Projet de loi C‑36 et la réforme de la protection des renseignements personnels au Canada

Le 15 juin 2026, le gouvernement fédéral a déposé le projet de loi C‑36 afin de moderniser le régime fédéral de protection des renseignements personnels dans le secteur privé et de poursuivre la mise en œuvre de la Stratégie nationale en matière d'intelligence artificielle du Canada : L’IA pour tous.

Le projet de loi C‑36, intitulé Loi édictant la Loi sur la protection de la vie privée et des données des consommateurs (LPVPDC), modifiant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et apportant des modifications connexes à d’autres lois, abrogera le régime actuel applicable au secteur privé en vertu de la LPRPDE et le remplacera par la LPVPDC.

Les changements proposés sont importants. Pour les entreprises, la LPVPDC aura une portée qui dépasse largement les politiques de confidentialité : elle touchera notamment les contrats commerciaux, les conventions de fusion et acquisition et les vérifications diligentes, les transferts transfrontaliers de données, la gouvernance de l’IA, la conservation des documents, la transparence envers la clientèle et la gestion des risques organisationnels. Voici cinq grands thèmes à surveiller à mesure que le projet de loi C‑36 progressera dans le processus législatif.

1. Architecture législative : une nouvelle loi autonome et la reconnaissance de la vie privée comme droit fondamental

La LPVPDC constituera une nouvelle loi autonome régissant l’utilisation des renseignements personnels dans les activités commerciales du secteur privé. Le projet de loi C‑36 dissociera les volets « protection des renseignements personnels » et « documents électroniques » de la LPRPDE : la partie 1 (protection des renseignements personnels) sera abrogée, et le reste sera renommé Loi sur les documents électroniques.

La LPVPDC reconnaîtra officiellement la vie privée comme un droit fondamental. Au‑delà de la théorie, cette reconnaissance aura des conséquences concrètes : les droits à la vie privée bénéficieront d’une plus grande importance et devront être pris en compte dès la conception des produits, campagnes ou ententes de partage de données, et non après leur mise en œuvre. La loi introduira également un droit privé d’action pour les personnes touchées par une contravention.

2. Introduction d’un nouvel organisme de réglementation

Le projet de loi C‑36 transférera la surveillance de la protection des renseignements personnels dans le secteur privé à la Commission de la sécurité numérique et de la protection des données du Canada. Ce modèle prévoit une commission de cinq membres ainsi qu’un commissaire à la protection de la vie privée et des données des consommateurs. La Commission administrera la LPVPDC et sera également responsable du projet de Loi sur la sécurité numérique (projet de loi C‑34).

Contrairement au régime actuel de la LPRPDE, où le Commissariat à la protection de la vie privée du Canada enquête et formule des recommandations, la nouvelle Commission disposera de pouvoirs décisionnels contraignants et pourra imposer des sanctions administratives pécuniaires importantes, pouvant atteindre 10 millions de dollars ou 3 % du chiffre d’affaires mondial, selon le montant le plus élevé.

Les organisations doivent s’attendre à ce que les questions de vie privée soient évaluées conjointement avec la sécurité numérique, l’IA, la protection des consommateurs, la concurrence, les télécommunications et la responsabilité des plateformes. Cela aura des répercussions dans plusieurs secteurs, notamment les infrastructures, les services financiers, le commerce de détail, le transport, l’énergie et toute industrie axée sur les données.

3. Consentement

Le consentement demeure la base par défaut pour la collecte, l’utilisation et la communication de renseignements personnels, sauf exceptions prévues par la LPVPDC. Toutefois, le projet de loi C‑36 est plus prescriptif que la LPRPDE : un consentement valable devra reposer sur une communication en langage clair des finalités, des méthodes, des conséquences raisonnablement prévisibles, des types de renseignements et des tiers concernés.

La loi clarifiera également la distinction entre le consentement exprès et implicite, invalidera le consentement obtenu par des pratiques trompeuses et maintiendra le droit de retrait du consentement dans un délai raisonnable. Si la LPRPDE exige déjà un consentement « valable », la LPVPDC renforcera et précisera les exigences de transparence.

4. Élimination des données, décisions automatisées, renseignements sur les enfants et tarification fondée sur la surveillance

La LPVPDC élargira les droits des individus au‑delà de l’accès et de la rectification, en introduisant un droit à l’élimination des renseignements personnels, notamment lorsque ceux-ci ont été traités en contravention de la loi, lorsque le consentement est retiré ou lorsqu’ils ne sont plus nécessaires. Le terme « éliminer » signifie supprimer définitivement et irréversiblement ou anonymiser les données.

Les organisations devront donc savoir où se trouvent les données, qui y a accès, combien de temps elles sont conservées et chez quels fournisseurs elles résident, et disposer de mécanismes permettant leur suppression complète.

Le projet de loi renforce également les obligations de transparence liées aux systèmes décisionnels automatisés, notamment ceux qui produisent des prédictions, recommandations ou décisions ayant un effet juridique ou similaire important. Les individus pourront demander une explication de ces décisions.

Une attention particulière est également accordée aux renseignements concernant les enfants (moins de 18 ans), pour lesquels une norme plus élevée s’appliquera, ainsi qu’à la tarification fondée sur la surveillance. Les organisations utilisant la personnalisation des prix, l’analyse de fidélisation, la publicité ciblée ou les services destinés aux jeunes devraient examiner ces pratiques dès maintenant.

5. Circulation des données : transferts transfrontaliers

Le projet de loi C‑36 imposera des exigences plus strictes et plus documentées pour les transferts de renseignements personnels à l’extérieur du Canada. Avant tout transfert, une organisation devra réaliser une évaluation des facteurs relatifs à la vie privée et mettre en œuvre des mesures d’atténuation des risques, incluant des codes ou certifications reconnus, en plus des protections contractuelles.

La Commission pourra exiger copie de ces évaluations, et les organisations devront indiquer si des transferts interprovinciaux ou internationaux comportent des risques raisonnablement prévisibles.

Perspectives

Bien que le projet de loi C‑36 en soit encore à l’étape initiale du processus législatif, l’orientation est claire : le régime canadien évolue vers des droits renforcés, une application plus rigoureuse et des attentes accrues envers les organisations.

Les entreprises devraient dès maintenant amorcer leur préparation, notamment :

• cartographier les renseignements personnels détenus et leurs flux;
• revoir les avis de confidentialité et les mécanismes de consentement;
• évaluer les ententes avec les fournisseurs et partenaires;
• recenser les outils d’IA et de décision automatisée;
• mettre à jour les pratiques de conservation et d’élimination;
• sensibiliser la haute direction aux risques et aux sanctions potentielles.

Pour toute question concernant les répercussions du projet de loi C‑36 sur votre organisation, le groupe Protection des renseignements personnels et des données de Bennett Jones se tient à votre disposition pour vous accompagner.