Le 15 juin 2026, le gouvernement fédéral a présenté le projet de loi C-36 visant à moderniser les lois fédérales canadiennes sur la protection de la vie privée dans le secteur privé et à poursuivre la mise en œuvre de la Stratégie nationale en matière d’intelligence artificielle du Canada : L’IA pour tous.
Le projet de loi C-36, intitulé Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs (LPVPDC) modifiant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et apportant des modifications à d’autres lois, abrogera le régime actuel applicable au secteur privé en vertu de la LPRPDE et le remplacera par la LPVPDC.
Les modifications proposées sont importantes. Pour les entreprises, la LPVPDC aura une portée dépassant largement les politiques de confidentialité : elle touchera notamment les contrats commerciaux, les conventions de fusion et d’acquisition et les précautions de diligence, les transferts transfrontaliers de données, la gouvernance de l’intelligence artificielle (IA), la conservation de documents, la transparence à l’égard de la clientèle et la gestion des risques d’entreprise. Voici cinq thèmes clés à surveiller à mesure que le projet de loi C-36 progresse dans le processus législatif.
1. Architecture législative : une nouvelle loi autonome et la reconnaissance du droit à la vie privée comme droit fondamental
La LPVPDC sera une nouvelle loi autonome régissant l’utilisation des renseignements personnels par le secteur privé dans le cadre d’activités commerciales. Le projet de loi C-36 dissociera les volets « protection des renseignements personnels » et « documents électroniques » de la LPRPDE : la partie 1 (protection des renseignements personnels) sera abrogée et le reste sera renommé Loi sur les documents électroniques.
La LPVPDC reconnaîtra officiellement le droit à la vie privée comme un droit fondamental. Au‑delà de la théorie, cette reconnaissance aura des conséquences concrètes : le droit à la vie privée bénéficiera d’une plus grande importance et devra être pris en compte dès la conception des produits, campagnes ou ententes de partage de données, et non après leur mise en œuvre. La LPVPDC instaurera également un droit privé d’action pour les individus touchés par une contravention à la LPVPDC commise par une organisation.
2. Mise en place d’un nouvel organisme de réglementation
Le projet de loi C-36 transférera la surveillance de la protection de la vie privée dans le secteur privé à la Commission canadienne de la sécurité numérique et de la protection des données. Ce modèle prévoit une commission composée de cinq membres ainsi qu’un commissaire à la protection de la vie privée et des données des consommateurs. La Commission sera chargée de l’application de la LPVPDC et sera également responsable de la mise en œuvre du projet de Loi sur la sécurité numérique (le projet de loi C-34).
Contrairement au modèle actuel de la LPRPDE, dans le cadre duquel le Commissariat à la protection de la vie privée du Canada enquête et recherche des solutions, la nouvelle Commission aura le pouvoir d’émettre des ordonnances exécutoires et d’imposer des sanctions pécuniaires importantes pouvant atteindre 10 millions de dollars canadiens ou 3 % du chiffre d’affaires mondial, selon le montant le plus élevé.
Les organisations doivent s’attendre à ce que les questions relatives à la vie privée soient évaluées parallèlement à celles concernant la sécurité numérique, l’IA, la protection des consommateurs, la concurrence, les télécommunications et la responsabilité des plateformes. Cela est important pour les domaines d’activité réglementés, les projets d’infrastructure réalisés au moyen d’appareils connectés, les plateformes de consommation, les services financiers, le commerce de détail, les transports, l’énergie et les entreprises traitant de grandes quantités de données.
3. Consentement
Le consentement demeure la base par défaut pour la collecte, l’utilisation et la communication de renseignements personnels, sauf pour les exceptions prévues par la LPVPDC. Le projet de loi C-36 est plus normatif que la LPRPDE : un consentement valide devra reposer sur une communication en langage clair des finalités, des méthodes, des conséquences raisonnablement prévisibles, des types de renseignements et des destinataires tiers.
La LPVPDC permettra également de mieux faire la distinction entre le consentement explicite et le consentement implicite, d’invalider le consentement obtenu par des pratiques fausses, trompeuses ou mensongères et de préserver la capacité d’une personne à retirer son consentement moyennant un préavis raisonnable. La LPRPDE exige déjà un consentement éclairé, mais la LPVPDC rendra les exigences plus concrètes relativement à la communication des renseignements.
4. Retrait, systèmes décisionnels automatisés, données relatives aux enfants et tarification de la surveillance
La LPVPDC élargira le contrôle individuel au-delà du modèle d’accès et de rectification de la LPRPDE. Elle introduira le droit de demander la destruction des renseignements personnels lorsque, par exemple, les renseignements ont été traités en violation de la LPVPDC, que le consentement a été retiré ou que les renseignements ne sont plus nécessaires à la fourniture du produit ou du service demandé. Le terme « retrait » signifie, relativement à des « renseignements personnels, leur suppression définitive et irréversible ou le fait de les anonymiser ». Pour ce faire, les organisations devront savoir où sont stockés les renseignements personnels, qui y a accès, pendant combien de temps ils sont conservés et quels fournisseurs les détiennent. Elles devront par ailleurs mettre en place des mécanismes permettant leur suppression complète (ou leur anonymisation) dans les systèmes et auprès des fournisseurs de services.
Le projet de loi C-36 renforce également les obligations de transparence liées aux systèmes décisionnels automatisés, notamment ceux qui émettent des prévisions, formulent des recommandations ou prennent des décisions concernant des individus. Dans le cas où une décision automatisée a des effets juridiques ou des effets d’une importance similaire, l’individu peut demander une explication de la prévision, de la recommandation ou de la décision. Les organisations qui utilisent l’IA ou des outils automatisés pour la tarification, l’embauche, l’octroi de crédit, le service à la clientèle, la détection de fraude, le marketing ou l’évaluation des risques doivent être en mesure d’expliquer le fonctionnement de l’outil et les renseignements personnels qu’il utilise.
Dans le cadre de ces modifications, une attention particulière est également accordée aux renseignements personnels des enfants et à la tarification de la surveillance. Le projet de loi C-36 définit un « enfant » comme un individu âgé de moins de 18 ans et le gouvernement a déclaré que les organisations devront respecter une norme plus élevée lorsqu’elles traiteront les renseignements personnels d’un enfant. Le projet de loi met également l’accent sur les utilisations abusives des renseignements personnels, notamment la tarification inappropriée des services de surveillance. Les organisations qui ont recours à la tarification personnalisée, l’analyse de la fidélisation, la publicité ciblée, la vérification de l’âge ou aux services destinés aux enfants devraient envisager de consigner et d’examiner ces pratiques dès maintenant.
5. Circulation des données : communication transfrontalière des renseignements et flux transfrontaliers de données
Le projet de loi C-36 imposera aux organisations d’établir des exigences plus strictes et plus documentées pour les transferts de renseignements personnels à l’extérieur du Canada. Avant de communiquer ou de transférer des renseignements personnels à l’extérieur du Canada, une organisation devra effectuer une évaluation des facteurs relatifs à la vie privée et mettre en œuvre des mesures de réduction des risques qui devront désormais comprendre l’adhésion à des codes ou à des certifications approuvés, en plus des protections contractuelles.
La Commission pourra demander une copie de l’évaluation des facteurs relatifs à la vie privée, et les organisations devront indiquer si elles transfèrent ou communiquent des renseignements personnels d’une province à l’autre ou à l’extérieur du Canada lorsqu’il existe des répercussions raisonnablement prévisibles sur la vie privée.
Perspectives
Le projet de loi C-36 vient d’être déposé au Parlement et certains détails pourraient changer avant son adoption. Néanmoins, l’orientation est claire : le régime canadien évolue vers des droits renforcés, une application plus rigoureuse et des attentes accrues envers les organisations qui traitent des renseignements personnels.
Les organisations devraient dès maintenant amorcer leur préparation, notamment :
- répertorier les renseignements personnels à l’échelle de l’organisation et des ressorts;
- examiner les avis de confidentialité et les processus de consentement;
- évaluer les ententes avec les fournisseurs et les prestataires de services;
- recenser les outils d’IA et de prise de décision automatisée;
- mettre à jour les pratiques de conservation et d’élimination;
- s’assurer que la haute direction comprend les risques liés à l’application de la loi.
Pour toute question concernant les répercussions du projet de loi C‑36 sur votre organisation, le groupe Protection des renseignements personnels et des données de Bennett Jones se tient à votre disposition pour vous accompagner.