Billet

Une comparaison de la LPCD, de la LPRPDE, de la Loi sur la protection de la vie privée du Québec et des LPRP

J. Sébastien A. Gittens, Caroline Poirier, Stephen D. Burns, Ruth E. Promislow, Suzie Suliman, Morgan Sutherland, Kees de Ridder et David Wainer
8 juillet 2026
Gros plan de plusieurs panneaux de verre transparents superposés et se chevauchant sur une surface bleu clair, créant des lignes géométriques nettes et des reflets.
Réseaux sociaux
Télécharger
Télécharger
Mode lecture
S'abonner
Résumer

Plus tôt ce mois-ci, le gouvernement fédéral a présenté le projet de loi fédéral intitulé Loi sur la protection de la vie privée et des données des consommateurs (LPCD) – un signal que le paysage canadien de la protection de la vie privée dans le secteur privé pourrait subir une transformation significative sous peu. Pour aider les organisations qui exercent des activités au Canada dans leurs efforts potentiels de conformité à cet égard, ce qui suit vise à fournir une comparaison non exhaustive et de haut niveau entre : (i) la LPCD; (ii) la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada; (iii) la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la Loi sur la protection de la vie privée du Québec, telle que modifiée par la Loi 25); et (iv) les Lois sur la protection des renseignements personnels de l'Alberta et de la Colombie-Britannique (collectivement, les LPRP).

Bien qu'il existe des nuances importantes dans chacun de ces cadres réglementaires, ils s'appuient largement sur des principes d'information équitables, ce qui entraîne une grande similitude entre eux. Les organisations qui traitent des renseignements personnels devraient comprendre comment ces lois se comparent alors qu'elles se préparent à cet environnement réglementaire en évolution.

À qui cela s'applique-t-il ?

PPCDA

Conformément à ses termes, le PPCDA s'applique à toute « organisation », ce qui inclut une association, un partenariat, une personne ou un syndicat.

PIPEDA

Conformément à ses termes, la PIPEDA s'applique à toute « organisation », ce qui inclut une association, un partenariat, une personne et un syndicat.

Loi sur la protection de la vie privée du Québec

Conformément à ses termes, la Loi sur la protection de la vie privée du Québec s'applique à toute personne exploitant une entreprise au Québec.

La Loi sur la protection de la vie privée du Québec s'applique également à un ordre professionnel dans la mesure prévue par le Code des professions (chapitre C-26) et à un parti politique, un député indépendant ou un candidat indépendant dans la mesure prévue par la Loi électorale (chapitre E-3.3).

PIPA

Conformément à ses termes, la PIPA de l'Alberta s'applique à toute « organisation », ce qui inclut :

  • «… une société;
  • une association non constituée en société;
  • un syndicat tel que défini dans le Code des relations de travail,
  • un partenariat tel que défini dans la Loi sur les sociétés en nom collectif, et
  • un individu agissant à titre commercial,

mais n'inclut pas un individu agissant à titre personnel ou domestique."

La PIPA de l'Alberta s'applique uniquement aux organisations à but non lucratif dans le cadre de leurs activités commerciales.

Conformément à ses termes, la PIPA de la Colombie-Britannique s'applique à toute « organisation », ce qui inclut «… une personne, une association non constituée en société, un syndicat, une fiducie ou une organisation à but non lucratif, mais n'inclut pas

  • un individu agissant à titre personnel ou domestique ou agissant en tant qu'employé,
  • un organisme public,
  • la Cour provinciale, la Cour suprême ou la Cour d'appel,
  • le gouvernement Nisg̱a'a, tel que défini dans l'Accord final Nisg̱a'a, ou
  • une fiducie privée au bénéfice d'un ou plusieurs individus désignés qui sont des amis ou des membres de la famille du constituant."

Le PPCDA, la PIPEDA et les PIPA utilisent des concepts similaires d'une « organisation », capturant généralement des entités telles que des sociétés, des partenariats, des associations, des syndicats et des individus agissant à titre commercial. Bien que la Loi sur la protection de la vie privée du Québec soit formulée de manière quelque peu différente (car elle s'applique à une personne dans le cadre de l'exploitation d'une entreprise), son effet pratique est similaire : elle est principalement destinée à réglementer les activités économiques et commerciales du secteur privé, plutôt que la conduite purement personnelle.

À quoi cela s'applique-t-il?

PPCDA

Le PPCDA s'applique à :

  • la collecte, l'utilisation et la divulgation de renseignements personnels par une organisation dans le cadre de ses activités commerciales dans une province sans législation sur la vie privée substantiellement similaire ;

  • le transfert de renseignements personnels entre provinces ou à l'international ;

  • les entreprises, ouvrages ou activités fédéraux (EOAF) ; et

  • la collecte, l'utilisation et la divulgation de renseignements sur les employés en lien avec les EOAF.

PIPEDA

La LPRPDE s'applique à :

  • la collecte, l'utilisation et la divulgation de renseignements personnels par une organisation dans le cadre de ses activités commerciales dans une province sans législation sur la vie privée substantiellement similaire ;

  • le transfert de renseignements personnels entre provinces ou à l'international ;

  • les EOAF ; et

  • la collecte, l'utilisation et la divulgation de renseignements sur les employés en lien avec les EOAF.

Une certaine jurisprudence a établi que la LPRPDE a une application extraterritoriale lorsque, par exemple, il existe un « lien réel et substantiel » entre le Canada et l'activité entreprise dans une juridiction étrangère.

Loi sur la protection de la vie privée du Québec

La Loi sur la protection de la vie privée du Québec s'applique à la collecte, l'utilisation et la communication de renseignements personnels, y compris les renseignements personnels des employés, par une personne dans le cadre de l'exploitation d'une entreprise au Québec.

La Loi sur la protection de la vie privée du Québec a été jugée substantiellement similaire à la LPRPDE.

LPRP

Les LPRP s'appliquent à la collecte, l'utilisation et la divulgation de renseignements personnels, y compris les renseignements personnels des employés, par une organisation dans les provinces de l'Alberta et de la Colombie-Britannique.

Les LPRP ont été jugées substantiellement similaires à la LPRPDE.


Le PPCDA et la LPRPDE ont une application largement similaire, couvrant la collecte, l'utilisation et la divulgation de renseignements personnels en lien avec : (i) les activités commerciales ; (ii) les transferts transfrontaliers de renseignements personnels ; et (iii) les entreprises, ouvrages et activités fédéraux. La LPRPDE et le PPCDA ne s'appliquent pas aux activités se déroulant dans des provinces ayant une législation sur la vie privée du secteur privé substantiellement similaire.

Informations personnelles

PPCDA

La PPCDA s'applique aux "informations personnelles", à savoir "les informations concernant une personne identifiable, y compris les informations déduites concernant cette personne".

PIPEDA

La PIPEDA s'applique aux "informations personnelles", à savoir "les informations concernant une personne identifiable".

Loi sur la protection de la vie privée du Québec

La Loi sur la protection de la vie privée du Québec définit les informations personnelles comme toute information qui concerne une personne physique et permet directement ou indirectement d'identifier cette personne.

PIPAs

La PIPA de l'Alberta définit les "informations personnelles" comme "les informations concernant une personne identifiable".

La PIPA de la Colombie-Britannique définit les "informations personnelles" comme "les informations concernant une personne identifiable et inclut les informations personnelles des employés mais n'inclut pas :

  • les coordonnées, ou

  • les informations sur les produits de travail".


La PPCDA, la PIPEDA et les PIPAs définissent généralement les "informations personnelles" comme "les informations concernant une personne identifiable", bien que la PPCDA élargisse cette définition de manière unique pour inclure "les informations déduites concernant cette personne". De plus, la PIPEDA et la PIPA de l'Alberta ne s'appliquent pas aux coordonnées professionnelles collectées, utilisées ou divulguées uniquement dans le but de communiquer ou de faciliter la communication avec la personne en relation avec son emploi, son entreprise ou sa profession, mais la PIPA de la Colombie-Britannique exclut expressément les "coordonnées" de la définition des "informations personnelles" (et ne s'applique pas à ces informations, quel que soit le but pour lequel elles sont utilisées). La Loi sur la protection de la vie privée du Québec n'exclut pas les coordonnées professionnelles de la définition des "informations personnelles". Elle prévoit plutôt que certaines dispositions spécifiées de la Loi sur la protection de la vie privée du Québec ne s'appliquent pas aux informations personnelles concernant l'exercice des fonctions d'une personne au sein d'une entreprise, telles que le nom, le titre, les fonctions de la personne, ainsi que l'adresse, l'adresse courriel et le numéro de téléphone du lieu de travail de la personne.

Consentement

PPCDA

Un consentement explicite est requis pour recueillir, utiliser ou divulguer des renseignements personnels, sauf s'il est approprié de se fier au consentement implicite d'une personne, en tenant compte des attentes raisonnables de cette personne et de la sensibilité des renseignements personnels à recueillir, utiliser ou divulguer.

La PPCDA exige explicitement que les organisations obtiennent un consentement explicite pour la collecte, l'utilisation ou la divulgation de renseignements personnels sensibles.

Notamment, la PPCDA introduit :

  • une exception de « intérêt légitime » qui peut être invoquée si la collecte, l'utilisation ou la divulgation est effectuée dans le cadre d'une activité dans laquelle l'organisation a un intérêt légitime qui l'emporte sur tout effet négatif raisonnablement prévisible pour la personne résultant de cette collecte, utilisation ou divulgation, à condition qu'une personne raisonnable s'attende à la collecte, l'utilisation et la divulgation pour une telle activité et que les renseignements personnels ne soient pas recueillis, utilisés ou divulgués dans le but d'influencer le comportement ou les décisions de la personne ; et

  • une exception de « activité commerciale » qui peut être invoquée dans le cadre d'une activité nécessaire : (i) pour fournir un produit ou un service que la personne a demandé à l'organisation ; (ii) pour la sécurité des informations, des systèmes ou des réseaux de l'organisation ; ou (iii) pour la sécurité d'un produit ou d'un service que l'organisation fournit.

PIPEDA

Sous réserve de diverses exceptions, le consentement d'une personne est généralement requis pour la collecte, l'utilisation ou la divulgation de ses renseignements personnels.

La PIPEDA stipule explicitement que tout consentement n'est valide que s'il est raisonnable de s'attendre à ce qu'une personne comprenne la nature, le but et les conséquences de la collecte, de l'utilisation ou de la divulgation des renseignements personnels auxquels elle consent.

Dans un document d'orientation publié conjointement avec ses homologues provinciaux en Colombie-Britannique et en Alberta, le Commissariat à la protection de la vie privée du Canada a soutenu que le consentement doit être « significatif » (par exemple, une personne doit comprendre ce qu'une organisation fait avec ses informations).

La PIPEDA reconnaît que le consentement peut être implicite dans certains cas et que le consentement peut être présumé dans certaines circonstances spécifiques.

Loi sur la protection de la vie privée du Québec

La Loi sur la protection de la vie privée du Québec est basée sur le consentement. Les renseignements personnels doivent être recueillis, utilisés et communiqués pour une raison sérieuse et légitime.

Le consentement à l'utilisation ou à la communication de renseignements personnels sensibles doit être donné de manière explicite.

Le consentement à l'utilisation ou à la communication de renseignements personnels peut être présumé avoir été donné si une notification prescrite a été fournie.

La Loi sur la protection de la vie privée du Québec impose également des exigences de notification supplémentaires lors de la collecte de renseignements personnels à l'aide de technologies comprenant des fonctions permettant d'identifier, de localiser ou de profiler une personne, ainsi que certaines exigences de confidentialité par défaut lors de l'offre d'un produit ou service technologique ayant des paramètres de confidentialité.

PIPAs

Sous réserve de diverses exceptions, le consentement d'une personne est généralement requis pour la collecte, l'utilisation ou la divulgation de ses renseignements personnels.

Dans un document d'orientation publié conjointement avec leur homologue fédéral, les bureaux des commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique ont soutenu que le consentement doit être « significatif » (par exemple, une personne doit comprendre ce qu'une organisation fait avec ses informations).

Les PIPAs reconnaissent que le consentement peut être implicite dans certains cas et que le consentement peut être présumé dans certaines circonstances spécifiques.


Chacun des PPCDA, PIPEDA, la Loi sur la protection de la vie privée du Québec et les PIPAs sont basés sur un modèle de consentement, avec quelques différences dans la manière dont ils structurent le consentement explicite et implicite. L'exception de « intérêt légitime » de la PPCDA introduit une nouvelle base légale pour le traitement des renseignements personnels sans consentement. Cette exception peut réduire la dépendance au consentement dans certains contextes commerciaux, mais exige que les organisations mettent en œuvre des processus d'évaluation documentés. Tout comme la Loi sur la protection de la vie privée du Québec, la PPCDA exige un consentement explicite pour la collecte, l'utilisation ou la divulgation de renseignements personnels « sensibles ».

Responsabilité

PPCDA

Une organisation est responsable de toute information personnelle sous son contrôle et doit désigner une ou plusieurs personnes responsables de la conformité de l'organisation en matière de confidentialité.

Les organisations doivent mettre en œuvre « un programme de gestion de la confidentialité comprenant les politiques, pratiques et procédures que l'organisation a mises en place pour remplir ses obligations en vertu de cette loi, y compris les politiques, pratiques et procédures concernant

LPRPDE

Une organisation est responsable de toute information personnelle sous son contrôle et doit désigner une ou plusieurs personnes responsables de la conformité de l'organisation en matière de confidentialité.

Les organisations doivent mettre en œuvre des politiques et pratiques applicables pour donner effet aux principes de la LPRPDE, notamment :

Loi sur la protection des renseignements personnels du Québec

Une entreprise est responsable de la protection des renseignements personnels détenus par l'entreprise.

La personne exerçant la plus haute autorité est responsable de veiller à ce que la Loi sur la protection des renseignements personnels du Québec soit mise en œuvre et respectée par l'entreprise. Cette personne peut déléguer cette fonction par écrit à toute personne.

L'entreprise doit établir et mettre en œuvre des politiques et pratiques de gouvernance pour assurer la protection des renseignements personnels. Ces politiques et pratiques doivent notamment :

Des informations détaillées sur ces politiques et pratiques, notamment en ce qui concerne le contenu requis ci-dessus, doivent être publiées dans un langage simple et clair sur le site Web de l'entreprise, ou si l'entreprise n'a pas de site Web, mises à disposition par tout autre moyen approprié.

LPRP

Une organisation est responsable de toute information personnelle sous sa garde et son contrôle, et doit désigner une ou plusieurs personnes responsables de la conformité de l'organisation en matière de confidentialité.

Les organisations doivent mettre en œuvre des politiques et pratiques applicables pour donner effet aux LPRP.


Les exigences détaillées du programme de gestion de la confidentialité de la PPCDA obligeront les organisations à formaliser leurs structures de gouvernance de la confidentialité au-delà du cadre de responsabilité de la LPRPDE. La PPCDA exige que les organisations mettent en œuvre un programme complet de gestion de la confidentialité comprenant des politiques, pratiques et procédures régissant la protection des renseignements personnels, le traitement des demandes d'accès et des plaintes, la formation du personnel et l'élaboration de documents expliquant les pratiques de confidentialité de l'organisation. Cela est largement conforme à la Loi sur la protection des renseignements personnels du Québec, qui exige également que les organisations établissent et mettent en œuvre des politiques et pratiques de gouvernance de la confidentialité. Cependant, la Loi sur la protection des renseignements personnels du Québec met davantage l'accent sur les mesures de gouvernance, telles que les pratiques de conservation et de destruction et l'attribution des responsabilités tout au long du cycle de vie de l'information, et exige expressément que les organisations publient des informations détaillées sur leurs politiques et pratiques de gouvernance de la confidentialité dans un langage clair et simple.

Protection des données / Mesures de sécurité

PPCDA

Une organisation doit protéger les renseignements personnels par des mesures de sécurité physiques, organisationnelles et technologiques. Ces mesures doivent protéger les renseignements personnels contre, entre autres, la perte, le vol ou l'accès, la divulgation, la copie, l'utilisation ou la modification non autorisés et doivent inclure des mesures raisonnables pour authentifier l'identité de la personne à laquelle les renseignements personnels se rapportent.

Lors de l'établissement de ses mesures de sécurité, une organisation doit tenir compte de la sensibilité des renseignements et "de la quantité, de la distribution, du format et de la méthode de stockage des renseignements, ainsi que de toute implication raisonnablement prévisible en matière de confidentialité pouvant survenir en lien avec le transfert de renseignements personnels à un fournisseur de services."

PIPEDA

Une organisation doit adopter des mesures de sécurité pour protéger les renseignements personnels sous sa garde et son contrôle contre la perte ou le vol, ainsi que contre l'accès, la divulgation, la copie, l'utilisation ou la modification non autorisés. Les méthodes de protection doivent inclure des mesures physiques, organisationnelles et technologiques.

Lors de l'établissement de ses mesures de sécurité, une organisation doit tenir compte "de la sensibilité des renseignements, de la quantité, de la distribution et du format des renseignements, ainsi que de la méthode de stockage."

Loi sur la protection de la vie privée au Québec

Une entreprise doit prendre les mesures de sécurité nécessaires pour assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits, qui sont raisonnables compte tenu de la sensibilité des renseignements, des fins pour lesquelles ils sont utilisés, de la quantité et de la distribution des renseignements et du support sur lequel ils sont affichés.

PIPAs

Une organisation doit protéger les renseignements personnels qui sont sous sa garde ou son contrôle en prenant des dispositions de sécurité raisonnables contre des risques tels que l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification, l'élimination ou la destruction non autorisés.


Le PPCDA élargit et précise davantage les obligations de protection des organisations par rapport à la PIPEDA, à la Loi sur la protection de la vie privée au Québec et aux PIPAs, notamment en exigeant que les organisations tiennent compte de toute implication raisonnablement prévisible en matière de confidentialité pouvant survenir en lien avec le transfert de renseignements personnels à un fournisseur de services. Le PPCDA impose également des obligations directes de protection aux fournisseurs de services. En vertu des PIPAs, ces obligations sont imposées par le libellé "garde ou contrôle", qui impose des obligations de protection indépendamment du fait que le détenteur des renseignements soit le processeur ou le contrôleur.

Droits individuels

PPCDA

Le PPCDA inclut les droits suivants pour les individus :

  • être informé si l'organisation détient des renseignements personnels les concernant, comment elle utilise ces renseignements et si elle les a divulgués ;

  • accéder à leurs renseignements personnels (y compris les catégories déduites de renseignements personnels) sous la garde ou le contrôle d'une organisation ;

  • faire modifier leurs renseignements personnels lorsqu'un individu démontre avec succès l'inexactitude ou l'incomplétude de ses renseignements personnels ;

  • retirer leur consentement à tout moment, sous réserve du PPCDA, de la loi fédérale ou provinciale ou des termes raisonnables d'un contrat, et d'un préavis raisonnable ;

  • demander la suppression de leurs renseignements personnels sous le contrôle de l'organisation ; et

  • demander que les renseignements personnels qu'une organisation a collectés à leur sujet soient divulgués à une autre organisation, si les deux organisations sont soumises à un cadre de mobilité des données.

PIPEDA

La PIPEDA inclut les droits suivants pour les individus :

  • accéder à leurs renseignements personnels sous la garde ou le contrôle d'une organisation ;

  • faire en sorte que leurs renseignements personnels soient exacts, complets et à jour (comme nécessaire pour les fins auxquelles ils doivent être utilisés) ;

  • faire modifier leurs renseignements personnels (par la correction, la suppression ou l'ajout d'informations) lorsqu'un individu démontre avec succès l'inexactitude ou l'incomplétude de ses renseignements personnels ; et

  • retirer leur consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d'un préavis raisonnable.

Loi sur la protection des renseignements personnels du Québec

La Loi sur la protection des renseignements personnels du Québec inclut les droits suivants pour les individus :

  • accéder à leurs renseignements personnels détenus par une entreprise ;

  • demander une rectification si les renseignements personnels sont inexacts, incomplets ou équivoques, ou si leur collecte, communication ou conservation ne sont pas autorisées par la loi ;

  • retirer leur consentement à la collecte, l'utilisation ou la communication de leurs renseignements personnels ;

  • exiger que leurs renseignements personnels informatisés soient communiqués à une autre organisation ; et

  • demander qu'une entreprise cesse de diffuser les renseignements personnels d'un individu ou désindexe tout hyperlien attaché au nom de l'individu qui donne accès à ces renseignements par des moyens technologiques, lorsque la diffusion contrevient à la loi ou à une ordonnance judiciaire, ou lorsque les conditions prescrites sont satisfaites (cela inclut également le droit d'exiger qu'un hyperlien désindexé soit réindexé).

PIPAs

Les PIPAs incluent les droits suivants pour les individus :

  • accéder à leurs renseignements personnels sous la garde ou le contrôle d'une organisation ;

  • connaître les fins auxquelles leurs renseignements ont été et sont utilisés ;

  • demander une correction à toute erreur ou omission concernant leurs renseignements personnels, lorsqu'un individu démontre avec succès l'inexactitude ou l'incomplétude de ses renseignements personnels ; et

  • retirer ou modifier leur consentement à tout moment, sous réserve de restrictions légales ou contractuelles et d'un préavis raisonnable.


Le PPCDA accorde aux individus des droits plus étendus que la PIPEDA, y compris le droit potentiel d'accéder aux catégories déduites de renseignements personnels, de demander la suppression de leurs renseignements personnels et les droits de mobilité des données. Bien que le droit du PPCDA ressemble au droit de portabilité prévu par la Loi sur la protection des renseignements personnels du Québec, il est soumis à un régime plus structuré, car les transferts ne sont permis qu'entre les organisations participant à un cadre de mobilité des données applicable, plutôt qu'à toute organisation. Contrairement à la Loi sur la protection des renseignements personnels du Québec, cependant, le PPCDA ne limite pas le droit aux renseignements personnels informatisés ou n'exclut pas expressément les renseignements personnels qui ont été créés ou déduits des renseignements personnels originaux. Les organisations devraient envisager les systèmes et processus nécessaires pour répondre à ces droits individuels élargis, en particulier le droit à la mobilité des données.

Systèmes de décision automatisés

PPCDA

Le PPCDA exige que les organisations :

  • fournissent un compte rendu général de l'utilisation par l'organisation de tout système de décision automatisé pour faire des prédictions, des recommandations ou des décisions concernant des individus qui pourraient avoir un effet juridique ou un effet similaire significatif sur eux; et

  • sur demande, fournissent à un individu une explication de la prédiction, de la recommandation ou de la décision si l'organisation a utilisé un système de décision automatisé pour faire une prédiction, une recommandation ou une décision qui pourrait avoir un effet juridique ou un effet similaire significatif sur cet individu.

Le PPCDA définit "système de décision automatisé" de manière large comme toute technologie qui assiste ou remplace le jugement des décideurs humains par l'utilisation de systèmes basés sur des règles, l'analyse de régression, l'analyse prédictive, l'apprentissage automatique, l'apprentissage profond, un réseau neuronal ou d'autres techniques.

PIPEDA

La PIPEDA n'aborde pas expressément les systèmes de décision automatisés, bien que les principes généraux de confidentialité (y compris la transparence et la responsabilité) s'appliquent toujours aux informations personnelles utilisées en lien avec ces systèmes.

Loi sur la protection de la vie privée du Québec

La Loi sur la protection de la vie privée du Québec exige qu'une entreprise qui utilise des informations personnelles pour rendre une décision basée exclusivement sur un traitement automatisé de ces informations informe la personne concernée au plus tard au moment où elle informe la personne de la décision.

De plus, l'entreprise doit informer la personne concernée, à sa demande :

La personne concernée doit avoir la possibilité de soumettre des observations à un membre du personnel de l'entreprise qui est en mesure de revoir la décision.

PIPAs

Les PIPAs n'abordent pas expressément les systèmes de décision automatisés, bien que les principes généraux de confidentialité (y compris la transparence et la responsabilité) s'appliquent toujours aux informations personnelles utilisées en lien avec ces systèmes.


Le PPCDA introduit des exigences spécifiques en matière de transparence et d'explicabilité pour les systèmes de décision automatisés. Les organisations qui déploient des outils d'IA ou algorithmiques pour faire des prédictions, des recommandations ou des décisions concernant des individus devraient envisager les processus de conformité nécessaires pour fournir des explications sur demande, en particulier lorsque des fournisseurs de services sont impliqués.

Transferts transfrontaliers

PPCDA

La PPCDA exige qu'une organisation : (i) effectue une évaluation des impacts sur la vie privée avant de transférer des renseignements personnels à l'extérieur du Canada; et (ii) mette en œuvre des mesures pour atténuer les risques identifiés dans l'évaluation des impacts sur la vie privée. Sur demande, une organisation doit fournir à la Commission l'accès à l'évaluation ou une copie de celle-ci.

Les politiques d'une organisation doivent indiquer si elle transfère ou divulgue des renseignements personnels entre provinces ou à l'extérieur du Canada, ce qui pourrait avoir des implications raisonnablement prévisibles sur la vie privée.

LPRPDE

La LPRPDE n'aborde pas explicitement le transfert de renseignements personnels à un fournisseur de services tiers dans une juridiction à l'extérieur du Canada.

Le Commissaire fédéral à la protection de la vie privée a toutefois soutenu qu'une organisation peut transférer des renseignements personnels à un fournisseur de services tiers à l'extérieur du Canada si l'organisation : (i) est convaincue que le fournisseur de services dispose de politiques et de processus en place pour garantir que les renseignements sous sa garde sont correctement protégés en tout temps (y compris la formation de son personnel et des mesures de sécurité efficaces); (ii) utilise des moyens contractuels ou autres pour « fournir un niveau de protection comparable pendant que les renseignements sont traités par le tiers »; (iii) a le droit d'auditer et d'inspecter la manière dont le tiers gère et stocke les renseignements personnels; et (iv) au moment où les renseignements personnels sont recueillis auprès d'un individu, précise clairement que leurs renseignements peuvent être traités dans un pays étranger et qu'ils peuvent être accessibles aux autorités chargées de l'application de la loi et de la sécurité nationale de cette juridiction.

Loi sur la protection de la vie privée du Québec

La Loi sur la protection de la vie privée du Québec exige qu'une évaluation des impacts sur la vie privée soit effectuée avant de communiquer des renseignements personnels à l'extérieur du Québec. L'évaluation des impacts sur la vie privée doit tenir compte de la sensibilité des renseignements, des fins pour lesquelles ils doivent être utilisés, des mesures de protection qui s'appliqueraient et du cadre juridique applicable dans l'État où les renseignements seraient communiqués.

Les renseignements peuvent être communiqués si l'évaluation établit qu'ils recevraient une protection adéquate, notamment à la lumière des principes généralement reconnus concernant la protection des renseignements personnels. La communication doit être soumise à une entente écrite qui tient compte des risques identifiés dans l'évaluation, ainsi que des exigences prescrites applicables aux communications de renseignements personnels à des fournisseurs de services tiers.

Les individus doivent également être informés de la possibilité que leurs renseignements personnels puissent être communiqués à l'extérieur du Québec.

LPRP

En général, la LPRP de l'Alberta prévoit qu'une organisation peut transférer des renseignements personnels à un fournisseur de services tiers dans une juridiction à l'extérieur du Canada si les politiques et pratiques de l'organisation incluent des informations concernant : (i) les pays à l'extérieur du Canada où de telles activités peuvent avoir lieu; et (ii) l'objectif pour lequel le fournisseur de services a été autorisé à recueillir, utiliser ou divulguer des renseignements personnels. Une organisation doit rendre disponibles des informations écrites sur ces politiques et pratiques. Un avis doit également être donné, avant ou au moment de la collecte ou du transfert des renseignements personnels, concernant : (i) la manière dont l'individu peut obtenir l'accès à des informations écrites sur les politiques et pratiques de l'organisation en ce qui concerne les fournisseurs de services à l'extérieur du Canada; et (ii) le nom ou le titre d'une personne capable de répondre aux questions sur la collecte, l'utilisation, la divulgation ou le stockage de renseignements personnels par des fournisseurs de services à l'extérieur du Canada.

La LPRP de la Colombie-Britannique n'aborde pas explicitement le transfert de renseignements personnels à un fournisseur de services tiers dans une juridiction à l'extérieur du Canada. Néanmoins, cette loi semble envisager cela par le fait qu'une organisation est « responsable des renseignements personnels sous son contrôle, y compris les renseignements personnels qui ne sont pas en la possession de l'organisation ».


La PPCDA introduit un cadre transfrontalier plus prescriptif en exigeant que les organisations effectuent des évaluations des impacts sur la vie privée avant de transférer des renseignements personnels à l'extérieur du Canada et mettent en œuvre des mesures d'atténuation pour les risques identifiés. Cette approche est similaire à l'exigence de la Loi sur la protection de la vie privée du Québec de réaliser une évaluation des impacts sur la vie privée avant de communiquer des renseignements personnels à l'extérieur du Québec. Les organisations qui divulguent ou transfèrent des données à l'extérieur du Canada doivent intégrer ces évaluations dans leurs processus de gouvernance des données.

Notification de violation

PPCDA

Une organisation doit :

  • signaler à la Commission toute violation des mesures de sécurité impliquant des renseignements personnels sous le contrôle de l'organisation s'il est raisonnable dans les circonstances de croire que la violation crée un risque réel de préjudice important pour une personne; et

  • notifier une personne de toute violation des mesures de sécurité impliquant ses renseignements personnels sous le contrôle de l'organisation s'il est raisonnable dans les circonstances de croire que la violation crée un risque réel de préjudice important pour la personne, sauf si la loi l'interdit autrement.

Le PPCDA exige également que les fournisseurs de services d'une organisation notifient l'organisation qui contrôle les renseignements personnels de toute violation des mesures de sécurité.

PIPEDA

Une organisation doit :

  • signaler au Commissaire fédéral à la protection de la vie privée toute violation des mesures de sécurité impliquant des renseignements personnels sous son contrôle s'il est raisonnable dans les circonstances de croire que la violation crée un risque réel de préjudice important pour une personne; et

  • notifier une personne de toute violation des mesures de sécurité impliquant ses renseignements personnels s'il est raisonnable dans les circonstances de croire que la violation crée un risque réel de préjudice important pour la personne.

Loi sur la protection de la vie privée du Québec

Une entreprise qui a des raisons de croire qu'un incident de confidentialité impliquant des renseignements personnels qu'elle détient s'est produit doit :

  • notifier rapidement la Commission d'accès à l'information si l'incident présente un risque de préjudice sérieux; et

  • notifier toute personne dont les renseignements personnels sont concernés par l'incident si l'incident présente un risque de préjudice sérieux.

La Loi sur la protection de la vie privée du Québec exige qu'une entente écrite entre une entreprise et son fournisseur de services inclue une disposition obligeant le fournisseur de services à notifier rapidement la personne responsable de la protection des renseignements personnels de l'entreprise de toute violation ou tentative de violation d'une obligation concernant la confidentialité des renseignements personnels communiqués.

PIPAs

La PIPA de l'Alberta stipule qu'une organisation doit notifier le Commissaire à la protection de la vie privée de l'Alberta de tout incident impliquant la perte ou l'accès non autorisé à ou la divulgation de renseignements personnels s'il existe un risque réel de préjudice important pour une personne en raison de la perte ou de l'accès non autorisé ou de la divulgation. Le Commissaire à la protection de la vie privée peut exiger que l'organisation notifie les personnes concernées.

Les organisations du secteur privé n'ont pas explicitement d'obligations de signalement des violations en vertu de la PIPA de la Colombie-Britannique.


Les obligations de signalement et de notification des violations en vertu du PPCDA sont généralement cohérentes avec celles prévues par la PIPEDA, la Loi sur la protection de la vie privée du Québec et la PIPA de l'Alberta. Cependant, le PPCDA impose directement une obligation légale aux fournisseurs de services de notifier l'organisation qui contrôle les renseignements personnels de toute violation des mesures de sécurité. En revanche, la Loi sur la protection de la vie privée du Québec exige que les organisations imposent une obligation de notification similaire à leurs fournisseurs de services par le biais d'une entente écrite.

Autorité de protection des données

PPCDA

En vertu de la PPCDA, la Commission fédérale de la protection de la vie privée, en tant qu'entité globale, est chargée de favoriser la conformité à la loi en promouvant la compréhension publique, en développant des documents d'orientation, en publiant des recherches, en supervisant des programmes de certification et en facilitant les consultations ou accords intergouvernementaux ou interorganisationnels.

Le Commissaire à la protection de la vie privée, désigné comme une personne au sein de la Commission, est principalement responsable de l'administration et de l'application de la PPCDA. Cela inclut de tirer des conclusions, d'émettre des ordonnances de conformité, d'approuver des ententes de conformité et de recommander des sanctions administratives pécuniaires pour certaines infractions. Les ordonnances du Commissaire pourraient exiger qu'une organisation prenne des mesures pour se conformer à la PPCDA, cesse un comportement non conforme, respecte une entente de conformité ou prenne des mesures correctives publiques concernant ses garanties, politiques, pratiques ou procédures.

PIPEDA

En vertu de la LPRPDE, le Commissaire fédéral à la protection de la vie privée peut faire des recommandations non contraignantes aux organisations, mais ne peut pas émettre d'ordonnances contraignantes ni imposer de sanctions administratives pécuniaires.

Loi sur la protection de la vie privée du Québec

En vertu de la Loi sur la protection de la vie privée du Québec, la Commission d'accès à l'information est principalement responsable de veiller à la conformité à la Loi sur la protection de la vie privée du Québec, notamment en menant des inspections et des enquêtes, en émettant des ordonnances, en approuvant des engagements et en imposant des sanctions administratives pécuniaires pour certaines infractions. La Commission peut également engager des poursuites pénales pour des infractions à la loi, ce qui peut entraîner des amendes lorsque les conditions légales sont remplies.

PIPA

Les Commissaires à la protection de la vie privée de l'Alberta et de la Colombie-Britannique ont le pouvoir de rendre diverses ordonnances, notamment :

  • ordonner à une organisation de donner à une personne l'accès à ses renseignements personnels ;

  • confirmer une décision d'une organisation concernant l'accès aux renseignements personnels d'une personne ;

  • ordonner à une organisation de refuser de donner à une personne l'accès à ses renseignements personnels ;

  • exiger qu'une obligation imposée par la PIPA soit remplie ; ou

  • exiger qu'une organisation détruise des renseignements personnels collectés en violation de la PIPA.


La PPCDA renforcerait considérablement le rôle du Commissaire fédéral à la protection de la vie privée en faisant passer le régime fédéral au-delà du modèle de type ombudsman de la LPRPDE. En vertu de la PPCDA, le Commissaire aurait des pouvoirs de rendre des ordonnances et pourrait recommander des sanctions administratives pécuniaires. Cela rapprocherait le régime fédéral des modèles plus axés sur l'application de la Loi 25 du Québec et des PIPA de l'Alberta et de la Colombie-Britannique, où les régulateurs ont déjà le pouvoir de rendre des ordonnances.

Amendes administratives et pénalités

PPCDA

Des pénalités pouvant atteindre 10 millions de dollars canadiens ou 3 % des revenus bruts mondiaux de l'organisation pour des contraventions jugées commises par une organisation à l'issue de procédures liées à une enquête donnée.

Des amendes pouvant atteindre le plus élevé de 25 millions de dollars canadiens ou 5 % des revenus bruts mondiaux de l'organisation pour des contraventions à des obligations spécifiques en vertu de la PPCDA, y compris l'obligation de : (i) signaler une violation des mesures de sécurité à la Commission; (ii) conserver et tenir un registre de chaque violation des mesures de sécurité; et (iii) ne pas utiliser des informations personnelles dépersonnalisées pour identifier un individu.

PIPEDA

Des amendes pouvant atteindre 100 000 dollars canadiens peuvent être imposées par la Cour fédérale si une organisation, sciemment : (i) licencie, suspend, rétrograde, discipline, harcèle ou désavantage autrement un employé qui a agi en tant que "lanceur d'alerte"; (ii) ne conserve pas les informations personnelles faisant l'objet d'une demande aussi longtemps que nécessaire pour permettre à l'individu d'épuiser tout recours qu'il pourrait avoir; (iii) ne signale pas au Commissaire une violation applicable des mesures de sécurité; (iv) ne conserve pas et ne tient pas un registre des violations applicables des mesures de sécurité; ou (v) entrave le Commissaire fédéral à la protection de la vie privée dans l'enquête d'une plainte ou dans la conduite d'un audit.

Loi sur la protection de la vie privée du Québec

La Loi sur la protection de la vie privée du Québec prévoit à la fois des pénalités administratives pécuniaires et des amendes pénales. Les pénalités administratives pécuniaires peuvent atteindre le plus élevé de 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial, tandis que les amendes pénales peuvent atteindre le plus élevé de 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial.

Des amendes pénales peuvent être imposées, par exemple, à toute personne qui : (i) collecte, utilise, communique, conserve ou détruit des informations personnelles en contravention avec la Loi sur la protection de la vie privée du Québec; (ii) omet de signaler, lorsqu'elle est tenue de le faire, un incident de confidentialité à la Commission ou aux personnes concernées; (iii) ne prend pas les mesures de sécurité nécessaires pour assurer la protection des informations personnelles conformément à l'article 10 de la Loi sur la protection de la vie privée du Québec; (iv) identifie ou tente d'identifier une personne physique en utilisant des informations dépersonnalisées sans l'autorisation de la personne détenant les informations ou en utilisant des informations anonymisées; (v) entrave le déroulement d'une enquête ou d'une inspection de la Commission ou l'audition d'une demande par la Commission en lui fournissant des informations fausses ou inexactes, en omettant de fournir les informations qu'elle exige ou autrement; et (vi) ne se conforme pas à une ordonnance de la Commission.

PIPAs

Une organisation qui commet une infraction en vertu de la PIPA est passible d'une amende pouvant atteindre 100 000 dollars canadiens.

En vertu de la PIPA de l'Alberta, une telle amende peut survenir si, par exemple, une organisation : (i) collecte, utilise ou divulgue des informations personnelles en contravention avec la PIPA de l'Alberta; (ii) tente d'obtenir ou obtient l'accès à des informations personnelles en contravention avec la PIPA de l'Alberta; (iii) prend une mesure d'emploi défavorable contre un employé qui a agi en tant que "lanceur d'alerte"; ou (iv) ne se conforme pas à une ordonnance rendue par le Commissaire à la protection de la vie privée de l'Alberta.

En vertu de la PIPA de la Colombie-Britannique, une telle amende peut survenir si, par exemple, une organisation : (i) utilise la tromperie ou la coercition pour collecter des informations personnelles; (ii) élimine des informations personnelles dans l'intention d'échapper à une demande d'accès; (iii) licencie, suspend, rétrograde, discipline, harcèle ou désavantage autrement un employé qui est un lanceur d'alerte; ou (iv) ne se conforme pas à une ordonnance rendue par le Commissaire à la protection de la vie privée de la Colombie-Britannique.


La PPCDA augmenterait considérablement les conséquences financières de la non-conformité dans le cadre fédéral de protection de la vie privée, allant au-delà des amendes basées sur les infractions de la PIPEDA en introduisant des pénalités administratives pécuniaires pouvant atteindre 10 millions de dollars canadiens ou 3 % des revenus bruts mondiaux et des amendes pouvant atteindre le plus élevé de 25 millions de dollars canadiens ou 5 % des revenus bruts mondiaux pour des contraventions spécifiques. Cela rapprocherait l'application fédérale du modèle plus strict déjà reflété dans la Loi sur la protection de la vie privée du Québec. En vertu de la PPCDA, les organisations devront évaluer de manière proactive leur posture de conformité par rapport aux obligations spécifiques qui déclenchent des pénalités en vertu de la PPCDA.

Droit d’action privé

PPCDA

La PPCDA inclut un droit d’action privé qui permet à un individu d’intenter une action en dommages-intérêts contre une organisation dans diverses circonstances, notamment si « une décision finale rejetant tout appel de la conclusion, ou confirmant la conclusion que l’organisation a contrevenu à cette loi, a été rendue et tous les droits d’appel ont été épuisés ».

Il est à noter que la PPCDA ne limite ni n’affecte le droit d’un individu de se prévaloir d’un recours civil en vertu d’une autre loi du Parlement, d’une loi d’une législature provinciale ou en vertu de la common law.

PIPEDA

La LPRPDE ne prévoit pas de droit d’action indépendant permettant aux individus de poursuivre des recours judiciaires contre une organisation pour non-conformité à cette loi.

Loi sur la protection de la vie privée du Québec

En vertu de la Loi sur la protection de la vie privée du Québec, les individus peuvent intenter une réclamation privée pour des dommages découlant de violations de la vie privée. Des dommages-intérêts punitifs d’au moins 1 000 $ CA peuvent être accordés lorsque l’atteinte à un droit en vertu de la Loi sur la protection de la vie privée du Québec ou des articles 35 à 40 du Code civil du Québec est intentionnelle ou résulte d’une faute lourde.

LPRP

Un individu dispose d’un droit d’action contre une organisation pour des dommages si : (i) le commissaire à la protection de la vie privée de l’Alberta ou de la Colombie-Britannique a rendu une ordonnance contre l’organisation; ou (ii) une personne a été reconnue coupable d’une infraction en vertu de la LPRP, et cette personne n’a plus de droit d’appel dans l’un ou l’autre des cas.


Le droit d’action privé de la PPCDA crée une nouvelle voie pour les individus de demander des dommages-intérêts pour des violations de la vie privée, élargissant le profil de risque de litige pour les organisations au-delà des recours limités de la Cour fédérale en vertu de la LPRPDE. Bien que la Loi sur la protection de la vie privée du Québec offre déjà aux individus un droit similaire de demander des dommages-intérêts pour des violations de la vie privée, y compris des dommages-intérêts punitifs dans certaines circonstances, la PPCDA introduit une cause d’action statutaire fédérale comparable. La possibilité de recours collectifs en vertu de cette disposition augmente l’exposition financière des organisations qui subissent des atteintes à la vie privée ou ne se conforment pas à la loi. Les organisations devraient évaluer leurs pratiques en matière de protection de la vie privée et leurs capacités de réponse aux incidents à la lumière de ce risque accru de litige.

Points à retenir

Les organisations devraient considérer la PPCDA comme un indicateur de l’évolution de la conformité en matière de protection de la vie privée au Canada. Un gouvernement majoritaire au parlement rend concevable que la législation soit adoptée dans une forme sensiblement identique à celle présentée. Les organisations devraient donc prendre des mesures dès maintenant pour réévaluer les pratiques de consentement, formaliser les programmes de gestion de la vie privée, se préparer à des droits individuels élargis et traiter la conformité en matière de protection de la vie privée comme une fonction de gestion des risques d’entreprise.

Si vous souhaitez en savoir plus sur l’impact potentiel de la PPCDA sur votre organisation, les membres de notre équipe de protection de la vie privée peuvent vous aider.

Réseaux sociaux
Télécharger
Télécharger
S'abonner
Demandes de republication

Pour obtenir la permission de republier cette publication ou toute autre publication, contactez Erica Wirthlin à wirthline@bennettjones.com.

À titre informatif uniquement

Cette publication fournit un aperçu des tendances et des mises à jour juridiques à titre informatif uniquement. Pour des conseils juridiques personnalisés, veuillez contacter les auteurs.