Projet de loi C-36 : une troisième tentative de réforme fédérale pour protéger la vie privée dans le secteur privé

Aperçu

Le 15 juin 2026, Evan Solomon, le ministre de l’Intelligence artificielle et de l’Innovation numérique, a présenté le projet de loi C-36^[1] qui vise à édicter la Loi visant à protéger la vie privée et les données des consommateurs (la « LPVPDC »). Il s’agit de la troisième tentative en six ans de réformer la loi fédérale canadienne sur la protection de la vie privée dans le secteur privé. À l’instar des projets de loi C-11 et C-27, présentés respectivement en 2020 et 2022, qui proposaient tous deux d’adopter la Loi sur la protection de la vie privée des consommateurs (la « LPVPC »), le projet de loi C-36 remplacerait la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») par une nouvelle loi (la LPVPDC) qui codifie les principes de la LPRPDE, demeure fondée sur le consentement, confère à l’organisme de réglementation le pouvoir d’émettre des ordonnances et d’imposer d’importantes sanctions administratives pécuniaires, et prévoit un droit d’action privé élargi. Le projet de loi C-27 a été rayé du Feuilleton lors de la prorogation du Parlement en janvier 2025, et le projet de loi C-36 constitue la réponse du gouvernement à l’opinion largement répandue selon laquelle la réforme fédérale de la protection de la vie privée se fait toujours attendre.

Le dépôt du projet de loi C-36 était très attendu à la suite de la publication, le 4 juin 2026, de la stratégie nationale en matière d’intelligence artificielle, qui fait expressément mention de la nécessité de moderniser la législation relative à la protection de la vie privée (tout en gardant un silence manifeste sur la législation relative à l’IA). De manière générale, la LPVPDC correspond à une codification des principes existants de la LPRPDE et des orientations de longue date du Commissariat à la protection de la vie privée, tout en introduisant certains concepts tirés du Règlement général sur la protection des données (le « RGPD ») de l’Union européenne et de la Loi 25 du Québec.

Bien que la LPVPDC partage la structure ainsi qu’une grande partie du contenu de la LPVPC, deux différences notables ressortent entre le projet de loi C-36 et le précédent projet de loi C-27 :

• Aucune réglementation propre à l’IA. La réforme de la protection de la vie privée prévue dans le projet de loi C-27 allait de pair avec la législation sur l’IA, à savoir la Loi sur l’intelligence artificielle et les données (la « LIAD »). Le projet de loi C-36 ne contient pas de réglementation distincte sur l’IA et se concentre exclusivement sur la protection de la vie privée, comme l’avait annoncé le gouvernement dans sa stratégie en matière d’IA. La LIAD ainsi que la manière dont la réforme de la protection de la vie privée était liée à une nouvelle loi sur l’IA dans le projet de loi C-27 ont été largement critiquées et ont ralenti l’avancement de ce projet de loi au Parlement.
• Nouvel organisme de réglementation et nouveau cadre de surveillance. Le projet de loi C-36 transfère les pouvoirs de surveillance de la protection de la vie privée du Commissariat à la protection de la vie privée et de son commissaire à la Commission canadienne de la sécurité numérique et de la protection des données. Plutôt que de maintenir le Commissariat à la protection de la vie privée et de créer un tribunal de la protection des renseignements personnels et des données distinct (comme le prévoyait le projet de loi C-27), le projet de loi C-36 réserve les fonctions d’administration, d’enquête et de décision à la Commission canadienne de la sécurité numérique et de la protection des données (la « Commission »), un organisme qui n’existe pas encore, mais qui serait créé par le projet de loi C-34, un projet de loi actuellement devant le Parlement qui vise à lutter contre le contenu préjudiciable en ligne. Le projet de loi C-36 modifierait par ailleurs le cadre du projet de loi C-34 pour renommer cet organisme, qui passerait de « Commission de la sécurité numérique » à « Commission canadienne de la sécurité numérique et de la protection des données », en plus de lui conférer ce nouveau mandat en matière de protection de la vie privée. Le commissaire à la protection de la vie privée et des données des consommateurs serait membre de la Commission et serait responsable de traiter les plaintes et de mener des enquêtes. Ses décisions pourraient ensuite être examinées par la Commission sur demande de l’organisation concernée ou du plaignant.

Le présent bulletin propose un survol du projet de loi C-36 et met en évidence les principales similitudes et différences entre ce projet de loi, le projet de loi C-27 et la LPRPDE. Comme tout projet de loi en première lecture, le projet de loi C-36 est susceptible d’évoluer au fur et à mesure de son parcours au Parlement, et une grande partie de son contenu, notamment les cadres relatifs à la mobilité des données, les exigences en matière de transferts transfrontaliers et les critères de certification, sera précisée ultérieurement dans la réglementation. De plus, la LPVPDC exige que la Commission élabore des lignes directrices sur l’application de la loi et le règlement des différends, et qu’elle établisse des règles de procédure.

Dans les prochaines semaines, le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken examinera de manière plus détaillée les aspects les plus importants de la LPVPDC et du nouveau cadre de surveillance du projet de loi C-36.

Éléments repris du projet de loi C-27 et de la LPRPDE

La LPVPDC conserve la structure et la plupart du contenu de la LPVPC et comprend plusieurs des modifications apportées à cette dernière adoptées par le Comité permanent de l’industrie et de la technologie (« INDU », ci-après « le Comité ») au cours de son examen du projet de loi C-27. Par ailleurs, la majorité des dispositions axées sur les consommateurs soulignées par le gouvernement lors de la présentation du projet de loi C-36 figuraient également dans la LPVPC du projet de loi C-27 :

• La LPVPDC demeure fondée sur le consentement. Le consentement reste le fondement principal de la collecte, de l’utilisation et de la communication des renseignements personnels, avec les mêmes exigences supplémentaires relatives à la validité du consentement que celles prévues par la LPVPC (qui reflètent en grande partie les lignes directrices du Commissariat à la protection de la vie privée du Canada concernant le consentement éclairé ainsi que des décisions judiciaires plus récentes), à savoir un avis rédigé en langage clair, la mention des types précis de renseignements personnels recueillis et l’identification des tiers (ou des catégories de tiers) auxquels ces renseignements sont susceptibles d’être communiqués.
• Fins acceptables et limitation de la collecte. Une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels que de la manière et à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances, que le consentement soit requis ou non aux termes de la LPVPC. Cette condition s’applique, que l’organisation ait obtenu le consentement ou non, ou que celui-ci soit requis ou non.
• Exceptions élargies au consentement. La LPVPDC comprend les mêmes exceptions générales au consentement pour la collecte et l’utilisation de renseignements personnels à des fins « d’activités d’affaires », avec les mêmes activités énumérées (fourniture d’un produit ou d’un service demandé, sécurité, sûreté) et les mêmes limites (une personne raisonnable s’y attendrait et les renseignements personnels ne seraient pas recueillis en vue d’influencer le comportement ou les décisions de l’individu). Elle comporte également une exception liée à la collecte et à l’utilisation de tels renseignements fondée sur des intérêts légitimes. L’exception relative aux activités d’affaires, comme dans la LPVPC, est limitée à la collecte et à l’utilisation et ne s’étend pas à la communication. La LPVPDC autorise toutefois la communication de renseignements personnels lorsqu’il existe un intérêt légitime.
• Dépersonnalisation et anonymisation. La LPVPDC conserve la distinction fondamentale établie par la LPVPC : les renseignements personnels dépersonnalisés demeurent des renseignements personnels et sont assujettis à la Loi, tandis que les renseignements anonymisés en sont exclus. La définition de « dépersonnaliser » n’a pas été modifiée de manière importante et l’interdiction de réidentification est maintenue. Tout comme dans la LPVPC, les renseignements dépersonnalisés sont exclus du champ d’application de certains droits individuels et obligations connexes, notamment l’accès, la rectification, la suppression et la mobilité des données, bien que la LPVPDC précise cette exclusion dans chacune des dispositions applicables plutôt que par le biais d’une disposition d’interprétation unique, comme le faisait la LPVPC. La norme en matière d’anonymisation a toutefois été assouplie (explications ci-dessous), en raison des modifications apportées lors de l’étude de la LPVPC par le Comité.
• Déclaration des atteintes et avis. La LPVPDC maintient le critère bien connu du « risque réel de préjudice grave », l’obligation de tenir un registre des atteintes et celle qui exige que le fournisseur de services avise l’organisation concernée en cas d’atteinte.
• Exception au consentement pour les fournisseurs de services et obligations de ces derniers. À l’instar de la LPVPC, la LPVPDC traite des droits et obligations des fournisseurs de services, autorise le transfert de renseignements personnels entre les organisations et les fournisseurs de services à l’insu des personnes concernées et sans leur consentement, et impose expressément l’obligation de protéger ces renseignements et d’aviser les organisations responsables en cas de violation.
• Mobilité des données. Cette notion est conservée en tant que cadre et modèle réglementaire, comme dans les projets de loi C-11 et C-27.
• Accès, correction et droit de retrait. Comme le prévoyait la LPVPC, les individus auraient le droit d’accéder à leurs renseignements personnels, de demander la modification des renseignements inexacts, incomplets ou obsolètes, de retirer leur consentement (sous réserve des restrictions légales ou contractuelles) et de demander la suppression de leurs renseignements personnels, dans chaque cas sous réserve des mêmes catégories d’exceptions que celles initialement prévues par la LPVPC.
• Droit privé d’action. La LPVPDC prévoit un droit d’action privé, subordonné à la constatation d’une infraction par le commissaire, la Commission ou un tribunal (ou d’une condamnation), avec un délai de prescription de deux ans.
• Même plafond pour les pénalités et infractions. Le montant maximal de la pénalité ne change pas et reste fixé au montant le plus élevé entre 10 millions de dollars ou 3 % des recettes globales brutes, et les infractions les plus graves demeurent passibles d’amendes maximales de 25 millions de dollars ou d’un montant égal à 5 % des recettes globales brutes de l’organisation.
• La vie privée en tant que droit. Tout comme le projet de loi C-27, l’énoncé d’objet de la LPVPDC reconnaît expressément le « droit fondamental à la vie privée des individus », en tenant compte du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins acceptables.

Différences entre le projet de loi C-27 et la LPVPC.

1. Pas de mesures législatives propres à l’IA

Comme indiqué plus haut, ni le projet de loi C-36 ni le projet de loi C-34 du gouvernement visant à lutter contre le contenu préjudiciable en ligne ne proposent de mesures législatives propres à l’intelligence artificielle. Conformément à sa stratégie en matière d’IA, l’approche du gouvernement en matière de réglementation de l’IA s’articule entre, d’une part, les dispositions relatives aux robots conversationnels de la Loi sur la sécurité numérique (projet de loi C-34) et, d’autre part, le régime de protection de la vie privée et les dispositions relatives aux décisions automatisées de la LPVPDC.

2. Un nouvel organisme de réglementation : la Commission canadienne de la sécurité numérique et de la protection des données

Le projet de loi C-27 aurait maintenu en place le commissaire à la protection de la vie privée du Canada (avec des pouvoirs élargis) et créé un tribunal distinct responsable de la protection des renseignements personnels et des données, chargé d’imposer des sanctions et d’entendre les appels. Le projet de loi C-36 adopte une approche nettement différente. Cette mesure fait passer la surveillance de la protection de la vie privée du commissaire à la protection de la vie privée et de son bureau à la Commission, l’organisme que le projet de loi C-34 créerait sous le nom de « Commission canadienne de la sécurité numérique », mais que le projet de loi C-36 renommerait en plus d’élargir ses pouvoirs pour lui confier le mandat lié à la protection de la vie privée. Le cadre prévu par le projet de loi C-36 répartit les fonctions de surveillance de la protection de la vie privée entre trois acteurs :

• la Commission, composée de cinq membres à temps plein, qui rend des ordonnances et impose des pénalités par le biais de procédures d’examen;
• le commissaire à la protection de la vie privée et des données des consommateurs, un membre désigné qui enquête sur les plaintes, émet des avis d’infraction, conclut des ententes de conformité et effectue des vérifications;
• la Section de la protection de la vie privée et des données des consommateurs (la « Section »), composée du commissaire et d’au moins un autre membre de la Commission, qui traite du règlement des différends et approuve les codes de pratique et les programmes de certification.

L’application des sanctions va d’un avis de contravention émis par le commissaire (avec toute pénalité et ordonnance proposée) à un examen par la Commission, sur demande de l’organisation ou du plaignant, les appels étant portés directement devant la Cour fédérale. Le nouveau cadre de surveillance est également retiré de la surveillance parlementaire. Alors que le commissaire à la protection de la vie privée en vertu de la LPRPDE est un agent du Parlement, nommé avec l’approbation des deux Chambres et relevant directement du Parlement, les membres de la Commission seraient nommés par le gouverneur en conseil et la Commission rendrait des comptes par l’intermédiaire du ministre responsable.

3. Le terme « renseignement personnel » inclut expressément les renseignements déduits

En vertu de la LPRPDE (et de la LPVPC), les renseignements personnels désignent « tout renseignement concernant un individu identifiable ». La LPVPDC élargit la définition pour inclure les « renseignements déduits concernant un individu », un ajout adopté lors de l’étude du projet de loi C-27 par le Comité. Cette modification semble refléter les résultats de l’analyse des renseignements personnels et porter sur le traitement de ces derniers par l’IA. Cette référence expresse peut faire entrer dans le champ d’application de la LPVPDC des catégories de renseignements dérivés que certaines organisations traitent comme n’étant pas assujetties à la LPRPDE.

4. Enfants et définition légale de renseignements à « caractère sensible »

Le projet de loi C-36 apporte des précisions quant à la manière dont la LPVPDC traite les données relatives aux enfants et d’autres renseignements à caractère sensible :

• elle définit « enfant » comme un individu âgé de moins de dix-huit ans;
• elle offre une définition de renseignement personnel à « caractère sensible », énumérant des catégories telles que les les renseignements qui sont de nature à révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les renseignements génétiques, les renseignements biométriques susceptibles d’identifier un individu de manière unique et les renseignements concernant la santé ou l’orientation sexuelle d’un individu;
• elle impose « la protection des intérêts des enfants » comme facteur obligatoire dont la Commission, le commissaire et la Section doivent tenir compte dans l’exercice de leurs pouvoirs;
• elle renforce les droits de retrait des renseignements personnels des enfants en supprimant le motif lié à « l’intégrité ou l’exactitude » du service sur lequel une organisation pourrait autrement refuser une demande de retrait.

La LPVPDC fournit des précisions supplémentaires sur la manière dont elle traite les données à caractère sensibles et relatives aux enfants par rapport à la LPVPC, et intègre également certaines des modifications adoptées lors de l’examen de la LPVPC par le Comité.

5. Intérêt légitime étendu à la communication, et obligations d’évaluation des facteurs relatifs à la vie privée

L’exception au consentement fondée sur l’« intérêt légitime » prévue par le projet de loi C-27 ne s’appliquait qu’à la collecte et à l’utilisation des renseignements personnels. La LPVPDC étend cette exception à la collecte, à l’utilisation ou à la communication, élargissant ainsi sa portée. Parallèlement, elle ajoute des exigences procédurales concernant le recours à cette exception. Avant de se prévaloir de l’exception relative à l’intérêt légitime, une organisation doit préciser et décrire cet intérêt, puis réaliser une évaluation des facteurs relatifs à la vie privée (la LPVPC faisait référence, de manière plus générale, à une « évaluation ») visant à déceler et à atténuer tout effet négatif raisonnablement prévisible pour l’individu, cette évaluation devant être mise à la disposition de l’organisme de réglementation.

6. Une nouvelle obligation pour les transferts transfrontaliers

À l’instar de la Loi 25 du Québec, qui exige une évaluation des facteurs relatifs à la vie privée avant que des renseignements personnels soient communiqués à l’extérieur du Québec, la LPVPDC prévoit l’obligation de réaliser une telle évaluation avant de communiquer ou de transférer des renseignements personnels à l’extérieur du Canada. Les organisations doivent également mettre en place des mesures de réduction des risques cernés avant toute communication ou tout transfert de ce type, par exemple en recourant à des mesures contractuelles de protection de la vie privée ou en adhérant à un code de pratique ou à un processus de certification approuvé.

7. Révision du seuil d’application des droits relatifs aux décisions automatisées et instauration d’un nouveau droit de vérification par un humain

La LPVPC et la LPVPDC accordent toutes deux aux individus le droit de demander une explication pour les décisions automatisées. La LPVPDC apporte toutefois deux modifications importantes. Premièrement, elle redéfinit les décisions concernées, en remplaçant les décisions ayant une « incidence importante » par les prédictions, recommandations ou décisions pouvant avoir « des effets juridiques [...] ou une incidence importante », ce qui correspond au libellé du RGPD. Deuxièmement, comme la Loi 25 du Québec, la LPVPDC donne aux individus la possibilité de présenter des observations écrites à un employé humain habilité à réexaminer les décisions automatisées.

8. Une norme d’anonymisation plus pratique, fondée sur l’évaluation des risques

La LPVPC présentée dans le projet de loi C-27 contenait une définition stricte de l’anonymisation : modifier définitivement et irréversiblement, conformément aux meilleures pratiques généralement reconnues, des renseignements personnels afin qu’ils ne permettent pas d’identifier un individu, directement ou indirectement, par quelque moyen que ce soit. Ce libellé a été largement critiqué, jugé comme étant absolu et irréalisable, car tout moyen concevable de réidentification permettrait de remettre en cause le fait que les renseignements personnels aient été véritablement anonymisés.

La LPVPDC adopte un critère moins strict, fondé sur les modifications adoptées lors de l’examen du projet de loi C-27 par le Comité, lesquelles s’inspirent de la définition de l’anonymisation figurant dans la Loi 25 du Québec. La LPVPDC définit l’anonymisation comme la modification définitive et irréversible de renseignements personnels « afin qu’il n’y ait aucun risque raisonnablement prévisible, dans les circonstances, qu’un individu puisse être identifié, directement ou indirectement, par quelque moyen que ce soit à partir de ces renseignements ». La LPVPDC supprime la référence aux « meilleures pratiques généralement reconnues » et, plus important encore, remplace le seuil absolu selon lequel aucun individu ne peut être identifié par une norme fondée sur le risque selon laquelle il n’existe « aucun risque raisonnablement prévisible dans les circonstances ». Cette formulation fondée sur les risques est conforme à la norme établie par la Loi 25. Étant donné que les renseignements anonymisés ne relèvent pas du champ d’application de la LPVPDC, la norme fondée sur l’évaluation des risques pourrait offrir aux organisations une solution plus pratique leur permettant de recourir à l’anonymisation à des fins d’analyse, de recherche et de développement de l’IA, même si la formulation « définitivement et irréversiblement » signifie que cette norme demeure exigeante.

9. Facteurs visant à guider l’organisme de réglementation dans l’exercice de ses pouvoirs en vertu de la LPVPDC

Le projet de loi C-36 oblige la Commission, le commissaire et la Section de tenir compte, dans l’exercice des attributions conférées en vertu de la LPVPDC, d’une liste d’éléments, dont :

• l’objet de la LPVPDC;
• la taille et les recettes des organisations;
• le volume des renseignements personnels concernés et la mesure dans laquelle ces renseignements sont de caractère sensible;
• la protection des intérêts des enfants;
• le respect des obligations commerciales internationales du Canada;
• l’importance de soutenir la croissance économique, la concurrence et l’innovation;
• toute autre question d’intérêt public.

Ces éléments, plus explicites que tout ce qui avait été envisagé lors des efforts de réforme précédents en matière de protection de la vie privée, invitent l’organisme de réglementation à prendre en compte la proportionnalité, les circonstances propres à l’organisation et les répercussions sur la concurrence et l’innovation, parallèlement à la protection de la vie privée et des renseignements personnels.

Principaux enseignements pour les organisations

Même si le projet de loi C-36 n’en est qu’à sa première lecture, les organisations peuvent d’ores et déjà commencer à s’y préparer, d’autant plus que de nombreux éléments sont repris du projet de loi C-27 :

• Identifier les renseignements déduits et dérivés. Les renseignements personnels englobant désormais expressément les renseignements déduits, les organisations devraient réexaminer leurs pratiques en matière de profilage, d’analyse et autres pratiques similaires afin de déterminer si certains renseignements pourraient être visés par la définition de renseignement personnel en vertu de la LPVPDC.
• Réévaluer les stratégies d’anonymisation. Le passage à une norme d’anonymisation fondée sur l’évaluation du risque pourrait faire de l’anonymisation un outil plus pratique pour soustraire des renseignements à l’application de la LPVPDC. Les organisations devraient vérifier quels renseignements peuvent être anonymisés et consigner les résultats de l’analyse des risques résiduels.
• Établir un processus d’évaluation concernant les transferts transfrontaliers. Les nouvelles exigences en matière d’évaluation des facteurs relatifs à la vie privée pour les transferts de renseignements à l’extérieur du Canada nécessiteront la mise à jour des processus, de la documentation et des contrats concernant les fournisseurs de services situés à l’extérieur du Canada.
• Tenir compte de l’utilité des exceptions élargies au consentement. Le régime fondé sur le consentement prévu par la LPRPDE, qui ne prévoit que des exceptions limitées, pose des difficultés pratiques dans de nombreux cas de figure courants, notamment en matière d’intelligence artificielle, de cybersécurité, de détection des fraudes, de paiements et de services similaires. Les exceptions élargies relatives aux activités d’affaires et à l’intérêt légitime pourraient contribuer à pallier les limites pratiques du régime strict reposant sur le consentement prévu par la LPRPDE. Là où les organisations prévoient de se prévaloir de l’exception relative à l’intérêt légitime, elles devraient commencer à se préparer à l’évaluation des facteurs relatifs à la vie privée et aux exigences d’atténuation nécessaires à cette fin.
• Actualiser la gestion des renseignements personnels des enfants et à caractère sensible. Les nouvelles définitions d’« enfant » et de « caractère sensible », ainsi que l’obligation pour l’organisme de réglementation de protéger les intérêts des enfants, justifient un examen de tout traitement impliquant les renseignements personnels des jeunes ou les renseignements qui relèvent des catégories qualifiées comme étant « à caractère sensible » dans la LPVPDC.
• Se préparer à la transparence des décisions automatisées et à la vérification par un humain. Lorsque les organisations ont recours à la prise de décision automatisée, elles doivent s’assurer de disposer des moyens opérationnels nécessaires pour fournir des explications et transmettre les demandes d’examen à un employé qualifié.
• Rester à l’affût de la réglementation et du nouvel organisme réglementaire. De nombreux détails, tels que les cadres de mobilité des données, les mesures d’atténuation des transferts et les critères de certification, seront définis dans la réglementation, et la consolidation de la surveillance de la protection de la vie privée sous l’égide de la Commission est un développement qu’il convient de suivre de près. La LPVPDC exige également que la Commission, en consultation avec le ministre et les intervenants, élabore et mette à disposition des lignes directrices sur son approche en matière d’application de la loi et de résolution des différends, notamment : la décision de déposer une plainte; le traitement des plaintes (y compris la décision d’ouvrir ou de clore une enquête et la conduite des procédures); les mécanismes de résolution des différends; les ententes de conformité; les ordonnances proposées et les ordonnances de conformité; le régime de sanctions pécuniaires administratives; et les vérifications.

Le groupe Protection des renseignements confidentiels, vie privée et cybersécurité de Fasken abordera chacune de ces questions plus en détail au cours des prochaines semaines.

État d’avancement et prochaines étapes

Le projet de loi C-36 a fait l’objet d’une première lecture le 15 juin 2026. Il passera maintenant à la deuxième lecture et sera examiné par le Comité, où des modifications seront probablement proposées. Son entrée en vigueur est liée par décret à la création de la Commission, qui dépend elle-même de l’adoption du projet de loi C-34, le projet de loi visant à lutter contre le contenu préjudiciable en ligne qui prévoit la création de cette Commission. En supprimant la législation propre à l’IA et en faisant avancer de son côté la réforme de la protection de la vie privée, le gouvernement a relevé l’un des principaux défis auxquels se heurtait le projet de loi C-27, mais la décision de confier la réglementation fédérale en matière de protection de la vie privée à une nouvelle commission suscitera sans doute un nouveau débat. Notre équipe Protection des renseignements confidentiels, vie privée et cybersécurité continuera de surveiller l’évolution du projet de loi C-36 et de vous tenir informés de sa progression au Parlement.