également la portée des renseignements qui doivent être mis à la disposition des individus.
  • Principal changement par rapport à la LPVPC : Les dispositions de la LPVPDC sur l’ouverture et la transparence sont essentiellement similaires à celles de la LPVPC.

La LPVPDC exige que les organisations rendent facilement accessibles, « dans un langage clair », les renseignements expliquant leurs politiques et pratiques (art. 62(1)). La LPRPDE impose un standard moindre, qui exige des organisations qu’elles fassent preuve de transparence au sujet de leurs politiques et qu’elles rendent les renseignements facilement accessibles sous une forme « généralement compréhensible » (annexe 1, principe 4.8).

La LPVPDC complète les exigences de transparence de la LPRPDE en énonçant le nouveau contenu obligatoire suivant (art. 62(2)) 

  • la façon dont l’organisation applique les exceptions au consentement, y compris une description des activités dans lesquelles elle a un l’intérêt légitime (art. 62(2)b));
  • une explication générale de l’usage que l’organisation fait de tout système décisionnel automatisé pour faire des prédictions, formuler des recommandations ou prendre des décisions qui pourraient avoir des effets juridiques pour les individus concernés ou qui, de façon similaire, pourraient avoir une incidence importante sur ces derniers (art. 62(2)c));
  • le fait que l’organisation effectue ou non des transferts ou communications de renseignements personnels interprovinciaux ou à l’extérieur du Canada pouvant avoir des répercussions raisonnablement prévisibles sur la vie privée (art. 62(2)d));
  • les périodes de conservation établies pour les renseignements personnels de caractère sensible (art. 62(2)e));
  • la manière dont les individus peuvent présenter une demande de retrait de leurs renseignements (art. 62(2)f)).

En outre, la LPVPDC exige que les organisations donnent un avis sur leurs politiques et pratiques mises en place « pour se conformer aux obligations qui lui incombent sous le régime de la présente loi ». Cette dernière formulation se distingue de celle de la LPRPDE, qui prévoit que les organisations doivent donner un avis sur leurs politiques et pratiques « concernant la gestion des renseignements personnels ».

L’omission de respecter les obligations d’ouverture et de transparence prévues à l’article 62(1) de la LPVPDC constitue une contravention énumérée pouvant entraîner des sanctions pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113n) et art. 114).

Systèmes décisionnels automatisés

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit des exigences relatives aux systèmes décisionnels automatisés.
  • Principal changement par rapport à la LPVPC : La LPVPDC comporte désormais un droit pour les individus de présenter des observations à un employé de l’organisation en mesure de réviser la décision. En matière de transparence relative aux systèmes décisionnels automatisés, la LPVPDC modifie le seuil de déclenchement prévu par la LPVPC. Alors que la LPVPC exigeaient des organisations qu’elles fournissent une description générale de leur utilisation de tout système décisionnel automatisé servant à faire des prédictions, formuler des recommandations ou prendre des décisions concernant des individus lorsque cette utilisation pouvait avoir une « incidence importante » sur ceux-ci, la LPVPDC élargit ce critère : l’obligation s’applique désormais dès lors que le système est susceptible de produire des « effets juridiques, ou, de façon similaire, d’avoir une incidence importante » sur les individus concernés (art. 62(2)(c)).

À l’instar d’autres cadres modernes de protection de la vie privée, dont la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la Loi sur le secteur privé du Québec), la LPVPDC introduit des exigences relatives à l’utilisation des « systèmes décisionnels automatisés », définis comme toute « technologie utilisant des systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond, des réseaux neuronaux ou d’autres techniques afin d’appuyer ou de remplacer le jugement de décideurs humains » (art. 2(1)). L’emploi du mot « appuyer » indique que ces exigences ne se limitent pas aux décisions entièrement automatisées — par exemple, un algorithme servant à signaler des demandes en vue d’un examen humain pourrait être visé.

Lorsque des systèmes décisionnels automatisés sont utilisés pour faire des prédictions, formuler des recommandations ou prendre des décisions concernant des individus qui pourraient avoir des effets juridiques ou, de façon similaire, une incidence importante, les exigences suivantes s’appliquent :

  • Ouverture : Les organisations doivent rendre accessible une explication générale de l’usage qui est fait d’un tel système, dans le cadre de leurs obligations d’ouverture et de transparence (art. 62(2)c)).
  • Accès/explication : Sur demande, les organisations doivent fournir, dans un langage clair, une explication de toute prédiction, recommandation ou décision, qui doit indiquer le type de renseignements personnels utilisés, la provenance de ces renseignements ainsi que les motifs ou les principaux facteurs ayant mené à la prédiction, à la recommandation ou à la décision (art. 63(4) et (5) et 66(1)).
  • Observations écrites : Les organisations doivent donner à l’individu l’occasion de présenter, par écrit, ses observations à un employé en mesure de réviser la prédiction, la recommandation ou la décision (art. 63(6)). Cette exigence ne figurait pas dans la LPVPC, bien qu’elle reflète une exigence de la Loi sur le privé du Québec.

Contrairement à certains cadres internationaux de protection de la vie privée, par exemple le Règlement général sur la protection des données (RGPD) de l’Union européenne, la LPVPDC ne prévoit pas de droit exprès de s’opposer aux décisions automatisées.

L’omission de respecter les obligations d’ouverture et de transparence relatives à l’utilisation de systèmes décisionnels automatisés pourrait exposer une organisation à l’imposition d’une pénalité pouvant atteindre 10 millions de dollars ou 3 % des revenus globaux bruts, selon le plus élevé des deux montants (art. 113(1)n)).

Atteintes aux mesures de sécurité

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit une obligation législative pour les fournisseurs de services d’aviser l’organisation de qui relèvent les renseignements de toute atteinte aux mesures de sécurité les concernant.
  • Principal changement par rapport à la LPVPC : Aucun ou non significatif.

La LPVPDC comporte un cadre de déclaration des atteintes aux mesures de sécurité qui demeure essentiellement similaire au régime actuel de la LPRPDE.

Les organisations doivent déclarer à la Commission et aviser les individus concernés de toute atteinte aux mesures de sécurité touchant des renseignements personnels qui relèvent d’elles lorsqu’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un « risque réel de préjudice grave » pour un individu (art. 58). Tant la déclaration que l’avis sont exigés dès que possible après que l’organisation a conclu qu’il y a eu atteinte. La question de savoir si le seuil est atteint dépend du caractère sensible des renseignements, de la probabilité de mauvaise utilisation et de tout autre facteur réglementaire (art. 58(8)).

Lorsqu’une autre organisation ou institution gouvernementale peut être en mesure de réduire le risque de préjudice, l’organisation doit également l’aviser (art. 59). Par ailleurs, les organisations doivent tenir un registre de toutes les atteintes, qu’elles atteignent ou non le seuil du « risque réel de préjudice grave » (art. 60).

La LPVPDC codifie l’obligation pour un fournisseur de services qui conclut à une atteinte aux mesures de sécurité ayant trait à des renseignements personnels d’en aviser, dès que possible, l’organisation dont relèvent les renseignements. Cette obligation n’est pas conditionnelle à l’existence d’un « risque réel de préjudice grave » (art. 61).

La forme, le contenu et les exigences de tenue de registres seront précisés par règlement.

La Commission peut imposer des pénalités pour le non-respect des exigences d’avis (art. 58) ou des exigences de mises en œuvre de mesures de sécurité (art. 56(1)), avec des amendes pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 113(1)). Les contraventions commises sciemment aux exigences d’avis des atteintes (art. 58) ou de tenue de registres (art. 60(1)) peuvent faire l’objet de poursuites pénales, passibles d’amendes pouvant atteindre 25 millions de dollars ou 5 % des recettes globales brutes, selon le plus élevé des deux montants (art. 145).

Droit d’information, d’accès et de rectification

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC confère aux individus des droits d’accès à leurs renseignements personnels et de rectification de ceux-ci essentiellement identiques. Les renseignements dépersonnalisés sont exclus de la portée des droits d’accès et de rectification.
  • Principal changement par rapport à la LPVPC : Contrairement à la LPVPDC, la LPVPC n’excluait pas la dépersonnalisation de la portée du droit d’accès.

À l’instar de la LPRPDE, la LPVPDC confère aux individus le droit d’accéder aux renseignements personnels qu’une organisation détient à leur sujet et de faire corriger les renseignements inexacts.

Sur demande, une organisation doit indiquer à l’individu si elle détient des renseignements personnels le concernant, quel est l’usage qu’elle en fait et si elle les a communiqués, et lui donner accès à ces renseignements (art. 63(1)). Si l’organisation a communiqué les renseignements, elle doit indiquer les tiers ou les catégories de tiers à qui la communication a été faite (art. 63(3)).

Une organisation n’est pas tenue de donner suite à une demande d’accès à l’égard de renseignements personnels dépersonnalisés (art. 63(2)).

Forme de la demande, aide et langage clair

À l’instar de la LPRPDE, la LPVPDC prévoit qu’une demande doit être présentée par écrit, et que l’organisation doit prêter assistance à tout individu ayant besoin d’aide pour la préparer (art. 64). L’organisation doit fournir les renseignements demandés dans un langage clair et donner accès aux renseignements sur un support de substitution à un individu ayant une déficience sensorielle lorsqu’une version existe déjà ou que son transfert sur un tel support est raisonnable et nécessaire (art. 66(1) et (2)).

Délais et coût

Une organisation doit répondre à la demande avec diligence et au plus tard 30 jours suivant sa réception (art. 67(1)), avec la possibilité de prolonger ce délai d’au plus 30 jours dans certaines circonstances limitées, ce qui demeure essentiellement inchangé par rapport à la LPRPDE (art. 67(2)).

Une organisation qui refuse une demande doit motiver son refus par écrit et informer l’individu des recours dont il dispose; l’absence de réponse dans le délai prévu est réputée constituer un refus (art. 67(3) et (4)). Une organisation ne peut exiger de frais pour répondre à une demande, sauf si elle a informé l’individu du coût approximatif et que ce coût est minime (art. 68).

Refus d’accès

La LPVPDC préserve substantiellement les exceptions au droit d’accès prévues par la LPRPDE (art. 70(1) et 70(7)).

Rectification des renseignements personnels

Lorsqu’un individu a eu accès à ses renseignements personnels et démontre qu’ils sont inexacts, désuets ou incomplets, l’organisation doit apporter les modifications requises (art. 71(1)). Une organisation n’est pas tenue de modifier des renseignements personnels dépersonnalisés (art. 71(2)). S’il y a lieu, l’organisation doit transmettre les renseignements modifiés à tout tiers qui y a accès (art. 71(3)). Lorsque l’organisation et l’individu ne s’entendent pas sur les modifications, l’organisation doit consigner le désaccord et, s’il y a lieu, en informer ces tiers (art. 71(4)).

Pénalités

Les dispositions relatives à l’accès et à la rectification (art. 63 à 71) ne constituent pas des contraventions énumérées pouvant entraîner des sanctions administratives pécuniaires au titre de l’article 113(1). Toutefois, l’omission, commise sciemment, de conserver des renseignements visés par une demande d’accès (art. 69) peut faire l’objet d’une poursuite pénale, exposant l’organisation à une amende pouvant atteindre 25 millions de dollars ou 5 % des recettes globales brutes, selon le plus élevé des deux montants, par mise en accusation (art. 145).

Droit de retrait (suppression)

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC introduit un droit de demander le retrait de renseignements personnels.
  • Principal changement par rapport à la LPVPC : La LPVPDC introduit un motif de refus d’une demande de retrait lorsque le retrait aurait, sur l’organisation, un effet négatif excessif qui l’emporte sur les effets négatifs potentiels de la conservation pour l’individu.

La LPVPDC établit un droit statutaire au retrait des renseignements personnels. Lors d’une séance d’information technique tenue peu après le dépôt du projet de loi C-36 (le 17 juin 2026), des représentants du gouvernement du Canada ont présenté ce droit comme un « nouveau droit de demander la suppression », notamment pour permettre aux Canadiens de demander à une organisation de « retirer » des hypertrucages (deepfakes) fondés sur leur image.

Un nouveau droit statutaire

Sur demande écrite d’un individu, une organisation est tenue de procéder au retrait des renseignements personnels de cet individu lorsque 

  • les renseignements ont été recueillis, utilisés ou communiqués en contravention de la LPVPDC;
  • l’individu a retiré, en tout ou en partie, son consentement à leur collecte, à leur utilisation ou à leur communication; ou
  • les renseignements ne sont plus nécessaires à la fourniture continue d’un bien ou la prestation continue d’un service demandé par l’individu (art. 54(1)a) à c)).

Le « retrait » s’entend de la suppression définitive et irréversible de renseignements personnels ou de leur anonymisation (art. 2(1)). Le retrait doit avoir lieu « dès que possible » après la demande, et l’organisation doit informer tout fournisseur de services à qui elle a transféré les renseignements de la demande « dès que possible » et veiller à ce que celui-ci procède aussi à leur retrait (art. 54(1) et 54(5)).

La LPRPDE ne comporte pas de droit exprès et autonome de demander le retrait. Sous la LPRPDE, les organisations ne peuvent conserver des renseignements personnels que le temps nécessaire à la réalisation des fins déterminées et doivent ensuite les détruire, les effacer ou les anonymiser; les individus ont le droit de retirer leur consentement à la collecte, à l’utilisation ou à la communication de leurs renseignements personnels, sous réserve de restrictions légales ou contractuelles. Dans certaines circonstances, le droit de retirer le consentement entraîne de fait une obligation correspondante de supprimer les renseignements personnels de l’individu lorsque l’organisation n’a plus aucune fin justifiant leur conservation.

Refus des demandes

Lorsqu’une demande de retrait de renseignements personnels est fondée sur le retrait du consentement de l’individu ou sur le fait que les renseignements ne sont plus nécessaires (et non sur une collecte, une utilisation ou une communication en contravention de la loi), une organisation peut refuser le retrait dans les cas suivants 

  • le retrait entraînerait aussi le retrait des renseignements personnels d’un autre individu qui ne peuvent être retranchés sans imposer un fardeau injustifié à l’organisation;
  • des exigences législatives ou des restrictions contractuelles raisonnables empêchent le retrait;
  • les renseignements sont nécessaires à l’organisation pour établir une défense juridique ou exercer d’autres recours juridiques;
  • les renseignements ne concernent pas un enfant et le retrait aurait un effet négatif excessif sur l’exactitude ou l’intégrité de renseignements nécessaires à la fourniture continue d’un produit ou à la prestation continue d’un service à l’individu;
  • la demande est vexatoire ou entachée de mauvaise foi; ou
  • le retrait aurait sur l’organisation un effet négatif excessif qui l’emporte sur tout effet négatif que la conservation des renseignements pourrait avoir pour l’individu (art. 54(2)a) à f)).

Une organisation n’est pas tenue de procéder au retrait de renseignements personnels dépersonnalisés (art. 54(3)). Cette exemption n’a pas d’équivalent dans la LPRPDE, qui ne traite pas du retrait de renseignements dépersonnalisés.

Lorsqu’une organisation refuse une demande, elle doit en informer l’individu par écrit, en exposant les motifs et tout recours dont l’individu peut disposer — c.-à-d. contester la conformité ou déposer une plainte auprès du Commissaire (art. 54(4)), art. 73 et art. 97(1)).

Lorsqu’une organisation refuse une demande au motif que le retrait aurait sur elle un effet négatif excessif qui l’emporte sur tout effet négatif que la conservation des renseignements peut avoir pour l’individu, l’organisation serait également tenue d’en informer la Commission (art. 54(2)f) et 54(4)b)).

Ce critère de mise en équilibre et cette obligation de notification remplacent un motif de refus prévu par la LPVPC qui aurait permis le refus lorsque des renseignements ne concernant pas un mineur étaient déjà prévus pour retrait au titre de la politique de conservation de l’organisation et que celle-ci informait l’individu de la période restante de conservation des renseignements.

La contravention aux exigences relatives aux périodes de conservation et de retrait, au respect des demandes de retrait et à la conformité des fournisseurs de services à ces demandes pourrait exposer une organisation à une sanction pouvant atteindre 10 millions de dollars ou 3 % des recettes globales brutes, selon le plus élevé des deux montants (art. 114, 52, art. 54(1) et 54(5)).

Droit à la mobilité des données

Points saillants

  • Principal changement par rapport à la LPRPDE : La LPVPDC reprend essentiellement les mêmes dispositions qui ont d’abord été introduites comme modification à la LPRPDE par le projet de loi C-15 (Loi no 1 d’exécution du budget de 2025), qui a reçu la sanction royale le 26 mars 2026. La LPVPDC enrichit le libellé sur la mobilité des données du projet de loi C-15 en y ajoutant une exception réglementaire pour les renseignements dépersonnalisés.
  • Principal changement par rapport à la LPVPC : Aucun ou non significatif.

La LPVPDC introduit une notion de droit à la mobilité des données (semblable aux droits statutaires de portabilité prévus par la Loi sur le privé du Québec et par le RGPD). Ce nouveau droit impose à une organisation ayant recueilli des renseignements personnels auprès d’un individu de communiquer ces renseignements à une autre organisation « dès que possible » à la demande de l’individu.

Le droit à la mobilité des données est assujetti à un « cadre de mobilité des données » qui sera établi par règlement par le gouverneur en conseil. L’organisation qui communique les renseignements et celle qui les reçoit devraient toutes deux être assujetties au cadre de mobilité des données pour que la communication puisse avoir lieu. Ces règlements établiront les mesures de protection à mettre en place pour permettre la communication (et la collecte correspondante) sécuritaire des renseignements personnels, ainsi que des paramètres techniques d’interopérabilité prescrits et des exceptions à l’obligation de communication.

Les règlements préciseront également certaines organisations qui seront assujetties à un cadre de mobilité des données et pourront établir des distinctions entre différentes « catégories d’activités, d’institutions gouvernementales et de subdivisions d’institutions gouvernementales, de renseignements, d’organisations ou d’entités » (art. 141).

Il importe de noter que la LPVPDC prévoit expressément qu’une organisation n’est pas tenue de communiquer des renseignements personnels dépersonnalisés.

Le système bancaire ouvert constitue le premier cas d’utilisation fédéral mettant en œuvre les dispositions sur la mobilité des données sous la LPRPDE. Le gouvernement fédéral a adopté la Loi sur les services bancaires axés sur les consommateurs (la LSBAC) en 2024. La LSBAC crée un cadre permettant à la fois aux consommateurs, y compris les petites entreprises, de partager de façon sécuritaire des types prescrits de données financières entre des entités participantes définies, et de favoriser la concurrence dans le secteur financier dans l’intérêt des consommateurs.