Retour aux projets de loi

Nouvelle loi sur la protection de la vie privée des consommateurs

Titre complet:
Loi édictant la Loi visant à protéger la vie privée et les données des consommateurs, modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et apportant des modifications à d'autres lois

Résumé#

Le projet de loi C-36 remplace la loi canadienne sur la protection de la vie privée dans le secteur privé (Partie 1 de la LPRPDE) par une nouvelle loi appelée la Loi sur la protection de la vie privée et des données des consommateurs. Elle établit des règles claires sur la manière dont les entreprises collectent, utilisent, divulguent, conservent et protègent les informations personnelles dans le cadre d'activités commerciales. Elle renforce également la surveillance et les sanctions, et renomme l'ancienne LPRPDE en tant que Loi sur les documents électroniques.

Principaux changements :

  • Crée de nouveaux devoirs pour les organisations : désigner un responsable de la vie privée, mettre en place un programme de gestion de la vie privée, limiter la collecte à ce qui est nécessaire, maintenir les données exactes et sécurisées, et les supprimer lorsqu'elles ne sont plus nécessaires.
  • Exige un consentement valide avec des informations en langage clair, et interdit d'imposer un consentement supplémentaire non nécessaire pour un produit ou un service. Énumère de nombreux cas où le consentement n'est pas requis (par exemple, la prévention de la fraude, certaines « activités commerciales » ou des demandes légales).
  • Donne aux personnes des droits d'accès à leurs données, de demander des corrections, de recevoir des avis de violation, et d'obtenir une explication lorsque des décisions importantes sont prises par des systèmes automatisés (logiciels qui prédisent ou décident).
  • Exige des évaluations d'impact sur la vie privée avant d'envoyer des informations personnelles à l'extérieur du Canada et pour certaines utilisations « d'intérêt légitime » sans consentement, et impose le signalement des violations à la nouvelle Commission et aux personnes concernées lorsqu'il existe un risque réel de préjudice significatif.
  • Introduit la portabilité des données afin que les personnes puissent demander à une organisation d'envoyer leurs données à une autre, lorsque un cadre de portabilité des données existe par règlement.
  • Établit une forte application : des pénalités administratives allant jusqu'à la plus élevée de 10 millions de dollars ou 3 % des revenus mondiaux, des amendes criminelles pour des infractions connues allant jusqu'à la plus élevée de 25 millions de dollars ou 5 % des revenus mondiaux, des audits, des ordonnances, et un droit limité de poursuivre après une constatation d'un régulateur.
  • Transfère la surveillance de la vie privée à la Commission canadienne de la sécurité numérique et de la protection des données et crée un Commissaire à la vie privée et des données des consommateurs et une Division. Permet des codes de vie privée et des programmes de certification approuvés.

Ce que cela signifie pour vous#

  • Individus et consommateurs

    • Vous devez obtenir des informations claires pour consentir. Vous pouvez retirer votre consentement plus tard.
    • Vous pouvez demander si une organisation détient vos informations personnelles, comment elles sont utilisées, et à qui elles ont été divulguées. Vous pouvez demander l'accès et des corrections.
    • Vous devez être informé de certaines violations de données qui créent un risque réel de préjudice significatif (comme le vol d'identité ou la perte financière).
    • Si un système automatisé a pris une décision à votre sujet ayant un effet légal ou d'une importance similaire (par exemple, un refus de prêt), vous pouvez demander une explication et soumettre des arguments écrits à un examinateur humain au sein de l'organisation.
    • Vous pouvez demander à une organisation de disposer de vos informations personnelles dans des situations définies (par exemple, si le consentement a été retiré ou si les données ne sont plus nécessaires), avec certaines exceptions.
    • Portabilité des données : vous pourriez être en mesure de demander à une organisation d'envoyer vos données à une autre lorsque le gouvernement a mis en place un cadre de portabilité des données pour ce secteur.
    • Les informations concernant les enfants sont considérées comme sensibles. Un parent ou un tuteur peut exercer des droits pour un enfant, à moins que l'enfant soit capable et souhaite agir pour lui-même.

  • Employés dans des lieux de travail réglementés par le fédéral (banques, compagnies aériennes, télécommunications, etc.)

    • Votre employeur peut collecter, utiliser ou divulguer vos informations personnelles sans consentement si cela est nécessaire pour établir, gérer ou mettre fin à votre emploi et si vous en êtes informé.

  • Entreprises et autres organisations engagées dans des activités commerciales

    • Vous devez désigner un responsable de la vie privée et maintenir un programme de gestion de la vie privée (politiques, formation, gestion des plaintes et explications publiques de vos pratiques).
    • Ne collectez que ce qui est nécessaire pour les fins déclarées et enregistrez ces fins avant de collecter. Utilisez un langage clair pour le consentement, identifiez les tiers, et évitez le consentement groupé au-delà de ce qui est nécessaire pour fournir le produit ou le service.
    • Vous pouvez vous appuyer sur certains motifs sans consentement (par exemple, activités commerciales nécessaires, intérêts légitimes spécifiés après une évaluation et une atténuation des risques, recherche interne sur des données dépersonnalisées, transferts à des fournisseurs de services, urgences, prévention de la fraude ou demandes légales). Certaines activités sont restreintes (par exemple, l'utilisation d'outils de collecte d'adresses ou l'accès illégal à des systèmes informatiques).
    • Avant de divulguer ou de transférer des informations personnelles à l'extérieur du Canada, effectuez une évaluation d'impact sur la vie privée et atténuez les risques (par exemple, contrats ou codes/certifications approuvés).
    • Mettez en place des mesures de protection physiques, organisationnelles et technologiques proportionnelles à la sensibilité, conservez des dossiers de violations, signalez les violations qualifiantes à la Commission, informez les personnes concernées, et assurez-vous que les fournisseurs de services offrent une protection équivalente par contrat.
    • Soyez transparent sur votre utilisation de systèmes de décision automatisés qui pourraient avoir un impact significatif sur les personnes, les transferts transfrontaliers, et les périodes de conservation des données sensibles. Répondez aux demandes d'accès dans les 30 jours (avec des prolongations limitées).
    • Les risques de non-conformité entraînent des ordonnances, des audits, des pénalités administratives (jusqu'à la plus élevée de 10 millions de dollars ou 3 % des revenus mondiaux par enquête), et des amendes criminelles potentielles pour des infractions connues ou obstruction (jusqu'à la plus élevée de 25 millions de dollars ou 5 % des revenus mondiaux). Les individus peuvent poursuivre après une constatation de contravention par un régulateur.
    • Des codes de pratique et des programmes de certification approuvés peuvent être disponibles, mais ils ne remplacent pas vos obligations légales.

  • Fournisseurs de services (y compris les affiliés et les sous-traitants)

    • Vous devez informer l'organisation contrôlante de toute violation que vous détectez. Si vous utilisez des données à d'autres fins que celles pour lesquelles vous les avez reçues, vous assumez l'entière responsabilité en vertu de la Loi.

  • Activités journalistiques, artistiques ou littéraires

    • La collecte et l'utilisation uniquement à ces fins sont exemptées.

  • Calendrier

    • La Loi entre en vigueur à une date fixée par le Cabinet fédéral (décret en conseil).

Dépenses#

Aucune information disponible publiquement.

Coûts et charges privés possibles :

  • Construction et maintien de programmes de gestion de la vie privée, formation du personnel et gestion des plaintes.
  • Réalisation d'évaluations d'impact sur la vie privée (pour les divulgations transfrontalières et les utilisations « d'intérêt légitime »), et mise en place de mesures d'atténuation et de contrats.
  • Mesures de sécurité des données, tenue de dossiers de violations et signalement des violations.
  • Systèmes pour gérer l'accès, la correction, la suppression et les explications des décisions automatisées.
  • Coûts futurs potentiels pour soutenir les cadres de portabilité des données une fois établis par règlement.
  • Exposition légale résultant d'ordonnances, de pénalités, d'audits et de possibles poursuites privées.

Point de vue des partisans#

  • Le projet de loi semble destiné à renforcer les droits à la vie privée dans l'économie numérique tout en permettant des flux de données nécessaires pour le commerce.
  • Exiger un consentement en langage clair, des limites sur la collecte et des notifications de violation pourrait améliorer la transparence et la confiance.
  • Des explications et un examen humain pour des décisions automatisées ayant un impact pourraient rendre les décisions algorithmiques plus équitables et plus responsables.
  • Les évaluations d'impact sur la vie privée et les mesures de protection pour les transferts transfrontaliers pourraient mieux protéger les données des Canadiens lorsqu'elles quittent le pays.
  • Des pouvoirs d'application plus forts et des pénalités significatives pourraient inciter à la conformité et dissuader les abus.
  • La portabilité des données pourrait aider les consommateurs à changer de fournisseur plus facilement et pourrait soutenir la concurrence et l'innovation.
  • Permettre des codes et des certifications approuvés pourrait donner aux organisations des orientations plus claires et une conformité simplifiée.

Point de vue des opposants#

  • Une préoccupation est le nombre d'exceptions qui permettent la collecte, l'utilisation ou la divulgation sans consentement (par exemple, « activités commerciales », « intérêts légitimes », prévention de la fraude ou divulgations larges au gouvernement pour l'application de la loi et la sécurité nationale). Cela pourrait être perçu comme un affaiblissement du consentement.
  • Le projet de loi permet des transferts à l'extérieur du Canada après une évaluation et une atténuation, mais il ne restreint pas ces transferts de manière absolue. Les gens peuvent s'inquiéter des protections dans les juridictions étrangères.
  • De nombreux éléments clés (par exemple, les cadres de portabilité des données et les détails des évaluations « d'intérêt légitime ») sont laissés à des règlements futurs, donc l'impact réel est en partie incertain.
  • Les obligations de conformité (programmes de vie privée, évaluations, gestion des violations, demandes d'accès et explications pour les décisions automatisées) pourraient être difficiles et coûteuses, surtout pour les petites organisations.
  • Des pénalités très élevées et un droit d'action privé après des constatations peuvent augmenter le risque juridique et entraîner davantage de litiges.
  • La Loi permet aux régulateurs de partager certaines informations au niveau national et avec des homologues étrangers dans le cadre d'accords. Cela peut soulever des questions sur la confidentialité et la surveillance, même avec des limites énoncées.

Amendment analysis

Compare the current law against the bill text and review the change-by-change explanation for each affected provision.

Amendments
55
Sources
1462
Updated
Jun 16, 2026

Créez un compte pour débloquer l'analyse PRO

Inscrivez-vous pour lire l'analyse détaillée, amendement par amendement, de ce projet de loi.

  • See each amended section in one place.
  • Compare the current wording against the proposed text.
  • Review the source material behind each change.
S'inscrireVous avez déjà un compte ? Connectez-vous